电子商务支付信息流动典型结构如图1所示。在图中,信任第三方是CA认证中心。商家和客户都必须到CA得到自己的证书,然后通过CA认证。很明显,各个部分信息传递,必须要经过加密处理;信息来源和目的,必须经过认在电子商务支付系统中,消费者和商家面临的威胁有:
虚假定单:假冒者以客户名义订购商品,而要求客户付款或返还商品;
付款后收不到商品;
商家发货后,得不到付款;
机密性丧失:PIN或口令在传输过程中丢失;商家的定单确认信息被窜改;
电子钱和硬币丢失:可能是物理破坏,或者被偷窃。这个通常给用户带来不可挽回的损失。
相应的安全技术有:
网络安全检测设备(SAFTsuite)
访问设备(安全认证卡)
浏览器/服务器软件(支持SSL)
证书(VeriSign)(PKI-CA、公钥秘钥加密算法)
商业软件(支持电子支付)
防火墙(RSA的BSAFE:支持RSA,DES,TripleDES,RC2,RC4等)保护传输线路安全(电磁辐射屏蔽等)
防入侵措施,IDS,DIDS(入侵检测系统、分布式入侵检测系统)
数据加密(最基本的安全技术,如链路、节点、端对端加密等)
访问控制(根据角色访问等控制)
鉴别机制(报文鉴别、数字签名、终端识别等)
路由选择机制(阻止不合适的IP访问、DoS攻击防范)
通信流控制(掩盖通信频度、报文长度、报文形式、报文地址等)
数据完整性控制(来自正确的发送方、数据传送到正确的接收方)
端口保护(反端口扫描等)
病毒木马防范措施
