畢業(yè)論文(設(shè)計)-電子支付行業(yè)存在的問題分析

1、電子支付行業(yè)存在的問題分析摘 要：本文介紹了與電子支付行業(yè)目前存在的主要問題。認(rèn)為，研 究并解決電子支付存在的問題，對于今后電子支付行業(yè)的健康 發(fā)展具有重要的意義！關(guān)鍵詞：電子支付 問題 分析回顧我國電子商務(wù)幾年來的發(fā)展歷程， 支付問題始終是制約電子商務(wù)發(fā)展的 一個嚴(yán)重阻礙。而支付問題的核心就是如何保障電子商務(wù)交易過程中的支付安全 問題。過去人們一直把關(guān)注的焦點(diǎn)集中在從技術(shù)的角度保障和提高支付安全性， 但是支付安全問題不僅僅是一個技術(shù)層面上的問題， 相比之下， 技術(shù)因素之外的 管理問題、 社會問題才是我國目前支付環(huán)境中存在的更嚴(yán)重、 更需要解決的關(guān)鍵 問題。這些技術(shù)層面之外的問題主要包括有 1

2、：1 安全問題電子支付的安全問題表現(xiàn)在多個方面：一是信息泄漏。電子支付業(yè)務(wù)是主要 應(yīng)用互聯(lián)網(wǎng)進(jìn)行交易、 清算和信息發(fā)布的系統(tǒng)。 網(wǎng)絡(luò)存在安全漏洞。 無法保證網(wǎng) 絡(luò)中信息的隱秘性。 例如：電信從業(yè)人員可能利用工作之便， 很容易地獲取網(wǎng)絡(luò) 中傳輸?shù)男畔ⅲ?網(wǎng)絡(luò)攻擊者也可以通過搭線等方法， 從傳輸信道竊取信息； 二是 假冒通信?；ヂ?lián)網(wǎng)提供了靈活的數(shù)據(jù)交換機(jī)制， 但同時也給假冒通信以可乘之機(jī)。 網(wǎng)絡(luò)外的用戶，只要將他的設(shè)備配置成與網(wǎng)絡(luò)內(nèi)的設(shè)備相同，就可能欺騙總部， 與其進(jìn)行通信； 如果網(wǎng)絡(luò)外的用戶將他的設(shè)備配置得與總部的設(shè)備相同， 并采取 一些措施將總部的設(shè)備阻塞， 他就可以假冒總部， 欺騙問絡(luò)內(nèi)的所

3、有網(wǎng)點(diǎn)； 三是 假冒信息， 攻擊者竊取了網(wǎng)絡(luò)中傳輸?shù)男畔⒑螅?采用一些并不復(fù)雜的技術(shù)， 尤其 是在內(nèi)部人員的配臺下，就能進(jìn)行信息的假冒。對于以上的各種安全問題，從法律上看，由于網(wǎng)絡(luò)特殊的跨國性交易特性， 除需要業(yè)者的自律規(guī)范之外， 更需要通過各國有關(guān)銀行或金融的相關(guān)法規(guī)加以規(guī) 范。從技術(shù)上看， 目前在電子商務(wù)界， 國際上已經(jīng)形成了一些比較成熟的安全機(jī) 制，下面我們加以介紹。在技術(shù)上， 電子支付的安全機(jī)制主要是由安全協(xié)議支持的。 目前國際上流行 的電子商務(wù)所采用的協(xié)議主要包括：基于信用卡交易的安全電子交易協(xié)議（Secure Electronic Transaction，即 SET協(xié)議）、用于接入

4、控制的 SSL協(xié)議（Secure Socket Layer 安全套接層）、Net bill 協(xié)議、安全 HTTP（ S-HTTP 協(xié) 議、安全電子郵件協(xié)議（如 PEM S/MIME等）、用于公對公交易的In ternet EDI 等。其中，SET協(xié)議和SSL協(xié)議正在走向成熟，并廣泛應(yīng)用的兩個協(xié)議。下面分 述之。1.1 SSL安全機(jī)制23 SSL 協(xié)議SSL（ Secure Socket Layer ）協(xié)議，即安全套接層協(xié)議，是由 Netscape 公 司研究制定的安全協(xié)議， 主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全性。 該協(xié)議向基 于 TCP/IP 的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、

