電子商務安全支付研究

[摘要] 總結常用的安全電子商務技術，重點討論各種網絡支付方式的流程及支付交易安全準則。

[關鍵詞] 電子商務 網絡支付 支付交易安全

隨著Internet的迅速發展和廣泛應用，人們開始習慣于利用開放快捷的網絡進行各種采購和交易，從而導致了電子商務的出現，并使其成為業界新熱點。電子商務的顯著特點就是增加貿易機會，降低貿易成本，簡化貿易流程，提高貿易效率。在交易過程中，消費者、商家、企業、中間結構和銀行等需要通過Internet網絡進行資金的流轉，這就需要通過網絡支付或電子支付的手段來實現.因此，電子商務活動必然牽涉到支付，安全有效的支付是電子商務的重要環節.從技術上講，電子商務最關鍵的問題是如何安全地實現支付功能，并保證交易各方的安全保密。因此，支付安全是整個電子商務安全的瓶頸。

一、電子商務對網上支付安全性的要求

網上支付涉及到大量資金流的轉移以及個人隱私或商業機密，而這種支付是發生在開放性程度非常高的互聯網，未經保護的支付數據極易被競爭對手獲取，造成嚴重損失。一個安全的支付系統至少應具備以下基本功能：

1.數據保密：交易過程中產生的與支付有關的數據應該被嚴格保密，除交易雙方以及被授權第三方外，均無法（或很難）看懂交易數據，保護交易的私密性。

2.數據完整：支付數據在網絡上傳輸過程中的完整性和有效性，即發送方發出的數據與接收方收到數據應該是相同的、未經更改的。數據輸入時的意外差錯或欺詐行為，數據傳輸中信息的丟失、重復、錯序、被篡改，都可能導致貿易各方信息的差異。因此，網上交易的信息要能做到確保其完整性，即要求接收者收到的數據與原始數據相同。

3.身份認證：網上支付是在交易雙方不見面的情況下進行的，因而保證對方確實是即將要進行的交易的另一方是非常重要的，它將關系到電子商務交易的成敗。

4.訪問控制：在身份認證完成后，支付系統便可確定此用戶有何種權限，這種權限能訪問到哪些受保護的數據。

5.審計能力：網上支付數據是非常重要和敏感的，詳細記錄用戶和系統的行為對事后審計的意義無疑是巨大的。

二、網上安全支付技術

1.數據加密技術。數據加密是保證網絡通信機密性的常用手段，其基本原理是用基于數學算法的程序和保密的密匙對信息進行編碼，生成難以理解的字符串，即把明文變成密文的過程，反之，把密文轉變成明文的過程稱之為解密。客戶在網上支付時，支付數據首先被加密，加密后的數據經過互聯網傳輸到交易的另一方，接受支付方用事先約定好的密匙對加密數據進行解密，就可以實現支付雙方機密的信息通信。數據加密不同于信息的隱藏，它的目的并不是不讓人看見文字，數據加密只是將信息轉化為可見的但看不出意義的字符串。

根據數據加密和解密使用同樣的密碼與否，有兩類加密體制，即對稱加密體制（私有密鑰加密體制）和非對稱加密體制（公開密鑰加密體制）。

2.PKI技術。網上支付首先是要確定網上參與交易的各方（ 如持卡消費戶、商戶、收單銀行的支付網關等）的身份，目前廣泛采用的PKI（Public Key Infrastructure，公鑰基礎設施）體系結構采用證書管理公鑰，通過第三方可信機構CA(Certificate Authority)管理公鑰，把用戶的公鑰和用戶的其他標識信息捆綁在數字證書中，相應的數字證書（Digital Certificate）就是代表用戶的身份的。通過檢查數字證書就可方便的確認對方的身份。另外，PKI體系結構把對稱加密體制和非對稱加密體制結合起來，實現了密鑰的自動管理。

3.數字證書與CA。數字證書是實現網上支付認證的基本技術，可以用來驗證用戶或網站的身份。利用數字證書提供的功能，可以方便的實現網絡數字簽名、數字信封，結合數字摘要技術則可以實現網上支付數據完整性和不可否認性。

數字證書是由權威的、公正的認證機構管理的，稱為證書權威機構（CA）。各級認證機構按照根認證中心（Root CA）、品牌認證中心（Brand CA）以及持卡人、商戶或收單銀行（Acquirer）的支付網關認證中心（Hold Card CA，Merchant CA或Payment Gateway CA）由上而下按層次結構建立的。

4.SSL和SET。SSL即安全套接層協議（Secure Socket Layer Protocol），由Netscape公司提出，它支持兩臺計算機間的安全連接。SSL 協議工作TCP/IP的傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成。SSL利用數字證書和加密技術透明地自動完成發出信息的加密和收到信息的解密工作。

SET即安全電子交易協議（Secure Electric Transcations），是由Visa國際組織和萬事達組織共同制定的一個能保證通過開放網絡進行安全資金支付的技術標準。SET在保留對客戶的信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來說是非常重要的，由于設計上很合理，得到了廣泛的應用。

SET在很多方面優于SSL協議，但SET過于復雜和繁瑣，大量交易同時進行時交易速度受到影響。

三、網上安全支付方法

1.智能卡支付。嚴格來說使用智能卡支付網上交易貨款并不是真正意義上的網上支付，支付過程實際上發生在網上商戶和銀行之間，交易安全性基本由商家的信用決定，對買家來說存在被欺詐的風險。但這卻是經常使用的網上交易的資金支付方法。

其基本流程為：

（1）在實際商品、相關服務與資金流動發生之前，由客戶通過安全方式將智能卡信息傳送給商家；

（2）商家驗證客戶身份為智能卡賬戶所有者；

（3）商家把智能卡收費信息和數字簽名發送給其銀行或在線智能卡處理器；

（4）銀行或處理方把信息送給客戶銀行進行授權；

（5）客戶銀行為商戶返回智能卡數據、收費確認和授權；

（6）網上智能卡支付完成。

2.電子支票支付。電子支支票和傳統的支票形式幾乎有著同樣的功能和內容；不同于傳的支票人為簽名，電子支票需要經過數字簽名，被支付人數字簽名背面，使用數字憑證確認支付者，被支付者身份支付銀行和賬戶。金融機構使用已簽名和認證的電子支票進行賬戶存儲。

其基本流程為：

（1）購買電子支票：買方首先必須在提供電子支票服務的銀行注冊、開具電子支票，注冊時可能需要需要輸入信用卡和銀行賬戶信息，以支持開設支票、電子支票應具有銀行的數字簽名。

（2）電子支票付款：買方用自己的私鑰在電子支票上進行數字簽名，用賣方的公鑰加密電子支票。只在賣方可以收到已使用賣方公鑰加密了電子支票，用買方的公鑰確認買方的數字簽名后，向銀行進一步認證電子支票后即可發貨給買方。

（3）清算：付款人銀行和收款人銀行通過類似自動清算網絡進行清算，并對清算結果向付款的和收款人進行反饋。

（4）銀行進一步確認電子支票；賣方發貨給買方。

3.電子現金支付。電子現金也叫數字現金，是數字化的現金，擁有現金的大部分優點卻沒有現金的缺點，電子現金特別適用于實現低成本的在線小額支付。

目前，數據安全保護等技術已經基本可以保障數據本身的安全性，像數據被篡改這類惡性事件發生的概率很低，基本可以保證網上資金支付的成功。但是網上支付技術不是萬能的，這些技術只能保證資金劃撥成功，卻無法保證交易的最終成功。網上欺詐事件還是時見報道。因此，用戶在進行網上交易時應盡量選擇安全的支付方式，比如安付通或支付寶這樣的有第三方參與交易的支付方式。

4.微支付系統。在滿足安全性的前提下，有晝少的信息輿、較低的管理和存儲需求，即速度和效率要求比較高，這種支付形式稱為微支付或小額支付，目前國內應用最廣泛的網上短消息服務屬于典型的微支付方式。

5.移動支付。移動支付也稱手機支付，就是允許移動用戶使用其移動終端（通常是手機）對所消費的商品或服務進行賬務支付的一種服務方式。它首先在發達國家被應用，隨后在全球推廣。移動支付的一個重要方向，是使手機成為真正的“電子錢包”，比如在交通運輸、超市購物、餐館消費等領域實現“手機支付”。

四、支付交易安全

所有電子支付系統和所有支付手段的包括以下幾個方面：

1.用戶匿名性:在網絡中交易中保護用戶的身份不泄密。

2.地址不可跟蹤性：防止支付交易進行的地點泄密。

3.買方匿名性：保護支付交易中買方的身份不泄密。

4.支付交易不可跟蹤性：防止同一客戶的不同支付交易鏈接起來。

5.支付交易數據的機密性：有選擇地保護支付交易數據的特定部分，免于泄密給未授權的參與方中的指定參與方。

6.支付交易消息的新鮮性：防止支付交易消息的重放。

目前，數據安全保護等技術已經基本可以保障數據本身的安全性，像數據被篡改這類惡性事件發生的概率很低，基本可以保證網上資金支付的成功。但是網上支付技術不是萬能的，這些技術只能保證資金劃撥成功，卻無法保證交易的最終成功。網上欺詐事件還是時見報道。因此，用戶在進行網上交易時應盡量選擇安全的支付方式。

參考文獻：

[1]臧良運紀香清:電子商務支付與安全[M].北京:電子工業出版社，2006.1

[2]柯新生:網絡支付與結算[M].北京:電子工業出版社，2004.3

[3]宋文官:電子商務概論[M].北京:高等教育出版社，2004.12

[4]祝凌曦:電子商務安全[M].北京:清華大學出版社，2006.11