【网上电子支付安全技术策略论文】 有关电子支付的论文

网上电子支付安全技术策略论文

网上电子支付安全技术策略论文 网上支付安全技术论文篇一:《电子商务中的网上支付安全性研究》 摘要:电子商务作为一种新型网上在线贸易方式,使企业与消费者摆 脱了传统的商业中介的束缚,但是电子商务交易中最为重要的环节一一网上支付, 其安全问题依然是阻碍电子商务快速发展的瓶颈之一。首先给出现有的网上支付 工具及其特点,然后对现阶段网上支付的安全问题进行了分析,最后提出了解决 这些安全问题的若干对策。

关键词:电子商务;网上支付;安全 互联网在国内的发展已经有十多年的历史了,利用互联网进行商务交 易活动――电子商务也有了十多年的历史。毋庸置疑,电子商务作为一种新型网 上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚,降低了生产 与销售成本,进一步缩短了生产厂家与最终用户之间的距离,改变了市场的结构;
而且还大大节省了企业的营销费用,提高了企业的营销效率;为企业提供了巨大 的潜在顾客群,给企业带来了无限的发展机会。

一个典型的电子商务交易由三个阶段组成,分别是信息搜寻阶段、订 货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题,即如 何利用互联网以安全快捷的方式实现交易双方的资金划拨,以确保电子商务交易 的顺利进行。从三个阶段来看网上支付是最关键的,因为网上支付一旦完成物流 的配送就是顺理成章的事情,也就意味着完整网上交易的完成。而网上支付若不 进行,网上交易也不能最终完成。由此可见,网上支付是电子商务最核心、最关 键的环节,是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的 基础条件。

1 网上支付现状及现有支付工具的特点 网上支付采用先进的技术通过数字流转来完成信息传输,其各种支付 方式都是采用数字化的方式进行的,工作环境基于开放的因特网,使用的是最先 进的通信手段,具有方便、快捷、高效、经济的优势。

目前我国网上支付发展迅猛,从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元,同比增速超过了170%。环比增速超过了20%。

目前的网上支付工具主要有:
(1)银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式, 付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。

它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本 较低;二是能够受理银行卡的商店全世界范围内相当多,用户不受地域的限制。

(2)电子现金:是以数据形式存在的现金货币。它把现金数值转化为 一系列的加密序列数,来表示现实中各种金额的币值。但目前我国使用的不多。

它的特点一是具有现实现金特点,可以存、取、转让,适用于小额支 付;二是电子现金银行在发放电子货币时使用了数字签名,商家接受到电子现金 后将其传输给电子现金银行,由电子现金银行通过对数字签名的验证来确定此电 子货币是否有效;三是电子现金的支付是匿名消费。

(3)电子支票:是以一种纸质支票的电子替代品而存在的,用来吸引 不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商 业信用的不足,在我国尚是空白。

其特点一是与传统支票的操作有很多相似之处,易于理解和运用;二 是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金 融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。

(4)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各 大银行签约的方式,提供与银行支付结算系统接口的交易支持平台的网络支付模 式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为 网上交易提供了一致的支付界面,统一的手续费用标准,结算较为便利。但此模 式下,消费者并不是其客户,网站商家和银行才是它的客户,消费者最终还是要 使用各网上银行进行付款。

二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三 方支付过程是买家在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发 货,买家收到货物之后再通知支付宝,支付宝这时才把钱转到卖家的账户上。在 整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了资金的安全转让,还可担任货物的信用中介,从而约束交易 双方行为,在一定程度上增加了网民对网上购物的可信度,大大减少了网络交易 欺诈。

2 网上支付存在的安全问题分析 要想保证在网上进行交易的安全性,首先要确保网上交易的载体―― 计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易, 如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安 全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用 户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被 植入木马、用户的不良使用习惯等。

上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用 计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威 胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全 问题,受到的损失相对来说会小一些。

网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易 搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:
(1)身份真实性。也称商务对象的认证性,传统的商务交易因为双方 可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远, 互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工 具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利 用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易 的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。

(2)信息的完整性。网上交易简化了贸易过程,减少了人为的干预, 同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错 或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢 失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法 分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势 必给交易双方添加不少麻烦。

(3)不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。

因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会 否认电子交易行为,这必然会损害另一方的利益。

(4)数据保密性。有关交易的各种信息,如付款人和收款人的标识、 交易的内容和数量等,这些信息只能让交易的 参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付 就涉及到数据保密性的问题了。

