畢業(yè)論文(設(shè)計(jì))-電子支付行業(yè)存在的問題分析

1、電子支付行業(yè)存在的問題分析摘 要：本文介紹了與電子支付行業(yè)目前存在的主要問題。認(rèn)為，研 究并解決電子支付存在的問題，對(duì)于今后電子支付行業(yè)的健康 發(fā)展具有重要的意義！關(guān)鍵詞：電子支付 問題 分析回顧我國(guó)電子商務(wù)幾年來的發(fā)展歷程， 支付問題始終是制約電子商務(wù)發(fā)展的 一個(gè)嚴(yán)重阻礙。而支付問題的核心就是如何保障電子商務(wù)交易過程中的支付安全 問題。過去人們一直把關(guān)注的焦點(diǎn)集中在從技術(shù)的角度保障和提高支付安全性， 但是支付安全問題不僅僅是一個(gè)技術(shù)層面上的問題， 相比之下， 技術(shù)因素之外的 管理問題、 社會(huì)問題才是我國(guó)目前支付環(huán)境中存在的更嚴(yán)重、 更需要解決的關(guān)鍵 問題。這些技術(shù)層面之外的問題主要包括有 1

2、：1 安全問題電子支付的安全問題表現(xiàn)在多個(gè)方面：一是信息泄漏。電子支付業(yè)務(wù)是主要 應(yīng)用互聯(lián)網(wǎng)進(jìn)行交易、 清算和信息發(fā)布的系統(tǒng)。 網(wǎng)絡(luò)存在安全漏洞。 無法保證網(wǎng) 絡(luò)中信息的隱秘性。 例如：電信從業(yè)人員可能利用工作之便， 很容易地獲取網(wǎng)絡(luò) 中傳輸?shù)男畔ⅲ?網(wǎng)絡(luò)攻擊者也可以通過搭線等方法， 從傳輸信道竊取信息； 二是 假冒通信?；ヂ?lián)網(wǎng)提供了靈活的數(shù)據(jù)交換機(jī)制， 但同時(shí)也給假冒通信以可乘之機(jī)。 網(wǎng)絡(luò)外的用戶，只要將他的設(shè)備配置成與網(wǎng)絡(luò)內(nèi)的設(shè)備相同，就可能欺騙總部， 與其進(jìn)行通信； 如果網(wǎng)絡(luò)外的用戶將他的設(shè)備配置得與總部的設(shè)備相同， 并采取 一些措施將總部的設(shè)備阻塞， 他就可以假冒總部， 欺騙問絡(luò)內(nèi)的所

3、有網(wǎng)點(diǎn)； 三是 假冒信息， 攻擊者竊取了網(wǎng)絡(luò)中傳輸?shù)男畔⒑螅?采用一些并不復(fù)雜的技術(shù)， 尤其 是在內(nèi)部人員的配臺(tái)下，就能進(jìn)行信息的假冒。對(duì)于以上的各種安全問題，從法律上看，由于網(wǎng)絡(luò)特殊的跨國(guó)性交易特性， 除需要業(yè)者的自律規(guī)范之外， 更需要通過各國(guó)有關(guān)銀行或金融的相關(guān)法規(guī)加以規(guī) 范。從技術(shù)上看， 目前在電子商務(wù)界， 國(guó)際上已經(jīng)形成了一些比較成熟的安全機(jī) 制，下面我們加以介紹。在技術(shù)上， 電子支付的安全機(jī)制主要是由安全協(xié)議支持的。 目前國(guó)際上流行 的電子商務(wù)所采用的協(xié)議主要包括：基于信用卡交易的安全電子交易協(xié)議（Secure Electronic Transaction，即 SET協(xié)議）、用于接入

4、控制的 SSL協(xié)議（Secure Socket Layer 安全套接層）、Net bill 協(xié)議、安全 HTTP（ S-HTTP 協(xié) 議、安全電子郵件協(xié)議（如 PEM S/MIME等）、用于公對(duì)公交易的In ternet EDI 等。其中，SET協(xié)議和SSL協(xié)議正在走向成熟，并廣泛應(yīng)用的兩個(gè)協(xié)議。下面分 述之。1.1 SSL安全機(jī)制23 SSL 協(xié)議SSL（ Secure Socket Layer ）協(xié)議，即安全套接層協(xié)議，是由 Netscape 公 司研究制定的安全協(xié)議， 主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全性。 該協(xié)議向基 于 TCP/IP 的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、

