电子支付安全技术(精选12篇)
电子支付安全技术 第1篇
一、网上支付安全隐患
电子商务网上支付行为是买卖双方通过Internet的信息流动来实现商品交换的,双方都面临着信息安全的威胁。(1)卖方面临的信息安全威胁。例如,假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;黑客入侵并攻击服务器,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。(2)买方面临的信息安全威胁。如用户身份证明信息被拦截窃用,以致被要求付账或返还商品;域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露;发送的商务信息不完整或被篡改,用户无法收到商品;受虚假广告信息误导购买假冒伪劣商品或被骗钱财。
二、网上支付安全系统
1、网络支付安全协议。
目前有两种安全在线支付协议被广泛采用,即安全套接层 (Secure Sockets Layer, SSL) 协议和安全电子交易 (Secure Electronic Transaction SET) 协议。SSL以对称密码技术和公开密码技术相结合,提供了如下3种基本的安全服务:秘密性:SSL客户机和服务器之间通过密码算法和密匙的协商,建立起一个安全通道,以后在安全通道中传输的所有信息都经过了加密处理。完整性:SSL利用密码算法和散列 (HASH) 函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地。认证性:利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别对方的身份。。
2、在线支付系统的SSL加密技术。
采用基本的SSL协议,进行两端SSL加密,首先要购买并安装数字认证证书。然后向在线支付服务提供商获得支付网关的服务内容和服务范围,选定信用卡交易方式和交易处理系统。本文拟定向Veri Sign公司购买其数字认证证书,确定交易处理系统为ADC Direct Response。根据Authorize.Net所提供的服务,选定交易类型和交易处理系统后所要实现的在线支付系统的过程。整个在线支付的过程会牵涉到多方协作,其中包括供货方,也叫零售商 (Merchant) ,商业服务提供者MSP、客户,支付处理者 (Payment Processor) ,以及支付网关 (Authorize.Net) 之间的交互操作。见图1
在步骤1中客户登录零售商的电子商务站点或者登录提供商务服务的第三方电子商务服务平台,完成商品选购之后,向服务器提交其有效的信用卡信息,开始在线支付操作。电子商务系统服务器收到客户提交的信用卡信息后,向支付网关提交交易信息,这就是过程2所要完成的操作。在步骤3中,支付网关把交易信息提交给零售商提供的商业账户,而只有拥有商业账户,零售商才能允许在线信用卡的授权和支付交易。在步骤4中,Processor将信息传送给信用卡发行商而这个过程通常是要经过信用卡交易系统的中间环节。当信息传送给信用卡发行商后,信用卡发行商进行一系列的操作,如交易批准或交易拒绝,冻结资金,并把交易结果—授权代码通过信用卡交易系统送回给Processor,这就是步骤5所完成的过程。在步骤6中,Processor收到交易结果后,将结果转给支付网关。支付网关将结果存储下来之后,再反馈给零售商,完成步骤7。根据需要,零售商做出接受或拒绝交易的相应操作。至此,整个在线支付的过程全部完成。经过测试,一般整个过程不超过3-4秒。
3、支付功能与系统集成的实现。
分析了所要实现的在线支付系统全过程之后,需要在实现在线支付的功能页面中编写代码,根据特定规格定义接口参数,以完成在线支付系统和客户购物系统的无缝集成。(1)由于所采用的是ADC Direct Response方式,因此必须先建立服务器端和客户端的安全连接。(2)设计HTTP POST表单,安全地获得客户信息。(3)将客户填写的信用卡和地址信息提交给支付网关验证。这里需要根据支付网关规定读取的特定格式,定义输入输出接口参数。有了所需要的参数定义后,就需要添加代码,以提交信息。s t r i n g BURL="https://secure.authorize.net/gateway/transact.dll?x_Login=Name&x_PASSWORD=PSW&x_ADC_URL=False&x_A D C_D e l i m_D a t a=T r u e&x Amount=......&x_Address=Address"&......&xjnvoice Num=Invoice Number";
当支付网关反馈的结果是验证通过信息,客户就能顺利完成支付交易。
三、结束语
在线支付是电子商务的一个非常重要的过程,但它一出现,就像打开了潘多拉魔盒,引来了无数的问题。本文仅介绍了SSL协议支持下的安全在线支付模式,要想切实的保障电子商务的安全还有很多要研究的因素,希望通过不懈的努力可以使我们的电子商务发展的更加安全健康。
摘要:电子商务的一个重要组成部分是网上在线支付系统, 为了保证在线支付的安全, 需要采用数据加密和身份认证技术, 以便营造一种可信赖的电子交易环境。本文研究了基于SSL协议的网上支付安全技术。
关键词:电子商务,支付安全,SSL协议
参考文献
[1]、徐雪梅.浅谈保障电子商务活动中的信息安全[J].情报开发与经济, 2003 (5)
[2]、刘卫宁, 宋伟.电子商务中在线支付的安全保障[J].计算机应用, 199919 (7)
对电子支付安全的认识 第2篇
130403140孟然
参考文献卜庆锋电子商务与网络营销课程
1.1研究意义
全球经济发展正在进入信息经济时代,21世纪是个信息化的世界,信息交换在21世纪已经渐渐成为一种趋势,同时,有专家预测电子商务是未来25年内世界经济发展的一个重要推动力,其产生的作用甚至可以与200年以前工业革命对经济发展的促进作用相媲美。正像江泽民主席在APEC第六次领导人非正式会议上指出的那样:“电子商务代表着未来贸易方式发展的方向,其应用推广将给各成员带来更多的贸易机会。”与传统商务模式相比,电子商务将对人类社会生活产生重大影响,也必将对我国传统产业的改造和提升发挥积极的推进作用。随着电子商务的发展,在网上进行商品的交换越来越成为一种趋势,同时随之而来的是电子商务网上支付问题的以及安全问题的产生,研究这个课题有助于对电子商务以及安全问题有一个体系的了解,同时提高对网上支付的安全意识。
1.2研究背景
电子 商务作为一种新型网上在线贸易方式,使 企业 与消费者摆脱了传统的商业中介的束缚,但是电子商务交易中最为重要的环节一一网上支付,其安全问题依然是阻碍电子商务快速 发展 的瓶颈之一。首先给出现有的网上支付工具及其特点,然后对现阶段网上支付的安全问题进行了分析,最后提出了解决这些安全问题的若干对策。
电子商务的发展现状
中国电子商务研究中心数据显示,截止到2012年底,中国电子商务市场交易规模达7.85万亿人民币,同比增长30.83%。其中,B2B电子商务交易额达6.25万亿,同比增长27%。而2011年全年,中国电子商务市场交易额达6万亿人民币,同比增长33%,占GDP比重上升到13%;2012年,电子商务占GDP的比重已经高达15%。预计2013年我国电子商务规模将突破十万亿大关。
中国电子商务研究中心数据显示,截止到2012年底,中国网络零售市场(包括B2C和C2C)交易规模突破1万亿大关,达13205亿元,同比增长64.7%,占到社会消费品零售总额的6.3%。而2011年全年,网络零售市场交易额达8014亿人民币,同比增长55.98%,已占到了社会消费品零售总额的4.4%
网上支付系统的构成
基于互联网的电子交易支付系统由客户、商家、认证中心、支付网关、客户银行、商家银行和银行网络七个部分组成。
商家是指向客户提供商品或服务的单位或个人。在电子支付系统中,它必须能够根据客户发出的支付指令向金融机构请求结算,这一过程一般是由商家设置的一台专门的服务器来处理的。
一般是指利用电子交易手段与企业或商家进行电子交易活动的单位或个人。它们通过电子交易平台与商家交流信息,签订交易合同,用自己拥有的网络支付工具进行支付。1.4.3支付网关
支付网关是完成银行网络和因特网之间的通信、协议转换和进行数据加、解密,保护银行内部网络安全的一组服务器。它是互联网公用网络平台和银行内部的金融专用网络平台之间的安全接口,电子支付的信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统。不过2013年淘宝的支付体系里面可以实行快捷支付,没有通过银行网关,在一定程度上是增加了支付安全的风险。1.4.4认证中心
