電子商務支付安全問題探析

劉春琪

(河南省信息中心,河南鄭州 450003)

電子商務支付安全問題探析

劉春琪

(河南省信息中心,河南鄭州 450003)

隨著現代計算機網絡技術和信息技術的飛速發展,越來越多的企業和個人用戶依賴于電子商務進行各種商務活動,大量重要的身份信息、金融信息、交易信息都在網上進行,電子商務安全支付問題成為大家共同關心的問題。同時,伴隨著無線網絡和各種移動終端不斷發展和完善,移動支付帶來機遇的同時,也帶來了一個重大的信息安全挑戰。本文對目前電子商務中存在的信息安全隱患和主流技術進行了分析,以期能在實踐中對電子商務起到一定的借鑒意義。

電子商務 支付安全 移動電子商務

1　引言

隨著現代計算機網絡技術和信息技術的飛速發展，電子商務得到了越來越廣泛的應用，越來越多的企業和個人用戶依賴于電子商務的高效和快捷而進行著各種商務活動。電子商務順利開展的核心和關鍵問題是保證交易的安全性，這是網上交易的基礎。電子商務是以計算機和開放的網絡為基礎載體的，大量重要的身份信息、金融信息、交易信息都需要在網上進行電子的傳輸，電子商務安全支付問題成為大家共同關心的問題。伴隨著各種移動終端和無線網絡的不斷發展和完善，移動支付在不僅是一個重要的機遇，同時也帶來了一個重大的挑戰。

2　電子商務及信息安全現狀

近年來，電子商務開始了蓬勃地發展，但電子商務安全隱患嚴重地影響了電子商務的進行。信息安全問題成為制約我國電子商務發展的重要因素還是，因此，必須從技術上為電子商務交易活動提供機密性、完整性、真實性和抗抵賴性等安全保障。我們將從電子商務和信息安全兩個方面分別進行討論。

2.1電子商務發展現狀

依據國家互聯網中心(CNNIC)的最新報告，2013年網絡購物市場繼續快速向前發展，交易金額達到1.85萬億元，較2012年增長40.9%。2013年網絡零售市場交易總額占社會消費品零售總額的7.9%(如圖1)。

截至2013年12月，我國網絡購物用戶規模達到3.02億，較上年增加5987萬，增長率為24.7%，使用率從42.9%提升至48.9%。網購用戶規模的快速擴張為網購市場的發展奠定良好的用戶基礎，釋放著巨大的市場潛力。

2.2信息安全現狀

近年來，雖然安全軟件逐漸普及、防范能力不斷加強，但新的病毒、詐騙手段和騷擾手段不斷涌現，安全軟件防范難度加大，安全事件發生概率仍然較高。整體上來講，我國信息安全環境仍不容樂觀，有74.1%的網民在過去半年內遇到過安全事件，總人數達4.38億。

圖1　

電腦網上購物發生安全問題的網民數占整體電腦上網人數的4.0%，影響人口達2010.6萬人。電腦網上購物發生安全事故較多的是遇到欺詐信息，在網購安全事故發生人群中的發生比例達75.0%;其次為假冒網站/詐騙網站，比例為60.7%;其它方面，個人信息泄露比例達42.9%、賬號密碼被盜比例達23.8%、中病毒和木馬的情況為22.6%(如圖2)。

網購時發生這些安全事件，不僅給購物者造成損失，同時也影響電子商務的健康發展。

3　電子支付安全

在電子商務的交易完成后，如何保證交易的任何一方無法否認已發生的交易。這些安全問題將在很大程度上限制電子商務的進一步發展，因此如何保證Internet網上信息傳輸的安全，已成為發展電子商務的重要環節。電子支付涉及到大量資金流的轉移以及個人隱私或商業機密，而這種支付是發生在開放性程度非常高的互聯網上，必須從技術上為電子商務交易活動提供機密性、完整性、真實性和抗抵賴性等安全保降。因此，要對網上安全電子支付提出以下的要求:

(1)交易數據的保密性。保密性是網絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權個人或實體，信息只為授權用戶使用的特性。電子支付過程主要處理與金融數據有關的信息，數據處理量大，且每筆數據都會影響到一定的經濟利益，因此，交易過程中產生的與支付有關的數據應該被嚴格保密，除交易雙方以及被授權第三方外，必須保護支付交易的私密性，同時要防止信息被越權訪問。

(2)交易數據的完整性。完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。交易數據在網絡上傳輸過程中的完整性和有效性，即發送方發出的數據與接收方收到數據應該是相同的、未經更改的。

(3)交易數據的不可抵賴性。不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。

電子商務交易過程是雙方或者是多方的，其中一方抵賴自己的交易都會給另一方帶來利益損失，因此必須保證交易雙方在交易后都無法否認和抵賴。

4　電子商務支付安全中主流技術

電子支付中交易信息的安全在很大程度上依賴于網絡信息安全技術的完善，電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為數據加密技術和身份認證技術兩大類。

4.1數據加密技術

加密技術是保證電子商務中采用的主要安全措施，交易雙方可根據需要在信息交換階段使用。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據一定的算法，將可理解的數據(明文)與一串數字(密鑰)相結合，從而產生不可理解的密文的過程，主要加密技術是對稱密文加密和非對稱加密。

(1)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密，即收發雙方采用相同的密鑰來進行加密和解密，對稱密鑰加密的最大優點是加解密速度快，適合于進行大量數據加密，但也存在密鑰管理、發布困難以及無法進行身份鑒別的缺點。

(2)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密，每個用戶有一對密鑰:一個用于加密，一個用于解密，兩把密鑰實際上是兩個很大的質數，加解密過程。其中，加密密鑰(公鑰)可以在網絡服務器、報刊等場合公開，而解密密鑰(私鑰)則屬用戶的私有密鑰，由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。與對稱密鑰加密相比，采用非對稱密鑰加密方式密鑰管理較方便，且保密性比較強，但加解密實現速度比較慢，不適用于通信負荷較重的應用。

數據加密技術是信息安全的基礎，加密的主要目的是防止信息的非授權泄露、保證交易信息的保密性、完整性和不可抵賴性的要求。

4.2主流身份認證方式

身份認證技術是指計算機及網絡系統確認操作者身份的過程所應用的技術手段。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應。

(1)用戶名口令。針對盜取密碼的惡意軟件越來越多。

(2)動態口令。動態口令也稱動態密碼，是根據專門的算法每隔一定時間生成一個與時間相關的隨機密碼。用戶進行認證時候，除輸入賬號和靜態口令之外，必須要求輸入動態口令。通過“動態密碼”登錄的用戶沒有電子簽名，這樣也就沒有具有法律效力的認證材料。因此，“動態密碼”它只適用于金額小的交易，對于金額大、使用頻繁的用戶，其安全性存在一定的風險。

(3)數字證書。數字證書是由權威公正的第三方機構(即CA中心)簽發的證書。它的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性。為解決這些Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的PKI技術(PublicKeyInfrastructure-公鑰基礎設施)。公鑰基礎設施PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。采用基于PKI結構結合數字證書，通過把要傳輸的數字信息進行加密，保證信息傳輸的保密性、完整性，簽名保證身份的真實性和抗抵賴。

(4)生物特征識別。生物識別技術主要是指通過人類生物特征進行身份認證的一種技術。由于人的生物特征具有唯一性和穩定性的特點，并且可隨身攜帶、不易被盜、不易被偽造、不易丟失，所以生物特征識別成為目前最安全的身份認證技術。但是，生物特征識別通常需要昂貴的專用設備、受使用環境限制等缺點，在電子支付中較少采用。

每一種身份認證方式都有其優勢也存在一定的局限性。動態密碼以方便便捷且與平臺無關性，通過電腦、手機、IPAD都可以使用等優點在網銀、網游、電信領域成為電子支付重要的身份認證方式，主流產生形式有手機短信、硬件令牌、手機令牌等。基于數字證書的身份認證是電子支付中最安全解決方案。但是，需要專用的硬件和客戶支持，使用不如動態密碼方便快捷，一般用于大額電子交易。

5　電子商務發展趨勢

圖2　

圖3　

依據CNNIC報告，2014年電子商務類應用整體行業發展態勢良好，手機支付是亮點。隨著線上與線下渠道的打通及多類移動應用的服務帶動，手機支付呈現爆發式增長，手機網上支付、手機網絡購物、手機網上銀行和手機網上預訂應用網民規模年增長速度均超過100%。手機網絡購物在移動端商務市場發展迅速，用戶規模達到1.44億，使用率從13.2%提升到28.9%(如圖3)。

截至2014年6月，我國手機網民規模達5.27億，較2013年底增加2699萬人，網民中使用手機上網的人群占比進一步提升，由2013年的81.0%提升至83.4%，手機網民規模首次超越傳統PC網民規模。

隨著移動電子商務的普及和發展，移動支付業務受到了越來越多的關注，而其安全性更是成為大眾關注的焦點。由于移動終端種類繁雜、使用環境也更為復雜、基于數字證書的身份認證和數字簽名技術兼容性和成熟度遠不及PC平臺，并且移動終端本身的安全性問題也給動態口令等身份認證方式帶來了新的安全問題和挑戰。

6　結語

電子商務將成為中國互聯網行業的發展新趨勢。電子商務順利開展的核心和關鍵問題是保證交易的安全性，這是網上交易的基礎。隨著移動電子商務的發展，由于移動電子商務的環節更為復雜，因此移動網絡存在更多的安全威脅，影響范圍也較為廣泛。

[1]劉曉軍.移動電子商務的應用分析[D].北京:中國海洋大學,2008.

[2]楊利國.移動電子商務商業模式研究[D].北京:華北電力大學, 2012.

[3]劉宗祥.創新與發展[J].移動通信,2013,(19):18-20.

[4]代文鋒.淺談移動電子商務[J].甘肅科技,2005,(10):77-78.

[5]王晨,呂廷杰.移動商務行業應用分析[D].北京:北京郵電大學, 2012.

[6]蘭靜.移動電子商務的運營模式及其應用[J].河南科技大學學報, 2010,28(4):68-70.