关键词:
国内网购交易额呈数十倍增长,随之而生的电子支付用户量亦同样不断翻倍。电子支付能帮助企业提高核心竞争力,并最终推动整个社会资金效率的提升。网上银行、手机银行的“账号+密码”登录形式成为网上银行客户端的最薄弱环节,成为黑客盗取网上银行用户资金的主要突破口。目前大多电子支付平台已经连同各大银行机构部署了三个层次的防御,即网上银行交易系统的安全、用户的身份识别和CA认证和数字签名等加密协议。
一、一般性的安全措施防御
银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:
1、设立防火墙,隔离相关网络
一般采用多重防火墙方案。其作用有二:
·分隔互联网与交易服务器,防止互联网用户的非法入侵。
·用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
2、高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
3、二十四小时实时安全监控
随着支付安全技术的发展,智能风险实时监控也被越来越广泛地应用。风险控制系统会对每笔交易进行过滤,保障用户的安全,支付公司一定要从不同的环节,从应用和用户业务层面去捕捉漏洞,这比仅仅在技术底层捕捉漏洞更加重要。比如龚某接到了自称是税务部门工作人员的电话,说要给他退税,请他提供个人信息。没有及时识破骗子的把戏,最终银行卡上的4万元被龚先生稀里糊涂地汇出,汇到了骗子的快钱账户中。然而,快钱对于大额资金往来有严密的实时监控,他们很快发现龚先生的银行账号出现了异地大额交易等特殊情况,于是第一时间给龚先生打了电话确认,在得知龚先生受骗后,快钱随即将相关资金冻结。
如果支付宝发现一个账户先在北京登录,10分钟后又在上海登录使用,那也会马上给你打电话核实。风险实时监控系统会通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的或有风险的操作行为,根据风险级别不同进行不同的处理。同时辅助人工核查,最大限度防控网上支付风险。
二、用户的身份识别和CA认证
网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。
数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
在这些技术手段之外,还有监管部门这只看不见的“大手”来保护用户的支付安全,光大银行在全国22个城市启动了网络缴费金融服务平台,光大银行规划与风险管理处负责人张晓红表示,监管机构对网上银行业务有包括多因素双信道等诸多要求在内的一整套技术要求来确保安全,而在第三方支付平台方面,目前各家也主要参照监管部门对银行的要求进行安全风险控制,而随着央行《支付清算组织管理办法》的出台,对第三方支付平台的安全要求还将进一步加强。
三、数字签名等加密协议进一步保障了支付安全
SSL是国际上最早应用于电子商务的一种网络安全协议。它最初是由网景公司设计开发,其目的主要是提高应用程序之间的数据的安全性。该协议涉及所有的TCP/IP应用程序,主要提供以下方面的服务:确信数据将被发送到正确的客户机和服务器上;对被传送的数据进行加密;在传输的过程中维护数据的完整性。
但是,SSL协议是在互连网电子商务初期阶段发展起来的,它的基点是商家对客户信息保密的承诺,因此有利于商家而不利于客户,其最大的缺点是客户资料的不安全性。而且,SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,而且,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系,因此,为了实现更加完善的电子交易,MasterCard和Visa以及其它一些业界厂商制订并发布了SET协议。
SET(安全电子交易)协议的出现克服了SSL协议的缺陷,对商家和客户两方面的数据安全都给与了充分的考虑。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
目前,在SSL协议及SET协议之上,不同实力的第三方支付企业亦选择了实力雄厚的技术伙伴。以环迅支付为例,其于年前就与上海迅通科技有限公司达成协议,成为战略合作伙伴关系,而上海迅通科技有限公司是GeoTrust中国地区的分销商,全球著名认证中心VeriSign的全资子公司,为国内诸多的银行及电子商务网站提供SSL证书服务。目前全球已经有150多个国家,超过10万家企业正在使用GeoTrust数字证书,这也将最终成为环迅树立支付行业技术壁垒的最大资本。
参考文献:
[1]周晓.第三方支付主体的法律性质的思考[J].电子商务,2010,(02):47-49
[2]王开宇.电子支付:跨越“三重门”[J].中国计算机用户,2010,(Z2):21
【关键词】电子支付;网络安全;问题;对策
电子支付的出现,极大的便利了人们的工作与生活,因此依托网络,进行安全的电子支付工作,是当前人们关注的焦点问题。
1电子支付网络安全概述
1.1电子支付概述
电子支付是人们进行电子商务、日常生活消费的一个关键环节,其主要指的是电子交易的当事人,例如:消费者、商家、金融机构,这三者之间,通过网络电子支付的手段,对货币、资金进行的流通,进而实现支付的一种形式[1]。
1.2电子支付带来的网络安全概述
目前电子支付带来的安全隐患,主要包括技术层面、非技术层面两个方面。技术层面的安全隐患主要是:对于具有电子支付功能的计算机系统,进行的静态数据攻击(口令猜测、IP地址的欺骗、制定路由进行信息的发送),以及动态数据攻击(主动对其数据进行攻击、攻击者对于资金信息进行监控,进而被动的信息破坏),如图1所示。非技术层面的安全隐患主要是:网络交易支付款项存在着较多的安全风险,且未及时加强监督管理;基于网络的电子交易缺乏完善的法律体系,进行支付安全的保护
2基于电子支付时代下的网络安全问题以及改进对策分析
目前电子支付下网络安全问题频发,给人们的财产安全带来了隐患,本文以第三电子支付平台-支付宝、微信支付为例,分析了当前形势下的网络支付安全对策。支付宝是我国目前最受欢迎的电子支付形式之一,它可以为资金交易的双方提供代收、代付的中介服务,以及资金交易的第三方担保服务。微信支付,其是基于微信开放平台,发出支付申请的。
2.1密码保护
在现有的支付模式下,无论是支付宝电子支付、微信平台支付,还是其他的借记卡交易方式,都需要用户对其设置密码,保障资金的安全,因此加强用户的密码保护,可有效的规避支付中的安全问题。在电子支付的环境下,用户成功与商家进行资金交易的关键,就是密码的输入,因此可以使用数字签名的方法,进行网络支付。我国的银行机构,目前多使用了RAS算法,进行数字签名保护的。用户可以向银行提出申请,之后银行可以对用户发放一个数字证书,证书中包含着用户的个人信息,其在进行电子支付时,通过证书,可以向银行发送一个签名。比对一致后,银行可以根据客户的要求,进行网络电子支付。支付宝的款项支付也是如此,用户依托网络进行支付宝资金交易时,可以将需要支付的款项,从银行卡支付到第三方平台中去,由其代为保管,之后客户收到商家的货物且满意之后,可以通过支付宝账号,发出支付的指令,将货款支付给商家。微信支付,使用的B2C即时到账的接口,发出支付请求的,其还可以进行线下的POS机支付,即就是微POS。本地的生活服务商家,通过服务端口,输入相应的支付金额之后,就会生成二维码,用户使用微信扫码,即可进入支付页面,之后输入自己的密码,即可进行款项的支付。因此通过这样的数字签名的形式,极大的保证了用户电子支付的安全性.
