网上支付的安全性范文

时间:2024-01-04 17:42:34

导语:如何才能写好一篇网上支付的安全性,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网上支付的安全性

篇1

关键词: 网上支付系统; 数据安全; 网络安全; 安全措施

中图分类号: TN919?34; TP393 文献标识码: A 文章编号: 1004?373X(2013)08?0074?02

0 引 言

网上支付是以互联网为基础,利用银行所支持的数字金融工具,发生在购买者和销售者之间的金融交换,从而实现买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,由此为电子商务服务和其他服务提供金融支持。

网上支付能够为客户提供方便、快捷的银行服务,但同时也会给作案者提供新的攻击途径,带来了新的风险,如何保证网上支付的安全性,成为网上支付系统建设的重要内容。

1 网上支付系统的安全性分析

近年电子商务在中国国内发展迅速,据电子商务研究中心数据显示,截止2012年6月,中国电子商务市场交易额达3.5万亿元,同比增长18.6%。其中B2B电子商务市场交易规模达2.95万亿,网络零售市场交易规模达5 119亿元[1]。随着电子商务在中国国内的迅速发展,网上支付成为一种新的支付方式,随之,出现了网上支付的安全和信用问题。

网上支付业务数据中含有银行客户的账户信息,如账号、密码、余额等,属于用户的隐私,这些数据是不允许公开的;而因特网是一个开放的公共网络,在这样一个开放的网络上拓展银行的传统业务,安全性是需考虑的首要因素,网上支付系统对安全性有着特殊的要求,既要保证数据在网络上传输的保密性,又要保证服务系统的正常运转。

网上支付系统的安全需求主要来自2方面:首先是交易数据安全,网上支付各业务的完成主要基于因特网的传输,因特网的开放性决定了其传输安全的脆弱性,需要保证数据传输的机密性、完整性,电子商务中需要确认交易方在网上的真实身份,确保交易的真实性和不可抵赖性;其次是网络安全,网上的公开服务器以及内部与之相连的内部服务器将不可避免地受到恶意攻击和好奇者的试探,需要保证系统较强的抗攻击性[2]。

2 网上支付系统的安全措施

网上支付的安全性极为重要,其安全手段也是全方位、多层次的。从整个支付流程来看,支付系统的安全包括服务器端安全(包括银行端和第三方支付公司系统)、客户端安全、数据传输安全,通过对各环节采用不同的安全措施来构建一个安全支付环境(如图1所示),以确保客户交易信息的保密性、完整性及不可抵赖性[3]。

2.1 服务器端安全

(1)应用系统安全:主要包括银行系统、第三方支付系统安全。对于应用系统架构,应根据不同的安全级别划分安全区域,并在各安全区域之间部署异构防火墙,在安全区域内部部署安全防护设备[4],如安全网关、漏洞扫描、抗DDOS攻击设备、入侵检测设备IDS、入侵防御设备IPS等,从而有效控制非法用户入侵、防范恶意攻击,对应用系统进行全面的安全防护。

(2)数据存储安全:通过制订并施行科学合理的数据备份机制、数据访问机制和灾难恢复计划,以确保数据存储安全。

(3)交易处理安全:主要通过数字签名技术保证网上支付交易处理安全,具体交易过程如图2所示。

商户发往银行的交易需进行数字签名,银行方进行验签,从而验证商户身份;同时支付系统发送给商户的支付结果中也包含银行方数字签名,以保证信息一定是由银行发出的并且确保其完整性。此外,银行对商户发送过来的订单信息会进行重复性、时效性等有效性检查,对于无效交易系统会自动摒弃。

(4)交易监控:建立交易监控系统,通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的或有风险的操作行为,根据风险级别不同进行不同的处理。

2.2 客户端安全

由银行和第三方支付服务提供商为客户提供,具体包括动态令牌、USB Key(含第三方认证证书)、短信服务、预留信息验证、图形验证码、软键盘等。其中,动态令牌和 USB key 为物理移动设备,难以被盗用,USB key可对客户提交的交易信息进行数字签名,增强对交易过程中行为和责任的认定。通过几种方式的组合,可增强非法入侵和盗用的难度[5]。

2.3 数据传输安全

银行端与商户端通信可采用专线或VPN方式,并利用 HTTPS协议进行交易信息加密处理[6],以确保数据传输的机密性和完整性。

2.4 其他安全

(1)加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,可有效防范欺诈;

(2)第三方支付公司借鉴证券公司经验使用第三方存管,增强了客户资金安全性;

(3)签约过程中网上支付系统不向商户系统传输客户银行卡完整的卡号信息,网上支付系统也不保留客户的商户账户完整信息,以确保客户敏感信息安全;

(4)通过设置单笔支付限额和当日累积支付限额,以确保资金安全。

3 结 语

网上支付有效地解决了电子商务资金流的问题,大大促进了电子商务的发展,但其安全性备受关注。通过使用各种安全措施,可有效确保网上支付系统的安全,从而为客户提供安全、快捷的支付服务。

参考文献

[1] 孟凡霞.2012年(上)中国电子商务市场监测报告[J].现代情报,2012(9):91?92.

[2] 徐辉.我国网上支付安全问题及风险防范[J].华南金融电脑,2009,32(5):25?28.

[3] 钱宏,赵琳峰.构建安全支付服务体系迎接支付健康发展新纪元[J].金融电子化,2010(13):21?22.

[4] 龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.

篇2

关键词:网上支付;风险;建议

从广义上讲,网上支付是买卖双方利用网络平台进行金融交易的手段,它的支付工具主要有电子支票、电子现金和数字信用卡,它涉及的方面非常多,如电子商务、网络银行、网上证券、网上保险等。在网络经济环境下,网上支付业务成了金融机构利润增长与战略发展的重点之一。然而由于网络安全、行业标准、信用、法律等风险因素,对网上支付业务的争议很大,严重影响了它的健康发展和持续壮大。因此,深入研究网上支付风险因素,找出规避对策具有重大意义。

一、我国网上支付状况概述

我国网上支付业务起步较晚,但发展势头喜人。首先,基础环境日趋成熟。各大银行相继建立的电子支付系统,并在不断的改进当中安全性也逐渐提高。2002年3月,中国银联成立,为我国网上支付业务的发展揭开了崭新的一页。目前,主要借助第三方交易平台,实现网上支付。第三方交易平台不在金融机构、商家、消费者之列,更体现了交易的公平性。其次网上支付相关法律正在不断完善。技术和道德标准代替不了法律对网上支付业务的重要作用。《中华人民共和国电子签名法》就是专门针对网上支付和电子商务的法规,分别从法律上确定了电子签名的合法地位,并对网上交易的安全性提出了指导性要求。第三,国内支付信用问题有待加强。由于网上支付的各种体制仍不完善,难以使消费者、商家与金融机构之间产生完全的信任关系,另外钓鱼网站欺骗、短信诈骗等现象给网上支付带来许多负面影响,许多客户疑虑重重。

二、网上支付存在的风险问题分析

安全风险。网上支付的安全问题无疑是客户最关注的,毕竟资金的完全虚拟化,支付过程变成黑匣子,不像一手交钱一手交货更直接、更透明。基于开放的互联网平台,本身就存在巨大风险,就像马路上行驶的运钞车一样,对外来攻击“防不胜防”。技术安全性主要体现在网络安全、第三方支付平台可靠性和客户端防御力上。目前,技术性问题主要集中在客户端,客户端的防御力以及大多客户的安全意识都不高。因此,提高商家、消费者的网络安全意识,增强金融服务工具的安全性和稳定性是当前乃至今后的发展方向。

信用风险。信用风险是影响和制约网上支付业务发展的另一重要因素。一是各体综合素质不高,没有形成良好的网络道德风尚,虚假网站,实物与广告描述不符等欺诈现象屡屡出现。二是国内网上支付业务的基础比较弱,信用信息披露机制不够完善,许多人对其持观望态度。三是银行为了减少损失和麻烦,主要以借记卡形式作为网上支付的载体,消费者受骗后损失自负,失去不少客户。四是第三方平台利润空间不高,又要承担巨大的安全风险,不敢放手发展。

法律风险。网上资金交易是现实资金交易的虚拟化,与现实资金交易同样必须有完善的法律做为坚实后盾。对网上支付相关法律的颁布和完善国家也不遗余力,但这项业务是一个系统工程,不是一蹴而就的,而是需要很长的时间来修葺,一方面网上支付业务的发展时间很短属新生业务,许多问题还不开明,比如第三方平台的身份问题一直颇受争议;另一方面网上支付业务是网络时代的创新,必然会触及金融监管的盲区,使各方利益难以得到保障。

行业标准风险。目前支付网关的接口标准极不统一,使各大商业银行以及第三方交易平台难以配合默契,不但局限性强,而且众多的网关接口增大了支付风险。数字证书的问题如出一辙,大家各自为政,一是资源极度浪费,二是一人说了算的情况难以体现公正性和公平性。造成以上局面,主要有二个原因:毫无利益可言,再加上数字证书申请程序繁琐,各方缺乏积极性;大多第三方平台和商业银行实力较强,更相信自己的认证系统。

三、规避网上支付业务风险的合理建议

吸收国外主要发达国家信息技术方面的优势。信息技术在这些主要发达国家循序渐进的发展,使他们在理论研究和技术积累方面有雄厚的实力。可以借鉴国外信息技术和信息产业方面的优势,网上支付理论和技术以及相关安全技术在我国也就可以更加顺利和快速的发展。

