隨著網上虛擬社區(qū)、網上店鋪的出現(xiàn),也引發(fā)了網上購物的熱潮����,繼而也使得網上支付日益興盛起來���。但隨之而來的網絡支付安全問題也越來越突出,本文就結合指紋識別技術在網絡支付中的應用��,與您進行分析����。
隨著經濟的發(fā)展以及網絡技術的進步,網絡已越來越多地滲入到人們的生活中�����。網上虛擬社區(qū)����、網上店鋪的出現(xiàn)引發(fā)了網上購物的熱潮,繼而也使得網上支付日益興盛起來����。
來自中國互聯(lián)網網絡信息中心(CNNIC)第15次互聯(lián)網發(fā)展狀況統(tǒng)計報告的數據顯示:41.5%的網絡購物者使用信用卡或儲蓄卡通過網絡進行支付����,顯現(xiàn)出網上支付正在逐漸替代原來處于第一位的現(xiàn)金交易����。
但是,在享受便利的同時���,網絡支付的安全問題也越來越突出�����,盜用�����、失號等事件頻出�。據來自艾瑞的調查顯示:受到層出不窮的“網銀被盜”案等影響�,68.1%的網民對使用網上銀行的安全性存在擔憂,這嚴重地影響了電子支付行業(yè)的發(fā)展���,也成為網上支付所面臨的主要技術難題�。
網上支付概述
網上支付是指以計算機網絡系統(tǒng),特別是互聯(lián)網系統(tǒng)為平臺���,以電子信息傳遞的形式來實現(xiàn)資金的流通和支付的方式的總和�����。
目前���,國際上通行的網上支付工具主要有電子信用卡�、電子借記卡、電子支票和電子現(xiàn)金等����。有了這些常用的支付工具,人們就可以通過互聯(lián)網�,例如登錄網上銀行,以及第三方支付平臺如PayPal和支付寶等�����,來實現(xiàn)網絡支付�。
信用卡支付是電子支付中最常用的工具,信用卡在歐美發(fā)達國家和地區(qū)已經成為最普通的支付方式����,可以在許多公共場合使用��,可以用來刷卡�����、POS結帳以及在自動取款機上提取現(xiàn)金等���。廣義的信用卡是指能夠為持卡人提供信用證明,持卡人可以據此進行消費和享受服務的卡片�,包括銀行貸記卡、借記卡�、儲蓄卡和支票卡。
信用卡比較適用于計算機網絡空間的操作�����。在電子商務中最簡單的形式是讓用戶提前在某一公司登記一個信用卡號碼和口令�����,當用戶通過網絡在該公司購物時�����,用戶只需將口令傳送到該公司,購物完成后����,用戶會收到一個確認的電子郵件,詢問購買是否有效�。若用戶對電子郵件回答有效時,公司就會從用戶的信用卡帳戶上減去這筆交易的費用�。此種方式的缺點在于安全措施差,持卡人主要是依靠商家的誠信來保護自己的信用卡隱私信息�����,但是一旦信息出現(xiàn)紕漏���,則難免會出現(xiàn)安全問題和網絡支付糾紛。
目前常用的一種方法是在互聯(lián)網的環(huán)境下通過SET或者SSL協(xié)議的支付網關平臺直接與銀行進行相關支付信息的安全交互�,進行網絡支付。其突出的特點是用戶在網上發(fā)送信用卡號和密碼�,加密后發(fā)送到銀行進行支付。這樣一來就降低了用戶的信用卡號和密碼泄露的風險����,相對地提高了安全性。
還有一種方式也可以相對降低網絡支付的風險�,那就是正在迅猛發(fā)展起來的利用第三方機構的支付模式及其支付流程,而這個第三方機構必須具有一定的誠信度。在實際的操作過程中這個第三方機構可以是發(fā)行信用卡的銀行本身���。在進行網絡支付時����,信用卡號以及密碼的披露只在持卡人和銀行之間轉移�����,降低了應通過商家轉移而導致的風險���。
同樣當第三方是除了銀行以外的具有良好信譽和技術支持能力的某個機構時����,支付也通過第三方在持卡人或者客戶和銀行之間進行�����。持卡人首先和第三方以替代銀行帳號的某種電子數據的形式(例如郵件)傳遞帳戶信息��,避免了持卡人將銀行信息直接透露給商家�,另外也可以不必登錄不同的網上銀行界面,而取而代之的是每次登錄時����,都能看到相對熟悉和簡單的第三方機構的界面��。
第三方機構與各個主要銀行之間又簽訂有關協(xié)議��,使得第三方機構與銀行可以進行某種形式的數據交換和相關信息確認����。這樣第三方機構就能實現(xiàn)在持卡人或消費者與各個銀行��,以及最終的收款人或者是商家之間建立一個支付的流程���。
網上支付的身份鑒別
從上述流程分析可以看出�����,網上支付的一個關鍵問題就是第三方機構(如支付寶��、無憂錢包、首信易支付�、銀聯(lián)電子支付等)對付款人和收款人的身份鑒別。
實現(xiàn)身份鑒別有以下幾種途徑����,使用時可以是三種途徑之一或他們的組合:
·所知(Knowledge):密碼��、口令�;
·所有(Possesses):身份證���、護照����、信用卡���、鑰匙��;
·個人特征:指紋���、筆跡、聲紋���、手型���、血型、視網膜�����、虹膜、DNA��,以及個人動作
方面的一些特征設計依據:如安全水平���、系統(tǒng)通過率���、用戶可接受性、成本等�。
在網上支付的環(huán)節(jié)里面,可能發(fā)生問題比較多還是用戶的身份認證����。對網上認證手段分析表明,身份確認是信息安全的薄弱環(huán)節(jié)��。目前網上身份認證普遍采用的是用戶名和密碼的方式���,而這種方式又是不安全的��,特別是在網上木馬���、病毒等特別泛濫的情況下��,只使用用戶名和密碼非常容易出現(xiàn)安全故障。
另外����,動態(tài)密碼技術也被用于網絡身份管理,一種是有源動態(tài)密碼�����,本身在客戶手里隨機動態(tài)產生獲得用戶身份認證碼或者叫交易授權�����。另一種是無源動態(tài)密碼��。動態(tài)密碼只是一種認證的輔助手段���,沒有絲毫身份信息�。有源動態(tài)密碼價格比較昂貴����,一般個人用得很少;無源動態(tài)密碼現(xiàn)在越來越多地開始用起來���,在電子商務網站或者游戲網站都被選用�。無源動態(tài)密碼最早在歐洲開始使用,歐洲銀行用得較多�,但這種機制對釣魚攻擊是沒有防范能力的。
從目前情況看�����,將指紋識別技術應用于網絡支付是優(yōu)于其它生物識別技術���。指紋特征可用于對付款人所涉及到的服務中的隱私信息加密�����。指紋特征可以代替用戶登錄支付網站時的登錄密碼�����、交易確認等需要個人身份識別的情況�����。
網上支付的指紋識別
如何消除大部分網民的擔心����,讓不想使用網上支付的人使用網上支付,是各個第三方機構迅速擴大市場份額的最好手段��?���;诰W民對密碼認證方式的擔心�����,引入指紋識別的認證方式可以大大提高網民對網上支付的信心���,使網上支付平臺成為“可信賴的安全支付平臺”����。
指紋卡指紋識別算法網上認證接口提供瀏覽器接口和服務器接口�����,供認證網站進行二次開發(fā)�,其中瀏覽器接口提供瀏覽插件(以下簡稱器插件)供調用,服務器接口提供連接庫(Windows版本和Unix版本���,以下簡稱連接庫)�����。
瀏覽器插件具有以下功能:獲取指紋圖像����、生成指紋特征、生成指紋模板�����、指紋匹配�。為了適應服務器多進程/線程的并行處理需要,動態(tài)連接庫內部實現(xiàn)無全局變量���,數據以參數形式傳遞���,支持無限制的多進程/線程運行模式。
運行模式示例:用戶注冊時�����,瀏覽器通過調用瀏覽器插件獲取指紋圖像�����,并生成指紋特征,將兩次生成的特征合并為指紋模板發(fā)送到服務器存儲���。身份認證時�,瀏覽器通過調用瀏覽器插件獲取指紋圖像并生成指紋特征��,然后將該用戶的電子郵件地址和指紋特征發(fā)送到服務器驗證���,服務器調用連接庫指紋特征和該用戶注冊的指紋模板以匹配確認是否用戶本人。
第三方機構運用模式�����,通過第三方代理人的支付改善信用卡事務處理安全性的一個途徑就是在買方和賣方之間啟用第三方代理�,目的是使賣方看不到買方信用卡信息,避免信用卡信息在網上多次公開傳輸而導致的信用卡信息被竊取�����。
對于用戶的充值過程�����,目前尚不具備指紋技術應用的基礎�����。對于用戶登錄和支付過程,由于指紋特征的隨機性(同一枚手指多次采集得到的指紋特征都不盡相同)和可匹配性(雖然同一枚手指多次采集得到的指紋特征都不相同���,但可以通過算法來驗證是不是同一指紋)�,指紋特征可以認為是隨機密碼��,完全可以代替原有的登錄密碼和支付密碼�����。
與原注冊流程圖對比發(fā)現(xiàn)����,在不改變原有注冊方式的基礎上,增加瀏覽器調用指紋插件��,登記用戶的指紋模板�����,為指紋身份認證作準備����。沒有登記指紋的用戶使用密碼驗證身份��,保證與原系統(tǒng)的兼容���。
結語
隨著網上支付安全隱患的逐步顯現(xiàn),眾多的商家都意識到了網上支付安全將會制約網上支付行業(yè)的發(fā)展���,這對網上商家來說是極為不利的�。相對于傳統(tǒng)意義的支付手段�,應用指紋識別技術能更好地防止網上金融犯罪����,最大限度地保證了消費者以及商家的利益,對于互聯(lián)網事業(yè)的發(fā)展以及網上支付行業(yè)的發(fā)展有著積極的意義����。
0551- 62818875 64280445
行業(yè)動態(tài)