认证中心是交易各方都信任的公正的第三方中介机构,它主要负责为参与电子交易活动的各方发放和维护数字证书,以确认各方的真实身份,保证电子交易整个过程的安全稳定进行。目前比较大型和具有知名度的第三方认证中心是支付宝,财付通。1.4.5客户银行
客户银行是指为客户提供资金账户和网络支付工具的银行,在利用银行卡作为支付工具的网络支付体系中,客户银行又被称为发卡行。客户银行根据不同的政策和规定,保证支付工具的真实性,并保证对每一笔认证交易的付款。1.4.6商家银行
商家银行是为商家提供资金账户的银行,因为商家银行是依据商家提供的合法账单来工作的,所以又被称为收单行。客户向商家发送订单和支付指令,商家将收到的订单留下,将客户的支付指令提交给商家银行,然后商家银行向客户银行发出支付授权请求,并进行它们之间的清算工作。
网上支付安全问题
在网上进行交易是都很关心的问题,交易直接涉及到我们的银行卡或者其他支付方式里面的金额问题,必须在交易中保证交易双方的金额安全,那么造成网上交易安全的威胁来自哪些方面呢?或者说是有什么漏洞造成这些安全问题的发生
硬件方面
电子商务的基础是网络,没有网络,信息流就不会流通,当然谈不上电子商务,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。硬件安全问题虽然发生的概率不大,但是一旦发生,其影响巨大。
一旦发生将会给有关企业和个人造成巨大影响和严重经济损失 软件方面
交易网络的形成不仅需要计算机硬件设备,更需要相应的软件,各种软件是网络运行所必需,也是电子商务的另一个支撑点。由于技术方面或者人为方面的原因,各种软件都会存在不可避免的缺陷和漏洞,而且目前软件的多样性和复杂性,在使用中也会有突现各种问题,导致电子商务系统中存在技术误差和安全漏洞。比如,个别软件可能会因为自身的缺陷,在某些的情况下,可能造成系统运行故障。应用方面
第一点 企业管理水平低,人员素质不高
电子商务在最近几年飞速发展,专业的电子商务人才得不到及时充分的补充,缺乏足够的技术来处理所遇到的各种问题。许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索前进的阶段,综合管理的水平不高,处理事务的效率低下。这些因素都会导致电子商务带交易的安全隐患。第二点 消费者相关知识贫乏,安全意识不高
从总体上讲,电子商务这种新型的购物方式最近今年才的到普及,广大消费者对于他还比较陌生,缺乏相应的知识,还不能十分熟练的应用这一新的交易手段,有操作失误的导致等安全隐患存在。例如:有的消费者缺乏安全意识,不注意保护自己支付密码等关键重要信息,容易导致资金损失等;有的消费者对真假信息判断能力差,容易上当受骗;有的消费者对网络交易的流程不够了解,容易导致操作失误等。技术方面的对策 数据加密。
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。4.1.2数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方 的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。4.1.3安全协议
在国际上,比较有代表性的电子支付安全协议有SSL和SET。SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。4.2法制方面的对策
4.2.1 加强社会信用机制建设。
电子支付安全技术 第3篇
关键词:网络购物;电子商务;支付安全
通过对高中计算机网络信息技术基础课程的学习,让我们了解到网络信息的概念、特征、作用以及信息技术的应用,也让我们意识到在网络环境中保护个人信息安全的重要性。在互联网普及应用的今天,我们必须要对网络安全技术有一定的了解,积极做好预防措施,确保互联网个人信息的安全性与完整性。所谓购物即是利用金钱换取所需之物,而凡是涉及到金钱的交易必然会有不法之徒从中走“捷径”获取。当前越来越多的年轻人尤其是高中生、大学生热衷于网络购物,殊不知在网络购物过程中,很多黑客和不法分子都在借助于网络漏洞来盗取用户的个人信息和银行账户,因此我们必须认识到这一问题的严重性,主动树立防范意识,采取有效措施予以应对。
一、电子商务支付方式概述
计算机信息技术的日益发展让一种现代化的商务交易模式——电子商务应运而生。电子商务的核心在于其金钱支付方式是随着互联网信息技术在金融行业的应用而不断演变的,从而产生了基于网络环境的电子支付。而网络购物随之而来的支付安全问题也受到了更多人的重视。现阶段国内交易中一般来说有线下支付与网络支付两种方式,前一种主要是依靠电话、电报或者信件来传输信用卡与用户账户信息;后一种主要是借助于互联网直接输入帐号密码进行转账交易。相对来说,互联网线上支付更加能够突出电子商务的便捷性与实用性。在西方的一些发达国家,因为其个人信用体系相对完善,人们基本上足不出户就能够利用互联网来获取到自己日常生活所需要的商品与服务。
二、网络购物与电子商务支付安全技术防范措施
(一)网络购物与电子商务支付安全体系的构建
对于网络购物和电子商务支付过程中存在的安全问题,我们必须要努力确保互联网资金数据的安全性、确保网络交易双方身份的准确认定、确保网关支付系统运行的可靠性。基于此,我们有必要构建一套完善的网上支付安全体系[1]。
第一,对网络购物支付过程中所需要保护的资源予以准确定义,安全的互联网支付体系包含了交易方A、交易方B、金融机构、公证方以及政府部门构成,各个机构必须按照其性质以及在网络交易过程中的职能来定义所需保护的资源;第二,定义保护的风险,各类网络支付形式层出不穷,而它们往往都存在着应用风险。所以每一种网络支付安全措施都应当经过全面的安全分析,在选取风险与安全策略的代价中进行折中;第三,虽然到现阶段,网络购物和电子商务支付安全相关的政策法规还并不是非常健全,但正确认识与理解已经出台的相关法律是必须的,另外还应当时刻关注国家政府针对这方面的立法;第四,构建科学有效的网络购物与电子商务支付安全防范措施,确定一整套全面的安全防范体系。比如说针对用户进行的网络购物支付结算给予机密性、认证性防护;严格不可否认性要求(确认支付、同意合同),不可拒绝性要求一般(价格查询),访问控制性要求极其严格,在支付过程中做好外部针对支付结算信息文件的访问隔离等。
(二)网络购物支付安全保障措施
网络购物与电子商务安全体系的构建主要是为了更好的解决用户在互联网交易过程中的安全问题,那么支付安全的保障措施通常来说包含了以下几个方面:首先是从技术方面出发做好安全保障,网络购物与电子商务支付安全技术主要关系到构建第三方认证的CA认证体系、数字签名以及数字证书灯光,所需要的技术手段主要是加密技术、数字水印、图像识别技术、无线传输通讯技术等。例如数字信封技术,把需要传输的电子合同信息或者支付指令利用对称密钥加密技术进行加密,密钥在加密之前由发送方随机生成,利用这一对称密钥对传输信息加密,之后对接收方的公开密钥加密,准备定点加密发送到接收方。接收方收到之后用自己的私人密钥进行解密,打开后获得之前随机生成的对称密钥,最终才能获取所传输的信息内容;其次是管理方面的安全保证措施,互联网交易支付虽然是在网络中进行的,但始终会有人的参与,因此应当从制度层面给予一定的约束,确保人的活动的规范性;最后是法律方面的安全保障措施,法律法规是一种强制性的威慑手段,对于网络购物和电子商务支付过程中进行窃取用户资金、信息、资料等行为,将其视为严重的金融犯罪,并且用法律的形式做出严格规定,进而对不法分子起到约束作用,确保网络交易安全[2]。
三、结语
综上所述,网络购物是近年来新兴的购物模式,电子商务也是现代化的经营模式,其具有非常广阔的发展前景。现阶段国内很多电商企业都选择支付宝、微信等第三方支付平台,而这些支付平台中必然会存在网络漏洞。但我们有理由相信,随着我国个人信用体系的进一步完善和网络交易法律的健全,随着用户个人防范意识的提升,互联网交易支付安全问题必然会得以有效解决,网络也会给人们的工作和生活带来更多便利。
参考文献:
[1]牛天元.电子商务安全支付系统的研究[J].现代经济信息,2014(23):349.
[2]张颖江,吴进云.电子商务中的网上支付安全[J].商业文化,2014(30):34-38.
