日本好大好硬好爽免费视频

<acronym id="ecc4e"></acronym>
  • <sup id="ecc4e"></sup>
  • <optgroup id="ecc4e"><sup id="ecc4e"></sup></optgroup>
  • <optgroup id="ecc4e"><u id="ecc4e"></u></optgroup>
    <optgroup id="ecc4e"><acronym id="ecc4e"></acronym></optgroup>
  • <small id="ecc4e"><u id="ecc4e"></u></small>
    無憂支付網首頁
    囊括國內所有第三方支付公司信息
    為客戶提供最優質的支付接口服務
    24小時服務電話
    182 2176 9212
    站內搜索
    您當前的位置:主頁 > 支付知識 >

    二維碼掃碼支付安全探析

    添加時間:2017-09-04 11:31
      隨著技術的發展,我國正在向無現金時代前進,與此同時二維碼支付也滲透進了我們生活的邊邊角角。二維碼支付的安全性,一直為大家所關心,在近期由中國國際科技促進會主辦、北京中廣恒泰文化傳媒有限公司承辦的第十一屆證卡票簽安全技術展覽會上,國家密碼管理局的李智虎先生對二維碼支付的安全性進行了探討。
      
      二維碼的安全隱患。
      
      二維碼是用某種特定的幾何方式按照一定規律的,在平面分布黑白相間的圖形,用以記錄數據信息。由于二維碼可以在二維方向上表示信息,其存儲容量遠遠高于一維條碼,一個郵戳大小的二維碼就能存儲數上千個字符信息。與一維條形碼相比二維條形碼除容量外,抗損毀能力更強,只要損毀面積不超過50%都能使數據還原。
      
      技術層面來看,二維碼支付中,圖碼只是作為一個通道,就像電信空口、wifi、藍牙、語音等一樣,其特點是不需要電信號,所以僅就圖碼說安全沒有意義。
      
      涉及二維碼支付安全,主要是圖碼所代表的內容(例如一個 URL、指向 app 支付的地址)安全,以及為此次支付搭建的應用系統包括服務端、客戶端的軟硬件安全。
      
      隨著移動互聯網、智能手機為廣大人民所接受、擁有,隨著支付寶、微信等 app 的廣泛應用,二維碼成為重要的支付手段。二維碼支付的最大特點就是簡便。但是二維碼支付也有很大的安全隱患。如釣魚網站、手機病毒、惡意程序等通過二維碼傳播的潛在風險日益嚴重。2014 年 3 月 13 日,央行下發緊急文件叫停二維碼支付等面對面支付服務,理由是線下二維碼支付存在一定的支付風險隱患。這讓一度非常熱門的二維碼支付業務進入沉寂期。
      
      用手機掃描二維碼后, 點擊網址鏈接、下載軟件等都可能成為病毒攻擊的目標。一些網站會帶有流氓插件,吸費木馬病毒可能偽裝成軟件。與手機登錄惡意網站、下載病毒程序一樣的,只不過換成了新面孔借助二維碼的方式表現出來。如果是單純的文本信息,掃描之后一般不會有安全問題,但是二維碼中可能含有網址鏈接或運行程序,如果點擊操作,就可能中毒。
      
      相對來說證卡票券是二維碼最安全的應用,特別是攜帶身份信息的證卡票券,例如,帶有照片的工作證、身份證,攜帶電子簽名文件。這類二維碼有身份信息,再加上權威認證機構(例如 CA)的電子簽名,生成二維碼后只能復制,無法篡改。
      
      個人用戶防范措施。
      
      對于用戶個人,防范二維碼,特別是支付應用帶來的隱患,可以:
      
     。1)為避免二維碼掃描工具與生成器藏毒問題,建議在正規網站下載工具軟件,不要隨意到手機論壇以及無安全檢測的電子市場下載。
      
     。2)不見碼就掃一般情況下,正規的報紙、雜志以及各大商場海報上的二維碼是安全可靠的,但對于街頭及網上發布的不明來歷的二維碼需要提高警惕。
      
      掃碼前確認該二維碼是否來自正規網站,不隨意點擊鏈接或下載安裝軟件。使用掃碼工具選專業的,掃到可疑網址時會發出安全提醒,如果通過二維碼安裝軟件,先安裝殺毒軟件再打開。很多通常會利用人們貪圖便宜的心理,將有毒二維碼夾雜在促銷、打折的廣告中,因此大家不要見碼就掃。
      
