&

導語：如何才能寫好一篇網上支付的安全性，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

網上支付的安全性

篇1

關鍵詞：網上支付系統；數據安全；網絡安全；安全措施

中圖分類號： TN919?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2013）08?0074?02

0 引言

網上支付是以互聯網為基礎，利用銀行所支持的數字金融工具，發生在購買者和銷售者之間的金融交換，從而實現買者到金融機構、商家之間的在線貨幣支付、現金流轉、資金清算、查詢統計等過程，由此為電子商務服務和其他服務提供金融支持。

網上支付能夠為客戶提供方便、快捷的銀行服務，但同時也會給作案者提供新的攻擊途徑，帶來了新的風險，如何保證網上支付的安全性，成為網上支付系統建設的重要內容。

1 網上支付系統的安全性分析

近年電子商務在中國國內發展迅速，據電子商務研究中心數據顯示，截止2012年6月，中國電子商務市場交易額達3.5萬億元，同比增長18.6%。其中B2B電子商務市場交易規模達2.95萬億，網絡零售市場交易規模達5 119億元[1]。隨著電子商務在中國國內的迅速發展，網上支付成為一種新的支付方式，隨之，出現了網上支付的安全和信用問題。

網上支付業務數據中含有銀行客戶的賬戶信息，如賬號、密碼、余額等，屬于用戶的隱私，這些數據是不允許公開的；而因特網是一個開放的公共網絡，在這樣一個開放的網絡上拓展銀行的傳統業務，安全性是需考慮的首要因素，網上支付系統對安全性有著特殊的要求，既要保證數據在網絡上傳輸的保密性，又要保證服務系統的正常運轉。

網上支付系統的安全需求主要來自2方面：首先是交易數據安全，網上支付各業務的完成主要基于因特網的傳輸，因特網的開放性決定了其傳輸安全的脆弱性，需要保證數據傳輸的機密性、完整性，電子商務中需要確認交易方在網上的真實身份，確保交易的真實性和不可抵賴性；其次是網絡安全，網上的公開服務器以及內部與之相連的內部服務器將不可避免地受到惡意攻擊和好奇者的試探，需要保證系統較強的抗攻擊性[2]。

2 網上支付系統的安全措施

網上支付的安全性極為重要，其安全手段也是全方位、多層次的。從整個支付流程來看，支付系統的安全包括服務器端安全（包括銀行端和第三方支付公司系統）、客戶端安全、數據傳輸安全，通過對各環節采用不同的安全措施來構建一個安全支付環境（如圖1所示），以確保客戶交易信息的保密性、完整性及不可抵賴性[3]。

2.1 服務器端安全

（1）應用系統安全：主要包括銀行系統、第三方支付系統安全。對于應用系統架構，應根據不同的安全級別劃分安全區域，并在各安全區域之間部署異構防火墻，在安全區域內部部署安全防護設備[4]，如安全網關、漏洞掃描、抗DDOS攻擊設備、入侵檢測設備IDS、入侵防御設備IPS等，從而有效控制非法用戶入侵、防范惡意攻擊，對應用系統進行全面的安全防護。

（2）數據存儲安全：通過制訂并施行科學合理的數據備份機制、數據訪問機制和災難恢復計劃，以確保數據存儲安全。

（3）交易處理安全：主要通過數字簽名技術保證網上支付交易處理安全，具體交易過程如圖2所示。

商戶發往銀行的交易需進行數字簽名，銀行方進行驗簽，從而驗證商戶身份；同時支付系統發送給商戶的支付結果中也包含銀行方數字簽名，以保證信息一定是由銀行發出的并且確保其完整性。此外，銀行對商戶發送過來的訂單信息會進行重復性、時效性等有效性檢查，對于無效交易系統會自動摒棄。

（4）交易監控：建立交易監控系統，通過數據分析、數據挖掘等技術進行學習并與一般用戶正常行為特征進行比對，發現異常的或有風險的操作行為，根據風險級別不同進行不同的處理。

2.2 客戶端安全

由銀行和第三方支付服務提供商為客戶提供，具體包括動態令牌、USB Key（含第三方認證證書）、短信服務、預留信息驗證、圖形驗證碼、軟鍵盤等。其中，動態令牌和 USB key 為物理移動設備，難以被盜用，USB key可對客戶提交的交易信息進行數字簽名，增強對交易過程中行為和責任的認定。通過幾種方式的組合，可增強非法入侵和盜用的難度[5]。

2.3 數據傳輸安全

銀行端與商戶端通信可采用專線或VPN方式，并利用 HTTPS協議進行交易信息加密處理[6]，以確保數據傳輸的機密性和完整性。

2.4 其他安全

（1）加強實名驗證，如淘寶（支付寶）實行了收款人身份證認證和銀行卡認證，可有效防范欺詐；

（2）第三方支付公司借鑒證券公司經驗使用第三方存管，增強了客戶資金安全性；

（3）簽約過程中網上支付系統不向商戶系統傳輸客戶銀行卡完整的卡號信息，網上支付系統也不保留客戶的商戶賬戶完整信息，以確保客戶敏感信息安全；

（4）通過設置單筆支付限額和當日累積支付限額，以確保資金安全。

3 結語

網上支付有效地解決了電子商務資金流的問題，大大促進了電子商務的發展，但其安全性備受關注。通過使用各種安全措施，可有效確保網上支付系統的安全，從而為客戶提供安全、快捷的支付服務。

參考文獻

[1] 孟凡霞.2012年（上）中國電子商務市場監測報告[J].現代情報，2012（9）：91?92.

[2] 徐輝.我國網上支付安全問題及風險防范[J].華南金融電腦，2009，32（5）：25?28.

[3] 錢宏，趙琳峰.構建安全支付服務體系迎接支付健康發展新紀元[J].金融電子化，2010（13）：21?22.

[4] 龍冬陽.網絡安全技術及應用[M].廣州：華南理工大學出版社，2006.

篇2

關鍵詞：網上支付；風險；建議

從廣義上講，網上支付是買賣雙方利用網絡平臺進行金融交易的手段，它的支付工具主要有電子支票、電子現金和數字信用卡，它涉及的方面非常多，如電子商務、網絡銀行、網上證券、網上保險等。在網絡經濟環境下，網上支付業務成了金融機構利潤增長與戰略發展的重點之一。然而由于網絡安全、行業標準、信用、法律等風險因素，對網上支付業務的爭議很大，嚴重影響了它的健康發展和持續壯大。因此，深入研究網上支付風險因素，找出規避對策具有重大意義。

一、我國網上支付狀況概述

我國網上支付業務起步較晚，但發展勢頭喜人。首先，基礎環境日趨成熟。各大銀行相繼建立的電子支付系統，并在不斷的改進當中安全性也逐漸提高。2002年3月，中國銀聯成立，為我國網上支付業務的發展揭開了嶄新的一頁。目前，主要借助第三方交易平臺，實現網上支付。第三方交易平臺不在金融機構、商家、消費者之列，更體現了交易的公平性。其次網上支付相關法律正在不斷完善。技術和道德標準代替不了法律對網上支付業務的重要作用。《中華人民共和國電子簽名法》就是專門針對網上支付和電子商務的法規，分別從法律上確定了電子簽名的合法地位，并對網上交易的安全性提出了指導性要求。第三，國內支付信用問題有待加強。由于網上支付的各種體制仍不完善，難以使消費者、商家與金融機構之間產生完全的信任關系，另外釣魚網站欺騙、短信詐騙等現象給網上支付帶來許多負面影響，許多客戶疑慮重重。

二、網上支付存在的風險問題分析

安全風險。網上支付的安全問題無疑是客戶最關注的，畢竟資金的完全虛擬化，支付過程變成黑匣子，不像一手交錢一手交貨更直接、更透明。基于開放的互聯網平臺，本身就存在巨大風險，就像馬路上行駛的運鈔車一樣，對外來攻擊“防不勝防”。技術安全性主要體現在網絡安全、第三方支付平臺可靠性和客戶端防御力上。目前，技術性問題主要集中在客戶端，客戶端的防御力以及大多客戶的安全意識都不高。因此，提高商家、消費者的網絡安全意識，增強金融服務工具的安全性和穩定性是當前乃至今后的發展方向。

信用風險。信用風險是影響和制約網上支付業務發展的另一重要因素。一是各體綜合素質不高，沒有形成良好的網絡道德風尚，虛假網站，實物與廣告描述不符等欺詐現象屢屢出現。二是國內網上支付業務的基礎比較弱，信用信息披露機制不夠完善，許多人對其持觀望態度。三是銀行為了減少損失和麻煩，主要以借記卡形式作為網上支付的載體，消費者受騙后損失自負，失去不少客戶。四是第三方平臺利潤空間不高，又要承擔巨大的安全風險，不敢放手發展。

法律風險。網上資金交易是現實資金交易的虛擬化，與現實資金交易同樣必須有完善的法律做為堅實后盾。對網上支付相關法律的頒布和完善國家也不遺余力，但這項業務是一個系統工程，不是一蹴而就的，而是需要很長的時間來修葺，一方面網上支付業務的發展時間很短屬新生業務，許多問題還不開明，比如第三方平臺的身份問題一直頗受爭議；另一方面網上支付業務是網絡時代的創新，必然會觸及金融監管的盲區，使各方利益難以得到保障。

行業標準風險。目前支付網關的接口標準極不統一，使各大商業銀行以及第三方交易平臺難以配合默契，不但局限性強，而且眾多的網關接口增大了支付風險。數字證書的問題如出一轍，大家各自為政，一是資源極度浪費，二是一人說了算的情況難以體現公正性和公平性。造成以上局面，主要有二個原因：毫無利益可言，再加上數字證書申請程序繁瑣，各方缺乏積極性；大多第三方平臺和商業銀行實力較強，更相信自己的認證系統。

三、規避網上支付業務風險的合理建議

吸收國外主要發達國家信息技術方面的優勢。信息技術在這些主要發達國家循序漸進的發展，使他們在理論研究和技術積累方面有雄厚的實力。可以借鑒國外信息技術和信息產業方面的優勢，網上支付理論和技術以及相關安全技術在我國也就可以更加順利和快速的發展。

建立一整套完整的社會信用機制。我國尚缺少信用度認證平臺，人們難以獲取統一的評判基準，目前已經建立了個人信用上網查詢系統，這些主要針對個人貸款幾率的紀錄已經在發揮作用，在此基礎上我們可以完善其中的管理模塊，建立一個功能更加齊全的征信和查詢系統，提高整個管理體系的完善程度。

加快數字證書認證建設。數字證書是確保交易雙方身份真實性、信息完整性，私密性和交易不可否認性的“網絡身份證”。目前，我國既有由銀行自己發放的數字證書，也有由第三方安全認證機構發放的數字證書，對此，政府應該加以規范，統籌規劃。

加強法律建設。盡快制定相關法律法規規范電子合同、網上支付、電子票據與資金劃撥、程序的安全性、隱私保護、基礎設施和知識產權保護等涉及網上支付的關鍵性問題；強化法律法規的可操作，協調管理、技術、法律、標準和商業慣例的關系，使其成為一個有機的整體，為電子商務的運行和發展提供全面有效的保障。

