电子商务网络支付安全问题探讨毕业论文Word文档下载推荐.docx

1、 4.4利用验证技术9 4.5支付网关技术的应用 9 4.6防火墙技术的应用 94.7加强全过程的安全管理 105结束语 11 致谢 11电子商务网上支付安全问题探讨摘要：网络支付已经成为重要的支付手段之一，是基于Internet 的电子商务的核心支撑流程，是网上银行的发展方向。它改变了传统的支付结算处理方式，使支付活动不再受地域、时间的限制，为客户提供了便捷的支付渠道，适应现代经济发展的需要。同时我们也应该注意网络支付的潜在安全风险， 在网上支付的同时，必须确保网络支付的安全。计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重，网络安全管理的任务将会越来越艰巨和复

2、杂，抓好网络安全问题对保障网络信息安全至关重要。所以电子商务的安全实际上很大部分就是保证电子商务过程中网络支付结算流程的安全，这正是银行与商家，特别是客户关心的焦点问题。因此文章对电子商务网络支付安全问题进行探讨分析。关键词：网络支付；安全问题；安全技术前言美国等发达国家，通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善，我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中，买卖双方是通过网络联系的，由于internet是开放性网络，建立交易双方的安全和信任关系较为困难，由于电子商 务的远距离网络操作性而非

3、传统的面对面方式，它已成为大家关注电子商务运行安全的首要方面。完成了电子商务中资金流的网络支付，因涉及商务实体最为敏感的资金流动，所以是紧需要保证安全的方面也是紧容易出现安全问题的地方。因此本文对电子商务网络支付上的安全问题进行探讨分析。网络支付，也称网络支付与结算，它指以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，采用现代计算机技术和 以电子信 通信技术作为手段，通过计算机网络系统特别是Internet， 息传递形式来实现资金的流通和支付。我们也可以将它理解为电子支付的高级方式。它是电子支付的一个最新发展阶段，以电子商务为商业基础，以商业银行为主体，使用安全的主要基于Inter

4、net平台的运作平台，通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。从这里可以看出，基于Internet的即时网络支付是电子商务业务流程的一个关键环节，高水平电子商务发展的需求直接导致网络支付结算的兴起。1电子商务与网络支付系统的发展现状电子商务的发展现状根据 2013 年 1 月 13 日，中国互联网络信息中心（CNNIC）在京发布的第 25 次中国互联网络发展状况统计报告显示，在主要互联网应用使用率调查中，网络求职、更新博客 和网络购物位列增长最快的应用前三甲。 而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。由此可见，越来越多的企业和顾客加入到

5、电子商务的队伍中来，网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国，电子商务虽然刚起步，但是人们对电子商务的巨大潜力深信不疑；我国政府积极支持电子商务活动的开展，这些都对我国电子商务的发展产生了重要的影响。但是应当看到，我国还存在一些“瓶颈”问题，严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准，没有规矩不成方圆，没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础，而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我 国电子商务发展中迫在眉睫的、十分重

6、要的事，是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上， 国外成熟的电子商务解决方案占据主导地位仍是不争的事实，而国内真正有能力的开发厂家更是屈指可数，仔细算来也只有实华开、四通寥寥几家，但没有一家能够提供一套完整的电子商务交易标准。而网 上支付作为新兴的电子支付手段， 越来越普及越来越重要。无论是对电子商务技术服务标准 的制定还是对真正成熟的电子商务的解决方案的出现， 网上支付系统的关键技术都是至关重要的。 但是现在制约电子商务发展的最关键的技术， 是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。2网络支付面临普遍的安全问题：在网

7、络支付与结算中，资金支付结算体系问题是电子商务中主具体来说， 目前电子商务下网络支付结算流程 要的安全隐患发生点。 中面临的主要安全问题现阶段的支付风险主要存在于以下五点： 2.1支付密码泄漏一旦攻击者通过某种方式得到支付密码，可这是以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。人们对网上支付安全的主要担心所在。2.2支付数据被篡改在缺乏必要的安全防范措施情况下， 攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、 修改收款人账号等，达到谋利目的并制造互联网支付事件。2.3支付否认网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划