3 解决网上支付安全问题的对策 3.1 技术方面的对策 (1)数据加密。

数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满 足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret keys)来对敏 感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收 者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保 证网络数据的机密性。

(2)数字签名。

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文 的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这 个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的 附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中 计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进 行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通 过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

(3)安全协议。

在国际上,比较有代表性的电子支付安全协议有SSL和SET。

SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说, SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务 器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。

该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全 特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首 先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另 外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初 始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够 重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突 出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。

SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了 实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能 保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客 户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到 了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工 业技术标准。

3.2 法制方面的对策 (1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用 制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一 系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的 理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信 者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国 家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社 会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络 信用。

(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子 商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管:网上银行 不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审 查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退 出机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方 支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的 效率。3.3 管理方面的对策 在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的 局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、 认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此,统一而 先进的管理和规范就显得尤为重要。例如,各家银行应该尽快制定统一的互联网 支付标准以及尽快为互联网用户提供统一的接口。

另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程 尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经 验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造 成的,而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。

4 结语 电子支付的安全问题,实际上是一个牵连甚广的应用问题。电子商务 发展所要求的开放的支付环境,需要金融和通信、互联网等产业之间的融合,而 这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同。因 此一些在国外成功的经验并不能简单套用,这就使得电子支付需要面对的安全问 题进一步复杂化。但只要全社会的相关组织和个人共同努力,相信未来的网上交 易会越来越安全。

网上支付安全技术论文篇二:《浅议电子支付安全协议及技术》 【摘 要】随着经济的发展和电子信息技术的广泛应用与迅速普及, 电子商务以其快捷、便利、通用等优点愈来愈受到社会的认可和信赖,电子支付 作为电子商务的核心环节和关键步骤,但是电子支付方式由于其对客户的分布式 和开放性的特点,存在体系性的安全问题。

【关键词】电子支付;密码技术;安全体系;数字证书 随着金融业务以及金融支付系统的电子化不断发展,为金融交易提了 更为灵活简便的交易方式。电子支付系统正好可以完成电子商务交易过程。截止 到目前,几乎每一种传统支付机制都己开发出相应的互联网版本,如电子现金、 电子支票;IT技术公司也开发出多种完全基于互联网的创新支付机制,并在全球 范围内己经对传统金融支付系统发起了挑战。1.电子支付安全现状分析 随着互联网的快速发展,电子支付已成为网络交易中最常用的方式, 但也存在信息泄露等安全问题。如:信息泄漏。在交易过程中,消费者是弱势群 体。商家可以选择支付方式,而消费者在填完一大串信息后不知道这些信息将流 向何方,很难杜绝信息的泄漏。再者电子支付业务大多通过网络进行,没有了以 往的签字、盖章及纸质凭证。因此,对于各种交易信息可以随意修改,监管部门 无法看到真实的账务情况,这是电子支付签字的安全隐患。

2.电子支付安全协议 Internet中的七层网络模型都有各自对应的协议,其中对话层的 SSL(安全套接层)协议和应用层的SET(安全电子交易)协议与电子商务有着最密 切的关系。

2.1 SSL安全协议 通常情况下,中间的计算机不会监听在源-宿之间传递的信息,但有 时会监听信用卡以及网上银行的交易信息,很可能会泄露个人隐私,而且这些隐 私信息很可能被一些人获取并更改。如何保证信息在传递过程中的安全问题,既 能保密又能鉴别彼此身份,可以通过SSL协议来实现。以下为实现过程:服务器 接受来自浏览器的SSL版本号、与Session有关的数据、加密参数以及其他信息;
浏览器接收来自服务器的证书、浏览器SSL版本号、与Session有关的数据、加密 参数以及其他信息;若服务器证书经客户端检查失败,则SSL连接无法建立。如果 检查成功,则可以继续;用服务器公钥对浏览器生成的pre-master secret进行加密, 并发送到服务器;假如需要客户身份鉴别,客户端需签名后与证书一同发到服务 器;对于客户身份的鉴别,如果通过检查证明签署客户证书的CA可信,则服务器 用私钥将收到的pre-master secret进行解密,如果不可信,则结束本次通话;服务 器所使用的会话密钥与客户端相同,在服务器与客户端SSL握手结束后都要通过 这个会话密钥来传递信息;客户端将使用会话密钥加密发送信息以及本次SSL成 功握手的消息通知给服务器;服务器将使用会话密钥加密发送信息以及本次SSL 成功握手的消息通知给客户端;SSL握手结束并建立会话后,服务器和客户端使用 通过一个会话密钥对对信息进行加密和解密。

