《电子商务—电子支付探讨.doc》由会员分享,可在线阅读,更多相关《电子商务—电子支付探讨.doc(21页珍藏版)》请在三一办公上搜索。
1、、本科毕业设计题目:电子商务电子支付探讨 学 院:专 业:电子商务学 号: 学生姓名:指导教师: 日 期:摘要电子支付系统是电子商务交易的核心,实现电子商务的关键是要保证商务活动过程中系统的安全性。传统的支付方式由于其面对面的交易模式,已经无法满足电子交易操作的要求,于是各种电子支付方式应运而生。它克服了传统支付方式过程复杂,耗时,携带现金不方便等局限性,因具有便利性,高效性,安全性等特点,在电子商务中显现出重要作用。伴随近年来国内电子商务大规模发展和应用以及电子签名法的通过,越来越多的家庭从仅仅在网上查看账户信息变为更多地使用在线支付支付在国内是一个很大的问题,传统支付方式不但不方便,而且成
2、本很高,已经成为制约国内互联网发展和电子商务的瓶颈,这个问题急需解决。本文介绍了电子支付的一些基本概念、就电子支付安全协议与电子支付的风险及防范措施做了进一步阐述。 关键字:电子商务 电子支付 安全协议 防范措施AbstractThe electronic payment system is the electronic commerce transaction core, realizes the electronic commerce key is must guarantee in the commercial activity process systems security. The
3、 traditional payment pattern as a result of it transaction pattern face-to-face, was already unable to satisfy the electronic transaction operation the request, therefore each electron payment pattern arises at the historic moment. It overcame the tradition payment pattern process to be complex, tim
4、e-consuming, carried the cash not conveniently and so on limitations, because had the convenience, highly effective, characteristics and so on security, appeared the influential role in the electronic commerce. Followed in recent years the domestic electronic commerce large-scale development and the
5、 application as well as Electronic Signature Law passing, more and more families from became many merely in on-line examination account information use the online payment Not only the payment in domestic is a very major problem, the tradition payment pattern is not convenient, moreover the cost is v
6、ery high, already became the restriction domestic Internet development and the electronic commerce bottleneck, this question urgently needed solution. This article introduced electronic payments some basic concepts did on the electronic payment security agreement and the electronic payments risk and
7、 the measure further elaborated. Key words:Electronic commerce electron payment security agreement measure 摘要IAbstractII第一章电子商务简介1第一节 电子商务的概念1第二节 电子商务的特征1第三节 电子商务的发展2第四节 电子商务对社会经济的影响4第二章 电子商务支付系统6第一节电于商务支付系统的构成6第二 节电子商务支付系统的功能8第三节 电子交易模型8第三章 电子支付12第一节 电子支付的概念与特性12第二节 电子支付的形式12第三节 电子支付的优点与缺点13第四节 电子支
