電子商務(wù)網(wǎng)絡(luò)支付安全問題探討畢業(yè)論文

摘要…………………3關(guān)鍵詞………………3前言…………………31電子商務(wù)與網(wǎng)絡(luò)支付系統(tǒng)的發(fā)展現(xiàn)狀…………………42網(wǎng)絡(luò)支付面臨普遍的安全問題………42.1支付密碼泄漏……………………42.2支付數(shù)據(jù)被篡改……………52.3支付否認(rèn)……………………52.4無法有效驗(yàn)證身份…………52.5系統(tǒng)錯(cuò)誤……………………53網(wǎng)上支付系統(tǒng)的安全要求…………53.1保密性………………………53.2信息的完整性………………………63.3可用性…………63.4不可否認(rèn)性……………………63.5可審查性…………73.6認(rèn)證性…………………74網(wǎng)上支付系統(tǒng)安全的問題與建議……………………84.1識(shí)別假冒網(wǎng)站……………………84.2識(shí)別虛假短信(郵件)……………84.3不要設(shè)置簡(jiǎn)單的密碼……………84.4利用驗(yàn)證技術(shù)……………………94.5支付網(wǎng)關(guān)技術(shù)的應(yīng)用…………94.6防火墻技術(shù)的應(yīng)用……………94.7加強(qiáng)全過程的安全管理……………………105結(jié)束語………………………11致謝………………………11電子商務(wù)網(wǎng)上支付安全問題探討摘要：網(wǎng)絡(luò)支付已經(jīng)成為重要的支付手段之一，是基于Internet的電子商務(wù)的核心支撐流程，是網(wǎng)上銀行的發(fā)展方向。它改變了傳統(tǒng)的支付結(jié)算處理方式，使支付活動(dòng)不再受地域、時(shí)間的限制，為客戶提供了便捷的支付渠道，適應(yīng)現(xiàn)代經(jīng)濟(jì)發(fā)展的需要。同時(shí)我們也應(yīng)該注意網(wǎng)絡(luò)支付的潛在安全風(fēng)險(xiǎn)，在網(wǎng)上支付的同時(shí)，必須確保網(wǎng)絡(luò)支付的安全。計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速。隨著互聯(lián)網(wǎng)上黑客病毒泛溢,網(wǎng)絡(luò)犯罪等威脅日益嚴(yán)重，網(wǎng)絡(luò)安全管理的任務(wù)將會(huì)越來越艱巨和復(fù)雜，抓好網(wǎng)絡(luò)安全問題對(duì)保障網(wǎng)絡(luò)信息安全至關(guān)重要。所以電子商務(wù)的安全實(shí)際上很大部分就是保證電子商務(wù)過程中網(wǎng)絡(luò)支付結(jié)算流程的安全，這正是銀行與商家，特別是客戶關(guān)心的焦點(diǎn)問題。因此文章對(duì)電子商務(wù)網(wǎng)絡(luò)支付安全問題進(jìn)行探討分析。關(guān)鍵詞：網(wǎng)絡(luò)支付；安全問題；安全技術(shù)前言美國(guó)等發(fā)達(dá)國(guó)家，通過Internet進(jìn)行電子商務(wù)的交易已成為潮流。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，我國(guó)的電子商務(wù)雖已初具規(guī)模,但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題。電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的，由于internet是開放性網(wǎng)絡(luò)，建立交易雙方的安全和信任關(guān)系較為困難，由于電子商務(wù)的遠(yuǎn)距離網(wǎng)絡(luò)操作性而非傳統(tǒng)的面對(duì)面方式，它已成為大家關(guān)注電子商務(wù)運(yùn)行安全的首要方面。完成了電子商務(wù)中資金流的網(wǎng)絡(luò)支付，因涉及商務(wù)實(shí)體最為敏感的資金流動(dòng)，所以是緊需要保證安全的方面也是緊容易出現(xiàn)安全問題的地方。