安防之家讯:随着经济的发展以及网络技术的进步,网络已越来越多地渗入到人们的生活中。网上虚拟社区、网上店铺的出现引发了网上购物的热潮,继而也使得网上支付日益兴盛起来。
但是,在享受便利的同时,网络支付的安全问题也越来越突出,盗用、失号等事件频出。据来自艾瑞的调查显示:受到层出不穷的“网银被盗”案等影响,68.1%的网民对使用网上银行的安全性存在担忧,这严重地影响了电子支付行业的发展,也成为网上支付所面临的主要技术难题。
网上支付的身份鉴别
从上述流程分析可以看出,网上支付的一个关键问题就是第三方机构(如支付宝、无忧钱包、首信易支付、银联电子支付等)对付款人和收款人的身份鉴别。
实现身份鉴别有以下几种途径,使用时可以是三种途径之一或他们的组合:
所知(Knowledge):密码、口令;
所有(Possesses):身份证、护照、信用卡、钥匙;
个人特征:指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA,以及个人动作
方面的一些特征设计依据:如安全水平、系统通过率、用户可接受性、成本等。
在网上支付的环节里面,可能发生问题比较多还是用户的身份认证。对网上认证手段分析表明,身份确认是信息安全的薄弱环节。目前网上身份认证普遍采用的是用户名和密码的方式,而这种方式又是不安全的,特别是在网上木马、病毒等特别泛滥的情况下,只使用用户名和密码非常容易出现安全故障。
另外,动态密码技术也被用于网络身份管理,一种是有源动态密码,本身在客户手里随机动态产生获得用户身份认证码或者叫交易授权。另一种是无源动态密码。动态密码只是一种认证的辅助手段,没有丝毫身份信息。有源动态密码价格比较昂贵,一般个人用得很少;无源动态密码现在越来越多地开始用起来,在电子商务网站或者游戏网站都被选用。无源动态密码最早在欧洲开始使用,欧洲银行用得较多,但这种机制对钓鱼攻击是没有防范能力的。
从目前情况看,将指纹识别技术应用于网络支付是优于其它生物识别技术。指纹特征可用于对付款人所涉及到的服务中的隐私信息加密。指纹特征可以代替用户登录支付网站时的登录密码、交易确认等需要个人身份识别的情况。
网上支付的指纹识别
如何消除大部分网民的担心,让不想使用网上支付的人使用网上支付,是各个第三方机构迅速扩大市场份额的最好手段。基于网民对密码认证方式的担心,引入指纹识别的认证方式可以大大提高网民对网上支付的信心,使网上支付平台成为“可信赖的安全支付平台”。
指纹卡指纹识别算法网上认证接口提供浏览器接口和服务器接口,供认证网站进行二次开发,其中浏览器接口提供浏览插件(以下简称器插件)供调用,服务器接口提供连接库(Windows版本和Unix版本,以下简称连接库)。
浏览器插件具有以下功能:获取指纹图像、生成指纹特征、生成指纹模板、指纹匹配。为了适应服务器多进程/线程的并行处理需要,动态连接库内部实现无全局变量,数据以参数形式传递,支持无限制的多进程/线程运行模式。
运行模式示例:用户注册时,浏览器通过调用浏览器插件获取指纹图像,并生成指纹特征,将两次生成的特征合并为指纹模板发送到服务器存储。身份认证时,浏览器通过调用浏览器插件获取指纹图像并生成指纹特征,然后将该用户的电子邮件地址和指纹特征发送到服务器验证,服务器调用连接库指纹特征和该用户注册的指纹模板以匹配确认是否用户本人。
第三方机构运用模式,通过第三方代理人的支付改善信用卡事务处理安全性的一个途径就是在买方和卖方之间启用第三方代理,目的是使卖方看不到买方信用卡信息,避免信用卡信息在网上多次公开传输而导致的信用卡信息被窃取。
对于用户的充值过程,目前尚不具备指纹技术应用的基础。对于用户登录和支付过程,由于指纹特征的随机性(同一枚手指多次采集得到的指纹特征都不尽相同)和可匹配性(虽然同一枚手指多次采集得到的指纹特征都不相同,但可以通过算法来验证是不是同一指纹),指纹特征可以认为是随机密码,完全可以代替原有的登录密码和支付密码。
与原注册流程图对比发现,在不改变原有注册方式的基础上,增加浏览器调用指纹插件,登记用户的指纹模板,为指纹身份认证作准备。没有登记指纹的用户使用密码验证身份,保证与原系统的兼容。
基于指纹识别的支付认证,在保留原有密码认证的基础上增加了指纹认证,完全兼容原有系统,同时提供了高安全级别的生物认证方式。
随着网上支付安全隐患的逐步显现,众多的商家都意识到了网上支付安全将会制约网上支付行业的发展,这对网上商家来说是极为不利的。相对于传统意义的支付手段,应用指纹识别技术能更好地防止网上金融犯罪,最大限度地保证了消费者以及商家的利益,对于互联网事业的发展以及网上支付行业的发展有着积极的意义。
安防之家专注于各种家居的安防,监控,防盗,安防监控,安防器材,安防设备的新闻资讯和O2O电商导购服务,敬请登陆安防之家:http://anfang.jc68.com/