總之，網上支付業務是經濟發展不可回逆的潮流，只有正視它的安全、信用、法律、行業標準等風險因素，并通過相應的手段逐一解決，才能使之蓬勃發展，才能適應時代的需求。

參考文獻：

篇3

[關鍵詞]網上支付安全因素解決對策

中圖分類號：G353文獻標識碼： A

網上支付是電子支付的一種形式，是以互聯網為基礎，利用銀行所支持的某種數字金融工具，發生在購買者和銷售者之間的金融交換，從而實現從購買者到金融機構、商家之間的在線貨幣支付、現金流轉、資金清算、查詢統計等過程，由此為電子商務和其它服務提供金融支持。近年來，由于受到電子商務發展的有力拉動，中國個人網上支付的市場規模發展迅速膨脹。但在網上支付蓬勃發展的背后也出現了一些無法回避的問題。筆者試對當前我國網上支付出現的問題提出一些應對之策。

一、我國網上支付的現狀

隨著電子商務的不斷發展與普及，網上支付已是電子商務一個重要的組成部分。目前在我國網上支付發展非常迅速，市場需求非常旺盛，應用創新空間非常廣闊，是一個大有作為的行業。金融服務的發展創新開展網上支付業務，可以減少銀行成本，加快業務處理速度，方便客戶，同時也有利于銀行拓展業務，增加中間業務的收入。更重要在于它改變了銀行支付處理方式，使得消費者在任何地方、任何時間，通過互聯網獲得銀行業務服務。但是我們必須清醒認識到，網上支付的基礎環境還有許多的問題，值得關注和改善。網上支付的安全，網上支付工具發展滯后，社會誠信體系以及網上支付相關的法規等等，都是現在制約網上支付發展的重要因素。

二、制約我國網上支付發展的因素

1、網上支付的安全問題

電子商務在國內近十年的發展過程中，始終遭遇一個重大的瓶頸，就是網上支付安全問題，這個瓶頸嚴重制約了我國電子商務的發展，據調查有相當數量的客戶希望通過網上方便購物，但是在權衡網上購物方便性和安全性以后，最終選擇了放棄。分析原因，一是網上支付虛擬性的交易特點容易使客戶對安全性產生懷疑，二是傳統的一手交錢一手交貨的思維定勢阻礙新的網上支付方式的發展。因此網上支付首先應該把安全擺在首要位置。

2、網上支付工具發展滯后

網上支付需要銀行卡的參與，但僅靠銀行卡的運行還是遠遠不夠的。況且現在的銀行卡使用情況可說是五花八門，工行的、交行的、建行的、農行的等等，每個人拿出來的信用卡幾乎都有使用的范圍的限制、透支額度都是有差異的，這就需要一個第三方網絡平臺的出現，對各種信用卡進行統一的管理和約束，使得網上支付能夠順暢運行。

3、社會誠信體系不健全

網上交易、支付雙方不見面，交易真實性不容易考察和驗證，電子商務活動最后是否完成在很大程度上取決于參與買賣雙方，取悅于金融機構和第三方支付平臺的誠信程度。我國信用體制不夠健全，市場環境不是很完善，應該說是制約電子商務發展非常重要的一個因素，因此我們應該呼吁各界共同努力，盡快建立和完善社會的誠信體系，以支持電子商務健康發展。

4、網上支付法律法規不健全

網上支付業務常涉及銀行法、證券法、消費者權益保護法、財務披露制度、隱私保護法、知識產權法和貨幣銀行制度等。目前，我國對于網絡支付立法相對滯后。現行許多法律都是適用于傳統金融業務形式的。但由于網絡糾紛的特殊性，用傳統法律規則來解決是一個非常吃力的問題。目前在網上支付業務的有些方面，雖然已有一些傳統的法律法規，但其是否應該適用，適用程度如何，當事人都不太清楚，有的時候，監管機構也未必明白。在這種情況下，當事人一方面可能不愿意從事這樣的活動，一方面也可能在出現爭執以后，誰也說服不了誰，解決不了問題。

三、網上支付存在問題的解決對策

1、提高網上支付的安全性

提高網上支付的安全性，需要金融機構和廣大商戶共同努力，同時需要客戶的配合，從技術上、支付工具上，從風險措施上、防范措施，全方位、多層次提供安全的保障手段。同時，也需要政府對社會輿論的正確引導，努力消除買賣雙方的后顧之憂，只有這樣才能促進網上支付健康快速發展。

2、實現網上支付工具多樣化

作為網上支付業務載體的網上支付工具，是網上支付的主要組成部分，也是實現網上支付的必要條件。在傳統的銀行支付結算中，具有各種多樣的支付結算工具如支票、匯票、本票、匯兌、委托收款、托收承付、銀行卡等，可以根據不同情況選擇不同的支付方式，互聯網上的支付系統應是對現有支付手段的模仿。理想的支付系統要求具有一定的開放性、靈活性，它應該在不同的支付條件下支持不同的支付模型。

3、建立社會誠信體系

目前站在銀行的角度，解決網上支付誠信問題，主要的辦法，一是要嚴把關口，從根本上解決賣家和貨源本身誠信問題，二是對開戶的商戶交易情況進行實時監控，發現異常以后，立即采取處理的辦法，采取必要的措施，以防止欺詐和卷款行為的出現。同時還可以跟商戶簽訂保證金的協議，以控制商戶欺詐行為。第三，研究規范網上支付市場規則，解決好網上支付法律滯后和業務監管薄弱的問題，沒有規矩不成方圓，任何行業規范發展離不開配套的法律法規正確指引和業務監管，隨著近年來電子商務的發展，網上支付領域出現一些新的交易形式，針對網上支付業務法律法規建設以及業務監管也提出新的要求和挑戰，這也需要相關法律法規的配套和規范的操作，以防范其中可能會發生一些風險問題，以保障支付電子商務發展能夠在健康的道路上發展。

篇4

【論文摘要】我國電子商務和網上交易近年來取得了較大的發展,然而網上支付成為我國電子商務發展的瓶頸之一。因此,解決網上支付問題是發展電子商務的必要環節。本文從多個方面對網上支付系統的技術和安全問題進行了研究。文章首先簡單地分析了網上支付系統在安全方面的需求，介紹了相關的核心技術。然后結合我國民航電子商務的發展現狀和需求,以節省交易成本和提高安全性為目標,提出基于SSL協議的民航電子商務支付系統。通過加入雙重簽名技術,使得SSL協議的安全性有所提高,民航電子商務系統更加有效和安全,交易成本也大大降低。

Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.

Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.

Keywords:EC;onlinepaymentsystem;technicalcountermeasures

第一章：引言

2009年1月13日，中國互聯網絡信息中心（CNNIC）在京了《第23次中國互聯網絡發展狀況統計報告》。報告顯示，截至2008年底，我國互聯網普及率以22.6%的比例首次超過21.9%的全球平均水平。同時，我國網民數達到2.98億，寬帶網民數達到2.7億，國家CN域名數達1357.2萬，三項指標繼續穩居世界排名第一。

我國網民和國家CNCN域名的增加，勢必為電子商務的發展帶來更大的機會。隨著Internet技術和應用的不斷發展,越來越多的企業加入到電子商務的隊伍中來。電子商務已成為貿易發展的必然趨勢,隨著電子商務環境的規范和完善,中國電子商務企業必然迅猛發展。使用網上支付的方式進行交易,大大降低了傳統貿易的費用和開銷,提高了工作效率和企業競爭優勢。越來越多的企業選擇在Internet上建立自己的Web站點以便利、經濟的手段在網上展示自己的企業形象,推銷本企業的產品。

一、電子商務與支付系統的定義

1、電子商務的定義

電子商務源于英文ElectronicCommerce，簡寫為EC。顧名思義，其內容包含兩個方而，一是電子方式，二是商貿活動。電子商務指的是利用簡單、快捷、低成木的電子通訊方式，買賣雙方小謀而地進行各種商貿活動。國際商會于1997年11月，在巴黎舉行了世界電子商務會議(TheWorldBusinessAgendaforElectronicCommerce)會上專家和代表對電子商務的概念進行了最權威的闡述：電子商務，是指實現整個貿易過程中各個階段的貿易活動的電子化[1]。從涵蓋范圍可以定義為：交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業貿易；從技術方面可以定義為:電子商務是一種多技術的集合體，包括交換數據(如電子數據交換、電子郵件)、獲得數據(共享數據庫、電子公告牌)、以及自動捕獲數據(條形碼)等[2]。

2、網上支付系統的構成

支付系統是由一系列支付工具、程序、有關交易主體、法律規則組成的用于實現貨幣金額所有權轉移的完整體系。[3]

網上支付是指以金融電子化網絡為基礎，以商用電子化工具和各類交易卡為媒介，采用現代計算機技術和通信技術作為手段，通過計算機網絡系統，特別是因特網進行傳輸。以電子信息傳遞的形式來實現資金的流通和支付。網上支付系統的構成則主要包括兩部分。一是網上支付主體。涉及網上商家、持卡人、銀行和第三方認證機構。二是網上支付技術。如基于因特網的TCP/IP協議標準、WWW技術規范和以安全網絡數據交換為宗旨的電子數據交換協議SSL和SET。[4]

二、電子商務與網絡支付系統的發展現狀

1、電子商務的發展現狀

根據2009年1月13日，中國互聯網絡信息中心（CNNIC）在京的《第23次中國互聯網絡發展狀況統計報告》顯示，在主要互聯網應用使用率調查中，網絡求職、更新博客和網絡購物位列增長最快的應用前三甲。而網絡音樂、網絡視頻等娛樂性應用的使用率則明顯呈現下降的趨勢。

由此可見，越來越多的企業和顧客加入到電子商務的隊伍中來，網絡支付系統得到越來越廣泛的應用。電子商務發展迅速,通過網上進行交易已成為潮流。在我國，電子商務雖然剛起步，但是人們對電子商務的巨大潛力深信不疑；我國政府積極支持電子商務活動的開展，這些都對我國電子商務的發展產生了重要的影響。

但是應當看到，我國還存在一些“瓶頸”問題，嚴重地阻礙著電子商務的發展。從技術角度上看也存在兩項解決的難題一是缺乏統一的電子商務技術服務標準，沒有規矩不成方圓，沒有標準的電子商務勢必造成國內乃至國際電子交易混亂和麻煩。技術是電子商務發展的基礎，而技術的發展必須建立在標準統一的基礎之上。因此加快電子商務技術標準的制定是我國電子商務發展中迫在眉睫的、十分重要的事，是我國電子商務發展重中之重。二是還沒有真正成熟的電子商務解決方案。在現階段電子商務軟件服務市場上，國外成熟的電子商務解決方案占據主導地位仍是不爭的事實，而國內真正有能力的開發廠家更是屈指可數，仔細算來也只有實華開、四通寥寥幾家，但沒有一家能夠提供一套完整的電子商務交易標準。而網上支付作為新興的電子支付手段，越來越普及越來越重要。無論是對電子商務技術服務標準的制定還是對真正成熟的電子商務的解決方案的出現，網上支付系統的關鍵技術都是至關重要的。

