《电子支付行业存在的问题分析.doc》由会员分享,可在线阅读,更多相关《电子支付行业存在的问题分析.doc(6页珍藏版)》请在金锄头文库上搜索。
1、电子支付行业存在的问题分析摘 要:本文介绍了与电子支付行业目前存在的主要问题。认为,研究并解决电子支付存在的问题,对于今后电子支付行业的健康发展具有重要的意义!关键词:电子支付 问题 分析 回顾我国电子商务几年来的发展历程,支付问题始终是制约电子商务发展的一个严重阻碍。而支付问题的核心就是如何保障电子商务交易过程中的支付安全问题。过去人们一直把关注的焦点集中在从技术的角度保障和提高支付安全性,但是支付安全问题不仅仅是一个技术层面上的问题,相比之下,技术因素之外的管理问题、社会问题才是我国目前支付环境中存在的更严重、更需要解决的关键问题。这些技术层面之外的问题主要包括有1:1 安全问题 电子支付
2、的安全问题表现在多个方面:一是信息泄漏。电子支付业务是主要应用互联网进行交易、清算和信息发布的系统。网络存在安全漏洞。无法保证网络中信息的隐秘性。例如:电信从业人员可能利用工作之便,很容易地获取网络中传输的信息;网络攻击者也可以通过搭线等方法,从传输信道窃取信息;二是假冒通信。互联网提供了灵活的数据交换机制,但同时也给假冒通信以可乘之机。网络外的用户,只要将他的设备配置成与网络内的设备相同,就可能欺骗总部,与其进行通信;如果网络外的用户将他的设备配置得与总部的设备相同,并采取一些措施将总部的设备阻塞,他就可以假冒总部,欺骗问络内的所有网点;三是假冒信息,攻击者窃取了网络中传输的信息后,采用一些
3、并不复杂的技术,尤其是在内部人员的配台下,就能进行信息的假冒。 对于以上的各种安全问题,从法律上看,由于网络特殊的跨国性交易特性,除需要业者的自律规范之外,更需要通过各国有关银行或金融的相关法规加以规范。从技术上看,目前在电子商务界,国际上已经形成了一些比较成熟的安全机制,下面我们加以介绍。在技术上,电子支付的安全机制主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括:基于信用卡交易的安全电子交易协议(Secure Electronic Transaction,即SET协议)、用于接入控制的SSL协议(Secure Socket Layer安全套接层)、Net bill协议、
4、安全HTTP(S-HTTP)协议、安全电子邮件协议(如PEM、S/MIME等)、用于公对公交易的Internet EDI等。其中,SET协议和SSL协议正在走向成熟,并广泛应用的两个协议。下面分述之。1.1 SSL安全机制23 SSL协议SSL(Secure Socket Layer)协议,即安全套接层协议,是由Netscape公司研究制定的安全协议,主要用于提高应用程序之间数据的安全性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中
5、采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intranet网络产品的公司已在使用该协议。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)协议。该协议只是对SSL进行少量的改进。SSL的安全服务SSL协议的主要目的是提供Internet 上的安全通信服务,包括:服务器认证:由该服务器向用户展示其所拥有的私人密码,以使用户确信该服
6、务器的身份。使用户确信他是在与自己所欲交易的客户的服务器通讯,而非与其他冒名者交易。客户认证:这是通过服务器鉴别用户,展示其所拥有的私人密码,而确认该客户的身份。完整性鉴别:这一服务确保数据在传输过程中不被恶意篡改。该服务是通过添加整体性检验值来实现的。保密性服务:它是通过对传输的数据进行加密,以免被第三者窃取。对于某些用户的信用卡号码及其他个人账号信息等,如果在传向服务器之前被人窃取,则将造成巨大的损失,所以应对之进行加密。这样,即便第三人将该信息窃取以后,也无法阅读,不能知悉用户的重要信息。SSL模式具有以下优点:可以使用现有的基础设施,持卡人不需要电子钱包软件,成本低较为容易出现。而SS
7、L模式的缺点是:非常不安全;信用卡号码以及相关支付信息对商户可见;不能实现不可否认;商户难以得到128位的SSL,而40位的SSL易被攻破;消费者的银行资料信息送给商家, 消费者无法对商家保密自己的信用卡信息;SSL 是用来保护传输资料的过程安全, 而在传递过程中仍会遭受截取攻击;未提供消费者对商家的认证, 无法保证该商家就是消费者愿与之合作的商家。1.2 SET安全机制23SET(Secure Electronic Transaction)协议,即安全电子交易协议,是一种在因特电子实现安全电子交易的协议标准。SET最初是由世界上最大的两家信用卡组织 VISA和 Master Card合作发起
8、的,它得到了许多著名公司的参与和支持。目前,SET是专为电子支付卡业务安全所制定的唯一的具有现实意义的国际标准。SET协议主要使用的技术包括:对称密钥加密、公钥加密、哈希算法、电子签名、数字信封以及数字证书等技术。其中公钥根据其用途可分为公钥签名密钥和公钥交换密钥,前者用于电子签名,后者用于交换随机生成的对称密钥。SET通过使用公钥和对称密钥方式加密,以保证数据的保密性;通过使用电子签名(结合哈希算法)和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。SET使用多种密钥技术来达到安全交易的要求,其中对称密钥技术、公钥技术和哈希算法是其核心。综合应用以上三种技术产生了电子签名、数
9、字信封、数字证书等。SET协议缺省使用由IBM公司发明的DES标准。 DES将数据分隔成64bit的数据块,用56bit的密钥对其进行一系列的数学变换后产生密文,然后接收者用同一密钥将密文解译成明文。 SET 协议工作流程如下图:图8 SET协议工作流程Figure 8 the use flow of SET agreement 持卡者向电子商家发初始请求, 电子商家产生初始应答;持卡者接受并检查电子商家的初始应答, 如无误, 向电子商家发出购物请求。电子商家接受并检查持卡者的购物请求, 向支付网关发出支付请求。支付网关接受并检查支付请求, 如无误, 向银行发扣款请求。银行向支付网关发送扣款应
10、答。支付网关向电子商家发送支付应答。电子商家接受并检查支付网关的支付应答,如无误, 向持卡者发送购物应答。持卡者接受购物应答, 验证电子商家证书。SET模式具有以下优点:信用卡号码以及相关金融信息对商户不可见,窗户只可检查订单信息,由于参与各方可以在线确认其它各方的身份,因而非常可靠,能够实现不可否认。SET 安全协议存在的问题:协议没有担保非拒绝行为, 在线商家无法证明订单是不是由签署证书的消费者发出的;没有说明收单银行给在线商家付款前是否必须收到消费者接收商品的证书, 如果出现消费者对商家提供的商品不满意, 责任问题就无法落实;没有明确事务处理结束后, 如何安全地保存或销毁此类数据, 是否
11、应当将数据保存在消费者或者在线商家的计算机里,这些漏洞可能使这些数据以后受到潜在的攻击。1.3 SET与SSL的比较安全套接层(SSL)协议是由网景(Netscape)公司提出的一种安全通信协议,它能对信用卡和个人信息提供较强的保护。SET协议比SSL协议复杂,在理论上安全性也更高,因为前者不仅加密两个端点间的单人会话,还可以加密和认定三方的多个信息,而这是SSL协议所未能解决的问题。SET标准的安全程度很高,它结合了数据加密标准(DES)、RSA算法和安全超文本传输协议(S-HTTP),为每一项交易都提供了多层加密。SET也有自己的缺陷,例如目前大多数基于SET的交易都要通过信用卡进行处理。
