王静(1975-),女,中国海洋大学经济学院金融系硕士研究生。
关键词:第三方网上支付;新课题;金融监管
所谓第三方网上支付平台,是以支付公司为信用中介,以互联网为基础,通过整合多种银行卡等卡基支付工具,或者借助新兴的第三方网上支付工具(虚拟账户、虚拟货币),为买卖双方进行交易资金的代管,支付指令的转换,并提供增值服务的网络支付中介渠道。2005年,通过第三方支付平台进行的交易规模增长极其迅速,根据赛迪顾问的分析,包括网上支付和移动支付的第三方支付平台交易规模达到179亿元,比2004年增长79.9%。据iResearch预测,2007年中国第三方网上支付平台市场规模将达215亿元左右,占网上支付市场规模的比例将达36%左右。
一、第三方网上支付平台提出的新课题
(一)从事资金吸储并形成资金沉淀
(二)开立结算账户并提供支付结算服务,突破了特许经营限制
根据《中华人民共和国商业银行法》(修正)第三条的规定,结算业务属于商业银行的中间业务必须经过银监会的批准才能从事。而第三方支付平台显然已突破了这种特许经营限制,急需监管部门出台相应的管理措施,规范业务范围,消除“灰色地带”。
(三)电子货币发行的合法性有待明确
在腾讯“财付通”支付平台中,其发行的Q币已扮演硬通货的角色。众所周知,只有央行才具有发行货币的权利。面对金融电子化的新形势,尽早明确电子货币的发行权,有利于规范金融秩序。
(四)利用支付平台的网络违法犯罪活动不断出现,危害令人堪忧
3.为规避银行汇划手续费,通过创建虚假交易(非真实交易)将资金从A的支付平台账户转至B银行账户,再提取资金至指定银行卡账户。
4.成为网络赌博的又一渠道。尤其是最近2006年德国世界杯足球赛期间,可疑交易有上升趋势。
5.利用目前工商、税务的漏洞,企业以个人名义进行交易,逃避税收,形成税收黑洞。
二、第三方网上支付平台的国际监管模式
(一)美国模式
其次,FDIC通过提供存款延伸保险(PassThroughInsuranceCoverage)实现对滞留资金的监管。第三方网上支付平台的留存资金需存放在FDIC保险的银行的无息账户中(PooledAccount),每个用户账户的保险上限为10万美元。
再次,依据美国在“9.11”事件后颁布的《爱国者法案》,第三方网上支付平台作为货币服务企业,需要在美国财政部的金融犯罪执行网络(FinCEN)注册,接受联邦和州两级的反洗钱监管,及时汇报可疑交易,记录和保存所有交易。
最后,美国并没有明确的电子货币概念,一般将储值卡作为电子货币的代名词。
(二)欧盟模式
欧盟规定网上第三方支付媒介只能是商业银行货币或电子货币,这就意味着第三方网上支付公司必须取得银行业执照或电子货币公司(ELMIs)的执照才能开展业务。实际上,欧盟对第三方网上支付公司的监管是通过对电子货币的监管实现的。该监管的法律框架包括三个垂直指引:
第一个指引是2000年1月颁布的《电子签名共同框架指引》,此项指引确认了电子签名的法律有效性和欧盟内的通用性。
后两个指引是同年颁布的《电子货币指引》和《电子货币机构指引》,要求非银行的电子支付服务商必须取得与金融部门有关的营业执照(完全银行业执照、有限银行业执照和电子货币机构执照),在中央银行的账户留存大量资金,并将电子货币的发行限定在传统的信用机构和新型的受监管的电子货币机构。
美国和欧盟对电子货币的监管有许多共同之处:需要执照和审批,实行审慎的监管,限制将客户资金进行投资,反洗钱等。
(三)亚洲模式
三、我国对第三方网上支付平台监管的策略选择
(一)我国对第三方网上支付平台的监管现状
目前,我国还没有专门针对第三方网上支付的法律法规,可以依据的只有“三个参考”,即一条法律、一条指引、一个办法。
参考一:2005年4月1日起施行的《电子签名法》规定可靠的电子签名与手写签名或者盖章具有同等的法律效力,从而在法律层面上规范了网上支付中的电子签名行为。
参考二:同年的10月26日央行针对电子支付的首个行政规定――《电子支付指引(第一号)》正式实施。
参考三:2005年6月10日,中国人民银行了《支付清算组织管理办法》(征求意见稿),对从事网上支付业务的非银行机构的性质、业务开办资质、注册资本金、审批程序、机构风险监控以及组织人事等做出了相应规定。
(二)我国对第三方网上支付平台的监管原则
