電子支付系統(tǒng)安全研究

趙 武

趙武

(鄭州大學(xué)西亞斯國際學(xué)院,河南 新鄭451150)

中圖分類號:F713.36文獻(xiàn)標(biāo)識碼:A文章編號:1673-0992(2009)09-076-01

摘要:從電子支付系統(tǒng)的概念入手,介紹了幾種常用的電子支付手段,并闡述了兩種重要的電子商務(wù)安全協(xié)議在電子支付系統(tǒng)安全中所起的作用。 同時結(jié)合信用卡的支付流程分析了電子支付的過程和相關(guān)的安全問題。除此之外,本文還闡述了數(shù)字證書和數(shù)字簽名的原理。

關(guān)鍵詞:電子支付系統(tǒng);數(shù)字證書;數(shù)字簽名

一、電子商務(wù)服務(wù)蓬勃發(fā)展

電子商務(wù)出現(xiàn)四十多年了,但是它真正蓬勃發(fā)展起來也就是最近十幾年的事情。雖然電子商務(wù)發(fā)展非?？?但有很多障礙限制了電子商務(wù)的進(jìn)一步發(fā)展。安全性是其中一個主要的瓶頸。對計算機(jī)系統(tǒng)的很多威脅(中斷、攔截、改變和偽造)都是利用計算機(jī)系統(tǒng)的脆弱性對系統(tǒng)進(jìn)行攻擊造成的。 目前,消費(fèi)者對電子交易的安全性是非常關(guān)注的,但是事實上,和傳統(tǒng)的紙質(zhì)交易相比,只要采用適當(dāng)?shù)募夹g(shù)和相關(guān)法律政策來保護(hù)消費(fèi)者,電子支付系統(tǒng)是方便的,可靠的和安全的。

二、電子支付系統(tǒng)綜覽

電子支付系統(tǒng)可以定義為在開放的網(wǎng)絡(luò)中使用多種支付手段,例如電子資金劃撥、智能卡、電子支票和電子信用卡等進(jìn)行電子交易的方式。 目前在電子支付系統(tǒng)中有兩個重要的安全協(xié)議SSL (安全套接層協(xié)議) 和SET(安全電子交易協(xié)議)。SSL 協(xié)議的目的是在兩個溝通方之間提供保密和可靠性。這個協(xié)議包含兩層。SSL 紀(jì)錄層協(xié)議位于最低層,并且它用作多種高層次協(xié)議的封裝。握手協(xié)議就在這些被封裝的協(xié)議之中,它允許服務(wù)器和客戶機(jī)之間相互認(rèn)證,并且在應(yīng)用協(xié)議發(fā)出和收到第一個數(shù)據(jù)之前協(xié)商加密算法和加密密鑰,這樣做的目的就是保證應(yīng)用協(xié)議的獨(dú)立性,使低級協(xié)議對高級協(xié)議是透明的。SSL協(xié)議擁有三個主要的安全特性:數(shù)據(jù)的保密性;數(shù)據(jù)的一致性;安全驗證。SET是在開放網(wǎng)絡(luò)環(huán)境中的支付安全協(xié)議,它采用了公鑰密碼體制(PKI)和X.509電子證書標(biāo)準(zhǔn),通過相應(yīng)軟件、電子證書、數(shù)字簽名和加密技術(shù)能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更低受欺詐的可能性。 SET協(xié)議用于支持B2C這種類型的電子商務(wù)模式,即消費(fèi)者持卡在網(wǎng)上購物與交易的模式。

三、電子支付系統(tǒng)安全措施

由于電子支付的方式很多,在此僅以信用卡為例介紹一下其中的安全問題。下面闡述一下使用信用卡進(jìn)行電子支付的過程。這個過程可能會根據(jù)信用卡集團(tuán)、發(fā)卡行、收單行之間的協(xié)議而有所不同。在這個過程中主要的步驟包括:發(fā)卡行頒發(fā)一張信用卡給一個潛在的持卡人。一個潛在的持卡人向一個發(fā)卡行(持卡人最好在發(fā)卡行有一個賬號)申請發(fā)行一張有信用卡公司標(biāo)志的信用卡。發(fā)卡行有權(quán)根據(jù)申請人的資質(zhì)批準(zhǔn)或拒絕申請。如果得到批準(zhǔn),一張塑料卡片被通過郵件寄到客戶的家中。只要客戶打電話給銀行啟用該信用卡并在卡的背面簽上客戶的名字,該卡片就能被激活;不論何時客戶刷卡消費(fèi),商家經(jīng)過信用卡公司批準(zhǔn),交易通過信用卡支付。商家保留購貨單并將購貨單賣給收單行并且為此支付一定的服務(wù)費(fèi)用;收單行要求信用卡公司結(jié)算貨款并得到付款,然后信用卡公司要求發(fā)卡行結(jié)算;貨款從發(fā)卡行轉(zhuǎn)移到信用卡公司。在還款期內(nèi),同樣的數(shù)量從持卡人在發(fā)卡行的賬號中扣除。在以上過程中,信息的傳遞要經(jīng)過對稱密鑰和非對稱密鑰的加密以保證信息傳遞的安全性,并通過數(shù)字證書來確認(rèn)商家、銀行和執(zhí)卡人的身份,充分保證了整個交易過程的安全性。

