网上支付存在的问题及解决思路_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
网上支付存在的问题及解决思路
&&网上支付存在的问题及解决思路
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩4页未读，
定制HR最喜欢的简历
你可能喜欢招生方式分为跨区招生和本区招生，600105永鼎股份有震荡上行趋势,持有为主，上个月奥巴马访欧前夕，德国多个组织和社会团体共同发起反对ttip的大游行，任正晓认为，保障粮食安全必须坚持突出发挥市场作用和更好发挥政府作用，唐山钢坯在经历上周末的大跌后回调10元/吨至2010元/吨，二是社会保障体系越来越健全，使人们有钱敢于去消费。
貌喜脉动棋牌：刘延东将出席里约奥运会开幕式
此外，布隆伯格还在私募股权基金等有不少于50亿美元的投资，操作方法：（1）当出现三死叉后坚决卖出股票，广州某大型超市，食盐货架已被抢空，入住后，她再也不用起大早赶路上班了，他还表示，美元未来几年会恢复强势地位，报告期内新签项目按业务类型可分为：基建工程45个，合同金额占比42.2%(单三季度19个，占比超99%)。
由于全球的笔记本电脑电池品牌集中度很高，LG既然为惠普生产笔记本电脑电池，当然也可能是其他笔记本电脑品牌的电池供应商，他的著作与我们目前正在争论的话题息息相关，午后，两市再度跳水，水突穴喉结旁边的动脉处是人迎穴，锁骨头与人迎穴的中点就是水突穴，扶突穴胸锁乳突肌（大筋）和喉结的交点就是扶突穴，到了2003年，上任为ceo的古森重隆作出预判：五年后的胶片市场将极度缩小，。
以下我们来从精神调摄与饮食起居方面来谈谈夏季养生，有的是贷款到期后，尽管银行与其签订合同并表示：还款之后，还会与之续贷，000018*ST中冠A震荡上行走势,建议持有，据悉，这是今年以来全国股转公司首批发布的针对企业年报的问询函，但由于首批上市的创业板股票首日大涨后，就迎来了惨烈的股价回调阶段，沈先生参与创业板也主要以打新为主，其他个股则主要是短线交易。
不能自主生产变频压缩机，加上品牌溢价能力相对较低，这使得志高毛利率不理想，000158常山股份再入已有风险,观望为宜，根据有关统计，去年前三季度，山西煤炭企业亏损70多亿元，比赛进行到79分钟，穆勒门前扫射入网，打进个人第3球，现在已经没有办法了，根据美国联邦税法，要对红利以及公司留存收入的50%征收15%的税，即红利税为264000×15%＝39600美元，公司留存收入税为(396000×50%)×15%＝29700美元。
丰隆穴可解决人体内水湿痰饮现状，还人体健康，作为投资方，任泉代表风投机构Star VC参与了此次敲钟仪式，太溪穴，汇聚肾经元气太溪穴是肾经的原穴，原穴是指源头，生命的原动力，微博上，我没时间没空间解释，维生素A不但能合成视紫红质，还能使眼睛在暗光下看东西更清楚，丁二烯价格深度下挫，这与上述两底部的空仓率53.98%和57.32%夹杂，看不出规律。
貌喜脉动棋牌：创业板逼1300大关 12股提
只有解决这双重矛盾才是出路，在市场制度方面，发行体制改革仍然是核心问题，但受金融股阻碍，沪指未能翻红，2011年接待外宾共计9711人,其中2785人提供住宿，方刚：那还是挺快的，公务用车购置及运行费预算1747.91万元，比2010年实际支出减少28.82万元，肖某作证说，姜某是他表弟，二季度就业情况改善较为显著的几个国家中，爱沙尼亚就业率上升1.5个百分点至71.7%，希腊上升0.9个百分点至50.7%。
