网络支付安全的关注点

网络支付安全的关注点（精选7篇）

网络支付安全的关注点 篇1

摘要：电子商务能够顺利运行,其基本条件就是确保支付的安全问题。这是一个非常重要的环节,它的安全与否直接关系到电子商务的发展状况的好坏。虽然电子商务已经发展多年,其网络支付安全的问题也得到很大的改善,但是还不完善,如今网络支付还存在一些不容忽视的问题,本文针对这个问题展开详细的阐述,并根据问题提出建议。

关键词：电子商务,网络支付,安全问题,措施

0引言

近些年随着计算机技术和信息技术的迅速发展,电子商务的运用也变得非常广泛,如今很多个体、商家甚至公司之间的交易都会采取电子商务中的网络支付功能来完成交易,这种方法非常快捷,效率也非常高。但是我们得注意到,网络支付会将很多重要的信息暴露在网络中,面临很大的风险,网络支付的安全问题不容小视。

1电子商务支付存在的问题

1.1没有完善的系统评价体系

双方在网络中达成交易,首先要面对的就是彼此之间的信任问题,这是基础。 在交易过程中,双方的不信任会导致交易失败,甚至会产生支付安全问题,可见网络支付安全问题的重要性。但是目前我国并没有一套完善的信用共享机制,无法记录交易者的信用记录。虽然个别政府机构会对一些企业做信用记录,但这些记录开放程度低,透明度也低,形成不了有效的信息共享机制。

1.2计算机支付系统存在安全问题

1.2.1计算机病毒入侵。计算机病毒是人为编制的一种程序,一旦入侵,会导致计算机中的重要信息泄露,严重的可以造成网络瘫痪,给用户的信息安全造成极大的威胁。

1.2.2黑客攻击。这是网络支付安全问题面临的最大问题。黑客可以利用网络支付系统存在的系统漏洞,对支付系统进行有目的的修改、增加、删除等非法操作,影响网络支付的正常运行。再或者,黑客对计算机中储存的用户资料进行传播或复制,窃取用户信息。总的来说,黑客的攻击分为破坏性攻击和非破坏性攻击两种。

1.3计算机网络存在的问题

1.3.1制造虚假IP进行攻击。黑客会制造虚假的IP通过不正当的行为对计算机主机系统进行攻击,致使其失去工作能力,或者给主机发TCP序列号,计算出主机的序列号然后进行伪装,与主机建立应用连接,继而侵入系统,窃取或修改信息。

1.3.2检测用户信息。黑客利用检测软件,检测到用户的登陆信息,然后非法登陆对用户的信息内容做处理,甚至植入病毒,导致系统瘫痪。

1.3.3使用“拒绝服务”。这种技术主要是对用户在正常访问系统的时候进行伪装提示的攻击技术。它会利用大量的合法请求和软件漏洞,造成系统崩溃,然后拒绝用户的正常访问。

1.4支付信息安全问题

1.4.1拦截、获取用户信息。攻击者通过互联网、电话线或者电磁波辐射范围安装拦截、获取用户信息的路由器。再或者, 分析用户的通信频率、流量等方式来计算出用户的信息。

1.4.2篡改、冒充信息。攻击者用各种手段在网络信息的传输过程中进行修改, 导致用户信息不完整,当攻击者熟悉了网络信息数据传输的途径后,其会冒充合法用户欺骗别的用户。

1.5电子商务网络支付的监管系统存在问题

1. 5.1我国缺乏专门监管电子商务网络支付的法律法规。我国的合同法和侵权法做出调整后,再支付出现问题,消费者会处于不利地位,合法权益也得不到有效的保障。我国还没有审核电子认证效力的相关法律;有些法律甚至和电子商务支付问题存在着一些矛盾的地方。比如我国现在电子商务的发展趋势和落后的电子商务电子合同的形式之间有很大的矛盾,甚至已经发展成制约我国电子商务发展的重要问题之一。

1. 5.2缺乏专门的监管措施。我国的电子商务支付不仅是法律方面没有完善, 在监管方面同样存在着不足。比如双方交易的产品监管、税收监管、信用监管以及信息监管,电子合同的模糊化也是阻碍网络安全支付的重要问题。

2加强电子商务网络安全支付的具体措施

2.1建立健全用户的信用体系

2.1.1建立个人信用信息库。由央行出面牵头,与各个商业银行展开合作,建立个人信用信息库,并且在互联网上实行共享机制。这就要求各个商业机构打破之间的壁垒和隔膜,在互联网上建立起完善的用户信用信息系统。

2.1.2建立个人信用评估机构。信用评估机构是完善个人信用评估制度和规范的有力保障,信用评估机构要秉承着“公平、公正、公开”的原则对个人的信用进行评估。

2.1.3对个人信用加强管理力度。政府制定相关规定,将商业机构和借款人的借款合同规范化、程序化,采用抵押、担保等方式转移给商业机构,和借款人的信用挂钩,以此来约束借款人,降低风险。

2.2建立健全企业的信用制度

2.2.1建立健全信用评级工作,对网络企业的真实身份进行核实,然后根据相关规定,对企业做出合理的信用评估。

2.2.2通过制定品牌策略、制定公司架构、该名、企业文化等方面对企业做出改动,然后通过各种手段宣传企业,提升企业知名度。

2.2.3企业要遵守自己的义务和承诺。 比如送货时间要及时、货品要完整,加强用户体验,提升售后服务质量,及时对客户的意见和建议进行反馈,增加企业可信度。

2.3加强电子商务安全支付的技术规范

2.3.1对病毒加强防范。支付安全程度上升,一定会带动网络交易率。而高交易率也会给病毒入侵提供很大的便利。所以要对计算机时常扫描,清除其中的病毒。 另外要经常检查硬盘,将病毒的危害降到最低。多用先进科技,对病毒全面封锁。

2.3.2 VPN技术的应用。运用这种技术,可以通过共用骨干网形成虚拟的“局域网”,保证用户信息在互联网上可以安全传输。

2.3.3加强防火墙技术。防火墙是保证电脑正常、安全运行的一个重要措施,它能有效的阻挡来自互联网的恶行攻击,形成一种保护屏障,相当于提升了通信的门槛,让未经授权的访问者无法进入,有效的提升了网络安全。

3结语

随着我国电子商务的快速发展,网络交易的人越来越多。我们应该看到,在网络支付技术给我们的生活带来便利的同时,也面临着很多问题。加强网络系统预防病毒的技术,建立健全个人和企业的信用评估体系,加强电子商务监管工作,还有完善相关法律法规,为网络安全支付提供法律上的支持,将安全支付问题降到最低。

网络支付与结算中的安全技术研究 篇2

随着信息技术的飞速发展和互联网技术的全面普及，人们进行商务活动的模式也逐渐转向基于Interne开展的电子商务模式。越来越多的人意识到电子商务的高效便捷，电子商务目前正处于高速发展期，但发展中暴露的问题也日益凸显，比如网络支付安全问题。这也是人们在交易中最为关心的一个问题。为了确保整个电子交易过程中信息的安全性，建立一个安全、便捷的网络支付应用环境已经成为在电子商务应用中所关注的重要技术问题[1]。

据权威机构调查表明，目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。因此，信息的安全是当前发展电子商务最迫切需要研究和解决的问题。Internet之所以能发展成为今天的全球性网络，主要是依赖于它的开放性。但是，这种开放式的信息交换方式使其网络安全具有很大的脆弱性。而安全问题是影响电子商务发展的主要因素之一。正是基于此，研究在信息化环境下的网络支付与结算中的安全问题就变得非常迫切和重要了[2]。

