电子商务在线支付系统安全的研究

电子商务在线支付系统安全的研究

中的各种交易信息，对其进行安全性分析。由此可见，电子支付的安全性对支付模式的治理水平、信息传递技术提出了专门高的要求。电子支付安全问题分为两个方面：治理层面的安全一一交易安全；技术层面的安全一一信息网络安全，并从以下四个方面探讨电子支付的安全性。

(1)法律方面在线支付系统作为提供网上服务的金融机构，其地位与经营都需要相关的法律、法规和政策的指导与规范。因为其运营涉及到国际贸易、知识产权、相关法律以及政府税收等许多方面的问题。目前我国还没有比较完善的电子商务法律法规，这对电子商务和在线支付的进展专门不利。

(2)金融方面我国金融业的现状是商业银行之间的业务清算要由中央银行治理，涉及到商业银行之间的业务清算也必须得到中央银行的许可和支持。同时，它还需要得到各商业银行的支持与合作。但电子商务的在线支付始终是一种市场行为，它与各商业银行和其他金融机构的关系是一种完全的商业关系。目前，用银行卡付款代替传统的现金付款己越来越被人们所同意，同时各大银行也推出了网上银行的业务。但各银行之间的合作还不够完善，尽管成立了银联组织，但还没有真正实现各银行之间无障碍的业务清算，这也给在线支付的进展带来了障碍。

(3)市场方面在线支付系统的建立和完善有赖于我国金融电子化、产业信息化和网络普及化程度的提高，但市场的培养和进展是推动电子

商务健康进展的保证。由于电子商务潜在的庞大利润，商家希望在线支付早日实现；在线支付为消费者提供了专门大的方便，也得到了消费者的欢迎。但由于在线支付中用户要承担一定的风险，因此要用户普遍同意在线支付的方式还需要一定的时刻。

(4)技术方面在线支付系统是以互联网为依靠的，因此网络及安全技术是在线支付系统的关键。尽管我国的软件技术和国外有差距，然而我们依旧有能力开发自己的在线支付系统的。

3 在线支付系统的安全技术

在在线支付的信息传输中，如何样才能达到使隐秘信息难以被泄漏，或者即使泄露了也难以被识别，或者即使被识别了也难以被篡改，这差不多成为信息安全域的研究热点。加密技术正是达到上述目的的核心技术手段，是认证技术及许多安全技术的基础，是信息安全技术的核心，也是电子商务采纳的差不多安全术手段。没有安全的网络基础设施和高强度的密码技术，就不可能进行在线支付。密码技术能够保证信息的隐秘性，还能够保证信息的完整性、正确性，同时能够防止信息被篡改、伪造等。

3.1 密码体制与加密

加密的差不多思想是假装明文的真实内容，立即明文A假装成密文B，假装的称为加密，加密时所使用的信息变换规则称为密码算法。密码体制从原理上可分为两大类，即单钥体制(One—key System)和双钥体制（Two一key System)。单钥体制也称为对称密码体制，它的加密密钥和解密密钥相同，或者尽管不相同然而由其中的任意一个能够

专门容易的推导出另一个；双钥体制也称为非对称密码体制，采纳双钥体制的每个用户都有一对选定的密钥，一个是能够公布的，另一个则是隐秘的。

3.2 数字摘要

数字摘要要紧用于保持数据的完整性，防止数据被篡改。它的算法是一个单向函数。也确实是直截了当将输入的数据进行数字摘要提取，但决不能从数字摘要生成原数据。

3.3 数字签名

数字签名是指使用密码算法，对待发的数据进行加密处理，生成一段数据摘要信息附在原文上一起发送，这段信息类似现实中的签名或印章，接收方对其进行验证，判定原文真伪。这种数字签名适用于对大文件的处理，关于那些小文件的数据签名，则不预先做数据摘要，而直截了当将原文进行加密处理。数字签名在电子商务的应用中提供数据完整性爱护和提供不可否认性服务。

3.4 数字信封

数字信封确实是信息发送端用接收端的公钥，将一个通信密钥(Symmentric Key)，即对称密钥，给予加密，形成一个数字信封(DE)。然后传送给接收端，只有指定的接收方才能用自己的密钥打开数字信封，猎取该对称密钥(SK)，用它来解读传送来的信息。这就好比在实际生活中，将一把钥匙装在信封里，邮寄给对方，对方收到信件后，将钥匙取出，用它再去打开保密箱一样。

3.5 数字证书

关于数字签名和公布密钥，都会面临公布密钥的分发问题，即如何把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。因此必须有一项技术来解决公钥与合法拥有者身份的绑定问题。数字证书是解决这一问题的有效方法。它是一种权威性的电子文档，形同网络运算环境中的一种身份证，用于证明某一主体(如人、服务器等)的身份以及其公布密钥的合法性。

4 电子商务的安全协议

从电子支付产生的那天起，支付安全就成为了所有期望电子支付健康成长的人们最为关注的问题。为了确保涉及交易双方合法权益的内容不受非法入侵，比如：数据的保密性、可用性、完整性、鉴别能力、授权的安全和交易不可否认性，针对电子支付各种不同的安全性要求，开发了相应的技术措施和安全协议。不同的电子商务协议在方便性、安全性、风险等方面是不同的，不同的应用环境对协议目标的要求也不相同，然而电子商务协议需要遵守一些差不多的设计原则，比如：匿名性、安全性、不可否认性、原子性以及交易规模。目前，常用的电子商务安全协议有：SSL协议、SET协议和3一D Secure协议等。

4.1 SSL协议

SSL安全套接层协议采纳TCP作为传输协议提供数据的可靠传送和接收，它建立在传输层和应用层之间，独立于高层应用，能够为高层协议提供安全业务[4].SSL由SSL记录协议和SSL握手协议构成。SSL 记录层用于封装不同的上层协议。SSL握手协议能够让服务器和客户

机在传输应用数据之前协商加密算法和加密密钥，客户机提出自己能支付的全部算法清单，服务器选择最适合它的算法。SSL通过采纳公钥和私钥技术对Web服务器和客户机的通信提供保密性、数据完整性和认证性。然而，该协议并不能防止心术不正的商家欺诈。

4.2 SET协议

SET(Secure Electronic Transaction)即安全电子交易模式，一样用来确保在开放网络上持卡交易的安全性。SET协议在安全性方面要紧解决五大问题：(1)保证信息在Internet上安全传输，防止数据被黑客窃取；(2)保证客户与商家信息的相互隔离，,客户的资料加密或打包后通过商家到达银行，然而商家不能看到客户的帐户和密码信息；(3)解决多方论证问题；(4)保证网上交易的实时性；(5)促使不同厂家按照一定的规则开发软件，使其具有兼容性和互操作功能。相比之下，SET标准更适合于商家、消费者和银行三方进行网上交易的国际安全标准。由于确保了交易数据的安全性、完整性和可靠性，从而为人们营造一个快捷、方便、安全的网上购物环境。

4.3 3-D Secure协议

为了提高消费者进行在线交易的意愿并促进电子商务的进展，继SET 协议之后，Visa又自2001年起在全球范畴内积极推动新一代的3-D Secure (Three-Domain Secure)协议[‘6]。与SET协议一样，3-D Secure协议也应用于B2C(Business to Customer)模式中，是PKI （Public Key Infrastructure）框架下基于可信第三方的开放规范，设计目标同样是为在Internet上传输的信用卡支付信息提供安全爱护