因此本文對(duì)電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進(jìn)行探討分析。網(wǎng)絡(luò)支付，也稱網(wǎng)絡(luò)支付與結(jié)算，它指以金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以商用電子化工具和各類交易卡為媒介，采用現(xiàn)代計(jì)算機(jī)技術(shù)和以電子信通信技術(shù)作為手段，通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)特別是Internet，息傳遞形式來實(shí)現(xiàn)資金的流通和支付。我們也可以將它理解為電子支付的高級(jí)方式。它是電子支付的一個(gè)最新發(fā)展階段，以電子商務(wù)為商業(yè)基礎(chǔ)，以商業(yè)銀行為主體，使用安全的主要基于Internet平臺(tái)的運(yùn)作平臺(tái)，通過網(wǎng)絡(luò)進(jìn)行的、為交易的客戶間提供貨幣支付或資金流轉(zhuǎn)等的現(xiàn)代化支付結(jié)算手段。從這里可以看出，基于Internet的即時(shí)網(wǎng)絡(luò)支付是電子商務(wù)業(yè)務(wù)流程的一個(gè)關(guān)鍵環(huán)節(jié)，高水平電子商務(wù)發(fā)展的需求直接導(dǎo)致網(wǎng)絡(luò)支付結(jié)算的興起。1電子商務(wù)與網(wǎng)絡(luò)支付系統(tǒng)的發(fā)展現(xiàn)狀電子商務(wù)的發(fā)展現(xiàn)狀根據(jù)2013年1月13日，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京發(fā)布的《第25次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，在主要互聯(lián)網(wǎng)應(yīng)用使用率調(diào)查中，網(wǎng)絡(luò)求職、更新博客和網(wǎng)絡(luò)購(gòu)物位列增長(zhǎng)最快的應(yīng)用前三甲。而網(wǎng)絡(luò)音樂、網(wǎng)絡(luò)視頻等娛樂性應(yīng)用的使用率則明顯呈現(xiàn)下降的趨勢(shì)。由此可見，越來越多的企業(yè)和顧客加入到電子商務(wù)的隊(duì)伍中來，網(wǎng)絡(luò)支付系統(tǒng)得到越來越廣泛的應(yīng)用。電子商務(wù)發(fā)展迅速,通過網(wǎng)上進(jìn)行交易已成為潮流。在我國(guó)，電子商務(wù)雖然剛起步，但是人們對(duì)電子商務(wù)的巨大潛力深信不疑；我國(guó)政府積極支持電子商務(wù)活動(dòng)的開展，這些都對(duì)我國(guó)電子商務(wù)的發(fā)展產(chǎn)生了重要的影響。但是應(yīng)當(dāng)看到，我國(guó)還存在一些“瓶頸”問題，嚴(yán)重地阻礙著電子商務(wù)的發(fā)展。從技術(shù)角度上看也存在兩項(xiàng)解決的難題一是缺乏統(tǒng)一的電子商務(wù)技術(shù)服務(wù)標(biāo)準(zhǔn)，沒有規(guī)矩不成方圓，沒有標(biāo)準(zhǔn)的電子商務(wù)勢(shì)必造成國(guó)內(nèi)乃至國(guó)際電子交易混亂和麻煩。技術(shù)是電子商務(wù)發(fā)展的基礎(chǔ)，而技術(shù)的發(fā)展必須建立在標(biāo)準(zhǔn)統(tǒng)一的基礎(chǔ)之上。因此加快電子商務(wù)技術(shù)標(biāo)準(zhǔn)的制定是我國(guó)電子商務(wù)發(fā)展中迫在眉睫的、十分重要的事，是我國(guó)電子商務(wù)發(fā)展重中之重。二是還沒有真正成熟的電子商務(wù)解決方案。在現(xiàn)階段電子商務(wù)軟件服務(wù)市場(chǎng)上，國(guó)外成熟的電子商務(wù)解決方案占據(jù)主導(dǎo)地位仍是不爭(zhēng)的事實(shí)，而國(guó)內(nèi)真正有能力的開發(fā)廠家更是屈指可數(shù)，仔細(xì)算來也只有實(shí)華開、四通寥寥幾家，但沒有一家能夠提供一套完整的電子商務(wù)交易標(biāo)準(zhǔn)。