安全电子支付系统探析.docxVIP

安全电子支付系统探析常晓燕 /崔泽永 +0（/. 西南交通大学计算机与通信工程学院，成都 G/,,:/；+. 北方工业大学经管仿真中心，北京 /,,,-/）摘 要：随着电子商务的蓬勃发展，如何保证电子支付的安全性是交易顺利完成的关键。本文比较了两种当前流行的 ;;3;8=98 ;?=@87 AB894和 ;$* 3;8=98 $C8=79?6D= * 9A6EA=7D?64协议，阐述了基于 ;$* 协议的电子 交易流程的网上商店支付系统的总体设计。基于 ;$* 协议的支付系统满足电子交易的安全需求，能够 保证电子商务交易的安全顺利完成。关键词：安全电子支付；;$* ；;;；电子交易流程；支付系统设计引 言近年来电子商务在我国得到了令人瞩目的发 展0电子支付是电子商务的关键环节0是电子商务得 以顺利发展的基础。没有实时的电子支付手段相 配合0网上交易就无法实现。电子支付1/2指的是电子 交易的当事人，包括消费者、商家和金融机构之间， 使用安全电子手段，通过网络进行的货币或资金流 转，即把新型支付手段3包括电子现金、信用卡、借 记卡、智能卡等4的支付信息，通过网络安全地传送 到银行或相应的处理机构来实现电子支付。（+）身份认证电子商务活动是在虚拟的网络环境中进行的， 要使交易成功首先要对数据和信息的来源进行验 证，以确保发送方的真实身份1:2。（:）数据完整性 数据输入时的意外差错或欺诈行为，数据传输中信息的丢失、重复、错序、被篡改，都可能导致贸 易各方信息的差异。因此，网上交易的信息要能做 到确保其完整性，即要求接收者收到的数据与原始 数据相同1:2。（-）不可抵赖性不可否认性当贸易一方发现交易对自己不利时可能会否 认交易行为，这会损害另一方的利益。因此要求系 统具备审查能力，使发送方对发送信息不能抵赖， 接收方对收到信息不能否认1:2。电子商务对安全性的要求由于本身的开放性，使网上交易面临 种种危险。电子支付过程中各交易实体间的信息 传递面临的安全威胁1+2，主要有信息被窃取、信息 被篡改、身份被假冒和交易行为被否认等。因此电 子商务的安全要求有网络信息的机密性、交易者身 份的确认性、数据完整性、不可否认性和不可修改 性、交互操作性等。（/）网络信息机密性电子商务建立在开放的网络环境上0许多数据 如账户、密码是敏感信息，需要对这些敏感信息进 行加密0使信息不被未授权的第 : 方所获0即使被截 获0截获者也得不到文件内容1:2。/; ; 与 ; $*目前0国内外使用的保障电子商务支付系统安全 的协议包括：;;（;8=98 ;?=@87 AB89）、;$*（;8=98$C8=79?6D= *9A6EA=7D?6）等协议标准。+现 代 计 算 机（）安全套接层协议/ ;; 34︵;; 是 87E=AF8 推出的安全通信协议。;; 能对信用卡和个人信息提供保护。基于 ;; 的支付 系统使用对称密码技术和公开密码技术，保证信息 的真实性、完整性和保密性。;; 客户机和服务器总 第 一 七 九 期!! # $ % ’ ! ( ) * $ % +,,-./电子商务通过协商建立安全通道，在安全通道中传输的所有 信息经过密钥加密处理以确保机密性。001 利用密 码算法和 2345 函数，通过提取信息特征值保证服 务器和客户机之间信息的完整性。利用证书技术 和可信的第三方，让客户机和服务器相互识别对方 的身份678。（+）0$* 9安全电子交易协议:0$* 是 ;! 协同 =;0 和 !34?@A’3AB 推 出 的 通过开放网络进行安全支付的标准。0$* 保证在公 共网络上银行卡支付交易的安全性。0$* 为解决客 户、商家、银行间通过信用卡交易而设计，它能保证 支付信息的机密，支付过程的完整、商家及持卡人 的合法身份。它使用数字证书验证交易各方身份 的真实性和合法性，使用数字签名技术确保数据的 完整性和不可抵赖性，使用双重签名技术对支付信 息和定单信息分别签名，使商家看不到支付信息只 能对订单信息解密，而金融机构只能对支付和账户 信息解密，保证了账户和定货信息的安全 6+8。（C）001 与 0$* 比较001 是基于传输层的协议，它只是电子商务体 系的一部分，不具备电子商务的商务性、服务性、协 调性和继承性。传输层属于较高层，通常软件实现 很大程度上削弱了加密处理能力。由于地址信息 由底层控制，容易被攻击者进行流量分析。001 中 采用公钥机制、信息摘要和 !’ 检测，提供客户 和服务器间的身份认证，保证了消息的机密性和完 整性，但不提供数字签名和多安全水平的信息系统 服务，不提供完备的防抵赖功能。相比之下，0$* 位 于应用层，0$* 规范了整个商务活动的流程，对信 息流走向和必须采用的加密、认证都制定了严