电子商务安全与支付尽管网上支付具有很多优势,越来越受到人们的喜爱,但对于普通的消费者来讲,他们仍然迷恋传统的支付方式,这实际上已经成为发展电子商务的主要瓶颈。除了商家和客户还不习惯用电子货币消费外,关键是我国的网上支付业务还很落后,网上支付的效率还很低,确认支付的时间较长,网上支付收取的上网费用和管理费用过高,网上支付有种种限制,如金额限制、地域限制等,重要的是网上支付的安全性问题、信誉问题得不到保障。在中国互联网络信息中(CNNIC)公布的一份报告中,用户对“目前网上购物最大的问题”的回答结果是:认为网上支付安全得不到保障的占36.5%,认为产品质量、售后服务及厂商信誉得不到保证的占27.6%,而认为付款不方便和送货不及时的分别占17.79%和9.39%。由此可见,网上支付的应用和安全保障是人们最关心的问题.一、电子商务对网上支付安全性的要求网上支付涉及到大量资金流的转移以及个人隐私或商业机密,而这种支付是发生在开放性程度非常高的互联网,未经保护的支付数据极易被竞争对手获取,造成严重损失。一个安全的支付系统至少应具备以下基本功能:1.数据保密:交易过程中产生的与支付有关的数据应该被严格保密,除交易双方以及被授权第三方外,均无法(或很难)看懂交易数据,保护交易的私密性。2.数据完整:支付数据在网络上传输过程中的完整性和有效性,即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。数据输入时的意外差错或欺诈行为,数据传输中信息的丢失、重复、错序、被篡改,都可能导致贸易各方信息的差异。因此,网上交易的信息要能做到确保其完整性,即要求接收者收到的数据与原始数据相同。3.身份认证:网上支付是在交易双方不见面的情况下进行的,因而保证对方确实是即将要进行的交易的另一方是非常重要的,它将关系到电子商务交易的成败。4.访问控制:在身份认证完成后,支付系统便可确定此用户有何种权限,这种权限能访问到哪些受保护的数据。5.审计能力:网上支付数据是非常重要和敏感的,详细记录用户和系统的行为对事后审计的意义无疑是巨大的。6.不可抵赖:电子交易的不可抵赖性是指信息的发送方不能否认已发送出的信息,接收方也不能否认已收到的信息,这是一种法律有效性要求。不可抵赖性主要用于保护交易过程中某方用户对付来自其他合法用户的威胁,如发送方对他所发送信息的否认,接收用户对他已收信息的否认等,而不是对付来自未知的攻击者。在传统的商务贸易中,贸易双方通过交易合同、契约、单据的可靠性并预防抵赖行为的发生,即“白纸黑字”。在无纸的电子商务方式下,当然也需要实现交易的不可抵赖性,但解决起来比传统商务更困难,需要采用新的技术,如数字签名等。二、网上安全支付技术1.数据加密技术。数据加密是保证网络通信机密性的常用手段,其基本原理是用基于数学算法的程序和保密的密匙对信息进行编码,生成难以理解的字符串,即把明文变成密文的过程,反之,把密文转变成明文的过程称之为解密。客户在网上支付时,支付数据首先被加密,加密后的数据经过互联网传输到交易的另一方,接受支付方用事先约定好的密匙对加密数据进行解密,就可以实现支付双方机密的信息通信。数据加密不同于信息的隐藏,它的目的并不是不让人看见文字,数据加密只是将信息转化为可见的但看不出意义的字符串。根据数据加密和解密使用同样的密码与否,有两类加密体制,即对称加密体制(私有密钥加密体制)和非对称加密体制(公开密钥加密体制)。2.PKI技术。网上支付首先是要确定网上参与交易的各方(如持卡消费户、商户、收单银行的支付网关等)的身份,目前广泛采用的PKI(PublicKeyInfrastructure,公钥基础设施)体系结构采用证书管理公钥,通过第三方可信机构CA(CertificateAuthority)管理公钥,把用户的公钥和用户的其他标识信息捆绑在数字证书中,相应的数字证书(DigitalCertificate)就是代表用户的身份的。通过检查数字证书就可方便的确认对方的身份。另外,PKI体系结构把对称加密体制和非对称加密体制结合起来,实现了密钥的自动管理。3.数字证书与CA。数字证书是实现网上支付认证的基本技术,可以用来验证用户或网站的身份。利用数字证书提供的功能,可以方便的实现网络数字签名、数字信封,结合数字摘要技术则可以实现网上支付数据完整性和不可否认性。数字证书是由权威的、公正的认证机构管理的,称为证书权威机构(CA)。各级认证机构按照根认证中心(RootCA)、品牌认证中心(BrandCA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(HoldCardCA,MerchantCA或PaymentGatewayCA)由上而下按层次结构建立的。