1.市场导向性监管原则。是适应市场的需求而产生的,监管部门的监管措施也应立足于市场,使市场资源合理配置,避免以往脱离市场,一放就乱、一管就死的现象发生。
2.审慎有效性监管原则。由于信息的不对称性和外部性,市场存在着失灵。监管部门应以风险管理为基础,结合我国的现实国情、人文背景,在对第三方网上支付平台的监管中寻找安全与效率的最佳均衡点,在监管收益与成本的权衡中把握监管力度。
4.动态监管原则。第三方网上支付平台在我国还是新生事物,未来的发展存在诸多不确定性,监管部门应进行动态的监管,有弹性的监管,分阶段制订监管政策,“在发展中规范,以规范促进发展”。
(三)我国对第三方网上支付平台的监管建议
1.尽快明确第三方网上支付公司的法律身份。《支付清算组织管理办法》(征求意见稿)提出第三方网上支付结算属于支付清算组织提供的非银行类金融业务,第三方支付公司是金融增值业务服务商,这样的定位符合我国现有国情,物理上掌握或控制现金流不是判断是否是银行的标准。第三方支付公司只是银行业务的补充和延伸。
3.规范第三方网上支付公司的业务范围。应规定第三方支付公司的自有账户与客户沉淀资金的账户相分离,禁止将这部分资金进行贷款、投资或挪作他用。由银行对客户账户进行托管,目前工商银行便为“支付宝”托管账户,并且每月都有账户资金的使用报告。但《电子支付指引(第一号)》中对交易金额的限制在实践中对国际机票、电子产品等的交易造成了困难,而且许多消费者不愿花76元办理数字证书。对第三方网上支付平台交易金额的限制在考虑防范风险的同时,应为平台业务的开展提供便利。此外,汇款和转账业务是否可在平台开展也急需规范。
4.保障交易支付资金的安全,防范第三方网上支付平台的支付风险和信用风险。可采取限制一定时期内的账户资金余额或缴纳一定比例保证金的方式。工行要求第三方网上支付公司要将上个月交易总额的30%滞留在该公司在工行的保证金账户。如果该企业要停业,工行方面将立刻对外公告。
6.规范电子货币和电子票据的使用。首先应明确我国的电子货币的定义、发行方。将电子货币的发行归于央行旗下并不可取,但可以规定第三方网上支付公司缴纳一定的发行准备金,用户按面值赎回电子货币。
7.在引进外资的同时对外资投资比例进行适当控制,为了规避中国政府对第三方网上支付公司的可能监管,外资企业一般采取曲线进入中国市场的策略,借内资“壳”公司开展业务。虽然拟定外资投资比例不能超过50%,但比例的限制是否能真正限制外资的绝对控制,监管部门还需探讨。
8.加强与国内部门和国际组织的协作,提高监管效率,降低监管成本。
9.将对客户的宣传教育作为监管的补充。有时风险的出现在于客户自身风险意识的薄弱和有关知识的匮乏,监管部门应采取各种方式对客户的进行宣传引导,避免不必要的损失。
参考文献:
[1]柯新生.网络支付与结算.电子工业出版社,2004
[2]李兴智,丁凌波.网上银行理论与实务.清华大学出版社,2003
[3]张卓其,史明坤.网上支付与网上金融服务。东北财经大学出版社,2002
关键词:网上支付模式;感知风险;元模型
一、引言
随着电子商务的蓬勃发展,我国网上支付也呈现出快速增长的势头。据艾瑞(iResearch)《中国网上支付行业发展报告》统计,2005-2009年间,中国网上支付交易规模增长近30倍,交易额连续5年增速超过100%,2009年达5766亿元人民币,2010年网上支付增速达70%以上。
二、网上银行卡支付模式
(一)支付网关模式
这是最早也是传统的支付方式。商家须从银行获取商业账户,客户须在银行开有银行卡,交易过程中使用虚拟的购物车软件且商家须将其和银行的支付网关程序连接。支付网关位于Internet和传统的银行专网之间,主要作用是安全连接Internet和专网,将不安全的网上交易信息传给安全的银行专网。起到隔离和保护专网的作用。支付网关主要完成通信、协议转换和数据加、解密功能,以保护银行内部网络。运用支付网关模式支付的具体流程(见图1):
(二)纯粹的第三方支付模式
该模式与传统的支付网关模式相似,但不需要商家开立商业账户,只需要商家在第三方服务提供商处开立账户,对于消费者并没有特定的要求。第三方服务提供商处理交易中所有的资金,然后将资金转到商家的开户银行。这种模式与支付网关模式的区别主要在于支付网关是建立在第三方和银行之间,而不是商家和银行之间。这种模式国内以首信易支付为代表,云网对于非注册会员也采取了纯粹的第三方支付模式,但仍然有自己的交易平台和会员客户。这种纯粹网关技术含量不是特别大,很容易被银行等机构复
