《网络支付的安全需求及相应的解决对策》由会员分享,可在线阅读,更多相关《网络支付的安全需求及相应的解决对策(7页珍藏版)》请在金锄头文库上搜索。
1、网络支付的安全需求及相应的解决对策摘要:电子商务和网络支付在创新的基础上飞速发展, 但由于发展时间短、缺少政府部门监管, 整个行业处于无序发展的阶段。网络支付安全已经成为电子商务应用的关健环节,为此, 回顾了网络支付的发展历史和现状, 讨论了目前市场上几种主流网络支付方式的运营模式及盈利方式。针对网络支付可能发生的风险进行了分析, 并为促进整个电子商务网络支付的健康、快速发展提出新的监管建议。本文指出了目前常见的电子商务支付安全问题, 网络支付的安全需求, 并分析了应对电子商务网络支付安全问题的主要技术及应用。关键词:电子商务 网络支付 安全需求 问题 解决方案 一、 网络支付的概述网络支付,
2、也称网络支付与结算,它指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统特别是Internet,以电子信息传递形式来实现资金的流通和支付。我们也可以将它理解为电子支付的高级方式。它是电子支付的一个最新发展阶段,以电子商务为商业基础,以商业银行为主体,使用安全的主要基于Internet 平台的运作平台,通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。从这里可以看出,基于Internet 的即时网络支付是电子商务业务流程的一个关键环节,高水平电子商务发展的需求直接导致网络支付结算的兴起。二、 网络支付的
3、产生网上支付的产生离不开电子商务,可以说它们是一对孪生兄弟,对网上支付的产生的分析首先应该从电子商务发展谈起,他离不开电子商务发展中所呈现的规律和特点。网上支付就是在网络环境下利用高新的IT技术将以电子为载体的数字化信息和支付指令通过传递、接收和处理,实现资金价值转移的一种过程。1. 电子商务的特点和网上支付的产生1.1 商业市场全球化特点随着交易区域和国界的跨越,在网上开辟和存在一个巨大的全球性商业市场;这种网上虚拟市场的出现将使企业的发展和生存空间变得越来越大,而市场的地域界限则变得越来越模糊和狭小。这种跨地区和跨国界交易的市场地域界限的扩大,就要求现实社会所提供的支付适应这种市场发展的需
4、求,于是就要有一种网上支付的新方式,这就是以电子为载体的支付方式。市场地域界限范围的扩展与传统支付方式不适应的冲突,是网上电子支付产生的动因。1.2 交易方便、快捷的特点电子商务可使交易者以最快的速度实现其购买欲望,使顾客足不出户能购天下物,使百姓人不出门能办天下事的梦想成真。这种消费对支付工具多样化愿望选择的不断增强与现实中能实现的各种支付方式间的差距,是网上支付产生的第二个动因。1.3 能满足消费者个性化需求的特点由于网上信息获取的畅通,全球信息资源的共享成为现实可能。交易商品对每个交易这是公平的,是消费者对商品信息的了解不再处在信息不对称的的状态下,使得消费者个性化个性化需求的欲望增强。
5、因此电子商务具有了适应消费者个性化需求的的明显交易特点。,也使得消费者网上对多样化支付方式的选择有不断增强的需求,是网上电子支付多样化产生和出现的根本原因。1.4 低成本渗透的特点电子商务模式代替根深蒂固的实物交易,大大缩短了供、产、销的时间路径、空间路径、人际路径和市场路径,从而极大地降低了采购陈本、生产成本和销售成本。减少纸质载体的支付工具的使用,推行非现金支付工具,特别是电子支付工具。是提供支付服务的金融和非金融机构有发展电子支付需求的经济动因。1.5 高效率和多选择性特点电子商务变有形交易为无形交易,变交易场所商店的现场交易为网上交易场所的虚拟交易,变有纸交易为无纸交易,无疑给人们的工
