网上支付的安全性范文

导语：如何才能写好一篇网上支付的安全性，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

0引言

网上支付是以互联网为基础，利用银行所支持的数字金融工具，发生在购买者和销售者之间的金融交换，从而实现买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务服务和其他服务提供金融支持。

1网上支付系统的安全性分析

近年电子商务在中国国内发展迅速，据电子商务研究中心数据显示，截止2012年6月，中国电子商务市场交易额达3.5万亿元，同比增长18.6%。其中B2B电子商务市场交易规模达2.95万亿，网络零售市场交易规模达5119亿元[1]。随着电子商务在中国国内的迅速发展，网上支付成为一种新的支付方式，随之，出现了网上支付的安全和信用问题。

网上支付业务数据中含有银行客户的账户信息，如账号、密码、余额等，属于用户的隐私，这些数据是不允许公开的；而因特网是一个开放的公共网络，在这样一个开放的网络上拓展银行的传统业务，安全性是需考虑的首要因素，网上支付系统对安全性有着特殊的要求，既要保证数据在网络上传输的保密性，又要保证服务系统的正常运转。

网上支付系统的安全需求主要来自2方面：首先是交易数据安全，网上支付各业务的完成主要基于因特网的传输，因特网的开放性决定了其传输安全的脆弱性，需要保证数据传输的机密性、完整性，电子商务中需要确认交易方在网上的真实身份，确保交易的真实性和不可抵赖性；其次是网络安全，网上的公开服务器以及内部与之相连的内部服务器将不可避免地受到恶意攻击和好奇者的试探，需要保证系统较强的抗攻击性[2]。

2网上支付系统的安全措施

网上支付的安全性极为重要，其安全手段也是全方位、多层次的。从整个支付流程来看，支付系统的安全包括服务器端安全（包括银行端和第三方支付公司系统）、客户端安全、数据传输安全，通过对各环节采用不同的安全措施来构建一个安全支付环境（如图1所示），以确保客户交易信息的保密性、完整性及不可抵赖性[3]。

2.1服务器端安全

（1）应用系统安全：主要包括银行系统、第三方支付系统安全。对于应用系统架构，应根据不同的安全级别划分安全区域，并在各安全区域之间部署异构防火墙，在安全区域内部部署安全防护设备[4]，如安全网关、漏洞扫描、抗DDOS攻击设备、入侵检测设备IDS、入侵防御设备IPS等，从而有效控制非法用户入侵、防范恶意攻击，对应用系统进行全面的安全防护。

（2）数据存储安全：通过制订并施行科学合理的数据备份机制、数据访问机制和灾难恢复计划，以确保数据存储安全。

（3）交易处理安全：主要通过数字签名技术保证网上支付交易处理安全，具体交易过程如图2所示。

商户发往银行的交易需进行数字签名，银行方进行验签，从而验证商户身份；同时支付系统发送给商户的支付结果中也包含银行方数字签名，以保证信息一定是由银行发出的并且确保其完整性。此外，银行对商户发送过来的订单信息会进行重复性、时效性等有效性检查，对于无效交易系统会自动摒弃。

（4）交易监控：建立交易监控系统，通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对，发现异常的或有风险的操作行为，根据风险级别不同进行不同的处理。

2.2客户端安全

由银行和第三方支付服务提供商为客户提供，具体包括动态令牌、USBKey（含第三方认证证书）、短信服务、预留信息验证、图形验证码、软键盘等。其中，动态令牌和USBkey为物理移动设备，难以被盗用，USBkey可对客户提交的交易信息进行数字签名，增强对交易过程中行为和责任的认定。通过几种方式的组合，可增强非法入侵和盗用的难度[5]。

2.3数据传输安全

银行端与商户端通信可采用专线或VPN方式，并利用HTTPS协议进行交易信息加密处理[6]，以确保数据传输的机密性和完整性。

2.4其他安全

（1）加强实名验证，如淘宝（支付宝）实行了收款人身份证认证和银行卡认证，可有效防范欺诈；

（2）第三方支付公司借鉴证券公司经验使用第三方存管，增强了客户资金安全性；

（3）签约过程中网上支付系统不向商户系统传输客户银行卡完整的卡号信息，网上支付系统也不保留客户的商户账户完整信息，以确保客户敏感信息安全；

（4）通过设置单笔支付限额和当日累积支付限额，以确保资金安全。

3结语

参考文献

[1]孟凡霞.2012年（上）中国电子商务市场监测报告[J].现代情报，2012（9）：9192.

[2]徐辉.我国网上支付安全问题及风险防范[J].华南金融电脑，2009，32（5）：2528.

[3]钱宏，赵琳峰.构建安全支付服务体系迎接支付健康发展新纪元[J].金融电子化，2010（13）：2122.

[4]龙冬阳.网络安全技术及应用[M].广州：华南理工大学出版社，2006.

关键词：网上支付；风险；建议

从广义上讲，网上支付是买卖双方利用网络平台进行金融交易的手段，它的支付工具主要有电子支票、电子现金和数字信用卡，它涉及的方面非常多，如电子商务、网络银行、网上证券、网上保险等。在网络经济环境下，网上支付业务成了金融机构利润增长与战略发展的重点之一。然而由于网络安全、行业标准、信用、法律等风险因素，对网上支付业务的争议很大，严重影响了它的健康发展和持续壮大。因此，深入研究网上支付风险因素，找出规避对策具有重大意义。

一、我国网上支付状况概述

二、网上支付存在的风险问题分析

行业标准风险。目前支付网关的接口标准极不统一，使各大商业银行以及第三方交易平台难以配合默契，不但局限性强，而且众多的网关接口增大了支付风险。数字证书的问题如出一辙，大家各自为政，一是资源极度浪费，二是一人说了算的情况难以体现公正性和公平性。造成以上局面，主要有二个原因：毫无利益可言，再加上数字证书申请程序繁琐，各方缺乏积极性；大多第三方平台和商业银行实力较强，更相信自己的认证系统。

三、规避网上支付业务风险的合理建议

建立一整套完整的社会信用机制。我国尚缺少信用度认证平台，人们难以获取统一的评判基准，目前已经建立了个人信用上网查询系统，这些主要针对个人贷款几率的纪录已经在发挥作用，在此基础上我们可以完善其中的管理模块，建立一个功能更加齐全的征信和查询系统，提高整个管理体系的完善程度。