4.SSL和SET。SSL即安全套接层协议(SecureSocketLayerProtocol),由Netscape公司提出,它支持两台计算机间的安全连接。SSL协议工作TCP/IP的传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成。SSL利用数字证书和加密技术透明地自动完成发出信息的加密和收到信息的解密工作。SET即安全电子交易协议(SecureElectricTranscations),是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。SET在保留对客户的信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来说是非常重要的,由于设计上很合理,得到了广泛的应用。SET在很多方面优于SSL协议,但SET过于复杂和繁琐,大量交易同时进行时交易速度受到影响。三、网上安全支付方法1.智能卡支付。严格来说使用智能卡支付网上交易货款并不是真正意义上的网上支付,支付过程实际上发生在网上商户和银行之间,交易安全性基本由商家的信用决定,对买家来说存在被欺诈的风险。但这却是经常使用的网上交易的资金支付方法。其基本流程为:(1)在实际商品、相关服务与资金流动发生之前,由客户通过安全方式将智能卡信息传送给商家;(2)商家验证客户身份为智能卡账户所有者;(3)商家把智能卡收费信息和数字签名发送给其银行或在线智能卡处理器;(4)银行或处理方把信息送给客户银行进行授权;(5)客户银行为商户返回智能卡数据、收费确认和授权;(6)网上智能卡支付完成。2.电子支票支付。电子支支票和传统的支票形式几乎有着同样的功能和内容;不同于传的支票人为签名,电子支票需要经过数字签名,被支付人数字签名背面,使用数字凭证确认支付者,被支付者身份支付银行和账户。金融机构使用已签名和认证的电子支票进行账户存储。其基本流程为:(1)购买电子支票:买方首先必须在提供电子支票服务的银行注册、开具电子支票,注册时可能需要需要输入信用卡和银行账户信息,以支持开设支票、电子支票应具有银行的数字签名。(2)电子支票付款:买方用自己的私钥在电子支票上进行数字签名,用卖方的公钥加密电子支票。只在卖方可以收到已使用卖方公钥加密了电子支票,用买方的公钥确认买方的数字签名后,向银行进一步认证电子支票后即可发货给买方。(3)清算:付款人银行和收款人银行通过类似自动清算网络进行清算,并对清算结果向付款的和收款人进行反馈。(4)银行进一步确认电子支票;卖方发货给买方。3.电子现金支付。电子现金也叫数字现金,是数字化的现金,拥有现金的大部分优点却没有现金的缺点,电子现金特别适用于实现低成本的在线小额支付。目前,数据安全保护等技术已经基本可以保障数据本身的安全性,像数据被篡改这类恶性事件发生的概率很低,基本可以保证网上资金支付的成功。但是网上支付技术不是万能的,这些技术只能保证资金划拨成功,却无法保证交易的最终成功。网上欺诈事件还是时见报道。因此,用户在进行网上交易时应尽量选择安全的支付方式,比如安付通或支付宝这样的有第三方参与交易的支付方式。4.微支付系统。在满足安全性的前提下,有昼少的信息舆、较低的管理和存储需求,即速度和效率要求比较高,这种支付形式称为微支付或小额支付,目前国内应用最广泛的网上短消息服务属于典型的微支付方式。5.移动支付。移动支付也称手机支付,就是允许移动用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。它首先在发达国家被应用,随后在全球推广。移动支付的一个重要方向,是使手机成为真正的“电子钱包”,比如在交通运输、超市购物、餐馆消费等领域实现“手机支付”。四、支付交易安全所有电子支付系统和所有支付手段的包括以下几个方面:1.用户匿名性:在网络中交易中保护用户的身份不泄密。2.地址不可跟踪性:防止支付交易进行的地点泄密。3.买方匿名性:保护支付交易中买方的身份不泄密。4.支付交易不可跟踪性:防止同一客户的不同支付交易链接起来。5.支付交易数据的机密性:有选择地保护支付交易数据的特定部分,免于泄密给未授权的参与方中的指定参与方。6.支付交易消息的新鲜性:防止支付交易消息的重放。目前,数据安全保护等技术已经基本可以保障数据本身的安全性,像数据被篡改这类恶性事件发生的概率很低,基本可以保证网上资金支付的成功。但是网上支付技术不是万能的,这些技术只能保证资金划拨成功,却无法保证交易的最终成功。网上欺诈事件还是时见报道。因此,用户在进行网上交易时应尽量选择安全的支付方式。