1、網(wǎng)絡(luò)支付的安全需求及相應(yīng)的 解決對策網(wǎng)絡(luò)支付的安全需求及相應(yīng)的解決對策摘要：電子商務(wù)和網(wǎng)絡(luò)支付在創(chuàng)新的基礎(chǔ)上 飛速發(fā)展，但由于發(fā)展時間短、缺少政府部門監(jiān) 管，整個行業(yè)處于無序發(fā)展的階段。網(wǎng)絡(luò)支付安 全已經(jīng)成為電子商務(wù)應(yīng)用的關(guān)健環(huán)節(jié)，為此，回 顧了網(wǎng)絡(luò)支付的發(fā)展歷史和現(xiàn)狀，討論了目前 市場上幾種主流網(wǎng)絡(luò)支付方式的運(yùn)營模式及盈 利方式。針對網(wǎng)絡(luò)支付可能發(fā)生的風(fēng)險進(jìn)行了分 析，并為促進(jìn)整個電子商務(wù)網(wǎng)絡(luò)支付的健康、 快 速發(fā)展提出新的監(jiān)管建議。本文指出了目前常見 的電子商務(wù)支付安全問題，網(wǎng)絡(luò)支付的安全需 求，并分析了應(yīng)對電子商務(wù)網(wǎng)絡(luò)支付安全問題 的主要技術(shù)及應(yīng)用。關(guān)鍵詞：電子商務(wù) 網(wǎng)絡(luò)支付安全需求 問

2、題解決方案一、網(wǎng)絡(luò)支付的概述網(wǎng)絡(luò)支付，也稱網(wǎng)絡(luò)支付與結(jié)算，它指以 金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以商用電子化工具和各 類交易卡為媒介，采用現(xiàn)代計算機(jī)技術(shù)和通信技 術(shù)作為手段，通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)特別是Internet ,以電子信息傳遞形式來實現(xiàn)資金的流 通和支付。我們也可以將它理解為電子支付的高級方 式。它是電子支付的一個最新發(fā)展階段，以電子商務(wù)為商業(yè)基礎(chǔ)，以商業(yè)銀行為主體，使用安全 的主要基于Internet 平臺的運(yùn)作平臺，通過網(wǎng) 絡(luò)進(jìn)行的、為交易的客戶間提供貨幣支付或資金 流轉(zhuǎn)等的現(xiàn)代化支付結(jié)算手段。從這里可以看 出，基于Internet 的即時網(wǎng)絡(luò)支付是電子商務(wù) 業(yè)務(wù)流程的一個關(guān)鍵環(huán)節(jié)，高水平電

3、子商務(wù)發(fā)展 的需求直接導(dǎo)致網(wǎng)絡(luò)支付結(jié)算的興起。二、網(wǎng)絡(luò)支付的產(chǎn)生網(wǎng)上支付的產(chǎn)生離不開電子商務(wù)，可以說它 們是一對攣生兄弟，對網(wǎng)上支付的產(chǎn)生的分析首 先應(yīng)該從電子商務(wù)發(fā)展談起，他離不開電子商務(wù) 發(fā)展中所呈現(xiàn)的規(guī)律和特點(diǎn)。網(wǎng)上支付就是在網(wǎng) 絡(luò)環(huán)境下利用高新的IT技術(shù)將以電子為載體的 數(shù)字化信息和支付指令通過傳遞、接收和處理， 實現(xiàn)資金價值轉(zhuǎn)移的一種過程。.電子商務(wù)的特點(diǎn)和網(wǎng)上支付的產(chǎn)生商業(yè)市場全球化特點(diǎn)隨著交易區(qū)域和國界的跨越，在網(wǎng)上開辟和 存在一個巨大的全球性商業(yè)市場；這種網(wǎng)上虛擬 市場的出現(xiàn)將使企業(yè)的發(fā)展和生存空間變得越 來越大，而市場的地域界限則變得越來越模糊和 狹小。這種跨地區(qū)和跨國界交易

