[摘要] 總結(jié)常用的安全電子商務(wù)技術(shù)，重點(diǎn)討論各種網(wǎng)絡(luò)支付方式的流程及支付交易安全準(zhǔn)則。

[關(guān)鍵詞] 電子商務(wù) 網(wǎng)絡(luò)支付 支付交易安全

隨著Internet的迅速發(fā)展和廣泛應(yīng)用，人們開始習(xí)慣于利用開放快捷的網(wǎng)絡(luò)進(jìn)行各種采購和交易，從而導(dǎo)致了電子商務(wù)的出現(xiàn)，并使其成為業(yè)界新熱點(diǎn)。電子商務(wù)的顯著特點(diǎn)就是增加貿(mào)易機(jī)會，降低貿(mào)易成本，簡化貿(mào)易流程，提高貿(mào)易效率。在交易過程中，消費(fèi)者、商家、企業(yè)、中間結(jié)構(gòu)和銀行等需要通過Internet網(wǎng)絡(luò)進(jìn)行資金的流轉(zhuǎn)，這就需要通過網(wǎng)絡(luò)支付或電子支付的手段來實(shí)現(xiàn).因此，電子商務(wù)活動必然牽涉到支付，安全有效的支付是電子商務(wù)的重要環(huán)節(jié).從技術(shù)上講，電子商務(wù)最關(guān)鍵的問題是如何安全地實(shí)現(xiàn)支付功能，并保證交易各方的安全保密。因此，支付安全是整個(gè)電子商務(wù)安全的瓶頸。

一、電子商務(wù)對網(wǎng)上支付安全性的要求

網(wǎng)上支付涉及到大量資金流的轉(zhuǎn)移以及個(gè)人隱私或商業(yè)機(jī)密，而這種支付是發(fā)生在開放性程度非常高的互聯(lián)網(wǎng)，未經(jīng)保護(hù)的支付數(shù)據(jù)極易被競爭對手獲取，造成嚴(yán)重?fù)p失。一個(gè)安全的支付系統(tǒng)至少應(yīng)具備以下基本功能：

1.數(shù)據(jù)保密：交易過程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴(yán)格保密，除交易雙方以及被授權(quán)第三方外，均無法（或很難）看懂交易數(shù)據(jù)，保護(hù)交易的私密性。

2.數(shù)據(jù)完整：支付數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中的完整性和有效性，即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的、未經(jīng)更改的。數(shù)據(jù)輸入時(shí)的意外差錯或欺詐行為，數(shù)據(jù)傳輸中信息的丟失、重復(fù)、錯序、被篡改，都可能導(dǎo)致貿(mào)易各方信息的差異。因此，網(wǎng)上交易的信息要能做到確保其完整性，即要求接收者收到的數(shù)據(jù)與原始數(shù)據(jù)相同。

3.身份認(rèn)證：網(wǎng)上支付是在交易雙方不見面的情況下進(jìn)行的，因而保證對方確實(shí)是即將要進(jìn)行的交易的另一方是非常重要的，它將關(guān)系到電子商務(wù)交易的成敗。

4.訪問控制：在身份認(rèn)證完成后，支付系統(tǒng)便可確定此用戶有何種權(quán)限，這種權(quán)限能訪問到哪些受保護(hù)的數(shù)據(jù)。

5.審計(jì)能力：網(wǎng)上支付數(shù)據(jù)是非常重要和敏感的，詳細(xì)記錄用戶和系統(tǒng)的行為對事后審計(jì)的意義無疑是巨大的。

二、網(wǎng)上安全支付技術(shù)

1.數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密是保證網(wǎng)絡(luò)通信機(jī)密性的常用手段，其基本原理是用基于數(shù)學(xué)算法的程序和保密的密匙對信息進(jìn)行編碼，生成難以理解的字符串，即把明文變成密文的過程，反之，把密文轉(zhuǎn)變成明文的過程稱之為解密?？蛻粼诰W(wǎng)上支付時(shí)，支付數(shù)據(jù)首先被加密，加密后的數(shù)據(jù)經(jīng)過互聯(lián)網(wǎng)傳輸?shù)浇灰椎牧硪环?，接受支付方用事先約定好的密匙對加密數(shù)據(jù)進(jìn)行解密，就可以實(shí)現(xiàn)支付雙方機(jī)密的信息通信。數(shù)據(jù)加密不同于信息的隱藏，它的目的并不是不讓人看見文字，數(shù)據(jù)加密只是將信息轉(zhuǎn)化為可見的但看不出意義的字符串。

