电子商务安全支付研究(一)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全支付研究(一)
摘要]总结常用的安全电子商务技术,重点讨论各种网络支付方式的流程及支付交易安全准则。
关键词]电子商务网络支付支付交易安全
随着Internet的迅速发展和广泛应用,人们开始习惯于利用开放快捷的网络进行各种采购和交易,从而导致了电子商务的出现,并使其成为业界新热点。电子商务的显著特点就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。在交易过程中,消费者、商家、企业、中间结构和银行等需要通过Internet网络进行资金的流转,这就需要通过网络支付或电子支付的手段来实现.因此,电子商务活动必然牵涉到支付,安全有效的支付是电子商务的重要环节.从技术上讲,电子商务最关键的问题是如何安全地实现支付功能,并保证交易各方的安全保密。因此,支付安全是整个电子商务安全的瓶颈。
一、电子商务对网上支付安全性的要求
网上支付涉及到大量资金流的转移以及个人隐私或商业机密,而这种支付是发生在开放性程度非常高的互联网,未经保护的支付数据极易被竞争对手获取,造成严重损失。一个安全的支付系统至少应具备以下基本功能:
1.数据保密:交易过程中产生的与支付有关的数据应该被严格保密,除交易双方以及被授权第三方外,均无法(或很难)看懂交易数据,保护交易的私密性。
2.数据完整:支付数据在网络上传输过程中的完整性和有效性,即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。数据输入时的意外差错或欺诈行为,数据传输中信息的丢失、重复、错序、被篡改,都可能导致贸易各方信息的差异。因此,网上交易的信息要能做到确保其完整性,即要求接收者收到的数据与原始数据相同。
3.身份认证:网上支付是在交易双方不见面的情况下进行的,因而保证对方确实是即将要进行的交易的另一方是非常重要的,它将关系到电子商务交易的成败。
4.访问控制:在身份认证完成后,支付系统便可确定此用户有何种权限,这种权限能访问到哪些受保护的数据。
5.审计能力:网上支付数据是非常重要和敏感的,详细记录用户和系统的行为对事后审计的意义无疑是巨大的。
二、网上安全支付技术
1.数据加密技术。数据加密是保证网络通信机密性的常用手段,其基本原理是用基于数学算法的程序和保密的密匙对信息进行编码,生成难以理解的字符串,即把明文变成密文的过程,反之,把密文转变成明文的过程称之为解密。客户在网上支付时,支付数据首先被加密,加密后的数据经过互联网传输到交易的另一方,接受支付方用事先约定好的密匙对加密数据进行解密,就可以实现支付双方机密的信息通信。数据加密不同于信息的隐藏,它的目的并不是不让人看见文字,数据加密只是将信息转化为可见的但看不出意义的字符串。
根据数据加密和解密使用同样的密码与否,有两类加密体制,即对称加密体制(私有密钥加密体制)和非对称加密体制(公开密钥加密体制)。
2.PKI技术。网上支付首先是要确定网上参与交易的各方(如持卡消费户、商户、收单银行的支付网关等)的身份,目前广泛采用的PKI(PublicKeyInfrastructure,公钥基础设施)体系结构采用证书管理公钥,通过第三方可信机构CA(CertificateAuthority)管理公钥,把用户的公钥和用户的其他标识信息捆绑在数字证书中,相应的数字证书(DigitalCertificate)就是代表用户的身份的。通过检查数字证书就可方便的确认对方的身份。另外,PKI体系结构把对称加密体制和非对称加密体制结合起来,实现了密钥的自动管理。
3.数字证书与CA。数字证书是实现网上支付认证的基本技术,可以用来验证用户或网站的身份。利用数字证书提供的功能,可以方便的实现网络数字签名、数字信封,结合数字摘要
技术则可以实现网上支付数据完整性和不可否认性。
数字证书是由权威的、公正的认证机构管理的,称为证书权威机构(CA)。各级认证机构按照根认证中心(RootCA)、品牌认证中心(BrandCA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(HoldCardCA,MerchantCA或PaymentGatewayCA)由上而下按层次结构建立的。
4.SSL和SET。SSL即安全套接层协议(SecureSocketLayerProtocol),由Netscape公司提出,它支持两台计算机间的安全连接。SSL协议工作TCP/IP的传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成。SSL利用数字证书和加密技术透明地自动完成发出信息的加密和收到信息的解密工作。
SET即安全电子交易协议(SecureElectricTranscations),是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。SET在保留对客户的信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来说是非常重要的,由于设计上很合理,得到了广泛的应用。
SET在很多方面优于SSL协议,但SET过于复杂和繁琐,大量交易同时进行时交易速度受到影响。
三、网上安全支付方法
1.智能卡支付。严格来说使用智能卡支付网上交易货款并不是真正意义上的网上支付,支付过程实际上发生在网上商户和银行之间,交易安全性基本由商家的信用决定,对买家来说存在被欺诈的风险。但这却是经常使用的网上交易的资金支付方法。
其基本流程为:
(1)在实际商品、相关服务与资金流动发生之前,由客户通过安全方式将智能卡信息传送给商家;
(2)商家验证客户身份为智能卡账户所有者;
(3)商家把智能卡收费信息和数字签名发送给其银行或在线智能卡处理器;
(4)银行或处理方把信息送给客户银行进行授权;
(5)客户银行为商户返回智能卡数据、收费确认和授权;
(6)网上智能卡支付完成。
2.电子支票支付。电子支支票和传统的支票形式几乎有着同样的功能和内容;不同于传的支票人为签名,电子支票需要经过数字签名,被支付人数字签名背面,使用数字凭证确认支付者,被支付者身份支付银行和账户。金融机构使用已签名和认证的电子支票进行账户存储。