网上支付的安全需要与技术对策

题目:网上支付的安全需要与技术对策摘要:随着互联网的全面普及，基于互联网的电子商务也应运而生，并在近年来获得了巨大的发展，成为一种全新的商务模式。同时,这种商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建显得尤为重要。如何建立一个安全、便捷的电子商务应用环境，对交易过程中的信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。本文就电子商务中网上支付安全方面的问题进行分析并提出相应的防护策略。关键词:网上支付，安全需求，安全策略，密码技术一、引言电子商务的产生和发展改变了商务活动的方式、企业经营管理的方式、人们消费的方式以及政府的行为等,带来了许多新的机遇,同时也面临着安全方面的严峻挑战。保证电子商务的快捷、方便、可靠与安全,是其能被社会广泛接受的条件。由于电子商务的远距离网络操作性而非传统的面对面交易,没有国界、没有时间的限制,可以利用因特网的资源和工具进行访问、攻击甚至破坏,因此电子商务的安全问题已成为人们关注的焦点,也是电子商务发展的关键。电子商务的安全与其他计算机应用系统的安全一样,是一个完整的安全体系结构。它包含了从物理硬件到人员管理的各个方面,任何一个方面的缺陷都将在一定程度上影响整个电子商务系统的安全性。二、网上支付面临的安全问题众所周知,因特网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之联接,并借助因特网发布信息,获取与共享各种网站的信息资源,发送电子邮件与开展网上办公,进行各种网上商务活动。同时,也给那些别有用心的组织或个人提供了窃取别人的各种机密如消费者的银行账号、密码,甚至妨碍或毁坏他人网络系统运行等各种机会。概括起来,网上支付面临的安全威胁主要有以下几方面。（一）系统的中断与瘫痪。网络故障、操作失误、应用程序出错、硬件故障、系统软件设计不完善以及计算机病毒都有可能导致系统不能正常工作。如在划拨货款的过程中突然出现网络中断等。（二）信息被窃取。电子商务作为一种全新的贸易形式,其通讯的信息直接代表着个人、企业或国家的利益。攻击者可能通过因特网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数分析,推断出有用的信息、如消费者的银行账号、密码等。（三）信息被篡改。攻击者可能从三个方面破坏信息的完整性。一、篡改。改变信息流的次序,更改信息的内容。二、删除。删除某个消息或消息中的某些部分。三、插入。在信息中插入一些其它干扰信息,让收方读不懂或接收错误的信息。（五）信息被伪造。一、虚开网站和商店,给用户发电子邮件,接受订单。二、伪造大量用户,发电子邮件,穷尽商家资源、使合法用户不能正常访问网络资源。三、冒充他人身份,进行消费和栽赃等。（六）对交易行为进行抵赖或不承认。一、发信者事后否认曾经发送过某条消息或内容。二、收信者事后否认曾经收到过某条消息或内容。三、购买者不承认确认了的订单。四、商家卖出的商品因价格差而不承认原有的交易。三、网上支付安全需求触发电子商务安全问题的原因有：黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞及人为的触发。电子商务面临的安全隐患导致了对电子商务安全的需求，为了实现一个安全的电子商务系统需要做到以下几个方面：（一）机密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的（尤其Internet是更为开放的网络），维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。（二）完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。（三）认证性由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体进行身份性确认成了电子商务中很重要的一环。对个人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时，鉴别服务将提供一种方法来验证其声明的正确性，一般都通过证书机构CA和证书来实现。（四）不可抵赖性电子商务关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是所期望的贸易伙伴，这一问题则是保证电子商务顺利进行的关键。贸易双方在传统的纸面贸易中可以通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴身份，确定合同、契约、单据的可靠性，并预防抵赖行为的发生，这也就是人们常说的“白纸黑字”。通过手写签名和印章在无纸化的电子商务方式下已是不可能的。因此，要在交易信息的传输过程中，为参与交易的个人、企业或国家提供可靠的标识、不可抵赖性，可通过对发送的消息进行数字签名来获取。（五）有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。