電子支付平安性探索范文
本站小編為你精心準備了電子支付平安性探索參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
論文摘要摘要:電子支付系統是電子商務交易的核心,實現電子商務的關鍵是要保證商務活動過程中系統的平安性。本文對現有的支付模式進行了比較論述,指出平安性方面的不足,在基于SET協議支付模型基礎上,替換加密算法,修改支付流程,使其具有更高的平安級別。
1引言
電子商務(ElectronicCommerce,簡稱EC)是利用現有的計算機硬件設備、軟件和網絡基礎設施,在通過一定的協議連接起來的電子網絡環境下進行各種各樣商務活動的方式。電子商務的一個重要組成部分就是電子支付系統,所謂電子支付,指的是交易各方通過電子手段,比如說銀行的電子存款系統和電子清算系統來記錄和轉移資金的方式。是否具有在線支付功能是電子商務是否完整的一個重要標志,而支付的平安性又是整個支付過程乃至整個電子商務過程的核心新問題。
2現有電子支付系統的探索和改進
2.1三種電子支付模型
第一種摘要:基于SSL協議的支付模型
平安套接字層協議(SecureSocketLayer,SSL)是網絡平安協議的標準,最早是由Netscape公司提出的一種平安套接層協議,采用公開密鑰技術,目的是保證兩個應用間通信的保密性和可靠性,可在服務器和客戶機兩端同時實現支持。SSL使用多種密碼技術和PKI數字證書技術來保護信息傳輸的真實性、機密性和完整性,主要適用于點對點之間的信息傳輸。SSL由兩層協議組成摘要:(1)握手協議摘要:描述了協議的建立過程,在客戶機和服務器之間進行相互的身份認證,并在傳輸數據之前,協商確定加密算法和會話密鑰。(2)記錄協議摘要:用于對不同的高層協議進行封裝,定義了數據傳輸的格式。
遵從SSL協議的電子交易過程摘要:客戶選擇服務,提交購物請求→商家回復客戶的購買請求,客戶端瀏覽器提示即將建立和銀行端網絡服務器的平安連接,經過身分認證后,SSL握手協議介入開始,雙方建立起平安通道→出現相應銀行的支付網頁,顯示從商家發來的相應的訂單及支付金額信息,用戶確認后支付。支付成功后,用戶確認離開平安SSL連接→銀行在后臺把相關資金轉入商家賬號→商家收到銀行發來的付款成功消息后,發送收款確認信息給用戶,支付過程結束。
目前國內大多數銀行的網上銀行業務都是基于SSL協議的。例如招商銀行的“一網通”網上支付業務就是基于SSL協議的典型代表。
第二種摘要:基于SET協議支付模型
SET(SecureElectronicTransaction)協議是針對開放網絡上平安、有效的銀行卡交易,由Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構共同研制,為Internet卡支付交易提供高層的平安和反欺詐保證。SET協議實現信息在Internet上平安傳輸,不能被竊取或篡改;實現持卡人購買訂單和個人賬號信息的隔離,使商家只能看到訂貨信息而金融機構只能看到賬號信息;實現持卡人、商家、支付中心、支付網關等交易參和方身份的相互認證;軟件遵循相同的協議和消息格式,使不同廠家開發的軟件具有兼容性和互操作能力,并且可以運行在不同的硬件和操作系統平臺上。
遵從SET協議的電子交易過程摘要:客戶選擇服務,提交購物請求→客戶計算機自動激活電子錢包的客戶端軟件,用戶取出里面的電子現金預備支付,SET協議開始介入;客戶端軟件自動和商家服務器軟件進行SET協議規定的信息交換和身份認證,然后自動提取信息連同訂貨單一起發送給商家→商家收到信息并驗證通過后回復客戶,同時發出結算請求,并將客戶端信息一起發給支付網關→支付網關收到支付信息后,轉入后臺銀行網絡處理,在收到銀行端發來的確認信息后向商家回復支付成功→客戶收到商家發來的購貨確認和支付信息后,客戶端軟件關閉,支付過程結束。
