【电子支付安全】常用的电子商务安全技术-法师兄

【电子支付安全】常用的电子商务安全技术

来源：互联网时间： 2023-04-24 10:40:42 391 人看过

(一)加密技术

加密技术是实现电子商务安全的一种重要手段,目的是为了防止合法接收者之外的人获取机密信息,按密钥和相关加密程序类型可把加密分为两种:对称加密(秘密密钥)和非对称加密。

1.对称加密加密解密过程

(1)对称加密的算法基于迭代和替换,属于对称型加密系统。

(2)文件的加密和解密使用同一个密钥和同一算法。

(3)发送方和接受方必须共享密钥和算法。

(4)密钥必须保密。

2.公开密钥系统

由于对称加密通常也需要经过网络传输,因此,如果有人截获了秘密密钥,也能对加密文件进行解密。这就存在一个如何对秘密密钥进行加密传输的问题。公开密钥系统解决了这个问题。公开密钥的加密、解密过程

(1)公开密钥的算法基于数学函数,属于

非对称型加密系统。

(2)密钥为一对,一个用于加密(公开密钥),一个用于解密(私有密钥)。

(3)发送方和接受方拥有一对密钥中不同的一个。

(4)其中,公开密钥是公开的,私有密钥必须由拥有者保密。

(二)数字签名技术

使用密码技术对文件进行加密只解决了信息的保密性问题,但是如果他人对加密的文件破坏,或者你否认已下的订单,冒充从其账户上支取费用等,对于这些问题,单靠密码技术是不能解决的。而数字签名技术是一种很好的解决方法。

数字签名发送者用自己的私有密钥对数字摘要进行加密就形成了数字签名。只有加入数字签名及验证,才能真正实现在公开网络上的安全传输。在此过程中,首先采用单向函数Hash算法,对原文信息进行加密压缩形成数据摘要。然后使用A自己的私有密钥对数据摘要进行加密形成签名,将数字签名与原文一起传送。B使用A的公开密钥对数字签名进行解密,然后,采用单向函数Hash算法对原文进行加密压缩形成数据摘要,并与收到的数据摘要进行比较验证。如果两者相同,则说明文件在传输过程中没有被破坏,或文件不是伪造的。

(三)认证中心(CACertificationAthority)

认证中心承担网上安全电子交易认证服务、能签发数字证书并能确认用户身份的服务机构。是一个具有权威性、公正性的第三方、是电子商务的重要基础设施,是电子商务的安全保障。CA通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发并负责在交易中检验和管理证书。用户向CA提交自己的公开密钥和其他代表自己身份的信息,如身份证或护照等,CA在验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。有了数字证书和CA,用户就可以通过互相交换证书来得到对方的公开密钥,不再需要验证每一个想要交换信息的用户的公开密钥,而只需要验证并信任颁发证书的CA的公开密钥就可以了。

SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL浏览器与Web服务器之间的安全连接技术。SSL协议通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道。SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括:对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。

SET使订单信息和信用卡信息隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录中寻找所需商品,他拥有支付网关交换密钥的私人密钥,可以发送初始化请求给商家。商家收到客户的初始化请求后,为请求报文分配一个唯一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化响应报文与商家和支付网关的证书一起传给客户。

客户收到该初始化响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名。然后,客户产生订单信息和支付命令,用私人密钥对订单信息和支付命令进行双重签名。并产生一个随机的对称密钥,用它对双重签名后的支付命令加密,然后再用支付网关交换密钥的公开密钥对客户帐号和对称密钥加密。客户将加密后的订单信息和支付命令发给商家。商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的。随后,商家处理订单信息请求,将支付命令传给支付网关并请求授权,同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购买响应报文,并对该报文数字签名后发给客户。客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存收到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。

声明：该文章是网站编辑根据互联网公开的相关知识进行归纳整理。如若侵权或错误，请通过反馈渠道提交信息，我们将及时处理。【点击反馈】

扩展阅读

律师服务

热门律师推荐

律师普法

换一批

更多电子商务安全相关文章

电子支付
【电子支付安全】电子支付安全的解决方案

目前中国所有电子支付服务提供商都还是使用简单的用户名/密码认证机制，虽然某些电子支付服务提供商增加了一个安全控件，但还是存在以下两大严重安全问题：(1)用户的身份认证问题：由于涉及到资金问题，越来越多的黑客和木马软件就盯上了电子支付服务，而电子支付服务提供商现有的用户登录系统是简单的用户名/密码单一认证机制，可以说毫无安全性可言，非常容易被非法窃取而导致用户的资金被盗。(2)电子邮件泄密问题：由于电子支付服务提供商的电子支付服务的原理是通过电子邮件通知来收款和付款的，而电子邮件在互联网上是明文传输的，非常容易被非法窃取，而一旦用户的电子邮件内容被非法窃取，则此笔交易款就极有可能也非常容易被非法盗走。由于以上两大问题，就开始采用“双重认证(two-factorathentication)”技术来解决电子支付的在线身份盗窃问题，其实就是使用用户的个人数字证书来实现安全的身份认证和电子邮件加密。