1 电子商务的定义

人们通常把基于Internet平台进行的商务活动统称为电子商务，英文Electronic Commerce，简写为E-commerce。从狭义上理解，电子商务就是企业通过业务流程的数字化、电子化与网络化实现产品交易的手段。从广义上理解，电子商务泛指基于Internet的一切与数字化处理有关的商务活动。因此它不仅仅是通过网络进行的商品或劳务买卖活动，还涉及传统市场的方方面面电子商务中的在线支付[3]。

1.1 电子商务的发展现状

据联合国贸发会议《2011电子商务发展报告》显示，到2011年底，全球英特网用户已达21亿之众。在中国，据中国互联网信息中心(CNNIC)最新的调查报告显示，截止2011年底，上网用户已达到5.13亿，互联网普及率攀升至38.4%，而1997年10月首次调查结果只有62万，十来年间增长了827倍;他们中的1.87亿已是电子商务的消费者，已成全球最大的电子商务消费群体国，预计2015年将成全球最大的电子商务市场。另一方面，电子商务交易额快速增长，2002年全球电子商务交易额大约为2.3万亿美元，到2011年将突破40.6万亿美元。据《据2011年度中国电子商务市场报告》数据显示，2011年，中国电子商务市场交易额达7万亿，同比增长46.4%。预计2015年将达到26.5万亿。其中B2B电子商务交易额为6.02万亿，同比增长42.3%;网络购物市场(主要为B2C,C2C)交易规模7 735.6亿，较2010年增长67.8%，网络购物市场交易规模占社会消费品零售总额的比重从2010年的2.9%增至2011年的4.3%,2012年这一比重将突破5%，全球最大的电子商务市场美国的电子商务交易额在全美零售额中的比例约达9%，英国的比例达到12%，在中国互联网用户人均每月网络消费则达260元，中国的增长空间巨大;2011年第三方支付达到22 038亿，增长率为118.1%。当今世界，除电子商务市场以外，其他任何市场都难有如此高的增长率，因此，其市场远景极为可观[4]。

1.2 电子商务在线支付

(1)发展概况

Internet给整个社会带来了巨大的变革，成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式，是网络技术应用的全新发展方向;它把信息网络、经济网络、物流网络和金融网络等多种网络信息紧密的结合在一起;它把人们的商务活动和贸易活动的方方面面透过网络连接在一起;它使得信息流、资金流能够高效快捷的流动起来;它改变了现有的消费模式和服务模式，改变了人们的传统思想观念，而随之而来的高效快捷的交易方式更是引起了人们极大的兴趣。

但是在交易活动中，对交易信息的是否安全可靠越来越成为人们关注的焦点。在线交易的安全保证与否将成为其能否健康快速发展的关键所在[5]。

(2)在线支付

电子商务的主要特征是在线支付。实现电子商务的关键是在保证在线支付过程中的安全性。为了保证在线支付的安全，需要采用数据加密和身份认证技术，以便营造一种可信赖的电子交易环境。在线交易首先要验证或识别参与交易活动的主体，比如商家、持卡消费者、授卡银行和支付网关的身份(身份用数字证书表示)，以及保证持卡人的信用卡号不会被盗用，这样客户才可以放心的在网上购物进行在线支付[6]。

1.3 电子商务的安全现状

在现阶段，电子商务安全主要来自于以下下几个方面：首先是计算机网络安全，包括计算机网络设备安全、数据库安全、网络系统安全等。其目标是针对网络本身可能存在的安全威胁，实施有效方案增强网络安全，从而确保计算机网络自身的安全性。其次是电子交易安全，基于计算机网络安全，实现电子商务的完整性、保密性、可鉴别性、不可抵赖性和不可伪造性，进而保障电子商务过程的顺利进行。主要包括以下几个方面[7]:

(1)信息的截获和窃取，如果没有采取信息加密措施或者加密强度不够，攻击者可采用各种手段非法获取用户的机密信息。

(2)信息的篡改，电子的交易信息在网络上传输的过程中，可能被他人非法修改，重放(指只能使用一次的信息被多次使用)或删除，从而使信息失去了完整性和真实性。攻击者利用各种方式对网络中的信息进行修改，然后发往目的地，破坏信息的完整性。通常采用的破坏手段有以下3种：

(1)篡改，即改变信息流的次序。

(2)删除，即删除某个消息或消息的其中某些部份。

(3)插入，即在消息中插入无用的信息，让接收方读不懂或者接收错误信息。

(3)信息假冒，攻击者通过分析所掌握网络信息数据的规律或对商务信息进行解密之后，冒充合法用户或者发送虚假信息来欺骗用户。其主要采用两种方式：

(1)伪造电子邮件，比如虚开网店，给用户发邮件，收订货单。

(2)冒充他人身份，比如假冒主机欺骗合法用户。

(4)信息破坏，包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。

(5)信息泄密，主要包括两个方面，即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。

(6)身份识别，如果不进行身份识别.第三方就有可能假冒交易一方的身份，以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别，交易的一方可不为自己的行为负责任，进行否认，相互欺诈。计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。

1.4 网络支付的安全因素

在用户使用层面，业界普遍认为网上支付的安全性因素主要体现在以下三个特征上：

(1)信息的保密性(Confidentiality)，能够保证信息不会泄露给非授权的主体，只有授权用户才能访问系统中的信息，而限制其他人对计算机信息的访问。保密性包括网络传输中的保密和信息存储保密等方面，保证支付信息与支付系统不被非授权者获取或利用。

(2)数据完整性(Integrity)，保证支付信息与支付系统真实、准确、数据的一致性，防止信息的非法修改。包括身份真实、数据完整和系统完整等方面。

(3)身份的可识别性(Validation)。能够鉴别通信主体身份的真实性，保证交易双方的身份可以识别和确认，未授权的用户不能进行交易，并且不会拒绝合法主体对系统资源的正当使用。

从支付安全的发展现状来看，分析用户网上支付主要出现的安全问题，由技术系统导致的风险相对较少，更多的问题主要集中在相对缺乏防御技术保障的用户端层面。如被钓鱼网站欺骗，受木马程序窃取密码、虚假银行网站套取用户信息等，破坏了信息的保密性、数据的完整性和身份的可识别性，从而产生相应的安全问题[8]。

2 基于指纹识别和数字认证的网络身份认证技术

2.1 指纹识别技术

指纹识别学是一门古老的学科，它是基于人体指纹特征的相对稳定与惟一，这一统计学结果发展起来的。生物特征识别是一个引人注目的问题，它是证明个人身份的根本方法，也被认为是最好的生物认证方法。众所周知，世界上没有两片完全相同的树叶，人间没有两枚完全相同的指纹。

因而，指纹是一种随身携带的特殊“印章”，正因其“人有各异，终身不变，不怕丢失，铭记在身”的特点，被世界公认为个人身份识别中最可靠的依据。指纹识别技术不仅免除了人们记忆密码、预留印鉴的烦恼，而且方便快捷，只需手指轻轻一按，立即便可完成身份鉴别[9]。

2.2 指纹识别原理[10]