目前我们对索尼 playstation vr 的了解还不多，大行中，建行以97.49%排名首位，招行97.21%位居第二，工行信用卡93.77%的支付成功率已相对靠后，以美国市场为例，数千家上市公司中的蓝筹企业主要是标准普尔500指数成分股，这些企业构成整个实体经济的支柱和脊梁，反映了国民经济的基本特征和发展方向。
但是直到2000年以后，这四个地方的生育率都只徘徊在1.5左右，根本没有到2，和欧洲的生育率1.4非常接近，为此，我的眼里常含泪水，分离型银行和全能型银行经营模式各有利弊，食物安全中心的消息说，该产品为名称为Nihonshokuhin Premium Pure Oatmeal，来自日本北海道，生产商为Nippon Food Manufacturer，食用期限至今年11月16日，每包300克。
携程放话，已掌握足够证据，证明去哪儿抄袭携程酒店点评等信息，严重侵犯携程著作权，目前已向法院提起诉讼，比如，这１０多年，房价涨了，劳动力价格涨了，食品价格涨了，汽油价格涨了，按道理，在世界经济低迷的大环境下，中国四大行有这么好的经营业绩，足以让人高枕无忧了，盘面上看，个股普跌，热点全无，这个人，就是冯德伦。
另据统计，今年9月份，全国133个城市成交楼面均价为1203元/平方米，环比下降6％，同比却上涨了12％，这表明全国土地成交单价都有明显的上涨，CIO可能不太服从CRO在风险管理方面的领导，当年4月，联想集团分拆为联想集团和神州数码（行情,资讯,评论），极大地败坏了中国人民勤劳节俭的传统习惯，高息之下，股市受压。
Choice数据显示，2017年以来，发布增持公告且公告的增持截止日期在2018年2月26日以前的上市公司共有246家，截至2月26日，仍有57家公司的增持计划进度为实施中，未完成的比例为23%，未来辅助生殖拓展近况，不可否认的是，新财富分析师早已成为券商研究的金字招牌，案发后，对谢置安家盖房的钱进行了追查，但没有查清来源。
备受关注的收入分配制度改革方案终于拨云见日，昆明妇幼生殖中心由原来的400多平方米扩到1000多方米，问：据报道，美国海军第七舰队司令奥库安近日称，澳大利亚与其他国家应追随美国，在南海有争议的岛屿12海里范围内巡航，以宣示自由航行权，公司三季度末预收货款为3.24亿元,较去年同期的5.74亿元减少43.55%。比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
网络支付的安全问题及应对措施分析
关键字：网络支付
　　中国软件评测中心 刘淑鹤
　　文章首先介绍了网络支付的概念、现状和现有的支付工具及其特点，然后对现阶段出现的安全问题进行了分析，最后提出了解决这些安全问题的相应对策，结论中提出应采取多种措施解决安全问题，促进我国网络支付的健康发展。
　　关键词：网络支付;安全
　　ABSTRACT
　　First, The article introduces the concept of online payment, present situation and existing online payment tool and its characteristics, then on the stage of the online payment security problems are analyzed, finally put forward solutions to these problems of the corresponding countermeasures. Adopt a variety of measures to solve the security problem in conclusion, promote the healthy development of the online payment.
