[摘要] 常用的安全商业技术，重点介绍各种支付方式的流程以及支付交易的安全准则。

[关键词] 电子商务 网上支付 支付交易安全

随着电子商务的迅速和广泛应用，人们已经习惯于利用开放、快捷的网络进行各种采购和交易，从而导致了电子商务的出现，并使其成为业界的新热点。电子商务的显著特点是增加贸易机会、降低贸易成本、简化贸易流程、提高贸易效率。在交易过程中，消费者、商家、中介机构、银行等都需要通过网络进行资金的转移，这就需要进行网上支付或电子支付。因此，电子商务活动不可避免地涉及到支付，而安全有效的支付是电子商务的重要组成部分。从技术上讲，电子商务最关键的问题是如何安全地实现支付功能，并确保交易各方的安全和保密。因此，支付安全是整个电子商务安全的瓶颈。

1.电子商务对网上支付安全的要求

网上支付涉及大量资金和个人隐私或商业机密的转移，此类支付发生在高度开放的互联网上，未受保护的支付数据很容易被竞争对手获取，造成严重损失。一个安全的支付系统至少应具备以下基本功能：

1、数据保密性：交易过程中产生的支付相关数据应严格保密，除交易双方及授权的第三方外，任何人都不能（或难以）了解交易数据，保护交易的私密性。

2.数据完整性：支付数据在互联网传输过程中的完整性和有效性，即发送方发送的数据和接收方收到的数据应是相同的、不变的。数据传输过程中数据输入的意外错误或欺诈、信息的丢失、重复、错序和篡改都可能导致交易双方的信息出现差异。因此，网上交易的信息必须能够保证其完整性，即接收方收到的数据必须与原始数据相同。

3、身份认证：网上支付是双方无需见面即可进行的，因此确保对方确实是即将进行交易的对方是十分重要的，它将影响到电子商务交易的成败。

4、访问控制：身份认证完成后，支付系统就能确定用户拥有哪些权限，以及此权限可以访问哪些受保护的数据。

5、审计能力：网络支付数据非常重要且敏感，详细记录用户及系统的行为对于事后审计无疑具有重要意义。

2.在线安全支付技术

1、数据加密技术。数据加密是保证网络通讯保密性的常用手段，其基本原理是用基于数学算法的程序和保密密钥对信息进行编码，生成一串不可理解的字符，也就是将明文转换成密文的过程。反过来，将密文转换成明文的过程称为解密。客户在网上支付时，先对支付数据进行加密，加密数据通过互联网传送给交易对方，接受支付的一方用事先约定的密钥对加密数据进行解密，即可实现双方的保密信息通信。数据加密不同于信息隐藏，其目的不是为了不让人看到文字，数据加密只是将信息转换成可见但无意义的字符串。

根据数据加密和解密是否使用同一密码，加密体制可分为两种，即对称加密体制（私钥加密体制）和非对称加密体制（公钥加密体制）。

2、PKI技术。网上支付首先需要对网上交易的各方当事人（如持卡人、商户、收单银行支付网关等）进行身份认证。目前广泛使用的PKI（ Key ，公钥基础设施）架构采用证书的方式管理公钥，公钥由第三方可信机构CA（）进行管理。用户的公钥和其他身份识别信息被捆绑在数字证书中，对应的数字证书（）代表了用户的身份，通过检查数字证书就可以轻松确认对方的身份。此外，PKI架构将对称加密系统与非对称加密系统相结合，实现密钥的自动管理。

3、数字证书与CA。数字证书是网上支付认证的基础技术，可以用来验证用户或网站的身份。利用数字证书提供的功能，可以方便地实现网络数字签名、数字信封等，结合数字摘要技术，可以实现网上支付数据的完整性和不可否认性。

数字证书由权威公正的认证机构管理，这些认证机构被称为证书颁发机构（CA）。各级认证机构按自上而下的层次结构建立，包括持卡人、商户或收单银行的根认证中心（Root CA）、品牌认证中心（CA）和支付网关认证中心（Hold Card CA、CA 或 CA）。

4、SSL与SET。SSL是本公司提出的安全套接字层（SSL），支持两台机器之间的安全连接。SSL协议工作在TCP/IP的传输层与应用层之间，由SSL记录协议、SSL握手协议、SSL报警协议组成。SSL利用数字证书和加密技术，透明、自动地完成传出信息的加密和接收信息的解密。

SET，即安全电子交易（SET），是 Visa 和 联合制定的一项技术标准，用于确保在开放网络上进行安全的资金支付。SET 不仅保留了客户的信用卡身份验证，还增加了商户身份认证，这对于需要支付货币的交易非常重要。由于其设计合理，得到了广泛的应用。

