【摘要】：隨著電子商務(wù)的快速發(fā)展，電子支付系統(tǒng)一直是國內(nèi)電子商務(wù)體系中的薄弱環(huán)節(jié)，越來越成為制約電子商務(wù)發(fā)展的一個關(guān)鍵因素。本文著重探討了如何構(gòu)建一個安全的電子支付系統(tǒng)，以解決電子商務(wù)中實時在線的網(wǎng)絡(luò)安全支付問題。

【關(guān)鍵詞】：電子商務(wù)；電子支付；網(wǎng)絡(luò)安全

1.電子支付的安全要素

1.1信息傳輸?shù)陌踩?/p>

機(jī)密性（Confidentiality）又叫保密性，是指信息在傳送或存儲的過程中不被他人竊取、不被泄露或披露未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。機(jī)密性一般通過密碼技術(shù)對保密的信息進(jìn)行加密處理來實現(xiàn)。

1.2信息的完整性

完整性（（Integrity）又叫真實性，是保護(hù)數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。完整性一般可通過提取信息消息摘要的方式來獲得。

1.3信息的不可抵賴性

不可抵賴性（Non- repudiation）又叫不可否認(rèn)性，是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息，這是一種法律有效性要求。不可抵賴性可通過對發(fā)送信息進(jìn)行數(shù)字簽名來獲得。

1.4交易各方身份的認(rèn)證性

認(rèn)證性（Authentication）是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對方的身份。在電子商務(wù)中，認(rèn)證性一般都通過證書機(jī)構(gòu)CA和證書來實現(xiàn)。

2.電子支付的安全隱患

電子支付的安全隱患各種各樣，這里把它們劃歸為兩個大類：一類是技術(shù)層面；另一類屬于非技術(shù)層面。

2.1技術(shù)層面的安全隱患

從技術(shù)上看，對網(wǎng)絡(luò)的攻擊包括對靜態(tài)數(shù)據(jù)的攻擊和對動態(tài)數(shù)據(jù)的攻擊。對靜態(tài)數(shù)據(jù)的攻擊主要有：

（1）口令猜測。通過搜索口令空間，逐一測試，得到口令，進(jìn)而非法入侵系統(tǒng)。

（2）IP地址欺騙。攻擊者從一個外部地點(diǎn)偽裝成源自一臺內(nèi)部主機(jī)傳送信息包，這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址，冒名他人，竊取信息。

（3）指定路由。發(fā)送方指定一個信息包到達(dá)目的地的地點(diǎn)的路由，而這條路由是經(jīng)過精心設(shè)計的，繞過設(shè)有安全控制的路由。

對根據(jù)對動態(tài)信息的攻擊形式不同，可以將攻擊分為主動攻擊和被動攻擊兩種。被動攻擊主要是指攻擊者監(jiān)聽網(wǎng)絡(luò)上傳遞的信息流，從而獲取信息的內(nèi)容。主動攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復(fù)制、插入數(shù)據(jù)流或數(shù)據(jù)流的一部分以達(dá)到其非法目的。

2.2非技術(shù)層面的安全隱患

非技術(shù)層面的安全隱患主要包括管理方面的風(fēng)險和法律方面的風(fēng)險。由于非技術(shù)層面的問題不是本文研究的重點(diǎn)，所以在此不再贅述。

3.電子支付系統(tǒng)的流程設(shè)計

支付系統(tǒng)是電子商務(wù)的重要組成部分，通常解決電子支付方案主要有2種模式：SSL模式和SET模式。通過對SSL（ Security Socket Layer）協(xié)議和SET（ Secure Electronic Transactions）協(xié)議的研究，分別對基于SSL和SET的安全支付系統(tǒng)作了設(shè)計。

3.1基于SSL的支付系統(tǒng)的設(shè)計

基于SSL的電子支付系統(tǒng)，通過使用對稱密碼技術(shù)和公開密碼技術(shù)，保證信息的真實性、完整性和保密性。SSL客戶機(jī)和服務(wù)器之間通過協(xié)商，建立起一個安全通道，在安全通道中傳輸?shù)乃行畔⒍冀?jīng)過了密鑰加密處理，以確保信息的機(jī)密性。SSL利用密碼算法和Hash函數(shù)，通過對傳輸信息特征值的提取來保證服務(wù)器和客戶機(jī)之間的信息的完整性。利用證書技術(shù)和可信的第三方CA，讓客戶機(jī)和服務(wù)器相互識別對方的身份。

