1、文 献 检 索 论 文电子商务的安全支付标准院 (系) 管 理 学 院专 业 电 子 商 务班 级 电子商务 0803姓 名 x x x学 号 x x x老 师 x x x2011 年 4 月 30 日电 子 商 务 的 安 全 支 付 标 准摘要网上支付是电子商务中买卖双方通过 INTERNET 进行的一种资金交换活动,是电子商务中实现资金流通的重要途径.由于支付是在开放的 INTERNET 上进行,支付信息很容易遭到黑客的袭击,给买卖双方带来经济损失.因此,如何保证网上支付的安全性,已成为电子商务健康发展必须解决的迫切问题.目前,电子商务中有关安全支付的标准主要有两种,即安全套接层协议 S
2、SL(Secure Sockets Layer)和安全电子交易协议 SET(Secure Electronic Transaction) . 关键词电子商务 安全套接层 网上支付 安全电子交易 支付信息 迫切问题 支付标准 引语当今世界网络、通信和信息技术快速发展,Internet 在全球迅速发展普及,使得商业具有不断的供货能力、不断增长的客户需求和不断增长的全球竞争三大特征。随着信息技术在国际贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和 Internet实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的变化而出现和发展起来的
3、。电子商务提出了一种全新的商业机会、需求、规则和挑战,它代表了未来信息产业的发展方向,已经并将继续对全球经济和社会的发展产生深刻的影响。网上支付系统作为一种切实可行的运营模式,并且这种运营模式具有投资少、方便、快速、不受时间地点限制等优点,因此极大地推动了电子商务的发展。同传统支付相比,电子支付具有更独特的特征,因为任何支付行为都服从于商品交易,而电子支付服从于网上的电子商务活动,因此也为其本身的支付环节确定了如下基本特征:数字化特征、开放性和标准化特征、业务工具的高科技特征、支付流程的高效特征。电子支付改变了以往的贸易方式和中介角色的作用,降低了调研、谈判、捍卫贸易条款、支付和结算、强制履行
4、合同和解决贸易纠纷等商品交换过程中的成本。因此在这种全球化的浪潮下,一个完整的支付系统就越发显得重要。正文网上支付是电子商务中买卖双方通过 INTERNET 进行的一种资金交换活动,是电子商务中实现资金流通的重要途径.由于支付是在开放的 INTERNET 上进行,支付信息很容易遭到黑客的袭击,给买卖双方带来经济损失.因此,如何保证网上支付的安全性,已成为电子商务健康发展必须解决的迫切问题.目前,电子商务中有关安全支付的标准主要有两种,即安全套接层协议 SSL(Secure Sockets Layer)和安全电子交易协议 SET(Secure Electronic Transaction) .电
5、子支付系统的概念模型,它是对现实世界中电子支付活动的形象描述,它由电子支付实体、电子市场、交易事务和信息流、资金流、物资流等基本要素构成。在电子支付概念模型中,电子支付实体是指能够从事电子支付活动的客观对象,它可以是企业、银行、商店、政府机构、科研教育机构和个人;电子市场是指电子支付实体从事商品和服务交换的场所,它由各种各样的商务活动参与者,利用各种通信设施,通过网络连接成一个统一的经济运行环境;交易事务是指电子支付实体之间所从事的具体的商务活动的内容。并且,电子支付的任何一笔交易,都包含着物资流、资金流和信息流这三种基本“流” 。2008 年中国电子商务市场交易额达到 24000 亿元,同比
6、增值达到 41.2%,其中 B2B市场仍是总交易额的构成主体,C2C 基本维持现状,B2C 将提速发展;2008 年 6 月中国网上购物人数达到 6329 万人,网上支付人数达到 5697 万人,增长率分别为 25%和 22.5%。中国电子商务市场发展前景依旧乐观。 图 2004-2008 年中国电子商务市场交易额及增长1、电子支付系统的组成、功能及分类1.我国电子支付系统的发展纵观我国电子商务支付系统的发展,大致经历了柜台业务电子化阶段,使用计算机联网技术实现银行部分业务实时联机处理阶段,以及目前正大力发展的计算机应用网络化、规范化、标准化阶段。自 1996 年以来,各商业银行相继实现了同城
7、票据交换,对公业务通存通兑以及全国电子联行清算功能,并逐步建立了城市综合网络管理系统、资金清算系统、信用卡网络系统、总账传输系统。目前,中国人民银行正在集中建设为商业银行跨行支付的清算和结算服务系统,即现代化支付系统中的上层系统。2.电子支付系统的组成及功能电子商务是信息化社会的商务模式,是商务的未来,它不仅使传统商业变得更加快速、便捷,还将从根本上改变传统商业结构和运作模式。目前电子支付系统主要由以下六个部分组成:(1)持卡人:指由发卡银行所发行的支付卡的授权持有者。(2)商家:指出售商品或服务的个人或机构。商家必须与收单银行建立业务联系,以接受支付卡这种付款方式。(3)发卡银行:指向持卡人
8、提供支付卡的金融机构。(4)收单银行:指与商家建立业务联系的金融机构。(5)支付网关:实现对支付信息从 Internet 到银行内部网络的转换,并对商家和持卡人进行认证。(6)认证中心(CA):在基于 SET 协议的电子商务体系中起着重要作用。可以为持卡人、商家和支付网关签发 X.509V3 数字证书,让持卡人、商家和支付网关通过数字证书进行认证。CA 同时要对证书进行管理。3.电子支付系统的分类要具体了解电子商务系统,我们还要将其做一个详实的分类。电子商务系统的分类可以从三方面来进行。(1)根据在线交易金额划分:大额支付系统、脱机小额支付系统、联机小额支付系统和电子货币。(2)根据在线传输数
9、据的种类(加密、分发类型)划分:使用“受信任的第三方”First Virtual,传统银行转账结算的扩充CyberCash,各种数字现金、电子货币。(3)根据支付手段划分:电子信用卡支付、Smart Card 支付、电子现金支付、电子支票支付等。具体如电子汇款(EFT) 、电子划款等。2、主要的电子支付手段及其安全性分析1.电子信用卡(1)支付方式: 信用卡支付是电子支付中最常用的工具,方法是在 Internet 环境下通过标准的 SET 协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。 支付过程中要进行用户、商家及付款要求的合法性验证。(2)安全策略: 电子信用卡,
10、是通过用户在网上输入账号/密码+数字签名,这些信息都是通过 SET 或者 SSL 协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。(3)安全隐患: 单纯从技术上来说,无安全隐患问题。2.电子支票(1)支付方式: 电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:(2)安全策略: 和电子信用卡一样,采用账号/ 密码+数字签名的方式进行身份验证。 其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别
11、、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。(3)安全隐患: 专用网络上的应用具有成熟的模式(例如 SWIFT(环球银行金融通讯协会、Society for Worldwide Interbank Financial Telecommunication)系统);公共网络上的点的资金转账仍在实验之中。3.电子现金(1)支付方式: 电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转
12、换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名; 节省交易费用;支付灵活方便;安全存储。(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。(3)安全隐患 :逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据
13、,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和 E-Cash
14、序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。4.移动支付(1)支付方式: 移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用 WAP 功能接入移动支付系统,移动支付系统将此次交易的要求传送给 MASP,由 MASP 确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。(2)安全措施:身份验证方式采用个人账号/密码的方式。对交
15、易中的部分敏感信息进行了加密。(3)安全隐患: 手机本身的安全性: 大部分手机不具有用户身份认证模块,运算能力低,速度慢,不合适使用数字水印,由于不能进行很好的加密,而且手机信息传输是无线的,所以目前手机支付就存在比较大的安全隐患。以上所有的支付方式,都不能完全保证支付的安全性,因为协议本身也有不安全的因素。为了更进一步的加强支付的安全性,必须提供更好的中介服务来支持,用户预定商品后,向中间机构支付现金或者支票,卖家把货物送到中间机构,中间机构检测卖家货物是不是符合要求,再把货物转给买家,买家确认后,付款给卖家,这样,更好的保证买方的利益。尽管电子支付还存在很多问题(其中主要是安全和信任问题)
16、 ,但作为电子商务的中心环节,其发展趋势是不可阻挡的,关键是从立法和技术两方面进行逐步完善。3、电子商务中的安全支付机制 1.数据加密技术。面向网络的加密技术是目前较为流行的加密技术,例如使用kerberos 服务的 telnet、nfs、rlogion 等,以及用作电子邮件加密的 pem(privacy enhanced mail)和 pgp(pretty good privacy) 。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。具体有对称密钥密码技术、不对称型加密技术和不可逆加密技术。 2.安
17、全协议。电子商务最常见的安全协议有 SSL 及 SET 两种。SSL 协议独立于应用层协议,在电子交易中被用来安全传送信用卡号码。SET 妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。 3.防火墙技术。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。 4.健全的法律法规。国家需要建立电子商务发展所需的政策和相应的法律、法规等,从大环境上杜绝非法客户的非法操作。 4、电子商务中的认证机制 安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真实性的必要手段。 1.数字摘要。又称安全 Has
18、h 编码法,采用单向 Hash 函数将需加密的明文“摘要”成一串 128bit 的密文,该密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文是不同的,而同样的明文其摘要必定一致。 2.数字签名。数字签名可以保证身份的精确性,分辨参与者所声称身份的真伪,防止伪装攻击。特别是避免通信双方发生如下安全问题:否认、伪造、冒充、篡改。 3.数字时间戳。数字时间戳就是一种能够提供电子文件的日期和时间信息的安全保护的技术,人们可以依赖它来确定电子文档在何时创建和签署的。这对于那些对时间敏感的技术专利、机密文件、网上交易来说是非常重要的。 4.CA 认证。在电子商务系统中,
