劉 穎

（天津市河東區(qū)職工大學，天津市 300171）

電子商務(wù)網(wǎng)上支付與安全

劉 穎

（天津市河東區(qū)職工大學，天津市 300171）

電子商務(wù)主要體現(xiàn)為網(wǎng)上交易和網(wǎng)上支付。網(wǎng)上交易必然伴隨網(wǎng)上支付，網(wǎng)上支付是基于Internet，以銀行電子支付和結(jié)算為手段的全新商務(wù)模式，是電子商務(wù)的重要組成部分。電子商務(wù)利用因特網(wǎng)的基礎(chǔ)設(shè)施和標準，將計算機技術(shù)和網(wǎng)絡(luò)技術(shù)應(yīng)用于傳統(tǒng)的金融交易和商務(wù)交易，完成包括查詢、采購、支付以及產(chǎn)品廣告、銷售在內(nèi)的全部過程，實現(xiàn)企業(yè)和個人、企業(yè)和企業(yè)、企業(yè)和政府等之間的跨域交流。

電子商務(wù)；電子支付；安全

電子商務(wù)極大地影響著國民的經(jīng)濟生活和社會生活。Netscape公司于1994年公布了SSL協(xié)議，它是實現(xiàn)在兩臺機器間建立一個可靠的加密傳輸連接的協(xié)議。Visa公司和MasterCard公司于1994年聯(lián)合提出的SET協(xié)議，是為在Internet上進行信用卡支付而設(shè)計的標準，該協(xié)議可以保護萬維網(wǎng)上通過支付卡交易的安全性，實現(xiàn)對Internet上傳輸?shù)男庞每ń灰讛?shù)據(jù)的加密，同時實現(xiàn)用戶、商戶和銀行之間的身份認證。SSL和SET協(xié)議是信用卡交易中的兩個重要協(xié)議，它們已經(jīng)應(yīng)用于實際的網(wǎng)上交易。1996年美國產(chǎn)生了第一個網(wǎng)絡(luò)銀行，它對世界的影響是巨大的，現(xiàn)今網(wǎng)上銀行已成為金融機構(gòu)拓寬服務(wù)領(lǐng)域的重要手段，一些大公司如IBM、HP、SUN等紛紛提出了支付系統(tǒng)解決方案和基于SET協(xié)議的支付網(wǎng)關(guān)軟件產(chǎn)品，世界上許多銀行通過實施金融電子化戰(zhàn)略取得了顯著的效果。隨著電子商務(wù)的發(fā)展，各種法規(guī)逐步健全，一些國家已經(jīng)通過數(shù)字簽名和身份認證法津，積極構(gòu)筑認證、支付、物流配送三大系統(tǒng)環(huán)境，努力發(fā)展電子商務(wù)。我國電子商務(wù)隨著時代的發(fā)展蓬勃展開，一些地區(qū)成立了電子商務(wù)中心，開展網(wǎng)上購物、網(wǎng)上交易業(yè)務(wù)，國內(nèi)銀行紛紛開通了網(wǎng)上銀行業(yè)務(wù)。此外，我國有關(guān)部門為規(guī)范電子商務(wù)的管理并推動電子商務(wù)的發(fā)展，正積極著手制定電子商務(wù)法和其他相關(guān)法規(guī)，如考慮制訂有關(guān)電子商務(wù)的規(guī)范和制度，特別是成立了中國金融認證中心，使網(wǎng)上支付有了可信任的權(quán)威機構(gòu)。