电子资金支付的安全需求及关键技术 第4篇
一电子资金支付的安全需求分析
Internet不受时空、地域的限制, 是一个开放性的互联网络, 电子资金支付基本上是暴露在所有人面前。要想保证电子资金支付的安全性, 首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。目前电子资金支付的安全需求主要有:
1. 电子资金支付机密性
电子资金支付机密性主要指非法用户不得访问未经授权的数据, 以免数据失密。主要分为数据存储机密性和数据网络传输的机密性。阻止非法者以非法手段窃取数据或者对传输数据进行窃听、侦听等, 防止机密数据被破译。
2. 电子资金支付完整性
电子资金支付完整性是指未经授权的用户不得对数据进行修改, 确保数据处于未受破坏的原始的完整状态。主要分为数据存储完整性和数据网络传输的完整性。不允许非法用户对支付信息进行篡改、删除或者插入;保证数据传输过程中支付信息的正确性。
3. 电子资金支付可靠性
电子资金支付可靠性是指电子资金支付系统能够有效鉴别用户身份的合法性与可靠性, 能够有效地保护私有密钥和口令, 识别伪造地址, 防范非法链接, 防止侵占或者使用合法用户的资源, 确保系统的无故障性和无差错性。
4. 电子资金支付可用性
电子资金支付可用性是指信息可被授权用户访问并且授权用户可根据需求使用。防止因病毒或者其他人为因素造成的拒绝对被授权用户服务的现象;防止非法用户通过非法手段滥用他人机器或盗用他人信息。电子资金支付的可用性与硬件的可用性、软件的可用性、人员的可用性、环境的可用性等方面密切相关。
5. 电子资金支付不可否认性
电子资金支付不可否认性也称为不可抵赖性, 是指电子资金支付系统应该保证支付信用和支付行为的不可否认性, 防止支付双方抵赖交易行为, 否认交易结果。
6. 电子资金支付有效性
电子资金支付有效性是指电子资金支付系统能够有效防止支付延迟和拒绝服务的情况。防止由于操作系统安全漏洞、计算机网络故障、硬件故障、操作失误、应用程序运行错误及计算机病毒等问题, 导致系统资源管理和使用的不合法, 中断服务等情况。
7. 计算机安全技术与安全管理人员相结合
电子资金支付需要根据实际情况, 在系统开发、网络建设等方面做相应的规范。未授权者如果不能通过物理入侵来获取所需数据时, 就会通过电子邮件、微信、聊天工具等其他途经来获取所需数据, 从而取得对主机的操作权限以进一步窃取资源。
8. 安全产品与集中管理相结合
电子资金支付是一个软硬件集成的有机整体, 仅依赖于某些安全产品, 不可能有效保护整体的系统安全, 还必须对其进行有效的安全管理, 需要把与安全相关的各方面和各层次的安全产品、分支机构、运营网络、客户等纳入到一个管理体系中, 才能有效地保障电子资金支付系统安全。
9. 提高应用软件的安全性
应用软件的评测过程中, 发现软件编写时质量控制不够严格或程序开发时对安全了解不到位等, 而导致的严重后果, 这些都需要进一步提高应用软件的安全性。
二解决电子资金支付安全需求的关键技术
1. 数据加密技术
电子资金支付机密性涉及的安全技术主要是数据加密技术。数据加密技术, 是使用数学原理对原始数据 (明文) 进行重组形成一组新的数据 (密文) , 然后再在网络上传输密文。合法的接收者在接收到密文后, 通过正确的密钥得到原始数据 (明文) 。非法接收者没有正确的密钥得到的就是无意义的文字。加密技术是由来已久的最基本的安全技术, 是实现电子资金支付机密性的一种重要的手段。
2. 杂凑函数
电子资金支付完整性涉及的安全技术主要有杂凑 (HASH) 函数。杂凑函数按是否有密钥控制分为两种:一种有密钥控制的为密码杂凑函数, 以h (k, M) 表示;另一种无密钥控制的为一般杂凑函数。一般杂凑函数无密钥控制, 非法用户很容易对其进行篡改、删除或者插入, 不能用于身份认证, 只能用于检测数据接收是否完整, 如MDC。
密码杂凑函数要满足各种安全性要求, 其杂凑值不仅与输入有关, 而且与密钥有关, 只有持有密钥的人才能计算出相应的杂凑值, 因而具有身份验证功能, 如MAC。
3. 数字凭证
电子资金支付可靠性涉及的安全技术主要有数字凭证。数字凭证又称为数字证书, 给授权用户身份提供可信赖的电子凭证, 给授权用户提供网络资源的使用权限。在电子资金支付交易中, 只要双方都出示了自己的数字凭证, 那么交易双方的身份就是真实的、可信赖的。
4. 数字签名
电子资金支付可靠性和不可否认性涉及的安全技术主要有数字签名。数字签名是将公钥算法和杂凑函数相结合, 用以鉴别原始报文。数字签名中包含A的私钥、B的公钥和B的私钥。A的私钥用以确认A的身份;B的公钥用以确保此签名只有B能够认证, 并且加密被签名的消息;B的私钥用以当B验证成功之后再用私钥解密。第三方假冒发送方发送了一个文件, 接收方在接收文件后对其进行解密, 解密使用的是发送方的公开密钥, 第三方获取的也是发送方的公开密钥。
5. 认证 (CA)
CA是为用户签发证书, 提供身份认证服务的第三方认证机构。在交易时由交易双方都信赖的第三方机构对买卖双方身份进行验证, 以确保交易双方身份的真实性、可靠性。
6. 安全协议
电子商务中常用的电子资金支付安全协议有SSL和SET。安全套接SSL协议, 向客户机与服务器提供了一条面向连接机制的安全通道。简单地说, SSL协议就是在互联网上为客户和商家之间建立了一个“秘密传输数据的通道”。“秘密通道”保证数据在通道中以机密性、完整性和认证性形式传输。SSL协议中只有商家对客户进行认证, 不需要客户对商家的认证, 存在客户被不良商家欺骗现象;交易时客户数据先传到商家, 商家阅读后再传到银行, 存在客户资料泄密现象。正是由于SSL协议的这些缺陷, 使其逐渐被新的SET协议所代替。
安全电子交易SET协议, 是专为解决信用卡、借记卡等卡在线支付安全性问题而制定的唯一具有实用性的标准。SET协议不但对客户信用卡进行认证, 还增加了SSL协议所不具备的商家身份认证。
7. 防火墙技术
网络安全是电子资金支付的安全基础, 网络安全最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制, 防止非法用户以不正当的手段通过外部网络入侵内部网络。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查, 然后来决定网络之间的通信是否被允许, 并监视网络运行状态。简单防火墙技术可以在路由器上实现, 而专用防火墙提供更加可靠的网络安全控制。
三结束语
电子商务将长期深远地影响全球的经济、政治和法律, 只有提高电子资金支付的安全系数, 才能更进一步促进电子商务的发展。
摘要:随着电子商务的发展, 在线电子资金支付已成为人们最主流的一种消费购买方式。本文主要阐述了电子资金支付的安全需求以及解决安全需求的关键技术。
关键词:电子商务,电子资金支付,安全需求
参考文献
[1]潘光辉.电子商务及其安全技术[J].商场现代化, 2007 (1)
[2]黄小虎、文斌、胡致杰.电子支付的安全性分析与策略[J].华南金融电脑, 2008 (4)
[3]张颖江、吴进云.电子商务中的网上支付安全性研究[J].现代商贸工业, 2009 (2)
电子支付安全法律问题研究论文 第5篇
关键词:电子支付;网上银行;网络交易安全
0引言
根据有关数据显示,前三季度,中国互联网支付市场(即线上交易)总规模达到了7255亿元。许多人实现了足不出户便能完成购物、交费等行为。但是,电子支付的迅猛发展也带来了许多安全隐患。因此,如何保障电子支付中的安全问题,成为商家、用户、政府乃至学者们重点关注的问题[1]。
1电子支付概述
电子商务支付安全问题研究 第6篇
关键词:市场经济 安全 支付 问题
中图分类号:F71 文献标识码:A 文章编号:1674-3520(2014)-02-00126-01
一.电子商务中的支付安全问题
随着社会的经济的发展,电子商务已经和人们的生活密不可分,淘宝,网购也成了人们生活中频率最高的名词之一。但随着电子商务的高速发展,一系列的问题也随之而来,其中最为重要的就是电子商务支付安全问题。
二、支付安全问题分析
(一)个人信息安全问题隐患