(1)集取(Capture)：首先利用指纹扫描器，将指纹的图形及其他相关特征集取下来。

(2)演算(Algorithm)：将图形及相关特征，运用程式运算及统计，找出该指纹具有所谓“人人不同且终身不变的特性”的相关特征点，并将之数位化，该数位化之数据自然仍具有指纹人人不同且终身不变的特性。

(3)传送(Transmit)：将数位化的指纹特征在电脑上运用各种方式传送，不论其传送方式或加解密方式，均仍保留该特有的特性。

(4)验证(Verify)：传送过来的数据再经程式运算、验证其与资料库中的比对资料的相似程度，达到一定程度以上的统计相似度，因其差异在某种极低的机率以下，即可代表这是由本人传送过来的指纹数据。故只要符合上述原理，中间无任何种转换上的漏失，且在一定的比对值以上，均可确认是本人的指纹。

2.3 指纹识别的优点

(1)识别速度最快，应用最方便;

(2)推广容易、应用最为广泛、适应能力强;

(3)误判率和拒真率低;

(4)稳定性和可靠性强;

(5)易操作，无需特殊培训既可使用;

(6)安全性强，系统扫描对身体无害;

(7)指纹具备再生性;

(8)可持续的发展性。

2.4 指纹识别的过程

指纹识别的过程，包括两个子过程4个阶段点。两个子过程是指纹注册过程和指纹识别过程。指纹注册过程包括四个阶段，分别是指纹采集、指纹图像处理、指纹特征值提取及建立指纹模板库。指纹识别的过程也经过四个阶段，分别是指纹采集、指纹图像处理、指纹特征值提取和指纹特征值匹配。指纹图像处理在两个子过程中是相同的。但指纹采集和指纹特征值提取，虽然名称相同，但内部算法流程是有区分的。在指纹注册过程中的指纹采集，其采集次数要多。并且其特征值提取环节的算法也多一些对特征点的归纳处理步骤。识别过程如图1所示。在计算机处理指纹时，只是对指纹的一些关键的信息进行匹配，其结果并不是100%的准确。

指纹识别系统的特定应用的重要衡量指标是识别率。主要有两部分组成：拒真率和误识率。两者成反比，用0～1.0或百分比来表达这个数。

2.5 系统的拓扑结构

系统的拓扑结构如图2所示。

(1)身份认证服务器：即身份认证的处理端，主要负责认证匹配，即根据认证算法最终决定是否通过认证;负责处理身份认证过程中所需的各种信息和数据;分析认证记录，实现对网络的全局监控，提供正常或异常的操作警告及报告;建立、管理和维护指纹库。

(2)用户端：负责获取用户的相关信息和采集初始数据，提取指纹特征值，并将用户信息与指纹特征值加密，然后传送到身份认证服务器。

(3)业务服务器：主要负责完成相关业务操作，根据具体应用领域安装对应的业务应用模块。

用户必须通过信息和指纹进行身份认证来实现访问业务服务器的相关信息资源。第一步，用户输入信息进行系统登录，根据指纹采集设备采集到的用户指纹数据，在用户端进行指纹数据处理，获得指纹特征值。第二步，将用户信息与其指纹特征值传送至身份认证服务器，身份认证服务器从数据库取出该用户的指纹模板与用户端传来的指纹特征值进行匹配，若匹配成功则允许用户进行业务操作，否则禁止该用户进行操作。

从以上步骤可知，身份认证的操作是在服务器端完成的，在操作过程中需要通过网络进行信息传输。而在传输过程中，用户的身份认证信息就有可能会被窃取或破坏，为了确保用户的身份认证信息安全到达服务器，就需在信息传输之前对身份认证信息进行加密处理。

2.6 系统的结构设计

整个系统结构如图3所示。系统采用标准的数字认证技术和指纹识别技术相结合的策略，用指纹作为身份认证地关键标示。并采用目前国际上采用的在线支付标准SET安全电子交易协议为参照，组建电子商务支付平台。

基于指纹的电子商务身份认证系统与已经广泛使用的指纹锁和指纹登录系统等应用在系统结构和认证方式上有很大不同。在一般的应用情况下，指纹图像或模板实现存入本地指纹模板库，在使用时用户经指纹仪读入指纹图像，经处理后在本地匹配，匹配的结果决定用户是否合法。在网络环境下(B/S结构)，用户(客户端)如果要访问远程服务器所管理的信息资源，在获得相关资源访问权限之前，必须通过指纹身份认证，所有的信息资源访问权限都在身份认证系统(服务器端)管理之下，未通过身份认证的用户不能访问信息资源。为增强系统安全性，在客户端和服务器之间传输的所有数据包括指纹模板、用户的访问请求、服务器的反馈信息都经过加密。同时，指纹模板及相关的用户认证、注册信息都保存在一个本地安全数据库中，此数据库只有本地进程能访问，以防用户信息泄漏[11]。

当模板内置于服务器时，通过客户端的指纹传感器获得用户的指纹信息，该信息被加上数字签名后传送到服务器，在服务器首先校验签名是否有效，再与预先注册的模板进行比较，并完成身份认证。

整个系统分为4部分：

用户端：在用户终端上配有专用的业务软件负责业务信息及用户隐私信息的收集、管理及与银行服务器的通信;

数字认证：在用户端负责将提取到用户ID和指纹特征值进行加密处理，在服务器端负责对传输到服务器的已加密的身份认证信息进行解密处理，保证用户身份认证信息在网络上安全传输。

前置主机：用以完成多用户端与银行服务器的会话管理及认证管理，验证指纹及用户相关数字凭据，并且充当银行服务器的防火墙。

身份认证端：负责根据用户ID和指纹特征值进行用户身份认证，负责认证信息管理及认证记录分析。银行在完成业务时将回执返回给客户[12]。

2.7 基本工作流程

整个身份认证及支付系统以SET协议为参考，基本工作流程如图4所示。可分为私有密钥索取、信息发送、回执返回3个阶段。

3 结语

本文提出了一种采用指纹识别与数字加密相结合的方法，实现网络身份认证在线支付的系统方案。使安全性比单独使用指纹或数字加密更高。当然任何的网络支付安全技术都不能保证100%的安全，为了更好的加强支付与结算的安全性，还必须有值得信赖的第三方支付平台来支持，并且把电子商务的相关法律落实到实处。电子商务发展趋势必然势不可挡，相信只要从立法和技术及观念等方面完善，一定会建立和谐的电子商务环境。

摘要：在此通过分析电子商务的安全现状以及危害电子商务中在线支付安全的主要因素,从网络安全的角度,为了保证在线支付的安全和不可抵赖性,使电子商务在日常生活中成为人们依赖的交易平台。设计了基于指纹识别和数字认证的网络在线支付身份认证系统,在理论上给出了系统的拓扑结构、软件结构和整个系统的工作流程。该文支付系统把指纹识别和数字认证统一起来,使电子商务平台成为一个可靠、安全的交易平台,大大提高了电子商务的安全性,为人们的日常生活提供了有力的保障。

关键词：电子商务,网络安全,安全技术,指纹识别

参考文献

[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.

[2]毛幼菊^,陆音.基于指纹识别和数字认证的网络商务系统[J].计算机工程^,2003⁽3^):15-17.

[3]吴教育,曾东海.基于指纹识别的网络身份认证系统计[J].计算机技术与发展,2007(10):63-65.

[4]杨晋.现代电子商务安全技术研究[J].网络安全技术与应用,2007(7):90-93.