加快数字证书认证建设。数字证书是确保交易双方身份真实性、信息完整性，私密性和交易不可否认性的“网络身份证”。目前，我国既有由银行自己发放的数字证书，也有由第三方安全认证机构发放的数字证书，对此，政府应该加以规范，统筹规划。

总之，网上支付业务是经济发展不可回逆的潮流，只有正视它的安全、信用、法律、行业标准等风险因素，并通过相应的手段逐一解决，才能使之蓬勃发展，才能适应时代的需求。

参考文献：

[关键词]网上支付安全因素解决对策

中图分类号：G353文献标识码：A

网上支付是电子支付的一种形式，是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，从而实现从购买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务和其它服务提供金融支持。近年来，由于受到电子商务发展的有力拉动，中国个人网上支付的市场规模发展迅速膨胀。但在网上支付蓬勃发展的背后也出现了一些无法回避的问题。笔者试对当前我国网上支付出现的问题提出一些应对之策。

一、我国网上支付的现状

二、制约我国网上支付发展的因素

1、网上支付的安全问题

电子商务在国内近十年的发展过程中，始终遭遇一个重大的瓶颈，就是网上支付安全问题，这个瓶颈严重制约了我国电子商务的发展，据调查有相当数量的客户希望通过网上方便购物，但是在权衡网上购物方便性和安全性以后，最终选择了放弃。分析原因，一是网上支付虚拟性的交易特点容易使客户对安全性产生怀疑，二是传统的一手交钱一手交货的思维定势阻碍新的网上支付方式的发展。因此网上支付首先应该把安全摆在首要位置。

2、网上支付工具发展滞后

网上支付需要银行卡的参与，但仅靠银行卡的运行还是远远不够的。况且现在的银行卡使用情况可说是五花八门，工行的、交行的、建行的、农行的等等，每个人拿出来的信用卡几乎都有使用的范围的限制、透支额度都是有差异的，这就需要一个第三方网络平台的出现，对各种信用卡进行统一的管理和约束，使得网上支付能够顺畅运行。

3、社会诚信体系不健全

网上交易、支付双方不见面，交易真实性不容易考察和验证，电子商务活动最后是否完成在很大程度上取决于参与买卖双方，取悦于金融机构和第三方支付平台的诚信程度。我国信用体制不够健全，市场环境不是很完善，应该说是制约电子商务发展非常重要的一个因素，因此我们应该呼吁各界共同努力，尽快建立和完善社会的诚信体系，以支持电子商务健康发展。

4、网上支付法律法规不健全

网上支付业务常涉及银行法、证券法、消费者权益保护法、财务披露制度、隐私保护法、知识产权法和货币银行制度等。目前，我国对于网络支付立法相对滞后。现行许多法律都是适用于传统金融业务形式的。但由于网络纠纷的特殊性，用传统法律规则来解决是一个非常吃力的问题。目前在网上支付业务的有些方面，虽然已有一些传统的法律法规，但其是否应该适用，适用程度如何，当事人都不太清楚，有的时候，监管机构也未必明白。在这种情况下，当事人一方面可能不愿意从事这样的活动，一方面也可能在出现争执以后，谁也说服不了谁，解决不了问题。

三、网上支付存在问题的解决对策

1、提高网上支付的安全性

提高网上支付的安全性，需要金融机构和广大商户共同努力，同时需要客户的配合，从技术上、支付工具上，从风险措施上、防范措施，全方位、多层次提供安全的保障手段。同时，也需要政府对社会舆论的正确引导，努力消除买卖双方的后顾之忧，只有这样才能促进网上支付健康快速发展。

2、实现网上支付工具多样化

作为网上支付业务载体的网上支付工具，是网上支付的主要组成部分，也是实现网上支付的必要条件。在传统的银行支付结算中，具有各种多样的支付结算工具如支票、汇票、本票、汇兑、委托收款、托收承付、银行卡等，可以根据不同情况选择不同的支付方式，互联网上的支付系统应是对现有支付手段的模仿。理想的支付系统要求具有一定的开放性、灵活性，它应该在不同的支付条件下支持不同的支付模型。

3、建立社会诚信体系

Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.

Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.

Keywords:EC;onlinepaymentsystem;technicalcountermeasures

第一章：引言

2009年1月13日，中国互联网络信息中心（CNNIC）在京了《第23次中国互联网络发展状况统计报告》。报告显示，截至2008年底，我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时，我国网民数达到2.98亿，宽带网民数达到2.7亿，国家CN域名数达1357.2万，三项指标继续稳居世界排名第一。

我国网民和国家CNCN域名的增加，势必为电子商务的发展带来更大的机会。随着Internet技术和应用的不断发展,越来越多的企业加入到电子商务的队伍中来。电子商务已成为贸易发展的必然趋势,随着电子商务环境的规范和完善,中国电子商务企业必然迅猛发展。使用网上支付的方式进行交易,大大降低了传统贸易的费用和开销,提高了工作效率和企业竞争优势。越来越多的企业选择在Internet上建立自己的Web站点以便利、经济的手段在网上展示自己的企业形象,推销本企业的产品。

一、电子商务与支付系统的定义

1、电子商务的定义

电子商务源于英文ElectronicCommerce，简写为EC。顾名思义，其内容包含两个方而，一是电子方式，二是商贸活动。电子商务指的是利用简单、快捷、低成木的电子通讯方式，买卖双方小谋而地进行各种商贸活动。国际商会于1997年11月，在巴黎举行了世界电子商务会议(TheWorldBusinessAgendaforElectronicCommerce)会上专家和代表对电子商务的概念进行了最权威的阐述：电子商务，是指实现整个贸易过程中各个阶段的贸易活动的电子化[1]。从涵盖范围可以定义为：交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易；从技术方面可以定义为:电子商务是一种多技术的集合体，包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等[2]。

2、网上支付系统的构成

支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。[3]

网上支付是指以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，采用现代计算机技术和通信技术作为手段，通过计算机网络系统，特别是因特网进行传输。以电子信息传递的形式来实现资金的流通和支付。网上支付系统的构成则主要包括两部分。一是网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。二是网上支付技术。如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子数据交换协议SSL和SET。[4]

