網上銀行安全支付問題思考范文

本站小編為你精心準備了網上銀行安全支付問題思考參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《長春金融高等專科學校學報》2015年第一期

一、網上銀行安全支付問題分析

（一）網上支付系統的一般流程網上銀行支付分6個步驟：①用戶進入網上銀行官方網站、網址，訪問網上銀行；②輸入用戶名、密碼，登陸網上銀行；③開啟轉賬業務，輸入轉賬卡號、支付密碼；④支付系統服務器接收轉賬信息，并根據具體交易方式制定反饋信息，要求用戶確認；⑤用戶核查信息屬實，確認消息，支付系統執行交易；⑥支付系統將消息詳情再次反饋給用戶，用做交易憑證。

（二）支付系統的攻擊手段1.虛假網址訪問欺騙支付過程從一開始就存在安全隱患，首當其沖的是網上銀行用戶的銀行卡賬號和密碼，這是最簡單也是最直接造成損失的方式。更重要的是，這一階段的安全防護是最難以完備的，因為除了應采取網上銀行本身的安全措施，用戶自身的安全意識也尤為重要，而這點恰恰是許多用戶所欠缺的。用戶訪問網上銀行時，也容易受到被稱為“釣魚網站”的網絡欺詐。攻擊者一般利用各種手段，如垃圾郵件攻擊、跨站腳本攻擊等方法，誘導用戶點擊仿冒真實網站的URL地址來騙取用戶的銀行或信用卡賬號、密碼等重要信息。［1］這種攻擊方式非常簡單，可以通過發送大量垃圾郵件如廣告宣傳、虛假中獎信息等實現。由于這種攻擊的技術含量和實現代價均較低，因此成為現在網上銀行產生安全問題最多的地方。通過這種攻擊，攻擊者可以掌握大量用戶的登錄名和密碼，使用戶的大量私人信息遭到泄漏。目前，網上銀行一般采取的安全機制是首先強制用戶將登錄密碼和交易密碼設定為不同值，然后采取“預留信息驗證”的方式，讓用戶在開通網上銀行初期預設部分私有信息顯示于登錄成功的頁面。若用戶登陸了釣魚網站，必然看不到預設的信息，此時用戶可以立即登錄合法網站修改登錄密碼或者致電銀行暫時封鎖賬戶。2.鍵盤輸入記錄風險網上銀行在確定用戶交易信息時，會要求用戶輸入用戶名和密碼，不法分子可利用這一輸入步驟，通過鍵盤記憶程序竊取用戶按鍵信息，獲得用戶相關交易信息。對鍵盤記錄程序進行分析可知，該程序的主要攻擊點在用戶密碼輸入、支付密碼確認兩部分，利用日志、消息、鍵盤等選項，過濾、竊取鍵盤錄入信息。由此可見，鍵盤輸入記錄風險很大，一旦鍵盤程序被攻破，攻擊者會很容易竊取到用戶的密碼。目前，大部分網上銀行已認識到這一風險，并改用了“軟鍵盤輸入”程序，隨時、及時過濾鍵盤輸入記錄，以減少攻擊者進入鍵盤程序的機會。但是，由于這種“防盜”技術仍不完善，網上銀行對用戶安全信息的保護能力普遍低下，用戶的支付安全依舊很難保證。3.篡改簽名數據密碼是決定交易安全的核心要素。然而，在網上銀行支付系統中，密碼信號傳輸的交易環境卻并不安全，客戶端、服務器端都能利用通信系統竊取密碼，即便密碼擁有保障機制保護，也很難實現安全傳輸。［2］攻擊者會利用數字證書、數字簽名機制，將密碼信息保存、隱藏起來，通過智能處理，篡改簽名數據，使密碼在用戶未同意的情況下發生改變。如此一來，攻擊者便可自行設置用戶密碼，擅自執行交易行為。篡改簽名數據在以智能卡為核心密鑰的網上銀行客戶端交易系統中極為常見，因為每個用戶的私鑰都藏在智能卡中，所以，一旦攻擊者了解了智能卡的數字簽證模式，便可進入設備硬件，任意更改用戶密碼。同時，網上銀行的安全問題還是影響網上銀行業務的進行和拓展的一個重要指標和因素。無論網上銀行多么便捷，但是它畢竟屬于新興業務，相對于傳統銀行面對面的現金交易，網上銀行的支付方式不能不讓用戶擔心其安全問題，因此，安全問題的保證也是用戶選擇不同商業銀行網上銀行的一個標準。