一是消费者个人信息安全得不到保障。消费者在网上消费的同时需要登记自己的个人信息,包括电话号码、身份证号、银行账号、通讯地址等等,这样就将消费者的个人保密信息暴露给网络这个开放的平台,导致一些不法分子盗取消费者信息,进行电话、网络等营销活动,骗取消费者信息进行欺骗、榨取等不法行为;二是消费者个人财产安全受到威胁。消费者进行网上交易,首先需要申请个人账户,开通网上银行,存入资金给第三方平台,但是电脑网络系统自己存在的安全隐患问题,导致不法分子利用木马等病毒侵入电脑系统,篡改、盗取消费者账号,使消费者个人财产受到损失。
(二)商家经营行为制度规则不完善
一是隐瞒真实情况,制造虚假广告。网上商店展示的商品往往是一些图片和文字。而许多网上经营者展示商品时,没有一定的展示标准,向消费者提供的大多是不完整的信息,使消费者不能全面判断商品质量,从而造成损失。网络广告作为消费者网上购物的主要依据,而消费者却又很难判别广告信息的真实性,许多经营者故意向消费者提供虚假的商品信息,欺骗消费者;二是网络欺诈。一些经营者以非法占有为目的,通过虚构未经工商登记的企业,编造虚假的企业信用信息和经营情况,以及获奖材料,宣称子虚乌有商品和服务信息,骗取消费者。从而使消费者在支付过程中,即使收到安全威胁,也在事后投诉无门。
(三)网络安全支付法制并不完善
我国目前的银行卡网上支付方式也存在着一些的缺陷。其中,最主要的问题就是各家银行甚至同一家银行的不同分行、不同的卡品种所提供的支付网关、服务标准、地域范围的不相同,使买家和商家利用银行卡网上支付开展电子商务活动造成了很大的混淆和障碍。目前国内主要的电子商务交易网站的银行基本都提供很多种网上支付的方式,每一家银行都有不同的方式进行支付的网关,有的银行还是通过第三方授权机构进行的综合性能的支付的网关,由于这些的支付方式过多,使得更多的交易者在选择交易时很迷茫并且引发了一些不必要的麻烦。同时,对于网站维护的工作人员来说也造成了一定的困扰。由于我国引进电子商务时间短,造成很多法律制度并没有对网络犯罪有一定的具体条例,是很多网络商家钻法律空子,给消费者带来了很多侵权事件。
三、解决方式分析
(一)设立网络市场安全屏障
市场主体的真实身份不明确,建议参照现行有形商品交易市场企业、个体户登记规则,取缔网络无照经营活动,对在因特网从事商品经营的市场主体必须持有营业执照。凡利用互联网从事经营活动的企业和个体工商户,必须申请和使用电子营业执照。电子执照就是网上的通行证,作为企业在互联网上的身份标识,为了方便企业的决策,维护市场经济秩序,及时提供各种行政管理信息服务,电子执照除了对于一些基本的营业执照内容的标记,还要记住相应的某些网站的地址、域名和可以对该网站的相关联的一些商品和有效期进行检查,对于网络商家经营的一些商品必须要把营业执照放在最显眼的地方,做到与在有形市场一样的亮照经营。通过实施对电子商务主体亮照经营制度,可以保证电子商务市场主体的真实性和可靠性,使电子商务活动中的交易环境得到净化。这样在消费者进行支付时,才会得到安全的网址支付,进而确保支付安全。
(二)加强电子支付安全保障
商业银行应对相关的网上银行进行一定的完善在运营方面,整理并规定除相关的网上银行的管理策略和方针,对企业的运营有一个正确的引导,对这些银行的建设有了一系列的相关的科学论证,这些相关的科学论证也是为了保证信息的可靠安全性,使得电子银行系统的设计得到最严密的设计,在系统运行方面得到安全稳定,使得我们的功能做到最好的完善。首先我们要确定银行应该有的一些相关的责任,因客户没有按照相关的协议进行相关的责任,虽然有些相关的金融机构可以不用承担相应的责任,但是法律法规也会对其进行相关的责任。
另外,对于电子银行业务的开办、增加和更改没有经过相关的金融机构的同意就进行审批的电子银行业务类型,造成客户损失的金融机构应承担全部责任;其次是电子银行需要建立相应的恢复系统或者备份,使电子银行在发生意外事故时对原有的资料有备份和建立很强的防御能力,因电子银行的安全技术的投入很少,需要增加对电子银行的投入。再次是应该对一些高效的安全产品和技术引进进来,客户在进行交易时的安全性有所提高。同时,要对一些黑客的攻击和病毒进行相关的防范,对于一些防毒软件和防火墙进行及时的升级,并维护电脑的系统定期的检查,这样就能提高电脑对于一些黑客攻击和病毒的防御能力,使电子银行的系统的安全性有了最基本的保障。
综上所述,突破电子商务应用中的支付“瓶颈”、改善支付环境是一个长期的、复杂的工程,不可能一蹴而就。总的来看,要解决电子商务应用过程中的支付难题就必须建立全面统一的现代化支付体系,更需要全社会共同的努力。
【参考文献】
《电子商务概论》 李琪主编 高等教育出版社2011年9月
《中国电子商务发展研究报告》 吕廷杰,徐华飞主编 北京邮电大学出版社 2012年
电子商务在线支付中的安全技术浅谈 第7篇
互联网在日常生活中的急速普及, 使得电子商务被更多的人所接受。在给消费者带来购物的乐趣和便利的同时, 网络的安全问题也越发的突出和重要, 为了能够确保在交易过程中的及时性和正确性, 在线支付起到至关重要的作用。本文从信息加密技术、认证技术、安全认证三个层面对支付中的安全问题展开讨论, 以寻求降低支付中所出现的安全, 确保网上购物者的切实利益。
电子商务中安全问题突出的是支付安全, 支付过程中的完整、保密、可用、可靠的四个特性能否被保证是当前最突出的问题, 而这一问题的核心在于对信息的截获, 篡改, 伪造这三个方面的解决程度如何。因此笔者认为以下几种技术可以保证信息的安全。
1、信息加密技术
加密是利用算法由发送方把明文转化为密文进行传送, 到接受方后再把密文转化为明文的一种技术。从上面的描述可以看到了加密技术所包括两个方面的其中的一个, 叫做算法而另一个方面叫做密钥。在对信息进行加密时, 一般会有两种, 一种是以DES (Data Encryption Standard) 算法为代表的对称加密, 另一种是以RSA (Rivest Shamir Ad1eman) 算法为代表的非对称加密。
1.1 对称加密技术
传输的信息进行保护的时候对信息的加密和解密使用的是相同的一个密钥, 这种就是对称加密。这种加密技术直观的解决了信息的安全问题, 但是在实际的应用中会出现一些新的需要急需解决的问题, 一方面是在首次交互过程中密码的传播方式, 另一方面是密钥的管理难度是随着用户数量的增加而增加的。
1.2 非对称加密技术
为了解决对称加密技术中所涉及的两个问题, 提出了另外的一种加密技术, 这种加密技术它需要有一个公钥和一个私钥, 并且需要保证这两个密钥成对出现, 例如在对信息加密的过程中如果使用公钥对信息进行加密的话, 那么就需要使用私钥进行解密;相反的如果使用私钥对信息进行加密的话, 那就需要使用公钥对信息进行解密。
2、认证技术
2.1 数字证书
在Internet和Intranet中, 为了让通信双方能够安全的进行信息传递, 可以使用数字证书识别身份并对信息进行加密处理。在数字证书中的密钥可以对公钥和私钥所有者的信息识别, 并通过验证识别信息的真伪来实现对证书持有者的身份的认证。一般认为数字证书是在用户公钥后加入了用户信息和CA的签名。公钥是对外公布的, 没有限制, 谁都可以知道, 而私钥只有用户自己知道。由公钥加密的信息只能由与之相对应的私钥解密。
2.2 数字签名
使用数字签名的目的是为了保证交易信息的完整, 身份的正确和交易中抵赖行为的发生。
首先将摘要信息用发送者的私钥加密, 并将加密好的信息与原文一起发送给接收者, 其次接收者用发送的公钥来解密被加密的摘要信息, 然后用HASH函数对收到的原文产生一个摘要信息, 与解密的摘要信息对比。若相同, 则说明收到的信息是正确的, 否则说明信息被篡改过, 因此从这方面可以断定数字签名能够保证信息的完整性。
3、安全协议机制
3.1 应用层安全协议———SET
SET (Secure Electronic Transaction) 安全电子交易, 为了确保信用卡网上支付的安全, 由VISA和Master Card两大信用卡组织联合开发的电子支付协议。在此协议中使用了X.509数字证书和对称及非对称相结合的加密方式。在进行信息传递时, 先使用对称加密中的DES算法进行加密, 然后再使用非对称加密中的RSA算法对对称密钥进行加密传输。并利用数字签名技术对STE系统中的实体进行身份验证。如在网上进行购物时, 商家对客户的订单进行信息确认, 确保无误后, 银行对客户的支付信息进行验证, 确认后执行相应的支付。
