目录
一.电子支付 (1)
(一)电子支付介绍 (1)
(二)目前的电子支付工具介绍 (2)
二.电子支付存在的问题 (3)
(一)国内外电子支付现状 (3)
(二)网上支付发展中存在的问题 (6)
(三)网上支付存在的安全问题分析 (8)
三.解决问题对策 (9)
(一)解决网上支付现阶段问题的对策 (9)
(二)解决网上支付安全性的对策 (11)
(三)现有电子支付系统的改进 (13)
结束语 (16)
参考文献 (17)
电子支付的安全性研究
摘要:随着我国网络普及率的提高和我国网民数量的飞速增长,Internet和电子商务的不断发展,以数字化和网络化为基础的在线支付模式越来越得到认可。网上购物越来越成为网民日常生活中不可或缺的一部分。电子支付系统是电子商务体系的重要组成部分,从电话银行到网上购物从网上转账到境外刷卡等等。然而,如何保障虚拟的网络上的资金安全,成了一个棘手的问题,第三方电子支付工具的出现,无疑是解决这一问题的良方。但是,第三方电子支付工具自身的安全性问题也日益凸显,而提高该平台的安全性对于提升网民网购的积极性有着至关重要的作用。本文将介绍一些关于电子支付的信息存在的隐患以及对策。
关键词:电子支付、安全性、电子商务
引言
由于电子商务已经被公认为是新的经济增长点,所以各国都在加快发展自己的互联网建设,加紧对电子商务相关技术的研究。各国内外已经有很多实用化的电子支付系统,例如基于Internet的网上订货、网上购物和网上银行等系统。关于电子商务的标准和法律政策也在不断出台。如何加速发展我国的电子商务,是能否把握住知识经济时机加快发展的关键。
从实现技术方面来讲,Internet电子商务走过了一个从简单到复杂的过程。其间最关键的问题是如何安全的实现在线支付功能,并保证交易各方的安全保密等。最初的电子商务,不包括在线支付功能,在线商务只负责商品浏览和下订单,付款则通过其他途径解决,如传真、传统支付网络等。这种电子商务称为非支付型的电子商务,过去我国的电子商务部分属于这种。
要让更多的人能接受电子商务提供的服务,加强安全保证是一个非常重要的因素。电子商务支付系统的安全性问题是电子商务安全的核心问题之一,它需要采用一些特殊的安全措施来加以保障。因而,如何保障电子支付系统的安全性,这是电子商务深入开展所必须研究的重大课题。
一.电子支付
(一)电子支付介绍
所谓电子支付,是指从事电子商务交易的当事人,包括消费者、厂商和金融机构,通过信息网络,使用安全的信息传输手段,采用数字化方式进行的货币支付或资金流转。类型如下:
1.网上支付
网上支付是电子支付的一种形式。广义地讲,网上支付是以互联网为基础,利用银行所支持的某种数字金融工具,发生在购买者和销售者之间的金融交换,而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,由此电子商务服务和其它服务提供金融支持。
电话支付是电子支付的一种线下实现形式,是指消费者使用电话(固定电话、手机、小灵通)或其他类似电话的终端设备,通过银行系统就能从个人银行账户里直接完成付款的方式。
3.移动支付
移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等。
(二)目前的电子支付工具介绍
1.电子现金(E-Cash)
电子现金是(E-Cash)一种以数据形式流通的货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市值,用户在开展电子现金业务的银行开设帐户并在帐户内存钱后,就可以在接受电子现金的商店购物了。
2.电子钱包(Electronic Wallet)
电子钱包是电子商务活动中网上购物顾客常用的一种支付工具,是在小额购物或购买小商品时常用的新式钱包。电子钱包一直是全世界各国开展电子商务活动中的热门话题,也是实现全球电子化交易和因特网交易的一种重要工具,全球已有很多国家正在建立电子钱包系统以便取代现金交易的模式,目前,我国也正在开发和研制电子钱包服务系统。使用电子钱包购物,通常需要在电子钱包服务系统中进行。电子商务活动中的电子钱包的软件通常都是免费提供的,可以直接使用与自己银行帐号相连接的电子商务系统服务器上的电子钱包软件,也可以从因特网上直接调出来使用,采用各种保密方式利用因特网上的电子钱包软件。目前世界上有VISA cash和Mondex两大电子钱包服务系统,其他电子钱包服务系统还有HP公司的电子支付应用软件(VWALLET)、微软公司的电子钱包MS Wallet、IBM公司的Commerce POINT Wallet软件、Master Card cash、Euro Pay 的Clip和比利时的Proton等。