建立一整套完整的社会信用机制。我国尚缺少信用度认证平台,人们难以获取统一的评判基准,目前已经建立了个人信用上网查询系统,这些主要针对个人贷款几率的纪录已经在发挥作用,在此基础上我们可以完善其中的管理模块,建立一个功能更加齐全的征信和查询系统,提高整个管理体系的完善程度。

加快数字证书认证建设。数字证书是确保交易双方身份真实性、信息完整性,私密性和交易不可否认性的“网络身份证”。目前,我国既有由银行自己发放的数字证书,也有由第三方安全认证机构发放的数字证书,对此,政府应该加以规范,统筹规划。

加强法律建设。尽快制定相关法律法规规范电子合同、网上支付、电子票据与资金划拨、程序的安全性、隐私保护、基础设施和知识产权保护等涉及网上支付的关键性问题;强化法律法规的可操作,协调管理、技术、法律、标准和商业惯例的关系,使其成为一个有机的整体,为电子商务的运行和发展提供全面有效的保障。

总之,网上支付业务是经济发展不可回逆的潮流,只有正视它的安全、信用、法律、行业标准等风险因素,并通过相应的手段逐一解决,才能使之蓬勃发展,才能适应时代的需求。

参考文献:

篇3

[关键词]网上支付安全因素解决对策

中图分类号:G353文献标识码: A

网上支付是电子支付的一种形式,是以互联网为基础,利用银行所支持的某种数字金融工具,发生在购买者和销售者之间的金融交换,从而实现从购买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,由此为电子商务和其它服务提供金融支持。近年来,由于受到电子商务发展的有力拉动,中国个人网上支付的市场规模发展迅速膨胀。但在网上支付蓬勃发展的背后也出现了一些无法回避的问题。笔者试对当前我国网上支付出现的问题提出一些应对之策。

一、我国网上支付的现状

随着电子商务的不断发展与普及,网上支付已是电子商务一个重要的组成部分。目前在我国网上支付发展非常迅速,市场需求非常旺盛,应用创新空间非常广阔,是一个大有作为的行业。金融服务的发展创新开展网上支付业务,可以减少银行成本,加快业务处理速度,方便客户,同时也有利于银行拓展业务,增加中间业务的收入。更重要在于它改变了银行支付处理方式,使得消费者在任何地方、任何时间,通过互联网获得银行业务服务。但是我们必须清醒认识到,网上支付的基础环境还有许多的问题,值得关注和改善。网上支付的安全,网上支付工具发展滞后,社会诚信体系以及网上支付相关的法规等等,都是现在制约网上支付发展的重要因素。

二、制约我国网上支付发展的因素

1、网上支付的安全问题

电子商务在国内近十年的发展过程中,始终遭遇一个重大的瓶颈,就是网上支付安全问题,这个瓶颈严重制约了我国电子商务的发展,据调查有相当数量的客户希望通过网上方便购物,但是在权衡网上购物方便性和安全性以后,最终选择了放弃。分析原因,一是网上支付虚拟性的交易特点容易使客户对安全性产生怀疑,二是传统的一手交钱一手交货的思维定势阻碍新的网上支付方式的发展。因此网上支付首先应该把安全摆在首要位置。

2、网上支付工具发展滞后

网上支付需要银行卡的参与,但仅靠银行卡的运行还是远远不够的。况且现在的银行卡使用情况可说是五花八门,工行的、交行的、建行的、农行的等等,每个人拿出来的信用卡几乎都有使用的范围的限制、透支额度都是有差异的,这就需要一个第三方网络平台的出现,对各种信用卡进行统一的管理和约束,使得网上支付能够顺畅运行。

3、社会诚信体系不健全

网上交易、支付双方不见面,交易真实性不容易考察和验证,电子商务活动最后是否完成在很大程度上取决于参与买卖双方,取悦于金融机构和第三方支付平台的诚信程度。我国信用体制不够健全,市场环境不是很完善,应该说是制约电子商务发展非常重要的一个因素,因此我们应该呼吁各界共同努力,尽快建立和完善社会的诚信体系,以支持电子商务健康发展。

4、网上支付法律法规不健全

网上支付业务常涉及银行法、证券法、消费者权益保护法、财务披露制度、隐私保护法、知识产权法和货币银行制度等。目前,我国对于网络支付立法相对滞后。现行许多法律都是适用于传统金融业务形式的。但由于网络纠纷的特殊性,用传统法律规则来解决是一个非常吃力的问题。目前在网上支付业务的有些方面,虽然已有一些传统的法律法规,但其是否应该适用,适用程度如何,当事人都不太清楚,有的时候,监管机构也未必明白。在这种情况下,当事人一方面可能不愿意从事这样的活动,一方面也可能在出现争执以后,谁也说服不了谁,解决不了问题。

三、网上支付存在问题的解决对策

1、提高网上支付的安全性

提高网上支付的安全性,需要金融机构和广大商户共同努力,同时需要客户的配合,从技术上、支付工具上,从风险措施上、防范措施,全方位、多层次提供安全的保障手段。同时,也需要政府对社会舆论的正确引导,努力消除买卖双方的后顾之忧,只有这样才能促进网上支付健康快速发展。

2、实现网上支付工具多样化

作为网上支付业务载体的网上支付工具,是网上支付的主要组成部分,也是实现网上支付的必要条件。在传统的银行支付结算中,具有各种多样的支付结算工具如支票、汇票、本票、汇兑、委托收款、托收承付、银行卡等,可以根据不同情况选择不同的支付方式,互联网上的支付系统应是对现有支付手段的模仿。理想的支付系统要求具有一定的开放性、灵活性,它应该在不同的支付条件下支持不同的支付模型。

3、建立社会诚信体系

目前站在银行的角度,解决网上支付诚信问题,主要的办法,一是要严把关口,从根本上解决卖家和货源本身诚信问题,二是对开户的商户交易情况进行实时监控,发现异常以后,立即采取处理的办法,采取必要的措施,以防止欺诈和卷款行为的出现。同时还可以跟商户签订保证金的协议,以控制商户欺诈行为。第三,研究规范网上支付市场规则,解决好网上支付法律滞后和业务监管薄弱的问题,没有规矩不成方圆,任何行业规范发展离不开配套的法律法规正确指引和业务监管,随着近年来电子商务的发展,网上支付领域出现一些新的交易形式,针对网上支付业务法律法规建设以及业务监管也提出新的要求和挑战,这也需要相关法律法规的配套和规范的操作,以防范其中可能会发生一些风险问题,以保障支付电子商务发展能够在健康的道路上发展。

篇4

【论文摘要】我国电子商务和网上交易近年来取得了较大的发展,然而网上支付成为我国电子商务发展的瓶颈之一。因此,解决网上支付问题是发展电子商务的必要环节。本文从多个方面对网上支付系统的技术和安全问题进行了研究。文章首先简单地分析了网上支付系统在安全方面的需求,介绍了相关的核心技术。然后结合我国民航电子商务的发展现状和需求,以节省交易成本和提高安全性为目标,提出基于SSL协议的民航电子商务支付系统。通过加入双重签名技术,使得SSL协议的安全性有所提高,民航电子商务系统更加有效和安全,交易成本也大大降低。

Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.

Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.

Keywords:EC;onlinepaymentsystem;technicalcountermeasures

第一章:引言

2009年1月13日,中国互联网络信息中心(CNNIC)在京了《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。

我国网民和国家CNCN域名的增加,势必为电子商务的发展带来更大的机会。随着Internet技术和应用的不断发展,越来越多的企业加入到电子商务的队伍中来。电子商务已成为贸易发展的必然趋势,随着电子商务环境的规范和完善,中国电子商务企业必然迅猛发展。使用网上支付的方式进行交易,大大降低了传统贸易的费用和开销,提高了工作效率和企业竞争优势。越来越多的企业选择在Internet上建立自己的Web站点以便利、经济的手段在网上展示自己的企业形象,推销本企业的产品。

一、电子商务与支付系统的定义

1、电子商务的定义

电子商务源于英文ElectronicCommerce,简写为EC。顾名思义,其内容包含两个方而,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方小谋而地进行各种商贸活动。国际商会于1997年11月,在巴黎举行了世界电子商务会议(TheWorldBusinessAgendaforElectronicCommerce)会上专家和代表对电子商务的概念进行了最权威的阐述:电子商务,是指实现整个贸易过程中各个阶段的贸易活动的电子化[1]。从涵盖范围可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等[2]。

2、网上支付系统的构成

支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。[3]

网上支付是指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统,特别是因特网进行传输。以电子信息传递的形式来实现资金的流通和支付。网上支付系统的构成则主要包括两部分。一是网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。二是网上支付技术。如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子数据交换协议SSL和SET。[4]

二、电子商务与网络支付系统的发展现状

1、电子商务的发展现状

根据2009年1月13日,中国互联网络信息中心(CNNIC)在京的《第23次中国互联网络发展状况统计报告》显示,在主要互联网应用使用率调查中,网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。

由此可见,越来越多的企业和顾客加入到电子商务的队伍中来,网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国,电子商务虽然刚起步,但是人们对电子商务的巨大潜力深信不疑;我国政府积极支持电子商务活动的开展,这些都对我国电子商务的发展产生了重要的影响。

但是应当看到,我国还存在一些“瓶颈”问题,严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准,没有规矩不成方圆,没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础,而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事,是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上,国外成熟的电子商务解决方案占据主导地位仍是不争的事实,而国内真正有能力的开发厂家更是屈指可数,仔细算来也只有实华开、四通寥寥几家,但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段,越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现,网上支付系统的关键技术都是至关重要的。