制,所以现在如首信易等,已经继续开发其他业务,对消费者进行会员吸纳,为其建立专门的支付账户以提供付款提现等服务,以此来巩固其市场份额,锁定自己的客户群。总体来说,目前这种纯粹的第三方支付模式不是独立存在的,往往是和其他特色相结合。纯粹的第三方支付模式的具体流程(见图2)。
(三)P2P支付平台模式
P2P支付平台在也被称为“第三方中介机构”,也是目前国内发展最快的支付模式,有担保功能的支付平台(如支付宝)最具代表性。此模式要求客户和商家首先在P2P支付平台注册账户,这一双重性简化了支付程序,因为所有的处理都是在P2P内部处理。外部银行网络不需要参与交易。客户可以通过将银行账户与支付平台账户绑定或邮政汇款、线下充值等方式给自己的支付平台账户充值,但客户必须和商家拥有同一个提供商的账户,支付网关也仍然是连接支付平台和银行。P2P支付平台模式下的流程见图3。
(四)网上银行模式
这种模式是指银行通过自己的站点和主页,向客户提供开户、销户、查询、对账、转账、信贷、网上证券、投资理财、网上支付等金融业务的虚拟银行。客户通过它完成网上支付。此模式需要商家在银行中开设结算账户,客户在银行中开设支付卡,并在卡中存有一定数量的钱款;这里,商家直接通过支付网关连接银行,具体流程见图4。
(五)移动支付模式
最后,值得一提的是,实践中上述各种网上支付出现了逐渐融合和功能集成的趋势(参见表1):如由于支付内容的不断丰富,P2P支付不仅指通过网上购物交易进行的支付,还可以是单纯由一方将钱款支付给另一方的转账支付;网上银行支付模式也可能是一种被P2P支付平台整合进来的一项服务,只不过选择P2P支付平台后使用的是平台的网关;另外,支付平台有无自身的电子交易平台,是否具备担保功能也是划分支付平台的标准。
三、基于网上支付元模型的感知风险识别
关于消费者在产品的接受和使用过程中的风险感知问题已经有了多年的研究。Bauer(1960)指出,风险很难作为一个客观事实加以衡量,因此引入感知风险(PerceivedRisk)的概念。通常,感知风险被看作是消费者在使用产品或服务时对感觉可能遭受损失后果的不确定性的想法。如Peter和Ryan(1976)将感知风险定义为在购买或行动中所产生的对购买行为产生负面作用的损失期望值。当决策环境导致消费者产生不确定感觉、不安或者焦虑等情绪时,将引起与消费者的冲突,最终成为影响决策的决定因素之一。尤其在各种网上支付模式中,与传统交易方式不同,资金的传递与确认都是在没有面对面的情形下进行,这将进一步加剧消费者由于技术创新带来的不确定性以及等待焦虑感等等带来的感知风险。
将网上支付各模式中消费者感知风险的具体界定及分析如表2。
最后,为了更简明地体现风险的存在,我们将五种模式抽象简化为一个元模型,并从元模型中交易方之间的关联和交易流程角度考虑消费者的感知风险。这样,在上述模式中,存在于客户和商家之间的平台或网关实际是起到了沟通二者的作用,可以统一视为交易中的第三方。从消费者角度,我们列举的其和第三方及商家之间在交易中可能对对方产生不信任进而引起的感知风险见图5。
四、结论和建议
本文从消费者感知风险出发,对我国未来电子商务网上支付的发展方向提出以下几点建议。
第一,针对消费者感知到的第三方法律地位和信用存在风险,第三方账户资金保管不善而引起损失等风险,我们建议健全信用评价体系,保障交易双方的资金安全和支付平台的可持续运行。目前我国以支付宝为代表的第三方支付平台作为信用中介保障交易双方的利益,为其提供信用担保,但是其准入门槛较低,从而导致很多欺诈通过网上传播各类信息非法骗取消费者财产。所以应当进一步完善第三方支付平台的信用担保功能,加强对商家与消费者之间支付交易的监管,降低在线支付的信用风向,提高人们对网上支付的满意度和信心,即降低消费者感知的安全风险。其次,对于洗钱、信用卡套现、欺诈等网络犯罪进行法律制裁,从而为消费者营造完全稳定的网络消费和网上支付环境。
Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.
Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.