6、作方式、生活方式、思维方式带来巨大变革。这种电子商务高效率多样化发展的特点要求网上支付的实时和高效的相应配套是网上支付产生的市场因素。 2. IT技术催生了网上支付的产生网上支付的产生离不开信息安全技术的发展,网上信息安全技术的发展催生了网上支付的出现和发展。安全技术是网上支付产生和出现的基础,技术与经济的关系在网上支付问题的研究应用中表现得尤为突出三、 网络支付的发展现状 随着信息技术的不断更新换代, 网络支付的发展大概经历了3个不同的阶段: 支付网关模式、第三方担保模式和多元网络模式。每个阶段都会出现一类创新, 并在此类创新的带动下, 逐渐发展成为市场和消费者认可的新的网络支付模式。而与信
7、息技术的更新换代不同, 在新模式建立的同时, 原有模式并未被淘汰或退出网络支付市场, 而是与新模式共同存在, 并互为平台、相互促进。第一阶段 支付网关模式。这是最早期的网络支付模式。我国各商业银行网上银行的发展类似早期银行卡收单, 不同商业银行的网上银行不能互为平台, 实现资源共享, 因此也造成了一定程度的资源浪费并很难向客户提供更便捷的服务和多样化的选择, 而中国银联对网络支付的反应也远没有其他企业敏感。因此, 网络支付企业开始成为各商家和多家商业银行之间的纽带, 开始向各电子商务企业和个人同时提供多家商业银行的支付服务。这种方式有效地提升了电子支付连接的效率, 并大大降低了各电子商务企业独
8、立搭建支付体系的成本, 并使个人享受网络支付服务成为可能。尽管互联网大大提升了效率, 但却也暴露了由非实名制带来的虚拟性问题。真实的交易如果加上虚拟的交易无疑会增加交易双方的风险性, 而中国缺少信用体系的现实也成为交易双方最大的顾虑。当技术不再成为网络支付的瓶颈后, 交易诚信问题开始变成阻碍网络支付的最大绊脚石。于是, 独立于交易双方的第三方担保方式顺理成章地登上网络支付的舞台。第二阶段 第三方担保模式。交易双方所涉及的交易款项, 在交易双方接受的、相对较短的时间周期内的交易由独立第三方保管。这种模式将互联网的虚拟性所带来的伤害降到最低, 有效地解决了在非实名制环境下网络交易的安全问题。第三方
9、担保模式不仅能有效地促成交易, 同时在发展和推广的过程中培养了广泛的用户群, 并引导和设立了网络支付最早期的交易信用标准。该模式由支付宝于2004年首创, 之后支付宝凭借着这种创新优势, 迅速发展成网络支付的绝对领先者。表面看来, 交易双方的诚信问题得已保障。然而这一交易环节的创新在解决原有问题的同时又带来更多新的问题, 交易金额的流转方式甚至有违规之嫌。在第三方担保模式中的第三方既不是政府, 也不是银行, 而是个性质极普通的法人机构。交易双方由独立第三方“ 监管”, 但独立第三方的公正性如何保证和由谁监管, 这也是政府的监管机构当前所要考虑的新问题。不过在人行2号令中, 对这些问题都已作了解
10、答。近几年随着信息技术的多样化, 网络支付开始向多元网络的方向发展。第三阶段 多元网络模式。手机、笔记本等移动互联网终端的快速发展, 使网络的概念日益多元化, 用户可以使用支付账户或电子钱包作为有效且常用的支付工具。目前支付宝手机客户端的累计下载量已接近千万, 手机支付每天的交易已经超过10万笔。不难看出, 随着每次信息技术的更新换代,都必将迎来网络支付模式的革新。尽管现阶段前两种网络支付模式仍在网络支付市场中占绝对的主导地位, 但未来多元网络模式将是网络支付市场发展的强劲推动力。正是上述种种创新, 才推动了今天网络支付行业乃至电子商务行业的飞速发展。根据中国电子商务研究中心提供的数据, 20
11、07年我国网络支付的总额为900亿元人民币, 2008年飞速上升至2 800亿元人民币, 2009年再次跃升至5 850亿元人民币。网络支付已经成为社会生活中不可分割的一部分网络支付的发展过程中出现的问题。四、 常见的电子商务支付的安全问题3.1 身份的安全问题身份的真实性是网络支付安全的核心。身份的安全问题中最多的是身份欺诈。支付过程需要验证支付双方或多方的身份信息,攻击者可能假冒支付某方的身份,从而破坏被假冒一方的信誉或盗取被假冒一方的财产等。例如,利用支付宝等第三方支付的用户,一旦注册邮箱被盗用,支付宝账户中的信誉、支付记录和资金等都被可能被盗取。3.2 指令终端的安全问题由于网络支付采
