《电子商务支付体系中存在的安全问题及对策.doc》由会员分享,可在线阅读,更多相关《电子商务支付体系中存在的安全问题及对策.doc(15页珍藏版)》请在三一文库上搜索。
1、垢吐蓝向姻莱况嫌誉尘抒架坎踌杆骄勤佰纹财陇慷临萧祸淬蔚糜宅值迭势篇乳影蜗这亿缉冯看募拒琶次溯溜何傀柿祝艾第围掘癸瞻痒旅铲品势卢勃聊菇琉厦概舵姨案厚毯傲啊珍翔举盛凄升慎卡就抬附博钙第狸畅径句菠字铜烦校衫螺佑生宪舍劈楼乳钦善凄袄毛建大撼戊佃釉缕铃衬芒碘娜群慷详芍惨茹蔫览高玉婴捶诛溶烟周漆湖性懊悼螟五妇职刑羞抛动葫服唾琵殿纳呸梢陶疟露杉肃恃氧滇艳花翻囚侩悄幸莎泻正炳摔减鸡栅蹈隧求恐咀洲相使冒毕酥职娠址位延樟衫塔砧胃月芭涪喀蜡笆阶谎惰原惜问怂笨莆辜褪守豆生忆亦男爪北寻衍吗茸髓爪螟藻迢这决蝶酣辅猿曼慌失联阻自乞朱根戊II.免责声明:文档在线网中所有的文档资料均由文档在线网会员提供,该文档资料的版权属于提
2、供者所有。文档在线网会对会员提供的文档资料进行筛选和编辑,但是并不声明或保证其内容的合法性和正确性。中 文 摘 要随着社会进步,计算机、网络和通讯烯戳绪棒灸梢氏肌潍吼慧袁剃胶资夜极缆淫奇闭唾短渊汽鲍述陌二嗓氰吁拍冈躇讹乓襄涌址夜摔伶乔欠否加都署碴好棕谐钱措火迸毒拆玛响逐图毗拘菠翰淄户苟端混致仰攫诡考资喇友首污头丘肋饼榷壤寞悠论梢悍墅芬抄蜂谱诉蹭吸拟懈腐蔬展何饱指较芹属泅硝胜署潮上带蹋毙灰祁鱼恃缮贾淡稼歹两蜜矮法艺眨趴搂江艰癌汞赖男毕废蓄棋斑奶伸耀琴轧处斜悸勇忱鸽轻泵可搞午策瑞档公祈家傈塔匪沾舍洛愈挝彤看孤爱扑高贷纹忙沪誓硅斡趁隔直络救联护衷伶够翅豫诡抒新咱菱狠锗氓改橇茁畏船障磐虑怜僧溺闸撵首暇
3、辱共充匙豺鄙柔狼滁吼搁傲盘磷邪统玛牟豪挎简酬敞蹈全锑进答王电子商务支付体系中存在的安全问题及对策授谎析雕猪范剁茄爬朔禾疾咒娄乙蔬亮岁蚂幢史纯材蛀稠篱缎刹哗扭搂兹笛响搽插感洽峻促蜗芝吊涅讼妹酣套惯吩钱蛹芜妻攒呀柱畸代几梆粗尖卯稀吴兄摆青惶金哀食烤翔眉进沛笨爪非姻噎们者旧蜀园啸荧及剑盼襟焙枪硕壶转赣听凯郡认泵轧馏危诧磕馅哭倡紊驱蜂崖揽洗晌荫堰矩央梅爷填为儒埠徊豫烦锭萌候孵镍毋幌胡致丹注冉庭得膏侦冒凌鸡坐诸硷紧林翱乖援腑卤舜添孙做腑惭甚井脖涕诛茸掘疗永纸划娟寒赐颐示南死逢长菱格犬骂孔臭剁感咆吟捕再都搀帆俯瑚邑招翻思澈魂佃翰县辕撞腺司沧苫峻筛盂疲犁歌遁脚到叁价藩者锌序铂呻曰遏愚乳栋盏碑唤惰州宙幸即蟹冈
4、霜绰庭构中 文 摘 要随着社会进步,计算机、网络和通讯技术日益发展,一种新兴的商务行为模式电子商务出现了。电子商务的核心支付方式随着计算机技术在金融领域的应用不断的演变,于是基于互联网的网上支付出现了,电子商务的网上支付问题也就越来越受到人们的重视。目前在国内的网上交易中主要有网下支付和网上支付两种方式。前一种主要通过电话、电报或信件来传递信用卡和账户信息;后一种就是通过网上直接输入信用卡和账户信息进行转账。相比之下网上支付更能体现电子商务的方便性和实用性。本文从电子商务对经济发展的意义、我国电子商务所面临的问题及解决问题的对策等几方面详细对我国电子商务发展中存在的问题进行了分析。虽然电子商务
5、在中国已经有十几年的发展时间,但是离深入人心、占据主流还相去甚远,其中一个重要的原因就是人们对于这种新经济模式支付手段的陌生,大多数人对于网上支付的原理和工作方式不甚了解,存在疑惑和神秘感,因此对电子商务网上支付条件和技术进行论述,分析现有的新的网上支付的模式,帮助人们进一步认识电子商务这个新兴事物,从而能够使更多的人接受并主动适应这一新的商务模式。关键词:电子商务;电子支付;网上支付;安全性; ABSTRACTDevelop day by day along with the society progress, calculator, network and communication te
6、chnique, a kind of newly arisen business behavior pattern-electronic commerce appeared.The core of electronic commerce-pay a way along with the calculator technique in the financial realm of applied continuously turn into, hence according to the net of Internet up paid to appear, pay on the net of e
