浅谈电子商务的支付技术及其安全性作者：王昳晗院系班级：软件22 学号：20******08摘要：随着信息技术的发展，电子商务逐渐走入了人们的视线，在电子商务交易过程中，在线支付则是一个关键环节，也是电子商务可以顺利发展的基础条件，如果没有相应的支付手段，电子商务终究无法实现。

而在线支付最重要的部分就是要保证过程的安全性，如果没有安全的保障，也就没有人敢于进行在线支付。

本文研究了目前较为流行的几种在线支付手段，并对其进行安全性的分析，之后提出了保证安全性的措施。

关键字：电子商务；支付技术；安全性一引言近年来，网络购物风靡，越来越多的人也都通过网购丰富自己的生活。

但是，仍然有很多人对这种新兴的生活方式抱着怀疑谨慎的态度，网购虽然方便，但在线上支付过程中总令人感到存在着安全隐患，尤其是在网络诈骗、钓鱼网站盛行的今天。

所以，要让更多的人能够接受电子商务，享受网络购物带给人的方便快捷，必须要让人们了解支付过程中的安全保障。

本文旨在研究电子商务的在线支付技术以及它的安全性，并探究可能存在的安全隐患，最终为用户提出一些可以使支付过程更加安全的措施。

二常见的在线支付方式在现实生活中，购物支付的主要形式是现金支付或是刷卡支付。

在电子商务中，在线交易的方式也不例外，不同在于用虚拟的电子货币代替现金，用安全手段传递银行卡或信用卡信息。

下面我们主要讨论几种常用的在线支付方式。

(一)银行卡网上支付方式1.概述银行卡网上支付主要通过个人电脑利用Internet公共网络传递支付指令，最终通过支付网关和金融专用网络完成支付结算业务。

随着金融业的发展，各个银行也发行了大量的储蓄卡、借记卡、信用卡等各种各样的卡，由于使用方便、相对安全，银行卡也成了人们网上支付的首选方式。

2.安全性分析目前，银行卡网上支付方式主要分为两种模式：基于SSL协议方式和基于SET 协议方式。

以下重点分别分析这两种协议。

（1）SSL协议SSL(Secure Socket Layer 安全套接层)协议是Netscape提出的协议，它旨在保证两个应用间通信的保密性与可靠性，使客户与服务器应用之间的通信不被攻击者窃听。

SSL协议的过程是，用户通过浏览器登录服务器后，二者通过发送握手信息确认对方的身份，之后用对方证书(RSA公钥)加密一随机密钥，再用随机密钥加密双方的信息流，实现保密性。

由于大部分浏览器自带SSL，因此协议的实现不需额外的软件支持，但是SSL协议依然存在着安全性问题：a.交易过程中消费者需将银行卡信息发送给商家，无法对其保密。

b.未提供对商家的认证，消费者无法确认支付对象就是自已意愿与之合作的商家。

c.信息传递过程中仍有可能遭受截取或攻击，使消费者银行卡信息泄露。

（2）SET协议为了克服SSL协议存在的不足，MasterCard和Visa以及IBM、MicroSoft 等公司联合开发了SET（Secure Electronic Transaction 安全电子交易协议），其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，主要是为了解决消费者、商家和银行之间通过信用卡支付的安全交易而设计的，是针对互联网购物的安全性提出来的一个国际标准。

它的工作流程是，消费者在PC 端通过Internet选定购买物品，并提交订货信息，受到信息后，商家进行应答，以向消费者确认订单的各项信息是否准确，若无误，消费者则发出购物请求，商家接受请求后向支付网关发送支付请求，支付网关检查无误后则向银行发出扣款请求，然后由银行开始逐级进行应答（即：银行向支付网关发送扣款应答，支付网关向商家发送支付应答，商家向消费者发送购物应答），最后消费者接受应答，验证商家证书。

在SET中，消费看必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息，这也就解决了SSL协议中存在的安全性问题。

SET建立了交易各方的信任关系，交易时各方都必须持有认证中心颁发的证书，交易信息也需经三方相互认证，最大程度上降低了商家和消费者遭受欺诈的可能。

但是SET的实现需要额外的软件支持，且需通过认证中心下载并设置证书，所以比较复杂，交易成本也较高。

（二）电子现金交易方式1.概述电子现金（E-Cash）又称数字现金，是一种表示现金的加密序列数，它可以用来表示现实中各种金额的币值，是一种以数据形式流通，在网络支付时使用的现金。

电子现金类似于现实生活中的现金，也有着类似于传统现金的性质：a.匿名性就像传统现金，利用电子现金的购买行为无法被追踪。

b.不可重复使用电子现金只能使用一次。

c.可传递性电子现金可以像攒同现金一样在用户间进行随意的转让电子现金的主要优点是可以保护支付用户的隐私，同时具有比较方便快捷的特点。

但是相比较于银行卡网上支付方式，电子现金支付方式的使用率较小，这是因为目前电子现金还没有统一的国际标准，可以接受电子现金的商家还不够多，对用户来说在使用上也就不是很方便，而且，应用电子现金对用户、商家、银行的软硬件要求都较高，高昂的使用成本也限制了电子现金的流通和发展。

2.安全性分析电子现金在交易过程中同样采用了SSL协议和SET协议。

除此之外，由于电子现金本质是将金额转化为一系列的加密序列数，所以加密技术的应用至关重要，目前电子现金所采用的密码技术有：a.分割选择技术b.用户在提取电子现金时，不能让银行知道电子现金中用户的身份信息，但银行需要知道提取的电子现金是正确构造的。

