关于电子商务安全支付的技术构建思考

　　互联网在日常生活中的急速普及，使得电子商务被更多的人所接受。在给消费者带来购物的乐趣和便利的同时，网络的安全问题也越发的突出和重要，为了能够确保在交易过程中的及时性和正确性，在线支付起到至关重要的作用。本文从信息加密技术、认证技术、安全认证三个层面对支付中的安全问题展开讨论，以寻求降低支付中所出现的安全，确保网上购物者的切实利益。电子商务中安全问题突出的是支付安全，支付过程中的完整、保密、可用、可靠的四个特性能否被保证是当前最突出的问题，而这一问题的核心在于对信息的截获，篡改，伪造这三个方面的解决程度如何。因此笔者认为以下几种技术可以保证信息的安全。

1、信息加密技术

　　加密是利用算法由发送方把明文转化为密文进行传送，到接受方后再把密文转化为明文的一种技术。从上面的描述可以看到了加密技术所包括两个方面的其中的一个，叫做算法而另一个方面叫做密钥。在对信息进行加密时，一般会有两种，一种是以 DES（Data Encryption Standard）算法为代表的对称加密，另一种是以RSA（Rivest Shamir Ad1eman）算法为代表的非对称加密。

　　1.1 对称加密技术

　　传输的信息进行保护的时候对信息的加密和解密使用的是相同的一个密钥，这种就是对称加密。这种加密技术直观的解决了信息的安全问题，但是在实际的应用中会出现一些新的需要急需解决的问题，一方面是在首次交互过程中密码的传播方式，另一方面是密钥的管理难度是随着用户数量的增加而增加的。

　　1.2 非对称加密技术

　　为了解决对称加密技术中所涉及的两个问题，提出了另外的一种加密技术，这种加密技术它需要有一个公钥和一个私钥，并且需要保证这两个密钥成对出现，例如在对信息加密的过程中如果使用公钥对信息进行加密的话，那么就需要使用私钥进行解密；相反的如果使用私钥对信息进行加密的话，那就需要使用公钥对信息进行解密。

2、认证技术

　　2.1 数字证书

　　在 Internet 和 Intranet 中，为了让通信双方能够安全的进行信息传递，可以使用数字证书识别身份并对信息进行加密处理。在数字证书中的密钥可以对公钥和私钥所有者的信息识别，并通过验证识别信息的真伪来实现对证书持有者的身份的认证。一般认为数字证书是在用户公钥后加入了用户信息和 CA 的签名。公钥是对外公布的，没有限制，谁都可以知道，而私钥只有用户自己知道。由公钥加密的信息只能由与之相对应的私钥解密。

　　2.2数字签名

　　使用数字签名的目的是为了保证交易信息的完整，身份的正确和交易中抵赖行为的发生。首先将摘要信息用发送者的私钥加密，并将加密好的信息与原文一起发送给接收者，其次接收者用发送的公钥来解密被加密的摘要信息，然后用HASH 函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。若相同，则说明收到的信息是正确的，否则说明信息被篡改过，因此从这方面可以断定数字签名能够保证信息的完整性。

3、安全协议机制

　　3.1应用层安全协议———SET

　　SET (Secure Electronic Transaction )安全电子交易，为了确保信用卡网上支付的安全，由 VISA 和MasterCard两大信用卡组织联合开发的电子支付协议。在此协议中使用了 X.509 数字证书和对称及非对称相结合的加密方式。在进行信息传递时，先使用对称加密中的 DES 算法进行加密，然后再使用非对称加密中的 RSA 算法对对称密钥进行加密传输。并利用数字签名技术对 STE 系统中的实体进行身份验证。如在网上进行购物时，商家对客户的订单进行信息确认，确保无误后，银行对客户的支付信息进行验证，确认后执行相应的支付。

　　3.2 安全套接层协议———SSL

　　安全套接层 SSL(Secure Socket Layer）是为了确保通信双方信息传递安全的协议。通过使用公开密钥和对称密钥技术来确保信息安全，其指定了一种在应用程序协议(如 HTTP、Telenet、NMTP 和 FTP 等)和 TCP/IP协议之间提供数据安全性分层的机制，它为 TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

　　3.3 3-D Secure

　　3-D Secure(Three-Domain Secure)是 Visa 公司开发的一种既能保证网上交易的安全, 又易于实施推广的安全协议,它主要采用 SSL 加密技术和商家服务器插件 MPI(Merchant Server Plug-in)技术来实现。在 3D系统中进行交易时, 一个认证中心会对购买者的身份进行查询和验证, 并且在整个过程中用户信息的传递都是有安全保护的。3D 的这些功能是通过三方域模型(Three-DomainModel)即:发卡域(IssuerDomain)、收单域(Acquirer Do－main)、协作域(Interoperability Domain)实现的。这三个域在支付交易过程中分别各司其职,同时又相互协作,共同确保网上支付的安全性。

　　4、总结

　　本文从技术层面对电子商务支付中的安全问题进行了初步的分析，发现其发展必将和更多的产业和技术进行结合，并将导致增加支付中的风险等级，但是不可否认随着国内环境的日益完善，信用体制的加强，支付安全问题将会得到更好的解决，网上购物会更加的方便，快捷，安全。