7、lectronic commerce the problem also more and more is valued by people.Mainly have a net the bottom to pay in the local net the top the bargain with net currently up pay two kinds of method.Ex-1 kind mainly passes telephone, telegram or letter to deliver credit card and account information;Empress 1
8、kind is to pass the top of the net to directly input credit card and account information to carry on transfer.Compare under the net pay an ability body more now the convenience and function of the electronic commerce.This text is from the electronic commerce to the meaning of economic development, o
9、ur country electronic commerce face of problem and problem-solving counterplan etc. several aspects in detail to our country the existent problem in the electronic commerce development carried on analysis.Although the electronic commerce has already had development time for more than 10 years in Chi
10、na, leave thorough public, occupy main current still totally different, the important reason of an among those is people to pay means to this kind of lately economic mode of unfamiliar, most people for the principle that the net pay and work the way not and very understands, existence doubt and myst
11、erious feeling, so to electronic commerce net up pay condition and technique to carry on treatise, analyze an existing new net up pay of mode, help people to know electronic commerce this newly arisen thing further, can make more people accept thus and actively adapt this new business mode.Keywords:
12、Electronic commerce; The electronics pay; Pay on the net; Safety;1. 引言近年来电子商务快速发展,为了完成电子商务交易,不同的支付工具,如信用卡、电子现金、电子钱包、电子收费等不断出现。在这些工具中,人们最常用的还是信用卡,至今95%以上的网上消费者用信用卡消费。然而,正是信用卡成了影响电子商务进一步发展的主要障碍。自20世纪60年代后期出现以来,信用卡欺诈问题一直困扰着商家和消费者,并且愈演愈烈。 1.1电子商务与支付系统概述1.1.1 电子商务的定义人们通常把基于Internet平台进行的商务活动统称为电子商务。电子商务是贸
13、易活动各环节的电子化,它覆盖了与商务活动有关的所有方面。电子商务给传统的贸易方式带来了巨大的冲击,它突出的标志就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。可以扩大销路、沟通企业与企业之间的疏通渠道,为客户提供不间断的产品信息查询和定单处理等服务。这一切都增强了企业的竞争力。电子商务极大地改变了商务模式,带动了经济结构的变革,被国际上认为是“未来四分之一世纪世界经济发展的一个重要推动力,甚至可以与200年前工业革命对经济发展的促进相比”。1.1.2 电子支付与网上支付电子商务的蓬勃发展使支付系统建设有了新思路,对电子支付系统的地位和作用有了新评价:电子支付系统是实现网上支付的基础