2.2病毒预防保护
用户在进行网络电子支付时,常会遇到盗窃用户银行网银/支付宝账户/微信支付账户密码的行为。攻击者利用木马病毒,对用户的计算机系统进行攻击,使其能够对用户的访问页面、个人网银登录界面、微信登录界面、输入银行账号/支付宝账号/微信支付账号、输入的支付密码,进行监视,进而通过技术手段,伪造出相应的登录界面,诱骗用户在含有木马病毒的页面进行相应支付信息的输入,之后将其个人信息窃取。针对此种情况,用户需要对计算机系统加强病毒的预防维护。在计算机中可以安装病毒查杀应用软件,及时更新系统。在应用聊天工具时,如果接收到陌生信息或者邮件、网页时,切忌点开,或者是与发送方核对无误后,再进行点击处理。用户尽量不要在公共电脑上,打开个人的支付登录界面,或者是登入,避免公共电脑中病毒,对于用户支付宝/微信支付账户的入侵攻击。针对手机支付宝用户,其在接到陌生支付信息、电话时,要保持警惕,避免登入钓鱼网站,造成个人支付信息的泄露,给资金的使用造成安全隐患。
2.3法律保护
针对第三方交易平台中,存在的诸种资金使用问题,我国虽然采取了一些相应的法律规范条文,但是由于其在具体的使用中,依靠的是用户对于平台的信赖,以及用户与该平台之间的约定,来进行业务处理的,因此在很多方面,用户的个人资金权益,一旦遭遇到信任危机或是其他的问题,用户的个人权益,很难得到法律的保护。第三方平台,对于用户的大量资金代为监管,存在着资金被挪用、资金利息计算等问题,这些问题缺乏相关的法律保护,将会对用户的财产安全造成危害。例如支付宝,其主营业务是用户网络交易资金的代收、代管、代付,用户在使用资金的代管功能时,与该网站达成了以下的协议:用户可以向本平台,支付一定的资金,并且可以委托本平台对其资金进行保管。使用代付功能时,约定:用户可以要求本平台,使用存入的资金,对其交易项目,进行支付,如果是非经法律程序,以及非由于本条款约定事宜的交易,该项支付形式,不可逆转。这些协议,虽然符合当前用户、第三方支付的现状,但是从法律的角度来讲是存在着缺陷的。微信支付中,存在着未按照法律的相关要求,与用户签署相关的协议,也没有对安全验证的有效性,进行规定,其存在着交易金额超额准许的情况。因此针对上述问题,需立法部门及时制定相应的法律规范,对第三方支付平台进行有效的约束。此外,基于我国目前的电子支付形式,还缺乏一套较为完善的安全认证体系。
3结束语
在当今社会,电子支付给人们的工作、生活带来了便利,但是与此同时也带来了网络支付安全问题,因此需要支付平台、银行等各个机构以及用户,对电子支付的安全问题加强关注,及时找出改进对策,加以改进,避免安全问题出现。
参考文献
[1]刘剑.电子支付及其网络安全研究与实现[D].天津工业大学,2005.
