你好~

目前全球有数十种支付系统在使用，根据在线数据传输的类型（加密型、分发型）大致可以分为三类。

第一类是使用“可信

“三方”（

）。 银行帐号和信用卡号等客户和商户信息由受信任的第三方托管和维护。当要执行交易时，只有订单信息以及支付确认和清算信息通过网络传输。

信息，不含任何敏感信息。 事实上，没有任何实际的金融交易是通过此类支付系统在线（on-line）进行的。

典型的可信第三方系统。 在这样的系统中，通过网络传输的信息甚至可能不会被加密，因为真正的金融交易是离线进行的。但如果不加密信息，它也可以被视为

该系统存在缺陷，客户和商家必须向第三方注册才能进行交易。

第二类是传统银行转账结算的扩展。在信用卡和支票交易中，敏感信息被移交

改变。 例如，如果客户想要从商家购买产品，客户可以提供他们的信用卡号码并通过电话接收确认； 银行也会收到相同的信息，并可以相应地验证用户和商家的帐户。如果

此类信息在网上传输时必须加密。 著名的VISA/SET是基于数字信用卡（

）典型的支付系统。 这个支付系统，对于B到C（到

）网上交易是主流，因为现在大多数人都更习惯传统的交易方式。通过适当的加密和认证处理，这种交易形式应该比传统的电话交易更加安全可靠。

该死，因为电话交易缺乏必要的身份验证和信息加密。

第三类包括各种数字现金（

现金）、电子货币（以及

）。 与之前的系统不同，这种支付形式本身转移的是真实的“价值”和“金钱”。在前两次交易中，丢失的信息往往是信用卡号，伪造的信息也是

只是信用卡号等。这种交易性的信息盗窃不仅是信息的丢失，更是真正的财产损失。

支付方式可分为电子信用卡支付、银行卡支付、电子现金支付、电子支票支付等。

电子支付系统安全技术

电子商务支付信息流的典型结构如图1所示。图中，可信第三方为CA认证中心。 商家和客户都必须去CA领取自己的证书，然后通过CA认证。 显然，信息传输的所有部分都必须加密； 必须确定信息的来源和目的。 在电子商务支付系统中，消费者和商家面临的威胁有：

◆虚假订单：造假者冒用客户名义订购商品，要求客户付款或退货；

◆付款后收不到货；

◆商家发货后，无法收到货款；

◆机密性丢失：PIN或密码在传输过程中丢失； 商户订单确认信息被篡改；

◆电子货币和硬币的丢失：可能是物理损坏或被盗。 这通常会给用户带来不可挽回的损失。

相应的安全技术包括：

◆网络安全检测设备（）

◆接入设备（安全认证卡）

◆浏览器/服务器软件（支持SSL）

◆证书（）（PKI-CA，公钥加密算法）

◆商务软件（支持电子支付）

◆防火墙（RSA：支持RSA、DES、RC2、RC4等）保护传输线路安全（电磁辐射屏蔽等）

◆防入侵措施、IDS、DIDS（入侵检测系统、分布式入侵检测系统）

◆数据加密（最基本的安全技术，如链路、节点、端到端加密等）

◆访问控制（基于角色访问权限等控制）

◆认证机制（消息认证、数字签名、终端标识等）

◆路由机制（阻止不适当的IP访问、防止DoS攻击）

◆通信流量控制（涵盖通信频率、消息长度、消息形式、消息地址等）

◆数据完整性控制（数据来自正确的发送方，数据传输到正确的接收方）

◆端口保护（防端口扫描等）

◆病毒、木马防范措施