國內的網上銀行支付系統基于SET協議的極少,中國銀行是一家。它的CA是中國銀行認證中心(CCA)。持卡人通過Internet由中國銀行主頁中下載電子錢包軟件后,通過Internet在線獲得中國銀行認證中心批準的借記卡網上交易電子證書。
第三種摘要:以支付工具為中介的支付模型
國內除了上述兩種支付方式外,還有種以網上支付工具為中介的支付流程,即第三方支付。這種在線實時的支付方式實質上還是網上銀行。這種支付模式主要解決的不是信息流在網上傳遞的平安性新問題,而主要解決的是,因付款和發貨不同時進行而可能引起的爭執。作為支付工具的第三方當了一個臨時存錢罐的功能。
第三方支付的交易過程摘要:買方在網上選中自己所需商品后就和賣方取得聯系并達成成交協議,這時買方需把貨款匯到第三方中介賬戶上。中介馬上通知賣方錢己收到可以發貨,待買方收到商品并確認無誤后,中介才會把貨款匯到賣方的賬戶,整個交易就完成了。
第三方支付的典型代表有貝寶公司的PayPal、阿里巴巴旗下的支付寶等。
2.2SSL、SET協議的不足
SSL協議存在的新問題摘要:第一,客戶的信息首先傳遞到商家,商家可以任意閱讀,這樣客戶資料的隱私性就得不到保證。第二,SSL只能保證資料信息傳遞的平安,而傳遞過程是否被人截取無法保證。第三,SSL沒有對應用層的消息進行數字簽名,因此也無法保證不可否認性。所以,SSL并沒有實現電子支付所要求的保密性、完整性和不可否認性,而且多方互相認證也很困難。
SET協議存在的新問題摘要:第一,SET協議使用的對稱加密算法DES,隨著計算機處理速度和存儲效率的提高,己經不是計算上平安的算法了。第二,協議沒有擔保非拒絕服務,無法證實交易是否由簽署證書的使用者發出。協議簽名的內容無法保障持卡者和商家,在協議最后收到的簽名,是針對交易內容的認證。第三,協議沒有考慮交易個體的公平性,持卡人的信用卡信息經過商家轉發,雖然是經過加密的,但無論如何也會留下痕跡,這是個很大的平安隱患。第四,從實用性來講,SET協議對商家系統的開發來說是個不小的負擔,很多的小商戶都會認為成本太高,不甚劃算。并且,應用SET協議需要在持卡人端安裝電子錢包,這也是個不太輕易讓普通持卡用戶很快接受的地方。還有,SET協議僅僅針對信用卡,對個人信任制度不成熟的我國目前狀況來說,也是一個制約因素。
2.3基于SET協議模型的改進
替換密碼算法摘要:SET協議規定加密算法為DES加上RSA,而通過上文分析DES加密算法存缺陷,因此可選擇用IDEA算法作為DES的代替算法。IDEA的密鑰長度為128位,是目前公認比較平安的加密算法。另IDEA和DES算法同是對稱加密算法,分組長度都是64位,使用IDEA對原有系統的影響不大。
增加支付中心摘要:由于在SET協議中,商家除了要處理訂購信息,還要將持卡人發來的包含信用卡賬號等機密數據的支付信息轉發給支付網關,雖然支付信息是經過加密的,但不免在商家處留下了痕跡,存在著平安隱患。對照現實中商場中“柜臺”和“收銀臺”相分離,對基于SET協議的電子支付系統進行改進,引入了支付中心這一概念,相當于電子的“收銀臺”。這樣,電子商戶主要承擔商品展示功能,在消費者下訂單后,商戶執行“開票”功能,而“支付”這個敏感,對技術平安性、信譽度要求高的功能由第三方“支付中心”來負責。消費者的支付信息不必先發送給商家再由商家來發送給支付網關,而是發送給大家都信任的第三方—支付中心。這樣,商家看不到持卡人的支付信息,銀行也無法獲得持卡人的購買信息,從而加強了信息流和資金流在網上實時傳遞的機密性和平安性。
3結束語
隨著電子商務和金融電子化的日益成熟和不斷發展,對網絡支付的要求也更加嚴格。雖然網絡支付工具隨著技術的變化層出不窮,但網絡支付并不是非常成熟,只有加強電子支付的平安保障,建立起電子支付業的統一行業規范,完善電子支付的法律體系,才能使我國的電子商務和電子支付具有更強的生命力,在我國經濟建設中發揮更大的功能。
