电子安全性支付管理

电子安全性支付管理（精选12篇）

电子安全性支付管理 篇1

近几年,Internet作为通信技术、网络技术和信息技术的载体与表现形式,呈现了爆炸式的增长方式,而基于Internet的电子商务应用也得到了空前的发展,并出现了各种各样的商务交易方式和电子支付方式,电子商务网站也如雨后春笋般争相开放,给人们的购物方式、消费方式和生活观念带来了巨大的冲击,也更方便了人们的日常生活,真正实现了“足不出户,送货上门”的购物消费理念。虽然电子商务在商务流程和购物流程电子化等方面积累了很多的经验,奠定了强大的技术基础和商务基础,但现在很多消费者不愿意或惧怕在网上进行购物和网上支付,究其原因,安全性一直是人们担心和关注的话题。如何保证电子商务交易的安全性,如何对敏感和个人信息提供机密性保障、认证交易双方的合法身份、保证数据的完整性和交易的不可否认性等,已经成为制约电子商务发展的瓶颈,也成为众多学者、研究开发人员、政府人员和管理人员关注的目标。

一、电子支付安全面临的威胁

从理论上讲,网上支付有很多优点,例如便捷、高效、安全等,但目前,我国的电子商务公司大都采用“网上交易、网下支付”的方式。先在网上进行商品信息查询,确定价格,进行订货,而后采用传统的脱机方式付款,如货到付款、银行转账、邮局汇款等。这种方式比较安全和容易接受,但损害了电子商务的方便性和时效性的真正含义。网上支付实际上已经成为发展电子商务的主要瓶颈。

除了商家和客户还不习惯用电子货币消费外,关键是我国的网上支付业务还很落后,网上支付的效率还很低,确认支付的时间较长,网上支付收取上网费用和管理费用过高,对网上支付有种种限制,如金额限制、地域限制等。而最重要的是网上支付的安全性问题、信誉问题得不到保障。在中国互联网络信息中心(CNNIC)公布的一份报告中,用户对“目前网上购物最大的问题”的回答结果是:认为网上支付安全得不到保障的占36.5%;认为产品质量、售后服务及厂商信誉得不到保证的占27.6%;而认为付款不方便和送货不及时的分别占17.79%和9.39%。由此可见,网上支付的安全性是人们最关心的问题。

二、常用的安全电子交易手段

在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的电子交易的方法和手段。典型的方法和手段有以下几种:

(一)密码技术

采用密码技术对信息加密,是最常用的安全交易手段。加密的主要目的是防止信息的非授权泄露。在电子商务中获得广泛应用的加密技术有以下两种:秘密密钥和公开密钥。其加密解密过程如图1所示。

1、秘密密钥系统

特点:

(1)秘密密钥的算法基于迭代和替换,属于对称型加密系统。

(2)文件的加密和解密使用同一个密钥和同一算法。

(3)发送方和接受方必须共享密钥和算法。

(4)密钥必须保密。

优点:由于加密与解密有着共同的算法,从而计算速度非常迅速,且使用方便、计算量小、加密效率高,广泛用于大量数据如文件加密中。

缺点:

(1)如果某一贸易方有“n”个贸易关系,就要维护“n”个专用密钥。

(2)无法鉴别贸易发起方或贸易最终方。

2、公开密钥系统。

由于秘密密钥通常也需要经过网络传输,因此,如果有人截获了秘密密钥,也能对加密文件进行解密。这就存在一个如何对秘密密钥进行加密传输的问题。公开密钥系统解决了这个问题。公开密钥的加密、解密过程如图2所示。

特点:

(1)公开密钥的算法基于数学函数,属于非对称型加密系统。

(2)密钥为一对,一个用于加密(公开密钥),一个用于解密(私有密钥)。

(3)发送方和接受方拥有一对密钥中不同的一个。

(4)其中,公开密钥是公开的,私有密钥必须由拥有者保密。

优点:由于公开密钥必须由两个密钥配合使用才能完成加密和解密的全过程,因而窃密者不能像通常那样由加密算法推出解密算法,更加强了数据的安全性。

缺点:这种算法的速度很慢,是秘密密钥的1000倍。故不适合对文件加密,只适用于对少量数据如秘密密钥进行加密。

(二)数字签名技术

使用密码技术对文件进行加密只解决了信息的保密性问题,但是如果他人对加密的文件破坏,或者你否认已下的订单,冒充Bill Gates从其账户上支取费用等,对于这些问题,单靠密码技术是不能解决的。而数字签名技术(Digital Signature)是一种很好的解决方法。

1、数据摘要。

数据摘要是使用单向Hash函数加密算法对一个任意长度的报文进行加密,生成一个固定长度的密文,这段密文称为数据摘要或报文摘要。

数据摘要是一个唯一对应一段数据的值,他所谓单向是指不能被解密。不同的数据其摘要不同,相同数据其摘要也相同,因此摘要称为数据的“指纹”,以验证消息是否是“真身”。如图3所示。

发送端将消息和摘要一同发送,接收端收到后,用Hash函数对收到的消息产生一个摘要,与收到的摘要对比,若相同则说明数据未被修改。这种方式保证了数据的完整性。

2、数字签名。

发送者用自己的私有密钥对数字摘要进行加密,就形成了数字签名。只有加入数字签名及验证,才能真正实现在公开网络上的安全传输。如图4所示。

在此过程中,首先采用单向函数Hash算法,对原文信息进行加密压缩形成数据摘要。然后使用A自己的私有密钥对数据摘要进行加密形成签名,将数字签名与原文一起传送。B使用A的公开密钥对数字签名进行解密,然后,采用单向函数Hash算法,对原文进行加密压缩形成数据摘要,并与收到的数据摘要进行比较验证。如果两者相同,则说明文件在传输过程中没有被破坏,或文件不是伪造的。

数字签名用来防止电子信息因易被修改而有人作伪,或冒用别人名义发送信息,或发出(收到)信件后又加以否认等情况的发生。

(三)数字信封

信息发送者用接收者的公钥,将一个对称密钥加密就形成了一个数字信封(DE),然后连同其他信息一起传送给接受者。过程如图5所示。

1、将要传送的数据经Hash运算,形成数据摘要。

2、A使用自己的私有密钥对数据摘要加密,完成数字签名。

3、A将通过对称算法,用秘密密钥加密,得到密文E。

4、A事先使用B的公开密钥对秘密密钥加密,形成数字信封DE。

5、A将E+DE发送给B。

6、B首先使用自己的私有密钥对DE解密,取出秘密密钥。

7、B使用秘密密钥对E解密,得到数据明文、数字签名、A的公开密钥三项信息。

8、B使用A的公开密钥对数字签名解密,还原数据摘要。

9、B对明文经Hash运算,形成新的数据摘要。

1 0、B比较两个数据摘要,验证完整性。

数字信封将对称密钥和非对称密钥巧妙结合,使上述技术的综合运用,是公钥体系中常用的一种技术。

(四)数字时间戳

与数字签名能够提供完整性、不可否认性及不可伪造性不同,数字时间戳(digital time-stamp)只用于当时间是交易文件中的关键性内容的时候。在书面合同中,文件签署的日期和签名一样是防止文件被伪造和纂改的关键性内容。

在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp server))就能提供电子文件发表时间的安全保护。它是计算机网络上的安全服务项目,由专门机构提供。

时间戳是一个经加密后形成的凭证文档,它包括三部分:(1)需要加时间戳的文件的摘要;(2)DTS收到文件的日期和时间;(3)DTS的数字签名。

(五)数字凭证(digital certificate,digital ID))

又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问权限。在网络上的电子交易中,如双方出示了各自的数字凭证,并用它来进行操作,那么双方都可不必为双方身份的真伪担心。

数字凭证的内部格式由X.509国际标准所规定的,它包含了以下几点:

(1)凭证拥有者的姓名;

(2)凭证拥有者的公开密钥;

(3)公开密钥的有效期;

(4)颁发数字凭证的单位;

(5)数字凭证的序列号;

(6)颁发数字凭证单位的数字签名。

(六)认证中心(CA——CertificationnAuthority)

认证中心承担网上安全电子交易认证服务、能签发数字证书并能确认用户身份的服务机构。是一个具有权威性、公正性的第三方、是电子商务的重要基础设施,是电子商务的安全保障。CA通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发并负责在交易中检验和管理证书。用户向CA提交自己的公开密钥和其他代表自己身份的信息,如身份证或护照等,CA在验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。

有了数字证书和CA,用户就可以通过互相交换证书来得到对方的公开密钥,不再需要验证每一个想要交换信息的用户的公开密钥,而只需要验证并信任颁发证书的CA的公开密钥就可以了。

CA为交易的参与方提供了安全保障,为网上交易构筑了一个互相信任的环境,解决了网上身份认证、公钥分发及信息安全等一系列问题。

三、结束语

电子商务是一个有发展潜力的巨大市场。据估计,到2010年全球电子商务交易量将达到4500亿美元以上。人们在线下订单或享受服务,在线支付将是未来社会的主流。只有在全球范围内建立起一套人们能充分信任的安全交易体系,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,就会有越来越多的人放心地参与到电子商务中。

本文就电子商务中涉及安全支付的电子交易手段作了分析和阐述;诸多事例证明,电子商务技术的关键问题就是安全问题,安全问题又涉及到整个使用协议的实现和安全应用。电子商务的快速发展需要业界,特别是信息安全业快速地作出反应,否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是道高一尺、魔高一丈的事情,那么尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。所有这些需要信息安全业的同行作出不懈的努力,不要因为安全问题而制约了电子商务的发展。

摘要：本文就电子商务安全支付的问题作出分析和阐述,提出诸多事例。实现电子商务技术的关键问题就是安全;安全技术的敏感性、竞争性及其对抗性都是很强的;需要不断的检查评估和调整相应的安全策略;需要信息安全同行作出不懈的努力,解决制约电子商务发展的安全问题。

关键词：电子商务,电子支付,安全问题,交易手段

参考文献

[1]、成栋.电子商务概论[M].北京:中国人民大学出版社,2001.