Keywords:EC;onlinepaymentsystem;technicalcountermeasures
第一章:引言
2009年1月13日,中国互联网络信息中心(CNNIC)在京了《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。
我国网民和国家CNCN域名的增加,势必为电子商务的发展带来更大的机会。随着Internet技术和应用的不断发展,越来越多的企业加入到电子商务的队伍中来。电子商务已成为贸易发展的必然趋势,随着电子商务环境的规范和完善,中国电子商务企业必然迅猛发展。使用网上支付的方式进行交易,大大降低了传统贸易的费用和开销,提高了工作效率和企业竞争优势。越来越多的企业选择在Internet上建立自己的Web站点以便利、经济的手段在网上展示自己的企业形象,推销本企业的产品。
一、电子商务与支付系统的定义
1、电子商务的定义
电子商务源于英文ElectronicCommerce,简写为EC。顾名思义,其内容包含两个方而,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方小谋而地进行各种商贸活动。国际商会于1997年11月,在巴黎举行了世界电子商务会议(TheWorldBusinessAgendaforElectronicCommerce)会上专家和代表对电子商务的概念进行了最权威的阐述:电子商务,是指实现整个贸易过程中各个阶段的贸易活动的电子化[1]。从涵盖范围可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等[2]。
2、网上支付系统的构成
支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。[3]
网上支付是指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统,特别是因特网进行传输。以电子信息传递的形式来实现资金的流通和支付。网上支付系统的构成则主要包括两部分。一是网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。二是网上支付技术。如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子数据交换协议SSL和SET。[4]
二、电子商务与网络支付系统的发展现状
1、电子商务的发展现状
根据2009年1月13日,中国互联网络信息中心(CNNIC)在京的《第23次中国互联网络发展状况统计报告》显示,在主要互联网应用使用率调查中,网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。
由此可见,越来越多的企业和顾客加入到电子商务的队伍中来,网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国,电子商务虽然刚起步,但是人们对电子商务的巨大潜力深信不疑;我国政府积极支持电子商务活动的开展,这些都对我国电子商务的发展产生了重要的影响。
但是应当看到,我国还存在一些“瓶颈”问题,严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准,没有规矩不成方圆,没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础,而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事,是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上,国外成熟的电子商务解决方案占据主导地位仍是不争的事实,而国内真正有能力的开发厂家更是屈指可数,仔细算来也只有实华开、四通寥寥几家,但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段,越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现,网上支付系统的关键技术都是至关重要的。
但是现在制约电子商务发展的最关键的技术,是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息,而且还涉及到个人财产的安全问题。在电子支付过程中,必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证,那么将造成重大的损失和严重的法律问题,甚至会断送电子商务企业的命运。因此必须发展能够保障支付系统安全的关键技术,确保交易过程是安全、可靠的。
2、网上支付系统的发展现状
随着电子商务的迅猛发展,支付问题就成了制约电子商务发展的瓶颈,尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环节,如果没有支付,整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合,才能确保电子商务交易顺利进行。
而作为真正的网络支付手段出现的支付方式,则是在Internet的迅速走向普及化之后的事情。但是自2005年以来,中国网上支付成长十分迅速,这标志着中国电子商务迈入了以全面实现网上支付系统为特征的崭新发展阶段。著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。网上支付已成为国内网民从事网上交易时的第一选择,网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。