5、 數(shù)據(jù)完整性及 信息機(jī)密性等安全措施。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換 SSL初始握 手信息來實(shí)現(xiàn)有關(guān)安全特性的審查。在 SSL握手信息中采用了 DES MD5等加密 技術(shù)來實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性， 并采用 X.509 的數(shù)字證書實(shí)現(xiàn)鑒別。 該協(xié)議已 成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)， 并被廣泛應(yīng)用于 Internet 和 Intranet 的服務(wù)器產(chǎn)品和 客戶端產(chǎn)品中。女口 Netscape公司、微軟公司、IBM公司等領(lǐng)導(dǎo)Internet/lntranet 網(wǎng)絡(luò)產(chǎn)品的公司已在使用該協(xié)議。此外，微軟公司和 Visa 機(jī)構(gòu)也共同研究制定 了一種類似于SSL的協(xié)議，這就是PCT專用通信技術(shù)）協(xié)議。該協(xié)議

6、只是對SSL 進(jìn)行少量的改進(jìn)。SSL的安全服務(wù)SSL協(xié)議的主要目的是提供In ternet 上的安全通信服務(wù)，包括：服務(wù)器認(rèn)證： 由該服務(wù)器向用戶展示其所擁有的私人密碼， 以使用戶確信 該服務(wù)器的身份。 使用戶確信他是在與自己所欲交易的客戶的服務(wù)器通訊， 而非 與其他冒名者交易。客戶認(rèn)證： 這是通過服務(wù)器鑒別用戶， 展示其所擁有的私人密碼， 而確認(rèn) 該客戶的身份。完整性鑒別： 這一服務(wù)確保數(shù)據(jù)在傳輸過程中不被惡意篡改。 該服務(wù)是通 過添加整體性檢驗(yàn)值來實(shí)現(xiàn)的。保密性服務(wù)： 它是通過對傳輸?shù)臄?shù)據(jù)進(jìn)行加密， 以免被第三者竊取。 對于 某些用戶的信用卡號碼及其他個人賬號信息等，如果在傳向服務(wù)器之前被

7、人竊 取，則將造成巨大的損失，所以應(yīng)對之進(jìn)行加密。這樣，即便第三人將該信息竊 取以后，也無法閱讀，不能知悉用戶的重要信息。SSL模式具有以下優(yōu)點(diǎn)：可以使用現(xiàn)有的基礎(chǔ)設(shè)施，持卡人不需要電子錢包 軟件，成本低較為容易出現(xiàn)。而SSL模式的缺點(diǎn)是：非常不安全；信用卡號碼以及相關(guān)支付信息對商戶可 見；不能實(shí)現(xiàn)不可否認(rèn)；商戶難以得到128位的SSL，而40位的SSL易被攻破；消 費(fèi)者的銀行資料信息送給商家， 消費(fèi)者無法對商家保密自己的信用卡信息； SSL 是用來保護(hù)傳輸資料的過程安全， 而在傳遞過程中仍會遭受截取攻擊；未提供 消費(fèi)者對商家的認(rèn)證， 無法保證該商家就是消費(fèi)者愿與之合作的商家。1.2 SET

8、安全機(jī)制 23SET（Secure Electronic Transaction ）協(xié)議，即安全電子交易協(xié)議，是一 種在因特電子實(shí)現(xiàn)安全電子交易的協(xié)議標(biāo)準(zhǔn)。SET最初是由世界上最大的兩家信用卡組織VISA和Master Card合作發(fā)起的，它得到了許多著名公司的參與和支 持。目前，SET是專為電子支付卡業(yè)務(wù)安全所制定的唯一的具有現(xiàn)實(shí)意義的國際 標(biāo)準(zhǔn)。SET協(xié)議主要使用的技術(shù)包括：對稱密鑰加密、公鑰加密、哈希算法、電 子簽名、數(shù)字信封以及數(shù)字證書等技術(shù)。 其中公鑰根據(jù)其用途可分為公鑰簽名密 鑰和公鑰交換密鑰， 前者用于電子簽名， 后者用于交換隨機(jī)生成的對稱密鑰。 SET 通過使用公鑰和對稱密鑰方

