网上支付安全存在的问题及解决方法.docx
《网上支付安全存在的问题及解决方法.docx》由会员分享,可在线阅读,更多相关《网上支付安全存在的问题及解决方法.docx(12页珍藏版)》请在冰豆网上搜索。
网上支付安全存在的问题及解决方法
网上支付与结算课程论文
题目:
网上支付安全存在的问题及解决方法
系别:
财经管理系
专业:
会计电算化
班级:
会计113班
*******
作者:
赵国扬序号57
2013年6月日
网上支付安全存在的问题及解决方法
班级会计113班姓名赵国扬序号57
摘要:
随着经济的的日益发展,网络的发展也不可小视,网上支付是息时代诞生的一种新的支付结算方式。
随着时间的推移人们对新事物的了解也不断加深也逐渐习惯并接受。
现在也存在不愿意用网上支付并不是什么怪现象,这一现象反应出网上支付在现实生活中所存在的问题、人们对网上支付安全的心理准备不够充分。
网上支付存在信息安全隐患问题使得人们不能普遍使用网上支付方式结算的直接原因。
只有保障网上交易信息安全的数据加密技术、身份验证技术、防火墙技术的实施,完善电子商务电子发展的内外部环境,才能更好的促进我国网上支付的发展。
关键词:
网上支付、安全、认证、技术
引言…………………………………………………………………………
一、网上支付与结算的概述………………………………………………
(一)、网上支付与结算的概念…………………………………………
1、网上支付与结算的概念……………………………………………
2、我国网上支付的方式………………………………………………
(二)网上支付的现状及面临的问题…………………………………
1、网上支付的发展及现状………………………………………………
2、网上支付面临的问题…………………………………………………
二、网上支付存在的安全问题分析………………………………………
(一)网上支付安全现状………………………………………………
1、网上支付安全的要求………………………………………………
(二)网上支付安全技术与认证技术………………………………
1、安全技术………………………………………………………………
2、认证技术………………………………………………………………
3、安全协议………………………………………………………………
(三)网上支付安全的解决方法………………………………………
结论………………………………………………………………………
参考文献…………………………………………………………………
引言
随着经济的的日益发展,网络的发展也不可小视,网上支付是息时代诞生的一种新的支付结算方式。
随着时间的推移人们对新事物的了解也不断加深也逐渐习惯并接受。
现在也存在不愿意用网上支付并不是什么怪现象,这一现象反应出网上支付在现实生活中所存在的问题、人们对网上支付安全的心理准备不够充分。
网上支付存在信息安全隐患问题使得人们不能普遍使用网上支付方式结算的直接原因。
只有保障网上交易信息安全的数据加密技术、身份验证技术、防火墙技术的实施,完善电子商务电子发展的内外部环境,才能更好的促进我国网上支付的发展。
一、网上支付与结算的概述
互联网在国内的发展已经有十多年的历史了,利用互联网进行商务交易活动——电子商务也有了十多年的历史。
毋庸置疑,电子商务作为一种新型网上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚,降低了生产与销售成本,进一步缩短了生产厂家与最终用户之间的距离,改变了市场的结构;而且还大大节省了企业的营销费用,提高了企业的营销效率;为企业提供了巨大的潜在顾客群,给企业带来了无限的发展机会。
当今网络金融服务随着电子商务的蓬勃发展已经开始在世间范围内如火如荼的发展起来。
