网络支付的安全需求及相应的解决对策

网络支付的安全需求及相应的解决对策

摘要：电子商务和网络支付在创新的基础上飞速发展, 但由于发展时间短、缺少政府部门监管, 整个行业处于无序发展的阶段。网络支付安全已经成为电子商务应用的关健环节, 为此, 回顾了网络支付的发展历史和现状, 讨论了目前市场上几种主流网络支付方式的运营模式及盈利方式。针对网络支付可能发生的风险进行了分析, 并为促进整个电子商务网络支付的健康、快速发展提出新的监管建议。本文指出了目前常见的电子商务支付安全问题, 网络支付的安全需求, 并分析了应对电子商务网络支付安全问题的主要技术及应用。

关键词：电子商务 网络支付 安全需求 问题 解决方案

一、 网络支付的概述

网络支付，也称网络支付与结算，它指以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，采用现代计算机技术和通信技术作为手段，通过计算机网络系统特别是Internet ，以电子信息传递形式来实现资金的流通和支付。

我们也可以将它理解为电子支付的高级方式。它是电子支付的一个最新发展阶段，以电子商务为商业基础，以商业银行为主体，使用安全的主要基于Internet 平台的运作平台，通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。从这里可以看出，基于Internet 的即时网络支付是电子商务业务流程的一个关键环节，高水平电子商务发展的需求直接导致网络支付结算的兴起。

二、 网络支付的产生

网上支付的产生离不开电子商务，可以说它们是一对孪生兄弟，对网上支付的产生的分析首先应该从电子商务发展谈起，他离不开电子商务发展中所呈现的规律和特点。网上支付就是在网络环境下利用高新的IT 技术将以电子为载体的数字化信息和支付指令通过传递、接收和处理，实现资金价值转移的一种过程。

1. 电子商务的特点和网上支付的产生

1.1 商业市场全球化特点

随着交易区域和国界的跨越，在网上开辟和存在一个巨大的全球性商业市场；这种网上虚拟市场的出现将使企业的发展和生存空间变得越来越大，而市场的地域界限则变得越来越模糊和狭小。这种跨地区和跨国界交易的市场地域界限的扩大，就要求现实社会所提供的支付适应这种市场发展的需求，于是就要有一种网上支付的新方式，这就是以电子为载体的支付方式。

市场地域界限范围的扩展与传统支付方式不适应的冲突，是网上电子支付产生的动因。

1.2 交易方便、快捷的特点

电子商务可使交易者以最快的速度实现其购买欲望，使顾客足不出户能购天下物，使百姓人不出门能办天下事的梦想成真。这种消费对支付工具多样化愿望选择的不断增强与现实中能实现的各种支付方式间的差距，是网上支付产生的第二个动因。

1.3 能满足消费者个性化需求的特点

由于网上信息获取的畅通，全球信息资源的共享成为现实可能。交易商品对每个交易这是公平的，是消费者对商品信息的了解不再处在信息不对称的的状态下，使得消费者个性化个性化需求的欲望增强。因此电子商务具有了适应消费者个性化需求的的明显交易特点。，也使得消费者网上对多样化支付方式的选择有不断增强的需求，是网上电子支付多样化产生和出现的根本原因。

1.4 低成本渗透的特点

电子商务模式代替根深蒂固的实物交易，大大缩短了供、产、销的时间路径、空间路径、人际路径和市场路径，从而极大地降低了采购陈本、生产成本和销售成本。减少纸质载体的支付工具的使用，推行非现金支付工具，特别是电子支付工具。是提供支付服务的金融和非金融机构有发展电子支付需求的经济动因。

1.5 高效率和多选择性特点

电子商务变有形交易为无形交易，变交易场所商店的现场交易为网上交易场所的虚拟交易，变有纸交易为无纸交易，无疑给人们的工作方式、生活方式、思维方式带来巨大变革。这种电子商务高效率多样化发展的特点要求网上支付的实时和高效的相应配套是网上支付产生的市场因素。

2. IT 技术催生了网上支付的产生

网上支付的产生离不开信息安全技术的发展，网上信息安全技术的发展催生了网上支付的出现和发展。安全技术是网上支付产生和出现的基础，技术与经济的关系在网上支付问题的研究应用中表现得尤为突出

