电子商务支付体系中存在的安全问题及对策.docx
《电子商务支付体系中存在的安全问题及对策.docx》由会员分享,可在线阅读,更多相关《电子商务支付体系中存在的安全问题及对策.docx(10页珍藏版)》请在冰豆网上搜索。
电子商务支付体系中存在的安全问题及对策
电子商务支付体系中存在的安全问题及对策
电子商务支付体系中存在的安全问题及对策
中文摘要
随着社会进步,计算机、网络和通讯技术日益发展,一种新兴的商务行为模式——电子商务出现了。
电子商务的核心——支付方式随着计算机技术在金融领域的应用不断的演变,于是基于互联网的网上支付出现了,电子商务的网上支付问题也就越来越受到人们的重视。
目前在国内的网上交易中主要有网下支付和网上支付两种方式。
前一种主要通过电话、电报或信件来传递信用卡和账户信息;后一种就是通过网上直接输入信用卡和账户信息进行转账。
相比之下网上支付更能体现电子商务的方便性和实用性。
本文从电子商务对经济发展的意义、我国电子商务所面临的问题及解决问题的对策等几方面详细对我国电子商务发展中存在的问题进行了分析。
虽然电子商务在中国已经有十几年的发展时间,但是离深入人心、占据主流还相去甚远,其中一个重要的原因就是人们对于这种新经济模式支付手段的陌生,大多数人对于网上支付的原理和工作方式不甚了解,存在疑惑和神秘感,因此对电子商务网上支付条件和技术进行论述,分析现有的新的网上支付的模式,帮助人们进一步认识电子商务这个新兴事物,从而能够使更多的人接受并主动适应这一新的商务模式。
关键词:
电子商务;电子支付;网上支付;安全性;
ABSTRACT
Developdaybydayalongwiththesocietyprogress,calculator,networkandcommunicationtechnique,akindofnewlyarisenbusinessbehaviorpattern-electroniccommerceappeared.Thecoreofelectroniccommerce-payawayalongwiththecalculatortechniqueinthefinancialrealmofappliedcontinuouslyturninto,henceaccordingtothenetofInternetuppaidtoappear,payonthenetofelectroniccommercetheproblemalsomoreandmoreisvaluedbypeople.Mainlyhaveanetthebottomtopayinthelocalnetthetopthebargainwithnetcurrentlyuppaytwokindsofmethod.Ex-1kindmainlypassestelephone,telegramorlettertodelivercreditcardandaccountinformation;Empress1kindistopassthetopofthenettodirectlyinputcreditcardandaccountinformationtocarryontransfer.Compareunderthenetpayanabilitybodymorenowtheconvenienceandfunctionoftheelectroniccommerce.
Thistextisfromtheelectroniccommercetothemeaningofeconomicdevelopment,ourcountryelectroniccommercefaceofproblemandproblem-solvingcounterplanetc.severalaspectsindetailtoourcountrytheexistentproblemintheelectroniccommercedevelopmentcarriedonanalysis.
Althoughtheelectroniccommercehasalreadyhaddevelopmenttimeformorethan10yearsinChina,leavethoroughpublic,occupymaincurrentstilltotallydifferent,theimportantreasonofanamongthoseispeopletopaymeanstothiskindoflatelyeconomicmodeofunfamiliar,mostpeoplefortheprinciplethatthenetpayandworkthewaynotandveryunderstands,existencedoubtandmysteriousfeeling,sotoelectroniccommercenetuppayconditionandtechniquetocarryontreatise,analyzeanexistingnewnetuppayofmode,helppeopletoknowelectroniccommercethisnewlyarisenthingfurther,canmakemorepeopleacceptthusandactivelyadaptthisnewbusinessmode.
