中企动力 > 头条 > 电子商务安全探讨

网站性能检测评分

注:本网站页面html检测工具扫描网站中存在的基本问题,仅供参考。

电子商务安全探讨

电子商务网上支付与结算探讨,你的支付方式安全吗? 营销视频课程

img

沛柔

关注

当今网络金融服务伴随着电子商务的蓬勃发展已经开始在世界范围内如火如荼地开展起来。网络金融服务包括了人们的各种需要内容,如网上消费、家庭银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行网上支付与结算。近年来,我国电子商务网上支付与结算业务虽然得到了迅速地发展,但也存在许多突出的问题,有待我们认真研究,下功夫解决。 电子商务是资金流、信息流和物流的统一。网上支付与结算作为电子商务资金流的一种重要形式,它是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能。目前,世界范围内网上支付与结算形式主要包括信用卡支付、数字现金支付、电子支票支付、智能卡支付和电子钱包支付等。网上支付与结算虽然它具有无纸化、成本低、方便、快捷、生动、友好等显著特点,但在我国的发展至今依然是步履蹒跚,与发达国家相比仍有一定的差距,存有不足之处。

  1. 网络安全问题   网上支付与结算最核心的问题就是安全问题。为什么网络支付的安全更令人关注呢?由于网络不受时间、空间的限制,因此人们无法预料可能的攻击。面对一次又一次网络安全遭遇挑战的新闻,网上支付与结算要如何阻挡黑客无所不用的破坏手段,就消费者而言,他们必须确认在网络上输入的机密性资料,例如,帐号及密码等不会被盗用,此外,输入的交易资料不会被篡改,同时须正确迅速地传送到接收端系统;对提供服务的金融行业人员来说,也需要确定自己的系统不会受到黑客侵入,以致造成业务损失及服务停顿。据调查,消费者之所以不愿使用Internet进行金融交易,有六成以上是因为安全上的考虑。因此,如何提高网络支付的安全性及增强网上消费者对网上金融服务设施的信任是今后发展网络支付业务的重要课题之一。   2 .网上交易的法律问题   在网络支付这一领域里,各方当事人通过Internet网络进行货币交换、资金转移和商品流通。因此,无论是网络本身的差错还是人为因素都有可能引起争执甚至法律诉讼。目前,我国在电子资金转移方面的相关法律尚不够健全。为此,网上交易的法律问题也是必须解决的重要问题。   3. 网络拥挤问题   目前,Internet主要集中在美国。如果两个欧洲国家(无论它们国内的基础通信设施多么先进或开放)之间传输Internet信息,很可能都要经由美国的节点。大多数亚洲国家之间传输的信息也是如此。结果,使这些美国的节点出现了信息极度拥挤和严重滞后的现象。通过在亚洲、美国与加勒比地区、欧洲和澳大利亚的重要位置交换节点,可增强和补充现有的互联网络系统。但随着Internet各种应用的增加,仍将存在严重的网络拥挤问题,在这些问题获得根本解决之前,业务量极大的银行之间在Internet上传输的信息量将会受到一定的影响和制约。   4 .网上银行的成功创建问题   网上银行又称网络银行、在线银行、电子银行、虚拟银行,是指银行利用Internet技术,通过建立自己的Internet站点和WWW主页,向消费者提供开户、销户、查询、对帐、行内转账、跨行转帐、信贷、网上证券、投资理财等传统服务项目,使消费者足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。无论是对于传统的交易,还是新兴的电子商务,资金的支付都是完成交易的重要环节。所不同的是,电子商务强调支付过程和支付手段的电子化。在电子商务中,作为支付中介的商业银行在电子商务中扮演着举足轻重的角色,无论是网上购物还是网上交易,都需要网上银行来进行资金的支付和结算。商业银行作为电子化支付和结算的最终执行者,是联结商家和消费者的纽带,是网上银行的基础,它所提供的电子支付服务是电子商务中最关键要素和最高层次,直接关系到电子商务的发展前景。商业银行是否能有效地实现支付手段的电子化和网络化是电子交易成败的关键。