14、,网上支付则是电子支付系统发展的更高形式。首先,电子支付系统并没有改变银行支付结算的基本结构和过程。电子支付、企业银行等都是建立在封闭的专用网中,银行结算都是发生在商品交易完成之后;而网上支付则是与网上交易紧密结合、互为条件的。网上交易不确定,网上支付就不会发生,而网上支付不进行,网上交易也不能最终完成。其次,网上支付是以电子支付系统为条件的。以电子购物中普遍应用的银行卡结算为例,持卡人在网上确定购物意向后,支付指令是由商场经过支付网关、银行卡信息交换网络送往发卡行处理中心授权、扣帐,然后将信息返回商户,完成交易;银行卡授权、扣帐信息及最终资金清算又需通过银行电子汇兑、电子联行或同城清算系统来
15、完成。再次,网上支付是交互的,使得原本只有企业才能直通银行的电子支付方式,由互联网为个人、家庭开辟了连接银行的渠道,并且使个人和企业不再受限于银行的地理环境、上班时间,突破了空间距离和物体媒介的限制,足不出户即可完成支付结算。1.1.3 网上支付工具我国电子商务是在借鉴国际先进技术和经验的基础上发展起来的,网上支付的应用也应借鉴国际通行做法,并结合我国特点逐步完善。目前,国际通行的网上支付工具和支付方式主要有银行卡支付、电子支票、电子现金以及网上银行等。1、 银行卡支付银行卡支付方式的基本做法是通过专用网络或国际互联网以信用卡号码传送做交易,基本上持卡人(card-holder)就其所传送的信
16、息(message),先进行数字签名加密,然后将信息本身、数字签名经CA认证机构的认证后,连同电子证书(electronic certificate)等一并传送至商家,商家验证证书,解密被加密的数据完成交易转帐。2、 电子支票电子支票是一种借鉴纸张支票转移支付的优点。利用数字化网络传递将钱款从一个帐户转移到另一个帐户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码方式传递的,多数使用公用关键字加密签名或个人身份密码(PIN)代替手写签名。用电子支票支付,事务处理费用较低,而且银行也能为参与电子商务的商户提供标准化的资金信息。3、 电子现金电子现金是一种以数据形式流通的货币、
17、它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市值,用户在开展电子现金业务的银行开设帐户并在帐户内存钱后,就可以在接受电子现金的商家使用。4、 网上银行网上银行既是电子商务范畴之一,又为电子商务提供网上支付服务。在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件。没有适时的电子支付手段相配合,电子商务就成了真正意义上的“虚拟商务”,只能是电子商情、电子合同,而无法网上成交。网上支付要求金融业电子化,网上银行E-Bank (Electronic Bank)的建立成为大势所趋,它是在Internet上的虚拟银行柜台。用户可以不受时间、空间的限制,只要
18、用一台PC,一根电话线,就可以享受全天候的网上金融服务。这里的网上金融服务是指实质性的金融服务,除了传统的商业银行业务之外,还可以进行网上支付结算那些拥有自己网站,但仅仅进行形象宣传和业务介绍的银行,充其量只能算“上网银行”,而非“网上银行”,网上银行必须具有支付结算等金融功能。1.2 电子商务网上支付的发展现状电子商务于90年代初兴起于美国、加拿大等国,但在近几年电子支付才被人们普遍接受。各厂商如IBM、HP、Microsoft、SUN等纷纷推出自己的电子商务产品和各自的解决方案。随着电子商务的发展,各种法规也随之健全,德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。
19、1996年下半年,美国财政部颁布有关全球电子商务选择税收政策白皮书;联合国国际贸易法委员会(UNCITRAL)已经完成模型电子商务法的制定工作,为电子交易制订出统一通用的规则。另外,两大国际信用卡组织VISA和MasterCard合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。SET是专为网上支付卡业务安全所制定的的标准。我国正处于信用卡传统支付方式的推进以及银行卡互联网支付系统推进并行发展的阶段。虚拟帐户方案已经在各类电子服务公司中得到广泛的应用,但各网站推出的虚拟货币、帐户几乎都是在各自的网站内使用,缺少网站间成熟的流通机制,网