[5]阚晓初.浅谈电子商务安全策略与技术[J].商场现代化,2007(3):13-15.

[6]刘颖.电子商务网上支付与安全[J].天津职业院校联合学报,2001(1):30-32.

[7]肖为.电子商务中的电子支付系统安全机制研[D].重庆:重庆大学,2004.

[8]蒋赞赞,陈荣华,朱光宇,等.电子支付系统分析与比较[J].计算机工程,2000(11):61-63.

[9]YANG J,PAPAZOGLOU M.Interoperation support for elec tronic business[J].Communications of the ACM,2000,43(6):39-47.

[10]SPILLAR Peter,LOHSE G L.A classification of Internet re tail stores[J].Intemational Jounal of Electronic Commerce,1997,2(2):29-56.

[11]West Lawrellce A,Jr.Electronic markets and electronic governments[J].Internetional Journal of Electronic Com merce,1997,2(2):5-28.

网络支付安全的关注点 篇3

一、网络支付的主要支付工具及其特点

目前的网上支付工具主要有以下几种:

(一) 银行卡在线转帐支付。

是目前我国应用非常普遍的电子支付模式, 付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多, 用户不受地域的限制。

(二) 电子现金。

是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数, 来表示现实中各种金额的币值。但目前我国使用的不多。它的特点:一是具有现实现金特点, 可以存、取、转让, 适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名, 商家接受到电子现金后将其传输给电子现金银行, 由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。

(三) 电子支票。

是以一种纸质支票的电子替代品而存在的, 用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足, 在我国尚是空白。其特点:一是与传统支票的操作有很多相似之处, 易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络, 可以通过公众网络连接现有金融付款体系。

(四) 第三方支付。

是具备一定实力和信誉保障的独立机构, 采用与各大银行签约的方式, 提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面, 统一的手续费用标准, 结算较为便利。二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司, 支付宝收到货款之后通知卖家发货, 买家收到货物之后再通知支付宝, 支付宝这时才把钱转到卖家的账户上。在整个交易过程中, 如果出现欺诈行为, 平台提供方将进行赔付。

二、网上支付存在的安全问题分析

要想保证在网上进行交易的安全性, 首先要确保网上交易的载体———计算机网络的安全以及用户机终端的安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行, 如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。网上支付的安全除了上述两种安全问题外, 还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性, 包括以下几个方面:

(一) 身份真实性。

也称商务对象的认证性, 传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性, 但网上交易的双方相隔甚远, 互不了解, 支付方不知道商家到底是谁, 商家不能清晰确定银行卡等网络支付工具是否真实, 以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机, 所以需要为参与交易的各方提供可靠标识, 使他们能正确识别对方并能互相证明身份。

(二) 信息的完整性。

网上交易简化了贸易过程, 减少了人为的干预, 同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为, 可能会导致交易各方信息的差异。另外, 数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据 (如支付金额) 进行修改而发生多支付或少支付的问题, 那么势必给交易双方添加不少麻烦。

(三) 不可否认性, 也称不可抵赖性。

在传统的商务交易中, 双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生, 但在网上则是不可能的。因此就有可能出现这样的情况, 当交易一方发现交易行为对自己不利时, 可能会否认电子交易行为, 这必然会损害另一方的利益。

(四) 数据保密性。

有关交易的各种信息, 如付款人和收款人的标识、交易的内容和数量等, 这些信息只能让交易的参与者知道, 有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。

三、网上支付存在安全问题的解决对策

(一) 技术方面的对策。

1. 数据加密。

数据加密被认为是电子商务最基本的安全保障形式, 可以从根本上满足信息完整性的要求。它是通过一定的加密算法, 利用密钥 (Secret keys) 来对敏感信息进行加密, 然后把加密好的数据和密钥通过安全方式发送给接收者, 接收者可利用同样的算法和传递过来的密钥对数据进行解密, 从而获取敏感信息并保证网络数据的机密性。

2. 数字签名。

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值 (或报文摘要) , 发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后, 这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值 (或报文摘要) , 接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同, 那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

3. 安全协议。

在国际上, 比较有代表性的电子支付安全协议有SSL和SET。SSL (安全槽层) 协议是由Netscape公司研究制定的安全协议。通俗地说, SSL就是客户和商家在通信之前, 在Internet上建立了一个“秘密传输信息的信道”, 来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家, 商家阅读后再传到银行。这样, 客户资料的安全性便受到威胁。另外, 整个过程只有商家对客户的认证, 缺少客户对商家的认证。在电子商务的初始阶段, 由于参加电子商务的公司大都信誉较好, 这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务, 对商家的认证问题也就越来越突出, SSL的缺点就会逐渐暴露出来, SSL协议也就逐渐被新的SET协议所代替。

(二) 法制方面的对策。

加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管, 规范市场主体行为。首先要加强对网络银行的监管, 网上银行不同于传统银行, 应该制定新的准入条件, 加强对客户开户的监管, 落实责任审查客户资料等信息, 明确网上银行业务终止条件、清算办法等, 制定电子货币退出机制, 规范电子货币市场;其次要加强对第三方支付机构的监管, 要让第三方支付机构受银监会监督, 第三方无权动用客户资金, 必须确保资金安全和支付的效率。

(三) 管理方面的对策。

在管理方面, 由于网上支付涉及到许多部门和机构, 容易造成混乱的局面。通常来说, 电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此, 统一而先进的管理和规范就显得尤为重要。例如, 各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。

参考文献

[1].张李义, 李枫林.电子商务概论[M].武汉:武汉大学出版社, 2002

[2].柯新生.网络支付与结算[M].北京:电子工业出版社, 2009

[3].郭亚军, 宋建华, 李莉.信息安全原理与技术[M].北京:清华大学出版社.2008

网络支付安全的关注点 篇4

目前, 国内外使用的保障电子商务支付系统安全的协议包括:安全套接层协议SSL (Secure Socket Layer) 、安全电子交易协议SET (Secure Electronic Transaction) 等协议标准。

一、SSL协议

SSL协议是Netscape Communication公司推出在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。是对计算机之间整个会话进行加密的协议, 提供了加密、认证服务和报文完整性。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。

1. SSL协议提供的服务主要有

(1) 用户和服务器的合法性认证;

(2) 加密数据以隐藏被传送的数据;

(3) 维护数据的完整性, 确保数据能完整准确地传输到目的地。

该协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性, 它不能保证信息的不可抵赖性, 主要适用于点对点之间的信息传输, 常用Web Server方式, 它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说, 使用SSL可保证信息的真实性、完整性和保密性。

2. SSL协议的工作流程

(1) 接通阶段:客户通过网络向服务商发送连接信息, 服务商回应;

(2) 密码交换阶段:客户与服务器之间交换双方认可的密码, 一般选用RSA密码算法, 也有的选用Diffie-Hellmanf和FortezzaKEA密码算法;

(3) 会谈密码阶段:客户根据收到的服务器响应信息, 产生一个主密钥, 并用服务器的公开密钥加密后传给服务器;

(4) 检验阶段:服务器恢复该主密钥, 并返回给客户一个用主密钥认证的信息, 以此让客户认证服务器。

(5) 客户认证阶段:服务器通过数字签名验证客户的可信度;

