【论文】网络安全技术对电子支付系统的影响.docVIP

网络安全技术对电子支付系统的影响 引言：网络安全问题，仍被视为制约电子商务环境下电子支付行业发展的软肋。据不完全统计，到目前为止还有68%的网民因为安全原因拒绝使用第三方支付产品，原因何在？是用户对安全问题敏感过头了，还是由于电子支付时不时发生的安全问题造成用户心理恐慌？ 所谓电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。 电子支付流程图Cyber cash和VISA/ Master card的SET就是基于数字信用卡（Digital Credit Cards）的典型支付系统。这种支付系统，对于B to C（Business to Clients）在线交易是主流，因为现在大部分人，更习惯于传统的交易方式。通过合适的加密和认证处理，这种交易形式，应该比传统的电话交易更安全可靠，因为电话交易缺少必要的认证和信息加密处理。 第三类是包括各种数字现金（Digital Cash）、电子货币（Electronic Money and Electronic Coins）。和前面的系统不一样，这中支付形式传送的是真正的“价值”和“金钱”本身。前面两种交易中，信息的丢失往往是信用卡号码，被伪造的信息，也只是信用卡号等。而这种交易种偷窃信息，不仅仅是信息丢失，往往也是财产的真正丢失。 通过支付手段又可以分为电子信用卡支付、Smart Card支付、电子现金支付、电子支票支付等。 3．电子支付系统安全技术 电子商务支付信息流动典型结构如图1所示。在图中，信任第三方是CA认证中心。商家和客户都必须到CA得到自己的证书，然后通过CA认证。很明显，各个部分信息传递，必须要经过加密处理；信息来源和目的，必须经过认证。 二. 我国现行电子支付的安全机制 目前，国内的电子支付系统共有三种安全实现方式：SSL、SET和Non-SET。对SSL和SET前面已做过讨论，这里不再详细介绍。这部分将主要介绍中国金融认证中心推出的NON-SET CA体系。 SSL协议，目前在中国可以支持128位的加密，招商银行、工商银行就是采用了这种方式。由于它被IE、NESCAPE等浏览器所内置，实现起来非常方便，国内的电子交易很多都采用这种协议。 SET协议，中国银行就是采用这种协议。但由于它的复杂，在国内开展得不是很普遍。 NON-SET CA体系亦称PKI CA系统,是由中国金融认证中心（CFCA）推出的，它是也是基于PKI的，除了加密功能外，还有数字签名功能、证书管理和在线CRL（证书废止列表）查询等功能。SET能够保证较好的安全性，但是也有处理速度慢，协议复杂，安装麻烦等缺点，而且只适用于信用卡的应用。所以目前业内采用的以Non-SET产品居多，例如国内已开通网上信用卡支付的银行中只有中国银行一家采用SET产品。 Non-SET 对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书)。中国金融CFCA的PKI non－SET系统所发的Direct证书，即企业级证书(亦称高级证书) 是目前世界领先的工具。下面以B2B网上购物的应用模式介绍其应用流程： 其中购物的用户，可能是企业或事业单位，它要具有一台Web浏览(Web Browser)，装有Direct Client软件，即通常称作客户端的代理软件(Proxy)。其作用是负责与Web Server Proxy之间建立安全通讯，提供对客户端和服务器端的安全和密钥管理功能，它检测浏览器发出的给Server的高强度的通信信息，是专为Server Proxy提供的加密和签名信息。在企业用户端要下载CFCA的根证书，同时还应装有企业级(高级)Direct证书，它们以Epf文件格式存放。 其中商家是大型供应商企业，具有一台Web Server，装Direct Server软件，即通常所说的服务器代理软件(Server Proxy)。其作用是负责与客户端建立安全通讯，进行双方认证，接受并处理客户端的信息；支持客户端与服务器端的在线自动CRL检查；具有完善的密钥和证书的管理功能。在商家的服务器端装有CFCA的根证书及企业级(高级)Direct证书，它们以Epf文件格式存放。 其中银行为中介服务，提供支付结算功能。在传统的银行信息网络前端设置一台支付服务器Payment Server。其作用是将商家传送来的信息，经过通讯格式的转换，转变成为传统银行对公交易的通讯格式，并与银行客户信息数据库联接，完成划转帐任务。银行支付服务器必须装有CFCA根证书及企业级证书（高级证书），并以Epf文件格式存放。 三. 结束语 电子商务的开展为国民经济的各