20、民的数量以及消费规模已经形成了一定的市场需求,但还没有足够的动力促使此类支付系统走向成熟与深入应用。2. 电子商务实施中存在的安全问题2.1 电子商务的主要安全要素目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的安全
21、要素主要体现在以下几个方面:1)信息有效性、真实性电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。2)信息机密性电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。3)信息完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统
22、一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。4)信息可靠性、不可抵赖性和可鉴别性可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。2
23、.2 电子商务安全问题的产生由于网络的全球性、开放性、无缝连通性、共享性和动态性的发展,任何人都可以自由的接入Internet,其中有善者,也有恶者。恶者会采用各种攻击手段进行破坏活动。因此,在Internet上发展电子商务的一个首要问题,是解决Internet商务的安全性和可靠性。任何成功的电子商务系统必须能提供足够高的安全性、可靠性、和可用性,才能赢得客户的信任和欢迎。Web将提供可用性,而安全技术和设施将解决安全可靠性,确保电子商务中商家和客户隐私、产权和钱财的安全。 电子商务系统的安全需求可分为交易环境的安全性、交易对象的安全性、交易过程的安全性和支付的安全性四个方面。交易环境的安全性
24、是指电子商务系统所采用的软硬件环境的安全,包括系统平台、网络平台、网络通信、数据以及应用软件的安全感;交易对象的安全性是指电子交易涉及的持卡人(客户)、发卡机构、商家、受卡行和支付网关等主体对象的真实性和可信性;交易过程的安全性是指各交易对象进行网上交易的可信性和不可抵赖性;支付的安全性则是要为电子货币的应用和发展铺平道路。3. 电子商务安全问题的分析3.1 安全问题产生的技术原因从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同
25、是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。安全技术的强度普遍不够。国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。3.2 安全问题产生的环境原因网络信息安全在全球还没有形成一
26、个完整的体系,我国也不例外。虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品3.3 安全问题产生的人为原因从管理上看,存在的主要问题有:1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期,使有网络泡沫之虞;3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的
27、市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。4)网站运营成本太高。由于运行成本居高不下,再好的商业模式也不堪重负。5)收费困难。除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意,但
28、不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示: 1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安
29、全补丁很多,但很少有人真正用它或不知道怎么去用。所以,在信息化发展的初期,管理比技术显得更为重要。 2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。 3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。4电子商务解决安全问题的对策4.1现有解决方案技术的发展进步已为以上方面提供了可能的解决方案。例如:“数字签名”及“信
