网络支付与安全 (2)

网络支付与安全

姓名：于明蔚学号：20140403015 班级：信息管理一班

摘要：随着计算机、网络、信息技术的发展，Internet已进入我们社会生活的各个领域和各个环节。基于Internet的电子商务快速发展，因此数以亿计的购买者和销售者都需要在线网络支付服务，传统的货币交易与支付方式面临着新的变革。而网络支付还有许多的问题，不法分子攻击网络，盗取网络个人信息等方式给使用者造成了损失值得关注和改善。

关键词：网络支付，安全，技术，风险

一、网络支付基本内容

1、网络支付的定义

网络支付指以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，采用现代计算机技术和通信技术作为手段，通过计算机网络系统特别是Internet，以电子信息传递形式来实现资金的流通和支付。可以看出，网络支付带有很大的Internet印记，所以又被成为Internet Payment，它也是基于Internet的电子商务的核心支撑流程。网络支付与结算作为电子商务的关键环节，已成为金融电子化中电子银行构建的核心问题。

2、网络支付体系的基本构成

基于Internet公共网络平台的电子商务网络支付体系的基本主要涉及七大构成要素。1）“客户”是指Internet上与某商家或企业有商务交易关系并且存在未清偿的债券关系、债务关系的一方。客户用自己拥有的网络支付工具发起支付，它是网络支付体系运作的原因的起点。2）“商家”是拥有债券的商品交易的另一方，能够根据客户发起的指令向中介的金融体系请求获取货币给付，即请求结算。3）“客户开户行”指客户在其中拥有的资金账户的银行，客户拥有的网络支付工具主要由银行提供。4）“商家开户行”是商家在其中开设资金账户的银行，其账户是整个支付结算过程中资金流向的地方或目的地。5）“支付网关”是Internet公用网络平台和银行内部的金融专用网络平台的安全接口。6）“金融专用网络”是银行内部及银行间进行通信的专用网络，不对外公开具有很高的安全性。7）“CA认证中心”是网上商务的准入者和市场的规范者，是个第三方的公证机构。除七大构成要素外，在电子商务网络支付系统的构成中还包括在网络支付时使用的网络支付工具及遵循的支付通信协议，即电子货币的应用过程。所以，电子商务网络支付体系的基本构成为电子商务活动参与各方与网络支付工具、支付通信协议的结合体。

3、网络支付的基本功能

对于一个实用的网络支付与结算系统而言，至少具有这七种功能。能够使用数字签名和数字证书等实现对网上商务各方的认证，以防止支付欺诈。能够使用较为尖端的加密技术，对相关信息流进行加密。能够使用数字摘要算法确认支付电子信息的真伪性，防止欺诈行为。系统能够在交易双方出现纠纷时保证相关行为或业务的不可否认性。能够处理网上贸易的多边支付问题。整个支付结算过程应该是透明的。能够保证支付结算的速度。

4、网络支付的特征

网络支付主要在开放的公共网络系统中，通过看见不见的数字流完成支付信息的传输，采用数字化的方式完成款项的支付结算。网络支付的工作是基于一个开放的系统平台如Internet平台的，其Internet的特点就是兼容性强，对硬件软件的要求不高，联网与应用都十分便捷。网络支付具有方便快捷高效经济的优势，传统支付方式因为票据传递迟缓和手工处理，会有大量的在途资金无法做到当天结算。网络支付系统可以直接把钱打到收费者的银行账号中，这大大缩短了付款时间，提高了资金的周转率和周转速度。网络支付具有轻便性和低成本性。与电子货币相比，传统货币例如纸币和硬币更表现出奢侈性。采用网络支付的方式，会大大减少货币结算和搬运产生的费用。网络支付具有较高的安全性和一致性，网络支付协议充分借用了尖端加密和认证技术，其设计细致安全可靠，网络支付比传统支付更加安全。网络支付能够提高开展电子商务的企业资金管理水平，但是也增大了管理的复杂性。但是随着系统的自动处理能力越来越强，复杂性将逐渐降低。银行提供网络支付结算的支持使客户的满意度与忠诚度上升，这为银行与开展电子商务的商家实现良好的客户关系提供了支持。当然，在目前的水平下，网络支付还存在一定的安全性和支付环境、管理规范不完善的问题，但是这些问题在传统支付结算中也存在

5、网络支付的流程

基于Internet平台的网络支付的一般流程为客户连接Internet，订购商品填写订单，选择网络支付结算工具，并且得到银行的授权使用。然后客户机对相关订单信息进行加密，在网上提交订单。客户服务器对客户的订购信息进行检查确认并把相关加密信息抓发给支付网关，直至银行专用网络的银行后台业务服务器确认，以期从银行等电子货币发行机构验证得到支付资金的授权。银行验证确认后，通过加密通道给商家服务器回送确认及支付结算信息，银行得到客户传来的进一步授权信息，把资金从客户账户转到商家银行账号借助专用网进行结算，并给商家客户发送支付结算成功信息，商家服务器收到结算成功的信息后，给客户发送网络付款成功的信息和发货通知。

6、网络支付方式的分类

按开展电子商务的实体性质分类，可分为B2C、C to C、B to G、G to G等类型的电子商务。按照支付数据流的内容性质，可以分为指令传递型网络支付方式和电子现金传递型网络支付方式。按照网络支付金额的规模分为微支付、消费者级网络支付、商业级网络支付。

二、网络支付安全

1、网络支付的主要风险

网络支付的方式目前逐渐被人们所使用，然而，网络支付中的众多安全问题也引起了许多从事网络支付活动人员的关注。因为基于开放性信息互联技术的网络支付系统存在很多漏洞，这为非法获取、篡改、破坏服务提供了可能。目前，网络支付存在的安全风险主要有:1、以非法手段窃取用户信息并对用户信道信息进行破译, 使机密的数据内

容泄漏。2、篡改删除数据或者数据传输中出现错误丢失乱序，都可能导致用户数据的完整性被破坏。3、伪造信息或者假冒合法商户的身份进行欺骗，伪造用户地址，进行非法连接占有支配合法商家的资源，截获用户的信息，然后传送给非法使用者。4、系统安全漏洞网络故障病毒等导致的系统破坏,使商家和用户信息被泄露和使用，从而造成损失。这些安全风险的存在，一方面使商户面临着被人侵者假冒成合法用户来改变用户信息，如货物的送达地点，用户订单被解除或是伪造虚假订单等。此外，商户的货物和库存信息以及客户资料都可能被泄露。对于商品购买者来说，自己个人数据可能会发送给冒充商户的机构，造成财产损失。

2、网络支付的安全需求

网络支付的安全需求的主要表现:1、交易双方身份认证，在双方进行交易前，首先要能确认对方的身份, 要求交易的双方的身份信息不能被伪装、假冒。2、交易信息要加密并且不被识别，保密性意味着在参与者之间的通信通道具有保密性，仅允许目标支付方可以看到支付数据。所以需要对商业交易信息进行加密，这样即使别人截获或窃取了数据，也无法识别真实内容，这样就能使商业机密信息难以泄露。3、信息完整性可验证。完整性是指在电子支付系统中的支付数据，不能被未经授权的参与者修改或者破坏，保证一旦支付交易提交，支付数据不能修改。4、交易各环节不可否认。在电子商务通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方和接收方都不能否认他所发出和收到的信息，从而保证支付参与方对已做交易无法抵赖。5、不可伪造性。电子交易文件要能做到不可修改。

3、网络支付安全问题的主要技术

通过对传统信息安全技术如加密技术、身份认证技术、防火墙技术、存取访问控制技术、人侵检测技术等，可以看出，安全技术主要针对网络计算机系统的安全所采取的防范手段，对于电子商务中的客户端这一最源头、最基本的商务安全防范，要进行有效控制。

PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI（公钥基础设施）技术采用证书管理公钥，通过第三方的可信任机构--认证中心CA(Certificate Authority)，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet 网上验证用户的身份。眼下，通用的办法是采用基于PKI 结构结合数字证书，通过把要传输的数字信息进行加密，保证信息传输的保密性、完整性，签名保证身份的真实性和抗抵赖。

生物识别技术是利用人体生物特征进行身份认证的一种技术。生物识别技术是目前最为方便与安全的识别技术，它不需要记住复杂的密码，也不需随身携带钥匙、智能卡之类的东西。其认定的是人本身，由于每个人的生物特征具有与其他人不同的唯一性和在一定时期内不变的稳定性，不易伪造和假冒，所以利用生物识别技术进行身份认定是安全、可靠、准确的。