[2]、黄敏学.电子商务[M],北京:高等教育出版社,2001.

[3]、芮廷先,钟伟春,郑燕华.电子商务安全与社会环境[M],上海:上海财经大学出版社,2000.

电子安全性支付管理 篇2

电子商务的核心问题就是电子支付，它的安全性影响着电子商务的可持续发展。

因为电子支付是以网络为载体，网络信息的公开性决定了其经营的风险性，所以电子商务支付系统存在着安全性的问题。

这也是电子商务发展亟待解决的难题，只有突破这一发展瓶颈，才能实现电子商务的可持续运营。

谈电子商务支付安全 篇3

关键词：电子商务；安全；支付宝

1 电子商务支付的现状

随着计算机和网络通信技术的普及和应用，电子商务支付借助于信息化技术逐渐实现了商务交易中的电子支付与结算流程。在全球范围内开始普及和应用互联网，以Internet作为运作平台的网上支付结算方式应运而生。网上支付是电子支付的一种形式，通过第三方提供的与银行之间的支付界面进行的实时支付。这种支付方式可以直接把资金从用户的银行卡中转移到网站账户，资金能够快速、实时到账，不再需要人工确认。现在很多人使用的利用第三方支付平台进行的支付，包括手机移动支付等都是电子商务支付的应用形式。网上支付因其便利、安全及快捷性等特点赢得越来越多的网上用户，发展势头非常迅猛，未来具有强大的发展潜力。目前我国的网上用户群体主要用银行卡进行网上银行转账和通过第三方平台两种方式完成支付。其中第三方平台既保证资金的安全转账，又担保货物安全运达，能有效约束交易双方的行为，增强网上购物的可信度，因此这几年发展速度更快。

2 电子商务支付存在的安全隐患解析

电子商务支付的安全性隐患主要体现在以下三个方面：第一，支付系统风险。支付系统风险首先来自电脑的软件和硬件。网上支付的具体业务流程的操作和大量的风险控制工作，需要依靠电脑软件系统来做，软件运行所面临的最大系统风险是电子信息系统本身的技术缺陷和管理中出现的失误。常见的系统风险主要表现在两方面，首先是系统兼容性低。若系统的兼容性低，与客户进行信息传输时就存在传输中断或速度降低的可能。其次是外部支持风险。第二，经济波动风险。网上支付系统面临着经济周期性波动的风险。同时由于它具有Internet所赋予的网络化、数字化、虚拟化和全球化等特征，一旦网络支付不顺利，所带来的风险范围将更大，所造成的危害可能会使全球整个金融体系的混乱、系统性瘫痪，严重的还有可能会引起社会经济秩序的混乱和经济危机。第三，交易风险。由于交易制度、技术线路和技术安全等方面的开发还不尽完美，所以用户在进行网上支付时也可能存在交易方面的风险，为电子商务交易带来隐患。第四，安全技术的强度偏低。在网络支付中，对于黑客的攻击这种网络犯罪，目前的安全技术还无法有效地防范。虽然目前不管是已有的电子商务安全技术的结构，还是加密技术本身等已经都很优化，但是由于包括对称性加密技术和非对称下加密技术在内的算法都受到了外国密码政策的限制，所以安全技术强度普遍不够。特别是电子商务中，B2B新模式对于安全技术的要求明显大于B2C。但是目前的技术应用只能勉强满足B2C支付对于安全性的需求。

3 如何解决避免电子商务支付中的安全问题

3.1 加大安全防护力度

第一，相关软件的安装与设置。比如防火墙和杀毒软件，这两种软件是目前保障电脑使用安全的基本屏障。防火墙技术用来控制网络之间的访问，通过安全方式阻断外部网络用户的非法入侵，从而达到保障内部网络安全使用的目的。杀毒软件是我们电脑上使用最多的一种安全技术。它最基本的功能是可以查杀网络病毒，有的杀毒软件还可以防御木马病毒的攻击，阻止其他黑客程序的非法入侵。

第二，实施入侵检测和网络监控。近年来，为了保障内部网络的安全性，人们开始使用一种新型的防范技术“入侵检测”。这种技术需要多种技术方法的综合应用，比如统计方法、规则方法、网络通信技术、人工智能、密码学、逻辑推理等，以达到对网络实施有效监控，一旦计算机系统出现被入侵或滥用的征兆时，就会有相应的显示和技术处理措施，可以实现对系统的已知弱点进行攻击的行为监测。

第三，加密技术和数字签名技术。在电子商务支付的流程中，需要对整个信息系统和传输数据的安全性和保密性做到充分的保证和提高。为了防止在数据传送过程中，那些涉及资金账户机密的信息被窃取、盗听或破坏掉，可以采取对传送的文件进行加密和数字签名处理。数字签名技术其实是对加密技术的混合使用，在网络通信的过程中这种技术方法可以很好地实现三个方面的验证：数据传输中是否进行过篡改、私钥使用以及传送文件的主体。数字签名技术在保证电子商务交易过程中的数据完整性、主体私密性以及交易的不可抵赖性等方面是一种非常有效的安全技术方法。

3.2 完善执法环境

第一，加强电子商务法律法规建设，形成完备的信用法律体系。网上支付产业若要持续发展，不仅需要相关金融部门进一步完善现有的金融监管制度，政府还需要不断完善现有的政策法规。对网上支付机构存在的所谓“吸储”等行为做出明确的合法性界定，并出台相应的规范和管理办法。

第二，规范第三方支付平台业务、相关部门需要制定相应的规范和管理办法对第三方支付平台机构所提供的支付服务行为进行界定，严密控制那些通过钻法律法规的空子而非法实现的资金转移；对于电子货币这种新型的货币形态的发行，也需要颁发具有法律效力的许可依据。

第三，加强电子商务的执法监督和行业自律，完善失信惩罚制度。建立惩罚机制是社会信用体系建设中一个重要的环节。电子商务行为活动中的不法行为，如果得不到及时地惩治就无法保障遵纪守法者的合法利益。只有依法建立有效的惩治机制，才可以打击商业活动中的不法行为，摒弃不守诚信的商家和企业；只有不断加强电子商务和电子支付的信用环境建设，才能实现行业的诚信自律性。

4 结束语

总之，随着信息化网络的普及与应用，电子商务以其便利快捷的优点风靡于经济市场，在看到其飞速发展的同时，我们应深刻认识到其存在的安全隐患和问题，积极探索科学、合理、有效的措施对其进行解决和完善，保障我国电子商务市场的良好发展。

参考文献：

[1]王红新.新兴电子商务环境下的柔性支付模型研究[D].大连理工大学，2013.

[2]杨娜.基于B2C的电子商务安全支付系统设计与实现[D].电子科技大学，2012.

电子商务安全支付问题研究 篇4

关键词：电子商务,安全支付,措施

0 引言

随着现代计算机网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的高效和快捷而进行着各种商务活动。但是,电子商务的交易双方在网络是以虚拟身份出现,资信状况难以把握;电子商务是以计算机和开放的网络为基础载体,大量重要的身份信息、金融信息、交易信息都需要在网上进行电子的传输,电子商务交易面临较大的风险。在这样的情况下,电子商务安全支付问题成为大家共同关心的问题。

1 电子商务支付存在的问题

1.1 缺乏系统的诚信评价体系

交易双方的诚信是电子商务顺利进行的条件,也是电子商务安全支付的基础。影响电子商务安全支付的重要因素之一是交易双方或一方缺乏诚信而进行交易抵赖:一种情形是当客户在收到商品之后不承认收到商品而拒绝支付货款;另一种情形是商家收到货款后否认已收到货款并且拒绝交付商品。因此,明确交易双方的诚信状况对电子商务支付具有重要意义。但目前,我国尚未建立一套完整的社会诚信记录、评价、管理和共享机制,对企业和个人诚信不能进行有效记录、评价和公布。即使有的政府职能部门对企业诚信有一定的纪录,但其记录的信息封闭,开放程度低下,严重缺乏透明度,没有形成有效的社会成员诚信信息资源共享机制,加之部分政府及其职能部门对单位和个人诚信行为监管力度不到位,违反诚信的行为难以让人知悉而受到社会的有效约束,这为诚信缺失者提供了可乘之机,严重制约着电子商务支付活动的有效开展。

1.2 电子商务支付手段存在的安全问题

1.2.1 计算机支付系统安全问题

(1)计算机病毒入侵。计算机病毒是一种人为编制程序,它会恶意地删除文件、破坏数据甚至使磁盘格式化。病毒一旦侵入计算机内,就会快速再生和传染,在短时间内就可以使整个网络瘫痪。近年来,计算机病毒更新速度快,层出不穷,给计算机用户带来了巨大的危害。

(2)非法破坏进行攻击。黑客的攻击是电子商务系统面临的最大的安全问题,黑客利用支付系统本身的缺陷,对计算机支付系统功能进行删除、修改、增加、干扰,造成计算机支付系统不能正常运行,或者对计算机支付系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,攻击手段通常分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般不盗窃系统资料,只是扰乱系统的运行;破坏性攻击是以盗窃系统保密信息、破坏目标系统的数据为目的。

1.2.2 计算机网络安全问题

(1)利用IP欺骗进行攻击。黑客通过伪造LAN主机的IP地址,并通过该地址进行不正当的存取,致使被信任的主机丧失工作能力,同时采用向目标主机发出的TCP序列号,猜测出目标主机的数据序列号,然后伪装成被信任的主机,建立起与目标主机基于地址经验的应用连接,如果成功,就可以进行非授权操作,偷盗篡改信息。

(2)检测用户的姓名、口令。通过跟踪检测软件,检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容加以修改,毁坏数据,甚至输入病毒,使整个系统陷于瘫痪。