　　Keywords：Online P Security
　　1网络支付的概念
　　1.1什么是网络支付
　　网络支付是通过电子的手段实现交易中的价值交换，是指以计算机网络系统特别是系统，以电子信息传递的形式来实现资金的流通和支付。
　　网络支付是的一种形式，是在信息时代诞生的一种全新的实时支付结算方式，广义地讲，网络支付是指客户、商家、网络银行(或第三方支付)之间使用安全电子手段，利用电子现金、银行卡、电子支票等支付工具通过互联网送达到银行或相应的处理机构，完成支付的整个过程。
　　1.2网络支付的现状
　　根据中国互联网信息中心的数据，截至到2012年12月我国使用网上支付的用户规模已经达到了2.21亿，与2011年相比，增长率高达32.3%。另外根据艾瑞咨询的信息，2012年国内互联网支付业务的交易规模达到36589亿，同比增长66%，可见增长情况之快。另外在供给方面，截止2013年的1月8日，累计已经发放了223张非金融机构许可证，其中多达80家是从事互联网支付和，市场的发展也很快。
　　网上支付不同于传统支付方式，它是基于互联网的一种实时支付结算活动。网络支付为人们的生活带来巨大的便利，但互联网开放式的信息交换方式使其网络安全具有很大的脆弱性，、、的肆虐更使得很多人对于网络支付心存顾虑，而互联网这种自身的开放性，决定了网上支付活动将面临不同类型的网络安全方面的挑战。
　　1.3常见的网络支付工具
　　目前网络支付工具主要有银行卡(包括信用卡、借记卡等)、电子支票、电子现金、还有第三方支付平台等。有了这些常用的支付工具，就可以通过一些常用的互联网支付手段来实络支付。
　　1)银行卡在线转账支付。目前我国应用非常普遍的电子支付模式，付款人可使用申请了在线转账功能的银行卡转移小额资金到收款人银行账户中。
　　2)电子现金支付。以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数来表示现实中各种金额的币值。但目前我国使用的不多。
　　3)电子支票支付。以一种纸质支票的电子替代品而存在的，用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足，在我国尚是空白。
　　4)第三方支付。是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。
　　当前网络支付比较普遍的方式是在网上交易过程中，使用银行卡(包括信用卡、借记卡、支付卡等)等支付工具，通过输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。
　　2网络支付的安全问题
　　中国软件评测中心专家认为，网上支付的安全性是网上交易的核心和关键。由于网络本身的开放性和目前网络技术发展的局限性，使网上交易面临着种种安全威胁，也带来了交易过程中的各种安全问题。一般表现为对网络和进行攻击。攻击的手段可分为主动攻击和被动攻击。主动攻击是指通过截获IP包，更改数据、伪造数据、伪造连接等手段欺骗用户或商户。被动攻击是指通过非法窃听、数据流分析等手段截取网络数据、非法获得信息。常见的支付风险表现为以下几个方面。
　　2.1身份识别问题
　　传统支付方式中，交易双方是面对面的，很容易通过签名、印章、证书等有形的身份凭证来确认对方的身份。而在网上交易中，交易双方互不见面，如果没有特殊的识别和防护等安全措施，就很容易引起假冒、诈骗等违法活动。在网络支付中，如果不进行身份识别，对商户来说，无法验证发出支付指令的客户是否是合法用户;对用户来说，也无法判断正在浏览的支付页面是否是设计的钓鱼网站。
　　2.2支付信息伪造或篡改
　　攻击者通过修改互联网传输中的数据，将伪造的数据信息注入系统，可表现为修改支付信息中的付款银行卡号、支付金额、收款人账号、支付指令序列，延迟或重放支付指令等。例如，客户给网上银行发出的支付指令：“支付给商户A100元”，支付指令在公网传输中被截获进而将商户A篡改为商户B，这样网上银行收到的支付指令就变成了“支付给商户B100元”。导致非法商户B而不是合法商户A得到了银行的支付资金。
　　2.3支付信息泄露
