桑國楨 錢振濤

[摘要]在這個網(wǎng)絡時代，在線交易已經(jīng)是稀疏平常的事情了，它是目前電子商務的重要組成部分。而做為整個交易過程中的關鍵點“在線支付”，更可以說是電子商務中的核心。為了保護這個核心的安全出現(xiàn)了數(shù)據(jù)加密和身份認證技術，本文解析了一個基于SSL協(xié)議的網(wǎng)上支付安全技術的在線支付系統(tǒng)。

[關鍵詞]加密技術 安全問題 支付安全 網(wǎng)絡協(xié)議

隨著各種網(wǎng)絡交易平臺的日益普及，人們越來越意識到電子商務對經(jīng)濟、企業(yè)管理和個人生活所帶來的巨大影響。電子商務也成為每個企業(yè)的重要項目，電子商務支付的安全及支付協(xié)議更是電子商務技術研究的熱點。

一、電子支付安全面臨的威脅

從理論上講，網(wǎng)上支付有很多優(yōu)點，例如便捷、高效、安全等。但目前，我國的消費者網(wǎng)絡安全意識不夠，使得釣魚網(wǎng)站黑客攻擊頻頻得手；交易網(wǎng)站的信息安全保護不足，使得消費者的信息資料外泄；第三方交易的不穩(wěn)定性，使得交易容易出現(xiàn)中斷等等。但是最重要的還是網(wǎng)上支付的安全性問題、信譽問題得不到保障。網(wǎng)上支付的安全性是人們最關心的問題。

二、常用的電子商務安全技術

1.加密技術。加密技術是實現(xiàn)電子商務安全的一種重要手段，目的是為了防止合法接收者之外的人獲取機密信息，按密鑰和相關加密程序類型可把加密分為兩種：對稱加密（秘密密鑰）和非對稱加密。

（1）.對稱加密加密解密過程

A.對稱加密的算法基于迭代和替換，屬于對稱型加密系統(tǒng)。

B.文件的加密和解密使用同一個密鑰和同一算法。

C.發(fā)送方和接受方必須共享密鑰和算法。

D.密鑰必須保密。

（2）公開密鑰系統(tǒng)

由于對稱加密通常也需要經(jīng)過網(wǎng)絡傳輸，因此，如果有人截獲了秘密密鑰，也能對加密文件進行解密。這就存在一個如何對秘密密鑰進行加密傳輸?shù)膯栴}。公開密鑰系統(tǒng)解決了這個問題。公開密鑰的加密、解密過程

A.公開密鑰的算法基于數(shù)學函數(shù)，屬于非對稱型加密系統(tǒng)。

B.密鑰為一對，一個用于加密（公開密鑰），一個用于解密（私有密鑰） 。

C.發(fā)送方和接受方擁有一對密鑰中不同的一個。

D.其中，公開密鑰是公開的，私有密鑰必須由擁有者保密。

2.數(shù)字簽名技術。據(jù)悉數(shù)碼證書共分成數(shù)個等級，顧客可以按照本身所需的安全程度作出選擇。最基本的等級是通過一個具備數(shù)碼簽名特征的數(shù)碼證書，以允許用戶在互聯(lián)網(wǎng)呈交他們的銀行資料前，以數(shù)碼簽名方式核準。

比較先進方法是將U盾記憶卡插入電腦解讀器中進行鑒定，以證實顧客的身份。這個方法能把偵查到的微少差別部份向銀行作出報告。

為了保護顧客的利益，銀行的網(wǎng)站會通過安裝一個網(wǎng)站主機進行檢查或通過DIGICERT主機身份來鑒定他們的身份。網(wǎng)站檢查是以另一種數(shù)碼鑒定形式發(fā)給機構的網(wǎng)站主機，充分運用了顧客和網(wǎng)站之間128位元密碼SSL協(xié)議的安全通訊。

3.數(shù)字證書認證中心。CA（Certificate Authority）是數(shù)字證書認證的簡稱，是指發(fā)放、管理、廢除數(shù)字證書的機構。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。數(shù)字證書是用來建立數(shù)字簽名和公-私（public-private）密鑰對的。CA在這個過程中所起的作用就是保證獲得這一獨特證書的人就是被授權者本人。在數(shù)據(jù)安全和電子商務中，CA是一個非常重要的組成部分，因為它們確保信息交換各方的身份。

CA通常是企業(yè)性的服務機構，主要任務是受理數(shù)字憑證的申請、簽發(fā)并負責在交易中檢驗和管理證書。用戶向CA提交自己的公開密鑰和其他代表自己身份的信息，如身份證或護照等，CA在驗證了用戶的有效身份之后，向用戶頒發(fā)一個經(jīng)過CA私有密鑰簽名的證書。有了數(shù)字證書和CA，用戶就可以通過互相交換證書來得到對方的公開密鑰，不再需要驗證每一個想要交換信息的用戶的公開密鑰，而只需要驗證并信任頒發(fā)證書的CA的公開密鑰就可以了。

4.電子支付的協(xié)議

（1）SSL協(xié)議。安全套接層協(xié)議（SSL，Security Socket Layer）是網(wǎng)景（Netscape）公司提出的基于WEB應用的安全協(xié)議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務應用來說，使用SSL可保證信息的真實性、完整性和保密性。

SSL協(xié)議提供的服務主要有：A.認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器；B.加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；C.維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。

（2）SET協(xié)議。是一個能保證通過開放網(wǎng)絡進行安全資金支付的技術標準。它采用采用公鑰密碼體制和X.509數(shù)字證書標準，主要應用于保障網(wǎng)上購物信息的安全性。 SET使訂單信息和信用卡信息隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認證，確定通信雙方身份，一般由認證中心為雙方提供信用擔保。

由于SET 提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。

綜上所述，電子支付做為一種與現(xiàn)代科技迅猛發(fā)展緊密相關的技術，其安全性在不斷的提高。密切注意新的攻擊手段，協(xié)議漏洞；增加新的信息安全，網(wǎng)絡保護措施。將能保證電子支付做為網(wǎng)絡交易核心部分的安全。