电子商务支付平台的安全问题

《网上支付与电子银行》课程设计报告

电子商务支付平台的安全问题

摘要

本文主要论述国内电子商务目前发展的概况，在电子商务高速发展中出现的技术问题、资金管理问题和第三方支付平台安全问题，并对这些问题进行了分析和说明。在此基础上提出了解决办法，这些办法包括技术、管理和用户资金的安全管理方面。进入21世纪，电子商务这种新商业运行模式日渐成熟与完善并随全球经济一体化进程的加快，在世界范围内日渐得到普及与应用。相对于传统商务模式，电子商务具有便捷、高效的特点与优点。电子商务是一个复杂的系统工程，它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。电子商务是网络化的新型经济活动，发展电子商务是以信息化带动工业化,转变经济增长方式,提高国民经济运行质量和效率,对实现我国全面建设小康社会的宏伟目标具有十分重要的意义。在加快发展电子商务的指导思想和基础原则鼓舞下，近年来我国电子商务有飞跃的发展，现已有阿里巴巴、淘宝、支付宝、易支付、腾讯、快钱、财付通、当当商城等电子商务网站和电子支付平台。目前经营额已超过2000亿，客户3亿多。在商务销售中占有一定比例，是我国电子商务走向成功、走向世界的先河。

1电子商务及其支付的一般功能

1.1电子商务功能电子商城具有B2B、B2C、B2G 电子商务交易模式

作为电子商务网站都具有：网上开店以及招商功能；广告宣传、展示商品、咨询洽谈；网上订购及网上资金自动支付功能；用户要在支付平台开设备付金账户；电子商务服务传递；用户意见征询；电子商务的扩展功能；公共事业缴费等。

1.2支付平台一般功能

1）商户：企业订单支付，个人订单支付；2）个人客户：个人订单支付，个人订单退款；3）公共事业：企业账单支付、个人账单支付；4）交易市场：企业订单支付、个人定单支付；5）支付平台：客户资金结算、市场资金结算、差错

处理、备付金存管账户资金头寸调拨；6）银行：交易支付、转账、结算、清算，备付金存管账户管理及监管。

2电子商务及其支付场景

电子商务及其支付平台流程示意图过程简述如下：（1）买方或消费者（用户）在商户网况，和说管站浏览并将商品装入购物车；（2）商户向买方或消费者下单，即发送交易号等订单信息；（3）支付平台接受买方或消费者来自商户的支付请求；（4）支付平台向银行业务后台发送支付请求；（5）银行业务后台接收用户支付请求；（6）支付平台向用户返回处理结果；（7）商户接收支付平台的请求；（8）商户与用户完成交易；（9）公共事业缴费。

3针对电子支付不安全问题的对策

3.1 采用适当的技术手段

通过因特网上进行电子支付最核心的问题是安全问题，我们要解决安全问题，主要通过数据传输，真实性主要用数字证书来解决，机密性主要用数据加密来解决，完整性主要用消息摘要来解决，不可否认性主要用数字签名和事件日志来解决。利用密码技术并通过上边所述的解决方法，人们也制定了很多电子商务协议，用其来达到完成电子商务交易（包括电子支付）的目的。

本人认为可以下几方面来解决安全性问题：

3.1.1可以通过架设防火墙。

它是近来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制防止外部网络用户以非法手段通过外部网络进入内部网络。

3.1.2可以通过数据加密技术。

数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密原理是利用一定的加密算法将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。

3.1.3数字签名技术。

数字签名技术是将摘要用发送者的私钥加密与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务全保密系统中，数字签名技术有着特别重要的地位在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

3.1.4数字时间戳技术。

在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。

3.1.5还可以通过设置电子商务信息和安全协议来进行。

现有的电子商务交易协议有多种，但是目前常用的只SSL和SET两种。①安全套接层协议（SecureSocketsLayerSSL），SSL是由NetscapeCommunication公司1994年设计开发的主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP／IP 的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。②安全电子交易公告(SecureElec—tronic Transactions SET)。SET是为在线交易设立的一个开放的，以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下又增加了对商家身份的认证。SET已成为全球网络的工业标准。③安全超文本传输协议(S—HTTP)。依靠密钥的加密保证Web站点间的交换信息传输的安全性。SHTTP对HTTP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。④安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开，以提高安全控制能力。⑤UN／EDIFACT标准。UN／EDlFACT报文是唯一的国际通用的电子商务标准。

3.1.6 P2P技术与网络信息安全。

P2P(Peer—to-Peer)即对等网络，是近年来广受lT业界关注的一个概念。P2P 是一种分布式网络，它与c／s最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务，同时又是资源或服务的提供者，即兼具CIient和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的，包括通讯、服务和资源消费。

最重要一点，我们要增强消费者的个人信息安全防范意识。在安全问题上，加强支付者对身份验证或使用密码钥匙的常规了解，通过实施防火墙技术、加密技术、认证技术、防病毒软件即时升级来保障交易安全，同时对专业提供网上支付服务和第三方平台作用的企业也应有足够的认知。在产品问题上，当权益受到侵害后，立即向侵权者提示并警告，向法律专家进行咨询，也可以向有关部门及时投诉。如果涉嫌诈骗，及时报案，以保障自身和其他消费者的合法权益。3.2 建立可靠的电子支付信用体系

电子商务作为一种商业活动，信用同样是其存在和发展的基础。电子商务和信用服务都是发展很快的新兴领域，市场前景广阔。从二者的关系看，一方面电子商务需要信用体系，而信用体系也很可能最先在电子商务领域取得广泛的应用并体现其价值。因为电子商务对信用体系的需求最强，没有信用体系支持的电子商务风险极高；而在电子商务的基础上又很容易建立信用体系，电子商务的信息流、资金流、物流再加上电子签章，四者相互呼应交叉形成一个整体，在这个整体之上，只要稍加整合分析，进行技术处理就可以建立信用体系，并且该信用体系对电子商务是可控的。于是，整合电子商务与信用体系，或者建立电子商务的信用体系，就成为一种需求、一种目标、一项任务。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中，买卖双方在每次交易以后可以相互提升信誉度，一名用户的总的信誉度为过6个月中这些信誉度的总和。eBay 依靠一个中心来管理和存储信誉度。同样在一个分布式系统中对等点也可以在每次交易以后相互提升信誉度就象在eBay中一样。例如，对等点i每次从j下载文件时它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的或是被篡