网络金融服务包括各种网上消费、家庭银行、个人理财、网上投资交易、网上保险等。
这些金融服务的特点是通过电子货币进行网上支付结算。
我国的网上支付结算业务近几年得到迅速地发展。
(一)网上支付与结算的概念
1、网上支付与结算的概念
网上支付预结算也称为网上支付或网络支付,是以金融电子化为基础,以商用电子工具盒各类交易卡为媒介,使用安全的基于internet平台的运作平台,为交易客户提供货币支付或资金流转等的现代化支付结算手段。
2、我国网上支付的方式
从目前我国的电子商务发展环境来看,存在的主要支付方式是线上支付和线下支付两种,而这两种支付方式还是并存的关系。
网上支付及线上支付,买方在互联网上直接完成款项支付。
具体的来说主要的支付方式有:
(1)银行卡在线转账支付
这是目前我国应用最多的线上支付。
付款人可以使用申请了在线转账功能的银行卡转移小额资金单收款人的银行账户上,就玩成了此次在线支付。
它具有的特点:
一是接受此电子支付方式的商家投入较低;二是能够受理银行卡义务的商家在全球范围内相当多,用户不限地域的限制。
(2)电子现金
电子现金是以数据形态存在的一种货币。
它把现金数值进行加密得到一个新的加密序列数,来表示现实中各种金额的货币。
但是现在我国使用的不多。
它的特点是:
具有现实现金的特点可以存、取、转,适用于小额支付;银行在发出电子货币时使用数字签名,商家接受电子现金后传到银行账户上通过数字签名验证确定此电子现金的有效性;电子现金支付是匿名的,更好的保护了用户的个人信息。
3)电子支票
电子支票时代替纸质支票的电子替代品而存在在的,用来吸引不想用现金而想使用信用方式的个人和公司。
它使用银行信用弥补商业信用的不足,而我国还尚未使用这种网上支付。
他的特点:
与传统的支票操作几乎一样,易于理解和运用;通过简单的加密就能够确保他的安全性;电子支票技术可连接公共网络金融机构和银行票据交换网络,可以通过公共网络连接现有金融付款体系。
4)第三方支付
第三方支付是具备一定实力和信誉保障的独立机构,采用与各大银行签约合作的方式,提供与银行结算系统接口的交易支持平台的网络支付模式。
它是几次与银行卡在线转账支付的一种网上支付方式。
(二)网上支付的现状及面临的问题
1、网上支付的发展及现状
网上支付在我国的发展开始于1998年招商银行推出的网上银行业务。
随后各大银行的网上缴费、移动银行和网上交易等逐渐发展起来。
2005年被称为中国电子支付元年。
在政策的鼓励和第三方电子支付企业的努力和创新下,2007年我国的网上支付得意迅速发展和壮大。
2008年我国第三方网上支付突破了1000亿的网上交易规模。
2008年全球经济危机给我国网络经济和各行各业都带来了深刻影响,但同时也是我国网上支付高速发展的一年。
网上支付的快速发展的原因具体有:
1)网络购物的快速发展带动了网上支付的快速发展
2012年中国网络购物市场继续快速发展。
艾瑞咨询数据显示,2012年中国网络购物交易规模突破10000亿元大关,达到13040.0亿元;从网购结构来看,B2C占比达到29.7%,呈持续增大趋势;竞争态势方面,含平台式B2C市场天猫保持领先,自主销售为主B2C市场京东优势明显。
2)企业应用网上支付程度加深
企业要想和国外的企业接轨就必须通过互联网进行交易,使得我国有数以万计的企业正在走向互联网,也就形成了B2B市场。
B2B市场的形成是网上支付的一个巨大的需求。
3)网游、网上预订客票等网络应用的深入促进了网上支付的发展
2、网上支付面临的问题
网上支付是信息时代诞生的一种全新的支付结算方式。
网上支付的诞生和其他事物一样悄悄的影响着我们的生活,但是我们在不断的使用它时也发现了它所存在的缺陷。
因为网上支付存在缺陷使得一部分人不相信它,拒绝使用网上支付。
是什么成为网上支付发展的阻碍呢?