Keywords:
Electroniccommerce;Theelectronicspay;Payonthenet;Safety;
1.引言
近年来电子商务快速发展,为了完成电子商务交易,不同的支付工具,如信用卡、电子现金、电子钱包、电子收费等不断出现。
在这些工具中,人们最常用的还是信用卡,至今95%以上的网上消费者用信用卡消费。
然而,正是信用卡成了影响电子商务进一步发展的主要障碍。
自20世纪60年代后期出现以来,信用卡欺诈问题一直困扰着商家和消费者,并且愈演愈烈。
1.1电子商务与支付系统概述
1.1.1电子商务的定义
人们通常把基于Internet平台进行的商务活动统称为电子商务。
电子商务是贸易活动各环节的电子化,它覆盖了与商务活动有关的所有方面。
电子商务给传统的贸易方式带来了巨大的冲击,它突出的标志就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。
可以扩大销路、沟通企业与企业之间的疏通渠道,为客户提供不间断的产品信息查询和定单处理等服务。
这一切都增强了企业的竞争力。
电子商务极大地改变了商务模式,带动了经济结构的变革,被国际上认为是“未来四分之一世纪世界经济发展的一个重要推动力,甚至可以与200年前工业革命对经济发展的促进相比”。
1.1.2电子支付与网上支付
电子商务的蓬勃发展使支付系统建设有了新思路,对电子支付系统的地位和作用有了新评价:
电子支付系统是实现网上支付的基础,网上支付则是电子支付系统发展的更高形式。
首先,电子支付系统并没有改变银行支付结算的基本结构和过程。
电子支付、企业银行等都是建立在封闭的专用网中,银行结算都是发生在商品交易完成之后;而网上支付则是与网上交易紧密结合、互为条件的。
网上交易不确定,网上支付就不会发生,而网上支付不进行,网上交易也不能最终完成。
其次,网上支付是以电子支付系统为条件的。
以电子购物中普遍应用的银行卡结算为例,持卡人在网上确定购物意向后,支付指令是由商场经过支付网关、银行卡信息交换网络送往发卡行处理中心授权、扣帐,然后将信息返回商户,完成交易;银行卡授权、扣帐信息及最终资金清算又需通过银行电子汇兑、电子联行或同城清算系统来完成。
再次,网上支付是交互的,使得原本只有企业才能直通银行的电子支付方式,由互联网为个人、家庭开辟了连接银行的渠道,并且使个人和企业不再受限于银行的地理环境、上班时间,突破了空间距离和物体媒介的限制,足不出户即可完成支付结算。
1.1.3网上支付工具
我国电子商务是在借鉴国际先进技术和经验的基础上发展起来的,网上支付的应用也应借鉴国际通行做法,并结合我国特点逐步完善。
目前,国际通行的网上支付工具和支付方式主要有银行卡支付、电子支票、电子现金以及网上银行等。
1、银行卡支付
银行卡支付方式的基本做法是通过专用网络或国际互联网以信用卡号码传送做交易,基本上持卡人(card-holder)就其所传送的信息(message),先进行数字签名加密,然后将信息本身、数字签名经CA认证机构的认证后,连同电子证书((electroniccertificate)等一并传送至商家,商家验证证书,解密被加密的数据完成交易转帐。
2、电子支票
电子支票是一种借鉴纸张支票转移支付的优点。
利用数字化网络传递将钱款从一个帐户转移到另一个帐户的电子付款形式。
这种电子支票的支付是在与商户及银行相连的网络上以密码方式传递的,多数使用公用关键字加密签名或个人身份密码(PIN)代替手写签名。
用电子支票支付,事务处理费用较低,而且银行也能为参与电子商务的商户提供标准化的资金信息。
3、电子现金
电子现金是一种以数据形式流通的货币、它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市值,用户在开展电子现金业务的银行开设帐户并在帐户内存钱后,就可以在接受电子现金的商家使用。
4、网上银行
网上银行既是电子商务范畴之一,又为电子商务提供网上支付服务。
在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件。
没有适时的电子支付手段相配合,电子商务就成了真正意义上的“虚拟商务”,只能是电子商情、电子合同,而无法网上成交。
网上支付要求金融业电子化,网上银行E-Bank(ElectronicBank)的建立成为大势所趋,它是在Internet上的虚拟银行柜台。
用户可以不受时间、空间的限制,只要用一台PC,一根电话线,就可以享受全天候的网上金融服务。
这里的网上金融服务是指实质性的金融服务,除了传统的商业银行业务之外,还可以进行网上支付结算那些拥有自己网站,但仅仅进行形象宣传和业务介绍的银行,充其量只能算“上网银行”,而非“网上银行”,网上银行必须具有支付结算等金融功能。
1.2电子商务网上支付的发展现状
电子商务于90年代初兴起于美国、加拿大等国,但在近几年电子支付才被人们普遍接受。
各厂商如IBM、HP、Microsoft、SUN等纷纷推出自己的电子商务产品和各自的解决方案。
随着电子商务的发展,各种法规也随之健全,德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。
1996年下半年,美国财政部颁布有关《全球电子商务选择税收政策》白皮书;联合国国际贸易法委员会(UNCITRAL)已经完成模型电子商务法的制定工作,为电子交易制订出统一通用的规则。
另外,两大国际信用卡组织VISA和MasterCard合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。
SET是专为网上支付卡业务安全所制定的的标准。
我国正处于信用卡传统支付方式的推进以及银行卡互联网支付系统推进并行发展的阶段。
虚拟帐户方案已经在各类电子服务公司中得到广泛的应用,但各网站推出的虚拟货币、帐户几乎都是在各自的网站内使用,缺少网站间成熟的流通机制,网民的数量以及消费规模已经形成了一定的市场需求,但还没有足够的动力促使此类支付系统走向成熟与深入应用。
