电子商务网络支付安全问题探讨毕业论文

摘要…………………3关键词………………3前言…………………31电子商务与网络支付系统的发展现状…………………42网络支付面临普遍的安全问题………42.1支付密码泄漏……………………42.2支付数据被篡改……………52.3支付否认……………………52.4无法有效验证身份…………52.5系统错误……………………53网上支付系统的安全要求…………53.1保密性………………………53.2信息的完整性………………………63.3可用性…………63.4不可否认性……………………63.5可审查性…………73.6认证性…………………74网上支付系统安全的问题与建议……………………84.1识别假冒网站……………………84.2识别虚假短信(邮件)……………84.3不要设置简单的密码……………84.4利用验证技术……………………94.5支付网关技术的应用…………94.6防火墙技术的应用……………94.7加强全过程的安全管理……………………105结束语………………………11致谢………………………11电子商务网上支付安全问题探讨摘要：网络支付已经成为重要的支付手段之一，是基于Internet的电子商务的核心支撑流程，是网上银行的发展方向。它改变了传统的支付结算处理方式，使支付活动不再受地域、时间的限制，为客户提供了便捷的支付渠道，适应现代经济发展的需要。同时我们也应该注意网络支付的潜在安全风险，在网上支付的同时，必须确保网络支付的安全。计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重，网络安全管理的任务将会越来越艰巨和复杂，抓好网络安全问题对保障网络信息安全至关重要。所以电子商务的安全实际上很大部分就是保证电子商务过程中网络支付结算流程的安全，这正是银行与商家，特别是客户关心的焦点问题。因此文章对电子商务网络支付安全问题进行探讨分析。关键词：网络支付；安全问题；安全技术前言美国等发达国家，通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善，我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中，买卖双方是通过网络联系的，由于internet是开放性网络，建立交易双方的安全和信任关系较为困难，由于电子商务的远距离网络操作性而非传统的面对面方式，它已成为大家关注电子商务运行安全的首要方面。完成了电子商务中资金流的网络支付，因涉及商务实体最为敏感的资金流动，所以是紧需要保证安全的方面也是紧容易出现安全问题的地方。因此本文对电子商务网络支付上的安全问题进行探讨分析。网络支付，也称网络支付与结算，它指以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，采用现代计算机技术和以电子信通信技术作为手段，通过计算机网络系统特别是Internet，息传递形式来实现资金的流通和支付。我们也可以将它理解为电子支付的高级方式。它是电子支付的一个最新发展阶段，以电子商务为商业基础，以商业银行为主体，使用安全的主要基于Internet平台的运作平台，通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。从这里可以看出，基于Internet的即时网络支付是电子商务业务流程的一个关键环节，高水平电子商务发展的需求直接导致网络支付结算的兴起。1电子商务与网络支付系统的发展现状电子商务的发展现状根据2013年1月13日，中国互联网络信息中心（CNNIC）在京发布的《第25次中国互联网络发展状况统计报告》显示，在主要互联网应用使用率调查中，网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。由此可见，越来越多的企业和顾客加入到电子商务的队伍中来，网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国，电子商务虽然刚起步，但是人们对电子商务的巨大潜力深信不疑；我国政府积极支持电子商务活动的开展，这些都对我国电子商务的发展产生了重要的影响。但是应当看到，我国还存在一些“瓶颈”问题，严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准，没有规矩不成方圆，没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础，而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事，是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上，国外成熟的电子商务解决方案占据主导地位仍是不争的事实，而国内真正有能力的开发厂家更是屈指可数，仔细算来也只有实华开、四通寥寥几家，但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段，越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现，网上支付系统的关键技术都是至关重要的。但是现在制约电子商务发展的最关键的技术，是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。2网络支付面临普遍的安全问题：在网络支付与结算中，资金支付结算体系问题是电子商务中主具体来说，目前电子商务下网络支付结算流程要的安全隐患发生点。中面临的主要安全问题现阶段的支付风险主要存在于以下五点：2.1支付密码泄漏一旦攻击者通过某种方式得到支付密码，可这是以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。