浅析电子支付的安全问题.doc

浅析电子支付的安全问题摘要：随着网络技术和信息技术的飞速发展.电子商务作为未来信息产业的发展方向,对全球经济和社会的发展产生深刻的影响,也得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷和高效.电子支付系统是电子商务体系的重要组成部分,从电话银行到网店购物，从网上转账到境外刷卡消费在经济全球化的趋势下，电子商务凭借便捷、低成本的优势日益深入人心，作为电子商务的核心环节，在线支付也得到了迅速发展。网络购物的流行与快递行业的火爆，预示我国已开始加速步入电子支付时代。 关键词：电子商务 电子支付 安全技术引言：当今世界网络、通信和信息技术快速发展和日益结合，Internetz在全球迅速普及，促使电子商务蓬勃发展，随着电子商务时代的到来作为电子商务重要的组成部分的电子支付就显得他越来越突出了。安全电子支付是实现电子支付的关键环节。事实上缺乏有效的电子支付的电子商务活动将是十分有限的，而不安全电子支付是不能真正实现电子商务的。随着互联网的迅猛发展，网络商务作为一种新的贸易形式正在逐渐被引入成为商务的一种大发展趋势，网上金融服务也已经开始在世界范围内如火如荼地开展起来。网络金融服务包括人们的各种需求，如网上消费、家庭银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行网上电子支付与结算。“电子支付”，顾名思义是通过网络进行货币支付。“电子支付”就是电子商务发展的一个关键环节。一、 电子商务概述电子商务是一种采用最先进信息技术的买卖方式，整个电子商务过程并不是工业经济阶段商务活动的翻版，电子商务是将“通信服务”、“数据管理服务”、“安全服务”等三项基本服务融为一体的商业活动。电子商务有巨大的市场与无限的商机，蕴含着现实的和潜在的丰厚商业利润。狭义的电子商务也称作电子交易，主要利用web提供的通信手段在网上进行的交易活动，也通过Internet买卖商品和服务。广义的电子商务还包括企业内部的商务活动以及企业间的商务活动，它不仅仅是硬件和软件的组合，还是买家、卖家、厂家和合作伙伴在Internet、Intranet和Extranet上利用互联网技术与现有的系统结合起来开展业务的综合系统。二、 电子支付的基本概念电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。与传统的支付方式相比，电子支付具有以下特征： 电子支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的；而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等实体是流转来完成款项支付的。 电子支付的工作环境是基于一个开放的系统平台（即因特网）之中；而传统支付则是在较为封闭的系统中运作。 电子支付使用的是最先进的通信手段，如因特网、Extranet；而传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其它一些配套设施；而传统支付则没有这么高的要求。 电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机，便可足不出户，在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。三、 电子商务的电子支付安全要求目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方（销售者和消费者）都面临安全威胁。电子商务的电子支付安全主要体现在以下几方面：(1)数据的保密性因为网上交易双方的事，双方交易并不想让第三方知道他们之间的交易的具体情况，包括资金账号、客户密码、支付金额等网络支付信息。但由于交易是在internet上进行的，在因特网上传送的信息是很容易被别人获取的，所以必须对传送的资金数据进行加密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。(2)数据的完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。