2.电子商务实施中存在的安全问题
2.1电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。
实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。
从安全和信任的角度来看,传统的买卖双方是面对面
家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品
3.3安全问题产生的人为原因
从管理上看,存在的主要问题有:
1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期,使有网络泡沫之虞;3)缺乏能适应中国国情的市场技巧。
现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。
4)网站运营成本太高。
由于运行成本居高不下,再好的商业模式也不堪重负。
5)收费困难。
除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。
电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。
这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。
目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。
如果遇到类似于DDOS的攻击时应该引起注意,但不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。
从以往遭遇过的攻击中我们可以得到以下几点启示:
1.纯技术难以防范原始攻击方式。
如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的方法去防范。
美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安全补丁很多,但很少有人真正用它或不知道怎么去用。
所以,在信息化发展的初期,管理比技术显得更为重要。
2.病毒比一般攻击更可怕。
现在的病毒(包括恶性代码)破坏性越来越大。
现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。
3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。
4.电子商务解决安全问题的对策
4.1现有解决方案
技术的发展进步已为以上方面提供了可能的解决方案。
例如:
“数字签名”及“信息摘要”可以证实一个信息是否被篡改;一个“数字证书”可以确认一个发送数字签字信息的人的身份;“双重加密”可以实行在线订货付款,而不让卖方看到信用卡号。
国际交易要求:
数字签名及认证应该是国际公认和通用的,而且所有国家都要掌握充分的编码技术。
现有电子商务网上支付系统的安全体系结构一般分为三大层次如图4-3所示:
图4-3电子商务网上支付系统的安全体系结构
(1)第一层:
基本加密算法。
目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。
对称密钥体制(又称单钥密钥体制),即对信息加解密使用的密码是同一密码。
目前,国际上分组密码最具代表性的是美国数据加密标准DES。
DES的密钥长度是56位。
该标准主要应用于银行业中的电子资金转账(EFT)领域。
非对称密钥体制(又称公钥密钥体制),即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。
这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为专用密钥(解密密钥)加以保存。
(2)第二层:
安全认证手段。
①数字摘要(DigitalDigest)。
采用中一向Hash函数,将需要加密的信急原文通过特定的变换,将其“摘要”成一串128位的密文。
这串密文又称数字指纹,它是有固定长度的段代码,且对于不同的信息原文,将它摘要成密文之后的结果总是不同的,而同样的信息原文所形成的摘要必定是一致的。
这样利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。
②数字信封(DataEnvelop)。
采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。
在数字信封中,信息发送方使用密码对信急进行加密,在利用RSA算法对该密码进行加密,则被RSA算法加密的密码部分称之为数字信封。
它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。
③数字签名(DigitalSignature)。
只有信息发送者才能产生的别人无法伪造的一段数据串。
这段数据串同时也是对发送者发送了信息的真实性的一个证明。
在书面文件上签名是确认文件的一种手段。
作用有两点第一点因为自己的签名难以否认,从而确认了文件己签署这一事实;第二点因为签名不易冒犯,从而确认了文件是真实这一事实。
④数字时间戳(DigitalTimestamp)。
数字时间戳服务是网上安全服务项目,由专门的机构提供。
数字时间戳是一个经加密后形成的凭证文档,它包括二个部分:
需加时间戳文件的摘要、数字时间戳机构收到文件的数字时间和数字时间戳机构的数字签名。
⑤数字证书和数字凭证(DigitalCritical&DigitalID)。
用电子手段来证实一个用户的身份和对网络资源的访问和权限。
在网上的电子交易中,如果双方出示了各自的数字证书,并用它进行交易操作,那么双方就可以不必为双方身份的真实性担心了。
⑥认证中心(CA)。
