电子商务安全支付研究[摘要] 总结常用的安全电子商务技术,重点讨论各种网络支付方式的流程及支付交易安全准则。
[关键词] 电子商务 网络支付 支付交易安全
随着Internet的迅速发展和广泛应用,人们开始习惯于利用开放快捷的网络进行各种采购和交易,从而导致了电子商务的出现,并使其成为业界新热点。电子商务的显著特点就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。在交易过程中,消费者、商家、企业、中间结构和银行等需要通过Internet网络进行资金的流转,这就需要通过网络支付或电子支付的手段来实现.因此,电子商务活动必然牵涉到支付,安全有效的支付是电子商务的重要环节.从技术上讲,电子商务最关键的问题是如何安全地实现支付功能,并保证交易各方的安全保密。因此,支付安全是整个电子商务安全的瓶颈。
一、电子商务对网上支付安全性的要求
网上支付涉及到大量资金流的转移以及个人隐私或商业机密,而这种支付是发生在开放性程度非常高的互联网,未经保护的支付数据极易被竞争对手获取,造成严重损失。一个安全的支付系统至少应具备以下基本功能:
1.数据保密:交易过程中产生的与支付有关的数据应该被严格保密,除交易双方以及被授权第三方外,均无法(或很难)看懂交易数据,保护交易的私密性。
2.数据完整:支付数据在网络上传输过程中的完整性和有效性,即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。数据输入时的意外差错或欺诈行为,数据传输中信息的丢失、重复、错序、被篡改,都可能导致贸易各方信息的差异。因此,网上交易的信息要能做到确保其完整性,即要求接收者收到的数据与原始数据相同。
3.身份认证:网上支付是在交易双方不见面的情况下进行的,因而保证对方确实是即将要进行的交易的另一方是非常重要的,它将关系到电子商务交易的成败。
4.访问控制:在身份认证完成后,支付系统便可确定此用户有何种权限,这种权限能访问到哪些受保护的数据。
5.审计能力:网上支付数据是非常重要和敏感的,详细记录用户和系统的行为对事后审计的意义无疑是巨大的。
二、网上安全支付技术
1.数据加密技术。数据加密是保证网络通信机密性的常用手段,其基本原理是用基于数学算法的程序和保密的密匙对信息进行编码,生成难以理解的字符串,即把明文变成密文的过程,反之,把密文转变成明文的过程称之为解密。客户在网上支付时,支付数据首先
被加密,加密后的数据经过互联网传输到交易的另一方,接受支付方用事先约定好的密匙对加密数据进行解密,就可以实现支付双方机密的信息通信。数据加密不同于信息的隐藏,它的目的并不是不让人看见文字,数据加密只是将信息转化为可见的但看不出意义的字符串。
根据数据加密和解密使用同样的密码与否,有两类加密体制,即对称加密体制(私有密钥加密体制)和非对称加密体制(公开密钥加密体制)。
2.PKI技术。网上支付首先是要确定网上参与交易的各方( 如持卡消费户、商户、收单银行的支付网关等)的身份,目前广泛采用的PKI(Public Key Infrastructure,公钥基础设施)体系结构采用证书管理公钥,通过第三方可信机构CA(Certificate Authority)管理公钥,把用户的公钥和用户的其他标识信息捆绑在数字证书中,相应的数字证书(Digital Certificate)就是代表用户的身份的。通过检查数字证书就可方便的确认对方的身份。另外,PKI体系结构把对称加密体制和非对称加密体制结合起来,实现了密钥的自动管理。
3.数字证书与CA。数字证书是实现网上支付认证的基本技术,可以用来验证用户或网站的身份。利用数字证书提供的功能,可以方便的实现网络数字签名、数字信封,结合数字摘要技术则可以实现网上支付数据完整性和不可否认性。
数字证书是由权威的、公正的认证机构管理的,称为证书权威机构(CA)。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Hold Card CA,Merchant CA或Payment Gateway CA)由上而下按层次结构建立的。
4.SSL和SET。SSL即安全套接层协议(Secure Socket Layer Protocol),由Netscape公司提出,它支持两台计算机间的安全连接。SSL 协议工作TCP/IP的传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成。SSL利用数字证书和加密技术透明地自动完成发出信息的加密和收到信息的解密工作。