但是现在制约电子商务发展的最关键的技术,是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息,而且还涉及到个人财产的安全问题。在电子支付过程中,必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证,那么将造成重大的损失和严重的法律问题,甚至会断送电子商务企业的命运。因此必须发展能够保障支付系统安全的关键技术,确保交易过程是安全、可靠的。

2、网上支付系统的发展现状

随着电子商务的迅猛发展,支付问题就成了制约电子商务发展的瓶颈,尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环节,如果没有支付,整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合,才能确保电子商务交易顺利进行。

而作为真正的网络支付手段出现的支付方式,则是在Internet的迅速走向普及化之后的事情。但是自2005年以来,中国网上支付成长十分迅速,这标志着中国电子商务迈入了以全面实现网上支付系统为特征的崭新发展阶段。著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。网上支付已成为国内网民从事网上交易时的第一选择,网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。

在Internet上出现的支付系统模式已有十几种,这些系统模式大致上可以划分为如下3类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对Internet的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法,使传统的银行卡支付信息通过Internet向商家传递,利用金融专用网络提供独立的支付授信,更先进的是采用智能卡技术,提供联机的银行卡支付。但是不管是哪一类的系统,都是包含着信息加密措施的系统,每一个系统都是有很多保障安全性的系统。

第二章:网上支付系统的安全技术问题

一、网上支付系统的安全问题

随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。

电子商务的支付问题是随着电子商务本身的快速发展而衍生的。单纯就它们的关系而言,电子商务需要电子支付,支付体系是开展电子商务的必备条件。随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。据AC尼尔森公司在2003年3月~4月做的一个调查表明,安全性是网上购物者用信用卡支付的主要顾虑。安全问题已成为电子支付发展面临的重要挑战,目前制约我国电子商务发展的瓶颈就是支付问题。

二、信用卡安全的恐慌——网上支付系统的安全问题案例分析

众所周知道银行业步入了网络时代,网络也融入了银行业,这迎合了电子商务发展的趋势。网上银行因不受时间、地域限制,成本低、快捷方便等优点得到了银行业的积极响应。近几年更是呈现出迅猛发展的势头。但是由于网上银行所有内容都是以数据的形式流转于网络之上,不可避免地会带来信息安全隐患。作为庞大资金流动的载体,网上银行极易受到非法入侵和恶意攻击。如果银行的网络遭到攻击,私人信息就可能会泄漏,若补救不及时,很可能给消费者造成巨大损失。2005年4月,多名“支付宝”用户工商银行帐户里的钱不翼而飞。6月,花旗集团丢失了一批记录着390万客户帐户及个人信息的电脑记录数据带。同月,包括Master、Visa在内的多家信用卡公司4000多万用户信息被盗,涉及了近9000张国内信用卡,一时间风声鹤唳,引发了信用卡安全的恐慌。黑客窃取用户资料、网络诈骗、虚假银行、网络钓鱼等支付安全问题已经严重影响了电子商务的发展。

从银行业的这一案例中我们可以清晰看到安全技术的重要地位和意义。因此必须对这一关键技术进行深入的研究,形成一个优秀的解决方案,确保网上支付系统的安全,保障我国电子商务事业的稳定快速发展。

第三章:解决网上支付系统的安全问题的技术解决途径

安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预。同所有计算机系统一样。电子商务系统安全必须具有保密性、完整性及可用性三个特征[5]。网上支付系统的安全是电子商务发展的核心。任何在Internet上开展业务的机构必须采取积极的步骤,确保系统有足够的安全措施,防止机密信息泄露和非法侵入造成损失。因此网上支付系统不但要具有保密性、完整性及可用性三个特点好要具有认证性、不可否认性和可审查性。

一、网上支付系统的安全要求

1、保密性

要确保网上支付系统的安全,首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性,交易中的商务信息都需要遵循一定的保密规则。交易中的商务信息可能直接关联着个人、企业或国家的商业秘密,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。因为其信息往往代表着国家、企业和个人的商业机密,而电子商务是建立在一个较为开放的互联网络环境上的。它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务。因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性。,因此,要采取措施预防信息的非法存取和信息在传输过程中被非法窃取。维护商业机密是电子商务全面推广应用的重要保障。

对于网上支付系统来说,他的保密性意味着系统必须满足两点:(1)私有交易不会被其它人截获及读取,既没有人能够通过拦截会话数据获得订货单中的帐户信息;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样的事实本身来达到别的目的。

2、信息的完整性

不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。

要确保网上支付能够安全顺利的进行,还要防止未经授权的数据修改。交易双方的合同签订后就不能随意删改,以保证交易的公正性,与可行性。电子商务简化了贸易过程,减少了人为的干预,但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。这会影响贸易各方商业信息的完整性和统一性。因此保持贸易各方信息的完整性是电子商务应用的基础。完整性指资源只能由授权实体修改。网上支付系统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息。

3、可用性

可用性是指一旦用户得到访问某一资源的权限,该资源就应该能够随时为他使用,而不应该将其保护起来使拥护的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。

不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用必备的基础。

4、不可否认性

在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息,正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。

要确保网上支付系统的安全,交易一旦签订就不能被否认。因此交易的各个环节,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认,确认数据已经完全发送和接收,防止接收用户更改原始记录,防止用户在收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性,在交易数据发送完成以后,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。一旦事务结束,有关各方都不能否认自己参与过这次事务。

5、可审查性。

根据机密性和完整性的要求,应对数据审查的结果进行记录,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利,否认电子交易行为时,系统应具备审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

6、认证性

要确保网上支付系统的安全,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。首先,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者,而不是第三者冒名发送。发送方可以确认接收方的身份是真实的,而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份,知道对方确实是他所称的那一位。在这里,确定意思并不完全意味着知道对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。

二、网上支付系统可能受到的攻击

针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。近一步细分又可以划分为两大类。

(1)假冒和恶意破坏。由于掌握了数据的格式并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息而远端用户通常很难分辨。由于攻击者可以接入网络则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

(2)窃取和篡改信息由于未采用加密措施或加密措施不利,数据信息在网络上以明文形式传送,或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

三、网上支付系统安全的技术解决方案

1、加密技术

1.1、利用加密技术保证电子商务支付的机密性[6]

密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言,1976年以前主要采用对称加密技术,这种加密技术存在着很多问题,如密钥分发的安全性,密钥规模过大、不能保证消息的真实性和完整性等。1976年以后,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。

1.2对称加密技术

对称加密技术有许多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。它把64位的明文输入块变成64位的密文输出块,所使用的密钥也是64位,其中第8位奇偶校验位另作它用。DES利用56位的密钥,对64位的输入数据块进行16次的排列置换,最后生成输出块密码。其生成步骤如[7]

下:

(1)为了产生64位明文的置换输入,对二进位进行初始排列(InitialPermutation),然后将结果分成32位的左右两个数据块。

(2)执行16次的迭代函数f,而每迭代一次所使用的密钥就不同,f函数将此密钥和右侧数据块作为自己的输入参数。

(3)在每个迭代阶段,左右两个数据块的置换值由下式确定:

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)

篇5

《iResearch 2005年中国网上支付研究报告》显示,61.2%的网民不使用网上支付是因为安全性问题。网上支付有悖于中国传统的消费模式,使得消费者在接受时有一定的心理阻力。但事实上,网上交易的风险绝大部分是交易安全问题,而并非支付安全,只不过公众更容易把责任归咎于自己不了解的在线支付名下。

从2004年开始,各个企业蜂拥入场争夺支付这块蛋糕。2005年,YeEpay、99Bill、支付宝、PayPal等相继进入,就连腾讯也要分一杯羹。这一切似乎印证了马云在年初的说法:2005年将是电子商务的支付年。似乎支付市场是继网络游戏、SP之后的又一座金山。

金山的说法其来有因,以PayPal为例。目前,PayPal已经拥有全球56个国家的7890万用户,2005年前3个季度的支付总额达到194亿美元,今年预计通过PayPal的支付总额将超过260亿美元。

利润虽然令人眼馋,但物质总有两面,一个真实的隐患总是被掘金人忽略。

PayPal建立在信用卡体系之上,而国内的网上支付主要建立在借记卡体系之上,所以它们两者有着根本区别。

信用卡体系中,商户承担着拒付风险,尤其是网上支付,因为信用卡无需密码验证,拒付导致的坏账率甚至高达4%~5%左右。因此,PayPal等同于“镖局”,商户只需付出2%左右的手续费,所有的风险都可以让PayPal埋单――如此,商家何乐而不为呢?

