论述网络支付的安全需求是什么及有哪些相应技术解决对策.docx
《论述网络支付的安全需求是什么及有哪些相应技术解决对策.docx》由会员分享,可在线阅读,更多相关《论述网络支付的安全需求是什么及有哪些相应技术解决对策.docx(7页珍藏版)》请在冰豆网上搜索。
论述网络支付的安全需求是什么及有哪些相应技术解决对策
石河子大学
论文题目:
我国网上支付的安全需求及技术对策
学院名称:
石河子大学商学院
******
学生学号:
********60
专业班级:
电商2010
(2)班
*******
二零一二年十一月
我国网上支付的安全需求及其技术对策
摘要
近几年,我国的电子商务有了很快发展。
电子商务实际上通过企业信息流、物流和资金流完成相互的活动,网上支付能有效地解决了电子商务资金流的问题,所以对于商务的发展起到了催化剂的作用,大大促进电子商务的发展,并且给电子商务带来了繁荣。
根据互联网研究系列报告,报告有些数字显示,中国电子商务交易总额2004年达到4000亿,2005年增长到6200亿人民币,另外中国的网民网上支付额2003年是2.3亿,2004年达到6.8亿,2005年达到15.7亿,每年双十一更是一脸网上交易的巅峰,今年就有191个亿在淘宝和天猫完成,网上支付显示强大的增长势头。
目前网上支付的市场需求也非常旺盛,应用创新空间非常广阔,是一个大有前景的行业,银行在这方面也有很大的发展空间,金融服务的发展创新开展网上支付业务,不仅可以减少银行成本,加快业务处理速度,方便客户,同时也有利于银行拓展业务,增加中间业务的收入。
但是,网络支付的安全问题仍然是严重制约我国电子商务的发展的瓶颈,许多交易由于出于安全的考虑而没能顺利进行。
关键字:
电子商务;网络支付;安全问题
引言
要想保证在网上进行交易的安全性,首先要确保网上交易的载体———计算机网络的安全以及用户机终端的安全。
计算机网络安全的内容包括:
计算机网络设备的安全、网络系统安全、数据库安全等。
同时用户机终端的安全也会影响网上交易的顺利进行,如户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性。
一.现有的网上支付情况
(一)网上支付涉及的三个基本技术要素
1.电子钱包(e-Wallet)
电子钱包——电子钱包有两种形式:
一种指客户的加密银行账户,通过它可真正实现网上支付。
加密账户的安装既可直接从网上下载,也可在开展网上支付业务的银行领取安装光盘;另一种形式是预付式的储值卡,它在卡片正面的微型晶片上存储金额和交易记录,可以进行脱机交易,功能相当于信用卡,可分为用完即弃型、重复储值型和附加可重复储值型三种。
2.支付网关(PaymentGateway)
支付网关——支付网关是连接银行内部网络和Internet的一组服务器,其主要作用是完成两者之间的通信、协议转换以及进行数据的加密、解密,在确保银行内部网络安全的同时实现同外界信息的交换。
支付网关是通过网络安全协议来保证网络安全的。
目前,网上支付常用的安全协议主要有两种:
SET(SecureElectronicTransaction)协议,即“安全电子交易”协议,是VISA、MASTER两大国际卡组织和多家科技机构共同制定的、进行在线安全交易的协议标准,主要是为了解决用户、商家和银行之间通过信用卡支付交易的安全要求而设计的,能够保证支付信息的机密、支付过程的完整、商户和持卡人的合法身份以及可操作性。
SSL(SecureSocketLayer)协议,即“安全套接层”协议,是由网景公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护,对整个会话过程进行加密。
SET协议是基于信用卡支付安全而定义的电子支付协议,它提供了对持卡人、商家和银行的身份认证,同时使商家只能得到客户的定购信息,银行只能获得有关的支付信息。
由于SET协议的技术标准比较复杂,对当事人要求较高,推广阻力大。
3.安全认证(CA)
安全认证——安全认证是为了确认网上交易各方的身份及保证交易的不可否认的确定性而进行的数字证书检验。
这项工作由CA(CertificateAuthority)认证中心完成的。
(二)电子商务的网上支付中存在的问题
先是网上支付的安全问题。
造成网上支付发展的安全风险主要有三个方面:
一是银行网站本身的安全性。
二是交易信息在商家与银行之间传递的安全性。
三是交易信息在消费者与银行之间传递的安全性。
无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
1.密码管理问题
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。
许多攻击者还会直接使用软件强力破解一些安全性弱的密码。
因此,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全性。
2.网络病毒、木马问题
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。
木马会监视lE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3.钓鱼平台
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。
受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。
此外还有网上支付的信用问题和网上支付的法律问题。
人们总是习惯于面对面的交流,买家担心卖家的商品不合自己的需求,或是存在质量问题,或是卷款消失,而卖家则担心买家收货不付款。
这样会直接导致交易量的减少。
而且目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