四、网上支付的技术对策（一）防火墙技术完整性”。数字签名的种类和功能非常多，相应的方案也很多，除了常规的数字签名方案之外，还有众多具有代表性的群签名方案、多重数字签名方案、批验证协议和代理数字签名方案等。在电子商务的众多网络服务中都用到了数字签名技术，如电子合同的认证、网络支付单据的认证、电子政务中政府公文的传递等。由于电子商务的非面对面性，为了防止网络中假冒、抵赖等行为的发生，并使其有据可循，数字签名就如同传统商务中的个人手写签名或企业印章一样，保障了电子商务的安全。（七）数字摘要通过使用单向散列(Hash)函数从要发送的报文中生成一个固定长度(通常是128位)的散列值(或报文摘要)。不同的报文生成不同的报文摘要,对报文的微小改动都会造成报文摘要的完全不同;相同的报文其报文摘要必然一样。因此,利用报文摘要就可以验证网络传输收到的报文是否是初始的、未被篡改过的,从而保证数据的完整性。（八）数字时间戳在电子交易中,还需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS,DigitalTime-Stampservice)就能提供电子文件发表时间的安全保护。数字时间戳服务是网上安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括三个部分:需加时间戳的文本的摘要,DTS收到文件的日期和时间及DTS的数字签名。（九）数字信封数字信封是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的一种技术。数字信封既发挥了对称加密算法速度快、安全性好的优点，又发挥了非对称加密算法密钥管理方便的优点。数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据(通信密钥)还原；数字信封拆解是使用私钥将加密过的数据解密的过程。（十）数字证书及CA认证中心1．数字证书。数字证书是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证，由权威机构颁发。数字证书的格式一般采用X.509国际标准，一个标准的X.509数字证书包含以下内容：证书的版本信息、证书的序列号、证书所使用的签名算法、证书的发行机构名称、证书的有效期、证书所有人的名称、证书所有人的公开密钥、证书发行者对证书的签名。X.509证书格式还预留了扩展内容，用户可以根据自己的需要进行扩展。数字证书通过运用对称和非对称密码体制建立起一套严密的身份认证系统，可以保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。证书的验证是通过证书中证书颁发机构用其私钥签署的证书信息摘要的电子签名的合法性来进行的。随着Internet的普及以及电子商务和电子政务的飞速发展，数字证书已经广泛地应用到各个领域之中，如：发送安全电子邮件、访问安全站点、网上招标投标、网上签约、电子支票、网络银行、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。2．认证中心(CA)。认证中心（CertificationAuthority）就是一个负责发放和管理数字证书的权威机构，也是PKI的核心。在大型应用环境中，认证中心经常采用多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。认证中心负责完成证书的颁发、更新、查询、作废和归档等管理工作。认证中心（CA）的主要功能有：证书发放、证书更新、证书撤销和证书验证，CA的核心功能就是发放和管理数字证书。(十一)安全协议。1．SSL(SecureSocketLayer)是由Ntscape设计的一种面向连接的开放协议，主要在两个通信应用程序之间提供机密性和数据完整性。但是,SSL协议只能提供交易中客户与服务器间的双方认证，而电子商务往往是用户、网站、银行三家协作完成，SSL协议运行的基点是商家对客户信息保密的承诺，在整个过程中商家可以通过银行对客户身份进行认证，但客户没有对商家身份进行认证，因此SSL协议有利于商家而不利于客户。但是SSL协议独立于应用层协议且被大部分的浏览器和Web服务器所内置，目前几乎所有操作平台上的Web浏览器以及流行的Web服务器都支持SSL协议，SSL协议在保障电子商务交易安全等方面有着广泛的应用。2．SET(SecureElectronicTransactions)是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。SET允许各方之间的报文交换不是实时的。SET详细而准确地反映了卡交易各方之间的各种关系，主要用于消费者与商店、商店与收单银行(付款银行)之间。对消费者而言,SET保证了商家的合法性，并且用户的信用卡号不会被窃取。对商家而言,SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本降低。但是SET要求在银行网络、商家服务器、顾客的PC上安装相应的软件，还要求必须向各方发放证书，这使得SET要比SSL