  5. 网上银行的消费群体问题   每一种商业形态都有自己的消费群体(客户群)。那么,网上银行今后又有哪些群体?他们有什么特点?这些也是网上银行业务发展要研究的问题。从目前的统计看,Internet 使用者的平均年龄为35岁,比电脑使用者40岁的平均年龄低5岁。另外热衷网络的男性比女性多一倍。这些都意味着今后网上银行的消费群体将以青年和壮年为主,男性顾客将多于女性顾客。据调查表明,我国Internet的使用者中大学以上文化程度者占一半多,多为教育、研究、管理、电脑相关行业及技术专业人员。这部分人大多为高收入者。但近来中低收入者入网比例有不断上升的趋势。为此,研究Internet消费群体,为其提供合适的网上金融产品也必将是发展网上银行要研究的课题之一。

1. 要高度关注网络安全和可靠问题   从国外电子商务发展的情况来看,电子商务网络支付服务的模式完全按照传统的商务和交易的工作流程进行设计,使得电子商务工作流程与传统的商业系统很好地结合在一起。从实现技术方面来讲,网络交易最关键的问题是如何完全地实现网上支付功能,并保证交易各方的安全保密。这种做法尽管实现的技术由简单到复杂,但用户使用方便、安全。 对此,应值得我们学习和借鉴。   在网络支付与结算方面,现在国际上有安全系统层协议、安全电子交易标准、身份认证等措施。相信在安全问题得以解决、完善的安全架构得以建立的前提下,消费者可以享受到简易、安全、及时和轻松的电子购物和电子服务环境,进一步推动电子商务在我国的迅速发展。   随着网络带宽的日益扩充,上网人数快速成长,网络银行必将成为银行的主要发展方向。在这股潮流中,网络银行将呈现出更多元的面貌,将会出现多种发展趋势。作为网上银行要提供信息的完整性、所有金融资料的认证及机密信息的加密,并为消费者提供信用卡的储存、管理及购物所需的证明;它会应商家送出的付款通知,指示持卡人选择付款银行的信用卡;它验证商家,而且提供安全的交易,允许商家确认付款核准的情况、安全地执行交易处理。允许发卡银行对其信用卡持人发出凭证、取款机构对其商家发出证明。同时,网上银行还要健全便利和通用的安全认证,这既方便消费者和银行,又提高了安全性,同时为网上支付与结算业务在我国的进一步发展提供了条件。

  2 .加强信息基础设施规模建设   由于网上支付与结算是基于信息网络通信的商务活动,为此需要建设必要的信息基础设施。我国信息基础设施的建设正处于起步阶段,需要在教育、能源、交通等各种基础设施的建设方面进行大量的投资。   3. 不断提高全民特别是网民的素质   国外有评价信息社会的坐标系统:一是社会基础结构;二是信息基础结构;三是计算机基础结构。单从评价指标综合来看,都非常重视人员的素质。可见,在开展电子商务的过程中,人员素质的提高,既可以促进电子商务的发展,也可以促进网络支付的发展。很难想象,当人们使用计算机都很困难时,怎样去开展电子商务,又怎么能促进网络支付的发展呢?   4 .大力提高信息终端设备的普及程度   信息基础设施建成后,必须与信息终端设备相连才能实现网上银行,因此信息终端设备的普及程度,将成为网络支付发展的制约因素。中国的东部、西部、中部地区的发展还极不平衡,中、西部信息终端设备的相对贫乏将成为这一地区发展网上银行的极大障碍。   5 .健全适应网络支付发展所必需的法律法规   我国在网上银行和网络支付等方面的法律法规还不够完善,我们应下功夫认真研究,建立健全适应网上银行和网络支付发展所必需的法律法规,以明确银行和消费者之间应遵守的法律义务和责任。

  6 .加快网上银行的创建和发展   电子商务给经济和贸易带来重大影响,而作为经济领域中的银行业必然受到波及,使得金融环境竞争加剧,银行不得不重新审视自身的服务方式。为适应电子商务的发展,银行业必须利用现有优势,加快本国经济迅速发展,增加银行服务手段,提供更加便捷迅速、安全可靠的支付服务。因此,网上银行是电子商务的必然产物和发展趋势,是现代银行金融业的发展方向,是虚拟现实世界中的一颗明珠,指引着银行未来的发展,也照耀着人类生活美好的明天。今天,世界各国都在争先恐后地创建网上银行,我国在这方面也不应落伍。   7.制定必要的网络介入标准   由于各国信息技术发展水平不同,采用的网络介入标准不同,使得国际间的网络支付活动遇到网络介入标准问题。应该采用不同信息技术的用户间进行网上服务活动,关键是要建立不同技术间的网络接入标准。   8.政府和企业客户的积极参与和推动   由于信息产业都处于政府垄断经营或政府高度管制之下,没有政府的积极参与和帮助将很难快速发展网上银行和网络支付。另外也由于网络的时空性和电子商务交易实体的广泛性,迫切需要客户特别是企业客户的积极参与和推动,这是促进我国电子商务网上支付快速发展的重要因素之一。   总之,当今网络发展日新月异,电子商务方兴未艾。创建网上银行,开展网络支付,重视网络支付形式及其应用,这在国际上已成为一种新兴的金融服务,其发展势不可档。我们应该抓住当前的发展契机,积极创造条件,重视推广和宣传网络支付及其应用,并逐步解决网络支付所存在的相关问题,为推进我国电子商务的迅捷发展而积极努力。

