时间:2023-12-31 10:51:24
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇电子支付的安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2008)12-20000-00
Electronic Payment Security Discussion
REN Gang
(Wuhu Radio & Tv University,Wuhu 241000,China)
Abstract: Electronic payment system is the core of electronic business. The key of electronic business is system security during business activities. This text discusses existing payment pattern. It points out the shortage in security, displaces encrypt algorithm, modifies payment process, makes the electronic payment to be higher safty level.
Key words: Electronic payment; Payment Secure; SET Protocol
1 引言
电子商务(Electronic Commerce,简称EC)是利用现有的计算机硬件设备、软件和网络基础设施,在通过一定的协议连接起来的电子网络环境下进行各种各样商务活动的方式。电子商务的一个重要组成部分就是电子支付系统,所谓电子支付,指的是交易各方通过电子手段,比如说银行的电子存款系统和电子清算系统来记录和转移资金的方式。是否具有在线支付功能是电子商务是否完整的一个重要标志,而支付的安全性又是整个支付过程乃至整个电子商务过程的核心问题。
2 现有电子支付系统的探讨与改进
2.1 三种电子支付模型
第一种:基于SSL协议的支付模型
安全套接字层协议(Secure Socket Layer,SSL)是网络安全协议的标准,最早是由Netscape公司提出的一种安全套接层协议,采用公开密钥技术,目的是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。SSL使用多种密码技术和PKI数字证书技术来保护信息传输的真实性、机密性和完整性,主要适用于点对点之间的信息传输。SSL由两层协议组成:(1)握手协议:描述了协议的建立过程,在客户机和服务器之间进行相互的身份认证,并在传输数据之前,协商确定加密算法和会话密钥。(2)记录协议:用于对不同的高层协议进行封装,定义了数据传输的格式。
遵从SSL协议的电子交易过程:客户选择服务,提交购物请求商家回复客户的购买请求,客户端浏览器提示即将建立与银行端网络服务器的安全连接,经过身分认证后,SSL 握手协议介入开始,双方建立起安全通道出现相应银行的支付网页,显示从商家发来的相应的订单及支付金额信息,用户确认后支付。支付成功后,用户确认离开安全SSL 连接银行在后台把相关资金转入商家账号商家收到银行发来的付款成功消息后,发送收款确认信息给用户,支付过程结束。
目前国内大多数银行的网上银行业务都是基于SSL协议的。例如招商银行的“一网通”网上支付业务就是基于SSL协议的典型代表。
第二种:基于SET协议支付模型
SET(Secure Electronic Transaction)协议是针对开放网络上安全、有效的银行卡交易,由Visa和MasterCard两大信用卡组织联合国际上多家科技机构共同研制,为Internet卡支付交易提供高层的安全和反欺诈保证。SET协议实现信息在Internet上安全传输,不能被窃取或篡改;实现持卡人购买订单和个人账号信息的隔离,使商家只能看到订货信息而金融机构只能看到账号信息;实现持卡人、商家、支付中心、支付网关等交易参与方身份的相互认证;软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容性和互操作能力,并且可以运行在不同的硬件和操作系统平台上。
遵从SET协议的电子交易过程:客户选择服务,提交购物请求客户计算机自动激活电子钱包的客户端软件,用户取出里面的电子现金准备支付,SET协议开始介入;客户端软件自动与商家服务器软件进行SET 协议规定的信息交换与身份认证,然后自动提取信息连同订货单一起发送给商家商家收到信息并验证通过后回复客户,同时发出结算请求,并将客户端信息一起发给支付网关支付网关收到支付信息后,转入后台银行网络处理,在收到银行端发来的确认信息后向商家回复支付成功客户收到商家发来的购货确认与支付信息后,客户端软件关闭,支付过程结束。
国内的网上银行支付系统基于SET协议的极少,中国银行是一家。它的CA是中国银行认证中心(CCA)。持卡人通过Internet由中国银行主页中下载电子钱包软件后,通过Internet在线获得中国银行认证中心批准的借记卡网上交易电子证书。
第三种:以支付工具为中介的支付模型
国内除了上述两种支付方式外,还有种以网上支付工具为中介的支付流程,即第三方支付。这种在线实时的支付方式实质上还是网上银行。这种支付模式主要解决的不是信息流在网上传递的安全性问题,而主要解决的是,因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。
第三方支付的交易过程:买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议,这时买方需把货款汇到第三方中介账户上。中介立刻通知卖方钱己收到可以发货,待买方收到商品并确认无误后,中介才会把货款汇到卖方的账户,整个交易就完成了。
第三方支付的典型代表有贝宝公司的PayPal、阿里巴巴旗下的支付宝等。
2.2 SSL、SET协议的不足
SSL协议存在的问题:第一,客户的信息首先传递到商家,商家可以任意阅读,这样客户资料的隐私性就得不到保证。第二,SSL只能保证资料信息传递的安全,而传递过程是否被人截取无法保证。第三,SSL没有对应用层的消息进行数字签名,因此也无法保证不可否认性。所以,SSL并没有实现电子支付所要求的保密性、完整性和不可否认性,而且多方互相认证也很困难。
SET协议存在的问题:第一,SET协议使用的对称加密算法DES,随着计算机处理速度和存储效率的提高,己经不是计算上安全的算法了。第二,协议没有担保非拒绝服务,无法证明交易是否由签署证书的使用者发出。协议签名的内容无法保障持卡者和商家,在协议最后收到的签名,是针对交易内容的认证。第三,协议没有考虑交易个体的公平性,持卡人的信用卡信息经过商家转发,虽然是经过加密的,但无论如何也会留下痕迹,这是个很大的安全隐患。第四,从实用性来讲,SET协议对商家系统的开发来说是个不小的负担,很多的小商户都会认为成本太高,不甚划算。并且,应用SET协议需要在持卡人端安装电子钱包,这也是个不太容易让普通持卡用户很快接受的地方。还有,SET协议仅仅针对信用卡,对个人信任制度不成熟的我国现状来说,也是一个制约因素。
2.3 基于SET协议模型的改进
替换密码算法:SET协议规定加密算法为DES加上RSA,而通过上文分析DES加密算法存缺陷,因此可选择用IDEA算法作为DES的代替算法。IDEA的密钥长度为128位,是目前公认比较安全的加密算法。另IDEA和DES算法同是对称加密算法,分组长度都是64位,使用IDEA对原有系统的影响不大。
增加支付中心:由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。对照现实中商场中“柜台”与“收银台”相分离,对基于SET协议的电子支付系统进行改进,引入了支付中心这一概念,相当于电子的“收银台”。这样,电子商户主要承担商品展示功能,在消费者下订单后,商户执行“开票”功能,而“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。消费者的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方―支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而加强了信息流和资金流在网上实时传递的机密性和安全性。
3 结束语
随着电子商务和金融电子化的日益成熟和不断发展,对网络支付的要求也更加严格。虽然网络支付工具随着技术的变化层出不穷,但网络支付并不是非常成熟,只有加强电子支付的安全保障,建立起电子支付业的统一行业规范,完善电子支付的法律体系,才能使我国的电子商务和电子支付具有更强的生命力,在我国经济建设中发挥更大的作用。
参考文献:
[1] 吴琦.电子商务代表网站及业务模式分析[M].通信世界,2007.2.