(3)使用“拒绝服务”攻击。拒绝服务攻击是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。其实现可以利用操作系统或软件的漏洞,也可以使用非常大数量的合法请求,其结果都会造成过多的资源消耗而使资源崩溃,以实现对资源拒绝访问的目的。

1.2.3 支付信息安全问题

(1)信息截获和窃取。攻击者通过公共电话网、互联网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的路由器和网关上截获数据等方式,获取输送的机密信息,或通过对信息流向、流量、长度、通信频度等参数的分析从而推测出有用信息。

(2)信息篡改和假冒。当攻击者熟悉了网络信息格式以后,通过各种手段和技术方法对网络传输的信息进行中途修改,从而破坏信息的完整性。当攻击者解密了商务信息或掌握了网络信息数据规律以后,可以发送假冒信息或假冒合法用户来欺骗其他用户。

1.3 电子商务支付监管存在的问题

1.3.1 缺乏专门的电子商务支付监管法律

国家并无专门的电子商务支付监管法律,实践中往往依据合同法和侵权法调整,消费者因其弱势地位,合法权益往往得不到充分保障。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定;另外,电子商务在很多方面与传统的法律规范体系也存在着不相容之处。例如,对电子合同的书面形式、生效时间地点等作了规定,但是,这种规定太过简单,远远不能满足电子商务发展的需要,这已经成为阻碍我国电子商务发展的重要问题。

1.3.2 缺乏电子商务支付监管措施

在电子商务支付缺乏专门的监管法律之外,其他监管措施也严重不足。例如缺乏交易双方诚信监管、税收监管、网站产品与信息监管、电子合同监管等内容,严重影响电子商务支付的安全进行。

2 加强电子商务安全支付的措施

2.1 加强诚信体系的建设

2.1.1 建立完善的个人诚信制度

(1)建立个人诚信信息库。个人诚信登记是开展个人诚信活动的基础,它要求由中央银行牵头,各商业银行共同参与,组建个人诚信信息库,并联网实行信息共享。这就要求各金融机构和非金融机构打破彼此间的壁垒,建立互联网个人诚信信息系统,可以全面、快捷、准确地了解消费者的诚信状况。

(2)建立个人诚信评估机构。完善的个人诚信评估制度和规范的个人诚信评估机构是个人诚信的强有力的保障,依据公平、公正、独立的原则,应建立我国个人诚信评估机构并制定个人诚信评估操作规程。

(3)加强个人诚信风险管理。要制定相关金融法规、制度和办法,依法约束个人诚信借款,规范金融机构与借款人签订借款合同操作规程,采用抵押、担保和信贷保险等方式转移金融机构的风险。

(4)健全法律法规体系,创建个人诚信制度必须的法制环境。

2.1.2 建立和完善企业诚信制度

(1)加强企业资信调查和评级工作。建立完善的诚信评价机构,设计合理有效的评价指标,对电子商务网站及网站上卖方进行身份认证,核查和评价企业诚信程度。

(2)加强企业(网站)品牌建设。利用品牌策略、理念、命名、架构、CI、文化等方面有独特的解决方案、方法与工具进行企业网站制作,利用多种方法加强企业网站品牌保护,加大对企业网站宣传力度或通过和其他知名企业网站联营来增强企业网站知名度。

(3)注重企业(网站)的履约环节。企业(网站)送货要准确及时;提高整个购买过程和售后服务的及时性和顾客的满意度,准确、及时、完整地履约以增加企业(网站)的可信任度。

2.2 加强电子商务安全支付技术防范

2.2.1 加强病毒防范

电子商务系统一方面提高交易效率,另一方面也为计算机病毒的传播创造了条件。计算机病毒主要通过软盘、硬盘、优盘和网络渠道传播,从事网上支付的企业和个人都应当注重病毒防范技术,及时清除计算机病毒,将病毒危害降低到最低程度是刻不容缓的任务。利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。常用的防病毒技术有:

(1)反病毒扫描。通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。

(2)完整性检查。通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。

(3)行为封锁。行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。

2.2.2 VPN技术

将分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“局域”网,依靠IPS或NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于Internet安全传输支付信息的效应。

2.2.3 防火墙技术

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,从而保证支付网络不受到未经授权的访问者侵入。

2.2.4 加密技术

加密技术是电子商务最基本的安全措施,按照密钥加密算法的不同,通常将加密算法分为对称密钥加密和非对称密钥加密。

(1)私钥加密。信息的接受者和发送者都使用相同的密钥,私钥的保密性是基于密钥的保密性,而非算法上,双方的密钥都处于保密的状态,都必须为自己的密钥负责,这种情况适用于两者在地理分离的情况。

(2)非对称密钥加密。又称公开密钥加密,是指一对加密密钥与解密密钥,这两个密钥是数学相关,某用户加密密钥加密后所得的信息,只能用该用户的解密密钥才能解密。如果知道了其中一个,并不能计算出另外一个。客户可以用商户的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密。

2.2.5 安全协议

比较有代表性的电子支付安全协议有SSL和SET。SSL(安全槽层)协议是由Net scape公司研究制定的安全协议,对Internet上计算机之间对话进行加密的协议,相当于双方建立一条保密通道以传递数据信息,SSL安全协议同时使用公共密钥和私有密钥加密技术。SET(安全电子交易规范)是一个通过网络(包括Internet)进行安全资金支付的技术标准,解决了用户、商店和银行之间通过电子支付的安全问题,是针对互联网购物的安全性提出来的一个国际标准。

2.3 加强电子商务的监管

2.3.1 对电子商务进行专门立法

国家应大力加强电子商务法制化建设,制定专门的《电子商务法》,明确规定电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题,进而促进电子商务发展。在法律制定上,增加电子商务领域犯罪的相关规定,增强电子商务犯罪的打击力度,为电子商务支付提供一个良好的发展环境。

2.3.2 建立系统的电子商务监管体系

研究制定电子商务监督管理规范,逐步完善税务监管工作体系。建立电子商务诚信信息库,把有关电子商务交易的信息扩充到联合征信系统之中,使进行电子商务的交易双方对彼此的诚信有真实的了解。还应该通过建立虚拟货币、税务交税、网上产品与服务信息、电子合同的监测体系,加大对网络经济活动的监管力度。

3 结语

随着我国经济的快速发展,网上支付已成为人们生活中的一部分,我们在享受网上支付方便、快捷的同时,也面临着诸多风险。加强个人和企业(网站)的诚信评级,降低交易抵赖风险;加强网络交易系统和交易数据的技术防范,降低支付技术手段风险;加强电子商务监管体系建设,从多方面规范电子商务行为,降低电子商务支付的综合风险,这些措施的实施,对电子商务的安全支付具有重要意义。

参考文献

[1]李浩.电子商务安全支付研究[M].天津职业院校联合学报,2008(3).

[2]杨斌,李玲瑶.电子商务支付系统及安全问题[J].福建电脑,2008(2).

[3]帅青红.电子现金支付问题分析[M].西南民族大学学报,2007(3).

电子商务安全与网上支付实验报告 篇5

班级：商务1002姓名：薛晶晶学号：1012200205

1.背景介绍

随着网络的全面普及和信息技术的不断发展，同时基于互联网的电子商务应运而生，带来了商业和经济模式的变革，这在2006年就早已普遍被经济专家们认为是一个快速发展的新经济增长点。由此看来，电子商务的发展前景十分诱人，但尽管Internet所具有的开放性是电子商务方便快捷、广泛传播的基础，却也在相应程度上使得网上交易面临种种危险。近年来，电子商务的发展速度逐渐放慢，其安全问题是发展的一大瓶颈。例如，网络黑客频传，网络业者人人自危。目前许多最具危害性的计算机犯罪都拥有共同的特点：即绕过密码保护以获得对信息或资金的访问权限。就企业、电子商务而言，最机密的应用、文件及系统则需要更高层次的保护措施。而网络用户的不断增加，对网络的攻击和资源的窃取越来越多，相关的商务机密资源的散失，不可避免地给政府、企业单位带来了不同程度的损失。与此同时，电子商务模式也对管理水平、信息传递技术提出了更高的要求，其中安全体系的构建就显得尤为重要。

2.电子商务安全内容

说到电子商务的安全，它包括计算机网络安全和商务信息安全两个方面。作为电子商务平台的计算机网络的安全包含计算机物理安全、系统安全、访问控制安全、网络服务安全等；商务信息安全则指在计算机网络安全的基础上，围绕传统商务在Internet上应用时产生的各种问题，实现电子商务的保密性、完整性、身份认证、不可依赖性。

商务信息安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务信息安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务信息安全就犹如空中楼阁，无从谈起。没有商务信息安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。

由此，电子商务的过程需要满足一下五方面需求———

2.1信息的保密性

电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传电子商务建立在一个开放的网络环境上，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。

2.2信息的完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为，可能会导致贸易各方信息的差异。另外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。

2.3信息的真实性

只有信息流、资金流、物流的有效转换，才能保证电子商务的顺利实现，而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息内容的真实性；另一方面是指网上交易双方身份信息的真实性，即对人或实体的身份进行鉴别，为身份的真实性提供保证，使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时，鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。

2.4信息的不可抵赖性

对进行电子商务交易的贸易双方来说，一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可能。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

2.5信息的有效性

保证电子形式贸易信息的有效性是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，这对于保证贸易数据在确定的时刻、确定的地点是有效的。

3.面临威胁

3.1电子商务信息存储安全隐患

信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患主要包括非授权调用信息和篡改信息内容。企业的Intranet与Internet联接后，电子商务的信息存储安全面临着内部和外部两方面的隐患：

(1)内部隐患。主要是企业的用户故意或无意的非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。

(2)外部隐患。主要是外部人员私自闯入企业Internet，对电子商务信息故意或无意的非授权调用或增加、删除、修改。而主要来源有竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。

