武漢工商學(xué)院2020 —2021學(xué)年第一學(xué)期

《電子商務(wù)安全與支付》課程考核

（課程論文）

姓 名： 趙鵬程

學(xué) 號(hào)： 1963308112

學(xué) 院： 應(yīng)用技術(shù)學(xué)院

專 業(yè)： 電子商務(wù)

班 級(jí)： 19電商專4

《電子商務(wù)安全與支付》課程考核要求

論文總體要求：

撰寫一篇課程論文，討論內(nèi)容圍繞“電子商務(wù)安全與電子支付”的熱點(diǎn)問題展開。

（1）題目自擬，必須結(jié)合授課學(xué)時(shí)內(nèi)的專題內(nèi)容，圍繞目前電子商務(wù)安全與電子支付熱點(diǎn)問題擬定選題。

（2）觀點(diǎn)明確、重點(diǎn)突出、內(nèi)容詳實(shí)、語言表述精練、概括。

（3）嚴(yán)格按照規(guī)范要求排版、著錄格式規(guī)范。

（4）本次論文原創(chuàng)性有一定要求。論文電子版須進(jìn)入網(wǎng)上正規(guī)平臺(tái)的數(shù)據(jù)庫進(jìn)行查重，并上交查重報(bào)告，重復(fù)率不超過50%。

（5）字?jǐn)?shù)3000字左右（不少于2500字）。

論文格式要求：

1、論文用白色A4紙，頁邊距上下為2.5厘米、左邊為3厘米，右邊為2厘米，左邊裝訂。

2、論文題目用2號(hào)、加粗、宋體字；各級(jí)標(biāo)題用4號(hào)、加粗、宋體字；正方一律采用小4號(hào)、宋體字，1.5 倍行距。

3、論文從摘要開始編寫頁碼，頁碼必須位于每頁頁腳中部，用阿拉伯?dāng)?shù)字從“1”開始連續(xù)編號(hào)。

4、論文內(nèi)容依次為：文題、中文摘要、關(guān)鍵詞、論文正文、結(jié)論。

6、文題：自擬，一般不超過20字，必要時(shí)可用副標(biāo)題。

7、摘要：應(yīng)客觀地反映論文的主要內(nèi)容，具有獨(dú)立性和自含性，不超過300字。

8、關(guān)鍵詞：反映文章主題概念的詞或詞組，自擬3個(gè)。

9、正文（包括中文圖表）：3000字，一般不少于2500字。

10、結(jié)論：有事實(shí)、有根據(jù)。準(zhǔn)確、完整、明確、精煉。

提交文件：

1、論文電子文檔。

2、論文紙質(zhì)文檔。

3、論文檢測報(bào)告。

網(wǎng)絡(luò)時(shí)代電子商務(wù)支付的技術(shù)保障策略研究

目錄

摘要： 1

一、研究背景 1

二、電子商務(wù)支付的現(xiàn)狀 2

三、電子支付安全威脅案例分析 3

3.1身份欺詐 3

3.2支付數(shù)據(jù)的篡改 3

四、電子支付的安全保障需求 4

4.1身份認(rèn)證的真實(shí)性 4

4.2信息的機(jī)密性 4

4.3信息的抗抵賴性 4

五、實(shí)現(xiàn)電子商務(wù)支付安全的技術(shù)保障 5

5.1保障后臺(tái)系統(tǒng)的安全技術(shù)措施 5

5.2用戶身份認(rèn)證的安全技術(shù)措施 5

5.3電子支付的安全協(xié)議 5

六、總結(jié) 6

摘要：最近幾年來隨著網(wǎng)絡(luò)時(shí)代的發(fā)展帶動(dòng)電子商務(wù)也快速的發(fā)展，電子支付對(duì)于電子商務(wù)的發(fā)展非常重要，電子支付技術(shù)的安全性影響著電子商務(wù)的發(fā)展，本文以電子商務(wù)支付技術(shù)保障策略為核心，討論電子商務(wù)支付技術(shù)中存在的問題，并提出對(duì)應(yīng)的安全策略。

