电子支付系统的安全问题分析及对策研究

摘　要：电子支付是电子商务的核心环节，它的发展程度对电子商务的发展起着至关重要的作用。本文对我国电子支付系统的应用现状进行了简要分析，阐述了电子支付的几大安全要素及隐患问题，并从网络安全技术角度对如何提高电子支付系统的安全性提出了解决对策。

关键词：电子商务；电子支付；网络安全；技术对策
　　在我国远古时期，“商品”交易往往是采取现场物物交换的形式进行的，当出现货币之后，取而代之的是物币交换，这些交易方式的共同点是进行现场交易。如今，伴随着以网络技术为代表的信息技术的飞速发展，电子商务也得到了突飞猛进的发展，非现场电子交易方式在电子商务中的应用已变得越来越普及。
　　一、我国电子支付应用的现状
　　电子支付是指从事电子商务交易的当事人（包括消费者、厂商和金融机构）使用安全的支付手段通过网络进行的货币支付或资金流转。电子支付具有方便、快捷、成本低等优点，是电子商务的重要和关键环节。
　　近年来，我国的电子支付产业进入了快速成长和发展时期。随着阿里巴巴（“淘宝网”）等商业网站的出现，支付宝、网上银行、手机银行等业务也应运而生，强力推动了我国网络购物市场的快速发展。据悉，2008年我国网购市场的年交易额首次突破了1000亿大关，另据调查，2009年、2010年这两年我国的网购市场份额仍呈高速增长的良好态势。
　　在我国电子支付产业快速发展的同时，电子支付过程中也出现了一系列问题，突出表现在电子支付的安全性难以得到可靠的保障。当前我国许多网络用户在心理层面上仍然存在对使用电子支付方式不放心的问题，最新调查资料显示，我国网络用户对网络电子支付安全性不放心的比例高达30%之多，显然安全问题已成为我国电子支付产业发展壮大的瓶颈。如何提高电子支付的安全性，已成为摆在我国相关组织管理者和技术研发人员面前的重大课题。
　　二、电子支付的安全性分析
　　（一）电子支付的信息安全要求
　　1．信息的不可抵赖性。不可抵赖性又叫不可否认性，对电子支付中的交易双方来说，发送方不能否认已发送的信息内容，接收方不能否认已收到的信息内容，这是双方公平交易的信任基础，受到法律制约和保护。
　　2．信息的保密性。保密性要求避免数据信息在传输过程中或在存储介质中丢失、泄漏，并要求保证数据信息免遭破坏、攻击、窃取或未授权访问设置。
　　3．信息的完整性。完整性又叫真实性。完整性要求交易系统中的双方所接收和发送的信息是完整的、未受损害的、无差错的。
　　4．身份的可论证性。电子商务中的身份的可论证性要求交易双方的身份是合法有效的，要求避免假冒身份攻击、非法用户进入交易系统进行非法操作等。
　　（二）电子支付的安全隐患
　　人为因素或软硬件系统的原因，都可能对电子支付的安全性造成一定程度的破坏，以下列举几种常见情况：
　　1．操作人员的问题。由于交易系统不同环节的工作人员缺乏责任心、业务水平不够、蓄意报复或内部欺诈等原因，可能造成电子支付交易中出现安全事故。
　　2．软硬件系统的漏洞问题。电子支付系统中的计算机硬件系统、网络操作系统及电子支付系统本身等都可能存在一定的安全漏洞，这些漏洞若没有及时被补上，一旦被非法分子趁虚而入，他们将通过非法访问、引入病毒等方式破坏电子商务的安全交易。
　　3．非法分子的恶意破坏。非法分子可能通过设置口令圈套、非法网络接入、引入木马病毒、伪造网站等方式，非法窃取口令或非法登录交易系统，这可能对网络用户造成重大的经济损失，是电子支付的重大安全隐患。
　　三、保障电子支付安全应用的对策与技术
　　要保障电子支付的安全应用，在宏观层面上，应加强对消费者个人的思想教育，提高他们的信息安全防范意识，帮助他们掌握安全交易常识；加强诸如“电子支付法”、《电子签名法》等法律法规的建设和完善；进一步加强电子支付产业的行业规范，加强对电子支付产业的行业监管，创新监管手段，建立严密的、完备的市场监控体系；在我国全社会范围内营造诚实守信的信用环境，建立可靠的电子支付信用评价体系。
　　此外，在微观技术层面，应不断提高和完善网络信息安全技术，为网络电子支付的安全交易提供技术保障。具体可采取以下几方面的技术对策。
　　（一）数据加密技术
　　数据加密是保障信息安全的最基本、最核心的技术措施和理论基础，是保证数据信息保密性的有效措施。数据加密技术通常有对称加密和非对称加密。
1． 对称加密
　　对称加密（Symmetric Encryption）也称密钥加密，加密和解密过程使用同一密钥，通信双方都必须具备这个密钥，并保证这个密钥不被泄漏，其本质是使用替代密码和换位密码进行加密的。目前使用的对称加密算法有DES、TDEA、RC-5和IDEA。
　　在使用对称加密技术进行通信之前，通信双方必须先约定一个密钥，然后在通信中，发送方使用这一密钥，并采用适当的加密算法将明文（明文是指人和计算机容易读懂和理解的信息，可以是文本、数字、语音、图像等信息）加密后发送。当接受方收到密文（密文是指通过加密手段将明文转换为晦涩难懂的信息）后，采用解密算法，并把密钥作为算法中的一个运算因子，就可以将密文转化为明文。其通信过程原理示意图如下所示：
　　
　　
　　
                  加密                                              解密
　　                                 
    图1 对称加密的网络通信过程
2． 非对称加密
　　非对称加密又叫公钥加密，它有两个密钥，分别是公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。其加密和解密过程如下图所示：
　　                   
                            加密                      解密
                            密钥                  密钥