12、用的指令终端是通用终端,所以更加容易被病毒、木马等攻击。例如,使用通用PC 发送指令到网银的支付,目前盗取各种私有信息的“木马”和病毒在近几年极为猖獗。尤其是网银病毒出现之后,银行客户的资金开始直接受到威胁。目前被发现的网银病毒通常是增强型的击键记录器,它们可以监控客户浏览器登录网上银行时使用的用户名和密码信息,在用户使用证书登录的时候,还可能以捕获该证书并发送给攻击者。网银病毒、键盘木马和网站恶意控件等问题已经严重威胁网络支付。3.3 传输通道的安全问题网络支付的传输网络主要是公共网络。由于公共网络的开发性,例如Internet,支付数据在互联网上的客户端浏览器和服务器端之间传输。网络支付信
13、息被篡改、破解或者伪造,支付信息在网络上传输的过程中被他人非法修改、删除或重用。还有在无线网络传输支付信息的过程中,被窃取或修改等问题。3.4 指令处理服务的安全问题指令处理服务过程可解析出支付指令中包含的支付类型、账户信息、支付金额、支付时间等。解析过程中存在信息被窃取或篡改的可能性,指令处理服务流程中的数据存储、转发过程存在漏洞,可能导致支付相关信息的泄露。3.5 账户安全问题账号安全不仅要保护账号及密码的安全,而且要重点防范与账户相关的客户资料,如账户的信用、支付记录、账户资金等被盗取等安全风险。另外,对于网络支付平台的数据安全方面,外部入侵和内部人员的不规范操作等,也是账户可能面临的安
14、全问题。五、 网络支付的安全需求 通过以上对电子商务网络支付安全问题的探讨可以看出, 当前网络支付中存在大量的安全风险。从我国电子商务发展的具体实践来看, 网络支付的安全需求主要表现在以下几个方面:4.1.交易双方身份认证电子商务活动是在虚拟的网络环境中进行的,在网上进行交易的用户互不相识,要使交易成功,首先要能确认对方的身份是合法的。因此,方便而可靠地确认对方身份是交易的前提,可以用数字证书以及CI认证的方式实现对交易用户的可认证性。4.2. 交易信息加密且不被识别保密性意味着在参与者之间的通信通道具有保密性, 仅允许目标支付方可以看到支付数据。需要对敏感和重要的商业信息进行加密, 即使别人
15、截获或窃取了数据, 也无法识别信息的真实内容, 这样就可以使商业机密信息难以被泄露。4.3. 信息完整性可验证完整性是指在电子支付系统中的支付数据, 不能被未经授权的参与者修改或者破坏, 保证一旦支付交易提交, 支付数据不能非法修改, 同时也确定了支付数据的一致。保护网络支付各方能够验证收到的信息是否完整。4.4. 交易各环节不可否认在电子商务通信过程的各个环节中都必须是不可否认的, 即交易一旦达成, 发送方和接收方都不能否认他所发出和收到的信息, 从而实现有效防止支付欺诈行为的发生, 保证支付参与方对已做交易无法抵赖。4.5. 不可伪造性电子交易文件也要能做到不可修改。六、 针对网络支付安全
16、问题的解决方案通过对传统信息安全技术如加密技术、身份认证技术、防火墙技术、虚拟专用网技术、存取访问控制技术、人侵检测技术等的应用研究, 可以看出, 上述安全技术主要针对网络计算机系统的安全所采取的防范、监控手段, 对于电子商务中的客户端一这一最源头、最基的商务安全防范, 则缺乏有效控制管理的技术手段加以约束和防范.5.1.CA 认证中心CA (Certificate Authority)认证中心, 是采用PKI(Public Key Infrastructure)公开密钥基础架构技术, 专门提供网络身份认证服务, 负责签发和管理数字证书, 且具有权威的、可信赖的和公正的第三方信任机构, 它通过第三方认证的形式, 专门负责发放并管理所有参与网上交易的实体所需的数字证书。作为一个权威的第三方机构, 通过对密钥进行有效地管理, 颁发证书证明密钥的有效