關(guān)鍵詞：電子支付；支付安全；安全技術(shù)

一、研究背景

近年來，隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)已經(jīng)成為了人們生活中重要的組成，購物、外賣、生活服務(wù)等，越來越多的傳統(tǒng)行業(yè)都加入到了電子商務(wù)的行列中。根據(jù) CNNIC的調(diào)查報(bào)告顯示，截至2019年1月，中國網(wǎng)民已經(jīng)達(dá)到了八億人，比前一年增加了五千萬人，互聯(lián)網(wǎng)的覆蓋達(dá)到了百分之六十，比前一年提升了近四個(gè)百分點(diǎn)。手機(jī)網(wǎng)民同樣也達(dá)到了八億，新增的手機(jī)網(wǎng)民達(dá)到了六千萬人，手機(jī)網(wǎng)絡(luò)的覆蓋率達(dá)到了百分之98%?，F(xiàn)如今使用手機(jī)進(jìn)行電子商務(wù)的規(guī)模正在之間擴(kuò)大，有七成的手機(jī)網(wǎng)民都在進(jìn)行移動(dòng)網(wǎng)絡(luò)購物，當(dāng)前移動(dòng)電子商務(wù)已經(jīng)成為了大勢(shì)所趨。移動(dòng)支付是一種通過手機(jī)等智能移動(dòng)設(shè)備進(jìn)行網(wǎng)上信息瀏覽及購買支付的方式，移動(dòng)支付是目前電子商務(wù)支付中非常重要的一種，是當(dāng)前信息化技術(shù)和移動(dòng)互聯(lián)網(wǎng)共同發(fā)展的結(jié)果，這項(xiàng)技術(shù)能夠快速地、不受物理因素限制隨時(shí)對(duì)地進(jìn)行支付的特點(diǎn)。目前我國的移動(dòng)支付已經(jīng)經(jīng)歷了三個(gè)發(fā)展階段，第一個(gè)階段是通過手機(jī)等設(shè)備發(fā)送驗(yàn)證短信，通過驗(yàn)證信息來確認(rèn)支付金額較小的訂單，第二個(gè)階段是手機(jī)網(wǎng)絡(luò)運(yùn)營商和銀行進(jìn)行合作，同時(shí)推出了相關(guān)的支付業(yè)務(wù)，用戶可以根據(jù)短信或者電話來進(jìn)行銀行支付；第三階段是當(dāng)前的主要支付階段，這種方式目前分為遠(yuǎn)程支付和近場支付，近場支付需要對(duì)當(dāng)前手機(jī)等移動(dòng)設(shè)備進(jìn)行改造，通過將支付的系統(tǒng)裝置加入到手機(jī)中，從而實(shí)現(xiàn)移動(dòng)支付。目前的近場支付有NFC技術(shù)、藍(lán)牙技術(shù)和 RFID技術(shù)等。這種支付方式不需要進(jìn)行移動(dòng)數(shù)據(jù)交換，因此耗電少、操作方便。遠(yuǎn)程支付不需要手機(jī)內(nèi)置支付所需的裝置，只需要通過當(dāng)前的密碼算法技術(shù)來確保安全性，然后通過移動(dòng)網(wǎng)絡(luò)進(jìn)行信息確認(rèn)，最終完成支付的一種方式。這種方式不需要占據(jù)太多的資源，僅需要手機(jī)有網(wǎng)絡(luò)就可以實(shí)現(xiàn)，因此具有速度快、對(duì)資源消耗較小地特點(diǎn)。當(dāng)前的遠(yuǎn)程支付主要依靠手機(jī)的 4G、Wi-Fi、GSM 進(jìn)行數(shù)據(jù)傳輸，從而進(jìn)行手機(jī)銀行和其他對(duì)應(yīng)渠道的支付等。