8、拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。2.4无法有效验证身份支付方不知商家到底是谁，商家不能清晰确定网络支付工具是否真实，以及资金何时入账等。 一些不法商家或个人利用网络贸易的非面对面性，以及网上站点的开放性和不确 定性进行欺诈活动。2.5系统错误由于客户的电子贷币信息存放在相应的银行后台服务器中，当银行网络遭到非人为的损害或黑客的故意攻击而导致银行后台服务器出现错误、 运行中断或瘫痪时，客户肯定无法使用其电子贷币；或者导致正在进行的网络支付进程中断，这必定影响客户的支付

9、行为。3网上支付系统的安全要求 3.1保密性 要确保网上支付系统的安全，首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性，交易中的商务信息都需要遵循一定的保密规则。交易中的商务信息可能直接关联着个人、企业或国家的商业秘密 ,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。因为其信息往往代表着国家、企业和个人的商业机密，而电子商务是建立在一个较为开放的互联网络环境上的。它所依托的网络本身也就是由于开放式互联形成的市场，才赢得了电子商务。因此在这一新的支撑环境下，势必要用相应的技术和手段来延续和改进信息的保密性。,因此 ,要采取措施预防信息的非法存取和信息在传输过程中

10、被非法窃取。维护商业机密是电子商务全面推广应用的重要保障。对于网上支付系统来说，他的保密性意味着系统必须满足两点：（1）私有交易不会被其它人截获及读取，既没有人能够通过拦截会话数据获得订货单中的帐户信息；如果可能，（2）应确保交易的匿名性，使交易不会被追踪，任何人无法利用“发生交易”这样的事实本身来达 到别的目的。3.2 信息的完整性不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动， 信息系统的形式整合化简了企业贸易中的各个环节， 但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。 而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸

11、易各方信息的完整性是网上支付系统应用必备的基础。要确保网上支付能够安全顺利的进行，还要防止XX的数据修改。交易双方的合同签订后就不能随意删改，以保证交易的公正性,与可行性。电子商务简化了贸易过程，减少了人为的干预，但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。这会影响贸易各方商业信息的完整性和统一性。 因此保持贸易各方信息的完整性是电子商务应用的基础。 完整性指资源只能由授权实体修改。网上支付系统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息，不可能在传输过程中被篡改， 也

12、不可能是一条伪造的消息。3.3 可用性可用性是指一旦用户得到访问某一资源的权限，该资源就应该能够随时为他使用，而不应该将其保护起来使拥护的合法权益受到损害。在电子商务系统中，提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源，避免对访问不同的服务使用不同的登录过程。不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动，信息系统的形式整合化简了企业贸易中的各个环节，但网络的开放和信息的处理自动化也使如何维护贸易各方 商业信息的完整统一出现了问题。 而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸易各方信息的完整性是电子商务应用必备的基础。3

13、.4 不可否认性在交易中会出现交易抵赖的现象， 如信息发送方在发送操作完成后否认曾经发送过该信 息或与之相反接受方收到信息后并不承认曾经收到过该条消息。 因此如何确定交易中的任何 一方在交易过程中所收到的交易信息，正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。要确保网上支付系统的安全，交易一旦签订就不能被否认。因此交易的各个环节 ,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认 ,确认数据已经完全发送和接收 ,防止接收用户更改原始记录 ,防止用户在收到数据以后否认收到数据 ,并拖延自己的下一步工作。为了保证交易过程

14、的可操作性 ,必须采取可靠的方法确保交易过程的真实性 ,保证参加电子交易的各方承认交易过程的合法性 ,在交易 数据发送完成以后 ,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防 , 以保证贸易数据在确定的时刻,确定的地点是有效的。一旦事务结束，有关各方都不能否认自己参与过这次事务。3.5可审查性根据机密性和完整性的要求 ,应对数据审查的结果进行记录 ,在交易信息的传输过程中 为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利 , 否认电子交易行为时 ,系统应具备审查能力 ,

