浅谈电子商务网上支付安全问题

1、 信息安全技术课程论文题目：浅谈电子商务网上支付安全问题学科专业：计科职111 指导教师：曾劼 学生姓名：程能云 学生学号：1120020322 中国贵州贵阳 2013年12月 第1章 电子商务及网上支付概述1.1研究意义全球经济发展正在进入信息经济时代，21世纪是个信息化的世界，信息交换在21世纪已经渐渐成为一种趋势，同时，有专家预测电子商务是未来25年内世界经济发展的一个重要推动力，其产生的作用甚至可以与200年以前工业革命对经济发展的促进作用相媲美。正像江泽民主席在APEC第六次领导人非正式会议上指出的那样：“电子商务代表着未来贸易方式发展的方向，其应用推广将给各成员带来更多的贸易机会。

2、”与传统商务模式相比，电子商务将对人类社会生活产生重大影响，也必将对我国传统产业的改造和提升发挥积极的推进作用。随着电子商务的发展，在网上进行商品的交换越来越成为一种趋势，同时随之而来的是电子商务网上支付问题的以及安全问题的产生，研究这个课题有助于对电子商务以及安全问题有一个体系的了解，同时提高对网上支付的安全意识。1.2研究背景电子 商务作为一种新型网上在线贸易方式，使 企业 与消费者摆脱了传统的商业中介的束缚，但是电子商务交易中最为重要的环节一一网上支付，其安全问题依然是阻碍电子商务快速发展的瓶颈之一。首先给出现有的网上支付工具及其特点，然后对现阶段网上支付的安全问题进行了分析，最后提出了

3、解决这些安全问题的若干对策。1.3 电子商务定义及发展现状1.3.1 定义电子商务源于英文Electronic Commerce，简写为EC。电子商务通常是指是在全球各地广泛的商业贸易活动中，在互联网环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。1.3.2电子商务的发展现状中国电子商务研究中心数据显示，截止到2012年底，中国电子商务市场交易规模达7.85万亿人民币，同比增长30.83%。其中，B2B电子商务交易额达6.25万亿，同比增长

4、27%。而2011年全年，中国电子商务市场交易额达6万亿人民币，同比增长33%，占GDP比重上升到13%；2012年，电子商务占GDP的比重已经高达15%。预计2013年我国电子商务规模将突破十万亿大关。中国电子商务研究中心数据显示，截止到2012年底，中国网络零售市场（包括B2C和C2C）交易规模突破1万亿大关，达13205亿元，同比增长64.7%，占到社会消费品零售总额的6.3%。而2011年全年，网络零售市场交易额达8019亿人民币，同比增长55.98%，已占到了社会消费品零售总额的4.4%。2008年我国网购交易额增长率自120%以上水平逐年下降，从高速转为快速增长。随着基数不断扩大，

5、市场总份额拓展进入新阶段以及网购消费理性化，网购增速在未来几年内可能会自然回落。从人口增速和消费人群看，人口增速较为稳定，20至40岁的消费人群使用网购消费的模式几近固定，这些因素决定了网购交易额将在一定水平上趋于平稳增长。随着智能手机在中国的日渐普及，移动电子商务在中国将进入快速发展期。13年1季度，移动网购交易额再创新高，达到266.6亿元，同比增长250.3%。占互联网购物比例从11年1季度的0.7%提升至13年1季度的7.6%，两年时间提升10倍。其爆发性的增长催生出的市场空间可能不亚于现有的基于PC端的网购市场。图2 2011-2013移动网购交易额变化1.4网上支付系统的构成基于互