二、電子商務(wù)支付的現(xiàn)狀

目前我國的電子商務(wù)發(fā)展勢(shì)頭兇猛，根據(jù)調(diào)查我們可以發(fā)現(xiàn)電子商務(wù)在我國的用戶數(shù)量非常龐大，截至2020年底各大電子商務(wù)網(wǎng)站的用戶數(shù)量已經(jīng)累計(jì)兩億人次，而淘寶的用戶數(shù)量已經(jīng)達(dá)到了5億的注冊(cè)用戶，全年的交易額達(dá)到了3000億人民幣，根據(jù)中國電子商務(wù)的調(diào)查報(bào)告顯示，在網(wǎng)絡(luò)購物中電子支付的占比已經(jīng)達(dá)到了六成，電子支付是當(dāng)前最主流的支付方式，目前的電子支付的方式中，有六成的用戶認(rèn)為需要選擇更加安全的支付方式，因此電子商務(wù)的支付安全是整個(gè)上午體系中最重要的組成，因此如何防止用戶信息被篡改、確保網(wǎng)絡(luò)支付安全等問題是當(dāng)前最重要的問題。

三、電子支付安全威脅案例分析

3.1身份欺詐

電子商務(wù)支付中最常用方式需要信息驗(yàn)證，確認(rèn)身份。因此信息安全中最常用的就是通過假冒用戶的信息取對(duì)方支付寶的賬號(hào)信息，從而進(jìn)行購物收貨，導(dǎo)致用戶受損。武漢某公司的會(huì)計(jì)李女士被進(jìn)行財(cái)務(wù)的竊取，從而假冒成合法的用戶在網(wǎng)絡(luò)上進(jìn)行訂單的購買，比如通過盜“董事長”拉進(jìn)一個(gè)新建的微信工作群。群內(nèi)6人都是公司同事，頭像、名稱都對(duì)得上。在外開會(huì)的“董事長”與“總經(jīng)理”在群里熱聊后，要李女士將公司的85萬元轉(zhuǎn)給江蘇一名客戶。匯款后李女士才發(fā)現(xiàn)董事長就在隔壁辦公室辦公，意識(shí)到自己被騙。調(diào)查后發(fā)現(xiàn)群內(nèi)除了自己，其他人都是假冒公司同事進(jìn)行的騙局。這就是典型的通過偽裝身份進(jìn)行詐騙的案例。

3.2支付數(shù)據(jù)的篡改

由于互聯(lián)網(wǎng)是開放的，所以用戶在網(wǎng)上進(jìn)行信息的傳送時(shí)極有可能被黑客篡改和竊取，從而黑客修改用戶的信息，最終修改賬號(hào)、金額等，使得用戶的財(cái)務(wù)和貨物收到損失，最終引起電子支付的不安全問題。人民網(wǎng)上海2月15日向彩票網(wǎng)站賬戶充值1元，1元變10萬；網(wǎng)購一張電影票需要50元，“金手指”一點(diǎn)，只需支付一分錢……上海市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)對(duì)外通報(bào)了一起篡改移動(dòng)支付數(shù)據(jù)牟利詐騙案：一群“90后”年輕人自學(xué)黑客技術(shù)，入侵移動(dòng)支付客戶端瘋狂套現(xiàn)，涉案總額超過300萬元。

這都是典型的支付數(shù)據(jù)篡改的案例。

四、電子支付的安全保障需求

根據(jù)上述安全威脅結(jié)合目前網(wǎng)絡(luò)技術(shù)發(fā)展的局限性，電子支付的安全需求主要有以下4個(gè)方面：

4.1身份認(rèn)證的真實(shí)性

在電子支付的過程中，首先需要在交易之前，確定交易各方的身份，要求參與支付的各方提供可靠性標(biāo)識(shí)，交易各方的身份不能被假冒或偽裝。例如要保證支付過程中支付人的身份是真實(shí)的，同時(shí)支付人也要認(rèn)證支付平臺(tái)的真實(shí)性。