而網(wǎng)上支付作為新興的電子支付手段，越來越普及越來越重要。無論是對(duì)電子商務(wù)技術(shù)服務(wù)標(biāo)準(zhǔn)的制定還是對(duì)真正成熟的電子商務(wù)的解決方案的出現(xiàn)，網(wǎng)上支付系統(tǒng)的關(guān)鍵技術(shù)都是至關(guān)重要的。但是現(xiàn)在制約電子商務(wù)發(fā)展的最關(guān)鍵的技術(shù)，是解決安全問題的技術(shù)。電子商務(wù)中的安全問題是重中之重的問題。2網(wǎng)絡(luò)支付面臨普遍的安全問題：在網(wǎng)絡(luò)支付與結(jié)算中，資金支付結(jié)算體系問題是電子商務(wù)中主具體來說，目前電子商務(wù)下網(wǎng)絡(luò)支付結(jié)算流程要的安全隱患發(fā)生點(diǎn)。中面臨的主要安全問題現(xiàn)階段的支付風(fēng)險(xiǎn)主要存在于以下五點(diǎn)：2.1支付密碼泄漏一旦攻擊者通過某種方式得到支付密碼，可這是以輕易地冒充持卡人通過互聯(lián)網(wǎng)進(jìn)行消費(fèi)，給持卡人帶來損失。人們對(duì)網(wǎng)上支付安全的主要擔(dān)心所在。2.2支付數(shù)據(jù)被篡改在缺乏必要的安全防范措施情況下，攻擊者可以通過修改互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)。譬如，攻擊者可以修改付款銀行卡號(hào)、修改支付金額、修改收款人賬號(hào)等，達(dá)到謀利目的并制造互聯(lián)網(wǎng)支付事件。2.3支付否認(rèn)網(wǎng)上支付是一個(gè)通過商業(yè)銀行提供的網(wǎng)上結(jié)算服務(wù)將資金從付款人賬戶劃撥到收款人賬戶的過程。對(duì)于資金劃出操作，若付款人否認(rèn)發(fā)出資金劃出指令，商業(yè)銀行將處于被動(dòng)局面；對(duì)于資金劃入操作，若商業(yè)銀行否認(rèn)資金劃入操作，收款人將處于不利境地。2.4無法有效驗(yàn)證身份支付方不知商家到底是誰，商家不能清晰確定網(wǎng)絡(luò)支付工具是否真實(shí)，以及資金何時(shí)入賬等。一些不法商家或個(gè)人利用網(wǎng)絡(luò)貿(mào)易的非面對(duì)面性，以及網(wǎng)上站點(diǎn)的開放性和不確定性進(jìn)行欺詐活動(dòng)。2.5系統(tǒng)錯(cuò)誤由于客戶的電子貸幣信息存放在相應(yīng)的銀行后臺(tái)服務(wù)器中，當(dāng)銀行網(wǎng)絡(luò)遭到非人為的損害或黑客的故意攻擊而導(dǎo)致銀行后臺(tái)服務(wù)器出現(xiàn)錯(cuò)誤、運(yùn)行中斷或癱瘓時(shí)，客戶肯定無法使用其電子貸幣；或者導(dǎo)致正在進(jìn)行的網(wǎng)絡(luò)支付進(jìn)程中斷，這必定影響客戶的支付行為。3網(wǎng)上支付系統(tǒng)的安全要求3.1保密性要確保網(wǎng)上支付系統(tǒng)的安全，首要的一點(diǎn)要求就是應(yīng)防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性，交易中的商務(wù)信息都需要遵循一定的保密規(guī)則。交易中的商務(wù)信息可能直接關(guān)聯(lián)著個(gè)人、企業(yè)或國(guó)家的商業(yè)秘密,特別是涉及到商業(yè)機(jī)密和金融方面的敏感信息時(shí),信息的保密性更為重要。因?yàn)槠湫畔⑼碇鴩?guó)家、企業(yè)和個(gè)人的商業(yè)機(jī)密，而電子商務(wù)是建立在一個(gè)較為開放的互聯(lián)網(wǎng)絡(luò)環(huán)境上的。它所依托的網(wǎng)絡(luò)本身也就是由于開放式互聯(lián)形成的市場(chǎng)，才贏得了電子商務(wù)。因此在這一新的支撐環(huán)境下，勢(shì)必要用相應(yīng)的技術(shù)和手段來延續(xù)和改進(jìn)信息的保密性。,因此,要采取措施預(yù)防信息的非法存取和信息在傳輸過程中被非法竊取。維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。