3.2电子商务信息传输安全隐患

信息传输安全是指电子商务运行过程中，物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括窃取商业秘密、攻击网站、网上诈骗、否认发出信息。

3.3电子商务交易双方的信息安全隐患

电子商务是买卖双方通过Internet的信息流动来实现商品交换的，信息技术手段使不法之徒有机可乘，这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。

3.3.1卖方面临的信息安全威胁

例如，假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。

3.3.2买方面临的信息安全威胁

例如，用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；发送的商务信息不完整或被篡改，用户无法收到商品；受虚假广告信息误导购买假冒伪劣商品或被骗钱财；遭黑客破坏，计算机设备发生故障导致信息丢失。

4.安全技术机制

电子商务的安全体系结构由网络服务层、加密技术层、安全认证层、交易协议层和商务系统层组成。因此，要采取积极的安全防范技术手段就应从每一层着手，相应地将各安全措施映射到对应层次中，可以较好地描述电子商务安全技术体系，进而解决系统结构中的各层安全问题。以下，列举各层的安全技术对策———

3.1网络服务层

网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中防火墙技术是防范非法攻击的有力措施。其主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制。

3.2加密技术层

加密层技术中数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足 信息完整性的要求，分为对称机密和非对称机密。通过一定的加密算法，利用密钥来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。

3.3安全认证层

安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真实性的必要手段。包括数字摘要、数字签名、数字时间戳、数字证书、认证、智能卡。其中通过数字签名能够实现对原始报文的鉴别和不可否认性；使用数据证书相当于使用在网络通信中标志通信各方身份信息的一系列数据，从而保证信息不被窃取、不被篡改、交易双方的身份确认、发送方的信息不可否认性，电子商务中安全措施的实现主要围绕数字证书展开。

3.4交易协议层

电子商务的在线支付是通过Internet完成的，必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时，不同的应用环境对协议目标的要求也不尽相同。目前，比较成熟的协议有SET、SSL、iKP等基于信用卡的交易协议，NetCheque等基于支票的交易协议，Digicash、Netcash等基于现金的交易协议等。

电子邮件是Internet上进行电子商务的一大重要信息传输手段，因此必须有电子邮件的安全协议以保证商务信息的完整与安全。在国际上，电子商务的安全机制正在走向成熟，并逐渐形成了一些国际规范，比较有代表性的有SSL协议和安全电子交易规范（SET），还有安全超文本传输协议（HTTP）、、有线等效加密协议（WEP）等。

3.5商务系统层

电子商务系统层包括B2C、B2B等电子商务应用系统模式，因此针对不同系统，采取相应不同的安全策略。

虽然每种技术都旨在加强某一方面的信息安全，包括限制访问或防止机密数据被截获，但没有一种技术的设计目标是解决最具危害性的信息犯罪的基本安全问题。而使用身份认证技术特别是强大的双因素身份认证系统替代基本的密码安全机制，才能够解决由密码泄露导致的入侵问题。因此，双因素身份认证系统将成为网络信息安全市场新一轮焦点和新的趋势。同时，除技术问题外，电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值，而且对于推动电子商务的发展具有重要的现实意义。

5.总结国内外电子商务安全研究现状

世界各国对电子商务安全问题研究的发展是相当重视的，特别是电子商务安全方面普遍存在标准先行的情况。如美国政府很早就致力于秘密技术的标准化，从1977年公布的数据加密DES开始，就由美国国家标准技术研究院制定了一系列有关秘密技术的联邦信息处理标准，在技术规范的前提下对密码产品进行严格的检验。1998年7月1日，在美国政府发布的美国电子商务纲要中，明确提出要建立一些共同的标准，以确保网上购物的消费者享有与在商店购物的消费者同等权利。韩国一些主要的电子设备公司也建立联盟，签署联合协议，规定在2000年制订出整个的电子商务标准。国际范围内电子商务标准有以下发展动态：

5.1成立机构

电子商务业务工作组为了迎接电子商务给全球带来的基于和挑战，使之在全球范围内更有序地发展，1997年6月，ISO/IECJTCI成立了“电子商务业务工作组（BT-EC）”，其确定了电子商务急需建立标准的三个领域，即用户接口、基本功能和数据及客体的定义与编码。

5.2签署文件

电子商务标准化理解备忘录ISO、IEC和UN/ECE（联合国欧洲经济委员会）共同致力于电子商务的标准化工作。陈签署了“理解备忘录”，就EDI、开放式EDI及有关贸易单证标准领域进行合作。1998年11月三者又签署了一个电子商务领域有关标准化的“理解备忘录”。该备忘录包括总体部分、三个附录及上述的，扩充了以前的合作框架，扩展了各部门之间的电子商务，增加了国际用户团的参与，以确保它们的标准化要求得到满足。作为国际用户团的参加者有CALS(持续采办和全寿命支持，世界性的非政府组织，制定国际工业组织之间电子商务的标准要求)及NATO CALS组织(NATO为北大西洋公约组织的缩写)。国际用户团参与者必须满足”理解备忘录”中关于国际用户团注册规定的具体内容，而且它们的参与必须在标准化组织之间相互达成协定的基础上。”理解备忘录”提供了21世纪电子商务发展的有效基础，是国际合作的极好范例。

6.研究发展趋势

网络安全技术在近几年得到快速的发展，这一方面得益于从中央到地方政府的广泛重视，另一方面因为网络安全问题日益突出，网络安全企业不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了网络安全技术的发展。就目前电子商务发展的势头看，电子商务安全问题研究的有以下发展趋势：

6.1政府越来越高度重视电子商务安全问题研究。

由于电子商务安全与国家安全密切相关，涉及社会政治稳定，经济、金融的稳定等。因此，政府高层及其职能部门空前重视电子商务安全研究问题，将有关问题列入国家宏观发展战略之中，充分发挥国家的整体优势，在政策上积极引导、重点支持，同时加大经费投入的力度，在人、财、物等全方位予以支持。

6.2电子商务安全研究的专门科研机构不断增加，科研实力不断增强。

在国家有关政策的支持的指导和支持下，有许多国家级的研究所、重点大专院校，有实力的企业纷纷涉足电子商务安全问题研究，相继建立了一批院、所等电子商务安全科研基地，经过组织科研力量进行专项攻关，取得一批研究成果。同时，院、所培养出一批专门从事电子商务安全研究和管理工作的博士、硕士和本科人才，满足了社会对各个层次电子商务安全专门人才的需求。

6.3科研以研发具有独立自主知识产权的电子商务安全产品为目标，力争打破国外信息安全产品的垄断。

由于历史的原因，国内网络上信息安全产品有相当一部分是进口产品，因此我国的信息系统存在着很大的安全隐患。为了保证我们国家的信息系统的安全，保证电子商务系统的正常运行，以及电子商务安全研究及其产品使用的特殊性，电子商务安全研究的项目基本上是国家规划、组织、实施，由科研机构组织科研力量独立研发，目前己研发出一些世界水平的信息安全产品，一些软件和硬件安全产品解决了实际中的需要。

6.4国家有关部门逐步加快了与电子商务相关的政策、法规和法律的研究与制定。

随着电子商务在全社会的广泛应用，以及电子商务问题的不断出现，面向社会的有关道德、法规和法律等方面的研究工作也逐步开展，已出台的电子商务的有关政策、法规，基本解决了电子商务应用中一些急需解决的问题，保障了现阶段电子商务的正常运行。可以预见，随着电子商务安全技术研究的深入，与电子商务安全有关的政策、法规和法律将会不断完善和发展。

6.5电子商务安全产业规模将逐步扩大。

据有关部门统计，2001年全国的信息安全产品的市场销售额已达50亿，．2002年的电子商务安全市场销售额达数百亿元，全球的信息安全费用在今后的5年内将年平均增长约20％。

7.结束语

在我国，电子商务的安全问题已经是导致电子商务发展滞后的不争的事实。相反，由于发达国家在电子商务方面起步较早，在电子商务经营中，对其安全问题非常重视，并且网络功能的利用比较全面，这就使他们可以在剧烈的竞争中得到保护。从而能够生存下来并发展壮大。鉴于这种情况，我国应该首先在思想上清醒地认识到网络安全与国家安全息息相关。对网络安全问题国家要成立专门的领导协调机构，以超常规的速度组织人、财、物进行研发，建立安全可靠，高效有序的信息网络系统，以保障电子商务系统安全，防范金融风险，避免经济动荡，以及保障国家政治稳定和维护国家安全，为保卫共和国的安全筑起一道电子的钢铁长城。其次认清网络信息系统安全问题的根本原因，并且急需建立健全社会化信用体系。最后要解决电子商务立法的滞后问题，通过授予知识产权保护的形式对电子商务中的创新经营进行保护无疑是对我国电子商务发展的一种促进。在以后的日子里，希望各界能更加关注和思考此问题，使我国电子商务管理的安全问题得到重视，得以解决，为我国电子商务的发展铺平道路。

参考文献

【1】电子商务导论，黄永斌，北京，机械工业出版社，2004，202“-245

【2】《我国电子商务发展现状及存在问题与对策》，张小兵，《商业研究》，2000年2期

【3】郑英铎电子商务安全综述，市场周刊·管理探索，2005，l：148～

【4】浅谈保障电子商务活动中的信息安全科技情报开发与经济，徐雪梅，2003 ．

【5】电子商务安全与保密，祁明，北京，高等教育出版社，2001

【6】电子商务网上支付的安全保障问题，徐伟，合肥联合大学学报，2000，(3)

【7】徐学军我国发展电子商务的主要瓶颈及对策科技管理研究，2004，(2)