电子商务网上支付系统的研究 推广视频课程

img

桃瑞丝

关注

电子商务网上支付的基本流程如图1所示。①客户连接互联网,用Web浏览器进行商品的浏览、选择与订购,填写网络订单,选择应用的网络支付工具,并且得到银行的授权使用,如信用卡、电子钱包、电子现金、电子支票或网络银行账号等。②客户对相关定单信息进行加密处理,在网上提交订单。③商家服务器对客户的订购信息进行检查、确认,并把相关的、经过加密的客户支付信息等转发给支付网关,直至银行专用网络的银行后台业务服务器进行确认,以期待从银行等电子货币发行机构验证得到支付资金的授权。④银行验证确认后,通过建立起来的支付网关的加密信道,给商家服务器回送确认及支付信息,并给客户回送支付授权请求。⑤银行得到客户传来的进一步授权结算信息后,把资金从客户账号拨至开展电子商务的商家银行账户上,借助金融专用网络进行结算,并分别给商家和客户回送支付结算成功的信息。⑥商家服务器收到银行发来的结算成功信息后,给客户发送网络付款成功信息和发货通知。至此,一次典型的电子支付结算流程结束。商家和客户可以分别借助网络查询自己的资金余额信息,以进一步核对。

  电子商务网上支付的基本流程只是对目前各种网上支付结算方式的应用流程的简单归纳,并不表示各种网上支付方式的应用流程与上述的一样,但大致遵循该流程。   2电子商务网上支付系统的构成   电子商务网上支付体系的基本构成如图2所示。   其中:①客户是指与某商家有交易关系并存在未清偿的债权债务关系(一般是债务)的一方。②商家则是拥有债权的商品交易的另一方,他可以根据客户发起的支付指令向金融体系请求获取货币给付。③客户的开户行是指客户在其中拥有账户的银行。④商家开户行是商家在其中开设账户的银行,其账户是整个支付过程中资金流向的地方。⑤支付网关是公用网和金融专用网之间的接口,连接银行网络与Internet的一组服务器。支付网关其主要作用是完成两者之间的通信、协议转换和进行数据加、解密,以保护银行内部网络的安全。⑥金融专用网络则是银行内部及银行间进行通信的网络,具有较高的安全性。⑦认证机构则负责为参与商务活动的各方(包括客户、商家与支付网关)发放数字证书,以确认各方的身份,保证电子商务支付的安全性。   除以上参与各方外,电子商务支付系统的构成还包括支付中使用的支付工具以及遵循的支付协议,是参与各方与支付工具、支付协议的结合。

  在网上交易中,消费者发出的支付指令,在由商户送到支付网关之前,是在公用网上传送的。考虑公用网上支付信息的流动规则及其安全保护,就是支付协议的责任。   3电子商务网上支付系统的安全需求   当电子商务作为一种新型的贸易方式兴起时。支付与结算也必须适应网络环境的特点,但目前存在的这些支付手段都是支付结算长期发展的选择,在一定的范围内都有其生命力,因此,在研究网上支付的时候,不能放弃目前的支付手段而只顾创新,应看到传统支付手段的生命力存在,应研究它们在网络新环境下的新发展,并在此基础上进行支付手段的创新设计。商品社会是一个信用的社会,一定的信用关系与信用制度是支付体系得以建立与完善的基础,同时,支付体系的完善要涉及到以下因素:   3.1 支付承诺在信用关系良好的国家,有时凭一纸签名或口头承诺就可实现支付,从而降低了支付成本。要完善支付系统,必须逐步改善人们之间的信用关系,提高支付承诺的地位。   3.2 对违法者的惩罚要对不守信用的违法者采取严惩的措施,使其为之付出的代价大于甚至远远大于违法所获得的收益。   3.3 信用积累制度信用积累制度会激励个人努力保持良好的信用记录,从而促进整个信用体系的良性循环。   3.4 身份认证信用体系中一定要有身份认证,还要包括信用记录、背景记录等功能。   4电子商务网上支付系统安全性问题的研究

