桑国桢 钱振涛
[摘要]在这个网络时代,在线交易已经是稀疏平常的事情了,它是目前电子商务的重要组成部分。而做为整个交易过程中的关键点“在线支付”,更可以说是电子商务中的核心。为了保护这个核心的安全出现了数据加密和身份认证技术,本文解析了一个基于SSL协议的网上支付安全技术的在线支付系统。
[关键词]加密技术 安全问题 支付安全 网络协议
随着各种网络交易平台的日益普及,人们越来越意识到电子商务对经济、企业管理和个人生活所带来的巨大影响。电子商务也成为每个企业的重要项目,电子商务支付的安全及支付协议更是电子商务技术研究的热点。
一、电子支付安全面临的威胁
从理论上讲,网上支付有很多优点,例如便捷、高效、安全等。但目前,我国的消费者网络安全意识不够,使得钓鱼网站黑客攻击频频得手;交易网站的信息安全保护不足,使得消费者的信息资料外泄;第三方交易的不稳定性,使得交易容易出现中断等等。但是最重要的还是网上支付的安全性问题、信誉问题得不到保障。网上支付的安全性是人们最关心的问题。
二、常用的电子商务安全技术
1.加密技术。加密技术是实现电子商务安全的一种重要手段,目的是为了防止合法接收者之外的人获取机密信息,按密钥和相关加密程序类型可把加密分为两种:对称加密(秘密密钥)和非对称加密。
(1).对称加密加密解密过程
A.对称加密的算法基于迭代和替换,属于对称型加密系统。
B.文件的加密和解密使用同一个密钥和同一算法。
C.发送方和接受方必须共享密钥和算法。
D.密钥必须保密。
(2)公开密钥系统
由于对称加密通常也需要经过网络传输,因此,如果有人截获了秘密密钥,也能对加密文件进行解密。这就存在一个如何对秘密密钥进行加密传输的问题。公开密钥系统解决了这个问题。公开密钥的加密、解密过程
A.公开密钥的算法基于数学函数,属于非对称型加密系统。
B.密钥为一对,一个用于加密(公开密钥),一个用于解密(私有密钥) 。
C.发送方和接受方拥有一对密钥中不同的一个。
D.其中,公开密钥是公开的,私有密钥必须由拥有者保密。
2.数字签名技术。据悉数码证书共分成数个等级,顾客可以按照本身所需的安全程度作出选择。最基本的等级是通过一个具备数码签名特征的数码证书,以允许用户在互联网呈交他们的银行资料前,以数码签名方式核准。
比较先进方法是将U盾记忆卡插入电脑解读器中进行鉴定,以证实顾客的身份。这个方法能把侦查到的微少差别部份向银行作出报告。
为了保护顾客的利益,银行的网站会通过安装一个网站主机进行检查或通过DIGICERT主机身份来鉴定他们的身份。网站检查是以另一种数码鉴定形式发给机构的网站主机,充分运用了顾客和网站之间128位元密码SSL协议的安全通讯。
3.数字证书认证中心。CA(Certificate Authority)是数字证书认证的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。数字证书是用来建立数字签名和公-私(public-private)密钥对的。CA在这个过程中所起的作用就是保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中,CA是一个非常重要的组成部分,因为它们确保信息交换各方的身份。
CA通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发并负责在交易中检验和管理证书。用户向CA提交自己的公开密钥和其他代表自己身份的信息,如身份证或护照等,CA在验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。有了数字证书和CA,用户就可以通过互相交换证书来得到对方的公开密钥,不再需要验证每一个想要交换信息的用户的公开密钥,而只需要验证并信任颁发证书的CA的公开密钥就可以了。
4.电子支付的协议
(1)SSL协议。安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。
SSL协议提供的服务主要有:A.认证用户和服务器,确保数据发送到正确的客户机和服务器;B.加密数据以防止数据中途被窃取;C.维护数据的完整性,确保数据在传输过程中不被改变。
(2)SET协议。是一个能保证通过开放网络进行安全资金支付的技术标准。它采用采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。 SET使订单信息和信用卡信息隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。
由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
综上所述,电子支付做为一种与现代科技迅猛发展紧密相关的技术,其安全性在不断的提高。密切注意新的攻击手段,协议漏洞;增加新的信息安全,网络保护措施。将能保证电子支付做为网络交易核心部分的安全。