[2] 肖群.电子支付协议和电子现金的研究[M].陕西师范大学出版社,2004.2.
[3] 王蝉 姚赤丹.SSL/SET协议比较与改进模型[J].现代计算机,2002.8.
[关键词] 电子商务 电子支付 SET 协议 SSL协议
一、引言
互联网的不断发展,极大地改变着人们的生活。特别是电子商务的迅速发展,使得人们可以足不出户便可以在家里购物。电子商务必然涉及到网上的电子支付,由于网络本身的开放性及复杂性,安全问题成了电子商务发展中的首要问题,能否确保信息安全、可靠的传输,为用户在网上从事商务活动提供信任保证,成为电子商务成败的关键。
当前主要有两种在线支付协议被广泛采用,即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
二、SSL协议
SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。它被视为Internet上Web浏览器和服务器的标准安全性措施。SSL 提供了用于启动TCP/IP连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别,并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证(可选)。
1.服务器认证阶段
在一次交易过程中,客户的证书首先传送到银行Server方,服务器先验证有效期,再根据签发者(CA)名称找到签发者公钥(在CA的根证书内),验证证书的数字签名的合法性。
Web服务器上的SSL安全性要求步骤如下:
(1)生成密钥对文件和请求文件;
(2)从身份验证权限中请求一个证书;
(3)在服务器上安装证书;
(4)激活WWW服务文件夹上的SSL安全性。
服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
2.用户认证阶段
在此之前,服务器已经过了客户认证,这一阶段主要完成对客户的认证。
经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
SSL支持各种加密算法。在“握手”过程中,使用RSA公开密钥系统。密钥交换后,使用一系列密码,包括RC2、RC4、IDEA、DES、triple-DES及MD5 信息摘要算法。公开密钥认证遵循X.509标准。
3.SSL的应用及局限
SSL是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
三、SET协议
为了实现更加完善的电子交易,MasterCard和Visa联合其他一些业界主流厂商联合推出了一种规范,用来保证在公共网络上银行卡支付交易的安全性,从而了SET 协议。采用SET 协议进行网上电子交易支付时,主要涉及持卡人、商家、支付网关、发卡者、支付者和CA 认证共六方:持卡人是发行者发行的支付卡的授权持有者;发卡者是指发行信用卡给持卡者的金融机构;商家是有货物或服务出售给持卡人的个人或组织;支付者是指商家开设帐号所在的金融机构;支付网关实现对支付信息从Internet到银行内部网络的转换,用来处理商家支付报文和持卡人的支付指令,并对商家和持卡人进行认证;证书权威CA是为持卡人商家和支付网关发行X.509数字证书的可信实体。
SET协议提供了电子交易中信息的机密性、数据的完整性、持卡人帐户的身份验证和商家身份验证。
1.信息的机密性
当持卡人的帐户和支付信息在网络上传输时,要确保其安全。SET的一个重要特点是,它可以防止商家知道持卡人的信用卡帐户,它只提供给发出的银行。可以使用DES等算法加密来确保机密性。
2.数据的完整性
从持卡人发送给商家的支付信息包括订购信息、个人数据和支付说明。SET必须保证这些消息的内容在传输时不进行改变。利用SHA-1哈希码的RSA数字签名提供了消息的完整性。
3.持卡人帐户的身份验证
SET授权商家验证持卡人是否是正确信用卡帐户的合法用户。SET使用X..509v3数字证书和RSA实现这一目的。
4.商家身份验证
SET授权持卡人验证商家是否可以接收与其有关的金融组织。SET使用X.509v3数字证书和RSA实现这一目的。
5.SET的局限性
SET协议仅解决了支付信息的认证,没有解决交易中证据的生成和保留,因此,不能为交易保留法律性的依据;SET协议中没有对交易过程作状态描述,这可能使顾客或商家对交易的状态难以把握。
四、结论
SSL协议和SET协议各有优缺点,都不是理想的电子商务协议。为了电子商务更加蓬勃地发展,
必须在深入剖析SSL协议和SET协议的基础上,开发一种新的安全支付协议,以适应信用卡、电子现金、电子支票等多种交易方式。
参考文献:
关键词:电子支付;安全问题;对策
电子商务作为互联网的主要应用,其涉及的领域已经拓展到B2C、C2C、O2O等多种商业模式。而电子支付以其方便、快捷、成本低廉的优点已成为电子商务过程中的重要环节。用户仅需一台能够连接网络的客户端,便能在极短的时间内完成一次网上交易。然而电子支付业务的快速增长却缺少与之匹配的技术手段和相关的法律法规,这也就出现了各式各样的安全问题。本文将对电子支付的安全问题进行详细分析,并提出对策。
1.电子支付的现状分析
1.1电子支付的发展历史
电子商务的最初应用可以追溯至二十世纪六七十年代,当时人们使用电报、传真机进行商务文件的发送。由于传统的纸面打印无法将文件直接转入信息系统中,人们采用EDI(电子数据交换)进行电子商务应用技术的替代。而电子支付作为电子商务的重要环节,被我国正式定义是2005年10月颁布的《电子支付指引(第一号))》:“电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。”
1.2电子支付的发展现状
据CNNIC的第36期《中国互联网发展状况统计报告》显示:截止至2015年6月,我国电子支付用户规模从2014年底的3.04亿增长到了3.559亿。电子支付的使用比例也增长了6.8个百分点,其中属手机支付的发展尤为迅速,用户规模较2014年提升了约2.76亿。用户手机支付的使用率也提升了约7.5个百分点,其增长速度是电子支付市场整体增长速度的1.5倍。
1.3电子支付的主要方式及其特点
1.3.1银行卡在线转账支付
银行卡在线转账支付是我国目前应用较为广泛的电子支付方式,用户将资金通过银行卡在线转账至收款人的银行卡中。它的基本特征是:一、接受此方式的商家投入较低。二、此支付方式的使用不受地域限制。全世界范围内大多数商家都能受理银行卡转账的业务。
1.3.2电子现金
电子现金是一种虚拟货币。它将现金的数值通过一系列算法转换成虚拟数据,以此来表现货币的现实价值。此方式正逐渐发展为电子支付的主流方式之一。它的特点是:一、具有现实现金所有功能;二、商家接受电子现金时,可通过接收到的电子签名验证来确定电子现金的真实性。三、此支付方式属于匿名消费。
1.3.3第三方支付