电子支票是一种借鉴纸张支票转移支付的优点,利用数字传递将钱款从一个帐户转移到另一个帐户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码方式传递的,多数使用公用关键字加密签名或个人身份证号码(PIN)代替手写签名。用电子支票支付,事务处理费用较低,而且银行也能为参与电子商务的商户提供标准化的资金信息,故而可能是最有效率的支付手段。
4.智能卡(Smart Card or IC)
智能卡是在法国问世的。20世纪70年代中期,法国Roland Moreno公司采取在一张信用卡大小的塑料卡片上安装嵌入式存储器芯片的方法,率先开发成功IC存储卡。经过20多年的发展,真正意义上的智能卡,即在塑料卡上安装嵌入式微型控制器芯片的IC卡,已由摩托罗拉和Bull HN公司于1997年研制成功。在美国,人们更多地使用ATM 卡。智能卡与ATM卡的区别在于两者分别是通过嵌入式芯片和磁条来储存信息。但由于智能卡存储信息量较大,存储信息的范围较广,安全性也较好,因而逐渐引起人们的重视。
二.电子支付存在的问题
(一)国内外电子支付现状
1.国内支电子付平台现状
随着电子商务的发展,对网上支付的需求增强,电子支付平台市场规模迅速增长。(见图1)
图1 在线支付市场规模预测
国内市场上早在1998 年就有了第一家第三方支付公司。目前,国内网上支付平台服务范围已跨越b2b, b2c, c2c 等多个领域,在国内外积累了一定的固定用户数量,占据了先天的业务背景优势。随着2005年初以来网络支付的迅速走红,越来越多的第三方支付服务平台也开始出现,加入战团。国内银行信用卡跨行、跨区域的壁垒正在被逐渐打破。现今的第三方支付平台依托于中国银联,背靠金卡工程,得到了各大商业银行的大力支持,接入后,就可以同时接通众多的银行、网关甚至国际卡,全面推动了网上交易渠道的畅通。全面应用第三方支付平台已经成为开展电子商务,增加传统企业竞争力的新趋势。在长期困扰电子商务的诚信、物流、现金流问题通过应用在线支付工具得到解决后,应用第三方支付平台提升网站的形象和竞争力、提高消费者忠诚度、降低交易风险,将是一举多得的事情。在第三方支付平台的启示下,在电子商务领域将会有更合理、更有效的支付模式出现,从而促进和适应电子商务的飞速发展,更好地服务于人们的网络生活。
2.国外电子支付平台现状
在全球范围内,美国的PayPal是最成功的第三方支付平台。2006年底,PayPal在世界上103个国家及地区开展业务,支持的币种达17种,拥有1.33亿用户,其中活跃用户3760万。PayPal获得的巨大成功依赖于若干特定的条件,包括:特定的金融支付业务支撑环境、准确的市场定位与恰当的市场时机、灵活坚决的扩张战略与有效的风险控制措施、特定的法律与政策环境等。PayPal的技术与业务模式极易复制,但即使拥有雄厚金融背景的花旗Citi Bank,以及拥有强大品牌支撑的Yahoo Paydirect都没有在第三方支付领域战胜PayPal。雅虎和其他公司,比如Citi Bank,都在经历失败后关闭了各自的在线支付系统。
经过一年多的调查测试后,2006年6月,Google推出了第三方在线支付业务。2006年,在线支付业务是Google利润最高的业务。尽管Checkout的用户使用率在增长,但其品牌知名度和使用率远远落后于对手PayPal。据2007年初的调查,在品牌认知度方面,有80%的受访者认可PayPal,而仅有45%的用户认可Checkout。
Checkout第三方在线支付服务的优点在于,Google在搜索市场的领导地位使得Checkout在线支付服务对依赖于Google搜索服务的很多商家很有吸引力,另外其价格也有优势,Google推出支付服务之后,为了从PayPal手中抢夺市场份额,给商家和消费者提供了多种优惠政策。
3.国外对第三方支付平台的监管
目前,美国没有制定针对第三方网上支付平台的专门法规条例。只是在现有的法规中寻求相关的监管依据,或对已有的法规进行相应增补。美国联邦存款保险公司(FDIC)是监管的重要部门。美国采用立体的监管体制,从联邦和州两个层面对第三方网上支付平台进行监管,将监管的重点放在交易的过程,而不是从事第三方支付的机构。在监管方式上采取了现场检查和非现场检查相结合的方式。
欧盟出台了专门的监管法律框架。主要有三个指引文件,通过对电子货币的监管来实现对第三方网上支付公司的监管。2000年1月颁布了《电子签名共同框架指引》,在该指引文件中确认了电子签名的法律有效性和在欧盟内的通用性。同年又颁布《电子货币指引》和《电子货币机构指引》两个指引文件,要求非银行的电子支付服务商必须取得与金融部门有关的营业执照(完全银行业执照、有限银行业执照或电子货币机构执照)。
在对第三方支付平台的身份划分上,欧盟规定网上第三方支付的介质只能是商业银行货币或电子货币。这就意味着第三方网上支付公司必须取得银行业执照或电子货币公司的执照才能开展业务。