电子商务支付安全问题研究 篇6

关键词：市场经济 安全 支付 问题

中图分类号：F71 文献标识码：A 文章编号：1674-3520（2014）-02-00126-01

一.电子商务中的支付安全问题

随着社会的经济的发展，电子商务已经和人们的生活密不可分，淘宝，网购也成了人们生活中频率最高的名词之一。但随着电子商务的高速发展，一系列的问题也随之而来，其中最为重要的就是电子商务支付安全问题。

二、支付安全问题分析

（一）个人信息安全问题隐患

一是消费者个人信息安全得不到保障。消费者在网上消费的同时需要登记自己的个人信息，包括电话号码、身份证号、银行账号、通讯地址等等，这样就将消费者的个人保密信息暴露给网络这个开放的平台，导致一些不法分子盗取消费者信息，进行电话、网络等营销活动，骗取消费者信息进行欺骗、榨取等不法行为；二是消费者个人财产安全受到威胁。消费者进行网上交易，首先需要申请个人账户，开通网上银行，存入资金给第三方平台，但是电脑网络系统自己存在的安全隐患问题，导致不法分子利用木马等病毒侵入电脑系统，篡改、盗取消费者账号，使消费者个人财产受到损失。

（二）商家经营行为制度规则不完善

一是隐瞒真实情况，制造虚假广告。网上商店展示的商品往往是一些图片和文字。而许多网上经营者展示商品时，没有一定的展示标准，向消费者提供的大多是不完整的信息，使消费者不能全面判断商品质量，从而造成损失。网络广告作为消费者网上购物的主要依据，而消费者却又很难判别广告信息的真实性，许多经营者故意向消费者提供虚假的商品信息，欺骗消费者；二是网络欺诈。一些经营者以非法占有为目的，通过虚构未经工商登记的企业，编造虚假的企业信用信息和经营情况，以及获奖材料，宣称子虚乌有商品和服务信息，骗取消费者。从而使消费者在支付过程中，即使收到安全威胁，也在事后投诉无门。

（三）网络安全支付法制并不完善

我国目前的银行卡网上支付方式也存在着一些的缺陷。其中，最主要的问题就是各家银行甚至同一家银行的不同分行、不同的卡品种所提供的支付网关、服务标准、地域范围的不相同，使买家和商家利用银行卡网上支付开展电子商务活动造成了很大的混淆和障碍。目前国内主要的电子商务交易网站的银行基本都提供很多种网上支付的方式，每一家银行都有不同的方式进行支付的网关，有的银行还是通过第三方授权机构进行的综合性能的支付的网关，由于这些的支付方式过多，使得更多的交易者在选择交易时很迷茫并且引发了一些不必要的麻烦。同时，对于网站维护的工作人员来说也造成了一定的困扰。由于我国引进电子商务时间短，造成很多法律制度并没有对网络犯罪有一定的具体条例，是很多网络商家钻法律空子，给消费者带来了很多侵权事件。

三、解决方式分析

（一）设立网络市场安全屏障

市场主体的真实身份不明确，建议参照现行有形商品交易市场企业、个体户登记规则，取缔网络无照经营活动，对在因特网从事商品经营的市场主体必须持有营业执照。凡利用互联网从事经营活动的企业和个体工商户，必须申请和使用电子营业执照。电子执照就是网上的通行证，作为企业在互联网上的身份标识，为了方便企业的决策，维护市场经济秩序，及时提供各种行政管理信息服务，电子执照除了对于一些基本的营业执照内容的标记，还要记住相应的某些网站的地址、域名和可以对该网站的相关联的一些商品和有效期进行检查，对于网络商家经营的一些商品必须要把营业执照放在最显眼的地方，做到与在有形市场一样的亮照经营。通过实施对电子商务主体亮照经营制度，可以保证电子商务市场主体的真实性和可靠性，使电子商务活动中的交易环境得到净化。这样在消费者进行支付时，才会得到安全的网址支付，进而确保支付安全。

（二）加强电子支付安全保障

商业银行应对相关的网上银行进行一定的完善在运营方面，整理并规定除相关的网上银行的管理策略和方针，对企业的运营有一个正确的引导，对这些银行的建设有了一系列的相关的科学论证，这些相关的科学论证也是为了保证信息的可靠安全性，使得电子银行系统的设计得到最严密的设计，在系统运行方面得到安全稳定，使得我们的功能做到最好的完善。首先我们要确定银行应该有的一些相关的责任，因客户没有按照相关的协议进行相关的责任，虽然有些相关的金融机构可以不用承担相应的责任，但是法律法规也会对其进行相关的责任。

另外，对于电子银行业务的开办、增加和更改没有经过相关的金融机构的同意就进行审批的电子银行业务类型，造成客户损失的金融机构应承担全部责任；其次是电子银行需要建立相应的恢复系统或者备份，使电子银行在发生意外事故时对原有的资料有备份和建立很强的防御能力，因电子银行的安全技术的投入很少，需要增加对电子银行的投入。再次是应该对一些高效的安全产品和技术引进进来，客户在进行交易时的安全性有所提高。同时，要对一些黑客的攻击和病毒进行相关的防范，对于一些防毒软件和防火墙进行及时的升级，并维护电脑的系统定期的检查，这样就能提高电脑对于一些黑客攻击和病毒的防御能力，使电子银行的系统的安全性有了最基本的保障。

综上所述，突破电子商务应用中的支付“瓶颈”、改善支付环境是一个长期的、复杂的工程，不可能一蹴而就。总的来看，要解决电子商务应用过程中的支付难题就必须建立全面统一的现代化支付体系，更需要全社会共同的努力。

【参考文献】

《电子商务概论》 李琪主编 高等教育出版社2011年9月

《中国电子商务发展研究报告》 吕廷杰，徐华飞主编 北京邮电大学出版社 2012年

电子安全性支付管理 篇7

关键词：支付模式,安全,认证,加密,移动电子商务

1 中国移动电子商务的发展

《中国互联网络发展状况统计报告》显示,截至2015 年12 月,我国网民人数达到了6.88 亿,互联网普及率为50.3%;移动端网民人数6.2 亿,占总网民人数的90.1%,Wi Fi的使用率提升到91.8%。

根据研究公司易观国际报告显示,支付宝支付占2015 年总交易额的73%,其次是微信支付,约占13%。经过评估,中国人2015年使用移动设备进行操作的总额达到了16.4 万亿元人民币,是2013 年的12 倍左右。

阿里巴巴和腾讯等互联网公司将各自的支付系统与他们所提供的外卖、订票、通信联系起来,同时积极与全国各地的零售商合作,包括餐馆、夫妻店、沃尔玛等。这些中国互联网企业的积极探索,使中国移动支付站在了全球前列。

2 移动电子商务支付模式概况

2.1 以移动运营商为主体

当前,国内的三大移动运营商在价值产业链中处于绝对垄断地位,它们手中掌握着大量真实且准确的用户资料,主要应用在办理代收费业务和小额支付业务上。但从实际使用情况来看,这种支付方式安全性低且金额有限,无法完成大额交易且容易造成用户经济上的损失。

2.2 以银行为主体

银行与其他金融机构相比有着先天优势,它们建立了覆盖全面且功能强大的基础支付体系,能为用户提供可靠的金融服务。但这种方式也存在不足之处,它仅仅局限于各个银行之间,业务具有很强的独立性,资源整合相对困难。

2.3 以第三方支付为核心

第三方支付提供商主要的优势在于能够在一定程度上整合以上两种模式的资源,进行第三方认证和支付认证。这种模式的适用范围广泛,大额小额都能支付,且第三方平台能够充分带动移动价值产业链上的各方机构进行广泛合作,是推动我国移动业务发展的重要方式。

3 移动电子商务的安全性分析

3.1 移动电子商务的安全现状

3.1.1 手机设备安全

银联发布的2015 移动互联网支付安全调查报告显示,超过10% 的受访者在去年曾遭遇网络诈骗。其中,约50% 的受访者表示其在使用社交账号时被骗,与此同时,用户还面临着手机或移动设备被植入木马病毒的安全风险。

3.1.2 交易信息的安全

无线网络的开放性特征导致其成为移动设备的安全隐患,一些不法人员通过部分仪器和设备,可以截获用户信息,损害用户的支付安全。

3.1.3 消费者个人信息安全及维权

消费者协会发布的报告称,在2015 年,有超过2/3 的受访者信息遭到泄露,而在个人信息遭受侵害后,选择“不采取措施,保持沉默”的比例达到了38.06%;选择“诉诸法律”的人占比最少,为16.03%。调查显示,商业利益驱动是当前侵犯个人信息行为泛滥的主要原因,同时,我国没有统一的法律制度也是重要原因之一。调查取证困难、对不法分子的惩罚力度不足、难以确定侵权人等都是维权道路上的绊脚石。

3.1.4 手机病毒

智能手机的强大,也促使不法人员瞄准了这一终端,手机病毒就是其攻击手段之一。它能直接攻击手机,导致手机瘫痪无法工作,盗取手机信息,影响网络信号的接收与发送,这是安全问题中的毒瘤之一。随着安卓和苹果的版本升级、用户自身安全意识的提高和相关安全行业的服务,这一问题正在逐步得以解决。

3.2 常用的安全技术及其应用

3.2.1 加密技术

一种最基本的安全机制,通信时明文可以被转换为密文,只有知道解密密钥才能还原原来的明文。它的主要目的是为了防止传输信息的非授权访问,是信息交换的基础。在最新的科技成果中,量子加密技术已经处于实验和验证阶段,我国在天宫2 号飞船上会进行相关实验。

3.2.2 认证技术

认证技术主要是验证发送者和接受者的真伪和消息的完整性,以及验证信息在传送和存储中是否被篡改。一般通过以下技术手段实现:数字签名、数字证书、VPN技术、生物特征识别技术。