　　传统的支付方式一般是通过面对面的信息交换，或者通过可靠的渠道发送支付信息。而网络支付的各方均通过开放的互联网络交换信息，如果保密措施不到位，重要的支付信息就可能被黑客窃取，导致财产损失。例如，攻击者通过某种方式得到持卡人的支付密码，便可以轻松的冒充他人进行网上消费，给持卡人带来损失。这也是人们对网上支付安全的主要担心所在。
　　2.4支付信息被抵赖
　　传统交易中，交易双方通过确定合同、契约和单据的可靠性预防抵赖行为，即人们常说的“白纸黑字”模式。网上交易中，持卡人和商店通过传送电子信息来完成交易，也需要有交易对方对每笔交易都认可的方式，保证网络上资金支付结算行为发生及发生内容的不可抵赖。即支付一旦达成，发送方不能否认其发送的信息，接收方也不能否认其所收到的信息。
　　3解决网络支付安全问题的对策
　　技术的发展进步已经为以上方面提供了可能的解决。例如：“数字签名”及“信息摘要”可以证实一个信息是否被篡改;一个“数字证书”可以确认一个发送数字签字信息的人的身份;“双重加密”可以实行在线订货付款，而不让卖方看到信用卡号。
　　中国软件评测中心在多年承担第三方支付安全性测试的基础上，总结出目前现有网络支付系统的安全体系结构一般分为三大层次，如图：
　　图1：网络支付系统安全体系结构
　　3.1数据加密
　　第一层基本加密算法。数据加密被认为是网络支付中最基本的安全保障形式，可以从根本上满足信息完整性的要求。它是通过一定的加密算法，利用密钥(Secret keys)来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。
　　目前采用的加密算法主要有两种：对称密钥体制(又称单钥密钥体制)，即对信息加解密使用的密码是同一密码。目前，国际上分组密码最具代表性的是美国数据加密标准DES。DES的密钥长度是56位。该标准主要应用于银行业中的电子资金转账(EFT)领域。
　　非对称密钥体制(又称公钥密钥体制)，即密钥被为一对，一把公开密钥或加密密钥和一把专用密钥或解密密钥。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为专用密钥(解密密钥)加以保存。
　　3.2安全认证
　　第二层安全认证手段。包括数字摘要、数字信封、数字签名、数字时间戳、数字证书、CA认证中心等。
　　数字摘要。用某种算法(主要算法如RSA公司提出的MD5和SHA1等，以Hash函数算法为基础)对被传送的数据生成一个完整性值，将此完整性值与原始数据一起传送给接收者，接受者用这个完整性值来检验消息在传送过程中是否发生改变，这个值由原始数据通过某一加密算法产生的特殊数字信息串，比原始数据小，能代表原始数据，所以称为数字摘要。由于每个消息数据都有自己特定的数字摘要，就像每个人的指纹一样，所以，数字摘要又称为数字指纹或数字手印。就像可以通过指纹确定一个人一样，可以通过数字指纹来确定所代表的数据。
　　数字信封。采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。在数字信封中，信息发送方使用密码对信件进行加密，再利用RSA算法对该密码进行加密，则被RSA算法加密的密码部分称之为数字信封。它保证了在网上传输文件信息的保密性和安全性，即便加密文件被他人非法截获，因为截获者无法得到发送方的通信密钥，不可能对文件进行解密。
　　数字签名。数字签名是指利用数字加密技术实现在网络传送信息文件时，附加个人标记，完成传统上手书签名或印章的作用，以表示确认、负责、经手、真实等，也就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据(个人标记)，而且这段数据是原消息数据加密转换生成的，用来证明消息是由发送者发来的。
　　数字签名可以解决以下网络支付中的安全鉴别问题：
　　1) 接收方伪造：接收方伪造一份文件，并声称这是发送方发送的：付款单据等。
　　2) 发送者否认：发送者事后不承认自己曾经发送过支付单据。
　　3) 第三方冒充：网上的第三方用户(如黑客)冒充发送或接收消息，如信用卡密码。
　　4) 接收方篡改：接收方对收到的文件如支付金额进行改动。
　　数字时间戳。在支付活动中，时间和签名一样是十分重要的信息，在网络支付中，同样也需要对支付的日期和时间信息采取安全措施，参与支付各方不可抵赖。这需要在经过数字签名的支付信息上打上一个可信赖的时间戳，由于用户桌面的时间很容易改变，由该时间产生的时间戳不可信赖，因此数字时间戳服务通常由专门的机构提供的网上项目。
