電子商務支付安全論文摘要

1、論文摘要：電子支付系統(tǒng)是電子商務交易的核心，實現(xiàn)電子商務的關鍵是要保證商務活到銀行端發(fā)來的確認信息后向商家回復支付成功t客戶收到商家發(fā)來的購貨確認與支付信動過程中系統(tǒng)的安全性。本文對現(xiàn)有的支付模式進行了比較論述，指出安全性方面的不足， 在基于SET協(xié)議支付模型基礎上，替換加密算法，修改支付流程，使其具有更高的安全級 別。1引言電子商務（Electronic Commerce ，簡稱EC）是利用現(xiàn)有的計算機硬件設備、軟件和網(wǎng)絡基礎設施，在通過一定的協(xié)議連接起來的電子網(wǎng)絡環(huán)境下進行各種各樣商務活動的方式。電子商務的一個重要組成部分就是電子支付系統(tǒng)，所謂電子支付，指的是交易各方通過電子手段，比如說銀

2、行的電子存款系統(tǒng)和電子清算系統(tǒng)來記錄和轉移資金的方式。是否具有在線支付功能是電子商務是否完整的一個重要標志，而支付的安全性又是整個支付過程乃至整個電子商務過程的核心問題。2現(xiàn)有電子支付系統(tǒng)的探討與改進2.1三種電子支付模型第一種：基于SSL協(xié)議的支付模型安全套接字層協(xié)議 （Secure Socket Layer，SSL）是網(wǎng)絡安全協(xié)議的標準，最早是由 Netscape公司提出的一種安全套接層協(xié)議，采用公開密鑰技術，目的是保證兩個應用間通 信的保密性和可靠性，可在服務器和客戶機兩端同時實現(xiàn)支持。SSL使用多種密碼技術和PKI數(shù)字證書技術來保護信息傳輸?shù)恼鎸嵭?、機密性和完整性，主要適用于點對點之間

3、的信息傳輸。SSL由兩層協(xié)議組成：（1）握手協(xié)議：描述了協(xié)議的建立過程，在客戶機和服務器 之間進行相互的身份認證，并在傳輸數(shù)據(jù)之前，協(xié)商確定加密算法和會話密鑰。（2）記錄協(xié)議：用于對不同的高層協(xié)議進行封裝，定義了數(shù)據(jù)傳輸?shù)母袷?。遵從SSL協(xié)議的電子交易過程：客戶選擇服務，提交購物請求t商家回復客戶的購買請求，客戶端瀏覽器提示即將建立與銀行端網(wǎng)絡服務器的安全連接，經(jīng)過身分認證后，SSL握手協(xié)議介入開始，雙方建立起安全通道t出現(xiàn)相應銀行的支付網(wǎng)頁，顯示從商家發(fā)來的相 應的訂單及支付金額信息，用戶確認后支付。支付成功后，用戶確認離開安全SSL連接t銀行在后臺把相關資金轉入商家賬號t商家收到銀行發(fā)來的

4、付款成功消息后，發(fā)送收款確認信息給用戶，支付過程結束。目前國內(nèi)大多數(shù)銀行的網(wǎng)上銀行業(yè)務都是基于SSL協(xié)議的。例如招商銀行的一網(wǎng)通”網(wǎng)上支付業(yè)務就是基于SSL協(xié)議的典型代表。第二種：基于SET協(xié)議支付模型SET（Secure Electro nic Tran sactio n）協(xié)議是針對開放網(wǎng)絡上安全、有效的銀行卡交易，由Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構共同研制，為In ternet卡支付交易提供高層的安全和反欺詐保證。SET協(xié)議實現(xiàn)信息在In ternet上安全傳輸，不能被竊取或篡改；實現(xiàn)持卡人購買訂單和個人賬號信息的隔離，使商家只能看到訂貨信息而金融機構只能

5、看到賬號信息；實現(xiàn)持卡人、商家、支付中心、支付網(wǎng)關等交易參與方身份的相互 認證；軟件遵循相同的協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容性和互操作能力， 并且可以運行在不同的硬件和操作系統(tǒng)平臺上。_遵從SET協(xié)議的電子交易過程：客戶選擇服務，提交購物請求t客戶計算機自動激活電子錢包的客戶端軟件，用戶取出里面的電子現(xiàn)金準備支付，SET協(xié)議開始介入；客戶端軟件自動與商家服務器軟件進行SET協(xié)議規(guī)定的信息交換與身份認證，然后自動提取信息連同訂貨單一起發(fā)送給商家 t商家收到信息并驗證通過后回復客戶，同時發(fā)出結算請求，并將客戶端信息一起發(fā)給支付網(wǎng)關t支付網(wǎng)關收到支付信息后，轉入后臺銀行網(wǎng)絡處理，在收息

