网络支付的安全需求及对策.docx
《网络支付的安全需求及对策.docx》由会员分享,可在线阅读,更多相关《网络支付的安全需求及对策.docx(8页珍藏版)》请在冰豆网上搜索。
网络支付的安全需求及对策
石河子大学商学院
分析报告
题目网络支付的安全需求及对策
小组梁晶晶
专业班级2010级电子商务
(1)班
课程电子金融与支付
任课教师万秋成
院系商务管理系
完成日期2012年11月17日
我国网上支付的安全需求和技术对策
摘要
随着20世纪中后期以Internet为代表的信息网络技术在各行各业乃至家庭的普及应用,人类正在进入以网络为主的信息时代。
基于Internet的电子商务已经成为国际现代商业的最新模式。
越来越多的企业、政府部门与消费者通过Internet进行商务活动。
Internet随时随地、方便易用、即时互动并结合多媒体传递的特点为电子商务的信息流、商流、物流的交互与共享、全天候跨区域与低成本处理提供了很好的技术支持,但是要整体上体现电子商务的低成本、高效率与个性化,还要使其资金流也能得到快速的自动化的网上处理。
这种基于网上支付的资金流运转不畅会直接影响电子商务的发展。
网上支付已成为阻碍电子商务发展的瓶颈。
如何保证网上支付过程中的快捷、方便、可靠与安全,特别是保证支付过程中敏感的资金流信息的安全是银行与商家,特别是客户关心的焦点问题。
美国密执安大学一个调查机构通过对23000名Internet用户的调查显示,超过60%的人担心电子商务的安全问题而不愿进行网上支付。
目前,电子商务的安全性已成为学术界和企业界研究的热点问题。
本文首先分析了现有的网上支付系统及其特点,并对实现网上支付所需的安全技术进行了研究与探讨,然后详细地分析和研究了SET协议与SSL协议以及信用卡支付流程,找出了它们的安全漏洞和不足。
最后以中国金融认证中心CFCA为认证体系,结合SET协议与SSL协议的优点,提出了一种使用银行卡为支付工具的安全支付模型的设计方案,并用C++语言实现了DES加密算法。
关键字:
电子商务;网上支付;解决对策;网上支付存在的问题;安全性解决
目录
摘要2
引言4
一.网络安全支付的需求分析5
二.网络安全支付存在的问题7
三.相应的技术解决对策11
现有的解决方案11
1.基本加密算法12
2.第二层:
安全认证手段13
3.第三层:
安全认证协议15
结语20
参考文献:
21
引言
网上支付是电子商务一个重要的组成部分。
金融服务的发展创新开展网上支付业务,可以减少银行成本,加快业务处理速度,方便客户,同时也有利于银行拓展业务,增加中间业务的收入。
更重要在于它改变了银行支付处理方式,使得消费者在任何地方、任何时间,通过互联网获得银行业务服务。
电子商务实际上通过企业信息流、物流和资金流完成相互的活动,信息流应该是核心,物流是保障,资金流是实现手段。
网上支付应该有效地解决了电子商务资金流的问题,所以对于商务的发展起到了催化剂的作用,大大促进电子商务的发展,并且给电子商务带来了繁荣。
国内网上支付发展时间虽然并不长,但是我们都感觉到发展速度非常快。
根据互联网研究系列报告,报告有些数字显示,中国电子商务交易总额2004年达到4000亿,2005年预计将增长到6200亿人民币,另外中国的网民网上支付额2003年是2.3亿,2004年达到6.8亿,预计2005年将达到15.7亿,网上支付显示强大的增长势头。
目前在我国,网上支付也发展非常迅速,市场需求也非常旺盛,应用创新空间非常广阔,是一个大有作为的行业。
但是我们必须清醒认识到,网上支付的基础环境还有许多的问题,值得关注和改善。
网上支付的安全,社会性、体系状况以及网上支付相关的法规等等,都是现在制约网上支付发展的重要因素。
一、网上支付的安全需求分析:
网上支付的安全需求从技术上看,首先是数据传输的速度太慢,第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展,第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐,第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题。
目前尚没有解决的良策。
第五是在安全保障上难以防范现在的网络犯罪,特别是黑客的攻击。
网上支付安全在支付问题没有解决好电子商务就不可能有较好的发展。
二、网上支付的安全存在的问题:
虽然目前的网上支付有了较大的改进,但是仍然不能达到最佳的客户满意度,主要存在一下问题:
1、收费站点是否可靠。
在互联网上可以看到许多网站有“我要付款”之类的页面按钮,通过此按钮,连接到了银行的网上支付系统,在该系统中输入需要的信息并提交,系统处理成功后,将返回到网站显示支付的成功。
有相当的客户会对这些网站的连接不信任,他们不确定连接到得网站是否是相应网站的真正官方网站。
而且在打开页面后往往要安装相应插件,不仅让顾客更深程度质疑,更重要的是花费时间和造成不便。
这就是上文所说的“网络钓鱼”现象。
2、对于客户而言,网上支付管理不便。
互联网上的支付者成千上万,支付对象也成千上万,两者是多对多的关系。
对于每位进行网上交易的客户,他所支付的对象往往分布在不同的网站上,而且这些交易的时间会有所不同,客户要管理自己的网上交易就要到不同的网站查看,造成相当的不便。
对于交易甚多的客户,很可能会有遗漏,从而导致其信用度的下降,甚至会导致交易的终止。
3、对于银行来说,都要在许多合作网站上设立接口,对接入的请求进行验证,不利于管理,而且由于个人计算机的不同,插件的更新滞后、繁琐,造成整个支付系统的灵活性降低,应对网络变动的风险能力下降。
例如,在互联网上可以看到许多网站有“我要付款”之类的页面按钮,通过此按钮,连接到了银行的网上支付系统,在该系统中输入需要的信息并提交,系统处理成功后,将返回到网站显示支付的成功。
这些网站和银行网上支付系统的连接需要通过银行的验证,这个验证过程在网上银行的接口处进行,因此,网站、接口与网上银行的连接。
另外,目前有一种名叫“动态密码锁”的身份认证硬件产品可以实现较为安全的网银系统登录:
动态密码(DynamicPassword)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。
动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。
下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。
每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。
动态密码锁系统需要两个密码要素,一个要素是静态PIN码,由用户自行设置、保管。
另一个要素是动态密码,由密码令牌动态生成,不可预测,并且与后台服务器的接入控制保持同步,由后台服务器进行检验。
因此,用户必需输入正确的静态PIN码和动态密码,才能通过身份认证。
三、相应的解决方案:
技术的发展进步已提供了可能的解决方案。
例如:
“数字签名”及“信息摘要”可以证实一个信息是否被篡改;一个“数字证书”可以确认一个发送数字签字信息的人的身份;“双重加密”可以实行在线订货付款,而不让卖方看到信用卡号。
国际交易要求:
数字签名及认证应该是国际公认和通用的,而且所有国家都要掌握充分的编码技术。
现有电子商务网上支付系统的安全体系结构一般分为三大层次如图所示:
电子商务网上支付系统的安全体系结构
1.基本加密算法
目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。
1.1对称密钥体制(又称单钥密钥体制)
即对信息加解密使用的密码是同一密码。
对称密钥加密算法具有以下特点:
解密密钥和加密密钥相同,用某个密钥加密就必须用同一个密钥解密;加密过程中将待加密数据分割成等长的若干个分组,对每个分组进行加密形成加密后的分组,再将各个分组组合成整个密文;加密过程是一个密钥控制下的复杂迭代运算;相对非对称加密算法密码长度较短、加密速度较快。
典型的算法是DES算法。
对称加密算法在电子商务交易过程中存在以下几方面的问题:
a.要求提供一条安全的渠道使交易双方在首次通信时协商一个共同的密钥。
面对面地直接协商可能并不现实,因此双方需要借助于邮件、电话等其它相对不够安全的手段来进行协商。
b.由于密钥数目的快速增长而变得难以管理。
因为每一对可能的通信实体需要使用不同的密钥,这很难适应现代社会大量信息的交流。
c.通常对称加密算法不能提供信息完整性鉴别。
1.2非对称密钥体制(又称公钥密钥体制)
即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。
这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为专用密钥(解密密钥)加以保存。
非对称密钥加密算法具有以下特点:
算法存在两个密钥,一个公开为公开密钥(简称公钥);另一个保密为私有密钥(简称私钥)。
一个密钥用来加密后,就要用另一个密钥来解密,也就是说用公钥加密的信息就要用私钥解密,用私钥加密的数据就要用公钥解密。
典型的算法是RSA算法。
2.第二层:
安全认证手段
2.1数字摘要(DigitalDigest)
采用中一向Hash函数,将需要加密的信急原文通过特定的变换,将其“摘要”成一串128位的密文。
这串密文又称数字指纹,它是有固定长度的段代码,且对于不同的信息原文,将它摘要成密文之后的结果总是不同的,而同样的信息原文所形成的摘要必定是一致的。
这样利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。
2.2数字信封(DataEnvelop)
采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。
在数字信封中,信息发送方使用密码对信急进行加密,在利用RSA算法对该密码进行加密,则被RSA算法加密的密码部分称之为数字信封。
它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。
2.3数字签名
所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章。
对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。
“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。
它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。
它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
数字签名在ISO7498-2标准中定义为:
“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。
美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:
“利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。
数字签名的种类和功能非常多,相应的方案也很多,除了常规的数字签名方案之外,还有众多具有代表性的群签名方案、多重数字签名方案、批验证协议和代理数字签名方案等。
在电子商务的众多网络服务中都用到了数字签名技术,如电子合同的认证、网络支付单据的认证、电子政务中政府公文的传递等。
由于电子商务的非面对面性,为了防止网络中假冒、抵赖等行为的发生,并使其有据可循,数字签名就如同传统商务中的个人手写签名或企业印章一样,保障了电子商务的安全。
2.4数字时间戳(DigitalTimestamp)
数字时间戳服务是网上安全服务项目,由专门的机构提供。
数字时间戳是一个经加密后形成的凭证文档,它包括二个部分:
需加时间戳文件的摘要、数字时间戳机构收到文件的数字时间和数字时间戳机构的数字签
升级会员 