5、 數(shù)據(jù)完整性及 信息機(jī)密性等安全措施。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換 SSL初始握 手信息來實(shí)現(xiàn)有關(guān)安全特性的審查。在 SSL握手信息中采用了 DES MD5等加密 技術(shù)來實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性， 并采用 X.509 的數(shù)字證書實(shí)現(xiàn)鑒別。 該協(xié)議已 成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)， 并被廣泛應(yīng)用于 Internet 和 Intranet 的服務(wù)器產(chǎn)品和 客戶端產(chǎn)品中。女口 Netscape公司、微軟公司、IBM公司等領(lǐng)導(dǎo)Internet/lntranet 網(wǎng)絡(luò)產(chǎn)品的公司已在使用該協(xié)議。此外，微軟公司和 Visa 機(jī)構(gòu)也共同研究制定 了一種類似于SSL的協(xié)議，這就是PCT專用通信技術(shù)）協(xié)議。該協(xié)議

6、只是對(duì)SSL 進(jìn)行少量的改進(jìn)。SSL的安全服務(wù)SSL協(xié)議的主要目的是提供In ternet 上的安全通信服務(wù)，包括：服務(wù)器認(rèn)證： 由該服務(wù)器向用戶展示其所擁有的私人密碼， 以使用戶確信 該服務(wù)器的身份。 使用戶確信他是在與自己所欲交易的客戶的服務(wù)器通訊， 而非 與其他冒名者交易?？蛻粽J(rèn)證： 這是通過服務(wù)器鑒別用戶， 展示其所擁有的私人密碼， 而確認(rèn) 該客戶的身份。完整性鑒別： 這一服務(wù)確保數(shù)據(jù)在傳輸過程中不被惡意篡改。 該服務(wù)是通 過添加整體性檢驗(yàn)值來實(shí)現(xiàn)的。保密性服務(wù)： 它是通過對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密， 以免被第三者竊取。 對(duì)于 某些用戶的信用卡號(hào)碼及其他個(gè)人賬號(hào)信息等，如果在傳向服務(wù)器之前被

7、人竊 取，則將造成巨大的損失，所以應(yīng)對(duì)之進(jìn)行加密。這樣，即便第三人將該信息竊 取以后，也無法閱讀，不能知悉用戶的重要信息。SSL模式具有以下優(yōu)點(diǎn)：可以使用現(xiàn)有的基礎(chǔ)設(shè)施，持卡人不需要電子錢包 軟件，成本低較為容易出現(xiàn)。而SSL模式的缺點(diǎn)是：非常不安全；信用卡號(hào)碼以及相關(guān)支付信息對(duì)商戶可 見；不能實(shí)現(xiàn)不可否認(rèn)；商戶難以得到128位的SSL，而40位的SSL易被攻破；消 費(fèi)者的銀行資料信息送給商家， 消費(fèi)者無法對(duì)商家保密自己的信用卡信息； SSL 是用來保護(hù)傳輸資料的過程安全， 而在傳遞過程中仍會(huì)遭受截取攻擊；未提供 消費(fèi)者對(duì)商家的認(rèn)證， 無法保證該商家就是消費(fèi)者愿與之合作的商家。1.2 SET

8、安全機(jī)制 23SET（Secure Electronic Transaction ）協(xié)議，即安全電子交易協(xié)議，是一 種在因特電子實(shí)現(xiàn)安全電子交易的協(xié)議標(biāo)準(zhǔn)。SET最初是由世界上最大的兩家信用卡組織VISA和Master Card合作發(fā)起的，它得到了許多著名公司的參與和支 持。目前，SET是專為電子支付卡業(yè)務(wù)安全所制定的唯一的具有現(xiàn)實(shí)意義的國(guó)際 標(biāo)準(zhǔn)。SET協(xié)議主要使用的技術(shù)包括：對(duì)稱密鑰加密、公鑰加密、哈希算法、電 子簽名、數(shù)字信封以及數(shù)字證書等技術(shù)。 其中公鑰根據(jù)其用途可分為公鑰簽名密 鑰和公鑰交換密鑰， 前者用于電子簽名， 后者用于交換隨機(jī)生成的對(duì)稱密鑰。 SET 通過使用公鑰和對(duì)稱密鑰方

