電子商務支付技術管理論文

導語：電子商務支付技術管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]從公鑰密碼原理出發，分析其與電子商務支付安全實踐結合產生的應用技術：數字簽名、PKI、數字證書I、SOC，結合我國電子商務的實際環境分析其在電子支付環境中的伴生問題，從政府管理，行業規范，法制建設等方面提出相應的解決建議。

[關鍵詞]電子支付公鑰密碼PKI數字證書SOC

一、引言

電子支付通過多種渠道讓買賣雙方不謀面地進行網上購物等金融活動，帶來了無紙化，足不出戶支付的便利，已成為消費購物的新寵。但是，其安全問題引發格外關注，“病毒攻擊”、“黑客入侵”等問題讓部分人對其望而卻步，網銀、U盾等電子支付渠道推廣碰到不少抵觸。本文從公鑰密碼算法數學原理出發，介紹了其在電子商務實踐中的實現技術，討論其伴生的種種問題及相應解決辦法。

二、公鑰算法的數學原理

1.密碼術基礎。密碼技術的基本原理是計算復雜性理論。問題難度可在求解所需求的計算資源量上體現出來，如：計算時間，存儲空間等。計算復雜性表達了某問題的固有難度，是評價某個求解算法優劣的重要依據。例如：AES算法，密鑰最長256位，容納2256≈1077個密鑰，P4計算機用搜索法破解，假設每HZ能判斷一個密鑰，則大約要1060年，從宇宙壽命來講，這是不可能的。相信數學，則應該相信其密碼安全性。

2.對稱密碼算法。在保密通信過程中，如雙方使用相同密鑰，則稱其為對稱加密算法，特點是計算量小、速度快、效率高。不足是密鑰安全性得不到保障，密鑰量隨著通信群體空間成二次多項式增長，管理分配相當復雜。

3.公鑰密碼原理。如果通信雙方使用不相同的密鑰;則稱公鑰算法。它要求事先生成屬于某個主體的，相互匹配成對的公鑰KU和私鑰KR，加密時，發送者采用接收者的KU加密，接收者解密時，只有使用KU配對的KR才能完成，任何不知道KR的人都不能解密。KU可以公開，保密性管理由原來的雙方保密密鑰簡化為接收者單邊保密KR.有n個個體的通信群，只要n個鑰對即可實現任何對之間的保密通信。它在電子商務中得到廣泛應用。

三、電子支付中使用公鑰技術

電子商務中，支付方式主要有：IC讀卡終端轉賬，如IC電話卡；信用卡通過金融網絡劃拔;電子支票。無論何種方式，信息保密傳輸、遠程進程、設備等身份驗證、密碼運算的可信環境都至關重要，任何環節的紕漏都引發安全問題。因此，公鑰密碼在電子支付實踐中產生了PKI/CA，數字簽名和片內安全計算等技術，并成為其重要的安全平臺。

1.PKI/CA身份認證技術。面對面情況下，認證身份并不難。然而，在不可能見面情況下，問題要復雜得多。這時如何來相互驗證以證明：資金商品沒有被截流，交易參與方的的確確都沒有“掉包”？借助基于公鑰密碼建立的數字證書和公鑰基礎設施可以完成任務。CA是一個對“鑰對”和持有人身份進行審查、擔保、認證的權威機構，在受擔保的公鑰附上個體信息等構成的數據結構。它在數據結構用頒發證書專用私鑰KR做數字簽名，以標志“通過審查”的狀態，則得到數字證書。證書校驗方則用KR配對的公鑰驗證CA簽名，可獲得證書狀態。證書、CA，接受證書申請的RA機構等相關的制度和輔助設施的統稱即PKI，即公鑰基礎設施。它在電子商務中廣泛應用，如阿里巴巴支付寶證書。

2.數字簽名技術。在傳統交易中，當事人對貨物等審查后的狀態用簽名或畫押的方式來表達認可，常通過其有自身特色品質的如筆跡、指紋來標注。在電子支付中，取而代之的用帶有用戶特色的“數字簽名”來替代。所謂“特色”，CA將某對可信公鑰分配給某個體，則不能來再將同樣鑰對分配其它個體，持有獨一無二的鑰對則稱為特色，其私鑰簽名也和手跡一樣具有分辨力。

3.片內安全SOC的硬件實現技術。密碼功能可寫成通用軟件并安裝，由CPU執行，即軟件加密。成本低，不需任何附加設備即可完成。如Windows系統的CSP。然而，其可信度低。安全性、可靠性差，如果將指令寫入ROM芯片或設計成電路封裝成芯片，密碼指令在芯片里面完成，則稱為硬件加密，又稱SecurityOnChip。其安全性、可靠性大大提高了。如U盾，電子支票數字簽名則在U盾里面完成。

四、公鑰密碼技術在電子支付中的伴生問題

1.PKI平臺的重復、不規范化建設。在我國，行業性PKI/CA有CFCA（中國金融）、CTCA（電信），地區性的有上海CA、北京CA等。由于缺乏統一規范和管理來指導，PKI重復建設、標準不一。一哄而上地開發CA是完全沒有必要，也造成浪費。

2.數字證書交叉認證問題影響電子商務推廣。金融機構之間的CA交叉認證沒有解決。其中除技術外其它因素很多。這只會給增加用戶成本，降低效率。如：工行證書、建行證書等，介質管理攜帶也成為了客戶累贅。

3.信息安全立法和打擊信息安全犯罪。2005年4月1日，我國《電子簽名法》正式實施，標志著我國電子商務向誠信發展邁出了第一步。然而，信息安全經濟犯罪不容忽視，流氓軟件盜竊用戶口令、冒充銀行網站套取賬號和口令等現象時而出現。立法僅提供有法可依的平臺，只有落實有效打擊措施，從源頭扼制，才能打造和諧安寧干凈的電子商務環境。

參考文獻：

[1]王金池:口碑營銷的基礎及其傳播途徑[J].東南大學學報(哲學社會科學版），2006（2）

[2]譚文學等:用CSP開發FIGS加密傳輸構件[J]．微計算機信息．2007.Vol23：71～75

[3]祝福云陳曉暾:體驗營銷——企業開拓市場的新思路[J].商場現代化,2006(2)

[4]譚文學等:RSA密鑰強度量化與篩選模型的分析與研究[J]．計算機工程與設計,2007.Vol28：5371～5375