(6) 结束阶段, 客户与服务商之间相互交换结束的信息。SSL协议运行的基点是商家对客户信息保密的承诺。从SSL协议所提供的服务及其工作流程可以看出, 该协议有利于商家而不利于消费者。客户的信息首先传到商家, 商家阅读后再传给银行, 这样, 客户资料的安全性便受到威胁。商家认证客户是必要的, 但整个过程中, 缺少了客户对商家的认证。在电子商务的初级阶段, 由于运作电子商务的企业大多是信誉较高的大公司, 因此这问题还没有充分暴露出来。但随着电子商务的发展, 各中小型公司也参与进来, 这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证, 但是SSL协议仍存在一些问题, 比如, 只能提供交易中客户与服务器间的双方认证, 在涉及多方的电子交易中, SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下, Visa和Master Card两大信用卡公组织制定了SET协议, 为网上信用卡支付提供了全球性的标准。

二、Set协议

Set协议是1997年5月31日由VISA和Master Card两大信用卡公司联合推出的一个基于开放网络的安全的以信用卡支付为基础的电子商务协议。它运用了RSA安全的公钥加密技术, 具有资料保密性、资料完整性、资料来源可辨识性及不可否认性, 是用来保护消费者在Internet持卡付款交易安全中的标准。现在, SET已成为国际上所公认的在Internet电子商业交易中的安全标准。

1. SET支付系统的组成

SET支付系统主要由持卡人 (Card Holder) 、商家 (Merchant) 、发卡行 (Issuing Bank) 、收单行 (Acquiring Bank) 、支付网关 (Payment Gateway) 、认证中心 (Certificate Authority) 等六个部分组成。对应地, 基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

2. SET协议的工作流程如下

在SET协议介入之前, 消费者通过因特网进行选货、下订单并与商家联系最终确定订单的相关情况、付款方式和签发付款指令。此时SET协议开始介入, 进入以下几个阶段

(1) 支付初始化请求和响应阶段。当客户决定要购买商家的商品并使用电子钱包支付时, 商家服务器上POS软件发报文给客户的浏览器电子钱包, 电子钱包要求客户输入口令然后与商家服务器交换“握手”信息, 使客户和商家相互确认, 即客户确认商家被授权可以接受信用卡, 同时商家也确认客户是一个合法的持卡人。

(2) 支付请求阶段。客户发出一个报文, 包括订单和支付命令。在订单和支付命令中必须有客户的数字签名, 同时利用双重签名技术保证商家看不到客户的账号信息。而位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。

(3) 授权请求阶段。商家收到订单后, POS组织一个授权请求报文, 其中包括客户的支付命令, 发送给支付网关。支付网关是一个Internet服务器, 是连接Internet和银行内部网络的接口。授权请求报文通过支付网关到达收单银行后, 收单银行再到发卡银行确认。

(4) 授权响应阶段。收单银行得到发卡银行的批准后, 通过支付网关发给商家授权响应报文。

(5) 支付响应阶段。商家发送购买响应报文给客户, 记录客户交易日志, 以备查询。之后进行发货或提供服务, 并通知收单银行将钱从消费者的账号转移到商店账号, 或通知发卡银行请求支付。

三、SSL协议和SET协议的对比

1. SSL协议的优缺点

SSL协议是两层协议, 建立在TCP传输控制协议之上、应用层之下, 并且与上层应用协议无关, 可为应用层协议如HTTP、FTP、SMTP等提供安全传输, 通过将HTTP与SSL相结合, Web服务器就可实现客户浏览器与服务器间的安全通信。因此简便易行是SSL协议的最大优点, 但与此同时其缺点也是显而易见的。首先, 在交易过程中, 客户的信息先到达商家那里, 这就导致客户资料安全性无法保证;其次, SSL只能保证资料传递过程的安全性, 而传递过程是否有人截取则无法保证;再次, 由于SSL协议的数据安全性是建立在RSA等算法上, 因此其系统安全性较差;最后, 虽然SSL协议中也使用了数字签名来保证信息的安全, 但是由于其不对应用层的消息进行数字签名, 因此不能提供交易的不可否认性, 这就造成了SSL协议在电子银行应用中的最大不足。

2. SET协议的优缺点

由于SET提供了消费者、商家和银行之间的双重身份认证, 确保了交易数据的安全性、完整可靠性和交易的不可否认性, 特别是保证不将消费者银行卡号暴露给商家等优点, 因此它成为目前公认的信用卡/借记卡的网上交易的国际安全标准。但在实际应用中, SET协议依然存在以下不足:

(1) SET协议中仍存在一些漏洞。如:不可信的用户可能通过其它商家的帮助欺骗可信的商家在未支付的情况下得到商品;密钥存在被泄露的危险;存在冒充持卡人进行交易的隐患。

(2) SET协议的性能有待改进。如:单纯支持信用卡, 需要进一步适应借计卡的使用;协议过于复杂, 要求安装的软件包过多, 处理速度慢, 价格昂贵;由于该协议的每一个阶段都要进行多次数据加密解密、签名、证书验证等安全操作, 因此协议的交易时间过长, 不能满足实时交易要求。

3. 总结

由于SSL协议的成本低、速度快、使用简单, 对现有网络系统不需进行大的修改, 因而目前取得了广泛的应用。但随着电子商务规模的扩大, 网络欺诈的风险性也在提高, 在未来的电子商务中SET协议将会逐步占据主导地位。

摘要：安全协议是目前电子支付技术安全问题中的热点, 安全套接层协议 (SSL) 和安全电子交易协议 (SET) 是电子商务中支持支付系统的关键技术。文章通过分析这两种协议的工作原理, 对两者的特点进行了对比。

关键词：电子支付,安全,SSL协议,SET协议

参考文献

[1]徐　震　邓亚平:SET的安全性分析与改进[J].重庆邮电学院学报, 2005, 17　 (6) , 745～748

[2]马瑞萍:SSL安全性分析研究[J];网络安全技术与应用;　2001, 12期, 17～20

[3]吴建耀　张玉清　莫　燕:SET协议的安全性研究综述, 2004全国网络与信息安全技术研讨会[c]

网络支付安全的关注点 篇5

1 在线支付网络存在的安全风险分析

1.1 宏观因素的影响

在线支付同样会受到经济波动的影响, 宏观的经济环境在很大程度上决定着电子商务的发展速度, 经济低迷时, 电子商务也可能因此受到影响。此外, 由于与在线支付网络本身相关的法律体系与监管系统还尚未完善, 未来出台的新法规政策很有可能给其带来一些损失。

1.2 业务本身的安全风险

由于网络支付结算系统本身的特性, 无论是偶然的业务疏忽或是自身的操作失误都可能带来巨大的损失;网络支付交易的虚拟性致使人们很难验证交易对象的真实身份以及信用历史等, 并且由于目前相关的法律法规尚未完善, 人们很有可能因为交易对象身份的不确定性而面临损失;电子商务的发展一定程度影响了纸币的流通速度, 如果纸币发行量因此减少, 也就意味着在线支付网络中变现能力的减弱, 并且由于网络还存在病毒, 系统错误等等问题, 这都会影响到在线支付网络中财产变现的及时有效性;由于各国目前对于在线支付网络的法律法规制定尚未统一, 国际间的在线网络支付存在很大的风险;在线支付网络所依靠的虚拟银行, 用户与其存在着严重的信息不对称性, 用户如果不慎选择了存在问题的虚拟银行进行交易, 就很有可能出现风险;我国的网络银行发展才刚刚起步, 法律法规与监管制度的不完善性导致许多监管空白区的存在, 如果有不法分子在这些空白区做手脚, 就很有可能导致用户在使用在线支付网络时财产遭受损失。