9、式加密， 以保證數(shù)據(jù)的保密性； 通過使用電子簽名（結(jié) 合哈希算法） 和數(shù)字證書實(shí)現(xiàn)交易各方的身份認(rèn)證、 數(shù)據(jù)的完整性和交易的不可 否認(rèn)性。SET使用多種密鑰技術(shù)來達(dá)到安全交易的要求，其中對(duì)稱密鑰技術(shù)、公 鑰技術(shù)和哈希算法是其核心。 綜合應(yīng)用以上三種技術(shù)產(chǎn)生了電子簽名、 數(shù)字信封、 數(shù)字證書等。SET協(xié)議缺省使用由IBM公司發(fā)明的DES標(biāo)準(zhǔn)。DES將數(shù)據(jù)分隔成 64bit 的數(shù)據(jù)塊，用 56bit 的密鑰對(duì)其進(jìn)行一系列的數(shù)學(xué)變換后產(chǎn)生密文，然后 接收者用同一密鑰將密文解譯成明文。SET 協(xié)議工作流程如下圖：專用網(wǎng)3扣款應(yīng)答3）扣款請(qǐng)求支付網(wǎng)關(guān)支材請(qǐng)求圖8 SET協(xié)議工作流程Figure 8 th

10、e use flow of SET agreeme nt持卡者向電子商家發(fā)初始請(qǐng)求，電子商家產(chǎn)生初始應(yīng)答；持卡者接受并檢查電子商家的初始應(yīng)答，如無誤，向電子商家發(fā)出購物請(qǐng)求。電子商家接受并檢查持卡者的購物請(qǐng)求，向支付網(wǎng)關(guān)發(fā)出支付請(qǐng)求。支付網(wǎng)關(guān)接受并檢查支付請(qǐng)求，如無誤，向銀行發(fā)扣款請(qǐng)求。銀行向支付網(wǎng)關(guān)發(fā)送扣款應(yīng)答。支付網(wǎng)關(guān)向電子商家發(fā)送支付應(yīng)答。電子商家接受并檢查支付網(wǎng)關(guān)的支付應(yīng)答，如無誤，向持卡者發(fā)送購物應(yīng)答。持卡者接受購物應(yīng)答，驗(yàn)證電子商家證書。SET模式具有以下優(yōu)點(diǎn)：信用卡號(hào)碼以及相關(guān)金融信息對(duì)商戶不可見，窗戶 只可檢查訂單信息，由于參與各方可以在線確認(rèn)其它各方的身份，因而非常可靠，能夠

11、實(shí)現(xiàn)不可否認(rèn)。SET安全協(xié)議存在的問題：協(xié)議沒有擔(dān)保非拒絕行為，在線商家無法證明訂單是不是由簽署證書的消費(fèi)者發(fā)出的；沒有說明收單銀行給在線商家付款前是 否必須收到消費(fèi)者接收商品的證書，如果出現(xiàn)消費(fèi)者對(duì)商家提供的商品不滿意，責(zé)任問題就無法落實(shí)；沒有明確事務(wù)處理結(jié)束后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者或者在線商家的計(jì)算機(jī)里，這些漏洞可能 使這些數(shù)據(jù)以后受到潛在的攻擊。1.3 SET與SSL勺比較安全套接層（SSL協(xié)議是由網(wǎng)景（Netscape）公司提出的一種安全通信 協(xié)議，它能對(duì)信用卡和個(gè)人信息提供較強(qiáng)的保護(hù)。SET協(xié)議比SSL協(xié)議復(fù)雜，在理論上安全性也更高，因?yàn)榍罢卟粌H加

12、密兩 個(gè)端點(diǎn)間的單人會(huì)話，還可以加密和認(rèn)定三方的多個(gè)信息， 而這是SSL協(xié)議所未 能解決的問題。SET標(biāo)準(zhǔn)的安全程度很高，它結(jié)合了數(shù)據(jù)加密標(biāo)準(zhǔn)（DES、RSA 算法和安全超文本傳輸協(xié)議（S-HTTP，為每一項(xiàng)交易都提供了多層加密。SET也有自己的缺陷，例如目前大多數(shù)基于SET的交易都要通過信用卡進(jìn) 行處理。此外SET過于復(fù)雜，所以對(duì)商戶、用戶和銀行的要求都比較高，推行起 來遇到的阻力也比較大。2 觀念認(rèn)識(shí)問題支付環(huán)境中存在的認(rèn)識(shí)問題其實(shí)和中國(guó)傳統(tǒng)的謹(jǐn)慎思維方式有關(guān)。 因?yàn)閷?duì)支 付環(huán)境的安全心存疑慮， 使人們更傾向于使用傳統(tǒng)支付方式來完成電子商務(wù)的資 金結(jié)算、缺乏主動(dòng)使用在線支付方式的熱情和動(dòng)力