對(duì)于網(wǎng)上支付系統(tǒng)來說，他的保密性意味著系統(tǒng)必須滿足兩點(diǎn)：（1）私有交易不會(huì)被其它人截獲及讀取，既沒有人能夠通過攔截會(huì)話數(shù)據(jù)獲得訂貨單中的帳戶信息；如果可能，（2）應(yīng)確保交易的匿名性，使交易不會(huì)被追蹤，任何人無法利用“發(fā)生交易”這樣的事實(shí)本身來達(dá)到別的目的。3.2信息的完整性不可否認(rèn)電子商務(wù)的出現(xiàn)以計(jì)算機(jī)代替了人們以大多數(shù)復(fù)雜的勞動(dòng)，信息系統(tǒng)的形式整合化簡(jiǎn)了企業(yè)貿(mào)易中的各個(gè)環(huán)節(jié)，但網(wǎng)絡(luò)的開放和信息的處理自動(dòng)化也使如何維護(hù)貿(mào)易各方商業(yè)信息的完整統(tǒng)一出現(xiàn)了問題。而貿(mào)易各方各類信息的完整性勢(shì)必影響到貿(mào)易過程中交易和經(jīng)營(yíng)策略，因此保持貿(mào)易各方信息的完整性是網(wǎng)上支付系統(tǒng)應(yīng)用必備的基礎(chǔ)。要確保網(wǎng)上支付能夠安全順利的進(jìn)行，還要防止未經(jīng)授權(quán)的數(shù)據(jù)修改。交易雙方的合同簽訂后就不能隨意刪改，以保證交易的公正性,與可行性。電子商務(wù)簡(jiǎn)化了貿(mào)易過程，減少了人為的干預(yù)，但對(duì)信息的隨意生成、修改和刪除會(huì)造,成差錯(cuò)甚至可能導(dǎo)致欺詐行為。數(shù)據(jù)傳輸過程中信息丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。這會(huì)影響貿(mào)易各方商業(yè)信息的完整性和統(tǒng)一性。因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性指資源只能由授權(quán)實(shí)體修改。網(wǎng)上支付系統(tǒng)的完整性要求他提供的服務(wù)應(yīng)在通信過程中接收到的消息確實(shí)是實(shí)際發(fā)送的消息，不可能在傳輸過程中被篡改，也不可能是一條偽造的消息。3.3可用性可用性是指一旦用戶得到訪問某一資源的權(quán)限，該資源就應(yīng)該能夠隨時(shí)為他使用，而不應(yīng)該將其保護(hù)起來使擁護(hù)的合法權(quán)益受到損害。在電子商務(wù)系統(tǒng)中，提高系統(tǒng)可用性有時(shí)還意味著用戶僅需經(jīng)一次登陸就可以訪問任何其他有權(quán)訪問的資源，避免對(duì)訪問不同的服務(wù)使用不同的登錄過程。不可否認(rèn)電子商務(wù)的出現(xiàn)以計(jì)算機(jī)代替了人們以大多數(shù)復(fù)雜的勞動(dòng)，信息系統(tǒng)的形式整合化簡(jiǎn)了企業(yè)貿(mào)易中的各個(gè)環(huán)節(jié)，但網(wǎng)絡(luò)的開放和信息的處理自動(dòng)化也使如何維護(hù)貿(mào)易各方商業(yè)信息的完整統(tǒng)一出現(xiàn)了問題。而貿(mào)易各方各類信息的完整性勢(shì)必影響到貿(mào)易過程中交易和經(jīng)營(yíng)策略，因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用必備的基礎(chǔ)。3.4不可否認(rèn)性在交易中會(huì)出現(xiàn)交易抵賴的現(xiàn)象，如信息發(fā)送方在發(fā)送操作完成后否認(rèn)曾經(jīng)發(fā)送過該信息或與之相反接受方收到信息后并不承認(rèn)曾經(jīng)收到過該條消息。因此如何確定交易中的任何一方在交易過程中所收到的交易信息，正是自己的合作對(duì)象發(fā)出的。而對(duì)方本身也沒有被假冒是電子商務(wù)活動(dòng)和諧順利進(jìn)行的保證。要確保網(wǎng)上支付系統(tǒng)的安全，交易一旦簽訂就不能被否認(rèn)。因此交易的各個(gè)環(huán)節(jié),都必須設(shè)法防止參與交易的任何一方的抵賴。