【关键词】电子商务 电子资金支付 安全需求
【中图分类号】TP399 【文献标识码】A 【文章编号】1674-4810(2013)31-0196-02
随着平板电脑、智能手机的广泛应用与迅猛普及,电子商务以其便利、便宜、多样化等优点,已成人们最主流的消费方式。电子商务刚出现时,只能浏览商品和下订单,不能在线支付,付款则通过传统的支付方式完成。不方便的传统支付方式成了电子商务发展的瓶颈,方便快捷的支付方式——电子资金支付应运而生。电子资金支付形式的出现,虽促进了电子商务的发展,但同时也引发了资金支付安全、买卖双方身份认证、电子文件认证以及监管等一系列问题。如何确保个人资金的安全、个人信息的安全,已经成为人们最为关注的问题。
一 电子资金支付的安全需求分析
Internet不受时空、地域的限制,是一个开放性的互联网络,电子资金支付基本上是暴露在所有人面前。要想保证电子资金支付的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。目前电子资金支付的安全需求主要有:
1.电子资金支付机密性
电子资金支付机密性主要指非法用户不得访问未经授权的数据,以免数据失密。主要分为数据存储机密性和数据网络传输的机密性。阻止非法者以非法手段窃取数据或者对传输数据进行窃听、侦听等,防止机密数据被破译。
2.电子资金支付完整性
电子资金支付完整性是指未经授权的用户不得对数据进行修改,确保数据处于未受破坏的原始的完整状态。主要分为数据存储完整性和数据网络传输的完整性。不允许非法用户对支付信息进行篡改、删除或者插入;保证数据传输过程中支付信息的正确性。
3.电子资金支付可靠性
电子资金支付可靠性是指电子资金支付系统能够有效鉴别用户身份的合法性与可靠性,能够有效地保护私有密钥和口令,识别伪造地址,防范非法链接,防止侵占或者使用合法用户的资源,确保系统的无故障性和无差错性。
4.电子资金支付可用性
电子资金支付可用性是指信息可被授权用户访问并且授权用户可根据需求使用。防止因病毒或者其他人为因素造成的拒绝对被授权用户服务的现象;防止非法用户通过非法手段滥用他人机器或盗用他人信息。电子资金支付的可用性与硬件的可用性、软件的可用性、人员的可用性、环境的可用性等方面密切相关。
5.电子资金支付不可否认性
电子资金支付不可否认性也称为不可抵赖性,是指电子资金支付系统应该保证支付信用和支付行为的不可否认性,防止支付双方抵赖交易行为,否认交易结果。
6.电子资金支付有效性
电子资金支付有效性是指电子资金支付系统能够有效防止支付延迟和拒绝服务的情况。防止由于操作系统安全漏洞、计算机网络故障、硬件故障、操作失误、应用程序运行错误及计算机病毒等问题,导致系统资源管理和使用的不合法,中断服务等情况。
7.计算机安全技术与安全管理人员相结合
电子资金支付需要根据实际情况,在系统开发、网络建设等方面做相应的规范。未授权者如果不能通过物理入侵来获取所需数据时,就会通过电子邮件、微信、聊天工具等其他途经来获取所需数据,从而取得对主机的操作权限以进一步窃取资源。
8.安全产品与集中管理相结合
电子资金支付是一个软硬件集成的有机整体,仅依赖于某些安全产品,不可能有效保护整体的系统安全,还必须对其进行有效的安全管理,需要把与安全相关的各方面和各层次的安全产品、分支机构、运营网络、客户等纳入到一个管理体系中,才能有效地保障电子资金支付系统安全。
9.提高应用软件的安全性
应用软件的评测过程中,发现软件编写时质量控制不够严格或程序开发时对安全了解不到位等,而导致的严重后果,这些都需要进一步提高应用软件的安全性。
二 解决电子资金支付安全需求的关键技术
1.数据加密技术
电子资金支付机密性涉及的安全技术主要是数据加密技术。数据加密技术,是使用数学原理对原始数据(明文)进行重组形成一组新的数据(密文),然后再在网络上传输密文。合法的接收者在接收到密文后,通过正确的密钥得到原始数据(明文)。非法接收者没有正确的密钥得到的就是无意义的文字。加密技术是由来已久的最基本的安全技术,是实现电子资金支付机密性的一种重要的手段。
2.杂凑函数
电子资金支付完整性涉及的安全技术主要有杂凑(HASH)函数。杂凑函数按是否有密钥控制分为两种:一种有密钥控制的为密码杂凑函数,以h(k,M)表示;另一种无密钥控制的为一般杂凑函数。一般杂凑函数无密钥控制,非法用户很容易对其进行篡改、删除或者插入,不能用于身份认证,只能用于检测数据接收是否完整,如MDC。
密码杂凑函数要满足各种安全性要求,其杂凑值不仅与输入有关,而且与密钥有关,只有持有密钥的人才能计算出相应的杂凑值,因而具有身份验证功能,如MAC。
3.数字凭证
电子资金支付可靠性涉及的安全技术主要有数字凭证。数字凭证又称为数字证书,给授权用户身份提供可信赖的电子凭证,给授权用户提供网络资源的使用权限。在电子资金支付交易中,只要双方都出示了自己的数字凭证,那么交易双方的身份就是真实的、可信赖的。
4.数字签名
电子资金支付可靠性和不可否认性涉及的安全技术主要有数字签名。数字签名是将公钥算法和杂凑函数相结合,用以鉴别原始报文。数字签名中包含A的私钥、B的公钥和B的私钥。A的私钥用以确认A的身份;B的公钥用以确保此签名只有B能够认证,并且加密被签名的消息;B的私钥用以当B验证成功之后再用私钥解密。第三方假冒发送方发送了一个文件,接收方在接收文件后对其进行解密,解密使用的是发送方的公开密钥,第三方获取的也是发送方的公开密钥。
5.认证(CA)
CA是为用户签发证书,提供身份认证服务的第三方认证机构。在交易时由交易双方都信赖的第三方机构对买卖双方身份进行验证,以确保交易双方身份的真实性、可靠性。
6.安全协议