1)网上支付市场的竞争比较混乱
目前提供网上支付的商家近百家,处于领先的有支付宝、易宝财付通、快线、工行网银等。
其他服务商在规模、管理、技术服务等上都有很大的不足。
进入网上支付的市场门槛不高,服务商的资质不一,对网上支付的认识不够,缺乏对行业的了解,又没有相关的法律,市场的发展只能依靠企业的自律,而且有钱赚谁也想赚从而导致市场的混乱。
2)网上支付的风险依然较高
由于网络支付使得安全性不健全我们用户的支付账号平平被盗,还有一些不法分子通过网络进行洗黑钱,再就是第三方支付工具资金沉淀等。
综上所述的这些都反映了网上支付风险还是比较高的。
3)网上支付安全问题
网上交易时虚拟的,网上商店又称虚拟商店,网上银行同样也叫虚拟银行,由于这些原因网上支付的用户就会抱有这样的心理,反正是假的摸不着看不见套取一些货币。
有了这样的心理再到后来就有了钓鱼网站、盗取用户的信息和密码等各种不法行为。
4)网上支付诚信体系不完善
要想进行网上支付必须有用户和商家俩者才可以进行网上支付但是要进行交易必须的建立在双方的信任上才可以完成,而网上的东西用户是看不到的只能通过图片来判断,这就使得你在网上看的那个不一定是商家给你邮到家的哪一件。
这就体现了网上支付诚信体系存在不完善的一面。
5)关于网上支付的法律法规不完善
现在关于网上支付的相关的法律几乎等于零。
因此就有网络洗钱的一系列的网上支付金融问题。
如果有法律的保障就不会出现网上洗钱等问题。
有关部门应该尽快颁布关于网上支付的法律法规来约束人们的不法行为。
二、网上支付存在的安全问题分析
要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。
有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。
计算机网络安全的内容包括:
计算机网络设备的安全、网络系统安全、数据库安全等。
同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。
由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。
(一)网上支付的安全现状
网上支付是信息时代诞生的一种全新的支付结算方式。
网上支付的诞生和其他事物一样悄悄的影响着我们的生活,但是我们在不断的使用它时也发现了它所存在的缺陷。
因为网上支付存在缺陷使得一部分人不相信它,拒绝使用网上支付。
电子商务网上支付活动中存在的信息安全隐患问题,是影响人们不能普遍使用网上支付方式的直接原因。
只有实施保障网上支付交易信息安全加密技术、身份验证技术、防火墙技术等技术性的措施,完善电子商务发展的内外部环境,才能促进我国的网上支付的快速发展。
随着网上支付的发展,人们使用不单单是在线买卖支付,已经开始渗透到航空、教育考试、水电缴费等消费领域。
但与此同时网上安全隐患日益严重,用户对于支付风险的担忧,正在成为电子支付发展的障碍。
艾瑞咨询调研数据显示,2009年中央卫视“3.15”晚会对网上支付和网上银行安庆隐患的曝光让网民印象十分深刻,认同率达到36%,高于晚会的其他内容。
这些充分说明网上支付的安全性是用户使用的基础。
对此我们应该从提高网上支付安全的技术。
1、网上支付安全的要求
现在的人们离不开网络,因此网上支付的安全也就非常的重要,再次关于网上支付安全提出以下要求:
1)计算机及网络系统安全性的要求
随着信息化的发展,网上支付是通过计算机网络进行,对系统的硬件软件运作安全性和可靠性的要求、系统抵御非法用户入侵的要求等
2)对电子商务信息安全的要求
(1)身份真实性。
也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。
这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
(2)信息的完整性。
网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。
另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。
假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
(3)不可否认性,也称不可抵赖性。
在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。
因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
(4)数据保密性。
有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。
因此网上支付就涉及到数据保密性的问题了。
(二)网上支付安全技术与认证技术
电子商务的一个重要组成部分是网上在线支付系统,为了保证网上支付的安全,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。
为了保证基于Internet的电子交易数据的保密性、真实性、完整性和不可抵赖性,防范交易及支付过程中的欺诈行为,必须建立一个完整的金融安全认证体系,形成信任和信任机制使得交易和支付个方面确认其他各方的身份。
1、安全技术
1)公钥基础设施PKI体系
