導(dǎo)語：網(wǎng)上支付技術(shù)研究管理論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【論文關(guān)鍵詞】：電子商務(wù)網(wǎng)上支付系統(tǒng)技術(shù)對(duì)策

【論文摘要】我國電子商務(wù)和網(wǎng)上交易近年來取得了較大的發(fā)展,然而網(wǎng)上支付成為我國電子商務(wù)發(fā)展的瓶頸之一。因此,解決網(wǎng)上支付問題是發(fā)展電子商務(wù)的必要環(huán)節(jié)。本文從多個(gè)方面對(duì)網(wǎng)上支付系統(tǒng)的技術(shù)和安全問題進(jìn)行了研究。文章首先簡(jiǎn)單地分析了網(wǎng)上支付系統(tǒng)在安全方面的需求，介紹了相關(guān)的核心技術(shù)。然后結(jié)合我國民航電子商務(wù)的發(fā)展現(xiàn)狀和需求,以節(jié)省交易成本和提高安全性為目標(biāo),提出基于SSL協(xié)議的民航電子商務(wù)支付系統(tǒng)。通過加入雙重簽名技術(shù),使得SSL協(xié)議的安全性有所提高,民航電子商務(wù)系統(tǒng)更加有效和安全,交易成本也大大降低。

Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.

Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.

Keywords:EC;onlinepaymentsystem;technicalcountermeasures

第一章：引言

2009年1月13日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京了《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示，截至2008年底，我國互聯(lián)網(wǎng)普及率以22.6%的比例首次超過21.9%的全球平均水平。同時(shí)，我國網(wǎng)民數(shù)達(dá)到2.98億，寬帶網(wǎng)民數(shù)達(dá)到2.7億，國家CN域名數(shù)達(dá)1357.2萬，三項(xiàng)指標(biāo)繼續(xù)穩(wěn)居世界排名第一。

我國網(wǎng)民和國家CNCN域名的增加，勢(shì)必為電子商務(wù)的發(fā)展帶來更大的機(jī)會(huì)。隨著Internet技術(shù)和應(yīng)用的不斷發(fā)展,越來越多的企業(yè)加入到電子商務(wù)的隊(duì)伍中來。電子商務(wù)已成為貿(mào)易發(fā)展的必然趨勢(shì),隨著電子商務(wù)環(huán)境的規(guī)范和完善,中國電子商務(wù)企業(yè)必然迅猛發(fā)展。使用網(wǎng)上支付的方式進(jìn)行交易,大大降低了傳統(tǒng)貿(mào)易的費(fèi)用和開銷,提高了工作效率和企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)。越來越多的企業(yè)選擇在Internet上建立自己的Web站點(diǎn)以便利、經(jīng)濟(jì)的手段在網(wǎng)上展示自己的企業(yè)形象,推銷本企業(yè)的產(chǎn)品。

一、電子商務(wù)與支付系統(tǒng)的定義

1、電子商務(wù)的定義

電子商務(wù)源于英文ElectronicCommerce，簡(jiǎn)寫為EC。顧名思義，其內(nèi)容包含兩個(gè)方而，一是電子方式，二是商貿(mào)活動(dòng)。電子商務(wù)指的是利用簡(jiǎn)單、快捷、低成木的電子通訊方式，買賣雙方小謀而地進(jìn)行各種商貿(mào)活動(dòng)。國際商會(huì)于1997年11月，在巴黎舉行了世界電子商務(wù)會(huì)議(TheWorldBusinessAgendaforElectronicCommerce)會(huì)上專家和代表對(duì)電子商務(wù)的概念進(jìn)行了最權(quán)威的闡述：電子商務(wù)，是指實(shí)現(xiàn)整個(gè)貿(mào)易過程中各個(gè)階段的貿(mào)易活動(dòng)的電子化[1]。從涵蓋范圍可以定義為：交易各方以電子交易方式而不是通過當(dāng)面交換或直接面談方式進(jìn)行的任何形式的商業(yè)貿(mào)易；從技術(shù)方面可以定義為:電子商務(wù)是一種多技術(shù)的集合體，包括交換數(shù)據(jù)(如電子數(shù)據(jù)交換、電子郵件)、獲得數(shù)據(jù)(共享數(shù)據(jù)庫、電子公告牌)、以及自動(dòng)捕獲數(shù)據(jù)(條形碼)等[2]。