(3)信息数据的有效性、真实性电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。(4)信息数据的可靠性、鉴别性和不可否认性可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可否认要求即是能建立有效的责任机制，防止实体否认其行为；在网上进行交易的时候，必须先确定商店是否真实存在，付了钱能否拿到东西。商店和银行都要担心网上购物的是否是持卡人本人。网上交易过程中，参加交易的各方，包括商户、持卡人和银行都必须能够认定对方身份。在网上交易中持卡人与商店通过网上传送电子信息来完成交易，也需要有使交易双方对每笔交易都认可的方法。参加交易的各方，包括商家、持卡人和银行必须采用措施能够对其支付行为的发生内容不可否认。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的。原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。四、电子支付系统安全技术 （一）电子商务支付现金流 商家和客户都必须到CA得到自己的证书，然后通过CA认证。很明显，各个部分信息传递，必须要经过加密处理；信息来源和目的，必须经过认证。 在电子商务支付系统中，消费者和商家面临的威胁有： 1、虚假定单：假冒者以客户名义订购商品，而要求客户付款或返还商品； 2、付款后收不到商品； 3、商家发货后，得不到付款； 4、机密性丧失：PIN或口令在传输过程中丢失；商家的定单确认信息被篡改； 5、电子钱和硬币丢失：可能是物理破坏，或者被偷窃。这个通常给用户带来不可挽回的损失。相应的安全技术有：网络安全检测设备；访问设备（安全认证卡）；浏览器/服务器软件（支持SSL）；证书（PKI-CA、公钥密钥加密算法）；商业软件（支持电子支付）；防火墙保护传输线路安全（电磁辐射屏蔽等）；防入侵措施，数据加密（最基本的安全技术，如链路、节点、端对端加密等）；访问控制（根据角色访问等控制）；鉴别机制（报文鉴别、数字签名、终端识别等）；路由选择机制（阻止不合适的IP访问）；通信流控制（掩盖通信频度、报文长度、报文形式、报文地址等）；数据完整性控制（来自正确的发送方、数据传送到正确的接收方）；端口保护（反端口扫描等）；病毒木马防范措施。 案例： 汇付天下是一个独立第三方支付平台，起步于2006年，是以 拓展新兴支付渠道为主，提供专业化支付服务的电子支付公司。从起步开始，就明确了自己的使命，就是要为网络运营企业和个人提供一个更安全、更可靠、更方便、更快捷的互联网支付环境。作为向行业领先者进军的汇付天下，与国内商业银行紧密合作设计推出的新型金融支付交易产品，可以满足企业和个人在全国范围内跨地区、跨银行的汇款需求，更为特别的是，“汇付天下”不但提供标准的电子支付产品，还可为每家客户量身定制个性化的服务。 随着现代生活节奏的加快，社会公众之间的支付交易越来越频繁。当人们逐渐习惯了电子提款机与刷卡消费的便捷与乐趣的时候，网上支付的模式与安全问题，以及跨银行间的转帐、汇款等问题又开始困扰企业与个人用户。人们开始思考如何利用网络化社会环境下的先进技术，来解决支付行业中不断涌现出的种种问题。伴随着金融服务市场的开放，国内银行卡支付服务市场即将迎来一个全面开放和发展的大好时机。作为整个银行卡支付产业链中起步较晚的互联网电子支付行业，近年来始终保持着高速发展的态势。时至今日，中国互联网支付行业已初具规模，并在整个银行卡支付产业链中占有重要地位。 汇付天下利用领先的技术为企业和个人用户提供了科学的快捷安全的解决方案，推出了网上支付、跨行汇款、个人理财。（二）保证支付的安全 一方面来自于支付公司，监管部门有责任来监管。另一方面，更大的风险来自于比如商家卖一个东西，作的广告和网站上卖的东西和你真正收到的东西，或者根本收不到，怎么避免这些东西伤害消费者，伤害消费者对整个电子支付的信心，这就需要保证支付的安全问题。 B2C牵扯到每一个个人的行为，个人用户使用支付，B2B是一个非常广泛的市场。近几年很多公司也都开始做了，现在时机比较成熟，银行已经开始在做。目前据资料显示国外的银行B2B的功能没有很多空间给第三方支付空间。