在对第三方支付平台滞留资金的监管上,欧盟规定第三方支付平台需在中央银行开设专门的账户留存大量资金,并将电子货币的发行权限定在传统的信用机构和新型的受监管的电子货币机构。对于增值服务,目前还没有适用于整个欧盟的法律法规。由于欧盟致力于建设单一欧元支付区(SEPA),第三方支付公司只要取得“单一执照”,便可在整个欧盟25国通用。例如,PayPal在2004年取得了英国金融服务局(FSA)颁发的电子货币机构许可证,并接受FSA 的监管。就可以在欧盟其他成员国开展业务。
在对电子货币的监管上.欧盟规定机构和个人也可以发行货币,但要通过相应的审批、获得执照,如在英国由金融服务业协会向希望发行自己货币的公司发行许可证并进行监管,英国一些公司已经拿到了合格证。
在对非法金融活动的监管上,欧盟与美国一样,实行审慎的监管,限制将客户资金用于投资。
(二)网上支付发展中存在的问题
1.网上支付存在着很大的局限性
该问题主要表现在跨行网上支付难度大,各银行网上支付的标准不同。我国的金融电子化系统是在无统一标准的情况下各自建立起来的,由于缺乏处理大规模联机事务的经验,在系统建设中标准化意识不强。开发的各类业务系统缺乏统一的业务规范和信息格式标准,即便在同一银行系统内的各业务系统也无统一的规范和标准,就增加了全国银行间网络互联的难度,从而影响了网上支付业务的拓展。由于以前的传统产业采用的都是实时实地交易的模式,只要两人面对面洽谈就能商讨解决好一切的问题。并不需要跨越时间和空间的阻隔,所以有关网上支付业务的扩展大多企业都并不注重,以致造成现在这种局限性的存在。但继2005年4月1日首部电子商务成文法《中华人民共和国电子签名法》正式实施:银监会发布《电子银行业务管理办法(征求意见稿)》之后央行也于近日发布了《电子支付指引征求意见稿》。摆脱了过去没有法律依据、缺乏权益保障的尴尬后,广泛开展网上支付业务大力推广网上支付建设已经成为协调整个中国电子商务行业及其他网络增值业务共同发展的关键。随着网上支付的迅速发展,特别是第三方支付平台的出现,因其在款项收付的便利性、功能的可拓展性、第三方信用中介的信誉
保证等方面已逐步表现出越来越强大的性能优势,正成为当今电子商务活动、网络消费方式的主流。
2.网上支付工具发展滞后
电子商务需要银行卡的参与,但仅靠银行卡的运行还是远远不够的。未来电子商务活动中使用新一代电子货币如电子现金、电子支票等通过银行账户或电子邮件进行的转账方式进行支付的金额将不断增加。但我国目前在电子现金方面的开发和应用与国外相比还有很大差距,电子支票尚是空白。电子现金其实与现实货币没有什么不同,是一般等价物的一种表现形式,但其法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。但随着电子现金技术的不断成熟,其又具有网络化的方便性、安全性、秘密性,所以电子现金的发展优势是不可阻挡的。关键是要在法律方面进行调整。而我国现在电子支票的应用也极为有限。主要原因是受到我国《票据法》的制约,电子支票的法律地位难以得到确认,使银行望而却步。
3.我国部分品牌银行网上支付情况差异较大
这些差异有技术上的原因,也有管理上的原因。现在的银行卡使用情况可说是五花八门。有工行的、交行的、建行的、中信的等等每个人拿出来的信用卡几乎都有一定的用途。其使用的范围、透支额度都是有差异的。目前,电子商务交易的支付方式还显得很繁杂,直接在网上支付的只占极少数,企业间多采用信证、传统的支票转账的方式进行支付,而个人在网上交易的支付方式有信汇、货到付款(现金)、网上支付等,由于支付形式的不统一,所以极大地影响了电子商务的交易效率,这与银行本身信息化程度不高有很大的关系。相关法规的不完善也是制约网上支付的关键因素,另一大因素则要归为领导的不重视。任何一个项目的开发或是系统的运行都需要上级领导的鼎力支持,如果管理层首先没有动起来,那基层做再多的工作也只是事倍功半而已。
4.网上安全认证机构的建设不健全
网上安全认证机构的建设,从规范的角度讲,只有国家出面建设统一公用的认证机构,才能起到认证机构中立,权威的作用,也才能更好地为网上支付提供安全保证。所以按照有关法律的规定,制订电子商务安全认证管理办法,可以进一步规范密钥、证书、
认证机构的管理,注重责任体系的建设,发展和采用具有自主知识产权的加密和认证技术,还可以整合现有资源,完善安全认证基础设施,建立布局合理的安全认证体系。实现行业、地方等安全认证机构的交叉认证,为社会提供可靠的电子商务安全认证服务。由此可见,安全认证机构的建设是相当重要的,是顺利开展电子商务与进行网上支付的安全保障,一定要切切实实的抓好。
(三)网上支付存在的安全问题分析
要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。
