对电子支付安全的认识

电子商务支付安全分析

130403140孟然

参考文献卜庆锋电子商务与网络营销课程

1.1研究意义

全球经济发展正在进入信息经济时代，21世纪是个信息化的世界，信息交换在21世纪已经渐渐成为一种趋势，同时，有专家预测电子商务是未来25年内世界经济发展的一个重要推动力，其产生的作用甚至可以与200年以前工业革命对经济发展的促进作用相媲美。正像江泽民主席在APEC第六次领导人非正式会议上指出的那样：“电子商务代表着未来贸易方式发展的方向，其应用推广将给各成员带来更多的贸易机会。”与传统商务模式相比，电子商务将对人类社会生活产生重大影响，也必将对我国传统产业的改造和提升发挥积极的推进作用。随着电子商务的发展，在网上进行商品的交换越来越成为一种趋势，同时随之而来的是电子商务网上支付问题的以及安全问题的产生，研究这个课题有助于对电子商务以及安全问题有一个体系的了解，同时提高对网上支付的安全意识。

1.2研究背景

电子 商务作为一种新型网上在线贸易方式，使 企业 与消费者摆脱了传统的商业中介的束缚，但是电子商务交易中最为重要的环节一一网上支付，其安全问题依然是阻碍电子商务快速 发展 的瓶颈之一。首先给出现有的网上支付工具及其特点，然后对现阶段网上支付的安全问题进行了分析，最后提出了解决这些安全问题的若干对策。

电子商务的发展现状

中国电子商务研究中心数据显示，截止到2012年底，中国电子商务市场交易规模达7.85万亿人民币，同比增长30.83%。其中，B2B电子商务交易额达6.25万亿，同比增长27%。而2011年全年，中国电子商务市场交易额达6万亿人民币，同比增长33%，占GDP比重上升到13%；2012年，电子商务占GDP的比重已经高达15%。预计2013年我国电子商务规模将突破十万亿大关。

中国电子商务研究中心数据显示，截止到2012年底，中国网络零售市场（包括B2C和C2C）交易规模突破1万亿大关，达13205亿元，同比增长64.7%，占到社会消费品零售总额的6.3%。而2011年全年，网络零售市场交易额达8014亿人民币，同比增长55.98%，已占到了社会消费品零售总额的4.4%

网上支付系统的构成

基于互联网的电子交易支付系统由客户、商家、认证中心、支付网关、客户银行、商家银行和银行网络七个部分组成。

商家是指向客户提供商品或服务的单位或个人。在电子支付系统中，它必须能够根据客户发出的支付指令向金融机构请求结算，这一过程一般是由商家设置的一台专门的服务器来处理的。

一般是指利用电子交易手段与企业或商家进行电子交易活动的单位或个人。它们通过电子交易平台与商家交流信息，签订交易合同，用自己拥有的网络支付工具进行支付。

1.4.3支付网关

支付网关是完成银行网络和因特网之间的通信、协议转换和进行数据加、解密，保护银行内部网络安全的一组服务器。它是互联网公用网络平台和银行内部的金融专用网络平台之间的安全接口，电子支付的信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统。不过2013年淘宝的支付体系里面可以实行快捷支付，没有通过银行网关，在一定程度上是增加了支付安全的风险。 1.4.4认证中心

认证中心是交易各方都信任的公正的第三方中介机构，它主要负责为参与电子交易活动的各方发放和维护数字证书，以确认各方的真实身份，保证电子交易整个过程的安全稳定进行。目前比较大型和具有知名度的第三方认证中心是支付宝，财付通。 1.4.5客户银行

客户银行是指为客户提供资金账户和网络支付工具的银行，在利用银行卡作为支付工具的网络支付体系中，客户银行又被称为发卡行。客户银行根据不同的政策和规定，保证支付工具的真实性，并保证对每一笔认证交易的付款。 1.4.6商家银行

商家银行是为商家提供资金账户的银行，因为商家银行是依据商家提供的合法账单来工作的，所以又被称为收单行。客户向商家发送订单和支付指令，商家将收到的订单留下，将客户的支付指令提交给商家银行，然后商家银行向客户银行发出支付授权请求，并进行它们之间的清算工作。

网上支付安全问题

在网上进行交易是都很关心的问题，交易直接涉及到我们的银行卡或者其他支付方式里面的金额问题，必须在交易中保证交易双方的金额安全，那么造成网上交易安全的威胁来自哪些方面呢？或者说是有什么漏洞造成这些安全问题的发生

硬件方面

电子商务的基础是网络，没有网络，信息流就不会流通，当然谈不上电子商务，而网络的物理支撑是各种硬件设施，这些硬件设施会由于各种原因带来安全风险。硬件安全问题虽然发生的概率不大，但是一旦发生，其影响巨大。

一旦发生将会给有关企业和个人造成巨大影响和严重经济损失 软件方面

交易网络的形成不仅需要计算机硬件设备，更需要相应的软件，各种软件是网络运行所必需，也是电子商务的另一个支撑点。由于技术方面或者人为方面的原因，各种软件都会存在不可避免的缺陷和漏洞，而且目前软件的多样性和复杂性，在使用中也会有突现各种问题，导致电子商务系统中存在技术误差和安全漏洞。比如，个别软件可能会

因为自身的缺陷，在某些的情况下，可能造成系统运行故障。 应用方面

第一点 企业管理水平低，人员素质不高

电子商务在最近几年飞速发展，专业的电子商务人才得不到及时充分的补充，缺乏足够的技术来处理所遇到的各种问题。许多企业技术人员的技术水平较低，不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索前进的阶段，综合管理的水平不高，处理事务的效率低下。这些因素都会导致电子商务带交易的安全隐患。 第二点 消费者相关知识贫乏，安全意识不高

从总体上讲，电子商务这种新型的购物方式最近今年才的到普及，广大消费者对于他还比较陌生，缺乏相应的知识，还不能十分熟练的应用这一新的交易手段，有操作失误的导致等安全隐患存在。例如：有的消费者缺乏安全意识，不注意保护自己支付密码等关键重要信息，容易导致资金损失等；有的消费者对真假信息判断能力差，容易上当受骗；有的消费者对网络交易的流程不够了解，容易导致操作失误等。 技术方面的对策

数据加密。

数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足信息完整性的要求，它是通过一定的加密算法，利用密钥(Secret keys)来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。

4.1.2数字签名

数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个散列值(或报文摘要)，发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方

的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

4.1.3安全协议

在国际上，比较有代表性的电子支付安全协议有SSL和SET。SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说，SSL就是客户和商家在通信之前，在Internet上建立了一个“秘密传输信息的信道”，来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个

问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的认证问题也就越来越突出，SSL的缺点就会逐渐暴露出来，SSL协议也就逐渐被新的SET协议所代替。

4.2法制方面的对策

4.2.1 加强社会信用机制建设。

法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求，并通过一系列公开透明的制度来维护和保