电子商务支付体系中存在的安全问题及对策

桂林航天工业学院成人高等教育 毕业 设计 论文 设计 论文题目 电子商务支付体系中存在的安全问 题及对策 学生姓名 毕业专业 计算机科学技术 学 号 教 学 点 桂林高级技工学校 摘 要 随着社会进步 计算机 网络和通讯技术日益发展 一种新兴的商务行为模式 电子商务出现了 电子商务的核心 支付方式随着计算机技术在金融领域的 应用不断的演变 于是基于互联网的网上支付出现了 电子商务的网上支付问题也 就越来越受到人们的重视 目前在国内的网上交易中主要有网下支付和网上支付两 种方式 前一种主要通过电话 电报或信件来传递信用卡和账户信息 后一种就是 通过网上直接输入信用卡和账户信息进行转账 相比之下网上支付更能体现电子商 务的方便性和实用性 本文从电子商务对经济发展的意义 我国电子商务所面临的问题及解决问题的 对策等几方面详细对我国电子商务发展中存在的问题进行了分析 虽然电子商务在中国已经有十几年的发展时间 但是离深入人心 占据主流还 相去甚远 其中一个重要的原因就是人们对于这种新经济模式支付手段的陌生 大 多数人对于网上支付的原理和工作方式不甚了解 存在疑惑和神秘感 因此对电子 商务网上支付条件和技术进行论述 分析现有的新的网上支付的模式 帮助人们进 一步认识电子商务这个新兴事物 从而能够使更多的人接受并主动适应这一新的商 务模式 关键词 关键词 电子商务 电子支付 网上支付 安全性 Abstract Develop day by day along with the society progress calculator network and communication technique a kind of newly arisen business behavior pattern electronic commerce appeared The core of electronic commerce pay a way along with the calculator technique in the financial realm of applied continuously turn into hence according to the net of Internet up paid to appear pay on the net of electronic commerce the problem also more and more is valued by people Mainly have a net the bottom to pay in the local net the top the bargain with net currently up pay two kinds of method Ex 1 kind mainly passes telephone telegram or letter to deliver credit card and account information Empress 1 kind is to pass the top of the net to directly input credit card and account information to carry on transfer Compare under the net pay an ability body more now the convenience and function of the electronic commerce This text is from the electronic commerce to the meaning of economic development our country electronic commerce face of problem and problem solving counterplan etc several aspects in detail to our country the existent problem in the electronic commerce development carried on analysis Although the electronic commerce has already