但国内的网上支付基于借记卡体系,支付需要密码才可以完成,安全系数相当高,最重要的是在国内的体系下,个人账户被盗用需要盗用者承担责任,商户却完全没有坏账风险。这就导致了PayPal“押镖”的差使不用做,所以支付服务提供商利润来源基本上就是靠低廉的手续费差(和支付宝提供的担保支付服务有所区别),即支付平台手续费和银行支付手续费之间的差价。

一个是镖局,挣的是押镖钱;另一个是快递公司,挣的是辛苦费――这就是国外和国内支付行业的差别。激烈的价格战和免手续费支付形式的存在使得国内支付公司很难盈利,有些公司甚至持续亏损很久。国外的金山来到国内,就成了“土山”,“支付”与“致富”之间也被打了一个大大的不等号。刚刚引起关注的支付行业其实已经站在悬崖的边缘。正如上世纪末IT泡沫破灭一样,网上支付的狂热背后往往是盲目和冲动、无序与混乱。

在巨大的经营压力下,支付行业的问题出现了!但问题绝对不是大家总是担心的支付安全问题。目前,网上支付的最终完成都是通过银行系统的网上银行,并非在第三方支付平台上进行,而且交易信息传递都是通过加密的数据包进行传输,所以可以肯定地说网上支付的安全性犹如银行的柜台交易。目前国内大多数的第三方支付服务商,包括首信、银联、云网等,在技术上都已经跨过了安全门槛。而真正应该令人担心的,是另一种安全。

由于利润太低,不少缺乏资金支撑的支付公司出现了运营上的窘境,而压力相对较小的公司无外乎3种:一种是或多或少有些“红根”,例如银联电子支付、首信;另一种是有其他业务的支撑,例如PayPal、云网支付@网;再有就是拿了别人的钱,例如支付宝、99Bill等。这3种里面,第一、第二种相对安全,第三种就值得考量了。而除了这3种以外的支付公司,生存的压力就更是非常大,很可能一朝崩溃。

支付公司不同于银行等其他公司,众多商户、消费者的钱都存在支付公司的账户中。据iResearch调查,2005年中,全国几十家支付公司间大约有161亿元人民币在周转。每家都占有巨额资金,一旦出现经营不善,企业破产,那么商户和消费者的钱将血本无归。

以支付宝为例,他们称必要时无需事先通知即得终止服务,并可立即删除账号和账号中的资料和档案,试想如果支付宝面临暂停或者关闭时,用户根本无法确保资金的安全。作为接受服务的消费者,面对可能的经营和政策风险严重缺少强有力的保护。

这就是支付行业新的安全问题。

对于这个问题,一方面,国家对支付公司的资质应该严格审查,商户的账户和支付公司自身的账户应该分离,并被保险;另一方面,商户在选择支付公司时,一定要整体考察公司的资质背景,尤其是它的持续盈利能力。

篇6

[关键词]电子商务 网上支付 现状及对策

网上支付是电子支付的一种形式,是以互联网为基础,利用银行所支持的某种数字金融工具,发生在购买者和销售者之间的金融交换,从而实现从购买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,由此为电子商务和其它服务提供金融支持。近年来,由于受到电子商务发展的有力拉动,中国个人网上支付的市场规模发展迅速膨胀。据iResearch预测,到2007年我国网上支付市场规模将达到605亿元。但在网上支付蓬勃发展的背后也出现了一些无法回避的问题。笔者试对当前我国网上支付出现的问题提出一些应对之策。

一、进一步建立与完善有关网上支付的法律法规

网上支付作为一项近几年迅速发展的新兴产业,相应的政策与法规的出台明显滞后于市场的发展,这成为企业进入该领域的最大风险。近年来,我国虽已加强相关的法律法规的制订工作,相继出台了《中华人民共和国电子签名法》、《电子认证服务管理办法》、《电子支付指引(第一号)》、《电子银行业务管理办法》和《电子银行安全评估指引》等法律法规,但在网上支付领域,相关政策与法律还存在空白以及需完善之处。我国有必要进一步加强相关法律法规的制定工作,并进一步健全和完善相应的法规制度。笔者认为,在网上支付工具方面,立法的重点应明确利用网上支付工具进行违法交易所要承担的法律责任,明确法定的电子货币发行人、合理的货币识别制度以及电子货币使用中各方隐私权保护制度等法律问题。而作为金融监管机构的中央银行则要结合我国国情并借鉴国外发展经验,严格技术标准,强化业务监管。同时,针对在网上支付过程中出现的新事物与新情况,及时制定相应的规定或出台新的制度,弥补旧制度的不足之处,确保我国电子商务良性发展。

二、建立富有效率的社会信用体系

网上支付是基于Internet的一种结算方式,不同于传统“一手交钱,一手交货”的物品交易,由于网上交易的双方互不见面,交易的真实性不容易考察和验证。信用问题成为网上交易中最为突出的问题之一,也是产生其他一系列问题的主要根源,因此从某种程度上可以说信用问题决定着网上支付的发展。在今年3月份,中国电子商务协会颁布了《中国企业电子商务诚信基本规范》。虽然这类信用体系的出现,对于加强我国整体的信用建设是有建设性的作用。但总体来说,目前我国的信用体系发育程度还较低,社会化信用体系尚不健全,信用心理不健康,在我国还未形成一种“违规失信,处处制约;诚实守信,路路畅通”的社会氛围。笔者认为要促进网上支付的发展需构建完善的社会信用体系,该社会信用体系应当包括以下内容:信用数据的开放和信用管理行业的发展;使用信用的规范和失信惩罚机制的建立和完善;政府对信用交易和信用管理行业的监督和管理;信用管理教育和研究的发展等。在目前,我国需要尽快完善数据库的建设,建立健全个人资信档案,不仅包括个人的银行信用信息,还应包括个人支付电话、水、电、燃气等公用事业费用的信息,建立与整合各个省份的企业征信系统,并将企业征信系统进行全国联网,相关的企事业单位与个人都可以共享这些信息;实施资信评估制度,增强社会信用力量,为社会提供高质量的信用服务;建立惩罚制度,通过立法来警示、阻吓一些信用缺失行为。

三、建立统一的安全认证体系

作为网上支付的主力军,国内的各大商业银行都开设了自己的网站,并提供具有支付功能的网上银行业务。但这些网上银行互不相连,缺乏统一性,主要表现在以下方面:第一,技术不统一问题。我国大部分的网上银行是采用SSL(安全套阶层)协议进行安全控制;但也有些银行则采用SET(安全电子交易)协议。这种缺乏统一规划的先天不足,给未来的网上银行整合增加难度,也带来了安全上的隐患。第二,跨行支付问题。目前各开办网上银行的商业银行均只接受自己银行提供的支付工具,这就使得在不同银行开户的收付双方无法完成跨行的网上支付。第三,统一身份认证工作问题。为了保证网上交易的安全性,各商业银行推出了电子证书以便交易时进行安全认证。在1999年建立CFCA(中国金融论证中心)时,央行就对各商业银行表达了统一电子证书的意愿,但直到现在,真正使用CFCA证书的商业银行屈指可数。针对这些问题,笔者认为,要保证网上支付的安全性,建立统一的安全认证体系己成当务之急。各方的认证机构必须统一技术标准,还有必要建立全国统一的网上支付资金清算中心,主要承担跨行之间的网上支付信息的交换和网上支付资金清算的职能,这样不仅可以解决跨行支付的问题,还可以进行信息共享,节约社会资源。只有国家出面建设统一公用的认证中心,才能起到认证中心公正、权威的作用,才能避免各方各自为政造成市场的混乱。在目前的情况下笔者建议可以先由CFCA牵头,让现有各商业银行的数字证书可以相互通用,相互认可。同时逐渐整合各大商业银行的数字证书,逐步达到统一数字证书的目标,并通过加强我国CFCA的身份认证的技术和后台管理,进一步方便各商业银行统一证书的维护与管理。

四、实现网上支付工具多样化

作为网上支付业务载体的网上支付工具,是网上支付的主要组成部分,也是实现网上支付的必要条件。在传统的银行支付结算中,具有各种多样的支付结算工具如支票、汇票、本票、汇兑、委托收款、托收承付、银行卡等,可以根据不同情况选择不同的支付方式,互联网上的支付系统应是对现有支付手段的模仿。而在目前我国的网上支付业务中,主要支付工具是银行卡与邮局汇款。在国外还常用电子支票、电子现金以及其他各种电子货币作为网上支付工具。但在我国电子支票基本上还是处于空白,对于电子现金以及其他各种电子货币,由于没有相应的立法保证以及人们受传统观念的影响,更是无从谈起。

理想的支付系统要求具有一定的开放性、灵活性,它应该在不同的支付条件下支持不同的支付模型。逐步丰富网支付工具,可吸引更多的消费者方便地使用网上支付业务,从而有力地促进电子商务的发展。按照我国目前的信用状况,可在网上推行电子保付支票、电子商业汇票等,将商业信用和银行信用结合起来。同时结合我国的国情,大力推广移动支付、手机钱包、电话支付等支付工具,扩大用户基础,满足个性化要求。在我国金融体系发展成熟后,再推出如电子现金、电子支票以及其他形式的网上支付工具,方便网上交易,促进电子商务的发展。

参考文献:

[1]姜永波等.电子商务中的网上支付问题讨论[J ] .中国科技信息,2005 ,(8) .

[2]孙君.我国网上支付存在的问题与建议[J ] .江苏商论,2005 ,(1) .

篇7

【论文摘要】我国电子商务和网上交易近年来取得了较大的发展 ,然而网上支付成为我国电子商务发展的瓶颈之一。因此 ,解决网上支付问题是发展电子商务的必要环节。本文从多个方面对网上支付系统的技术和安全问题进行了研究。文章首先简单地分析了网上支付系统在安全方面的需求,介绍了相关的核心技术。然后结合我国民航电子商务的发展现状和需求 ,以节省交易成本和提高安全性为目标 ,提出基于 SSL 协议的民航电子商务支付系统。通过加入双重签名技术 ,使得 SSL 协议的安全性有所提高 ,民航电子商务系统更加有效和安全 ,交易成本也大大降低。

Abstract:Although Chinese e - commerce and network transaction have great development in recent years, online payment is becoming one of the bottlenecks. Therefore , solving the problems is an important step in developing electronic business.

