電子商務安全支付研究[內(nèi)容摘要]總結(jié)常用的安全電子商務技術，重點討論各種網(wǎng)絡支付方式的流程及支付交易安全原則。[本文關鍵詞語]電子商務網(wǎng)絡支付支付交易安全隨著internet的迅速發(fā)展和廣泛應用，人們開始習慣于利用開放快捷的網(wǎng)絡進行各種采購和交易，進而導致了電子商務的出現(xiàn)，并使其成為業(yè)界新熱門。電子商務的顯著特點就是增長貿(mào)易時機，降低貿(mào)易成本，簡化貿(mào)易流程，提升貿(mào)易效率。在交易經(jīng)過中，消費者、商家、企業(yè)、中間構(gòu)造和銀行等需要通過internet網(wǎng)絡進行資金的流轉(zhuǎn)，這就需要通過網(wǎng)絡支付或電子支付的手段來實現(xiàn).因而，電子商務活動必定牽涉到支付，安全有效的支付是電子商務的主要環(huán)節(jié).從技術上講，電子商務最關鍵的問題是怎樣安全地實現(xiàn)支付功能，并保證交易各方的安全保密。因而，支付安全是整個電子商務安全的瓶頸。一、電子商務對網(wǎng)上支付安全性的要求網(wǎng)上支付牽涉到大量資金流的轉(zhuǎn)移以及個人隱私或商業(yè)機密，而這種支付是發(fā)生在開放性水平非常高的互聯(lián)網(wǎng)，未經(jīng)保衛(wèi)的支付數(shù)據(jù)極易被競爭對手獲取，造成嚴重損失。一個安全的支付系統(tǒng)至少應具備下面基本功能：1.數(shù)據(jù)保密：交易經(jīng)過中產(chǎn)生的與支付有關的數(shù)據(jù)應該被嚴格保密，除交易雙方以及被受權第三方外，均無法〔或很難〕看懂交易數(shù)據(jù)，保衛(wèi)交易的私密性。2.數(shù)據(jù)完好：支付數(shù)據(jù)在網(wǎng)絡上傳輸經(jīng)過中的完好性和有效性，即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應該是一樣的、未經(jīng)更改的。數(shù)據(jù)輸入時的意外錯誤過失或欺詐行為，數(shù)據(jù)傳輸中信息的丟失、反復、錯序、被改動，都可能導致貿(mào)易各方信息的差別。因而，網(wǎng)上交易的信息要能做到確保其完好性，即要求接收者收到的數(shù)據(jù)與原始數(shù)據(jù)一樣。3.身份認證：網(wǎng)上支付是在交易雙方不見面的情況下進行的，因此保證對方的確是即將要進行的交易的另一方是非常主要的，它將關系到電子商務交易的成敗。4.訪問控制：在身份認證完成后，支付系統(tǒng)便可確定此用戶有何種權限，這種權限能訪問到哪些受保衛(wèi)的數(shù)據(jù)。5.審計能力：網(wǎng)上支付數(shù)據(jù)是非常主要和敏感的，具體記錄用戶和系統(tǒng)的行為對事后審計的意義無疑是宏大的。二、網(wǎng)上安全支付技術1.數(shù)據(jù)加密技術。數(shù)據(jù)加密是保證網(wǎng)絡通信機密性的常用手段，其基本原理是用基于數(shù)學算法的程序和保密的密匙對信息進行編碼，生成難以理解的字符串，即把明文變成密文的經(jīng)過，反之，把密文改變成明文的經(jīng)過稱之為解密?？蛻粼诰W(wǎng)上支付時，支付數(shù)據(jù)首先被加密，加密后的數(shù)據(jù)經(jīng)過互聯(lián)網(wǎng)傳輸?shù)浇灰椎牧硪环?，承受支付方用事先約定好的密匙對加密數(shù)據(jù)進行解密，就能夠?qū)崿F(xiàn)支付雙方機密的。