在Internet上出现的支付系统模式已有十几种,这些系统模式大致上可以划分为如下3类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对Internet的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法,使传统的银行卡支付信息通过Internet向商家传递,利用金融专用网络提供独立的支付授信,更先进的是采用智能卡技术,提供联机的银行卡支付。但是不管是哪一类的系统,都是包含着信息加密措施的系统,每一个系统都是有很多保障安全性的系统。
第二章:网上支付系统的安全技术问题
一、网上支付系统的安全问题
随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。
电子商务的支付问题是随着电子商务本身的快速发展而衍生的。单纯就它们的关系而言,电子商务需要电子支付,支付体系是开展电子商务的必备条件。随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。据AC尼尔森公司在2003年3月~4月做的一个调查表明,安全性是网上购物者用信用卡支付的主要顾虑。安全问题已成为电子支付发展面临的重要挑战,目前制约我国电子商务发展的瓶颈就是支付问题。
二、信用卡安全的恐慌——网上支付系统的安全问题案例分析
从银行业的这一案例中我们可以清晰看到安全技术的重要地位和意义。因此必须对这一关键技术进行深入的研究,形成一个优秀的解决方案,确保网上支付系统的安全,保障我国电子商务事业的稳定快速发展。
第三章:解决网上支付系统的安全问题的技术解决途径
一、网上支付系统的安全要求
1、保密性
对于网上支付系统来说,他的保密性意味着系统必须满足两点:(1)私有交易不会被其它人截获及读取,既没有人能够通过拦截会话数据获得订货单中的帐户信息;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样的事实本身来达到别的目的。
2、信息的完整性
不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。
3、可用性
不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用必备的基础。
4、不可否认性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息,正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。
要确保网上支付系统的安全,交易一旦签订就不能被否认。因此交易的各个环节,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认,确认数据已经完全发送和接收,防止接收用户更改原始记录,防止用户在收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性,在交易数据发送完成以后,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。一旦事务结束,有关各方都不能否认自己参与过这次事务。
5、可审查性。
根据机密性和完整性的要求,应对数据审查的结果进行记录,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利,否认电子交易行为时,系统应具备审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
6、认证性
要确保网上支付系统的安全,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。首先,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者,而不是第三者冒名发送。发送方可以确认接收方的身份是真实的,而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份,知道对方确实是他所称的那一位。在这里,确定意思并不完全意味着知道对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。
二、网上支付系统可能受到的攻击
针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。近一步细分又可以划分为两大类。
(1)假冒和恶意破坏。由于掌握了数据的格式并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息而远端用户通常很难分辨。由于攻击者可以接入网络则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
(2)窃取和篡改信息由于未采用加密措施或加密措施不利,数据信息在网络上以明文形式传送,或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
三、网上支付系统安全的技术解决方案
1、加密技术
1.1、利用加密技术保证电子商务支付的机密性[6]
密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言,1976年以前主要采用对称加密技术,这种加密技术存在着很多问题,如密钥分发的安全性,密钥规模过大、不能保证消息的真实性和完整性等。1976年以后,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。
1.2对称加密技术
对称加密技术有许多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。它把64位的明文输入块变成64位的密文输出块,所使用的密钥也是64位,其中第8位奇偶校验位另作它用。DES利用56位的密钥,对64位的输入数据块进行16次的排列置换,最后生成输出块密码。其生成步骤如[7]
下:
(1)为了产生64位明文的置换输入,对二进位进行初始排列(InitialPermutation),然后将结果分成32位的左右两个数据块。