This paper summaries electronic business technology and its related security issues from several aspects.First it briefly discusses security requirements and related key techniques which are necessary to protect an electronic business system. In the E2commerce area , security was a great concern to manyorganizations when a considerable volume of documents and transactions were digitized and exchanged online. An online payment system based on the SSL protocol in civil aviaton E2commerce is proposed in this paper ,according to the reality and need of the civil aviaton E2commerce in China. The security of the E2payment system was improved to some degree by adding the technology.

Key words: EC; online payment system; technical countermeasures

第一章:引言

2009年1月13日,中国互联网络信息中心(CNNIC)在京了《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。

我国网民和国家CNCN域名的增加,势必为电子商务的发展带来更大的机会。随着 Internet 技术和应用的不断发展 ,越来越多的企业加入到电子商务的队伍中来。电子商务已成为贸易发展的必然趋势, 随着电子商务环境的规范和完善, 中国电子商务企业必然迅猛发展。使用网上支付的方式进行交易 ,大大降低了传统贸易的费用和开销 ,提高了工作效率和企业竞争优势。越来越多的企业选择在 Internet 上建立自己的 Web 站点 以便利、经济的手段在网上展示自己的企业形象 ,推销本企业的产品。

一、电子商务与支付系统的定义

1、电子商务的定义

电子商务源于英文Electronic Commerce,简写为EC。顾名思义,其内容包含两个方而,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方小谋而地进行各种商贸活动。国际商会于1997年11月,在巴黎举行了世界电子商务会议(The World Business Agenda for Electronic Commerce)会上专家和代表对电子商务的概念进行了最权威的阐述:电子商务,是指实现整个贸易过程中各个阶段的贸易活动的电子化[1]。从涵盖范围可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等[2]。

2、网上支付系统的构成

支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。[3]

网上支付是指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统,特别是因特网进行传输。以电子信息传递的形式来实现资金的流通和支付。网上支付系统的构成则主要包括两部分。一是网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。二是网上支付技术。如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子数据交换协议SSL 和SET。[4]

二、电子商务与网络支付系统的发展现状

1、电子商务的发展现状

根据2009年1月13日,中国互联网络信息中心(CNNIC)在京的《第23次中国互联网络发展状况统计报告》显示,在主要互联网应用使用率调查中,网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。

由此可见,越来越多的企业和顾客加入到电子商务的队伍中来,网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国,电子商务虽然刚起步,但是人们对电子商务的巨大潜力深信不疑;我国政府积极支持电子商务活动的开展,这些都对我国电子商务的发展产生了重要的影响。

但是应当看到,我国还存在一些“瓶颈”问题,严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准,没有规矩不成方圆,没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础,而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事,是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上,国外成熟的电子商务解决方案占据主导地位仍是不争的事实,而国内真正有能力的开发厂家更是屈指可数,仔细算来也只有实华开、四通寥寥几家,但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段,越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现,网上支付系统的关键技术都是至关重要的。

但是现在制约电子商务发展的最关键的技术,是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中 ,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息,而且还涉及到个人财产的安全问题。在电子支付过程中 ,必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证,那么将造成重大的损失和严重的法律问题,甚至会断送电子商务企业的命运。因此必须发展能够保障支付系统安全的关键技术 ,确保交易过程是安全、可靠的。

2、网上支付系统的发展现状

随着电子商务的迅猛发展,支付问题就成了制约电子商务发展的瓶颈,尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环节,如果没有支付,整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合,才能确保电子商务交易顺利进行。

而作为真正的网络支付手段出现的支付方式,则是在Internet的迅速走向普及化之后的事情。但是自2005年以来,中国网上支付成长十分迅速,这标志着中国电子商务迈入了以全面实现网上支付系统为特征的崭新发展阶段。著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。网上支付已成为国内网民从事网上交易时的第一选择,网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。

在 Internet 上出现的支付系统模式已有十几种 ,这些系统模式大致上可以划分为如下 3 类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对 Internet 的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法 ,使传统的银行卡支付信息通过 Internet 向商家传递 ,利用金融专用网络提供独立的支付授信,更先进的是采用智能卡技术 ,提供联机的银行卡支付。但是不管是哪一类的系统,都是包含着信息加密措施的系统,每一个系统都是有很多保障安全性的系统。

第二章:网上支付系统的安全技术问题

一、网上支付系统的安全问题

随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。

电子商务的支付问题是随着电子商务本身的快速发展而衍生的。单纯就它们的关系而言 ,电子商务需要电子支付 ,支付体系是开展电子商务的必备条件。随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。据 AC 尼尔森公司在 2003年3 月~4 月做的一个调查表明 ,安全性是网上购物者用信用卡支付的主要顾虑。安全问题已成为电子支付发展面临的重要挑战 ,目前制约我国电子商务发展的瓶颈就是支付问题。

二、信用卡安全的恐慌——网上支付系统的安全问题案例分析

众所周知道银行业步入了网络时代,网络也融入了银行业,这迎合了电子商务发展的趋势。网上银行因不受时间、地域限制,成本低、快捷方便等优点得到了银行业的积极响应。近几年更是呈现出迅猛发展的势头。但是由于网上银行所有内容都是以数据的形式流转于网络之上,不可避免地会带来信息安全隐患。作为庞大资金流动的载体,网上银行极易受到非法入侵和恶意攻击。如果银行的网络遭到攻击,私人信息就可能会泄漏,若补救不及时,很可能给消费者造成巨大损失。2005年 4月,多名“支付宝”用户工商银行帐户里的钱不翼而飞。6月,花旗集团丢失了一批记录着390万客户帐户及个人信息的电脑记录数据带。同月,包括 Master、Visa在内的多家信用卡公司 4000多万用户信息被盗,涉及了近 9000张国内信用卡,一时间风声鹤唳,引发了信用卡安全的恐慌。黑客窃取用户资料、网络诈骗、虚假银行、网络钓鱼等支付安全问题已经严重影响了电子商务的发展。

从银行业的这一案例中我们可以清晰看到安全技术的重要地位和意义。因此必须对这一关键技术进行深入的研究,形成一个优秀的解决方案,确保网上支付系统的安全,保障我国电子商务事业的稳定快速发展。

第三章:解决网上支付系统的安全问题的技术解决途径

安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预。同所有计算机系统一样。电子商务系统安全必须具有保密性、完整性及可用性三个特征[5]。网上支付系统的安全是电子商务发展的核心。任何在 Internet 上开展业务的机构必须采取积极的步骤 ,确保系统有足够的安全措施 ,防止机密信息泄露和非法侵入造成损失。因此网上支付系统不但要具有保密性、完整性及可用性三个特点好要具有认证性、不可否认性和可审查性。

一、网上支付系统的安全要求

1、保密性

要确保网上支付系统的安全,首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性,交易中的商务信息都需要遵循一定的保密规则。交易中的商务信息可能直接关联着个人、企业或国家的商业秘密 ,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。因为其信息往往代表着国家、企业和个人的商业机密,而电子商务是建立在一个较为开放的互联网络环境上的。它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务。因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性。,因此 ,要采取措施预防信息的非法存取和信息在传输过程中被非法窃取。维护商业机密是电子商务全面推广应用的重要保障。

对于网上支付系统来说,他的保密性意味着系统必须满足两点:(1)私有交易不会被其它人截获及读取,既没有人能够通过拦截会话数据获得订货单中的帐户信息;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样的事实本身来达到别的目的。

2、信息的完整性

不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。

要确保网上支付能够安全顺利的进行,还要防止未经授权的数据修改。交易双方的合同签订后就不能随意删改,以保证交易的公正性,与可行性。电子商务简化了贸易过程,减少了人为的干预,但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。这会影响贸易各方商业信息的完整性和统一性。因此保持贸易各方信息的完整性是电子商务应用的基础。完整性指资源只能由授权实体修改。网上支付系统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息。

3、可用性

可用性是指一旦用户得到访问某一资源的权限,该资源就应该能够随时为他使用,而不应该将其保护起来使拥护的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。

不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用必备的基础。

4、不可否认性

在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息,正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。

要确保网上支付系统的安全,交易一旦签订就不能被否认。因此交易的各个环节 ,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认 ,确认数据已经完全发送和接收 ,防止接收用户更改原始记录 ,防止用户在收到数据以后否认收到数据 ,并拖延自己的下一步工作。为了保证交易过程的可操作性 ,必须采取可靠的方法确保交易过程的真实性 ,保证参加电子交易的各方承认交易过程的合法性 ,在交易数据发送完成以后 ,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防 ,以保证贸易数据在确定的时刻 ,确定的地点是有效的。一旦事务结束,有关各方都不能否认自己参与过这次事务。

5、可审查性。

根据机密性和完整性的要求 ,应对数据审查的结果进行记录 ,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利 ,否认电子交易行为时 ,系统应具备审查能力 ,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中 ,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴 ,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下 ,则应通过数字摘要、PKI、数字签名、数字凭证、CA 认证等手段 ,在交易信息的传输过程中为参与交易的个人 、企业或国家提供可靠的标识。

6、认证性

要确保网上支付系统的安全,在电子商务中必须建立严格的身份认证机制 ,以确保参加交易各方的身份真实有效。首先 ,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者,而不是第三者冒名发送。发送方可以确认接收方的身份是真实的,而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份,知道对方确实是他所称的那一位。在这里,确定意思并不完全意味着知道对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。

二、网上支付系统可能受到的攻击

针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。近一步细分又可以划分为两大类。

(1)假冒和恶意破坏。由于掌握了数据的格式 并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息 而远端用户通常很难分辨。由于攻击者可以接入网络则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

(2)窃取和篡改信息由于未采用加密措施或加密措施不利,数据信息在网络上以明文形式传送,或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

