摘要：随着Internet的广泛应用与电子商务的快速发展，服务于电子商务与金融电子化的网络支付方式发展迅猛，网络支付的安全问题日趋重要，本文介绍了与安全电子支付的关键技术，并设计出BtoB电子商务安全支付系统，并从工作流程和需求分析方面对该系统进行构建。

关键词：电子商务；安全；支付；BtoB

Abstract: With the extensive use of Internet and the rapid development of e-commerce, e-commerce and financial services in the electronic payment network is developing rapidly, the network paid for the growing importance of security issues, the paper introduced the electronic payment and security of the key technologies and design BtoB e-commerce payment systems security, and workflow analysis and needs to build the system.

Keywords: E-commerce; Security; Pay; BtoB

一、电子支付安全问题

电子支付的实现，促进了电子商务的发展，同时也引发了支付安全、身份认证、电子文件认证和支付的法律问题以及货币、金融监管等一系列问题。虽然安全协议和认证系统的建立解决了银行的一些紧迫问题，但是安全技术的发展与电子支付的快速发展相比仍显滞后。电子支付的安全问题日益成为一个重要的课题，因此，本文将从安全性出发对电子支付的若干关键问题进行深入的探讨。目前安全支付存在的一些安全隐患为：

1.1 信息传递的安全隐患

（1）网络硬件的安全缺陷，如可靠性差、电磁辐射、电磁泄漏等；

（2）通信链路的安全缺陷，如电磁辐射、电磁泄漏、搭线、串音等；

（3）缺乏系统的安全标准引起的安全缺陷，虽然己经有了一些网络安全标准，但是还不完善。

1.2 业务系统的安全隐患

（1）根据ICSA（InternationalComputerSecurityAssociation）统计，来自计算机系统内部的安全威胁高达70%；

（2）非法用户进入系统以及合法用户对系统资源的非法使用；

（3）被非法用户截获敏感数据；

（4）非法用户对业务数据进行恶意修改或插入；

（5）发送方在发出数据后加以否认；

（6）接收方在收到数据后篡改数据；

（7）病毒和蠕虫的蔓延，病毒可以穿透服务器以及用户的浏览器，有些病毒将用户引导到由黑客控制的网站，并在用户的机器中留下远程控制程序来记录用户的击键动作以及登录信息等。

安全电子支付系统必须使收款人相信其能收到合法的支付，同时阻止不诚实的付款人进行未授权的支付，并且保护诚实参与者的隐私。包括：（1）信息的完整性。数据在传输或储存的过程中不会受到非法的修改、删除或重放，要确保信息的顺序完整性和内容的完整性；（2）信息的可认证性（可鉴别）。需要确认发出信息者的易份，防止假冒者和伪造信息的进入；（3）信息的保密性。数据在传送过程中不被泄漏且数据不为他人所读懂；（4）信息的不可否认性（不可抵赖性）。发送方对己发出的信息不可抵赖，收取方对己收到的信息不可否认；（5）信息的可靠传输。数据在传输时不因网络的故障而丢失信息，即在故障时能恢复原传输信息。

二、安全电子支付关键技术

目前，阻碍电子商务广泛应用的首要问题就是安全问题。从整体上讲，电子商务的安全性主要体现在网络安全，信息加密技术以及交易的安全。本节主要介绍在电子商务中与电子支付系统安全性相关的几个关键技术。

2.1 数据加密技术

加密技术是最基本的安全技术，是实现信息保密性的一种重要的手段，目的是为了防止合法接受者之外的人获取信息系统中的机密信息。所谓信息加密技术，就是采用数学方法对原始信息（即，明文）进行再组织，使得加密后再网络上公开传输的内容对于非法接收者来说称为无意义的文字（即，密文）。而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据（即，明文）。

数据加密技术是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取信息真实内容的一种技术手段。网络中的数据加密则是通过对网络中传输的信息进行数据加密，满足网络安全中数据加密、数据完整性等要求，而基于数据加密技术的数字签名技术则可满足防抵赖等安全需求。可见，数据加密技术是实现网络安全的关键技术。

2.2 认证技术

在电子商务中必须解决以下两个问题。

（1）身份验证。在网上的交易中，买卖双方是不见面的，即使某一方知道他所收到的数据是完整、保密、未经篡改的，但仍有一点无法知道，那就是对方是否以假冒身份在进行交易诈骗，这就需要对交易各方进行身份验证。

（2）交易的不可抵赖。由于交易双方的互不见面，并且是一些不带有本人任何特征的数据在交换，因此有可能造成一些交易的抵赖。

为了解决这两个问题，就必须引入一个公正的裁判-交易双方均信任的第三方，对买卖双方进行身份验证，以使交易的参与者确信白己确实是在与对方所说的人在交易。同时，在公开密钥体系中，公开密钥的真实性鉴别是一个重要问题。

