網(wǎng)上支付安全技術論文篇三：《淺談電子支付安全技術》

　　[摘要] 隨著電子商務技術的發(fā)展，電子支付安全成為了電子商務發(fā)展的核心和關鍵問題。本文通過分析電子支付的概念以及電子支付不安全因素的分析，并從安全性、電子信用體系、法制人制等角度提出對策。

　　[關鍵詞] 電子支付 安全技術 分析

　　一、電子支付的概念

　　隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)絡商務作為一種新的貿(mào)易形式正在逐漸被引入成為商務的一種大發(fā)展趨勢,網(wǎng)上金融服務也已經(jīng)開始在世界范圍內(nèi)如火如荼地開展起來。網(wǎng)絡金融服務包括人們的各種需求，如網(wǎng)上消費、家庭銀行、個人理財、網(wǎng)上投資交易、網(wǎng)上保險等。這些金融服務的特點是通過電子貨幣進行網(wǎng)上電子支付與結算。“電子支付”，顧名思義是通過網(wǎng)絡進行貨幣支付。“電子支付”就是電子商務發(fā)展的一個關鍵環(huán)節(jié)。電子貨幣是利用銀行的電子存款系統(tǒng)和各種電子清算系統(tǒng)記錄和轉移資金的。電子貨幣的優(yōu)點是明顯的，徹底地改變了銀行傳統(tǒng)的手工記帳、手工算帳、郵寄憑證等操作方式，使用和流通更方便，而且成本低，尤其是大筆的資金流動。同時，電子貨幣的廣泛使用也給普通消息費在購物、飲食、旅游和娛樂方面的付款帶來了更多的便利。

　　目前，電子支付工具主要包括:電子現(xiàn)金、電子零錢、安全零錢、電子信用卡、智能卡(IC卡)、在線貨幣、數(shù)字貨幣和網(wǎng)絡貨幣等。其支付信息是通過安全的網(wǎng)絡傳送到網(wǎng)絡銀行或相應的處理機構來實現(xiàn)電子支付。電子貨幣最大問題是安全問題，電子貨幣沒有具體的實物形態(tài)，完全憑借計算機里的記錄。那么，一旦銀行計算機系統(tǒng)出現(xiàn)故障，或遭受惡意攻擊就可能造成數(shù)據(jù)丟失、篡改，產(chǎn)生嚴重的后果。

　　由于網(wǎng)絡環(huán)境的開放性、信息傳遞的快捷性,電子支付手段的應用,大大豐富和提高了商品交易的營銷宣傳,擴大了貿(mào)易范圍、增加了貿(mào)易伙伴參與、溝通和交易機會,使企業(yè)的經(jīng)營范圍擴大,商務效率和效益提高。但電子商務帶來效益的同時,也伴隨著全新的商業(yè)風險,即存在交易,總會有風險存在。

　　二、電子支付不安全因素分析

　　從我國當前的電子支付實踐來看，由于開展網(wǎng)絡銀行業(yè)務的支付業(yè)務時間短，結合具體國情在中國實施電子商務支付存在的問題主要有如下幾點:

　　1.社會信用度欠缺，制約電子支付系統(tǒng)的發(fā)展

　　互聯(lián)網(wǎng)具有充分開放的特點，網(wǎng)上交易雙方互不見面，交易的真實性不易考察和驗證，對社會信用有較高要求。我國目前的信用體系發(fā)展程度低，經(jīng)濟活動缺乏可靠的信譽基礎，社會誠信觀念有待加強。另外，企業(yè)和個人客戶資信資料零散不全，海關、稅務等部門與銀行信息不能共享，銀行對客戶的資信情況不能完全了解，也制約了電子商務支付系統(tǒng)的發(fā)展。