无论是数字时间戳还是数字证书的发证都不是靠交易双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成。
CA认证中心就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。
CA的主要任务是受理数字凭证的申清签发数字证书及对证书进行管理。
(3)第三层:
安全认证协议。
①安全文本传输协议(S-HTTP:
SecureHTTP)是对HTTP协议的扩展,保障WEB站点间交易的机密性、可靠性、完整性。
它并不依赖于特定的密钥证明系统,目前支持RSA,带内和带外以及Kerberos密钥交换。
②安全套接层协议(SSL)是一种利用公开密钥技术的工业标准。
它提供一个终端对终端的加密了的通信会话。
它嵌套在传送层与应用层之间,由两个协议组成。
其中SSL,记录协议在传输层之上,用来密封各种较高层的协议。
SSL握手协议的操作在SSL记录层之上。
在应用程序协议接收或传送数据之前,它允许客户和服务器彼此验证和协商一个数据加密法则和加密密钥。
③安全电子交易协议(SET)是1997年5月由Visa、MasterCard信用卡组织、Verifone等联合推出的用于电子商务网上支付的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,一个用以保护电子交易的隐私和保证交易的真实性的开放标准。
它采用公钥密码体制和X.509数字证书标准,目的就是为了保证网络交易的安全。
(4)支付网关。
支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,其主要功能为:
将公网传来的数据包解密,并按照银行系统内部通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。
即支付网关主要完成通信、协议转换和数据解密功能,并且可以保护银行内部网络。
此外,支付网关还具有密钥保护和证书管理等其它功能。
总的来看,解决电子商务网上支付系统的安全问题,目前主要采取访问控制、授权、身份认证、防火墙、加密存储及传达、内容控制、数据备份等措施。
通过访问控制,建立系统内部与外部、系统内部不同信息源之间的隔离机制;通过授权,对不同用户实行不同层次的访问许可,并监控用户的活动,使其不越权使用;通过身份认证辨别用户的身份真伪和信用程度,通常采用公共密钥、私用密钥或用户指纹、声音等特征,实现单因素或多因素认证;加密则是使用最广泛,也是最有效的手段之一,被应用于系统的各个环节,以保障信息在存储和传输过程中的一致性(不被非法篡改)、隐秘性(不被非法查看),还可使接受者无法否认曾经收到信息的事实;控制功能则使系统一以出了问题,能够做到问题再现、数据复查、责任追查等。
4.2现有解决方案中存在的问题
1、安全体系的基础—加密算法存在许多缺陷。
现有的私钥密钥体制中,IDFA和DES运行速度很快,但密钥管理很困难;而且DES算法(56bits)已被数以万计的网民们用穷举法在20余小时联手破译了。
可以说,在坚定的网民的面前,DES已经不安全了。
但国内不少银行至今仍用DES密码,这是非常不安全的。
现有的公钥密钥体制中,国际上比较流行的公钥加密算法有RSA算法、EIGamal和椭圆曲线算法等。
其中,RSA最有名,但RSA129(模长十进制129位)系统仍然在1994年被美国贝尔电报电话公司首席科学家阿捷思·伦斯特拉(AjenLenstra)组织下的43个国家的600多位专家,用1600台联网计算机经8个月之久强行破译了。
现有的RSA154虽不失为强公钥密钥体制之一,但其安全强度有待加强;其加解密速度太慢,只适于传送私钥密钥体制的密钥。
总之,两种密码体制都各有长短,甚至有不安全因素,将之作为整个安全体系的基础,应用于交易协议、身份认证等各个环节,更是潜伏着无形的隐患。
2、电子商务认证体系有待进一步健全。
一方而是设立的数量不够和分布不平衡;另一方而是认证程序的普及不够。
目前我国国内虽已建有几十家CA中心,但都或地域或行业各自为政,形成一个电子商务时代的CA割据局而,使得本来就发展较晚的电子商务更加步履艰难。
3、目前仍没有一个完全成熟的标准交易协议。
SSL协议虽然能有效地满足传送中数据的保密性并且保护数据不被修改,但它仍然有一定的缺陷:
如客户身份验证,即使在SSL3.0中发展了客户身份验证和数据加密方法,设计SSL3.0的应用程序时可能还会出现一些问题。
为了实现方便的支付,SET定义了各种消费模式,如如何实现分期付款、定期付款、分开发运,甚至定义了进行汽车租赁、宾馆消费等消费模式这些模式主要是按照美国的消费方式,许多消费方式在中国几乎没有开展,或者开展的情况很少。
且SET主要支持信用卡消费,这主要是因为美国的信用卡消费非常普及。
SET协议主要传输持卡者的主账户信息,没有个人密码PIN的使用。
但是在中国主要使用借记卡。
同时由于SET应用软件设计复杂,价格居高不下,要实现SET支付,持卡者、商家、支付网关和CA必须同时支持SET,因此造成建设和协调的困难。
4.3提出的安全对策
针对两种密码体制改造现有加密算法和改进密钥管理,并结合数字签名、数字时间戳、数字信封和交易协议等各环节加以应用。
如:
三重DES是DES的一种变形,这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使密钥长度达到112位;利用不等长编码对数据加密的方法;将几种加密方法混合使用等。
同时密切追踪和研究先进加密算法AES。
除了采用普通加/解密系统,近年来出现了信息伪装这一新概念。
就是将机密资料秘密地隐藏于另一非机密文件内容之中。
其形式可为任何一种数字媒体,如图像、声音、视频或一般的文档等等。
其首要目标是隐藏的技术要好,即要使加入隐藏信息的目标媒体产生最小的可见性降质,使人无法看到和听到隐藏的数据,达到令人难以觉
升级会员 