【电子支付安全】针对电子支付不安全的对策研究

　　【电子支付安全】针对电子支付不安全的对策研究

　　电子支付的信息安全在很大程度上依靠于网络信息安全技术的完善，这些技术包括很多，其中有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测警技术等等，针对这些技术上的问题，应该用技术和法制人制方面来解决，为此我提出如下解决方法：

　　1.对电子支付安全性的全面熟悉

　　通过因特网上进行电子支付，最核心的问题是安全问题，我们要解决安全问题，主要通过数据传输真实性主要用数字证书来解决，机密性主要用数据加密来解决，完整性主要用消息摘要来解决，不可否认性主要用数字签名和事件日志来解决。利用密码技术，并通过上边所述的解决方法，人们也制定了很多电子商务协议，用其来达到完成电子商务交易可以通过架设防火墙，它是近来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络。还可以通过数据加密技术来。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。数字签名技术。数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着非凡重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证实文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。还可以通过设置电子商务信息安全协议来进行。现有的电子商务交易协议有多种，但是目前常用的只有SSL和SET两种。

安全套接层协议，SSL是由NetscapeCommunication公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。②安全电子交易公告。SET是为交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。③安全超文本传输协议。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HTTP的安全性进行了扩充，增加了文的安全性，是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。④安全交易技术协议。STT将认证与解密在浏览器中分离开，以提高安全控制能力。⑤UN/EDIFACT标准。UN/EDIFACT文是唯一的国际通用的电子商务标准。P2P技术与网络信息安全。P2P是近年来广受IT业界关注的一个概念。

P2P是一种分布式网络，最根本的思想，同时它与C/S最显著的区别在于网络中的节点既可以获取其它节点的资源或服务，同时，又是资源或服务的提供者，即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的，包括通讯、服务和资源消费。隐私安全性：①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征，获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容，但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中，系统要求每个匿名用户同时也是服务器，为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节，用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标，在一个大规模的环境中，任何一次通信都可能包含许多潜在的用户。②目前解决Internet隐私问题主要采用中继转发的技术方法，从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中，所有参与者都可以提供中继转发的功能，因而大大提高了匿名通讯的灵活性和可靠性，能够为用户提供更好的隐私保护。

　　2.建立可靠的电子支付信用体系

　　电子商务作为一种商业活动，信用同样是其存在和发展的基础。电子商务和信用服务都是发展很快的新兴领域，市场前景广阔。从二者的关系看，一方面，电子商务需要信用体系，而信用体系也很可能最先在电子商务领域取得广泛的应用并体现其价值。因为电子商务对信用体系的需求最强，没有信用体系支持的电子商务风险极高;而在电子商务的基础上又很轻易建立信用体系，电子商务的信息流、资金流、物流再加上电子签章，四者相互呼应交叉形成一个整体，在这个整体之上，只要稍加整合分析，进行技术处理就可以建立信用体系，并且该信用体系对电子商务是可控的。于是，整合电子商务与信用体系，或者建立电子商务的信用体系，就成为一种需求、一种目标、一项任务。

为了使诚信体系能在电子支付系统中使用，本人研究了P2P技术，为了使P2P技术能在更多的电子商务中发挥作用，必须考虑到网络节点之间的信任问题。实际上，对等诚信由于具有灵活性、针对性并且不需要复杂的集中治理，可能是未来各种网络加强信任治理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过猜测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是拍卖系统eBay。在eBay的信誉度模型中，买卖双方在每次交易以后可以相互提升信誉度，一名用户的总的信誉度为过去6个月中这些信誉度的总和。

eBay依靠一个中心来治理和存储信誉度。同样，在一个分布式系统中，对等点也可以在每次交易以后相互提升信誉度，就象在eBay中一样。例如，对等点i每次从j下载文件时，它的信誉度就提升或降低。假如被下载的文件是不可信的，或是被篡改过的，或者下载被中断等，则对等点i会把本次交易的信誉度记为负值。就象在eBay中一样，我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。每个对等点i可以存贮它自身与对等点j的满足的交易数，以及不满足的交易数，则可定义为：Sij=sat-unsat[page]

　　信用体系可以说是一种最为灵活且最有可能与电子商务本身实现良性互动的规范模式，它可以无处不在，同时，却能做到大相无形。正如我们前面分析的，由于电子商务与信用体系在本质上的一致性，它们可以很轻易地做到无缝连接，这种无缝连接所带来的效率和便捷正是电子商务所必需的。而在行政治理及法律制裁中，我们发现，要实现它们与电子商务的无缝连接还是十分困难的。

　　3.加强法制人制上的治理力度

　　我国电子支付安全治理除现有的部门分工外，还需要建立建立合理的电子现金识别制度，发行统一的电子现金是不可能的，所以必须建立合理的电子现金识别制度。

　　限制电子现金的发行人。目前情况下，可以只答应银行发生电子现金。这样，许多现行的一些货币政策和法规可以应用于电子现金，而无须太大的改动。当电子商务环境成熟时，再扩展到有实力和有信誉的大公司和网络服务提供商。

　　消费者的个人信息存储在银行，假如银行的网络遭到攻击，私人信息可能会泄露，若补救不及时时，很可能给消费者造成巨大损失。所以，应从法律上和技术上共同防止黑客攻击。

　　在人才培养中，要注重加强与国外的经验技术交流，及时把握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动。加快立法进程，健全法律体系。

　　结合我国实际，吸取和借鉴国外网络信息安全立法的先进经验，对现行法律体系进行修改与补充，使法律体系更加科学和完善。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此，需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。在网络建设与经营中，因为安全技术滞后、道德规范苍白、法律疲软等原因，往往会使电子商务陷于困境，这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内答应标保的财产进行标保，并在出险后进行理赔。

　　进行网络技术创新，重点研究关键芯片与内核编程技术和安全基础理论，以创新的思想，建立具有中国特色的信息安全体系。建立统一的技术规范，把局部性的网络就进行互连、互通、互动。目前，国际上出现许多关于网络支付安全的技术规范、技术标准，目的就是要在统一的网络环境中保证在电子支付中的个人隐私信息的绝对安全。我们应从这种趋势中得到启示，在同国际接轨的同时，拿出既符合国情又顺应国际潮流的技术规范。