电子商务中常用的电子资金支付安全协议有SSL和SET。安全套接SSL协议,向客户机与服务器提供了一条面向连接机制的安全通道。简单地说,SSL协议就是在互联网上为客户和商家之间建立了一个“秘密传输数据的通道”。 “秘密通道”保证数据在通道中以机密性、完整性和认证性形式传输。SSL协议中只有商家对客户进行认证,不需要客户对商家的认证,存在客户被不良商家欺骗现象;交易时客户数据先传到商家,商家阅读后再传到银行,存在客户资料泄密现象。正是由于SSL协议的这些缺陷,使其逐渐被新的SET协议所代替。
安全电子交易SET协议,是专为解决信用卡、借记卡等卡在线支付安全性问题而制定的唯一具有实用性的标准。SET协议不但对客户信用卡进行认证,还增加了SSL协议所不具备的商家身份认证。
7.防火墙技术
网络安全是电子资金支付的安全基础,网络安全最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止非法用户以不正当的手段通过外部网络入侵内部网络。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,然后来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制。
三 结束语
电子商务将长期深远地影响全球的经济、政治和法律,只有提高电子资金支付的安全系数,才能更进一步促进电子商务的发展。
参考文献
[1]潘光辉.电子商务及其安全技术[J].商场现代化,2007(1)
[2]黄小虎、文斌、胡致杰.电子支付的安全性分析与策略[J].华南金融电脑,2008(4)
一、“网络钓鱼”的诈骗手段
1.木马病毒窃取账户信息。将木马病毒植入持卡人电脑,窃取账户信息,进而盗取银行卡存款。2009年6月,中国湖南警方也破获了一起中国迄今为止最大的个人网银诈骗案。长沙人李强(化名)利用电子支付的网络安全漏洞,高科技手段,先后窃取市民银行资金40余万元。2007年12月,李强租用了一台网络服务器,并将“网银大盗”和“灰鸽子”程序下载到服务器上,用于接收信息、储存资料和远程控制他人电脑。感染“网银大盗”的电脑运行后,会自动截屏将市民的密码发送到他的服务器上,他再一一将其整理好,逐一盗取。在收缴的证据中,记者看到李强保存在U盘里的账户资料,有300多条个人信息,身份证号、账号、密码、手机号、余额等信息一应俱全。
2.模仿伪造网站。在“网络钓鱼”这一诈骗形式中,犯罪分子往往模仿伪造一些著名的购物网站为“诱饵”。有些钓鱼网站在用户支付时用一个价格更低的链接吸引用户,点击进去支付时会看到一个和正常支付页面完全一样的网页,一旦输入个人信息就会被黑客盗取。这些仿制的网页页面上完全一样,就是域名多一个字母或一个符号,而往往用户不会注意到这些细节。
3.将用户存款转入第三方。有的钓鱼行为将用户存款转入其在第三方支付工具下的帐户并提走。在“网络钓鱼”犯罪中,消费者与第三方支付平台成为了犯罪分子诈骗行为的共同受害者。无论是虚假网上银行地址的一时泛滥,还是木马程序的横行作乱,都表明人们在使用新金融支付体系时面临的安全问题正日益严峻。欺诈风险对整个电子支付产业最大的破坏不仅是金钱上的损失,而是对整个支付产业的信任与信誉的动摇和打击。如今的消费者并不仅仅担心欺诈事件,他们还担心有人会非法使用他们的个人信息。这些担心是真实存在的,也会很大程度上影响消费者的行为甚至是一个国家的金融秩序。
二、电子支付的安全手段
1.加密密钥。对于消费者来说,仅仅是动动鼠标,在键盘上输入几个数字,就完成了一笔电子支付。无论您使用哪家银行的网银,或者使用支付宝这样的第三方电子支付平台提供的服务,在支付宝交易数据的传输中,信息都受到加密密钥长度达128位的高强度加密,而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。
2.图形验证。有一些恶意程序是通过不断试算登录密码的方法来猜测网银用户的账户和密码,所以现在在所有银行的交易页面,您都可以看到一张图片,要求您输入图片上的数字和字母,这就是图形验证码,图形验证码通过只能由肉眼识别的异形图文对登录进行再次验证,有效防止非法程序读取信息。
3.数字签名。由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,采用协议的方式来实现重要信息在Internet上的传输安全控制,是网络银行安全策略中重要的一环。
三、保障电子支付安全的手段
国内个人支付业务发展潜力巨大,保障电子支付安全是市场发展的迫切需要。
1.发展电子支付安全技术
对于电子支付监管和运营部门,降低新金融风险的第一点是要建设在线安全的支付平台。如何实现安全的在线清算,如何完成运行过程中的业务监督,作为对这种信息安全风险的控制是非常重要的。同时,在我们国家,并不是单纯建一个在线安全支付平台就完成了所有的任务,对于监管方,还要做好这个平台建设以后的信息安全的风险评估。所以,对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要。在这个运行过程中如何采用一种安全的认证,一种安全的签名,一种抗抵赖的机制,一种强审计的保证,以及传输过程、防泄露和加密是金融安全认证机构的头等大事。
2.从法规和政策上予以扶持
对于中国这样一个庞大的用户市场,电子支付已经深入到我们生活的各个方面,由于涉及到金融体系,涉及到资金安全,这一行业还需要国家从法规和政策方面予以认可和规范。目前我们在这方面还处在政策法规缺失、安全保护制度不健全的状态。这也是电子支付能否健康发展的最大挑战。
3.加强行业监管
由于缺乏必要的法律约束,一些第三方支付企业利用沉淀资金进行投资获取利益。一旦投资出现巨额亏损,势必损害社会公众的利益,影响社会稳定。应加强电子商务行业的监管,规范市场主体行为。首先需要加强对网络银行的监管。网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次银行由于与第三方支付行业紧密相连,两者除共同加强自身的审核和监管外,需要加强信息互通,并联合升级支付。
4.消费要提高安全意识
