《电子商务的安全支付标准.pdf》由会员分享,可在线阅读,更多相关《电子商务的安全支付标准.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电子商务的安全支付标准摘要:电子商务支付主要是指在网上实现支付, 即交易的各方使用电子方式, 通过网络安全的完成全部交易支付过程的支付方式, 没有现金转账支票 , 电汇票证等 ,电子支付也就促生了网上银行, 电子支付是电子商务业务流程的重要环节,服务于电子商务资金流的电子支付与结算及其安全性已经成为商务各方关注的焦点。安全问题一直是困扰计算机、网络系统,尤其是电子商务发展的难题。针对电子商务安全问题,采用归纳法和理论研究的方法,提出加强技术安全保障、 强化管理措施、 完善电子支付体系等应对策略,为电子商务的健康发展提供有力支撑。研究结果为解决电子商务的安全问题具有指导作用。关键词:电子商务诚信
2、缺失信用体系正文:网上支付是电子商务中买卖双方通过INTERNET进行的一种资金交换活动 ,是电子商务中实现资金流通的重要途径. 由于支付是在开放的INTERNET 上进行 ,支付信息很容易遭到黑客的袭击, 给买卖双方带来经济损失. 因此, 如何保证网上支付的安全性, 已成为电子商务健康发展必须解决的迫切问题. 电子商务(Electronic Commerce ,简称 E-commerce )是在因特网开放的网络环境下,基于浏览器 / 服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。电子商务涵盖的范围很广, 泛指透过网络进行之交易或信息之交换,
3、像网络购物、 公司间之帐务支付, 或电子公文之通讯 等 等 均 为 电 子 商 务 之 重 要 环 节 ; 一 般 可 分 为 企 业 对 企 业(Business-to-Business),或企业对消费者 (Business-to-Consumer)两种。随着国内 Internet使用人口之增加,利用 Internet进行网络购物并以信用卡付款之消费方式已渐流行,而最常见之安全机制有SSL及 SET两种. 因特网上的电子商务可以分为三个方面:信息服务、 交易和支付。 主要内容包括:电子商情广告;电子选购和交易、电子交易凭证的交换;电子支付与结算以及售后的网上服务等。主要交易类型有企业与个人的
4、交易(B to C方式) 和企业之间的交易 (B to B方式) 两种。 参与电子商务的实体有四类:顾客( 个人消费者或企业集团 )、商户( 包括销售商、制造商、储运商 ) 、银行( 包括发卡行、收单行) 及认证中心。电子商务是因特网爆炸式发展的直接产物,是网络技术应用的全新发展方向。因特网本身所具有的开放性、全球性、低成本、高效率的特点,也成为电子商务的内在特征,并使得电子商务大大超越了作为一种新的贸易形式所具有的价值,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与结构。在开放的 internet上从事商业、贸易等电子商务活动,安全性问题被摆在了首位。在 int
5、ernet上或其它开放的网络上进行安全支付处理应满足下列四个基本要求:保密性。在实际的交易环境中必须保护持卡人(顾客)的订购信息及支付信息的安全, 使得只有特定的接收方可访问这些信息。完整性。 在实际交易过程中, 接收到的消息确实是实际发送的信息,不可能在传输过程中被非法篡改,也不可能是一条伪造消息。身份认证。对于网上交易的参与者,系统必须确定其身份,检验其合法性。若交易者非真实,系统将不准进入,以防止假冒事件发生。另外,这里“确定”的含义并不完全意味着确实知道客户的身份,因为有时由于交易匿名性的需要, 不能确知客户的准确身份, 但应能做到保证是在与一个可靠的对象通信。 抗否认性。 一旦交易结
6、束, 有关各方都不能否认自己参与过这次事务。 为了保证上述电子商务活动的安全性,必须有一套有效的安全机制作为保证, 这就要建立电子商务信息安全体系。概括起来, 信息安全体系可以分为以下几个层次: 基本加密算法、 安全认证手段和安全应用协议。其中所用的安全技术通常有:加密技术算法(秘密密钥、公开密钥)、公开密钥系统基础设施(pi ) 、各种认证技术(一次性口令、数字信封、数字时间戳、ca) 、网络系统各层安协全协议 (ssl 、set 、ipsec 、pptp、vpn、tls) 、防火墙及保密网关技术等。尽管上述保证系统安全的技术手段已经存在,但安全问题是系统性的问题,并非把这些手段简单地结合在
7、一起就可得到安全。电子支付系统目前尚处于不成熟阶段且种类较多。 网上支付”和电子商务是密不可分的,了解电子商务是理解网上支付重要性的前提和基础。网上支付是电子商务的关键环节,也是电子商务得以顺利进行的基础条件, 如何实现完全的在线支付功能, 并保证交易各方的安全、保密是实现电子商务关键的问题之一。网上支付交易出现的安全隐患“网上支付”和电子商务是密不可分的,了解电子商务是理解网上支付重要性的前提和基础。 网上支付是电子商务的关键环节,也是电子商务得以顺利进行的基础条件, 如何实现完全的在线支付功能,并保证交易各方的安全、 保密是实现电子商务关键的问题之一。1. 用户的身份冒充 : 攻击者通过非
8、法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易, 从而获得非法利益。 攻击者还以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、 修改数据, 以干扰用户的正常使用 .2. 泄漏或丢失 : 是指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,如利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测有用信息。信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等方式窃取敏感信息。对信息的篡改。 攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注