一、網(wǎng)上支付的安全需求

1．網(wǎng)上支付面臨的安全隱患主要有：

（1）以非法手段竊取信息，或?qū)π诺罃?shù)據(jù)進行破譯分析，使機密數(shù)據(jù)內(nèi)容泄露給未被授權(quán)的用戶。

（2）篡改信息數(shù)據(jù)或數(shù)據(jù)傳輸中出現(xiàn)錯誤、丟失或次序差異等都可能導致信息的完整性被破壞。

（3）偽造信息或假冒身份進行網(wǎng)上欺騙。

（4）對交易行為進行抵賴，否認交易結(jié)果。

（5）系統(tǒng)安全漏洞、網(wǎng)絡(luò)故障、病毒等導致的系統(tǒng)被破壞。

2．為抵抗各種威脅，確保網(wǎng)上支付的全面安全，必須建立完善的加密體系和認證機制，它所要達到的結(jié)果是：

（1）保護業(yè)務(wù)數(shù)據(jù)不被未授權(quán)方竊取或泄漏（數(shù)據(jù)機密性）；

（2）保護業(yè)務(wù)數(shù)據(jù)不被篡改、刪除、丟失或重放（數(shù)據(jù)完整性）；

（3）保護用戶身份可鑒別和信息不可偽造（數(shù)據(jù)真實性）；

（4）保護交易雙方免于對方否認已發(fā)送或已接收數(shù)據(jù)（抗抵賴性）；

（5）保證交易網(wǎng)絡(luò)的穩(wěn)定和可靠。

用戶通過網(wǎng)絡(luò)進行購物交易時，最關(guān)心的問題是網(wǎng)上支付時能否確保自己的信息（如用戶賬號、密碼、交易金額等）不被泄露和篡改，銀行在進行該項服務(wù)時最關(guān)心的問題是商家和用戶身份的合法性，用戶賬號是否有效，并且要防止銀行內(nèi)部的數(shù)據(jù)不被攻擊者破壞。面對傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，必須為網(wǎng)上交易建立安全的支付環(huán)境，必須采用密碼技術(shù)來保證交易的安全性和合法性。

二、網(wǎng)上支付的安全技術(shù)

安全技術(shù)是電子商務(wù)的核心技術(shù)，主要包括密碼技術(shù)和安全規(guī)范。在網(wǎng)上支付中使用密碼技術(shù)的主要目的就是達到安全交易、多種密碼技術(shù)的綜合運用可以確保交易的安全性和可靠性。網(wǎng)上支付涉及的密碼技術(shù)有對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)，它們在支付系統(tǒng)中應(yīng)用于數(shù)據(jù)加密、數(shù)字簽名、數(shù)字摘要、身份認證、數(shù)字簽名等。

1．數(shù)據(jù)加密

數(shù)據(jù)加密是利用密碼算法和密鑰對明文信息進行特定的變換，根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同，將密碼體制分為秘密密鑰加密體制和公開密鑰加密密碼體制兩類。秘密密鑰加密算法加密速度快，但存在通信雙方之間須確保密鑰安全交換的問題，也無法鑒別交易雙方的身份，不能完全保證信息傳遞的完整性。

公開密鑰加密算法體制簡化了密鑰管理，且非常適合電子商務(wù)中數(shù)字簽名、身份認證等應(yīng)用，但由于公開密鑰是建立在數(shù)學分解的基礎(chǔ)上，必然阻礙加密速度的提高。目前的網(wǎng)上支付安全系統(tǒng)大都綜合使用了秘密密鑰加密算法和公開密鑰加密算法兩種算法。秘密密鑰加密算法用于信息加密，公開密鑰加密算法用于密鑰分發(fā)、數(shù)字簽名、數(shù)據(jù)完整性及身份鑒別。

2．數(shù)字簽名

數(shù)字簽名確保了信息的完整性和不可否認性，同時也是身份鑒別的主要手段。利用單向散列函數(shù)Hash對消息形成固定長度的消息摘要，消息摘要具有唯一性，消息的任何改變將導致消息摘要不可預(yù)知的變化。

在SET中使用了雙簽名機制，用戶在交易訂單和賬戶上進行數(shù)字簽名，可以保證訂單和賬戶的合法性、有效性及安全性。雙簽名機制應(yīng)用的重要目的在于網(wǎng)上交易中的商戶不能得到或篡改用戶的賬戶信息，銀行也不能知道用戶的購物內(nèi)容，這就使得用戶的網(wǎng)上購物環(huán)境更加可信和安全。

3．身份認證

網(wǎng)上交易的基本保障是網(wǎng)上用戶的身份認證，認證系統(tǒng)的建立依賴于信任機制。網(wǎng)上支付的安全方案大多采用第三方信任?？尚诺牡谌綑C構(gòu)（即認證代理）稱為認證中心CA。國際上基于公開密鑰體系（PKI）的數(shù)字證書解決方案已被普遍采用，電子商務(wù)的安全措施主要圍繞數(shù)字證書展開。數(shù)字證書作為網(wǎng)上交易的各個實體的身份證明和用戶身份認證的工具，使通信雙方在進行交易前能確定對方的身份，從而解決相互間的信任問題。認證中心為建立身份認證的權(quán)威性框架奠定了基礎(chǔ)，為網(wǎng)上交易構(gòu)筑了一個相互信任的環(huán)境，可以說認證中心是保證電子商務(wù)安全的核心