3.2基于SET的支付系統(tǒng)的設(shè)計

基于SET的電子支付系統(tǒng)利用SET給出的整套安全電子交易的規(guī)范，可以實現(xiàn)電子商務(wù)交易中的機(jī)密性、認(rèn)證性、數(shù)據(jù)完整性和交易的不可抵賴性等安全功能。它通過下面的技術(shù)確保電子支付的安全性，使用數(shù)字證書驗證交易各方身份的真實性和合法性；使用數(shù)字簽名技術(shù)確保數(shù)據(jù)的完整性和不可抵賴性；使用雙重簽名技術(shù)對SET交易過程中消費(fèi)者的支付信息和定單信息分別簽名，使得商家看不到支付信息，只能對用戶的訂單信息解密，而金融機(jī)構(gòu)只能對支付和賬戶信息解密，充分保證消費(fèi)者的賬戶和定貨信息的安全性。

4.電子支付的安全設(shè)計

4.1數(shù)據(jù)的完整性安全設(shè)計

在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。它的保護(hù)措施是采用在客戶向商家訂購或支付過程中，商家從客戶的金融機(jī)構(gòu)請求支付，其安全需求包括商家與銀行之間的雙向身份認(rèn)證。保證除商家外的任何第三方均不能了解賬單的內(nèi)容，除商業(yè)銀行外的任何第三方均不能了解支付信息的內(nèi)容，同時對支付信息進(jìn)行數(shù)字簽名以及支付信息應(yīng)包括解決爭議的足夠信息。商業(yè)銀行還需要對確認(rèn)單進(jìn)行數(shù)字簽名，提供防篡改和不可否認(rèn)保護(hù)。確認(rèn)信息中包括發(fā)票號、交易號、轉(zhuǎn)賬金額和轉(zhuǎn)賬結(jié)果等。

4.2身份認(rèn)證安全設(shè)計

在電子商務(wù)的具體實現(xiàn)中，首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如Internet中的計算機(jī)系統(tǒng)的身份是其由IP地址確認(rèn)的。黑客通過IP欺騙，使用虛假的IP地址，從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務(wù)系統(tǒng)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制以確保參加交易各方的身份真實有效，其安全措施是采用CCITTX. 509國際標(biāo)準(zhǔn)所規(guī)定的數(shù)字證書。

4.3不可否認(rèn)安全設(shè)計

不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄，確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收，防止接收用戶更改原始記錄，或在己經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù)，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認(rèn)交易過程的合法性。

5.結(jié)語

隨著經(jīng)濟(jì)的飛速發(fā)展以及計算機(jī)技術(shù)的不斷進(jìn)步，基于Internet的電子商務(wù)發(fā)展迅速，這不僅給經(jīng)濟(jì)的發(fā)展提供了持續(xù)的動力，也給人們的生活帶來了便利。但電子商務(wù)安全支付系統(tǒng)作為電子商務(wù)系統(tǒng)重要組成部分，其安全問題也變得越來越突出、安全方便的電子支付系統(tǒng)是電子商務(wù)發(fā)展急需研究和解決的問題。

參考文獻(xiàn)：

[1]曾鑫媛. 基于SET協(xié)議的電子支付平臺的分析與設(shè)計[D].北京郵電大學(xué)，2012.

[2]劉鶴青. 一種安全電子支付終端的研究與設(shè)計[D].電子科技大學(xué)，2009.

[3]王延平. 公平電子支付協(xié)議的研究與設(shè)計[D].西安電子科技大學(xué)，2007.

[4]周雪松. 無線電子支付平臺的設(shè)計[D].華東師范大學(xué)，2006.

[5]崔巍. 安全電子支付系統(tǒng)的研究與設(shè)計[D].昆明理工大學(xué)，2004.