9、入伪造消息等,从而使信息失去真实性和完整性。网上支付电费大多都是通过网络银行进行交易的,攻击者利用对合法用户的攻击盗用合法用户的用户名及密码进行其实操作,这样对合法用户造成了巨大的损失。3. 缺少严格的网络安全管理制度: 网络安全最重要的还是要思想上高度重视, 网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。4. 非授权访问 : 未经许可就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制, 对网络设备及资源进行非正常使用, 或擅自扩大权限 ,越权访问信息等。用安全技术对支付进行有效保护1. 加密技术(1)对称加
10、密在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。 使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。 对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。 因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。(2)非对称加密在非对称加密体系中,密钥被分解为一对( 即一把公开密钥或加
11、密密钥和一把专用密钥或解密密钥 )。这对密钥中的任何一把都可作为公开密钥( 加密密钥 ) 通过非保密方式向他人公开, 而另一把则作为专用密钥( 解密密钥 )加以保存。公开密钥用于对机密性的加密, 专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握, 公开密钥可广泛发布, 但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是: 贸易甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开; 得到该公开密钥的贸易乙方使用该密钥对机密信息进行加密后再发送给贸易甲方; 贸易甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易甲方只能用其专用密钥解密由
12、其公开密钥加密后的任何信息。2. 密钥管理技术(1)对称密钥管理对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥, 要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。 通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全, 同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的 EDI 交换) 生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息 ( 如 EDI 交换) 一
13、起发送给相应的贸易方。 由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。(2)公开密钥管理贸易伙伴间可以使用数字证书( 公开密钥证书 )来交换公开密钥。国际电信联盟(ITU) 制定的标准X.509( 即信息技术开放系统互连目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO) 与国际电工委员会(IEC) 联合发布的 ISO/IEC 9594-8:195 标准。数字证书通常
14、包含有唯一标识证书所有者 ( 即贸易方 ) 的名称、 唯一标识证书发布者的名称、 证书所有者的公开密钥、证书发布者的数字签名、 证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构 (CA),它是贸易各方都信赖的机构。 数字证书能够起到标识贸易方的作用,是目前 EC广泛采用的技术之一。(3)数字签名数字签名是公开密钥加密技术的另一类应用。它的主要方式是: 报文的发送方从报文文本中生成一个128 位的散列值 ( 或报文摘要 ) 。 发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原
15、始报文中计算出 128 位的散列值 ( 或报文摘要 ), 接着再用发送方的公开密钥来对报文附加的数字签名进行解密。 如果两个散列值相同, 那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。网上支付的防范措施对于消费者而言, 要保证网上交易的安全, 首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ 等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。其次,保证连接的安全。 进入网站时先确保网址的正确性。 在提交任何关于你自己的敏感信息或私人信息,尤其是你的
16、信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。浏览器和Web站点的服务器都要支持相关协议。第三,保护自己的隐私, 在设置密码时最好以数字和字母相结合, 不要使用容易破解的信息作为你的密码。花几分钟阅读一下电子商务公司的隐私保护条款, 这些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明。尽量少暴露你的私人信息, 填在线表格时要格外小心,不是必填的信息就不要主动提供。最后,不轻易运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些“帮我测试一下程序”之类的话。你一定要警惕了! 对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。除以上介绍的安全保护措施以外, 最好不要在公共场所使用网络银行, 比如网巴、公共图书馆等; 每次使用完网络银行后, 应该单击页面中相应的“退出登陆”按钮正确退出。参考文献:1 高维. 电子商务网上支付安全技术研究. 电脑知识与技 2008-04-08. 2 高志坚 . 网上支付安全关键在于客户端. 科技经济市场, 2008-10-15. 3. 王宁. 基于电子商务的物资采购管理J.化工管理 ,2008(2) 4. 卓婷婷 . 电子商务网上支付风险问题探析J.经济研究导刊 ,2008(1)