13、。 這種需求不旺的情況反過來 又影響了電子商務(wù)平臺(tái)提供商對(duì)在線支付方式進(jìn)一步投入的積極性。 供需雙方一 個(gè)“保守”、一個(gè)“懶惰”， 結(jié)果就形成了一個(gè)“不安全， 所以我不用：你不用， 我就不提供”的惡性循環(huán)，如此循環(huán)下去就很難形成被廣泛認(rèn)同的現(xiàn)代支付體 系。傳統(tǒng)的支付方式主要是貨幣、 信用卡和支票， 這些方式都是看得見摸得著的 所謂有形支付。 而網(wǎng)上支付主要是數(shù)字化貨幣在網(wǎng)絡(luò)上的傳輸和周轉(zhuǎn)， 是無形的 支付方式， 習(xí)慣了傳統(tǒng)支付方式的人們對(duì)此會(huì)感到不放心而難以接受。 因此要消 費(fèi)者真正使用剛上銀行的服務(wù)， 適應(yīng)“電子錢包” 和“網(wǎng)絡(luò)貨幣”這種“看不到， 摸不著”的網(wǎng)上支付手段，無疑需要個(gè)過程。3

14、 信用問題對(duì)于信用問題， 以往我國(guó)一直提倡以“道德”為準(zhǔn)繩， 靠人們“自覺”去維 持。和西方發(fā)達(dá)國(guó)家相比，我國(guó)一直缺乏系統(tǒng)化、制度化的信用體系。然而，電 子商務(wù)應(yīng)用中交易雙方互不照面、 僅在虛擬空間中完成交易過程 （特別是支付過 程）的特性， 在極大地考驗(yàn)著整個(gè)社會(huì)的誠(chéng)信。 尤其是和在線交易相關(guān)的法律問 題一直沒能徹底解決， 人們?cè)陔娮由虅?wù)交易過程中違約、 欺詐的成本很低， 因而 和傳統(tǒng)商務(wù)活動(dòng)相比， 電子商務(wù)活動(dòng)中的信用問題更加突出。 信用問題的普遍存 在使交易雙方難以建立相互的信任， 因而寧愿選擇傳統(tǒng)的支付方式。 貨到付款能 成為目前電子商務(wù)應(yīng)用中主流的支付方式， 很大程度上也是因?yàn)榻灰纂p

15、方對(duì)對(duì)方 信用的否定。4 標(biāo)準(zhǔn)化問題無論是傳統(tǒng)支付、 網(wǎng)上支付還是在線支付， 都不可避免地要面對(duì)整個(gè)支付環(huán) 境的標(biāo)準(zhǔn)化問題。 支付標(biāo)準(zhǔn)的不統(tǒng)一表現(xiàn)在企業(yè)、 網(wǎng)站、金融機(jī)構(gòu)之間相互獨(dú)立、 各行其是，數(shù)據(jù)內(nèi)容、功能種類、技術(shù)平臺(tái)、認(rèn)證方式等等涉及支付的各個(gè)環(huán)節(jié) 都存在著差異， 而且彼此之間因?yàn)槿狈y(tǒng)一標(biāo)準(zhǔn)而無法實(shí)現(xiàn)共享和互連， 結(jié)果導(dǎo) 致整個(gè)支付環(huán)境混亂不堪，讓交易者無所適從，同時(shí)也極大地浪費(fèi)了社會(huì)資源。5 法律問題伴隨著電子商務(wù)應(yīng)用的日益成熟，相關(guān)的法律規(guī)范也在逐步建立的過程中， 特別是 2005年 4月 1 日起中華人民共和國(guó)電子簽名法的正式頒布實(shí)施，為 今后在線支付方式的發(fā)展提供了一定的法律

