BCP中国商务信用平台：“网上支付”和电子商务是密不可分的，了解电子商务是理解网上支付重要性的前提和基础。网上支付是电子商务的关键环节，也是电子商务得以顺利进行的基础条件，如何实现完全的在线支付功能，并保证交易各方的安全、保密是实现电子商务关键的问题之一。

　　一、网上支付交易出现的安全隐患

　　1.用户的身份冒充

　　攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，从而获得非法利益。攻击者还以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应;恶意添加、修改数据，以干扰用户的正常使用。

　　2.泄漏或丢失

　　是指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏，如利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，探测有用信息。信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等方式窃取敏感信息。对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注入伪造消息等，从而使信息失去真实性和完整性。网上支付电费大多都是通过网络银行进行交易的，攻击者利用对合法用户的攻击盗用合法用户的用户名及密码进行其实操作，这样对合法用户造成了巨大的损失。

　　3.缺少严格的网络安全管理制度

　　网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

　　4.非授权访问

　　未经许可就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等。

　　二、用安全技术对支付进行有效保护

　　1.加密技术

　　(1)对称加密

　　在对称加密方法中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。使用对称加密方法将简化加密的处理，每个贸易方都不必彼此研究和交换专用的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥，贸易双方的任何信息都是通过这把密钥加密后传送给对方的。

　　(2)非对称加密

　　在非对称加密体系中，密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易乙方使用该密钥对机密信息进行加密后再发送给贸易甲方;贸易甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易甲方只能用其专用密钥解密由其公开密钥加密后的任何信息。

　　2.密钥管理技术

　　(1)对称密钥管理

　　对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥，因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易，而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。

　　(2)公开密钥管理

　　贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术——开放系统互连——目录：鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA)，它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前EC广泛采用的技术之一。

　　(3)数字签名

　　数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

　　三、网上支付的防范措施

　　对于消费者而言，要保证网上交易的安全，首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。其次，保证连接的安全。进入网站时先确保网址的正确性。在提交任何关于你自己的敏感信息或私人信息，尤其是你的信用卡号之前，一定要确认数据已经加密，并且是通过安全连接传输的。浏览器和Web站点的服务器都要支持相关协议。

　　第三，保护自己的隐私，在设置密码时最好以数字和字母相结合，不要使用容易破解的信息作为你的密码。花几分钟阅读一下电子商务公司的隐私保护条款，这些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明。尽量少暴露你的私人信息，填在线表格时要格外小心，不是必填的信息就不要主动提供。

　　最后，不轻易运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你，并带有一些欺骗性主题，骗你说一些“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件，我们应该做的是立即删除这些来历不明的文件。除以上介绍的安全保护措施以外，最好不要在公共场所使用网络银行，比如网巴、公共图书馆等;每次使用完网络银行后，应该单击页面中相应的“退出登陆”按钮正确退出。