不可否認(rèn)性主要包含數(shù)據(jù)原始記錄和發(fā)送記錄的不可否認(rèn),確認(rèn)數(shù)據(jù)已經(jīng)完全發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù),并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實(shí)性,保證參加電子交易的各方承認(rèn)交易過程的合法性,在交易數(shù)據(jù)發(fā)送完成以后,雙方都不得否認(rèn)自己曾經(jīng)發(fā)出或接收過信息。要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻,確定的地點(diǎn)是有效的。一旦事務(wù)結(jié)束，有關(guān)各方都不能否認(rèn)自己參與過這次事務(wù)。3.5可審查性根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄,在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。當(dāng)貿(mào)易一方發(fā)現(xiàn)交易行為對(duì)自己不利,否認(rèn)電子交易行為時(shí),系統(tǒng)應(yīng)具備審查能力,使交易的任何一方都不能抵賴已經(jīng)發(fā)生的交易行為。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。而在無紙化的電子商務(wù)方式下,則應(yīng)通過數(shù)字摘要、PKI、數(shù)字簽名、數(shù)字憑證、CA認(rèn)證等手段,在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。3.6認(rèn)證性要確保網(wǎng)上支付系統(tǒng)的安全，在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制,以確保參加交易各方的身份真實(shí)有效。首先,要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。即接收方可以確認(rèn)信息來自發(fā)信者，而不是第三者冒名發(fā)送。發(fā)送方可以確認(rèn)接收方的身份是真實(shí)的，而不至于發(fā)往與交易無關(guān)的第三方。要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。網(wǎng)上支付系統(tǒng)中通信的雙方應(yīng)能確定對(duì)方的身份，知道對(duì)方確實(shí)是他所稱的那一位。在這里，確定意思并不完全意味著知道對(duì)方的準(zhǔn)確身份，但應(yīng)能做到知道自己是在與一個(gè)可靠的對(duì)象通信。4網(wǎng)上支付系統(tǒng)安全的問題與建議4.1識(shí)別假冒網(wǎng)站消費(fèi)者在認(rèn)清網(wǎng)站域名的同時(shí)，在提交重要信息時(shí)也要驗(yàn)明服務(wù)器的身份。其中驗(yàn)證服務(wù)器證書最簡(jiǎn)明的做法，是在提交重要信息網(wǎng)頁頁面右下角會(huì)出現(xiàn)一個(gè)金黃色的小鎖，點(diǎn)擊它就可以查看所有該服務(wù)器證書的信息，包括服務(wù)器證書的頒發(fā)機(jī)構(gòu)、還應(yīng)該使用個(gè)人數(shù)字證書。書有效期限等信息。除了服務(wù)器證書之外。4.2識(shí)別虛假短信(郵件)持卡人在收到任何與銀行卡、支付有關(guān)的短信后，應(yīng)確認(rèn)短信發(fā)送者的真實(shí)身份或短信內(nèi)容。4.3不要設(shè)置簡(jiǎn)單的密碼不要采用簡(jiǎn)單數(shù)字組合、自己或親人的生日信息、電話號(hào)碼。此外，還應(yīng)注意支付終端的安全性，如不要在公用網(wǎng)吧進(jìn)行網(wǎng)上支付、在支付終端上安裝反病毒、反木馬軟件。同時(shí)，還要注意在其他場(chǎng)所輸入支付密碼時(shí)不輕易被他人偷窺、攝像等，不要將密碼記錄在容易被人看到的紙片上。