但是現在制約電子商務發展的最關鍵的技術，是解決安全問題的技術。電子商務中的安全問題是重中之重的問題。在電子商務系統中,不僅需要交換使用者的信用卡號碼、客戶密碼和個人身份等隱私信息，而且還涉及到個人財產的安全問題。在電子支付過程中,必須保證信息的機密性、完整性和真實性。一旦這些方面得不到切實的保證，那么將造成重大的損失和嚴重的法律問題，甚至會斷送電子商務企業的命運。因此必須發展能夠保障支付系統安全的關鍵技術,確保交易過程是安全、可靠的。

2、網上支付系統的發展現狀

隨著電子商務的迅猛發展，支付問題就成了制約電子商務發展的瓶頸，尤其是支付的安全性問題就像一直縈繞在頭上的達摩克利斯之劍。電子支付構成了電子商務的核心環節，如果沒有支付，整個電子商務過程無法完成。只有通過安全、快捷的實現電子支付才能實現電子商務涉及的物流、資金流、信息流的有機結合，才能確保電子商務交易順利進行。

而作為真正的網絡支付手段出現的支付方式，則是在Internet的迅速走向普及化之后的事情。但是自2005年以來，中國網上支付成長十分迅速，這標志著中國電子商務邁入了以全面實現網上支付系統為特征的嶄新發展階段。著名的網絡市場調研機構艾瑞咨詢公司的研究報告預測2010年我國的我網上支付市場規模將達到2800億元。網上支付已成為國內網民從事網上交易時的第一選擇，網上支付市場似乎已經成為繼網絡游戲、sp之后的又一座金山。

在Internet上出現的支付系統模式已有十幾種,這些系統模式大致上可以劃分為如下3類:第一類是數字化的電子貨幣或者電子現金;第二類是使用他們已有的安全清算程序,對Internet的網上支付提供信息中介服務;第三類是針對銀行卡主攻加密算法,使傳統的銀行卡支付信息通過Internet向商家傳遞,利用金融專用網絡提供獨立的支付授信,更先進的是采用智能卡技術,提供聯機的銀行卡支付。但是不管是哪一類的系統，都是包含著信息加密措施的系統，每一個系統都是有很多保障安全性的系統。

第二章：網上支付系統的安全技術問題

一、網上支付系統的安全問題

隨著網上支付手段使用人數的增加，網上支付系統所存在的問題也暴露無遺，而且隨著使用范圍的推廣和黑客等技術的發展，也對網上支付系統的關鍵技術提出了更高的要求。其中最重要最核心的關鍵技術問題，就是安全問題。

電子商務的支付問題是隨著電子商務本身的快速發展而衍生的。單純就它們的關系而言,電子商務需要電子支付,支付體系是開展電子商務的必備條件。隨著網上支付手段使用人數的增加，網上支付系統所存在的問題也暴露無遺，而且隨著使用范圍的推廣和黑客等技術的發展，也對網上支付系統的關鍵技術提出了更高的要求。其中最重要最核心的關鍵技術問題，就是安全問題。據AC尼爾森公司在2003年3月～4月做的一個調查表明,安全性是網上購物者用信用卡支付的主要顧慮。安全問題已成為電子支付發展面臨的重要挑戰,目前制約我國電子商務發展的瓶頸就是支付問題。

二、信用卡安全的恐慌——網上支付系統的安全問題案例分析

眾所周知道銀行業步入了網絡時代,網絡也融入了銀行業,這迎合了電子商務發展的趨勢。網上銀行因不受時間、地域限制,成本低、快捷方便等優點得到了銀行業的積極響應。近幾年更是呈現出迅猛發展的勢頭。但是由于網上銀行所有內容都是以數據的形式流轉于網絡之上,不可避免地會帶來信息安全隱患。作為龐大資金流動的載體,網上銀行極易受到非法入侵和惡意攻擊。如果銀行的網絡遭到攻擊,私人信息就可能會泄漏,若補救不及時,很可能給消費者造成巨大損失。2005年4月,多名“支付寶”用戶工商銀行帳戶里的錢不翼而飛。6月,花旗集團丟失了一批記錄著390萬客戶帳戶及個人信息的電腦記錄數據帶。同月,包括Master、Visa在內的多家信用卡公司4000多萬用戶信息被盜,涉及了近9000張國內信用卡,一時間風聲鶴唳,引發了信用卡安全的恐慌。黑客竊取用戶資料、網絡詐騙、虛假銀行、網絡釣魚等支付安全問題已經嚴重影響了電子商務的發展。

從銀行業的這一案例中我們可以清晰看到安全技術的重要地位和意義。因此必須對這一關鍵技術進行深入的研究，形成一個優秀的解決方案，確保網上支付系統的安全，保障我國電子商務事業的穩定快速發展。

第三章：解決網上支付系統的安全問題的技術解決途徑

安全的目的是：保護一個系統不會受到未經授權的訪問，使系統的正常工作不會被非法干預。同所有計算機系統一樣。電子商務系統安全必須具有保密性、完整性及可用性三個特征[5]。網上支付系統的安全是電子商務發展的核心。任何在Internet上開展業務的機構必須采取積極的步驟,確保系統有足夠的安全措施,防止機密信息泄露和非法侵入造成損失。因此網上支付系統不但要具有保密性、完整性及可用性三個特點好要具有認證性、不可否認性和可審查性。

一、網上支付系統的安全要求

1、保密性

要確保網上支付系統的安全，首要的一點要求就是應防止未授權的數據暴露并確保數據源的可靠性，交易中的商務信息都需要遵循一定的保密規則。交易中的商務信息可能直接關聯著個人、企業或國家的商業秘密,特別是涉及到商業機密和金融方面的敏感信息時,信息的保密性更為重要。因為其信息往往代表著國家、企業和個人的商業機密，而電子商務是建立在一個較為開放的互聯網絡環境上的。它所依托的網絡本身也就是由于開放式互聯形成的市場，才贏得了電子商務。因此在這一新的支撐環境下，勢必要用相應的技術和手段來延續和改進信息的保密性。,因此,要采取措施預防信息的非法存取和信息在傳輸過程中被非法竊取。維護商業機密是電子商務全面推廣應用的重要保障。

對于網上支付系統來說，他的保密性意味著系統必須滿足兩點：（1）私有交易不會被其它人截獲及讀取，既沒有人能夠通過攔截會話數據獲得訂貨單中的帳戶信息；（2）如果可能，應確保交易的匿名性，使交易不會被追蹤，任何人無法利用“發生交易”這樣的事實本身來達到別的目的。

2、信息的完整性

不可否認電子商務的出現以計算機代替了人們以大多數復雜的勞動，信息系統的形式整合化簡了企業貿易中的各個環節，但網絡的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整統一出現了問題。而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略，因此保持貿易各方信息的完整性是網上支付系統應用必備的基礎。

要確保網上支付能夠安全順利的進行，還要防止未經授權的數據修改。交易雙方的合同簽訂后就不能隨意刪改，以保證交易的公正性,與可行性。電子商務簡化了貿易過程，減少了人為的干預，但對信息的隨意生成、修改和刪除會造,成差錯甚至可能導致欺詐行為。數據傳輸過程中信息丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。這會影響貿易各方商業信息的完整性和統一性。因此保持貿易各方信息的完整性是電子商務應用的基礎。完整性指資源只能由授權實體修改。網上支付系統的完整性要求他提供的服務應在通信過程中接收到的消息確實是實際發送的消息，不可能在傳輸過程中被篡改，也不可能是一條偽造的消息。

3、可用性

可用性是指一旦用戶得到訪問某一資源的權限，該資源就應該能夠隨時為他使用，而不應該將其保護起來使擁護的合法權益受到損害。在電子商務系統中，提高系統可用性有時還意味著用戶僅需經一次登陸就可以訪問任何其他有權訪問的資源，避免對訪問不同的服務使用不同的登錄過程。

不可否認電子商務的出現以計算機代替了人們以大多數復雜的勞動，信息系統的形式整合化簡了企業貿易中的各個環節，但網絡的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整統一出現了問題。而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略，因此保持貿易各方信息的完整性是電子商務應用必備的基礎。

4、不可否認性

在交易中會出現交易抵賴的現象，如信息發送方在發送操作完成后否認曾經發送過該信息或與之相反接受方收到信息后并不承認曾經收到過該條消息。因此如何確定交易中的任何一方在交易過程中所收到的交易信息，正是自己的合作對象發出的。而對方本身也沒有被假冒是電子商務活動和諧順利進行的保證。

要確保網上支付系統的安全，交易一旦簽訂就不能被否認。因此交易的各個環節,都必須設法防止參與交易的任何一方的抵賴。不可否認性主要包含數據原始記錄和發送記錄的不可否認,確認數據已經完全發送和接收,防止接收用戶更改原始記錄,防止用戶在收到數據以后否認收到數據,并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實性,保證參加電子交易的各方承認交易過程的合法性,在交易數據發送完成以后,雙方都不得否認自己曾經發出或接收過信息。要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻,確定的地點是有效的。一旦事務結束，有關各方都不能否認自己參與過這次事務。

5、可審查性。

根據機密性和完整性的要求,應對數據審查的結果進行記錄,在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。當貿易一方發現交易行為對自己不利,否認電子交易行為時,系統應具備審查能力,使交易的任何一方都不能抵賴已經發生的交易行為。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。而在無紙化的電子商務方式下,則應通過數字摘要、PKI、數字簽名、數字憑證、CA認證等手段,在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

6、認證性

要確保網上支付系統的安全，在電子商務中必須建立嚴格的身份認證機制,以確保參加交易各方的身份真實有效。首先,要確認當前的通訊、交易和存取要求是合法的。即接收方可以確認信息來自發信者，而不是第三者冒名發送。發送方可以確認接收方的身份是真實的，而不至于發往與交易無關的第三方。要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。網上支付系統中通信的雙方應能確定對方的身份，知道對方確實是他所稱的那一位。在這里，確定意思并不完全意味著知道對方的準確身份，但應能做到知道自己是在與一個可靠的對象通信。

二、網上支付系統可能受到的攻擊

針對網上支付系統所進行的攻擊就是試圖破壞上面的六大安全特征。近一步細分又可以劃分為兩大類。

（1）假冒和惡意破壞。由于掌握了數據的格式并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息而遠端用戶通常很難分辨。由于攻擊者可以接入網絡則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

（2）竊取和篡改信息由于未采用加密措施或加密措施不利，數據信息在網絡上以明文形式傳送，或者是被不法者用設置網絡竊聽器等手段監視網上數據流、從數據包中獲取敏感信息。入侵者在數據包經過的網關或路由器上可以截獲傳送的信息通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密，當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的。這種方法并不新鮮，在路由器或網關上都可以做此類工作。

三、網上支付系統安全的技術解決方案

1、加密技術

1.1、利用加密技術保證電子商務支付的機密性[6]

密碼技術在發展過程中逐漸分離出加密技術和驗證技術兩個分支。就加密技術而言,1976年以前主要采用對稱加密技術,這種加密技術存在著很多問題,如密鑰分發的安全性,密鑰規模過大、不能保證消息的真實性和完整性等。1976年以后,迪飛和海爾曼創造性地提出了非對稱加密算法,徹底解決了上述問題,使加密技術有了革命性的發展。

1.2對稱加密技術

對稱加密技術有許多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美國國際標準局(NBS)制定的標準加密算法。它把64位的明文輸入塊變成64位的密文輸出塊,所使用的密鑰也是64位,其中第8位奇偶校驗位另作它用。DES利用56位的密鑰,對64位的輸入數據塊進行16次的排列置換,最后生成輸出塊密碼。其生成步驟如[7]

下:

(1)為了產生64位明文的置換輸入,對二進位進行初始排列(InitialPermutation),然后將結果分成32位的左右兩個數據塊。

(2)執行16次的迭代函數f,而每迭代一次所使用的密鑰就不同,f函數將此密鑰和右側數據塊作為自己的輸入參數。

(3)在每個迭代階段,左右兩個數據塊的置換值由下式確定:

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)

篇5

《iResearch 2005年中國網上支付研究報告》顯示，61.2%的網民不使用網上支付是因為安全性問題。網上支付有悖于中國傳統的消費模式，使得消費者在接受時有一定的心理阻力。但事實上，網上交易的風險絕大部分是交易安全問題，而并非支付安全，只不過公眾更容易把責任歸咎于自己不了解的在線支付名下。

從2004年開始，各個企業蜂擁入場爭奪支付這塊蛋糕。2005年，YeEpay、99Bill、支付寶、PayPal等相繼進入，就連騰訊也要分一杯羹。這一切似乎印證了馬云在年初的說法：2005年將是電子商務的支付年。似乎支付市場是繼網絡游戲、SP之后的又一座金山。

金山的說法其來有因，以PayPal為例。目前，PayPal已經擁有全球56個國家的7890萬用戶，2005年前3個季度的支付總額達到194億美元，今年預計通過PayPal的支付總額將超過260億美元。

利潤雖然令人眼饞，但物質總有兩面，一個真實的隱患總是被掘金人忽略。

PayPal建立在信用卡體系之上，而國內的網上支付主要建立在借記卡體系之上，所以它們兩者有著根本區別。

信用卡體系中，商戶承擔著拒付風險，尤其是網上支付，因為信用卡無需密碼驗證，拒付導致的壞賬率甚至高達4%～5%左右。因此，PayPal等同于“鏢局”，商戶只需付出2%左右的手續費，所有的風險都可以讓PayPal埋單――如此，商家何樂而不為呢？

但國內的網上支付基于借記卡體系，支付需要密碼才可以完成，安全系數相當高，最重要的是在國內的體系下，個人賬戶被盜用需要盜用者承擔責任，商戶卻完全沒有壞賬風險。這就導致了PayPal“押鏢”的差使不用做，所以支付服務提供商利潤來源基本上就是靠低廉的手續費差（和支付寶提供的擔保支付服務有所區別），即支付平臺手續費和銀行支付手續費之間的差價。

一個是鏢局，掙的是押鏢錢；另一個是快遞公司，掙的是辛苦費――這就是國外和國內支付行業的差別。激烈的價格戰和免手續費支付形式的存在使得國內支付公司很難盈利，有些公司甚至持續虧損很久。國外的金山來到國內，就成了“土山”，“支付”與“致富”之間也被打了一個大大的不等號。剛剛引起關注的支付行業其實已經站在懸崖的邊緣。正如上世紀末IT泡沫破滅一樣，網上支付的狂熱背后往往是盲目和沖動、無序與混亂。

在巨大的經營壓力下，支付行業的問題出現了！但問題絕對不是大家總是擔心的支付安全問題。目前，網上支付的最終完成都是通過銀行系統的網上銀行，并非在第三方支付平臺上進行，而且交易信息傳遞都是通過加密的數據包進行傳輸，所以可以肯定地說網上支付的安全性猶如銀行的柜臺交易。目前國內大多數的第三方支付服務商，包括首信、銀聯、云網等，在技術上都已經跨過了安全門檻。而真正應該令人擔心的，是另一種安全。

由于利潤太低，不少缺乏資金支撐的支付公司出現了運營上的窘境，而壓力相對較小的公司無外乎3種：一種是或多或少有些“紅根”，例如銀聯電子支付、首信；另一種是有其他業務的支撐，例如PayPal、云網支付@網；再有就是拿了別人的錢，例如支付寶、99Bill等。這3種里面，第一、第二種相對安全，第三種就值得考量了。而除了這3種以外的支付公司，生存的壓力就更是非常大，很可能一朝崩潰。

支付公司不同于銀行等其他公司，眾多商戶、消費者的錢都存在支付公司的賬戶中。據iResearch調查，2005年中，全國幾十家支付公司間大約有161億元人民幣在周轉。每家都占有巨額資金，一旦出現經營不善，企業破產，那么商戶和消費者的錢將血本無歸。

以支付寶為例，他們稱必要時無需事先通知即得終止服務，并可立即刪除賬號和賬號中的資料和檔案，試想如果支付寶面臨暫停或者關閉時，用戶根本無法確保資金的安全。作為接受服務的消費者，面對可能的經營和政策風險嚴重缺少強有力的保護。

這就是支付行業新的安全問題。

對于這個問題，一方面，國家對支付公司的資質應該嚴格審查，商戶的賬戶和支付公司自身的賬戶應該分離，并被保險；另一方面，商戶在選擇支付公司時，一定要整體考察公司的資質背景，尤其是它的持續盈利能力。

篇6

[關鍵詞]電子商務網上支付現狀及對策

網上支付是電子支付的一種形式，是以互聯網為基礎，利用銀行所支持的某種數字金融工具，發生在購買者和銷售者之間的金融交換，從而實現從購買者到金融機構、商家之間的在線貨幣支付、現金流轉、資金清算、查詢統計等過程，由此為電子商務和其它服務提供金融支持。近年來，由于受到電子商務發展的有力拉動，中國個人網上支付的市場規模發展迅速膨脹。據iResearch預測，到2007年我國網上支付市場規模將達到605億元。但在網上支付蓬勃發展的背后也出現了一些無法回避的問題。筆者試對當前我國網上支付出現的問題提出一些應對之策。

一、進一步建立與完善有關網上支付的法律法規

網上支付作為一項近幾年迅速發展的新興產業，相應的政策與法規的出臺明顯滯后于市場的發展，這成為企業進入該領域的最大風險。近年來，我國雖已加強相關的法律法規的制訂工作，相繼出臺了《中華人民共和國電子簽名法》、《電子認證服務管理辦法》、《電子支付指引(第一號)》、《電子銀行業務管理辦法》和《電子銀行安全評估指引》等法律法規，但在網上支付領域，相關政策與法律還存在空白以及需完善之處。我國有必要進一步加強相關法律法規的制定工作，并進一步健全和完善相應的法規制度。筆者認為，在網上支付工具方面，立法的重點應明確利用網上支付工具進行違法交易所要承擔的法律責任，明確法定的電子貨幣發行人、合理的貨幣識別制度以及電子貨幣使用中各方隱私權保護制度等法律問題。而作為金融監管機構的中央銀行則要結合我國國情并借鑒國外發展經驗，嚴格技術標準，強化業務監管。同時，針對在網上支付過程中出現的新事物與新情況，及時制定相應的規定或出臺新的制度，彌補舊制度的不足之處，確保我國電子商務良性發展。

二、建立富有效率的社會信用體系

網上支付是基于Internet的一種結算方式，不同于傳統“一手交錢，一手交貨”的物品交易，由于網上交易的雙方互不見面，交易的真實性不容易考察和驗證。信用問題成為網上交易中最為突出的問題之一，也是產生其他一系列問題的主要根源，因此從某種程度上可以說信用問題決定著網上支付的發展。在今年3月份，中國電子商務協會頒布了《中國企業電子商務誠信基本規范》。雖然這類信用體系的出現，對于加強我國整體的信用建設是有建設性的作用。但總體來說，目前我國的信用體系發育程度還較低，社會化信用體系尚不健全，信用心理不健康，在我國還未形成一種“違規失信，處處制約；誠實守信，路路暢通”的社會氛圍。筆者認為要促進網上支付的發展需構建完善的社會信用體系，該社會信用體系應當包括以下內容：信用數據的開放和信用管理行業的發展；使用信用的規范和失信懲罰機制的建立和完善；政府對信用交易和信用管理行業的監督和管理；信用管理教育和研究的發展等。在目前，我國需要盡快完善數據庫的建設，建立健全個人資信檔案，不僅包括個人的銀行信用信息，還應包括個人支付電話、水、電、燃氣等公用事業費用的信息，建立與整合各個省份的企業征信系統，并將企業征信系統進行全國聯網，相關的企事業單位與個人都可以共享這些信息；實施資信評估制度，增強社會信用力量，為社會提供高質量的信用服務；建立懲罰制度，通過立法來警示、阻嚇一些信用缺失行為。

三、建立統一的安全認證體系

作為網上支付的主力軍，國內的各大商業銀行都開設了自己的網站，并提供具有支付功能的網上銀行業務。但這些網上銀行互不相連，缺乏統一性，主要表現在以下方面：第一，技術不統一問題。我國大部分的網上銀行是采用SSL(安全套階層)協議進行安全控制；但也有些銀行則采用SET(安全電子交易)協議。這種缺乏統一規劃的先天不足，給未來的網上銀行整合增加難度，也帶來了安全上的隱患。第二，跨行支付問題。目前各開辦網上銀行的商業銀行均只接受自己銀行提供的支付工具，這就使得在不同銀行開戶的收付雙方無法完成跨行的網上支付。第三，統一身份認證工作問題。為了保證網上交易的安全性，各商業銀行推出了電子證書以便交易時進行安全認證。在1999年建立CFCA(中國金融論證中心)時，央行就對各商業銀行表達了統一電子證書的意愿，但直到現在，真正使用CFCA證書的商業銀行屈指可數。針對這些問題，筆者認為，要保證網上支付的安全性，建立統一的安全認證體系己成當務之急。各方的認證機構必須統一技術標準，還有必要建立全國統一的網上支付資金清算中心，主要承擔跨行之間的網上支付信息的交換和網上支付資金清算的職能，這樣不僅可以解決跨行支付的問題，還可以進行信息共享，節約社會資源。只有國家出面建設統一公用的認證中心，才能起到認證中心公正、權威的作用，才能避免各方各自為政造成市場的混亂。在目前的情況下筆者建議可以先由CFCA牽頭，讓現有各商業銀行的數字證書可以相互通用，相互認可。同時逐漸整合各大商業銀行的數字證書，逐步達到統一數字證書的目標，并通過加強我國CFCA的身份認證的技術和后臺管理，進一步方便各商業銀行統一證書的維護與管理。

四、實現網上支付工具多樣化

作為網上支付業務載體的網上支付工具，是網上支付的主要組成部分，也是實現網上支付的必要條件。在傳統的銀行支付結算中，具有各種多樣的支付結算工具如支票、匯票、本票、匯兌、委托收款、托收承付、銀行卡等，可以根據不同情況選擇不同的支付方式，互聯網上的支付系統應是對現有支付手段的模仿。而在目前我國的網上支付業務中，主要支付工具是銀行卡與郵局匯款。在國外還常用電子支票、電子現金以及其他各種電子貨幣作為網上支付工具。但在我國電子支票基本上還是處于空白，對于電子現金以及其他各種電子貨幣，由于沒有相應的立法保證以及人們受傳統觀念的影響，更是無從談起。

理想的支付系統要求具有一定的開放性、靈活性，它應該在不同的支付條件下支持不同的支付模型。逐步豐富網支付工具，可吸引更多的消費者方便地使用網上支付業務，從而有力地促進電子商務的發展。按照我國目前的信用狀況，可在網上推行電子保付支票、電子商業匯票等，將商業信用和銀行信用結合起來。同時結合我國的國情，大力推廣移動支付、手機錢包、電話支付等支付工具，擴大用戶基礎，滿足個性化要求。在我國金融體系發展成熟后，再推出如電子現金、電子支票以及其他形式的網上支付工具，方便網上交易，促進電子商務的發展。

參考文獻：

[1]姜永波等.電子商務中的網上支付問題討論[J ] .中國科技信息，2005 ，(8) .

[2]孫君.我國網上支付存在的問題與建議[J ] .江蘇商論，2005 ，(1) .

篇7

【論文摘要】我國電子商務和網上交易近年來取得了較大的發展，然而網上支付成為我國電子商務發展的瓶頸之一。因此，解決網上支付問題是發展電子商務的必要環節。本文從多個方面對網上支付系統的技術和安全問題進行了研究。文章首先簡單地分析了網上支付系統在安全方面的需求，介紹了相關的核心技術。然后結合我國民航電子商務的發展現狀和需求，以節省交易成本和提高安全性為目標，提出基于 SSL 協議的民航電子商務支付系統。通過加入雙重簽名技術，使得 SSL 協議的安全性有所提高，民航電子商務系統更加有效和安全，交易成本也大大降低。

Abstract:Although Chinese e - commerce and network transaction have great development in recent years， online payment is becoming one of the bottlenecks. Therefore ， solving the problems is an important step in developing electronic business.

This paper summaries electronic business technology and its related security issues from several aspects.First it briefly discusses security requirements and related key techniques which are necessary to protect an electronic business system. In the E2commerce area ， security was a great concern to manyorganizations when a considerable volume of documents and transactions were digitized and exchanged online. An online payment system based on the SSL protocol in civil aviaton E2commerce is proposed in this paper ，according to the reality and need of the civil aviaton E2commerce in China. The security of the E2payment system was improved to some degree by adding the technology.

Key words: EC; online payment system; technical countermeasures

第一章：引言

我國網民和國家CNCN域名的增加，勢必為電子商務的發展帶來更大的機會。隨著 Internet 技術和應用的不斷發展，越來越多的企業加入到電子商務的隊伍中來。電子商務已成為貿易發展的必然趨勢，隨著電子商務環境的規范和完善，中國電子商務企業必然迅猛發展。使用網上支付的方式進行交易，大大降低了傳統貿易的費用和開銷，提高了工作效率和企業競爭優勢。越來越多的企業選擇在 Internet 上建立自己的 Web 站點以便利、經濟的手段在網上展示自己的企業形象，推銷本企業的產品。

一、電子商務與支付系統的定義

1、電子商務的定義

電子商務源于英文Electronic Commerce，簡寫為EC。顧名思義，其內容包含兩個方而，一是電子方式，二是商貿活動。電子商務指的是利用簡單、快捷、低成木的電子通訊方式，買賣雙方小謀而地進行各種商貿活動。國際商會于1997年11月，在巴黎舉行了世界電子商務會議(The World Business Agenda for Electronic Commerce)會上專家和代表對電子商務的概念進行了最權威的闡述：電子商務，是指實現整個貿易過程中各個階段的貿易活動的電子化[1]。從涵蓋范圍可以定義為：交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業貿易；從技術方面可以定義為:電子商務是一種多技術的集合體，包括交換數據(如電子數據交換、電子郵件)、獲得數據(共享數據庫、電子公告牌)、以及自動捕獲數據(條形碼)等[2]。

2、網上支付系統的構成

支付系統是由一系列支付工具、程序、有關交易主體、法律規則組成的用于實現貨幣金額所有權轉移的完整體系。[3]

二、電子商務與網絡支付系統的發展現狀

1、電子商務的發展現狀

由此可見，越來越多的企業和顧客加入到電子商務的隊伍中來，網絡支付系統得到越來越廣泛的應用。電子商務發展迅速，通過網上進行交易已成為潮流。在我國，電子商務雖然剛起步，但是人們對電子商務的巨大潛力深信不疑；我國政府積極支持電子商務活動的開展，這些都對我國電子商務的發展產生了重要的影響。

但是現在制約電子商務發展的最關鍵的技術，是解決安全問題的技術。電子商務中的安全問題是重中之重的問題。在電子商務系統中，不僅需要交換使用者的信用卡號碼、客戶密碼和個人身份等隱私信息，而且還涉及到個人財產的安全問題。在電子支付過程中，必須保證信息的機密性、完整性和真實性。一旦這些方面得不到切實的保證，那么將造成重大的損失和嚴重的法律問題，甚至會斷送電子商務企業的命運。因此必須發展能夠保障支付系統安全的關鍵技術，確保交易過程是安全、可靠的。

2、網上支付系統的發展現狀

在 Internet 上出現的支付系統模式已有十幾種，這些系統模式大致上可以劃分為如下 3 類:第一類是數字化的電子貨幣或者電子現金;第二類是使用他們已有的安全清算程序，對 Internet 的網上支付提供信息中介服務;第三類是針對銀行卡主攻加密算法，使傳統的銀行卡支付信息通過 Internet 向商家傳遞，利用金融專用網絡提供獨立的支付授信，更先進的是采用智能卡技術，提供聯機的銀行卡支付。但是不管是哪一類的系統，都是包含著信息加密措施的系統，每一個系統都是有很多保障安全性的系統。

第二章：網上支付系統的安全技術問題

一、網上支付系統的安全問題

電子商務的支付問題是隨著電子商務本身的快速發展而衍生的。單純就它們的關系而言，電子商務需要電子支付，支付體系是開展電子商務的必備條件。隨著網上支付手段使用人數的增加，網上支付系統所存在的問題也暴露無遺，而且隨著使用范圍的推廣和黑客等技術的發展，也對網上支付系統的關鍵技術提出了更高的要求。其中最重要最核心的關鍵技術問題，就是安全問題。據 AC 尼爾森公司在 2003年3 月～4 月做的一個調查表明，安全性是網上購物者用信用卡支付的主要顧慮。安全問題已成為電子支付發展面臨的重要挑戰，目前制約我國電子商務發展的瓶頸就是支付問題。

二、信用卡安全的恐慌——網上支付系統的安全問題案例分析

眾所周知道銀行業步入了網絡時代，網絡也融入了銀行業，這迎合了電子商務發展的趨勢。網上銀行因不受時間、地域限制，成本低、快捷方便等優點得到了銀行業的積極響應。近幾年更是呈現出迅猛發展的勢頭。但是由于網上銀行所有內容都是以數據的形式流轉于網絡之上，不可避免地會帶來信息安全隱患。作為龐大資金流動的載體，網上銀行極易受到非法入侵和惡意攻擊。如果銀行的網絡遭到攻擊，私人信息就可能會泄漏，若補救不及時，很可能給消費者造成巨大損失。2005年 4月，多名“支付寶”用戶工商銀行帳戶里的錢不翼而飛。6月，花旗集團丟失了一批記錄著390萬客戶帳戶及個人信息的電腦記錄數據帶。同月，包括 Master、Visa在內的多家信用卡公司 4000多萬用戶信息被盜，涉及了近 9000張國內信用卡，一時間風聲鶴唳，引發了信用卡安全的恐慌。黑客竊取用戶資料、網絡詐騙、虛假銀行、網絡釣魚等支付安全問題已經嚴重影響了電子商務的發展。

第三章：解決網上支付系統的安全問題的技術解決途徑

安全的目的是：保護一個系統不會受到未經授權的訪問，使系統的正常工作不會被非法干預。同所有計算機系統一樣。電子商務系統安全必須具有保密性、完整性及可用性三個特征[5]。網上支付系統的安全是電子商務發展的核心。任何在 Internet 上開展業務的機構必須采取積極的步驟，確保系統有足夠的安全措施，防止機密信息泄露和非法侵入造成損失。因此網上支付系統不但要具有保密性、完整性及可用性三個特點好要具有認證性、不可否認性和可審查性。

一、網上支付系統的安全要求

1、保密性

要確保網上支付系統的安全，首要的一點要求就是應防止未授權的數據暴露并確保數據源的可靠性，交易中的商務信息都需要遵循一定的保密規則。交易中的商務信息可能直接關聯著個人、企業或國家的商業秘密，特別是涉及到商業機密和金融方面的敏感信息時，信息的保密性更為重要。因為其信息往往代表著國家、企業和個人的商業機密，而電子商務是建立在一個較為開放的互聯網絡環境上的。它所依托的網絡本身也就是由于開放式互聯形成的市場，才贏得了電子商務。因此在這一新的支撐環境下，勢必要用相應的技術和手段來延續和改進信息的保密性。，因此，要采取措施預防信息的非法存取和信息在傳輸過程中被非法竊取。維護商業機密是電子商務全面推廣應用的重要保障。

2、信息的完整性

要確保網上支付能夠安全順利的進行，還要防止未經授權的數據修改。交易雙方的合同簽訂后就不能隨意刪改，以保證交易的公正性，與可行性。電子商務簡化了貿易過程，減少了人為的干預，但對信息的隨意生成、修改和刪除會造，成差錯甚至可能導致欺詐行為。數據傳輸過程中信息丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。這會影響貿易各方商業信息的完整性和統一性。因此保持貿易各方信息的完整性是電子商務應用的基礎。完整性指資源只能由授權實體修改。網上支付系統的完整性要求他提供的服務應在通信過程中接收到的消息確實是實際發送的消息，不可能在傳輸過程中被篡改，也不可能是一條偽造的消息。

3、可用性

4、不可否認性

要確保網上支付系統的安全，交易一旦簽訂就不能被否認。因此交易的各個環節，都必須設法防止參與交易的任何一方的抵賴。不可否認性主要包含數據原始記錄和發送記錄的不可否認，確認數據已經完全發送和接收，防止接收用戶更改原始記錄，防止用戶在收到數據以后否認收到數據，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認交易過程的合法性，在交易數據發送完成以后，雙方都不得否認自己曾經發出或接收過信息。要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻，確定的地點是有效的。一旦事務結束，有關各方都不能否認自己參與過這次事務。

5、可審查性。

根據機密性和完整性的要求，應對數據審查的結果進行記錄，在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。當貿易一方發現交易行為對自己不利，否認電子交易行為時，系統應具備審查能力，使交易的任何一方都不能抵賴已經發生的交易行為。在傳統的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。而在無紙化的電子商務方式下，則應通過數字摘要、PKI、數字簽名、數字憑證、CA 認證等手段，在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