三、網(wǎng)上支付的應(yīng)用

電子商務(wù)應(yīng)用的廣泛形式是網(wǎng)上支付。自從美國“安全第一網(wǎng)絡(luò)銀行”成立以來，世界上已經(jīng)有200多家銀行開展了網(wǎng)上銀行服務(wù)，其中網(wǎng)上支付和結(jié)算占網(wǎng)上銀行業(yè)務(wù)量的很大比例，我國網(wǎng)上支付應(yīng)用已經(jīng)展開。在網(wǎng)上支付領(lǐng)域應(yīng)用比較多的是網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上證券等，其中，網(wǎng)上購物交易在網(wǎng)上支付應(yīng)用中具有較普遍的意義。在網(wǎng)上購物中，網(wǎng)上交易依托網(wǎng)上支付，網(wǎng)上支付完成用戶、商家和金融機構(gòu)之間使用安全的支付工具交換商品或服務(wù)，即把電子現(xiàn)金、信用卡、借記卡或智能卡等支付信息通過網(wǎng)絡(luò)安全傳送到銀行而實現(xiàn)支付。用戶系統(tǒng)、商務(wù)系統(tǒng)、銀行支付系統(tǒng)是構(gòu)成網(wǎng)上購物交易系統(tǒng)的必備實體。網(wǎng)上支付的安全問題主要包含金融網(wǎng)的安全性和商戶與銀行、用戶與銀行之間信息傳遞的安全性問題。

網(wǎng)上購物交易活動主要有“企業(yè)對企業(yè)BtoB”和“企業(yè)對個人BtoC”兩類。BtoC網(wǎng)上購物系統(tǒng)的基礎(chǔ)構(gòu)架是支付網(wǎng)關(guān)、認證中心CA、個人系統(tǒng)及商戶系統(tǒng)，SET交易流程能實現(xiàn)現(xiàn)實世界中的購物過程，持卡人可以在商家的Web站點上選擇他所提供的任意商品，就如同親臨商場一樣。

標準SET包含如下物理實體：

1．持卡人（Cardholder）：使用SET標準的電子錢包，持卡人擁有簽名證書。

2．商戶（Merchant）：商戶提供瀏覽服務(wù)和支付服務(wù)，擁有簽名證書和加密證書。

3．發(fā)卡行（Carlsberg）：提供消費者對信用卡的申請與消費管理。

4．銀行（Acquire）：為商家建立賬戶并處理支付卡授權(quán)和支付。

5．支付網(wǎng)關(guān)（Payment Gateway）：支付網(wǎng)關(guān)受收單行操作，處理支付卡授權(quán)和支付，擁有簽名證書和加密證書。

6．認證中心（CA）：負責向持卡人、商戶和銀行支付網(wǎng)關(guān)發(fā)放證書

我國電子商務(wù)是在借鑒國際先進技術(shù)的基礎(chǔ)上發(fā)展起來的，網(wǎng)上支付技術(shù)的應(yīng)用也應(yīng)參照國際標準并結(jié)合我國特點逐步完善。重要的是應(yīng)明白研究開發(fā)我國自主的網(wǎng)上安全支付技術(shù)的重要意義，加快研制符合國情的電子商務(wù)安全支付系統(tǒng)，開發(fā)安全支付服務(wù)和應(yīng)用管理設(shè)備，保護金融信息的安全。

［1］宋文官．實用電子商務(wù)教程（第三版）［M］．北京：高等教育出版社，2007．

［2］電子商務(wù)教程與案例：互聯(lián)網(wǎng)商務(wù)模式與戰(zhàn)略（第2版）［M］．北京：清華大學出版社，2005．

Abs tra c t：E－commerce mainly contains online trading and payment．Online trading is inevitably followed by online payment，which is a new internet－based business model．E－commerce makes use of internet＇s infrastructure and standards，applies computer technology and network technology in traditional financial and business transactions and realizes the whole process including inquiry，purchase，payment，advertising，and selling．It makes the cross－domain communication between B2C，B2B，and B2G come true．

Key words：e－commerce；e－payment；security

On Electronic Payment and Its Security

LIU Ying

（Tianjin Hedong District Staff and Workers University，Tianjin 300171 China）

F724．6

A

1673－582X（2011）03－0068－03

2010－10－15

劉穎（1980－），女，天津市人，天津市河東區(qū)職工大學教師，工學碩士，從事計算機課程教學研究。