三、 网络支付的发展现状

随着信息技术的不断更新换代, 网络支付的发展大概经历了3个不同的阶段: 支付网关模式、第三方担保模式和多元网络模式。每个阶段都会出现一类创新, 并在此类创新的带动下, 逐渐发展成为市场和消费者认可的新的网络支付模式。而与信息技术的更新换代不同, 在新模式建立的同时, 原有模式并未被淘汰或退出网络支付市场, 而是与新模式共同存在,

并互为平台、相互促进。

第一阶段 支付网关模式。这是最早期的网络支付模式。我国各商业银行网上银行的发展类似早期银行卡收单, 不同商业银行的网上银行不能互为平台, 实现资源共享, 因此也造成了一定程度的资源浪费并很难向客户提供更便捷的服务和多样化的选择, 而中国银联对网络支付的反应也远没有其他企业敏感。因此, 网络支付企业开始成为各商家和多家商业银行之间的纽带, 开始向各电子商务企业和个人同时提供多家商业银行的支付服务。这种方式有效地提升了电子支付连接的效率, 并大大降低了各电子商务企业独立搭建支付体系的成本, 并使个人享受网络支付服务成为可能。尽管互联网大大提升了效率, 但却也暴露了由非实名制带来的虚拟性问题。真实的交易如果加上虚拟的交易无疑会增加交易双方的风险性, 而中国缺少信用体系的现实也成为交易双方最大的顾虑。当技术不再成为网络支付的瓶颈后, 交易诚信问题开始变成阻碍网络支付的最大绊脚石。于是, 独立于交易双方的第三方担保方式顺理成章地登上网络支付的舞台。

第二阶段 第三方担保模式。交易双方所涉及的交易款项, 在交易双方接受的、相对较短的时间周期内的交易由独立第三方保管。这种模式将互联网的虚拟性所带来的伤害降到最低, 有效地解决了在非实名制环境下网络交易的安全问题。第三方担保模式不仅能有效地促成交易, 同时在发展和推广的过程中培养了广泛的用户群, 并引导和设立了网络支付最早期的交易信用标准。该模式由支付宝于2004年首创, 之后支付宝凭借着这种创新优势, 迅速发展成网络支付的绝对领先者。表面看来, 交易双方的诚信问题得已保障。然而这一交易环节的创新在解决原有问题的同时又带来更多新的问题, 交易金额的流转方式甚至有违规之嫌。在第三方担保模式中的第三方既不是政府, 也不是银行, 而是个性质极普通的法人机构。交易双方由独立第三方“ 监管”, 但独立第三方的公正性如何保证和由谁监管, 这也是政府的监管机构当前所要考虑的新问题。不过在人行2号令中, 对这些问题都已作了解答。近几年随着信息技术的多样化, 网络支付开始向多元网络的方向发展。

第三阶段 多元网络模式。手机、笔记本等移动互联网终端的快速发展, 使网络的概念日益多元化, 用户可以使用支付账户或电子钱包作为有效且常用的支付工具。目前支付宝手机客户端的累计下载量已接近千万, 手机支付每天的交易已经超过10万笔。不难看出, 随着每次信息技术的更新换代, 都必将迎来网络支付模式的革新。尽管现阶段前两种网络支付模式仍在网络支付市场中占绝对的主导地位, 但未来多元网络模式将是网络支付市场发展的强劲推动力。正是上述种种创新, 才推动了今天网络支付行业乃至电子商务行业的飞速发展。根据中国电子商务研究中心提供的数据, 2007年我国网络支付的总额为900亿元人民币,

2008年飞速上升至2 800亿元人民币, 2009年再次跃升至5 850亿元人民币。网络支付已经成为社会生活中不可分割的一部分网络支付的发展过程中出现的问题。

四、 常见的电子商务支付的安全问题

3.1 身份的安全问题

身份的真实性是网络支付安全的核心。身份的安全问题中最多的是身份欺诈。支付过程需要验证支付双方或多方的身份信息，攻击者可能假冒支付某方的身份，从而破坏被假冒一方的信誉或盗取被假冒一方的财产等。例如，利用支付宝等第三方支付的用户，一旦注册邮箱被盗用，支付宝账户中的信誉、支付记录和资金等都被可能被盗取。