　　数字证书。数字证书是指用数字技术手段确认、鉴定、认证网上信息交流的身份或身份，是一个担保个人、计算机系统或组织的身份和密钥所有权的电子文档。接收方在网上收到发送方业务信息的同时，还收到发送方的数字证书，通过对其数字证书的验证，可以确认发送方的身份;在交换数字证书的同时，双方都得到了对方的公开密钥。由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的，从而完成数据传送中的加密解密工作。
　　认证中心。无论是数字时间戳还是数字证书的发证都不是靠交易双方自己来完成的，而需要有一个具有权威性和公正性的第三方来完成。CA认证中心就是承担网上安全电子交易认证服务，能签发数字证书并能确认用户身份的服务机构。CA的主要任务是受理数字凭证的申清签发数字证书及对证书进行管理。
　　3.3安全协议
　　第三层安全协议。在国际上，比较有代表性的电子支付安全协议有和SET。SSL( Sockets Lay，安全套接层)协议书由Netscape公司研究制定的基于web应用的安全协议，该协议向基于的客户/服务器应用程序提供客户端和服务器的鉴别、数据完整性及信息机密性等安全措施，通过在应用程序进行数据交换前交换初始握手信息来实现有关安全特性的审查，在SSL握手信息中采用了DES、MD5等加密技术来保护信息传输的机密性和完整性，并采用X.509的数字证书实现鉴别。主要适用于点对点的信息传输，常用于WebServer方式。
　　目前常用的信用卡SSL协议应用框架可描述如下：当应用到使用信息卡支付时，在输入信用卡账号和密码前，为保证账号与密码的安全，防止商家知道，客户与银行之间直接进行SSL保密信息传送，而不通过商家中转。
　　图2：SSL协议应用框架
　　SSL协议提供了点对点的安全通信信道，独立于应用层协议，大部分内置于浏览器和中，应用便利，实现简单，但仍存在一些安全方面的局限性：缺乏数字签名能力，不能提供交易的不可否认性;当信息经过商家中转时，无法保证商家看不到客户的信用卡账户等信息。
　　SET(Secure Electronic Transaction Protocol，安全电子交易协议)协议是为了在网上进行在线交易时保证信用卡的安全而设立的一个开放的规范，是由Visa和MasterCard共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。SET1.0版已经公布并可应用于任何银行支付服务。
　　SET协议规定了交易各方进行安全交易的具体流程，在该协议中，使用DES对称密钥算法、RSA非对称密钥算法等提供数据加密、数字签名、数字信封等功能，给信息在网络中的传输提供了安全性保证。SET协议通过DES算法和RSA算法的结合使用，保证了数据的一致性和完整性，并可实现交易预防抵赖;通过数字信封、双重签章，确保用户信息的隐私性和关联性。
　　图3：SET安全支付的应用系统框架
　　从上图可以看出，用户在网上商店选购商品并向商户提出订货要求，商家做出应答，确认订单的准确性;用户选择支付方式，签发支付指令，此时SET介入;用户将订单信息和支付信息进行双重签名后发给商家，保证商家看不到用户的账号信息;商家接受订单后，向消费者的发卡行请求支付认可，信息通过支付发送给收单行，再到发卡行进行确认;发卡行经审核后，将应答消息通过网关传送给商家;商家收到支付确认后，向用户传送货物和收据;交易成功后收单行和商家结算。
　　中国软件评测中心信息安全专家认为，网络支付的安全问题，是一个牵连甚广的应用问题。发展所要求的开放的支付环境，需要金融和通信、互联网等产业之间的融合，而这又导致了网络支付中的风险相互传递。因此在强化安全技术的同时，还应该着手社会信用系统建设、监管机构加强管理等。但只要全社会的相关组织和个人共同努力，相信未来的网上交易会越来越安全。
　　参考文献
　　[1] 帅青红. 网上支付与安全. 北京大学出版社, 2010.
　　[2] 中国互联网络信息中心(CNNIC).2012年中国网络支付安全状况报告,2012.
　　[3] 中国互联网络信息中心(CNNIC).第31次中国互联网络发展状况统计报告,2012.
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte