浅析电子支付的安全问题

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看浅析电子支付的安全问题
一、前言
随着越来越多的商家计划对其企业进行扩展，并进入到电子商务新时代，支付问题就显得越来越突出：如何配套世界范围内的电子商务活动的支付问题，如何处理每日通过信息技术网络产生的成千上万个交易流的支付问题？答案只有一个——利用电子支付。由于电子商务的快速发展，电子支付的重要性越来越明显。电子支付实现了低成本、高效率、全球性的资金流转模式。但由于网络安全等方面的原因，电子支付的应用比例却很低。本文就电子支付中的所存在的安全问题:和相应的对策进行了探讨。电子支付中存在着密码安全，网络病毒、木马安全，第三方支付的安全，SET协议等方面的问题，针对这些问题提出了相对应的解决方案：增强自我防范意识、对木马和病毒的防范，CA认证的建立以及第三方支付策略和SET协议策略。
二、电子支付所存在的安全问题
所谓电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。
1、电子支付安全性主要有三层涵义：
(1)完整性。指信息在存储或传输时不被修改、破坏和丢失，保证合法用户能接收和使用真实信息。
(2)身份真实性。在交易信息的传输过程中，要为参与交易的各方提供可靠标识，使他们能正确识别对方并能互相证明身份，这可以有效防止网上交易的欺诈行为。
(3)不可否认性。必须防止交易各方日后否认发出或接收过的信息。
2、网上支付的安全问题。
(1)密码安全
目前由于黑客的攻击和破坏，密码安全尤其重要，据中国青年报报道，迄今为止，人们在网上购物时一般必须在商业网站输入信用卡号码，这一号码很可能被人窃取、利用，给购物者带来经济损失。同时，商家也担心在交易过程中被电脑“黑客”窃取商业秘密。在网上进行EC的询价、成交、签约，涉及许多商业秘密和公众隐私，1998年初，有人利用在新闻组中查找到的普通技术手段，轻易地从多个商业站点窃取了80000多个信用卡帐号和密码。
(2)网络病毒、木马问题
如今网络被应用的越来越多，木马和病毒问题也相对的越来越多了，如今很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页，如果发现用户正在登录个人银行，直接进行键盘记录输入的账号、密码，或者弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3、第三方支付的安全问题
(1)运行风险问题
政策风险是这个行业最大的风险，严重影响了资本对这个行业的投入，没有资本的强大支持，这个行业靠自己的积累和原始投资是很难发展起来的。现在国家制订相关法律法规，准备在注册资本、保证金、风险能力上准备对这个行业进行监管，采取经营资格牌照的政策来提高门槛。门槛的提高给第三方支付带来了运行风险问题。
(2)安全问题
第三方支付的安全问题主要有两个方面：系统安全和管理安全。系统安全主要是因为第三方支付都是在虚拟网络中进行的，网络安全就显得非常重要。而管理安全性问题则是第三方支付平台运营商的“内部人”控制和内部人管理的问题。
(3)认知问题
由于网络教育不够全面，很多人根本没有机会接触到电子支付，对第三方支付并不是很了解，这就造成了买卖不能正常运行的问题
4、SET协议存在的问题
SET（Secure Electronic Transcation即安全电子交易协议）是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。 SET协议存在的问题有
(1)协议使用的对称加密算法DES
由于现在网络十分发达,随着计算机处理速度和存储效率的提高，SET协议的对称加密算法己经不是计算上安全的算法了
(2)有足够的技术手段来确认交易双方的身份
由于网络的发达,在网上购物的同时,商户需要通过身份认证来确认付款人即信用卡的真正持卡人，客户需要通过身份认证来确认商户是否具有合法身份的真实商。而这些问题都得不到有效的解决。
三、电子支付安全的建议及对策
１、网上支付安全策略
网上支付安全主要是密码安全，解决密码安全的方案有以下几点：
(1)增强自我保护意识
①识别假冒网站
因此，持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商，熟悉其域名，并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式，可以帮助持卡人识别假网站。