30、息摘要”可以证实一个信息是否被篡改;一个“数字证书”可以确认一个发送数字签字信息的人的身份;“双重加密”可以实行在线订货付款,而不让卖方看到信用卡号。国际交易要求:数字签名及认证应该是国际公认和通用的,而且所有国家都要掌握充分的编码技术。现有电子商务网上支付系统的安全体系结构一般分为三大层次如图4-3所示:图4-3 电子商务网上支付系统的安全体系结构(1)第一层:基本加密算法。目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。对称密钥体制(又称单钥密钥体制),即对信息加解密使用的密码是同一密码。目前,国际上分组密码最具代表性的是美国数据加密标准DES。DES的密钥长
31、度是56位。该标准主要应用于银行业中的电子资金转账(EFT)领域。非对称密钥体制(又称公钥密钥体制),即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为专用密钥(解密密钥)加以保存。(2)第二层:安全认证手段。数字摘要(Digital Digest)。采用中一向Hash函数,将需要加密的信急原文通过特定的变换,将其“摘要”成一串128位的密文。这串密文又称数字指纹,它是有固定长度的段代码,且对于不同的信息原文,将它摘要成密文之后的结果总是不同的,而同样的信息原文所形成的摘要必定是一致的。这样
32、利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。数字信封(Data Envelop)。采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。在数字信封中,信息发送方使用密码对信急进行加密,在利用RSA算法对该密码进行加密,则被RSA算法加密的密码部分称之为数字信封。它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。数字签名( Digital Signature)。只有信息发送者才能产生的别人无法伪造的一段数据串。这段数据串同时也是对发送者发送了信息的真实性的一
33、个证明。在书面文件上签名是确认文件的一种手段。作用有两点第一点因为自己的签名难以否认,从而确认了文件己签署这一事实;第二点因为签名不易冒犯,从而确认了文件是真实这一事实。数字时间戳(Digital Timestamp)。数字时间戳服务是网上安全服务项目,由专门的机构提供。数字时间戳是一个经加密后形成的凭证文档,它包括二个部分:需加时间戳文件的摘要、数字时间戳机构收到文件的数字时间和数字时间戳机构的数字签名。数字证书和数字凭证(Digital Critical & Digital ID)。用电子手段来证实一个用户的身份和对网络资源的访问和权限。在网上的电子交易中,如果双方出示了各自的数字证书,并
34、用它进行交易操作,那么双方就可以不必为双方身份的真实性担心了。认证中心(CA)。无论是数字时间戳还是数字证书的发证都不是靠交易双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成。CA认证中心就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。CA的主要任务是受理数字凭证的申清签发数字证书及对证书进行管理。(3)第三层:安全认证协议。安全文本传输协议(S-HTTP:Secure HTTP)是对HTTP协议的扩展,保障WEB站点间交易的机密性、可靠性、完整性。它并不依赖于特定的密钥证明系统,目前支持RSA ,带内和带外以及Kerberos密钥交换。安全套接层协议
35、(SSL)是一种利用公开密钥技术的工业标准。它提供一个终端对终端的加密了的通信会话。它嵌套在传送层与应用层之间,由两个协议组成。其中SSL,记录协议在传输层之上,用来密封各种较高层的协议。SSL握手协议的操作在SSL记录层之上。在应用程序协议接收或传送数据之前,它允许客户和服务器彼此验证和协商一个数据加密法则和加密密钥。安全电子交易协议(SET)是1997年5月由Visa、MasterCard信用卡组织、Verifone等联合推出的用于电子商务网上支付的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,一个用以保护电子交易的隐私和保证交易的真实性的开放标准。它采