                                  密文
图2 公钥算法
　　这种加密方法具有能适应网络的开放性要求，且密钥管理问题简单，可方便地实现数字签名和验证，是一种很有前途的网络安全加密体制。最典型的非对称加密算法是RSA。
　　（二）数字签名技术
　　数字签名（Digital Signature）是以电子形式存在于 数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。它是数字摘要和公钥加密技术的综合应用，这种技术在电子商务的应用中能有效保证信息的完整性和不可抵赖性。
　　数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。另外，数字签名能够验证信息的不可抵赖性，消息的接收方可以通过数字签名来防止所有后续的抵赖行为。
　　（三）电子交易安全协议技术
　　目前，国内外使用的保障电子商务交易安全的协议主要有SSL（Secure Sockets Layer 安全套接层协议）和SET（Secure Electronic Transaction 安全电子交易协议）。
　　1．SSL协议
　　SSL协议是由Netscape Communication公司所研发的， 它是位于TCP/IP协议与各种应用层协议之间的一种协议，包括SSL记录协议（SSL Record Protocol）和SSL握手协议（SSL Handshake Protocol）两层协议，通过这两层协议SSL可为网络数据通讯提供加密服务、认证服务及保证报文完整等方面的安全支持。
　　2．SET协议
　　SET是由Master Card和Visa联合Netscape，Microsoft等公司于1997年5月推出的一种新的电子支付协议模型。SET是基于信用卡的交易来解决用户、商家、银行三方之间的问题而设计的，具有保证交易数据的完整性、机密性及交易的不可抵赖性等优点，尤其是它使用双重签名技术对支付信息和定单信息分别签名，使商家看不到支付信息只能对订单信息解密，而金融机构只能对支付和账户信息解密，这保证了账户和定货信息的安全。SET协议因其具有安全可靠的优点现已成为目前公认的信用卡网上交易的国际标准，主要应用于公钥加密、数字签名、数字信封、数字证书等方面。
　　（四）电子交易的身份认证技术
　　身份认证是系统通过审查操作者身份从而确定其访问和使用权限的一种技术方法。身份认证作为保护网络用户资产的第一道关口，是安全地进行电子支付的前提和基础。身份认证的技术方法有很多种，以下介绍在电子商务领域较常用的几种身份认证技术：
　　1．静态密码
　　静态密码机制是采用“用户名+密码”方式进行身份认证的，这是一种简单但不安全的身份认证方式，一方面因为这种由用户自己直接设定的带有很强的标记性的密码很容易泄漏，另外这种密码多是静态数据，在验证过程中容易被木马程序窃取和截获。
　　2．动态口令牌
　　动态口令牌实质上也是一种动态密码，这是目前最为安全的身份认证方式。动态口令牌是客户手持用来生成动态密码的终端，每60秒变换生成一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。
　　3．USB KEY
　　基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，并利用USBKey内置的密码算法实现对用户身份的认证。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。
　　4．双因素身份认证
　　所谓双因素就是将两种认证方法结合起来，进一步加强认证的安全性，目前使用最为广泛的双因素身份认证有：“动态口令牌 + 静态密码”、“USB KEY + 静态密码”等。
　　四、结束语
　　随着网络信息技术的不断发展，随着人们经济生活的不断变化，电子商务的发展方向及支付方式将不断变化和更新，电子支付的安全性可能面临新的挑战。我们应面对新形势，不断探索新方法，研究新技术，为保障我国电子商务快速健康发展做出自己应有的贡献。
参考文献：
[1]朱乃立等 . 计算机网络实用技术[M]. 北京: 高等教育出版社 2003
[2]尤峥 . 计算机网络技术基础[ j ] . 湖北: 武汉大学出版社 2007
[3]王萍等 . 电子支付安全问题分析与对策[ j ] .江西金融职工大学学报，2010，（1） 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/238453.html