网上电子支付安全技术策略论文

时间：2017-08-14 08:08:52 家文952由分享

　　随着电子商务技术的发展，越来越多的新问题产生，其中网上支付安全成为了核心问题。下面是由学习啦小编整理的网上支付安全技术论文，欢迎阅读。

　　网上支付安全技术论文篇一：《电子商务中的网上支付安全性研究》

　　摘要：电子商务作为一种新型网上在线贸易方式，使企业与消费者摆脱了传统的商业中介的束缚，但是电子商务交易中最为重要的环节一一网上支付，其安全问题依然是阻碍电子商务快速发展的瓶颈之一。首先给出现有的网上支付工具及其特点，然后对现阶段网上支付的安全问题进行了分析，最后提出了解决这些安全问题的若干对策。

　　关键词：电子商务;网上支付;安全

　　互联网在国内的发展已经有十多年的历史了，利用互联网进行商务交易活动――电子商务也有了十多年的历史。毋庸置疑，电子商务作为一种新型网上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚，降低了生产与销售成本，进一步缩短了生产厂家与最终用户之间的距离，改变了市场的结构;而且还大大节省了企业的营销费用，提高了企业的营销效率;为企业提供了巨大的潜在顾客群，给企业带来了无限的发展机会。

　　一个典型的电子商务交易由三个阶段组成，分别是信息搜寻阶段、订货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题，即如何利用互联网以安全快捷的方式实现交易双方的资金划拨，以确保电子商务交易的顺利进行。从三个阶段来看网上支付是最关键的，因为网上支付一旦完成物流的配送就是顺理成章的事情，也就意味着完整网上交易的完成。而网上支付若不进行，网上交易也不能最终完成。由此可见，网上支付是电子商务最核心、最关键的环节，是交易双方实现各自交易目的的重要一步，也是电子商务得以进行的基础条件。

　　1　网上支付现状及现有支付工具的特点

　　网上支付采用先进的技术通过数字流转来完成信息传输，其各种支付方式都是采用数字化的方式进行的，工作环境基于开放的因特网，使用的是最先进的通信手段，具有方便、快捷、高效、经济的优势。

　　目前我国网上支付发展迅猛，从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元，同比增速超过了170%。环比增速超过了20%。

　　目前的网上支付工具主要有：

　　(1)银行卡在线转帐支付：是目前我国应用非常普遍的电子支付模式，付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。

　　它具有以下基本特点：一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多，用户不受地域的限制。

　　(2)电子现金：是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数，来表示现实中各种金额的币值。但目前我国使用的不多。

　　它的特点一是具有现实现金特点，可以存、取、转让，适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名，商家接受到电子现金后将其传输给电子现金银行，由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。

　　(3)电子支票：是以一种纸质支票的电子替代品而存在的，用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足，在我国尚是空白。

　　其特点一是与传统支票的操作有很多相似之处，易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络，可以通过公众网络连接现有金融付款体系。

　　(4)第三方支付：是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类：一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面，统一的手续费用标准，结算较为便利。但此模式下，消费者并不是其客户，网站商家和银行才是它的客户，消费者最终还是要使用各网上银行进行付款。

　　二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司，支付宝收到货款之后通知卖家发货，买家收到货物之后再通知支付宝，支付宝这时才把钱转到卖家的账户上。在整个交易过程中，如果出现欺诈行为，平台提供方将进行赔付。这种第三方代收款制度，不仅保证了资金的安全转让，还可担任货物的信用中介，从而约束交易双方行为，在一定程度上增加了网民对网上购物的可信度，大大减少了网络交易欺诈。

　　2　网上支付存在的安全问题分析

　　要想保证在网上进行交易的安全性，首先要确保网上交易的载体――计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易，如果计算机网络不安全，可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括：计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行，如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。

　　上述两种安全问题不仅仅只存在于电子商务交易中，即使用户不使用计算机网络进行交易，而是进行普通的上网活动，也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩，用户如果碰到了这两种安全问题，受到的损失相对来说会小一些。

　　网上支付的安全除了上述两种安全问题外，还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性，包括以下几个方面：

　　(1)身份真实性。也称商务对象的认证性，传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性，但网上交易的双方相隔甚远，互不了解，支付方不知道商家到底是谁，商家不能清晰确定银行卡等网络支付工具是否真实，以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机，所以需要为参与交易的各方提供可靠标识，使他们能正确识别对方并能互相证明身份。

　　(2)信息的完整性。网上交易简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为，可能会导致交易各方信息的差异。另外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题，那么势必给交易双方添加不少麻烦。

　　(3)不可否认性，也称不可抵赖性。在传统的商务交易中，双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生，但在网上则是不可能的。因此就有可能出现这样的情况，当交易一方发现交易行为对自己不利时，可能会否认电子交易行为，这必然会损害另一方的利益。

　　(4)数据保密性。有关交易的各种信息，如付款人和收款人的标识、交易的内容和数量等，这些信息只能让交易的

　　参与者知道，有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。

　　3　解决网上支付安全问题的对策

　　3.1　技术方面的对策

　　(1)数据加密。

　　数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足信息完整性的要求，它是通过一定的加密算法，利用密钥(Secret keys)来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。

　　(2)数字签名。

　　数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个散列值(或报文摘要)，发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

　　(3)安全协议。

　　在国际上，比较有代表性的电子支付安全协议有SSL和SET。

　　SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说，SSL就是客户和商家在通信之前，在Internet上建立了一个“秘密传输信息的信道”，来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的认证问题也就越来越突出，SSL的缺点就会逐渐暴露出来，SSL协议也就逐渐被新的SET协议所代替。

　　SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。由于设计较为合理，得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持，已成为实际上的工业技术标准。

　　3.2　法制方面的对策

　　(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求，并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度，以及对失信者的惩戒制度方面都还十分落后，甚至存在空白。应当承认我国还属于非诚信国家，信用制度还很不健全。我们应当着手网上支付信用机制的建设，建立个人社会信用体系，及时收集和反馈用户信息并做出相应解决方案，促进用户建立网络信用。

　　(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管，规范市场主体行为。首先要加强对网络银行的监管：网上银行不同于传统银行，应该制定新的准入条件，加强对客户开户的监管，落实责任审查客户资料等信息，明确网上银行业务终止条件、清算办法等，制定电子货币退出机制，规范电子货币市场;其次要加强对第三方支付机构的监管，要让第三方支付机构受银监会监督，第三方无权动用客户资金，必须确保资金安全和支付的效率。

　　3.3　管理方面的对策

　　在管理方面，由于网上支付涉及到许多部门和机构，容易造成混乱的局面。通常来说，电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此，统一而先进的管理和规范就显得尤为重要。例如，各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。

　　另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的，但总离不开人的介入。从世界范围内的经验可以知道，银行系统资金不安全或者各类诈骗活动的发生，不是技术不安全造成的，而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。

　　4　结语

　　电子支付的安全问题，实际上是一个牵连甚广的应用问题。电子商务发展所要求的开放的支付环境，需要金融和通信、互联网等产业之间的融合，而这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同。因此一些在国外成功的经验并不能简单套用，这就使得电子支付需要面对的安全问题进一步复杂化。但只要全社会的相关组织和个人共同努力，相信未来的网上交易会越来越安全。

　　网上支付安全技术论文篇二：《浅议电子支付安全协议及技术》

　　【摘要】随着经济的发展和电子信息技术的广泛应用与迅速普及，电子商务以其快捷、便利、通用等优点愈来愈受到社会的认可和信赖，电子支付作为电子商务的核心环节和关键步骤，但是电子支付方式由于其对客户的分布式和开放性的特点，存在体系性的安全问题。

　　【关键词】电子支付;密码技术;安全体系;数字证书

　　随着金融业务以及金融支付系统的电子化不断发展，为金融交易提了更为灵活简便的交易方式。电子支付系统正好可以完成电子商务交易过程。截止到目前，几乎每一种传统支付机制都己开发出相应的互联网版本，如电子现金、电子支票;IT技术公司也开发出多种完全基于互联网的创新支付机制，并在全球范围内己经对传统金融支付系统发起了挑战。

　　1.电子支付安全现状分析

　　随着互联网的快速发展，电子支付已成为网络交易中最常用的方式，但也存在信息泄露等安全问题。如：信息泄漏。在交易过程中，消费者是弱势群体。商家可以选择支付方式，而消费者在填完一大串信息后不知道这些信息将流向何方，很难杜绝信息的泄漏。再者电子支付业务大多通过网络进行，没有了以往的签字、盖章及纸质凭证。因此，对于各种交易信息可以随意修改，监管部门无法看到真实的账务情况，这是电子支付签字的安全隐患。

　　2.电子支付安全协议

　　Internet中的七层网络模型都有各自对应的协议，其中对话层的SSL(安全套接层)协议和应用层的SET(安全电子交易)协议与电子商务有着最密切的关系。

　　2.1 SSL安全协议

　　通常情况下，中间的计算机不会监听在源-宿之间传递的信息，但有时会监听信用卡以及网上银行的交易信息，很可能会泄露个人隐私，而且这些隐私信息很可能被一些人获取并更改。如何保证信息在传递过程中的安全问题，既能保密又能鉴别彼此身份，可以通过SSL协议来实现。以下为实现过程：服务器接受来自浏览器的SSL版本号、与Session有关的数据、加密参数以及其他信息;浏览器接收来自服务器的证书、浏览器SSL版本号、与Session有关的数据、加密参数以及其他信息;若服务器证书经客户端检查失败，则SSL连接无法建立。如果检查成功，则可以继续;用服务器公钥对浏览器生成的pre-master secret进行加密，并发送到服务器;假如需要客户身份鉴别，客户端需签名后与证书一同发到服务器;对于客户身份的鉴别，如果通过检查证明签署客户证书的CA可信，则服务器用私钥将收到的pre-master secret进行解密，如果不可信，则结束本次通话;服务器所使用的会话密钥与客户端相同，在服务器与客户端SSL握手结束后都要通过这个会话密钥来传递信息;客户端将使用会话密钥加密发送信息以及本次SSL成功握手的消息通知给服务器;服务器将使用会话密钥加密发送信息以及本次SSL成功握手的消息通知给客户端;SSL握手结束并建立会话后，服务器和客户端使用通过一个会话密钥对对信息进行加密和解密。

　　2.2 SSL协议使用的安全技术

　　系统的安全主要通过SSL协议来保障，具体包括压缩、消息摘要加密和解密等技术。SSL协议主要包括SSL握手协议和SSL记录协议。SSL记录协议为各种高层协议提供基本的数据安全服务，对高层协议传送来的数据进行分段/组合、压缩、附加消息摘要、加密等处理，然后把数据传送给低层的传输层协议发送。SSL记录协议为最底层协议，此外还有SSL警告协议、更改密码规则协议和握手协议三个高层协议，它们都是建立在SSL记录协议上的。SSL的会话和连接由这三个高层协议来进行管理。

　　2.3 SET安全协议

　　作为一个开放的协议，SET协议主要是为了保证信用卡交易的安全性，主要是为信用卡交易所设计的，SET协议已慢慢成为工业标准，被Microsoft、IBM、HP等大公司所认可，也得到了IETF(因特网工程任务组)的支持。

　　2.3.1 STE协议的支付系统

　　在SET协议支付系统的网络模型中持卡人和发卡行之间的虚线表示持卡人在发卡行开设有帐户，商家和收单行之间的虚线表示商家在收单行开设帐户。持卡人通过Internet与商家进行交易，为了保证持卡人和商家时合法主体，需要认证中心CA来对双方进行认证，通过认证可以维护电子商务交易双方所提供的信息具有完整性和真实性。

　　2.3.2 SET协议的安全体系结构

　　在SET协议中，身份认证通过双重签名、数字签名等技术来实现，封字签名通过RAS算法和SHA-1算法来实现，数据的加密通过RSA、DES加密算法来实现。

　　2.3.3 SET安全技术

　　SET通过使用加密解密和认证等技术实现传输的完整性、机密性以及不可否认性，主要包括数字信封、混合密钥加密技术、对称密钥加密技术以及非对称加密技术。

　　(1)数字信封：主要是通过数据接收者的公钥来加密，确保只有指定的收信人才能阅读信的内容。

　　(2)混合密钥加密技术：主要是指通过专用密钥技术和公共密钥相结合的加密技术，保证电子商务中的电子支付安全。

　　(3)对称密钥加密技术：之所以称为对称密钥加密，主要是因为在此种方法中使用相同的密钥对信息加密和解密。RC4、AES、DES是常用的几种对称加密算法。

　　(4)非对称密钥加密技术：与对称密钥加密技术最明显的区别就是采用不同的密钥对信息进行加密和解密，每个用户同时拥有私有密钥SK和公开密钥PK两给密钥，且必须配对使用。概率加密、椭圆曲线密码、Rabin密码、RSA是常用的非对称加密算法。

　　3.结束语

　　作为电子商务系统的重要组成部分，电子商务支付系统的安全问题得到广泛关注，人们将研究安全方便的电子支付系统作为电子商务发展的首要任务。然而，电子安全支付系统是一个复杂的系统工程，我们必须通过实践不断总结，探究完善的措施。

　　参考文献

　　[1] 张贤;;电子商务安全问题[J];中国科技信息;2006年03期.