三、网上支付系统安全的技术解决方案

1、加密技术

1.1、利用加密技术保证电子商务支付的机密性[6]

密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言 ,1976 年以前主要采用对称加密技术 ,这种加密技术存在着很多问题 ,如密钥分发的安全性 ,密钥规模过大、不能保证消息的真实性和完整性等。1976 年以后 ,迪飞和海尔曼创造性地提出了非对称加密算法 ,彻底解决了上述问题 ,使加密技术有了革命性的发展。

1.2  对称加密技术

对称加密技术有许多著名的算法 ,其中具有代表性的是 DES 算法。DES (Data Encryption Standard)算法是 1977 年美国国际标准局(NBS)制定的标准加密算法。它把 64 位的明文输入块变成 64 位的密文输出块 ,所使用的密钥也是 64位 ,其中第 8 位奇偶校验位另作它用。DES 利用56 位的密钥 ,对64 位的输入数据块进行 16 次的排列置换 ,最后生成输出块密码。其生成步骤如[7]

下 :

(1)为了产生 64 位明文的置换输入 ,对二进位进行初始排列(Initial Permutation) ,然后将结果分成32 位的左右两个数据块。

(2)执行 16 次的迭代函数 f , 而每迭代一次所使用的密钥就不同, f 函数将此密钥和右侧数据块作为自己的输入参数。

转贴于

(3)在每个迭代阶段 ,左右两个数据块的置换值由下式确定: Li = Ri - 1

Ri = Li - 1 + f (Ri - 1, Ki)

(4)经 16 次迭代之后 ,输出由 6 位二进位组成的输入明文和密钥的函数结果。

(5)将左右两块数据连接起来 ,对其进行再度排列 ,最终生成输出密文 ,但排列顺序刚好与初始排列相反。

(6)如果在加密过程中所使用的密钥按 K1 ,K2 , K3 , …, K16 顺序,那么解密时必须要按 K16 ,K15 , K14 , …, K1 顺序使用密钥。

截止目前为止,还没有公开报道发现 DES算法的致命弱点 ,但 DES 算法由于密钥较短 ,容易遭受密码暴力攻击,因此 ,在具体实务中主要采用3DES算法。

1.3 非对称性加密方式[8]

非对称密钥加密方式又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密功能。一个公开 ,即公开密钥;另一个由用户自己秘密保存 ,即私用密钥。信息发送者用公开密钥去加密 ,而信息接收者则用私用密钥去解密。公开密钥机制虽然灵活 ,但加密和解密速度却比对称密钥加密慢得多。

公开密钥的加密步骤如下:

(1)交互双方的用户系统 ,分别生成用来传递信息的加密和解密密钥。

(2)系统将公开密钥向开放记录块和文件公布 ,而个人密钥却由自己保存。

(3)用户 A 向用户 B 传递信息时 ,将使用用户B 的公开密钥进行加密。

(4)用户B 接到用户 A 的加密信息之后将其解密时 ,则使用它自己的私用密钥。

密钥生成算法如下:

(1)随机生成两个不同大小的素数 p,q。

(2)计算 n= pq,(n) = ( p - 1) (q- 1) 。

(3)随机选取与 p, q 无关的素数 e,1 < e

(4) 利用扩展欧基里德算法求出满足 ed =1 mod ((n))的整数 d。

(5)用公开密钥进行加密时公开(n,e) ;用私用密钥解密时保密( p,q, (n) , d) 。其中,e为公开密钥, d 为私用密钥,n为模数。

密钥的生成及应用例子如下:

(1)用户B 公开密钥/私用密钥的生成(由用户B 或认证机构生成) 。

①取两个素数 p =47,q=71。

②n=47 ×71 =3 337,(n) =46 ×70 =3 220。

③选新的素数 e=79。

④利用扩展欧基里德算法计算 79 ×d =(1 mod 3 220) 中的 d, d =1 019。

⑤用户B 的公开密钥 e=79 ,模数 n=3 337;用户B 的私用密钥 d =1 019,模数 n=3 337。

(2)用户B 密钥的应用。

加密技术在网上支付系统中的综合应用。结合对称技术、非对称加密技术的特点 ,在网上支付系统的支付过程中 ,主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。既保证了消息传送的机密性 ,又保证了会话密钥分发的安全性。

1.4、数字信封

数字信封利用了上面两种加密技术的优点 来确保信息的安全传输 它克服了对称密钥加密 中对称密钥分发困难和公开密钥加密中加密时间长的问题其实现过程如下:

加密信息

(1)产生一个对称密钥K;

(2)用对称密钥加密信息M得到M*;

(3)取得接收方的公钥;

(4)用接收方的公钥加密对称密钥K得到K*(数字信封)

(5)发送{K*,M*}

解密信息

(1)收到{K*,M*};

(2)用自己的私钥解密K*来得到原对称密钥K

(3)用K解密M*来得到原信息M

2、利用验证技术保证电子商务支付的真实性、完整性

在保证消息的真实性和完整性方面 ,主要采用的是基于非对称加密算法的验证技术 ,包括数字签名、身份验证等技术。

2.1  数字签名

数字签名并不是新的加密算法 ,而是现有加密算法的综合应用。它应用的是数字摘要和公开密钥加密技术。因为数字摘要技术能够识破信息的篡改,而公开密钥加密技术能够确认信息的来源。在数字签名系统中 ,信息发送方的任务是:(1)组织信息;(2)求出它的数字摘要;(3)加密数字摘要,且附上发送信息。而接收方的任务是:(1)利用发送方的密钥来解密发送方的数字摘要;(2)求出接收信息的数字摘要;(3)比较两个数字摘要 ,若相等,则说明接收信息准确无误。

2.2 Hash函数[9]

有一个函数 f ,当已知它的自变量 x 时,很容易求出它的函数值 y = f ( x) ,但已知 y 时,很难求出它的反函数值 ,这样的函数称之为单向函数。已知一个哈希函数值 ,却很难计算它的两个相异的自变量 ,这样的函数称其为无冲突函数。如果一个哈希函数同时具备上述的单向性和无冲突性 ,那么称这个函数为加密哈希函数。典型的有MD5 和 SMA。

2.3 MD5 函数[10]

MD5(Message Digest Algorithm 5) 意为数字摘要算法5。它是 RSA 数据安全公司开发的一种加密算法。是从任意长度的字符串中生成128 位的哈希函数值。MD5 所开发的软件制品有 PGP 源码, SSLeay , RSAREF ,Cryptott , Ssh源码等。

2.4 SMA函数[11]

SMA (Secure Hash Algorithm)是安全哈希算法。它是由美国政府公布的哈希加密标准算法。此算法从任意长度的字符串中生成 160 位的哈希函数值。

3、支付网关技术的应用。

支付网关通常位于公网和传统的银行网络之间,或者终端和收费系统之间其主要功能为将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包 接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。支付网关技术,要完成通信协议转换和数据加解密功能,并可以保护银行内部网络。此外支付网关还具有密钥保护和证书管理等其它功能。有些内部使用网关还支持存储和打印数据等扩展功能交易安全是电子商务正常健康运营的关键所在,不同性质的企业应根据自身的特点选择最为安全和行之有效的防护技术。对于加密身份认证以及支付网关技术不断的加强测试,加强优化为安全运营构筑强有力的屏障。

4、 防火墙技术的应用

为了确保信息安全, 避免对网络的威胁与攻击, 防止对网络资源不正当的存取, 保护信息资源而采取的一种手段就是设置防火墙。从理论上说, 防火墙概念指的是提供对网络的存取控制功能, 保护信息资源。而从物理上的设备来看, 防火墙是 Intranet 和 Internet 之间设置的一种过滤器、限制器。

防火墙系统负责管理 Internet 和内部网络之间的访问, 主要作用是在网络入口点检查网络通信, 根据所设定的安全规则, 在保护内部网络安全的前提下, 提供内外网络的通信。决定哪些内部服务可以被外界访问, 外界的哪些人可以访问内部的哪些可以访问的服务, 哪些外部服务可以被内部人员访问。所有来自和去往 Internet 的信息都必须经过防火墙的过滤、检查和存取控制。

5、采用黑匣子模型增强客户端安全

“黑盒”的意思就是从外面看不到里面 ,谁也不知道盒子里面隐藏的是什么 ,在计算机技术中用“黑盒”来表示技术的实现被完全封装起来 ,在这里我们提出电子支付的“黑盒模型”的含义是指用户端的输入、信息加密、解密、通讯控制、安全检测等被完全封装到一个模块中 ,这个模块与用户计算机之间只交换加密信息 ,加密信息通过 Internet 被送到银行服务器。

第四章:一种基于 SSL 协议安全性民航网上支付系统的设计

基于上文提到的网上支付系统安全技术解决方案运用里面的一些关键技术,如验证技术数字签名等技术,结合我国民航电子商务的发展现状和需求 ,以节省交易成本和提高安全性为目标 ,提出基于 SSL 协议的民航网上支付系统。通过加入双重签名技术 ,使得 SSL 协议的安全性有所提高 ,民航电子商务系统更加有效和安全 ,交易成本也大大降低。

SSL 握手协议中有一个身份认证的过程,其认证的核心是交换 X. 509 格式的数字证书。现有的 SSL协议中,公/ 私钥只用于服务器和客户机在握手过程中的密钥交换,没有利用其来实现数字签名。本文通过在 SSL 协议栈中增加一个 SSL 签名协议来解决这一问题,加入签名协议后的 SSL 协议栈如表1 所示。