SET即安全电子交易协议(Secure Electric Transcations),是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。SET在保留对客户的信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来说是非常重要的,由于设计上很合理,得到了广泛的应用。
SET在很多方面优于SSL协议,但SET过于复杂和繁琐,大量交易同时进行时交易速度受到影响。
三、网上安全支付方法
1.智能卡支付。严格来说使用智能卡支付网上交易货款并不是真正意义上的网
上支付,支付过程实际上发生在网上商户和银行之间,交易安全性基本由商家的信用决定,对买家来说存在被欺诈的风险。但这却是经常使用的网上交易的资金支付方法。
其基本流程为:
(1)在实际商品、相关服务与资金流动发生之前,由客户通过安全方式将智能卡信息传送给商家;
(2)商家验证客户身份为智能卡账户所有者;
(3)商家把智能卡收费信息和数字签名发送给其银行或在线智能卡处理器;
(4)银行或处理方把信息送给客户银行进行授权;
(5)客户银行为商户返回智能卡数据、收费确认和授权;
(6)网上智能卡支付完成。
2.电子支票支付。电子支支票和传统的支票形式几乎有着同样的功能和内容;不同于传的支票人为签名,电子支票需要经过数字签名,被支付人数字签名背面,使用数字凭证确认支付者,被支付者身份支付银行和账户。金融机构使用已签名和认证的电子支票进行账户存储。
其基本流程为:
(1)购买电子支票:买方首先必须在提供电子支票服务的银行注册、开具电子支票,注册时可能需要需要输入信用卡和银行账户信息,以支持开设支票、电子支票应具有银行的数字签名。
(2)电子支票付款:买方用自己的私钥在电子支票上进行数字签名,用卖方的公钥加密电子支票。只在卖方可以收到已使用卖方公钥加密了电子支票,用买方的公钥确认买方的数字签名后,向银行进一步认证电子支票后即可发货给买方。
(3)清算:付款人银行和收款人银行通过类似自动清算网络进行清算,并对清算结果向付款的和收款人进行反馈。
(4)银行进一步确认电子支票;卖方发货给买方。
3.电子现金支付。电子现金也叫数字现金,是数字化的现金,拥有现金的大部分优点却没有现金的缺点,电子现金特别适用于实现低成本的在线小额支付。
目前,数据安全保护等技术已经基本可以保障数据本身的安全性,像数据被篡改这类恶性事件发生的概率很低,基本可以保证网上资金支付的成功。但是网上支付技术不是万能的,这些技术只能保证资金划拨成功,却无法保证交易的最终成功。网上欺诈事件还是时见报道。因此,用户在进行网上交易时应尽量选择安全的支付方式,比如安付通或支付宝这样的有第三方参与交易的支付方式。
4.微支付系统。在满足安全性的前提下,有昼少的信息舆、较低的管理和存储需求,即速度和效率要求比较高,这种支付形式称为微支付或小额支付,目前国内应用最广泛的网上短消息服
务属于典型的微支付方式。
5.移动支付。移动支付也称手机支付,就是允许移动用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。它首先在发达国家被应用,随后在全球推广。移动支付的一个重要方向,是使手机成为真正的“电子钱包”,比如在交通运输、超市购物、餐馆消费等领域实现“手机支付”。
四、支付交易安全
所有电子支付系统和所有支付手段的包括以下几个方面:
1.用户匿名性:在网络中交易中保护用户的身份不泄密。
2.地址不可跟踪性:防止支付交易进行的地点泄密。
3.买方匿名性:保护支付交易中买方的身份不泄密。
4.支付交易不可跟踪性:防止同一客户的不同支付交易链接起来。
5.支付交易数据的机密性:有选择地保护支付交易数据的特定部分,免于泄密给未授权的参与方中的指定参与方。
6.支付交易消息的新鲜性:防止支付交易消息的重放。
目前,数据安全保护等技术已经基本可以保障数据本身的安全性,像数据被篡改这类恶性事件发生的概率很低,基本可以保证网上资金支付的成功。但是网上支付技术不是万能的,这些技术只能保证资金划拨成功,却无法保证交易的最终成功。网上欺诈事件还是时见报道。因此,用户在进行网上交易时应尽量选择安全的支付方式。
参考文献:
[1]臧良运纪香清:电子商务支付与安全[M].北京:电子工业出版社,2006.1
[2]柯新生:网络支付与结算[M].北京:电子工业出版社,2004.3
[3]宋文官:电子商务概论[M].北京:高等教育出版社,2004.12
[4]祝凌曦:电子商务安全[M].北京:清华大学出版社,2006.11