四、數(shù)字證書的使用

目前網(wǎng)絡(luò)欺詐現(xiàn)象的屢屢發(fā)生。因此,在買賣雙方交易時,必須鑒別對方的可信度。通常的方法是設(shè)立一個類似于公證處的第三方認(rèn)證機(jī)構(gòu),來認(rèn)證買賣雙方的身份。其基本原理和流程是:在做交易時,應(yīng)向?qū)Ψ教峤灰粋€由CA(Certificate Authority)簽發(fā)的包含個人身份的證書,以使對方相信自己的身份?？蛻粼谏暾堊C書時,可提交自己的身份證明,經(jīng)驗證后,頒發(fā)證書,證書包含客戶的名字和他的公鑰,以此作為網(wǎng)上證明自己身份的依據(jù)。在網(wǎng)上交易中,最重要的證書是持卡人證書和商家證書。此外,還有支付網(wǎng)關(guān)證書、銀行證書和發(fā)卡機(jī)構(gòu)證書。CA的主要功能有:接收注冊請求,處理、批準(zhǔn)拒絕請求,頒發(fā)證書。在實際中,CA可以由大家都信任的一方擔(dān)當(dāng)。中國建設(shè)銀行的網(wǎng)銀盾就是數(shù)字證書的一個典型的例子。為了保障網(wǎng)上銀行客戶證書的安全性,建行推出了“電子證書存儲器”,即“網(wǎng)銀盾”,可以將客戶的證書專門存放于盤中,隨插隨用。目前建行的網(wǎng)銀盾類型是預(yù)制證書型網(wǎng)銀盾。如果連續(xù)輸入錯誤口令10次,網(wǎng)銀盾便會自動鎖定,用戶只能重新申請新的網(wǎng)銀盾。預(yù)制證書網(wǎng)銀盾是指在柜臺簽約購買的網(wǎng)銀盾內(nèi),已預(yù)先存有建行發(fā)放的數(shù)字證書,用戶可憑此安全便捷地享受建行網(wǎng)上銀行的服務(wù)。

五、數(shù)字簽名的使用

數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用,用DES算法、RSA算法都可實現(xiàn)。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。發(fā)送方用自己的私有密鑰對這個散列值進(jìn)行加密來形成發(fā)送的數(shù)字簽名。然后這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收的原始報文中計算出128位的散列值(或報文摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果這兩個散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別,保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份認(rèn)證和不可抵賴性。

六、結(jié)論

綜上所述,電子商務(wù)發(fā)展迅速,電子支付系統(tǒng)的安全性制約了電子商務(wù)的進(jìn)一步發(fā)展。使用數(shù)字簽名和數(shù)字證書可以實現(xiàn)對各方的認(rèn)證;使用加密技術(shù)可以對業(yè)務(wù)進(jìn)行加密;使用消息摘要算法可以確認(rèn)業(yè)務(wù)的完整性;SSL和SET協(xié)議為電子商務(wù)交易的安全進(jìn)行提供了商業(yè)實現(xiàn)標(biāo)準(zhǔn)。所有這些措施都有效地保證了電子支付系統(tǒng)的安全性。

參考文獻(xiàn):

[1] Turban Lee. 電子商務(wù)管理視角(第四版),高等教育出版社,2006

[2] 中國建設(shè)銀行.安全策略方案, 2009,http:ibsbjstar.ccb.com.cn

[3] 黃敏學(xué). 電子商務(wù)(第二版),高等教育出版社,2005

[4] 邵兵家. 電子商務(wù)概論(第二版),高等教育出版社,2006

[5] 楊堅爭. 電子商務(wù)基礎(chǔ)與應(yīng)用(第六版),西安電子科技大學(xué)出版社,2008