數(shù)據(jù)加密不同于信息的隱藏，它的目的并不是不讓人看見文字，數(shù)據(jù)加密只是將信息轉(zhuǎn)化為可見的但看不出意義的字符串。根據(jù)數(shù)據(jù)加密和解密使用同樣的密碼與否，有兩類加密體制，即對稱加密體制〔私有密鑰加密體制〕和非對稱加密體制〔公開密鑰加密體制〕。技術。網(wǎng)上支付首先是要確定網(wǎng)上參與交易的各方〔如持卡消費戶、商戶、收單銀行的支付網(wǎng)關等〕的身份，當前廣泛采取的pki〔publickeyinfrastructure，公鑰基礎設備〕體系構(gòu)造采取證書管理公鑰，通過第三方可信機構(gòu)ca(certificateauthority)管理公鑰，把用戶的公鑰和用戶的其他標識信息捆綁在數(shù)字證書中，相應的數(shù)字證書〔digitalcertificate〕就是代表用戶的身份的。通過檢查數(shù)字證書就可方便確實認對方的身份。另外，pki體系構(gòu)造把對稱加密體制和非對稱加密體制結(jié)合起來，實現(xiàn)了密鑰的自動管理。3.數(shù)字證書與ca。數(shù)字證書是實現(xiàn)網(wǎng)上支付認證的基本技術，能夠用來驗證用戶或網(wǎng)站的身份。利用數(shù)字證書提供的功能，能夠方便的實現(xiàn)網(wǎng)絡數(shù)字簽名、數(shù)字信封，結(jié)合數(shù)字內(nèi)容摘要技術則能夠?qū)崿F(xiàn)網(wǎng)上支付數(shù)據(jù)完好性和不可否認性。數(shù)字證書是由權威的、公正的認證機構(gòu)管理的，稱為證書權威機構(gòu)〔ca〕。各級認證機構(gòu)根據(jù)根認證中心〔rootca〕、品牌認證中心〔brandca〕以及持卡人、商戶或收單銀行〔acquirer〕的支付網(wǎng)關認證中心〔holdcardca,merchantca或paymentgatewayca〕由上而下按條理構(gòu)造建立的。和set。ssl即安全套接層協(xié)議〔securesocketlayerprotocol〕，由netscape公司提出，它支持兩臺計算機間的安全連接。ssl協(xié)議工作tcp/ip的傳輸層和應用層之間，由ssl記錄協(xié)議、ssl握手協(xié)議和ssl警報協(xié)議構(gòu)成。ssl利用數(shù)字證書和加密技術透明地自動完成發(fā)出信息的加密和收到信息的解密工作。set即安全電子交易協(xié)議〔secureelectrictranscations〕，是由visa國際組織和萬事達組織共同制訂的一個能保證通過開放網(wǎng)絡進行安全資金支付的技術標準。set在保留對客戶的信譽卡認證的前提下，又增長了對商家身份的認證，這對于需要支付貨幣的交易來說是非常主要的，由于設計上很合理，得到了廣泛的應用。set在許多方面優(yōu)于ssl協(xié)議，但set過于復雜和繁瑣，大量交易同時進行時交易速度遭到影響。三、網(wǎng)上安全支付方法1.智能卡支付。嚴格來說使用智能卡支付網(wǎng)上交易貨款并不是真正意義上的網(wǎng)上支付，支付經(jīng)過實際上發(fā)生在網(wǎng)上商戶和銀行之間，交易安全性基本由商家的信譽決定，對買家來說存在被欺詐的風險。但這卻是經(jīng)常使用的網(wǎng)上交易的資金支付方法。其基本流程為：〔1〕在實際商品、相關效勞與資金流動發(fā)生之前，由客戶通過安全方式將智能卡信息傳送給商家；〔2〕商家驗證客戶身份為智能卡賬戶所有者；〔3〕商家把智能卡收費信息和數(shù)字簽名發(fā)送給其銀行或在線智能卡處理器；〔4〕銀行或處理方把信息送給客戶銀行進行受權；〔5〕客戶銀行為商戶返回智能卡數(shù)據(jù)、收費確認和受權；〔6〕網(wǎng)上智能卡支付完成。