第三方支付是一些独立机构与各大银行签约,提供与银行支付结算系统对接的平台支付的网络支付方式。这些机构都具备一定得经济实力和信誉保障。其特点主要表现为以下几个方面:第一,介入成本较低,仅需注册便能享受其快捷方便的服务。第二,操作较为方便。仅需用户的账号、密码即可完成支付。第三,价格较为优惠。大多数平台无需付费,用户仅需对平台账号进行充值便可享受一定的优惠。第三方支付正逐渐成为金融生态体系中的重要环节。
3.我国电子支付存在的主要问题
3.1电子支付规范制度的缺失
随着淘宝网、京东及叮当网等网上购物平台的兴起,电子支付也进入了发展突进期。随之而来的是相关法律缺失问题、交易市场规范制度不严谨问题以及消费者权益缺失问题。这些问题不仅抑制了电子商务的绿色、健康发展,更导致了电子支付产业发展偏离目标的现状。
管理制度的缺失造成了商家的肆意妄为,交易市场规范制度的不严谨被居心叵测之人钻了空子,消费者权益的缺失让人们对电子支付望而却步。建立行之有效地法律法规已经刻不容缓,通过网络进行合同签订和资金交易服务等电子商务行为仍存在许多尚需完善之处。
3.2网络用户对电子支付的信任度不够
电子商务以其开放、自由的交易特点,吸引了大批商家人驻电子商务行业。买卖双方无需当面交易,仅需通过互联网便可完成交易。这就导致了交易是否真实可靠需要经过考证。据调查:约有24%的企业和16%的人认为“诚信”已经成为电子商务l展的最大阻碍。由于电子支付技术对传统交易的简化,一些在现实中无需考虑的问题正逐渐的显现出来,主要有以下几个方面:
1)身份是否真实可靠。网上交易的买、卖双方相隔甚远,互不了解,支付方对卖家的相关信息并不了解,卖家也不能确认买家的支付手段是否真实可靠,以及交易成功后资金是否会到账的问题。这就给予了不法商家和个人可乘之机。因此保证交易双方身份信息的真实可靠在电子支付过程中尤为重要。
2)信息是否完整。网上交易将传统交易过程中的看货、挑货、付款、收货以及验真进行了简化。卖家将商品相关数据进行上传,买家通过不同商家对同种商品提供的数据便可进行对比,选购心仪的商品。如果在商家上传的数据的过程中若是产生了差错或是欺诈的行为,这些都会导致数据的不完整甚至是缺失。如果被不法分子加以利用,势必会对网上交易市场产生不良的影响。
3)数据是否得到保密。商品买卖过程中收款人和付款人的身份信息、家庭住址、联系电话、交易的内容和数量等。这些信息若泄露给别有用心之人,势必会造成一些不必要的麻烦。是以,电子支付过程中的数据保密问题非常重要。
【关键词】电子商务 电子支付 网络安全 网上支付
一、电子商务与电子支付概述
(一)电子商务概述。
电子商务的英文翻译为ELECTRONIC COMMERCE,是相关市场经营者或者企业对现代化网络信息化技术的综合应用,通过利用电子商务网络,快速便捷、及时有效的实现相关交易操作,作为一种现代化的新型商务模式,电子商务可通过多种电子通讯方式来完成,比如当前的电子商务交易一般多以EDI(电子数据交换)和INTERNET来实现操作。
电子商务利用现代化的网络信息技术,进行虚拟化的低成本低交易,能够最大限度的为卖方双方提供及时、方便、快速的网络交易服务,能够有效的降低成本、提高交易的效率,具有极为重要的发展意义。现代电子商务的积极发展已经渗透到了人们生产生活以及社会经济发展的各个环节,并且随着经济的不断发展,人们收入水平的不断提高而不断的发展与完善,对国民经济与人们生活的发展具有极为重要的影响。总之,电子商务是一项现代化的高科技、高效率、高效益的移动商务模式,对社会经济、文化、科技、法制以及人们生活的影响极为巨大,具有重要的发展与研究意义。
电子商务有效的把市场经济活动的货币转移与资金流动虚拟化、网络化,有效突破了传统的时间与空间局限。电子商务之所以能得到迅速的发展必然离不开它支付工具的发展。电子支付在降低交易成本、提高交易效率、支持经济金融发展等方面发挥的作用日趋明显,提高了人们的生活质量。
(二)电子支付概述。
在电子商务的积极发展与广泛应用中,电子支付发挥了极为重要的地位与作用,具有重要的发展影响。电子支付简而言之,主要是发生在计算机网络上的买卖双方的电子交易的货币支付或者资金流转行为,有效的突破了传统交易与支付的局限,具有及时快捷、方便便利、高效安全的重要特点,能够有效降低买卖双方的经营与交易成本,具有重要的意义。
纵观电子商务的积极发展,可以将电子支付的发展阶段归纳如下:(1)积极有效的电子结算阶段,利用计算机处理银行之间的业务。(2)利用计算机处理银行和其他机构之间的资金结算。(3)利用网络终端为客户提供各项银行服务。(4)通过银行销售点终端积极有效的为客户提供自动扣款服务。(5)利用互联网络进行直接转账结算—网上支付。
电子支付是经济社会进入信息化时代的必然产物,电子支付体系的不断发展与完善为电子商务发展提供了必要的支持和保障,而电子商务的发展又推动了电子支付体系的不断完善与持续发展。
二、电子支付在电子商务中的应用现状
经济的不断完善与发展,国际经济一体化的日益深入与渗透,计算机技术、网络信息化操作越来越普遍的被应用到人民生产生活与社会经济的不断发展中,经济领域的电子商务化进程日益加速,对经济的发展,企业的经营与提高、社会的进步都产生了极为重要的影响,电子商务也越来越多的被人们所关注与重视,尤其是电子商务交易中的电子支付问题,因有效涉及买卖双方的货币支付或者资金流转行为,更是社会各界极为关注的重要问题。
1998年招商银行将电子商务中的电子支付行为在网上银行业务中有效推出,其后陆陆续续的网络电子支付行为快速发展,其范围越来越广,大到银行的各种网上缴费业务,小到个人的网络购物支付、话费、水电费缴纳等等诸多方面都获得极为有效的发展与提高,电子商务突破时空的局限,快速发展,积极渗透,已发展到社会经济与人们生活的各个层面,人们生产经营与消费方式的网络化得到了普遍的应用。因此更好的应用电子支付,保证消费者信息的安全性是十分必要的。我们现实生活中经常出现虚假交易和网上诈骗的行为,在电子支付过程中的法律、信用、监管等问题也急需得到解决。积极有效的建立健全相关电子商务运营与服务中的法律法规,大力规范企业相关经营行为,加强网络电子商务的安全化支付与信息保护,积极有效的监督、维护市场的交易秩序,加大打击虚假交易、网上诈骗等违法违规行为,加强社会的诚信建设、网络交易的诚信体系建设,以更好的维护并促进电子商务的可持续发展。
三、电子支付安全性分析
(一)电子支付的安全问题。
1.密码管理问题
在电子商务交易的过程中,因密码管理不善所引发的网络电子支付安全问题大量存在。由于人类记忆能力的限制,该字串不会太长。当前很多发卡行采用6位数字密码方式。可是仅6位数字的密码设计还是会有很多人记不住,容易泄露自己的密码设置,另外有一些违法犯纪份子,利用强大的计算机运算能力,通过违法乱纪的行为操作,大肆破获他人的密码,牟取他人财物,给网络电子商务的发展带来了极为严重的损害,造成了严重的社会负面影响。
2.网络病毒、木马问题