19、所有实体的证书都是由证书授权中心,即 CA 中心分发并签名的,一个完整、安全的电子商务系统必须建立起一个完整、合理的 CA 体系。5、制约电子商务安全支付系统发展的瓶颈问题电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统的贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务安全支付的发展中还存在许多问题: 1)法律法规环境的建设有待进一步完善和加强电子商务的发展还不够规范,没有标准可遵循,需要加强统筹规划与协调配合。例如:研究信用体系,安全认证、存线支付的安全规范、税收市场准人、隐私
20、权的保护等等;2)缺乏电子商务的支撑体系,如:完善的安全认证体系、支付规范以及有关电子商务及电子支付的标准、现代物流建设迟缓;3)企业,特别是中小企业电子商务应用还不够普遍,没能充分发挥企业主体作用;4)由于已有电子商务门户网站创建较早,无标准规范可循,现存在一些资金风险。如:支付平台建立的缓冲账户以及发行所谓 Q 币,形成了各种资金池”沉淀,大量的企业和个人的资金游离商业银行监管之外,使得央行和银监会难于监管,这是我国目前很大的资金市场隐患和潜在的金融风险;5)有的支付平台不设立用户备付金制度,或不将备付金存管到某商业银行,接受人民银行的监管;6)对人们的宣传教育还十分欠缺,公民的电子商务应
21、用意识还有待于提高,电子商务人才的培养与现实需要还有一定距离;7)与同际接轨参与国际竞争还不够,要加强参与国际电子商务重要规则、条约与示范法的研究与制定工作,紧密跟踪国际电子商务发展动态;8)有的支付平台用户的资金账户得不到安全保护,造成用户资金被欺诈的事情时有发生。虽然电子商务的发展早已是大势所趋,但依然面临着诸多因素的制约。无论是如何避免网上交易成为“逃税区的”税收问题,如何通过法律、法规保护消费者,以及监督管理电子货币发行人等的法律问题、如何正确制定电子商务的资费和标准问题,或是当前最迫切急需解决的安全问题,无一不限制着电子商务的快速前进。而由于 Internet 的全球性、开放性、无缝
22、连通性、共享性、动态性发展,使得任何人都可以自由地接入 Internet,特别是当前网络技术的飞速发展,新的威胁和脆弱点不断出现,从而对网络安全技术提出了更高的要求。使得支付系统的安全问题一跃成为首要的威胁。结论在电子商务发展初期,虽然许多方面都还不够完善,仅从技术角度防范是远远不够的,电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。电子商务在线交易的增长,引发了产业链的变革,支付服务商成为产业链中最活跃的因素。传统金融服务领域出现了新的业务增长空间,新兴 IT 技术公司也找到了新的入场机会,并
23、对传统的金融服务产业形成了巨大的冲击。完全面向互联网的个人对个人支付、电子现金、预付费卡、微支付与移动支付等全新应用满足了多样化的市场需求,并为支付服务商带来了巨大的商业机会。致谢在这次得性能系检索中我学习到了不少的新知识,体会到了学习的重要性,同时感谢学校的规划与教育,感谢老师的指导与监督,通过这次的检索实践学习,让我受益匪浅。为大四的毕业论文设计打下了基础。虽然上机实践的时间比较短,但只有实践才是检验真理的唯一标准,唯有把理论与实践相结合,理论指导实践,实践检验理论,才能更好的服务社会。在这期间我学到了不少的东西,也使我知道了我的很多不足,我还得继续努力,好好学习,完善自我,还有很多事情值
24、得我们去做!感谢郭老师这段时间对我们的教育与指导,让我们在学习理论知识的同时加强了实践的操作能力,这是一个很好的锻炼机会,让我在学习中体会到了快乐,更加深刻的认识到了信息检索在网络世界中的重大作用,它能够带给我们更加便利简洁的搜索方式,能够快速的搜索到想要的东西,为以后的学习打下了坚定的基础。在以后的学习中,我必须多丰富自己的专业课知识,同时要多参加社会实践,在实践中去发现问题,解决问题,并找出自身的不足,再有针对性的去提高自己。以过硬的专业知识和实践能力去竞争去弥补自身的不足,只要我们能一直以良好心态和状态去 充实自己,就能给自己多一分希望,多一分机会,在就业市场中找到真正属于自己的成功。参
25、考文献: 1李 浩:电子商务中电子支付及其安全问题J.天津职业院校联合学报,20082姜 华 杨 静:电子商务的网上支付与安全J.中国管理信息化,2006 3徐雪梅:浅谈保障电子商务活动中的信息安全J.科技情报开发与经济,20034 Duen-Ren Liu, I-Chin Wu and Sung-Ting Hsieh Computer Standards & Interfaces, Volume 23, Issue 5, November 20015 Javier Lopez Universidad Carlos III de Madrid, Avenida de la Universidad, Spain Received 25 April 20076侯丽莹:电子商务的安全支付 作者单位: 河南质量工程职业学院, 20087王丹钰:安全支付模型的新研究 作者单位:沈阳师范大学科技软件学院,20088电子商务安全支付系统综述 作者单位:华中科技大学计算机学院,20039何德全:电子支付安全体系结构的研究与实现 作者单位:四川大学,200510阎旭东:电子商务安全策略 主办单位:中国科协 2002 学术年会,200211http:/12 http:/13 http:/14 http:/15 http:/16 http:/17 http:/18 http:/29 http:/