6、認證性

要確保網上支付系統的安全，在電子商務中必須建立嚴格的身份認證機制，以確保參加交易各方的身份真實有效。首先，要確認當前的通訊、交易和存取要求是合法的。即接收方可以確認信息來自發信者，而不是第三者冒名發送。發送方可以確認接收方的身份是真實的，而不至于發往與交易無關的第三方。要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。網上支付系統中通信的雙方應能確定對方的身份，知道對方確實是他所稱的那一位。在這里，確定意思并不完全意味著知道對方的準確身份，但應能做到知道自己是在與一個可靠的對象通信。

二、網上支付系統可能受到的攻擊

針對網上支付系統所進行的攻擊就是試圖破壞上面的六大安全特征。近一步細分又可以劃分為兩大類。

三、網上支付系統安全的技術解決方案

1、加密技術

1.1、利用加密技術保證電子商務支付的機密性[6]

密碼技術在發展過程中逐漸分離出加密技術和驗證技術兩個分支。就加密技術而言，1976 年以前主要采用對稱加密技術，這種加密技術存在著很多問題，如密鑰分發的安全性，密鑰規模過大、不能保證消息的真實性和完整性等。1976 年以后，迪飛和海爾曼創造性地提出了非對稱加密算法，徹底解決了上述問題，使加密技術有了革命性的發展。

1.2 　對稱加密技術

對稱加密技術有許多著名的算法，其中具有代表性的是 DES 算法。DES (Data Encryption Standard)算法是 1977 年美國國際標準局(NBS)制定的標準加密算法。它把 64 位的明文輸入塊變成 64 位的密文輸出塊，所使用的密鑰也是 64位，其中第 8 位奇偶校驗位另作它用。DES 利用56 位的密鑰，對64 位的輸入數據塊進行 16 次的排列置換，最后生成輸出塊密碼。其生成步驟如[7]

下 :

(1)為了產生 64 位明文的置換輸入，對二進位進行初始排列(Initial Permutation) ，然后將結果分成32 位的左右兩個數據塊。

(2)執行 16 次的迭代函數 f ，而每迭代一次所使用的密鑰就不同， f 函數將此密鑰和右側數據塊作為自己的輸入參數。

轉貼于

(3)在每個迭代階段，左右兩個數據塊的置換值由下式確定: Li = Ri - 1

Ri = Li - 1 + f (Ri - 1， Ki)

(4)經 16 次迭代之后，輸出由 6 位二進位組成的輸入明文和密鑰的函數結果。

(5)將左右兩塊數據連接起來，對其進行再度排列，最終生成輸出密文，但排列順序剛好與初始排列相反。

(6)如果在加密過程中所使用的密鑰按 K1 ，K2 ， K3 ， …， K16 順序，那么解密時必須要按 K16 ，K15 ， K14 ， …， K1 順序使用密鑰。

截止目前為止，還沒有公開報道發現 DES算法的致命弱點，但 DES 算法由于密鑰較短，容易遭受密碼暴力攻擊，因此，在具體實務中主要采用3DES算法。

1.3 非對稱性加密方式[8]

非對稱密鑰加密方式又稱公開密鑰加密。它需要使用一對密鑰來分別完成加密和解密功能。一個公開，即公開密鑰;另一個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公開密鑰機制雖然靈活，但加密和解密速度卻比對稱密鑰加密慢得多。

公開密鑰的加密步驟如下:

(1)交互雙方的用戶系統，分別生成用來傳遞信息的加密和解密密鑰。

(2)系統將公開密鑰向開放記錄塊和文件公布，而個人密鑰卻由自己保存。

(3)用戶 A 向用戶 B 傳遞信息時，將使用用戶B 的公開密鑰進行加密。

(4)用戶B 接到用戶 A 的加密信息之后將其解密時，則使用它自己的私用密鑰。

密鑰生成算法如下:

(1)隨機生成兩個不同大小的素數 p，q。

(2)計算 n= pq，(n) = ( p - 1) (q- 1) 。

(3)隨機選取與 p， q 無關的素數 e，1 < e

(4) 利用擴展歐基里德算法求出滿足 ed =1 mod ((n))的整數 d。

(5)用公開密鑰進行加密時公開(n，e) ;用私用密鑰解密時保密( p，q， (n) ， d) 。其中，e為公開密鑰， d 為私用密鑰，n為模數。

密鑰的生成及應用例子如下:

(1)用戶B 公開密鑰/私用密鑰的生成(由用戶B 或認證機構生成) 。

①取兩個素數 p =47，q=71。

②n=47 ×71 =3 337，(n) =46 ×70 =3 220。

③選新的素數 e=79。

④利用擴展歐基里德算法計算 79 ×d =(1 mod 3 220) 中的 d， d =1 019。

⑤用戶B 的公開密鑰 e=79 ，模數 n=3 337;用戶B 的私用密鑰 d =1 019，模數 n=3 337。

(2)用戶B 密鑰的應用。

加密技術在網上支付系統中的綜合應用。結合對稱技術、非對稱加密技術的特點，在網上支付系統的支付過程中，主要采用非對稱加密技術實現會話密鑰的協商和分發;利用對稱加密技術消息。既保證了消息傳送的機密性，又保證了會話密鑰分發的安全性。

1.4、數字信封

數字信封利用了上面兩種加密技術的優點來確保信息的安全傳輸它克服了對稱密鑰加密中對稱密鑰分發困難和公開密鑰加密中加密時間長的問題其實現過程如下：

加密信息

(1)產生一個對稱密鑰K;

(2)用對稱密鑰加密信息M得到M*;

(3)取得接收方的公鑰;

(4)用接收方的公鑰加密對稱密鑰K得到K*(數字信封)

(5)發送{K*，M*}

解密信息

(1)收到{K*，M*};

(2)用自己的私鑰解密K*來得到原對稱密鑰K

(3)用K解密M*來得到原信息M

2、利用驗證技術保證電子商務支付的真實性、完整性

在保證消息的真實性和完整性方面，主要采用的是基于非對稱加密算法的驗證技術，包括數字簽名、身份驗證等技術。

2.1 　數字簽名

數字簽名并不是新的加密算法，而是現有加密算法的綜合應用。它應用的是數字摘要和公開密鑰加密技術。因為數字摘要技術能夠識破信息的篡改，而公開密鑰加密技術能夠確認信息的來源。在數字簽名系統中，信息發送方的任務是:(1)組織信息;(2)求出它的數字摘要;(3)加密數字摘要，且附上發送信息。而接收方的任務是:(1)利用發送方的密鑰來解密發送方的數字摘要;(2)求出接收信息的數字摘要;(3)比較兩個數字摘要，若相等，則說明接收信息準確無誤。

2.2 Hash函數[9]

有一個函數 f ，當已知它的自變量 x 時，很容易求出它的函數值 y = f ( x) ，但已知 y 時，很難求出它的反函數值，這樣的函數稱之為單向函數。已知一個哈希函數值，卻很難計算它的兩個相異的自變量，這樣的函數稱其為無沖突函數。如果一個哈希函數同時具備上述的單向性和無沖突性，那么稱這個函數為加密哈希函數。典型的有MD5 和 SMA。

2.3 MD5 函數[10]

MD5(Message Digest Algorithm 5) 意為數字摘要算法5。它是 RSA 數據安全公司開發的一種加密算法。是從任意長度的字符串中生成128 位的哈希函數值。MD5 所開發的軟件制品有 PGP 源碼， SSLeay ， RSAREF ，Cryptott ， Ssh源碼等。

2.4 SMA函數[11]

SMA (Secure Hash Algorithm)是安全哈希算法。它是由美國政府公布的哈希加密標準算法。此算法從任意長度的字符串中生成 160 位的哈希函數值。

3、支付網關技術的應用。

支付網關通常位于公網和傳統的銀行網絡之間，或者終端和收費系統之間其主要功能為將公網傳來的數據包解密，并按照銀行系統內部的通信協議將數據重新打包接收銀行系統內部傳回來的響應消息，將數據轉換為公網傳送的數據格式，并對其進行加密。支付網關技術，要完成通信協議轉換和數據加解密功能，并可以保護銀行內部網絡。此外支付網關還具有密鑰保護和證書管理等其它功能。有些內部使用網關還支持存儲和打印數據等擴展功能交易安全是電子商務正常健康運營的關鍵所在，不同性質的企業應根據自身的特點選擇最為安全和行之有效的防護技術。對于加密身份認證以及支付網關技術不斷的加強測試，加強優化為安全運營構筑強有力的屏障。

4、防火墻技術的應用

為了確保信息安全，避免對網絡的威脅與攻擊，防止對網絡資源不正當的存取，保護信息資源而采取的一種手段就是設置防火墻。從理論上說，防火墻概念指的是提供對網絡的存取控制功能，保護信息資源。而從物理上的設備來看，防火墻是 Intranet 和 Internet 之間設置的一種過濾器、限制器。

防火墻系統負責管理 Internet 和內部網絡之間的訪問，主要作用是在網絡入口點檢查網絡通信，根據所設定的安全規則，在保護內部網絡安全的前提下，提供內外網絡的通信。決定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些可以訪問的服務，哪些外部服務可以被內部人員訪問。所有來自和去往 Internet 的信息都必須經過防火墻的過濾、檢查和存取控制。

5、采用黑匣子模型增強客戶端安全

“黑盒”的意思就是從外面看不到里面，誰也不知道盒子里面隱藏的是什么，在計算機技術中用“黑盒”來表示技術的實現被完全封裝起來，在這里我們提出電子支付的“黑盒模型”的含義是指用戶端的輸入、信息加密、解密、通訊控制、安全檢測等被完全封裝到一個模塊中，這個模塊與用戶計算機之間只交換加密信息，加密信息通過 Internet 被送到銀行服務器。

第四章：一種基于 SSL 協議安全性民航網上支付系統的設計

基于上文提到的網上支付系統安全技術解決方案運用里面的一些關鍵技術，如驗證技術數字簽名等技術，結合我國民航電子商務的發展現狀和需求，以節省交易成本和提高安全性為目標，提出基于 SSL 協議的民航網上支付系統。通過加入雙重簽名技術，使得 SSL 協議的安全性有所提高，民航電子商務系統更加有效和安全，交易成本也大大降低。

SSL 握手協議中有一個身份認證的過程，其認證的核心是交換 X. 509 格式的數字證書。現有的 SSL協議中，公/ 私鑰只用于服務器和客戶機在握手過程中的密鑰交換，沒有利用其來實現數字簽名。本文通過在 SSL 協議棧中增加一個 SSL 簽名協議來解決這一問題，加入簽名協議后的 SSL 協議棧如表1 所示。

SSL

握手

SSL

加密

SSL

警告

SSL

簽名

其他應用層協議

表 1 　加入簽名協議后的協議棧

SSL 簽名協議的數據保密性和完整性由 SSL 記錄層協議負責。SSL 簽名協議專門處理對需要簽名的信息的消息交換、簽名和認證。SSL 簽名協議是在現有 SSL 協議的基礎上實現功能的擴充，利用了 SSL 協議原有的密碼資源，如證書、公私密鑰對、公開密鑰密碼算法、哈希函數等，并參考 SSL 定義消息的格式，以一個獨立的功能模塊方式實現，這樣就保證了新協議的向前兼容性。

使用 SSL 簽名協議的民航電子商務支付系統的交易流程如下:

(1)設客戶的訂單信息和支付信息分別為 M1、M2。客戶使用 Hash 函數，分別將 M1、M2 變換為訂單信息摘要 h1、支付信息摘要 h2 ，并用自己的私鑰對(h1 ， h2)進行簽名變為DS。

(2)客戶將 M1、h2、DS聯立為(M1 ，h2 ，DS) ，并使用商家的公鑰加密，變為密文 C1;將 M2、h1、DS 聯立為(M2 ，h1 ，DS) ，并使用銀行的公鑰加密，變為密文 C2。

(3)客戶將雙重簽名的消息(C1 ，C2)發送給商家。

(4)商家收到(C1 ，C2) 后: ①用自己的私鑰對 C1解密，恢復訂單信息、支付信息摘要、雙重簽名(M1 ，h2 ，DS) ; ②用客戶的公鑰對DS解密得到(h1 ， h2) ，并檢驗:a)加密值的第一部分是否等于 M1 的散列編碼

值，b)加密值的第二部分是否等于 h2。若是則簽名消

息有效; ③將 C2 發送給銀行。

(5)銀行收到 C2 后: ①用自己的私鑰對 C2 解密，恢復支付信息、訂單信息摘要、雙重簽名(M2 ，h1 ，DS) ; ②用客戶的公鑰對 DS 解密得到(h1 ， h2) ，并檢驗:a)加密值的第一部分是否等于 M2 的散列編碼值，b)加密值的第二部分是否等于 h1。若是則簽名消息有效。

(6)商家通過上述操作也獲得了與支付信息， M2有關的信息和。但商家不知道客戶的私鑰無:C2 h2 ，法由恢復。又根據散列編碼的性質商家也無C2 M2 ，法由 h2 恢復 M2。

(7)銀行通過上述操作，獲得了與訂單信息 M1 有關的以下信息:h1。同樣根據散列編碼的性質，銀行無法由 h1 恢復 M1。

第五章：小結

隨著我國網民規模的加大和電子商務的發展，網上支付系統的發展給人們的工作和生活帶來了新的嘗試和便利性，但是網上支付系統的發展卻受到技術的制約，其中一個最關鍵的技術就是網上支付系統的安全技術。鑒于這種現狀，本文對網上支付系統的安全要求，網上支付系統容易受到的攻擊進行了深入的研究和分析。并針對這些要求和攻擊，提出了五種關鍵性技術。并結合我國民航業的特點，綜合運用部分關鍵技術，設計了一種基于 SSL 協議安全性民航網上支付系統。是網上支付系統安全技術應用的一個經典實例。充分的說明只要運用好文中提到的網上支付系統的技術解決方案，定能大大提高網上制服系統的安全性，是網上支付的手段得到更大的普及和發展。

參考文獻

[1]才書訓. 電子支付于網上金融學——電子商務系列教材.[M]，2002，

66-98

[2楊堅爭.電子商務安全與電子支付——高等院校電子商務專業規劃教材.北京:機械土業出

版社.2007， 89-101

[3]歐陽勇.網絡金融[M].西南財經大學，2006

[4]李醫群葛文雷，發展網上支付系統的關鍵因素[J].國際商務研究，2007（2）

[5]NJYeager，R E McGrath.Web Server Tecjnology，Chapter 8: Digital Commerce:Risks，Requirements and Techologies.Morgan Kaufmann Publishers，Inc，1995:319-370

[6]吳功宜，徐敬東，張建忠.電子商務應用教程[M].天津:南開大學出版社，2005

[7] Wiener M J. Efficient DES key search.Applications [C]. Florida: Crypto ’93 Rump Session Presentation ，1995.

[8] 武金木.信息安全基礎[M].武漢:武漢大學出版社，2007

[9] 沈昌祥. 信息安全[M]. 杭州:浙江大學出版社，2007

[10]周　蘇.電子商務概論[M].武漢:武漢大學出版社，2008

[11]陳克非.信息安全技術導輪[M].北京:電子工業出版社，2007

[12]徐學軍.我國發展電子商務的主要瓶頸及對策[J].科技管理研究，2004（2）

[13]李荊洪，論電子商務網上支付系統的功能與特點[J]，湖北經濟學院學報（人文社會科學版）2006（1）

[14]聶捷楠，關于銀行網上支付系統的設計研究方案[J]，成都醫學院學報，2007（2）

篇8

關鍵詞：網上銀行網絡支付安全性問題

隨著電子商務技術的發展,網上銀行的使用也越來越廣泛,但是網上銀行還存在很大的安全問題,必須引起廣大網民群眾的重視。

一、我國網上銀行存在的安全性問題

1.網上銀行網站存在的安全性問題

在網絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。客戶在不了解情況時就會向虛假站點發送ID和密碼。客戶發送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。

2.交易信息在商家與銀行之間傳遞的安全性問題

因為互聯網的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過互聯網交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的。資金在網上劃撥,安全性是最大問題,發展網上銀行業務,大量經濟信息在網上傳遞。而在以網上支付為核心的網上銀行,電子商務最核心的部分包括CA認證在內的電子支付流程。就是說國內目前的網上銀行還不能算真正的網上銀行,只有真正建立起國家金融權威認證中心(CA)系統,才能為網上支付提供法律保障。

3.交易信息在消費者與銀行之間傳遞的安全性問題

目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。用戶和銀行之間通過互聯網傳遞的信息是實現交易的基礎條件,如何確保不被第三方知道,是網上業務安全進行的一個重要前提。

綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題。②網絡病毒、木馬問題。③釣魚平臺。另外還有網上支付的信用問題、網上支付的法律問題和網上安全認證機構(CA)建設混亂等問題。

二、網上銀行安全性問題解決的對策

1.做好自身電腦的日常安全維護

一是經常給電腦系統升級。二是安裝殺毒軟件、防火墻,經常升級和殺毒。三在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒。四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼。五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統恢復。

2.設立防火墻,隔離相關網絡

所謂防火墻指的是位與不同網絡安全域之間的軟件和硬件設備的一系列部件的組合,作為不同網絡安全域之間通信流的唯一通道,并根據用戶的有關策略控制進出不同網絡安全域的訪問。現實生活中一般采用多重防火墻方案,分隔互聯網與交易服務器,防止互聯網用戶的非法入侵;還用于交易服務器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易服務器的入侵。

3.設置高安全級的web應用服務器

高安全級的web服務器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續處理。

4.建立完善的身份認證和CA認證系統

在網上銀行系統中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。由于數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,并進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今后實現跨行交易提供了身份認證基礎。

5.加強客戶的安全意識和網絡通訊的安全性

銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。

安全性作為網絡銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都采取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。

互聯網是一個開放的網絡,客戶在網上傳輸的敏感信息在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。

參考文獻:

[1]孫強.互聯網商務應用[M].北京:對外經濟貿易大學出版社,2000.

[2]關翔.中國電子商務與實踐[M].北京:清華大學出版社,2000.

篇9

電子錢包在全世界范圍內的發展都不是很理想，除了比利時的proton卡和香港的八達通（octopus）卡。電子錢包發展受阻的原因主要有三個方面：

(1) 交易成本高：接受電子錢包支付的商家需要安裝相應軟硬件設備，每次交易發卡機構或銀行會收取相應的手續費；對持卡人會收取一定的年費（一些地區和國家是免費的）。

(2) 安全問題：電子錢包雖然有安全協議來保證其交易過程的安全性。為了安全起見，系統很少提供兩個或兩個以上銀行相連，這樣也降低了卡的成本。但對于持有人來說，綁定更多的銀行，才能發揮其電子錢包的便利性，這很大程度上增加了安全難度系數和卡的制作成本。

(3) 缺乏匿名性：大多數的電子錢包并不具有匿名性，銀行很容易追蹤到用戶的消費習慣。

除此以外，電子錢包還受到網絡外部性的影響。電子錢包要想發展必須解決以上問題。

香港的八達通卡就是電子錢包成功使用的實例。從1997年八達通卡開始在香港通用，它最初是用來支付公共交通費用的，這樣市民就不需要攜帶零錢，使得小額支付變得快捷方便。八達通卡（octopus）是一種非接觸式智能卡，持卡人在購買時需要支付抵押金50元（不再使用八達通卡的話，可于各出售處退回余額及抵押金。卡基本上是免費的），之后根據需要來充值。現在在香港，大部分的公共交通工具、便利店和快餐店等都已普及“八達通”電子消費系統。香港公共交通包括地下鐵路、輕便鐵路、九廣鐵路、巴士、機場快線和渡輪。香港的人口不到700萬，現在流通的八達通卡卻超過了1400萬張，足以證明了其已經贏得了消費者的支持。2006年8月，深圳部分商戶開始接受香港八達通付款，目前八達通卡的流通量仍在穩定增加，支付范圍越來越廣，支付額度逐年增加。保守估計，2010年八達通交易額將達450億港幣，并將逐漸進入深圳、珠海等周邊地區，與內地卡實現互通。目前，八達通卡還積極籌備推出網上支付的功能。

隨著電子商務的發展，網上支付已經逐漸被人們所接受。電子錢包也可以進行網上支付，由于電子錢包通常以智能卡形式出現，持卡人要想實現網上支付的話，就需要安裝相應的客戶端，即讀卡器。這就增加了持卡人的負擔，阻礙了電子錢包網上支付的發展。從以上分析，可以發現電子錢包更適合線下支付，特別是小額支付。要想減少線上支付的成本，可以和銀行借記卡、信用卡組合，不過要考慮這樣卡的成本會提高。另外，安全性也是要考慮的一個重要方面。移動電話的普及，把電子錢包的功能和SIM卡相結合也是一條電子錢包發展的新途徑，如日本的Docomo。

目前來說，國內最廣泛的電子錢包應用領域當屬城市公共交通使用的電子車票系統，不僅方便市民出行，而且基本上在國內大中小城市都逐步推廣開來了。從上面講到的香港八達通卡的成功實例來看，公交IC卡可以作為在推廣國內電子錢包的一個很好的切入點。電子錢包所具有的安全、方便、高效、快捷的特點，能夠滿足今天電子商務時代安全支付的要求。特別是小額購物，如果采用電子錢包支付的話，就不需要攜帶零錢，那就從某種程度上會替代紙幣和硬幣進行交易。特別是2008奧運會，也是一個推廣電子錢包的一個很好契機。

最后要注意的是：電子錢包的發展要受到網絡效應的影響。即某種產品對一名用戶的價值取決于使用該產品的其他用戶的數量，用的人多到一定程度，才會產生收益。發展電子錢包要充分考慮這一因素，避免造成鎖定（LOCK-IN）無效技術。

參考文獻

[1]戴長志.電子錢包：迅速發展的貨幣支付工具.商場現代化，2006.7.

篇10

[關鍵詞] 電子商務 B2B電子支付對策

電子商務是基于互聯網的一種網上交易、網上支付的新型商業模式。隨著電子商務的快速發展，電子支付的重要性越來越明顯，已經成為整個電子商務產業鏈中的核心環節。如何實現完全的在線支付功能，并保證交易各方的安全、保密是實現電子商務關鍵的問題之一。

根據中國社會科學院互聯網研究發展中心的調查數據，B2B的交易額占到了整個中國電子商務市場的98％，是電子商務的絕對主流。但是，B2B電子支付卻發展緩慢，大多仍然停留在信息流的傳遞上，還處于電子商務的初級階段，遠遠沒有實現信息流、資金流和物流的有效協同，而其主要原因之一就在于電子支付這一B2B電子商務重要環節的缺失。

一、電子支付

電子支付是指單位、個人直接或授權他人通過電子終端發出支付指令，實現貨幣支付與資金轉移的行為。

電子支付的類型按電子支付指令發起方式分為網上支付、電話支付、移動支付、銷售點終端交易、自動柜員機交易和其他電子支付。

電子支付具有方便、快捷、高效、經濟的優勢。用戶只要擁有一臺上網的PC機，便可足不出戶，在很短的時間內完成整個支付過程。支付費用僅相當于傳統支付的幾十分之一，甚至幾百分之一。

二、B2B電子支付現狀

1.企業對B2B電子支付需求迫切

隨著B2B電子商務市場的發展和成熟，越來越多的企業與政府組織部門拓展電子商務以及電子政務，這些均迫切需要發展適合中大額網絡交易與服務的網絡支付手段。信用卡等小額支付結算方式面對這些業務需求有些勉為其難。企業對 B2B電子支付需求也越來越迫切。

電子結算充分利用網絡資源，只進行信息的交換，而不進行紙幣實質的轉讓，令銀行與企大大節省了資源，更方便。充分利用數字簽名、隱藏簽名等安全技術來保證安全，以防抵賴、防偽造。目前很多企業間的電子商務仍采用網上交易、網下支付的方式，其實質并不是真正意義上的電子商務，電子商務的簡單形式上的呈現，電子商務的實時性的優勢無從體現。

由于在線電子支付是電子商務的關鍵環節，也是電子商務得以順利發展的基礎條件，電子支付的重要性越來越明顯，已經成為整個電子商務產業鏈中的核心環節。基于廣泛互聯且完全開放的網絡平臺，電子支付實現了低成本、高效率、全球性的資金流轉模式。在實現了網上和尋找信息的簡單電子商務后，企業迫切需要在交易過程中，采用實時的在線支付方式，以極大地提高電子商務活動的效率，減少不必要的中間環節。

2.商業銀行B2B電子支付業務創新

商業銀行是最早的B2B電子支付服務提供方。隨著電子商務的深化和發展，各家銀行都在尋求新的業務增長點，銀行在線交易的功能成為銀行最為關注的新業務。

電子商務網上支付業務通過銀行支付網關與電子商務網站對接，提供與交易訂單緊密捆綁的在線支付服務，使買家通過網上銀行安全、輕松地完成在線交易和支付。事實上，邁入1999年，網上銀行服務(Internet Banking)已成為業界不可或缺的服務，不少大銀行不但有網站，而且還提供網上轉賬和查詢賬戶的功能。目前銀行提供的B2B網上支付方式主要有兩種：一種是電子支票類，如電子支票、電子匯款（EFT）、電子劃款等；另一種是電子信用證類，即把傳統的信用證方式轉換成網上發證的方式，利用銀行信用和網上銀行轉賬完成買賣雙方的網上支付。

3.供應商的風起云涌

第三方支付是B2B電子支付服務的新興的供給方。

所謂“第三方支付”，是指在電子商務企業與銀行之間建立一個中立的支付平臺，為網上購物提供資金劃撥渠道和服務的企業。隨著中國互聯網的普及和電子商務的迅速發展，中國的第三方支付市場呈現出勃勃的發展生機。艾瑞市場咨詢最新的《2007年中國網上支付第一季度研究報告》數據顯示，2007年第一季度中國第三方支付市場交易額規模達到160億元，比上一季度增長了33.3%，與去年同期相比，增長了4倍多。

第三方支付在C2C和B2C領域取得了很好的業績，開始逐步涉足B2B交易。第三方支付商的優勢在于小銀行之間的跨行交易。

三、B2B電子支付存在問題

1.B2B電子支付要求更高的安全性

網上支付的安全問題一直是企業和個人用戶關注的焦點。B2B的網絡支付結算是企業對企業的大金額網絡支付結算，操作較為繁復，因此交易風險較大，B2B電子商務對交易資金的安全級別要求比B2C、C2C要高的多。尤其企業在考慮選擇第三方支付平臺時，其非金融組織的身份，使它在企業中的可信度還不夠。

2.B2B電子支付要求更快的周轉速度

目前，很多第三方支付服務機構開展了在線支付、電子錢包等支付手段，但基本模式都是付款方的資金先轉入第三方支付服務機構的賬戶或者電子錢包，然后賣方發貨。只有在賣方的貨物被買方收到并驗貨認可后，資金的清算才可以正式進行，貨款由第三方支付服務機構轉給收款方，但從發貨、收貨到驗貨有較長的周期，買方的貨款被滯留在第三方支付服務機構，這種模式的收付速度難以達到B2B電子商務的要求。尤其是規模不是很大的電子商務企業，實力較弱，對流動資金有很高的需求，他們無法接受資金滯留。

3.B2B電子支付要求三流更高的協調性

物流、資金流和信息流是電子商務的三要素。網上下單、網上支付并在網上指定配送方式，才構成一個完整統一的電子商務體系。企業開展B2B電子商務業務時，會產生大量訂單。如何通過電子支付實現資金流和訂單/信息流的統一，從而便利收款企業的對賬發貨，也是企業非常現實的需求。對于B2B電子支付而言，并不僅僅是在網上進行一次付款便完成了的事情，它背后將涉及到的是物流、庫存、信息流等的對接。

第三方支付網關無法對網上交易的貨物進行監督，也就不能為買家保證貨物的安全，在資金監管、信息流的提供等方面都有不足，在B2B電子支付過程中，發展將更艱難。

除此之外，電子支付相關法律法規還不健全，并且電子支付渠道不統一，目前銀行之間還不可能互相提供接口。

四、B2B電子支付的解決對策

1.多方面提供安全保障

電子支付先天具有一定的安全可靠性。企業在進行B2B電子支付時，無需使用現金、支票支付稅費，特別是對于本關區以外的企業，免去了郵寄、攜帶大額票據的風險，極大地提高了企業資金管理的安全性。

但從銀行、第三方支付網關的角度，仍需采用多種措施，提高B2B電子支付的安全性。

首先是技術上。B2B電子支付服務提供方，在電子支付的各個環節，采用先進的安全措施。網上銀行系統采用國際上安全性強的1024位非對稱密鑰算法為基礎的公鑰安全體系；客戶證書采用支持非對稱密鑰算法、帶協處理器的CPU智能IC卡為存儲介質；網絡數據傳輸方面采用國際通行的SSL協議進行鏈路層的加密傳輸；整個系統的網絡框架上，設置多重防火墻和安全服務器，并采用著名的ISS黑客掃描程序。

其次從管理上。要確保網絡系統的安全與保密，除了對工作環境建立一系列的安全保密措施外，還要建立健全金融網絡的各項內部管理制度。根據企業資信狀況，從業務角度控制參與B2B在線支付的企業范圍。客戶的每一筆交易都將按照機密性和完整性的要求進行記錄，作為交易的審計備案。以上措施從源頭上阻止非法客戶的進入，杜絕欺詐行為的發生，為B2B電子商務的開展營造了一個更加安全、規范、便捷的交易環境。

再次，從信用機制上。網上銀行通過遠程通信手段，借助信用確認程序對借款者的信用等級進行評估。而第三方支付平臺通常把用戶規模、在線的時間、交易記錄、買家評價，以及信息的數目等方面都加以考核，然后對這些方面設置相應的積分，最后根據積分為這些“網上店鋪”評定星級。當一家網站有足夠的評價機制后，用戶根據星級狀況便可以選擇相對更為穩妥的賣家進行交易，在這種情況下選擇線上支付的可能性也會更大。

2.提高速度，縮短資金結算時間

通常的線下支付時間較長、手續復雜。快捷、高效、方便是網上支付最吸引人的地方。B2B電子支付提供了買賣雙方企業網上交易資金的實時劃撥。電子資金轉賬系統縮短了銀行之間支付指令的傳遞時間,并減少了在途資金的占壓。一些銀行和第三方支付平臺合作，開始嘗試“應收賬款質押貸款”，即將賣方尚未結算的訂單向銀行作為融資的質押，讓資金在途和沉淀期縮短。網上銀行系統一般分兩次向特約網站和收款企業實時反饋每筆電子支付指令的有關信息，以便于供貨方掌握并控制交易進度。付款企業作為網上銀行客戶，可隨時登錄銀行網站或追蹤查詢指令處理狀態，了解支付信息。

3.利用信息技術構建三流一體化平臺

由于信息技術的支持，企業可以采用一定規模的ERP、SCM軟件，協調整個供應鏈的機制，實現從客戶到供應商的完全連通，企業的內部流程與外部交易完全一體化；通過供應鏈管理，保證了銷售渠道的暢通；實時進行交易，使交易和供應幾乎同時發生，使供應商及時了解物料需求狀況，實現企業零庫存；快速、實時、柔性的交易模式，及其完善而流暢的服務與物流配送體制，使電子商務達到了其高級階段。

在企業實現物流、庫存電子化管理后，符合中國企業需求的第三方電子支付，將能夠將電子商務企業交易的“信息流”與“資金流”實現最佳整合，并能作為B2B電子商務中企業渠道資金收付和產業鏈上下游企業資金來往來的重要平臺。

網上銀行也能夠實現電子商務交易的全過程、如何實現交易資金流與信息流的緊密綁定。實現訂單和資金流的統一，便利收款商戶對賬發貨。

4.大中小企業各取所需

一般來說，處于產業鏈內主導地位大型廠商來說，電子支付的關鍵是安全與信譽，此時尋找商業銀行等金融機構作為電子支付渠道的合作伙伴將顯得更為現實。通過金融機構建立大額電子支付渠道，能夠有效保障整個產業鏈上企業相互間安全支付。

對于中小企業，上下游客戶隨機性較強，第三方支付平臺能幫助其拓展客戶機會，同時也能保障相互之間的支付安全性。對中小企業來說，快捷、高效、方便是網上支付最吸引人的地方。通常的線下支付時間較長、手續復雜。因此，這些企業適合尋找專業的第三方支付平臺搭建適合自身業務的電子支付渠道。

支付網關需要通過銀行進行結算，支付商提供的服務是銀行業務的延伸，二者是合作和補充的關系。越來越多的銀行跟第三方支付公司的聯合，為各類型企業又提供了更多的選擇。

參考文獻：

網上支付的安全性范文

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

熱門標簽

相關文章

相關期刊

江淮法治

電子商務世界

網絡傳播

作物學報

精品范文