电子商务的发展以计算机网络为依托,电子支付的行为也必须借助相关的计算机网络,为牟取个人私利,部门违法者不惜以网络病毒、网络木马进行病毒式侵入,窃取相关网上银行的交易信息,破坏网络用户的账号和交易密码,通过一系列不合法行为获取他人财物信息,然后诱骗、牟取、盗用他人财物,严重损害了网上电子商务的交易与使用安全,造成了极为严重的负面影响。病毒破坏成为发展电子商务的面临的信息安全重大威胁。
3.钓鱼平台
钓鱼网站是欺诈性的网站,功击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信(邮件)。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗,受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。在钓鱼骗术中,很多第三方支付平台经常被无辜利用。常见的利用假淘宝链接,让用户付款,从而骗取用户资金。据中国反钓鱼网站联盟中心统计,截至2010年初,处理的钓鱼网站域名已累计八千多个。
(二)社会信用问题。
目前我国信用体系的发育程度还比较低,社会信用体系也不完善,信用心里不健康,通过网上开店进行欺诈的情况越来越多,信用问题一直是困扰网络用户进行网络交易的最大问题。电子商务必须以计算机网络进行交易的依托,而计算机网络的虚拟性是难以修改的,在虚幻的环境中进行交易本身就存在诸多的不确定性风险,容易造成安全的隐患问题。目前我国的网络电子商务交易市场中,对于网络的社会信用问题,还缺乏积极有效的处理,在网络交易中缺乏统一的信用认证机构,导致现行的电子支付行为缺乏更多更好的网络使用与交易安全保障,发展缓慢。
(三)电子支付的法律问题。
在当前我国电子商务快速应用与发展的同时,电子支付业务的发展也获得了相当大的提高,但是纵观电子商务在我国的发展历程,除了《中华人民共和国电子签名法》、《电子支付指引》两部法律外,与电子支付相关的专门立法还极为缺乏。很多方面都要急切的修正与完善,以体现当事人法律地位的平等,切实保护消费者利益。如今制约电子支付发展的立法问题主要包括:谁来发行电子货币;怎样监管网络银行业务;如何进行网络银行的资格认证等。这对于电子商务中电子支付业务的持续快速稳健发展具有极大的制约作用,需要政府相关部门进行积极的立法与完善的标准制定,以更好的维护电子支付的快速发展。
(四)电子支付的安全认证问题。
安全认证技术主要作用是进行信息认证,而信息认证是用来确认信息发送者身份并且验证信息的完整性。良好的规范的信息认证工作,能够有效的确认发送者的身份信息,并积极有效的保全信息的完整性与真实性,这些需要有效的第三方提供良好的确认与认证服务,而电子商务认证机构也就是在这种情况下产生的。目前,我国电子支付的安全认证机构比较混乱,阻碍了电子商务的进一步发展。
四、加强电子支付安全的建议及对策
(一)健全的法律保障体系。
必须积极有效的建立并健全相关电子支付的方面的法律法规,以持续稳定的推动电子支付的健康发展。《电子签名法》的出台,《合同法》里对电子合同法律效力的肯定,信息产业部出台了《电子认证服务管理办法》,中国电子商务行业协会推出了《网络交易平台服务规范》,这些大大鼓励了电子商务发展。但是电子商务领域,尤其是电子支付方面的立法还有很大的空白地带,比如电子支付的使用工具、相关设备、相关使用规则,如何对于这些机构进行控制与管理等等。这些都需要政府相关部门通过对相关法律法规的制定和实施,给电子支付的发展提供规范明确的法律环境。
(二)电子支付监督管理机制。
为积极有效的维护网络电子支付业务的健康发展与有效操作,建立健全完善的社会电子支付监督管理机制极为重要,具有重要的发展意义。对电子支付进行积极有效的监督管理,最主要的是针对银行等金融机构而言,他们有效的涉及了网络资金的流动与货币的转移,必要公开、公正的加强相关金融监管,有效维护网络交易中买卖双方的合法权益,加强法制监督,建立良好的第三方信用服务认证机构,全面系统、科学合理的对网络企业进行相关的资格评定和认证,对于网络消费者实现良好的购买实名认证,同时积极有效的强化第三方安全认证机构的监督与管理工作,建立以政府为背景跨部门(银行、工商管理、公安、税务等)监管体系,降低因欺诈等行为引起的支付风险。
(三)信用体系建设。
网络电子支付的相关操作与实现过程,涉及到了多方参与者,除了交易的双方,银行机构、第三方支付平台、工商等其他相关机构都被有效的涉及,在这个交易的循环中,只有大家都积极有效的维护诚信化的交易与操作,构建一个完整的信用体系,才能持续不断的推动网络电子支付的积极健康发展。但是长期以来,我国诚信体系很不完善,企业的信用评估和个人资信状况都不透明,交易双方对彼此都不确定,这极大的阻碍了电子支付的发展。因此,急需建立个人和企业的完善的诚信体系。目前,我国已经建立起了由人民银行负责的个人征信系统,并积极有效的呼吁社会各界进行社会诚信化建设,建立社会信用体系,让诚信深入人心,让诚信、信誉做为电子商务运营的立业之本,以更好的规范电子商务的健康发展,维护电子支付的交易安全,有效的维护网络交易的安全,包装相关消费者的合法权益。
(四)用多样化的电子支付手段。
网上支付已经超出了网上银行用户的比例,除了网上银行是目前国内最重要的网上支付渠道之外,还有其他的支付方式可以帮助用户完成网上购买。而第三方支付企业支付宝2006年11月就推出了“卡通”正说明了这点。第三方支付平台的出现与运营能够良好的规范网络交易中的信息认证工作,能够有效的确认发送者的身份信息,并积极有效的保全信息的完整性、真实性、安全性,它属于第三方的服务中介机构,在网络电子交易的过程中,能够妥善的完成第三方的担保与支付功能,具有极为重要的作用。第三方交易平台的出现,大大的降低了消费者网上购物的安全隐忧,有效的保护了付款人的利益与相关合法权益,对于我国网络电子商务的积极发展具有重要的推动作用,而且在网络经济的不断完善与发展,电子支付方式的应用与发展将会更多的丰富与完善,其支付所涉及的相关领域也会越加宽广,比如与人们生活息息相关的水电费缴纳、话费充值、网上购物支付等等都会大量的涉及网络电子支付,在未来电子支付将会极为普遍的融入进人们的生产与生活中。
五、结束语
伴随着电子货币的快速普及,电子支付已经成为新兴的发展领域。电子商务活动的积极运营,离不开电子支付的安全健康操作与实现,电子支付的顺利实现,离不开社会信用体系的建立与发展,要求建立良好的第三方支付平台,完善电子支付的法律法规制度,引入诚信的支付工具,通过这些安全措施积极有效的建立电子支付的安全交易环境,更好地维护电子商务中各利益主体的安全化操作与交易实现,让电子支付在不断前进的信息时代、网络时代健康快速的发展,走进千家万户。
参考文献:
[1]邵兵家.电子商务概论[M].北京:高等教育出版社,2006.
[2]李美.电子商务网上支付安全问题的探究[J].中国科技博览,2009,(28).
[3]刘东.浅谈电子商务的安全策略[J].商情,2009,(08).