②密码安全
密码保护需要持卡人注意不要设置简单的密码，如不要采用类似“123456”的简单数字组合、自己或亲人的生日信息、电话号码。建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全性。需要注意：一是密码不要设置为姓名、普通单词、电话号码、生日等简单密码；二是结合大小字母、数字共组密码；三是密码位数应尽量大于9位。
(2)对网络病毒和木马的防范
①经常给电脑系统升级，
②是安装杀毒软件、防火墙，经常升级和杀毒，
③在平时上网是尽量不上一些小型网站，选大型网站，知名度比较高的网站，避免网站挂有病毒、木马造成中毒
④尽量不要在公共电脑上使用自己的有关资金的账户和密码，
⑤保证良好的上网习惯，收藏常用的网址，减少网上链接。
⑥使用数字证书是保障网银安全的较好办法。但是，证书尽可能不采用所谓文件证书，即下载到浏览器硬盘上的证书，因为，此种证书易被黑客用木马程序窃取。目前，各银行的应用实践证实：只有将数字证书装入UBKEY中，才是确保安全的好办法。
2、CA认证机构建设策略
现在VISA、MASTER国际信用卡组织以及香港、新加坡银行卡联合组织都建立了自己的认证中心；在欧洲和北美的一些大银行也在联合筹建金融认证中心。由人民银行和13家商业银行参加的我国统一的金融CA中心(CFCA)于2003年6月29日建设成功，投入试运行。它的目标提供BtoB和BtoC两种模式的认证服务，各商业银行及网上（或电子）支付系统提供认证支持;此外也支持中央银行及商业银行的内联网管理、办公自动化及信息传输服务。我国已经发放了第一批非SETCA系统实验证书，之后中国金融认证中心又试发了第一批SET系统证书，首都信息发展有限公司、新浪网站、8848网站、鲨威体育用品公司和工商银行、广东发展银行成为第一批SET证书的持有者。CFCA运行的第一阶段将发放SET和非SET证书共25万张。CFCA所提供网上支付身份认证，将为我国电子商务的开展提供更为有利的操作环境。C2C电子商务认证中心可以对网上进行交易的企业进行资格评定和认证。只有通过资格认证的企业才能获得数字证书，这样的企业也就获得了对网络资源访问的权限，并被允许在网上开展交易活动，同时也可以得到认证中心提供的技术服务支持，从而确保客户的交易在安全、诚信的环境下进行。
3、第三方支付安全策略
(1) 多方面提供安全保障
(a)技术上提供安全保障
(b)管理上提供安全保障
(c)信用机制上提供安全保障
第三方支付通过第三方担保机制，担保了交易双方交易的顺利进行，做到了网络交易中买卖双方的“货到付款”“款到发货”，有效地解决了诚信这个阻碍网络交易的难题。
(2)数字证书的保障
为了保证电子支付的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同.相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全.而数字密码的惟一性,也更有助于客户身份的识别。
(3)制定完善的法律
只有制定了相对完善的法律制度，才能确保第三方支付的正常运行。
4、SET协议策略
(1)替换密码的算法
SET协议规定加密算法为DES加上RSA，而通过上文分析DES加密算法存缺陷，因此可选择用IDEA算法作为DES的代替算法。IDEA的密钥长度为128位，是目前公认比较安全的加密算法。另IDEA和DES算法同是对称加密算法，分组长度都是64位，使用IDEA对原有系统的影响不大。
(2)SET协议应用了双重签名（Dual Signatures）技术。在一项安全电子商务交易中，持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货；而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的，SET协议采用了双重签名技术来保证顾客的隐私不被侵犯。
四、总结
尽管电子支付还存在很多问题，但作为电子商务的中心环节，其发展趋势是不可阻挡的，通过以上的论述，说明了电子支付的重要性，但是还要从自我防范和技术两方面进行逐步完善。大家在进行网上电子支付的同时要注意密码的安全和对网络病毒还有木马的防范，要多留意卖方的信用度，选择信用度比较高的卖方能有效的保证交易的进行。要多留意CA认证系统，和观察第三方对支付安全有没有采取比较正确的措施，只要做了这几点，你在电子交易中就不用害怕各种隐患和安全问题，从来可以开心的在网上购物了。