电子商务在线支付系统安全的研究

电子商务在线支付系统安全的研究【摘要】本文阐述了发展电子商务在线支付系统存在的问题，在此基础上分析了电子商务安全关键技术和电子商务安全交易协议，并对SET协议、3-DSecure协议进行了比较。结果表明：3-DSeucer协议在保证满足安全性要求的基础上简化了证书交换与大量的数字签名过程，从而使在线交易时间大大缩短，使得电子商务在线交易的实施更加简捷。【关键词】电子商务在线支付系统安全协议ResearchonSecurityTechnologyforElectronicCommerceLIXiu-juanAbstract:Thispaperanalyzestheproblemsondevelopmentoftheonlinepaymentinelectroniccommerce,andbaseontheserequirement,analyzesthekeysecuritytechnologyandsafetransactionprotocolofelectroniccommerce,andcomparesSETprotocoland3-DSecureprotocol.Thecomparisonshowsthat3-DSecureprotocolisfarmorerigorousthanSETprotocolintermsofnetworktransactionsecurity,sothatitcansavesthepaymenttime,andmakesthetransactionbecomeveryeasy.1电子商务在线支付系统的概念随着电子商务的不断深入发展，作为电子商务应用的关键技术，在线支付越来越引起人们的重视。电子商务的支付问题是随着电子商务本身的快速发展而衍生的。就他们的关系而言，电子商务需要在线支付，在线支付是开展电子商务的必备条件。同时，电子商务的发展也促进了在线支付的发展。由于电子商务是基于开放网络环境下的商务形式，这带来了一系列的问题。开放程度越高，网络安全及支付安全问题就越凸现出来。电子商务支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段(包括电子现金(E—CA—SH)、信用卡(CREDITCARD)、借记卡(DEBITCARD)、智能卡等)的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付。随着计算机及网络技术的迅速发展，在线支付的种类也越来越多，大体可以分为以下三种类型：一类是电子货币类，如电子现金、电子钱包等；另一类是银行卡类，如信用卡、借记卡等；还有一类是电子支票类，如电子支票、电子汇款等。2发展在线支付所存在的问题电子支付直接与金钱挂钩，一旦出现问题会带来较大的经济损失，并会在电子支付信息链中相互传递风险。我们必须收集、分析、鉴别电子支付产业链中的各种交易信息，对其进行安全性分析。由此可见，电子支付的安全性对支付模式的管理水平、信息传递技术提出了很高的要求。电子支付安全问题分为两个方面：管理层面的安全一一交易安全；技术层面的安全一一信息网络安全，并从以下四个方面探讨电子支付的安全性。(1)法律方面在线支付系统作为提供网上服务的金融机构，其地位与经营都需要相关的法律、法规和政策的指导与规范。因为其运营涉及到国际贸易、知识产权、相关法律以及政府税收等许多方面的问题。目前我国还没有比较完善的电子商务法律法规，这对电子商务和在线支付的发展很不利。(2)金融方面我国金融业的现状是商业银行之间的业务清算要由中央银行管理，涉及到商业银行之间的业务清算也必须得到中央银行的许可和支持。同时，它还需要得到各商业银行的支持与合作。但电子商务的在线支付始终是一种市场行为，它与各商业银行和其他金融机构的关系是一种完全的商业关系。目前，用银行卡付款代替传统的现金付款己越来越被人们所接受，并且各大银行也推出了网上银行的业务。但各银行之间的合作还不够完善，虽然成立了银联组织，但还没有真正实现各银行之间无障碍的业务清算，这也给在线支付的发展带来了障碍。(3)市场方面在线支付系统的建立和完善有赖于我国金融电子化、产业信息化和网络普及化程度的提高，但市场的培育和发展是推动电子商务健康发展的保证。由于电子商务潜在的巨大利润，商家盼望在线支付早日实现；在线支付为消费者提供了很大的方便，也得到了消费者的欢迎。但由于在线支付中用户要承担一定的风险，所以要用户普遍接受在线支付的方式还需要一定的时间。(4)技术方面在线支付系统是以互联网为依托的，因此网络及安全技术是在线支付系统的关键。虽然我国的软件技术和国外有差距，但是我们还是有能力开发自己的在线支付系统的。3在线支付系统的安全技术在在线支付的信息传输中，怎样才能达到使机密信息难以被泄漏，或者即使泄露了也难以被识别，或者即使被识别了也难以被篡改，这已经成为信息安全域的研究热点。加密技术正是达到上述目的的核心技术手段，是认证技术及许多安全技术的基础，是信息安全技术的核心，也是电子商务采用的基本安全术手段。没有安全的网络基础设施和高强度的密码技术，就不可能进行在线支付。密码技术可以保证信息的机密性，还可以保证信息的完整性、正确性，并且可以防止信息被篡改、伪造等。