2、網(wǎng)上支付系統(tǒng)的構(gòu)成

支付系統(tǒng)是由一系列支付工具、程序、有關(guān)交易主體、法律規(guī)則組成的用于實(shí)現(xiàn)貨幣金額所有權(quán)轉(zhuǎn)移的完整體系。[3]

網(wǎng)上支付是指以金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以商用電子化工具和各類交易卡為媒介，采用現(xiàn)代計(jì)算機(jī)技術(shù)和通信技術(shù)作為手段，通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，特別是因特網(wǎng)進(jìn)行傳輸。以電子信息傳遞的形式來實(shí)現(xiàn)資金的流通和支付。網(wǎng)上支付系統(tǒng)的構(gòu)成則主要包括兩部分。一是網(wǎng)上支付主體。涉及網(wǎng)上商家、持卡人、銀行和第三方認(rèn)證機(jī)構(gòu)。二是網(wǎng)上支付技術(shù)。如基于因特網(wǎng)的TCP/IP協(xié)議標(biāo)準(zhǔn)、WWW技術(shù)規(guī)范和以安全網(wǎng)絡(luò)數(shù)據(jù)交換為宗旨的電子數(shù)據(jù)交換協(xié)議SSL和SET。[4]

二、電子商務(wù)與網(wǎng)絡(luò)支付系統(tǒng)的發(fā)展現(xiàn)狀

1、電子商務(wù)的發(fā)展現(xiàn)狀

根據(jù)2009年1月13日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，在主要互聯(lián)網(wǎng)應(yīng)用使用率調(diào)查中，網(wǎng)絡(luò)求職、更新博客和網(wǎng)絡(luò)購物位列增長(zhǎng)最快的應(yīng)用前三甲。而網(wǎng)絡(luò)音樂、網(wǎng)絡(luò)視頻等娛樂性應(yīng)用的使用率則明顯呈現(xiàn)下降的趨勢(shì)。

由此可見，越來越多的企業(yè)和顧客加入到電子商務(wù)的隊(duì)伍中來，網(wǎng)絡(luò)支付系統(tǒng)得到越來越廣泛的應(yīng)用。電子商務(wù)發(fā)展迅速,通過網(wǎng)上進(jìn)行交易已成為潮流。在我國，電子商務(wù)雖然剛起步，但是人們對(duì)電子商務(wù)的巨大潛力深信不疑；我國政府積極支持電子商務(wù)活動(dòng)的開展，這些都對(duì)我國電子商務(wù)的發(fā)展產(chǎn)生了重要的影響。

但是應(yīng)當(dāng)看到，我國還存在一些“瓶頸”問題，嚴(yán)重地阻礙著電子商務(wù)的發(fā)展。從技術(shù)角度上看也存在兩項(xiàng)解決的難題一是缺乏統(tǒng)一的電子商務(wù)技術(shù)服務(wù)標(biāo)準(zhǔn)，沒有規(guī)矩不成方圓，沒有標(biāo)準(zhǔn)的電子商務(wù)勢(shì)必造成國內(nèi)乃至國際電子交易混亂和麻煩。技術(shù)是電子商務(wù)發(fā)展的基礎(chǔ)，而技術(shù)的發(fā)展必須建立在標(biāo)準(zhǔn)統(tǒng)一的基礎(chǔ)之上。因此加快電子商務(wù)技術(shù)標(biāo)準(zhǔn)的制定是我國電子商務(wù)發(fā)展中迫在眉睫的、十分重要的事，是我國電子商務(wù)發(fā)展重中之重。二是還沒有真正成熟的電子商務(wù)解決方案。在現(xiàn)階段電子商務(wù)軟件服務(wù)市場(chǎng)上，國外成熟的電子商務(wù)解決方案占據(jù)主導(dǎo)地位仍是不爭(zhēng)的事實(shí)，而國內(nèi)真正有能力的開發(fā)廠家更是屈指可數(shù)，仔細(xì)算來也只有實(shí)華開、四通寥寥幾家，但沒有一家能夠提供一套完整的電子商務(wù)交易標(biāo)準(zhǔn)。而網(wǎng)上支付作為新興的電子支付手段，越來越普及越來越重要。無論是對(duì)電子商務(wù)技術(shù)服務(wù)標(biāo)準(zhǔn)的制定還是對(duì)真正成熟的電子商務(wù)的解決方案的出現(xiàn)，網(wǎng)上支付系統(tǒng)的關(guān)鍵技術(shù)都是至關(guān)重要的。