3.2 安全套接层协议———SSL
安全套接层SSL (Secure Socket Layer) 是为了确保通信双方信息传递安全的协议。通过使用公开密钥和对称密钥技术来确保信息安全, 其指定了一种在应用程序协议 (如HTTP、Telenet、NMTP和FTP等) 和TCP IP协议之间提供数据安全性分层的机制, 它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
3.3 3-D Secure
3-D Secure (Three-Domain Secure) 是Visa公司开发的一种既能保证网上交易的安全, 又易于实施推广的安全协议, 它主要采用SSL加密技术和商家服务器插件MPI (Merchant Server Plug-in) 技术来实现。在3D系统中进行交易时, 一个认证中心会对购买者的身份进行查询和验证, 并且在整个过程中用户信息的传递都是有安全保护的。
3D的这些功能是通过三方域模型 (Three-Domain Model) 即:发卡域 (Issuer Domain) 、收单域 (Acquirer Domain) 、协作域 (Interoperability Domain) 实现的。这三个域在支付交易过程中分别各司其职, 同时又相互协作, 共同确保网上支付的安全性。[1]
4、总结
本文从技术层面对电子商务支付中的安全问题进行了初步的分析, 发现其发展必将和更多的产业和技术进行结合, 并将导致增加支付中的风险等级, 但是不可否认随着国内环境的日益完善, 信用体制的加强, 支付安全问题将会得到更好的解决, 网上购物会更加的方便, 快捷, 安全。
摘要:电子商务在线支付是电子商务业务中的一个重要环节, 其特点体现在快捷、方便、可靠的支付方式, 如何保证支付的方便、可靠与安全是保证其根本所在, 为此本文从信息加密技术、认证技术、安全协议机制三个方面进行介绍。
关键词:电子商务,在线支付,安全
参考文献
电子支付安全技术 第8篇
电子支付系统 (Electronic payment system) 是电子商务的重要组成部门, 也是金融热点之一, 它是从事电子支付交易的消费者, 通过信息网络, 使用安全的信息传输手段, 采用数字化方式进行的货币支付。近年来, 网络技术及其应用迅猛发展, 传统的交易方式已从市场转变到网上, 交易双方无须面对面进行货物交易及资金结算, 电子支付系统通过网络进行货币支付已融入我们的生活, 同时也改变着人们的消费观念。
电子支付系统具有无纸化交易、服务方便、快捷、高效、可靠、经营成本低廉、简单易用的优势, 基于这样的优势, 在人们日常生活中, 因工作繁忙、地域位置、时间问题等因素, 用现金交易存在诸多不便, 于是电子支付就成为首选方式。
1 电子支付系统发展现状
电子支付是指通过互联网完成支付的行为和过程, 交易双方在网上实现交易资金的转移。整个过程是借助网络, 基于网上银行的平台进行。从国内金融服务发展历程来看, 国内网上银行是伴随着网络的兴起而发展起来的, 起步较晚。从目前国内电子支付方式来看, 主要包括线下支付和网上支付。线下支付是传统的方式, 主要包括货到付款以及通过邮局、银行汇款。这类支付方式安全, 但付款周期长、手续繁琐等问题, 这些问题一直无法适应电子商务发展需要, 一定程度上反而消弱了电子支付的优势。网上支付即在线支付, 买卖方在互联网上直接完成支付过程, 这样的方式快捷、方便, 但存在安全性问题。
近年来, 随着网络的兴起, 网上购物已成为一种时尚的象征, 特别受到广大青少年消费者的青睐。据2013年《中国互联网使用现状调查统计》结果显示, 在网上购物的付款方式选择上, 采用网上支付的占58.3%, 货到付款的占22.6%, 到邮局或银行汇款的占12.6%, 其他方式的占1.3%, 因此可知, 网上支付已成为最主要的网上购物付款方式, 成为影响电子商务行业发的关键因素之一。
国内电子支付作为电子商务核心的环节正在加速电子化, 目前主要有网上支付、移动支付、电话支付等, 我国正处于信用卡传统支付方式的推进以及银行卡互联网支付系统推进并行发展的阶段。虚拟帐户方案已经在各类电子服务公司中得到广泛的应用, 现在用得最多的电子支付系统是网上银行支付和网上购物支付, 官方网上银行安全性较好, 漏洞少, 黑客入侵的几率较小。而网上购物的付款形式多种多样, 安全性较差。
2 电子支付系统的安全问题
我们要用两面性的思想来看待事物, 任何一种技术的普及使用, 它改变了我们生活和工作, 但同时也必然有它的不足之处。电子支付系统在我们生活和工作中广泛应用, 给我们带来了很多方便, 但我们也要思考计算机安全技术的几个问题:
2.1 窃取信息
我们在网上使用支付系统时, 因为涉及个人账户和密码, 很多不法分子利用系统漏洞, 经过网关或路由器传送的信息可以入侵用户个人信息, 从而导致信息和密码泄露。这是网络黑客利用网上加密技术漏洞或者加密过于简单, 采取的一种入侵手段。
2.2 更改信息
在路由器或者网关上更改信息。特别是在网上银行转账时更改对方转账的用户名, 篡改密码, 从而将客户网上资金转走。
2.3 假冒、恶意破坏
网络黑客在网上将获取客户信息, 然后冒充合法用户发送假冒的信息。网络攻击者可以接入网络后对网络中的信息进行修改, 掌握网上的机要信息, 甚至潜入网络内部, 破坏系统。
3 计算机安全技术在电子支付系统中的防范措施
3.1 加强技术对策, 完善政策法规
数据加密是电子支付最基本的安全保障形式, 通过一定的加密算法, 利用加密技术来对信息进行加密。完善的法律法规是业务发展的基石, 对于业务发展具有重要的规范、引导和保障作用。针对电子支付的发展现状和趋势, 应尽快制定和完善相关的法规制度, 既要及时规范各类新型义务, 又要为市场创新预留空间。
3.2 加强社会信用管理, 完善机制建设
银行卡作为新型电子支付工具, 它被广泛接受和应用的前提是具有良好的受理环境。但长期以来, 银行卡产业一直倾向于发卡业务, 为了完成银行工作人员的业绩, 大规模的推行发卡量, 造成很多卡流入市场, 而非本人使用, 这就使得非法人员利用信用卡套用现金的现象。
3.3 加强风险管理体制
系统管理与支付方式的安全性一直是电子支付发展的重要因素, 也是影响电子支付能否为社会公众接受的重要因素。近年来, 银行卡欺诈风险逐年增加。全球银行卡欺诈交易额占总交易额1.5%, 伪卡欺诈损失占所有银行卡欺诈损失的68.9%。同时, 美国、日本、韩国等国家连续发生持卡人信息泄露事件, 对社会公众的信息安全造成一定的影响, 威胁电子支付方式的安全。迅速发展中的中国银行卡、网上支付、移动支付等电子支付形式也相继出现了大量的风险事件, 以短信、电子邮件等方式窃取用户资料进行银行卡欺诈屡见不鲜。因此, 借鉴国外电子支付的安全管理的经验和教训, 加强风险管理制度和技术手段建设, 建立跨国跨区域性的风险管理的协调机制, 已是迫在眉睫。
3.4 加强市场、网上银行和第三方支付机构的监管体制
科学、高效的监督管理是防范系统性风险, 促进电子支付健康发展的重要外部条件。政府一方面要对现行业务加以监管, 另一方面则需为该行业的业务创新创造条件, 不能因加强监管而制约业务模式的创新。
3.5 加强电子支付网络安全专业人才的培养。在培养过程中以国际化标准严格要求, 掌握最先进的防御手段和技术
电子支付系统的安全问题, 是一个牵涉领域极广的应用问题, 它的发展所要求开放的支付环境, 需要金融和通信、互联网等产业之间的融合, 而这又导致了电子支付中的风险相互传递, 这就使得电子支付需要面对的安全问题进一步复杂化, 但国家、企业、和消费者通过各项政策的实施和共同努力, 相信未来的网上交易会越来越安全。
摘要:随着Internet的飞速发展, 互联网电子支付系统伴随着网络的兴起, 已经广泛应用于人们的生活和工作中。快速、方便、简捷, 已成为电子支付系统最显著的特点, 基于这样的背景, 计算机安全技术问题也随之逐渐暴露, 给人们生活带来了负面影响。本文针对这个问题, 探析计算机安全技术在电子支付系统中的现状、安全问题及防范措施。