二、电子商务与网络支付系统的发展现状

1、电子商务的发展现状

根据2009年1月13日，中国互联网络信息中心（CNNIC）在京的《第23次中国互联网络发展状况统计报告》显示，在主要互联网应用使用率调查中，网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。

由此可见，越来越多的企业和顾客加入到电子商务的队伍中来，网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国，电子商务虽然刚起步，但是人们对电子商务的巨大潜力深信不疑；我国政府积极支持电子商务活动的开展，这些都对我国电子商务的发展产生了重要的影响。

但是应当看到，我国还存在一些“瓶颈”问题，严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准，没有规矩不成方圆，没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础，而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事，是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上，国外成熟的电子商务解决方案占据主导地位仍是不争的事实，而国内真正有能力的开发厂家更是屈指可数，仔细算来也只有实华开、四通寥寥几家，但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段，越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现，网上支付系统的关键技术都是至关重要的。

但是现在制约电子商务发展的最关键的技术，是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息，而且还涉及到个人财产的安全问题。在电子支付过程中,必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证，那么将造成重大的损失和严重的法律问题，甚至会断送电子商务企业的命运。因此必须发展能够保障支付系统安全的关键技术,确保交易过程是安全、可靠的。

2、网上支付系统的发展现状

随着电子商务的迅猛发展，支付问题就成了制约电子商务发展的瓶颈，尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环节，如果没有支付，整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合，才能确保电子商务交易顺利进行。

而作为真正的网络支付手段出现的支付方式，则是在Internet的迅速走向普及化之后的事情。但是自2005年以来，中国网上支付成长十分迅速，这标志着中国电子商务迈入了以全面实现网上支付系统为特征的崭新发展阶段。著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。网上支付已成为国内网民从事网上交易时的第一选择，网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。

在Internet上出现的支付系统模式已有十几种,这些系统模式大致上可以划分为如下3类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对Internet的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法,使传统的银行卡支付信息通过Internet向商家传递,利用金融专用网络提供独立的支付授信,更先进的是采用智能卡技术,提供联机的银行卡支付。但是不管是哪一类的系统，都是包含着信息加密措施的系统，每一个系统都是有很多保障安全性的系统。

第二章：网上支付系统的安全技术问题

一、网上支付系统的安全问题

随着网上支付手段使用人数的增加，网上支付系统所存在的问题也暴露无遗，而且随着使用范围的推广和黑客等技术的发展，也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题，就是安全问题。

电子商务的支付问题是随着电子商务本身的快速发展而衍生的。单纯就它们的关系而言,电子商务需要电子支付,支付体系是开展电子商务的必备条件。随着网上支付手段使用人数的增加，网上支付系统所存在的问题也暴露无遗，而且随着使用范围的推广和黑客等技术的发展，也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题，就是安全问题。据AC尼尔森公司在2003年3月～4月做的一个调查表明,安全性是网上购物者用信用卡支付的主要顾虑。安全问题已成为电子支付发展面临的重要挑战,目前制约我国电子商务发展的瓶颈就是支付问题。

二、信用卡安全的恐慌——网上支付系统的安全问题案例分析

从银行业的这一案例中我们可以清晰看到安全技术的重要地位和意义。因此必须对这一关键技术进行深入的研究，形成一个优秀的解决方案，确保网上支付系统的安全，保障我国电子商务事业的稳定快速发展。

第三章：解决网上支付系统的安全问题的技术解决途径

一、网上支付系统的安全要求

1、保密性

对于网上支付系统来说，他的保密性意味着系统必须满足两点：（1）私有交易不会被其它人截获及读取，既没有人能够通过拦截会话数据获得订货单中的帐户信息；（2）如果可能，应确保交易的匿名性，使交易不会被追踪，任何人无法利用“发生交易”这样的事实本身来达到别的目的。

2、信息的完整性

不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动，信息系统的形式整合化简了企业贸易中的各个环节，但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。

3、可用性

不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动，信息系统的形式整合化简了企业贸易中的各个环节，但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸易各方信息的完整性是电子商务应用必备的基础。

4、不可否认性

在交易中会出现交易抵赖的现象，如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息，正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。

要确保网上支付系统的安全，交易一旦签订就不能被否认。因此交易的各个环节,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认,确认数据已经完全发送和接收,防止接收用户更改原始记录,防止用户在收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性,在交易数据发送完成以后,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。一旦事务结束，有关各方都不能否认自己参与过这次事务。

5、可审查性。

根据机密性和完整性的要求,应对数据审查的结果进行记录,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利,否认电子交易行为时,系统应具备审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

6、认证性

要确保网上支付系统的安全，在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。首先,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者，而不是第三者冒名发送。发送方可以确认接收方的身份是真实的，而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份，知道对方确实是他所称的那一位。在这里，确定意思并不完全意味着知道对方的准确身份，但应能做到知道自己是在与一个可靠的对象通信。

二、网上支付系统可能受到的攻击

针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。近一步细分又可以划分为两大类。

（1）假冒和恶意破坏。由于掌握了数据的格式并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息而远端用户通常很难分辨。由于攻击者可以接入网络则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

（2）窃取和篡改信息由于未采用加密措施或加密措施不利，数据信息在网络上以明文形式传送，或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密，当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

三、网上支付系统安全的技术解决方案

1、加密技术

1.1、利用加密技术保证电子商务支付的机密性[6]

密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言,1976年以前主要采用对称加密技术,这种加密技术存在着很多问题,如密钥分发的安全性,密钥规模过大、不能保证消息的真实性和完整性等。1976年以后,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。

1.2对称加密技术

对称加密技术有许多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。它把64位的明文输入块变成64位的密文输出块,所使用的密钥也是64位,其中第8位奇偶校验位另作它用。DES利用56位的密钥,对64位的输入数据块进行16次的排列置换,最后生成输出块密码。其生成步骤如[7]

下:

(1)为了产生64位明文的置换输入,对二进位进行初始排列(InitialPermutation),然后将结果分成32位的左右两个数据块。

(2)执行16次的迭代函数f,而每迭代一次所使用的密钥就不同,f函数将此密钥和右侧数据块作为自己的输入参数。

(3)在每个迭代阶段,左右两个数据块的置换值由下式确定:

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)

《iResearch2005年中国网上支付研究报告》显示，61.2%的网民不使用网上支付是因为安全性问题。网上支付有悖于中国传统的消费模式，使得消费者在接受时有一定的心理阻力。但事实上，网上交易的风险绝大部分是交易安全问题，而并非支付安全，只不过公众更容易把责任归咎于自己不了解的在线支付名下。

