网上支付系统关键技术研究.docx
《网上支付系统关键技术研究.docx》由会员分享,可在线阅读,更多相关《网上支付系统关键技术研究.docx(17页珍藏版)》请在冰豆网上搜索。
网上支付系统关键技术研究
网上支付系统关键技术研究
【论文关键词】:
电子商务 网上支付系统 技术对策
【论文摘要】我国电子商务和网上交易近年来取得了较大的发展,然而网上支付成为我国电子商务发展的瓶颈之一。
因此,解决网上支付问题是发展电子商务的必要环节。
本文从多个方面对网上支付系统的技术和安全问题进行了研究。
文章首先简单地分析了网上支付系统在安全方面的需求,介绍了相关的核心技术。
然后结合我国民航电子商务的发展现状和需求,以节省交易成本和提高安全性为目标,提出基于SSL协议的民航电子商务支付系统。
通过加入双重签名技术,使得SSL协议的安全性有所提高,民航电子商务系统更加有效和安全,交易成本也大大降低。
Abstract:
AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.
Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.
Keywords:
EC;onlinepaymentsystem;technicalcountermeasures
第一章:
引言
2009年1月13日,中国互联网络信息中心(CNNIC)在京发布了《第23次中国互联网络发展状况统计报告》。
报告显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。
同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。
我国网民和国家CNCN域名的增加,势必为电子商务的发展带来更大的机会。
随着Internet技术和应用的不断发展,越来越多的企业加入到电子商务的队伍中来。
电子商务已成为贸易发展的必然趋势,随着电子商务环境的规范和完善,中国电子商务企业必然迅猛发展。
使用网上支付的方式进行交易,大大降低了传统贸易的费用和开销,提高了工作效率和企业竞争优势。
越来越多的企业选择在Internet上建立自己的Web站点以便利、经济的手段在网上展示自己的企业形象,推销本企业的产品。
一、电子商务与支付系统的定义
1、电子商务的定义
电子商务源于英文ElectronicCommerce,简写为EC。
顾名思义,其内容包含两个方而,一是电子方式,二是商贸活动。
电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方小谋而地进行各种商贸活动。
国际商会于1997年11月,在巴黎举行了世界电子商务会议(TheWorldBusinessAgendaforElectronicCommerce)会上专家和代表对电子商务的概念进行了最权威的阐述:
电子商务,是指实现整个贸易过程中各个阶段的贸易活动的电子化[1]。
从涵盖范围可以定义为:
交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:
电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等[2]。
2、网上支付系统的构成
支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。
[3]
网上支付是指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统,特别是因特网进行传输。
以电子信息传递的形式来实现资金的流通和支付。
网上支付系统的构成则主要包括两部分。
一是网上支付主体。
涉及网上商家、持卡人、银行和第三方认证机构。
二是网上支付技术。
如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子数据交换协议SSL和SET。
[4]
二、电子商务与网络支付系统的发展现状
1、电子商务的发展现状
根据2009年1月13日,中国互联网络信息中心(CNNIC)在京发布的《第23次中国互联网络发展状况统计报告》显示,在主要互联网应用使用率调查中,网络求职、更新博客和网络购物位列增长最快的应用前三甲。
而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。
由此可见,越来越多的企业和顾客加入到电子商务的队伍中来,网络支付系统得到越来越广泛的应用。
电子商务发展迅速,通过网上进行交易已成为潮流。
在我国,电子商务虽然刚起步,但是人们对电子商务的巨大潜力深信不疑;我国政府积极支持电子商务活动的开展,这些都对我国电子商务的发展产生了重要的影响。
但是应当看到,我国还存在一些“瓶颈”问题,严重地阻碍着电子商务的发展。
从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准,没有规矩不成方圆,没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。
技术是电子商务发展的基础,而技术的发展必须建立在标准统一的基础之上。
因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事,是我国电子商务发展重中之重。
二是还没有真正成熟的电子商务解决方案。
在现阶段电子商务软件服务市场上,国外成熟的电子商务解决方案占据主导地位仍是不争的事实,而国内真正有能力的开发厂家更是屈指可数,仔细算来也只有实华开、四通寥寥几家,但没有一家能够提供一套完整的电子商务交易标准。
而网上支付作为新兴的电子支付手段,越来越普及越来越重要。
无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现,网上支付系统的关键技术都是至关重要的。
但是现在制约电子商务发展的最关键的技术,是解决安全问题的技术。
电子商务中的安全问题是重中之重的问题。
在电子商务系统中,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息,而且还涉及到个人财产的安全问题。
在电子支付过程中,必须保证信息的机密性、完整性和真实性。
一旦这些方面得不到切实的保证,那么将造成重大的损失和严重的法律问题,甚至会断送电子商务企业的命运。
因此必须发展能够保障支付系统安全的关键技术,确保交易过程是安全、可靠的。
2、网上支付系统的发展现状
随着电子商务的迅猛发展,支付问题就成了制约电子商务发展的瓶颈,尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。
电子支付构成了电子商务的核心环节,如果没有支付,整个电子商务过程无法完成。
只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合,才能确保电子商务交易顺利进行。
而作为真正的网络支付手段出现的支付方式,则是在Internet的迅速走向普及化之后的事情。
但是自2005年以来,中国网上支付成长十分迅速,这标志着中国电子商务迈入了以全面实现网上支付系统为特征的崭新发展阶段。
著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。
网上支付已成为国内网民从事网上交易时的第一选择,网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。
在Internet上出现的支付系统模式已有十几种,这些系统模式大致上可以划分为如下3类:
第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对Internet的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法,使传统的银行卡支付信息通过Internet向商家传递,利用金融专用网络提供独立的支付授信,更先进的是采用智能卡技术,提供联机的银行卡支付。
但是不管是哪一类的系统,都是包含着信息加密措施的系统,每一个系统都是有很多保障安全性的系统。
第二章:
网上支付系统的安全技术问题
一、网上支付系统的安全问题
随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。
其中最重要最核心的关键技术问题,就是安全问题。
电子商务的支付问题是随着电子商务本身的快速发展而衍生的。
单纯就它们的关系而言,电子商务需要电子支付,支付体系是开展电子商务的必备条件。
随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。
其中最重要最核心的关键技术问题,就是安全问题。
据AC尼尔森公司在2003年3月~4月做的一个调查表明,安全性是网上购物者用信用卡支付的主要顾虑。
安全问题已成为电子支付发展面临的重要挑战,目前制约我国电子商务发展的瓶颈就是支付问题。
二、信用卡安全的恐慌――网上支付系统的安全问题案例分析
众所周知道银行业步入了网络时代,网络也融入了银行业,这迎合了电子商务发展的趋势。
网上银行因不受时间、地域限制,成本低、快捷方便等优点得到了银行业的积极响应。
近几年更是呈现出迅猛发展的势头。
但是由于网上银行所有内容都是以数据的形式流转于网络之上,不可避免地会带来信息安全隐患。
作为庞大资金流动的载体,网上银行极易受到非法入侵和恶意攻击。
如果银行的网络遭到攻击,私人信息就可能会泄漏,若补救不及时,很可能给消费者造成巨大损失。
2005年4月,多名“支付宝”用户工商银行帐户里的钱不翼而飞。
6月,花旗集团丢失了一批记录着390万客户帐户及个人信息的电脑记录数据带。
同月,包括Master、Visa在内的多家信用卡公司4000多万用户信息被盗,涉及了近9000张国内信用卡,一时间风声鹤唳,引发了信用卡安全的恐慌。
黑客窃取用户资料、网络诈骗、虚假银行、网络钓鱼等支付安全问题已经严重影响了电子商务的发展。
从银行业的这一案例中我们可以清晰看到安全技术的重要地位和意义。
因此必须对这一关键技术进行深入的研究,形成一个优秀的解决方案,确保网上支付系统的安全,保障我国电子商务事业的稳定快速发展。
第三章:
解决网上支付系统的安全问题的技术解决途径
安全的目的是:
保护一个系统不会受到XX的访问,使系统的正常工作不会被非法干预。
同所有计算机系统一样。
电子商务系统安全必须具有保密性、完整性及可用性三个特征[5]。
网上支付系统的安全是电子商务发展的核心。
任何在Internet上开展业务的机构必须采取积极的步骤,确保系统有足够的安全措施,防止机密信息泄露和非法侵入造成损失。
因此网上支付系统不但要具有保密性、完整性及可用性三个特点好要具有认证性、不可否认性和可审查性。
一、网上支付系统的安全要求
1、保密性
要确保网上支付系统的安全,首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性,交易中的商务信息都需要遵循一定的保密规则。
交易中的商务信息可能直接关联着个人、企业或国家的商业秘密,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。
因为其信息往往代表着国家、企业和个人的商业机密,而电子商务是建立在一个较为开放的互联网络环境上的。
它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务。
因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性。
,因此,要采取措施预防信息的非法存取和信息在传输过程中被非法窃取。
维护商业机密是电子商务全面推广应用的重要保障。
对于网上支付系统来说,他的保密性意味着系统必须满足两点:
(1)私有交易不会被其它人截获及读取,既没有人能够通过拦截会话数据获得订货单中的帐户信息;
(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样的事实本身来达到别的目的。
2、信息的完整性
不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。
而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。
要确保网上支付能够安全顺利的进行,还要防止XX的数据修改。
交易双方的合同签订后就不能随意删改,以保证交易的公正性,与可行性。
电子商务简化了贸易过程,减少了人为的干预,但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。
数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。
这会影响贸易各方商业信息的完整性和统一性。
因此保持贸易各方信息的完整性是电子商务应用的基础。
完整性指资源只能由授权实体修改。
网上支付系统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息。
3、可用性
可用性是指一旦用户得到访问某一资源的权限,该资源就应该能够随时为他使用,而不应该将其保护起来使拥护的合法权益受到损害。
在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。
不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。
而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用必备的基础。
4、不可否认性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。
因此如何确定交易中的任何一方在交易过程中所收到的交易信息,正是自己的合作对象发出的。
而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。
要确保网上支付系统的安全,交易一旦签订就不能被否认。
因此交易的各个环节,都必须设法防止参与交易的任何一方的抵赖。
不可否认性主要包含数据原始记录和发送记录的不可否认,确认数据已经完全发送和接收,防止接收用户更改原始记录,防止用户在收到数据以后否认收到数据,并拖延自己的下一步工作。
为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性,在交易数据发送完成以后,双方都不得否认自己曾经发出或接收过信息。
要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。
一旦事务结束,有关各方都不能否认自己参与过这次事务。
5、可审查性。
根据机密性和完整性的要求,应对数据审查的结果进行记录,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
当贸易一方发现交易行为对自己不利,否认电子交易行为时,系统应具备审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
而在无纸化的电子商务方式下,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
6、认证性
要确保网上支付系统的安全,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。
首先,要确认当前的通讯、交易和存取要求是合法的。
即接收方可以确认信息来自发信者,而不是第三者冒名发送。
发送方可以确认接收方的身份是真实的,而不至于发往与交易无关的第三方。
要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
网上支付系统中通信的双方应能确定对方的身份,知道对方确实是他所称的那一位。
在这里,确定意思并不完全意味着知道对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。
二、网上支付系统可能受到的攻击
针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。
近一步细分又可以划分为两大类。
(1)假冒和恶意破坏。
由于掌握了数据的格式并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息而远端用户通常很难分辨。
由于攻击者可以接入网络则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
(2)窃取和篡改信息由于未采用加密措施或加密措施不利,数据信息在网络上以明文形式传送,或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。
入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的。
这种方法并不新鲜,在路由器或网关上都可以做此类工作。
三、网上支付系统安全的技术解决方案
1、加密技术
1.1、利用加密技术保证电子商务支付的机密性[6]
密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。
就加密技术而言,1976年以前主要采用对称加密技术,这种加密技术存在着很多问题,如密钥分发的安全性,密钥规模过大、不能保证消息的真实性和完整性等。
1976年以后,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。
1.2 对称加密技术
对称加密技术有许多著名的算法,其中具有代表性的是DES算法。
DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。
它把64位的明文输入块变成64位的密文输出块,所使用的密钥也是64位,其中第8位奇偶校验位另作它用。
DES利用56位的密钥,对64位的输入数据块进行16次的排列置换,最后生成输出块密码。
其生成步骤如[7]
下:
(1)为了产生64位明文的置换输入,对二进位进行初始排列(InitialPermutation),然后将结果分成32位的左右两个数据块。
(2)执行16次的迭代函数f,而每迭代一次所使用的密钥就不同,f函数将此密钥和右侧数据块作为自己的输入参数。
(3)在每个迭代阶段,左右两个数据块的置换值由下式确定:
Li=Ri-1
Ri=Li-1+f(Ri-1,Ki)
(4)经16次迭代之后,输出由6位二进位组成的输入明文和密钥的函数结果。
(5)将左右两块数据连接起来,对其进行再度排列,最终生成输出密文,但排列顺序刚好与初始排列相反。
(6)如果在加密过程中所使用的密钥按K1,K2,K3,…,K16顺序,那么解密时必须要按K16,K15,K14,…,K1顺序使用密钥。
截止目前为止,还没有公开报道发现DES算法的致命弱点,但DES算法由于密钥较短,容易遭受密码暴力攻击,因此,在具体实务中主要采用3DES算法。
1.3非对称性加密方式[8]
非对称密钥加密方式又称公开密钥加密。
它需要使用一对密钥来分别完成加密和解密功能。
一个公开发布,即公开密钥;另一个由用户自己秘密保存,即私用密钥。
信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。
公开密钥机制虽然灵活,但加密和解密速度却比对称密钥加密慢得多。
公开密钥的加密步骤如下:
(1)交互双方的用户系统,分别生成用来传递信息的加密和解密密钥。
(2)系统将公开密钥向开放记录块和文件公布,而个人密钥却由自己保存。
(3)用户A向用户B传递信息时,将使用用户B的公开密钥进行加密。
(4)用户B接到用户A的加密信息之后将其解密时,则使用它自己的私用密钥。
密钥生成算法如下:
(1)随机生成两个不同大小的素数p,q。
(2)计算n=pq,(n)=(p-1)(q-1)。
(3)随机选取与p,q无关的素数e,1 (4)利用扩展欧基里德算法求出满足ed=1mod((n))的整数d。
(5)用公开密钥进行加密时公开(n,e);用私用密钥解密时保密(p,q,(n),d)。
其中,e为公开密钥,d为私用密钥,n为模数。
密钥的生成及应用例子如下:
(1)用户B公开密钥/私用密钥的生成(由用户B或认证机构生成)。
①取两个素数p=47,q=71。
②n=47×71=3337,(n)=46×70=3220。
③选新的素数e=79。
④利用扩展欧基里德算法计算79×d=(1mod3220)中的d,d=1019。
⑤用户B的公开密钥e=79,模数n=3337;用户B的私用密钥d=1019,模数n=3337。
(2)用户B密钥的应用。
加密技术在网上支付系统中的综合应用。
结合对称技术、非对称加密技术的特点,在网上支付系统的支付过程中,主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。
既保证了消息传送的机密性,又保证了会话密钥分发的安全性。
1.4、数字信封
数字信封利用了上面两种加密技术的优点来确保信息的安全传输它克服了对称密钥加密中对称密钥分发困难和公开密钥加密中加密时间长的问题其实现过程如下:
加密信息
(1)产生一个对称密钥K;
(2)用对称密钥加密信息M得到M*;
(3)取得接收方的公钥;
升级会员 