但是現(xiàn)在制約電子商務(wù)發(fā)展的最關(guān)鍵的技術(shù)，是解決安全問題的技術(shù)。電子商務(wù)中的安全問題是重中之重的問題。在電子商務(wù)系統(tǒng)中,不僅需要交換使用者的信用卡號(hào)碼、客戶密碼和個(gè)人身份等隱私信息，而且還涉及到個(gè)人財(cái)產(chǎn)的安全問題。在電子支付過程中,必須保證信息的機(jī)密性、完整性和真實(shí)性。一旦這些方面得不到切實(shí)的保證，那么將造成重大的損失和嚴(yán)重的法律問題，甚至?xí)嗨碗娮由虅?wù)企業(yè)的命運(yùn)。因此必須發(fā)展能夠保障支付系統(tǒng)安全的關(guān)鍵技術(shù),確保交易過程是安全、可靠的。

2、網(wǎng)上支付系統(tǒng)的發(fā)展現(xiàn)狀

隨著電子商務(wù)的迅猛發(fā)展，支付問題就成了制約電子商務(wù)發(fā)展的瓶頸，尤其是支付的安全性問題就像一直縈繞在頭上的達(dá)摩克利斯之劍。電子支付構(gòu)成了電子商務(wù)的核心環(huán)節(jié)，如果沒有支付，整個(gè)電子商務(wù)過程無法完成。只有通過安全、快捷的實(shí)現(xiàn)電子支付才能實(shí)現(xiàn)電子商務(wù)涉及的物流、資金流、信息流的有機(jī)結(jié)合，才能確保電子商務(wù)交易順利進(jìn)行。

而作為真正的網(wǎng)絡(luò)支付手段出現(xiàn)的支付方式，則是在Internet的迅速走向普及化之后的事情。但是自2005年以來，中國網(wǎng)上支付成長(zhǎng)十分迅速，這標(biāo)志著中國電子商務(wù)邁入了以全面實(shí)現(xiàn)網(wǎng)上支付系統(tǒng)為特征的嶄新發(fā)展階段。著名的網(wǎng)絡(luò)市場(chǎng)調(diào)研機(jī)構(gòu)艾瑞咨詢公司的研究報(bào)告預(yù)測(cè)2010年我國的我網(wǎng)上支付市場(chǎng)規(guī)模將達(dá)到2800億元。網(wǎng)上支付已成為國內(nèi)網(wǎng)民從事網(wǎng)上交易時(shí)的第一選擇，網(wǎng)上支付市場(chǎng)似乎已經(jīng)成為繼網(wǎng)絡(luò)游戲、sp之后的又一座金山。

在Internet上出現(xiàn)的支付系統(tǒng)模式已有十幾種,這些系統(tǒng)模式大致上可以劃分為如下3類:第一類是數(shù)字化的電子貨幣或者電子現(xiàn)金;第二類是使用他們已有的安全清算程序,對(duì)Internet的網(wǎng)上支付提供信息中介服務(wù);第三類是針對(duì)銀行卡主攻加密算法,使傳統(tǒng)的銀行卡支付信息通過Internet向商家傳遞,利用金融專用網(wǎng)絡(luò)提供獨(dú)立的支付授信,更先進(jìn)的是采用智能卡技術(shù),提供聯(lián)機(jī)的銀行卡支付。但是不管是哪一類的系統(tǒng)，都是包含著信息加密措施的系統(tǒng)，每一個(gè)系統(tǒng)都是有很多保障安全性的系統(tǒng)。

