电子商务支付体系中存在的安全问题和对策Word文档下载推荐.docx
- 文档编号:22877657
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:15
- 大小:29.20KB
电子商务支付体系中存在的安全问题和对策Word文档下载推荐.docx
《电子商务支付体系中存在的安全问题和对策Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《电子商务支付体系中存在的安全问题和对策Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
电子商务;
电子支付;
网上支付;
安全性;
Abstract
Developdaybydayalongwiththesocietyprogress,calculator,networkandcommunicationtechnique,akindofnewlyarisenbusinessbehaviorpattern-electroniccommerceappeared.Thecoreofelectroniccommerce-payawayalongwiththecalculatortechniqueinthefinancialrealmofappliedcontinuouslyturninto,henceaccordingtothenetofInternetuppaidtoappear,payonthenetofelectroniccommercetheproblemalsomoreandmoreisvaluedbypeople.Mainlyhaveanetthebottomtopayinthelocalnetthetopthebargainwithnetcurrentlyuppaytwokindsofmethod.Ex-1kindmainlypassestelephone,telegramorlettertodelivercreditcardandaccountinformation;
Empress1kindistopassthetopofthenettodirectlyinputcreditcardandaccountinformationtocarryontransfer.Compareunderthenetpayanabilitybodymorenowtheconvenienceandfunctionoftheelectroniccommerce.
Thistextisfromtheelectroniccommercetothemeaningofeconomicdevelopment,ourcountryelectroniccommercefaceofproblemandproblem-solvingcounterplanetc.severalaspectsindetailtoourcountrytheexistentproblemintheelectroniccommercedevelopmentcarriedonanalysis.
Althoughtheelectroniccommercehasalreadyhaddevelopmenttimeformorethan10yearsinChina,leavethoroughpublic,occupymaincurrentstilltotallydifferent,theimportantreasonofanamongthoseispeopletopaymeanstothiskindoflatelyeconomicmodeofunfamiliar,mostpeoplefortheprinciplethatthenetpayandworkthewaynotandveryunderstands,existencedoubtandmysteriousfeeling,sotoelectroniccommercenetuppayconditionandtechniquetocarryontreatise,analyzeanexistingnewnetuppayofmode,helppeopletoknowelectroniccommercethisnewlyarisenthingfurther,canmakemorepeopleacceptthusandactivelyadaptthisnewbusinessmode.
Keywords:
Electroniccommerce;
Theelectronicspay;
Payonthenet;
Safety;
1.引言
近年来电子商务快速发展,为了完成电子商务交易,不同的支付工具,如信用卡、电子现金、电子钱包、电子收费等不断出现。
在这些工具中,人们最常用的还是信用卡,至今95%以上的网上消费者用信用卡消费。
然而,正是信用卡成了影响电子商务进一步发展的主要障碍。
自20世纪60年代后期出现以来,信用卡欺诈问题一直困扰着商家和消费者,并且愈演愈烈。
1.1电子商务与支付系统概述
1.1.1电子商务的定义
人们通常把基于Internet平台进行的商务活动统称为电子商务。
电子商务是贸易活动各环节的电子化,它覆盖了与商务活动有关的所有方面。
电子商务给传统的贸易方式带来了巨大的冲击,它突出的标志就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。
可以扩大销路、沟通企业与企业之间的疏通渠道,为客户提供不间断的产品信息查询和定单处理等服务。
这一切都增强了企业的竞争力。
电子商务极大地改变了商务模式,带动了经济结构的变革,被国际上认为是“未来四分之一世纪世界经济发展的一个重要推动力,甚至可以与200年前工业革命对经济发展的促进相比”。
1.1.2电子支付与网上支付
电子商务的蓬勃发展使支付系统建设有了新思路,对电子支付系统的地位和作用有了新评价:
电子支付系统是实现网上支付的基础,网上支付则是电子支付系统发展的更高形式。
首先,电子支付系统并没有改变银行支付结算的基本结构和过程。
电子支付、企业银行等都是建立在封闭的专用网中,银行结算都是发生在商品交易完成之后;
而网上支付则是与网上交易紧密结合、互为条件的。
网上交易不确定,网上支付就不会发生,而网上支付不进行,网上交易也不能最终完成。
其次,网上支付是以电子支付系统为条件的。
以电子购物中普遍应用的银行卡结算为例,持卡人在网上确定购物意向后,支付指令是由商场经过支付网关、银行卡信息交换网络送往发卡行处理中心授权、扣帐,然后将信息返回商户,完成交易;
银行卡授权、扣帐信息及最终资金清算又需通过银行电子汇兑、电子联行或同城清算系统来完成。
再次,网上支付是交互的,使得原本只有企业才能直通银行的电子支付方式,由互联网为个人、家庭开辟了连接银行的渠道,并且使个人和企业不再受限于银行的地理环境、上班时间,突破了空间距离和物体媒介的限制,足不出户即可完成支付结算。
1.1.3网上支付工具
我国电子商务是在借鉴国际先进技术和经验的基础上发展起来的,网上支付的应用也应借鉴国际通行做法,并结合我国特点逐步完善。
目前,国际通行的网上支付工具和支付方式主要有银行卡支付、电子支票、电子现金以及网上银行等。
1、银行卡支付