8、付的流程15第四章 电子支付安全协议18第一节 SSL安全协议18第二节 SET安全协议21第五章 电子支付风险及防范措施24第一节 电子支付的主要风险24第二节 电子支付的风险防范29结束语34参考文献:35致谢36第一章电子商务简介第一节 电子商务的概念电子商务源于英文ELECTRONIC COMMERCE,简写为EC。顾名思义,其内容包含两个方面,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。电子商务可以通过多种电子通讯方式来完成。简单的,比如你通过打电话或发传真的方式来与客户进行商贸活动,似乎也可以称作为电子商务;但是
9、,现在人们所探讨的电子商务主要是以EDI(电子数据交换)和INTERNET来完成的。尤其是随着INTERNET技术的日益成熟,电子商务真正的发展将是建立在INTERNET技术上的。所以也有人把电子商务简称为IC(INTERNET COMMERCE)。从贸易活动的角度分析,电子商务可以在多个环节实现,由此也可以将电子商务分为两个层次,较低层次的电子商务如电子商情、电子贸易、电子合同等;最完整的也是最高级的电子商务应该是利用INTENET网络能够进行全部的贸易活动,即在网上将信息流、商流、资金流和部分的物流完整地实现,也就是说,你可以从寻找客户开始,一直到洽谈、订货、在线付(收)款、开据电子发票以
10、至到电子报关、电子纳税等通过INTERNET一气呵成。要实现完整的电子商务还会涉及到很多方面,除了买家、卖家外,还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的,因此整个电子商务过程并不是物理世界商务活动的翻版,网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用。第二节 电子商务的特征普遍性:电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地;方便性; 在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商
11、务活动,如通过网络银行能够全天侯地存取资金帐户、查询信息等,同时使得企业对客户的服务质量可以大大提高;整体性:电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用,也可以提高系统运行的严密性;安全性:在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同;协调性:商务活动本身是一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调,在电子商务环境中,它更要求银行、配送中心、通讯部门、技术服
12、务等多个部门的通力协作,往往电子商务的全过程是一气呵成的。第三节 电子商务的发展1电子商务产生和发展的条件电子商务最早产生于60年代,发展于90年代,其产生和发展的重要条件主要是:计算机的广泛应用:近30年来,计算机的处理速度越来越快,处理能力越来越强,价格越来越低,应用越来越广泛,这为电子商务的应用提供了基础;网络的普及和成熟:由于INTERNET逐渐成为全球通信与交易的媒体,全球上网用户呈级数增长趋势,快捷、安全、低成本的特点为电子商务的发展提供了应用条件;信用卡的普及应用:信用卡以其方便、快捷、安全等优点而成为人们消费支付的重要手段,并由此形成了完善的全球性信用卡计算机网络支付与结算系统
13、,使“一卡在手、走遍全球”成为可能,同时也为电子商务中的网上支付提供的重要的手段;电子安全交易协议的制定:1997年5月31日,由美国VISA和Mastercard国际组织等联合指定的SET(Secure Electronic Transfer Protocol)即电子安全交易协议的出台,以及该协议得到大多数厂商的认可和支持,为在开发网络上的电子商务提供了一个关键的安全环境;政府的支持与推动:自1997年欧盟发布了欧洲电子商务协议,美国随后发布“全球电子商务纲要”以后,电子商务受到世界各国政府的重视,许多国家的政府开始尝试“网上采购”,这为电子商务的发展提供了有利的支持;2 电子商务发展的两个
14、阶段(1)60年代90年代:基于EDI 的电子商务从技术的角度来看,人类利用电子通讯的方式进行贸易活动已有几十年的历史了。早在本世纪60年代,人们就开始了用电报报文发送商务文件的工作;70年代人们又普遍采用方便、快捷的传真机来替代电报,但是由于传真文件是通过纸面打印来传递和管理信息的,不能将信息直接转入到信息系统中,因此人们开始采用EDI(电子数据交换)作为企业间电子商务的应用技术,这也就是电子商务的雏形。EDI在60年代末期产生于美国,当时的贸易商们在使用计算机处理各类商务文件的时候发现,由人工输入到一台计算机中的数据70%是来源于另一台计算机输出的文件,由于过多的人为因素,影响了数据的准确