4、的市場地域界限 的擴(kuò)大，就要求現(xiàn)實社會所提供的支付適應(yīng)這種 市場發(fā)展的需求，于是就要有一種網(wǎng)上支付的新 方式，這就是以電子為載體的支付方式。市場地域界限范圍的擴(kuò)展與傳統(tǒng)支付方式不 適應(yīng)的沖突，是網(wǎng)上電子支付產(chǎn)生的動因。交易方便、快捷的特點(diǎn)電子商務(wù)可使交易者以最快的速度實現(xiàn)其 購買欲望，使顧客足不出戶能購天下物，使百姓 人不出門能辦天下事的夢想成真。這種消費(fèi)對支 付工具多樣化愿望選擇的不斷增強(qiáng)與現(xiàn)實中能 實現(xiàn)的各種支付方式間的差距，是網(wǎng)上支付產(chǎn)生 的第二個動因。能滿足消費(fèi)者個性化需求的特點(diǎn)由于網(wǎng)上信息獲取的暢通，全球信息資源的 共享成為現(xiàn)實可能。交易商品對每個交易這是公 平的，是消費(fèi)者對商品信息

5、的了解不再處在信息 不對稱的的狀態(tài)下，使得消費(fèi)者個性化個性化需 求的欲望增強(qiáng)。因此電子商務(wù)具有了適應(yīng)消費(fèi)者 個性化需求的的明顯交易特點(diǎn)。，也使得消費(fèi)者網(wǎng)上對多樣化支付方式的選擇有不斷增強(qiáng)的需 求，是網(wǎng)上電子支付多樣化產(chǎn)生和出現(xiàn)的根本原 因。低成本滲透的特點(diǎn)電子商務(wù)模式代替根深蒂固的實物交易， 大 大縮短了供、產(chǎn)、銷的時間路徑、空間路徑、人 際路徑和市場路徑，從而極大地降低了采購陳 本、生產(chǎn)成本和銷售成本。減少紙質(zhì)載體的支付 工具的使用，推行非現(xiàn)金支付工具，特別是電子 支付工具。是提供支付服務(wù)的金融和非金融機(jī)構(gòu) 有發(fā)展電子支付需求的經(jīng)濟(jì)動因。高效率和多選擇性特點(diǎn)電子商務(wù)變有形交易為無形交易，變交

6、易場所商 店的現(xiàn)場交易為網(wǎng)上交易場所的虛擬交易，變有 紙交易為無紙交易，無疑給人們的工作方式、生 活方式、思維方式帶來巨大變革。這種電子商務(wù) 高效率多樣化發(fā)展的特點(diǎn)要求網(wǎng)上支付的實時 和高效的相應(yīng)配套是網(wǎng)上支付產(chǎn)生的市場因素。. IT 技術(shù)催生了網(wǎng)上支付的產(chǎn)生網(wǎng)上支付的產(chǎn)生離不開信息安全技術(shù)的發(fā) 展，網(wǎng)上信息安全技術(shù)的發(fā)展催生了網(wǎng)上支付的 出現(xiàn)和發(fā)展。安全技術(shù)是網(wǎng)上支付產(chǎn)生和出現(xiàn)的 基礎(chǔ)，技術(shù)與經(jīng)濟(jì)的關(guān)系在網(wǎng)上支付問題的研究 應(yīng)用中表現(xiàn)得尤為突出 三、網(wǎng)絡(luò)支付的發(fā)展現(xiàn)狀隨著信息技術(shù)的不斷更新?lián)Q代，網(wǎng)絡(luò)支付 的發(fā)展大概經(jīng)歷了 3個不同的階段：支付網(wǎng)關(guān)模 式、第三方擔(dān)保模式和多元網(wǎng)絡(luò)模式。每個階段