　　2.經(jīng)濟法律體系不健全，執(zhí)法環(huán)境權威性欠佳

　　目前國內(nèi)有關法律法規(guī)對網(wǎng)上交易的權利和義務規(guī)定不清晰，缺乏網(wǎng)絡消費和服務權益保護管理規(guī)則，沒有專門的法律來規(guī)范網(wǎng)絡銀行的經(jīng)營和使用。特別是在客戶信息披露和隱私權保護方面，還缺乏比較成熟的經(jīng)驗，在出現(xiàn)爭端時，責任的認定、劃分、仲裁結果的執(zhí)行等法律問題在現(xiàn)有法律框架下難以解決。另外，我國網(wǎng)絡銀行的信息跟蹤、檢測、信息報告交流制度的相關法律規(guī)則都未建立，在利用網(wǎng)絡簽訂經(jīng)濟合同、提供金融服務和保護銀行與客戶雙方權利的過程中存在諸多尚待改進之處。如網(wǎng)絡提供商的侵權行為:(1)互聯(lián)網(wǎng)服務提供商(ISP Internet Service Provider)的侵權行為:①ISP具有主觀故意(直接故意或間接故意)，直接侵害用戶的隱私權。例:ISP把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業(yè)秘密泄露。②ISP對他人在網(wǎng)站上發(fā)表侵權信息應承擔責任。(2)互聯(lián)網(wǎng)內(nèi)容提供商(ICP Internet Content Provider)的侵權行為。ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。(3)由于電子現(xiàn)金可以實現(xiàn)跨國交易，稅收和洗錢將成為潛在的問題。現(xiàn)在，通過互聯(lián)網(wǎng)進行跨國交易時的國際稅收問題已經(jīng)發(fā)生，將來會更加突出，為了解決這個問題，流通時不會留下任何記錄，稅務部門很難追查，所以即使將來調(diào)整了國際稅收問題，由于不可跟蹤性，電子現(xiàn)金很可能被不法分子所逃稅。電子現(xiàn)金使洗錢變得很容易。因為利用電子現(xiàn)金可以將錢送到世界上的任何地方而不留痕跡，如果調(diào)查機關想要獲取證據(jù)，需要檢查網(wǎng)上所有的數(shù)據(jù)并破譯所有的密碼，這幾乎是不可能的。目前惟一的辦法是對立一定的密鑰托管機制，使政府在一定條件下能夠獲得私人的密鑰，而這又會損害客戶的隱私權，但作為預防洗錢等違法行為的措施，許多國家已經(jīng)了這種做法。

　　3.銀行內(nèi)部決策機制不暢通，國際化程度低

　　國內(nèi)網(wǎng)絡銀行決策大體分為兩種，一種是由傳統(tǒng)銀行業(yè)務人員負責制定發(fā)展規(guī)劃，另一種是由技術人員決定網(wǎng)絡銀行的發(fā)展方向。兩種決策模式都需要業(yè)務、管理和技術的有機結合，問題的關鍵在于兩種模式中，不論是業(yè)務人員還是技術人員，基本都從事實務工作，成對當前自己著手的工作情況很了解，但對業(yè)務發(fā)展缺乏高瞻遠矚。

　　4.技術上存在許多問題，存在潛在的高風險

　　由于國內(nèi)銀行的關鍵部件依賴于國外公司，網(wǎng)絡客戶端到服務端的電腦又都儲存著重要的信息，因此信息資料被修改和破壞的概率不可低估。國內(nèi)銀行重視硬件的采購和網(wǎng)絡的構建，對技術人員的業(yè)務培訓還不夠，基層銀行普遍存在技術人員知識更新緩慢的現(xiàn)象。國外網(wǎng)絡銀行對一些敏感的數(shù)據(jù)通常采取嚴格的保護措施，而國內(nèi)銀行界目前缺乏機密信息的加密存儲意識，部分銀行沒有建立交易業(yè)務數(shù)據(jù)的管理制度，無法對交易業(yè)務數(shù)據(jù)實施嚴格的安全保密管理。致使出現(xiàn)商業(yè)組織的侵權行為和個人的侵權行為以及部分軟硬件設備供應商的蓄意侵權行為。如專門從事網(wǎng)上調(diào)查業(yè)務的商業(yè)組織進行窺探業(yè)務,非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他商業(yè)目的。如個人未經(jīng)授權在網(wǎng)絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經(jīng)授權而進入他人計算機系統(tǒng)收集、獲得信息或騷擾他人;未經(jīng)授權截取、復制他人正在傳遞的電子信息;未經(jīng)授權打開他人的電子郵箱或進入私人網(wǎng)上信息領域收集、竊取他人信息資料。如某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內(nèi)設置“安全序號”,每個使用該處理器的計算機能在網(wǎng)絡中被識別,生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。網(wǎng)絡所有者或管理者的監(jiān)視及竊聽。對于局域網(wǎng)內(nèi)的電腦使用者,某些網(wǎng)絡的所有者或管理者會通過網(wǎng)絡中心監(jiān)視使用者的活動,竊聽個人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。

