电子商务网上支付的基本流程如图1所示。①客户连接互联网,用web浏览器进行商品的浏览、选择与订购,填写网络订单,选择应用的网络支付工具,并且得到银行的授权使用,如信用卡、电子钱包、电子现金、电子支票或网络银行账号等。②客户对相关定单信息进行加密处理,在网上提交订单。③商家服务器对客户的订购信息进行检查、确认,并把相关的、经过加密的客户支付信息等转发给支付网关,直至银行专用网络的银行后台业务服务器进行确认,以期待从银行等电子货币发行机构验证得到支付资金的授权。④银行验证确认后,通过建立起来的支付网关的加密信道,给商家服务器回送确认及支付信息,并给客户回送支付授权请求。⑤银行得到客户传来的进一步授权结算信息后,把资金从客户账号拨至开展电子商务的商家银行账户上,借助金融专用网络进行结算,并分别给商家和客户回送支付结算成功的信息。⑥商家服务器收到银行发来的结算成功信息后,给客户发送网络付款成功信息和发货通知。至此,一次典型的电子支付结算流程结束。商家和客户可以分别借助网络查询自己的资金余额信息,以进一步核对。
电子商务网上支付的基本流程只是对目前各种网上支付结算方式的应用流程的简单归纳,并不表示各种网上支付方式的应用流程与上述的一样,但大致遵循该流程。 2电子商务网上支付系统的构成 电子商务网上支付体系的基本构成如图2所示。 其中:①客户是指与某商家有交易关系并存在未清偿的债权债务关系(一般是债务)的一方。②商家则是拥有债权的商品交易的另一方,他可以根据客户发起的支付指令向金融体系请求获取货币给付。③客户的开户行是指客户在其中拥有账户的银行。④商家开户行是商家在其中开设账户的银行,其账户是整个支付过程中资金流向的地方。⑤支付网关是公用网和金融专用网之间的接口,连接银行网络与internet的一组服务器。支付网关其主要作用是完成两者之间的通信、协议转换和进行数据加、解密,以保护银行内部网络的安全。⑥金融专用网络则是银行内部及银行间进行通信的网络,具有较高的安全性。⑦认证机构则负责为参与商务活动的各方(包括客户、商家与支付网关)发放数字证书,以确认各方的身份,保证电子商务支付的安全性。 除以上参与各方外,电子商务支付系统的构成还包括支付中使用的支付工具以及遵循的支付协议,是参与各方与支付工具、支付协议的结合。
在网上交易中,消费者发出的支付指令,在由商户送到支付网关之前,是在公用网上传送的。考虑公用网上支付信息的流动规则及其安全保护,就是支付协议的责任。 3电子商务网上支付系统的安全需求 当电子商务作为一种新型的贸易方式兴起时。支付与结算也必须适应网络环境的特点,但目前存在的这些支付手段都是支付结算长期发展的选择,在一定的范围内都有其生命力,因此,在研究网上支付的时候,不能放弃目前的支付手段而只顾创新,应看到传统支付手段的生命力存在,应研究它们在网络新环境下的新发展,并在此基础上进行支付手段的创新设计。商品社会是一个信用的社会,一定的信用关系与信用制度是支付体系得以建立与完善的基础,同时,支付体系的完善要涉及到以下因素: 3.1 支付承诺在信用关系良好的国家,有时凭一纸签名或口头承诺就可实现支付,从而降低了支付成本。要完善支付系统,必须逐步改善人们之间的信用关系,提高支付承诺的地位。 3.2 对违法者的惩罚要对不守信用的违法者采取严惩的措施,使其为之付出的代价大于甚至远远大于违法所获得的收益。 3.3 信用积累制度信用积累制度会激励个人努力保持良好的信用记录,从而促进整个信用体系的良性循环。 3.4 身份认证信用体系中一定要有身份认证,还要包括信用记录、背景记录等功能。 4电子商务网上支付系统安全性问题的研究