7、 都會出現(xiàn)一類創(chuàng)新，并在此類創(chuàng)新的帶動下， 逐漸發(fā)展成為市場和消費(fèi)者認(rèn)可的新的網(wǎng)絡(luò)支 付模式。而與信息技術(shù)的更新?lián)Q代不同，在新模 式建立的同時，原有模式并未被淘汰或退出網(wǎng) 絡(luò)支付市場，而是與新模式共同存在，并互為 平臺、相互促進(jìn)。第一階段 支付網(wǎng)關(guān)模式。這是最早期的網(wǎng) 絡(luò)支付模式。我國各商業(yè)銀行網(wǎng)上銀行的發(fā)展類 似早期銀行卡收單，不同商業(yè)銀行的網(wǎng)上銀行 不能互為平臺，實現(xiàn)資源共享，因此也造成了 一定程度的資源浪費(fèi)并很難向客戶提供更便捷 的服務(wù)和多樣化的選擇，而中國銀聯(lián)對網(wǎng)絡(luò)支 付的反應(yīng)也遠(yuǎn)沒有其他企業(yè)敏感。因此，網(wǎng)絡(luò)支 付企業(yè)開始成為各商家和多家商業(yè)銀行之間的 紐帶，開始向各電子商務(wù)企業(yè)和個人

8、同時提供 多家商業(yè)銀行的支付服務(wù)。這種方式有效地提升 了電子支付連接的效率，并大大降低了各電子 商務(wù)企業(yè)獨(dú)立搭建支付體系的成本，并使個人 享受網(wǎng)絡(luò)支付服務(wù)成為可能。盡管互聯(lián)網(wǎng)大大提 升了效率，但卻也暴露了由非實名制帶來的虛 擬性問題。真實的交易如果加上虛擬的交易無疑 會增加交易雙方的風(fēng)險性，而中國缺少信用體 系的現(xiàn)實也成為交易雙方最大的顧慮。當(dāng)技術(shù)不 再成為網(wǎng)絡(luò)支付的瓶頸后，交易誠信問題開始 變成阻礙網(wǎng)絡(luò)支付的最大絆腳石。于是，獨(dú)立于 交易雙方的第三方擔(dān)保方式順理成章地登上網(wǎng) 絡(luò)支付的舞臺。第二階段第三方擔(dān)保模式。交易雙方所涉 及的交易款項，在交易雙方接受的、相對較短的 時間周期內(nèi)的交易由獨(dú)立

9、第三方保管。 這種模式 將互聯(lián)網(wǎng)的虛擬性所帶來的傷害降到最低，有 效地解決了在非實名制環(huán)境下網(wǎng)絡(luò)交易的安全 問題。第三方擔(dān)保模式不僅能有效地促成交易， 同時在發(fā)展和推廣的過程中培養(yǎng)了廣泛的用戶 群，并引導(dǎo)和設(shè)立了網(wǎng)絡(luò)支付最早期的交易信 用標(biāo)準(zhǔn)。該模式由支付寶于2004年首創(chuàng)，之后支 付寶憑借著這種創(chuàng)新優(yōu)勢，迅速發(fā)展成網(wǎng)絡(luò)支 付的絕對領(lǐng)先者。表面看來，交易雙方的誠信問 題得已保障。然而這一交易環(huán)節(jié)的創(chuàng)新在解決原 有問題的同時又帶來更多新的問題，交易金額 的流轉(zhuǎn)方式甚至有違規(guī)之嫌。在第三方擔(dān)保模式 中的第三方既不是政府，也不是銀行，而是個 性質(zhì)極普通的法人機(jī)構(gòu)。交易雙方由獨(dú)立第三方“監(jiān)管”，但獨(dú)立

10、第三方的公正性如何保證和 由誰監(jiān)管，這也是政府的監(jiān)管機(jī)構(gòu)當(dāng)前所要考 慮的新問題。不過在人行2號令中，對這些問題 都已作了解答。近幾年隨著信息技術(shù)的多樣化， 網(wǎng)絡(luò)支付開始向多元網(wǎng)絡(luò)的方向發(fā)展。第三階段多元網(wǎng)絡(luò)模式。手機(jī)、筆記本等 移動互聯(lián)網(wǎng)終端的快速發(fā)展，使網(wǎng)絡(luò)的概念日 益多元化，用戶可以使用支付賬戶或電子錢包 作為有效且常用的支付工具。目前支付寶手機(jī)客 戶端的累計下載量已接近千萬，手機(jī)支付每天 的交易已經(jīng)超過10萬筆。不難看出，隨著每次信 息技術(shù)的更新?lián)Q代，都必將迎來網(wǎng)絡(luò)支付模式的 革新。盡管現(xiàn)階段前兩種網(wǎng)絡(luò)支付模式仍在網(wǎng)絡(luò) 支付市場中占絕對的主導(dǎo)地位，但未來多元網(wǎng) 絡(luò)模式將是網(wǎng)絡(luò)支付市場發(fā)展