从2004年开始，各个企业蜂拥入场争夺支付这块蛋糕。2005年，YeEpay、99Bill、支付宝、PayPal等相继进入，就连腾讯也要分一杯羹。这一切似乎印证了马云在年初的说法：2005年将是电子商务的支付年。似乎支付市场是继网络游戏、SP之后的又一座金山。

金山的说法其来有因，以PayPal为例。目前，PayPal已经拥有全球56个国家的7890万用户，2005年前3个季度的支付总额达到194亿美元，今年预计通过PayPal的支付总额将超过260亿美元。

利润虽然令人眼馋，但物质总有两面，一个真实的隐患总是被掘金人忽略。

PayPal建立在信用卡体系之上，而国内的网上支付主要建立在借记卡体系之上，所以它们两者有着根本区别。

信用卡体系中，商户承担着拒付风险，尤其是网上支付，因为信用卡无需密码验证，拒付导致的坏账率甚至高达4%～5%左右。因此，PayPal等同于“镖局”，商户只需付出2%左右的手续费，所有的风险都可以让PayPal埋单――如此，商家何乐而不为呢？

在巨大的经营压力下，支付行业的问题出现了！但问题绝对不是大家总是担心的支付安全问题。目前，网上支付的最终完成都是通过银行系统的网上银行，并非在第三方支付平台上进行，而且交易信息传递都是通过加密的数据包进行传输，所以可以肯定地说网上支付的安全性犹如银行的柜台交易。目前国内大多数的第三方支付服务商，包括首信、银联、云网等，在技术上都已经跨过了安全门槛。而真正应该令人担心的，是另一种安全。

由于利润太低，不少缺乏资金支撑的支付公司出现了运营上的窘境，而压力相对较小的公司无外乎3种：一种是或多或少有些“红根”，例如银联电子支付、首信；另一种是有其他业务的支撑，例如PayPal、云网支付@网；再有就是拿了别人的钱，例如支付宝、99Bill等。这3种里面，第一、第二种相对安全，第三种就值得考量了。而除了这3种以外的支付公司，生存的压力就更是非常大，很可能一朝崩溃。

支付公司不同于银行等其他公司，众多商户、消费者的钱都存在支付公司的账户中。据iResearch调查，2005年中，全国几十家支付公司间大约有161亿元人民币在周转。每家都占有巨额资金，一旦出现经营不善，企业破产，那么商户和消费者的钱将血本无归。

以支付宝为例，他们称必要时无需事先通知即得终止服务，并可立即删除账号和账号中的资料和档案，试想如果支付宝面临暂停或者关闭时，用户根本无法确保资金的安全。作为接受服务的消费者，面对可能的经营和政策风险严重缺少强有力的保护。

这就是支付行业新的安全问题。

对于这个问题，一方面，国家对支付公司的资质应该严格审查，商户的账户和支付公司自身的账户应该分离，并被保险；另一方面，商户在选择支付公司时，一定要整体考察公司的资质背景，尤其是它的持续盈利能力。

[关键词]电子商务网上支付现状及对策

网上支付是电子支付的一种形式，是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，从而实现从购买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务和其它服务提供金融支持。近年来，由于受到电子商务发展的有力拉动，中国个人网上支付的市场规模发展迅速膨胀。据iResearch预测，到2007年我国网上支付市场规模将达到605亿元。但在网上支付蓬勃发展的背后也出现了一些无法回避的问题。笔者试对当前我国网上支付出现的问题提出一些应对之策。

一、进一步建立与完善有关网上支付的法律法规

二、建立富有效率的社会信用体系

三、建立统一的安全认证体系

四、实现网上支付工具多样化

作为网上支付业务载体的网上支付工具，是网上支付的主要组成部分，也是实现网上支付的必要条件。在传统的银行支付结算中，具有各种多样的支付结算工具如支票、汇票、本票、汇兑、委托收款、托收承付、银行卡等，可以根据不同情况选择不同的支付方式，互联网上的支付系统应是对现有支付手段的模仿。而在目前我国的网上支付业务中，主要支付工具是银行卡与邮局汇款。在国外还常用电子支票、电子现金以及其他各种电子货币作为网上支付工具。但在我国电子支票基本上还是处于空白，对于电子现金以及其他各种电子货币，由于没有相应的立法保证以及人们受传统观念的影响，更是无从谈起。

[1]姜永波等.电子商务中的网上支付问题讨论[J].中国科技信息，2005，(8).

[2]孙君.我国网上支付存在的问题与建议[J].江苏商论，2005，(1).

Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears，onlinepaymentisbecomingoneofthebottlenecks.Therefore，solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.

Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea，securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper，accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.

我国网民和国家CNCN域名的增加，势必为电子商务的发展带来更大的机会。随着Internet技术和应用的不断发展，越来越多的企业加入到电子商务的队伍中来。电子商务已成为贸易发展的必然趋势，随着电子商务环境的规范和完善，中国电子商务企业必然迅猛发展。使用网上支付的方式进行交易，大大降低了传统贸易的费用和开销，提高了工作效率和企业竞争优势。越来越多的企业选择在Internet上建立自己的Web站点以便利、经济的手段在网上展示自己的企业形象，推销本企业的产品。

由此可见，越来越多的企业和顾客加入到电子商务的队伍中来，网络支付系统得到越来越广泛的应用。电子商务发展迅速，通过网上进行交易已成为潮流。在我国，电子商务虽然刚起步，但是人们对电子商务的巨大潜力深信不疑；我国政府积极支持电子商务活动的开展，这些都对我国电子商务的发展产生了重要的影响。

但是现在制约电子商务发展的最关键的技术，是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中，不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息，而且还涉及到个人财产的安全问题。在电子支付过程中，必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证，那么将造成重大的损失和严重的法律问题，甚至会断送电子商务企业的命运。因此必须发展能够保障支付系统安全的关键技术，确保交易过程是安全、可靠的。

在Internet上出现的支付系统模式已有十几种，这些系统模式大致上可以划分为如下3类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序，对Internet的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法，使传统的银行卡支付信息通过Internet向商家传递，利用金融专用网络提供独立的支付授信，更先进的是采用智能卡技术，提供联机的银行卡支付。但是不管是哪一类的系统，都是包含着信息加密措施的系统，每一个系统都是有很多保障安全性的系统。

电子商务的支付问题是随着电子商务本身的快速发展而衍生的。单纯就它们的关系而言，电子商务需要电子支付，支付体系是开展电子商务的必备条件。随着网上支付手段使用人数的增加，网上支付系统所存在的问题也暴露无遗，而且随着使用范围的推广和黑客等技术的发展，也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题，就是安全问题。据AC尼尔森公司在2003年3月～4月做的一个调查表明，安全性是网上购物者用信用卡支付的主要顾虑。安全问题已成为电子支付发展面临的重要挑战，目前制约我国电子商务发展的瓶颈就是支付问题。

要确保网上支付系统的安全，交易一旦签订就不能被否认。因此交易的各个环节，都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认，确认数据已经完全发送和接收，防止接收用户更改原始记录，防止用户在收到数据以后否认收到数据，并拖延自己的下一步工作。为了保证交易过程的可操作性，必须采取可靠的方法确保交易过程的真实性，保证参加电子交易的各方承认交易过程的合法性，在交易数据发送完成以后，双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻，确定的地点是有效的。一旦事务结束，有关各方都不能否认自己参与过这次事务。

根据机密性和完整性的要求，应对数据审查的结果进行记录，在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利，否认电子交易行为时，系统应具备审查能力，使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下，则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段，在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

要确保网上支付系统的安全，在电子商务中必须建立严格的身份认证机制，以确保参加交易各方的身份真实有效。首先，要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者，而不是第三者冒名发送。发送方可以确认接收方的身份是真实的，而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份，知道对方确实是他所称的那一位。在这里，确定意思并不完全意味着知道对方的准确身份，但应能做到知道自己是在与一个可靠的对象通信。

密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言，1976年以前主要采用对称加密技术，这种加密技术存在着很多问题，如密钥分发的安全性，密钥规模过大、不能保证消息的真实性和完整性等。1976年以后，迪飞和海尔曼创造性地提出了非对称加密算法，彻底解决了上述问题，使加密技术有了革命性的发展。

对称加密技术有许多著名的算法，其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。它把64位的明文输入块变成64位的密文输出块，所使用的密钥也是64位，其中第8位奇偶校验位另作它用。DES利用56位的密钥，对64位的输入数据块进行16次的排列置换，最后生成输出块密码。其生成步骤如[7]

(1)为了产生64位明文的置换输入，对二进位进行初始排列(InitialPermutation)，然后将结果分成32位的左右两个数据块。

(2)执行16次的迭代函数f，而每迭代一次所使用的密钥就不同，f函数将此密钥和右侧数据块作为自己的输入参数。

转贴于

(3)在每个迭代阶段，左右两个数据块的置换值由下式确定:Li=Ri-1

Ri=Li-1+f(Ri-1，Ki)

(4)经16次迭代之后，输出由6位二进位组成的输入明文和密钥的函数结果。

(5)将左右两块数据连接起来，对其进行再度排列，最终生成输出密文，但排列顺序刚好与初始排列相反。

(6)如果在加密过程中所使用的密钥按K1，K2，K3，…，K16顺序，那么解密时必须要按K16，K15，K14，…，K1顺序使用密钥。

截止目前为止，还没有公开报道发现DES算法的致命弱点，但DES算法由于密钥较短，容易遭受密码暴力攻击，因此，在具体实务中主要采用3DES算法。

1.3非对称性加密方式[8]

非对称密钥加密方式又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密功能。一个公开，即公开密钥;另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。公开密钥机制虽然灵活，但加密和解密速度却比对称密钥加密慢得多。

公开密钥的加密步骤如下:

(1)交互双方的用户系统，分别生成用来传递信息的加密和解密密钥。

(2)系统将公开密钥向开放记录块和文件公布，而个人密钥却由自己保存。

(3)用户A向用户B传递信息时，将使用用户B的公开密钥进行加密。

(4)用户B接到用户A的加密信息之后将其解密时，则使用它自己的私用密钥。

密钥生成算法如下:

(1)随机生成两个不同大小的素数p，q。

(2)计算n=pq，(n)=(p-1)(q-1)。

(3)随机选取与p，q无关的素数e，1

(4)利用扩展欧基里德算法求出满足ed=1mod((n))的整数d。

(5)用公开密钥进行加密时公开(n，e);用私用密钥解密时保密(p，q，(n)，d)。其中，e为公开密钥，d为私用密钥，n为模数。

密钥的生成及应用例子如下:

(1)用户B公开密钥/私用密钥的生成(由用户B或认证机构生成)。

①取两个素数p=47，q=71。

②n=47×71=3337，(n)=46×70=3220。

③选新的素数e=79。

④利用扩展欧基里德算法计算79×d=(1mod3220)中的d，d=1019。

⑤用户B的公开密钥e=79，模数n=3337;用户B的私用密钥d=1019，模数n=3337。

(2)用户B密钥的应用。

加密技术在网上支付系统中的综合应用。结合对称技术、非对称加密技术的特点，在网上支付系统的支付过程中，主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。既保证了消息传送的机密性，又保证了会话密钥分发的安全性。

1.4、数字信封

加密信息

(1)产生一个对称密钥K;

(2)用对称密钥加密信息M得到M*;

(3)取得接收方的公钥;

(4)用接收方的公钥加密对称密钥K得到K*(数字信封)

(5)发送{K*，M*}

解密信息

(1)收到{K*，M*};

(2)用自己的私钥解密K*来得到原对称密钥K

(3)用K解密M*来得到原信息M

2、利用验证技术保证电子商务支付的真实性、完整性

在保证消息的真实性和完整性方面，主要采用的是基于非对称加密算法的验证技术，包括数字签名、身份验证等技术。

2.1数字签名

2.2Hash函数[9]

有一个函数f，当已知它的自变量x时，很容易求出它的函数值y=f(x)，但已知y时，很难求出它的反函数值，这样的函数称之为单向函数。已知一个哈希函数值，却很难计算它的两个相异的自变量，这样的函数称其为无冲突函数。如果一个哈希函数同时具备上述的单向性和无冲突性，那么称这个函数为加密哈希函数。典型的有MD5和SMA。

2.3MD5函数[10]