15、性和工作效率的提高,人们开始尝试在贸易伙伴之间的计算机上使数据能够自动交换,EDI应运而生。EDI(Electronic Data Interchange):是将业务文件按一个公认的标准从一台计算机传输到另一台计算机上去的电子传输方法。由于EDI大大减少了纸张票据,因此,人们也形象地称之为“无纸贸易”或“无纸交易”。从技术上讲,EDI包括硬件与软件两大部分。硬件主要是计算机网络,软件包括计算机软件和EDI标准。从硬件方面讲,90年代之前的大多数EDI都不通过INTERNET,而是通过租用的电脑线在专用网络上实现,这类专用的网络被称为VAN(Value-Addle Network,增值网),这样
16、做的目的主要是考虑到安全问题。但随着INTERNET安全性的日益提高,作为一个费用更低、覆盖面更广、服务更好的系统,其已表现出替代VAN而成为EDI的硬件载体的趋势,因此有人把通过INTERNET实现的EDI直接叫做INTERNET EDI。从软件方面看,EDI所需要的软件主要是将用户数据库系统中的信息,翻译成EDI的标准格式以供传输交换。由于不同行业的企业是根据自己的业务特点来规定数据库的信息格式的,因此,当需要发送EDI文件时,从企业专有数据库中提取的信息,必须把它翻译成EDI的标准格式才能进行传输,这时就需要相关的EDI软件来帮忙了。(2)90年代以来:基于国际互联网的电子商务由于使用V
17、AN的费用很高,仅大型企业才会使用,因此限制了基于EDI的电子商务应用范围的扩大。20世纪90年代中期后,国际互联网(INTERNET)迅速走向普及化,逐步地从大学、科研机构走向企业和百姓家庭,其功能也已从信息共享演变为一种大众化的信息传播工具。从1991年起,一直排斥在互联网之外的商业贸易活动正式进入到这个王国,因此而使电子商务成为互联网应用的最大热点。以直接面对消费者的网络直销模式而闻名的美国戴尔(Dell)公司1998年5月的在线销售额高达500万美元,该公司期望2000年在线收入能占总收入的一半。另一个网络新贵亚马逊(A)网上书店的营业收入从1996年的1580万美元猛增到1998年的
18、4亿美元。三年前开办的eBay公司是互联网上最大的个人对个人的拍卖网站,这个跳蚤市场1998年第一季度的销售额就达1亿美元。象这样的营业性网站已从1995年的2000个急升为1998年的42.4万个。面对电子商务如此迅猛的发展趋势,弗雷斯特(Forrester)公司不得不将它对于2002年电子商务的预测由原来的3270亿美元改为8427亿美元。互联网已成为全球最大的互联网络,已经覆盖150多个国家和地区,连接了1.5万多个网络,220万台主机。5年前,被誉为“英特尔之父”的Vint Cerf曾预测,到2003年全球将会有1亿英特网用户,然而,因特网的发展事实让他跌破眼镜。目前,全球预计已有1.
19、5亿英特网用户,是两年前的3倍。据业界一些专家预计,到2005年,全世界上网的人数将达10亿。第四节 电子商务对社会经济的影响随着电子商务魅力的日渐显露,虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同,这些词汇同时也从另一个侧面反映了电子商务正在对社会和经济产生的影响。(1) 电子商务将改变商务活动的方式。传统的商务活动最典型的情景就是“推销员满天飞”“采购员遍地跑”,“说破了嘴、跑断了腿”;消费者在商场中筋疲力尽地寻找自己所需要的商品。现在,通过互联网只要动动手就可以了,人们可以进入网上商场浏览、采购各类产品,而且还能得到在线服务;商
20、家们可以在网上与客户联系,利用网络进行货款结算服务;政府还可以方便地进行电子招标、政府采购等;(2) 电子商务将改变人们的消费方式。网上购物的最大特征是消费者的主导性,购物意愿掌握在消费者手中;同时消费者还能以一种轻松自由的自我服务的方式来完成交易,消费者主权可以在网络购物中充分体现出来;(3) 电子商务将改变企业的生产方式。由于电子商务一种快捷、方便的购物手段,消费者的个性化、特殊化需要可以完全通过网络展示在生产厂商面前,为了取悦顾客,突出产品的设计风格,制造业中的许多企业纷纷发展和普及电子商务,如美国福特汽车公司在1998年的3月份将分布在全世界的12万个电脑工作站与公司的内部网连接起来,
21、并将全世界的1.5万个经销商纳入内部网。福特公司的最终目的是实现能够按照用户的不同要求,做到按需供应汽车。(4) 电子商务将对传统行业带来一场革命。电子商务是在商务活动的全过程中,通过人与电子通讯方式的结合,极大地提高商务活动的效率,减少不必要的中间环节,传统的制造业籍此进入小批量、多品种的时代,“零库存”成为可能;传统的零售业和批发业开创了“无店铺”“网上营销”的新模式;各种线上服务为传统服务业提供了全新的服务方式。(5) 电子商务将带来一个全新的金融业。由于在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件,随着电子商务在电子交易环节上的突破,网上银行、银行卡支付网络、银
22、行电子支付系统以及网上接服务、电子支票、电子现金等服务,将传统的金融业带入一个全新的领域。1995年10月,全球第一家网上银行“安全第一网络银行”(Security First Network Bank)在美国诞生,这家银行没有建筑物,没有地址,营业厅就是首页画面,员工只有10人,与总资产超过2000亿美元的美国花旗银行相比,“安全第一网络银行”简直是微不足道,但与花旗银行不同的是,该银行所有交易都透过互联网进行,1996年存款金额达到1400万美元,预计到1999年将达到4亿美元。(6)电子商务将转变政府的行为。政府承担着大量的社会、经济、文化的管理和服务的功能,尤其作为“看得见的手”,在调
23、节市场经济运行,防止市场失灵带来的不足方面有着很大的作用。在电子商务时代,当企业应用电子商务进行生产经营,银行是金融电子化,以及消费者实现网上消费的同时,将同样对政府管理行为提出新的要求,电子政府或称网上政府,将随着电子商务发展而成为一个重要的社会角色。总而言之,作为一种商务活动过程,电子商务将带来一场史无前例的革命。其对社会经济的影响会远远超过商务的本身,除了上述这些影响外,它还将对就业、法律制度以及文化教育等带来巨大的影响。电子商务会将人类真正带入信息社会第二章 电子商务支付系统电子商务与支付系统之间存在着密不可分的关系,基于Internet的电子商务,需要为数以百万计的购买者和销售者提供
24、支付服务,目前已开发出了很多网上支付系统。这些系统的实质都是要把现有的支付方式转化为电子形式。Internet电子支付系统主要包括金融机构、付款者和收款者、第三方非银行金融机构,以及各种金融网络等。金融机构通常指银行,它为付款者和收款者保持账户。第三方非银行金融机构提供支付服务,但不保持要求的存款账户,它们与金融机构有接口,根据金融机构保持的账户进行交易处理。各种金融网络为各金融机构和第三方非银行金融机构提供内部连接服务,现在有许多金融机构正在考虑将部分内部网络转移到Internet上, 如Master Card和Visa的信用卡网络,该网络可以实现实时支付授权和对用户之间转账的批清算等功能。
25、电子商务支付系统是电子商务系统的重要组成部分,它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务,即把新型支付手段包括电子现金(ECASH)、信用卡(CREDITCARD)、借记卡(DEBITCARD)、智能卡(SMARTCARD)等的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支付;是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。 第一节电于商务支付系统的构成 电子商务支付系统是集购物流程、 支付工具、 安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。客户用自己拥有的支付工具(如信用卡、电子钱包等)来发起
26、支付,是支付体系运作的原因和起点。商家则是拥有债权的商品交易的另一方,他可以根据客户发起的支付指令向金融体系请求获取货币给付。商家一般准备了优良的服务器来处理这一过程,包括认证以及不同支付工具的处理。客户的开户行是指客户在其中拥有账户的银行,客户所拥有的支付工具就是由开户行提供的,客户开户行在提供支付工具的时候也同时提供了一种银行信用,即保证支付工具的兑付。在卡基支付体系中,客户开户行又被称为发卡行。 商家开户行是商家在其中开设账户的银行, 其账户是整个支付过程中资金流向的地方,商家将客户的支付指令提交给其开户行后,就由开户行进行支付授权的请求以及行与行间的清算等工作。商家的开户行是依据商家提
27、供的合法账单(客户的支付指令)来工作的,因此又称为收单行。 图21电子支付系统的构成。同时利用双重签名技术保证商家看不到消费者的账号信息。 在线商店接受定单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。 在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。 在线商店发送货物,或提供服务;并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。第四章 电子支付安全协议如何通过电子支付安全地完成整个交易过程,又是人们在选择网上交易时所必须面对的而且是首先要考虑的问题。就目前而言,虽
28、然电子支付安全问题还没有形成一个公认的成熟的解决办法,但人们还是不断通过各种途径进行大量探索,SSL安全协议和SET发全协议就是这种控索的两重要结果,它们已经广泛在国际间的电子支付中使用。第一节 SSL安全协议 SSL安全协议最初是由Netscape Communication公司设计开发的,又叫安全套接层(Secure Sockets Layer)协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及了所有TCP/IP应用程序。 1 SSL的工作原理:当一个使用者在Web上用Netscape浏览器漫
29、游时,浏览器利用HTTP协议与Web服务器沟通。例如,浏览器发出一个HTTP GET命令给服务器,想下载一个首页的HTML档案,而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案的文字会通过会话层(Socket)的连接来传送,Socket使两台远程的计算机能利用Internet来通话。通过SSL,资料在传送出去之前就自动被加密了,它会在接收端被解密。对没有解密钥的人来说,其中的资料是无法阅读的。SSL采用TCP作为传输协议提供数据的可靠传送和接收。SSL工作在Socket层上,因此独立于更高层应用,可为更高层协议,如Telnet、FTP和HTTP提供安全业务。SSL提
30、供的安全业务和TCP层一样,采用了公开密钥和私人密钥两种加密体制对Web服务器和客户机(选项)的通信提供保密性、数据完整性和认证。在建立连接过程中采用公开密钥,在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。在所有情况下,服务器通过以下方法向客户机证实自身:给出包含公开密钥的、可验证的证明;演示它能对用此公开密钥加密的报文进行解密。为了支持客户机,每个客户机都要拥有一对密钥,这要求在Internet上通过Netscape分配。由于Internet中的服务器数远少于客户机数,因此能否处理签字及密钥管理的业务量是很重要的,并且与客户联系比给商家以同样保证更重要。2S
31、SL安全协议主要提供三方面的服务: (1)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。 (2)加密数据以隐藏被传送的数据。 (3)维护数据的完整性,确保数据在传输过程中不被改变。 3 SSL安全协议的动作步骤 SSL安全协议的运行步骤包括六步: (1)接通阶段。客户通过网络向服务商打招呼,服务商回应。 (2)密码交换阶段。客户与服务商之间交换双方认可的密码。一般选用RSA密码算法,也有的选用Diffie-Hellman和Fortezza-KEA密码算法。 (3)会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。 (4)检验阶段。检验服务商取得的密码。 (5)客户认
32、证阶段。验证客户的可信度。 (6)结束阶段。客户与服务之间相互交换结束的信息。 当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一端收到资料后,再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的宇密码算法,也不能获得可读的有用资料。 在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。4 SET协议中采用的安全技术 SET是在一些早期协议如MasterCard的SEPP以及VISA和Microsoft的STT的基础上合并而
33、成的,它定义了交易数据在卡用户、商家、发卡行、收单行之间的流通过程,也定义了各种支持这些交易的安全功能(数字签名、Hash算法、加密等)。 为了进一步加强安全性,SET使用两组密钥对分别用于加密和签名。SET不希望商家得到顾客的账户信息,同时也不希望银行了解到交易内容,但又要求能对每一笔单独的交易进行授权。通过双签名(dual signature)机制将订购信息同账户信息链在一起签名,SET巧妙地解决了这一矛盾。 SET将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在一起。考虑网上商店的情况,对于成千上万的消费者和商家在INTERNET交换信息,要对每一个消费者通过某个渠道发放一个密钥
34、,在现实中是不可取的。而用公开密钥,商家生成一个公共密钥对,任何一个消费者都可用商家公开发布的公钥与商家进行保密通信,具体介绍如下。 (1)数字信封,SET依靠密码系统保证消息的可靠传输,在SET中,使用DES算法产生的对称密钥来加密数据,然后,将此对称密钥用接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接收者,接收者先用他的私钥解密数字信封,得到对称密钥,然后使用对称密钥解开数据。 (2)数字签名,由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的数据只能用另一个密钥解开。SET中使用RSA算法来实现。发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥
35、解开数据后,就可确定消息来自于谁,这就保证了发送者对所发信息不能抵赖。 (3)双重签名,为了保证消费者的帐号等重要信息对商家隐蔽,SET中采用了双重签名技术。在交易中持卡人发往银行的支付指令是通过商家转发的,为了避免在交易的过程中商家窃取持卡人的信用卡信息,以及避免银行跟踪持卡人的行为,侵犯消费者隐私,但同时又不能影响商家和银行对持卡人所发信息的合理的验证,只有当商家同意持卡人的购买请求后,才会让银行给商家负费,SET协议采用双重签名来解决这一问题。 5 SET协议主要特点 (1)信息的保密性。SET的一个重要特点是持卡人的信用卡号码只提供给银行,而商家无法知道信用卡号码。SET利用DES密码
36、算法提供信息的保密性。 (2)数据完整性。从持卡人发往商家的支付信息包括订购信息、个人数据及支付指令。SET引入RSA数字签名及Sha-1杂凑函数确保这些消息的内容在传输过程中不被非法更改。 (3)持卡人身份的鉴别。SET可以让商家鉴别持卡人是有效信用卡账号的合法用户。SET采用X.509V3数字证书和RSA数字签名达到这一目的。 (4)商家的鉴别。SET是持卡人可以鉴别商家真实性,而且可以验证商家能否接受信用卡支付。SET同样采用X.509V3数字证书和RSA数字签名实现这一功能。 6 SET协议的安全性分析与总结 SET协议主要通过使用密码技术和数字证书方式来保证信息的机密性和安全性,它实
37、现了电子交易的数据完整性、机密性、身份的合法性和不可否认性。 数据完整性(Data Integrity) SET协议通过使用Hash函数来保证数据完整性。报文发送后,Hash函数将为之产生一个惟一的报文摘要值,一旦报文中包含的数据被篡改,该值就会改变,从而被检测到,这样就保证了信息的完整性。 机密性(Confidentiality)在SET协议下,客户将支付信息PI和订单信息OI进行双重签名商家解密后得到OI,银行解密后得到PI,从而避免了商家访问客户的支付信息。 身份验证(Verification Of Identity)身份认证,是电子商务中非常重要的环节,SET协议使用数字证书来确认商家
38、、持卡客户、受卡行和支付网关的身份,为网上交易提供了一个完整的可信赖的环境。(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。 SET存在的缺陷促使人们设法改进它。中国商品交易中心、中国银行和上海长途电信局都提出了自己的设计方案。读者可以从本书提供的案例中发现这些方案的可取之处。 5 SET的安全性分析(1)采用公钥加密和私钥加密相结合的办法保证数据的保密性SET协议中,支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的公钥加密
39、算法是RSA的公钥密码体制,私钥加密算法是采用DES数据加密标准。这两种不同加密技术的结合应用在SET中被形象的成为数字信封,RSA加密相当于用信封密封,消息首先以56位的DES密钥加密,然后装入使用1024位RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中数据信息的保密性。 (2)采用信息摘要技术保证信息的完整SET协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的,数字签名方案采用了与消息加密相同的加密原则。即数字签名通过RSA加密算法结合生成信息摘要,信息摘要是消息通过HASH函数处理后得到的唯一对应于该消息的数值,消息中每改变一个数据位都会引起信息摘
40、要中大约一半的数据位的改变。而两个不同的消息具有相同的信息摘要的可能性及其微小,因此HASH函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。信息摘要的这些特征保证了信息的完整性。(3)采用双重签名技术保证交易双方的身份认证SET协议应用了双重签名(Dual Signatures)技术。在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不
41、会侵犯顾客的私人隐私这一目的,SET协议采用了双重签名技术来保证顾客的隐私不被侵犯。 第五章 电子支付风险及防范措施电子支付系统作为电子货币与交易信息传输的系统,既涉及到国家金融和个人的经济利益,又涉及交易秘密的安全;支付电子化还增加了国际金融风险传导、扩散的危险。能否有效防范电子支付过程中的风险是电子支付健康发展的关键。第一节 电子支付的主要风险1电子支付的基本风险支付电子化的同时,既给消费者带来便利,也为银行业带来新的机遇,同时也对相关主体提出了挑战。电子支付面临多种风险,主要包括经济波动及电子支付本身的技术风险,也包括交易风险、信用风险等。金融系统中传统意义上的风险在电子支付中表现得尤为