3.2 指令终端的安全问题

由于网络支付采用的指令终端是通用终端，所以更加容易被病毒、木马等攻击。例如，使用通用PC 发送指令到网银的支付，目前盗取各种私有信息的“木马”和病毒在近几年极为猖獗。尤其是网银病毒出现之后，银行客户的资金开始直接受到威胁。目前被发现的网银病毒通常是增强型的击键记录器，它们可以监控客户浏览器登录网上银行时使用的用户名和密码信息，在用户使用证书登录的时候，还可能以捕获该证书并发送给攻击者。网银病毒、键盘木马和网站恶意控件等问题已经严重威胁网络支付。

3.3 传输通道的安全问题

网络支付的传输网络主要是公共网络。由于公共网络的开发性，例如Internet ，支付数据在互联网上的客户端浏览器和服务器端之间传输。网络支付信息被篡改、破解或者伪造，支付信息在网络上传输的过程中被他人非法修改、删除或重用。还有在无线网络传输支付信息的过程中，被窃取或修改等问题。

3.4 指令处理服务的安全问题

指令处理服务过程可解析出支付指令中包含的支付类型、账户信息、支付金额、支付时间等。解析过程中存在信息被窃取或篡改的可能性，指令处理服务流程中的数据存储、转发过程存在漏洞，可能导致支付相关信息的泄露。

3.5 账户安全问题

账号安全不仅要保护账号及密码的安全，而且要重点防范与账户相关的客户资料，如账户的信用、支付记录、账户资金等被盗取等安全风险。另外，对于网络支付平台的数据安全方面，外部入侵和内部人员的不规范操作等，也是账户可能面临的安全问题。

五、 网络支付的安全需求

通过以上对电子商务网络支付安全问题的探讨可以看出, 当前网络支付中存在大量的

安全风险。从我国电子商务发展的具体实践来看, 网络支付的安全需求主要表现在以下几个方面:

4.1. 交易双方身份认证

电子商务活动是在虚拟的网络环境中进行的，在网上进行交易的用户互不相识，要使交易成功，首先要能确认对方的身份是合法的。因此，方便而可靠地确认对方身份是交易的前提，可以用数字证书以及CI 认证的方式实现对交易用户的可认证性。

4.2. 交易信息加密且不被识别

保密性意味着在参与者之间的通信通道具有保密性, 仅允许目标支付方可以看到支付数据。需要对敏感和重要的商业信息进行加密, 即使别人截获或窃取了数据, 也无法识别信息的真实内容, 这样就可以使商业机密信息难以被泄露。

4.3. 信息完整性可验证

完整性是指在电子支付系统中的支付数据, 不能被未经授权的参与者修改或者破坏, 保证一旦支付交易提交, 支付数据不能非法修改, 同时也确定了支付数据的一致。保护网络支付各方能够验证收到的信息是否完整。

4.4. 交易各环节不可否认

在电子商务通信过程的各个环节中都必须是不可否认的, 即交易一旦达成, 发送方和接收方都不能否认他所发出和收到的信息, 从而实现有效防止支付欺诈行为的发生, 保证支付参与方对已做交易无法抵赖。

4.5. 不可伪造性

电子交易文件也要能做到不可修改。

六、 针对网络支付安全问题的解决方案

通过对传统信息安全技术如加密技术、身份认证技术、防火墙技术、虚拟专用网技术、存取访问控制技术、人侵检测技术等的应用研究, 可以看出, 上述安全技术主要针对网络计算机系统的安全所采取的防范、监控手段, 对于电子商务中的客户端一这一最源头、最基的商务安全防范, 则缺乏有效控制管理的技术手段加以约束和防范.

5.1.CA 认证中心

CA （Certificate Authority）认证中心, 是采用PKI （Public Key Infrastructure）公开密钥基础架构技术, 专门提供网络身份认证服务, 负责签发和管理数字证书, 且具有权威的、可信赖的和公正的第三方信任机构, 它通过第三方认证的形式, 专门负责发放并管理所有参与网上交易的实体所需的数字证书。

作为一个权威的第三方机构, 通过对密钥进行有效地管理, 颁发证书证明密钥的有效性, 并将公开密钥同电子商务的参与群体, 如消费者、商户和银行等联系在一起, 利用数字证书、PKI 、对称加密算法、数字签名、数字信封等加密技术, 可以建立起安全程度极高的加解密和身份认证系统, 确保电子交易有效、安全地进行, 从而使信息除发送方和接收方外, 防止电子商务交易中一些重要数据、文件在传输过程中被窃取篡改、网络欺诈、网络攻击等问题的威胁, 保障电子商务的网络支付安全。目前, CA技术已经成为保障电子商务网络支付安全的核心技术。