11、的強(qiáng)勁推動力。正 是上述種種創(chuàng)新，才推動了今天網(wǎng)絡(luò)支付行業(yè) 乃至電子商務(wù)行業(yè)的飛速發(fā)展。根據(jù)中國電子商 務(wù)研究中心提供的數(shù)據(jù)，2007年我國網(wǎng)絡(luò)支付 的總額為900乙元人民幣，2008年飛速上升至2 800億元人民幣,2009年再次躍升至5 850乙元人 民幣。網(wǎng)絡(luò)支付已經(jīng)成為社會生活中不可分割的 一部分網(wǎng)絡(luò)支付的發(fā)展過程中出現(xiàn)的問題。四、常見的電子商務(wù)支付的安全問題身份的安全問題身份的真實性是網(wǎng)絡(luò)支付安全的核心。身份 的安全問題中最多的是身份欺詐。支付過程需要 驗證支付雙方或多方的身份信息，攻擊者可能假 冒支付某方的身份，從而破壞被假冒一方的信譽(yù) 或盜取被假冒一方的財產(chǎn)等。例如，利用支付寶

12、等第三方支付的用戶，一旦注冊郵箱被盜用，支 付寶賬戶中的信譽(yù)、支付記錄和資金等都被可能 被盜取。指令終端的安全問題由于網(wǎng)絡(luò)支付采用的指令終端是通用終端， 所以更加容易被病毒、木馬等攻擊。例如，使用 通用PC發(fā)送指令到網(wǎng)銀的支付，目前盜取各種 私有信息的“木馬”和病毒在近幾年極為猖獗。 尤其是網(wǎng)銀病毒出現(xiàn)之后，銀行客戶的資金開始 直接受到威脅。目前被發(fā)現(xiàn)的網(wǎng)銀病毒通常是增 強(qiáng)型的擊鍵記錄器，它們可以監(jiān)控客戶瀏覽器登 錄網(wǎng)上銀行時使用的用戶名和密碼信息， 在用戶 使用證書登錄的時候，還可能以捕獲該證書并發(fā) 送給攻擊者。網(wǎng)銀病毒、鍵盤木馬和網(wǎng)站惡意控 件等問題已經(jīng)嚴(yán)重威脅網(wǎng)絡(luò)支付。傳輸通道的安全問題

13、網(wǎng)絡(luò)支付的傳輸網(wǎng)絡(luò)主要是公共網(wǎng)絡(luò)。由于公共網(wǎng)絡(luò)的開發(fā)性，例如 Internet ,支付數(shù)據(jù) 在互聯(lián)網(wǎng)上的客戶端瀏覽器和服務(wù)器端之間傳 輸。網(wǎng)絡(luò)支付信息被篡改、破解或者偽造，支付 信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中被他人非法修改、刪 除或重用。還有在無線網(wǎng)絡(luò)傳輸支付信息的過程 中，被竊取或修改等問題。指令處理服務(wù)的安全問題指令處理服務(wù)過程可解析出支付指令中包含 的支付類型、賬戶信息、支付金額、支付時間等。 解析過程中存在信息被竊取或篡改的可能性， 指 令處理服務(wù)流程中的數(shù)據(jù)存儲、轉(zhuǎn)發(fā)過程存在漏 洞，可能導(dǎo)致支付相關(guān)信息的泄露。賬戶安全問題賬號安全不僅要保護(hù)賬號及密碼的安全， 而 且要重點(diǎn)防范與賬戶相關(guān)的客