42、突出。(1)经济波动的风险电子支付系统面临着与传统金融活动同样的经济周期性波动的风险。同时由于它具有信息化、国际化、网络化、无形化的特点,电子支付所面临的风险扩散更快、危害性更大。一旦金融机构出现风险,很容易通过网络迅速在整个金融体系中引起连锁反应,引发全局性、系统性的金融风险,从而导致经济秩序的混乱,甚至引发严重的经济危机。(2)电子支付系统的风险首先是软硬件系统风险。从整体看,电子支付的业务操作和大量的风险控制工作均由电脑软件系统完成。全球电子信息系统的技术和管理中的缺陷或问题成为电子支付运行的最为重要的系统风险。在与客户的信息传输中,如果该系统与客户终端的软件互不兼容或出现故障,就存在传
43、输中断或速度降低的可能。此外,系统停机、磁盘列阵破坏等不确定性因素,也会形成系统风险。根据对发达国家不同行业的调查,电脑系统停机等因素对不同行业造成的损失各不相同。其中,对金融业的影响最大。发达国家零售和金融业的经营服务已在相当程度上依赖于信息系统的运行。信息系统的平衡、可靠和安全运行成为电子支付各系统安全的重要保障。其次是外部支持风险。由于网络技术的高度知识化和专业性,又出于对降低运营成本的考虑,金融机构往往要依赖外部市场的服务支持来解决内部的技术或管理难题,如聘请金融机构之外的专家来支持或直接操作各种网上业务活动。这种做法适应了电子支付发展的要求,但也使自身暴露在可能出现的操作风险之中,外
44、部的技术支持者可能并不具备满足金融机构要求的足够能力,也可能因为自身的财务困难而终止提供服务,可能对金融机构造成威胁。在所有的系统风险中,最具有技术性的系统风险是电子支付信息技术选择的失误。当各种网上业务的解决方案层出不穷,不同的信息技术公司大力推举各自的方案,系统兼容性可能出现问题的情况下,选择错误将不利于系统与网络的有效连接,还会造成巨大的技术机会损失,甚至蒙受巨大的商业机会损失。(3)交易风险电子支付主要是服务于电子商务的需要,而电子商务在网络上的交易由于交易制度设计的缺陷、技术路线设计的缺陷、技术安全缺陷等因素,可能导致交易中的风险。这种风险是电子商务活动及其相关电子支付独有的风险,它
45、不仅可能局限于交易各方、支付的各方,而且可能导致整个支付系统的系统性风险。2电子支付的操作风险电子支付加大了风险,也使得其影响范围也扩大了,某个环节存在的风险对整个机构,甚至金融系统都可能存在潜在的影响。互联网和其他信息技术领域的进步所带来的潜在损失已经远远超过了受害的个体所能承受的范围,已经影响到经济安全。这种情况与技术有着直接的关系,其中表现最为突出的是操作风险。电子货币的许多风险都可以归纳为操作风险。一些从事电子货币业务的犯罪分子伪造电子货币,给银行带来直接的经济损失。这些罪犯不仅来自银行外部,有时还来自银行内部,对银行造成的威胁更大。(1)电子扒手一些被称为“电子扒手”的银行偷窃者专门
46、窃取别人网络地址,这类窃案近年呈迅速上升趋势。一些窃贼或因商业利益,或因对所在银行或企业不满,甚至因好奇盗取银行和企业密码,浏览企业核心机密,甚至将盗取的秘密卖给竞争对手。美国的银行每年在网络上被偷窃的资金达6000万美元,而每年在网络上企图电子盗窃作案的总数高达5100亿美元之间,持枪抢劫银行的平均作案值是7500美元,而“电子扒手”平均作案值是25万美元。“电子扒手”多数为解读密码的高手,作案手段隐蔽,不易被抓获。(2)网上诈骗网上诈骗包括市场操纵、知情人交易、无照经纪人、投资顾问活动、欺骗性或不正当销售活动、误导进行高科技投资等互联网诈骗。据北美证券管理者协会调查,网上诈骗每年估计使投资
47、者损失100亿美元。(3)网上黑客攻击即所谓非法入侵电脑系统者,网上黑客攻击对国家金融安全的潜在风险极大。目前,黑客行动几乎涉及了所有的操作系统,包括UNIX与windowsNT。因为许多网络系统都有着各种各样的安全漏洞,其中某些是操作系统本身的,有些是管理员配置错误引起的。黑客利用网上的任何漏洞和缺陷修改网页,非法进人主机,进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等。(4)电脑病毒破坏电脑网络病毒破坏性极强。以NOVELL网为例,一旦文件服务器的硬盘被病毒感染,就可能造成NetWare分区中的某些区域上内容的损坏,使网络服务器无法启动,导致整个网络瘫痪,这对电子支付系统来说无疑是
48、灭顶之灾。电脑网络病毒普遍具有较强的再生功能,一接触就可通过网络进行扩散与传染。一旦某个程序被感染了,很快整台机器、整个网络也会被感染的。据有关资料介绍,在网络上病毒传播的速度是单机的几十倍,这对于电子支付的威胁同样也是致命的。鉴于电脑网络病毒破坏性极强、再生机制十分发达、扩散面非常广的特点,如何解决电脑网络病毒是当前电子支付监管要解决的首要问题之一。要检查三个方面:第一,检查银行同客户、技术厂商等当事人的协议是否充分规定了各方的权利和义务,确保这些法律文件中规定银行有权监测、存储和追踪电子交易;第二,检查银行是否考虑了关于数字签名、认证机构的法律,包括地方法和中央法;第三,检查银行同第三方签订的协议是否也包含在银行保护客户和遵守纪律的文件中。第三层次主要检查的内容有:第一,检查银行是否采取了有关的措施确保网上业务遵守资料保存和客户保密的法律;第二,对于银行卡之类的电子货币产品,确保有关的协议明确了银行、客户和第三方
