电子支付的安全问题分析

电子支付的安全问题分析

一、电子商务概述

电子商务是一种采用最先进信息技术的买卖方式，整个电子商务过程并不是工业经济阶段商务活动的翻版，电子商务是将“通信服务”、“数据管理服务”、“安全服务”等三项基本服务融为一体的商业活动。电子商务有巨大的市场与无限的商机，蕴含着现实的和潜在的丰厚商业利润。狭义的电子商务也称作电子交易，主要利用web提供的通信手段在网上进行的交易活动，也通过Internet买卖商品和服务。广义的电子商务还包括企业内部的商务活动以及企业间的商务活动，它不仅仅是硬件和软件的组合，还是买家、卖家、厂家和合作伙伴在Internet、Intranet和Extranet上利用互联网技术与现有的系统结合起来开展业务的综合系统。

二、电子支付的基本概念

电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。与传统的支付方式相比，电子支付具有以下特征：

电子支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的；而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等实体是流转来完成款项支付的。

电子支付的工作环境是基于一个开放的系统平台（即因特网）之中；而传统支付则是在较为封闭的系统中运作。

电子支付使用的是最先进的通信手段，如因特网、Extranet；而传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其它一些配套设施；而传统支付则没有这么高的要求。

电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机，便可足不出户，在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。

三、电子商务的电子支付安全要求

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方（销售者和消费者）都面临安全威胁。电子商务的电子支付安全主要体现在以下几方面：

(1)数据的保密性

因为网上交易双方的事，双方交易并不想让第三方知道他们之间的交易的具体情况，包括资金账号、客户密码、支付金额等网络支付信息。但由于交易是在internet上进行的，在因特网上传送的信息是很容易被别人获取的，所以必须对传送的资金数据进行加密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。(2)数据的完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

(3)信息数据的有效性、真实性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

(4)信息数据的可靠性、鉴别性和不可否认性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可否认要求即是能建立有效的责任机制，防止实体否认其行为；在网上进行交易的时候，必须先确定商店是否真实存在，付了钱能否拿到东西。商店和银行都要担心网上购物的是否是持卡人本人。

网上交易过程中，参加交易的各方，包括商户、持卡人和银行都必须能够认定对方身份。在网上交易中持卡人与商店通过网上传送电子信息来完成交易，也需要有使交易双方对每笔交易都认可的方法。参加交易的各方，包括商家、持卡人和银行必须采用措施能够对其支付行为的发生内容不可否认。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的。原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

四、电子支付系统安全技术

（一）电子商务支付现金流

商家和客户都必须到CA得到自己的证书，然后通过CA认证。很明显，各个部分信息传递，必须要经过加密处理；信息来源和目的，必须经过认证。

在电子商务支付系统中，消费者和商家面临的威胁有：

1、虚假定单：假冒者以客户名义订购商品，而要求客户付款或返还商品；

2、付款后收不到商品；

3、商家发货后，得不到付款；

4、机密性丧失：PIN或口令在传输过程中丢失；商家的定单确认信息被篡改；

5、电子钱和硬币丢失：可能是物理破坏，或者被偷窃。这个通常给用户带来不可挽回的损失。

相应的安全技术有：网络安全检测设备；访问设备（安全认证卡）；浏览器/服务器软件（支持SSL）；证书（PKI-CA、公钥密钥加密算法）；商业软件（支持电子支付）；防火墙保护传输线路安全（电磁辐射屏蔽等）；防入侵措施，数据加密（最基本的安全技术，如链路、节点、端对端加密等）；访问控制（根据角色访问等控制）；鉴别机制（报文鉴别、数字签名、终端识别等）；路由选择机制（阻止不合适的IP访问）；通信流控制（掩盖通信频度、报文长度、报文形式、报文地址等）；数据完整性控制（来自正确的发送方、数据传送到正确的接收方）；端口保护（反端口扫描等）；病毒木马防范措施。

案例：

汇付天下是一个独立第三方支付平台，起步于2006年，是以拓展新兴支付渠道为主，提供专业化支付服务的电子支付公司。从起步开始，就明确了自己的使命，就是要为网络运营企业和个人提供一个更安全、更可靠、更方便、更快捷的互联网支付环境。作为向行业领先者进军的汇付天下，与国内商业银行紧密合作设计推出的新型金融支付交易产品，可以满足企业和个人在全国范围内跨地区、跨银行的汇款需求，更为特别的是，“汇付天下”不但提供标准的电子支付产品，还可为每家客户量身定制个性化的服务。

随着现代生活节奏的加快，社会公众之间的支付交易越来越频繁。当人们逐渐习惯了电子提款机与刷卡消费的便捷与乐趣的时候，网上支付的模式与安全问题，以及跨银行间的转帐、汇款等问题又开始困扰企业与个人用户。人们开始思考如何利用网络化社会环境下的先进技术，来解决支付行业中不断涌现出的种种问题。伴随着金融服务市场的开放，国内银行卡支付服务市场即将迎来一个全面开放和发展的大好时机。作为整个银行卡支付产业链中起步较晚的互联网电子支付行业，近年来始终保持着高速发展的态势。时至今日，中国互联网支付行业已初具规模，并在整个银行卡支付产业链中占有重要地位。汇付天下利用领先的技术为企业和个人用户提供了科学的快捷安全的解决方案，推出了网上支付、跨行汇款、个人理财。

（二）保证支付的安全

一方面来自于支付公司，监管部门有责任来监管。另一方面，更大的风险来自于比如商家卖一个东西，作的广告和网站上卖的东西和你真正收到的东西，或者根本收不到，怎么避免这些东西伤害消费者，伤害消费者对整个电子支付的信