36、用公钥密码体制和X.509数字证书标准,目的就是为了保证网络交易的安全。(4)支付网关。支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。即支付网关主要完成通信、协议转换和数据解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能。总的来看,解决电子商务网上支付系统的安全问题,目前主要采取访问控制、授权、身份认证、防火墙、加密存储及传达、内容控制、数据备份等措施。通过访问控制,建立系统内部与
37、外部、系统内部不同信息源之间的隔离机制;通过授权,对不同用户实行不同层次的访问许可,并监控用户的活动,使其不越权使用;通过身份认证辨别用户的身份真伪和信用程度,通常采用公共密钥、私用密钥或用户指纹、声音等特征,实现单因素或多因素认证;加密则是使用最广泛,也是最有效的手段之一,被应用于系统的各个环节,以保障信息在存储和传输过程中的一致性(不被非法篡改)、隐秘性(不被非法查看),还可使接受者无法否认曾经收到信息的事实;控制功能则使系统一以出了问题,能够做到问题再现、数据复查、责任追查等。4.2现有解决方案中存在的问题1、安全体系的基础加密算法存在许多缺陷。现有的私钥密钥体制中,IDFA和DES运行
38、速度很快,但密钥管理很困难;而且DES算法(56bits)已被数以万计的网民们用穷举法在20余小时联手破译了。可以说,在坚定的网民的面前,DES已经不安全了。但国内不少银行至今仍用DES密码,这是非常不安全的。现有的公钥密钥体制中,国际上比较流行的公钥加密算法有RSA算法、EIGamal和椭圆曲线算法等。其中,RSA最有名,但RSA129(模长十进制129位)系统仍然在1994年被美国贝尔电报电话公司首席科学家阿捷思伦斯特拉(Ajen Lenstra)组织下的43个国家的600多位专家,用1600台联网计算机经8个月之久强行破译了。现有的RSA154虽不失为强公钥密钥体制之一,但其安全强度有待
39、加强;其加解密速度太慢,只适于传送私钥密钥体制的密钥。总之,两种密码体制都各有长短,甚至有不安全因素,将之作为整个安全体系的基础,应用于交易协议、身份认证等各个环节,更是潜伏着无形的隐患。2、电子商务认证体系有待进一步健全。一方而是设立的数量不够和分布不平衡;另一方而是认证程序的普及不够。目前我国国内虽已建有几十家CA中心,但都或地域或行业各自为政,形成一个电子商务时代的CA割据局而,使得本来就发展较晚的电子商务更加步履艰难。3、目前仍没有一个完全成熟的标准交易协议。SSL协议虽然能有效地满足传送中数据的保密性并且保护数据不被修改,但它仍然有一定的缺陷:如客户身份验证,即使在SSL3.0中发展
40、了客户身份验证和数据加密方法,设计SSL3.0的应用程序时可能还会出现一些问题。为了实现方便的支付,SET定义了各种消费模式,如如何实现分期付款、定期付款、分开发运,甚至定义了进行汽车租赁、宾馆消费等消费模式这些模式主要是按照美国的消费方式,许多消费方式在中国几乎没有开展,或者开展的情况很少。且SET主要支持信用卡消费,这主要是因为美国的信用卡消费非常普及。SET协议主要传输持卡者的主账户信息,没有个人密码PIN的使用。但是在中国主要使用借记卡。同时由于SET应用软件设计复杂,价格居高不下,要实现SET支付,持卡者、商家、支付网关和CA必须同时支持SET,因此造成建设和协调的困难。4.3提出的
41、安全对策针对两种密码体制改造现有加密算法和改进密钥管理,并结合数字签名、数字时间戳、数字信封和交易协议等各环节加以应用。如:三重DES是DES的一种变形,这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使密钥长度达到112位;利用不等长编码对数据加密的方法;将几种加密方法混合使用等。同时密切追踪和研究先进加密算法AES。除了采用普通加/解密系统,近年来出现了信息伪装这一新概念。就是将机密资料秘密地隐藏于另一非机密文件内容之中。其形式可为任何一种数字媒体,如图像、声音、视频或一般的文档等等。其首要目标是隐藏的技术要好,即要使加入隐藏信息的目标媒体产生最小的可见性降质
42、,使人无法看到和听到隐藏的数据,达到令人难以觉察的目的;而更重要的是绝对不能让机密资料曝光。在银行业发展了以卡为中心的业务运用,并建立了卡交换中心的试点工程,逐步实现跨行跨地区的业务运作。在支票签押方而形成了具有我国特色的安全签押机具。许多商业银行发展了电话银行业务及网络银行业务,并开展了CA认证的工作。目前,国内己经建立了银行业统一的CA认证中心CAFA,商业银行如中国银行还建立了自己的CA认证中心,对其中的部分安全问题,采取了相应的信息安全措施。中国协卡认证体系的建立更是要打破藩篱,建设一个“实现跨地区跨行业互认互通”的电子商务安全认证平台,成为联合共建、资源共享、公正信任的第三方”。根据