二、網上銀行支付的安全措施分析

（一）識別虛假網站在互聯網時代，虛假網站、釣魚網站比比皆是，對此如果僅僅依靠網絡管理和網上銀行自身的安全措施顯然是不夠的。特別是本身并沒有很強的攻擊性，但是一旦陷入其中就容易上當受騙的虛假網站和釣魚網站來說，更需要廣大用戶自身有足夠的辨識力，才能夠有效地避免可以避免的損失。［3］最簡單也最直接的辦法就是用戶通過設置黑白名單以達到“御敵于國門之外”的效果。這種辦法幾乎所有的用戶都能夠輕松操作。但是這種方法也存在著局限性，即由于現在不法網站多如牛毛，黑名單的辨識能力不能保證無懈可擊，甚至會出現一些錯誤的辨識，而白名單的辨識能力更是有限，有時可能會出現不必要的交易誤會。所以，還需要用輔助性辦法達到對不法網站的有效識別，例如：基于網址單詞意義與形狀，自動從目標字符串中生成一組與之類似的字符串，作為用戶黑名單中的記錄。因此，可將釣魚網站的網址分為前綴＋關鍵字＋后綴的組合，利用軟件模擬生成一系列可能是釣魚網站網址的字符串。這種方法可以減少對黑名單的收集工作。此外，還可以利用“編輯距離算法”判斷兩個域名地址字符串之間的距離，以該原理為技術核心，系統可輕松過濾、檢驗出存在安全風險的虛假網站和危險網址。同時，“編輯距離算法”還能總結、分析出網址在區域環境下的字符串變化，如果網站被植入病毒，那么用戶在訪問時便會出現一連串不規則的“字符變化”，依靠現有網絡安全技術，可輕松篩選出“不規則”的字符序列，發出警示信號，提醒用戶已進入了危險網站。

（二）抵抗部分鍵盤記錄的設計針對攻擊者通過將木馬注入客戶端記錄用戶鍵盤輸入的攻擊方式，網絡設計人員可以設置與之相配合的驅動程序，利用“派遣函數”解決插入病毒的影響。例如：創建與用戶按鍵程序相關聯的掃描碼，使其可以將用戶密碼信息直接傳送到網上銀行的ActiveX控件上，再由網上銀行驅動程序翻譯用戶密碼，最后生成最終的密碼信息。如此一來，用戶鍵盤輸入的信息在攻擊者眼里便成了一堆“亂碼”，無任何竊取價值，不能在網上銀行正常使用，而網上銀行認定的信息會隨著隨機生成的掃描碼，傳達給網絡銀行的ActiveX控件。此外，即便攻擊者利用鍵盤過濾驅動插件，找到了用戶密碼的“掃描碼”，網上銀行依然可以通過秘密口令，證實“密碼交易”請求是否出自用戶本意。如果攻擊者不完全了解用戶交易習慣、交易方式，就很難成功盜取用戶密碼信息，促成隱匿交易行為。

（三）抵抗交易劫持為了抵抗交易劫持的攻擊模式，很多網上銀行的安全機制設定用戶在輸入密碼時使用軟鍵盤或在客戶端強制安裝防木馬的鍵盤驅動軟件掃描程序等。部分在線交易在確認信息中加入了多因子認證技術，如將交易密碼設置成動態密碼（包括電子口令卡、手機動態密碼、安全密碼器等）。這些技術均在一定程度上保護了網上銀行的安全，其原理均是加入人工干預。為保證用戶在網上銀行的支付行為能夠安全、可靠、高效地進行，網上銀行創設了諸多“安全機制”來抵御攻擊。［4］上文提到，與網絡安全技術相當“，網絡犯罪技術”也在“與時俱進”地發展著，所以，要想從根本上杜絕風險交易，降低攻擊者非法侵入網上銀行支付系統的犯罪幾率，必須不斷完善安全系統，以先進安全技術為核心，組建無漏洞、無風險、無間接傷害的安全系統模型，具體內容包括：1.用戶交易密碼安全。不要以明文形式構建密碼，用戶的交易密碼需由網上銀行支付系統的智能卡的按鍵端輸入，解除用戶鍵盤輸入對用戶密碼編輯、傳輸、處理的主導功能，如此，出現在客戶端設備的用戶密碼將會更加安全、完整地保存在網上銀行的數據庫中，免除竊取、盜用風險。2.增設隨機算子。用戶的交易行為在網絡銀行支付系統中是動態變化的，為迎合這一交易環境，可在安全設計方案中增設隨機算子，以其為交易指標、憑據，隨機校驗、核查用戶名、密碼等重要信息。每次交易時，隨機算子的參與模式、內容都會不同，這樣可使得用戶在輸入用戶名、密碼等信息時，擁有了“隨機應變”的權利，其信息安全得以有效保護。3.改變交易信息確認方式。服務器向用戶客戶端發送的確認信息很容易被盜取、濫用，這也是“手機認證”、“短信詐騙”等交易安全事故頻發的根本原因。為此，網上銀行支付系統需增加人工干預程序，以人工管理、控制、確認模式，提高信息確認交易步驟的安全性。綜上所述，作為傳統銀行業務的發展和延伸，網上銀行業務在互聯網時代無疑有著強大的生命力和發展前景。特別是網上銀行支付業務的范圍和領域不斷增加，對于網上銀行的發展有很強的促進作用。我們在充分享受網上銀行所帶來的便利的同時，也需要充分意識到網上銀行的安全性問題，要想真正獲得安全，唯一的辦法就是將安全意識與安全保障完美結合，才能真正實現網上銀行支付業務的安全保障。

作者：關偉哲郭萬春單位：長春金融高等專科學校計算機系 長春金融高等專科學校培訓中心