12、此外SET过于复杂,所以对商户、用户和银行的要求都比较高,推行起来遇到的阻力也比较大。2 观念认识问题支付环境中存在的认识问题其实和中国传统的谨慎思维方式有关。因为对支付环境的安全心存疑虑,使人们更倾向于使用传统支付方式来完成电子商务的资金结算、缺乏主动使用在线支付方式的热情和动力。这种需求不旺的情况反过来又影响了电子商务平台提供商对在线支付方式进一步投入的积极性。供需双方一个“保守”、一个“懒惰”,结果就形成了一个“不安全,所以我不用:你不用,我就不提供”的恶性循环,如此循环下去就很难形成被广泛认同的现代支付体系。传统的支付方式主要是货币、信用卡和支票,这些方式都是看得见摸得着的所谓有形支付
13、。而网上支付主要是数字化货币在网络上的传输和周转,是无形的支付方式,习惯了传统支付方式的人们对此会感到不放心而难以接受。因此要消费者真正使用刚上银行的服务,适应“电子钱包”和“网络货币”这种“看不到,摸不着”的网上支付手段,无疑需要个过程。3 信用问题对于信用问题,以往我国一直提倡以“道德”为准绳,靠人们“自觉”去维持。和西方发达国家相比,我国一直缺乏系统化、制度化的信用体系。然而,电子商务应用中交易双方互不照面、仅在虚拟空间中完成交易过程(特别是支付过程)的特性,在极大地考验着整个社会的诚信。尤其是和在线交易相关的法律问题一直没能彻底解决,人们在电子商务交易过程中违约、欺诈的成本很低,因而和
14、传统商务活动相比,电子商务活动中的信用问题更加突出。信用问题的普遍存在使交易双方难以建立相互的信任,因而宁愿选择传统的支付方式。货到付款能成为目前电子商务应用中主流的支付方式,很大程度上也是因为交易双方对对方信用的否定。4标准化问题无论是传统支付、网上支付还是在线支付,都不可避免地要面对整个支付环境的标准化问题。支付标准的不统一表现在企业、网站、金融机构之间相互独立、各行其是,数据内容、功能种类、技术平台、认证方式等等涉及支付的各个环节都存在着差异,而且彼此之间因为缺乏统一标准而无法实现共享和互连,结果导致整个支付环境混乱不堪,让交易者无所适从,同时也极大地浪费了社会资源。5 法律问题伴随着电
15、子商务应用的日益成熟,相关的法律规范也在逐步建立的过程中,特别是2005年4月1日起中华人民共和国电子签名法的正式颁布实施,为今后在线支付方式的发展提供了一定的法律基础。不过,迄今为止我国还没有专门针对网上支付、移动支付这些新的支付方式而专门适用的法律法规,对于在这些支付方式中可能存在的伪造、更改、注销、刑侦等问题都存在“无法可依”的现象。另外,迄今为止,我国银行开展电子支付业务已经有7年多了,但国内法律法规还不能给电子支付业务发展提供充分的保障,涉及计算机和网络领域的立法工作还相对滞后,缺乏保障网上银行和电子商务活动有效开展的法律框架体系。一些基础性法律尚未出台,而商业银行法、中国人民银行法
16、均未涉及网上银行的业务。目前除了安全法、保密法外,仅有中国人民银行制定的网上银行业务管理暂行办法在起作用。致使银行在可能与客户发生的纠纷中处于无法可依的尴尬境地。此外,对传统交易方式中具有法律效力的合同等如何在电子介质中应用,电子记录如何作为证据等问题均无明确规定。这些会阻碍电子商务支付环境的改善,不利于电子商务应用的更快发展。从各国发展历史来看,信息业立法滞后是全球通弊,目前制约网上支付发展的立法问题,主要包括:由谁来发行电子货币?如何进行网络银行的资格认定?怎样鉴管网络银行的业务?如何对网上犯罪进行制裁?这些问题即使在发达国家也没有得到很好的解决,在我国就显得更为落后一些。电子支付业务的健康发展必须有相应的法律法规来保障,因此国家有关部门应加快立法的步伐,为