一、“网络钓鱼”的诈骗手段
1.木马病毒窃取账户信息。将木马病毒植入持卡人电脑,窃取账户信息,进而盗取银行卡存款。2009年6月,中国湖南警方也破获了一起中国迄今为止最大的个人网银诈骗案。长沙人李强(化名)利用电子支付的网络安全漏洞,高科技手段,先后窃取市民银行资金40余万元。2007年12月,李强租用了一台网络服务器,并将“网银大盗”和“灰鸽子”程序下载到服务器上,用于接收信息、储存资料和远程控制他人电脑。感染“网银大盗”的电脑运行后,会自动截屏将市民的密码发送到他的服务器上,他再一一将其整理好,逐一盗取。在收缴的证据中,记者看到李强保存在U盘里的账户资料,有300多条个人信息,身份证号、账号、密码、手机号、余额等信息一应俱全。
2.模仿伪造网站。在“网络钓鱼”这一诈骗形式中,犯罪分子往往模仿伪造一些著名的购物网站为“诱饵”。有些钓鱼网站在用户支付时用一个价格更低的链接吸引用户,点击进去支付时会看到一个和正常支付页面完全一样的网页,一旦输入个人信息就会被黑客盗取。这些仿制的网页页面上完全一样,就是域名多一个字母或一个符号,而往往用户不会注意到这些细节。
3.将用户存款转入第三方。有的钓鱼行为将用户存款转入其在第三方支付工具下的帐户并提走。在“网络钓鱼”犯罪中,消费者与第三方支付平台成为了犯罪分子诈骗行为的共同受害者。无论是虚假网上银行地址的一时泛滥,还是木马程序的横行作乱,都表明人们在使用新金融支付体系时面临的安全问题正日益严峻。欺诈风险对整个电子支付产业最大的破坏不仅是金钱上的损失,而是对整个支付产业的信任与信誉的动摇和打击。如今的消费者并不仅仅担心欺诈事件,他们还担心有人会非法使用他们的个人信息。这些担心是真实存在的,也会很大程度上影响消费者的行为甚至是一个国家的金融秩序。
二、电子支付的安全手段
1.加密密钥。对于消费者来说,仅仅是动动鼠标,在键盘上输入几个数字,就完成了一笔电子支付。无论您使用哪家银行的网银,或者使用支付宝这样的第三方电子支付平台提供的服务,在支付宝交易数据的传输中,信息都受到加密密钥长度达128位的高强度加密,而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。
2.图形验证。有一些恶意程序是通过不断试算登录密码的方法来猜测网银用户的账户和密码,所以现在在所有银行的交易页面,您都可以看到一张图片,要求您输入图片上的数字和字母,这就是图形验证码,图形验证码通过只能由肉眼识别的异形图文对登录进行再次验证,有效防止非法程序读取信息。
3.数字签名。由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,采用协议的方式来实现重要信息在Internet上的传输安全控制,是网络银行安全策略中重要的一环。
三、保障电子支付安全的手段
国内个人支付业务发展潜力巨大,保障电子支付安全是市场发展的迫切需要。
1.发展电子支付安全技术
对于电子支付监管和运营部门,降低新金融风险的第一点是要建设在线安全的支付平台。如何实现安全的在线清算,如何完成运行过程中的业务监督,作为对这种信息安全风险的控制是非常重要的。同时,在我们国家,并不是单纯建一个在线安全支付平台就完成了所有的任务,对于监管方,还要做好这个平台建设以后的信息安全的风险评估。所以,对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要。在这个运行过程中如何采用一种安全的认证,一种安全的签名,一种抗抵赖的机制,一种强审计的保证,以及传输过程、防泄露和加密是金融安全认证机构的头等大事。
2.从法规和政策上予以扶持
对于中国这样一个庞大的用户市场,电子支付已经深入到我们生活的各个方面,由于涉及到金融体系,涉及到资金安全,这一行业还需要国家从法规和政策方面予以认可和规范。目前我们在这方面还处在政策法规缺失、安全保护制度不健全的状态。这也是电子支付能否健康发展的最大挑战。
3.加强行业监管
由于缺乏必要的法律约束,一些第三方支付企业利用沉淀资金进行投资获取利益。一旦投资出现巨额亏损,势必损害社会公众的利益,影响社会稳定。应加强电子商务行业的监管,规范市场主体行为。首先需要加强对网络银行的监管。网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次银行由于与第三方支付行业紧密相连,两者除共同加强自身的审核和监管外,需要加强信息互通,并联合升级支付。
4.消费要提高安全意识
消费者应加强电子支付安全意识,学习相关的电子商务知识,不给犯罪分子可乘之机。消费者在电子商务网站交易过程中,应该加强对个人信息的保护,包括个人联系方式、身份证号码、银行卡信息等,尤其在进行网络支付操作时,一定要确认在线支付网站的真实性,不要通过不熟悉的网页进行在线支付。
参考文献:
[1] 李顺东: 适用于数字对象的保密比较协议[J]. 陕西师范大学学报(自然科学版), 2010, (01) :1-4
跟着现代计算机网络技术以及信息技术的飞速发展,电子商务患上到了愈来愈广泛的利用,愈来愈多的企业以及个人用户依赖于电子商务的高效以及快捷而进行着各种商务流动。电子商务顺利展开的核心以及症结问题是保证交易的安全性,这是网上交易的基础。电子商务是以计算机以及开放的网络为基础载体的,大量首要的身份信息、金融信息、交易信息都需要在网长进行电子的传输,电子商务安全支付问题成为大家共同关切的问题。伴同着各种挪动终端以及无线网络的不断发展以及完美,挪动支付在不但是1个首要的机遇,同时也带来了1个重大的挑战。
二电子商务及信息安全现状
最近几年来,电子商务开始了蓬勃地发展,但电子商务安全隐患严重地影响了电子商务的进行。信息安全问题成为制约我国电子商务发展的首要因素仍是,因而,必需从技术上为电子商务交易流动提供秘要性、完全性、真实性以及抗抵赖性等安全保障。咱们将从电子商务以及信息安全两个方面分别进行讨论。
二.一 电子商务发展示状
根据国家互联网中心(CNNIC)的最新讲演,二0一三年网络购物市场继续快速向前发展,交易金额到达一.八五万亿元,较二0一二年增长四0.九%。二0一三年网络零售市场交易总额占社会消费品零售总额的七.九%。
截至二0一三年一二月,我国网络购物用户范围到达三.0二亿,较上年增添五九八七万,增长率为二四.七%,使用率从四二.九%晋升至四八.九%。网购用户范围的快速扩张为网购市场的发展奠定优良的用户基础,释放着巨大的市场潜力。
二.二 信息安全现状
最近几年来,尽管安全软件逐步普及、防范能力不断加强,但新的病毒、欺骗手腕以及骚扰手腕不断涌现,安全软件防范难度加大,安全事件产生几率依然较高。总体上来说,我国信息安全环境仍不容乐观,有七四.一%的网民在过去半年内遇到过安全事件,总人数达四.三八亿。
电脑网上购物产生安全问题的网民数占总体电脑上网人数的四.0%,影响人口达二0一0.六万人。电脑网上购物产生安全事故较多的是遇到欺诈信息,在网购安全事故产生人群中的产生比例达七五.0%;其次为假冒网站/欺骗网站,比例为六0.七%;其它方面,个人信息泄漏比例达四二.九%、账号密码被盗比例达二三.八%、中病毒以及木马的情况为二二.六%。