2 针对在线支付网络存在的安全风险所制定的有效防范技术

2.1 在宏观上做好监管工作

所谓宏观做好监管工作, 就是从国家层面来做好在线支付网络安全的监管工作。我国相对于其他发达国家在线网络支付起步较晚, 发展时间也较短, 要想做好在线支付网络这一行业, 保证在线支付网络的安全, 国家监管机构必须要做好自身的工作, 并对交易机构的准入与退出制度做好明确的规定, 其次, 我国可以建立和完善网络支付的法律法规, 对于一些情节严重的网络支付犯罪一定要严惩不贷, 防止因为法律的空白给一些不法分子钻漏洞的机会, 国家还可以针对我国在线网络支付的实际情况来制定出完善的管理制度。我国的相关的监管机构一定要负起自己的责任, 做好其中的监管工作, 一旦发现问题要及时的指出并上报, 要规范用户和机构双方的权利与义务, 做到交易过程中的公正与公平。最后也是最重要的一点就是第三方支付机构一定要做好保密的工作 (例如, 客户的信息、交易的数据) , 降低在线网络支付的风险。

2.2 从安全技术方面做好防范措施

由于线上交易量的增加, 在线网络支付的安全问题受到了越来越多的人的关注, 我们可以通过提高和完善安全技术来提高在线网络支付安全系数。通过提高鉴别认证技术、生物特征技术以及加密技术来对网络层进行加密, 各个商业银行可以在提高支付结算的安全技术上进行研究并对其进行升级, 避免支付结算中出现一些问题从而造成不可挽回的损失。此外, 支付网络系统一定要做好访问控制工作, 系统要对访问的人员身份进行审核, 技术人员可以通过设置访问权限、防火墙, 来禁止非法人员、病毒等入侵系统。各个银行可以针对我国目前一些计算机病毒来安装专门的杀毒软件, 定期的给在线支付网络系统杀毒, 排除一些安全隐患。此外, 数字签名等加密协议的应用也有效提升了支付的安全性, 互联网是开放性的网络, 消费者在传输交易指令、密码等敏感信息的通信过程中, 会有破译、篡改以及截获的可能性, 为了避免该种问题的产生, 网上银行都会使用加密传输交易措施, 应用协议法来保障信息传递的安全性, 这也是网络银行的一种重要安全策略, 目前, 网上银行常用的接入协议主要为SET (Secure Electronic Transaction) 与SSL (Secure Sockets Layer) 。SSL是国际上最早应用于电子商务的一种网络安全协议, 它最初是由网景公司设计开发, 其目的主要是提高应用程序之间的数据的安全性。

2.3 加强我国网络制度建设

我国网络在发展过程中存在着很多不完善的地方, 因此在使用的过程中也存在着很多的问题。我们可以不断完善我国的网络制度, 提高在线支付网络的安全性。我国可以制定一个统一的银行发展的标准, 当然也可以与国外合作, 借鉴国外一些先进的制度或者与国际的银行发展制度, 最大限度提升在线支付的安全性。

2.4 消费者要树立起网络安全意识

从已经曝光的网上购物安全事件中来看, 由于账号密码泄漏引起支付安全问题占据了其中的一大部分。在网络世界中, 有大量的黑客和病毒程序, 这些程序都会威胁用户的信息安全, 为了降低安全风险的发生, 必须要帮助消费者树立起网络安全意识, 养成良好的操作习惯, 杜绝安全问题的发生。例如, 不在网吧等公共场合中使用网银, 不轻易告诉他人自己的身份证与银行账号, 不轻易点击陌生的网页链接, 不在无名网站上下载声音视频文件, 安装好防火墙与杀毒软件, 每天定时杀毒。

3 结语

随着电商行业的快速发展, 在线网络支付也会更加的普及, 因此降低在线网络支付风险是很有必要的。我们必须要针对在线网络支付安全中存在的问题, 给出相应的防范措施, 加强在线网络支付的监督和管理工作。

摘要：随着电子商务的发展, 关于在线支付网络的安全风险也开始备受关注, 由此带来的网络在线支付安全问题频繁发生, 给人们的财产安全带来了不利的影响。由于网络的特殊性, 在线支付尚且存在着一定的安全风险, 针对这些风险采取有效的防范措施, 以此提高在线支付的安全性是电子商务实现进一步发展的必要条件。该文主要针对在线支付中存在的安全风险进行分析, 并探讨相关的防范技术。

关键词：在线支付网络,安全风险,防范技术

参考文献

[1]樊汉新.网上支付业务存在的问题和对策[J].华南金融电脑, 2008 (9) :41-43.

[2]王罡, 李锴乐.我国网络第三方支付的发展及风险分析[J].经济前沿, 2007 (11) :46-48.

[3]廖敏慧.第三方支付平台在我国的发展制约因素及对策建议[J].商场现代化, 2006 (22) :103-105.

[4]Mc Neil A J, Frey R.Estimation of tail-related risk measures for heteroscedastic financial time series:an extreme value approach[J].Journal of Empirical Finance, 2000, 7 (3-4) :271-300.

电子商务网络支付安全问题研究 篇6

一、网络支付系统

网络支付系统是以互联网为平台的电子商务支付, 它是融购物流程、支付工具、安全技术、认证体系、信用体系及金融体系为一体的综合服务系统。

1. 网络支付系统的基本构成

网络支付的过程涉及客户、商家、银行、认证部门之间的安全商务互动, 其构成还包括支付中使用的支付工具以及遵循的支付协议。

2. 网络支付系统的特点

网络支付系统必须具备特有的功能才能被广泛使用, 这些基本功能包括:实时结算功能、安全保密功能、信用评价功能、交易简洁功能、多边支付功能。

二、网络支付系统的安全威胁和安全需求

在传统交易过程中, 买卖双方面对面进行沟通交流, 双方能够较好地建立起彼此的信用关系, 从而保证交易的安全及顺利。而在电子商务网络平台当中, 互联网将买卖双方彼此联系, 两者可能素未谋面, 双方较难建立器彼此信任的关系, 又加之互联网平台存在的安全风险, 使得在进行网络支付过程中交易双方都面临着一定的风险。

1. 销售者面临的安全风险

①网络系统安全性:网络安全是网络支付的核心, 要防止入侵者伪装成合法用户来改变真实数据、取消订单或生成虚假订单。

②竞争者窃取物流信息:恶意竞争者通过他人名义, 虚假订购商品, 从而掌握相关产品的物流配送以及库存分布情况等信息。

③客户资料及机密数据的窃取:销售者在通过网络平台实施交易时, 要防止价格、库存、货源、用户信息等商业核心数据被恶意程序攻击和窃取。

④莫名顶替损害企业形象:销售商需要在网络平台建立唯一合法认证的链接、用户名等, 防止不法分子通过莫名顶替的形式, 以次充好, 恶意破坏企业形象和产品质量形象。

2. 消费者所面临的安全威胁

①虚假订单:不良商家会使用消费者的名义订购劣质产品, 并送货上门, 消费者在收到商品时可能会被要求支付商品或支付退货运费。

②付款后未收到商品;消费者通过网络付款后, 销售商的后台工作人员可能不将订单详情和付款金额转发给发货执行部门, 从而窃取客户金额, 造成消费者财产损失。

③机密性丧失:消费者在消费过程中有可能会泄漏自己的身份信息, 如姓名、工作单位、地址、电话、信用卡号码等信息, 销售商在得到客户信息后将个人信息进行非法销售, 损害消费者利益。

④拒绝服务:恶意竞争者能够通过网络攻击, 向销售商的服务器发送大量虚假定单来浪费其网络资源, 使得正常消费者无法登录服务器。

三、网络支付系统信息安全技术

1. 密码技术

密码学是一门古老又新兴的学科, 网络技术的发展更促进了密码技术的应用和发展。加密技术、数字信封、数字摘要技术、数字签名和数字证书等相关密码技术, 能够保障电子商务双方的合法权益免受侵害。

2. 身份认证技术

身份认证是实现网络安全的基石。在实施网络支付时, 交易双方必须通过特定的证机制来证明各自身份, 验证用户的身份与所宣称的是否一致, 从而实现针对不同用户的访问控制和记录。

3. 防火墙技术

防火墙是一种将企业内部网络和互联网相互分开的方法。它能够限制被保护的网络与互联网之间进行的信息存取、传递操作, 可以作为不同网络或网络安全域之间信息的出入口, 能根据企业的安全策略控制出入网络的信息流, 且本身具有较强的抗攻击能力。在逻辑上, 防火墙是一个分离器, 一个限制器, 也是一个分析器, 可以有效地监控内部网与互联网之间的任何活动, 保证了内部网络的安全。

4. 虚拟专用网技术

虚拟专用网指的是依靠网络服务提供商, 在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。所谓虚拟, 是指用户不再需要拥有实际的长途数据线路, 而是使用互联网公众数据网络的长途数据线路。所谓专用网络, 是指用户可以制定一个最符合自己需求的网络。

5. 存取访问控制技术

存取访问控制的本质是对资源使用的限制。在不同的计算机之间实现的资源共享会带来一定的安全隐患。如果不控制访问权限, 任何用户都能对共享资源进行任意的访问, 将对服务器带来巨大的破坏, 因此一个系统必须对用户访问权限有所限制。防止访问者滥用系统中不属于其权利范围之内的资源而对其权利予以适当地规范, 让访问者在适当的授权范围内能够操作计算机资源, 这就是存取访问控制。它是用来保护计算机资源免收非法者故意删除, 破坏或更改的一项重要措施。

参考文献

[1]张海霞.网络支付的安全问题及安全策略研究[J].山西财经大学学报, 2010 (10)

[2]卓婷婷.电子商务网上支付风险问题探析[J].经济研究导刊, 2009 (03)

网络支付安全的关注点 篇7

电子商务网络的出现给人们的日常生活和工作带来了极大的方便, 也使产业的工作效率大大的提高了。但是凡事都存在两面性, 计算机的出现给我们带来方便的同时, 由于电子商务使用中的不稳定性及网络黑客的出现经常会使我们的工作成果和财产瞬间化为泡影, 电子设备提供的信息往往具有这样的抽象性。比如在局域网上工作室会出现各种突发情况, 如无规律的掉线或IP地址冲突, 工作就不能正常进行, 甚至是所有高频率使用区段和整体局域网全体掉线, 有的情况则是在某一段VLAN段内网络表现为不稳定, 网速时而顺畅时而堵塞, 但是当我们对计算机进行重启后, 所有错误又会消失, 一切恢复正常, 并且在进行单机网络光纤检测时一切又都显示正常, 使我们难以找到问题的所在。久而久之这类问题便显现出来, 专家对此类问题开始重视, 并进行大量研究和测试, 最后经过全面的分析, 我们得出结论, 之所以出现网络异常现象是因为此段网络遭到了ARP攻击, 此网段的ARP协议必然发生异常, 黑客利用ARP协议表格对局域网内部信息进行截获造成网络延迟等现象, 更为严重的就是这样的行为会导致局域网内部资料信息的丢失。对网络安装网络防火墙可以有效的解决此类问题, 保护网络内部的IP地址和MAC地址不被截获。使用这样的方法来保障电子商务的网络安全, 下面我们就电子商务网络安全的技术做出相应的分析。

2 ARP协议在网络中的工作原理

ARP全称为Address Resolution Protocol, 译为地址解析协议, 顾名思义它的主要功能就是网络地址解析, 具体表现为在数据链路层, 根据目标计算机的IP地址, 将本层与目标设备的硬件接口搭接, 进而找到其所对应的MAC地址, 如此将这两个地址相对应起来, 同时对上层提供服务。换句话说, 就是把网络IP地址与物理实体地址联系起来, 完成它们之间的转化, 便于利用目标设备的资料更实现了计算机之间的通讯。

在以太网的环境中, 设备与设备之间的联系是通过IP地址建立的, 源设备若想将讯息传递给目标设备必须先获得目标设备的IP地址, 但是我们现在的传输工具只能获取目标设备的物理实体MAC地址, 它不能识别主机的IP地址。什么是MAC地址呢?其实他就是每个计算机设备的序列号, 每一台计算机设备都有自己的序列号, 它由12到16位进制数组成, 并且这个序列号不会与其他任意一台计算机的相重复, 可以表示代表每一台计算机的特有属性。那么若想将此MAC地址转换成IP地址使其能够在网络工作中发挥作用, 就需要对物理实体地址进行解析, 解析网络层的地址, 这样就能实现数据的连接。其实CPU之间的联系是通过网卡与网卡之间的联系实现的, 网卡只能识别计算机的MAC地址, ARP协议就是这样一种网络协议, 它通过建立ARP表格将一个数据包中的IP地址与MAC地址联系起来, 由于每一个层级都有相应的地址, ARP则将IP地址与MAC地址的对应关系记录在ARP表格中。

下面介绍一下ARP协议的工作原理。首相我们要明确, 如果想实现设备与设备之间的联系, 保障电子商务的安全, 则需要具备两方面的条件:首先, 我们要找到目标设备所在的网络层地址;其次, 我们还要知道目标设备所拥有的MAC地址。我们知道在自己的ARP缓冲区 (ARP Cache) , 每台主机都会建立一个存放有本局域网上的各主机和路由器的IP地址到硬件地址的映射表, 这些地址作为主机目前所已知的地址。ARP协议的主要作用就是为了查询MAC地址而利用与其对应的IP地址进行工作, 这样把MAC地址与IP地址相配对, 就可以保证网络通讯的顺利进行, 为设备之间的联络搭建桥梁。

假设有两台主机:

甲:硬件地址XX:XX:XX:XX:XX:XX IP地址192.168.0.1

乙:硬件地址YY:YY:YY:YY:YY:YY IP地址192.168.0.2:VLAN

第一种情况:如果目标设备与源设备在局域网的同一VLAN段, 但是主机甲之前并没有与主机乙建立连接, 当然它就不具有主机乙的IP地址, 当主机甲需要与主机乙建立连接时, 它首先会在自己的ARP列表中找寻是否有主机乙的IP地址。也可以说是源设备便会通过第二层广播形式进行ARP请求报文的发送, 此报文的发送含有源设备IP地址以和目标设备IP地址信息内容, 也就是当主机乙的IP地址存在时, 就会在ARP高速缓存中查出乙所对应的硬件地址, 然后再把这个硬件地址写入MAC帧, 源目标设备发出的报文会被全网段的主机接收, 当收到报文信号时, 主机会将所收到的IP地址与自己的相比较, 看是否一致, 若一致, 则将自己的信息反馈到源目标设备处。处于是源设备也就是此处的电脑甲便找到了它所对应的目标设备的MAC地址;最后通过局域网把该MAC帧发往此硬件地址;第二种情况:目标设备与源设备不在同一网段。这样的话, 源主机首先会对所要发送到的IP地址进行分类, 并除去与自己处于同一网段的IP地址, 并向其他的网段发送报文, 缺省网关收到信息后将信息转发给下层的主机。使用这种方法就能有效的阻止黑客对于数据终端的干扰, 以保证电子商务合理正常的运行, 对于客户的资料和财产有一定的保护作用。