人们对网上支付安全的主要担心所在。2.2支付数据被篡改在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等，达到谋利目的并制造互联网支付事件。2.3支付否认网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。2.4无法有效验证身份支付方不知商家到底是谁，商家不能清晰确定网络支付工具是否真实，以及资金何时入账等。一些不法商家或个人利用网络贸易的非面对面性，以及网上站点的开放性和不确定性进行欺诈活动。2.5系统错误由于客户的电子贷币信息存放在相应的银行后台服务器中，当银行网络遭到非人为的损害或黑客的故意攻击而导致银行后台服务器出现错误、运行中断或瘫痪时，客户肯定无法使用其电子贷币；或者导致正在进行的网络支付进程中断，这必定影响客户的支付行为。3网上支付系统的安全要求3.1保密性要确保网上支付系统的安全，首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性，交易中的商务信息都需要遵循一定的保密规则。交易中的商务信息可能直接关联着个人、企业或国家的商业秘密,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。因为其信息往往代表着国家、企业和个人的商业机密，而电子商务是建立在一个较为开放的互联网络环境上的。它所依托的网络本身也就是由于开放式互联形成的市场，才赢得了电子商务。因此在这一新的支撑环境下，势必要用相应的技术和手段来延续和改进信息的保密性。,因此,要采取措施预防信息的非法存取和信息在传输过程中被非法窃取。维护商业机密是电子商务全面推广应用的重要保障。对于网上支付系统来说，他的保密性意味着系统必须满足两点：（1）私有交易不会被其它人截获及读取，既没有人能够通过拦截会话数据获得订货单中的帐户信息；如果可能，（2）应确保交易的匿名性，使交易不会被追踪，任何人无法利用“发生交易”这样的事实本身来达到别的目的。3.2信息的完整性不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动，信息系统的形式整合化简了企业贸易中的各个环节，但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。要确保网上支付能够安全顺利的进行，还要防止未经授权的数据修改。交易双方的合同签订后就不能随意删改，以保证交易的公正性,与可行性。电子商务简化了贸易过程，减少了人为的干预，但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。这会影响贸易各方商业信息的完整性和统一性。因此保持贸易各方信息的完整性是电子商务应用的基础。完整性指资源只能由授权实体修改。网上支付系统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息，不可能在传输过程中被篡改，也不可能是一条伪造的消息。3.3可用性可用性是指一旦用户得到访问某一资源的权限，该资源就应该能够随时为他使用，而不应该将其保护起来使拥护的合法权益受到损害。在电子商务系统中，提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源，避免对访问不同的服务使用不同的登录过程。不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动，信息系统的形式整合化简了企业贸易中的各个环节，但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸易各方信息的完整性是电子商务应用必备的基础。3.4不可否认性在交易中会出现交易抵赖的现象，如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息，正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。要确保网上支付系统的安全，交易一旦签订就不能被否认。因此交易的各个环节,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认,确认数据已经完全发送和接收,防止接收用户更改原始记录,防止用户在收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性,在交易数据发送完成以后,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。一旦事务结束，有关各方都不能否认自己参与过这次事务。3.5可审查性根据机密性和完整性的要求,应对数据审查的结果进行记录,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利,否认电子交易行为时,系统应具备审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。3.6认证性要确保网上支付系统的安全，在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。首先,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者，而不是第三者冒名发送。发送方可以确认接收方的身份是真实的，而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份，知道对方确实是他所称的那一位。