SSL

握手

SSL

加密

SSL

警告

SSL

签名

其他应用层协议

表 1  加入签名协议后的协议栈

SSL 签名协议的数据保密性和完整性由 SSL 记录层协议负责。SSL 签名协议专门处理对需要签名的信息的消息交换、签名和认证。SSL 签名协议是在现有 SSL 协议的基础上实现功能的扩充,利用了 SSL 协议原有的密码资源,如证书、公私密钥对、公开密钥密码算法、哈希函数等,并参考 SSL 定义消息的格式,以一个独立的功能模块方式实现,这样就保证了新协议的向前兼容性。

使用 SSL 签名协议的民航电子商务支付系统的交易流程如下:

(1)设客户的订单信息和支付信息分别为 M1、M2。客户使用 Hash 函数,分别将 M1、M2 变换为订单信息摘要 h1、支付信息摘要 h2 ,并用自己的私钥对(h1 , h2)进行签名变为DS。

(2)客户将 M1、h2、DS联立为(M1 ,h2 ,DS) ,并使用商家的公钥加密,变为密文 C1;将 M2、h1、DS 联立为(M2 ,h1 ,DS) ,并使用银行的公钥加密,变为密文 C2。

(3)客户将双重签名的消息(C1 ,C2)发送给商家。

(4)商家收到(C1 ,C2) 后: ①用自己的私钥对 C1解密,恢复订单信息、支付信息摘要、双重签名(M1 ,h2 ,DS) ; ②用客户的公钥对DS解密得到(h1 , h2) ,并检验:a)加密值的第一部分是否等于 M1 的散列编码

值,b)加密值的第二部分是否等于 h2。若是则签名消

息有效; ③将 C2 发送给银行。

(5)银行收到 C2 后: ①用自己的私钥对 C2 解密,恢复支付信息、订单信息摘要、双重签名(M2 ,h1 ,DS) ; ②用客户的公钥对 DS 解密得到(h1 , h2) ,并检验:a)加密值的第一部分是否等于 M2 的散列编码值,b)加密值的第二部分是否等于 h1。若是则签名消息有效。

(6)商家通过上述操作 也获得了与支付信息, M2有关的信息 和 。但商家不知道客户的私钥 无:C2 h2 ,法由 恢复。又根据散列编码的性质 商家也无C2 M2 ,法由 h2 恢复 M2。

(7)银行通过上述操作,获得了与订单信息 M1 有关的以下信息:h1。同样根据散列编码的性质,银行无法由 h1 恢复 M1。

第五章:小结

随着我国网民规模的加大和电子商务的发展,网上支付系统的发展给人们的工作和生活带来了新的尝试和便利性,但是网上支付系统的发展却受到技术的制约,其中一个最关键的技术就是网上支付系统的安全技术。鉴于这种现状,本文对网上支付系统的安全要求,网上支付系统容易受到的攻击进行了深入的研究和分析。并针对这些要求和攻击,提出了五种关键性技术。并结合我国民航业的特点,综合运用部分关键技术,设计了一种基于 SSL 协议安全性民航网上支付系统。是网上支付系统安全技术应用的一个经典实例。充分的说明只要运用好文中提到的网上支付系统的技术解决方案,定能大大提高网上制服系统的安全性,是网上支付的手段得到更大的普及和发展。

参考文献

[1]才书训. 电子支付于网上金融学——电子商务系列教材.[M],2002,

66-98

[2杨坚争.电子商务安全与电子支付——高等院校电子商务专业规划教材.北京:机械土业出

版社.2007, 89-101

[3]欧阳勇.网络金融[M].西南财经大学,2006

[4]李医群 葛文雷,发展网上支付系统的关键因素[J].国际商务研究,2007(2)

[5]NJYeager,R E McGrath.Web Server Tecjnology,Chapter 8: Digital Commerce:Risks,Requirements and Techologies.Morgan Kaufmann Publishers,Inc,1995:319-370

[6]吴功宜 ,徐敬东 ,张建忠.电子商务应用教程[M].天津:南开大学出版社 ,2005

[7] Wiener M J. Efficient DES key search.Applications [C]. Florida: Crypto ’93 Rump Session Presentation ,1995.

[8] 武金木.信息安全基础[M].武汉:武汉大学出版社,2007

[9] 沈昌祥. 信息安全[M]. 杭州:浙江大学出版社 ,2007

[10]周  苏.电子商务概论[M].武汉:武汉大学出版社 ,2008

[11]陈克非.信息安全技术导轮[M].北京:电子工业出版社 ,2007

[12]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2)

[13]李荆洪,论电子商务网上支付系统的功能与特点[J],湖北经济学院学报(人文社会科学版)2006(1)

[14]聂捷楠,关于银行网上支付系统的设计研究方案[J],成都医学院学报,2007(2)

篇8

关键词:网上银行网络支付安全性问题

随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。

一、我国网上银行存在的安全性问题

1.网上银行网站存在的安全性问题

在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。

2.交易信息在商家与银行之间传递的安全性问题

因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。

3.交易信息在消费者与银行之间传递的安全性问题

目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。

综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。

二、网上银行安全性问题解决的对策

1.做好自身电脑的日常安全维护

一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。

2.设立防火墙,隔离相关网络

所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。

3.设置高安全级的web应用服务器

高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。

4.建立完善的身份认证和CA认证系统

在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。

5.加强客户的安全意识和网络通讯的安全性

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。

互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。

参考文献:

[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.

[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.

篇9

电子钱包在全世界范围内的发展都不是很理想,除了比利时的proton卡和香港的八达通(octopus)卡。电子钱包发展受阻的原因主要有三个方面:

(1) 交易成本高:接受电子钱包支付的商家需要安装相应软硬件设备,每次交易发卡机构或银行会收取相应的手续费;对持卡人会收取一定的年费(一些地区和国家是免费的)。

(2) 安全问题:电子钱包虽然有安全协议来保证其交易过程的安全性。为了安全起见,系统很少提供两个或两个以上银行相连,这样也降低了卡的成本。但对于持有人来说,绑定更多的银行,才能发挥其电子钱包的便利性,这很大程度上增加了安全难度系数和卡的制作成本。

(3) 缺乏匿名性:大多数的电子钱包并不具有匿名性,银行很容易追踪到用户的消费习惯。

除此以外,电子钱包还受到网络外部性的影响。电子钱包要想发展必须解决以上问题。

香港的八达通卡就是电子钱包成功使用的实例。从1997年八达通卡开始在香港通用,它最初是用来支付公共交通费用的,这样市民就不需要携带零钱,使得小额支付变得快捷方便。八达通卡(octopus)是一种非接触式智能卡,持卡人在购买时需要支付抵押金50元(不再使用八达通卡的话,可于各出售处退回余额及抵押金。卡基本上是免费的),之后根据需要来充值。现在在香港,大部分的公共交通工具、便利店和快餐店等都已普及“八达通”电子消费系统。香港公共交通包括地下铁路、轻便铁路、九广铁路、巴士、机场快线和渡轮。香港的人口不到700万,现在流通的八达通卡却超过了1400万张,足以证明了其已经赢得了消费者的支持。2006年8月,深圳部分商户开始接受香港八达通付款,目前八达通卡的流通量仍在稳定增加,支付范围越来越广,支付额度逐年增加。保守估计,2010年八达通交易额将达450亿港币,并将逐渐进入深圳、珠海等周边地区,与内地卡实现互通。目前,八达通卡还积极筹备推出网上支付的功能。

随着电子商务的发展,网上支付已经逐渐被人们所接受。电子钱包也可以进行网上支付,由于电子钱包通常以智能卡形式出现,持卡人要想实现网上支付的话,就需要安装相应的客户端,即读卡器。这就增加了持卡人的负担,阻碍了电子钱包网上支付的发展。从以上分析,可以发现电子钱包更适合线下支付,特别是小额支付。要想减少线上支付的成本,可以和银行借记卡、信用卡组合,不过要考虑这样卡的成本会提高。另外,安全性也是要考虑的一个重要方面。移动电话的普及,把电子钱包的功能和SIM卡相结合也是一条电子钱包发展的新途径,如日本的Docomo。

目前来说,国内最广泛的电子钱包应用领域当属城市公共交通使用的电子车票系统,不仅方便市民出行,而且基本上在国内大中小城市都逐步推广开来了。从上面讲到的香港八达通卡的成功实例来看,公交IC卡可以作为在推广国内电子钱包的一个很好的切入点。电子钱包所具有的安全、方便、高效、快捷的特点,能够满足今天电子商务时代安全支付的要求。特别是小额购物,如果采用电子钱包支付的话,就不需要携带零钱,那就从某种程度上会替代纸币和硬币进行交易。特别是2008奥运会,也是一个推广电子钱包的一个很好契机。

最后要注意的是:电子钱包的发展要受到网络效应的影响。即某种产品对一名用户的价值取决于使用该产品的其他用户的数量,用的人多到一定程度,才会产生收益。发展电子钱包要充分考虑这一因素,避免造成锁定(LOCK-IN)无效技术。

参考文献

[1]戴长志.电子钱包:迅速发展的货币支付工具.商场现代化,2006.7.