网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性。
1.身份真实性
也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动。所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
2.信息的完整性
网上交易简化了贸易过程,减少了人为的干预,同时也带来维护交易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交
易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
3.不可否认性
也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况:当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
4.数据保密性
有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。
三.解决问题对策
(一)解决网上支付现阶段问题的对策
1.加快网络基础设施的建设
银行应从传统的主要经营资产负债业务的观念中摆脱出来,注重中间业务的经营,并遵循统一的标准,中央银行应充分利用金融系统电子化基础设施,加快实现全国范围内银行卡跨行、异地支付业务授权及清算信息自动交换。除此之外,国家还应建立并完善电子商务国家标准体系。提高标准化意识,充分调动各方积极性,抓紧完善电子商务的国家标准体系,鼓励以企业为主体,联合高校和科研机构研究制订电子商务关键技术标准,积极推进电子商务标准化进程。电子商务体系完善起来了,网上支付也会随之正规化。而随着两者的相继完善与发展,其存在着的制约因素也会日益减少,网上支付业务也就会越来越多的受到人们的青睐了。
2.研发符合我国国情的网上支付工具
在发展电子商务中,要积极开展对电子现金、电子支票等网上支付工具的研究。参
与国际交流与合作,跟踪国际先进技术,推动网上支付工具的应用同时也要制定和规范符合我国国情的支付标准。就目前网上支付的主要工具——银行卡来讲,必须建立全国统一、完整的银行卡转账、授权网络,以实现支付标准的统一和银行卡异地跨行的支付结算。现在信用卡的使用已经越来越普遍了。用卡付款代替传统的现金付款已越来越被人们所接受,但目前还只有少数银行推出了网上银行业务。随着银行间竞争的加剧,各商业银行都把目光投向了网络银行。可以预计两年内绝大部分的银行都可实现网上支付。目前国际通行的电子支付工具主要有电子信用卡,电子支票、电子现金等。这些支付工具随着网上银行的日益普及也会越来越受到人们的欢迎。
3.制订统一的标准
主要包括制定统一的管理、统一的读卡机、统一的安全技术等,而我国各地经济发展水平的不一致。导致了银行间网络化发展水平的参差不齐,这势必给我国银行卡统一发展及利用银行卡进行网上支付带来困难。我国商业银行通过Internet提供网上支付还处在初级阶段,其覆盖面小,还远远不能适应网上商务支付的要求。据CCID调查显示,通过网上直接支付的仅占国内电子商务总交易额的1 7%左右。目前国内银行大多还只是提供一些基础性的支票、电话转账及信用证业务,网上主动支付业务能力有限,并且还仅仅是在一些大中城市中提供此类业务。这远远不能满足电子商务所需要的网上支付流程。虽然各大商业银行都做相应努力与调整,但短期内很难突破这种局限性,很显然,这些都是急需改进的,一方面要加快银行的信息建设工作,另一方面就是要尽快完善网上交易的相关安全规范,只有真正地实现了电子支付,电子商务的优势才会显现出来。
4.进行数字认证
当然,其中与认证相关的法律一定要完善。不严格的认证审批所带来的连锁反应、在认证过程中出现的欺骗行为及其后果等一系列问题的责任划分,必须在法律上有所规定。所以我们要积极推动电子商务法律法规的建设,认真贯彻实施《中华人民共和国电子签名法》,抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制订相关法律法规的意见,根据电子商务健康有序发展的要求,抓紧研究并及时修订相关法律法规,加快制订在网上开展相关业务的管理办法;推动网络仲裁、网络公证等法律服务与保障体系建设;打击电子商务领域的非法经营以及危害国家安全、损害人民群众切身利益的违法犯罪活动。保障电子商务的正常秩序。
(二)解决网上支付安全性的对策
1.技术方面的对策
(1)数据加密:数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret Keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
