电子商务支付安全技术的问题与对策.docxVIP

电子商务支付安全技术的问题与对策 随着中国互联网的快速发展，基于计算机网络的电子商务在中国也取得了很大的发展，以商业活动为主体的电子商务在中国也取得了很大的发展。截至2008年12月, 电子商务类站点的用户总量已经从9000万户提升至9800万户。仅以成立于2003年淘宝网为例, 其目前拥有注册会员1.8亿, 2009年实现交易额2000亿人民币。 据《中国电子支付发展的现状与问题》报告显示, 在网上购物的付款方式选择中, 采取卡类电子支付用户占41.5%, 电子支付已成为最主要的网上购物付款方式。在选择电子支付考虑的诸多因素中, 64.5%的用户首选安全。可见电子支付安全成为电子商务支付体系的最大威胁, 如何防范身份欺诈、信息丢失篡改、交易抵赖、破坏系统等不法行为, 是电子商务电子支付安全技术急需解决的问题。 1 电子支付安全威胁分析 1.1 ．统一支付中某一方的身份 电子支付过程中涉及到的各方身份信息均需要验证, 攻击者可能假冒支付中某一方的身份, 从而盗取被假冒一方的信誉或财产等。例如一个攻击者可能假冒某个合法用户生成虚拟订单, 利用合法用户比如支付宝账号中的电子货币付款并收到货物。 1.2 篡改、破解或者伪造 由于因特网的开放性, 支付的数据信息在互联网上传送时, 就极有可能被篡改、破解或者伪造。如攻击者可以修改支付账号或密码、修改支付金额、修改收款人账号等, 给被攻击人带来损失。这是人们对电子支付安全的主要担心。 1.3 网络病毒和黑客攻击 电子商务的参与各方正常运行必然依托于支撑其的网络平台、支付网关以及电子支付专有应用软件的可靠畅通无阻的运行。而这些网络平台、专有软件很容易受到网络病毒和黑客的攻击。例如, 黑客破坏系统中的硬件、硬盘、线路、文件系统或是假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单等。 2 电子支付的安全需求 根据上述安全威胁结合目前网络技术发展的局限性, 电子支付的安全需求主要有以下五个方面: 2.1 各方身份抗辩 在电子支付的过程中, 首先需要在交易之前, 确定交易各方的身份, 要求参与支付的各方提供可靠性标识, 交易各方的身份不能被假冒或伪装。例如要保证支付过程中支付人的身份是真实的, 同时支付人也要认证支付平台的真实性。 2.2 客户身份信息 信息机密性是指在电子支付的过程中必须保证敏感信息不会泄密。比如客户个人信息、银行账号信息、支付密码等。网络支付工具必须保证支付信息在输入、传输、输出和存储等过程中对其进行加密, 这样即使别人截获或窃取了数据, 也无法识别信息的真实内容。 2.3 信息的完整性 信息的完整性是指信息在存储或传输时不被人为故意修改、破坏或者在数据传输过程中出现信息丢失、信息重复等差错。 2.4 须已经发送的信息不能否认已发送的信息 在电子交易中, 支付行为和其他业务环节都是不可抵赖的。如交易一旦达成, 发送方不能否认已发送的信息, 接受方不能否认已收到的信息。当网络支付双方出现纠纷, 能依照数字时间戳等技术行为, 明确支付双方的具体责任, 解决纠纷。 2.5 控制网络故障 信息的有效性是指要保证信息在确定的时刻、确定的地点是有效的, 应能对网络故障、硬件故障、错误操作、应用程序错误及计算机病毒所产生的潜在威胁加以控制和预防。 3 实现电子支付安全的技术措施 3.1 网络安全技术 目前, 大多数的网络购物支付方式采用网上银行和第三方支付的电子支付方式, 这些交易服务器都是互联网的公开站点, 很容易受到各种攻击。一般可以采取以下两方面的技术措施保障服务器安全。第一, 设立防火墙。防火墙是一种将内部网互联网分开的最为有效的方法。它是实现网络和信息安全的基础设施。防火墙通常是一组硬件设备和专用的安全软件的组合, 通过强制执行一些安全策略, 检测、限制、更改跨越内网和外网间通讯数据, 对未授权用户或不信任站点屏蔽, 从而阻止保密信息资源被非法存取和访问, 保护系统安全。第二, 入侵检测技术。入侵检测系统最常见的是软件与硬件的组合, 它通过收集分析安全日志或审计数据等, 从中发现系统中是否有违反安全策略的行为和遭到黑客袭击的迹象, 如发现攻击迹象入侵检测系统能及时切断网络、记录事件并向管理人员报警。例如通过收集用户每次登录时IP地址, 当用户某次登录IP地址显示异常时, 可以在用户下次登录时立即提醒或是与用户电话核实。 3.2 数字证书及公钥加密系统 确定交易各方的合法身份是电子支付中最为基础和重要的一环。目前, 电子支付中主要采用PKI/CA体系来完成用户身份认证和信息的安全处理。公钥基础结构 (PKI) 是指用公钥技术和数字证书来实施和提供安全服务的具有普适性的安全基础设施。它是由数字证书、数字证书的颁发机构以及通过公钥加密方法验证电子交易中各方合法性的其他注册颁发机