篇10

[关键词] 电子商务 B2B电子支付 对策

电子商务是基于互联网的一种网上交易、网上支付的新型商业模式。随着电子商务的快速发展,电子支付的重要性越来越明显,已经成为整个电子商务产业链中的核心环节。如何实现完全的在线支付功能,并保证交易各方的安全、保密是实现电子商务关键的问题之一。

根据中国社会科学院互联网研究发展中心的调查数据,B2B的交易额占到了整个中国电子商务市场的98%,是电子商务的绝对主流。但是,B2B电子支付却发展缓慢,大多仍然停留在信息流的传递上,还处于电子商务的初级阶段,远远没有实现信息流、资金流和物流的有效协同,而其主要原因之一就在于电子支付这一B2B电子商务重要环节的缺失。

一、电子支付

电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。

电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。

电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。

二、B2B电子支付现状

1.企业对B2B电子支付需求迫切

随着B2B电子商务市场的发展和成熟,越来越多的企业与政府组织部门拓展电子商务以及电子政务,这些均迫切需要发展适合中大额网络交易与服务的网络支付手段。信用卡等小额支付结算方式面对这些业务需求有些勉为其难。企业对 B2B电子支付需求也越来越迫切。

电子结算充分利用网络资源,只进行信息的交换,而不进行纸币实质的转让,令银行与企大大节省了资源,更方便。充分利用数字签名、隐藏签名等安全技术来保证安全,以防抵赖、防伪造。目前很多企业间的电子商务仍采用网上交易、网下支付的方式,其实质并不是真正意义上的电子商务,电子商务的简单形式上的呈现,电子商务的实时性的优势无从体现。

由于在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件, 电子支付的重要性越来越明显,已经成为整个电子商务产业链中的核心环节。基于广泛互联且完全开放的网络平台,电子支付实现了低成本、高效率、全球性的资金流转模式。在实现了网上和寻找信息的简单电子商务后,企业迫切需要在交易过程中,采用实时的在线支付方式,以极大地提高电子商务活动的效率,减少不必要的中间环节。

2.商业银行B2B电子支付业务创新

商业银行是最早的B2B电子支付服务提供方。随着电子商务的深化和发展,各家银行都在寻求新的业务增长点,银行在线交易的功能成为银行最为关注的新业务。

电子商务网上支付业务通过银行支付网关与电子商务网站对接,提供与交易订单紧密捆绑的在线支付服务,使买家通过网上银行安全、轻松地完成在线交易和支付。事实上,迈入1999年,网上银行服务(Internet Banking)已成为业界不可或缺的服务,不少大银行不但有网站,而且还提供网上转账和查询账户的功能。目前银行提供的B2B网上支付方式主要有两种:一种是电子支票类,如电子支票、电子汇款(EFT)、电子划款等;另一种是电子信用证类,即把传统的信用证方式转换成网上发证的方式,利用银行信用和网上银行转账完成买卖双方的网上支付。

3.供应商的风起云涌

第三方支付是B2B电子支付服务的新兴的供给方。

所谓“第三方支付”,是指在电子商务企业与银行之间建立一个中立的支付平台,为网上购物提供资金划拨渠道和服务的企业。随着中国互联网的普及和电子商务的迅速发展,中国的第三方支付市场呈现出勃勃的发展生机。艾瑞市场咨询最新的《2007年中国网上支付第一季度研究报告》数据显示,2007年第一季度中国第三方支付市场交易额规模达到160亿元,比上一季度增长了33.3%,与去年同期相比,增长了4倍多。

第三方支付在C2C和B2C领域取得了很好的业绩,开始逐步涉足B2B交易。第三方支付商的优势在于小银行之间的跨行交易。

三、B2B电子支付存在问题

1.B2B电子支付要求更高的安全性

网上支付的安全问题一直是企业和个人用户关注的焦点。B2B的网络支付结算是企业对企业的大金额网络支付结算,操作较为繁复,因此交易风险较大,B2B电子商务对交易资金的安全级别要求比B2C、C2C要高的多。尤其企业在考虑选择第三方支付平台时,其非金融组织的身份,使它在企业中的可信度还不够。

2.B2B电子支付要求更快的周转速度

目前,很多第三方支付服务机构开展了在线支付、电子钱包等支付手段,但基本模式都是付款方的资金先转入第三方支付服务机构的账户或者电子钱包,然后卖方发货。只有在卖方的货物被买方收到并验货认可后,资金的清算才可以正式进行,货款由第三方支付服务机构转给收款方,但从发货、收货到验货有较长的周期,买方的货款被滞留在第三方支付服务机构,这种模式的收付速度难以达到B2B电子商务的要求。尤其是规模不是很大的电子商务企业,实力较弱,对流动资金有很高的需求,他们无法接受资金滞留。

3.B2B电子支付要求三流更高的协调性

物流、资金流和信息流是电子商务的三要素。网上下单、网上支付并在网上指定配送方式,才构成一个完整统一的电子商务体系。企业开展B2B电子商务业务时,会产生大量订单。如何通过电子支付实现资金流和订单/信息流的统一,从而便利收款企业的对账发货,也是企业非常现实的需求。对于B2B电子支付而言,并不仅仅是在网上进行一次付款便完成了的事情,它背后将涉及到的是物流、库存、信息流等的对接。

第三方支付网关无法对网上交易的货物进行监督,也就不能为买家保证货物的安全,在资金监管、信息流的提供等方面都有不足,在B2B电子支付过程中,发展将更艰难。

除此之外,电子支付相关法律法规还不健全,并且电子支付渠道不统一,目前银行之间还不可能互相提供接口。

四、B2B电子支付的解决对策

1.多方面提供安全保障

电子支付先天具有一定的安全可靠性。企业在进行B2B电子支付时,无需使用现金、支票支付税费,特别是对于本关区以外的企业,免去了邮寄、携带大额票据的风险,极大地提高了企业资金管理的安全性。

但从银行、第三方支付网关的角度,仍需采用多种措施,提高B2B电子支付的安全性。

首先是技术上。B2B电子支付服务提供方,在电子支付的各个环节,采用先进的安全措施。网上银行系统采用国际上安全性强的1024位非对称密钥算法为基础的公钥安全体系;客户证书采用支持非对称密钥算法、带协处理器的CPU智能IC卡为存储介质;网络数据传输方面采用国际通行的SSL协议进行链路层的加密传输;整个系统的网络框架上,设置多重防火墙和安全服务器,并采用著名的ISS黑客扫描程序。

其次从管理上。要确保网络系统的安全与保密,除了对工作环境建立一系列的安全保密措施外,还要建立健全金融网络的各项内部管理制度。根据企业资信状况,从业务角度控制参与B2B在线支付的企业范围。客户的每一笔交易都将按照机密性和完整性的要求进行记录,作为交易的审计备案。以上措施从源头上阻止非法客户的进入,杜绝欺诈行为的发生,为B2B电子商务的开展营造了一个更加安全、规范、便捷的交易环境。

再次,从信用机制上。网上银行通过远程通信手段,借助信用确认程序对借款者的信用等级进行评估。而第三方支付平台通常把用户规模、在线的时间、交易记录、买家评价,以及信息的数目等方面都加以考核,然后对这些方面设置相应的积分,最后根据积分为这些“网上店铺”评定星级。当一家网站有足够的评价机制后,用户根据星级状况便可以选择相对更为稳妥的卖家进行交易,在这种情况下选择线上支付的可能性也会更大。

2.提高速度,缩短资金结算时间

通常的线下支付时间较长、手续复杂。快捷、高效、方便是网上支付最吸引人的地方。B2B电子支付提供了买卖双方企业网上交易资金的实时划拨。电子资金转账系统缩短了银行之间支付指令的传递时间,并减少了在途资金的占压。一些银行和第三方支付平台合作,开始尝试“应收账款质押贷款”,即将卖方尚未结算的订单向银行作为融资的质押,让资金在途和沉淀期缩短。网上银行系统一般分两次向特约网站和收款企业实时反馈每笔电子支付指令的有关信息,以便于供货方掌握并控制交易进度。付款企业作为网上银行客户,可随时登录银行网站或追踪查询指令处理状态,了解支付信息。

3.利用信息技术构建三流一体化平台

由于信息技术的支持,企业可以采用一定规模的ERP、SCM软件,协调整个供应链的机制,实现从客户到供应商的完全连通,企业的内部流程与外部交易完全一体化;通过供应链管理,保证了销售渠道的畅通;实时进行交易,使交易和供应几乎同时发生,使供应商及时了解物料需求状况,实现企业零库存;快速、实时、柔性的交易模式,及其完善而流畅的服务与物流配送体制,使电子商务达到了其高级阶段。

在企业实现物流、库存电子化管理后,符合中国企业需求的第三方电子支付,将能够将电子商务企业交易的“信息流”与“资金流”实现最佳整合,并能作为B2B电子商务中企业渠道资金收付和产业链上下游企业资金来往来的重要平台。

网上银行也能够实现电子商务交易的全过程、如何实现交易资金流与信息流的紧密绑定。实现订单和资金流的统一,便利收款商户对账发货。

4.大中小企业各取所需

一般来说,处于产业链内主导地位大型厂商来说,电子支付的关键是安全与信誉,此时寻找商业银行等金融机构作为电子支付渠道的合作伙伴将显得更为现实。通过金融机构建立大额电子支付渠道,能够有效保障整个产业链上企业相互间安全支付。

对于中小企业,上下游客户随机性较强,第三方支付平台能帮助其拓展客户机会,同时也能保障相互之间的支付安全性。对中小企业来说,快捷、高效、方便是网上支付最吸引人的地方。通常的线下支付时间较长、手续复杂。因此,这些企业适合寻找专业的第三方支付平台搭建适合自身业务的电子支付渠道。

支付网关需要通过银行进行结算,支付商提供的服务是银行业务的延伸,二者是合作和补充的关系。越来越多的银行跟第三方支付公司的联合,为各类型企业又提供了更多的选择。

参考文献: