电子商务安全支付策略分析

维普资讯 http://www.cqvip.com 华妇金骷电肛　支付清算　ＦＩＮＡＮＣＩＡＬ　ＣＯＭＰＵＴＥＲ　ＯＦ　ＨＵＡＮＡＮ　２００７年８月１０日第８期　电子商务安全支付策略分析　◆　广东纺织职业技术学院　郑绮萍　摘要：本文从实现电子商务安全的基本目标出发，结合我国实际情况对电子商务应用中的　各种支付技术进行了分析，最后提出一种在公共网络上有效地实现安全支付的途径。　关键词：电子商务；网上支付；安全策略　随着经济全球化的进一步深人和现代信息技　客户端的最薄弱环节，也成为黑客盗取网上银行用　术的飞速发展，电子商务正以其无可比拟的优势改　户资金的主要突破口。　变着商务活动的运作模式，对企业传统的经营方　如何保证商务信息尤其是支付命令在网络中　式、支付手段和组织形式提出了强有力的挑战，给　安全而又畅通地传递，是电子商务支付系统中要考　社会经济和人们生活的各个方面带来深刻的变　虑的首要问题。网上支付系统的基石是密码学算　化。在电子商务中，网上支付是电子商务的关键环　法，其实现机制是特定的安全支付协议，因此，网上　节，没有相应实时的、安全的网上支付手段相配合，　支付系统最容易受到下面两个方面的攻击：　无法实现真正的电子交易。网上支付是电子商务发　（一）、对支付协议的攻击　展的核心，是完成电子交易的关键步骤，也是目前　对支付协议的攻击主要采取攻击协议设计和　制约国内网络应用开展的一个瓶颈。　实施弱点的手段。即使采用的加密技术是非常安全　一、网上支付的应用障碍　的，也不能完全保证支付系统的安全性。如果在协　Ｉｎｔｅｒｎｅｔ是一个开放的、不设防的系统，在安　议的设计和实施中不恰当地使用加密技术，也会造　全、技术上或多或少都存在缺陷。即使是目前最为　成整个支付系统的不安全。常见的对支付协议的攻　成熟的ＳＥＴ（安全电子交易）协议，实际上也只是安　击方法有：重放攻击、假冒用户终端攻击等。　全技术的集合，仍避免不了网络黑客的袭击。２００６　（二）、对密码系统的攻击　年１２月２１日，国内计算机反病毒厂商江民科技发　对密码系统的攻击主要是对敏感信息（如信用　布了针对网上银行的病毒调查报告。报告指出：从　卡号码等）网上通讯的监听、篡改和伪造等。这种攻　２００４年８月到２００６年１Ｏ月，全国感染各类网银木　击对电子商务的威胁最大，窃贼可能从一个单独的　马及其变种的用户数量增长了６００倍，用户每月感　数据库中搜索出成千上万个信用卡号码，后果十分　染病毒及其变种的数量约有１６０种，而且病毒发展　严重。据报载：美国每年因信息与网络安全两大问　呈上升趋势。“账号＋密码”登录形式成为网上银行　题所造成的经济损失达到７５亿美元。在我国，网上　■　ＡＵＧ．１０，２００７　ＮＯ．８　维普资讯 http://www.cqvip.com 曩　支付清算　２００７年８月１０日第８期　银行安全的形势同样严峻，假网“钓鱼”、黑客软件、　木马程序的侵袭时有发生。虽然各商业银行通过设　在早期的电子交易中，曾采用过一些简易的安　全措施，如“部分告知”，即在网上交易中将关键的　数据如信用卡号码及成交数额等略去，然后再用电　话或短信告之，以防泄密；再如“另行确认”，即在网　上传输交易信息之后，再用电子邮件或短信对交易　计网络安全协议等方式，积极采取“数字证书”、“数　字签名”、“信息摘要”、“双重加密”等安全技术措　施，不断加强网上支付的安全性，但面对日益高明　的网络犯罪手段，现有的安全措施仍使人心存疑　作确认才认为有效等。这些方法可以对付一般的黑　虑。据中国金融认证中心调查显示：由于用户网上　客软件和木马程序，但操作麻烦，不能实现实时交　银行频频被盗，国内有５３％的消费者不信任用户名　易和真正安全可靠的支付。　和密码机制。客户害怕在电脑空间里输入金融资料　（二）、第三方支付平台　已经成为网上支付的主要障碍。另外，网上金融整　第三方支付，就是一些能与多个发卡银行建立　体服务效率欠佳，诚信体系的不完善，电子商务安　联系并具备一定实力和信誉保障的第三方独立机　全支付的有关政策不明朗等因素都严重阻碍我国　构提供的交易支持平台。网上商户只要付给第三方　网上支付业务的进一步发展。　支付平台一定的佣金，便可获得与第三方支付平台　二、网上支付安全策略的比较　的接口，当消费者在网上商户处选购完商品要求进　电子商务的一个重要特征是利用现代信息技　行网上支付时，可通过第三方支付平台提供的接口　术来传送和处理商业交易信息。因此，对计算机网　转到相应银行的支付页面，直接将银行卡号码和密　络安全与商务安全有双重要求，使电子商务安全的　码输给银行，防止将消费者的支付信息泄露给商　复杂程度比大多数的计算机网络系统的要求更　家。银行、第三方支付平台和商户再通过其他渠道　高。为了保证电子商务的顺利开展和网上交易的安　完成转账。这是我国目前最常见的网上支付形式，　全性，各商业银行都建立了防范支付风险的科学高　规模较大的支付平台有ＣｈｉｎａＰａｙ、支付宝等。通过　效的支付监督管理体系，采用多种安全策略，解决　第三方支付平台的交易，买方选购商品并借助第三　电子商务网上支付系统的安全问题。目前国际上通　方平台支付货款后，由第三方通知卖家货款到达、　用的做法是访问控制、授权、身份认证、防火墙、加　可以发货；买方验收商品满意后，通知第三方付款　密存储及传送、内容控制、数据备份等措施。通过访　给卖家，第三方再将款项转至卖家账户，图１所示　问控制，建立系统内部与外部、系统内部不同信息　支付宝的安全交易流程。　源之间的隔离机制；通过授权，对不同用户实行不　买家收到货通知支付宝　同层次的访问许可，并监控用户的活动，使其无法　越权使用；采用公共密钥、私用密钥或用户指纹、声　音等特征来实现单因素或多因素的认证，以辨别用　户身份的真伪和信用程度；数字签名与加密则是目　前使用最广泛最有效的手段之一，被应用于网上交　ｉ　易系统和网上支付系统的各个环节，以保障信息在　支付宝通知卖家发货　存储和传输过程中的一致性、隐秘性，还可使接受　图１支付宝的安全交易流程　者无法否认曾经收到信息的事实；内容控制功能则　相对于其他交易方式，第三方支付比较有效地　使系统一旦出了问题，能够做到问题再现、数据复　保障了消费者购买的货物质量、交易诚信、退换要　查、责任追踪等。　求等环节，在整个交易过程中，都可以对交易双方　为抢占网上支付市场份额，有效打击网银犯　进行约束和监督。在不需要面对面进行交易的电子　罪，各商业银行在网上支付上投入了很大力量，纷　商务形式中，第三方支付为保证交易成功提供了必　纷推出独具特色的网上金融创新产品。　要的支持。但是第三方支付企业之间的残酷竞争，　（一）、“部分告知”和“另行确认”　原来第三方支付所依赖的银行逐渐从幕后走向前　ＡＵＧ．１０．２００７　ＮＯ．８　维普资讯 http://www.cqvip.com 坪扔金骷巫肛　ＦＩＮＡＮＣＩＡＬ　ＣＯＭＰＵＴＥＲ　ＯＦ　ＨＵＡＮＡＮ　支付清算　２００７年８月１０　１３第８期　台，外资银行的涌入，第三方支付平台本身的漏洞　（例如恶意的商家可以伪造一个支付平台，将消费　者转到一个貌似银行网站的付款网页，从而骗取消　Ｕ蕊　费者的银行卡号码和密码，即假网“钓鱼”）等，无疑　对国内第三方支付企业造成致命的冲击。　（三）、动态口令卡　动态口令卡相当于一种动态的电子银行密　码。口令卡上以矩阵形式印有若干字符串（图２所　示为中国工商银行电子银行１：７令卡），客户在使用　电子银行进行对外转账、ＢｔｏＣ购物、缴费等支付交　图３中国工商银行的“ｕ盾”　ＵＳＢｋｅＹ是一种应用智能芯片信息加密技术进　易时，电子银行系统会随机给出一组口令卡坐标　（如Ｄ４Ｈ７），客户根据坐标从卡片中找到口令组合　（１３７１４３）并输入电子银行系统，只有口令组合输入　正确的客户才能完成相关交易，该口令组合一次有　效，交易结束后即失效。　行数字签名的安全支付工具，芯片内存储私钥，必　须输入口令才能开启。使用ＵＳＢｋｅｙ客户证书进行　网上支付（以“ｕ盾”为例）有如下特点：　１．支付更方便　在登录网上银行之后，只要按系统提示将“Ｕ　盾”插入电脑的ＵＳＢ接口，输入“ｕ盾”密码，经银行　系统验证无误后，即可完成支付业务。不受各种支　付额度的限制，轻松实现网上大额转账、汇款、缴费　和购物。　２．交易更安全　图２动态１：７４＂－卡　使用“ｕ盾”办理网上银行业务时，不用再担心　黑客、假网站、木马病毒等各种风险，即便不小心泄　漏了账号、密码，只要不插入“ｕ盾”，不输入口令启　可见，口令卡使用方便，足以应付黑客攻击、假　网站诈骗、木马病毒等常见的风险。即使客户不慎　外泄了登录卡号和登录密码，只要保管好自己手中　的口令卡，使登录卡号、登录密码、口令卡不被同一　动私钥对支付命令进行数字签名，账户资金依然安　全。　个人获取，就能够保证账户资金的安全，并放心进　行网上购物和支付。但是，动态口令卡的使用对象　是“个人客户”，受中国人民银行制定的《电子支付　３．功能更全面　为了防范风险，商业银行通常为不同类型客户　提供了不同范围的网上银行服务，拥有“ｕ盾”的客　户可以享受全方位的个人网上银行服务，包括通过　指引（第一号）》约束，网上支付额度受限，单笔金额　不能超过１０００元人民币，每日累计金额不能超过　５０００元人民币，只适合对网上支付限额要求不高　的普通网银客户。　（四）、ＵＳＢｋｅｙ客户证书　网上银行签订个人理财协议，享受独具特色的理财　服务等。　４．服务更多样　ＵＳＢｋｅｙ客户证书不但可以进行网上大额转　ＵＳＢｋｅｖ客户证书是一个带智能芯片、形状类　账、汇款、缴费和购物，还可以对第三方支付提供安　全保护。例如，客户将工行“ｕ盾”与支付宝账号绑　定后，必须插入工行“ｕ盾”登录支付宝方可进行货　似于ｕ盘的硬件设备。目前，中国工商银行和中国　建设银行等均有发售，价格在６０元一８０元不等。中　国工商银行的ＵＳＢｋｅｙ称为“ｕ盾”（见图３），是工商　银行２００３年与微软等国际知名公司共同合作开发　的，在国内率先推出并获得国家专利，专门用于保　护网上银行客户客户证书的安全。　款支付、提现、充值等操作。２００６年５月２３日中国　工商银行与阿里巴巴在杭州签署整体合作框架协　议，将为阿里巴巴的ＢｔｏＢ交易平台提供“Ｕ盾客户　身份认证”服务。这意味着“ＵＳＢｋｅＹ客户证书”不但　囊　ＡＵＧ．１０．２００７　ＮＯ．８　维普资讯 http://www.cqvip.com 目　支付清算　２００７年８月１０日第８期　绎　含骷电肛　在ＢｔｏＣ交易中，而且在ＢｔｏＢ的电子商务中都发挥　１．个人甩户　其安全支付“智能卫士”的功能。　在我国，基于银行卡的电子支付方式是目前最　（五）、指纹签名器　主要的电子支付方式。对于网上支付限额要求不高　指纹签名器（见图４）也是一种带智能芯片、形　的个人用户，可配合使用动态口令卡来实现安全的　状类似于Ｕ盘的硬件设备，一侧安装了小型指纹　网上支付。而对支付额度有一定需求的个人用户或　感应屏。指纹签名器综合了ＰＫＩ技术和生物识别技　个体户，可考虑使用ＵＳＢｋｅｙ客户证书与第三方支　术，利用唯一的个体生物特征建立签名和签名人的　付平台账号绑定来保障网上购物的安全。　一对一关联性。　２．企业用户　指纹签名器的使用和特点与ＵＳＢｋｅｙ客户证书　中小型企业用户保险和明智的做法是依靠企　相同，只是私钥的开启方式存在差异。指纹签名器　业网上银行的品牌产品，借助　：　“ＵＳＢｋｅｙ企业客户证书”或　“指纹签名器”来享受网上银　行的贴身服务和保证企业资　金的安全。　大中型企业则应该利用　由国内电子银行提供的“重要　客户服务系统”，采用国内专　业机构权威认证的加密措施，　曩　通过专线接人、权限管理、身　图４　指纹签名器　份认证、数字签名、传输加密　是通过验证用户指纹来启封私钥，只有通过指纹验　等手段，充分保证企业资金的安全。　证才能进行数字签名，从而达到安全性要求。使用　四、结束语　指纹签名器可使用户免除记忆口令和丢失口令的　网上支付的安全、便捷、规范和高效是电子商　烦恼。该产品目前已获得国家信息安全认证证书和　务活动顺利进行的基本保证。虽然现有的电子商务　国家密码管理局商用密码销售许可证、广东省软件　支付系统在应用中还存在着一定的缺陷和不安全　企业认定证书等，可广泛应用于电子商务和网上支　因素，但现有的安全体系、相关技术及应用策略的　付等方面。　不断创新所发挥的作用是无庸置疑的，我们相信，　三、网上支付安全策略选择　随着密码技术、通讯技术、软件技术、管理水平等不　网上支付虽然发展速度快，但并不成熟，这是　断进步发展，网上金融监督管理机制逐步建立健　业内人士公认的事实。在选择网上支付工具时，用　全，诚信体系的进一步完善，中国的电子交易安全　户更多地是要通过体验比较，同时还要考虑市场的　市场即将进入黄金时代。　动态因素等问题：　（一）、服务提供商的选择　参考文献：　我国是一个以人民银行为核心，银行业金融机　［１］郑绮萍．电子签名技术在电子商务中的应　构为主体，支付清算组织为补充的支付服务组织体　用［Ｊ］．中国西部科技，２００５．６　系。在选择网上支付服务提供商时，一定要整体考　［２］姜华，杨静．电子商务的网上支付与安全　察其资质背景，尤其是它的持续盈利能力。安全支　［Ｊ］．国管理信息化，２００６．４　付策略较为完善的银行最稳妥、经历政策洗牌后还　［３］姜永波，孙向成．电子商务中的网上支付　能挺住的实力服务商较安全。　问题讨论［Ｊ］．国科技信息，２００５．８　（二）、支付策略的选择　（责任编辑：高碧波）　ＡＵＧ．１０．２００７　ＮＯ．８