网上支付系统中的安全问题.docx
《网上支付系统中的安全问题.docx》由会员分享,可在线阅读,更多相关《网上支付系统中的安全问题.docx(35页珍藏版)》请在冰豆网上搜索。
网上支付系统中的安全问题
学院
本科毕业设计(论文)
题 目:
网上支付系统中的安全问题
学生姓名:
学号:
1
系(部):
数学与计算机科学专业:
计算机
入学时间:
2011 年 6 月
导师姓名:
职称/学位:
导师所在单位:
网上支付系统中的安全问题
摘要
电子商务不仅使企业降低了生产与销售成本,而且给消费者提供了更多的可选择资源。
所以近二十年来,我国的电子商务取得了迅猛的发展,已经深入国民经济和百姓日常生活的各个方面。
但是,网上支付作为电子商务交易过程中最重要的环节之一,其安全问题依旧是阻碍电子商务健康发展的瓶颈。
电子商务的安全问题不仅会造成不可估量的的经济损失,而且使得人民对电子商务的信心受创。
首先通过了解现有的网上支付工具及其特点,然后对现阶段网上支付的出现的安全问题进行了分析,最后提出了解决这些安全问题的相应对策。
采取多种措施应解决安全问题,促进我国电子商务的健康和谐的发展。
关键词:
电子商务;网上支付;安全
Abstract
Electroniccommercenotonlymakestheenterprisesproductionandreducecostofsales,andtoprovideconsumerswithmorechoiceofresources.Inrecenttwentyyears,China'se-commercehasachievedrapiddevelopment,hasbeenthenationaleconomyandpeople'sdailylifeinallaspects.However,theonlinepaymentofe-commercetransactionprocessasoneofthemostimportantsegment,itssecurityproblemisstillhinderedthehealthydevelopmentofthebottleneckofelectroniccommerce.Thesecurityproblemofelectroniccommercewillnotonlycauseinestimableeconomiclosses,butalsomakespeople'sfaithtotheelectroniccommercialhit.First,byunderstandingtheexistingonlinepaymenttoolanditscharacteristics,thenonthestageoftheonlinepaymentsecurityproblemsareanalyzed,finallyputforwardasolutiontotheseproblemsofthecorrespondingcountermeasures.AdoptavarietyofmeasurestosolvethesecurityproblemofelectroniccommerceinChina,promotethehealthyandharmoniousdevelopment.
Keywords:
electroniccommerce;onlinepayment;security
目录
第一章网上支付系统概述6
1.1电子商务与支付系统的概述6
1.1.1电子商务的定义6
1.1.2网上支付系统的构成6
1.2电子商务的发展现状7
1.3网上支付的工具及其特点7
1.3.1银行卡在线转帐支付7
1.3.2电子现金7
1.3.3电子支票8
1.3.4第三方支付8
第二章网上支付存在的安全问题安全问题9
2.1身份真实性9
2.2.信息的完整性10
2.3不可否认性,也称不可抵赖性10
2.4.数据保密性10
2.5.环境方面10
第三章数据加密技术和数据签名技术11
3.1数据加密技术11
3.2数据签名技术11
第四章在线支付安全问题的解决措施13
4.1在线支付安全问题的技术解决方案13
4.1.1利用加密技术保证电子商务支付的机密性13
4.1.2利用数字签名技术保证电子商务支付的真实性、完整性13
4.1.3安全协议13
4.2在线支付安全问题的管理方面解决方案14
4.3在线支付安全问题的法律方面解决方案15
4.3.1需要进一步加强法律法规建设15
4.3.2加强社会信用机制建设15
4.3.3加强网上银行和第三方支付机构等相关组织的监管15
第五章结束语16
附录A17
附录A1通过java代码实现数据加密技术17
附录A2通过java代码实现数据加密技术21
附录B23
附录B1通过java代码实现数据签名技术23
附录B2通过java代码实现数据签名技术28
主要参考文献31
致谢32
网上支付系统中的安全问题
第一章网上支付系统概述
1.1电子商务与支付系统的概述
1.1.1电子商务的定义
电子商务源于英文ElectronicCommerce,简写为EC。
顾名思义,其内容包含两个方面:
一是电子方式;二是商贸活动。
电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方进行各种商贸活动。
国际商会于1997年11月,在巴黎举行了世界电子商务会议(TheWorldBusinessAgendaforElectronicCommerce)会上专家和代表对电子商务的概念进行了最权威的阐述,电子商务:
是指实现整个贸易过程中各个阶段的贸易活动的电子化。
从涵盖范围可以定义为:
交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:
电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等。
1.1.2网上支付系统的构成
基于互联网的电子交易支付系统由客户、商家、认证中心、支付网关、客户银行、商家银行和银行网络七个部分组成。
(1)客户.一般是指利用电子交易手段与企业或商家进行电子交易活动的单位或个人。
它们通过电子交易平台与商家交流信息,签订交易合同,用自己拥有的网络支付工具进行支付。
(2)商家.商家是指向客户提供商品或服务的单位或个人。
在电子支付系统中它必须能够根据客户发出的支付指令向金融机构请求结算,这一过程一般是由商家设臵的一台专门的服务器来处理的。
(3)认证中心认证中心.是交易各方都信任的公正的第三方中介机构。
它主要负责为参与电子交易活动的各方发放和维护数字证书,以确认各方的真实身份,保证电子交易整个过程的安全稳定进行。
(4)支付网关.支付网关是完成银行网络和因特网之间的通信、协议转换和进行数据加、解密、保护银行内部网络安全的一组服务器。
它是互联网公用网络平台和银行内部的金融专用网络平台之间的安全接口,电子支付的信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统。
(5)客户银行.客户银行是指为客户提供资金账户和网络支付工具的银行,在利用银行卡作为支付工具的网络支付体系中,客户银行又被称为发卡行。
客户银行根据不同的政策和规定,保证支付工具的真实性,并保证对每一笔认证交易的付款。
(6)商家银行.商家银行是为商家提供资金账户的银行,因为商家银行是依据商家提供的合法账单来工作的,所以又被称为收单行。
客户向商家发送订单和支付指令,商家将收到的订单留下,将客户的支付指令提交给商家银行,然后商家银行向客户银行发出支付授权请求,并进行它们之间的清算工作。
(7)银行网络银行网络.是银行内部及各银行之间交流信息的封闭的专用网络通常具有较高的稳定性和安全性。
1.2电子商务的发展现状
经过这些年的不断推广,我国电子商务迅猛发展,已经到达到大规模的发展、应用阶段。
表现为电子商务交易额快速增长,电子商务用户数量显著增加,规模空前扩大。
正是电子商务的简单、快捷、低成本的特点,越来越多的企业和顾客加入到电子商务的队伍中来。
电子商务网上交易已经逐步深入到人们的日常生活,也正是在线支付方式的存在它改变了银行支付处理方式,使得消费者在任何地方、任何时间,通过互联网获得银行业务服务。
所以网络支付系统得到越来越广泛的应用,成为电子商务一个密不可分的组成部分。
同时我们也深刻感受到,我国电子商务还存在一些安全问题,制约电子商务发展。
电子商务中的安全问题是重中之重的问题。
在网上支付的过程中不仅涉及到卡号,密码,个人身份等隐私信息,而且还涉及到个人财产的安全问题。
在电子支付过程中,必须保证信息的机密性、完整性和真实性。
一旦这些方面得不到的保证,那么将造成无法估量的损失和严重的法律问题。
因此必须发展能够保障支付系统安全的关键技术,确保交易过程是安全、可靠的。
1.3网上支付的工具及其特点
网上支付方式都是采用数字化的方式进行的,运用先进的通信手段具有方便、快捷、高效、经济的优势。
目前的网上支付工具主要有
1.3.1银行卡在线转帐支付
是我国应用非常普遍的电子支付模式,付款人可使用申请了在线转帐功能的银行卡转移资金到收款人银行账户中。
其特点:
使用银行卡的商店数量在全世界范围内相当多,用户一般不会受地域的限制。
1.3.2电子现金
是以数据形式存在的现金货币,它把现金数值转化为一系列的加密序列数,来表示相应的货币金额,适用于小额支付。
1.3.3电子支票
电子支票通过电子函件直接发送给收款方,收款人从电子邮箱中取出电子支票,并用电子签名签署收到的证实信息,再通过电子函件将电子支票送到银行,把款项存入自己的账户。
利用电子支票可以使支票的支付业务和支付过程电子化。
但是在国内很少用。
其特点:
一是通过简单加密工具就可以保证其安全性;二是电子支票技术可连接公众网络金融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。
1.3.4第三方支付
是具备良好信誉和一定的技术能力的第三方独立机构,采用与各大银行签约的方式,使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。
这样第三方机构就能实现在消费者与各个银行,以及最终的收款人之间建立一个支付的流程。
主要是以支付宝为代表的信用担保型第三方支付平台。
此种形式的第三方支付过程是买家在通过在线支付在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,等买家收到货物之后再通过确认收货通知支付宝,支付宝才把钱转到卖家的账户上。
在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。
这种第三方代收款制度,不仅保证了双方资金的安全,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上提高了消费者对网上购物的可信度,大大减少了网络交易欺诈行。
第三方支付模式使商家看不到用户的银行卡等信息,同时又避免使银行卡等信息在网上多次公开传输而导致相关信息被窃事件,以B2C交易为例的第三方支付模式的交付流程图上2.2所示:
第二章网上支付存在的安全问题安全问题
2.1身份真实性
身份真实性也称商务对象的认证性。
传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实以及由谁来支付和资金如何入账等。
这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机。
所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
2.2.信息的完整性
网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
数据输入时的意外差错或欺诈行为可能会导致交易各方信息的差异。
另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。
假如有不法分子对支付的数据,如支付金额,进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
2.3不可否认性,也称不可抵赖性
在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。
因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
2.2第三方支付流程图
2.4.数据保密性
有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等。
这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。
因此网上支付就涉及到数据保密性的问题了。
2.5.环境方面
(1)法律环境。
电子商务是一种新型的商务,由此衍生了新的法律问题。
例如交易纠纷的仲裁等问题,急需要出台相应的法律来保障消费者和企业的权益。
由于电子商务发展较快,我国有关的立法工作还没有来的及跟上电子商务发展的脚步,显得落后,出现了法律空白,使许多电子商务纠纷的无法可依,这成为电子商务中一个重要安全隐患。
(2)诚信缺乏。
诚信经营是经济贸易的前提条件。
正是由于电子商务的开放性、虚拟性,交易双方不直接见面,真实身份的确认等方面都存有很大困难。
因此,对于电子商务而言,信用风险远较传统交易发生的概率相当大。
我国电子商务目前主要就是缺乏诚信,因为整个社会信用体系不完善,这使得利用互联网进行商务交易的企业和个人带来不可预料的风险。
例如商业欺诈、交易信息泄露、个人隐私问题、商业信用问题、是否真实交易等。
其典型表现为,消费者在网上看到的商品和实际收到的商品有明显区别,有质量问题的商品不能顺利退回,而且有可能损失邮费,网上支付存在不安全的风险。
第三章数据加密技术和数据签名技术
3.1数据加密技术
数据加密技术最常用的莫过于DES数据加密算法
DES-DataEncryptionStandard,即数据加密算法。
是IBM公司于1975年研究成功并公开发表的。
DES算法的入口参数有三个:
Key、Data、Mode。
其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:
加密或解密。
DES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位。
通过java代码实现如附录A:
Coder类见 Java加密技术
3.2数据签名技术
DSA-DigitalSignatureAlgorithm是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS(DigitalSignatureStandard)。
简单的说,这是一种更高级的验证方式,用作数字签名。
不单单只有公钥、私钥,还有数字签名。
私钥加密生成数字签名,公钥验证数据及签名。
如果数据和签名不匹配则认为验证失败!
数字签名的作用就是校验数据在传输过程中不被修改。
数字签名,是单向加密的升级。
通过java代码实现如附录B:
Coder类见 Java加密技术
第四章在线支付安全问题的解决措施
安全的目的是,保护一个系统不会受到XX的访问,使系统的正常工作不会被非法干预。
电子商务系统安全必须具有保密性、完整性及可用性三个特征。
4.1在线支付安全问题的技术解决方案
4.1.1利用加密技术保证电子商务支付的机密性
数据加密技术是数据安全的核心技术。
他可以有效的保护数据安全使之不被窃取、不被篡改或破坏。
加密具体就是把“明文”的可读数据转换成“密文”的过程而解密则是把“密文”恢复为“明文”的过程。
加密和解密都是通过计算获得相应的密钥,通常算法越复杂,结果密文就越安全。
从而更好的保护用户通讯信息的安全性、保密性。
4.1.2利用数字签名技术保证电子商务支付的真实性、完整性
数字签名能够有效的保证信息传输的完整性、真实性、对发送者的身份认证、防止交易中的抵赖发生。
因为数字摘要技术能够识破信息的篡改,而公开密钥加密技术能够确认信息的来源。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。
如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
4.1.3安全协议
目前在国际上比较有代表性安全协议有SSL和SET
SSL协议
SSL(Secure Socket Layer即安全套接层)协议是Netscape Communication公司推出在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。
它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
SSL协议的工作流程:
服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
SET协议
SET(Secure Electonic Transcation 即安全电子交易协议)是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。
SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。
SET已获得IETF标准的认可,是电子商务的发展方向。
SET协议的工作流程
1)消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
2)通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。
3)消费者选择付款方式,确认订单签发付款指令。
此时SET开始介入。
4)在SET中,消费看必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息。
5)在线商店接受订单后,向消费者所在银行请求支付认可。
信息通过支付网关到收单银行,再到电子货币发行公司确认。
批准交易后,返回确认信息给在线商店。
6)在线商店发送订单确认信息给消费者。
消费者端软件可记录交易日志,以备将来查询。
7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发卡银行请求支付。
在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行结一天的帐。
4.2在线支付安全问题的管理方面解决方案
由于网上支付涉及到许多部门和机构,容易造成混乱的局面。
通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。
因此,统一先进的管理和规范就显得尤为重要。
例如,各家银行尽快制定统一的互联网支付标准以尽快为互联网用户提供统一的接口。
另外还要建立一个在系统操作过程中完善的管理制度。
支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。
从世界范围内的经验可以知道,银行系统资金不安全或获各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷造成的。
因此严格的管理制度建设就非常重要。
4.3在线支付安全问题的法律方面解决方案
4.3.1需要进一步加强法律法规建设
具体要进行两方面的加强。
一是要完善原有的法律体系。
二是为适应发展电子商务活动需要指定新的相关法律法规。
三总结这些年电子商务发展过程中遇到的相关法律问题,在实践中摸索,在发展中完善,针对不同的法律问题,提出更加贴合实际的解决方案,制定出与电子商务健康发展的相适应的法律法规。
逐步强化电子商务立法,保障消费者和企业等多方权益。
目前应尽快制定出可以解决信用管理、安全认证、在线支付、税收、隐私权保护、信息资源管理等方面的法律法规问题的,具有实际可操作性的《电子商务法》。
4.3.2加强社会信用机制建设
法律为保障网上支付必须推动社会信用制度的建立。
发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。
我国目前对信用概念内涵的理解、信用信息的公开方式和程度、信用服务企业的发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。
应当承认我国还属于非诚信国家,信用制度还很不健全,我国应当着手网上支付信用机制的建设,建立个人社会信用体系,及时搜集和反馈用户信息并作出相应的解决方案,促进用户建立网络信用。
首先,完善全社会信用制度。
需要加快信用立法,实现经济活动实名制,健全个人财产申报制度,实行个人企业破产等制度,进一步加强信用约束力,确保个人信用制度的健康发展。
其次,完善企业管理制度,塑造健康的企业文化。
要将自主性和自律性等道德标准融合到企业文化中,渗透到日常经营活动,进而建立以诚信经营、货真价实为基础的企业文化。
再次,建立企业和个人的信用评价机构。
在互联网上建立起以政府为背景的公开化的信息评价监督系统实现跨部门、跨行业、跨地区的信用信息互联互通。
加大对失信行为的惩罚以约束失信行为发生。
最后,加大对企业的监管力度,进一步完善监管系统。
4.3.3加强网上银行和第三方支付机构等相关组织的监管
加强电子商务的行业监管,规范市场主体行为。
首先要加强对网络银行的监管;网上银行不同于传统银行,应制定新的准入条件,加强对客户开户的监管,落实责任审核客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强第三方支付机构的监管,要让第三方支付机构收银监会监督,第三方无权动用客户基金,必须确保自己安全和支付效率。
第五章结束语
本文分析了主要的网上支付工具及其他们的特点,以及电子商务所面临的安全问题。
目前电子商务安全技术经过不断发展已经形成了较为完善的安全体系,并且在电子商务实务中得到了广泛的应用。
然而,不可否认还存在一些问题有待解决,电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。
安全是相对的,不可能绝对的,因此电子商务安全问题的有效解决除了技术上的防范措施以外,还要从商业道德和个人的思想道德以及法律约束等方面加强教育和管理,所以为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统在技术防范措施上和商业道德上等方面都相对更安全。
我们应逐步完善是电子商务使其,更好的为大众服务。
附录A
附录A1通过java代码实现数据加密技术
1.import java.security.Key;
2.import java.security.SecureRandom;
3.
4.imp
升级会员 