5.2. PK I体系

公钥基础结构伊KD 是由数字证书、证书颁发机构(以) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。PKI 的基础技术包括加巨密、数字签名、数据完整性机制、数字信封、双重数字签名等。目前作为电子商务必要组成部分的公钥基础结构少助己被广泛应用。

通过PKI 体系, 电子商务的交易双方, 如商家和客户, 可以共同信任签发其数字证书的认证中心(CA), 采用数字证书的应用软件和CA 信任的机制, 从而促成网络支付的安全。例如, 要进行在线交易时, 或者是在线支付, 如果有相同客户端浏览器中根证书列表中包含了它所信任CA 的根证书, 当浏览器需要验证一个数字证书的合法性的时候, 此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书, 如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后, 浏览器承认此站点的具有合法身份并显示此站点的网页。在这种情况, 网络支付就有了安全的保障。如果该认证中心根证书不在信任以根证书列表中, 浏览器会显示警告信息并询问是否要信任这个。当网络支付的用户遇到这种情况, 就可以通过其他手段来查询该网站是否会对支付安全造成, 从而决定是否信任该网站, 避免不必要的损失。

5.3. 生物识别技术的应用趋势

生物识别技术(Biometric Identification Technology) 是利用人体生物特征进行身份认证的一种技术。生物识别技术是目前最为方便与安全的识别技术, 它不需要记住复杂的密码, 也不需随身携带钥匙、智能卡之类的东西。其认定的是人本身, 由于每个人的生物特征具有与其他人不同的唯一性和在一定时期内不变的稳定性, 不易伪造和假冒, 所以利用生物识别技术进行身份认定, 安全、可靠、准确。此外, 生物识别技术产品借助于现代计算机技术实现, 很容易配合电脑和安全、监控、管理系统整合, 实现自动化管理。目前已经成为计算机信息时代电子支付安全的重要应用趋势。

5.4. 电子支付安全协议

目前,SSL 安全协议和SET 安全协议已经被广泛地应用在电子商务活动中的安全支付环节。SET 采用公钥机制、信息摘要和认证体系, 基于TC 助P 协议之上的应用程序, 主要用于提高应用程序之间数据的安全系数。SSL 中也采用了公钥机制、信息摘要和MAC 检测, 可以提供信息保密性、完整性和一定程度的身份鉴别功能。

但是,SSL 无法提供完备的防抵赖功能, 单纯基于SSL 的网络支付安全解决方案由于缺乏一套完整的认证体系, 必然带来一系列安全问题。而SET 在网络支付安全性方面控制远比SSL 严密, 因此也更有针对性, 更安全。

七、 总结

电子商务的主要特征是在线支付，实现电子商务的关键是保证在线支付过程中的安全性。为了保证在线支付的安全，需要采用数据加密和身份认证技术，以便营造一种可信赖的电子交易环境，保证参与交易活动的各个主体的身份及信用卡号不会被盗用，这样用户才可以放心地进行在线支付。网络安全性是一个涉及面很广泛的问题，关系到企业的生存与发展。网络的安全性将会越来越受到人们的重视。

在电子商务时代，网络支付使传统支付结算结构发生彻底改变，网络支付是提高金融运行效率的关键，而保障安全是网络支付应用推广的关键。研究开发我国自主的网络安全支付技术具有重要意义，加快制定符合国情的网络支付安全标准，研制安全支付服务和应用管理设备，保护我国金融信息安全。

参考文献：

[l] 韩宝明. 杜鹤. 刘华. 编著, 电子商务安全与支付[M]. 人民邮电出版社.2003 年

[2] 劳帼龄. 电子商务安全与管理[M]. 高等教育出版社.2003年

[3] 年仁德. 电子商务中的生物识别技术及其发展[J].商业研究, 2006,（14）

[4] 汪晓奸, 傅德胜. 生物特征识别中的信息融合技术[J]. 徽计算机信息,2005 ,(18 )

[5] 姚娟. 网上电子支付系统及其发展[J].中国货币市场, 2002(9)

[6] 王影. 于凌云. 安全电子支付协议研究[J]. 徽机发展.2005, 15(1)

