电子支付的安全机制

【电子支付安全】电子支付的安全机制

电子支付虽然具有诸多优点，但是其风险也是显而易见的。

电子支付制度也和其他传统的付款方式相同，都会因为被他人冒领、盗领款项而发生损失，而网络电子支付制度若无法保障交易安全，可能会使消费者遭受更大的财务损失。

电子支付系统若发生断线、操作错误等问题时，对消费者经济方面造成损失的可能性。消费者在利用电子支付方式时，亦可能发生虽然有钱，但是却因为断线、厂商拒收或是其他原因，而无法在一定时间、地区完成特定金额交易的困扰。

消费者在从事电子支付时，还可能面临另一个挑战，那就是所有的付款资讯可能未经消费者的同意即被收集或是向第三人披露，甚至被冒用或是为其他不利于消费者利益的目的而使用，反而侵害消费者的隐私权。

电子支付工具的使用，亦可能造成新的犯罪问题。例如，电子支付制度可能会鼓励像洗钱这种不法活动，或是供网络赌博之用，其中网络赌博所产生的付款问题已经逐渐显现出来。而由于各国对电子支付工具现在并未加以规范，因此亦不需要有保存交易记录、报告或确认客户身份等义务，从而无法追踪，反而产生规范的死角。而网上银行的兴起，则将使管制措施难以强制执行，因为有心规避监管、在海外开设有银行账户的人士很容易得逞。此外，新的电子支付工具本身亦可能成为犯罪的目标，例如伪造、变造、诈欺等犯罪行为，亦可能会以电子工具为目标。

对于以上的各种安全问题，不仅需要法律的保障，也需要技术的支持。从法律上看，由于网络特殊的跨国性交易特性，除需要业者的自律规范之外，更需要通过各国有关银行或金融的相关法规加以规范。从技术上看，目前在电子商务界，国际上已经形成了一些比较成熟的安全机制。

在技术上，电子支付的安全机制主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括：基于信用卡交易的安全电子交易协议 、用于接入控制的SSL协议、Netbill协议、安全HTTP协议、安全电子邮件协议、用于公对公交易的 Internet EDI等。其中，SET协议和SSL协议正在走向成熟，并广泛应用的两个协议。

SSL安全机制

1) SSL协议

SSL协议，即安全套接层协议，是由Netscape公司研究制定的安全协议，主要用于提高应用程序之间数据的安全性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性，并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。

2)SSL的安全服务

SSL协议的主要目的是提供Internet 上的安全通信服务，包括：

服务器认证：由该服务器向用户展示其所拥有的私人密码，以使用户确信该服务器的身份。使用户确信他是在与自己所欲交易的客户的服务器通讯，而非与其他冒名者交易。

客户认证：这是通过服务器鉴别用户，展示其所拥有的私人密码，而确认该客户的身份。

完整性鉴别：这一服务确保数据在传输过程中不被恶意篡改。该服务是通过添加整体性检验值来实现的。

保密性服务：它是通过对传输的数据进行加密，以免被第三者窃取。对于某些用户的信用卡号码及其他个人帐号信息等，如果在传向服务器之前被人窃取，则将造成巨大的损失，所以应对之进行加密。这样，即便第三人将该信息窃取以后，也无法阅读，不能知悉用户的重要信息。

SET安全机制

SET协议，即安全电子交易协议，是一种在因特网上实现安全电子交易的协议标准。SET协议主要使用的技术包括：对称密钥加密、公钥加密、哈希算法、电子签名、数字信封以及数字证书等技术。其中公钥根据其用途可分为公钥签名密钥和公钥交换密钥，前者用于电子签名，后者用于交换随机生成的对称密钥。SET通过使用公钥和对称密钥方式加密，以保证数据的保密性;通过使用电子签名和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥技术和哈希算法是其核心。综合应用以上三种技术产生了电子签名、数字信封、数字证书等。SET协议缺省使用由IBM公司发明的DES标准。 DES将数据分隔成64bit的数据块，用56bit的密钥对其进行一系列的数学变换后产生密文，然后接收者用同一密钥将密文解译成明文。