  4.1 现有解决方案技术的发展进步已为以上方面提供了可能的解决方案。现有电子商务网上支付系统的安全体系结构一般分为三大层次   4.1.1 第一层:基本加密算法目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。对称密钥体制(又称单钥密钥体制),即对信息加解密使用的密码是同一密码。非对称密钥体制(又称公钥密钥体制),即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。   4.1.2 第二层:安全认证手段①数字摘要(Digital Digest)。采用中一向Hash函数,将需要加密的信急原文通过特定的变换,将其“摘要”成一串128位的密文。利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。②数字信封(Data Envelop)。采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。③数字签名(Digital Signature)。只有信息发送者才能产生的别人无法伪造的一段数据串。④数字时间戳(Digital Timestamp)。数字时间戳服务是网上安全服务项目,由专门的机构提供。⑤数字证书和数字凭证(Digital Critical & Digital ID)。用电子手段来证实一个用户的身份和对网络资源的访问和权限。⑥认证中心(CA)。CA认证中心就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。

  4.1.3 第三层:安全认证协议①安全文本传输协议(S-HTTP:Secure HTTP)是对HTTP协议的扩展,保障WEB站点间交易的机密性、可靠性、完整性。它并不依赖于特定的密钥证明系统,目前支持RSA,带内和带外以及Kerberos密钥交换。②安全套接层协议(SSL)是一种利用公开密钥技术的工业标准。它提供一个终端对终端的加密了的通信会话。它嵌套在传送层与应用层之间,由两个协议组成。③安全电子交易协议(SET)一种应用在Internet上、以信用卡为基础的电子付款系统规范,一个用以保护电子交易的隐私和保证交易的真实性的开放标准。它采用公钥密码体制和X.509数字证书标准,目的就是为了保证网络交易的安全。   4.1.4 支付网关支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,主要完成通信、协议转换和数据解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能[1]。   4.2 现有解决方案中存在的问题   4.2.1 安全体系的基础―加密算法存在许多缺陷现有的私钥密钥体制中,IDFA和DES运行速度很快,但密钥管理很困难;而且DES算法(56bits)已被数以万计的网民们用穷举法在20余小时联手破译了。现有的公钥密钥体制中,国际上比较流行的公钥加密算法有RSA算法、EIGamal和椭圆曲线算法等。其中,RSA最有名,但RSA129(模长十进制129位)系统仍然在1994年被美国贝尔电报电话公司首席科学家等人强行破译了。现有的RSA154虽不失为强公钥密钥体制之一,但其安全强度有待加强;其加解密速度太慢,只适于传送私钥密钥体制的密钥。   4.2.2 电子商务认证体系有待进一步健全一方而是设立的数量不够和分布不平衡;另一方而是认证程序的普及不够。目前我国国内虽已建有几十家CA中心,但都或地域或行业各自为政,形成一个电子商务时代的CA割据局而,使得本来就发展较晚的电子商务更加步履艰难。   4.2.3 目前仍没有一个完全成熟的标准交易协议SSL协议虽然能有效地满足传送中数据的保密性并且保护数据不被修改,但它仍然有一定的缺陷:如客户身份验证,即使在SSL3.0中发展了客户身份验证和数据加密方法,设计SSL3.0的应用程序时可能还会出现一些问题 [2]。