关键词:计算机,安全技术,电子支付
参考文献
[1]宋宏艳.浅析电力信息网络安全防范措施.科技创新与应用, 2014年第17期
[2]邹迪, 潘达.计算机网络安全问题及其防范措施.电子世界, 2014年第6期
电子商务中电子支付安全探究 第9篇
据《中国电子支付发展的现状与问题》报告显示, 在网上购物的付款方式选择中, 采取卡类电子支付用户占41.5%, 电子支付已成为最主要的网上购物付款方式。在选择电子支付考虑的诸多因素中, 64.5%的用户首选安全。可见电子支付安全成为电子商务支付体系的最大威胁, 如何防范身份欺诈、信息丢失篡改、交易抵赖、破坏系统等不法行为, 是电子商务电子支付安全技术急需解决的问题。
1 电子支付安全威胁分析
1.1 身份欺诈
电子支付过程中涉及到的各方身份信息均需要验证, 攻击者可能假冒支付中某一方的身份, 从而盗取被假冒一方的信誉或财产等。例如一个攻击者可能假冒某个合法用户生成虚拟订单, 利用合法用户比如支付宝账号中的电子货币付款并收到货物。
1.2 支付数据的篡改
由于因特网的开放性, 支付的数据信息在互联网上传送时, 就极有可能被篡改、破解或者伪造。如攻击者可以修改支付账号或密码、修改支付金额、修改收款人账号等, 给被攻击人带来损失。这是人们对电子支付安全的主要担心。
1.3 后台系统受攻击
电子商务的参与各方正常运行必然依托于支撑其的网络平台、支付网关以及电子支付专有应用软件的可靠畅通无阻的运行。而这些网络平台、专有软件很容易受到网络病毒和黑客的攻击。例如, 黑客破坏系统中的硬件、硬盘、线路、文件系统或是假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单等。
2 电子支付的安全需求
根据上述安全威胁结合目前网络技术发展的局限性, 电子支付的安全需求主要有以下五个方面:
2.1 身份认证
在电子支付的过程中, 首先需要在交易之前, 确定交易各方的身份, 要求参与支付的各方提供可靠性标识, 交易各方的身份不能被假冒或伪装。例如要保证支付过程中支付人的身份是真实的, 同时支付人也要认证支付平台的真实性。
2.2 信息的机密性
信息机密性是指在电子支付的过程中必须保证敏感信息不会泄密。比如客户个人信息、银行账号信息、支付密码等。网络支付工具必须保证支付信息在输入、传输、输出和存储等过程中对其进行加密, 这样即使别人截获或窃取了数据, 也无法识别信息的真实内容。
2.3 信息的完整性
信息的完整性是指信息在存储或传输时不被人为故意修改、破坏或者在数据传输过程中出现信息丢失、信息重复等差错。
2.4 信息的抗抵赖性
在电子交易中, 支付行为和其他业务环节都是不可抵赖的。如交易一旦达成, 发送方不能否认已发送的信息, 接受方不能否认已收到的信息。当网络支付双方出现纠纷, 能依照数字时间戳等技术行为, 明确支付双方的具体责任, 解决纠纷。
2.5 信息的有效性
信息的有效性是指要保证信息在确定的时刻、确定的地点是有效的, 应能对网络故障、硬件故障、错误操作、应用程序错误及计算机病毒所产生的潜在威胁加以控制和预防。
3 实现电子支付安全的技术措施
3.1 保障后台系统的安全技术措施
目前, 大多数的网络购物支付方式采用网上银行和第三方支付的电子支付方式, 这些交易服务器都是互联网的公开站点, 很容易受到各种攻击。一般可以采取以下两方面的技术措施保障服务器安全。第一, 设立防火墙。防火墙是一种将内部网互联网分开的最为有效的方法。它是实现网络和信息安全的基础设施。防火墙通常是一组硬件设备和专用的安全软件的组合, 通过强制执行一些安全策略, 检测、限制、更改跨越内网和外网间通讯数据, 对未授权用户或不信任站点屏蔽, 从而阻止保密信息资源被非法存取和访问, 保护系统安全。第二, 入侵检测技术。入侵检测系统最常见的是软件与硬件的组合, 它通过收集分析安全日志或审计数据等, 从中发现系统中是否有违反安全策略的行为和遭到黑客袭击的迹象, 如发现攻击迹象入侵检测系统能及时切断网络、记录事件并向管理人员报警。例如通过收集用户每次登录时IP地址, 当用户某次登录IP地址显示异常时, 可以在用户下次登录时立即提醒或是与用户电话核实。
3.2 用户身份认证的安全技术措施
确定交易各方的合法身份是电子支付中最为基础和重要的一环。目前, 电子支付中主要采用PKI/CA体系来完成用户身份认证和信息的安全处理。公钥基础结构 (PKI) 是指用公钥技术和数字证书来实施和提供安全服务的具有普适性的安全基础设施。它是由数字证书、数字证书的颁发机构以及通过公钥加密方法验证电子交易中各方合法性的其他注册颁发机构共同构成的系统。数字证书采用公开密码密钥体系的一种电子手段, 可以用来证明数字证书拥有者的真实身份和对特定网络资源的访问权限。数字证书是由CA认证中心颁发的。CA是一个具有权威性和公正性的第三方机构, 专门负责发放、认证并管理所有参与网上交易的实体 (如消费者、商户、银行) 所需的数字证书。CA中心通过为每一个使用公钥的用户发放数字证书, 以证明公共密钥和使用者身份的真实性。并且由于应用数字签名技术使得攻击者不能任意伪造和篡改证书。因此利用PKI/CA体系可以确保电子交易安全有效地进行, 保证信息发送双方真实身份以及对自己行为的不可抵赖, 保证传输过程中信息不被窃听或篡改。
3.3 电子支付的安全协议
电子支付的安全性需要依靠安全协议的保驾护航。目前, 通用的安全协议有SSL安全协议和SET安全协议两种。
SSL协议位于TCP/IP协议与各种应用层协议之间, 主要用于浏览器与服务器之间的身份认证和加密数据传输。SSL安全协议主要提供三方面的服务:
(1) 用户和服务器的合法性认证。
(2) 确保SSL链路上的数据加密并隐藏传输。
(3) 维护SSL链路上数据的完整性。
SSL安全协议是国际上最早应用于电子商务的一种网络安全协议。SSL协议设置和操作都简单易行, 用户、银行和商家都无须对现有系统进行大规模改造, 成本低, 速度快。但是其缺点也很明显:SSL协议运行的基础是商家对消费者信息保密的承诺, 这就导致客户资料安全性无法保证。另外, SSL协议不对应用层的消息进行数字签名, 因此不能提供交易的不可抵赖性。
SET安全协议采用公钥密码体制和X.509数字证书标准, 主要应用于保障开放网络上使用信用卡进行在线购物的安全。SET安全协议要达到的目标主要有五个:
(1) 防止数据被非法用户窃取, 保证信息在互联网上安全传输。
(2) 双签名技术保证参与电子商务的各方信息的相互隔离。例如虽然客户的资料经过加密打包后是通过商家传给银行的, 但是商家却不能直接看到客户资料。
(3) 实现银行、商家和顾客间的多方认证。
(4) 保证网上交易及支付过程的实时性。
(5) 规范协议和消息格式, 提供一个开放式的标准, 促使不同厂家开发的软件具有兼容性和互操作功能, 可以运行在不同系统平台上。
SET安全协议可以很好的满足电子支付中所有的安全需求。它利用公钥体系, 对顾客、商家, 支付结算中心都进行认证, 并且对他们之间所有的通信均采用加密算法加密。目前, 它已成为公认的信用卡网上交易的国际标准。但是SET协议非常复杂、庞大。支付结算中心、商家和顾客在交易过程除了必须申请数字证书之外, 还必须在计算机上安装符合SET规范的电子钱包软件, 设置成本较高;此外, SET协议需要顾客, 商家和支付结算中心之间进行多次加密传输过程, 因此支付过程缓慢。尽管如此, 随着电子商务规模的扩大, 对网上交易的安全性需求的不断增强, 在未来SET协议在我国电子商务市场中占有率将大幅提高。
摘要:近年来, 电子商务在我国取得了长足发展, 但是不容忽视的是电子支付安全成为制约我国电子商务迅猛发展的重要因素。本文就威胁电子支付安全的因素进行了分析, 并针对此从技术层面提出了相应的安全措施。
关键词:电子支付,支付安全,安全技术
参考文献
[1]李源彬, 穆炯, 杨洋等.电子商务概论 (第二版) [M].人民邮电出版社.2007.
[2]劳帼龄.电子商务安全与管理[M].高等教育出版社.2003.