16、基礎(chǔ)。 不過，迄今為止我國(guó)還沒有專 門針對(duì)網(wǎng)上支付、 移動(dòng)支付這些新的支付方式而專門適用的法律法規(guī)， 對(duì)于在這 些支付方式中可能存在的偽造、 更改、 注銷、 刑偵等問題都存在“無法可依”的 現(xiàn)象。另外，迄今為止，我國(guó)銀行開展電子支付業(yè)務(wù)已經(jīng)有 7 年多了，但國(guó)內(nèi)法 律法規(guī)還不能給電子支付業(yè)務(wù)發(fā)展提供充分的保障， 涉及計(jì)算機(jī)和網(wǎng)絡(luò)領(lǐng)域的立 法工作還相對(duì)滯后，缺乏保障網(wǎng)上銀行和電子商務(wù)活動(dòng)有效開展的法律框架體 系。一些基礎(chǔ)性法律尚未出臺(tái)，而商業(yè)銀行法、中國(guó)人民銀行法均未涉及 網(wǎng)上銀行的業(yè)務(wù)。目前除了安全法、保密法外，僅有中國(guó)人民銀行制定的網(wǎng)上銀行業(yè)務(wù)管理暫行辦法在起作用。致使銀行在可能與客戶發(fā)生的

17、糾紛中 處于無法可依的尷尬境地。此外，對(duì)傳統(tǒng)交易方式中具有法律效力的合同等如何 在電子介質(zhì)中應(yīng)用，電子記錄如何作為證據(jù)等問題均無明確規(guī)定。 這些會(huì)阻礙電 子商務(wù)支付環(huán)境的改善，不利于電子商務(wù)應(yīng)用的更快發(fā)展。從各國(guó)發(fā)展歷史來看，信息業(yè)立法滯后是全球通弊，目前制約網(wǎng)上支付發(fā)展 的立法問題，主要包括：由誰來發(fā)行電子貨幣 ？如何進(jìn)行網(wǎng)絡(luò)銀行的資格認(rèn)定 ？ 怎樣鑒管網(wǎng)絡(luò)銀行的業(yè)務(wù)？如何對(duì)網(wǎng)上犯罪進(jìn)行制裁 ？這些問題即使在發(fā)達(dá)國(guó)家 也沒有得到很好的解決，在我國(guó)就顯得更為落后一些。電子支付業(yè)務(wù)的健康發(fā)展必須有相應(yīng)的法律法規(guī)來保障，因此國(guó)家有關(guān)部門應(yīng)加快立法的步伐，為電子支付的持續(xù)發(fā)展提供健全的法律保障體系和

18、服務(wù)支持 體系。一是我國(guó)政府有關(guān)部門應(yīng)就網(wǎng)上銀行的通訊安全、控制權(quán)的法制責(zé)任、存款保險(xiǎn)、保護(hù)措施和爭(zhēng)端的適應(yīng)條文等冋題加以立法。二是制定有關(guān)數(shù)字化，電子貨幣的發(fā)行、支付與管理的制度以及電子支付業(yè)務(wù)結(jié)算、 電子設(shè)備使用等標(biāo)準(zhǔn)。 為給電子支付發(fā)展一個(gè)規(guī)范、明確的法律環(huán)境，立法機(jī)關(guān)要密切關(guān)注電子支付業(yè) 務(wù)的最新發(fā)展和科技創(chuàng)新，集中力量研究、制定與完善自關(guān)的法律法規(guī)，比如加 密法、電子證據(jù)法等。要明確定義電子交易各方（消費(fèi)者、商家、銀行、CA中心） 的權(quán)利和義務(wù)，明確法律判決的依據(jù)。6結(jié)論可以說支付手段的電子化，即實(shí)現(xiàn)電子支付是支持電子商務(wù)產(chǎn)業(yè)持續(xù)健康發(fā) 展的重要?jiǎng)恿σ蛩刂?。但是目前?guó)內(nèi)電子支付的發(fā)展還存在許多問題， 這些問 題制約了電子支付的實(shí)現(xiàn)和人們使用電子支付的信心。研究目前電子支付行業(yè)存在的問題， 提出解決這些問題的方法及建議，對(duì)于 今后電子支付行業(yè)的健康發(fā)展具有重要的意義！參考資料1 Uited Nati ons website.U nited Nati ons Conference on Trade andDevelopme nt. I nformati on Economy Report 2005，http:/www.u /T