网购时产生这些安全事件,不但给购物者造成损失,同时也影响电子商务的健康发展。
三电子支付安全
在电子商务的交易完成后,如何保证交易的任何1方没法否认已经产生的交易。这些安全问题将在很大程度上限制电子商务的进1步发展,因而如何保证Internet 网上信息传输的安全,已经成为发展电子商务的首要环节。电子支付触及到大量资金流的转移和个人隐私或者商业秘要,而这类支付是产生在开放性程度无比高的互联网上,必需从技术上为电子商务交易流动提供秘要性、完全性、真实性以及抗抵赖性等安全保降。因而,要对于网上安全电子支付提出下列的请求:
(一)交易数据的保密性。保密性是网络信息不被泄漏给非授权的用户、实体或者进程,或者供其应用的特性。即,避免信息泄露给非授权个人或者实体,信息只为授权用户使用的特性。电子支付进程主要处理与金融数据相关的信息, 数据处理量大,且每一笔数据都会影响到必定的经济利益,因而,交易进程中发生的与支付有关的数据应当被严格保密, 除了交易双方和被授权第3方外,必需维护支付交易的私密性,同时要避免信息被越权走访。
(二)交易数据的完全性。完全性是网络信息未经授权不能进行扭转的特性。即网络信息在存储或者传输进程中维持不被偶然或者蓄意地删除了、修改、捏造、乱序、重放、插入等破坏以及丢失的特性。交易数据在网络上传输进程中的完全性以及有效性,即发送方发出的数据与接管方收到数据应当是相同的、未经更改的。
(三)交易数据的不可抵赖性。不可抵赖性也称作不可否认性,在网络信息系统的信息交互进程中,确信介入者的真实同1性。即,所有介入者都不可能否认或者抵赖曾经经完成的操作以及许诺。应用信息源证据可以避免发信方不真实地否认已经发送信息,应用递交接管证据可以避免收信方事后否认已经经接管的信息。
电子商务交易进程是双方或者者是多方的,其中1方抵赖自己的交易都会给另外一方带来利益损失,因而必需保证交易双方在交易后都没法否认以及抵赖。
四电子商务支付安全中主流技术
电子支付中交易信息的安全在很大程度上依赖于网络信息安全技术的完美,电子商务安全是信息安全的上层利用, 它包含的技术规模比较广, 主要分为数据加密技术以及身份认证技术两大类。
四.一数据加密技术
加密技术是保证电子商务中采取的主要安全措施, 交易双方可依据需要在信息交流阶段使用。在1个加密进程中有两个基本元素: 算法以及密钥。加密进程就是依据必定的算法, 将可理解的数据(明文) 与1串数字( 密钥) 相结合, 从而发生不可理解的密文的进程, 主要加密技术是对于称密文加密以及非对于称加密
(一)对于称密文加密。对于称密钥加密又称为秘密密钥加密, 即收发双方采取相同的密钥来进行加密以及解密, 对于称密钥加密的最大优点是加解密速度快, 合适于进行大量数据加密, 但也存在密钥管理、难题和没法进行身份鉴别的缺陷。
(二)非对于称密钥加密。非对于称密钥加密也称为公然密钥加密, 每一个用户有1对于密钥:1个用于加密, 1个用于解密, 两把密钥其实是两个很大的质数, 加解密进程。其中, 加密密钥(公钥) 可以在网络服务器、报刊等场合公然, 而解密密钥(私钥) 则属用户的私有密钥, 由公然的加密密钥导出私有的解密密钥在技术上是不可实现的。与对于称密钥加密相比, 采取非对于称密钥加密方式密钥管理较利便, 且保密性比较强, 但加解密实现速度比较慢, 不合用于通讯负荷较重的利用。 数据加密技术是信息安全的基础,加密的主要目的是避免信息的非授权泄漏、保证交易信息的保密性、完全性以及不可抵赖性的请求。
四.二主流身份认证方式
身份认证技术是指计算机及网络系统确认操作者身份的进程所利用的技术手腕。如何保证以数字身份进行操作的操作者就是这个数字身份合法具有者,也就是说保证操作者的物理身份与数字身份相对于应。
(一)用户名口令。针对于窃取密码的歹意软件愈来愈多
(二)动态口令。动态口令也称动态密码,是依据专门的算法每一隔必定时间生成1个与时间相干的随秘要码。用户进行认证时候,除了输入账号以及静态口令以外,必需请求输入动态口令。通过“动态密码”登录的用户没有电子签名,这样也就没有拥有法律效率的认证材料。因而,“动态密码”它只合用于金额小的交易,对于于金额大、使用频繁的用户,其安全性存在必定的风险。
(三)数字证书。数字证书是由权威公正的第3方机构(即CA中心)签发的证书。它的加密技术可以对于网络上传输的信息进行加密以及解密、数字签名以及签名验证,确保网上传递信息的秘要性、完全性。为解决这些Internet 的安全问题,世界各国对于其进行了多年的钻研,初步构成了1套完 整的Internet 安全解决方案,即被广泛采取的PKI 技术(Public Key Infrastructure-公钥基础设施)。公钥基础设施PKI是1种遵循标准的应用公钥加密技术为电子商务的展开提供1套安全基础平台的技术以及规范。采取基于PKI 结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完全性,签名保证身份的真实性以及抗抵赖。
(四)生物特征
辨认。生物辨认技术主要是指通过人类生物特征进行身份认证的1种技术。因为人的生物特征拥有独一性以及不乱性的特色,并且可随身携带、不容易被盗、不容易被捏造、不容易丢失,所以生物特征辨认成为目前最安全的身份认证技术。然而,生物特征辨认通常需要昂贵的专用装备、受使用环境限制等缺陷,在电子支付中较少采取。 每一1种身份认证方式都有其优势也存在必定的局限性。动态密码以利便便捷且与平台无关性,通过电脑、手机、IPAD均可以使用等优点在网银、网游、电信领域成为电子支付首要的身份认证方式,主流发生情势有手机短信、硬件令牌、手机令牌等。基于数字证书的身份认证是电子支付中最安全解决方案。然而,需要专用的硬件以及客户支撑,使用不如动态密码利便快捷,1般用于大额电子交易。
五电子商务发展趋势
根据CNNIC讲演,二0一四年电子商务类利用总体行业发展态势优良,手机支付是亮点。跟着线上与线下渠道的买通及多类挪动利用的服务带动,手机支付出现暴发式增长,手机网上支付、手机网络购物、手机网上银行以及手机网上预订利用网民范围年增长速度均超过一00%。手机网络购物在挪动端商务市场发展迅速,用户范围到达一.四四亿,使用率从一三.二%晋升到二八.九%。
截至二0一四年六月,我国手机网民范围达五.二七亿,较二0一三年底增添二六九九万人,网民中使用手机上网的人群占比进1步晋升,由二0一三年的八一.0%晋升至八三.四%,手机网民范围首次超出传统PC网民范围。
跟着挪动电子商务的普及以及发展,挪动支付业务遭到了愈来愈多的关注,而其安全性更是成为群众关注的焦点。因为挪动终端种类复杂、使用环境也更加繁杂、基于数字证书的身份认证以及数字签名技术兼容性以及成熟度远不及PC平台,并且挪动终端自身的安全性问题也给动态口令等身份认证方式带来了新的安全问题以及挑战。
[关键词] 电子商务 第三方支付 安全性