(2)执行16次的迭代函数f,而每迭代一次所使用的密钥就不同,f函数将此密钥和右侧数据块作为自己的输入参数。
转贴于
(3)在每个迭代阶段,左右两个数据块的置换值由下式确定:Li=Ri-1
Ri=Li-1+f(Ri-1,Ki)
(4)经16次迭代之后,输出由6位二进位组成的输入明文和密钥的函数结果。
(5)将左右两块数据连接起来,对其进行再度排列,最终生成输出密文,但排列顺序刚好与初始排列相反。
(6)如果在加密过程中所使用的密钥按K1,K2,K3,…,K16顺序,那么解密时必须要按K16,K15,K14,…,K1顺序使用密钥。
截止目前为止,还没有公开报道发现DES算法的致命弱点,但DES算法由于密钥较短,容易遭受密码暴力攻击,因此,在具体实务中主要采用3DES算法。
1.3非对称性加密方式[8]
非对称密钥加密方式又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密功能。一个公开,即公开密钥;另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公开密钥机制虽然灵活,但加密和解密速度却比对称密钥加密慢得多。
公开密钥的加密步骤如下:
(1)交互双方的用户系统,分别生成用来传递信息的加密和解密密钥。
(2)系统将公开密钥向开放记录块和文件公布,而个人密钥却由自己保存。
(3)用户A向用户B传递信息时,将使用用户B的公开密钥进行加密。
(4)用户B接到用户A的加密信息之后将其解密时,则使用它自己的私用密钥。
密钥生成算法如下:
(1)随机生成两个不同大小的素数p,q。
(2)计算n=pq,(n)=(p-1)(q-1)。
(3)随机选取与p,q无关的素数e,1
(4)利用扩展欧基里德算法求出满足ed=1mod((n))的整数d。
(5)用公开密钥进行加密时公开(n,e);用私用密钥解密时保密(p,q,(n),d)。其中,e为公开密钥,d为私用密钥,n为模数。
密钥的生成及应用例子如下:
(1)用户B公开密钥/私用密钥的生成(由用户B或认证机构生成)。
①取两个素数p=47,q=71。
②n=47×71=3337,(n)=46×70=3220。
③选新的素数e=79。
④利用扩展欧基里德算法计算79×d=(1mod3220)中的d,d=1019。
⑤用户B的公开密钥e=79,模数n=3337;用户B的私用密钥d=1019,模数n=3337。
(2)用户B密钥的应用。
加密技术在网上支付系统中的综合应用。结合对称技术、非对称加密技术的特点,在网上支付系统的支付过程中,主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。既保证了消息传送的机密性,又保证了会话密钥分发的安全性。
1.4、数字信封
加密信息
(1)产生一个对称密钥K;
(2)用对称密钥加密信息M得到M*;
(3)取得接收方的公钥;
(4)用接收方的公钥加密对称密钥K得到K*(数字信封)
(5)发送{K*,M*}
解密信息
(1)收到{K*,M*};
(2)用自己的私钥解密K*来得到原对称密钥K
(3)用K解密M*来得到原信息M
2、利用验证技术保证电子商务支付的真实性、完整性
在保证消息的真实性和完整性方面,主要采用的是基于非对称加密算法的验证技术,包括数字签名、身份验证等技术。
2.1数字签名
2.2Hash函数[9]
有一个函数f,当已知它的自变量x时,很容易求出它的函数值y=f(x),但已知y时,很难求出它的反函数值,这样的函数称之为单向函数。已知一个哈希函数值,却很难计算它的两个相异的自变量,这样的函数称其为无冲突函数。如果一个哈希函数同时具备上述的单向性和无冲突性,那么称这个函数为加密哈希函数。典型的有MD5和SMA。
2.3MD5函数[10]
MD5(MessageDigestAlgorithm5)意为数字摘要算法5。它是RSA数据安全公司开发的一种加密算法。是从任意长度的字符串中生成128位的哈希函数值。MD5所开发的软件制品有PGP源码,SSLeay,RSAREF,Cryptott,Ssh源码等。
2.4SMA函数[11]
SMA(SecureHashAlgorithm)是安全哈希算法。它是由美国政府公布的哈希加密标准算法。此算法从任意长度的字符串中生成160位的哈希函数值。
3、支付网关技术的应用。
支付网关通常位于公网和传统的银行网络之间,或者终端和收费系统之间其主要功能为将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。支付网关技术,要完成通信协议转换和数据加解密功能,并可以保护银行内部网络。此外支付网关还具有密钥保护和证书管理等其它功能。有些内部使用网关还支持存储和打印数据等扩展功能交易安全是电子商务正常健康运营的关键所在,不同性质的企业应根据自身的特点选择最为安全和行之有效的防护技术。对于加密身份认证以及支付网关技术不断的加强测试,加强优化为安全运营构筑强有力的屏障。
4、防火墙技术的应用
为了确保信息安全,避免对网络的威胁与攻击,防止对网络资源不正当的存取,保护信息资源而采取的一种手段就是设置防火墙。从理论上说,防火墙概念指的是提供对网络的存取控制功能,保护信息资源。而从物理上的设备来看,防火墙是Intranet和Internet之间设置的一种过滤器、限制器。
防火墙系统负责管理Internet和内部网络之间的访问,主要作用是在网络入口点检查网络通信,根据所设定的安全规则,在保护内部网络安全的前提下,提供内外网络的通信。决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些可以访问的服务,哪些外部服务可以被内部人员访问。所有来自和去往Internet的信息都必须经过防火墙的过滤、检查和存取控制。
5、采用黑匣子模型增强客户端安全