2.3 安全技术协议

随着计算机网络技术向整个经济社会各层次延伸，整个社会表现出对Internet，Intranet，Extranet等使用的更大的依赖性。任何一种网络应用的使用程度都取决于所使用网络的信息安全有无保障，网络安全己成为现代计算机网络应用的最大障碍，也是继续解决的难题之一。能否在网上实现安全的电子支付是电子商务交易的一个重要环节，从目前来看，虽然电子支付安全问题还没有形成公认的成熟的解决方法，但是自从SSL安全协议和SET安全协议问世后，困扰人们心中的这一问题得到了缓解，现在SSL安全协议和SET安全协议已经被广泛地应用在电子商务活动中的安全支付环节。

三、BtoB安全电子支付系统设计

BtoB的电子商务模式是指将发生在两个企业间的商务通过电子化的手段来实现，包括供求企业之间以及协作企业之间利用网络交换信息，传递各种票据，支付货款，从而使商务活动全过程实现电子化。传统上，企业之间的业务往来是通过传真、电话和设在各地的办事处完成，但这种模式效率低、成本高的BtoB电子商务可以彻底改变旧的经营模式，为企业提供更低的成本、更高的效率和更多的商业机会。

3.1 安全电子支付系统原理及流程概述

BtoB安全电子支付系统主要包括5个实体：生产商、购买商、商业银行、认证中心CFCA（China Finance Certificate Authority）和交易中心（即第三方信任实体，简称TTP）。其中，生产商和购买商完成定单及帐单的提交和生成；商业银行负责处理支付信息；CFCA用作保证系统的安全性；TTP记录了交易过程中传输的各种重要信息、可供解决争议的证据。根据网上交易过程的步骤分析，并参考了各种支付协议的数据流程，确定了该系统的信息流、数据流、资金流按下列步骤进行。

（1）购买商向生产商下定单

购买商通过浏览器在生产商的Web服务器定购商品。购买商根据生产商的要求向生产商提交定单Order，生产商根据定单形成相应的帐单Invoice（Invoice发票；发货单）并将Invoice及生产商的说明及承诺Statement（Statement陈述；说明；声明）发到购买商浏览器。

（2）购买商支付货款

购买商通过TTP的安全支付平台到银行支付货款。①购买商将支付消息PM（pay message）提交到TTP的安全支付平台；②TTP安全支付平台将PM转发到银行；③银行验证购买商对PM的数字签名，取出支付指令PI（pay instruction），根据PI进行转帐；并将支付结果PR（pay result）（包括支付金额，是否成功等信息）告知TTP安全支付平台；④TTP安全支付平台将支付结果PR实时告知生产商。

3.2 BtoB安全电子支付系统的安全需求分析

为了确保上述整个系统的安全性，需要进行身份认证、数据加密和验证数字签名等手段。但验证签名和数据加密都要消耗系统资源，为了改善系统效率，有的信息可进行明文传递，而另一些敏感信息则要加密传输。下面详细分析该系统的安全需求

1、订购过程的安全要求

购买商向生产商订购商品的过程中，传递的重要消息有Order、Invoice、Statement，其安全需求如下：

（1）购买商和生产商之间进行双向身份认证。

（2）Order，Invoice，Statement作为商业机密应加密。

（3）Order，Invoice，Statement需做数字签名，提供防篡改及不可否认保护。

2、支付过程的安全要求支付过程中的安全要求如下：

（1）向TTP提供解决争议的证据，其安全要求包括：①购买商与TTP之间的双向身份认证。②对PM进行数字签名，以防止对PM的非授权修改和购买商否认发出PM。PM应包括解决争议的足够信息，包括发票号IN，账单INVOICE，支付指令PI等。

（2）TTP与银行之间的双向身份识别。

（3）银行对PR讲行数字器名。PR包括的信息为：发票号IN、交易标识Random-T、转帐金额Amount、转帐结果等。其中转帐金额为商业机密。

（4）生产商、购买商与TTP之间的双向身份识别。

（5）生产商、购买商都能验证银行的数字签名。

四、参考文献

[1]杨义先等，安全电子交易，人民邮电出版社，2001

[2]杨干里等，电子商务技术与应用，电子工业出版社，1999

[3]张伟，基于互联网的电子支付系统，商业经济与管理，2001（5）

[4]张炯明，安全电子商务实用技术，清华大学出版，2002

[5]陈平等，安全电子支付系统的实现研究，微型电脑应用，2003（4）

[6]陈庆锋、白硕，SET协议中问题的分析及解决方案，计算机学报，2000