消费者应加强电子支付安全意识,学习相关的电子商务知识,不给犯罪分子可乘之机。消费者在电子商务网站交易过程中,应该加强对个人信息的保护,包括个人联系方式、身份证号码、银行卡信息等,尤其在进行网络支付操作时,一定要确认在线支付网站的真实性,不要通过不熟悉的网页进行在线支付。
参考文献:
[1] 李顺东: 适用于数字对象的保密比较协议[J]. 陕西师范大学学报(自然科学版), 2010, (01) :1-4
关键词:电子商务 网络支付 体系研究
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)10-0205-01
作为现代新型网络化经济交易活动,电子商务技术的发展与应用从一定意义上带动了现代商业的发展。由于网络的开放性与大众性,使得网络支付面临着来自黑客、病毒等一些恶意的攻击与威胁,对支付环境形成一些不安全因素,威胁着人民与国家的财产安全。因此,研究如何加强网络支付安全环境与体系,对于我国电子商务的健康发展具有深远的意义。
1 电子商务网络支付的概念
网络支付是由电子商务支付平台来完成,所谓电子商务支付平台,即消费者在网上进行资金相关活动时,由商家利用连接器将用户与各大银行建立连接关系,以此实现用户与银行间的资金流动,从而完成交易。通常情况下,支付平台服务器的选择可根据具体的服务对象进行具体选择,对于支付平台来说,差错处理、资金结算使其最基本的功能所在;对于银行来说,支付交易、转账和清算是其功能的体现。实际应用中,常见的电子商务支付平台有第三方支付企业、国内电子商务的交易平台延伸出的在线支付工具、国家银行阵营以及以运营商为代表的诸多移动支付企业。
2 电子商务网络支付安全特性
2.1 安全有效性
由于电子商务是以电子形式存在,没有约束性的纸面文件,在此情况下,开展E时代则成为电子商务贸易信息的有效性和安全性的最终目的,作为现代贸易的一种新形式,电子商务信息的有效性和安全性对企业与个人甚至国家的的经济利益与声誉有着直接的联系,因此,要想保证电子商务在操作过程中信息数据的有效性与安全性,必须对要对网络故障、操作错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以此保证客户的自身利益与个人隐私。
2.2 安全机密性
作为新时代的一种贸易手段,电子商务以其较高的安全机密性对个人、企业和国家等使用客户所负责,在新时代的发展背景下,互联网作为电子商务任务操作最基本的依据,其环境安全与否直接影响着电子商务的运营质量与安全,因此,做好商业机密维护,预防信息存取与传输过程被非法窃取,是全面推广电子商务安全发展的有力保障。
2.3 安全完整性
为提高系统安全性,对于电子商务而言,其最常用的技术是通过简化交易过程来减少和预防人为性的恶意干预,这就对维护贸易各方的商业信息的完整性与统一性带来了严峻的考验,在新时代的发展背景下,由于数据输入时的意外差错或欺诈行为而导致的贸易各方信息出现差异,对电子商务信息的完整性带来严重的不利,因此,电子商务在操作过程中应予以重视。
3 电子商务网络支付安全影响因素
3.1 网络技术应用漏洞
就我国电子商务应用现状而言,其系统在操作过程中或多或少的存在一些安全漏洞,在互联网技术快速发展的当下,对所存在的安全漏洞如果没有及时进行修补(如系统升级和日常维护等),一旦遭到攻击,轻则泄露系统信息,重则导致系统瘫痪,无法正常工作,并完全失去抵抗能力,形成一种恶性循环,最终造成无法弥补的损失。除此之外,现代操作系统以无口令入口为系统开发人员提供便捷入口,但也同时为骇客提供了方便,使其更加容易的入侵系统。由于大多操作系统中均包含了各种常见的通用服务供用户使用,如网络中的磁盘共享、网络服务器访问、电子邮件、远程登录、文件传输等,因此也都为网络骇客提供了入侵途径。
3.2 网络病毒
随着网络技术的发展,网络病毒的传播逐渐发展为以电子邮件、压缩文件等电子资料为载体的形式,特别是病毒种类多样化的现代,其破坏性与传染速度不断提高,不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快。
3.3 网络骇客
在新的时展背景下,网络骇客已经发展为一种现代化“职业”,他们是以蓄意破坏为目的,专门对计算机和电话系统进行人为操控或病毒破模以此谋取自身所需利益,从而对他人造成一定的损失。
4 提高电子商务网络支付安全性能的措施
4.1 严格保障系统可靠性
系统的可靠性是指系统能够全天候运行,强调一个不停机系统。为保证这一点,除了选择好主机系统的硬件平台外,必要时还要运用容错和多机备份技术。对系统在联网运行的同时进行通信线路冗余备份。
4.2 抓好安全管理工作
以思想上的重视对电子商务信息安全提供保障,同时做到管理思想和安全意识落实到位;以完善的管理制度提高电子商务安全管理的执行力度,成立专门的安监部门,配备专业的管理人员和技术设施,使投入与所需要的安全功能相适应。
4.3 利用安全支付协议
(1)实现信息的保密性。为实现网上交易,卖方和银行必须使顾客相信他们提供的银行卡信息受到保护,只有特定的被授权者才能看到,必须保证结算卡账户和结算信息在网络上传输时得到安全措施的保护,防止银行卡号、密码和交易日期等在网上传输时被他人截获;(2)保证身份认证的准确完成和交易数据的准确。无论实现网上的任何交易,都必须事前确定各方的真实身份。这一切都可以通过数字证书和认证中心来完成,同时需要安全支付协议的支持。
5 结语
总之,世界是千变万化的,问题是层出不穷的,答案是丰富多彩的,任何现在先进的科学技术都会随着时代的发展而显得落后,无法满足社会发展的需求。对于电子商务,这就需要我们在实际工作中不断探索,不断研究,以技术的更新时刻保证系统的先进性与安全性,促使我国电子商务事业的健康顺利发展,为人们提供一个安全的网络支付环境。
参考文献
[1]谭汉元.电子商务网络安全支付问题浅析[J].电子商务,2011(01):102-103.