9、式加密， 以保證數(shù)據(jù)的保密性； 通過使用電子簽名（結(jié) 合哈希算法） 和數(shù)字證書實(shí)現(xiàn)交易各方的身份認(rèn)證、 數(shù)據(jù)的完整性和交易的不可 否認(rèn)性。SET使用多種密鑰技術(shù)來達(dá)到安全交易的要求，其中對稱密鑰技術(shù)、公 鑰技術(shù)和哈希算法是其核心。 綜合應(yīng)用以上三種技術(shù)產(chǎn)生了電子簽名、 數(shù)字信封、 數(shù)字證書等。SET協(xié)議缺省使用由IBM公司發(fā)明的DES標(biāo)準(zhǔn)。DES將數(shù)據(jù)分隔成 64bit 的數(shù)據(jù)塊，用 56bit 的密鑰對其進(jìn)行一系列的數(shù)學(xué)變換后產(chǎn)生密文，然后 接收者用同一密鑰將密文解譯成明文。SET 協(xié)議工作流程如下圖：專用網(wǎng)3扣款應(yīng)答3）扣款請求支付網(wǎng)關(guān)支材請求圖8 SET協(xié)議工作流程Figure 8 th

10、e use flow of SET agreeme nt持卡者向電子商家發(fā)初始請求，電子商家產(chǎn)生初始應(yīng)答；持卡者接受并檢查電子商家的初始應(yīng)答，如無誤，向電子商家發(fā)出購物請求。電子商家接受并檢查持卡者的購物請求，向支付網(wǎng)關(guān)發(fā)出支付請求。支付網(wǎng)關(guān)接受并檢查支付請求，如無誤，向銀行發(fā)扣款請求。銀行向支付網(wǎng)關(guān)發(fā)送扣款應(yīng)答。支付網(wǎng)關(guān)向電子商家發(fā)送支付應(yīng)答。電子商家接受并檢查支付網(wǎng)關(guān)的支付應(yīng)答，如無誤，向持卡者發(fā)送購物應(yīng)答。持卡者接受購物應(yīng)答，驗(yàn)證電子商家證書。SET模式具有以下優(yōu)點(diǎn)：信用卡號碼以及相關(guān)金融信息對商戶不可見，窗戶 只可檢查訂單信息，由于參與各方可以在線確認(rèn)其它各方的身份，因而非?？煽?，能夠

11、實(shí)現(xiàn)不可否認(rèn)。SET安全協(xié)議存在的問題：協(xié)議沒有擔(dān)保非拒絕行為，在線商家無法證明訂單是不是由簽署證書的消費(fèi)者發(fā)出的；沒有說明收單銀行給在線商家付款前是 否必須收到消費(fèi)者接收商品的證書，如果出現(xiàn)消費(fèi)者對商家提供的商品不滿意，責(zé)任問題就無法落實(shí)；沒有明確事務(wù)處理結(jié)束后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者或者在線商家的計算機(jī)里，這些漏洞可能 使這些數(shù)據(jù)以后受到潛在的攻擊。1.3 SET與SSL勺比較安全套接層（SSL協(xié)議是由網(wǎng)景（Netscape）公司提出的一種安全通信 協(xié)議，它能對信用卡和個人信息提供較強(qiáng)的保護(hù)。SET協(xié)議比SSL協(xié)議復(fù)雜，在理論上安全性也更高，因?yàn)榍罢卟粌H加