网络支付的安全需求及相应的解决对策

摘要：电子商务和网络支付在创新的基础上飞速发展, 但由于发展时间短、缺少政府部门监管, 整个行业处于无序发展的阶段。网络支付安全已经成为电子商务应用的关健环节, 为此, 回顾了网络支付的发展历史和现状, 讨论了目前市场上几种主流网络支付方式的运营模式及盈利方式。针对网络支付可能发生的风险进行了分析, 并为促进整个电子商务网络支付的健康、快速发展提出新的监管建议。本文指出了目前常见的电子商务支付安全问题, 网络支付的安全需求, 并分析了应对电子商务网络支付安全问题的主要技术及应用。

关键词：电子商务 网络支付 安全需求 问题 解决方案

一、 网络支付的概述

网络支付，也称网络支付与结算，它指以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，采用现代计算机技术和通信技术作为手段，通过计算机网络系统特别是Internet ，以电子信息传递形式来实现资金的流通和支付。

我们也可以将它理解为电子支付的高级方式。它是电子支付的一个最新发展阶段，以电子商务为商业基础，以商业银行为主体，使用安全的主要基于Internet 平台的运作平台，通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。从这里可以看出，基于Internet 的即时网络支付是电子商务业务流程的一个关键环节，高水平电子商务发展的需求直接导致网络支付结算的兴起。

二、 网络支付的产生

网上支付的产生离不开电子商务，可以说它们是一对孪生兄弟，对网上支付的产生的分析首先应该从电子商务发展谈起，他离不开电子商务发展中所呈现的规律和特点。网上支付就是在网络环境下利用高新的IT 技术将以电子为载体的数字化信息和支付指令通过传递、接收和处理，实现资金价值转移的一种过程。

1. 电子商务的特点和网上支付的产生

1.1 商业市场全球化特点

随着交易区域和国界的跨越，在网上开辟和存在一个巨大的全球性商业市场；这种网上虚拟市场的出现将使企业的发展和生存空间变得越来越大，而市场的地域界限则变得越来越模糊和狭小。这种跨地区和跨国界交易的市场地域界限的扩大，就要求现实社会所提供的支付适应这种市场发展的需求，于是就要有一种网上支付的新方式，这就是以电子为载体的支付方式。

市场地域界限范围的扩展与传统支付方式不适应的冲突，是网上电子支付产生的动因。

1.2 交易方便、快捷的特点

电子商务可使交易者以最快的速度实现其购买欲望，使顾客足不出户能购天下物，使百姓人不出门能办天下事的梦想成真。这种消费对支付工具多样化愿望选择的不断增强与现实中能实现的各种支付方式间的差距，是网上支付产生的第二个动因。

1.3 能满足消费者个性化需求的特点

由于网上信息获取的畅通，全球信息资源的共享成为现实可能。交易商品对每个交易这是公平的，是消费者对商品信息的了解不再处在信息不对称的的状态下，使得消费者个性化个性化需求的欲望增强。因此电子商务具有了适应消费者个性化需求的的明显交易特点。，也使得消费者网上对多样化支付方式的选择有不断增强的需求，是网上电子支付多样化产生和出现的根本原因。

1.4 低成本渗透的特点

电子商务模式代替根深蒂固的实物交易，大大缩短了供、产、销的时间路径、空间路径、人际路径和市场路径，从而极大地降低了采购陈本、生产成本和销售成本。减少纸质载体的支付工具的使用，推行非现金支付工具，特别是电子支付工具。是提供支付服务的金融和非金融机构有发展电子支付需求的经济动因。

1.5 高效率和多选择性特点

电子商务变有形交易为无形交易，变交易场所商店的现场交易为网上交易场所的虚拟交易，变有纸交易为无纸交易，无疑给人们的工作方式、生活方式、思维方式带来巨大变革。这种电子商务高效率多样化发展的特点要求网上支付的实时和高效的相应配套是网上支付产生的市场因素。

2. IT 技术催生了网上支付的产生

网上支付的产生离不开信息安全技术的发展，网上信息安全技术的发展催生了网上支付的出现和发展。安全技术是网上支付产生和出现的基础，技术与经济的关系在网上支付问题的研究应用中表现得尤为突出