4.2信息的機(jī)密性

信息機(jī)密性是指在電子支付的過程中必須保證敏感信息不會(huì)泄密。比如客戶個(gè)人信息、銀行賬號(hào)信息、支付密碼等。網(wǎng)絡(luò)支付工具必須保證支付信息在輸入、傳輸、輸出和存儲(chǔ)等過程中對(duì)其進(jìn)行加密，這樣即使別人截獲或竊取了數(shù)據(jù)，也無法識(shí)別信息的真實(shí)內(nèi)容。2.3信息的完整性信息的完整性是指信息在存儲(chǔ)或傳輸時(shí)不被人為故意修改、破壞或者在數(shù)據(jù)傳輸過程中出現(xiàn)信息丟失、信息重復(fù)等差錯(cuò)。

4.3信息的抗抵賴性

在電子交易中，支付行為和其他業(yè)務(wù)環(huán)節(jié)都是不可抵賴的。如交易一旦達(dá)成，發(fā)送方不能否認(rèn)已發(fā)送的信息，接受方不能否認(rèn)已收到的信息。當(dāng)網(wǎng)絡(luò)支付雙方出現(xiàn)糾紛，能依照數(shù)字時(shí)間戳等技術(shù)行為，明確支付雙方的具體責(zé)任，解決糾紛。

4.4、信息的有效性

信息的有效性是指要保證信息在確定的時(shí)刻、確定的地點(diǎn)是有效的，應(yīng)能對(duì)網(wǎng)絡(luò)故障、硬件故障、錯(cuò)誤操作、應(yīng)用程序錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防。

五、實(shí)現(xiàn)電子商務(wù)支付安全的技術(shù)保障

5.1保障后臺(tái)系統(tǒng)的安全技術(shù)措施

目前，大多數(shù)的網(wǎng)絡(luò)購物支付方式采用網(wǎng)上銀行和第三方支付的電子支付方式，這些交易服務(wù)器都是互聯(lián)網(wǎng)的公開站點(diǎn)，很容易受到各種攻擊。一般可以采取以下兩方面的技術(shù)措施保障服務(wù)器安全。首先設(shè)置安全防火墻，這是一種確?；ヂ?lián)網(wǎng)的和內(nèi)部網(wǎng)站進(jìn)行隔離的防護(hù)措施。防火墻通常是一組硬件設(shè)備和專用的安全軟件的組合，通過強(qiáng)制執(zhí)行一些安全策略，檢測、限制、更改跨越內(nèi)網(wǎng)和外網(wǎng)間通訊數(shù)據(jù)，對(duì)未授權(quán)用戶或不信任站點(diǎn)屏蔽，從而阻止保密信息資源被非法存取和訪問，保護(hù)系統(tǒng)安全。第二，可以通過軟件和硬件相結(jié)合，建立起入侵檢測，它可以對(duì)系統(tǒng)的數(shù)據(jù)和日志進(jìn)行檢測，確保系統(tǒng)沒有收到攻擊，如發(fā)現(xiàn)攻擊跡象入侵檢測系統(tǒng)能及時(shí)切斷網(wǎng)絡(luò)、記錄事件并向管理人員報(bào)警。例如通過收集用戶每次登錄時(shí)IP地址，當(dāng)用戶某次登錄IP地址顯示異常時(shí)，可以在用戶下次登錄時(shí)立即提醒或是與用戶電話核實(shí)。