15、使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中 ,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴 ,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下 ,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段 ,在交易信息的传输过程中为参与交易的个人 、企业或国家提供可靠的标识。3.6认证性 要确保网上支付系统的安全， 在电子商务中必须建立严格的身份认证机制 ,以确保参加交易各方的身份真实有效。首先 ,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者，而不是第三者冒名发送。 发送方可以确认

16、接收方的身份是真实的， 而不至于发往与交易无关的第三方。 要在交易信息的传输过程中为参与交易的个人、 企业或 国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份，知道对方确实是他 所称的那一位。在这里，确定意思并不完全意味着知道对方的准确身份，但应能做到知道自己是在与一个可靠的对象通信。4网上支付系统安全的问题与建议4.1识别假冒网站消费者在认清网站域名的同时，在提交重要信息时也要验明服务器的身份。其中验证服务器证书最简明的做法，是在提交重要信息网页页面右下角会出现一个金黄色的小锁，点击它就可以查看所有该服务器证书的信息， 包括服务器证书的颁发机构、还应该使用个人数字证书。书有效期

17、限等信息。除了服务器证书之外。4.2识别虚假短信（邮件）持卡人在收到任何与银行卡、 支付有关的短信后， 应确认短信发送者的真实身份或短信内容。4.3 不要设置简单的密码不要采用简单数字组合、自己或亲人的生日信息、 电话号码。 此外，还应注意支付终端的安全性，如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时，还要注意在其他场所输入支付密码时不轻易被他人偷窥、摄像等，不要将密码记录在容易被人看到的纸片上。加密技术利用加密技术保证电子商务支付的机密性密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言 ,1976年以前主要采用对称加密技术 ,这种加密技术存在

18、着很多问题 ,如密钥分发的安全性 ,密钥规模过大、不能保证消息的真实性和完整性等。 1976年以后 ,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。对称加密技术对称加密技术有许多著名的算法,其中具有代表性的是DES 算法。DES （Data Encryption Standard）算法是1977年美国国际标准局（NBS）制定的标准加密算法。它把 64 位的明文输入块变成 64 位的密文输出块 ,所使用的密钥也是 64 位 ,其中第 8 位奇偶校验位另作它用。DES利用 56 位的密钥,对64 位的输入数据块进行 16 次的排列置换 ,最后生成输出块密

19、码。非对称性加密方式非对称密钥加密方式又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密功能。一个公开发布,即公开密钥;另一个由用户自己秘密保存 ,即私用密钥。信息发送者用公开密钥去加密 ,而信息接收者则用私用密钥去解密。公开密钥机制虽然灵活 ,但加密和解密速度却比对称密钥加密慢得多。加密技术在网上支付系统中的综合应用。结合对称技术、非对称加密技术的特点 ,在网上支付系统的支付过程中 ,主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。既保证了消息传送的机密性 ,又保证了会话密钥分发的安全性。数字信封数字信封利用了上面两种加密技术的优点 来确保信息的安全传输 它克服了

20、对称密钥 加密中对称密钥分发困难和公开密钥加密中加密时间长的问题。4.4利用验证技术保证电子商务支付的真实性、完整性在保证消息的真实性和完整性方面,主要采用的是基于非对称加密算法的验证技术 ,包括数字签名、身份验证等技术。 数字签名数字签名并不是新的加密算法 ,而是现有加密算法的综合应用。它应用的是数字摘要和 公开密钥加密技术。因为数字摘要技术能够识破信息的篡改,而公开密钥加密技术能够确认 信息的来源。在数字签名系统中 ,信息发送方的任务是:（1）组织信息;（2）求出它的数字摘要;（3）加密数字摘要,且附上发送信息。而接收方的任务是:（1）利用发送方的密钥来解密发送方的数字摘要;（2）求出接收

21、信息的数字摘要;（3）比较两个数字摘要 ,若相等,则说明接收信息准确无误。4.5支付网关技术的应用支付网关通常位于公网和传统的银行网络之间，或者终端和收费系统之间其主要功能为将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包接收银行系统内部传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。支付网关技术，要完成通信协议转换和数据加解密功能，并可以保护银行内部网络。此外支付网关还具有密钥保护和证书管理等其它功能。有些内部使用网关还支持存储和打印数据等扩展功能交易安全是电子商务正常健康运营的关键所在，不同性质的企业应根据自身的特点选择最为安全和行之有效的防护技术。 对