三、 网络支付的发展现状

随着信息技术的不断更新换代, 网络支付的发展大概经历了3个不同的阶段: 支付网关模式、第三方担保模式和多元网络模式。每个阶段都会出现一类创新, 并在此类创新的带动下, 逐渐发展成为市场和消费者认可的新的网络支付模式。而与信息技术的更新换代不同, 在新模式建立的同时, 原有模式并未被淘汰或退出网络支付市场, 而是与新模式共同存在,

并互为平台、相互促进。

第一阶段 支付网关模式。这是最早期的网络支付模式。我国各商业银行网上银行的发展类似早期银行卡收单, 不同商业银行的网上银行不能互为平台, 实现资源共享, 因此也造成了一定程度的资源浪费并很难向客户提供更便捷的服务和多样化的选择, 而中国银联对网络支付的反应也远没有其他企业敏感。因此, 网络支付企业开始成为各商家和多家商业银行之间的纽带, 开始向各电子商务企业和个人同时提供多家商业银行的支付服务。这种方式有效地提升了电子支付连接的效率, 并大大降低了各电子商务企业独立搭建支付体系的成本, 并使个人享受网络支付服务成为可能。尽管互联网大大提升了效率, 但却也暴露了由非实名制带来的虚拟性问题。真实的交易如果加上虚拟的交易无疑会增加交易双方的风险性, 而中国缺少信用体系的现实也成为交易双方最大的顾虑。当技术不再成为网络支付的瓶颈后, 交易诚信问题开始变成阻碍网络支付的最大绊脚石。于是, 独立于交易双方的第三方担保方式顺理成章地登上网络支付的舞台。

第二阶段 第三方担保模式。交易双方所涉及的交易款项, 在交易双方接受的、相对较短的时间周期内的交易由独立第三方保管。这种模式将互联网的虚拟性所带来的伤害降到最低, 有效地解决了在非实名制环境下网络交易的安全问题。第三方担保模式不仅能有效地促成交易, 同时在发展和推广的过程中培养了广泛的用户群, 并引导和设立了网络支付最早期的交易信用标准。该模式由支付宝于2004年首创, 之后支付宝凭借着这种创新优势, 迅速发展成网络支付的绝对领先者。表面看来, 交易双方的诚信问题得已保障。然而这一交易环节的创新在解决原有问题的同时又带来更多新的问题, 交易金额的流转方式甚至有违规之嫌。在第三方担保模式中的第三方既不是政府, 也不是银行, 而是个性质极普通的法人机构。交易双方由独立第三方“ 监管”, 但独立第三方的公正性如何保证和由谁监管, 这也是政府的监管机构当前所要考虑的新问题。不过在人行2号令中, 对这些问题都已作了解答。近几年随着信息技术的多样化, 网络支付开始向多元网络的方向发展。

第三阶段 多元网络模式。手机、笔记本等移动互联网终端的快速发展, 使网络的概念日益多元化, 用户可以使用支付账户或电子钱包作为有效且常用的支付工具。目前支付宝手机客户端的累计下载量已接近千万, 手机支付每天的交易已经超过10万笔。不难看出, 随着每次信息技术的更新换代, 都必将迎来网络支付模式的革新。尽管现阶段前两种网络支付模式仍在网络支付市场中占绝对的主导地位, 但未来多元网络模式将是网络支付市场发展的强劲推动力。正是上述种种创新, 才推动了今天网络支付行业乃至电子商务行业的飞速发展。根据中国电子商务研究中心提供的数据, 2007年我国网络支付的总额为900亿元人民币,

2008年飞速上升至2 800亿元人民币, 2009年再次跃升至5 850亿元人民币。网络支付已经成为社会生活中不可分割的一部分网络支付的发展过程中出现的问题。

四、 常见的电子商务支付的安全问题

3.1 身份的安全问题

身份的真实性是网络支付安全的核心。身份的安全问题中最多的是身份欺诈。支付过程需要验证支付双方或多方的身份信息，攻击者可能假冒支付某方的身份，从而破坏被假冒一方的信誉或盗取被假冒一方的财产等。例如，利用支付宝等第三方支付的用户，一旦注册邮箱被盗用，支付宝账户中的信誉、支付记录和资金等都被可能被盗取。