5.2用戶身份認(rèn)證的安全技術(shù)措施

確定交易各方的合法身份是電子支付中最為基礎(chǔ)和重要的一環(huán)。目前，電子支付中主要采用PKI/CA體系來完成用戶身份認(rèn)證和信息的安全處理。公鑰基礎(chǔ)結(jié)構(gòu)(PKI)是指用公鑰技術(shù)和數(shù)字證書來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。它是由數(shù)字證書、數(shù)字證書的頒發(fā)機(jī)構(gòu)以及通過公鑰加密方法驗(yàn)證電子交易中各方合法性的其他注冊(cè)頒發(fā)機(jī)構(gòu)共同構(gòu)成的系統(tǒng)。數(shù)字證書采用公開密碼密鑰體系的一種電子手段，可以用來證明數(shù)字證書擁有者的真實(shí)身份和對(duì)特定網(wǎng)絡(luò)資源的訪問權(quán)限。數(shù)字證書是由CA認(rèn)證中心頒發(fā)的。CA是一個(gè)具有權(quán)威性和公正性的第三方機(jī)構(gòu)，專門負(fù)責(zé)發(fā)放、認(rèn)證并管理所有參與網(wǎng)上交易的實(shí)體(如消費(fèi)者、商戶、銀行)所需的數(shù)字證書。CA中心通過為每一個(gè)使用公鑰的用戶發(fā)放數(shù)字證書，以證明公共密鑰和使用者身份的真實(shí)性。并且由于應(yīng)用數(shù)字簽名技術(shù)使得攻擊者不能任意偽造和篡改證書。因此利用PKI/CA體系可以確保電子交易安全有效地進(jìn)行，保證信息發(fā)送雙方真實(shí)身份以及對(duì)自己行為的不可抵賴，保證傳輸過程中信息不被竊聽或篡改。

5.3電子支付的安全協(xié)議

電子支付的安全性需要依靠安全協(xié)議的保駕護(hù)航。目前，通用的安全協(xié)議有SSL安全協(xié)議和SET安全協(xié)議兩種。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，主要用于瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL安全協(xié)議主要提供三方面的服務(wù)：(1)用戶和服務(wù)器的合法性認(rèn)證。(2)確保SSL鏈路上的數(shù)據(jù)加密并隱藏傳輸。(3)維護(hù)SSL鏈路上數(shù)據(jù)的完整性。

六、總結(jié)：隨著網(wǎng)絡(luò)時(shí)代的發(fā)展帶動(dòng)電子商務(wù)也快速的發(fā)展，電子支付對(duì)于電子商務(wù)的發(fā)展非常重要，電子支付技術(shù)的安全性影響著電子商務(wù)的發(fā)展，電子商務(wù)已經(jīng)成為了人們生活中重要的組成，購物、外賣、生活服務(wù)等，越來越多的傳統(tǒng)行業(yè)都加入到了電子商務(wù)的行列中。我國的電子商務(wù)發(fā)展現(xiàn)狀勢(shì)頭兇猛，根據(jù)調(diào)查我們可以發(fā)現(xiàn)電子商務(wù)在我國的用戶數(shù)量非常龐大。在電子支付中有身份欺詐、支付數(shù)據(jù)篡改等安全問題，因此在電子商務(wù)支付中有身份認(rèn)證的真實(shí)性、信息的機(jī)密性、信息的抗抵賴性、信息的有效性等需求。我們電子商務(wù)支付有很多的技術(shù)保障來保障我們支付的安全，在生活中我們?cè)谑褂秒娮又Ц兜臅r(shí)候需要保護(hù)好我們個(gè)人的隱私，要利用好電子支付技術(shù)保障，來保護(hù)我們的支付安全。

參考文獻(xiàn)：

[1]李源彬,穆炯,楊洋等.電子商務(wù)概論(第二版)[M].人民郵電出版社.2007.[2]勞幗齡.電子商務(wù)安全與管理[M].高等教育出版社.2003.[3] 胡道元,閡京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2004.[4] CNNIC.第 43 次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R].中國互聯(lián)網(wǎng)絡(luò)信息中心，2019.[5] 王子青.移動(dòng)支付系統(tǒng)加密認(rèn)證算法及安全協(xié)議的研究與實(shí)現(xiàn)[D].南京郵電大學(xué), 2016.[6]劉永磊, 金志剛, 高天迎.移動(dòng)支付系統(tǒng)安全性研究綜述[J].信息網(wǎng)絡(luò)安全,2017,1(2):1-5.[7] 張靜.移動(dòng)遠(yuǎn)程支付的智能終端研究[D].北京交通大學(xué), 2013.