银行卡支付方式的基本做法是通过专用网络或国际互联网以信用卡号码传送做交易,基本上持卡人(card-holder)就其所传送的信息(message),先进行数字签名加密,然后将信息本身、数字签名经CA认证机构的认证后,连同电子证书((electroniccertificate)等一并传送至商家,商家验证证书,解密被加密的数据完成交易转帐。
2、电子支票
电子支票是一种借鉴纸张支票转移支付的优点。
利用数字化网络传递将钱款从一个帐户转移到另一个帐户的电子付款形式。
这种电子支票的支付是在与商户及银行相连的网络上以密码方式传递的,多数使用公用关键字加密签名或个人身份密码(PIN)代替手写签名。
用电子支票支付,事务处理费用较低,而且银行也能为参与电子商务的商户提供标准化的资金信息。
3、电子现金
电子现金是一种以数据形式流通的货币、它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市值,用户在开展电子现金业务的银行开设帐户并在帐户内存钱后,就可以在接受电子现金的商家使用。
4、网上银行
网上银行既是电子商务范畴之一,又为电子商务提供网上支付服务。
在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件。
没有适时的电子支付手段相配合,电子商务就成了真正意义上的“虚拟商务”,只能是电子商情、电子合同,而无法网上成交。
网上支付要求金融业电子化,网上银行E-Bank(ElectronicBank)的建立成为大势所趋,它是在Internet上的虚拟银行柜台。
用户可以不受时间、空间的限制,只要用一台PC,一根电话线,就可以享受全天候的网上金融服务。
这里的网上金融服务是指实质性的金融服务,除了传统的商业银行业务之外,还可以进行网上支付结算那些拥有自己网站,但仅仅进行形象宣传和业务介绍的银行,充其量只能算“上网银行”,而非“网上银行”,网上银行必须具有支付结算等金融功能。
1.2电子商务网上支付的发展现状
电子商务于90年代初兴起于美国、加拿大等国,但在近几年电子支付才被人们普遍接受。
各厂商如IBM、HP、Microsoft、SUN等纷纷推出自己的电子商务产品和各自的解决方案。
随着电子商务的发展,各种法规也随之健全,德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。
1996年下半年,美国财政部颁布有关《全球电子商务选择税收政策》白皮书;
联合国国际贸易法委员会(UNCITRAL)已经完成模型电子商务法的制定工作,为电子交易制订出统一通用的规则。
另外,两大国际信用卡组织VISA和MasterCard合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。
SET是专为网上支付卡业务安全所制定的的标准。
我国正处于信用卡传统支付方式的推进以及银行卡互联网支付系统推进并行发展的阶段。
虚拟帐户方案已经在各类电子服务公司中得到广泛的应用,但各网站推出的虚拟货币、帐户几乎都是在各自的网站内使用,缺少网站间成熟的流通机制,网民的数量以及消费规模已经形成了一定的市场需求,但还没有足够的动力促使此类支付系统走向成熟与深入应用。
2.电子商务实施中存在的安全问题
2.1电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。
实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。
从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。
但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。
电子商务交易双方(销售者和消费者)都面临安全威胁。
电子商务的安全要素主要体现在以下几个方面:
1)信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2)信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3)信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。
因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4)信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;
不可否认要求即是能建立有效的责任机制,防止实体否认其行为;
可控性要求即是能控制使用资源的人或实体的使用方式。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
2.2电子商务安全问题的产生
由于网络的全球性、开放性、无缝连通性、共享性和动态性的发展,任何人都可以自由的接入Internet,其中有善者,也有恶者。
恶者会采用各种攻击手段进行破坏活动。
因此,在Internet上发展电子商务的一个首要问题,是解决Internet商务的安全性和可靠性。
任何成功的电子商务系统必须能提供足够高的安全性、可靠性、和可用性,才能赢得客户的信任和欢迎。
Web将提供可用性,而安全技术和设施将解决安全可靠性,确保电子商务中商家和客户隐私、产权和钱财的安全。
电子商务系统的安全需求可分为交易环境的安全性、交易对象的安全性、交易过程的安全性和支付的安全性四个方面。
交易环境的安全性是指电子商务系统所采用的软硬件环境的安全,包括系统平台、网络平台、网络通信、数据以及应用软件的安全感;
交易对象的安全性是指电子交易涉及的持卡人(客户)、发卡机构、商家、受卡行和支付网关等主体对象的真实性和可信性;
交易过程的安全性是指各交易对象进行网上交易的可信性和不可抵赖性;
支付的安全性则是要为电子货币的应用和发展铺平道路。
3.电子商务安全问题的分析
3.1安全问题产生的技术原因
从技术上看:
首先是数据传输的速度太慢;
第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;
第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;
第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。
第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。
安全技术的强度普遍不够。
国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。
这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。
3.2安全问题产生的环境原因
网络信息安全在全球还没有形成一个完整的体系,我国也不例外。
虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。
近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品
3.3安全问题产生的人为原因
从管理上看,存在的主要问题有:
1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;