4 结语

中国移动电子商务发展到今天,其影响范围和受益人群都及其庞大,我国正处于移动电子商务发展的高速期,随着“一带一路”政策的逐步实施,其爆发出的商业机会和潜力也将越来越大,而在此过程中,要维持好移动电子商务的发展,不仅要从安全技术方面进行提升,如指纹识别,还要完善相关法律,如《非银行支付机构网络支付业务管理办法》等制度的实施,同时,还要加强人们对移动电子商务的信任,随着移动电子商务发展中所面临的问题逐步得以解决,人们会越来越体会到新型电子商务的魅力。

参考文献

电子商务网络支付安全问题研究 篇8

一、网络支付系统

网络支付系统是以互联网为平台的电子商务支付, 它是融购物流程、支付工具、安全技术、认证体系、信用体系及金融体系为一体的综合服务系统。

1. 网络支付系统的基本构成

网络支付的过程涉及客户、商家、银行、认证部门之间的安全商务互动, 其构成还包括支付中使用的支付工具以及遵循的支付协议。

2. 网络支付系统的特点

网络支付系统必须具备特有的功能才能被广泛使用, 这些基本功能包括:实时结算功能、安全保密功能、信用评价功能、交易简洁功能、多边支付功能。

二、网络支付系统的安全威胁和安全需求

在传统交易过程中, 买卖双方面对面进行沟通交流, 双方能够较好地建立起彼此的信用关系, 从而保证交易的安全及顺利。而在电子商务网络平台当中, 互联网将买卖双方彼此联系, 两者可能素未谋面, 双方较难建立器彼此信任的关系, 又加之互联网平台存在的安全风险, 使得在进行网络支付过程中交易双方都面临着一定的风险。

1. 销售者面临的安全风险

①网络系统安全性:网络安全是网络支付的核心, 要防止入侵者伪装成合法用户来改变真实数据、取消订单或生成虚假订单。

②竞争者窃取物流信息:恶意竞争者通过他人名义, 虚假订购商品, 从而掌握相关产品的物流配送以及库存分布情况等信息。

③客户资料及机密数据的窃取:销售者在通过网络平台实施交易时, 要防止价格、库存、货源、用户信息等商业核心数据被恶意程序攻击和窃取。

④莫名顶替损害企业形象:销售商需要在网络平台建立唯一合法认证的链接、用户名等, 防止不法分子通过莫名顶替的形式, 以次充好, 恶意破坏企业形象和产品质量形象。

2. 消费者所面临的安全威胁

①虚假订单:不良商家会使用消费者的名义订购劣质产品, 并送货上门, 消费者在收到商品时可能会被要求支付商品或支付退货运费。

②付款后未收到商品;消费者通过网络付款后, 销售商的后台工作人员可能不将订单详情和付款金额转发给发货执行部门, 从而窃取客户金额, 造成消费者财产损失。

③机密性丧失:消费者在消费过程中有可能会泄漏自己的身份信息, 如姓名、工作单位、地址、电话、信用卡号码等信息, 销售商在得到客户信息后将个人信息进行非法销售, 损害消费者利益。

④拒绝服务:恶意竞争者能够通过网络攻击, 向销售商的服务器发送大量虚假定单来浪费其网络资源, 使得正常消费者无法登录服务器。

三、网络支付系统信息安全技术

1. 密码技术

密码学是一门古老又新兴的学科, 网络技术的发展更促进了密码技术的应用和发展。加密技术、数字信封、数字摘要技术、数字签名和数字证书等相关密码技术, 能够保障电子商务双方的合法权益免受侵害。

2. 身份认证技术

身份认证是实现网络安全的基石。在实施网络支付时, 交易双方必须通过特定的证机制来证明各自身份, 验证用户的身份与所宣称的是否一致, 从而实现针对不同用户的访问控制和记录。

3. 防火墙技术

防火墙是一种将企业内部网络和互联网相互分开的方法。它能够限制被保护的网络与互联网之间进行的信息存取、传递操作, 可以作为不同网络或网络安全域之间信息的出入口, 能根据企业的安全策略控制出入网络的信息流, 且本身具有较强的抗攻击能力。在逻辑上, 防火墙是一个分离器, 一个限制器, 也是一个分析器, 可以有效地监控内部网与互联网之间的任何活动, 保证了内部网络的安全。

4. 虚拟专用网技术

虚拟专用网指的是依靠网络服务提供商, 在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。所谓虚拟, 是指用户不再需要拥有实际的长途数据线路, 而是使用互联网公众数据网络的长途数据线路。所谓专用网络, 是指用户可以制定一个最符合自己需求的网络。

5. 存取访问控制技术

存取访问控制的本质是对资源使用的限制。在不同的计算机之间实现的资源共享会带来一定的安全隐患。如果不控制访问权限, 任何用户都能对共享资源进行任意的访问, 将对服务器带来巨大的破坏, 因此一个系统必须对用户访问权限有所限制。防止访问者滥用系统中不属于其权利范围之内的资源而对其权利予以适当地规范, 让访问者在适当的授权范围内能够操作计算机资源, 这就是存取访问控制。它是用来保护计算机资源免收非法者故意删除, 破坏或更改的一项重要措施。

参考文献

[1]张海霞.网络支付的安全问题及安全策略研究[J].山西财经大学学报, 2010 (10)

[2]卓婷婷.电子商务网上支付风险问题探析[J].经济研究导刊, 2009 (03)

电子商务网上支付安全技术研究 篇9

随着信息技术的不断发展和Internet互联网技术的日益普及, 人们越来越意识到电子商务对国家经济、企业管理和个人生活所带来的巨大影响。电子商务的出现, 使得商业模式发生了根本性的变化。电子商务支付及支付协议一直是电子商务网络安全技术研究的热点。

目前, 我国的信息安全研究已经历了通信保密、计算机数据保护两个发展阶段, 现正处于网络信息安全研究阶段。通过学习、吸收、消化等手段, 已逐步掌握了部分网络安全和电子商务安全技术, 进行了安全操作系统、多级安全数据库的研制探索, 但由于没有掌握系统核心技术, 使得要开发出有自主知识产权的信息产品困难重重, 而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门”。在借鉴国外先进技术的基础上, 国内一些企业也研制开发出一些安全产品, 如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足, 理论基础和自主的技术手段需要发展和强化。本文主要研究了安全套接层SSL协议, 以及基于SSL协议的网上支付系统实现的关键技术。

2 网上支付安全隐患

电子商务网上支付行为是买卖双方通过Internet的信息流动来实现商品交换的, 信息技术手段使不法之徒有机可乘, 这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁[1]。

(1) 卖方面临的信息安全威胁。例如, 假冒合法用户名义改变商务信息内容, 致使电子商务活动中断, 造成商家名誉和用户利益等方面的受损;恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器, 产生大量虚假订单挤占系统资源, 令其无法响应正常的业务操作。

(2) 买方面临的信息安全威胁。如用户身份证明信息被拦截窃用, 以致被要求付帐或返还商品;域名信息被监听和扩散, 被迫接收许多无用信息甚至个人隐私被泄露;发送的商务信息不完整或被篡改, 用户无法收到商品;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏, 计算机设备发生故障导致信息丢失。

3 网上支付安全系统

电子商务的一个重要组成部分是在线支付系统, 为了保证在线支付的安全, 需要采用数据加密和身份认证技术, 以便营造一种可信赖的电子交易环境。在线交易首先要验证或识别参与活动的各个主体, 如持卡消费者、商家、受卡银行和支付网关的身份 (身份用数字证书表示) , 以及保证持卡人的信用卡号不会被盗用, 这样客户才可以放心地在网上购物。

3.1 网络支付安全协议

目前有两种安全在线支付协议被广泛采用, 即安全套接层 (Secure Sockets Layer, SSL) 协议和安全电子交易 (Secure Electronic Transaction SET) 协议[2]。SSL以对称密码技术和公开密码技术相结合, 提供了如下3种基本的安全服务:

秘密性:SSL客户机和服务器之间通过密码算法和密匙的协商, 建立起一个安全通道, 以后在安全通道中传输的所有信息都经过了加密处理, 网络中的非法窃听者所获取的信息都将是无意义的密文信息。

完整性:SSL利用密码算法和散列 (HASH) 函数, 通过对传输信息特征值的提取来保证信息的完整性, 确保要传输的信息全部到达目的地, 可以避免服务器和客户机之间的信息内容受到破坏。

认证性:利用证书技术和可信的第三方CA, 可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户, SSL要求证书持有者在握手时相互交换数字证书, 通过验证来保证对方身份的合法性[3]。

3.2 在线支付系统的SSL加密技术

采用基本的SSL协议, 进行两端SSL加密, 首先要购买并安装数字认证证书。然后向在线支付服务提供商获得支付网关的服务内容和服务范围, 选定信用卡交易方式和交易处理系统。本文拟定向Veri Sign公司购买其数字认证证书, 确定交易处理系统为ADC Direct Response。

下面具体研究根据Authorize.Net所提供的服务, 选定交易类型和交易处理系统后所要实现的在线支付系统的过程。整个在线支付的过程会牵涉到多方协作, 其中包括供货方, 也叫零售商 (Merchant) , 商业服务提供者MSP (Merchant Service Provider) 、客户, 支付处理者 (Payment Processor) , 以及Authorize.Net (支付网关) 之间的交互操作。