14、戶資料， 如賬戶的 信用、支付記錄、賬戶資金等被盜取等安全風(fēng)險。另外，對于網(wǎng)絡(luò)支付平臺的數(shù)據(jù)安全方面， 外部 入侵和內(nèi)部人員的不規(guī)范操作等，也是賬戶可能 面臨的安全問題。五、網(wǎng)絡(luò)支付的安全需求通過以上對電子商務(wù)網(wǎng)絡(luò)支付安全問題的 探討可以看出，當(dāng)前網(wǎng)絡(luò)支付中存在大量的安 全風(fēng)險。從我國電子商務(wù)發(fā)展的具體實踐來看 網(wǎng)絡(luò)支付的安全需求主要表現(xiàn)在以下幾個方面 ：交易雙方身份認(rèn)證電子商務(wù)活動是在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行的，在網(wǎng)上進(jìn)行交易的用戶互不相識， 要使交易 成功，首先要能確認(rèn)對方的身份是合法的。因此, 方便而可靠地確認(rèn)對方身份是交易的前提， 可以 用數(shù)字證書以及CI認(rèn)證的方式實現(xiàn)對交易用戶 的可認(rèn)證

15、性。交易信息加密且不被識別保密性意味著在參與者之間的通信通道具 有保密性，僅允許目標(biāo)支付方可以看到支付數(shù) 據(jù)。需要對敏感和重要的商業(yè)信息進(jìn)行加密，即 使別人截獲或竊取了數(shù)據(jù)，也無法識別信息的 真實內(nèi)容，這樣就可以使商業(yè)機(jī)密信息難以被泄露。信息完整性可驗證完整性是指在電子支付系統(tǒng)中的支付數(shù)據(jù) ： 不能被未經(jīng)授權(quán)的參與者修改或者破壞 ，保證 一旦支付交易提交，支付數(shù)據(jù)不能非法修改，同 時也確定了支付數(shù)據(jù)的一致。保護(hù)網(wǎng)絡(luò)支付各方 能夠驗證收到的信息是否完整。交易各環(huán)節(jié)不可否認(rèn)在電子商務(wù)通信過程的各個環(huán)節(jié)中都必須是 不可否認(rèn)的，即交易一旦達(dá)成，發(fā)送方和接收方 都不能否認(rèn)他所發(fā)出和收到的信息，從而實現(xiàn)

16、有效防止支付欺詐行為的發(fā)生，保證支付參與 方對已做交易無法抵賴。不可偽造性電子交易文件也要能做到不可修改。六、針對網(wǎng)絡(luò)支付安全問題的解決方案通過對傳統(tǒng)信息安全技術(shù)如加密技術(shù)、身份 認(rèn)證技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)、存取 訪問控制技術(shù)、人侵檢測技術(shù)等的應(yīng)用研究，可 以看出，上述安全技術(shù)主要針對網(wǎng)絡(luò)計算機(jī)系 統(tǒng)的安全所采取的防范、監(jiān)控手段，對于電子商 務(wù)中的客戶端一這一最源頭、最基的商務(wù)安全防范，則缺乏有效控制管理的技術(shù)手段加以約束 和防范.CA認(rèn)證中心CA (Certificate Authority )認(rèn)證中心，是 采用 PKI (Public Key Infrastructure )公開

17、密鑰 基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù) 責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威的、可信賴 的和公正的第三方信任機(jī)構(gòu)，它通過第三方認(rèn) 證的形式，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上 交易的實體所需的數(shù)字證書。作為一個權(quán)威的第三方機(jī)構(gòu)，通過對密鑰進(jìn) 行有效地管理，頒發(fā)證書證明密鑰的有效性，并 將公開密鑰同電子商務(wù)的參與群體，如消費(fèi)者、 商戶和銀行等聯(lián)系在一起，利用數(shù)字證書、PKI、 對稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù) 可以建立起安全程度極高的加解密和身份認(rèn)證 系統(tǒng)，確保電子交易有效、安全地進(jìn)行，從而使 信息除發(fā)送方和接收方外，防止電子商務(wù)交易 中一些重要數(shù)據(jù)、文件在傳輸過程中被竊取篡 改、網(wǎng)