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式――第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈――网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。
那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。
近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。
实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。
在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。
作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。
为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。
央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。
实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。
值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。
关键词:电子商务 网络支付 体系研究
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)10-0205-01
作为现代新型网络化经济交易活动,电子商务技术的发展与应用从一定意义上带动了现代商业的发展。由于网络的开放性与大众性,使得网络支付面临着来自黑客、病毒等一些恶意的攻击与威胁,对支付环境形成一些不安全因素,威胁着人民与国家的财产安全。因此,研究如何加强网络支付安全环境与体系,对于我国电子商务的健康发展具有深远的意义。
1 电子商务网络支付的概念
网络支付是由电子商务支付平台来完成,所谓电子商务支付平台,即消费者在网上进行资金相关活动时,由商家利用连接器将用户与各大银行建立连接关系,以此实现用户与银行间的资金流动,从而完成交易。通常情况下,支付平台服务器的选择可根据具体的服务对象进行具体选择,对于支付平台来说,差错处理、资金结算使其最基本的功能所在;对于银行来说,支付交易、转账和清算是其功能的体现。实际应用中,常见的电子商务支付平台有第三方支付企业、国内电子商务的交易平台延伸出的在线支付工具、国家银行阵营以及以运营商为代表的诸多移动支付企业。
2 电子商务网络支付安全特性
2.1 安全有效性
由于电子商务是以电子形式存在,没有约束性的纸面文件,在此情况下,开展E时代则成为电子商务贸易信息的有效性和安全性的最终目的,作为现代贸易的一种新形式,电子商务信息的有效性和安全性对企业与个人甚至国家的的经济利益与声誉有着直接的联系,因此,要想保证电子商务在操作过程中信息数据的有效性与安全性,必须对要对网络故障、操作错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以此保证客户的自身利益与个人隐私。
2.2 安全机密性
作为新时代的一种贸易手段,电子商务以其较高的安全机密性对个人、企业和国家等使用客户所负责,在新时代的发展背景下,互联网作为电子商务任务操作最基本的依据,其环境安全与否直接影响着电子商务的运营质量与安全,因此,做好商业机密维护,预防信息存取与传输过程被非法窃取,是全面推广电子商务安全发展的有力保障。
2.3 安全完整性
为提高系统安全性,对于电子商务而言,其最常用的技术是通过简化交易过程来减少和预防人为性的恶意干预,这就对维护贸易各方的商业信息的完整性与统一性带来了严峻的考验,在新时代的发展背景下,由于数据输入时的意外差错或欺诈行为而导致的贸易各方信息出现差异,对电子商务信息的完整性带来严重的不利,因此,电子商务在操作过程中应予以重视。
3 电子商务网络支付安全影响因素
3.1 网络技术应用漏洞
就我国电子商务应用现状而言,其系统在操作过程中或多或少的存在一些安全漏洞,在互联网技术快速发展的当下,对所存在的安全漏洞如果没有及时进行修补(如系统升级和日常维护等),一旦遭到攻击,轻则泄露系统信息,重则导致系统瘫痪,无法正常工作,并完全失去抵抗能力,形成一种恶性循环,最终造成无法弥补的损失。除此之外,现代操作系统以无口令入口为系统开发人员提供便捷入口,但也同时为骇客提供了方便,使其更加容易的入侵系统。由于大多操作系统中均包含了各种常见的通用服务供用户使用,如网络中的磁盘共享、网络服务器访问、电子邮件、远程登录、文件传输等,因此也都为网络骇客提供了入侵途径。
3.2 网络病毒
随着网络技术的发展,网络病毒的传播逐渐发展为以电子邮件、压缩文件等电子资料为载体的形式,特别是病毒种类多样化的现代,其破坏性与传染速度不断提高,不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快。
3.3 网络骇客
在新的时展背景下,网络骇客已经发展为一种现代化“职业”,他们是以蓄意破坏为目的,专门对计算机和电话系统进行人为操控或病毒破模以此谋取自身所需利益,从而对他人造成一定的损失。
4 提高电子商务网络支付安全性能的措施
4.1 严格保障系统可靠性
系统的可靠性是指系统能够全天候运行,强调一个不停机系统。为保证这一点,除了选择好主机系统的硬件平台外,必要时还要运用容错和多机备份技术。对系统在联网运行的同时进行通信线路冗余备份。
4.2 抓好安全管理工作
以思想上的重视对电子商务信息安全提供保障,同时做到管理思想和安全意识落实到位;以完善的管理制度提高电子商务安全管理的执行力度,成立专门的安监部门,配备专业的管理人员和技术设施,使投入与所需要的安全功能相适应。
4.3 利用安全支付协议
(1)实现信息的保密性。为实现网上交易,卖方和银行必须使顾客相信他们提供的银行卡信息受到保护,只有特定的被授权者才能看到,必须保证结算卡账户和结算信息在网络上传输时得到安全措施的保护,防止银行卡号、密码和交易日期等在网上传输时被他人截获;(2)保证身份认证的准确完成和交易数据的准确。无论实现网上的任何交易,都必须事前确定各方的真实身份。这一切都可以通过数字证书和认证中心来完成,同时需要安全支付协议的支持。
5 结语
总之,世界是千变万化的,问题是层出不穷的,答案是丰富多彩的,任何现在先进的科学技术都会随着时代的发展而显得落后,无法满足社会发展的需求。对于电子商务,这就需要我们在实际工作中不断探索,不断研究,以技术的更新时刻保证系统的先进性与安全性,促使我国电子商务事业的健康顺利发展,为人们提供一个安全的网络支付环境。
参考文献
[1]谭汉元.电子商务网络安全支付问题浅析[J].电子商务,2011(01):102-103.
[2]吴天阳.电子商务环境下用户数据的安全管理研究[J].中国商贸,2014(03):56-57.