　　三、針對電子支付不安全的對策研究

　　電子支付的信息安全在很大程度上依賴于網(wǎng)絡信息安全技術的完善，這些技術包括很多，其中有密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數(shù)據(jù)保護技術、軟件保護技術、病毒檢測及清除技術、內(nèi)容分類識別和過濾技術、系統(tǒng)安全監(jiān)測報警技術等等，針對這些技術上的問題，應該用技術和法制人制方面來解決，為此我提出如下解決方法：

　　1.對電子支付安全性的全面認識

　　通過因特網(wǎng)上進行電子支付，最核心的問題是安全問題，我們要解決安全問題，主要通過數(shù)據(jù)傳輸真實性主要用數(shù)字證書來解決，機密性主要用數(shù)據(jù)加密來解決，完整性主要用消息摘要來解決，不可否認性主要用數(shù)字簽名和事件日志來解決。利用密碼技術，并通過上邊所述的解決方法，人們也制定了很多電子商務協(xié)議，用其來達到完成電子商務交易(包括電子支付)的目的。本人認為可以從以下幾方面來解決安全性問題:

　　(1) 可以通過架設防火墻，它是近來發(fā)展的最重要的安全技術,它的主要功能是加強網(wǎng)絡之間的訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡。

　　(2)還可以通過數(shù)據(jù)加密技術來。數(shù)據(jù)加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。

　　(3)數(shù)字簽名技術。數(shù)字簽名技術是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中,數(shù)字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數(shù)字簽名技術。

　　(4)數(shù)字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記,即有數(shù)字時間戳數(shù)字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。

　　(5)還可以通過設置電子商務信息安全協(xié)議來進行?，F(xiàn)有的電子商務交易協(xié)議有多種，但是目前常用的只有 SSL 和 SET 兩種。

　　①安全套接層協(xié)議(Secure Sockets Layer,SSL)，SSL是由Netscape Communication公司1994年設計開發(fā)的,主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。

　?、诎踩娮咏灰坠?Secure Electronic Transactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網(wǎng)絡的工業(yè)標準。

　　③安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸?shù)陌踩浴HTTP對HTTP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。④安全交易技術協(xié)議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。⑤UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。

　　(6)P2P技術與網(wǎng)絡信息安全。P2P(Peer-to-Peer,即對等網(wǎng)絡)是近年來廣受IT業(yè)界關注的一個概念。P2P是一種分布式網(wǎng)絡,最根本的思想,同時它與C/S最顯著的區(qū)別在于網(wǎng)絡中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡中每一個節(jié)點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。隱私安全性:

　　①目前的Internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內(nèi)容,但是這些機制并不能隱藏是誰發(fā)送了這些信息。而在P2P中,系統(tǒng)要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某個集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。

　　②目前解決Internet隱私問題主要采用中繼轉發(fā)的技術方法,從而將通信的參與者隱藏在眾多的網(wǎng)絡實體之中。而在P2P中,所有參與者都可以提供中繼轉發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。

　　2.建立可靠的電子支付信用體系

　　電子商務作為一種商業(yè)活動，信用同樣是其存在和發(fā)展的基礎。電子商務和信用服務都是發(fā)展很快的新興領域，市場前景廣闊。從二者的關系看，一方面，電子商務需要信用體系，而信用體系也很可能最先在電子商務領域取得廣泛的應用并體現(xiàn)其價值。因為電子商務對信用體系的需求最強，沒有信用體系支持的電子商務風險極高;而在電子商務的基礎上又很容易建立信用體系，電子商務的信息流、資金流、物流再加上電子簽章，四者相互呼應交叉形成一個整體，在這個整體之上，只要稍加整合分析，進行技術處理就可以建立信用體系，并且該信用體系對電子商務是可控的。于是，整合電子商務與信用體系，或者建立電子商務的信用體系，就成為一種需求、一種目標、一項任務。為了使誠信體系能在電子支付系統(tǒng)中使用，本人研究了P2P技術，為了使P2P技術能在更多的電子商務中發(fā)揮作用，必須考慮到網(wǎng)絡節(jié)點之間的信任問題。實際上，對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網(wǎng)絡加強信任管理的必然選擇。對等誠信的一個關鍵是量化節(jié)點的信譽度。或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網(wǎng)絡的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣，在一個分布式系統(tǒng)中，對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如，對等點i每次從j下載文件時，它的信譽度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。 每個對等點i可以存貯它自身與對等點j的滿意的交易數(shù),以及不滿意的交易數(shù),則可定義為: Sij=sat(i,j)-unsat(i,j)

