随着电商的飞速发展,电子商务支付也得到提升,电子支付应用也越来越广泛。本文探讨电子商务支付安全问题。
《杭州电子科技大学学报(社会科学版)》是由杭州电子科技大学主办、浙江省教育厅主管的综合性学术刊物。创刊于1981年,1988年批准为公开发行(季刊),1999年批准为双月刊(综合),2005 年更改为现刊名(双月刊),2014 年变更为月刊,国内外公开发行。
1引言
随着现代计算机网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的高效和快捷而进行着各种商务活动。电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础。电子商务是以计算机和开放的网络为基础载体的,大量重要的身份信息、金融信息、交易信息都需要在网上进行电子的传输,电子商务安全支付问题成为大家共同关心的问题。伴随着各种移动终端和无线网络的不断发展和完善,移动支付在不仅是一个重要的机遇,同时也带来了一个重大的挑战。
2电子商务及信息安全现状
近年来,电子商务开始了蓬勃地发展,但电子商务安全隐患严重地影响了电子商务的进行。信息安全问题成为制约我国电子商务发展的重要因素还是,因此,必须从技术上为电子商务交易活动提供机密性、完整性、真实性和抗抵赖性等安全保障。我们将从电子商务和信息安全两个方面分别进行讨论。
2.1 电子商务发展现状
依据国家互联网中心(CNNIC)的最新报告,2013年网络购物市场继续快速向前发展,交易金额达到1.85万亿元,较2012年增长40.9%。2013年网络零售市场交易总额占社会消费品零售总额的7.9%。
截至2013年12月,我国网络购物用户规模达到3.02亿,较上年增加5987万,增长率为24.7%,使用率从42.9%提升至48.9%。网购用户规模的快速扩张为网购市场的发展奠定良好的用户基础,释放着巨大的市场潜力。
2.2 信息安全现状
近年来,虽然安全软件逐渐普及、防范能力不断加强,但新的病毒、诈骗手段和骚扰手段不断涌现,安全软件防范难度加大,安全事件发生概率仍然较高。整体上来讲,我国信息安全环境仍不容乐观,有74.1%的网民在过去半年内遇到过安全事件,总人数达4.38亿。
电脑网上购物发生安全问题的网民数占整体电脑上网人数的4.0%,影响人口达2010.6万人。电脑网上购物发生安全事故较多的是遇到欺诈信息,在网购安全事故发生人群中的发生比例达75.0%;其次为假冒网站/诈骗网站,比例为60.7%;其它方面,个人信息泄露比例达42.9%、账号密码被盗比例达23.8%、中病毒和木马的情况为22.6%。
网购时发生这些安全事件,不仅给购物者造成损失,同时也影响电子商务的健康发展。
3电子支付安全
在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易。这些安全问题将在很大程度上限制电子商务的进一步发展,因此如何保证 Internet 网上信息传输的安全,已成为发展电子商务的重要环节。电子支付涉及到大量资金流的转移以及个人隐私或商业机密,而这种支付是发生在开放性程度非常高的互联网上,必须从技术上为电子商务交易活动提供机密性、完整性、真实性和抗抵赖性等安全保降。因此,要对网上安全电子支付提出以下的要求:
(1)交易数据的保密性。保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。电子支付过程主要处理与金融数据有关的信息, 数据处理量大,且每笔数据都会影响到一定的经济利益,因此,交易过程中产生的与支付有关的数据应该被严格保密, 除交易双方以及被授权第三方外,必须保护支付交易的私密性,同时要防止信息被越权访问。
(2)交易数据的完整性。完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。交易数据在网络上传输过程中的完整性和有效性,即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。
(3)交易数据的不可抵赖性。不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
电子商务交易过程是双方或者是多方的,其中一方抵赖自己的交易都会给另一方带来利益损失,因此必须保证交易双方在交易后都无法否认和抵赖。
4电子商务支付安全中主流技术
电子支付中交易信息的安全在很大程度上依赖于网络信息安全技术的完善,电子商务安全是信息安全的上层应用, 它包括的技术范围比较广, 主要分为数据加密技术和身份认证技术两大类。
4.1数据加密技术
加密技术是保证电子商务中采用的主要安全措施, 交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素: 算法和密钥。加密过程就是根据一定的算法, 将可理解的数据(明文) 与一串数字( 密钥) 相结合, 从而产生不可理解的密文的过程, 主要加密技术是对称密文加密和非对称加密
(1)对称密文加密。对称密钥加密又称为秘密密钥加密, 即收发双方采用相同的密钥来进行加密和解密, 对称密钥加密的最大优点是加解密速度快, 适合于进行大量数据加密, 但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。
(2)非对称密钥加密。非对称密钥加密也称为公开密钥加密, 每个用户有一对密钥:一个用于加密, 一个用于解密, 两把密钥实际上是两个很大的质数, 加解密过程。其中, 加密密钥(公钥) 可以在网络服务器、报刊等场合公开, 而解密密钥(私钥) 则属用户的私有密钥, 由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比, 采用非对称密钥加密方式密钥管理较方便, 且保密性比较强, 但加解密实现速度比较慢, 不适用于通信负荷较重的应用。
数据加密技术是信息安全的基础,加密的主要目的是防止信息的非授权泄露、保证交易信息的保密性、完整性和不可抵赖性的要求。
4.2主流身份认证方式
身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应。
(1)用户名口令。针对盗取密码的恶意软件越来越多
(2)动态口令。动态口令也称动态密码,是根据专门的算法每隔一定时间生成一个与时间相关的随机密码。用户进行认证时候,除输入账号和静态口令之外,必须要求输入动态口令。通过“动态密码”登录的用户没有电子签名,这样也就没有具有法律效力的认证材料。因此,“动态密码”它只适用于金额小的交易,对于金额大、使用频繁的用户,其安全性存在一定的风险。
(3)数字证书。数字证书是由权威公正的第三方机构(即CA中心)签发的证书。它的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。为解决这些Internet 的安全问题,世界各国对其进行了多年的研究,初步形成了一套完 整的Internet 安全解决方案,即被广泛采用的PKI 技术(Public Key Infrastructure-公钥基础设施)。公钥基础设施PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。采用基于PKI 结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性,签名保证身份的真实性和抗抵赖。
(4)生物特征识别。生物识别技术主要是指通过人类生物特征进行身份认证的一种技术。由于人的生物特征具有唯一性和稳定性的特点,并且可随身携带、不易被盗、不易被伪造、不易丢失,所以生物特征识别成为目前最安全的身份认证技术。但是,生物特征识别通常需要昂贵的专用设备、受使用环境限制等缺点,在电子支付中较少采用。
每一种身份认证方式都有其优势也存在一定的局限性。动态密码以方便便捷且与平台无关性,通过电脑、手机、IPAD都可以使用等优点在网银、网游、电信领域成为电子支付重要的身份认证方式,主流产生形式有手机短信、硬件令牌、手机令牌等。基于数字证书的身份认证是电子支付中最安全解决方案。但是,需要专用的硬件和客户支持,使用不如动态密码方便快捷,一般用于大额电子交易。
5电子商务发展趋势
依据CNNIC报告,2014年电子商务类应用整体行业发展态势良好,手机支付是亮点。随着线上与线下渠道的打通及多类移动应用的服务带动,手机支付呈现爆发式增长,手机网上支付、手机网络购物、手机网上银行和手机网上预订应用网民规模年增长速度均超过100%。手机网络购物在移动端商务市场发展迅速,用户规模达到1.44亿,使用率从13.2%提升到28.9%。
截至2014年6月,我国手机网民规模达5.27亿,较2013年底增加2699万人,网民中使用手机上网的人群占比进一步提升,由2013年的81.0%提升至83.4%,手机网民规模首次超越传统PC网民规模。
随着移动电子商务的普及和发展,移动支付业务受到了越来越多的关注,而其安全性更是成为大众关注的焦点。由于移动终端种类繁杂、使用环境也更为复杂、基于数字证书的身份认证和数字签名技术兼容性和成熟度远不及PC平台,并且移动终端本身的安全性问题也给动态口令等身份认证方式带来了新的安全问题和挑战。
6结语
电子商务将成为中国互联网行业的发展新趋势。电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础。 随着移动电子商务的发展,由于移动电子商务的环节更为复杂,因此移动网络存在更多的安全威胁,影响范围也较为广泛。
参考文献:
[1]刘晓军.移动电子商务的应用分析[D].北京:中国海洋大学,2008.
[2]杨利国.移动电子商务商业模式研究[D].北京:华北电力大学,2012.
[3]刘宗祥.创新与发展[J]. 移动通信,2013,(19):18-20.
[4]代文锋.浅谈移动电子商务[J]. 甘肃科技,2005,(10):77-78.
[5]王晨,吕廷杰. 移动商务行业应用分析[D].北京:北京邮电大学, 2012.
[6]兰静.移动电子商务的运营模式及其应用[J].河南科技大学学报,2010,28(4): 68-70.