3.1密码体制与加密加密的基本思想是伪装明文的真实内容，即将明文A伪装成密文B，伪装的称为加密，加密时所使用的信息变换规则称为密码算法。密码体制从原理上可分为两大类，即单钥体制(One—keySystem)和双钥体制（Two一keySystem)。单钥体制也称为对称密码体制，它的加密密钥和解密密钥相同，或者虽然不相同但是由其中的任意一个可以很容易的推导出另一个；双钥体制也称为非对称密码体制，采用双钥体制的每个用户都有一对选定的密钥，一个是可以公开的，另一个则是秘密的。3.2数字摘要数字摘要主要用于保持数据的完整性，防止数据被篡改。它的算法是一个单向函数。也就是直接将输入的数据进行数字摘要提取，但决不能从数字摘要生成原数据。3.3数字签名数字签名是指使用密码算法，对待发的数据进行加密处理，生成一段数据摘要信息附在原文上一起发送，这段信息类似现实中的签名或印章，接收方对其进行验证，判断原文真伪。这种数字签名适用于对大文件的处理，对于那些小文件的数据签名，则不预先做数据摘要，而直接将原文进行加密处理。数字签名在电子商务的应用中提供数据完整性保护和提供不可否认性服务。3.4数字信封数字信封就是信息发送端用接收端的公钥，将一个通信密钥(SymmentricKey)，即对称密钥，给予加密，形成一个数字信封(DE)。然后传送给接收端，只有指定的接收方才能用自己的密钥打开数字信封，获取该对称密钥(SK)，用它来解读传送来的信息。这就好比在实际生活中，将一把钥匙装在信封里，邮寄给对方，对方收到信件后，将钥匙取出，用它再去打开保密箱一样。3.5数字证书对于数字签名和公开密钥，都会面临公开密钥的分发问题，即如何把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。因此必须有一项技术来解决公钥与合法拥有者身份的绑定问题。数字证书是解决这一问题的有效方法。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。4电子商务的安全协议从电子支付诞生的那天起，支付安全就成为了所有希望电子支付健康成长的人们最为关注的问题。为了确保涉及交易双方合法权益的内容不受非法入侵，比如：数据的保密性、可用性、完整性、鉴别能力、授权的安全和交易不可否认性，针对电子支付各种不同的安全性要求，开发了相应的技术措施和安全协议。不同的电子商务协议在方便性、安全性、风险等方面是不同的，不同的应用环境对协议目标的要求也不相同，但是电子商务协议需要遵守一些基本的设计原则，比如：匿名性、安全性、不可否认性、原子性以及交易规模。目前，常用的电子商务安全协议有：SSL协议、SET协议和3一DSecure协议等。4.1SSL协议SSL安全套接层协议采用TCP作为传输协议提供数据的可靠传送和接收，它建立在传输层和应用层之间，独立于高层应用，可以为高层协议提供安全业务[4].SSL由SSL记录协议和SSL握手协议构成。SSL记录层用于封装不同的上层协议。SSL握手协议可以让服务器和客户机在传输应用数据之前协商加密算法和加密密钥，客户机提出自己能支付的全部算法清单，服务器选择最适合它的算法。SSL通过采用公钥和私钥技术对Web服务器和客户机的通信提供保密性、数据完整性和认证性。但是，该协议并不能防止心术不正的商家欺诈。4.2SET协议SET(SecureElectronicTransaction)即安全电子交易模式，一般用来确保在开放网络上持卡交易的安全性。SET协议在安全性方面主要解决五大问题：(1)保证信息在Internet上安全传输，防止数据被黑客窃取；(2)保证客户与商家信息的相互隔离，,客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息；(3)解决多方论证问题；(4)保证网上交易的实时性；(5)促使不同厂家按照一定的规则开发软件，使其具有兼容性和互操作功能。相比之下，SET标准更适合于商家、消费者和银行三方进行网上交易的国际安全标准。由于确保了交易数据的安全性、完整性和可靠性，从而为人们营造一个快捷、方便、安全的网上购物环境。4.33-DSecure协议为了提高消费者进行在线交易的意愿并促进电子商务的发展，继SET协议之后，Visa又自2001年起在全球范围内积极推动新一代的3-DSecure(Three-DomainSecure)协议[‘6]。与SET协议一样，3-DSecure协议也应用于B2C(BusinesstoCustomer)模式中，是PKI（PublicKeyInfrastructure）框架下基于可信第三方的开放规范，设计目标同样是为在Internet上传输的信用卡支付信息提供安全保护机制。3-DSecure协议包含三个域：发卡行域(IssuerDomain)、收单行域(AcquirerDomain)和互操作域(InteroperabilityDomain)。发卡行域的实体有:：持卡人、持卡人浏览器、发卡行和接入控制服务器(AccessControlServer，ACS)。收单行域的实体有：商家、商家服务器插件(MerchantServerPlug-in，MPI)、验证程序和收单行。互操作域的实体有：目录服务器、证书颁发机构、认证历史服务器和授权系统。