关于电子支付的安全性探讨(2)
作者:佚名; 更新时间:2014-12-05
国内的网上银行支付系统基于SET协议的极少,中国银行是一家。它的CA是中国银行认证中心(CCA)。持卡人通过Internet由中国银行主页中下载电子钱包软件后,通过Internet在线获得中国银行认证中心批准的借记卡网上交易电子证书。
第三种:以支付工具为中介的支付模型
国内除了上述两种支付方式外,还有种以网上支付工具为中介的支付流程,即第三方支付。这种在线实时的支付方式实质上还是网上银行。这种支付模式主要解决的不是信息流在网上传递的安全性问题,而主要解决的是,因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。
第三方支付的交易过程:买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议,这时买方需把货款汇到第三方中介账户上。中介立刻通知卖方钱己收到可以发货,待买方收到商品并确认无误后,中介才会把货款汇到卖方的账户,整个交易就完成了。
第三方支付的典型代表有贝宝公司的PayPal、阿里巴巴旗下的支付宝等。
2.2 SSL、SET协议的不足
SSL协议存在的问题:第一,客户的信息首先传递到商家,商家可以任意阅读,这样客户资料的隐私性就得不到保证。第二,SSL只能保证资料信息传递的安全,而传递过程是否被人截取无法保证。第三,SSL没有对应用层的消息进行数字签名,因此也无法保证不可否认性。所以,SSL并没有实现电子支付所要求的保密性、完整性和不可否认性,而且多方互相认证也很困难。
SET协议存在的问题:第一,SET协议使用的对称加密算法DES,随着计算机处理速度和存储效率的提高,己经不是计算上安全的算法了。第二,协议没有担保非拒绝服务,无法证明交易是否由签署证书的使用者发出。协议签名的内容无法保障持卡者和商家,在协议最后收到的签名,是针对交易内容的认证。第三,协议没有考虑交易个体的公平性,持卡人的信用卡信息经过商家转发,虽然是经过加密的,但无论如何也会留下痕迹,这是个很大的安全隐患。第四,从实用性来讲,SET协议对商家系统的开发来说是个不小的负担,很多的小商户都会认为成本太高,不甚划算。并且,应用SET协议需要在持卡人端安装电子钱包,这也是个不太容易让普通持卡用户很快接受的地方。还有,SET协议仅仅针对信用卡,对个人信任制度不成熟的我国现状来说,也是一个制约因素。
2.3 基于SET协议模型的改进
替换密码算法:SET协议规定加密算法为DES加上RSA,而通过上文分析DES加密算法存缺陷,因此可选择用IDEA算法作为DES的代替算法。IDEA的密钥长度为128位,是目前公认比较安全的加密算法。另IDEA和DES算法同是对称加密算法,分组长度都是64位,使用IDEA对原有系统的影响不大。
增加支付中心:由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。对照现实中商场中“柜台”与“收银台”相分离,对基于SET协议的电子支付系统进行改进,引入了支付中心这一概念,相当于电子的“收银台”。这样,电子商户主要承担商品展示功能,在消费者下订单后,商户执行“开票”功能,而“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。消费者的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方—支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而加强了信息流和资金流在网上实时传递的机密性和安全性。
3 结束语
随着电子商务和金融电子化的日益成熟和不断发展,对网络支付的要求也更加严格。虽然网络支付工具随着技术的变化层出不穷,但网络支付并不是非常成熟,只有加强电子支付的安全保障,建立起电子支付业的统一行业规范,完善电子支付的法律体系,才能使我国的电子商务和电子支付具有更强的生命力,在我国经济建设中发挥更大的作用。
参考文献:
[1] 吴琦.电子商务代表网站及业务模式分析[M].通信世界,2007.2.
[2] 肖群.电子支付协议和电子现金的研究[M].陕西师范大学出版社,2004.2.
[3] 王蝉 姚赤丹.SSL/SET协议比较与改进模型[J].现代计算机,2002.8.
上一篇:论关于网络数据库安全性研究
下一篇:论维护ASP应用程序的安全性
热门论文