4.1 现有解决方案技术的发展进步已为以上方面提供了可能的解决方案。现有电子商务网上支付系统的安全体系结构一般分为三大层次 4.1.1 第一层:基本加密算法目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。对称密钥体制(又称单钥密钥体制),即对信息加解密使用的密码是同一密码。非对称密钥体制(又称公钥密钥体制),即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。 4.1.2 第二层:安全认证手段①数字摘要(digital digest)。采用中一向hash函数,将需要加密的信急原文通过特定的变换,将其“摘要”成一串128位的密文。利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。②数字信封(data envelop)。采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。③数字签名(digital signature)。只有信息发送者才能产生的别人无法伪造的一段数据串。④数字时间戳(digital timestamp)。数字时间戳服务是网上安全服务项目,由专门的机构提供。⑤数字证书和数字凭证(digital critical & digital id)。用电子手段来证实一个用户的身份和对网络资源的访问和权限。⑥认证中心(ca)。ca认证中心就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。
4.1.3 第三层:安全认证协议①安全文本传输协议(s-http:secure http)是对http协议的扩展,保障web站点间交易的机密性、可靠性、完整性。它并不依赖于特定的密钥证明系统,目前支持rsa,带内和带外以及kerberos密钥交换。②安全套接层协议(ssl)是一种利用公开密钥技术的工业标准。它提供一个终端对终端的加密了的通信会话。它嵌套在传送层与应用层之间,由两个协议组成。③安全电子交易协议(set)一种应用在internet上、以信用卡为基础的电子付款系统规范,一个用以保护电子交易的隐私和保证交易的真实性的开放标准。它采用公钥密码体制和x.509数字证书标准,目的就是为了保证网络交易的安全。 4.1.4 支付网关支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,主要完成通信、协议转换和数据解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能[1]。 4.2 现有解决方案中存在的问题 4.2.1 安全体系的基础―加密算法存在许多缺陷现有的私钥密钥体制中,idfa和des运行速度很快,但密钥管理很困难;而且des算法(56bits)已被数以万计的网民们用穷举法在20余小时联手破译了。现有的公钥密钥体制中,国际上比较流行的公钥加密算法有rsa算法、eigamal和椭圆曲线算法等。其中,rsa最有名,但rsa129(模长十进制129位)系统仍然在1994年被美国贝尔电报电话公司首席科学家等人强行破译了。现有的rsa154虽不失为强公钥密钥体制之一,但其安全强度有待加强;其加解密速度太慢,只适于传送私钥密钥体制的密钥。 4.2.2 电子商务认证体系有待进一步健全一方而是设立的数量不够和分布不平衡;另一方而是认证程序的普及不够。目前我国国内虽已建有几十家ca中心,但都或地域或行业各自为政,形成一个电子商务时代的ca割据局而,使得本来就发展较晚的电子商务更加步履艰难。 4.2.3 目前仍没有一个完全成熟的标准交易协议ssl协议虽然能有效地满足传送中数据的保密性并且保护数据不被修改,但它仍然有一定的缺陷:如客户身份验证,即使在ssl3.0中发展了客户身份验证和数据加密方法,设计ssl3.0的应用程序时可能还会出现一些问题 [2]。
4.3 提出的安全对策针对两种密码体制对密钥管理以及当前的加密算法进行改进,同时与各环节,诸如交易协议、数字签名、数字信封以及数字时间戳等相结合并应用。采用不等长编码对数据加密的方法;把不同的加密方法结合在一起使用等等。并且对先进加密算法aes进行研究与紧密地跟踪。这几年来,除了使用普通加密系统、解密系统以外,还产生了一个新概念:信息伪装,即把机密资料通过秘密的手段隐藏在另一个不是机密文件的内容之内,它的形式能够是任意的一种数字媒体,例如通常的文档、图像、视频以及声音……,它的首要目标就是要有很好的隐藏技术。 以卡为中心的业务运用与卡交换中心的试点工程在银行业分别得到发展和建立。很多商业银行都发展了网络银行以及电话银行业务,同时开展了ca认证的工作。