(2)数字签名:数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值,发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。
(3)安全协议:在国际上,比较有代表性的电子支付安全协议有SSL和SET。SSL (安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。
SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工业技术标准。
2.法制方面的对策
(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。
(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管,网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。
3.管理方面的对策
在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现有的金融体系为一体的综合性大系统。因此,统一而先进的管理和规范就显得尤为重要。例如,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。
另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷所造成的。因此严格的管理制度建设就非常重要。
电子支付的安全问题,实际上是一个牵连甚广的应用问题。电子商务发展所要求的支付环境,需要金融和通信、互联网等产业之间的融合,而这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同。因此一些在国外成功的经验并不能简单套用,这就使得电子支付需要面对的安全问题进一步复杂化。但只要全社会的相关组织和个人共同努力,相信未来的网上交易会越来越安全。
(三)现有电子支付系统的改进
1.三种电子支付模型
第一种:基于SSL协议的支付模型:安全套接字层协议(Secure Socket Layer,SSL)是网络安全协议的标准,采用公开密钥技术,目的是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。SSL使用多种密码技术和PKI数字证书技术来保护信息传输的真实性、机密性和完整性,主要适用于点对点之间的信息传输。SSL由两层协议组成:(1)握手协议:描述了协议的建立过程,在客户机和服务器之间进行相互的身份认证,并在传输数据之前,协商确定加密算法和会话密钥。(2)记录协议:用于对不同的高层协议进行封装,定义了数据传输的格式。遵从SSL协议的电子交易过程:客户选择服务,提交购物请求→商家回复客户的购买请求,客户端浏览器提示即将建立与银行端网络服务器的安全连接,经过身分认证后,SSL 握手协议介入开始,双方建立起安全通道→出现相应银行的支付网页,显示从商家发来的相应的订单及支付金额信息,用户确认后支付。支付成功后,用户确认离开安全SSL 连接→银行在后台把相关资金转入商家账号→商家收到银行发来的付款成功消息后,发送收款确认信息给用户,支付过程结束。
目前国内大多数银行的网上银行业务都是基于SSL协议的。例如招商银行的“一网通”网上支付业务就是基于SSL协议的典型代表。
第二种:基于SET协议支付模型:SET(Secure Electronic Transaction)安全电子交易协议协议是针对开放网络上安全、有效的银行卡交易,为Internet卡支付交易提供高层的安全和反欺诈保证。SET协议实现信息在Internet上安全传输,不能被窃取或篡改;实现持卡人购买订单和个人账号信息的隔离,使商家只能看到订货信息而金融机构只能看到账号信息;实现持卡人、商家、支付中心、支付网关等交易参与方身份的相互认证;软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容性和互操作能力,并且可以运行在不同的硬件和操作系统平台上。
遵从SET协议的电子交易过程:客户选择服务,提交购物请求→客户计算机自动激活电子钱包的客户端软件,用户取出里面的电子现金准备支付,SET协议开始介入;客户端软件自动与商家服务器软件进行SET 协议规定的信息交换与身份认证,然后自动提取信息连同订货单一起发送给商家→商家收到信息并验证通过后回复客户,同时发出结算请求,并将客户端信息一起发给支付网关→支付网关收到支付信息后,转入后台银行网络处理,在收到银行端发来的确认信息后向商家回复支付成功→客户收到商家发来的
购货确认与支付信息后,客户端软件关闭,支付过程结束。