SET在很多方面都优于SSL协议，但是SET过于复杂和繁琐，在同时进行大量交易时会影响交易速度。

3. 网上安全支付方式

1、智能卡支付。严格来说，使用智能卡进行网上交易支付并不是真正的网上支付，支付过程实际发生在网上商家与银行之间，交易安全性基本由商家的信用决定，对买家而言存在欺诈风险，但这是网上交易中经常使用的一种支付方式。

基本流程是：

（1）在实际商品、相关服务和资金流动之前，顾客将智能卡信息以安全的方式传送给商户；

(2)商户验证客户作为智能卡账户持有者的身份；

（3）商户将智能卡收费信息和数字签名发送给其银行或网上智能卡处理机构；

（4）银行或处理者将信息发送给客户的银行进行授权；

(5) 顾客银行向商户返回智能卡数据、收费确认及授权；

（6）网上智能卡支付完成。

2、电子支票支付。电子支票的功能和内容与传统支票几乎相同。与手工签名的传统支票不同，电子支票需要进行数字签名。收款人在支票背面进行数字签名，并使用数字证书确认收款人、收款人身份以及收款人的银行和账户。机构使用签名和认证后的电子支票进行账户存储。

基本流程是：

（1）购买支票：买家必须先在提供电子支票服务的银行注册并签发电子支票。注册时可能需要输入信用卡和银行账户信息以支持签发支票。电子支票必须有银行的数字签名。

（2）电子支票付款：买方用自己的私钥对电子支票进行数字签名，用卖方的公钥对电子支票进行加密。卖方收到用卖方公钥加密的电子支票后，用买方的公钥确认买方的数字签名，并向银行验证电子支票的真实性后，才能将货物交付给买方。

（3）清算：付款银行与收款银行通过类似自动清算流程进行清算，并将清算结果反馈给付款人和收款人。

（4）银行进一步确认电子支票；卖方将货物发送给买方。

3、电子现金支付。电子现金又称数字现金，是数字化的现金，它具有现金的大部分优点，而没有现金的缺点，特别适合实现低成本的网上小额支付。

目前，数据安全防护等技术基本可以保证数据本身的安全，数据篡改等恶意事件发生的概率很低，基本可以保证网上资金支付的成功。但网上支付技术并不是万能的，这些技术只能保证资金成功划转，却不能保证交易的最终成功，网上诈骗事件仍时有发生。因此，用户在进行网上交易时，应尽量选择安全的支付方式，如安富通或支付宝等涉及第三方支付方式的支付方式。

4、小额支付系统。在满足安全要求的前提下，信息量较少，管理和存储要求较低，即对速度和效率要求较高。这种支付方式称为微支付或小额支付。目前，国内应用最为广泛的网上短信服务，就是典型的小额支付方式。

5、移动支付。移动支付又称手机支付，是一种让移动用户使用移动终端（通常是手机）支付所消费商品或服务费用的服务方式。它最早在发达国家使用，随后在全球推广。移动支付的一个重要方向是让手机成为真正的“电子钱包”，如在交通、超市购物、餐饮消费等领域实现“手机支付”。

4. 支付交易安全

所有的电子支付系统、所有的支付方式都包括以下几个方面：

1、用户匿名性：保护用户身份在网络交易过程中不被泄​​露。

2.解决不可追踪性：防止泄露支付交易的地点。

3、买家匿名性：保护支付交易中买家的身份不被泄露。

4.支付交易不可追踪：防止同一客户的不同支付交易被关联起来。

5.支付交易数据保密性：有选择地保护支付交易数据的特定部分，不被泄露给未经授权的各方中的指定参与者。

6、支付交易消息新鲜度：防止重放支付交易消息。

目前，数据安全保护等技术基本可以保证数据本身的安全，数据篡改等恶意事件发生的概率很低，基本可以保证网上资金支付的成功。但网上支付技术并不是万能的，这些技术只能保证资金成功划转，却无法保证交易的最终成功，网上诈骗事件仍时有发生。因此，用户在进行网上交易时，应尽量选择安全的支付方式。

：

[1]臧良云,吉祥庆.电子商务支付与安全[M].北京:电子出版社,2006.1

[2]柯新生.网上支付与结算[M].北京:电子工业出版社,2004.3

[3]宋文官.电子商务概论[M].北京:高等教育出版社,2004.12

[4]朱令曦.电子商务安全[M].北京:清华大学出版社,2006.11