电子支付安全问题的思考 第10篇
一、“网络钓鱼”的诈骗手段
1. 木马病毒窃取账户信息。
将木马病毒植入持卡人电脑, 窃取账户信息, 进而盗取银行卡存款。2009年6月, 中国湖南警方也破获了一起中国迄今为止最大的个人网银诈骗案。长沙人李强 (化名) 利用电子支付的网络安全漏洞, 高科技手段, 先后窃取市民银行资金40余万元。2007年12月, 李强租用了一台网络服务器, 并将“网银大盗”和“灰鸽子”程序下载到服务器上, 用于接收信息、储存资料和远程控制他人电脑。感染“网银大盗”的电脑运行后, 会自动截屏将市民的密码发送到他的服务器上, 他再一一将其整理好, 逐一盗取。在收缴的证据中, 记者看到李强保存在U盘里的账户资料, 有300多条个人信息, 身份证号、账号、密码、手机号、余额等信息一应俱全。
2. 模仿伪造网站。
在“网络钓鱼”这一诈骗形式中, 犯罪分子往往模仿伪造一些著名的购物网站为“诱饵”。有些钓鱼网站在用户支付时用一个价格更低的链接吸引用户, 点击进去支付时会看到一个和正常支付页面完全一样的网页, 一旦输入个人信息就会被黑客盗取。这些仿制的网页页面上完全一样, 就是域名多一个字母或一个符号, 而往往用户不会注意到这些细节。
3. 将用户存款转入第三方。
有的钓鱼行为将用户存款转入其在第三方支付工具下的帐户并提走。在“网络钓鱼”犯罪中, 消费者与第三方支付平台成为了犯罪分子诈骗行为的共同受害者。无论是虚假网上银行地址的一时泛滥, 还是木马程序的横行作乱, 都表明人们在使用新金融支付体系时面临的安全问题正日益严峻。欺诈风险对整个电子支付产业最大的破坏不仅是金钱上的损失, 而是对整个支付产业的信任与信誉的动摇和打击。如今的消费者并不仅仅担心欺诈事件, 他们还担心有人会非法使用他们的个人信息。这些担心是真实存在的, 也会很大程度上影响消费者的行为甚至是一个国家的金融秩序。
二、电子支付的安全手段
1. 加密密钥。
对于消费者来说, 仅仅是动动鼠标, 在键盘上输入几个数字, 就完成了一笔电子支付。无论您使用哪家银行的网银, 或者使用支付宝这样的第三方电子支付平台提供的服务, 在支付宝交易数据的传输中, 信息都受到加密密钥长度达128位的高强度加密, 而且每次会话所使用的加密密钥都是随机产生的。这样, 攻击者就不可能从网络上的数据流中得到任何有用的信息。
2. 图形验证。
有一些恶意程序是通过不断试算登录密码的方法来猜测网银用户的账户和密码, 所以现在在所有银行的交易页面, 您都可以看到一张图片, 要求您输入图片上的数字和字母, 这就是图形验证码, 图形验证码通过只能由肉眼识别的异形图文对登录进行再次验证, 有效防止非法程序读取信息。
3. 数字签名。
由于互联网是一个开放的网络, 客户在网上传输的敏感信息 (如密码、交易指令等) 在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生, 网上银行系统一般都采用加密传输交易信息的措施, 采用协议的方式来实现重要信息在Internet上的传输安全控制, 是网络银行安全策略中重要的一环。
三、保障电子支付安全的手段
国内个人支付业务发展潜力巨大, 保障电子支付安全是市场发展的迫切需要。
1. 发展电子支付安全技术
对于电子支付监管和运营部门, 降低新金融风险的第一点是要建设在线安全的支付平台。如何实现安全的在线清算, 如何完成运行过程中的业务监督, 作为对这种信息安全风险的控制是非常重要的。同时, 在我们国家, 并不是单纯建一个在线安全支付平台就完成了所有的任务, 对于监管方, 还要做好这个平台建设以后的信息安全的风险评估。所以, 对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要。在这个运行过程中如何采用一种安全的认证, 一种安全的签名, 一种抗抵赖的机制, 一种强审计的保证, 以及传输过程、防泄露和加密是金融安全认证机构的头等大事。
2. 从法规和政策上予以扶持
对于中国这样一个庞大的用户市场, 电子支付已经深入到我们生活的各个方面, 由于涉及到金融体系, 涉及到资金安全, 这一行业还需要国家从法规和政策方面予以认可和规范。目前我们在这方面还处在政策法规缺失、安全保护制度不健全的状态。这也是电子支付能否健康发展的最大挑战。
3. 加强行业监管
由于缺乏必要的法律约束, 一些第三方支付企业利用沉淀资金进行投资获取利益。一旦投资出现巨额亏损, 势必损害社会公众的利益, 影响社会稳定。应加强电子商务行业的监管, 规范市场主体行为。首先需要加强对网络银行的监管。网上银行不同于传统银行, 应该制定新的准入条件, 加强对客户开户的监管, 落实责任审查客户资料等信息, 明确网上银行业务终止条件、清算办法等, 制定电子货币退出机制, 规范电子货币市场;其次银行由于与第三方支付行业紧密相连, 两者除共同加强自身的审核和监管外, 需要加强信息互通, 并联合升级支付。
4. 消费要提高安全意识
消费者应加强电子支付安全意识, 学习相关的电子商务知识, 不给犯罪分子可乘之机。消费者在电子商务网站交易过程中, 应该加强对个人信息的保护, 包括个人联系方式、身份证号码、银行卡信息等, 尤其在进行网络支付操作时, 一定要确认在线支付网站的真实性, 不要通过不熟悉的网页进行在线支付。
参考文献
[1]李顺东:适用于数字对象的保密比较协议[J].陕西师范大学学报 (自然科学版) , 2010, (01) :1-4
[2]王海欣白国强陈弘毅:高性能网络安全处理器的设计[J].清华大学学报 (自然科学版) , 2010, (01) :13-17
电子支付中的安全性问题探讨 第11篇
关键词:电子支付 快捷支付 安全支付电子商务 网购
在刚刚过去的2014年11月11日,我国网络零售额再创历史新高。初步数据显示,阿里巴巴当天的网络销售额达到571亿元[A]。有关数据显示,2013年内地网络零售市场交易规模突破1.88万亿元,同时占到社会消费品零售总额8.04%[B]。因便利性和广泛的可选择性,网上购物已经是大多数人,特别是青年人生活中不可或缺的一部分,也成为推动我国经济发展的一大动力。
然而,由于网购市场的爆破式发展,从中暴露出来的问题容易被耀眼的数字所掩盖,我们应该引起足够的重视,其中就包括了网上支付安全问题。只要在百度里输入“支付宝被盗”,我们就会搜索到众多的案例。这些案例基本可以归结为如下几类:
1、网络欺诈
由于网上购物的时尚性,引导了众多的没有经验和网络安全意识的人群去尝鲜。这类人群无从知道哪里会有安全问题,容易受犯罪分子的引导,从而造成财产的损失。比如当下流行的二维码支付,给我们带来方便的同时,因其包含内容的隐蔽性,极易变成犯罪分子的钓鱼工具。由于受犯罪分子诱导,扫描带木马的二维码而造成财产损失的新闻可以在网上搜到很多,而且具有很长网上支付经验的人也会受骗。
2、支付终端设备问题
支付终端主要有桌面电脑和智能手机。在网络支付中,最大的隐患莫过于你的支付终端有木马病毒,或者你的终端被远程控制。如此一来,你在终端上做的任何操作都会被记录,比如你的支付宝或者银行卡的帐号和密码。现在的木马程序具有很强的隐蔽性和潜伏性,即使你做了非常周到的防护,比如在你的电脑上安装了认证文件,他却可以通过远程控制直接操控你的电脑来完成他想要做的事情。现在的终端隐患有着从电脑端转向智能手机端的趋势,因为一方面电脑端的安全防护工具已经相当完善,留给犯罪分子实施犯罪的空间不大了,而在智能手机端,现在来说还算新鲜事物,开发者当前只注重了手机的应用开发,安全体系构建仍然不够完备,安全工具仍然不足;另一方面,因智能手机端的支付便利性,用户也在从电脑端向手机端转移,比如2014年双11购物节中,阿里巴巴的571亿销售额中有42.6%是在手机端完成的,手机端的安全问题只会越来越多。
3、个人信息泄漏问题
当前通过相关的新闻资料总结看,信息泄漏造成支付安全隐患,主要存在两个方面。
3.1、个人的各种帐号和密码高度一致,容易造成信息泄漏。如今在生活和工作中用到的帐号和密码越来越多,银行卡、网络购物、电子邮箱、网站注册等等,很多人为了方便记忆,在多个地方都用同一个账号和密码,只要有一个网站的个人信息被泄露,用户在其他地方的财产就会受到威胁。这样的案例也不少。