第二章：網(wǎng)上支付系統(tǒng)的安全技術(shù)問題

一、網(wǎng)上支付系統(tǒng)的安全問題

隨著網(wǎng)上支付手段使用人數(shù)的增加，網(wǎng)上支付系統(tǒng)所存在的問題也暴露無遺，而且隨著使用范圍的推廣和黑客等技術(shù)的發(fā)展，也對(duì)網(wǎng)上支付系統(tǒng)的關(guān)鍵技術(shù)提出了更高的要求。其中最重要最核心的關(guān)鍵技術(shù)問題，就是安全問題。

電子商務(wù)的支付問題是隨著電子商務(wù)本身的快速發(fā)展而衍生的。單純就它們的關(guān)系而言,電子商務(wù)需要電子支付,支付體系是開展電子商務(wù)的必備條件。隨著網(wǎng)上支付手段使用人數(shù)的增加，網(wǎng)上支付系統(tǒng)所存在的問題也暴露無遺，而且隨著使用范圍的推廣和黑客等技術(shù)的發(fā)展，也對(duì)網(wǎng)上支付系統(tǒng)的關(guān)鍵技術(shù)提出了更高的要求。其中最重要最核心的關(guān)鍵技術(shù)問題，就是安全問題。據(jù)AC尼爾森公司在2003年3月～4月做的一個(gè)調(diào)查表明,安全性是網(wǎng)上購物者用信用卡支付的主要顧慮。安全問題已成為電子支付發(fā)展面臨的重要挑戰(zhàn),目前制約我國電子商務(wù)發(fā)展的瓶頸就是支付問題。

二、信用卡安全的恐慌——網(wǎng)上支付系統(tǒng)的安全問題案例分析

眾所周知道銀行業(yè)步入了網(wǎng)絡(luò)時(shí)代,網(wǎng)絡(luò)也融入了銀行業(yè),這迎合了電子商務(wù)發(fā)展的趨勢(shì)。網(wǎng)上銀行因不受時(shí)間、地域限制,成本低、快捷方便等優(yōu)點(diǎn)得到了銀行業(yè)的積極響應(yīng)。近幾年更是呈現(xiàn)出迅猛發(fā)展的勢(shì)頭。但是由于網(wǎng)上銀行所有內(nèi)容都是以數(shù)據(jù)的形式流轉(zhuǎn)于網(wǎng)絡(luò)之上,不可避免地會(huì)帶來信息安全隱患。作為龐大資金流動(dòng)的載體,網(wǎng)上銀行極易受到非法入侵和惡意攻擊。如果銀行的網(wǎng)絡(luò)遭到攻擊,私人信息就可能會(huì)泄漏,若補(bǔ)救不及時(shí),很可能給消費(fèi)者造成巨大損失。2005年4月,多名“支付寶”用戶工商銀行帳戶里的錢不翼而飛。6月,花旗集團(tuán)丟失了一批記錄著390萬客戶帳戶及個(gè)人信息的電腦記錄數(shù)據(jù)帶。同月,包括Master、Visa在內(nèi)的多家信用卡公司4000多萬用戶信息被盜,涉及了近9000張國內(nèi)信用卡,一時(shí)間風(fēng)聲鶴唳,引發(fā)了信用卡安全的恐慌。黑客竊取用戶資料、網(wǎng)絡(luò)詐騙、虛假銀行、網(wǎng)絡(luò)釣魚等支付安全問題已經(jīng)嚴(yán)重影響了電子商務(wù)的發(fā)展。