加密技術(shù)利用加密技術(shù)保證電子商務(wù)支付的機(jī)密性密碼技術(shù)在發(fā)展過程中逐漸分離出加密技術(shù)和驗(yàn)證技術(shù)兩個(gè)分支。就加密技術(shù)而言,1976年以前主要采用對(duì)稱加密技術(shù),這種加密技術(shù)存在著很多問題,如密鑰分發(fā)的安全性,密鑰規(guī)模過大、不能保證消息的真實(shí)性和完整性等。1976年以后,迪飛和海爾曼創(chuàng)造性地提出了非對(duì)稱加密算法,徹底解決了上述問題,使加密技術(shù)有了革命性的發(fā)展。對(duì)稱加密技術(shù)對(duì)稱加密技術(shù)有許多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美國(guó)國(guó)際標(biāo)準(zhǔn)局(NBS)制定的標(biāo)準(zhǔn)加密算法。它把64位的明文輸入塊變成64位的密文輸出塊,所使用的密鑰也是64位,其中第8位奇偶校驗(yàn)位另作它用。DES利用56位的密鑰,對(duì)64位的輸入數(shù)據(jù)塊進(jìn)行16次的排列置換,最后生成輸出塊密碼。非對(duì)稱性加密方式非對(duì)稱密鑰加密方式又稱公開密鑰加密。它需要使用一對(duì)密鑰來分別完成加密和解密功能。一個(gè)公開發(fā)布,即公開密鑰;另一個(gè)由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公開密鑰機(jī)制雖然靈活,但加密和解密速度卻比對(duì)稱密鑰加密慢得多。加密技術(shù)在網(wǎng)上支付系統(tǒng)中的綜合應(yīng)用。結(jié)合對(duì)稱技術(shù)、非對(duì)稱加密技術(shù)的特點(diǎn),在網(wǎng)上支付系統(tǒng)的支付過程中,主要采用非對(duì)稱加密技術(shù)實(shí)現(xiàn)會(huì)話密鑰的協(xié)商和分發(fā);利用對(duì)稱加密技術(shù)消息。既保證了消息傳送的機(jī)密性,又保證了會(huì)話密鑰分發(fā)的安全性。數(shù)字信封數(shù)字信封利用了上面兩種加密技術(shù)的優(yōu)點(diǎn)來確保信息的安全傳輸它克服了對(duì)稱密鑰加密中對(duì)稱密鑰分發(fā)困難和公開密鑰加密中加密時(shí)間長(zhǎng)的問題。4.4利用驗(yàn)證技術(shù)保證電子商務(wù)支付的真實(shí)性、完整性在保證消息的真實(shí)性和完整性方面,主要采用的是基于非對(duì)稱加密算法的驗(yàn)證技術(shù),包括數(shù)字簽名、身份驗(yàn)證等技術(shù)。數(shù)字簽名數(shù)字簽名并不是新的加密算法,而是現(xiàn)有加密算法的綜合應(yīng)用。它應(yīng)用的是數(shù)字摘要和公開密鑰加密技術(shù)。因?yàn)閿?shù)字摘要技術(shù)能夠識(shí)破信息的篡改,而公開密鑰加密技術(shù)能夠確認(rèn)信息的來源。在數(shù)字簽名系統(tǒng)中,信息發(fā)送方的任務(wù)是:(1)組織信息;(2)求出它的數(shù)字摘要;(3)加密數(shù)字摘要,且附上發(fā)送信息。而接收方的任務(wù)是:(1)利用發(fā)送方的密鑰來解密發(fā)送方的數(shù)字摘要;(2)求出接收信息的數(shù)字摘要;(3)比較兩個(gè)數(shù)字摘要,若相等,則說明接收信息準(zhǔn)確無誤。4.5支付網(wǎng)關(guān)技術(shù)的應(yīng)用支付網(wǎng)關(guān)通常位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，或者終端和收費(fèi)系統(tǒng)之間其主要功能為將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包接收銀行系統(tǒng)內(nèi)部傳回來的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。支付網(wǎng)關(guān)技術(shù)，要完成通信協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。