18、絡(luò)欺詐、網(wǎng)絡(luò)攻擊等問題的威脅，保障電 子商務(wù)的網(wǎng)絡(luò)支付安全。目前，CA技術(shù)已經(jīng)成 為保障電子商務(wù)網(wǎng)絡(luò)支付安全的核心技術(shù)。PK I 體系公鑰基礎(chǔ)結(jié)構(gòu)伊KD是由數(shù)字證書、證書頒 發(fā)機(jī)構(gòu)（以）以及核實和驗證通過公鑰加密方法進(jìn) 行電子交易的每一方的合法性的其他注冊頒發(fā) 機(jī)構(gòu)所構(gòu)成的系統(tǒng)。PKI的基礎(chǔ)技術(shù)包括加巨 密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙 重數(shù)字簽名等。目前作為電子商務(wù)必要組成部分 的公鑰基礎(chǔ)結(jié)構(gòu)少助己被廣泛應(yīng)用。通過PKI體系，電子商務(wù)的交易雙方，如 商家和客戶，可以共同信任簽發(fā)其數(shù)字證書的 認(rèn)證中心（CA）,采用數(shù)字證書的應(yīng)用軟件和 CA 信任的機(jī)制，從而促成網(wǎng)絡(luò)支付的安全。例如

19、要進(jìn)行在線交易時，或者是在線支付，如果有相 同客戶端瀏覽器中根證書列表中包含了它所信 任CA的根證書，當(dāng)瀏覽器需要驗證一個數(shù)字 證書的合法性的時候，此瀏覽器首先從其根證 書列表中查找簽發(fā)該數(shù)字證書的認(rèn)證中心根證 書，如果該認(rèn)證中心根證書存在于瀏覽器的根 證書列表中并驗證通過后，瀏覽器承認(rèn)此站點(diǎn) 的具有合法身份并顯示此站點(diǎn)的網(wǎng)頁。 在這種情 況，網(wǎng)絡(luò)支付就有了安全的保障。如果該認(rèn)證中 心根證書不在信任以根證書列表中，瀏覽器會顯示警告信息并詢問是否要信任這個。當(dāng)網(wǎng)絡(luò)支付的用戶遇到這種情況，就可以通過其他手段 來查詢該網(wǎng)站是否會對支付安全造成，從而決 定是否信任該網(wǎng)站，避免不必要的損失。生物識別技術(shù)

20、的應(yīng)用趨勢生物識別技術(shù)(Biometric Identification Technology)是利用人體生物特征進(jìn)行身份認(rèn)證 的一種技術(shù)。生物識別技術(shù)是目前最為方便與安 全的識別技術(shù)，它不需要記住復(fù)雜的密碼，也不 需隨身攜帶鑰匙、智能卡之類的東西。其認(rèn)定的 是人本身，由于每個人的生物特征具有與其他人 不同的唯一性和在一定時期內(nèi)不變的穩(wěn)定性 不易偽造和假冒，所以利用生物識別技術(shù)進(jìn)行 身份認(rèn)定，安全、可靠、準(zhǔn)確。此外，生物識別 技術(shù)產(chǎn)品借助于現(xiàn)代計算機(jī)技術(shù)實現(xiàn)，很容易 配合電腦和安全、監(jiān)控、管理系統(tǒng)整合，實現(xiàn)自 動化管理。目前已經(jīng)成為計算機(jī)信息時代電子支 付安全的重要應(yīng)用趨勢。電子支付安全協(xié)議目前,SSL安全協(xié)議和SET安全協(xié)議已經(jīng) 被廣泛地應(yīng)用在電子商務(wù)活動中的安全支付環(huán) 節(jié)。SET采用公鑰機(jī)制、信息摘要和認(rèn)證體系基于TC助P協(xié)議之上的應(yīng)用程序，主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。SSL中也采用了公鑰機(jī)制、信息摘要和MAC檢測，可以 提