在步骤1中客户登录零售商 (Merchant) 的电子商务站点或者登录提供商务服务的第三方电子商务服务平台, 完成商品选购之后, 向服务器提交其有效的信用卡信息, 开始在线支付操作。电子商务系统服务器收到客户提交的信用卡信息后, 向支付网关Authorize.Net提交交易信息, 这就是过程2所要完成的操作。在步骤3中, 支付网关把交易信息提交给Acquiring Bank's Processoro Acquiring Bank通常是给零售商 (或第三方电子商务服务提供商) 提供商业帐户的单位, 而只有拥有商业帐户, 零售商 (或第三方电子商务服务提供商) 才能允许在线信用卡的授权和支付交易。在步骤4中, Acquiring Bank's Processor将信息传送给信用卡发行商 (Credit Card Issuer) 而这个过程通常是要经过信用卡交易系统的中间环节。当信息传送给信用卡发行商后, 信用卡发行商进行一系列的操作, 如交易批准或交易拒绝, 冻结资金, 并把交易结果—授权代码通过信用卡交易系统送回给Acquiring Bank's Processor, 这就是步骤5所完成的过程。在步骤6中, Acquiring Bank's Processor收到交易结果后, 将结果转给支付网关Authorize.Net。支付网关将结果存储下来之后, 再反馈给零售商 (或第三方电子商务服务提供商) , 完成步骤7。根据需要, 零售商 (或第三方电子商务服务提供商) 做出接受或拒绝交易的相应操作。至此, 整个在线支付的过程全部完成, 而经过测试, 一般整个过程不超过3-4秒, 相当高效。

3.3 支付功能与系统集成的实现

分析了所要实现的在线支付系统全过程之后, 需要在实现在线支付的功能页面中编写代码, 根据特定规格定义接口参数, 以完成在线支付系统和客户购物系统的无缝集成。

在上一步中, 已经选定适当的交易类型和交易处理系统, 这一步就需要将选定的方式集成进系统中。

(1) 由于所采用的是ADC Direct Response方式, 因此必须先建立服务器端和客户端的安全连接。

(2) 设计HTTP POST表单, 安全地获得客户信息。

(3) 将客户填写的信用卡和地址信息提交给支付网关验证。这里需要根据支付网关规定读取的特定格式, 定义输入输出接口参数。有了所需要的参数定义后, 就需要添加代码, 以提交信息。

因此, 当支付网关反馈的结果是验证通过信息, 客户就能顺利完成支付交易, 如果得到的是验证未通过信息, 则客户自动跳转到出错提示页面, 提示客户重新输入正确的信用卡和地址信息。

4 结束语

电子商务的一个重要组成部分是在线支付系统, 目前有两种安全在线支付协议被广泛采用, 即安全套接层 (Secure Sockets Layer SSL) 协议和安全电子交易 (Secure Electronic Transaction SET) 协议。SET虽然在很多方面解决了电子商务安全支付问题, 但由于其成本太高, 互操作性差, 且实现过程复杂等原因, 本文所研究的电子商务在线支付系统采用SSL协议, 重点研究基于SSL的电子商务在线支付系统的原理和实现过程。

参考文献

[1]徐雪梅.浅谈保障电子商务活动中的信息安全[J].情报开发与经济, 2003[5].

[2]刘卫宁, 宋伟.电子商务中在线支付的安全保障[J].计算机应用, 1999, 19[7].

电子商务中的网上支付安全性研究 篇10

一个典型的电子商务交易由三个阶段组成, 分别是信息搜寻阶段、订货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题, 即如何利用互联网以安全快捷的方式实现交易双方的资金划拨, 以确保电子商务交易的顺利进行。从三个阶段来看网上支付是最关键的, 因为网上支付一旦完成物流的配送就是顺理成章的事情, 也就意味着完整网上交易的完成。而网上支付若不进行, 网上交易也不能最终完成。由此可见, 网上支付是电子商务最核心、最关键的环节, 是交易双方实现各自交易目的的重要一步, 也是电子商务得以进行的基础条件。

1 网上支付现状及现有支付工具的特点

网上支付采用先进的技术通过数字流转来完成信息传输, 其各种支付方式都是采用数字化的方式进行的, 工作环境基于开放的因特网, 使用的是最先进的通信手段, 具有方便、快捷、高效、经济的优势。

目前我国网上支付发展迅猛, 从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元, 同比增速超过了170% , 环比增速超过了20%。

目前的网上支付工具主要有:

(1) 银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式, 付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。

它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多, 用户不受地域的限制。

(2) 电子现金:是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数, 来表示现实中各种金额的币值。但目前我国使用的不多。

它的特点一是具有现实现金特点, 可以存、取、转让, 适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名, 商家接受到电子现金后将其传输给电子现金银行, 由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。

(3) 电子支票:是以一种纸质支票的电子替代品而存在的, 用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足, 在我国尚是空白。

其特点一是与传统支票的操作有很多相似之处, 易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络, 可以通过公众网络连接现有金融付款体系。

(4) 第三方支付:是具备一定实力和信誉保障的独立机构, 采用与各大银行签约的方式, 提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面, 统一的手续费用标准, 结算较为便利。但此模式下, 消费者并不是其客户, 网站商家和银行才是它的客户, 消费者最终还是要使用各网上银行进行付款。

二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司, 支付宝收到货款之后通知卖家发货, 买家收到货物之后再通知支付宝, 支付宝这时才把钱转到卖家的账户上。在整个交易过程中, 如果出现欺诈行为, 平台提供方将进行赔付。这种第三方代收款制度, 不仅保证了资金的安全转让, 还可担任货物的信用中介, 从而约束交易双方行为, 在一定程度上增加了网民对网上购物的可信度, 大大减少了网络交易欺诈。

2 网上支付存在的安全问题分析

要想保证在网上进行交易的安全性, 首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易, 如果计算机网络不安全, 可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行, 如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。

上述两种安全问题不仅仅只存在于电子商务交易中, 即使用户不使用计算机网络进行交易, 而是进行普通的上网活动, 也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩, 用户如果碰到了这两种安全问题, 受到的损失相对来说会小一些。

网上支付的安全除了上述两种安全问题外, 还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性, 包括以下几个方面:

(1) 身份真实性。也称商务对象的认证性, 传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性, 但网上交易的双方相隔甚远, 互不了解, 支付方不知道商家到底是谁, 商家不能清晰确定银行卡等网络支付工具是否真实, 以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机, 所以需要为参与交易的各方提供可靠标识, 使他们能正确识别对方并能互相证明身份。

(2) 信息的完整性。网上交易简化了贸易过程, 减少了人为的干预, 同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为, 可能会导致交易各方信息的差异。另外, 数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据 (如支付金额) 进行修改而发生多支付或少支付的问题, 那么势必给交易双方添加不少麻烦。

(3) 不可否认性, 也称不可抵赖性。在传统的商务交易中, 双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生, 但在网上则是不可能的。因此就有可能出现这样的情况, 当交易一方发现交易行为对自己不利时, 可能会否认电子交易行为, 这必然会损害另一方的利益。

(4) 数据保密性。有关交易的各种信息, 如付款人和收款人的标识、交易的内容和数量等, 这些信息只能让交易的参与者知道, 有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。

3 解决网上支付安全问题的对策

3.1 技术方面的对策

(1) 数据加密。

数据加密被认为是电子商务最基本的安全保障形式, 可以从根本上满足信息完整性的要求, 它是通过一定的加密算法, 利用密钥 (Secret keys) 来对敏感信息进行加密, 然后把加密好的数据和密钥通过安全方式发送给接收者, 接收者可利用同样的算法和传递过来的密钥对数据进行解密, 从而获取敏感信息并保证网络数据的机密性。

(2) 数字签名。

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值 (或报文摘要) , 发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后, 这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值 (或报文摘要) , 接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同, 那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

(3) 安全协议。

在国际上, 比较有代表性的电子支付安全协议有SSL和SET。

SSL (安全槽层) 协议是由Netscape公司研究制定的安全协议。通俗地说, SSL就是客户和商家在通信之前, 在Internet上建立了一个“秘密传输信息的信道”, 来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家, 商家阅读后再传到银行。这样, 客户资料的安全性便受到威胁。另外, 整个过程只有商家对客户的认证, 缺少客户对商家的认证。在电子商务的初始阶段, 由于参加电子商务的公司大都信誉较好, 这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务, 对商家的认证问题也就越来越突出, SSL的缺点就会逐渐暴露出来, SSL协议也就逐渐被新的SET协议所代替。

SET (安全电子交易规范) 向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络 (包括Internet) 进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下, 又增加了对商家身份的认证。由于设计较为合理, 得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持, 已成为实际上的工业技术标准。

3.2 法制方面的对策

(1) 加强社会信用机制建设。

法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求, 并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度, 以及对失信者的惩戒制度方面都还十分落后, 甚至存在空白。应当承认我国还属于非诚信国家, 信用制度还很不健全。我们应当着手网上支付信用机制的建设, 建立个人社会信用体系, 及时收集和反馈用户信息并做出相应解决方案, 促进用户建立网络信用。

(2) 加强对网上银行和第三方支付机构等相关组织的监管。

加强电子商务行业的监管, 规范市场主体行为。首

先要加强对网络银行的监管:网上银行不同于传统银行, 应该制定新的准入条件, 加强对客户开户的监管, 落实责任审查客户资料等信息, 明确网上银行业务终止条件、清算办法等, 制定电子货币退出机制, 规范电子货币市场;其次要加强对第三方支付机构的监管, 要让第三方支付机构受银监会监督, 第三方无权动用客户资金, 必须确保资金安全和支付的效率。

3.3 管理方面的对策

在管理方面, 由于网上支付涉及到许多部门和机构, 容易造成混乱的局面。通常来说, 电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此, 统一而先进的管理和规范就显得尤为重要。例如, 各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。

另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的, 但总离不开人的介入。从世界范围内的经验可以知道, 银行系统资金不安全或者各类诈骗活动的发生, 不是技术不安全造成的, 而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。

4 结语

电子支付的安全问题, 实际上是一个牵连甚广的应用问题。电子商务发展所要求的开放的支付环境, 需要金融和通信、互联网等产业之间的融合, 而这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同, 因此一些在国外成功的经验并不能简单套用, 这就使得电子支付需要面对的安全问题进一步复杂化。但只要全社会的相关组织和个人共同努力, 相信未来的网上交易会越来越安全。

参考文献

[1]赵军民, 张翼飞.当前电子商务中的支付体系研究[J].平顶山工学院学报, 2008, (2) .