6、后，客戶端軟件關閉，支付過程結束。國內(nèi)的網(wǎng)上銀行支付系統(tǒng)基于SET協(xié)議的極少，中國銀行是一家。它的CA是中國銀行認證中心（CCA）。持卡人通過 In ternet由中國銀行主頁中下載電子錢包軟件后，通過 In ternet在線獲得中國銀行認證中心批準的借記卡網(wǎng)上交易電子證書。第三種：以支付工具為中介的支付模型國內(nèi)除了上述兩種支付方式外，還有種以網(wǎng)上支付工具為中介的支付流程，即第三方支付。這種在線實時的支付方式實質(zhì)上還是網(wǎng)上銀行。這種支付模式主要解決的不是信息流在 TOC o 1-5 h z 網(wǎng)上傳遞的安全性問題，而主要解決的是，因付款和發(fā)貨不同時進行而可能引起的爭執(zhí)。作為支付工具的第三方當了一

7、個臨時存錢罐的功能。|第三方支付的交易過程：買方在網(wǎng)上選中自己所需商品后就與賣方取得聯(lián)系并達成成交 協(xié)議，這時買方需把貨款匯到第三方中介賬戶上。中介立刻通知賣方錢己收到可以發(fā)貨，待買方收到商品并確認無誤后，中介才會把貨款匯到賣方的賬戶，整個交易就完成了。第三方支付的典型代表有貝寶公司的PayPal、阿里巴巴旗下的支付寶等。2.2 SSL、SET協(xié)議的不足SSL協(xié)議存在的問題：第一，客戶的信息首先傳遞到商家，商家可以任意閱讀，這樣客戶資料的隱私性就得不到保證。第二，SSL只能保證資料信息傳遞的安全，而傳遞過程是否被人截取無法保證。第三，SSL沒有對應用層的消息進行數(shù)字簽名，因此也無法保證不可否認

8、性。所以，SSL并沒有實現(xiàn)電子支付所要求的保密性、完整性和不可否認性，而且多方互相認證也很困難。SET協(xié)議存在的問題：第一，SET協(xié)議使用的對稱加密算法 DES，隨著計算機處理速度和存儲效率的提高，己經(jīng)不是計算上安全的算法了。第二，協(xié)議沒有擔保非拒絕服務，無法證明交易是否由簽署證書的使用者發(fā)出。協(xié)議簽名的內(nèi)容無法保障持卡者和商家，在協(xié)議最后收到的簽名，是針對交易內(nèi)容的認證。第三，協(xié)議沒有考慮交易個體的公平性，持卡人的信用卡信息經(jīng)過商家轉發(fā)，雖然是經(jīng)過加密的，但無論如何也會留下痕跡，這是個很大的 安全隱患。第四，從實用性來講，SET協(xié)議對商家系統(tǒng)的開發(fā)來說是個不小的負擔，很多的小商戶都會認為成本

9、太高，不甚劃算。并且，應用SET協(xié)議需要在持卡人端安裝電子錢包，這也是個不太容易讓普通持卡用戶很快接受的地方。還有，SET協(xié)議僅僅針對信用卡，對個人信任制度不成熟的我國現(xiàn)狀來說，也是一個制約因素。2.3基于SET協(xié)議模型的改進替換密碼算法：SET協(xié)議規(guī)定加密算法為 DES加上RSA，而通過上文分析 DES加密 算法存缺陷，因此可選擇用IDEA算法作為DES的代替算法。IDEA的密鑰長度為128位， 是目前公認比較安全的加密算法。另IDEA和DES算法同是對稱加密算法，分組長度都是64位，使用IDEA對原有系統(tǒng)的影響不大。增加支付中心：由于在 SET協(xié)議中，商家除了要處理訂購信息，還要將持卡人發(fā)

10、來的 包含信用卡賬號等機密數(shù)據(jù)的支付信息轉發(fā)給支付網(wǎng)關，雖然支付信息是經(jīng)過加密的，但不免在商家處留下了痕跡，存在著安全隱患。對照現(xiàn)實中商場中柜臺”與 收銀臺”相分離，對基于SET協(xié)議的電子支付系統(tǒng)進行改進， 引入了支付中心這一概念， 相當于電子的 收銀臺” 這樣，電子商戶主要承擔商品展示功能，在消費者下訂單后， 商戶執(zhí)行 開票”功能，而支付”這個敏感，對技術安全性、信譽度要求高的功能由第三方支付中心”來負責。消費者的支付信息不必先發(fā)送給商家再由商家來發(fā)送給支付網(wǎng)關，而是發(fā)送給大家都信任的第三方一支付中心。這樣，商家看不到持卡人的支付信息，銀行也無法獲得持卡人的購買信息，從而加強了信息流和資金流在網(wǎng)上實時傳遞的機密性和安全性。3結束語隨著電子商務和金融電子化的日益成熟和不斷發(fā)展，對網(wǎng)絡支付的要求也更加嚴格。雖然網(wǎng)絡支付工具隨著技術的變化層出不窮，但網(wǎng)絡支付并不是非常成熟，只有加強電子支付的安全保障，建立起電子支付業(yè)的統(tǒng)一行業(yè)規(guī)范，完