“黑盒”的意思就是从外面看不到里面,谁也不知道盒子里面隐藏的是什么,在计算机技术中用“黑盒”来表示技术的实现被完全封装起来,在这里我们提出电子支付的“黑盒模型”的含义是指用户端的输入、信息加密、解密、通讯控制、安全检测等被完全封装到一个模块中,这个模块与用户计算机之间只交换加密信息,加密信息通过Internet被送到银行服务器。
第四章:一种基于SSL协议安全性民航网上支付系统的设计
基于上文提到的网上支付系统安全技术解决方案运用里面的一些关键技术,如验证技术数字签名等技术,结合我国民航电子商务的发展现状和需求,以节省交易成本和提高安全性为目标,提出基于SSL协议的民航网上支付系统。通过加入双重签名技术,使得SSL协议的安全性有所提高,民航电子商务系统更加有效和安全,交易成本也大大降低。
SSL握手协议中有一个身份认证的过程,其认证的核心是交换X.509格式的数字证书。现有的SSL协议中,公/私钥只用于服务器和客户机在握手过程中的密钥交换,没有利用其来实现数字签名。本文通过在SSL协议栈中增加一个SSL签名协议来解决这一问题,加入签名协议后的SSL协议栈如表1所示。
SSL
握手
加密
警告
签名
其他应用层协议
表1加入签名协议后的协议栈
SSL签名协议的数据保密性和完整性由SSL记录层协议负责。SSL签名协议专门处理对需要签名的信息的消息交换、签名和认证。SSL签名协议是在现有SSL协议的基础上实现功能的扩充,利用了SSL协议原有的密码资源,如证书、公私密钥对、公开密钥密码算法、哈希函数等,并参考SSL定义消息的格式,以一个独立的功能模块方式实现,这样就保证了新协议的向前兼容性。
使用SSL签名协议的民航电子商务支付系统的交易流程如下:
(1)设客户的订单信息和支付信息分别为M1、M2。客户使用Hash函数,分别将M1、M2变换为订单信息摘要h1、支付信息摘要h2,并用自己的私钥对(h1,h2)进行签名变为DS。
(2)客户将M1、h2、DS联立为(M1,h2,DS),并使用商家的公钥加密,变为密文C1;将M2、h1、DS联立为(M2,h1,DS),并使用银行的公钥加密,变为密文C2。
(3)客户将双重签名的消息(C1,C2)发送给商家。
(4)商家收到(C1,C2)后:①用自己的私钥对C1解密,恢复订单信息、支付信息摘要、双重签名(M1,h2,DS);②用客户的公钥对DS解密得到(h1,h2),并检验:a)加密值的第一部分是否等于M1的散列编码
值,b)加密值的第二部分是否等于h2。若是则签名消
息有效;③将C2发送给银行。
(5)银行收到C2后:①用自己的私钥对C2解密,恢复支付信息、订单信息摘要、双重签名(M2,h1,DS);②用客户的公钥对DS解密得到(h1,h2),并检验:a)加密值的第一部分是否等于M2的散列编码值,b)加密值的第二部分是否等于h1。若是则签名消息有效。
(6)商家通过上述操作也获得了与支付信息,M2有关的信息和。但商家不知道客户的私钥无:C2h2,法由恢复。又根据散列编码的性质商家也无C2M2,法由h2恢复M2。
(7)银行通过上述操作,获得了与订单信息M1有关的以下信息:h1。同样根据散列编码的性质,银行无法由h1恢复M1。
第五章:小结
随着我国网民规模的加大和电子商务的发展,网上支付系统的发展给人们的工作和生活带来了新的尝试和便利性,但是网上支付系统的发展却受到技术的制约,其中一个最关键的技术就是网上支付系统的安全技术。鉴于这种现状,本文对网上支付系统的安全要求,网上支付系统容易受到的攻击进行了深入的研究和分析。并针对这些要求和攻击,提出了五种关键性技术。并结合我国民航业的特点,综合运用部分关键技术,设计了一种基于SSL协议安全性民航网上支付系统。是网上支付系统安全技术应用的一个经典实例。充分的说明只要运用好文中提到的网上支付系统的技术解决方案,定能大大提高网上制服系统的安全性,是网上支付的手段得到更大的普及和发展。
参考文献
[1]才书训.电子支付于网上金融学——电子商务系列教材.[M],2002,
66-98
[2杨坚争.电子商务安全与电子支付——高等院校电子商务专业规划教材.北京:机械土业出
版社.2007,89-101
[3]欧阳勇.网络金融[M].西南财经大学,2006
[4]李医群葛文雷,发展网上支付系统的关键因素[J].国际商务研究,2007(2)
[5]NJYeager,REMcGrath.WebServerTecjnology,Chapter8:DigitalCommerce:Risks,RequirementsandTechologies.MorganKaufmannPublishers,Inc,1995:319-370
[6]吴功宜,徐敬东,张建忠.电子商务应用教程[M].天津:南开大学出版社,2005
[7]WienerMJ.EfficientDESkeysearch.Applications[C].Florida:Crypto’93RumpSessionPresentation,1995.
[8]武金木.信息安全基础[M].武汉:武汉大学出版社,2007
[9]沈昌祥.信息安全[M].杭州:浙江大学出版社,2007
[10]周苏.电子商务概论[M].武汉:武汉大学出版社,2008
[11]陈克非.信息安全技术导轮[M].北京:电子工业出版社,2007
[12]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2)
[13]李荆洪,论电子商务网上支付系统的功能与特点[J],湖北经济学院学报(人文社会科学版)2006(1)
[14]聂捷楠,关于银行网上支付系统的设计研究方案[J],成都医学院学报,2007(2)
在中国银行的网上银行中,使用的IBM公司的技术及产品有以下几类:
(1)安全电子交易付款技术它的功能是:信息保密性,主要通过密码学DFS/RSA加密法来实现。其中RSA用1024位数加密法来加密卡号等,而DES是为加密其他的重要性稍差的信息,例如购买价格、付款方式等;信息真实性和完整性,主要通过采用Hash方法的数字签名技术来保障信息不被改变和假冒;不可否认性,主要通过身份认证来实现,利用具有很高可信度的中间机构来保证。