     。3)手機中安裝防病毒軟件減少病毒侵害最好的辦法就是安裝防病毒軟件,建議大家安裝專業的手機安全軟件。
      
      對于支付機構,今年 7 月,支付清算協會向支付機構下發了《條碼支付業務規范》(征求意見稿),意見稿中明確指出支付機構開展條碼業務需要遵循的安全標準。
      
      第十條 會員單位開展條碼支付業務,應將客戶用于生成條碼的銀行賬戶號碼或支付賬戶賬號、身份證件號碼、手機號碼進行關聯管理。
      
      第十一條 會員單位開展條碼支付業務,應符合監管部門的移動支付技術安全標準,可以組合選用下列三種要素,對客戶條碼支付交易進行驗證:
      
     。 一 ) 僅客戶本人知悉的要素,如靜態密碼等;( 二 ) 僅客戶本人持有并特有的,不可復制或者不可重復利用的要素,如經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼等;( 三 ) 客戶本人生理特征要素,如指紋等。
      
      會員單位應當確保采用的要素相互獨立,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。
      
      第十二條 會員單位采用數字證書、電子簽名作為驗證要素的,數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規范》( JR/T 0118-2015) 等有關規定,確保數字證書的唯一性、完整性及交易的不可抵賴性。
      
      會員單位采用一次性密碼作為驗證要素的,應當切實防范一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,并將一次性密碼有效期嚴格限制在最短的必要時間內。
      
      會員單位采用客戶本人生理特征作為驗證要素的,應當符合國家、金融行業標準和相關信息安全管理要求,防止被非法存儲、復制或重放。
      
      第十三條 會員單位應根據交易驗證方式的安全級別及《條碼支付技術安全指引》關于風險防范能力的分級,對個人客戶條碼支付業務的交易進行限額管理:
      
     。 一 ) 風險防范能力達到 A 級,采用包括數字證書或電子簽名在內的兩類 ( 含 ) 以上有效要素對交易進行驗證的,由會員單位與客戶通過協議自主約定單日累計限額;( 二 ) 風險防范能力達到 B 級,采用不包括數字證書、電子簽名在內的兩類 ( 含 ) 以上有效要素對交易進行驗證的,同一客戶單個銀行賬戶或所有支付賬戶單日累計金額應不超過5 0 0 0元。
      
      二維碼支付安全風險等級分級。
      
      一、最低等級的安全風險:全碼替換,比如某個小賣部貼的支付二維碼被不法分子替換,比如在汽車違章條后附加一個非法收款二維碼,這種風險不存在誠實的支付機構,需要付款方及被假冒方謹慎。
      
      二、客戶端軟硬件安全風險。二維碼支付應用中最常見的客戶端是手機,而手機環境特別復雜,裝的應用魚龍混雜,病毒木馬侵入風險很大。
      
      1. 用戶盡量通過可信應用商店下載 app;2. 支付機構 app 盡量支持安全環境,例如TEE,甚至 SE 智能終端;3. 相關機構建立檢測認證機構,對智能終端app安全性進行認定。
      
      三、支付后臺系統及與客戶端交互可能存在的隱患。由于很多應用開發周期短、自行開發周期較采用開源軟件時間長、加入安全后影響效率和用戶體驗、系統安全升級周期過長、為滿足不同客戶端只能采用最低安全等級等原因,使得系統變得很脆弱。
      
      即使是一些用戶過億,生存時間超過 2 年的應用,為滿足不同用戶終端需求,安全等級也不盡相同,比如,最重要的客戶端數字證書對應的私鑰安全存儲和計算,大部分手機只能在通用 CPU 通用環境下進行,如果存在病毒木馬,帶來的危害及其嚴重。
      
      總體來說,二維碼支付安全主要涉及到碼本身,支付終端,后臺系統的安全,可能采用密碼技術(CA,數字簽名),虛擬機、安全隔離(沙箱、Trust Zone,TEE,SE)等多種技術的融合,對于不同技術的使用,可以滿足不同層級的應用安全需求。
    日本好大好硬好爽免费视频
    <acronym id="ecc4e"></acronym>
  • <sup id="ecc4e"></sup>
  • <optgroup id="ecc4e"><sup id="ecc4e"></sup></optgroup>
  • <optgroup id="ecc4e"><u id="ecc4e"></u></optgroup>
    <optgroup id="ecc4e"><acronym id="ecc4e"></acronym></optgroup>
  • <small id="ecc4e"><u id="ecc4e"></u></small>