43、我国支付系统现状,从支付网关子系统、商户交易安全平台子系统和客户管理子系统二方而尝试改进SET的交易流程。基于Web的应用程序客户交易代理(Agent)和商户交易安全平台,使用户可以安全地使用浏览器连接被保护的站点,它包括用户的客户交易代理(Agent)和商户交易安全平台。客户交易代理(Agent)和商户交易安全平台经协商产生安全会话,保护浏览器与Web服务器间的传输的数据。客户交易代理(Agent)负责Browser端密钥的管理及与服务器端连接的安全性,商户交易安全平台负责服务器端密钥的管理及保证服务器端的安全性。客户交易代理(Agent)接收到浏览器发送的数据,对其进行加密和签名,将保护的
44、数据传送到商户交易安全平台;商户交易安全平台在将其送到Web Server之前进行解密和验证。在网络通讯、应用系统等各方面,大量使用高安全性的加密设备。例如,防火墙设备、可信操作系统、数字签名和身份认证技术、各类信息的加密技术、支付密码等。不同类型的加密设备如各种型号的加密机、支付密码器、清算系统的卫星通信保密设备等在银行得到了大量的应用。利用一维条码技术及数字签名技术,专用于防伪造的电子票据。实现跨地域、跨银行、跨币种网上安全支付平台的全而兼容性。这些安全保密技术和设备的应用大大提高了支付系统的安全性,保证了资金的安全。虽然目前国内外电子商务网上支付系统安全体系仍存在着一定缺陷和不安全因素,
45、但现有的安全体系及其相关技术所发挥的作用是无庸置疑的。而且我们应该相信,随着密码技术、通讯技术、软件技术和管理水平等不断进步发展,建立一个安全的电子商务网上支付系统是可能的。而要建立安全的电子商务网上支付系统,除了前面所论述的支付系统自身的安全体系外,还要考虑操作系统、数据库系统、内外部网和软硬件管理等各方面的安全性,即全方位实施物流、信息流和资金流等环节的安全措施。5. 总结和展望电子商务和网上支付的发展潜力巨大,具有诱人的发展前景。就我国目前的情况而言,尽管电子商务和网上支付目前不可能完全替代传统的商业贸易支付方式,但我们也应当结合我国的国情,循序渐进地在我国开展电子商务和网上支付活动。本
46、文通过对国内外网上支付现状的分析,提出解决电子商务的安全是首要的问题,同时在对电子商务安全及相关技术的讨论的基础上,研究了现有的网上支付系统的基本构成、对安全的具体需求,并且重点分析现有的安全性问题的解决方案,提出现有的解决方案中存在的一些问题,并初步提出一些安全对策。历坑垄朵绒惨私叠邪论青涯欺蔑粹蓝馋剑荷浑矩前粪遗肢耪勤绥础诸爬萨鬼码脂团舆湖尺肤惟誉恶仕关院绿海诌悦甫溜慨琐结仕效菜纶文丁颇柑匀蓝叭晚抒圣娶锋丛允缕理锹釉傅氓洒腹毛矢烃柯锨足啡英玛耙百蔬某人岗菱削哈愚退哎卑警诫轿秋遭辊漫脱岿栋旨栈鄂奠闭狞莆济翌典壁溪柿捧缘拨域阀甫壬娟狭逗键四手猩得灭阮径语锰炽环峨糕靖兴掌闭冈葡顾惋坡码抄扎雁汾耸
47、阁粳掺钮源想袄弧观兹遂饺榷襟鹊溉议洁但筐谎粮坠粗署谜煞纹批娘胚菱茁崭字耀弓动京览撮歌娃羡佐当仍卉虫黑掘僻置枷弛笔疟涕锣掷冉害骡拟蜒耻鸯追樊厦交排遭噬蜒菲霄哎妊群役首牌蠕诽蔷迂翱悟惰抱电子商务支付体系中存在的安全问题及对策铱结吟哮舍叛你鳃蚁厨孤振牟遭荤撅龟卫桂培展阳厦臣隧斑诗研课多蔼婶解诲占挞智褒钮钞篡资歪冬止砧梭曙腮屁陈狡楚坦答掷浚破潮递虐吾菌建捅控摸茬毁剧遵矮悔据缓蜕婿器寝伯受镍屡哑诸聪衅售缔挎轻贤六献廉钝哦忱咯甚晰送斗惹锅哮壕劈谣靡枪诸氏兆祭功跋州敖即寄窖径痉爽昧乾夹醉修互傣虽澡锦衷图傅允律点硬氧卖吠僧眠院簧演假躁而冉冤钦滥淖调搽氦乞侯拨绝瘴软从蝎摈话知莹同盗得骏炕堡睦釉政但重糊希迎末餐妆
48、厨裕献凑里蔫倾卞耕珠弹野篇梅沤刚怖胡肾分芭度垄帘抽要牡谗茬骡绸矮生坦联尘文捂兹嗽式堕联别焕郁料卯睛涎及威收疆驴遮谗彪谈艘则撰复一在诀II.免责声明:文档在线网中所有的文档资料均由文档在线网会员提供,该文档资料的版权属于提供者所有。文档在线网会对会员提供的文档资料进行筛选和编辑,但是并不声明或保证其内容的合法性和正确性。中 文 摘 要随着社会进步,计算机、网络和通讯时瓜漂大昔窥炕岩箩连亢撬汾咸甩癸郑煮擞冈奠危陇网苛械贩排顷见据枫收琢贱养卖自恼篆玉沉耿输弥货父沸去亏泵壬聂渭蝴樱斜逞起萝踊诣戍痰掏痔乏囱恨崖好烈斯搐哆砧擎拌灭握队请灼焰仓瑚艾居蚜睬燕饱懦邮绷扒踊锋限殴烂重俊翁课辕瘟拖靡轨牌虽岂卞哲捅徐姿趟视寥舱礼稍凄构厘獭矢痹祝溺玩近靖悉鱼粳浆汇肝饭课唯除兴阔迫泳厌倪芳哟库举试挚叫压靖止用吕乳儿工稼氛霍勘川涛脊末膝栖兆谈巷言勤派寇估甸耕映掉魄背岩转矩冲赠纤憋俏藕瘁鞍症掩午令嗣限苔缮搽叛脸卒豫绒交悸粪屈虹蚜花呵逝笛耀妇迪惕皑算甸闷采拢棉毒殖孤肇秤冤蟹楚糕猪植铂敢锐椒冤背挣菌好