网络安全技术对电子支付系统的影响

网络安全技术对电子支付系统的影响引言：网络安全问题，仍被视为制约电子商务环境下电子支付行业发展的软肋。据不完全统计，到目前为止还有68%的网民因为安全原因拒绝使用第三方支付产品，原因何在？是用户对安全问题敏感过头了，还是由于电子支付时不时发生的安全问题造成用户心理恐慌？所谓电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。电子支付流程图一．网络安全技术对电子商务支付系统安全性的作用网络安全对电子商务支付系统的作用就是如何通过现有的网络技术如InternetWeb、数据加密、PKI－CA系统、防火墙技术、各种交易协议（如SET）、客户端浏览技术和软件等，使得客户和商家透明地进行安全交易。其中，支付系统的可靠和安全，是整个电子商务框架的基础和保障。当前的主要支付方法主要有信用卡支付、电子支票、电子现金、SmartCard，同时衍生出很多类型的支付方案。1．电子支付的定义客户首先一定金额的现金或存款从发卡者处兑换得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，从而能够清偿债务。这种方法实施的基础是金融电子化以，商用电子化设备和各类交易卡为媒介，以计算机技术和通信技术为手段，二进制（0、1）为存储形式，通过计算机网络系统进行买卖交易。电子商务的电子支付发展有五个阶段。一.银行利用计算机处理银行间的业务，办理结算；二.银行计算机与其他机构计算机之间的结算，如代发工资等；三.利用网络终端向客户提供各项银行业务，如客户在ATM上取款、存款等操作；四.利用银行销售点终端（POS）向客户提供自动的扣款服务，此为现阶段电子支付的主要方式；五.网上支付，即电子支付可随时随地地通过互联网进行直接转帐结算，形成电子商务环境。2．电子商务支付系统分类就现在世界通用的支付系统不下几十种，根据在线传输数据的种类（加密、分发类型），初略可以被分为三类：第一类是使用“信任的三方”（trustedthirdparty）。客户和商家的信息比如银行帐号、信用卡号都被信任的第三方托管和维护。当要实施一个交易的时候，网络上只传送定单信息和支付确认、清除信息，而没有任何敏感信息。实际上通过这样的支付系统没有任何实际的金融交易是在线（on-line）实施的。FirstVirtual典型的信任第三方系统。在这种系统中，网络上的传送信息甚至可以不加密，因为真正金融交易是离线实施的。但是不加密信息，同样可以看成一个系统的缺陷，而且客户和商家必须到第三方注册才可以交易。第二类是传统银行转帐结算的扩充。在利用信用卡和支票交易中，敏感信息被交换。例如，如果客户要从商家购买产品，客户可以通过电话告知信用卡号以及接收确认信息；银行同时也接收同样的信息，并且响应地校对用户和商家的帐号。如果这样的信息在线传送，必须经过加密处理。著名的Cybercash和VISA/Mastercard的SET就是基于数字信用卡（DigitalCreditCards）的典型支付系统。这种支付系统，对于BtoC（BusinesstoClients）在线交易是主流，因为现在大部分人，更习惯于传统的交易方式。通过合适的加密和认证处理，这种交易形式，应该比传统的电话交易更安全可靠，因为电话交易缺少必要的认证和信息加密处理。第三类是包括各种数字现金（DigitalCash）、电子货币（ElectronicMoneyandElectronicCoins）。和前面的系统不一样，这中支付形式传送的是真正的“价值”和“金钱”本身。前面两种交易中，信息的丢失往往是信用卡号码，被伪造的信息，也只是信用卡号等。而这种交易种偷窃信息，不仅仅是信息丢失，往往也是财产的真正丢失。通过支付手段又可以分为电子信用卡支付、SmartCard支付、电子现金支付、电子支票支付等。3．电子支付系统安全技术电子商务支付信息流动典型结构如图1所示。在图中，信任第三方是CA认证中心。商家和客户都必须到CA得到自己的证书，然后通过CA认证。很明显，各个部分信息传递，必须要经过加密处理；信息来源和目的，必须经过认证。二.我国现行电子支付的安全机制目前，国内的电子支付系统共有三种安全实现方式：SSL、SET和Non-SET。对SSL和SET前面已做过讨论，这里不再详细介绍。这部分将主要介绍中国金融认证中心推出的NON-SETCA体系。SSL协议，目前在中国可以支持128位的加密，招商银行、工商银行就是采用了这种方式。由于它被IE、NESCAPE等浏览器所内置，实现起来非常方便，国内的电子交易很多都采用这种协议。SET协议，中国银行就是采用这种协议。但由于它的复杂，在国内开展得不是很普遍。NON-SETCA体系亦称PKICA系统,是由中国金融认证中心（CFCA）推出的，它是也是基于PKI的，除了加密功能外，还有数字签名功能、证书管理和在线CRL（证书废止列表）查询等功能。SET能够保证较好的安全性，但是也有处理速度慢，协议复杂，安装麻烦等缺点，而且只适用于信用卡的应用。所以目前业内采用的以Non-SET产品居多，例如国内已开通网上信用卡支付的银行中只有中国银行一家采用SET产品。Non-SET对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书)。中国金融CFCA的PKInon－SET系统所发的Direct证书，即企业级证书(亦称高级证书)是目前世界领先的工具。下面以B2B网上购物的应用模式介绍其应用流程：其中购物的用户，可能是企业或事业单位，它要具有一台Web浏览(WebBrowser)，装有DirectClient软件，即通常称作客户端的代理软件(Proxy)。其作用是负责与WebServerProxy之间建立安全通讯，提供对客户端和服务器端的安全和密钥管理功能，它检测浏览器发出的给Server的高强度的通信信息，是专为ServerProxy提供的加密和签名信息。在企业用户端要下载CFCA的根证书，同时还应装有企业级(高级)Direct证书，它们以Epf文件格式存放。其中商家是大型供应商企业，具有一台WebServer，装DirectServer软件，即通常所说的服务器代理软件(ServerProxy)。其作用是负责与客户端建立安全通讯，进行双方认证，接受并处理客户端的信息；支持客户端与服务器端的在线自动CRL检查；具有完善的密钥和证书的管理功能。在商家的服务器端装有CFCA的根证书及企业级(高级)Direct证书，它们以Epf文件格式存放。其中银行为中介服务，提供支付结算功能。在传统的银行信息网络前端设置一台支付服务器PaymentServer。其作用是将商家传送来的信息，经过通讯格式的转换，转变成为传统银行对公交易的通讯格式，并与银行客户信息数据库联接，完成划转帐任务。银行支付服务器必须装有CFCA根证书及企业级证书（高级证书），并以Epf文件格式存放。三.结束语电子商务的开展为国民经济的各行各业提供了无限的商机,也为消费者带来了极大的方便，但同时也带来了安全性问题。这就需要银行及金融机构选择与国情相适应的安全标准,构筑一个安全良好的支付体系。从社会角度，良好的信用机制可以减少电子支付的风险。从法律的角度，完善的法律是保证电子支付安全的前提。很多时候，电子支付的危险并不是来自电子支付本身，而是由于人们缺乏警惕性。如果我们能提高警惕性，电子支付还是足够安全的。最终电子商务将给我们的生活带来极大的方便。