在线支付 文档.doc

在线支付安全性分析 网上支付的安全除了上述两种安全问题外，还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性，包括以下几个方面： 　　(1)身份真实性。也称商务对象的认证性，传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性，但网上交易的双方相隔甚远，互不了解，支付方不知道商家到底是谁，商家不能清晰确定银行卡等网络支付工具是否真实，以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机，所以需要为参与交易的各方提供可靠标识，使他们能正确识别对方并能互相证明身份。 　　(2)信息的完整性。网上交易简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为，可能会导致交易各方信息的差异。另外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题，那么势必给交易双方添加不少麻烦。 　　(3)不可否认性，也称不可抵赖性。在传统的商务交易中，双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生，但在网上则是不可能的。因此就有可能出现这样的情况，当交易一方发现交易行为对自己不利时，可能会否认电子交易行为，这必然会损害另一方的利益。 (4)数据必威体育官网网址性。有关交易的各种信息，如付款人和收款人的标识、交易的内容和数量等，这些信息只能让交易的参与者知道，有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据必威体育官网网址性的问题了。 技术方面的对策 　　(1)数据加密。 　　数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足信息完整性的要求，它是通过一定的加密算法，利用密钥(Secret keys)来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。 　　(2)数字签名。 　　数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个散列值(或报文摘要)，发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。 　　(3)安全协议。 　　在国际上，比较有代表性的电子支付安全协议有SSL和SET。 　　SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说，SSL就是客户和商家在通信之前，在Internet上建立了一个“秘密传输信息的信道”，来保障传输信息的机密性、完整性和认证性。该协议向基于TCP／IP的客户／服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息必威体育官网网址的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的认证问题也就越来越突出，SSL的缺点就会逐渐暴露出来，SSL协议也就逐渐被新的SET协议所代替。 　　SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。由于设计较为合理，得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持，已成为实际上的工业技术标准。 ( 1) , 假冒合法用户名义改变商务信息内容, 致使电子商务活动中断, 造成商家名誉和用户利益等方面的受损; 恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息; 信息间谍通过技术手段窃取商业秘密; 黑客入侵并攻击服务器, 产生大量虚假订单挤占系统资源, 令其无法响应正常的业务操作。 ( 2) 买方面临的信息安全威胁。如用户身份证明信息被拦截窃用, 以致被要求付帐或返还商品; 域名信息被监听和扩散, 被迫接收许多无用信息甚至个人隐私被泄露; 发送的商务