MD5(MessageDigestAlgorithm5)意为数字摘要算法5。它是RSA数据安全公司开发的一种加密算法。是从任意长度的字符串中生成128位的哈希函数值。MD5所开发的软件制品有PGP源码，SSLeay，RSAREF，Cryptott，Ssh源码等。

2.4SMA函数[11]

SMA(SecureHashAlgorithm)是安全哈希算法。它是由美国政府公布的哈希加密标准算法。此算法从任意长度的字符串中生成160位的哈希函数值。

3、支付网关技术的应用。

支付网关通常位于公网和传统的银行网络之间，或者终端和收费系统之间其主要功能为将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包接收银行系统内部传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。支付网关技术，要完成通信协议转换和数据加解密功能，并可以保护银行内部网络。此外支付网关还具有密钥保护和证书管理等其它功能。有些内部使用网关还支持存储和打印数据等扩展功能交易安全是电子商务正常健康运营的关键所在，不同性质的企业应根据自身的特点选择最为安全和行之有效的防护技术。对于加密身份认证以及支付网关技术不断的加强测试，加强优化为安全运营构筑强有力的屏障。

4、防火墙技术的应用

为了确保信息安全，避免对网络的威胁与攻击，防止对网络资源不正当的存取，保护信息资源而采取的一种手段就是设置防火墙。从理论上说，防火墙概念指的是提供对网络的存取控制功能，保护信息资源。而从物理上的设备来看，防火墙是Intranet和Internet之间设置的一种过滤器、限制器。

防火墙系统负责管理Internet和内部网络之间的访问，主要作用是在网络入口点检查网络通信，根据所设定的安全规则，在保护内部网络安全的前提下，提供内外网络的通信。决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些可以访问的服务，哪些外部服务可以被内部人员访问。所有来自和去往Internet的信息都必须经过防火墙的过滤、检查和存取控制。

5、采用黑匣子模型增强客户端安全

“黑盒”的意思就是从外面看不到里面，谁也不知道盒子里面隐藏的是什么，在计算机技术中用“黑盒”来表示技术的实现被完全封装起来，在这里我们提出电子支付的“黑盒模型”的含义是指用户端的输入、信息加密、解密、通讯控制、安全检测等被完全封装到一个模块中，这个模块与用户计算机之间只交换加密信息，加密信息通过Internet被送到银行服务器。

第四章：一种基于SSL协议安全性民航网上支付系统的设计

基于上文提到的网上支付系统安全技术解决方案运用里面的一些关键技术，如验证技术数字签名等技术，结合我国民航电子商务的发展现状和需求，以节省交易成本和提高安全性为目标，提出基于SSL协议的民航网上支付系统。通过加入双重签名技术，使得SSL协议的安全性有所提高，民航电子商务系统更加有效和安全，交易成本也大大降低。

SSL握手协议中有一个身份认证的过程，其认证的核心是交换X.509格式的数字证书。现有的SSL协议中，公/私钥只用于服务器和客户机在握手过程中的密钥交换，没有利用其来实现数字签名。本文通过在SSL协议栈中增加一个SSL签名协议来解决这一问题，加入签名协议后的SSL协议栈如表1所示。

SSL

握手

加密

警告

签名

其他应用层协议

表1加入签名协议后的协议栈

SSL签名协议的数据保密性和完整性由SSL记录层协议负责。SSL签名协议专门处理对需要签名的信息的消息交换、签名和认证。SSL签名协议是在现有SSL协议的基础上实现功能的扩充，利用了SSL协议原有的密码资源，如证书、公私密钥对、公开密钥密码算法、哈希函数等，并参考SSL定义消息的格式，以一个独立的功能模块方式实现，这样就保证了新协议的向前兼容性。

使用SSL签名协议的民航电子商务支付系统的交易流程如下:

(1)设客户的订单信息和支付信息分别为M1、M2。客户使用Hash函数，分别将M1、M2变换为订单信息摘要h1、支付信息摘要h2，并用自己的私钥对(h1，h2)进行签名变为DS。

(2)客户将M1、h2、DS联立为(M1，h2，DS)，并使用商家的公钥加密，变为密文C1;将M2、h1、DS联立为(M2，h1，DS)，并使用银行的公钥加密，变为密文C2。

(3)客户将双重签名的消息(C1，C2)发送给商家。

(4)商家收到(C1，C2)后:①用自己的私钥对C1解密，恢复订单信息、支付信息摘要、双重签名(M1，h2，DS);②用客户的公钥对DS解密得到(h1，h2)，并检验:a)加密值的第一部分是否等于M1的散列编码

值，b)加密值的第二部分是否等于h2。若是则签名消

息有效;③将C2发送给银行。

(5)银行收到C2后:①用自己的私钥对C2解密，恢复支付信息、订单信息摘要、双重签名(M2，h1，DS);②用客户的公钥对DS解密得到(h1，h2)，并检验:a)加密值的第一部分是否等于M2的散列编码值，b)加密值的第二部分是否等于h1。若是则签名消息有效。

(6)商家通过上述操作也获得了与支付信息，M2有关的信息和。但商家不知道客户的私钥无:C2h2，法由恢复。又根据散列编码的性质商家也无C2M2，法由h2恢复M2。

(7)银行通过上述操作，获得了与订单信息M1有关的以下信息:h1。同样根据散列编码的性质，银行无法由h1恢复M1。

第五章：小结

随着我国网民规模的加大和电子商务的发展，网上支付系统的发展给人们的工作和生活带来了新的尝试和便利性，但是网上支付系统的发展却受到技术的制约，其中一个最关键的技术就是网上支付系统的安全技术。鉴于这种现状，本文对网上支付系统的安全要求，网上支付系统容易受到的攻击进行了深入的研究和分析。并针对这些要求和攻击，提出了五种关键性技术。并结合我国民航业的特点，综合运用部分关键技术，设计了一种基于SSL协议安全性民航网上支付系统。是网上支付系统安全技术应用的一个经典实例。充分的说明只要运用好文中提到的网上支付系统的技术解决方案，定能大大提高网上制服系统的安全性，是网上支付的手段得到更大的普及和发展。

[1]才书训.电子支付于网上金融学——电子商务系列教材.[M]，2002，

66-98

[2杨坚争.电子商务安全与电子支付——高等院校电子商务专业规划教材.北京:机械土业出

版社.2007，89-101

[3]欧阳勇.网络金融[M].西南财经大学，2006

[4]李医群葛文雷，发展网上支付系统的关键因素[J].国际商务研究，2007（2）

[5]NJYeager，REMcGrath.WebServerTecjnology，Chapter8:DigitalCommerce:Risks，RequirementsandTechologies.MorganKaufmannPublishers，Inc，1995:319-370

[6]吴功宜，徐敬东，张建忠.电子商务应用教程[M].天津:南开大学出版社，2005

[7]WienerMJ.EfficientDESkeysearch.Applications[C].Florida:Crypto’93RumpSessionPresentation，1995.

[8]武金木.信息安全基础[M].武汉:武汉大学出版社，2007

[9]沈昌祥.信息安全[M].杭州:浙江大学出版社，2007

[10]周苏.电子商务概论[M].武汉:武汉大学出版社，2008

[11]陈克非.信息安全技术导轮[M].北京:电子工业出版社，2007

[12]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究，2004（2）

[13]李荆洪，论电子商务网上支付系统的功能与特点[J]，湖北经济学院学报（人文社会科学版）2006（1）

[14]聂捷楠，关于银行网上支付系统的设计研究方案[J]，成都医学院学报，2007（2）

关键词：网上银行网络支付安全性问题

随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。

一、我国网上银行存在的安全性问题

1.网上银行网站存在的安全性问题

2.交易信息在商家与银行之间传递的安全性问题

因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。

3.交易信息在消费者与银行之间传递的安全性问题

目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。

二、网上银行安全性问题解决的对策

1.做好自身电脑的日常安全维护

一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。

所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。

3.设置高安全级的web应用服务器

高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。

4.建立完善的身份认证和CA认证系统

5.加强客户的安全意识和网络通讯的安全性

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。

互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。

参考文献:

[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.

[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.

电子钱包在全世界范围内的发展都不是很理想，除了比利时的proton卡和香港的八达通（octopus）卡。电子钱包发展受阻的原因主要有三个方面：

(1)交易成本高：接受电子钱包支付的商家需要安装相应软硬件设备，每次交易发卡机构或银行会收取相应的手续费；对持卡人会收取一定的年费（一些地区和国家是免费的）。

(2)安全问题：电子钱包虽然有安全协议来保证其交易过程的安全性。为了安全起见，系统很少提供两个或两个以上银行相连，这样也降低了卡的成本。但对于持有人来说，绑定更多的银行，才能发挥其电子钱包的便利性，这很大程度上增加了安全难度系数和卡的制作成本。

(3)缺乏匿名性：大多数的电子钱包并不具有匿名性，银行很容易追踪到用户的消费习惯。

除此以外，电子钱包还受到网络外部性的影响。电子钱包要想发展必须解决以上问题。

香港的八达通卡就是电子钱包成功使用的实例。从1997年八达通卡开始在香港通用，它最初是用来支付公共交通费用的，这样市民就不需要携带零钱，使得小额支付变得快捷方便。八达通卡（octopus）是一种非接触式智能卡，持卡人在购买时需要支付抵押金50元（不再使用八达通卡的话，可于各出售处退回余额及抵押金。卡基本上是免费的），之后根据需要来充值。现在在香港，大部分的公共交通工具、便利店和快餐店等都已普及“八达通”电子消费系统。香港公共交通包括地下铁路、轻便铁路、九广铁路、巴士、机场快线和渡轮。香港的人口不到700万，现在流通的八达通卡却超过了1400万张，足以证明了其已经赢得了消费者的支持。2006年8月，深圳部分商户开始接受香港八达通付款，目前八达通卡的流通量仍在稳定增加，支付范围越来越广，支付额度逐年增加。保守估计，2010年八达通交易额将达450亿港币，并将逐渐进入深圳、珠海等周边地区，与内地卡实现互通。目前，八达通卡还积极筹备推出网上支付的功能。

目前来说，国内最广泛的电子钱包应用领域当属城市公共交通使用的电子车票系统，不仅方便市民出行，而且基本上在国内大中小城市都逐步推广开来了。从上面讲到的香港八达通卡的成功实例来看，公交IC卡可以作为在推广国内电子钱包的一个很好的切入点。电子钱包所具有的安全、方便、高效、快捷的特点，能够满足今天电子商务时代安全支付的要求。特别是小额购物，如果采用电子钱包支付的话，就不需要携带零钱，那就从某种程度上会替代纸币和硬币进行交易。特别是2008奥运会，也是一个推广电子钱包的一个很好契机。

最后要注意的是：电子钱包的发展要受到网络效应的影响。即某种产品对一名用户的价值取决于使用该产品的其他用户的数量，用的人多到一定程度，才会产生收益。发展电子钱包要充分考虑这一因素，避免造成锁定（LOCK-IN）无效技术。

[1]戴长志.电子钱包：迅速发展的货币支付工具.商场现代化，2006.7.

[关键词]电子商务B2B电子支付对策

电子商务是基于互联网的一种网上交易、网上支付的新型商业模式。随着电子商务的快速发展，电子支付的重要性越来越明显，已经成为整个电子商务产业链中的核心环节。如何实现完全的在线支付功能，并保证交易各方的安全、保密是实现电子商务关键的问题之一。

根据中国社会科学院互联网研究发展中心的调查数据，B2B的交易额占到了整个中国电子商务市场的98％，是电子商务的绝对主流。但是，B2B电子支付却发展缓慢，大多仍然停留在信息流的传递上，还处于电子商务的初级阶段，远远没有实现信息流、资金流和物流的有效协同，而其主要原因之一就在于电子支付这一B2B电子商务重要环节的缺失。

一、电子支付

二、B2B电子支付现状

1.企业对B2B电子支付需求迫切

随着B2B电子商务市场的发展和成熟，越来越多的企业与政府组织部门拓展电子商务以及电子政务，这些均迫切需要发展适合中大额网络交易与服务的网络支付手段。信用卡等小额支付结算方式面对这些业务需求有些勉为其难。企业对B2B电子支付需求也越来越迫切。

电子结算充分利用网络资源，只进行信息的交换，而不进行纸币实质的转让，令银行与企大大节省了资源，更方便。充分利用数字签名、隐藏签名等安全技术来保证安全，以防抵赖、防伪造。目前很多企业间的电子商务仍采用网上交易、网下支付的方式，其实质并不是真正意义上的电子商务，电子商务的简单形式上的呈现，电子商务的实时性的优势无从体现。