PKI是一种遵循标准的利用公开密钥加密技术为网络交易的展开提供一套安全基础平台的技术和规范。
用户利用PKI平台提供的服务进行安全通信。
PKI利用证书来管理公钥由可信的第三方签发证书,由证书用户的公钥与用户的相关信息绑定在一起,以此来认证用户的身份。
PKI主要是通过加密技术、数字签名、数字信封、双重数字签名、数字证书等来实现与用户的相关信息进行绑定的。
2)加密技术
加密技术室最常用的安全保密手段,利用技术手段把重要的数据变为乱码传送,到达目的地后再用相同或不同手段变成原来的数据。
加密技术包括算法和密钥。
算法是将普通的信息与一串数字结合,产生不可理解的密文,密钥是用来对数据进行编码和解密的。
加密技术的有俩种方式一是对称加密技术;二是非对称密钥体制。
用图来说明这俩种加密技术:
2、认证技术
1)数字摘要
数字摘要技术是采用安全单向Hash编码法对明文中若干重要元素进行某种交换运算得到的一串128dit的密文,这串密文也称数字指纹,有固定的长度。
数字摘要方法解决了信息完整性问题。
2)数字信封
数字信封式采用双重加密技术来保证只有规定的接受者才能阅读到信中的内容。
3)数字签名技术
数字签名技术是公开密钥技术和报文分解函数相结合的产物。
数字签名保证了信息的完整性和不可否认性。
4)数字时间戳
在电子交易中,时间和签名一样是十分重要的证明文件有效性的内容。
数字时间戳就是用来证明消息的收发时间的。
5)数字证书
数字证书又称公开密钥证书,也被称为数字标示,是由权威的、可信赖的、公正的第三方机构----认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签名的数据的文件。
数字证书是Internet上的安全护照和身份证明,所以我们称它为电子身份证。
3、金融认证中心
在这主要介绍我国的金融认证中心,中国金融认证中心(ChinaFinancialCertificationAuthority),简称CFCA,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。
中国金融认证中心,于2000年6月29日挂牌成立,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,也是《中华人民共和国电子签名法》颁布后,我国首批获得电子认证服务许可的电子认证服务机构之一。
2004年底,CFCA建成了“国家金融安全认证系统”,开始向网上银行、电子商务、电子政务提供服务。
该系统的建设及应用受到国家相关部门的高度重视,被列入国家863计划。
系统先后通过了国家密码管理局的安全性审查、技术鉴定和国家科技部的863项目验收。
“国家金融安全认证系统”具有良好的兼容性和扩展能力,能够充分满足金融信息化、电子商务、电子政务蓬勃发展的需要。
该系统的建成,也为跨银行、跨行业一证通用打下了基础。
CFCA在行业内拥有权威地位和较高的品牌知名度,同时,具有良好的品牌信誉度,拥有丰富的信息安全领域经验和雄厚实力。
为金融行业、电子商务、电子政务领域服务,提供信息安全解决方案、信息安全产品研发、信息安全评估、安全技术支持、联合测试等全方位的信息安全服务。
国内绝大部分银行(100多家)已经采用了CFCA提供的第三方安全认证。
目前,CFCA的产品应用于银行等金融机构、税务等政府机关、大企业集团,广泛得到客户好评。
CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商,将竭诚服务广大客户,用专业化水平推动信息安全事业,促进网络应用繁荣发展。
(三)网上支付安全协议
1、SSL协议
SSL安全协议最初是由NetscapeCommunication公司设计开发的,又叫“安全套接层(SecureSocketsLayer)协议”,主要用于提高应用程序之间的数据的传输安全。
SSL协议的整个概念可以被总结为:
一个保证安装了安全套接字的客户和服务器间事务安全的协议。
SSL安全协议主要提供三方面的服务:
用户和服务器的合法性认证
认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。
客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,安全套接层协议要求在握手交换数据进行数字认证,以此来确保用户的合法性。
加密数据以隐藏被传送的数据
安全套接层协议所采用的加密技术既有对称密钥技术,也有公开密钥技术。
在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手情息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。
这样就可以防止非法用户进行破译。
护数据的完整性
安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
要说明的是,安全套接层协议是一个保证计算机通信安全的协议,对通信对话过程进行安全保护。
例如,一台客户机与一台主机连接上了,首先是要初始化握手协议,然后就建立了一个SSL。
对话进段。
直到对话结束,安全套接层协议都会对整个通信过程加密,并且检查其完整性。
这样一个对话时段算一次握手。
而HTTP协议中的每一次连接就是一次握手,因此,与HTTP相比。
安全套接层协议的通信效率会高一些。
(1)接通阶段:
客户通过网络向服务商打招呼,服务商回应;
(2)密码交换阶段:
客户与服务器之间交换双方认可的密码,一般选用RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法;
(3)会谈密码阶段:
客户与服务商间产生彼此交谈的会谈密码;
(4)检验阶段:
检验服务商取得的密码;
(5)客户认证阶段:
验证客户的可信度;
(6)结束阶段,客户与服务商之间相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加密,另外一方收到资料后,再将编码资料还原。
即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。
发送时信息用对称密钥加密,对称密钥用非对称算法加密,再把两个包绑在一起传送过去。
接收的过程与发送正好相反,先打开有对称密钥的加密包,再用对称密钥解密。
在电子商务交易过程中,由于有银行参与,按照SSL协议,客户的购买信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,并将商品寄送客户。
SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有很多网上商店使用。
在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家将商品寄给客户。
这里,商家是可以信赖的,所以客户先付款给商家。
在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期的信用卡,因而希望银行给予认证。
SSL安全协议正是在这种背景下产生的。
SSL协议运行的基点是商家对客户信息保密的承诺。
但在上述流程中我们也可以注意到,SSL协议有利于商家而不利于客户。
客户的信息首先传到商家,商家阅读后再传至(银行,这样,客户资料的安全性便受到威胁。
商家认证客户是必要的,但整个过程中,缺少了客户对商家的认证。
在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。
随着电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点完全暴露出来。
SSL协议将逐渐被新的电子商务协议(例如SET)所取代。
2、SET协议
在开放的因特网上处理电子商务,保证买卖双方传输数据的安全成为电子商务的重要的问题。
为了克服SSL安全协议的缺点,满足电子交易持续不断地增加的安全要求,为了达到交易安全及合乎成本效益的市场要求,VISA国际组织及其它公司如MasterCard、MicroSoft、IBM等共同制定了安全电子交易(SET:
SecureElectronicTransactions)公告。
这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。
由于设计合理,SET协议得到了许多大公司和消费者的支持,己成为全球网络的工业标准,其交易形态将成为未来“电子商务”的规范。
安全电子交易规范,为在因特网上进行安全的电子商务提供了一个开放的标准。
SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。
可以说,SET规范是目前电子商务中最重要的协议,它的推出必将大大促进电子商务的繁荣和发展。
SET将建立一种能在因特网上安全使用银行卡进行购物的标准。
安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于因特网的安全电子付款协议,它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里,扩展到消费者的个人计算机中。
由于安全电子交易规范是由信用卡发卡公司参与制定的,一般认为,安全电子交易规范的认证系统是有效的。
当一位供货商在计算机收到一张有SET签证的订单时,供货商就可以确认该订单背后是有一张合法的信用卡支持,这时他就能放心地接下这笔生意,同样,由于有SET作保障,发出订单的客户也会确认自己是在与一个诚实的供货商做买卖,因为该供货商受到万事达或维莎发卡组织的信赖。
SET协议要达到的的目标主要有五个:
(1)保证电子商务参与者信息的相互隔离。
客户的资料加密或打包后边过商家到达银行,但是商家不能看到客户的帐户和密码信息;
(2)
(2)保证信息在Internet上安全传输,防止数据彼黑客或被内部人员窃取;
(3)(3)解决多方认证问题,不仅要对消费者的信角卡认证,而且要对在线商店的信誉程度认证,同时还有消费看、在线商店与银行间的认证;
(4)保证了网上交易的实时性,使所有的支付过程都是在线的;
(5)规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET安全协议的工作原理主要包括以下7个步骤:
(1)消费者利用已有的计算机通过因特网选定的物品,并下电子订单(关于产品属性的字段);
(2)通过电子商务服务器与网上商场联系,网上商场做出应答,告诉消费者的订单的相关情况(是否改动以及关于购买属性的关键字段);
(3)消费者选择付款方式,确认订单,签发付款指令(此时SET介入);
(4)在SET中
升级会员 