6、联网的电子交易支付系统由客户、商家、认证中心、支付网关、客户银行、商家银行和银行网络七个部分组成。1.4.1商家商家是指向客户提供商品或服务的单位或个人。在电子支付系统中，它必须能够根据客户发出的支付指令向金融机构请求结算，这一过程一般是由商家设置的一台专门的服务器来处理的。1.4.2客户一般是指利用电子交易手段与企业或商家进行电子交易活动的单位或个人。它们通过电子交易平台与商家交流信息，签订交易合同，用自己拥有的网络支付工具进行支付。1.4.3支付网关支付网关是完成银行网络和因特网之间的通信、协议转换和进行数据加、解密，保护银行内部网络安全的一组服务器。它是互联网公用网络平台和银行内部的金融

7、专用网络平台之间的安全接口，电子支付的信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统。不过2013年淘宝的支付体系里面可以实行快捷支付，没有通过银行网关，在一定程度上是增加了支付安全的风险。1.4.4认证中心认证中心是交易各方都信任的公正的第三方中介机构，它主要负责为参与电子交易活动的各方发放和维护数字证书，以确认各方的真实身份，保证电子交易整个过程的安全稳定进行。目前比较大型和具有知名度的第三方认证中心是支付宝，财付通。1.4.5客户银行客户银行是指为客户提供资金账户和网络支付工具的银行，在利用银行卡作为支付工具的网络支付体系中，客户银行又被称为发卡行。客户银行根据不同的政策和

8、规定，保证支付工具的真实性，并保证对每一笔认证交易的付款。1.4.6商家银行商家银行是为商家提供资金账户的银行，因为商家银行是依据商家提供的合法账单来工作的，所以又被称为收单行。客户向商家发送订单和支付指令，商家将收到的订单留下，将客户的支付指令提交给商家银行，然后商家银行向客户银行发出支付授权请求，并进行它们之间的清算工作。1.4.7银行网络银行网络是银行内部及各银行之间交流信息的封闭的专用网络，通常具有较高的稳定性和安全性。CA信用体系客户：支付工具商家：后台服务器支付网关支付网关商家银行：处理账单银行网络客户银行：提供支付工具Internet 网上电子支付基本组成及关系第2章 电子商务网

9、上支付的工具及其特点2.1银行卡在线转帐支付是我国应用非常普遍的电子支付模式，付款人可使用申请了在线转帐功能的银行卡转移资金到收款人银行账户中。从商家购买产品时，客户可以通过电话告知信用卡号以及接收确认信息;银行同时也接收同样的信息，并且响应地校对用户和商家的账号。如果这样的信息在线传送，必须经过加密处理。其特点：使用银行卡的商店数量在全世界范围内相当多，用户一般不会受地域的限制。2.2各种数字现金和电子货币各种数字现金和电子货币。这种支付形式传送的是真正的“价值”和“金钱”本身。前面两种交易中，信息的丢失往往是信用卡号码，而这种交易中偷窃信息，不仅仅是信息丢失，往往也是财产的真正丢失。根据支

10、付手段又可以分为电子信用卡支付、Smart Card支付、电子现金支付、电子支票支付等。 2.3第三方支付是具备良好信誉和一定的技术能力的第三方独立机构，采用与各大银行签约的方式，使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。这样第三方机构就能实现在消费者与各个银行，以及最终的收款人之间建立一个支付的流程。主要是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在通过在线支付在网上把钱付给支付宝公司，支付宝收到货款之后通知卖家发货，等买家收到货物之后再通过确认收货通知支付宝，支付宝才把钱转到卖家的账户上。在整个交易过程中，如果出现欺诈行为，平台提供方将进行

11、赔付。这种第三方代收款制度，不仅保证了双方资金的安全，还可担任货物的信用中介，从而约束交易双方行为，在一定程度上提高了消费者对网上购物的可信度，大大减少了网络交易欺诈行为。2.3.1第三方支付模式分析 电子商务网上支付模式中，使用“信任的第三方”比较常见和普及，因为第三方支付平台是在商家与消费者之间建立了一个公共可信任的中介。它满足了电子商务中商家和消费者对信誉和安全的要求，它的出现和发展说明该方式满足市场发展的必然需求。现以该模式为样本，简要分析其原理。第三方支付一般的运行模式为：买方选购商品后，使用第三方平台提供的账户进行货款支付，第三方在收到代为保管的货款后，通知卖家货款到账，要求商家发

12、货；买方收到货物、检验商品并确认后，通知第三方付款；第三方将其款项转划至卖家账户上。这一交易完成过程的实质是一种提供结算信用担保的中介服务方式。以B2C交易为例，其支付交易流程如图。(1)消费者在电子商务网站选购商品，买卖双方在网上达成交易意向。(2)消费者选择第三方支付平台作为交易中介，用借记卡或信用卡将货款划到第三方账户，设定发货期限。(3)第三方支付平台通知商家消费者的货款到账，要求商家在规定时间内发货。(4)商家收到消费者已付款的通知按订单发货，并在网站上做相应记录，消费者可在网站上查看所购买商品的状态；如果商家没有发货，则第三方支付平台通知顾客交易失败，并询问将货款划回其账户还是暂存

13、在支付平台。(5)消费者收到货物并确认满意后通知第三方支付平台。如果对商品不满意，或认为与商家承诺有出入，可通知第三方支付平台拒付货款并将货物退回商家。(6)消费者满意，第三方支付平台将货款划入商家账户，交易完成；顾客对货物不满，第三方支付平台确认商家收到退货后，将该商品货款划回消费者账户或暂存在第三方账户中。 2.3.2 第三方支付市场分析 2013Q2中国第三方互联网支付市场交易规模达11216.5亿，环比增长10.2%，同比增速持续下滑。网购、航空、游戏等细分市场已经趋于饱和，整体行业正逐渐步入稳定增长的成熟发展阶段；网购等成熟市场利润趋薄，市场集中度持续增强；伴随着移动互联网支付市场的

14、崛起，以信用卡还款、日常缴费、电信充值为代表的部分C端业务正在迅速向移动端迁移。 图3 中国第三方互联网支付业务交易规模在现实的我国电子商务交易中，已经出现并开始运用了第三方支付模式，但仍然存在很多问题，相关法律法规不健全等等。要想突破电子商务支付这个电子商务发展的重大瓶颈，我们还有很多工作要做。第3章 网上支付安全问题网上支付安全问题是每一位在网上进行交易是都很关心的问题，交易直接涉及到我们的银行卡或者其他支付方式里面的金额问题，必须在交易中保证交易双方的金额安全，那么造成网上交易安全的威胁来自哪些方面呢？或者说是有什么漏洞造成这些安全问题的发生。3.1硬件方面电子商务的基础是网络，没有网络

15、，信息流就不会流通，当然谈不上电子商务，而网络的物理支撑是各种硬件设施，这些硬件设施会由于各种原因带来安全风险。硬件安全问题虽然发生的概率不大，但是一旦发生，其影响巨大。一旦发生将会给有关企业和个人造成巨大影响和严重经济损失。3.2软件方面交易网络的形成不仅需要计算机硬件设备，更需要相应的软件，各种软件是网络运行所必需，也是电子商务的另一个支撑点。由于技术方面或者人为方面的原因，各种软件都会存在不可避免的缺陷和漏洞，而且目前软件的多样性和复杂性，在使用中也会有突现各种问题，导致电子商务系统中存在技术误差和安全漏洞。比如，个别软件可能会因为自身的缺陷，在某些的情况下，可能造成系统运行故障。3.3

16、应用方面第一点 企业管理水平低，人员素质不高电子商务在最近几年飞速发展，专业的电子商务人才得不到及时充分的补充，缺乏足够的技术来处理所遇到的各种问题。许多企业技术人员的技术水平较低，不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索前进的阶段，综合管理的水平不高，处理事务的效率低下。这些因素都会导致电子商务带交易的安全隐患。第二点 消费者相关知识贫乏，安全意识不高从总体上讲，电子商务这种新型的购物方式最近今年才的到普及，广大消费者对于他还比较陌生，缺乏相应的知识，还不能十分熟练的应用这一新的交易手段，有操作失误的导致等安全隐患存在。例如：有的消费者缺乏安全意识，不注意保护自己支付

17、密码等关键重要信息，容易导致资金损失等；有的消费者对真假信息判断能力差，容易上当受骗；有的消费者对网络交易的流程不够了解，容易导致操作失误等。3.4 网络攻击、商业欺诈等违法犯罪行为以经济利益为目的的获取机密信息或者破坏为目的的网络攻击是电子商务另外一个重要安全隐患。主要以窃取信息等经济利益为目的的病毒攻击、木马程序，以及其他各种形式的网络攻击。这些网络攻击行为会导致企业和个人的信息被盗，资金被窃取，甚至可能导致企业电子商务系统崩溃。3.5 电子商务法律法规不完善电子商务是一种新型的商务，由此衍生了新的法律问题，例如交易纠纷的仲裁等问题，急需要出台相应的法律来保障消费者和企业的权益。由于电子商

18、务发展较快，我国有关的立法工作还没有来的及跟上电子商务发展的脚步，显得落后，出现了法律空白，使许多电子商务纠纷的无法可依，这成为电子商务中一个重要安全隐患。3.6 诚信缺乏诚信经营是经济贸易的前提条件。正是由于电子商务的开放性、虚拟性，交易双方不直接见面，真实身份的确认等方面都存有很大困难。因此，对于电子商务而言，信用风险远较传统交易发生的概率相当大。我国电子商务目前主要就是缺乏诚信，因为整个社会信用体系不完善，这使得利用互联网进行商务交易的企业和个人带来不可预料的风险。例如商业欺诈、交易信息泄露、个人隐私问题、商业信用问题、是否真实交易等。其典型表现为：消费者在网上看到的商品和实际收到的商品

19、有明显区别；有质量问题的商品不能顺利退回，而且有可能损失邮费；网上支付存在不安全的风险。第四章 在线支付安全问题解决措施保护一个系统不会受到未经授权的访问，使系统的正常工作不会被非法干预。电子商务系统安全必须具有保密性、完整性及可用性三个特征。4.1技术方面的对策4.1.1数据加密。数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足信息完整性的要求，它是通过一定的加密算法，利用密钥(Secret keys)来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。4.1.2数

20、字签名数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个散列值(或报文摘要)，发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。4.1.3安全协议在国际上，比较有代表性的电子支付安全协议有SSL和SET。SSL(安全槽层)协议是由Netscape公司研究

21、制定的安全协议。通俗地说，SSL就是客户和商家在通信之前，在Internet上建立了一个“秘密传输信息的信道”，来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个问题没有引

22、起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的认证问题也就越来越突出，SSL的缺点就会逐渐暴露出来，SSL协议也就逐渐被新的SET协议所代替。4.2法制方面的对策4.2.1 加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求，并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度，以及对失信者的惩戒制度方面都还十分落后，甚至存在空白。应当承认我国还属于非诚信国家，信用制度还很不健全。我们应当着手网上支付信用机制的建设，建立个人社会信

23、用体系，及时收集和反馈用户信息并做出相应解决方案，促进用户建立网络信用。4.2.2加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管，规范市场主体行为。首先要加强对网络银行的监管：网上银行不同于传统银行，应该制定新的准入条件，加强对客户开户的监管，落实责任审查客户资料等信息，明确网上银行业务终止条件、清算办法等，制定电子货币退出机制，规范电子货币市场;其次要加强对第三方支付机构的监管，要让第三方支付机构受银监会监督，第三方无权动用客户资金，必须确保资金安全和支付的效率。4.3管理方面的对策在管理方面，由于网上支付涉及到许多部门和机构，容易造成混乱的局面。通常来说，电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此，统一而先进的管理和规范就显得尤为重要。例如，各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的，但总离不开人的介入。从世界范围内的经验可以知道，银行系统资金不安全或者各类诈骗活动的发生，不