学年论文 浅析电子支付及支付安全.docx

1、学年论文 浅析电子支付及支付安全成都信息工程学院学年论文浅析电子支付及支付安全学生学号：2009211083学生姓名：杨 小 龙 浅析电子支付及支付安全摘要电子支付系统是电子商务交易的核心，实现电子商务的关键是要保证商务活动过程中系统的安全性。传统的支付方式由于其面对面的交易模式，已经无法满足电子交易操作的要求，于是各种电子支付方式应运而生。它克服了传统支付方式过程复杂，耗时，携带现金不方便等局限性，因具有便利性，高效性，安全性等特点，在电子商务中显现出重要作用。伴随近年来国内电子商务大规模发展和应用以及电子签名法的通过，越来越多的家庭从仅仅在网上查看账户信息变为更多地使用在线支付支付在国内是

2、一个很大的问题，传统支付方式不但不方便，而且成本很高，已经成为制约国内互联网发展和电子商务的瓶颈，这个问题急需解决。本文介绍了电子支付的一些基本概念、就电子支付安全协议与电子支付的风险及防范措施做了进一步阐述。关键字：电子商务 电子支付 安全协议 支付风险 防范措施目录 论文总页数：13页1 电子支付概述 11.1 电子支付的含义 11.2 电子支付的特征 11.3 电子支付流程 11.4 电子支付类型及工具 21.4.1 支付类型 21.4.2 支付工具 22 电子支付安全协议 42.1 SSL安全协议 42.2 SET安全协议 63 电子支付风险及防范措施 83.1 电子支付的主要风险 8

3、3.1.1 电子支付的基本风险 83.1.2 电子支付的操作风险 103.2 风险防范措施 114 结束语 125 参考文献： 131 电子支付概述1.1 电子支付的含义电子支付方式通常是在专用的网络线路上传输实现的，通过设在银行和商店的数据传输系统进行处理，完成货币的支付操作。这种电子支付方式在我国的各大中型城市得到了广范的应用，受到了绝大多数持卡族的亲睐。近年来，随着以互联网络为基础的网络营销的兴起，为了让消费者能更方便地购买所需的商品，网上企业的经营者们所面临的最大挑战就是如何实现网上的电子支付问题，这里所说的网上支付与用户使用银行信用卡的电子支付方式有所区别，它从支付的发起到最后完成资

4、金转账的全过程都是通过公共的互联网络进行的。目前网上支付已成为电子商务发展的重点和核心工程，它的实施必将会带动整个网络经济新兴市场的发展。在本节中所提到的电子支付的概念，就是网络营销中所涉及的网上支付概念。1.2 电子支付的特征电子支付方式与传统的支付方式相比较，它具有以下几个特征：(1)电子支付方式是通过计算机网络来实现电子货币或电子单据信息的传输，其支付过程中要传输的全部信息都是以数字化的形式进行的。而传统的支付方式则是通过现金货币的流转，单证票据的传递以及银行的汇兑等有形实体的流转来实现交易款项的支付。(2)电子支付方式是以互联网这一完全开放的系统平台作为运行环境的，它不但要经过对每一个

5、人都完全开放的Internet网络，而且通常还要通过公共电话网络。而传统的支付方式则运作在一个相对来说是较为封闭的环境中进行的。(3)电子支付方式具有快捷、高效、方便、经济等优势，用户可以随时随地通过任何一台上网的计算机，在很短的时间内完成整个支付过程。 (4)电子支付方式采用的是计算机系统、计算机网络以及现代通信技术等高科技手段，因此对电子支付方式系统的开发、管理、操作应用等方面人员素质要求较高。1.3 电子支付流程支付流程包括：支付的发起、支付指令的交换与清算、支付的结算等环节。 清算（Clearing），指结算之前对支付指令进行发送、对帐、确认的处理，还可能包括指令的轧差。 轧差（Net

6、ting），指交易伙伴或参与方之间各种余额或债务的对冲，以产生结算的最终余额。 结算（Settlement），指双方或多方对支付交易相关债务的清偿。 严格意义上，清算与结算是不同的过程，清算的目的是结算。但在一些金融系统中清算与结算并不严格区分，或者清算与结算同时发生。1.4 电子支付类型及工具1.4.1 支付类型电子支付的业务类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。 网上支付网上支付是电子支付的一种形式。广义地讲，网上支付是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者到金融

7、机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此电子商务服务和其它服务提供金融支持。 电话支付电话支付是电子支付的一种线下实现形式，是指消费者使用电话（固定电话、手机、小灵通）或其他类似电话的终端设备，通过银行系统就能从个人银行账户里直接完成付款的方式。 移动支付移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等。 1.4.2 支付工具一笔支付交易可以通过纸基或电子支付工具发起。 一些支付工具，既可以纸基方式发起，也可以电子方式发起。如贷记转帐，既可在银行柜面填写单据，以签名/签章方式对支付进行授权，

8、也可利用网上银行功能以电子化方式授权发起；如银行卡，既可以纸基通过签名方式进行授权， 也可在终端（POS/ATM）通过刷卡与密码发起。 支付交易可通过纸基与电子化步骤结合的方式进行，如支票可被截留并以电子化方式进行处理，截留地点与时间的不同（如在POS或在交换中心）反映了电子化程度的差异。 支付交易也可包含现金与非现金步骤，如付款人以银行存款发起汇款，而接收人以现金支取。 随着计算机技术的发展，电子支付的工具越来越多。这些支付工具可以分为三大类： 电子货币类，如电子现金、电子钱包等； 电子信用卡类，包括智能卡、借记卡、电话卡等； 电子支票类，如电子支票、电子汇款（EFT）、电子划款等。 这些方

9、式各有自己的特点和运作模式，适用于不同的交易过程。以下介绍下电子现金、电子钱包、电子支票和智能卡。 电子现金（E-Cash）电子现金是一种以数据形式流通的货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的市值，用户在开展电子现金业务的银行开设帐户并在帐户内存钱后，就可以在接受电子现金的商店购物了。 电子钱包（Electronic Wallet）电子钱包是电子商务活动中网上购物顾客常用的一种支付工具，是在小额购物或购买小商品时常用的新式钱包。 电子钱包一直是全世界各国开展电子商务活动中的热门话题，也是实现全球电子化交易和因特网交易的一种重要工具，全球已有很多国家正

10、在建立电子钱包系统以便取代现金交易的模式，目前，我国也正在开发和研制电子钱包服务系统。使用电子钱包购物，通常需要在电子钱包服务系统中进行。电子商务活动中的电子钱包的软件通常都是免费提供的，可以直接使用与自己银行帐号相连接的电子商务系统服务器上的电子钱包软件，也可以从因特网上直接调出来使用，采用各种保密方式利用因特网上的电子钱包软件。目前世界上有VISA cash和Mondex两大电子钱包服务系统，其他电子钱包服务系统还有HP公司的电子支付应用软件（VWALLET）、微软公司的电子钱包MS Wallet、IBM公司的Commerce POINT Wallet软件、Master Card cash

11、、Euro Pay的Clip和比利时的Proton等。 电子支票（Electronic Check，E-check或E-cheque） 电子支票是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个帐户转移到另一个帐户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码方式传递的，多数使用公用关键字加密签名或个人身份证号码(PIN)代替手写签名。 用电子支票支付，事务处理费用较低，而且银行也能为参与电子商务的商户提供标准化的资金信息，故而可能是最有效率的支付手段。 智能卡（Smart Card or IC）智能卡是在法国问世的。20世纪70年代中期，法国Roland Mor

12、eno公司采取在一张信用卡大小的塑料卡片上安装嵌入式存储器芯片的方法，率先开发成功IC存储卡。经过20多年的发展，真正意义上的智能卡，即在塑料卡上安装嵌入式微型控制器芯片的IC卡，已由摩托罗拉和Bull HN公司于1997年研制成功。 在美国，人们更多地使用ATM卡。智能卡与ATM卡的区别在于两者分别是通过嵌入式芯片和磁条来储存信息。但由于智能卡存储信息量较大，存储信息的范围较广，安全性也较好，因而逐渐引起人们的重视。预计到2001年美国智能卡使用占全球的比例将从现在的2%增加到20%。美国纽约Jupiter通信公司最近公布的一份报告称，2000年，美国联网商业的营业额预计将达73亿美元，其中

13、几乎有一半的金额将用智能卡、电子现金和电子支票来支付。 近十五年来，中国国家金卡工程取得了令人瞩目的成绩，目前IC卡已在金融、电信、社会保障、税务、公安、交通、建设及公用事业、石油石化、组织机构代码管理等许多领域得到广泛应用，像第二代居民身份证(卡)、社会保障IC卡、城市交通IC卡、电话IC卡、三表(水电气) IC卡、消费IC卡等行业IC卡应用已经渗透到百姓生活的方方面面，并取得了较好的社会效益和经济效益，这对提高各行业及地方政府的现代化管理水平，改变人民的生活模式和提高生活质量，推动国民经济和社会信息化进程发挥了重要作用。 2006年的中国IC卡市场总体规模呈现出快速增长的态势，全年企业卡片

14、销量超过16亿张，为历年之最，同时较上年度的10.8亿张增长了55%，预计全球IC卡同期出货量将在30亿张左右，我国就占据了其中的一半还多，无可争议地成为全球IC卡的制造中心。2 电子支付安全协议如何通过电子支付安全地完成整个交易过程，又是人们在选择网上交易时所必须面对的而且是首先要考虑的问题。就目前而言，虽然电子支付安全问题还没有形成一个公认的成熟的解决办法，但人们还是不断通过各种途径进行大量探索，SSL安全协议和SET发全协议就是这种控索的两重要结果，它们已经广泛在国际间的电子支付中使用。2.1 SSL安全协议 SSL安全协议最初是由Netscape Communication公司设计开发

15、的，又叫安全套接层（Secure Sockets Layer）协议，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及了所有TCP/IP应用程序。 (1) SSL的工作原理：当一个使用者在Web上用Netscape浏览器漫游时，浏览器利用HTTP协议与Web服务器沟通。例如，浏览器发出一个HTTP GET命令给服务器，想下载一个首页的HTML档案，而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案的文字会通过会话层（Socket）的连接来传送，Socket使两台远程的计算机能利

16、用Internet来通话。通过SSL，资料在传送出去之前就自动被加密了，它会在接收端被解密。对没有解密钥的人来说，其中的资料是无法阅读的。SSL采用TCP作为传输协议提供数据的可靠传送和接收。SSL工作在Socket层上，因此独立于更高层应用，可为更高层协议，如Telnet、FTP和HTTP提供安全业务。SSL提供的安全业务和TCP层一样，采用了公开密钥和私人密钥两种加密体制对Web服务器和客户机（选项）的通信提供保密性、数据完整性和认证。在建立连接过程中采用公开密钥，在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。在所有情况下，服务器通过以下方法向客户机证实自

17、身：给出包含公开密钥的、可验证的证明；演示它能对用此公开密钥加密的报文进行解密。为了支持客户机，每个客户机都要拥有一对密钥，这要求在Internet上通过Netscape分配。由于Internet中的服务器数远少于客户机数，因此能否处理签字及密钥管理的业务量是很重要的，并且与客户联系比给商家以同样保证更重要。(2)SSL安全协议主要提供三方面的服务： 认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。 加密数据以隐藏被传送的数据。 维护数据的完整性，确保数据在传输过程中不被改变。 (3) SSL安全协议的动作步骤 SSL安全协议的运行步骤包括六步： 接通阶段。客户通过网络

18、向服务商打招呼，服务商回应。 密码交换阶段。客户与服务商之间交换双方认可的密码。一般选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法。 会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。 检验阶段。检验服务商取得的密码。 客户认证阶段。验证客户的可信度。 结束阶段。客户与服务之间相互交换结束的信息。 当上述动作完成之后，两者间的资料传送就会加以密码，等到另外一端收到资料后，再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的宇密码算法，也不能获得可读的有用资料。 在电子商务交易过程中，由于有银行参与，按照SSL协议，客户购买

19、的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。2.2 SET安全协议 SET是在一些早期协议如MasterCard的SEPP以及VISA和Microsoft的STT的基础上合并而成的，它定义了交易数据在卡用户、商家、发卡行、收单行之间的流通过程，也定义了各种支持这些交易的安全功能(数字签名、Hash算法、加密等)。 为了进一步加强安全性，SET使用两组密钥对分别用于加密和签名。SET不希望商家得到顾客的账户信息，同时也不希望银行了解到交易内容，但又要求能对每一笔单独的交易进行授权。通过双签名(dual signa

20、ture)机制将订购信息同账户信息链在一起签名，SET巧妙地解决了这一矛盾。 SET将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在一起。考虑网上商店的情况,对于成千上万的消费者和商家在INTERNET交换信息,要对每一个消费者通过某个渠道发放一个密钥,在现实中是不可取的。而用公开密钥,商家生成一个公共密钥对,任何一个消费者都可用商家公开发布的公钥与商家进行保密通信，具体介绍如下。 (1)数字信封，SET依靠密码系统保证消息的可靠传输,在SET中,使用DES算法产生的对称密钥来加密数据,然后,将此对称密钥用接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接收者,接收者先用他

21、的私钥解密数字信封,得到对称密钥,然后使用对称密钥解开数据。 (2)数字签名，由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的数据只能用另一个密钥解开。SET中使用RSA算法来实现。发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁，这就保证了发送者对所发信息不能抵赖。 (3)双重签名，为了保证消费者的帐号等重要信息对商家隐蔽,SET中采用了双重签名技术。在交易中持卡人发往银行的支付指令是通过商家转发的,为了避免在交易的过程中商家窃取持卡人的信用卡信息,以及避免银行跟踪持卡人的行为,侵犯消费者隐私,但同时又不能影响商家和银行对持卡人所

22、发信息的合理的验证,只有当商家同意持卡人的购买请求后,才会让银行给商家负费,SET协议采用双重签名来解决这一问题。 SET协议主要特点： (1)信息的保密性。SET的一个重要特点是持卡人的信用卡号码只提供给银行,而商家无法知道信用卡号码。SET利用DES密码算法提供信息的保密性。 (2)数据完整性。从持卡人发往商家的支付信息包括订购信息、个人数据及支付指令。SET引入RSA数字签名及Sha-1杂凑函数确保这些消息的内容在传输过程中不被非法更改。 (3)持卡人身份的鉴别。SET可以让商家鉴别持卡人是有效信用卡账号的合法用户。SET采用X.509V3数字证书和RSA数字签名达到这一目的。 (4)商

23、家的鉴别。SET是持卡人可以鉴别商家真实性,而且可以验证商家能否接受信用卡支付。SET同样采用X.509V3数字证书和RSA数字签名实现这一功能。 SET协议的安全性分析与总结 SET协议主要通过使用密码技术和数字证书方式来保证信息的机密性和安全性，它实现了电子交易的数据完整性、机密性、身份的合法性和不可否认性。 数据完整性(Data Integrity) SET协议通过使用Hash函数来保证数据完整性。报文发送后，Hash函数将为之产生一个惟一的报文摘要值，一旦报文中包含的数据被篡改，该值就会改变，从而被检测到，这样就保证了信息的完整性。 机密性(Confidentiality)在SET协议

24、下，客户将支付信息PI和订单信息OI进行双重签名商家解密后得到OI，银行解密后得到PI，从而避免了商家访问客户的支付信息。 身份验证(Verification Of Identity)身份认证，是电子商务中非常重要的环节，SET协议使用数字证书来确认商家、持卡客户、受卡行和支付网关的身份，为网上交易提供了一个完整的可信赖的环境。SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。 SET存在的缺陷促使人们设法改进它。中国商品交易中心、中国银行和上海长途电信局都提出了自己的设计方

25、案。读者可以从本书提供的案例中发现这些方案的可取之处。 SET的安全性分析（1）采用公钥加密和私钥加密相结合的办法保证数据的保密性SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的公钥加密算法是RSA的公钥密码体制，私钥加密算法是采用DES数据加密标准。这两种不同加密技术的结合应用在SET中被形象的成为数字信封，RSA加密相当于用信封密封，消息首先以56位的DES密钥加密，然后装入使用1024位RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中数据信息的保密性。 （2）采用信息摘要技术保证信息的完整SET协议是通过

26、数字签名方案来保证消息的完整性和进行消息源的认证的，数字签名方案采用了与消息加密相同的加密原则。即数字签名通过RSA加密算法结合生成信息摘要，信息摘要是消息通过HASH函数处理后得到的唯一对应于该消息的数值，消息中每改变一个数据位都会引起信息摘要中大约一半的数据位的改变。而两个不同的消息具有相同的信息摘要的可能性及其微小，因此HASH函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。信息摘要的这些特征保证了信息的完整性。（3）采用双重签名技术保证交易双方的身份认证SET协议应用了双重签名（Dual Signatures）技术。在一项安全电子商务交易中，持卡人的定购信息和支付指令是相互对

27、应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货；而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的，SET协议采用了双重签名技术来保证顾客的隐私不被侵犯。 3 电子支付风险及防范措施电子支付系统作为电子货币与交易信息传输的系统，既涉及到国家金融和个人的经济利益，又涉及交易秘密的安全;支付电子化还增加了国际金融风险传导、扩散的危险。能否有效防范电子支付过程中的风险是电子支付健康发展的关键。3.1 电子支付的主要风险3.1.1

28、 电子支付的基本风险支付电子化的同时，既给消费者带来便利，也为银行业带来新的机遇，同时也对相关主体提出了挑战。电子支付面临多种风险，主要包括经济波动及电子支付本身的技术风险，也包括交易风险、信用风险等。金融系统中传统意义上的风险在电子支付中表现得尤为突出。(1)经济波动的风险电子支付系统面临着与传统金融活动同样的经济周期性波动的风险。同时由于它具有信息化、国际化、网络化、无形化的特点，电子支付所面临的风险扩散更快、危害性更大。一旦金融机构出现风险，很容易通过网络迅速在整个金融体系中引起连锁反应，引发全局性、系统性的金融风险，从而导致经济秩序的混乱，甚至引发严重的经济危机。(2)电子支付系统的风

29、险首先是软硬件系统风险。从整体看，电子支付的业务操作和大量的风险控制工作均由电脑软件系统完成。全球电子信息系统的技术和管理中的缺陷或问题成为电子支付运行的最为重要的系统风险。在与客户的信息传输中，如果该系统与客户终端的软件互不兼容或出现故障，就存在传输中断或速度降低的可能。此外，系统停机、磁盘列阵破坏等不确定性因素，也会形成系统风险。根据对发达国家不同行业的调查，电脑系统停机等因素对不同行业造成的损失各不相同。其中，对金融业的影响最大。发达国家零售和金融业的经营服务已在相当程度上依赖于信息系统的运行。信息系统的平衡、可靠和安全运行成为电子支付各系统安全的重要保障。其次是外部支持风险。由于网络技

30、术的高度知识化和专业性，又出于对降低运营成本的考虑，金融机构往往要依赖外部市场的服务支持来解决内部的技术或管理难题，如聘请金融机构之外的专家来支持或直接操作各种网上业务活动。这种做法适应了电子支付发展的要求，但也使自身暴露在可能出现的操作风险之中，外部的技术支持者可能并不具备满足金融机构要求的足够能力，也可能因为自身的财务困难而终止提供服务，可能对金融机构造成威胁。在所有的系统风险中，最具有技术性的系统风险是电子支付信息技术选择的失误。当各种网上业务的解决方案层出不穷，不同的信息技术公司大力推举各自的方案，系统兼容性可能出现问题的情况下，选择错误将不利于系统与网络的有效连接，还会造成巨大的技术

31、机会损失，甚至蒙受巨大的商业机会损失。(3)交易风险电子支付主要是服务于电子商务的需要，而电子商务在网络上的交易由于交易制度设计的缺陷、技术路线设计的缺陷、技术安全缺陷等因素，可能导致交易中的风险。这种风险是电子商务活动及其相关电子支付独有的风险，它不仅可能局限于交易各方、支付的各方，而且可能导致整个支付系统的系统性风险。3.1.2 电子支付的操作风险电子支付加大了风险，也使得其影响范围也扩大了，某个环节存在的风险对整个机构，甚至金融系统都可能存在潜在的影响。互联网和其他信息技术领域的进步所带来的潜在损失已经远远超过了受害的个体所能承受的范围，已经影响到经济安全。这种情况与技术有着直接的关系，

32、其中表现最为突出的是操作风险。电子货币的许多风险都可以归纳为操作风险。一些从事电子货币业务的犯罪分子伪造电子货币，给银行带来直接的经济损失。这些罪犯不仅来自银行外部，有时还来自银行内部，对银行造成的威胁更大。(1)电子扒手一些被称为“电子扒手”的银行偷窃者专门窃取别人网络地址，这类窃案近年呈迅速上升趋势。一些窃贼或因商业利益，或因对所在银行或企业不满，甚至因好奇盗取银行和企业密码，浏览企业核心机密，甚至将盗取的秘密卖给竞争对手。美国的银行每年在网络上被偷窃的资金达6000万美元，而每年在网络上企图电子盗窃作案的总数高达5100亿美元之间，持枪抢劫银行的平均作案值是7500美元，而“电子扒手”平均作案值是25万美元。“电子扒手”多数为解读密码的高手，作案手段隐蔽，不易被抓获。(2)网上诈骗网上诈骗包括市场操纵、知情人交易、无照经纪人、投