12、密兩 個端點(diǎn)間的單人會話，還可以加密和認(rèn)定三方的多個信息， 而這是SSL協(xié)議所未 能解決的問題。SET標(biāo)準(zhǔn)的安全程度很高，它結(jié)合了數(shù)據(jù)加密標(biāo)準(zhǔn)（DES、RSA 算法和安全超文本傳輸協(xié)議（S-HTTP，為每一項(xiàng)交易都提供了多層加密。SET也有自己的缺陷，例如目前大多數(shù)基于SET的交易都要通過信用卡進(jìn) 行處理。此外SET過于復(fù)雜，所以對商戶、用戶和銀行的要求都比較高，推行起 來遇到的阻力也比較大。2 觀念認(rèn)識問題支付環(huán)境中存在的認(rèn)識問題其實(shí)和中國傳統(tǒng)的謹(jǐn)慎思維方式有關(guān)。 因?yàn)閷χ?付環(huán)境的安全心存疑慮， 使人們更傾向于使用傳統(tǒng)支付方式來完成電子商務(wù)的資 金結(jié)算、缺乏主動使用在線支付方式的熱情和動力

13、。 這種需求不旺的情況反過來 又影響了電子商務(wù)平臺提供商對在線支付方式進(jìn)一步投入的積極性。 供需雙方一 個“保守”、一個“懶惰”， 結(jié)果就形成了一個“不安全， 所以我不用：你不用， 我就不提供”的惡性循環(huán)，如此循環(huán)下去就很難形成被廣泛認(rèn)同的現(xiàn)代支付體 系。傳統(tǒng)的支付方式主要是貨幣、 信用卡和支票， 這些方式都是看得見摸得著的 所謂有形支付。 而網(wǎng)上支付主要是數(shù)字化貨幣在網(wǎng)絡(luò)上的傳輸和周轉(zhuǎn)， 是無形的 支付方式， 習(xí)慣了傳統(tǒng)支付方式的人們對此會感到不放心而難以接受。 因此要消 費(fèi)者真正使用剛上銀行的服務(wù)， 適應(yīng)“電子錢包” 和“網(wǎng)絡(luò)貨幣”這種“看不到， 摸不著”的網(wǎng)上支付手段，無疑需要個過程。3

14、 信用問題對于信用問題， 以往我國一直提倡以“道德”為準(zhǔn)繩， 靠人們“自覺”去維 持。和西方發(fā)達(dá)國家相比，我國一直缺乏系統(tǒng)化、制度化的信用體系。然而，電 子商務(wù)應(yīng)用中交易雙方互不照面、 僅在虛擬空間中完成交易過程 （特別是支付過 程）的特性， 在極大地考驗(yàn)著整個社會的誠信。 尤其是和在線交易相關(guān)的法律問 題一直沒能徹底解決， 人們在電子商務(wù)交易過程中違約、 欺詐的成本很低， 因而 和傳統(tǒng)商務(wù)活動相比， 電子商務(wù)活動中的信用問題更加突出。 信用問題的普遍存 在使交易雙方難以建立相互的信任， 因而寧愿選擇傳統(tǒng)的支付方式。 貨到付款能 成為目前電子商務(wù)應(yīng)用中主流的支付方式， 很大程度上也是因?yàn)榻灰纂p

15、方對對方 信用的否定。4 標(biāo)準(zhǔn)化問題無論是傳統(tǒng)支付、 網(wǎng)上支付還是在線支付， 都不可避免地要面對整個支付環(huán) 境的標(biāo)準(zhǔn)化問題。 支付標(biāo)準(zhǔn)的不統(tǒng)一表現(xiàn)在企業(yè)、 網(wǎng)站、金融機(jī)構(gòu)之間相互獨(dú)立、 各行其是，數(shù)據(jù)內(nèi)容、功能種類、技術(shù)平臺、認(rèn)證方式等等涉及支付的各個環(huán)節(jié) 都存在著差異， 而且彼此之間因?yàn)槿狈y(tǒng)一標(biāo)準(zhǔn)而無法實(shí)現(xiàn)共享和互連， 結(jié)果導(dǎo) 致整個支付環(huán)境混亂不堪，讓交易者無所適從，同時也極大地浪費(fèi)了社會資源。5 法律問題伴隨著電子商務(wù)應(yīng)用的日益成熟，相關(guān)的法律規(guī)范也在逐步建立的過程中， 特別是 2005年 4月 1 日起中華人民共和國電子簽名法的正式頒布實(shí)施，為 今后在線支付方式的發(fā)展提供了一定的法律