　　信用體系可以說是一種最為靈活且最有可能與電子商務本身實現(xiàn)良性互動的規(guī)范模式，它可以無處不在，同時，卻能做到大相無形。正如我們前面分析的，由于電子商務與信用體系在本質(zhì)上的一致性，它們可以很容易地做到無縫連接，這種無縫連接所帶來的效率和便捷正是電子商務所必需的。而在行政管理及法律制裁中，我們發(fā)現(xiàn)，要實現(xiàn)它們與電子商務的無縫連接還是十分困難的。

　　3.加強法制人制上的管理力度

　　(1)我國電子支付安全管理除現(xiàn)有的部門分工外，還需要建立建立合理的電子現(xiàn)金識別制度，發(fā)行統(tǒng)一的電子現(xiàn)金是不可能的，所以必須建立合理的電子現(xiàn)金識別制度。

　　(2)限制電子現(xiàn)金的發(fā)行人。目前情況下，可以只允許銀行發(fā)生電子現(xiàn)金。這樣，許多現(xiàn)行的一些貨幣政策和法規(guī)可以應用于電子現(xiàn)金，而無須太大的改動。當電子商務環(huán)境成熟時，再擴展到有實力和有信譽的大公司和網(wǎng)絡服務提供商。

　　(3)消費者的個人信息存儲在銀行，如果銀行的網(wǎng)絡遭到攻擊，私人信息可能會泄露，若補救不及時時，很可能給消費者造成巨大損失。所以，應從法律上和技術上共同防止黑客攻擊。

　　(4)在人才培養(yǎng)中，要注重加強與國外的經(jīng)驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動。加快立法進程,健全法律體系。

　　(5)結合我國實際，吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗,對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學和完善。國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此,需要建立中國的公開密鑰基礎設施、信息安全產(chǎn)品檢測評估基礎設施、應急響應處理基礎設施等。在網(wǎng)絡建設與經(jīng)營中,因為安全技術滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網(wǎng)絡風險防范機制。建議網(wǎng)絡經(jīng)營者可以在保險標的范圍內(nèi)允許標保的財產(chǎn)進行標保,并在出險后進行理賠。

　　(6)進行網(wǎng)絡技術創(chuàng)新，重點研究關鍵芯片與內(nèi)核編程技術和安全基礎理論，以創(chuàng)新的思想，建立具有中國特色的信息安全體系。建立統(tǒng)一的技術規(guī)范，把局部性的網(wǎng)絡就進行互連、互通、互動。目前,國際上出現(xiàn)許多關于網(wǎng)絡支付安全的技術規(guī)范、技術標準，目的就是要在統(tǒng)一的網(wǎng)絡環(huán)境中保證在電子支付中的個人隱私信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時，拿出既符合國情又順應國際潮流的技術規(guī)范。

　　參考文獻:

　　[1]屈云波:電子商務[M].北京：企業(yè)管理出版社,1999

　　[2]趙立平:電子商務概論[M].上海：復旦大學出版社,2000

　　[3]趙戰(zhàn)生:我國信息安全及其技術研究[J].中國信息導報,1999,(8)

　　[4]曹亦萍:社會信息化與隱私權保護[J].政法論壇,1998,(1)

　　[5]林聰榕:世界主要國家信息安全的發(fā)展動向[J].中國信息導報,2001,(1)

　　[6]胡淑紅:論電子商務中網(wǎng)絡隱私安全的保護 ,,2007,3,14

　　[7]熊曉元:電子商務交易風險的不確定性分析 ,2007,3,13

　　[8]石磊:電子商務的網(wǎng)絡技術[M].北京:中國水利出版社 2005

1.電子商務支付安全論文

2.電子商務支付安全問題探析論文

3.網(wǎng)絡安全技術論文1000字

4.網(wǎng)絡安全電子商務技術論文

5.電子商務安全論文范文