[2]黄小虎, 文斌.电子支付的安全性分析与策略[J].华南金融电脑, 2008, (4) .

[3]阮慧婷, 谢玉婷.网络支付安全问题探究[J].东方企业文化, 2007, (3) .

[4]李浩.浅谈电子商务发展的瓶颈-电子支付的安全问题[J].科技资讯, 2008, (8) .

电子安全性支付管理 篇11

《iResearch 2005年中国网上支付研究报告》显示，61.2%的网民不使用网上支付是因为安全性问题。网上支付有悖于中国传统的消费模式，使得消费者在接受时有一定的心理阻力。但事实上，网上交易的风险绝大部分是交易安全问题，而并非支付安全，只不过公众更容易把责任归咎于自己不了解的在线支付名下。

从2004年开始，各个企业蜂拥入场争夺支付这块蛋糕。2005年，YeEpay、99Bill、支付宝、PayPal等相继进入，就连腾讯也要分一杯羹。这一切似乎印证了马云在年初的说法：2005年将是电子商务的支付年。似乎支付市场是继网络游戏、SP之后的又一座金山。

金山的说法其来有因，以PayPal为例。目前，PayPal已经拥有全球56个国家的7890万用户，2005年前3个季度的支付总额达到194亿美元，今年预计通过PayPal的支付总额将超过260亿美元。

利润虽然令人眼馋，但物质总有两面，一个真实的隐患总是被掘金人忽略。

PayPal建立在信用卡体系之上，而国内的网上支付主要建立在借记卡体系之上，所以它们两者有着根本区别。

信用卡体系中，商户承担着拒付风险，尤其是网上支付，因为信用卡无需密码验证，拒付导致的坏账率甚至高达4%～5%左右。因此，PayPal等同于“镖局”，商户只需付出2%左右的手续费，所有的风险都可以让PayPal埋单——如此，商家何乐而不为呢？

但国内的网上支付基于借记卡体系，支付需要密码才可以完成，安全系数相当高，最重要的是在国内的体系下，个人账户被盗用需要盗用者承担责任，商户却完全没有坏账风险。这就导致了PayPal“押镖”的差使不用做，所以支付服务提供商利润来源基本上就是靠低廉的手续费差（和支付宝提供的担保支付服务有所区别），即支付平台手续费和银行支付手续费之间的差价。

一个是镖局，挣的是押镖钱；另一个是快递公司，挣的是辛苦费——这就是国外和国内支付行业的差别。激烈的价格战和免手续费支付形式的存在使得国内支付公司很难盈利，有些公司甚至持续亏损很久。国外的金山来到国内，就成了“土山”，“支付”与“致富”之间也被打了一个大大的不等号。刚刚引起关注的支付行业其实已经站在悬崖的边缘。正如上世纪末IT泡沫破灭一样，网上支付的狂热背后往往是盲目和冲动、无序与混乱。

在巨大的经营压力下，支付行业的问题出现了！但问题绝对不是大家总是担心的支付安全问题。目前，网上支付的最终完成都是通过银行系统的网上银行，并非在第三方支付平台上进行，而且交易信息传递都是通过加密的数据包进行传输，所以可以肯定地说网上支付的安全性犹如银行的柜台交易。目前国内大多数的第三方支付服务商，包括首信、银联、云网等，在技术上都已经跨过了安全门槛。而真正应该令人担心的，是另一种安全。

由于利润太低，不少缺乏资金支撑的支付公司出现了运营上的窘境，而压力相对较小的公司无外乎3种：一种是或多或少有些“红根”，例如银联电子支付、首信；另一种是有其他业务的支撑，例如PayPal、云网支付@网；再有就是拿了别人的钱，例如支付宝、99Bill等。这3种里面，第一、第二种相对安全，第三种就值得考量了。而除了这3种以外的支付公司，生存的压力就更是非常大，很可能一朝崩溃。

支付公司不同于银行等其他公司，众多商户、消费者的钱都存在支付公司的账户中。据iResearch调查，2005年中，全国几十家支付公司间大约有161亿元人民币在周转。每家都占有巨额资金，一旦出现经营不善，企业破产，那么商户和消费者的钱将血本无归。

以支付宝为例，他们称必要时无需事先通知即得终止服务，并可立即删除账号和账号中的资料和档案，试想如果支付宝面临暂停或者关闭时，用户根本无法确保资金的安全。作为接受服务的消费者，面对可能的经营和政策风险严重缺少强有力的保护。

这就是支付行业新的安全问题。

对于这个问题，一方面，国家对支付公司的资质应该严格审查，商户的账户和支付公司自身的账户应该分离，并被保险；另一方面，商户在选择支付公司时，一定要整体考察公司的资质背景，尤其是它的持续盈利能力。

所以，那些总是担心支付安全问题的人们大抵可以放下心，交易安全问题却应该令大家时时警醒。商户选择支付服务商的时候，切记大公司比小公司安全、盈利的公司比亏本的公司安全，而且特别要注意考察支付公司的盈利能力！

构建安全电子商务支付系统的策略 篇12

一、电子商务支付系统常见的安全问题

在电子商务交易双方当事中，显然消费者是一个弱势群体。对于支付安全中不利的安全隐患，商家可以通过选择有利自身利益的支付方式加以规避。相反，从消费者角度来看，消费者在填完一大串信息后，不知道这些信息将流向何方，信息从哪里到哪里是保密的，哪些人能够看到、修改信息，系统还存在哪些安全漏洞。因此，消费者很容易落入一些别有用心的人事先挖好的支付陷阱中。比如，假冒者以客户的名义订购商品，而要求客户支付货款或返还商品;口令在传输过程中丢失;商家的定单确认信息被篡改;而较为严重的情况是消费的结算卡账号、密码等信息被盗取，导致个人存款被恶意窃取等等。此类不法分子采取的手段主要是通过木马、窃听程序，恶意监听客户信息。还有一种是“偷梁换柱”，即注册与商家相近的域名骗过不知情的顾客，假冒商家身份堂而皇之从消费者处获取信息。

二、全方位构建安全的电子商务支付系统

造成电子商务支付的风险主要有三个方面：一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。因此，我们应从以下方面着手，全方位构建安全的电子商务支付系统。

1、加快电子交易协议技术研究。

当前通用的电子交易协议分别为SSL (Secure Socket Layer) 协议与SET (Secure Electronic Transaction) 协议，两者之间各不相同，并各有优缺点。

(1) SSL协议。在SSL协议中采用了公开密钥和私有密钥两种加密方式。Web信息通过协议传输时，先在传送端被加密，然后在接收端被解密，从而为机器之间提供安全连接。SSL协议是两层协议，建立在TCP传输控制协议之上、应用层之下，并且与上层应用协议无关，可为应用层协议如HTTP、FTP、SMTP等提供安全传输。通过将HTTP与SSL相结合，Web服务器就可实现客户浏览器与服务器间的安全通信。

简便易行是SSL协议的最大优点，但与此同时其缺点也是显而易见的。首先，在交易过程中，客户的信息先到达商家那里，这就导致客户资料安全性无法保证;其次，SSL只能保证资料传递过程的安全性，而传递过程是否有人截取则无法保证;再次，由于SSL协议的数据安全性是建立在RSA等算法上，因此其系统安全性较差。此外，由于SSL协议不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这就造成了SSL协议在电子银行应用中的最大不足。

(2) SET协议。SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。可以说，SET协议是PKI框架下的一个典型实现，其核心技术主要有公开密钥加密、数字签名、电子信封、电子安全证书等。通过这些手段，SET协议在电子交易环节上为用户提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。

安全可靠是SET协议最大的优点，但在实际应用中，SET协议依然存在以下不足: (1) 协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书。一旦客户对货物的质量标准提出疑义，而收单银行已把货款付给了商家，谁承担责任将无法定义。 (2) 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。 (3) SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据。 (4) 利用SET协议实施电子支付，交易过程复杂，使用成本高。

2、完善电子支付方面的相关法律

在中国除已颁布的《电子签名法》外，立法基本上是空白。因此要更快地完善相关法律，为电子支付健康运行保驾护航。

(1)加强法律法规建设，建立政府对信用交易的有效监管及失信惩罚机制，约束商业活动遵纪守法，提高社会整体信用等级。

(2)从立法的方式填补电子支付法律体系中的空白，是解决中国传统支付法制度不适应的根本途径。虽然颁布实施的《电子签名法》，确认电子签名的法律效力，但规范电子支付的法规制度还应包括《支付结算管理办法》、《大额支付系统业务处理办法》等。

(3)调整不能够适应电子商务发展的其他现行法规。现有的交易制度都是针对纸介质的对象，但是电子商务的出现使电子支付成为可能，针对纸介质的立法已经不能适应电子商务的发展，甚至成了电子支付的羁绊。

3. 建立社会信用体系

(1)建立覆盖全社会的信用网络系统，完善信用认证的信用保险制度。

(2)建立诚信主体的诚信档案，同时完善社会公共信用披露机制，利用公众的力量引导交易实体能够自觉诚信。

(3)积极培育信用中介机构和行业自律组织，推动专业化市场化的信用管理增值服务，促进并规范信用管理服务业发展。

三、结束语

安全是效率的前提，安全性是电子商务支付系统推广最大的障碍。为了推动电子商务的进步，不仅需要相应的安全技术做保障，还要有相应的电子支付法律保障，加强社会信用体系建设，全方位构建安全的电子商务支付系统。

摘要：安全性是电子商务支付系统的关键问题。本文分析列举了几种电子商务支付系统中常见的安全问题。在此基础上, 提出了全方位构建安全电子商务支付系统的策略。

关键词：电子商务,电子支付,交易协议

参考文献

[1]、雷信生.电子商务安全技术[M].北京, 国防工业出版社, 2005

[2]、尹存燕, 谢俊元.一个公平、有效的安全电子交易协议[J].计算机应用研究, 2002, 01