在这里，确定意思并不完全意味着知道对方的准确身份，但应能做到知道自己是在与一个可靠的对象通信。4网上支付系统安全的问题与建议4.1识别假冒网站消费者在认清网站域名的同时，在提交重要信息时也要验明服务器的身份。其中验证服务器证书最简明的做法，是在提交重要信息网页页面右下角会出现一个金黄色的小锁，点击它就可以查看所有该服务器证书的信息，包括服务器证书的颁发机构、还应该使用个人数字证书。书有效期限等信息。除了服务器证书之外。4.2识别虚假短信(邮件)持卡人在收到任何与银行卡、支付有关的短信后，应确认短信发送者的真实身份或短信内容。4.3不要设置简单的密码不要采用简单数字组合、自己或亲人的生日信息、电话号码。此外，还应注意支付终端的安全性，如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时，还要注意在其他场所输入支付密码时不轻易被他人偷窥、摄像等，不要将密码记录在容易被人看到的纸片上。加密技术利用加密技术保证电子商务支付的机密性密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言,1976年以前主要采用对称加密技术,这种加密技术存在着很多问题,如密钥分发的安全性,密钥规模过大、不能保证消息的真实性和完整性等。1976年以后,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。对称加密技术对称加密技术有许多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。它把64位的明文输入块变成64位的密文输出块,所使用的密钥也是64位,其中第8位奇偶校验位另作它用。DES利用56位的密钥,对64位的输入数据块进行16次的排列置换,最后生成输出块密码。非对称性加密方式非对称密钥加密方式又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密功能。一个公开发布,即公开密钥;另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公开密钥机制虽然灵活,但加密和解密速度却比对称密钥加密慢得多。加密技术在网上支付系统中的综合应用。结合对称技术、非对称加密技术的特点,在网上支付系统的支付过程中,主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。既保证了消息传送的机密性,又保证了会话密钥分发的安全性。数字信封数字信封利用了上面两种加密技术的优点来确保信息的安全传输它克服了对称密钥加密中对称密钥分发困难和公开密钥加密中加密时间长的问题。4.4利用验证技术保证电子商务支付的真实性、完整性在保证消息的真实性和完整性方面,主要采用的是基于非对称加密算法的验证技术,包括数字签名、身份验证等技术。数字签名数字签名并不是新的加密算法,而是现有加密算法的综合应用。它应用的是数字摘要和公开密钥加密技术。因为数字摘要技术能够识破信息的篡改,而公开密钥加密技术能够确认信息的来源。在数字签名系统中,信息发送方的任务是:(1)组织信息;(2)求出它的数字摘要;(3)加密数字摘要,且附上发送信息。而接收方的任务是:(1)利用发送方的密钥来解密发送方的数字摘要;(2)求出接收信息的数字摘要;(3)比较两个数字摘要,若相等,则说明接收信息准确无误。4.5支付网关技术的应用支付网关通常位于公网和传统的银行网络之间，或者终端和收费系统之间其主要功能为将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包接收银行系统内部传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。支付网关技术，要完成通信协议转换和数据加解密功能，并可以保护银行内部网络。此外支付网关还具有密钥保护和证书管理等其它功能。有些内部使用网关还支持存储和打印数据等扩展功能交易安全是电子商务正常健康运营的关键所在，不同性质的企业应根据自身的特点选择最为安全和行之有效的防护技术。对于加密身份认证以及支付网关技术不断的加强测试，加强优化为安全运营构筑强有力的屏障。4.6防火墙技术的应用为了确保信息安全,避免对网络的威胁与攻击,防止对网络资源不正当的存取,保护信息资満而采取的一种手段就是设置防火墙。从理论上说,防火墙概念指的昧提例对网络的存取控制功能,保护信恭资源。而从物理上的设备来看,防火墙是Intranet设置的一种过滤器、限制器。防火墙系统负责管理Internet同内部缑络之间的访问,主要作用昮在网缆入口点检查网络通信,根据所设定的安全规则,在保护内部网络安全的前提下,提供内外网络的通信。决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些可以访问的服务,哪些外部服务可以被内部人员访问。所有来自和去往Internet的信息都必须经过防火墙的过滤、检查和存取控制。采用黑匣子模型增强客户端安全“黑盒”的意思就是从外面看不到里面,谁也不知道盒子里面隐藏的是什么,在计算机技术中用“黑盒”来表示技术的实现被完全封装起来,在这里我们提出电子支付的“黑盒模型”的含义是指用户端的输入、信息加密、解寂、通训控制、安全检测等被完全封装到一个模块中,这个模块与用户计算朠之间只交换加密信息,加密信息通过Internet被送到银蠌服务器。4.7加强全过程的安全管理网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查。在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。建立动态的闭环管