1 PKI系统概念
PKI(Public Key Infrastructure)是一个管理平台,它能够按照一个特定的标准执行管理密钥功能,它可以将密码服务提供给网络应用,包括加密以及数字签名等服务,同时,它还能提供网络应用必不可少的证书管理体系以及密钥。也就是说,PKI是一个基于公钥理论以及技术的基础设施,它能够提供安全服务。对于安全性极其重要的电子商务来说,PKI技术是关键的技术也是核心的技术。PKI又称公开密钥体系。
非对称加密算法被应用于PKI技术的密码体质中。非对称加密算法包含了公开密钥(Public Key) 以及私有密钥(Private Key)。私有密钥和公开密钥相辅相成,应用其中一个密钥加密数据,就必须利用对应的另一个密钥才能解密。这样由于加解密所使用的密钥不同的算法就被称为非对称加密算法。当甲方生成密钥并公开当中一个密钥于大众,乙方利用得到的公众密钥将秘密信息加密后发还给甲方,甲方利用自己持有的另一个专用的对应密钥解密加密过的信息。甲方只能对自己生成的公众密钥所加密过的信息进行解密,并且只能用专用的对应密钥。
2 PKI 系统的体系结构
数字证书库、证书作废系统、密钥备份及恢复系统、应用接口(API)以及权威认证机构(CA)等基础部分构成了PKI系统的整体。
2.1 认证机构
PKI系统的中枢,处理数字证书的申请并签发数字证书,CA所具有的特点是权威性。绝大多数情况下,CA不单独使用,而是结合用户注册管理系统(Registration Authority,RA)来应用于实际情况中。
CA和用户的接口构成了RA注册机构,CA签发证书就是根据RA得到的用户信息来实现的。用户在RA注册并提交自己的个人基本信息,经由RA的认定后生成用户惟一的标志,并将其传送给CA得到此用户独一无二的合法数字证书。
2.2 数字证书库
存放了公共密钥以及已经签发的数字证书,用户亦可在这里得到需要的公钥和证书。
2.3 密钥的备份以及恢复密钥的系统
当用户不慎将解密的专用密钥丢失,无法对合法数据进行解密,将导致数据丢失。为解决这种事件,PKI必须具备恢复以及备份密钥的功能。但是,着重注意的是一定要经由可信机构进行密钥的恢复及备份。同时,只能够对解密密钥进行恢复或者备份,为保护签名私钥的惟一性,将不对其进行备份。
2.4 证书作废处理系统
PKI系统必备组成之一就是证书作废系统。同生活中所需要的各类证件一致,由于变更用户身份信息或者密钥介质弄丢等原因,在有效期限内,也可能需要对证书进行作废处理。PKI的证书作废系统就是为了解决这一问题而存在的机制。
2.5 应用接口
只有PKI系统提供一个良好的API系统,才能为用户提供更好的数字签名及加密等安全服务,使得各类应用与PKI互动是通过可信、安全、一致的方法进行的,保证了网络环境的安全性、简单性、完整性。
一般情况下,签发证书的机构是PKI技术的核心,即CA。PKI中的基本设施都是利用证书来管理公钥,经由CA中心将用户的基本信息和公钥粘合在一起,通过Internet网络对用户身份进行验证。公钥密码和对称密码被PKI的基础设施捆绑起来,能够自动管理Internet网络上的密钥,使得网络数据能够以安全的方式传输。
3 电子支付交易流程
对于电子商务,交易流程完整需要各方对象共同合作完成,例如买家、卖家、各个银行以及连接银行网络与internet的服务器等,同时这些对象必须通过数字认证,就是通常说的CA(Certification Authority)认证。
对于数字认证证书其包含了两方面的信息,即证书持有者以及证书显示的CA信息,因此具有两方面的功能,不仅可以加密信息也可以对信息进行签名,保障了交易过程中信息传输的真实性和隐蔽性,能够完整地进行信息的传送[1]。CA作为保障交易安全的第三方平台,可以公平、客观的为各对象提供交易信息的认证服务。图1中具体展示了交易流程中的交易对象和交易过程。
4 电子支付的安全设计
4.1 数据的私有安全性设计
在交易过程中,采取特殊的措施加强保护是非常重要的,这样才能避免数据在开放的Internet环境中被监听或者盗取。虽然交易过程中数据传输的途径很多,并且数据的信息量很大,信息被监视或者盗取的可能性很小,但是也不能忽视了强大的黑客技术,例如一些黑客可能会在主服务器程序中设置障碍从而盗取信息。盗取泄露金钱交易过程中的银行账户、信用卡信息以及相应的密码等。因为Internet是一个开放的网络环境,因此除了考虑其秘密性和交易的安全性,还要考虑其交易依据的设备安全,对于WWW服务器上的所有信息都要采取一定的措施进行保护[2]。
在整个合作流程中,买卖双方都需要对对方进行认证,从身份、账单、订单到最终确认订单都要一一认证,在付款时保证卖方看不到买方的银行或者信用卡信息,即对这些信息进行Hash 编码加密,这就是所说的双重签名保障。买方依据私钥再次进行加密,创建一个数据签名。将两份资料都发给对方,然后对方通过合作对象提供的密码进行解密,将收到的信息通过Hash 编码进行加密,最后将解密文件和摘要与交易对象提供的加密数据进行对比,如果信息一致则说明数据在传输过程中式安全的,不一样的话则说明信息被盗取修改了。
4.2 数据的完整性安全设计
因为Internet是一个开放的网络系统,因此掌握相关网络技能的入侵者可能会盗取或者破坏传送信息,导致信息不能完整传送。所以为了保证信息的传输安全,设定一定的访问权限是非常有必要的[3]。在整个的电子交易过程中一定要保留信息的原始内容和形式。对此的保护可以通过在买方确定订单或者账单支付阶段制定保护措施来实现,卖方向买家发出收款申请,此过程需要提供卖方和银行的彼此身份认 证资料。保证只有买卖双方知道账单信息,只有买方和银行知道账户信息,在支付的时候需要提供数字认证才能支付,后期如果出现支付纠纷也能够提供足够的证据来此交易的完成。同时银行还会向确认单发起数字认证,保护信息的绝对安全。其中确认订单信息中包含交易号码、发票数字、付款金额以及是否付款成功等信息。
4.3 身份认证安全设计
要想保证电子商务交易的顺利进行和长期的发展,保证各环节的合法性是其前提基础。通常由IP地址确定网络中的相关计算机的身份信息,但是一些技能高超的电脑黑客可以通过设置不正确的IP地址,发送匿名邮件,从而达到自己的目的:隐藏自己、欺骗他人,扰乱整个电子商务流程。所以为了保证其交易的安全,必须要建立身份识别系统,对各方身份进行严格的认证,保证交易各对象提供真实的身份信息,对此认证我们可以采用 CCITTX.509数字认证技术。
5 系统组成及功能设计
依据电子商务的操作对象和操作过程,可以把电子交易的整个体制分为下面几个部分:客户和商家子系统、支付网关子和数字认证中心子系统。图2中具体展示了其系统组成。
5.1 客户子系统
其内容包含买卖双方的身份双向验证,买方确定订单及账单信息,并对双方往来信息进行加密。另外保证支付过程的信息安全,通过商业银行第三方交易平台进行付款,并产生交易证明的交易号、付款金额和交易状态等信息。
5.2 商家子系统
其内容包含包含买卖双方的身份双向验证,卖家确定买家的订单信息并且生成账单,并对双方往来信息进行加密。另外保证交易过程的信息安全,对买方的付款信息进行验证审核验证。
5.3 支付网关子系统
所谓的支付网关子体制就是一套设备,用来保证银行的正常运行,并对交易过程中的各种付款信息做出正确的回复。整个体制在技术方面就是具有IF3M 特性,保证了交易的安全,此体制在交易安全方面有三个特点:
(1) 具有国际性的set标准,具备其要求的安全性能,其安全性能在全球所有的电子商务系统中是比较高的;
(2) 不仅支持国际信用卡,还可以使用国内的储蓄卡和信用卡,满足了中国人民的需求,具有中国特征;
(3) 开放性好,能够与SETCO认证的所有电子交易体制进行合作。
5.4 数字证书授权与认证子系统
对于卖家公钥,买家可以从公共资源上获取,但是无法确定卖家的真实性,所以卖家的调查认证则有CA完成,然后将获取的卖家公钥传送给买家,当然卖家也会对买家做同样的工作。这个电子支付系统CA验证的主要特征包含:对注册请求进行接收、处理然后批准最后颁发相关验证证明。