[2]吴天阳.电子商务环境下用户数据的安全管理研究[J].中国商贸,2014(03):56-57.
关键词:电子商务;网上支付;安全
互联网在国内的发展已经有十多年的历史了,利用互联网进行商务交易活动——电子商务也有了十多年的历史。毋庸置疑,电子商务作为一种新型网上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚,降低了生产与销售成本,进一步缩短了生产厂家与最终用户之间的距离,改变了市场的结构;而且还大大节省了企业的营销费用,提高了企业的营销效率;为企业提供了巨大的潜在顾客群,给企业带来了无限的发展机会。
一个典型的电子商务交易由三个阶段组成,分别是信息搜寻阶段、订货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题,即如何利用互联网以安全快捷的方式实现交易双方的资金划拨,以确保电子商务交易的顺利进行。从三个阶段来看网上支付是最关键的,因为网上支付一旦完成物流的配送就是顺理成章的事情,也就意味着完整网上交易的完成。而网上支付若不进行,网上交易也不能最终完成。由此可见,网上支付是电子商务最核心、最关键的环节,是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的基础条件。
1 网上支付现状及现有支付工具的特点
网上支付采用先进的技术通过数字流转来完成信息传输,其各种支付方式都是采用数字化的方式进行的,工作环境基于开放的因特网,使用的是最先进的通信手段,具有方便、快捷、高效、经济的优势。
目前我国网上支付发展迅猛,从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元,同比增速超过了170%。环比增速超过了20%。
目前的网上支付工具主要有:
(1)银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式,付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。
它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多,用户不受地域的限制。
(2)电子现金:是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数,来表示现实中各种金额的币值。但目前我国使用的不多。
它的特点一是具有现实现金特点,可以存、取、转让,适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名,商家接受到电子现金后将其传输给电子现金银行,由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。
(3)电子支票:是以一种纸质支票的电子替代品而存在的,用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足,在我国尚是空白。
其特点一是与传统支票的操作有很多相似之处,易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。
(4)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行签约的方式,提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面,统一的手续费用标准,结算较为便利。但此模式下,消费者并不是其客户,网站商家和银行才是它的客户,消费者最终还是要使用各网上银行进行付款。
二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,买家收到货物之后再通知支付宝,支付宝这时才把钱转到卖家的账户上。在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了资金的安全转让,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上增加了网民对网上购物的可信度,大大减少了网络交易欺诈。
2 网上支付存在的安全问题分析
要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。
网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:
(1)身份真实性。也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
(2)信息的完整性。网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
(3)不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
(4)数据保密性。有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。
3 解决网上支付安全问题的对策
3.1 技术方面的对策
(1)数据加密。
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
(2)数字签名。
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。
(3)安全协议。
在国际上,比较有代表性的电子支付安全协议有SSL和SET。
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。
SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工业技术标准。
3.2 法制方面的对策
(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。
(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管:网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。
3.3 管理方面的对策
在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此,统一而先进的管理和规范就显得尤为重要。例如,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。
另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。
关键词:电子商务;网上支付;安全
互联网在国内的发展已经有十多年的历史了,利用互联网进行商务交易活动——电子商务也有了十多年的历史。毋庸置疑,电子商务作为一种新型网上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚,降低了生产与销售成本,进一步缩短了生产厂家与最终用户之间的距离,改变了市场的结构;而且还大大节省了企业的营销费用,提高了企业的营销效率;为企业提供了巨大的潜在顾客群,给企业带来了无限的发展机会。
一个典型的电子商务交易由三个阶段组成,分别是信息搜寻阶段、订货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题,即如何利用互联网以安全快捷的方式实现交易双方的资金划拨,以确保电子商务交易的顺利进行。从三个阶段来看网上支付是最关键的,因为网上支付一旦完成物流的配送就是顺理成章的事情,也就意味着完整网上交易的完成。而网上支付若不进行,网上交易也不能最终完成。由此可见,网上支付是电子商务最核心、最关键的环节,是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的基础条件。
1 网上支付现状及现有支付工具的特点
网上支付采用先进的技术通过数字流转来完成信息传输,其各种支付方式都是采用数字化的方式进行的,工作环境基于开放的因特网,使用的是最先进的通信手段,具有方便、快捷、高效、经济的优势。