分割选择技术是用户正确构造N个电子现金传给银行，银行随机抽取其中的N-1个让用户给出它们的构造，如果构造是正确的，银行就认为另一个的构造也是正确的，并对它进行签名。

c.零知识证明d.证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任何关于被证明消息的信息。

以上两种技术用于将用户的身份信息嵌入到电子现金中。

e.认证f.认证一方面是鉴别通信中信息发送者是真实的而不是假冒的；另一方面是验证被传送信息是正确和完整的，没有被篡改、重放或延迟。

g.盲数字签名h.签名申请者将待签名的消息经"盲变换"后发送给签名者, 签名者并不知道所签发消息的具体内容, 该技术用于实现用户的匿名性。

由于电子现金只是一串经过加密的序列数，比较易于复制，可能在流通市面上存在假钞，同时因为电子现金可以再用户之间随意转让，且不可追踪，为偷窃行为提供了便利，这也使电子现金更加容易丢失。

所以，相比较于银行卡支付，电子现金支付方式存在着更大的安全隐患，风险也较大。

（三）电子支票支付方式1.概述电子支票（Electronic Check）是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。

它保留了纸质支票的基本特征，可视化效果也与纸质支票相类似，填写方式也相同，即需填写收款人姓名、账号、金额、日期，除此之外，电子支票还隐含了加密信息。

它的交易方式是：消费者选择电子支票支付方式后，通过电子邮箱将支票发送给商家，同时向银行发出付款通知，商家通过验证中心对消费者提供的电子支票进行验证，无误后将电子支票送交银行索付，银行对索付的电子支票进行验证无误后向商家进行兑付或转账。

透过定义和交易过程我们可以看到，电子支票实际就是纸质支票的电子化，使用方法也与纸质支票无异，所以这种支付方式很容易被人们理解和接受。

也正是由于与传统纸质支票高度的相似性，电子支票的合法性也有了很好的保障。

2.安全性分析电子支票交易过程中需要支付方、收款方、银行方面共同的确认，使交易过程的可信性得到了保障，避免了交易对象错误的问题。

于是电子支票内隐含的加密信息则成为了保证安全性的关键。

目前电子支票加密及解密的大致过程是，支付方用自己的私钥签署电子支票，将签署过的文件发送给收款方后，接受者使用支付者的公钥来解密客户的签字。

这个过程的关键是确保私钥的安全性，现行的做法是客户使用智能卡来实现对私有密钥的保护。

客户要通过电子支票进行支付，需要在计算机上安装读卡器和驱动程序。

在安装驱动程序时，智能卡设备的加密驱动程序将被安装在机器上。

Web服务器首先验证客户端证书的有效性，在确认证书有效后，Web服务器发送一串随机数给客户端浏览器，智能卡使用私有密钥对这串随机数进行数字签名，签名后的随机数串被回送给Web服务器，并由Web 服务器验证签名，如果签名验证通过，Web服务器和浏览器之间使用SSL协议规程，建立安全会话通道进行通信，二者之间发送和接收的信息已经过加密，客户可以进行相关的操作。

三电子商务在线支付存在的安全问题虽然很多金融机构、科技公司等等都在想尽办法提高电子商务中在线支付的安全性，但是在实际支付方式过程中仍然存在着各种各样的安全隐患，可能造成用户的经济损失。

（一）网络攻击电子支付系统的基础是密码学算法，上文所述的所有安全协议、加密算法均是通过密码学的方法实现的，一旦在加密过程中受到攻击，将会使用户受到损失。

常见的攻击有一下两种：1.对支付协议进行攻击2.对密码系统进行攻击（二）用户密码管理疏忽大部分的用户遭受损失主要原因是密码被破解，账号被盗取，这样一来无论使用何种安全协议均也都没有用处了。

密码容易被破解主要是由于大量用户使用的密码过于简单，单纯的数字如生日、完整的单词或是姓名等等，这样的密码都为破解者提供了方便，只要稍稍了解这个用户，可能就可以根据他的个人信息得到正确的密码。

还有一个原因是绝大多数用户在不同的网站都使用了同一套的用户名和密码，这样只要一个网站的用户信息被泄露，他人将可以根据这些信息登录不同的网站，这样一来用户的安全就会受到极大的威胁。

如2011年底轰动一时的CSDN用户密码泄露事件。

（三）网络病毒入侵病毒及木马的入侵也使用户的支付安全受到威胁。

由于利益的驱动，如今很多的病毒、木马都是专门为了窃取用户网银密码而制作的，计算机被这些病毒木马感染后，一旦进行在线交易，网上银行的密码将会被传送出去，用户的账号也再没有安全可言了。

比较典型的木马如TrojSpy_Banker YY，它会监视IE浏览器正在访问的网页，如果发现用户正在登录工号网银，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，然后通过邮件将窃取的信息发送出去。

（四）钓鱼网站钓鱼网站可以伪装成人们熟悉的电子商务网站，其界面可能与原网站无异，但是当用户错将钓鱼网站认为原网站，并且在钓鱼网站上进行交易时，该网站将会将用户的密码信息储存、发送，以获取用户的密码。

（五）法律监管问题由于在线支付是一种新兴的支付服务，目前还没有专门的法律法规来保障网上支付的安全，这也导致了网上非法金融交易活动逐渐活跃，甚至当用户的财产遭受损失后无法可依，合理的权益无法得到保障。

四提高用户安全性的措施作为用户，我们可能无法从安全协议、加密算法的角度提高我们的安全性，但是我们也可以采取一些措施，使我们的支付过程更加安全。