2.2 SSL协议使用的安全技术系统的安全主要通过SSL协议来保障,具体包括压缩、消息摘要加密 和解密等技术。SSL协议主要包括SSL握手协议和SSL记录协议。SSL记录协议为 各种高层协议提供基本的数据安全服务,对高层协议传送来的数据进行分段/组 合、压缩、附加消息摘要、加密等处理,然后把数据传送给低层的传输层协议发 送。SSL记录协议为最底层协议,此外还有SSL警告协议、更改密码规则协议和 握手协议三个高层协议,它们都是建立在SSL记录协议上的。SSL的会话和连接 由这三个高层协议来进行管理。

2.3 SET安全协议 作为一个开放的协议,SET协议主要是为了保证信用卡交易的安全性, 主要是为信用卡交易所设计的,SET协议已慢慢成为工业标准,被Microsoft、IBM、 HP等大公司所认可,也得到了IETF(因特网工程任务组)的支持。

2.3.1 STE协议的支付系统 在SET协议支付系统的网络模型中持卡人和发卡行之间的虚线表示 持卡人在发卡行开设有帐户,商家和收单行之间的虚线表示商家在收单行开设帐 户。持卡人通过Internet与商家进行交易,为了保证持卡人和商家时合法主体,需 要认证中心CA来对双方进行认证,通过认证可以维护电子商务交易双方所提供 的信息具有完整性和真实性。

2.3.2 SET协议的安全体系结构 在SET协议中,身份认证通过双重签名、数字签名等技术来实现,封 字签名通过RAS算法和SHA-1算法来实现,数据的加密通过RSA、DES加密算法 来实现。

2.3.3 SET安全技术 SET通过使用加密解密和认证等技术实现传输的完整性、机密性以及 不可否认性,主要包括数字信封、混合密钥加密技术、对称密钥加密技术以及非 对称加密技术。

(1)数字信封:主要是通过数据接收者的公钥来加密,确保只有指定 的收信人才能阅读信的内容。(2)混合密钥加密技术:主要是指通过专用密钥技术和公共密钥相结 合的加密技术,保证电子商务中的电子支付安全。

(3)对称密钥加密技术:之所以称为对称密钥加密,主要是因为在此 种方法中使用相同的密钥对信息加密和解密。RC4、AES、DES是常用的几种对 称加密算法。

(4)非对称密钥加密技术:与对称密钥加密技术最明显的区别就是采 用不同的密钥对信息进行加密和解密,每个用户同时拥有私有密钥SK和公开密 钥PK两给密钥,且必须配对使用。概率加密、椭圆曲线密码、Rabin密码、RSA 是常用的非对称加密算法。

3.结束语 作为电子商务系统的重要组成部分,电子商务支付系统的安全问题得 到广泛关注,人们将研究安全方便的电子支付系统作为电子商务发展的首要任务。

然而,电子安全支付系统是一个复杂的系统工程,我们必须通过实践不断总结, 探究完善的措施。

网上支付安全技术论文篇三:《浅谈电子支付安全技术》 [摘要] 随着电子商务技术的发展,电子支付安全成为了电子商务发 展的核心和关键问题。本文通过分析电子支付的概念以及电子支付不安全因素的 分析,并从安全性、电子信用体系、法制人制等角度提出对策。

[关键词] 电子支付 安全技术 分析 一、电子支付的概念 随着互联网的迅猛发展,网络商务作为一种新的贸易形式正在逐渐被 引入成为商务的一种大发展趋势,网上金融服务也已经开始在世界范围内如火如 荼地开展起来。网络金融服务包括人们的各种需求,如网上消费、家庭银行、个 人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行 网上电子支付与结算。“电子支付”,顾名思义是通过网络进行货币支付。“电子 支付”就是电子商务发展的一个关键环节。电子货币是利用银行的电子存款系统 和各种电子清算系统记录和转移资金的。电子货币的优点是明显的,彻底地改变了银行传统的手工记帐、手工算帐、邮寄凭证等操作方式,使用和流通更方便, 而且成本低,尤其是大笔的资金流动。同时,电子货币的广泛使用也给普通消息 费在购物、饮食、旅游和娱乐方面的付款带来了更多的便利。

目前,电子支付工具主要包括:电子现金、电子零钱、安全零钱、电 子信用卡、智能卡(IC卡)、在线货币、数字货币和网络货币等。其支付信息是通 过安全的网络传送到网络银行或相应的处理机构来实现电子支付。电子货币最大 问题是安全问题,电子货币没有具体的实物形态,完全凭借计算机里的记录。那 么,一旦银行计算机系统出现故障,或遭受恶意攻击就可能造成数据丢失、篡改, 产生严重的后果。

由于网络环境的开放性、信息传递的快捷性,电子支付手段的应用,大 大丰富和提高了商品交易的营销宣传,扩大了贸易范围、增加了贸易伙伴参与、 沟通和交易机会,使企业的经营范围扩大,商务效率和效益提高。但电子商务带来 效益的同时,也伴随着全新的商业风险,即存在交易,总会有风险存在。

二、电子支付不安全因素分析 从我国当前的电子支付实践来看,由于开展网络银行业务的支付业务 时间短,结合具体国情在中国实施电子商务支付存在的问题主要有如下几点: 1.社会信用度欠缺,制约电子支付系统的发展 互联网具有充分开放的特点,网上交易双方互不见面,交易的真实性 不易考察和验证,对社会信用有较高要求。我国目前的信用体系发展程度低,经 济活动缺乏可靠的信誉基础,社会诚信观念有待加强。另外,企业和个人客户资 信资料零散不全,海关、税务等部门与银行信息不能共享,银行对客户的资信情 况不能完全了解,也制约了电子商务支付系统的发展。

2.经济法律体系不健全,执法环境权威性欠佳 目前国内有关法律法规对网上交易的权利和义务规定不清晰,缺乏网 络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。

特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验,在出现争端 时,责任的认定、划分、仲裁结果的执行等法律问题在现有法律框架下难以解决。

另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未 建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。如网络提供商的侵权行为:(1)互联网服务提供商 (ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故 意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件 丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责 任。(2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过 建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采 取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。(3)由于电 子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。现在,通过互联网进 行跨国交易时的国际税收问题已经发生,将来会更加突出,为了解决这个问题, 流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收问 题,由于不可跟踪性,电子现金很可能被不法分子所逃税。电子现金使洗钱变得 很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调 查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不 可能的。目前惟一的办法是对立一定的密钥托管机制,使政府在一定条件下能够 获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措 施,许多国家已经了这种做法。

3.银行内部决策机制不畅通,国际化程度低 国内网络银行决策大体分为两种,一种是由传统银行业务人员负责制 定发展规划,另一种是由技术人员决定网络银行的发展方向。两种决策模式都需 要业务、管理和技术的有机结合,问题的关键在于两种模式中,不论是业务人员 还是技术人员,基本都从事实务工作,成对当前自己着手的工作情况很了解,但 对业务发展缺乏高瞻远瞩。

4.技术上存在许多问题,存在潜在的高风险 由于国内银行的关键部件依赖于国外公司,网络客户端到服务端的电 脑又都储存着重要的信息,因此信息资料被修改和破坏的概率不可低估。国内银 行重视硬件的采购和网络的构建,对技术人员的业务培训还不够,基层银行普遍 存在技术人员知识更新缓慢的现象。国外网络银行对一些敏感的数据通常采取严 格的保护措施,而国内银行界目前缺乏机密信息的加密存储意识,部分银行没有 建立交易业务数据的管理制度,无法对交易业务数据实施严格的安全保密管理。

致使出现商业组织的侵权行为和个人的侵权行为以及部分软硬件设备供应商的 蓄意侵权行为。如专门从事网上调查业务的商业组织进行窥探业务,非法获取他 人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以 谋利,或是用于其他商业目的。如个人未经授权在网络上宣扬、公开、传播或转 让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获 得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开 他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。如某些软件 和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的 行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该 处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息, 并跟踪计算机用户活动,大量复制、存储用户信息。网络所有者或管理者的监视 及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中 心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严 重地侵犯了用户的隐私权。

三、针对电子支付不安全的对策研究 电子支付的信息安全在很大程度上依赖于网络信息安全技术的完善, 这些技术包括很多,其中有密码技术、鉴别技术、访问控制技术、信息流控制技 术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤 技术、系统安全监测报警技术等等,针对这些技术上的问题,应该用技术和法制 人制方面来解决,为此我提出如下解决方法:
1.对电子支付安全性的全面认识 通过因特网上进行电子支付,最核心的问题是安全问题,我们要解决 安全问题,主要通过数据传输真实性主要用数字证书来解决,机密性主要用数据 加密来解决,完整性主要用消息摘要来解决,不可否认性主要用数字签名和事件 日志来解决。利用密码技术,并通过上边所述的解决方法,人们也制定了很多电 子商务协议,用其来达到完成电子商务交易(包括电子支付)的目的。本人认为可 以从以下几方面来解决安全性问题: (1) 可以通过架设防火墙,它是近来发展的最重要的安全技术,它的主 要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络 进入内部网络。

(2)还可以通过数据加密技术来。数据加密被认为是最可靠的安全保 障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理 解原始数据,从而确保数据的保密性。

(3)数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原 文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电 子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务 中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信 息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳 数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪 一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名 者本人的帮助,否则不能验证签名。

(5)还可以通过设置电子商务信息安全协议来进行。现有的电子商务 交易协议有多种,但是目前常用的只有 SSL 和 SET 两种。

①安全套接层协议(Secure Sockets Layer,SSL),SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安 全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和 服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供 了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

②安全电子交易公告(Secure Electronic Transactions,SET)。SET是为在 线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留 对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的 工业标准。

③安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间 的交换信息传输的安全性。SHTTP对HTTP的安全性进行了扩充,增加了报文的安 全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、 不可抵赖性及机密性等安全措施。④安全交易技术协议(STT)。STT将认证与解 密在浏览器中分离开,以提高安全控制能力。⑤UN/EDIFACT标准。UN/EDIFACT 报文是唯一的国际通用的电子商务标准。

(6)P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S 最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时, 又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一 个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。隐私安全 性: ①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以 监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪 到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制 并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服 务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需 经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的 另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次 通信都可能包含许多潜在的用户。

②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通 信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继 转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的 隐私保护。

2.建立可靠的电子支付信用体系 电子商务作为一种商业活动,信用同样是其存在和发展的基础。电子 商务和信用服务都是发展很快的新兴领域,市场前景广阔。从二者的关系看,一 方面,电子商务需要信用体系,而信用体系也很可能最先在电子商务领域取得广 泛的应用并体现其价值。因为电子商务对信用体系的需求最强,没有信用体系支 持的电子商务风险极高;而在电子商务的基础上又很容易建立信用体系,电子商 务的信息流、资金流、物流再加上电子签章,四者相互呼应交叉形成一个整体, 在这个整体之上,只要稍加整合分析,进行技术处理就可以建立信用体系,并且 该信用体系对电子商务是可控的。于是,整合电子商务与信用体系,或者建立电 子商务的信用体系,就成为一种需求、一种目标、一项任务。为了使诚信体系能 在电子支付系统中使用,本人研究了P2P技术,为了使P2P技术能在更多的电子 商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于 具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任 管理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一 个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度 模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为 过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样, 在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在 eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低 (-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等 点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉 度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。

每个对等点i可 以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为: Sij=sat(i,j)-unsat(i,j) 信用体系可以说是一种最为灵活且最有可能与电子商务本身实现良 性互动的规范模式,它可以无处不在,同时,却能做到大相无形。正如我们前面 分析的,由于电子商务与信用体系在本质上的一致性,它们可以很容易地做到无 缝连接,这种无缝连接所带来的效率和便捷正是电子商务所必需的。而在行政管 理及法律制裁中,我们发现,要实现它们与电子商务的无缝连接还是十分困难的。

3.加强法制人制上的管理力度 (1)我国电子支付安全管理除现有的部门分工外,还需要建立建立合 理的电子现金识别制度,发行统一的电子现金是不可能的,所以必须建立合理的 电子现金识别制度。

(2)限制电子现金的发行人。目前情况下,可以只允许银行发生电子 现金。这样,许多现行的一些货币政策和法规可以应用于电子现金,而无须太大 的改动。当电子商务环境成熟时,再扩展到有实力和有信誉的大公司和网络服务 提供商。

(3)消费者的个人信息存储在银行,如果银行的网络遭到攻击,私人 信息可能会泄露,若补救不及时时,很可能给消费者造成巨大损失。所以,应从 法律上和技术上共同防止黑客攻击。

(4)在人才培养中,要注重加强与国外的经验技术交流,及时掌握国 际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。加快立法 进程,健全法律体系。

(5)结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。国民经济要害部门 的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国 的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施 等。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因, 往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者 可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。

(6)进行网络技术创新,重点研究关键芯片与内核编程技术和安全基 础理论,以创新的思想,建立具有中国特色的信息安全体系。建立统一的技术规 范,把局部性的网络就进行互连、互通、互动。目前,国际上出现许多关于网络 支付安全的技术规范、技术标准,目的就是要在统一的网络环境中保证在电子支 付中的个人隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨 的同时,拿出既符合国情又顺应国际潮流的技术规范。