目前我国网上支付发展迅猛,从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元,同比增速超过了170%。环比增速超过了20%。
目前的网上支付工具主要有:
(1)银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式,付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。
它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多,用户不受地域的限制。
(2)电子现金:是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数,来表示现实中各种金额的币值。但目前我国使用的不多。
它的特点一是具有现实现金特点,可以存、取、转让,适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名,商家接受到电子现金后将其传输给电子现金银行,由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。
(3)电子支票:是以一种纸质支票的电子替代品而存在的,用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足,在我国尚是空白。
其特点一是与传统支票的操作有很多相似之处,易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。
(4)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行签约的方式,提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面,统一的手续费用标准,结算较为便利。但此模式下,消费者并不是其客户,网站商家和银行才是它的客户,消费者最终还是要使用各网上银行进行付款。
二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,买家收到货物之后再通知支付宝,支付宝这时才把钱转到卖家的账户上。在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了资金的安全转让,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上增加了网民对网上购物的可信度,大大减少了网络交易欺诈。 转贴于
2 网上支付存在的安全问题分析
要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。
网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:
(1)身份真实性。也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
(2)信息的完整性。网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
(3)不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
(4)数据保密性。有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。
3 解决网上支付安全问题的对策
3.1 技术方面的对策
(1)数据加密。
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
(2)数字签名。
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。
(3)安全协议。
在国际上,比较有代表性的电子支付安全协议有SSL和SET。
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。
SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工业技术标准。
3.2 法制方面的对策
(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。
(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管:网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。
3.3 管理方面的对策
在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此,统一而先进的管理和规范就显得尤为重要。例如,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。
另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。
论文摘要:电子支付系统是电子商务交易的核心,实现电子商务的关键是要保证商务活动过程中系统的安全性。本文对现有的支付模式进行了比较论述,指出安全性方面的不足,在基于SET协议支付模型基础上,替换加密算法,修改支付流程,使其具有更高的安全级别。
1 引言
电子商务(Electronic Commerce,简称EC)是利用现有的计算机硬件设备、软件和网络基础设施,在通过一定的协议连接起来的电子网络环境下进行各种各样商务活动的方式。电子商务的一个重要组成部分就是电子支付系统,所谓电子支付,指的是交易各方通过电子手段,比如说银行的电子存款系统和电子清算系统来记录和转移资金的方式。是否具有在线支付功能是电子商务是否完整的一个重要标志,而支付的安全性又是整个支付过程乃至整个电子商务过程的核心问题。
2 现有电子支付系统的探讨与改进
2.1 三种电子支付模型
第一种:基于SSL协议的支付模型
安全套接字层协议(Secure Socket Layer,SSL)是网络安全协议的标准,最早是由Netscape公司提出的一种安全套接层协议,采用公开密钥技术,目的是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。SSL使用多种密码技术和PKI数字证书技术来保护信息传输的真实性、机密性和完整性,主要适用于点对点之间的信息传输。SSL由两层协议组成:(1)握手协议:描述了协议的建立过程,在客户机和服务器之间进行相互的身份认证,并在传输数据之前,协商确定加密算法和会话密钥。(2)记录协议:用于对不同的高层协议进行封装,定义了数据传输的格式。
遵从SSL协议的电子交易过程:客户选择服务,提交购物请求商家回复客户的购买请求,客户端浏览器提示即将建立与银行端网络服务器的安全连接,经过身分认证后,SSL 握手协议介入开始,双方建立起安全通道出现相应银行的支付网页,显示从商家发来的相应的订单及支付金额信息,用户确认后支付。支付成功后,用户确认离开安全SSL 连接银行在后台把相关资金转入商家账号商家收到银行发来的付款成功消息后,发送收款确认信息给用户,支付过程结束。
目前国内大多数银行的网上银行业务都是基于SSL协议的。例如招商银行的“一网通”网上支付业务就是基于SSL协议的典型代表。
第二种:基于SET协议支付模型
SET(Secure Electronic Transaction)协议是针对开放网络上安全、有效的银行卡交易,由Visa和MasterCard两大信用卡组织联合国际上多家科技机构共同研制,为Internet卡支付交易提供高层的安全和反欺诈保证。SET协议实现信息在Internet上安全传输,不能被窃取或篡改;实现持卡人购买订单和个人账号信息的隔离,使商家只能看到订货信息而金融机构只能看到账号信息;实现持卡人、商家、支付中心、支付网关等交易参与方身份的相互认证;软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容性和互操作能力,并且可以运行在不同的硬件和操作系统平台上。
遵从SET协议的电子交易过程:客户选择服务,提交购物请求客户计算机自动激活电子钱包的客户端软件,用户取出里面的电子现金准备支付,SET协议开始介入;客户端软件自动与商家服务器软件进行SET 协议规定的信息交换与身份认证,然后自动提取信息连同订货单一起发送给商家商家收到信息并验证通过后回复客户,同时发出结算请求,并将客户端信息一起发给支付网关支付网关收到支付信息后,转入后台银行网络处理,在收到银行端发来的确认信息后向商家回复支付成功客户收到商家发来的购货确认与支付信息后,客户端软件关闭,支付过程结束。
国内的网上银行支付系统基于SET协议的极少,中国银行是一家。它的CA是中国银行认证中心(CCA)。持卡人通过Internet由中国银行主页中下载电子钱包软件后,通过Internet在线获得中国银行认证中心批准的借记卡网上交易电子证书。
第三种:以支付工具为中介的支付模型
国内除了上述两种支付方式外,还有种以网上支付工具为中介的支付流程,即第三方支付。这种在线实时的支付方式实质上还是网上银行。这种支付模式主要解决的不是信息流在网上传递的安全性问题,而主要解决的是,因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。
第三方支付的交易过程:买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议,这时买方需把货款汇到第三方中介账户上。中介立刻通知卖方钱己收到可以发货,待买方收到商品并确认无误后,中介才会把货款汇到卖方的账户,整个交易就完成了。
第三方支付的典型代表有贝宝公司的PayPal、阿里巴巴旗下的支付宝等。
2.2 SSL、SET协议的不足
SSL协议存在的问题:第一,客户的信息首先传递到商家,商家可以任意阅读,这样客户资料的隐私性就得不到保证。第二,SSL只能保证资料信息传递的安全,而传递过程是否被人截取无法保证。第三,SSL没有对应用层的消息进行数字签名,因此也无法保证不可否认性。所以,SSL并没有实现电子支付所要求的保密性、完整性和不可否认性,而且多方互相认证也很困难。
SET协议存在的问题:第一,SET协议使用的对称加密算法DES,随着计算机处理速度和存储效率的提高,己经不是计算上安全的算法了。第二,协议没有担保非拒绝服务,无法证明交易是否由签署证书的使用者发出。协议签名的内容无法保障持卡者和商家,在协议最后收到的签名,是针对交易内容的认证。第三,协议没有考虑交易个体的公平性,持卡人的信用卡信息经过商家转发,虽然是经过加密的,但无论如何也会留下痕迹,这是个很大的安全隐患。第四,从实用性来讲,SET协议对商家系统的开发来说是个不小的负担,很多的小商户都会认为成本太高,不甚划算。并且,应用SET协议需要在持卡人端安装电子钱包,这也是个不太容易让普通持卡用户很快接受的地方。还有,SET协议仅仅针对信用卡,对个人信任制度不成熟的我国现状来说,也是一个制约因素。
2.3 基于SET协议模型的改进
替换密码算法:SET协议规定加密算法为DES加上RSA,而通过上文分析DES加密算法存缺陷,因此可选择用IDEA算法作为DES的代替算法。IDEA的密钥长度为128位,是目前公认比较安全的加密算法。另IDEA和DES算法同是对称加密算法,分组长度都是64位,使用IDEA对原有系统的影响不大。
增加支付中心:由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。对照现实中商场中“柜台”与“收银台”相分离,对基于SET协议的电子支付系统进行改进,引入了支付中心这一概念,相当于电子的“收银台”。这样,电子商户主要承担商品展示功能,在消费者下订单后,商户执行“开票”功能,而“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。消费者的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方—支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而加强了信息流和资金流在网上实时传递的机密性和安全性。
3 结束语
随着电子商务和金融电子化的日益成熟和不断发展,对网络支付的要求也更加严格。虽然网络支付工具随着技术的变化层出不穷,但网络支付并不是非常成熟,只有加强电子支付的安全保障,建立起电子支付业的统一行业规范,完善电子支付的法律体系,才能使我国的电子商务和电子支付具有更强的生命力,在我国经济建设中发挥更大的作用。
吴琦.电子商务代表网站及业务模式分析[M].通信世界,2007.2.
安全是支付信息通过公开网络传递面临的首要问题,在线支付安全通常包括有效性、真实性、机密性、完整性、不可撤销、不可否认、身份验证等要素。大多数安全要素可通过不同技术手段的组合而实现。
一、电子商务在线支付的基本技术
作为一个公认的标准,电子数据交换一报文的格式在计算机系统之间进行传输。主流支付技术依赖于:
1.SSL安全协议。SSL是安全套接层协议,基于传输层的通用安全协议,主要与web一起工作,实现浏览器和web服务器双方的身份验证。对持卡人与商家端的信息交换进行加密保护,可看作于传输部分的技术规范。SSL协议加密方式分为两种,包括公开密钥和私有密钥,是一种作用在整个会话期间的加密协议,从而对信用卡和个人信息安全提供有力保障。2.SET安全协议。SET是安全电子交易协议,涉及到应用层及其他层,为信用卡交易提供安全,当涉及多方交易时相对SSL更安全。所有参与SET交易的成员(持卡人、商家、发卡行、收单行、支付网关)都必须申请数字证书进行身份识别,从而规范了整个商务活动的流程,每个环节都制定了严密的标准,保证了商务性、服务性、协调、集成性。
二、电子商务在线支付风险
1.计算机安全。计算机安全主要是硬件的故障,保障硬件设施的安全有效运行至关重要。一旦出现问题,将会影响整个电子商务系统的运行。
2.网络风险。计算机网络风险涉及到网络系统的硬件、软件及系统中的数据。从广义上说,涉及到网上信息的保密性、完整性、可用性、真实性、可控性。
3.交易风险。电子商务交易过程是电子商务活动的重要组成部分。电子商务的多样性导致在线支付的安全问题各不相同,一般而言,交易过程中风险涉及到信息篡改、窃取、假冒、恶意破坏、环境失误等。
4.数据安全。只要数据在计算机系统之间进行传输,就将面对各种各样的威胁。常见威胁包括:数据截获,数据篡改,数据恶意破坏。
5.应用安全。在开放的网络平台环境下,计算机木马、病毒传播猖獗,如不对其加以防范,应用种种先进的安全技术予以防范治理,计算机系统功能、数据安全保密等即将受到很大的挑战。
三、电子商务支付风险产生的主要原因
1.支付工具与处理过程带来的风险。这是与支付业务的处理方式密切相关的一类风险,不同的支付处理环境,处理过程,都可以对此类风险加以预测。
2.清算账户资金头寸不足引起的风险。菜类风险是动态变化的,需要有支付风险控制运行机制加以防范。
3.支付交易处理环境食物引起的风险。在网络环境下,防范此类风险的措施技术要求极为复杂。
4.各类诈骗活动引起的风险。由人为因素引起,认为诈骗导致。
5.法律法规不健全引起的风险。此类风险是电子商务发展历程中,最为突出的一个问题,多有法律法规不健全、参与方权责不明确所致。
四、电子商务在线支付安全策略
由于电子商务安全涉及网络安全和交易安全两项机制。因此,为保障电子商务安全,需从计算机网络安全和交易安全两方面采取措施。
1.随着互联网技术的飞速发展,越来越多的深层次的网络安全技术应运而生。当今,主要的网络安全技术包括:
(1)防火墙技术,常见的防火墙种类有包过滤路由器、应用网关、线路网关和堡垒主机。通过它们,可以有效控制、拦截来自外部的网络攻击,实现网络信息安全。
(2)病毒防御与检测,防护拦截病毒入侵,免除恶意程序代码攻击,对网络攻击实时监控、监测。
(3)VPN安全隧道,安全稳定的虚拟专用网,建立稳定的内部专用网,运用多种安全机制,确保数据传输的完整性。
2.安全管理对网上支付而言,同样具有举足轻重的地位。