由于在线电子支付是电子商务的关键环节，也是电子商务得以顺利发展的基础条件，电子支付的重要性越来越明显，已经成为整个电子商务产业链中的核心环节。基于广泛互联且完全开放的网络平台，电子支付实现了低成本、高效率、全球性的资金流转模式。在实现了网上和寻找信息的简单电子商务后，企业迫切需要在交易过程中，采用实时的在线支付方式，以极大地提高电子商务活动的效率，减少不必要的中间环节。

2.商业银行B2B电子支付业务创新

电子商务网上支付业务通过银行支付网关与电子商务网站对接，提供与交易订单紧密捆绑的在线支付服务，使买家通过网上银行安全、轻松地完成在线交易和支付。事实上，迈入1999年，网上银行服务(InternetBanking)已成为业界不可或缺的服务，不少大银行不但有网站，而且还提供网上转账和查询账户的功能。目前银行提供的B2B网上支付方式主要有两种：一种是电子支票类，如电子支票、电子汇款（EFT）、电子划款等；另一种是电子信用证类，即把传统的信用证方式转换成网上发证的方式，利用银行信用和网上银行转账完成买卖双方的网上支付。

3.供应商的风起云涌

第三方支付是B2B电子支付服务的新兴的供给方。

所谓“第三方支付”，是指在电子商务企业与银行之间建立一个中立的支付平台，为网上购物提供资金划拨渠道和服务的企业。随着中国互联网的普及和电子商务的迅速发展，中国的第三方支付市场呈现出勃勃的发展生机。艾瑞市场咨询最新的《2007年中国网上支付第一季度研究报告》数据显示，2007年第一季度中国第三方支付市场交易额规模达到160亿元，比上一季度增长了33.3%，与去年同期相比，增长了4倍多。

第三方支付在C2C和B2C领域取得了很好的业绩，开始逐步涉足B2B交易。第三方支付商的优势在于小银行之间的跨行交易。

三、B2B电子支付存在问题

1.B2B电子支付要求更高的安全性

2.B2B电子支付要求更快的周转速度

目前，很多第三方支付服务机构开展了在线支付、电子钱包等支付手段，但基本模式都是付款方的资金先转入第三方支付服务机构的账户或者电子钱包，然后卖方发货。只有在卖方的货物被买方收到并验货认可后，资金的清算才可以正式进行，货款由第三方支付服务机构转给收款方，但从发货、收货到验货有较长的周期，买方的货款被滞留在第三方支付服务机构，这种模式的收付速度难以达到B2B电子商务的要求。尤其是规模不是很大的电子商务企业，实力较弱，对流动资金有很高的需求，他们无法接受资金滞留。

3.B2B电子支付要求三流更高的协调性

物流、资金流和信息流是电子商务的三要素。网上下单、网上支付并在网上指定配送方式，才构成一个完整统一的电子商务体系。企业开展B2B电子商务业务时，会产生大量订单。如何通过电子支付实现资金流和订单/信息流的统一，从而便利收款企业的对账发货，也是企业非常现实的需求。对于B2B电子支付而言，并不仅仅是在网上进行一次付款便完成了的事情，它背后将涉及到的是物流、库存、信息流等的对接。

第三方支付网关无法对网上交易的货物进行监督，也就不能为买家保证货物的安全，在资金监管、信息流的提供等方面都有不足，在B2B电子支付过程中，发展将更艰难。

四、B2B电子支付的解决对策

1.多方面提供安全保障

电子支付先天具有一定的安全可靠性。企业在进行B2B电子支付时，无需使用现金、支票支付税费，特别是对于本关区以外的企业，免去了邮寄、携带大额票据的风险，极大地提高了企业资金管理的安全性。

但从银行、第三方支付网关的角度，仍需采用多种措施，提高B2B电子支付的安全性。

首先是技术上。B2B电子支付服务提供方，在电子支付的各个环节，采用先进的安全措施。网上银行系统采用国际上安全性强的1024位非对称密钥算法为基础的公钥安全体系；客户证书采用支持非对称密钥算法、带协处理器的CPU智能IC卡为存储介质；网络数据传输方面采用国际通行的SSL协议进行链路层的加密传输；整个系统的网络框架上，设置多重防火墙和安全服务器，并采用著名的ISS黑客扫描程序。

其次从管理上。要确保网络系统的安全与保密，除了对工作环境建立一系列的安全保密措施外，还要建立健全金融网络的各项内部管理制度。根据企业资信状况，从业务角度控制参与B2B在线支付的企业范围。客户的每一笔交易都将按照机密性和完整性的要求进行记录，作为交易的审计备案。以上措施从源头上阻止非法客户的进入，杜绝欺诈行为的发生，为B2B电子商务的开展营造了一个更加安全、规范、便捷的交易环境。

3.利用信息技术构建三流一体化平台

由于信息技术的支持，企业可以采用一定规模的ERP、SCM软件，协调整个供应链的机制，实现从客户到供应商的完全连通，企业的内部流程与外部交易完全一体化；通过供应链管理，保证了销售渠道的畅通；实时进行交易，使交易和供应几乎同时发生，使供应商及时了解物料需求状况，实现企业零库存；快速、实时、柔性的交易模式，及其完善而流畅的服务与物流配送体制，使电子商务达到了其高级阶段。

在企业实现物流、库存电子化管理后，符合中国企业需求的第三方电子支付，将能够将电子商务企业交易的“信息流”与“资金流”实现最佳整合，并能作为B2B电子商务中企业渠道资金收付和产业链上下游企业资金来往来的重要平台。

网上银行也能够实现电子商务交易的全过程、如何实现交易资金流与信息流的紧密绑定。实现订单和资金流的统一，便利收款商户对账发货。

4.大中小企业各取所需

一般来说，处于产业链内主导地位大型厂商来说，电子支付的关键是安全与信誉，此时寻找商业银行等金融机构作为电子支付渠道的合作伙伴将显得更为现实。通过金融机构建立大额电子支付渠道，能够有效保障整个产业链上企业相互间安全支付。

支付网关需要通过银行进行结算，支付商提供的服务是银行业务的延伸，二者是合作和补充的关系。越来越多的银行跟第三方支付公司的联合，为各类型企业又提供了更多的选择。