電子支付系統安全研究

趙 武

趙武

(鄭州大學西亞斯國際學院,河南 新鄭451150)

中圖分類號:F713.36文獻標識碼:A文章編號:1673-0992(2009)09-076-01

摘要:從電子支付系統的概念入手,介紹了幾種常用的電子支付手段,并闡述了兩種重要的電子商務安全協議在電子支付系統安全中所起的作用。 同時結合信用卡的支付流程分析了電子支付的過程和相關的安全問題。除此之外,本文還闡述了數字證書和數字簽名的原理。

關鍵詞:電子支付系統;數字證書;數字簽名

一、電子商務服務蓬勃發展

電子商務出現四十多年了,但是它真正蓬勃發展起來也就是最近十幾年的事情。雖然電子商務發展非常快,但有很多障礙限制了電子商務的進一步發展。安全性是其中一個主要的瓶頸。對計算機系統的很多威脅(中斷、攔截、改變和偽造)都是利用計算機系統的脆弱性對系統進行攻擊造成的。 目前,消費者對電子交易的安全性是非常關注的,但是事實上,和傳統的紙質交易相比,只要采用適當的技術和相關法律政策來保護消費者,電子支付系統是方便的,可靠的和安全的。

二、電子支付系統綜覽

電子支付系統可以定義為在開放的網絡中使用多種支付手段,例如電子資金劃撥、智能卡、電子支票和電子信用卡等進行電子交易的方式。 目前在電子支付系統中有兩個重要的安全協議SSL (安全套接層協議) 和SET(安全電子交易協議)。SSL 協議的目的是在兩個溝通方之間提供保密和可靠性。這個協議包含兩層。SSL 紀錄層協議位于最低層,并且它用作多種高層次協議的封裝。握手協議就在這些被封裝的協議之中,它允許服務器和客戶機之間相互認證,并且在應用協議發出和收到第一個數據之前協商加密算法和加密密鑰,這樣做的目的就是保證應用協議的獨立性,使低級協議對高級協議是透明的。SSL協議擁有三個主要的安全特性:數據的保密性;數據的一致性;安全驗證。SET是在開放網絡環境中的支付安全協議,它采用了公鑰密碼體制(PKI)和X.509電子證書標準,通過相應軟件、電子證書、數字簽名和加密技術能在電子交易環節上提供更大的信任度、更完整的交易信息、更高的安全性和更低受欺詐的可能性。 SET協議用于支持B2C這種類型的電子商務模式,即消費者持卡在網上購物與交易的模式。

三、電子支付系統安全措施

由于電子支付的方式很多,在此僅以信用卡為例介紹一下其中的安全問題。下面闡述一下使用信用卡進行電子支付的過程。這個過程可能會根據信用卡集團、發卡行、收單行之間的協議而有所不同。在這個過程中主要的步驟包括:發卡行頒發一張信用卡給一個潛在的持卡人。一個潛在的持卡人向一個發卡行(持卡人最好在發卡行有一個賬號)申請發行一張有信用卡公司標志的信用卡。發卡行有權根據申請人的資質批準或拒絕申請。如果得到批準,一張塑料卡片被通過郵件寄到客戶的家中。只要客戶打電話給銀行啟用該信用卡并在卡的背面簽上客戶的名字,該卡片就能被激活;不論何時客戶刷卡消費,商家經過信用卡公司批準,交易通過信用卡支付。商家保留購貨單并將購貨單賣給收單行并且為此支付一定的服務費用;收單行要求信用卡公司結算貨款并得到付款,然后信用卡公司要求發卡行結算;貨款從發卡行轉移到信用卡公司。在還款期內,同樣的數量從持卡人在發卡行的賬號中扣除。在以上過程中,信息的傳遞要經過對稱密鑰和非對稱密鑰的加密以保證信息傳遞的安全性,并通過數字證書來確認商家、銀行和執卡人的身份,充分保證了整個交易過程的安全性。

四、數字證書的使用

目前網絡欺詐現象的屢屢發生。因此,在買賣雙方交易時,必須鑒別對方的可信度。通常的方法是設立一個類似于公證處的第三方認證機構,來認證買賣雙方的身份。其基本原理和流程是:在做交易時,應向對方提交一個由CA(Certificate Authority)簽發的包含個人身份的證書,以使對方相信自己的身份。客戶在申請證書時,可提交自己的身份證明,經驗證后,頒發證書,證書包含客戶的名字和他的公鑰,以此作為網上證明自己身份的依據。在網上交易中,最重要的證書是持卡人證書和商家證書。此外,還有支付網關證書、銀行證書和發卡機構證書。CA的主要功能有:接收注冊請求,處理、批準拒絕請求,頒發證書。在實際中,CA可以由大家都信任的一方擔當。中國建設銀行的網銀盾就是數字證書的一個典型的例子。為了保障網上銀行客戶證書的安全性,建行推出了“電子證書存儲器”,即“網銀盾”,可以將客戶的證書專門存放于盤中,隨插隨用。目前建行的網銀盾類型是預制證書型網銀盾。如果連續輸入錯誤口令10次,網銀盾便會自動鎖定,用戶只能重新申請新的網銀盾。預制證書網銀盾是指在柜臺簽約購買的網銀盾內,已預先存有建行發放的數字證書,用戶可憑此安全便捷地享受建行網上銀行的服務。

五、數字簽名的使用

數字簽名是公開密鑰加密技術的另一類應用,用DES算法、RSA算法都可實現。它的主要方式是:報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)。發送方用自己的私有密鑰對這個散列值進行加密來形成發送的數字簽名。然后這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果這兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別,保證信息傳輸過程中信息的完整和提供信息發送者的身份認證和不可抵賴性。

六、結論

綜上所述,電子商務發展迅速,電子支付系統的安全性制約了電子商務的進一步發展。使用數字簽名和數字證書可以實現對各方的認證;使用加密技術可以對業務進行加密;使用消息摘要算法可以確認業務的完整性;SSL和SET協議為電子商務交易的安全進行提供了商業實現標準。所有這些措施都有效地保證了電子支付系統的安全性。

參考文獻:

[1] Turban Lee. 電子商務管理視角(第四版),高等教育出版社,2006

[2] 中國建設銀行.安全策略方案, 2009,http:ibsbjstar.ccb.com.cn

[3] 黃敏學. 電子商務(第二版),高等教育出版社,2005

[4] 邵兵家. 電子商務概論(第二版),高等教育出版社,2006

[5] 楊堅爭. 電子商務基礎與應用(第六版),西安電子科技大學出版社,2008