根據(jù)數(shù)據(jù)加密和解密使用同樣的密碼與否，有兩類加密體制，即對稱加密體制（私有密鑰加密體制）和非對稱加密體制（公開密鑰加密體制）。

2.PKI技術(shù)。網(wǎng)上支付首先是要確定網(wǎng)上參與交易的各方（ 如持卡消費(fèi)戶、商戶、收單銀行的支付網(wǎng)關(guān)等）的身份，目前廣泛采用的PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）體系結(jié)構(gòu)采用證書管理公鑰，通過第三方可信機(jī)構(gòu)CA(Certificate Authority)管理公鑰，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在數(shù)字證書中，相應(yīng)的數(shù)字證書（Digital Certificate）就是代表用戶的身份的。通過檢查數(shù)字證書就可方便的確認(rèn)對方的身份。另外，PKI體系結(jié)構(gòu)把對稱加密體制和非對稱加密體制結(jié)合起來，實(shí)現(xiàn)了密鑰的自動管理。

3.數(shù)字證書與CA。數(shù)字證書是實(shí)現(xiàn)網(wǎng)上支付認(rèn)證的基本技術(shù)，可以用來驗(yàn)證用戶或網(wǎng)站的身份。利用數(shù)字證書提供的功能，可以方便的實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)字簽名、數(shù)字信封，結(jié)合數(shù)字摘要技術(shù)則可以實(shí)現(xiàn)網(wǎng)上支付數(shù)據(jù)完整性和不可否認(rèn)性。

數(shù)字證書是由權(quán)威的、公正的認(rèn)證機(jī)構(gòu)管理的，稱為證書權(quán)威機(jī)構(gòu)（CA）。各級認(rèn)證機(jī)構(gòu)按照根認(rèn)證中心（Root CA）、品牌認(rèn)證中心（Brand CA）以及持卡人、商戶或收單銀行（Acquirer）的支付網(wǎng)關(guān)認(rèn)證中心（Hold Card CA，Merchant CA或Payment Gateway CA）由上而下按層次結(jié)構(gòu)建立的。

4.SSL和SET。SSL即安全套接層協(xié)議（Secure Socket Layer Protocol），由Netscape公司提出，它支持兩臺計(jì)算機(jī)間的安全連接。SSL 協(xié)議工作TCP/IP的傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成。SSL利用數(shù)字證書和加密技術(shù)透明地自動完成發(fā)出信息的加密和收到信息的解密工作。

SET即安全電子交易協(xié)議（Secure Electric Transcations），是由Visa國際組織和萬事達(dá)組織共同制定的一個(gè)能保證通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。SET在保留對客戶的信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，這對于需要支付貨幣的交易來說是非常重要的，由于設(shè)計(jì)上很合理，得到了廣泛的應(yīng)用。

SET在很多方面優(yōu)于SSL協(xié)議，但SET過于復(fù)雜和繁瑣，大量交易同時(shí)進(jìn)行時(shí)交易速度受到影響。

三、網(wǎng)上安全支付方法

1.智能卡支付。嚴(yán)格來說使用智能卡支付網(wǎng)上交易貨款并不是真正意義上的網(wǎng)上支付，支付過程實(shí)際上發(fā)生在網(wǎng)上商戶和銀行之間，交易安全性基本由商家的信用決定，對買家來說存在被欺詐的風(fēng)險(xiǎn)。但這卻是經(jīng)常使用的網(wǎng)上交易的資金支付方法。

其基本流程為：

（1）在實(shí)際商品、相關(guān)服務(wù)與資金流動發(fā)生之前，由客戶通過安全方式將智能卡信息傳送給商家；

（2）商家驗(yàn)證客戶身份為智能卡賬戶所有者；

（3）商家把智能卡收費(fèi)信息和數(shù)字簽名發(fā)送給其銀行或在線智能卡處理器；

（4）銀行或處理方把信息送給客戶銀行進(jìn)行授權(quán)；

（5）客戶銀行為商戶返回智能卡數(shù)據(jù)、收費(fèi)確認(rèn)和授權(quán)；

（6）網(wǎng)上智能卡支付完成。

2.電子支票支付。電子支支票和傳統(tǒng)的支票形式幾乎有著同樣的功能和內(nèi)容；不同于傳的支票人為簽名，電子支票需要經(jīng)過數(shù)字簽名，被支付人數(shù)字簽名背面，使用數(shù)字憑證確認(rèn)支付者，被支付者身份支付銀行和賬戶。金融機(jī)構(gòu)使用已簽名和認(rèn)證的電子支票進(jìn)行賬戶存儲。

其基本流程為：

（1）購買電子支票：買方首先必須在提供電子支票服務(wù)的銀行注冊、開具電子支票，注冊時(shí)可能需要需要輸入信用卡和銀行賬戶信息，以支持開設(shè)支票、電子支票應(yīng)具有銀行的數(shù)字簽名。