2023-04-24

151人看过
电子支付
【电子支付安全】电子商务网上支付的风险

电子商务网上支付风险从整体上可分为两大部分:计算机网络风险和商务交易风险。(一)计算机网络风险计算机网络风险包括:计算机网络设备风险、计算机网络系统风险、数据库风险等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。另外,不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。网络软件的漏洞是进行网络攻击的首选目标。此时计算机网络风险主要有:未进行CGI程序代码审计、拒绝服务攻击、安全产品使用不当、缺少严格的网络安全管理制度。(二)商务交易风险商务交易风险是传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。电子商务的形式多样,涉及的安全问题

2023-04-24

144人看过
电子支付
【电子支付安全】提高电子支付安全性的策略

为推动电子支付的健康发展,提高电子支付的安全性,需要从以下范围构筑防范体系:构建严密的电子支付监管体系,防范系统性风险;构建覆盖全社会范围的信用评估体系,防范道德性风险;完善网络信息安全技术、构建统一的电子支付安全认证平台,防范技术性风险;加强电子支付的立法工作,从根本上规范电子支付产业的市场。(一)构建严密的电子支付监管体系由于我国对电子支付提供商监管的缺失,少数第三方电子支付企业在处理电子商务过程中庞大的资金流时,突破经营限制,从事吸收存款等违法活动。构建安全高效的电子支付流程监管体系,可以对电子支付服务提供商进行有效的管理和控制,以防范与电子支付相关的金融风险。(二)构建覆盖全社会范围的信用评估体系目前我国还没有一个权威公正的信用体系。为促进电子商务快速健康发展,构建安全高效的电子支付信用评估体系,需要从以下几方面入手:信用评估指标体系的制定与研究、建立支付信用信息系统、落实账户实名

2023-04-24

329人看过
电子支付
【电子支付安全】电子支付系统的安全是个“系统”的安全问题

对于电子支付系统，大多数人认识的安全是单一的，或者说是纯技术上的，其实电子支付是一个广义的范畴，是支付体系与认证体系的综合，它所带来的安全问题自然也需要从多个角度去观察认识。本人认为首先要做的是澄清这一认识，说电子支付系统的安全问题是因为技术上的不完善是没有错的，但技术上的原因只是单一角度认识的结果，要从根本上解决安全问题，就需要从系统的认识出发，需要增加的是对社会整体的控制(社会环境、立法等)、对规律、方法等深入的认识，以及个人的判断力。技术改进是整体运行的结果，只有这样才能减少单一技术的漏洞，从而在电子支付系统的建设上，真正摸索出一条适合中国国情的建设之路，而对它所带来的对社会各方面的冲击，因为从一开始即研究融入建设之中，所以可减少许多盲目，避免在面临问题时的不知所措。其次，安全体系是附属于电子支付体系的，之所以我们对于电子支付系统的建设慎之又慎、考虑再三，主要是信心不足，而存在的原因

2023-04-24

339人看过

电子支付
【电子支付安全】加强电子支付安全的建议及对策

电子支付安全是一个社会系统工程，它需要构建一个从上到下完整的安全体系。这个体系的具体内容包括，完善的法律与制度、有效的管理与组织流程以及对风险与责任的合理分配，从而建立用户对支付的消费信心。1.构建安全的电子支付产业链加强电子支付产业链的各参与方主体间的权利义务关系和风险责任分配机制，从产业链各个环节控制风险、强化安全。(1)消费者增强个人信息安全防范意识。在安全问题上，加强支付者对身份验证或使用密码钥匙的常规了解，通过实施防火墙技术、加密技术、认证技术、防病毒软件即时升级来保障交易安全，同时对专业提供网上支付服务和第三方平台作用的企业也应有足够的认知。在产品问题上，当权益受到侵害后，立即向侵权者提示并警告，向法律专家进行咨询，也可以向有关部门及时投诉。如果涉嫌诈骗，及时报案，以保障自身和其他消费者的合法权益。(2)加快各类银行卡的发行和功能拓展，更新完善电子网络系统，增加金融电子设备。在

2023-04-24

209人看过
电子支付
【电子支付安全】由电子支付受益者承担安全风险

电子支付系统的开发建设需要政府、专业人士、专业公司及银行等金融机构的参与，而它的推广又需要众多的商家和个人的积极参与，在这些电子支付的必要组成部分里，谁是最终的受益者，据本人的分析，这是一个多赢的结果。从长期来看，最大的受益者是国家，也就是整体经济。因为电子支付所带来的一个必然结果是社会综合成本的降低，实际上也就是减少了国家相应的经济投入，如随着现金的减少、电子货币的记名性，相应地减少了偷窃等犯罪行为的发生，国家因为防范而投入的人力、物力，以及个人相应的投入(如防偷盗措施)也将大大减少。这种增加的不必要的消费减少，意味着相应的商家可以将投资转到其他必要的消费领域，从而减少了资源的浪费。中国人口众多，如果每个人节省10元钱，那就是120亿元人民币。这些商家和个人资金资源的存在，意味着浪费的减少，从而可以寻找这些钱真正有效率的用法。从整体上看，电子支付系统对金融体系同样存在着很大的影响。在以货

2023-04-24

109人看过