3 ARP对计算机安全系统的攻击

ARP攻击是指在网络中产生大量的ARP通信量导致网络的阻塞, 通过伪造IP地址和MAC地址以实现ARP的欺骗, 病毒会一直发送攻击信号以截断设备间信号的传输, 并向目标发送自己伪造的地址, 导致网络中断或中间人的攻击。

这种攻击主要是存在于局域网络中, 当局域网中有一个人感染了ARP木马病毒, 那么感染此ARP木马病毒的系统就会试图通过这种手段截获所在网络内其它计算机的相关资料及通信信息, 并造成此网络系统的通讯故障。

在ARP攻击中影响最为恶劣的要属窃听病毒, 它虽然不会使局域网络中断, 但是会造成网络的延迟, 大大降低网络运行速度, 被感染的计算机会被截取其中包含的信息, 然后黑客会将所截获的信息发送到外网, 将企业内部资料泄露, 造成商业事故, 对局域网络安全造成巨大的威胁。

1) 处于同一网段的ARP欺骗

现在有一台想非法入侵他人电脑的电脑B, 它想入侵电脑A, 但是A装有防火墙, 不能直接入侵, 但是通过对电脑A进行监测, 得知主机A对主机C是信任的, 并且C必须持有telnet才能进入主机A。由此得知, 要想使自己让主机A取得信任, 那么就应该让主机A认为自己就是主机C, 有人会想到将自己的IP地址改成与主机C相同, 但仅仅这样做是行不通的, 这样的做法只能使IP冲突, 不能再使设备正常工作。所以要想取得主机A的信任就要先把主机C屏蔽, 然后再更改自己的IP地址, 这样就巧妙的避免了IP冲突。

2) 不同网段的ARP欺骗

对于不同网段的设备要想非法入侵目标设备, 则可以冒充目标设备的主机, 直接进入目标设备以窃取目标设备的内部资料。

4 电子商务中支付问题研究

在电子商务中, 在技术层面上保障了用户的资料安全和后台的交易安全, 还要在一定程度上规范电子商务在支付问题上的规范, 只有严格的遵循一些市场规律和管理规范才能有效的管理电子商务

4.1 完善支付过程中的安全设施管理

1) 电子商务平台的设计初期, 对于网络的安全和网络信息化的管理提前预置, 将这些都考虑到安全设计之中, 其中, 支付的全过程中, 信息的安全是重要的保障对象, 需要投入大量的技术支持和财力支持, 确定好整个支付过程中的目标, 切实的将电子商务网络安全的宗旨落实到具体的每一单业务的支付当中去。具体在操作中, 要逐步实现目标的产值, 确保交易在安全保障的环境下进行。

2) 网络安全建设阶段, 电子商务建设管理平台单位要将安全相关的信息需求的总编和安全性能功能的测试数据一并, 在后期具体的系统安全保护任务书中保留, 列入电子商务工程建设各个阶段, 之中支付工作是一项非常的重要内容, 要加强对网络系统的开发 (实施) 人员、安全版本控制的管理以及支付平台安全措施的管理, 要加强对开发周边环境、数据终端用户路由设置、关键区域的代码定期检查。

3) 在电子商务交易维护阶段, 要注意以下事项:

(1) 建立有效的安全管理组织架构, 明确职责, 理将任务分派到每个人身上, 不会出现推脱的情况发生, 有效的理顺流程, 实施电子商务的高效全面管理。

(2) 按照分级管理原则, 严格管理电子商务开发平台的内部用户帐号和相应的密码, 在进入系统内部必须通过严格的身份确认, 仔细的核对操作者的相关信息, 防止非法占用、冒用合法用户帐号和密码。

(3) 制定合理完善的安全管理分配制度, 加强计算机信息网络的桌面操作系统, 丰富现有的数据库, 更新已建立的网络设备, 保证支付平台的应用系统运行维护过程的安全管理。

(4) 要建立应急检测相关体系, 建立网络安全维护日志, 在日志中必须详尽的记录每次支付交易的记录和相关发生的信息安全记录 (包括系统自己屏蔽外界的安全危害和计算机网络受到的攻击) , 一旦发生了可疑的安全信息情况后, 要及时对计算机支付系统做出应急回应, 并追查攻击的来源, 通过检查安全日志的方法, 在最短的时间内使得支付系统受到最小的伤害, 也能够消除一些潜在的安全威胁。

4.2 建立动态的闭环管理流程

电子商务网络处于不断地建设和调整中, 在网络交易过程中可能发现新的安全漏洞, 因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下, 计算机安全系统通过安全评估和检测工具 (如漏洞扫描, 入侵检测等) 及时了解网络存在的安全问题和安全隐患, 根据这些检查指标制定安全建设规划和系统内部的加固方案, 再次选用有效的各种安全防护产品 (如系统防火墙、交易身份认证等手段) , 将电子商务支付系统调整到相对安全的状态。并要注意以下两点:1) 对于一个企业而言, 安全策略是支付信息安全的核心, 因此制定明确的有效的安全策略是非常重要的。相关的安全组织要根据这个策略通过从内部维护计算机安全系统制定详细的流程、规章制度、标准和安全建设规划、方案, 以保证这些系列策略规范在整个企业范围内贯彻实施, 从而保护企业的投资和信息资源安全。2) 要制定完善的、符合企业实际的信息安全策略, 就须先对企业信息网的安全状况进行评估, 即对信息资产的安全技术和管理现状进行评估, 让企业对自身面临的安全威胁和问题有全面的了解, 从而制定针对性的安全策略, 指导信息安全的建设和管理工作。

5 结束语

计算机网络技术正在以日新月异的速度飞速发展, 网络入侵安全事件也进入了快速增长阶段, 于此同时, 多种的解决方案也被广泛的提出和应用, 实际相结合, 联系计算机网络的具体情况是解决问题的关键手段。经过对计算机网络全面的考察和深入的分析, 以交换机端口和MAC绑定的方式, 被认为是一种有效的解决方案。MAC地址子层位于OSI参考模型的第二层—数据链路层, 负责控制与连接物理层的物理介质, 是交换机提供主要的工作场地, 一般应用于两个或者两个以上以太网段连接的情况。完善合理的支付平台对于保护用户的信息也是十分必要的, 通过加强网络内部的管理和对外部信息的处理, 自我评估电子商务支付的安全管理系统, 在一个更加安全合理的平台下提升电子商务的品质。

参考文献

[1]林宏刚, 陈麟, 王标, 等.一种主动检测和防范ARP攻击的算法研究[J].四川大学学报:工程科学版, 2008 (3) :143-149.

[2]王淼.介绍ARP与ARP攻击的防范技术—关于ARP攻击原理的分析与防范技巧[J].高校实验室工作研究, 2008 (1) :36-40.