(2)支付服务器功能是:提供商家与消费者之间、商家与银行之间的对话;管理资金的获取、核定和支付,例如信贷、退款、无效等情况的处理模式;支持多个电子支付协议框架;支持多个商家、多位买方和多种支付网关等。
(3)支付网关支付网关是连接银行专用网络与Internet的一组服务器,主要功能是完成两者之间的通信、协议转换和进行数据的加密及解密,以保护银行内部网络的安全。支付网关的主要功能是:将Internet传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部反馈的响应效益,将数据转换为Internet传送的数据格式,并对其进行加密。
(4)CnmsumerWallet(电子钱包)电子钱包是一个可以由持有人用来进行安全电子交易和储存交易的软件,其功能如下:对信用卡/借记卡和认证实行个人密码保护,提供简单的信用卡/借记卡管理和认证管理的界面,保存个人采购记录,使得客户与使用SET协议的商家服务器建立链接,提供认证和交易管理功能。电子钱包在独立于操作系统之外的应用系统或浏览器帮助应用系统,其标记界面可以实现最终用户按金融机构分配地址。另外,客户也可以嵌入一个附加的RootHash,还可以实现客户自定义的一些功能。
电子商务的发展日新月异,令人目不暇接,但真正决定其发展的是支付方式。电子商务中的“四个流”:商流、信息流、资金流、物流,最核心的是资金流。进入2l世纪,高效准确、快捷安全、全天候、跨区域的商务是人们追求的目标,人们希望在任何时候(Anytime)、任何地方(Anywhere)、使用任何可用的方式(Anyway)得到任何想要的零售服务,也即“3A”消费。而网上支付结算本身具有的全天候全地域优势,是化解传统支付结算方式受时空局限与电子商务所要求的全天候、全地域实时支付结算与信息查询矛盾的唯一解决方案。正是网上支付与结算的革命性创新,才成就了电子商务这个新兴产业过去的产生和今天的飞速发展。如果电子商务仍旧依靠传统的支付结算方式,不能实现实时在线支付,那么这个电子商务只是“虚拟商务”,只是“第四媒体”、电子商情、电子合同,而无法真正实现网上成交。
网上支付的问题突破
网上支付的普及推广具有重大营销价值。一方面可以极大地提高资金流通速度,创造货币流通财富;另一方面也推动了以在线支付为核心的互联网技术和现代金融科技的发展。然而目前电子支付在整个电商领域仍处于次要方式,现金支付仍占所有支付方式的60%以上份额,这对于维护交易双方合法权益、提高货币流通效率、提升客户支付体验、保证政府对电子商务课税与监管等均构成极大的不便,同时也不利于商家营销,必须寻求突破路径。
突破二:简化操作环节,提升客户支付体验。据调查数据显示,目前国内网银的支付成功率约为60%,网络零售平台(站)及网商花费大量金钱和精力获得的订单白白流失。快捷支付通过加强银行和支付宝后台的创新合作,大大简化了网购者支付流程。使用快捷支付的用户无需事先开通网银,只要拥有一张银行卡,根据提示输入卡号等必要信息就可以非常简单、安全地完成网上支付,通过简化环节使得支付成功率达到90%以上。对于网络零售平台(站)来讲,这意味着在不增加其他任何投入的情况下,仅靠支付成功率的提高,就能在原基础上增加30%至50%的实际交易额。
突破三:满足客户“3A”消费与支付需求。移动商务的主要优点之一就是要实现随时随地的商务处理,表现出方便、快捷的特点,这要求支持移动商务开展的支付也应该是可以随时随地处理的,也同样表现出方便快捷的特点。
继卡类支付、网络支付后,手机移动支付俨然成为了新宠。手机支付宝目前拥有4000万用户,与PC电脑在线支付的比例为1∶9,支付宝无线支付单项日交易笔数已经接近二十万笔。手机淘宝平均每小时完成8.3万笔交易,卖出15.5万件商品。今年“双十一”手机淘宝交易额达到9.3亿。
支付大战的营销新机遇
第四批牌照的颁发加剧了行业竞争,支付大战一触即发,同时也是支付行业上扬和企业营销突围的一次重大机遇,更多重量级对手加入进来,支付行业将形成一个完整的产业链,为互联网和移动互联网用户提供更多便捷的生活化服务。第三方支付行业也将迎来更广阔的应用前景。据艾瑞咨询统计,2011年中国支付行业互联网支付业务交易规模达到2.2万亿元,同比增长118.1%;2012年第一季度,这一交易规模达7760亿元,同比增长112.6%。中国第三方支付市场的发展速度可见一斑。
机遇一:第三方支付成为电商蓝海市场。庞大的用户需求和迅猛增长的市场份额,正在使第三方支付脱离网购辅助工具的最初定位而成为电商竞逐的蓝海市场。截止2012年6月,支付宝注册用户突破7亿,日交易额超过45亿元人民币,日交易笔数达到3369万笔,占据互联网第三方支付市场70%的市场份额。排名第二的是腾讯旗下的财付通(tenpay),占据20%的市场份额。
此外,虽然新浪新付通这次未能获得牌照但并未放慢其微博商业化进程,新浪微博正在建立和完善微博的基础设施,如微博信用系统、微博支付系统、微博数据挖掘系统等,并已接入了大量第三方应用,希望将拥有的数亿用户资源和应用实现变现,促使其成为互联网电子商务和娱乐消费的一大入口。
机遇二:数字电视支付开启“电视商城”之门。在第四批支付牌照发放业务类型中,首次出现了“数字电视支付”业务。通过数字电视支付业务,用户可以通过“电视+遥控器”的方式进行银行卡支付,这将为广电行业的电视购物和影视点播业务提供支付可能。“电视商城”则可能成为电子商务的又一入口,智能电视屏成为继电脑、手机“屏”渠道之后,又一新的金融自助支付“屏”渠道。未来,三屏支付互动是商家营销的一个重要方向。
机遇三:新支付解决方案迎来O2O春天。移动支付技术的创新将为企业营销带来新的机遇。NFC、二维码支付、条码支付、语音支付、摇一摇支付等新技术、新方案层出不穷、争奇斗艳。移动互联网诞生的新机遇是O2O,二维码将是线上线下的关键入口。日前,支付宝公司宣布推出自定义二维码收款业务,通过免费领取“向我付款”二维码,消费者只需打开支付宝手机客户端的扫码功能,并拍下二维码,即可跳转至付款页面,在付款成功后,款项将直接到达二维码绑定的支付宝账户中,收款人也会收到短信及客户端通知。