（2）電子支票付款：買方用自己的私鑰在電子支票上進(jìn)行數(shù)字簽名，用賣方的公鑰加密電子支票。只在賣方可以收到已使用賣方公鑰加密了電子支票，用買方的公鑰確認(rèn)買方的數(shù)字簽名后，向銀行進(jìn)一步認(rèn)證電子支票后即可發(fā)貨給買方。

（3）清算：付款人銀行和收款人銀行通過類似自動清算網(wǎng)絡(luò)進(jìn)行清算，并對清算結(jié)果向付款的和收款人進(jìn)行反饋。

（4）銀行進(jìn)一步確認(rèn)電子支票；賣方發(fā)貨給買方。

3.電子現(xiàn)金支付。電子現(xiàn)金也叫數(shù)字現(xiàn)金，是數(shù)字化的現(xiàn)金，擁有現(xiàn)金的大部分優(yōu)點(diǎn)卻沒有現(xiàn)金的缺點(diǎn)，電子現(xiàn)金特別適用于實(shí)現(xiàn)低成本的在線小額支付。

目前，數(shù)據(jù)安全保護(hù)等技術(shù)已經(jīng)基本可以保障數(shù)據(jù)本身的安全性，像數(shù)據(jù)被篡改這類惡性事件發(fā)生的概率很低，基本可以保證網(wǎng)上資金支付的成功。但是網(wǎng)上支付技術(shù)不是萬能的，這些技術(shù)只能保證資金劃撥成功，卻無法保證交易的最終成功。網(wǎng)上欺詐事件還是時(shí)見報(bào)道。因此，用戶在進(jìn)行網(wǎng)上交易時(shí)應(yīng)盡量選擇安全的支付方式，比如安付通或支付寶這樣的有第三方參與交易的支付方式。

4.微支付系統(tǒng)。在滿足安全性的前提下，有晝少的信息輿、較低的管理和存儲需求，即速度和效率要求比較高，這種支付形式稱為微支付或小額支付，目前國內(nèi)應(yīng)用最廣泛的網(wǎng)上短消息服務(wù)屬于典型的微支付方式。

5.移動支付。移動支付也稱手機(jī)支付，就是允許移動用戶使用其移動終端（通常是手機(jī)）對所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式。它首先在發(fā)達(dá)國家被應(yīng)用，隨后在全球推廣。移動支付的一個(gè)重要方向，是使手機(jī)成為真正的“電子錢包”，比如在交通運(yùn)輸、超市購物、餐館消費(fèi)等領(lǐng)域?qū)崿F(xiàn)“手機(jī)支付”。

四、支付交易安全

所有電子支付系統(tǒng)和所有支付手段的包括以下幾個(gè)方面：

1.用戶匿名性:在網(wǎng)絡(luò)中交易中保護(hù)用戶的身份不泄密。

2.地址不可跟蹤性：防止支付交易進(jìn)行的地點(diǎn)泄密。

3.買方匿名性：保護(hù)支付交易中買方的身份不泄密。

4.支付交易不可跟蹤性：防止同一客戶的不同支付交易鏈接起來。

5.支付交易數(shù)據(jù)的機(jī)密性：有選擇地保護(hù)支付交易數(shù)據(jù)的特定部分，免于泄密給未授權(quán)的參與方中的指定參與方。

6.支付交易消息的新鮮性：防止支付交易消息的重放。

目前，數(shù)據(jù)安全保護(hù)等技術(shù)已經(jīng)基本可以保障數(shù)據(jù)本身的安全性，像數(shù)據(jù)被篡改這類惡性事件發(fā)生的概率很低，基本可以保證網(wǎng)上資金支付的成功。但是網(wǎng)上支付技術(shù)不是萬能的，這些技術(shù)只能保證資金劃撥成功，卻無法保證交易的最終成功。網(wǎng)上欺詐事件還是時(shí)見報(bào)道。因此，用戶在進(jìn)行網(wǎng)上交易時(shí)應(yīng)盡量選擇安全的支付方式。

參考文獻(xiàn)：

[1]臧良運(yùn)紀(jì)香清:電子商務(wù)支付與安全[M].北京:電子工業(yè)出版社，2006.1

[2]柯新生:網(wǎng)絡(luò)支付與結(jié)算[M].北京:電子工業(yè)出版社，2004.3

[3]宋文官:電子商務(wù)概論[M].北京:高等教育出版社，2004.12

[4]祝凌曦:電子商務(wù)安全[M].北京:清華大學(xué)出版社，2006.11