從銀行業(yè)的這一案例中我們可以清晰看到安全技術(shù)的重要地位和意義。因此必須對(duì)這一關(guān)鍵技術(shù)進(jìn)行深入的研究，形成一個(gè)優(yōu)秀的解決方案，確保網(wǎng)上支付系統(tǒng)的安全，保障我國電子商務(wù)事業(yè)的穩(wěn)定快速發(fā)展。

第三章：解決網(wǎng)上支付系統(tǒng)的安全問題的技術(shù)解決途徑

安全的目的是：保護(hù)一個(gè)系統(tǒng)不會(huì)受到未經(jīng)授權(quán)的訪問，使系統(tǒng)的正常工作不會(huì)被非法干預(yù)。同所有計(jì)算機(jī)系統(tǒng)一樣。電子商務(wù)系統(tǒng)安全必須具有保密性、完整性及可用性三個(gè)特征[5]。網(wǎng)上支付系統(tǒng)的安全是電子商務(wù)發(fā)展的核心。任何在Internet上開展業(yè)務(wù)的機(jī)構(gòu)必須采取積極的步驟,確保系統(tǒng)有足夠的安全措施,防止機(jī)密信息泄露和非法侵入造成損失。因此網(wǎng)上支付系統(tǒng)不但要具有保密性、完整性及可用性三個(gè)特點(diǎn)好要具有認(rèn)證性、不可否認(rèn)性和可審查性。

一、網(wǎng)上支付系統(tǒng)的安全要求

1、保密性

要確保網(wǎng)上支付系統(tǒng)的安全，首要的一點(diǎn)要求就是應(yīng)防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性，交易中的商務(wù)信息都需要遵循一定的保密規(guī)則。交易中的商務(wù)信息可能直接關(guān)聯(lián)著個(gè)人、企業(yè)或國家的商業(yè)秘密,特別是涉及到商業(yè)機(jī)密和金融方面的敏感信息時(shí),信息的保密性更為重要。因?yàn)槠湫畔⑼碇鴩?、企業(yè)和個(gè)人的商業(yè)機(jī)密，而電子商務(wù)是建立在一個(gè)較為開放的互聯(lián)網(wǎng)絡(luò)環(huán)境上的。它所依托的網(wǎng)絡(luò)本身也就是由于開放式互聯(lián)形成的市場(chǎng)，才贏得了電子商務(wù)。因此在這一新的支撐環(huán)境下，勢(shì)必要用相應(yīng)的技術(shù)和手段來延續(xù)和改進(jìn)信息的保密性。,因此,要采取措施預(yù)防信息的非法存取和信息在傳輸過程中被非法竊取。維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。

對(duì)于網(wǎng)上支付系統(tǒng)來說，他的保密性意味著系統(tǒng)必須滿足兩點(diǎn)：（1）私有交易不會(huì)被其它人截獲及讀取，既沒有人能夠通過攔截會(huì)話數(shù)據(jù)獲得訂貨單中的帳戶信息；（2）如果可能，應(yīng)確保交易的匿名性，使交易不會(huì)被追蹤，任何人無法利用“發(fā)生交易”這樣的事實(shí)本身來達(dá)到別的目的。

2、信息的完整性

不可否認(rèn)電子商務(wù)的出現(xiàn)以計(jì)算機(jī)代替了人們以大多數(shù)復(fù)雜的勞動(dòng)，信息系統(tǒng)的形式整合化簡(jiǎn)了企業(yè)貿(mào)易中的各個(gè)環(huán)節(jié)，但網(wǎng)絡(luò)的開放和信息的處理自動(dòng)化也使如何維護(hù)貿(mào)易各方商業(yè)信息的完整統(tǒng)一出現(xiàn)了問題。而貿(mào)易各方各類信息的完整性勢(shì)必影響到貿(mào)易過程中交易和經(jīng)營策略，因此保持貿(mào)易各方信息的完整性是網(wǎng)上支付系統(tǒng)應(yīng)用必備的基礎(chǔ)。