有些內(nèi)部使用網(wǎng)關(guān)還支持存儲(chǔ)和打印數(shù)據(jù)等擴(kuò)展功能交易安全是電子商務(wù)正常健康運(yùn)營(yíng)的關(guān)鍵所在，不同性質(zhì)的企業(yè)應(yīng)根據(jù)自身的特點(diǎn)選擇最為安全和行之有效的防護(hù)技術(shù)。對(duì)于加密身份認(rèn)證以及支付網(wǎng)關(guān)技術(shù)不斷的加強(qiáng)測(cè)試，加強(qiáng)優(yōu)化為安全運(yùn)營(yíng)構(gòu)筑強(qiáng)有力的屏障。4.6防火墻技術(shù)的應(yīng)用為了確保信息安全,避免對(duì)網(wǎng)絡(luò)的威脅與攻擊,防止對(duì)網(wǎng)絡(luò)資源不正當(dāng)?shù)拇嫒?保護(hù)信息資満而采取的一種手段就是設(shè)置防火墻。從理論上說,防火墻概念指的昧提例對(duì)網(wǎng)絡(luò)的存取控制功能,保護(hù)信恭資源。而從物理上的設(shè)備來看,防火墻是Intranet設(shè)置的一種過濾器、限制器。防火墻系統(tǒng)負(fù)責(zé)管理Internet同內(nèi)部緱絡(luò)之間的訪問,主要作用昮在網(wǎng)纜入口點(diǎn)檢查網(wǎng)絡(luò)通信,根據(jù)所設(shè)定的安全規(guī)則,在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下,提供內(nèi)外網(wǎng)絡(luò)的通信。決定哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù),哪些外部服務(wù)可以被內(nèi)部人員訪問。所有來自和去往Internet的信息都必須經(jīng)過防火墻的過濾、檢查和存取控制。采用黑匣子模型增強(qiáng)客戶端安全“黑盒”的意思就是從外面看不到里面,誰也不知道盒子里面隱藏的是什么,在計(jì)算機(jī)技術(shù)中用“黑盒”來表示技術(shù)的實(shí)現(xiàn)被完全封裝起來,在這里我們提出電子支付的“黑盒模型”的含義是指用戶端的輸入、信息加密、解寂、通訓(xùn)控制、安全檢測(cè)等被完全封裝到一個(gè)模塊中,這個(gè)模塊與用戶計(jì)算朠之間只交換加密信息,加密信息通過Internet被送到銀蠌服務(wù)器。4.7加強(qiáng)全過程的安全管理網(wǎng)絡(luò)規(guī)劃階段,就要加強(qiáng)對(duì)信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財(cái)力。要根據(jù)狀況實(shí)事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實(shí)施、降低投資風(fēng)險(xiǎn)。工程建設(shè)階段,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測(cè)試,列入工程建設(shè)各個(gè)階段工作的重要內(nèi)容,要加強(qiáng)對(duì)開發(fā)(實(shí)施)人員、版本控制的管理,要加強(qiáng)對(duì)開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查。在運(yùn)行維護(hù)階段,要注意以下事項(xiàng):(1)建立有效的安全管理組織架構(gòu),明確職責(zé),理順流程,實(shí)施高效管理。(2)按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶帳號(hào)和密碼。(3)制定完善的安全管理制度,加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過程的安全管理。(4)要建立應(yīng)急預(yù)察體系,建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢,還要定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。建立動(dòng)態(tài)的閉環(huán)管