2.電子支票支付。電子支支票和傳統(tǒng)的支票形式幾乎有著同樣的功能和內(nèi)容；不同于傳的支票人為簽名，電子支票需要經(jīng)過數(shù)字簽名，被支付人數(shù)字簽名反面，使用數(shù)字憑證確認支付者，被支付者身份支付銀行和賬戶。金融機構(gòu)使用已簽名和認證的電子支票進行賬戶存儲。其基本流程為：〔1〕購買電子支票：買方首先必需在提供電子支票效勞的銀行注冊、開具電子支票，注冊時可能需要需要輸入信譽卡和銀行賬戶信息，以支持開設支票、電子支票應具有銀行的數(shù)字簽名?！?〕電子支票付款：買方用自己的私鑰在電子支票上進行數(shù)字簽名，用賣方的公鑰加密電子支票。只在賣方能夠收到已使用賣方公鑰加密了電子支票，用買方的公鑰確認買方的數(shù)字簽名后，向銀行進一步認證電子支票后即可發(fā)貨給買方?！?〕清算：付款人銀行和收款人銀行通過類似自動清算網(wǎng)絡進行清算，并對清算結(jié)果向付款的和收款人進行反應?！?〕銀行進一步確認電子支票；賣方發(fā)貨給買方。3.電子現(xiàn)金支付。電子現(xiàn)金也叫數(shù)字現(xiàn)金，是數(shù)字化的現(xiàn)金，擁有現(xiàn)金的大部分優(yōu)點卻沒有現(xiàn)金的缺點，電子現(xiàn)金十分適用于實現(xiàn)低成本的在線小額支付。當前，數(shù)據(jù)安全保衛(wèi)等技術已經(jīng)基本能夠保障數(shù)據(jù)自己的安全性，像數(shù)據(jù)被改動這類惡性事件發(fā)生的概率很低，基本能夠保證網(wǎng)上資金支付的成功。但是網(wǎng)上支付技術不是萬能的，這些技術只能保證資金劃撥成功，卻無法保證交易的最終成功。網(wǎng)上欺詐事件還是時見報道。因而，用戶在進行網(wǎng)上交易時應盡量選擇安全的支付方式，比方安付通或支付寶這樣的有第三方參與交易的支付方式。4.微支付系統(tǒng)。在知足安全性的前提下，有晝少的信息輿、較低的管理和存儲需求，即速度和效率要求比較高，這種支付形式稱為微支付或小額支付，當前國內(nèi)應用最廣泛的網(wǎng)上短消息效勞屬于典型的微支付方式。5.移動支付。移動支付也稱手機支付，就是允許移動用戶使用其移動終端〔通常是手機〕對所消費的商品或效勞進行賬務支付的一種效勞方式。它首先在發(fā)達國家被應用，隨后在全球推廣。移動支付的一個主要方向，是使手機成為真正的“電子錢包〞，比方在交通運輸、超市購物、餐館消費等領域?qū)崿F(xiàn)“手機支付〞。四、支付交易安全所有電子支付系統(tǒng)和所有支付手段的包含下面幾個方面：1.用戶匿名性:在網(wǎng)絡中交易中保衛(wèi)用戶的身份不泄密。2.地址不可跟蹤性：防止支付交易進行的地點泄密。3.買方匿名性：保衛(wèi)支付交易中買方的身份不泄密。4.支付交易不可跟蹤性：防止同一客戶的不同支付交易鏈接起來。5.支付交易數(shù)據(jù)的機密性：有選擇地保衛(wèi)支付交易數(shù)據(jù)的特定部分，免于泄密給未受權的參與方中的指定參與方。6.支付交易消息的新鮮性：防止支付交易消息的重放。當前，數(shù)據(jù)安全保衛(wèi)等技術已經(jīng)基本能夠保障數(shù)據(jù)自己的安全性，像數(shù)據(jù)被改動這類惡性事件發(fā)生的概率很低，基本能夠保證網(wǎng)上資金支付的成功。但是網(wǎng)上支付技術不是萬能的，這些技術只能保證資金劃撥成功，卻無法保證交易的最終成功。網(wǎng)上欺詐事件還是時見報道