网上支付与安全(3)

　　再看看支付否认情形。否认支付是网上支付服务提供商(商业银行或专业网上支付公司)和收款人的关注点。通过数字签名同样可以解决否认支付问题。我们在银行柜面办理存款、取款，或是在POS刷卡、ATM存取款，通过银行会给你一张支付回单。一旦出现争议，你可以将该回单作为交易操作的证明。互联网支付，数字签名记录可以充当“电子回单”。

　　·为解决付款人否认支付，商业银行要求付款人在进行支付时必须附带其确认支付的签名。商业银行保存该签名结果和支付记录。一旦付款方否认支付，商业银行可以出示该支付指令签名作为证据。

　　·为解决商业银行否认结算资金转入收款人账户，收款人要求商业银行提交资金划入操作记录的数字签名。收款人验证该签名结果有效的，才确认已经收款，才能与付款人继续后续的商务活动。否则，收款人拒绝进行后续活动。

　　4、一个实例说明

　　下面我们从一个典型的电子商务网上支付交易出发，应用数字证书安全方案，说明在网上支付具体实现过程中如何保障各方利益。

　　以消费者A在电子商务网站B进行商务交易，并通过商业银行C完成在线支付的情形来说明。对于第三方网上支付平台，基本的交易流程与此并与本质性的区别。只是为了便于说明，这里采用消费者通过商业银行直接支付的相对简化的方式，而非通过第三方支付平台支付。

　　基本的交易流程如下和安全措施说明如下：

　　1)消费者在商务网站选择商品，消费者确认订单并选择网上支付。

　　该环节需要传输消费者购物订单信息，这类信息属用户私密信息，需要予以传输保密保护。此外，消费者还需要验证商务网站是真实的。　

　　通常的解决方案是：商务网站和消费者浏览器之间建立安全数据传输通道(如HTTPS)，或者传输加密报文(如XML加密报文)。这种情况下，需要商务网站端安装有web服务器数字证书，除提供加密服务外，消费者可以据此证书鉴别该网站。

　　2)消费者到商业银行网上支付系统完成支付后，商业银行将支付结果反馈给消费者。该步骤需要保护消费者的支付密钥(口令或数字证书)、应用层的交易数据完整性保护和消费者对支付请求的签名。

　　消费者和商业银行端都使用数字证书是目前现实的具有高安全强度、简洁特色的解决方案。更为具体的安全操作步骤是：

　　i。消费者登录到商业银行网上支付系统后，需要验证该系统的服务器数字证书可信，以避免登陆到假冒网站。

　　ii。消费者浏览器与商业银行支付系统间建立安全通道，该通道提供支付信息加密保障。

　　iii。消费者对支付信息(通常为确认支付信息)数字签名，并发送到商业银行支付系统。该数字签名可以起到一箭三雕的作用：

　　·商业银行据此认证消费者身份

　　·提供端对端的、基于认证的数据完整性保护

　　·商业银行保存该签名，该签名为消费者确认支付的证据

　　·商业银行通知商务网站支付成功信息。

　　该过程中，商务网站需要鉴别商业银行，并要求商业银行对某一订单成功收单提供数字签名。这两种安全要求都可以通过商业银行对某收单结果数据的数字签名来满足。必要的被签名数据应包括：交易流水号和支付金额。商务网站验证该签名数据有效后，继续与消费者之间的后续商务交易活动。

　　5、还有什么？

　　根据一些调查公司对近几年网上支付交易量的统计分析结果来看，网上支付交易额逐年攀升，表现出这一新生支付方式发展的良好势头。但是，正如前面提及，由于支付安全存在一定隐患，网上支付要得到社会的普遍认可，还需要一些时日。期间，需要解决几个问题：

　　首先，需要加大网上支付安全的宣传介绍。商业银行、支付公司和支付组织在大肆宣扬网上支付优势的同时，更需要注重提高人们网上支付安全的关注、介绍基本的安全控制措施。

　　其次，尽管目前安全技术发展成熟，但商业银行、第三方支付平台等支付服务商都采用各自的安全方案，难免出现安全漏洞。因此，网上支付的发展需要专业的支付安全服务公司、完善的支付安全技术标准，并建立网上支付安全评价体系和准入机制。只有如此，网上支付才能在提升服务价值的同时，通过更好的社会安全环境，保障支付各方的利益，更加健康、快速地发展。