3.2、当前社会存在获取公民个人信息的非法市场,而一些支付工具是与个人信息绑定的。现在的支付工具都声称是非常安全的,但他们都有一个前提条件,就是在该平台之外的其他环节也是安全的情况下。比如曾经多次出现过这样的案例,就是犯罪分子获取他人的身份证号和手机号之后,伪造身份证件到营业厅更换他人的手机SIM卡,实施入侵他人支付账户,盗取钱财。
4、支付工具存在隐患
如果说以上三个方面,都与用户自身问题有关,而与支付工具本身无关的话,则有欠公允。为了维护用户体验,支付公司在支付便利和安全两者之间往往会选择前者,而把出现的问题都推到公司之外的环节上。现在支付工具上暴露的问题主要有以下几方面:
4.1、身份验证严重依赖手机短信。账户密码丢失一般都可以通过绑定的手机发送校验码来找回密码,而没有考虑手机丢失,或者手机短信被黑客软件劫持的问题。而有的会多验证一些个人信息,比如支付宝在找回支付密码时会验证身份证号,安全性虽有加强,但仍然不够,因为众多个人信息可以通过其他途径得到。
4.2、快捷支付虽方便,但更危险。现在众多支付网站都有快捷支付的能力,即不经银行的网银,可以直接将用户的银行卡直接挂接到网站的用户账户中。创建快捷支付之后,用户网上消费只需输入支付网站的支付密码即可,而不需要银行卡的密码。而创建快捷支付只需要三个条件,即申请银行卡的身份证号,银行卡号,和绑定在银行卡上的手机,而不需要用户到银行的营业厅去面签。而我们知道拥有这三个条件,并不代表只有银行卡的所有者可以做到。在当今电子支付的时代,几乎所有银行都开通了快捷支付功能,因为谁也不想失去客户。本来快捷支付刚刚出现时,银行为了安全,支付限额设的非常低,然而,在支付公司的要求下,好多银行现在把限额设的都很高,甚至没有限额。所有的银行都会告诉你如果因快捷支付账户内的钱被盗,与他们无关。这就造成了有的人的银行卡会被开通快捷支付,而自己一无所知,也就出现了,银行卡一直在身边,卡里的钱却被盗了。以前银行卡号是可以公开的,但自从有了快捷支付,银行卡号是需要保密的。
电子支付安全问题与分析 第12篇
1 与电子支付安全有关的技术的认识
在电子商务以及电子支付过程中经常会遇到网络的安全检测问题以及浏览器的安全问题与支持电子支付的网络软件等等一系列的安全问题。当然, 针对这些问题, 已经有专业人士对此做出了一定的解决办法, 诸如安装防火墙以及对数据进行加密, 或者是对一些网页的访问进行人员限制等等。这些措施在一定程度上能够减少电子支付安全带来的损失。不过, 人们也许会听说过一些关于电子支付的安全措施, 但是对于它们的运作机理以及更深层次的了解还有很多的欠缺。在文章后面的内容中就会对与之相关的安全措施进行详尽的论述。
2 加密技术
2.1 数据加密的位置位置
在所有的安全问题中, 数据加密技术可以说是最为基础的技术, 它保障电子支付的安全就是通过对给网络中正在传输的信息加上一层“保护膜”, 也就是进行数据的加密来实现的。它的这种保护措施是并非是被动的, 而是通过人们的操作来实现的, 这种保护的技术经济、实惠, 只要做很少的工作就可以给支付信息提供安全的支付环境。这种数据加密的技术是由不同的数据加密位置的, 一般情况下大概有三种位置, 分别是链路加密与节点加密以及端对端加密这三种位置, 加密的位置不同是因为加密技术所应用到的加密逻辑的不一样。前面提到的链路加密是指对数据的加密是在网络层以下进行的, 究其原因是保护通讯节点之间传输的数据。它又因为数据的传递方式的不一样而被分为同步通讯的数据加密和不同步通讯的数据的加密。此外, 同步通讯加密这一技术又分为包含字节的同步通信的数据加密与位同步通信的数据加密。随着对链路加密的不断改进, 节点加密的技术就应运而生了。它是在协议传输层上进行的数据加密, 而且它主要保护的是源节点和目标节点之间的传输数据进行的保护, 它是对链路加密的一种有效的改善。第三种端对端的加密是说对数据的加密是在网络层以上进行的。它的面向对象更大, 涉及到整个网络层主体, 并且是对用层的数据信息进行的数据加密, 它使得软件的实现变得更加简单, 最重要的是成本比较低, 但是也存在另一个问题就是它的密钥管理问题不太容易, 一般应用于大型的网络系统中。总得来讲, 数据加密技术是是电子商务所采取的最主要的电子支付安全措施, 目的是为了保护支付双方的共同的利益。
2.2 数据加密技术的类别
我们所熟知的数据加密技术, 并不是单一的, 而是会有对称的与非对称的区别。所谓的对称加密技术是指在对数据进行加密时所用的密码与接收这一信息时所使用的密码必须是一样的。不需要很大的数学运算量就能有很快的加密速度是它最大的优势, 而它的不足之处则是一旦这个同样且唯一的密码被泄露后, 信息的安全性就没有那么大的保证了。与之相对, 非对称的数据加密所谓密码则是不仅仅只有一个, 而是包括一个明码一个暗码, 一个是用来传输时进行加密, 另一个则是用来解开对方传输来的信息时用的。这种非对称的数据加密虽然能够便于管理以及更好的保证了信息的安全, 但是由于密码的程序比较多, 所以使得加密以及解密的时间都大大增加了。不过, 我们相信在未来的时间里, 随着科技的不断进步, 它的优势会更加显著。
2.3 数据加密的密钥的管理
所谓的加密的安全性是指计算机网络所以来的算法自身的安全性以及对密钥的保护而不是说对加密或者是解密所需要的算法的安全性。常规的密钥有三种分别是会话秘钥以及基本密钥和主要密钥。从技术这一方面来说, 密钥所包含的技术还是挺多的。而在众多技术中, 密钥的分配问题是最主要的问题。但是目前的密钥分配问题的研究还不是很成熟, 需要进一步的探索。
2.4 数字签名的加密技术
它实际上是“明码”密钥的另一种形式, 由于它的种种优势, 受到大家的青睐。不过它在操作过程中的关键技术比较多, 而且还涉及到一些网上的安全交易协议, 比如SSL、SET等等, 并且这些协议都和数字签名有着很大的关系。总得来讲, 数字签名的实现原理还是比较简单的。一般是需要发送的一方利用自己的明码对信息进行加密这一过程就是对数字进行签名, 然后将其输送给接受方, 而接受的一方再利用这一“明码”对信息进行接收, 这样就完成了整个数字签名的加密技术。
3 与电子支付相关的协议
与电子支付有关的协议主要有SSL以及SET.。制定协议的目的毫无疑问是为了保障电子支付的安全。SSL安全协议一般包括三个方面的服务, 首先是对认证的用户以及服务器提供的服务, 目的是确保他们能够准确收到信息, 其次是对加密的数据提供服务, 目的是对传送的数据进行隐藏, 最后是提供维护数据的完整性的服务, 避免数据在传输过程中出现中断或者被调换的情况。而SET协议则是为电子化的交易提供了一套安全的准则。并且这种安全的规则是比较有权威的。它主要由SET业务的描述、程序指南以及SET协议描述三个部分组成, 并且它所涉及的对象比较广泛。
4 总结
目前, 电子支付这种交易工具在我国的市场还不够成熟, 比如电子支票、电子现金等的支付方式还不是很被大家接受。但是, 电子商务是需要电子支付这种工具来支持的, 因此, 随着电子商务的逐渐繁荣, 我们对电子支付的安全问题的研究也会进一步的加深。人们对电子支付这种交易工具也会越来越熟悉。
参考文献
[1]王萍, 杨庆红, 刘超.电子支付安全问题分析与对策[J].江西金融职工大学学报, 2010, 01:39-42.
[2]刘喜敏, 杨国明.电子支付的安全问题与对策分析[J].华南金融电脑, 2007, 04:71-73.
[3]贺忠, 李美村.基于电子支付安全问题的分析[J].福建电脑, 2005, 02:39-40.
【电子支付安全技术】相关文章:
电子安全性支付管理论文04-29
电子商务支付技术管理论文提纲08-30
电子安全性支付管理论文提纲08-11
电子商务支付安全管理论文04-19
互联网下电子商务网络支付安全研究09-12
电子商务支付安全管理论文提纲09-14
电子商务支付技术管理论文参考文献10-30
电子商务支付安全性研究论文04-12
电子安全性支付管理论文参考文献10-02
电子商务支付安全管理论文参考文献09-29