網絡電子支付的安全問題與對策

王永健

【摘 要】“網上支付”和電子商務是密不可分的，了解電子商務是理解網上支付重要性的前提和基礎。網上支付是電子商務的關鍵環節，也是電子商務得以順利進行的基礎條件，如何實現完全的在線支付功能，并保證交易各方的安全、保密是實現電子商務關鍵的問題之一。

【關鍵詞】網上支付 電子商務 安全

一、網上支付交易出現的安全隱患

1.用戶的身份冒充

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法利益。攻擊者還以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數據，以干擾用戶的正常使用。

2.泄漏或丟失

是指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏，如利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，探測有用信息。信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等方式竊取敏感信息。對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容，如修改消息次序、時間，注入偽造消息等，從而使信息失去真實性和完整性。網上支付電費大多都是通過網絡銀行進行交易的，攻擊者利用對合法用戶的攻擊盜用合法用戶的用戶名及密碼進行其實操作，這樣對合法用戶造成了巨大的損失。

3.缺少嚴格的網絡安全管理制度

網絡安全最重要的還是要思想上高度重視，網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。

4.非授權訪問

未經許可就使用網絡或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息等。

二、用安全技術對支付進行有效保護

1.加密技術

（1）對稱加密

在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理，每個貿易方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。對稱加密方式存在的一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰，貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

（2）非對稱加密

在非對稱加密體系中，密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握，公開密鑰可廣泛發布，但它只對應于生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是:貿易甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易乙方使用該密鑰對機密信息進行加密后再發送給貿易甲方;貿易甲方再用自己保存的另一把專用密鑰對加密后的信息進行解密。貿易甲方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。

2.密鑰管理技術

（1）對稱密鑰管理

對稱加密是基于共同保守秘密來實現的。采用對稱加密技術的貿易雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。這樣，對稱密鑰的管理和分發工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術實現對稱密鑰的管理使相應的管理變得簡單和更加安全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。貿易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對稱密鑰并用公開密鑰對該密鑰進行加密，然后再將加密后的密鑰和用該密鑰加密的信息(如EDI交換)一起發送給相應的貿易方。由于對每次信息交換都對應生成了唯一一把密鑰，因此各貿易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優點是即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿易雙方之間所有的交易關系。這種方式還提供了貿易伙伴間發布對稱密鑰的一種安全途徑。

（2）公開密鑰管理

貿易伙伴間可以使用數字證書(公開密鑰證書)來交換公開密鑰。國際電信聯盟(ITU)制定的標準X.509(即信息技術——開放系統互連——目錄：鑒別框架)對數字證書進行了定義該標準等同于國際標準化組織(ISO)與國際電工委員會(IEC)聯合發布的ISO/IEC 9594-8:195標準。數字證書通常包含有唯一標識證書所有者(即貿易方)的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。證書發布者一般稱為證書管理機構(CA)，它是貿易各方都信賴的機構。數字證書能夠起到標識貿易方的作用，是目前EC廣泛采用的技術之一。

（3）數字簽名

數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要)，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。

三、網上支付的防范措施

對于消費者而言，要保證網上交易的安全，首先你使用的計算機要安全。具體的措施包括有安裝防病毒軟件（并定期更新病毒庫）、安裝個人防火墻、給系統和網頁瀏覽器常更新安全補丁、不要隨意接受QQ等聊天工具中傳來的文件、不要輕易打開電子郵件中的附件等等。其次，保證連接的安全。進入網站時先確保網址的正確性。在提交任何關于你自己的敏感信息或私人信息，尤其是你的信用卡號之前，一定要確認數據已經加密，并且是通過安全連接傳輸的。瀏覽器和Web站點的服務器都要支持相關協議。第三，保護自己的隱私，在設置密碼時最好以數字和字母相結合，不要使用容易破解的信息作為你的密碼?；◣追昼婇喿x一下電子商務公司的隱私保護條款，這些條款中應該會對他們收集你的哪些信息和這些信息將被如何使用做詳細說明。盡量少暴露你的私人信息，填在線表格時要格外小心，不是必填的信息就不要主動提供。最后，不輕易運行不明真相的程序。攻擊者常把系統破壞程序換一個名字用電子郵件發給你，并帶有一些欺騙性主題，騙你說一些“幫我測試一下程序”之類的話。你一定要警惕了！對待這些表面上很友好、跟善意的郵件附件，我們應該做的是立即刪除這些來歷不明的文件。除以上介紹的安全保護措施以外，最好不要在公共場所使用網絡銀行，比如網巴、公共圖書館等；每次使用完網絡銀行后，應該單擊頁面中相應的“退出登陸”按鈕正確退出。

參考文獻：

[1]高維.電子商務網上支付安全技術研究.電腦知識與技術，2008-04-08.

[2]高志堅.網上支付安全關鍵在于客戶端.科技經濟市場，2008-10-15.

(作者單位：杭州師范大學錢江學院電氣機械系）