要確保網(wǎng)上支付能夠安全順利的進(jìn)行，還要防止未經(jīng)授權(quán)的數(shù)據(jù)修改。交易雙方的合同簽訂后就不能隨意刪改，以保證交易的公正性,與可行性。電子商務(wù)簡(jiǎn)化了貿(mào)易過程，減少了人為的干預(yù)，但對(duì)信息的隨意生成、修改和刪除會(huì)造,成差錯(cuò)甚至可能導(dǎo)致欺詐行為。數(shù)據(jù)傳輸過程中信息丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。這會(huì)影響貿(mào)易各方商業(yè)信息的完整性和統(tǒng)一性。因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性指資源只能由授權(quán)實(shí)體修改。網(wǎng)上支付系統(tǒng)的完整性要求他提供的服務(wù)應(yīng)在通信過程中接收到的消息確實(shí)是實(shí)際發(fā)送的消息，不可能在傳輸過程中被篡改，也不可能是一條偽造的消息。

3、可用性

可用性是指一旦用戶得到訪問某一資源的權(quán)限，該資源就應(yīng)該能夠隨時(shí)為他使用，而不應(yīng)該將其保護(hù)起來使擁護(hù)的合法權(quán)益受到損害。在電子商務(wù)系統(tǒng)中，提高系統(tǒng)可用性有時(shí)還意味著用戶僅需經(jīng)一次登陸就可以訪問任何其他有權(quán)訪問的資源，避免對(duì)訪問不同的服務(wù)使用不同的登錄過程。

不可否認(rèn)電子商務(wù)的出現(xiàn)以計(jì)算機(jī)代替了人們以大多數(shù)復(fù)雜的勞動(dòng)，信息系統(tǒng)的形式整合化簡(jiǎn)了企業(yè)貿(mào)易中的各個(gè)環(huán)節(jié)，但網(wǎng)絡(luò)的開放和信息的處理自動(dòng)化也使如何維護(hù)貿(mào)易各方商業(yè)信息的完整統(tǒng)一出現(xiàn)了問題。而貿(mào)易各方各類信息的完整性勢(shì)必影響到貿(mào)易過程中交易和經(jīng)營策略，因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用必備的基礎(chǔ)。

4、不可否認(rèn)性

在交易中會(huì)出現(xiàn)交易抵賴的現(xiàn)象，如信息發(fā)送方在發(fā)送操作完成后否認(rèn)曾經(jīng)發(fā)送過該信息或與之相反接受方收到信息后并不承認(rèn)曾經(jīng)收到過該條消息。因此如何確定交易中的任何一方在交易過程中所收到的交易信息，正是自己的合作對(duì)象發(fā)出的。而對(duì)方本身也沒有被假冒是電子商務(wù)活動(dòng)和諧順利進(jìn)行的保證。

要確保網(wǎng)上支付系統(tǒng)的安全，交易一旦簽訂就不能被否認(rèn)。因此交易的各個(gè)環(huán)節(jié),都必須設(shè)法防止參與交易的任何一方的抵賴。不可否認(rèn)性主要包含數(shù)據(jù)原始記錄和發(fā)送記錄的不可否認(rèn),確認(rèn)數(shù)據(jù)已經(jīng)完全發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù),并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實(shí)性,保證參加電子交易的各方承認(rèn)交易過程的合法性,在交易數(shù)據(jù)發(fā)送完成以后,雙方都不得否認(rèn)自己曾經(jīng)發(fā)出或接收過信息。要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻,確定的地點(diǎn)是有效的。一旦事務(wù)結(jié)束，有關(guān)各方都不能否認(rèn)自己參與過這次事務(wù)。

5、可審查性。

根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄,在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。當(dāng)貿(mào)易一方發(fā)現(xiàn)交易行為對(duì)自己不利,否認(rèn)電子交易行為時(shí),系統(tǒng)應(yīng)具備審查能力,使交易的任何一方都不能抵賴已經(jīng)發(fā)生的交易行為。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。而在無紙化的電子商務(wù)方式下,則應(yīng)通過數(shù)字摘要、PKI、數(shù)字簽名、數(shù)字憑證、CA認(rèn)證等手段,在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。