加之网上安全认证机构(CA)的认证体系还不够完善,在这个环节上也可能出现问题。
解决网上支付的安全问题可以从这几个方面入手:
技术策略、法律建设、社会道德的规范、完善的监督管理体系,而技术策略应该是解决问题的核心所在。
(三)电子商务安全技术
密码技术是利用密钥对敏感信息进行数学变换以达到保密的目的。
密码技术包括密码算法的选取、密钥生成和管理及分发。
数字签名技术保证数据来源的可靠性和数据输入时间的不可否认。
身份认证技术包括交易双方身份真实性的鉴别和不可否认机制(数字证书)。
信息认证技术保证接收者能够验证接收到的信息的真实性,发送方无法抵赖其发过的信息,接收方也无法抵赖其已经接收信息。
并且能够发现信息在传输过程中是否被延时、重传。
安全的计算机网络基础设施包括计算机安全、网络设备安全、安全OS、安全网络协议。
密码技术是利用密钥对敏感信息进行数学变换以达到保密的目的。
密码技术包括密码算法的选取、密钥生成和管理及分发。
数字签名技术保证数据来源的可靠性和数据输入时间的不可否认。
防火墙一个建立在安全的内部网和不可信外网之间的强制性安全策略系统。
安全电子邮件既能识别虚假的商务信息,又能防范和抗击电子邮件病毒引起的侵害。
反计算机病毒技术
网络入侵检测即检测用户访问计算机和网络系统的操作序列有否违反安全策略和攻击行为,如有则报警并采取相应的措施。
二.网上支付存在的安全问题分析
(一)身份真实性
也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。
这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
(二)信息的完整性
网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。
另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。
假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
(三)不可否认性,也称不可抵赖性
在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。
因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
(四)数据保密性
有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。
因此网上支付就涉及到数据保密性的问题了。
三.网上支付存在安全问题的解决对策
(一)技术方面的对策。
1.数据加密
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求。
它是通过一定的加密算法,利用密钥(Secretkeys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
2.数字签名
数字签名是公开密钥加密技术的另一类应用。
它的主要方式是:
报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。
然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。
报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。
如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。
通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。
3.安全协议
在国际上,比较有代表性的电子支付安全协议有SSL和SET。
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。
通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。
该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。
SSL协议运行的基点是商家对客户信息保密的承诺。
客户的信息首先传到商家,商家阅读后再传到银行。
这样,客户资料的安全性便受到威胁。
另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。
在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。
今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。
(二)法制方面的对策
加强对网上银行和第三方支付机构等相关组织的监管。
加强电子商务行业的监管,规范市场主体行为。
首先要加强对网络银行的监管,网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。
(三)管理方面的对策
在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。
通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。
因此,统一而先进的管理和规范就显得尤为重要。
例如,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。
参考文献:
1.张李义,李枫林.电子商务概论[M].
2.柯新生.网络支付与结算[M].
3.郭亚军,宋建华,李莉.信息安全原理与技术[M].
4.肖德琴.电子商务安全保密技术与应用[M].
升级会员 