2)电子商务网站的经营收益远低于预期,使有网络泡沫之虞;
3)缺乏能适应中国国情的市场技巧。
现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。
4)网站运营成本太高。
由于运行成本居高不下,再好的商业模式也不堪重负。
5)收费困难。
除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。
电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。
这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。
目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。
如果遇到类似于DDOS的攻击时应该引起注意,但不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。
从以往遭遇过的攻击中我们可以得到以下几点启示:
1.纯技术难以防范原始攻击方式。
如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的方法去防范。
美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安全补丁很多,但很少有人真正用它或不知道怎么去用。
所以,在信息化发展的初期,管理比技术显得更为重要。
2.病毒比一般攻击更可怕。
现在的病毒(包括恶性代码)破坏性越来越大。
现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。
3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;
然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;
第三是黑客攻击;
第四是用户数据的泄漏;
第五是假冒的交易。
4.电子商务解决安全问题的对策
4.1现有解决方案
技术的发展进步已为以上方面提供了可能的解决方案。
例如:
“数字签名”及“信息摘要”可以证实一个信息是否被篡改;
一个“数字证书”可以确认一个发送数字签字信息的人的身份;
“双重加密”可以实行在线订货付款,而不让卖方看到信用卡号。
国际交易要求:
数字签名及认证应该是国际公认和通用的,而且所有国家都要掌握充分的编码技术。
现有电子商务网上支付系统的安全体系结构一般分为三大层次如图4-3所示:
(1)第一层:
基本加密算法。
目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。
对称密钥体制(又称单钥密钥体制),即对信息加解密使用的密码是同一密码。
目前,国际上分组密码最具代表性的是美国数据加密标准DES。
DES的密钥长度是56位。
该标准主要应用于银行业中的电子资金转账(EFT)领域。
非对称密钥体制(又称公钥密钥体制),即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。
这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为专用密钥(解密密钥)加以保存。
(2)第二层:
安全认证手段。
①数字摘要(DigitalDigest)。
采用中一向Hash函数,将需要加密的信急原文通
过特定的变换,将其“摘要”成一串128位的密文。
这串密文又称数字指纹,它是有固定长度的段代码,且对于不同的信息原文,将它摘要成密文之后的结果总是不同的,而同样的信息原文所形成的摘要必定是一致的。
这样利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。
②数字信封(DataEnvelop)。
采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。
在数字信封中,信息发送方使用密码对信急进行加密,在利用RSA算法对该密码进行加密,则被RSA算法加密的密码部分称之为数字信封。
它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。
③数字签名(DigitalSignature)。
只有信息发送者才能产生的别人无法伪造的一段数据串。
这段数据串同时也是对发送者发送了信息的真实性的一个证明。
在书面文件上签名是确认文件的一种手段。
作用有两点第一点因为自己的签名难以否认,从而确认了文件己签署这一事实;
第二点因为签名不易冒犯,从而确认了文件是真实这一事实。
④数字时间戳(DigitalTimestamp)。
数字时间戳服务是网上安全服务项目,由专门的机构提供。
数字时间戳是一个经加密后形成的凭证文档,它包括二个部分:
需加时间戳文件的摘要、数字时间戳机构收到文件的数字时间和数字时间戳机构的数字签名。
⑤数字证书和数字凭证(DigitalCritical&
DigitalID)。
用电子手段来证实一个用户的身份和对网络资源的访问和权限。
在网上的电子交易中,如果双方出示了各自的数字证书,并用它进行交易操作,那么双方就可以不必为双方身份的真实性担心了。
⑥认证中心(CA)。
无论是数字时间戳还是数字证书的发证都不是靠交易双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成。
CA认证中心就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。
CA的主要任务是受理数字凭证的申清签发数字证书及对证书进行管理。
(3)第三层:
安全认证协议。
①安全文本传输协议(S-HTTP:
SecureHTTP)是对HTTP协议的扩展,保障WEB站点间交易的机密性、可靠性、完整性。
它并不依赖于特定的密钥证明系统,目前支持RSA,带内和带外以及Kerberos密钥交换。
②安全套接层协议(SSL)是一种利用公开密钥技术的工业标准。
它提供一个终端对终端的加密了的通信会话。
它嵌套在传送层与应用层之间,由两个协议组成。
其中SSL,记录协议在传输层之上,用来密封各种较高层的协议。
SSL握手协议的操作在SSL记录层之上。
在应用程序协议接收或传送数据之前,它允许客户和服务器彼此验证和协商一个数据加密法则和加密密钥。
③安全电子交易协议(SET)是1997年5月由Visa、MasterCard信用卡组织、Verifone等联合推出的用于电子商务网上支付的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,一个用以保护电子交易的隐私和保证交易的真实性的开放标准。
它采用公钥密码体制和X.509数字证书标准,目的就是为了保证网络交易的安全。
(4)支付网关。
支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,其主要功能为:
将公网传来的数据包解密,并按照银行系统内部通信协议将数据重新打包;
接
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 支付 体系 存在 安全问题 对策