6、認(rèn)證性

要確保網(wǎng)上支付系統(tǒng)的安全，在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制,以確保參加交易各方的身份真實(shí)有效。首先,要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。即接收方可以確認(rèn)信息來自發(fā)信者，而不是第三者冒名發(fā)送。發(fā)送方可以確認(rèn)接收方的身份是真實(shí)的，而不至于發(fā)往與交易無關(guān)的第三方。要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。網(wǎng)上支付系統(tǒng)中通信的雙方應(yīng)能確定對(duì)方的身份，知道對(duì)方確實(shí)是他所稱的那一位。在這里，確定意思并不完全意味著知道對(duì)方的準(zhǔn)確身份，但應(yīng)能做到知道自己是在與一個(gè)可靠的對(duì)象通信。

二、網(wǎng)上支付系統(tǒng)可能受到的攻擊

針對(duì)網(wǎng)上支付系統(tǒng)所進(jìn)行的攻擊就是試圖破壞上面的六大安全特征。近一步細(xì)分又可以劃分為兩大類。

（1）假冒和惡意破壞。由于掌握了數(shù)據(jù)的格式并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息而遠(yuǎn)端用戶通常很難分辨。由于攻擊者可以接入網(wǎng)絡(luò)則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

（2）竊取和篡改信息由于未采用加密措施或加密措施不利，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，或者是被不法者用設(shè)置網(wǎng)絡(luò)竊聽器等手段監(jiān)視網(wǎng)上數(shù)據(jù)流、從數(shù)據(jù)包中獲取敏感信息。入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密，當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

三、網(wǎng)上支付系統(tǒng)安全的技術(shù)解決方案

1、加密技術(shù)

1.1、利用加密技術(shù)保證電子商務(wù)支付的機(jī)密性[6]

密碼技術(shù)在發(fā)展過程中逐漸分離出加密技術(shù)和驗(yàn)證技術(shù)兩個(gè)分支。就加密技術(shù)而言,1976年以前主要采用對(duì)稱加密技術(shù),這種加密技術(shù)存在著很多問題,如密鑰分發(fā)的安全性,密鑰規(guī)模過大、不能保證消息的真實(shí)性和完整性等。1976年以后,迪飛和海爾曼創(chuàng)造性地提出了非對(duì)稱加密算法,徹底解決了上述問題,使加密技術(shù)有了革命性的發(fā)展。

1.2對(duì)稱加密技術(shù)

對(duì)稱加密技術(shù)有許多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美國國際標(biāo)準(zhǔn)局(NBS)制定的標(biāo)準(zhǔn)加密算法。它把64位的明文輸入塊變成64位的密文輸出塊,所使用的密鑰也是64位,其中第8位奇偶校驗(yàn)位另作它用。DES利用56位的密鑰,對(duì)64位的輸入數(shù)據(jù)塊進(jìn)行16次的排列置換,最后生成輸出塊密碼。其生成步驟如[7]

下:

(1)為了產(chǎn)生64位明文的置換輸入,對(duì)二進(jìn)位進(jìn)行初始排列(InitialPermutation),然后將結(jié)果分成32位的左右兩個(gè)數(shù)據(jù)塊。

(2)執(zhí)行16次的迭代函數(shù)f,而每迭代一次所使用的密鑰就不同,f函數(shù)將此密鑰和右側(cè)數(shù)據(jù)塊作為自己的輸入?yún)?shù)。

(3)在每個(gè)迭代階段,左右兩個(gè)數(shù)據(jù)塊的置換值由下式確定:

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)

(4)經(jīng)16次迭代之后,輸出由6位二進(jìn)位組成的輸入明文和密鑰的函數(shù)結(jié)果。

(5)將左右兩塊數(shù)據(jù)連接起來,對(duì)其進(jìn)行再度排列,最終生成輸出密文,但排列順序剛好與初始排列相反。