  4.3 提出的安全对策针对两种密码体制对密钥管理以及当前的加密算法进行改进,同时与各环节,诸如交易协议、数字签名、数字信封以及数字时间戳等相结合并应用。采用不等长编码对数据加密的方法;把不同的加密方法结合在一起使用等等。并且对先进加密算法AES进行研究与紧密地跟踪。这几年来,除了使用普通加密系统、解密系统以外,还产生了一个新概念:信息伪装,即把机密资料通过秘密的手段隐藏在另一个不是机密文件的内容之内,它的形式能够是任意的一种数字媒体,例如通常的文档、图像、视频以及声音……,它的首要目标就是要有很好的隐藏技术。   以卡为中心的业务运用与卡交换中心的试点工程在银行业分别得到发展和建立。很多商业银行都发展了网络银行以及电话银行业务,同时开展了CA认证的工作。当前,银行业统一的CA认证中心CAFA在我国已建立,商业银行,以中国银行为例,还建立了自身的CA认证中心,并对当中的一些安全问题采取了有关的信息安全措施。按照当前我国支付系统,试图对SET的交易流程进行改进时,可从从支付网关子系统、商户交易安全平台子系统和客户管理子系统二方进行考虑。以Web为基础的应用程序的客户交易代理(Agent)以及商户交易安全平台,让用户能够安全地使用浏览器连接被保护的站点,其含有用户的客户交易代理以及商户交易安全平台。Agent与商户交易安全平台通过协商形成安全会话,对Web服务器同浏览器间的传输数据进行保护,Agent的职责为管理Browser端密钥和同服务器端连接的安全性;而商户交易安全平台的责任是确保服务器端的安全性和管理服务器端密钥。Agent对收到浏览器发送的数据进行加密与签名,激昂而把保护的数据传到商户交易安全平台,而商户交易安全平台再把这些数据送到Web Server之前解密与验证。

  在高安全性的加密设备被广泛地应用在应用系统和网络通讯等方面,诸如支付密码、防火墙设备以及身份认证技术……,诸如支付密码器等各类型的加密设备都在银行取得了普遍的利用。通过数字签名技术、一维条码技术,利用特用于防伪造的电子票据达到跨币种、跨地域以及跨银行网上安全支付平台的全而兼容性。应用此些安全保密技术以及设备将在最大程度上增强支付系统的安全性,进而确保了资金的安全。   总之,要建立安全的电子商务网上支付系统,除了前面所论述的支付系统自身的安全体系外,还要考虑操作系统、数据库系统、内外部网和软硬件管理等各方面的安全性,即全方位实施物流、信息流和资金流等环节的安全措施[3]。   5电子商务网上支付系统的模式   20世纪90年代以来,电子商务活动蓬勃发展,各种形式的网上支付成为在Internet上开展电子商务活动与商品交换的中间手段和重要工具。许多国家在推广使用基于传统金融网的电子支付的同时,开始建设网络货币支付系统。按照所依赖的支付工具的不同,即根据不同的网络货币类型,可以把这些网上支付系统划分成3种基本类型:基于信用卡的网上支付系统、电子现金支付系统和电子支票支付系统。   5.1 基于信用卡的网上支付系统信用卡支付是美国等发达国家人们进行日常消费的一种常用支付工具,信用卡支付系统与其它形式的支付相比其优点是:信用卡使用简单方便,而且被全世界所广泛发行和接受,占有很大的市场份额。如今在Internet上,信用卡支付同样是最普通和首选的支付方式。先后在网上出现的信用卡支付系统包括无安全措施的信用卡支付、通过第三方代理人的信用卡支付、简单加密信用卡支付和基于SET的信用卡支付等几种信用卡网上支付模式。由于无安全措施的信用卡支付方式对信用卡信息未做加密处理,对消费者来说,其信用卡信息的安全根本得不到保证;对商家来说消费者的身份也得不到验证,因而这种无完全保障的支付方式早已被淘汰。

  5.2 电子现金网上支付系统按其载体来划分,目前电子现金主要包括两类:一类是币值存储在IC卡上的电子钱包卡形式;另一类则是以数据文件的形式存储在计算机的硬盘上。由此,电子现金网上支付系统包括电子钱包卡模式与纯数字现金模式两种。   5.3 电子支票网上支付系统目前,电子支票主要还是通过专用网络系统进行传输的,公共网络上使用电子支票支付行为还较少。为了保证电子支票的安全传输和方便使用,国际金融机构为此建立了专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议。通过专用网络进行电子支票交换的方式已经较为完善,现在发展电子支票的主要问题是如何将电子支票结算系统宽展到Internet上。   在线的电子支票可在收到支票时即验证出票者的签名、资金状况,避免了传统支票常发生的无效或空头支票的现象。另外,电子支票遗失可办理挂失止付。因此电子支票既可满足B2B交易方式的支付需要,同时也可用于B2C交易方式的结算,而且成本低,支付速度快,安全性高,不易伪造。   网上电子支票主要通过互联网和金融专线网络,用发送E-mail的方式传输,并用数字签名加密,进行自己的划拨和结算,它是网络银行常用的一种电子支付工具。通常情况下,电子支付的收发双方都需要在银行开设...

img

在线咨询

建站在线咨询

img

微信咨询

扫一扫添加
动力姐姐微信

img
img

TOP