电子商务网站是如何做到安全支付的
发布网友
发布时间:2022-04-22 15:11
共2个回答
热心网友
时间:2023-07-15 06:30
一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参与者包括:消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。移动支付需要考虑以下安全问题:(1)移动终端接入支付平台的安全,包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。(2)支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。
二、移动支付的安全认证技术
当前,移动设备的大量普及为移动支付的实现提供了必要的条件,但也存在许多问题制约着移动支付的实施,如移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。
1.WPKI安全标准概况
WPKI(WirelessPKI)是有线PKI的一种扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAPIdentityMole,无线应用协议识别模块)、WMLSCrypt(WMLScriptCryptoAPI,WML脚本加密接口)、WTLS(WirelessTransportLayerSecurity,无线传输安全层)和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平台,一切基于身份验证的应用都需要WPKI技术的支持,它可与WTLS、TCP/IP相结合,实现身份认证、私钥签名等功能。WPKI的主要组件包括:终端实体应用程序(EE)、PKI门户(PKIPortal)、认证中心(CA)、目录服务(PKIDirectory)、WAP网关,在应用模型中还涉及数据提供服务器等设备,WPKI的基本结构和数据流向如图所示。
在WPKI中,代替RA(RegistrationAuthority)的功能组件是PKI门户(PKIPortal),它是一个网络服务器,负责把WAP客户的需求转发给PKI中的RA和CA(CertificationAuthority)。CA主要负责生成证书、颁发证书和刷新证书等。WAPGateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的,主要保证传输层的安全,WPKI也是对IETFPKIX标准的优化,使之更适合无线环境。
2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的,与WAP安全标准相比,WPKI所采用的ECC(EllipticCurveCryptography,椭圆曲线密码)密码系统更适合在无线设备中使用。同样强度的密钥,ECC的密钥长度(163bit)只是其他方案的六分之一(1024bit),但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的,因为穷举163bit的密钥个数有1.156×1049个,按每秒钟测试1亿个密钥计算,也要3.6×1032年!
热心网友
时间:2023-07-15 06:30
因此支付系统是重要的社会基础设施之一,是社会经济良好运行的基础和催化剂,从而支付系统现代化建设受到市场参与者,货币当局,特别是*银行的高度重视。
p? 目前的电子支付系统可以分为四类:大额支付系统、脱机小额支付系统、联机小额支付系统和电子货币。
p? 1.大额支付系统:主要处理银行间大额资金转帐,通常支付的发起方和接收方都是商业银行或在*银行开设帐户的金融机构。大额系统是一个国家支付体系的核心应用系统。现在的趋势是,大额系统通常由*银行运行,采用RTGS模式;处理贷记转帐,当然也有由私营部门运行的大额支付系统,这类系统对支付交易虽然可做实时处理,但要在日终进行净额资金清算。大额系统处理的支付业务量很少(1?10%),但资金额超过90%,因此大额支付系统中的风险管理特别重要。
p? 2.脱机小额支付系统(亦称批量电子支付系统):主要指ACH(自动清算所),主要处理预先授权的定期贷记(如发放工资)或定期借记(如公共设施缴费)。支付数据以磁介质或数据通信方式提交清算所。
p? 3.联机小额支付系统指 POSEFT和 ATM系统,其支付工具为银行卡(信用卡、借记卡或ATM卡等)。2和3两类小额支付系统,主要特点是金额小、业务量大,交易资金采用净额结算(但 POSEFT和 ATM中需要对支付实时授信)。
p? 4.电子货币:电子货币(electronic money)这一术语被广泛睛用于各种场合,泛指正在出现或构想的各种零售(小额)支付方式。按国际上权威金融组织的定义,电子货币产品被定义为“贮值”“预付”类电子支付工具,其中存放着消费者可使用的资金或币值,可分为基于卡、基于软件的两大类。电子货币为现金支付工具即子形式的现金,代替目前的纸币和硬币。目前的非现金支付属于访问型工具(access instrument),其功能允许工具持有人访问其在银行的帐户。这是我们与电子货币的主要区别。 /p
p? 加密和安全性 /p
p? 安全性是任何电子货币系统的主要成份。但是目前的各种电子货币系统具有多大程度的安全性似乎是个问题。这是因为一方面,提供安全的加密技术受到*的严格管制;另一方面许多重要的和可信赖加密系统如RAS都受专利保护。
p? 大多数目前的电子货币系统都在不同程度上采用了公钥加密*,SET被认为采用了目前最高级别公钥加密技术。其算法的采用经过精心设计,保证在每一个点上都使用最有效的算法。客户机和服务器利用哈希函数核查它们的证书清单。每一笔交易都具有全面的数字签名。/p/p/p/p/p/p