国内的网上银行支付系统基于SET协议的极少,中国银行是一家。它的CA是中国银行认证中心(CCA)。持卡人通过Internet由中国银行主页中下载电子钱包软件后,通过Internet在线获得中国银行认证中心批准的借记卡网上交易电子证书。第三种:以支付工具为中介的支付模型:国内除了上述两种支付方式外,还有种以网上支付工具为中介的支付流程,即第三方支付。这种在线实时的支付方式实质上还是网上银行。这种支付模式主要解决的不是信息流在网上传递的安全性问题,而主要解决的是因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。
第三方支付的交易过程:买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议,这时买方需把货款汇到第三方中介账户上。中介立刻通知卖方钱己收到可以发货,待买方收到商品并确认无误后,中介才会把货款汇到卖方的账户,整个交易就完成了。第三方支付的典型代表有贝宝公司的PayPal、阿里巴巴旗下的支付宝等。
2. SSL、SET协议的不足
SSL协议存在的问题:第一,客户的信息首先传递到商家,商家可以任意阅读,这样客户资料的隐私性就得不到保证。第二,SSL只能保证资料信息传递的安全,而传递过程是否被人截取无法保证。第三,SSL没有对应用层的消息进行数字签名,因此也无法保证不可否认性。所以,SSL并没有实现电子支付所要求的保密性、完整性和不可否认性,而且多方互相认证也很困难。
SET协议存在的问题:第一,SET协议使用的对称加密算法DES,随着计算机处理速度和存储效率的提高,己经不是计算上安全的算法了。第二,协议没有担保非拒绝服务,无法证明交易是否由签署证书的使用者发出。协议签名的内容无法保障持卡者和商家在协议最后收到的签名是针对交易内容的认证。第三,协议没有考虑交易个体的公平性,持卡人的信用卡信息经过商家转发,虽然是经过加密的,但无论如何也会留下痕迹,这是个很大的安全隐患。第四,从实用性来讲,SET协议对商家系统的开发来说是个不小的负担,很多的小商户都会认为成本太高,不甚划算。并且,应用SET协议需要在持卡人端安装电子钱包,这也是个不太容易让普通持卡用户很快接受的地方。还有,SET协议仅仅针对信用卡,对个人信任制度不成熟的我国现状来说,也是一个制约因素。
3.基于SET协议模型的改进
替换密码算法:SET协议规定加密算法为DES加上RSA,而通过上文分析DES加密算法存在缺陷,因此可选择用IDEA算法作为DES的代替算法。IDEA的密钥长度为128位,是目前公认比较安全的加密算法,使用IDEA对原有系统的影响不大。由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。对照现实中商场中“柜台”与“收银台”相分离,对基于SET协议的电子支付系统进行改进,引入了支付中心这一概念,相当于电子的“收银台”。这样,电子商户主要承担商品展示功能,在消费者下订单后,商户执行“开票”功能,而“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。消费者的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方—支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而加强了信息流和资金流在网上实时传递的机密性和安全性。
结束语
电子支付的安全问题,实际上是一个牵连甚广的应用问题。电子商务发展所要求的开放的支付环境,需要金融和通信、互联网等产业之间的融合,而这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同。因此一些在国外成功的经验并不能简单套用,这就使得电子支付需要面对的安全问题进一步复杂化。但只要全社会的相关组织和个人共同努力,相信未来的网上交易会越来越安全。
伴随着时代的脚步,电子商务在我国经济发展中的地位越来越重要,我国电子商务的发展将呈现多样化趋势,并朝着安全、高效、便捷的方向发展。由于电子支付中还存在诸多问题,解决好电子支付的瓶颈迫在眉睫。我们必须理清电子支付发展规划的基本思路,在编制的过程中协调不同群体的利益,形成代表不同群体利益的方案。通过规划所确定的制度措施对电子支付行为主体进行约束和指导。明确规划战略目标,制度措施可操作性强。明晰电子支付发展规划的编织程序所包含的五个步骤,即前期调查研究,规划草案,全面协调,正式方案和公布实施。鉴于我国的具体国情,当前急待解决的问题是如何培育市场与构建和完善支撑环境。只有在全社会建立起适合我国实际情况的信用体系,优化电子商务相关法律环境和配套设施,提高电子支付的安全可靠性,才能逐步激发出电子支付市场的热度