但我国不一样，近几年银行作了很多工作，成绩非常显著。在支付安全方面我认为在今后的电子商务中将会更加成熟和让人放心。 五、典型支付系统应用和安全分析 （一）电子现金交易系统 1数字现金的定义 数字现金是一种表示现金的加密序列数，可以表示现实中各种金额的币值。 2数字现金的属性 （1）货币价值： 具有一定的现金、银行授权的信用或银行证明的现金支票等支持。 （2）可交换性： 指可与（不同国家和地区的）纸币、商品/服务、网上信用卡、银行账户存储金额、支票、负债等交换。 （3）可存储性： 从银行账户中提取一定数额的数字现金存入计算机外存、IC卡等专用设备上。 （4）可重复性： 防止数字现金的复制和重复使用，建立事后检测和惩罚。 电子现金是以电子化数字形式存在的现金货币。4电子现金比现有的实际现金（纸币和硬币）有更多的优点，实际现金要承担的较大的存储风险、高昂传输费用、较大的安全保卫和防伪的投资。电子现金的发行方式包括存储性质的预付卡（即电子钱包）和纯电子系统形式的用户号码数据文件等形式。电子钱包也可以看成是电子现金的一种形式，往往和智能卡结合使用。 （二）典型的交易系统（1）E-Cash E-Cash是由Digicash开发的在线交易用的数字货币。用e-cash客户软件，消费者从银行提取和在自己的计算机上存贮e-cash。制造货币的银行验证现有货币的有效性和把真实的货币与e-cash交换。商家能够在提供信息或货物时接受支付的e-cash货币。客户端软件叫“电脑钱包”，负责到银行的存取款，以及支付或接收商家的货币，支付者的身份是不公开的。 （2）Digicash Digicash是由Digicash公司于1994年5月开发的一种电子现金系统。该系统允许消费者使用电子现金进行在线交易。Digicash是一种无条件匿名系统。当消费者使用硬币时，商家所能看到的只是银行的签字，而不是消费者本人的签名。 六、电子支付的发展提起web1.0、web2.0，早已不再新鲜，而随着3G网络的发展，有关“web3.0”的字眼也不时见诸报端。而随着互联网的高速发展，电子支付行业也迈入了3.0时代。“电子支付已经帮助人们实现足不出户就能生活、能工作，能赚钱,现在它还可以做到坐在家里就能理财，这就是电子支付的3.0时代。近几年来，电子商务的空前繁荣给电子支付带来了巨大的发展空间，特别是随着网络购物的流行以及快递行业的火爆，我国电子支付正在持续加热。从2005年到2010年，电子支付呈现疯长的态势，交易额连年翻番：2008年中国电子支付的市场规模为2743亿元，2009年为5766亿元，2010年达到10858亿元，环比增长96%。据艾瑞咨询预测，到2012年，中国电子支付行业交易规模将超2万亿元。2010年第三方支付企业通过其他方式逐渐绕道运营商，布局手机支付领域，运营商面临着被边缘化危险。为了解决移动支付的瓶颈问题，运营商也纷纷开始涉足支付领域。电子支付凭借独特的便捷性、自主性被越来越多的用户所选择。同时，为了满足用户对网上支付需求的增加，更多的服务企业开始将电子支付作为用户支付的选项。目前，电子支付使用的范围正在不断扩大，还款、缴费、订机票、网上购物等，人们可以通过互联网轻松完成各种生活体验，电子支付在社会发展中扮演着越来越重要的角色。七、电子支付未来发展的建议 电子支付的安全性是客户信任度的关键，决定着电子支付产业的成败，因此，我认为首先，要增强计算机系统的关键技术和关键设备的安全防御能力。主要是通过提高操作系统的安全管理能力和不断完善安全机制以加强网上银行的安全性，在运行的过程中不断检测各种网络入侵，审核安全记录，发现对网上银行安全构成威胁的情况并做出处理。其次，要大力提高软件的科技含量，特别在安全策略上，更应该注重采用新的技术，提高系统安全管理自动化程度，减少认为因素对系统安全的影响。最后我认为要有健全的法律保障体系，电子支付业务的健康发展必须有相应的法律法规来保障，因此国家有关部门应加快立法步伐，为电子支付的持续发展提供健全的法律保障体系和服务支持体系。结论电子支付的安全是当今电子商务交易过程面临的重大问题，也是电子商务可以顺利发展的必要保障，本文分析了目前电子商务领域所使用的安全技术，但电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电