3.2 指令终端的安全问题

由于网络支付采用的指令终端是通用终端，所以更加容易被病毒、木马等攻击。例如，使用通用PC 发送指令到网银的支付，目前盗取各种私有信息的“木马”和病毒在近几年极为猖獗。尤其是网银病毒出现之后，银行客户的资金开始直接受到威胁。目前被发现的网银病毒通常是增强型的击键记录器，它们可以监控客户浏览器登录网上银行时使用的用户名和密码信息，在用户使用证书登录的时候，还可能以捕获该证书并发送给攻击者。网银病毒、键盘木马和网站恶意控件等问题已经严重威胁网络支付。

3.3 传输通道的安全问题

网络支付的传输网络主要是公共网络。由于公共网络的开发性，例如Internet ，支付数据在互联网上的客户端浏览器和服务器端之间传输。网络支付信息被篡改、破解或者伪造，支付信息在网络上传输的过程中被他人非法修改、删除或重用。还有在无线网络传输支付信息的过程中，被窃取或修改等问题。

3.4 指令处理服务的安全问题

指令处理服务过程可解析出支付指令中包含的支付类型、账户信息、支付金额、支付时间等。解析过程中存在信息被窃取或篡改的可能性，指令处理服务流程中的数据存储、转发过程存在漏洞，可能导致支付相关信息的泄露。

3.5 账户安全问题

账号安全不仅要保护账号及密码的安全，而且要重点防范与账户相关的客户资料，如账户的信用、支付记录、账户资金等被盗取等安全风险。另外，对于网络支付平台的数据安全方面，外部入侵和内部人员的不规范操作等，也是账户可能面临的安全问题。

五、 网络支付的安全需求

通过以上对电子商务网络支付安全问题的探讨可以看出, 当前网络支付中存在大量的

安全风险。从我国电子商务发展的具体实践来看, 网络支付的安全需求主要表现在以下几个方面:

4.1. 交易双方身份认证

电子商务活动是在虚拟的网络环境中进行的，在网上进行交易的用户互不相识，要使交易成功，首先要能确认对方的身份是合法的。因此，方便而可靠地确认对方身份是交易的前提，可以用数字证书以及CI 认证的方式实现对交易用户的可认证性。

4.2. 交易信息加密且不被识别

保密性意味着在参与者之间的通信通道具有保密性, 仅允许目标支付方可以看到支付数据。需要对敏感和重要的商业信息进行加密, 即使别人截获或窃取了数据, 也无法识别信息的真实内容, 这样就可以使商业机密信息难以被泄露。

4.3. 信息完整性可验证

完整性是指在电子支付系统中的支付数据, 不能被未经授权的参与者修改或者破坏, 保证一旦支付交易提交, 支付数据不能非法修改, 同时也确定了支付数据的一致。保护网络支付各方能够验证收到的信息是否完整。

4.4. 交易各环节不可否认

在电子商务通信过程的各个环节中都必须是不可否认的, 即交易一旦达成, 发送方和接收方都不能否认他所发出和收到的信息, 从而实现有效防止支付欺诈行为的发生, 保证支付参与方对已做交易无法抵赖。

4.5. 不可伪造性

电子交易文件也要能做到不可修改。

六、 针对网络支付安全问题的解决方案

通过对传统信息安全技术如加密技术、身份认证技术、防火墙技术、虚拟专用网技术、存取访问控制技术、人侵检测技术等的应用研究, 可以看出, 上述安全技术主要针对网络计算机系统的安全所采取的防范、监控手段, 对于电子商务中的客户端一这一最源头、最基的商务安全防范, 则缺乏有效控制管理的技术手段加以约束和防范.

5.1.CA 认证中心

CA （Certificate Authority）认证中心, 是采用PKI （Public Key Infrastructure）公开密钥基础架构技术, 专门提供网络身份认证服务, 负责签发和管理数字证书, 且具有权威的、可信赖的和公正的第三方信任机构, 它通过第三方认证的形式, 专门负责发放并管理所有参与网上交易的实体所需的数字证书。

作为一个权威的第三方机构, 通过对密钥进行有效地管理, 颁发证书证明密钥的有效性, 并将公开密钥同电子商务的参与群体, 如消费者、商户和银行等联系在一起, 利用数字证书、PKI 、对称加密算法、数字签名、数字信封等加密技术, 可以建立起安全程度极高的加解密和身份认证系统, 确保电子交易有效、安全地进行, 从而使信息除发送方和接收方外, 防止电子商务交易中一些重要数据、文件在传输过程中被窃取篡改、网络欺诈、网络攻击等问题的威胁, 保障电子商务的网络支付安全。目前, CA技术已经成为保障电子商务网络支付安全的核心技术。

