1、1电子支付系统安全研究赵武 (郑州大学西亚斯国际学院,河南 新郑 451150) 中图分类号:F713.36 文献标识码:A 文章编号:1673-0992(2009)09-076-01 摘要:从电子支付系统的概念入手,介绍了几种常用的电子支付手段,并阐述了两种重要的电子商务安全协议在电子支付系统安全中所起的作用。 同时结合信用卡的支付流程分析了电子支付的过程和相关的安全问题。除此之外,本文还阐述了数字证书和数字签名的原理。 关键词:电子支付系统;数字证书;数字签名 一、电子商务服务蓬勃发展 电子商务出现四十多年了,但是它真正蓬勃发展起来也就是最近十几年的事情。虽然电子商务发展非常快,但有很多障
2、碍限制了电子商务的进一步发展。安全性是其中一个主要的瓶颈。对计算机系统的很多威胁(中断、拦截、改变和伪造)都是利用计算机系统的脆弱性对系统进行攻击造成的。 目前,消费者对电子交易的安全性是非常关注的,但是事实上,和传统的纸质交易相比,只要采用适当的技术和相关法律政策来保护消费者,电子支付系统是方便的,可靠的和安全的。 2二、电子支付系统综览 电子支付系统可以定义为在开放的网络中使用多种支付手段,例如电子资金划拨、智能卡、电子支票和电子信用卡等进行电子交易的方式。 目前在电子支付系统中有两个重要的安全协议 SSL (安全套接层协议) 和 SET(安全电子交易协议)。SSL 协议的目的是在两个沟通
3、方之间提供保密和可靠性。这个协议包含两层。SSL 纪录层协议位于最低层,并且它用作多种高层次协议的封装。握手协议就在这些被封装的协议之中,它允许服务器和客户机之间相互认证,并且在应用协议发出和收到第一个数据之前协商加密算法和加密密钥,这样做的目的就是保证应用协议的独立性,使低级协议对高级协议是透明的。SSL 协议拥有三个主要的安全特性:数据的保密性;数据的一致性;安全验证。SET 是在开放网络环境中的支付安全协议,它采用了公钥密码体制(PKI)和 X.509电子证书标准,通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更低受欺诈的可
4、能性。 SET协议用于支持 B2C这种类型的电子商务模式,即消费者持卡在网上购物与交易的模式。 三、电子支付系统安全措施 由于电子支付的方式很多,在此仅以信用卡为例介绍一下其中的安全3问题。下面阐述一下使用信用卡进行电子支付的过程。这个过程可能会根据信用卡集团、发卡行、收单行之间的协议而有所不同。在这个过程中主要的步骤包括:发卡行颁发一张信用卡给一个潜在的持卡人。一个潜在的持卡人向一个发卡行(持卡人最好在发卡行有一个账号)申请发行一张有信用卡公司标志的信用卡。发卡行有权根据申请人的资质批准或拒绝申请。如果得到批准,一张塑料卡片被通过邮件寄到客户的家中。只要客户打电话给银行启用该信用卡并在卡的背
5、面签上客户的名字,该卡片就能被激活;不论何时客户刷卡消费,商家经过信用卡公司批准,交易通过信用卡支付。商家保留购货单并将购货单卖给收单行并且为此支付一定的服务费用;收单行要求信用卡公司结算货款并得到付款,然后信用卡公司要求发卡行结算;货款从发卡行转移到信用卡公司。在还款期内,同样的数量从持卡人在发卡行的账号中扣除。在以上过程中,信息的传递要经过对称密钥和非对称密钥的加密以保证信息传递的安全性,并通过数字证书来确认商家、银行和执卡人的身份,充分保证了整个交易过程的安全性。 四、数字证书的使用 目前网络欺诈现象的屡屡发生。因此,在买卖双方交易时,必须鉴别对方的可信度。通常的方法是设立一个类似于公证
6、处的第三方认证机构,来认证买卖双方的身份。其基本原理和流程是:在做交易时,应向对方提交一个由 CA(Certificate Authority)签发的包含个人身份的证书,以使对方相信自己的身份。客户在申请证书时,可提交自己的身份证明,经验4证后,颁发证书,证书包含客户的名字和他的公钥,以此作为网上证明自己身份的依据。在网上交易中,最重要的证书是持卡人证书和商家证书。此外,还有支付网关证书、银行证书和发卡机构证书。CA 的主要功能有:接收注册请求,处理、批准拒绝请求,颁发证书。在实际中,CA 可以由大家都信任的一方担当。中国建设银行的网银盾就是数字证书的一个典型的例子。为了保障网上银行客户证书的
7、安全性,建行推出了“电子证书存储器”,即“网银盾”,可以将客户的证书专门存放于盘中,随插随用。目前建行的网银盾类型是预制证书型网银盾。如果连续输入错误口令 10次,网银盾便会自动锁定,用户只能重新申请新的网银盾。预制证书网银盾是指在柜台签约购买的网银盾内,已预先存有建行发放的数字证书,用户可凭此安全便捷地享受建行网上银行的服务。 五、数字签名的使用 数字签名是公开密钥加密技术的另一类应用,用 DES算法、RSA 算法都可实现。它的主要方式是:报文的发送方从报文文本中生成一个 128位的散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送的数字签名。然后这个数字签名将作为报
8、文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收的原始报文中计算出 128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别,保证信5息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。 六、结论 综上所述,电子商务发展迅速,电子支付系统的安全性制约了电子商务的进一步发展。使用数字签名和数字证书可以实现对各方的认证;使用加密技术可以对业务进行加密;使用消息摘要算法可以确认业务的完整性;SSL和 SET协议为电子商务交易的安全进行提供了商业实现标准。所有这些措施都有效地保证了电子支付系统的安全性。 参考文献: 1 Turban Lee. 电子商务管理视角(第四版),高等教育出版社,2006 2 中国建设银行.安全策略方案, 2009,http: 3 黄敏学. 电子商务(第二版),高等教育出版社,2005 4 邵兵家. 电子商务概论(第二版),高等教育出版社,2006 5 杨坚争. 电子商务基础与应用(第六版),西安电子科技大学出版社,2008