had development time for more than 10 years in China leave thorough public occupy main current still totally different the important reason of an among those is people to pay means to this kind of lately economic mode of unfamiliar most people for the principle that the net pay and work the way not and very understands existence doubt and mysterious feeling so to electronic commerce net up pay condition and technique to carry on treatise analyze an existing new net up pay of mode help people to know electronic commerce this newly arisen thing further can make more people accept thus and actively adapt this new business mode KeywordsKeywords Electronic commerce The electronics pay Pay on the net Safety 1 引言 近年来电子商务快速发展 为了完成电子商务交易 不同的支付工具 如 信用卡 电子现金 电子钱包 电子收费等不断出现 在这些工具中 人们最 常用的还是信用卡 至今 95 以上的网上消费者用信用卡消费 然而 正是信 用卡成了影响影响电子商务进一步发展的主要障碍 自 20 世纪 60 年代后期出现以 来 信用卡欺诈问题一直困扰着商家和消费者 并且愈演愈烈 1 1 电子商务与支付系统概述 1 1 11 1 1 电子商务的定义电子商务的定义 人们通常把基于 Internet 平台进行的商务活动统称为电子商务 电子商 务是贸易活动各环节的电子化 它覆盖了与商务活动有关的所有方面 电子商 务给传统的贸易方式带来了巨大的冲击 它突出的标志就是增加贸易机会 降低 贸易成本 简化贸易流程 提高贸易效率 可以扩大销路 沟通企业与企业之间 的疏通渠道 为客户提供不间断的产品信息查询和定单处理等服务 这一切都 增强了企业的竞争力 电子商务极大地改变了商务模式 带动了经济结构的变革 被 国际上认为是 未来四分之一世纪世界经济发展的一个重要推动力 甚至可以与 200 年前工业革命对经济发展的促进相比 1 1 21 1 2 电子支付与网上支付电子支付与网上支付 电子商务的蓬勃发展使支付系统建设有了新思路 对电子支付系统的地位 和作用有了新评价 电子支付系统是实现网上支付的基础 网上支付则是电子 支付系统发展的更高形式 首先 电子支付系统并没有改变银行支付结算的基本结构和过程 电子支 付 企业银行等都是建立在封闭的专用网中 银行结算都是发生在商品交易完 成之后 而网上支付则是与网上交易紧密结合 互为条件的 网上交易不确定 网上支付就不会发生 而网上支付不进行 网上交易也不能最终完成 其次 网上支付是以电子支付系统为条件的 以电子购物中普遍应用的银 行卡结算为例 持卡人在网上确定购物意向后 支付指令是由商场经过支付网 关 银行卡信息交换网络送往发卡行处理中心授权 扣帐 然后将信息返回商 户 完成交易 银行卡授权 扣帐信息及最终资金清算又需通过银行电子汇兑 电子联行或同城清算系统来完成 再次 网上支付是交互的 使得原本只有企业才能直通银行的电子支付方 式 由互联网为个人 家庭开辟了连接银行的渠道 并且使个人和企业不再受 限于银行的地理环境 上班时间 突破了空间距离和物体媒介的限制 足不出 户即可完成支付结算 1 1 31 1 3 网上支付工具网上支付工具 我国电子商务是在借鉴国际先进技术和经验的基础上发展起来的 网上支 付的应用也应借鉴国际通行做法 并结合我国特点逐步完善 目前 国际通行 的网上支付工具和支付方式主要有银行卡支付 电子支票 电子现金以及网上 银行等 1 银行卡支付 