当前,银行业统一的ca认证中心cafa在我国已建立,商业银行,以中国银行为例,还建立了自身的ca认证中心,并对当中的一些安全问题采取了有关的信息安全措施。按照当前我国支付系统,试图对set的交易流程进行改进时,可从从支付网关子系统、商户交易安全平台子系统和客户管理子系统二方进行考虑。以web为基础的应用程序的客户交易代理(agent)以及商户交易安全平台,让用户能够安全地使用浏览器连接被保护的站点,其含有用户的客户交易代理以及商户交易安全平台。agent与商户交易安全平台通过协商形成安全会话,对web服务器同浏览器间的传输数据进行保护,agent的职责为管理browser端密钥和同服务器端连接的安全性;而商户交易安全平台的责任是确保服务器端的安全性和管理服务器端密钥。agent对收到浏览器发送的数据进行加密与签名,激昂而把保护的数据传到商户交易安全平台,而商户交易安全平台再把这些数据送到web server之前解密与验证。
在高安全性的加密设备被广泛地应用在应用系统和网络通讯等方面,诸如支付密码、防火墙设备以及身份认证技术……,诸如支付密码器等各类型的加密设备都在银行取得了普遍的利用。通过数字签名技术、一维条码技术,利用特用于防伪造的电子票据达到跨币种、跨地域以及跨银行网上安全支付平台的全而兼容性。应用此些安全保密技术以及设备将在最大程度上增强支付系统的安全性,进而确保了资金的安全。 总之,要建立安全的电子商务网上支付系统,除了前面所论述的支付系统自身的安全体系外,还要考虑操作系统、数据库系统、内外部网和软硬件管理等各方面的安全性,即全方位实施物流、信息流和资金流等环节的安全措施[3]。 5电子商务网上支付系统的模式 20世纪90年代以来,电子商务活动蓬勃发展,各种形式的网上支付成为在internet上开展电子商务活动与商品交换的中间手段和重要工具。许多国家在推广使用基于传统金融网的电子支付的同时,开始建设网络货币支付系统。按照所依赖的支付工具的不同,即根据不同的网络货币类型,可以把这些网上支付系统划分成3种基本类型:基于信用卡的网上支付系统、电子现金支付系统和电子支票支付系统。 5.1 基于信用卡的网上支付系统信用卡支付是美国等发达国家人们进行日常消费的一种常用支付工具,信用卡支付系统与其它形式的支付相比其优点是:信用卡使用简单方便,而且被全世界所广泛发行和接受,占有很大的市场份额。如今在internet上,信用卡支付同样是最普通和首选的支付方式。先后在网上出现的信用卡支付系统包括无安全措施的信用卡支付、通过第三方代理人的信用卡支付、简单加密信用卡支付和基于set的信用卡支付等几种信用卡网上支付模式。由于无安全措施的信用卡支付方式对信用卡信息未做加密处理,对消费者来说,其信用卡信息的安全根本得不到保证;对商家来说消费者的身份也得不到验证,因而这种无完全保障的支付方式早已被淘汰。
5.2 电子现金网上支付系统按其载体来划分,目前电子现金主要包括两类:一类是币值存储在ic卡上的电子钱包卡形式;另一类则是以数据文件的形式存储在计算机的硬盘上。由此,电子现金网上支付系统包括电子钱包卡模式与纯数字现金模式两种。 5.3 电子支票网上支付系统目前,电子支票主要还是通过专用网络系统进行传输的,公共网络上使用电子支票支付行为还较少。为了保证电子支票的安全传输和方便使用,国际金融机构为此建立了专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议。通过专用网络进行电子支票交换的方式已经较为完善,现在发展电子支票的主要问题是如何将电子支票结算系统宽展到internet上。 在线的电子支票可在收到支票时即验证出票者的签名、资金状况,避免了传统支票常发生的无效或空头支票的现象。另外,电子支票遗失可办理挂失止付。因此电子支票既可满足b2b交易方式的支付需要,同时也可用于b2c交易方式的结算,而且成本低,支付速度快,安全性高,不易伪造。 网上电子支票主要通过互联网和金融专线网络,用发送e-mail的方式传输,并用数字签名加密,进行自己的划拨和结算,它是网络银行常用的一种电子支付工具。通常情况下,电子支付的收发双方都需要在银行开设...