16、基礎(chǔ)。 不過，迄今為止我國還沒有專 門針對網(wǎng)上支付、 移動支付這些新的支付方式而專門適用的法律法規(guī)， 對于在這 些支付方式中可能存在的偽造、 更改、 注銷、 刑偵等問題都存在“無法可依”的 現(xiàn)象。另外，迄今為止，我國銀行開展電子支付業(yè)務(wù)已經(jīng)有 7 年多了，但國內(nèi)法 律法規(guī)還不能給電子支付業(yè)務(wù)發(fā)展提供充分的保障， 涉及計算機(jī)和網(wǎng)絡(luò)領(lǐng)域的立 法工作還相對滯后，缺乏保障網(wǎng)上銀行和電子商務(wù)活動有效開展的法律框架體 系。一些基礎(chǔ)性法律尚未出臺，而商業(yè)銀行法、中國人民銀行法均未涉及 網(wǎng)上銀行的業(yè)務(wù)。目前除了安全法、保密法外，僅有中國人民銀行制定的網(wǎng)上銀行業(yè)務(wù)管理暫行辦法在起作用。致使銀行在可能與客戶發(fā)生的

17、糾紛中 處于無法可依的尷尬境地。此外，對傳統(tǒng)交易方式中具有法律效力的合同等如何 在電子介質(zhì)中應(yīng)用，電子記錄如何作為證據(jù)等問題均無明確規(guī)定。 這些會阻礙電 子商務(wù)支付環(huán)境的改善，不利于電子商務(wù)應(yīng)用的更快發(fā)展。從各國發(fā)展歷史來看，信息業(yè)立法滯后是全球通弊，目前制約網(wǎng)上支付發(fā)展 的立法問題，主要包括：由誰來發(fā)行電子貨幣 ？如何進(jìn)行網(wǎng)絡(luò)銀行的資格認(rèn)定 ？ 怎樣鑒管網(wǎng)絡(luò)銀行的業(yè)務(wù)？如何對網(wǎng)上犯罪進(jìn)行制裁 ？這些問題即使在發(fā)達(dá)國家 也沒有得到很好的解決，在我國就顯得更為落后一些。電子支付業(yè)務(wù)的健康發(fā)展必須有相應(yīng)的法律法規(guī)來保障，因此國家有關(guān)部門應(yīng)加快立法的步伐，為電子支付的持續(xù)發(fā)展提供健全的法律保障體系和

18、服務(wù)支持 體系。一是我國政府有關(guān)部門應(yīng)就網(wǎng)上銀行的通訊安全、控制權(quán)的法制責(zé)任、存款保險、保護(hù)措施和爭端的適應(yīng)條文等冋題加以立法。二是制定有關(guān)數(shù)字化，電子貨幣的發(fā)行、支付與管理的制度以及電子支付業(yè)務(wù)結(jié)算、 電子設(shè)備使用等標(biāo)準(zhǔn)。 為給電子支付發(fā)展一個規(guī)范、明確的法律環(huán)境，立法機(jī)關(guān)要密切關(guān)注電子支付業(yè) 務(wù)的最新發(fā)展和科技創(chuàng)新，集中力量研究、制定與完善自關(guān)的法律法規(guī)，比如加 密法、電子證據(jù)法等。要明確定義電子交易各方（消費(fèi)者、商家、銀行、CA中心） 的權(quán)利和義務(wù)，明確法律判決的依據(jù)。6結(jié)論可以說支付手段的電子化，即實(shí)現(xiàn)電子支付是支持電子商務(wù)產(chǎn)業(yè)持續(xù)健康發(fā) 展的重要動力因素之一。但是目前國內(nèi)電子支付的發(fā)展還存在許多問題， 這些問 題制約了電子支付的實(shí)現(xiàn)和人們使用電子支付的信心。研究目前電子支付行業(yè)存在的問題， 提出解決這些問題的方法及建議，對于 今后電子支付行業(yè)的健康發(fā)展具有重要的意義！參考資料1 Uited Nati ons website.U nited Nati ons Conference on Trade andDevelopme nt. I nformati on Economy Report 2005，http:/www.u /T