银行卡支付方式的基本做法是通过专用网络或国际互联网以信用卡号码传 送做交易 基本上持卡人 card holder 就其所传送的信息 message 先进行 数字签名加密 然后将信息本身 数字签名经 CA 认证机构的认证后 连同电子 证书 electronic certificate 等一并传送至商家 商家验证证书 解密被加 密的数据完成交易转帐 2 电子支票 电子支票是一种借鉴纸张支票转移支付的优点 利用数字化网络传递将钱 款从一个帐户转移到另一个帐户的电子付款形式 这种电子支票的支付是在与 商户及银行相连的网络上以密码方式传递的 多数使用公用关键字加密签名或 个人身份密码 PIN 代替手写签名 用电子支票支付 事务处理费用较低 而且 银行也能为参与电子商务的商户提供标准化的资金信息 3 电子现金 电子现金是一种以数据形式流通的货币 它把现金数值转换成为一系列的 加密序列数 通过这些序列数来表示现实中各种金额的市值 用户在开展电子 现金业务的银行开设帐户并在帐户内存钱后 就可以在接受电子现金的商家使 用 4 网上银行 网上银行既是电子商务范畴之一 又为电子商务提供网上支付服务 在线 电子支付是电子商务的关键环节 也是电子商务得以顺利发展的基础条件 没 有适时的电子支付手段相配合 电子商务就成了真正意义上的 虚拟商务 只 能是电子商情 电子合同 而无法网上成交 网上支付要求金融业电子化 网 上银行 E Bank Electronic Bank 的建立成为大势所趋 它是在 Internet 上的 虚拟银行柜台 用户可以不受时间 空间的限制 只要用一台 PC 一根电话线 就可以享受全天候的网上金融服务 这里的网上金融服务是指实质性的金融服 务 除了传统的商业银行业务之外 还可以进行网上支付结算那些拥有自己网 站 但仅仅进行形象宣传和业务介绍的银行 充其量只能算 上网银行 而非 网上银行 网上银行必须具有支付结算等金融功能 1 2 电子商务网上支付的发展现状 电子商务于 90 年代初兴起于美国 加拿大等国 但在近几年电子支付才 被人们普遍接受 各厂商如 IBM HP Microsoft SUN 等纷纷推出自己的电子 商务产品和各自的解决方案 随着电子商务的发展 各种法规也随之健全 德 国 韩国 意大利 西班牙和美国的许多州已经通过数字签名和身份认证法律 1996 年下半年 美国财政部颁布有关 全球电子商务选择税收政策 白皮书 联合国国际贸易法委员会 UNCITRAL 已经完成模型电子商务法的制定工作 为电子交易制订出统一通用的规则 另外 两大国际信用卡组织 VISA 和 MasterCard 合作制订的安全电子交易 SET 协议定义了一种电子支付过程标 准 其目的就是保护万维网上支付卡交易的每一个环节 SET 是专为网上支付 卡业务安全所制定的的标准 我国正处于信用卡传统支付方式的推进以及银行卡互联网支付系统推进并 行发展的阶段 虚拟帐户方案已经在各类电子服务公司中得到广泛的应用 但 各网站推出的虚拟货币 帐户几乎都是在各自的网站内使用 缺少网站间成熟 的流通机制 网民的数量以及消费规模已经形成了一定的市场需求 但还没有 足够的动力促使此类支付系统走向成熟与深入应用 2 电子商务实施中存在的安全问题 2 1 电子商务的主要安全要素 目前电子商务工程正在全国迅速发展 实现电子商务的关键是要保证商务 活动过程中系统的安全性 即应保证在基于 Internet 的电子交易转变的过程中 与传统交易的方式一样安全可靠 从安全和信任的角度来看 传统的买卖双方是 面对面的 因此较容易保证交易过程的安全性和建立起信任关系 但在电子商务 过程中 买卖双方是通过网络来联系 由于距离的限制 因而建立交易双方的 安全和信任关系相当困难 电子商务交易双方 销售者和消费者 都面临安全 威胁 电子商务的安全要素主要体现在以下几个方面 1 信息有效性 真实性 电子商务以电子形式取代了纸张 如何保证这种电子形式的贸易信息的有效 性和真实性则是开展电子商务的前提 电子商务作为贸易的一种形式 其信息 的有效性和真实性将直接关系到个人 企业或国家的经济利益和声誉 2 信息机密性 电子商务作为贸易的一种手段 其信息直接厂代表着个人 企业或国家的商 业机密 传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送 商业报文来达到保守机密的目的 电子商务是建立在一个较为开放的网络环境 上的 商业防泄密是电子商务全面推广应用的重要保障 3 信息完整性 电子商务简化了贸易过程 减少了人为的干预 同时也带来维护商业信息的 完整 统一的问题 由于数据输入时的意外差错或欺诈行为 可能导致贸易各 方信息的差异 此外 数据传输过程中信息的丢失 信息重复或信息传送的次 序差异也会导致贸易各方信息的不同 因此 电子商务系统应充分保证数据传 输 存储及电子商务完整性检查的正确和可靠 4 信息可靠性 不可抵赖性和可鉴别性 可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒 绝 不可否认要求即是能建立有效的责任机制 防止实体否认其行为 可控 性要求即是能控制使用资源的人或实体的使用方式 在传统的纸面贸易中 贸易双方通过在交易合同 契约或贸易单据等书面文件上手写签名或印章来 鉴别贸易伙伴 确定合同 契约 单据的可靠性并预防抵赖行为的发生 2 2 电子商务安全问题的产生 由于网络的全球性 开放性 无缝连通性 共享性和动态性的发展 任何 人都可以自由的接入 Internet 其中有善者 也有恶者 恶者会采用各种攻击 手段进行破坏活动 因此 在 Internet 上发展电子商务的一个首要问题 是解 决 Internet 商务的安全性和可靠性 任何成功的电子商务系统必须能提供足够 高的安全性 可靠性 和可用性 才能赢得客户的信任和欢迎 Web 将提供可 用性 而安全技术和设施将解决安全可靠性 确保电子商务中商家和客户隐私 产权和钱财的安全 电子商务系统的安全需求可分为交易环境的安全性 交易对象的安全性 交易过程的安全性和支付的安全性四个方面 交易环境的安全性是指电子商务 系统所采用的软硬件环境的安全 包括系统平台 网络平台 网络通信 数据 以及应用软件的安全感 交易对象的安全性是指电子交易涉及的持卡人 客户 发卡机构 商家 受卡行和支付网关等主体对象的真实性和可信性 交易过程 的安全性是指各交易对象进行网上交易的可信性和不可抵赖性 支付的安全性 则是要为电子货币的应用和发展铺平道路 3 电子商务安全问题的分析 3 1 安全问题产生的技术原因 从技术上看 首先是数据传输的速度太慢 第二是没有安全 可靠的结账 方式 这严重制约着电子商务的发展 第三是 IT 技术的发展速度太快 商务模 式的形成和人们使用习惯的养成都需要一定的时间 虽然技术不断发展 但社 会对技术的认同是有阶段的 这使得用户和经营者都难以消化 难以跟上这种 快速发展的步伐 第四是难以及时处理用户的有关问题 开通一个网站 如果 一段时间以后用户的反馈多了 网络的速度就会慢下来 这也许是线路本身的 问题 但也存在技术处理的问题 目前尚没有解决的良策 第五是在安全保障 上 难以防范现在的网络犯罪 特别是黑客的攻击 安全技术的强度普遍不够 国外有关电子商务的安全技术 虽然其结构或 加密技术等都不错 但这种算法 无论是对称的还是非对称的 受到了外国密码 政策的限制 因此强度普遍不够 这种技术用在 B to C 方面还勉强可行 但用 在 B to B 上就显然不够 3 2 安全问题产生的环境原因 网络信息安全在全球还没有形成一个完整的体系 我国也不例外 虽然有关 电子商务安全的产品数量不少 但真正通过认证的却相当少 近两年 有将近 20 家有关电子商务安全的产品申请认证 但最后通过的非常少 这主要是因为 不少安全措施是从网上 down 下来的 另外 不少电子商务安全技术的厂商 对网络技术很熟悉 但是对安全技术普通了解得较少 因而他们很难开发出真 正实用的 安全性足用的安全技术和产品 3 3 安全问题产生的人为原因 从管理上看 存在的主要问题有 1 国内电子商务网站的数目太少 浏览 电子商务网站的用户数量没有期望的那么多 2 电子商务网站的经营收益远低 于预期 使有网络泡沫之虞 3 缺乏能适应中国国情的市场技巧 现在的电子 商务网站动作的市场方式基本上是照搬美国的 在造势上不无奢华 但在收效 上却无殷实 不充分考虑中国人的商业行为和方式 恐怕是难以成功的 4 网 站运营成本太高 由于运行成本居高不下 再好的商业模式也不堪重负 5 收 费困难 除 BtoB 稍好一点外 BtoC 电子商务一直没有找到方便可行的收费方 式 电子商务网站的安全管理存在很大隐患 普遍难以经受黑客的攻击 这个 问题应当引起高度重视 国内电子商务网站被攻击的事件较少并不表示是牢不 可破 而是网站本身很小 没有多少可攻的价值 目前 我国网站所受到黑客的攻击 还不能与美国的相提并论 因为我们 的用户数 规模和级别还是处在很初级的阶段 如果遇到类似于 DDOS 的攻击时 应该引起注意 但不必很惊慌 因为在目前的情况下 一个电子商务网站停一 两天所受的损失不是很大 毕竟业务量和交易额都还不大 从以往遭遇过的攻 击中我们可以得到以下几点启示 1 纯技术难以防范原始攻击方式 如果我们按照西方人的思维方式去思考 不 断的追求和更新安全技术 防火墙可以做得非常强 但如果黑客不去窃取信息 或数据 而只是去阻塞网站 这种非常野蛮的攻击方式用单纯的技术是很难解 决的 而要靠管理或其它的方法去防范 美国电子商务网站遭受那么大规模的 攻击 虽然有技术方面的原因 但总的看来还是一个管理的问题 这里的管理 包括网站的经营者要如何防止自己的网站被攻击 上网的用户如何保证自己的 机器不会无辜地被别人利用 现在网上的安全补丁很多 但很少有人真正用它 或不知道怎么去用 所以 在信息化发展的初期 管理比技术显得更为重要 2 病毒比一般攻击更可怕 现在的病毒 包括恶性代码 破坏性越来越大 现在 电子商务上的交易都是非时间敏感性的项目 所以时效性并不太突出 可怕的 是病毒对数据的破坏 3 从目前的情况看 危及电子商务的首先是病毒或恶意代码 然后是内部人员 滥用计算资源 对此国外强调的比较多 国内强调的比较少 随着技术人员流 动性增大 道德也有待提高 第三是黑客攻击 第四是用户数据的泄漏 第五 是假冒的交易 4 电子商务解决安全问题的对策 4 1 现有解决方案 技术的发展进步已为以上方面提供了可能的解决方案 例如 数字签名 及 信息摘要 可以证实一个信息是否被篡改 一个 数字证书 可以确认一 个发送数字签字信息的人的身份 双重加密 可以实行在线订货付款 而不 让卖方看到信用卡号 国际交易要求 数字签名及认证应该是国际公认和通用 的 而且所有国家都要掌握充分的编码技术 现有电子商务网上支付系统的安全体系结构一般分为三大层次如图 4 3 所 示 1 第一层 基本加密算法 目前广泛采用现代加密技术与以下两种体制 两种体制主要区别是加密解密的密钥不同 对称密钥体制 又称单钥密钥体制 即对信息加解密使用的密码是同一密 码 目前 国际上分组密码最具代表性的是美国数据加密标准 DES DES 的密钥 长度是 56 位 该标准主要应用于银行业中的电子资金转账 EFT 领域 非对称密钥体制 又称公钥密钥体制 即密钥被分解为一对 一把公开密 钥或加密密钥和一把专用密钥或解密密钥 这对密钥中的任何一把都可作为公 开密钥 加密密钥 通过非保密方式向他人公开 而另一把作为专用密钥 解密密 钥 加以保存 2 第二层 安全认证手段 数字摘要 Digital Digest 采用中一向 Hash 函数 将需要加密的信急原文 通 过特定的变换 将其 摘要 成一串 128 位的密文 这串密文又称数字指 纹 它是有固定长度的段代码 且对于不同的信息原文 将它摘要成密文之后 的结果总是不同的 而同样的信息原文所形成的摘要必定是一致的 这样利用 这段摘要 就可以验证通过网络传输收到的文件是否是初始 未被非法修改的 文件原文了 数字信封 Data Envelop 采用密码技术的手段保证只有规定的收信人 才能阅读信的内容的一种安全认证手段 在数字信封中 信息发送方使用密码 对信急进行加密 在利用 RSA 算法对该密码进行加密 则被 RSA 算法加密的密 码部分称之为数字信封 它保证了在网上传输文件信息的保密性和安全性 即 便加密文件被他人非法截获 因为截获者无法得到发送方的通信密钥 不可能 对文件进行加密 数字签名 Digital Signature 只有信息发送者才能产生的别人无法 伪造的一段数据串 这段数据串同时也是对发送者发送了信息的真实性的一个 证明 在书面文件上签名是确认文件的一种手段 作用有两点第一点因为自己 的签名难以否认 从而确认了文件己签署这一事实 第二点因为签名不易冒犯 从而确认了文件是真实这一事实 数字时间戳 Digital Timestamp 数字时间戳服务是网上安全服务项目 由专门的机构提供 数字时间戳是一个经加密后形成的凭证文档 它包括二个 部分 需加时间戳文件的摘要 数字时间戳机构收到文件的数字时间和数字时间 戳机构的数字签名 数字证书和数字凭证 Digital Critical 接收银行系统内部传回来的响应消息 将数据转换为 公网传送的数据格式 并对其进行加密 即支付网关主要完成通信 协议转换 和数据解密功能 并且可以保护银行内部网络 此外 支付网关还具有密钥保 护和证书管理等其它功能 总的来看 解决电子商务网上支付系统的安全问题 目前主要采取访问控制 授权 身份认证 防火墙 加密存储及传达 内容控制 数据备份等措施 通 过访问控制 建立系统内部与外部 系统内部不同信息源之间的隔离机制 通 过授权 对不同用户实行不同层次的访问许可 并监控用户的活动 使其不越 权使用 通过身份认证辨别用户的身份真伪和信用程度 通常采用公共密钥 私 用密钥或用户指纹 声音等特征 实现单因素或多因素认证 加密则是使用最 广泛 也是最有效的手段之一 被应用于系统的各个环节 以保障信息在存储 和传输过程中的一致性 不被非法篡改 隐秘性 不被非法查看 还可使接受 者无法否认曾经收到信息的事实 控制功能则使系统一以出了问题 能够做到问 题再现 数据复查 责任追查等 4 2 现有解决方案中存在的问题 1 安全体系的基础 加密算法存在许多缺陷 现有的私钥密钥体制中 IDFA 和 DES 运行速度很快 但密钥管理很困难 而且 DES 算法 56bits 已被数以万计的网民们用穷举法在 20 余小时联手破译了 可以说 在坚定的网民的面前 DES 已经不安全了 但国内不少银行至今仍用 DES 密码 这是非常不安全的 现有的公钥密钥体制中 国际上比较流行的公钥加密算法有 RSA 算法 EIGamal 和椭圆曲线算法等 其中 RSA 最有名 但 RSA129 模长十进制 129 位 系 统仍然在 1994 年被美国贝尔电报电话公司首席科学家阿捷思 伦斯特拉 Ajen Lenstra 组织下的 43 个国家的 600 多位专家 用 1600 台联网计算机经 8 个月 之久强行破译了 现有的 RSA154 虽不失为强公钥密钥体制之一 但其安全强度 有待加强 其加解密速度太慢 只适于传送私钥密钥体制的密钥 总之 两种密码体制都各有长短 甚至有不安全因素 将之作为整个安全 体系的基础 应用于交易协议 身份认证等各个环节 更是潜伏着无形的隐患 2 电子商务认证体系有待进一步健全 一方而是设立的数量不够和分布不平衡 另一方而是认证程序的普及不够 目前我国国内虽已建有几十家 CA 中心 但都或地域或行业各自为政 形成一个 电子商务时代的 CA 割据局而 使得本来就发展较晚的电子商务更加步履艰难 3 目前仍没有一个完全成熟的标准交易协议 SSL 协议虽然能有效地满足传送中数据的保密性并且保护数据不被修改 但它仍然有一定的缺陷 如客户身份验证 即使在 SSL3 0 中发展了客户身份验 证和数据加密方法 设计 SSL3 0 的应用程序时可能还会出现一些问题 为了实现方便的支付 SET 定义了各种消费模式 如如何实现分期付款 定期付款 分开发运 甚至定义了进行汽车租赁 宾馆消费等消费模式这些模 式主要是按照美国的消费方式 许多消费方式在中国几乎没有开展 或者开展 的情况很少 且 SET 主要支持信用卡消费 这主要是因为美国的信用卡消费非 常普及 SET 协议主要传输持卡者的主账户信息 没有个人密码 PIN 的使用 但是在中国主要使用借记卡 同时由于 SET 应用软件设计复杂 价格居高不下 要实现 SET 支付 持卡者 商家 支付网关和 CA 必须同时支持 SET 因此造成 建设和协调的困难 4 3 提出的安全对策 针对两种密码体制改造现有加密算法和改进密钥管理 并结合数字签名 数字时间戳 数字信封和交易协议等各环节加以应用 如 三重 DES 是 DES 的一 种变形 这种方法使用两个独立的 56 位密钥对交换的信息 如 EDI 数据 进行 3 次加密 从而使密钥长度达到 112 位 利用不等长编码对数据加密的方法 将 几种加密方法混合使用等 同时密切追踪和研究先进加密算法 AES 除了采用普通加 解密系统 近年来出现了信息伪装这一新概念 就是将机 密资料秘密地隐藏于另一非机密文件内容之中 其形式可为任何一种数字媒体 如图像 声音 视频或一般的文档等等 其首要目标是隐藏的技术要好 即要 使加入隐藏信息的目标媒体产生最小的可见性降质 使人无法看到和听到隐藏 的数据 达到令人难以觉察的目的 而更重要的是绝对不能让机密资料曝光 在银行业发展了以卡为中心的业务运用 并建立了卡交换中心的试点工程 逐步实现跨行跨地区的业务运作 在支票签押方而