5.2. PK I体系

公钥基础结构伊KD 是由数字证书、证书颁发机构(以) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。PKI 的基础技术包括加巨密、数字签名、数据完整性机制、数字信封、双重数字签名等。目前作为电子商务必要组成部分的公钥基础结构少助己被广泛应用。

通过PKI 体系, 电子商务的交易双方, 如商家和客户, 可以共同信任签发其数字证书的认证中心(CA), 采用数字证书的应用软件和CA 信任的机制, 从而促成网络支付的安全。例如, 要进行在线交易时, 或者是在线支付, 如果有相同客户端浏览器中根证书列表中包含了它所信任CA 的根证书, 当浏览器需要验证一个数字证书的合法性的时候, 此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书, 如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后, 浏览器承认此站点的具有合法身份并显示此站点的网页。在这种情况, 网络支付就有了安全的保障。如果该认证中心根证书不在信任以根证书列表中, 浏览器会显示警告信息并询问是否要信任这个。当网络支付的用户遇到这种情况, 就可以通过其他手段来查询该网站是否会对支付安全造成, 从而决定是否信任该网站, 避免不必要的损失。

5.3. 生物识别技术的应用趋势

生物识别技术(Biometric Identification Technology) 是利用人体生物特征进行身份认证的一种技术。生物识别技术是目前最为方便与安全的识别技术, 它不需要记住复杂的密码, 也不需随身携带钥匙、智能卡之类的东西。其认定的是人本身, 由于每个人的生物特征具有与其他人不同的唯一性和在一定时期内不变的稳定性, 不易伪造和假冒, 所以利用生物识别技术进行身份认定, 安全、可靠、准确。此外, 生物识别技术产品借助于现代计算机技术实现, 很容易配合电脑和安全、监控、管理系统整合, 实现自动化管理。目前已经成为计算机信息时代电子支付安全的重要应用趋势。

5.4. 电子支付安全协议

目前,SSL 安全协议和SET 安全协议已经被广泛地应用在电子商务活动中的安全支付环节。SET 采用公钥机制、信息摘要和认证体系, 基于TC 助P 协议之上的应用程序, 主要用于提高应用程序之间数据的安全系数。SSL 中也采用了公钥机制、信息摘要和MAC 检测, 可以提供信息保密性、完整性和一定程度的身份鉴别功能。

但是,SSL 无法提供完备的防抵赖功能, 单纯基于SSL 的网络支付安全解决方案由于缺乏一套完整的认证体系, 必然带来一系列安全问题。而SET 在网络支付安全性方面控制远比SSL 严密, 因此也更有针对性, 更安全。

七、 总结

电子商务的主要特征是在线支付，实现电子商务的关键是保证在线支付过程中的安全性。为了保证在线支付的安全，需要采用数据加密和身份认证技术，以便营造一种可信赖的电子交易环境，保证参与交易活动的各个主体的身份及信用卡号不会被盗用，这样用户才可以放心地进行在线支付。网络安全性是一个涉及面很广泛的问题，关系到企业的生存与发展。网络的安全性将会越来越受到人们的重视。

在电子商务时代，网络支付使传统支付结算结构发生彻底改变，网络支付是提高金融运行效率的关键，而保障安全是网络支付应用推广的关键。研究开发我国自主的网络安全支付技术具有重要意义，加快制定符合国情的网络支付安全标准，研制安全支付服务和应用管理设备，保护我国金融信息安全。

参考文献：

[l] 韩宝明. 杜鹤. 刘华. 编著, 电子商务安全与支付[M]. 人民邮电出版社.2003 年

[2] 劳帼龄. 电子商务安全与管理[M]. 高等教育出版社.2003年

[3] 年仁德. 电子商务中的生物识别技术及其发展[J].商业研究, 2006,（14）

[4] 汪晓奸, 傅德胜. 生物特征识别中的信息融合技术[J]. 徽计算机信息,2005 ,(18 )

[5] 姚娟. 网上电子支付系统及其发展[J].中国货币市场, 2002(9)

[6] 王影. 于凌云. 安全电子支付协议研究[J]. 徽机发展.2005, 15(1)