22、于加密身份认证以及支付网关技术不断的加强测试，加强优化为安全运营构筑强有力的屏障。4.6防火墙技术的应用为了确保信息安全, 避免对网络的威胁与攻击, 防止对网络资源不正当的存取, 保护信息资満而采取的一种手段就是设置防火墙。从理论上说, 防火墙概念指的昧提例对网络的存取控制功能, 保护信恭资源。而从物理上的设备来看, 防火墙是 Intranet 设置的一种过滤器、限制器。防火墙系统负责管理Internet 同内部缑络之间的访问, 主要作用昮在网缆入口点检查网络通信, 根据所设定的安全规则, 在保护内部网络安全的前提下,提供内外网络的通信。决定哪些内部服务可以被外界访问, 外界的哪些人可以访问内

23、部的哪些可以访问的服务, 哪些外部服务可以被内部人员访问。所有来自和去往 Internet 的信息都必须经过防火墙的过滤、检查和存取控制。 采用黑匣子模型增强客户端安全 “黑盒”的意思就是从外面看不到里面 ,谁也不知道盒子里面隐藏的是什么,在计算机技 术中用“黑盒”来表示技术的实现被完全封装起来 ,在这里我们提出电子支付的“黑盒模型”的含义是指用户端的输入、信息加密、解寂、通训控制、安全检测等被完全封装到一个模块中, 这个模块与用户计算朠之间只交换加密信息 ,加密信息通过 Internet 被送到银蠌服务器。 4.7加强全过程的安全管理 网络规划阶段,就要加强对信息安全建设和管理的规划。信息安

24、全建设需 要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目 标和阶段目标、分段实施、降低投资风险。 工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试, 列入工程建设各个阶段工作的重要内容,要加强对开发（实施）人员、版本控制的 管理,要加强对开发环境、用户路由设置、关键代码的检查。 在运行维护阶段,要注意以下事项: （1）建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。 （2）按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严 格的身份确认,防止非法占用、冒用合法用户帐号和密码。 （3）制定完善的安全管理制度,加强信息网的操作

25、系统、数据库、网络设备、应用 系统运行维护过程的安全管理。 （4）要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事 件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威 胁。 建立动态的闭环管理流程 网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态 的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测 工具（如漏洞扫描,入侵检测等）及时了解网络存在的安全问题和安全隐患,据此 制定安全建设规划和加固方案,综合应用各种安全防护产品（如防火墙、 身份认证 等手段）,将系统调整到相对安全的状态。 对于一个企业而言,安全策略是支

26、付信息安全的核心,因此制定明确的有效的安全策略是非常重 要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规 划、 方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投 资和信息资源安全。 要制定完善的、符合企业实际的信息安全策略,就须先对 企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估, 让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略, 指导信息安全的建设和管理工作。5结束语本文分析了目前电子商务里面的网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当

27、,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是百分之百的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。参考文献：1张海霞.网络支付的安全问题及安全策略研究.山西财经大学学报，保证网络支付安全的解决方法，对支付流程中涉及各方身份的认证和支付密码的保护. 2卓婷婷.电子商务网上支付风险问题探析.经济研究导刊,2013. 3李爱红.浅议电子商务网上支付的安全问题.科技创业月刊.4柯新生.网络支付与结算. 北京：电子工业出版社,2014.尹衍波.电子商务法规. 北京：北京交通大学出版社,2012.洪国彬,范月娇.电子商务安全与管理. 北京：电子工业出版社,2013.致 谢时光匆匆如流水，转眼便是大学毕业时节，春梦秋云，聚散真容易。离校日期已日趋临近，毕业论文的的完成也随之进入了尾声。从开始进入课题到论文的顺利完成，一直都离不开老师们给我热情的帮助，在这里请接受我诚挚的谢意!