电子支付安全性研究.docx

1、电子支付安全性研究电子支付安全性研究摘要：随着我国网络普及率的提高和我国网民数量的飞速增长，Internet和电子商务的不断发展，以数字化和网络化为基础的在线支付模式越来越得到认可。网上购物越来越成为网民日常生活中不可或缺的一部分。然而，如何保障虚拟的网络上的资金安全，成了一个棘手的问题，第三方电子支付工具的出现，无疑是解决这一问题的良方。但是，第三方电子支付工具自身的安全性问题也日益凸显，而提高该平台的安全性对于提升网民网购的积极性有着至关重要的作用。本文介绍第三方电子支付通用的支付流程，分析这其中可能存在的安全隐患，并给出相应对策。关键词：电子支付 支付宝 安全性 电子商务The rese

2、arch of the electronic payments safetyAbstract :The pattern of online payments based on digital and network is recognized gradually with the popularity of internet improving ,the number of netizens growing rapidly and the development of internet and e-commerce Continuously in China. Today, shopping

3、online becomes one of indispensable parts of humen life. Meanwhile, how to protect the security of funds on the virtual network becomes a troublesome issue.The emergence of third-party electronic payment instruments is good way to solve this problem undoubtedly. However how to ensure the security of

4、 third-party electronic payment instruments also have become a prominent trouble increasingly, so improving the security of the platform will upgrade the activity of netizens shopping online and play an important role in peoples life. This thesis introduces the processing of common third-party elect

5、ronic payments, then analyzes the potential problems and gives some corresponding countermeasures lastly.Key words：Electronic pay pay treasure safety e-commerce3.1.3 制定统一的标准.10引言由于电子商务已经被公认为是新的经济增长点，所以各国都在加快发展自己的互联网建设，加紧对电子商务相关技术的研究。各国内外已经有很多实用化的电子支付系统，例如基于Internet的网上订货、网上购物和网上银行等系统。关于电子商务的标准和法律政策也在

6、不断出台。如何加速发展我国的电子商务，是能否把握住知识经济时机加快发展的关键。从实现技术方面来讲，internet电子商务走过了一个从简单到复杂的过程。其间最关键的问题是如何安全的实现在线支付功能，并保证交易各方的安全保密等。最初的电子商务，不包括在线支付功能，在线商务只负责商品浏览和下订单，付款则通过其他途径解决。如电话、传真、传统支付网络等。这种电子商务称为非支付型的电子商务，目前，我国的电子商务大多属于这种。要让更多的人能接受电子商务提供的服务，加强安全保证是一个非常重要的因素。电子商务支付系统的安全性问题是电子商务安全的核心问题之一，它需要采用一些特殊的安全措施来加以保障。因而，如何保

7、障电子支付系统的安全性，这是电子商务深入开展所必须研究的重大课题。1 第三方电子支付概述1.1 第三方支付的定义所谓第三方支付，就是一些和产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。1.2目前的网上支付工具介绍1.2.1银行卡在线转帐支付是目前我国应用非常普遍的电子支付模式，付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。它具有以下基本特点

8、：一是可以接受此电子支付方式的商家投入成本较低；二是能够受理银行卡的商店全世界范围内相当多，用户不受地域的限制。1.2.2电子现金是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数，来表示现实中各种金额的币值。但目前我国使用的不多。它的特点一是具有现实现金特点，可以存、取、转让，适用于小额支付；二是电子现金银行在发放电子货币时使用了数字签名，商家接受到电子现金后将其传输给电子现金银行，由电子现金银行通过对数字签名的验证来确定此电子货币是否有效；三是电子现金的支付是匿名消费。1.2.3电子支票是以一种纸质支票的电子替代品而存在的，用来吸引不想使用现金而宁可使用信用方式的个人和公司。

9、它的运用使银行信用弥补了商业信用的不足，在我国尚是空白。其特点一是与传统支票的操作有很多相似之处，易于理解和运用；二是通过简单加密工具就可以保证其安全性；三是电子支票技术可连接公众网络金融机构和银行票据交换网络，可以通过公众网络连接现有金融付款体系。1.2.4第三方支付是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类：一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面，统一的手续费用标准，结算较为便利。但此模式下，消费者并不是其客户，网站商家和银行才是它的客户，消费者最终还是要使用各

10、网上银行进行付款。二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司，支付宝收到货款之后通知卖家发货，买家收到货物之后再通知支付宝，支付宝这时才把钱转到卖家的账户上。在整个交易过程中，如果出现欺诈行为，平台提供方将进行赔付。这种第三方代收款制度，不仅保证了资金的安全转让，还可担任货物的信用中介，从而约束交易双方行为，在一定程度上增加了网民对网上购物的可信度，大大减少了网络交易欺诈。2.第三方支付平台发展中存在的问题2.1国内外第三方支付平台现状2.1.1 国内第三方支付平台现状随着电子商务的发展，对网上支付的需求增强，第三方支付平台市场规模迅速

11、增长（见图2-1）。图2-1 在线支付市场规模预测国内市场上早在1998 年就有了第一家第三方支付公司。目前，国内网上支付平台服务范围已跨越b2b, b2c,c2c 等多个领域，在国内外积累了一定的固定用户数量，占据了先天的业务背景优势。随着2 005年初以来网络支付的迅速走红，越来越多的第三方支付服务平台也开始出现，加入战团。国内银行信用卡跨行、跨区域的壁垒正在被逐渐打破。现今的第三方支付平台依托于中国银联，背靠金卡工程，得到了各大商业银行的大力支持，接入后，就可以同时接通众多的银行、网关甚至国际卡，全面推动了网上交易渠道的畅通。全面应用第三方支付平台已经成为开展电子商务，增加传统企业竞争力

12、的新趋势。在长期困扰电子商务的诚信、物流、现金流问题通过应用在线支付工具得到解决后，应用第三方支付平台提升网站的形象和竞争力、提高消费者忠诚度、降低交易风险，将是一举多得的事情。在第三方支付平台的启示下，在电子商务领域将会有更合理、更有效的支付模式出现，从而促进和适应电子商务的飞速发展，更好地服务于人们的网络生活。32.1.2国外第三方支付平台现状在全球范围内，美国的PayPal是最成功的第三方支付平台。2006年底，PayPal在世界上103个国家及地区开展业务，支持的币种达17种，拥有1.33亿用户，其中活跃用户3760万。PayPal获得的巨大成功依赖于若干特定的条件，包括：特定的金融支

13、付业务支撑环境、准确的市场定位与恰当的市场时机、灵活坚决的扩张战略与有效的风险控制措施、特定的法律与政策环境等。PayPal的技术与业务模式极易复制，但即使拥有雄厚金融背景的花旗C2it，以及拥有强大品牌支撑的Yahoo Paydirect都没有在第三方支付领域战胜PayPal。雅虎和其他公司，比如Citibank，都在经历失败后关闭了各自的在线支付系统。 经过一年多的调查测试后，2006年6月，Google推出了第三方在线支付业务。2006年，在线支付业务是Google利润最高的业务。尽管Checkout的用户使用率在增长，但其品牌知名度和使用率远远落后于对手PayPal。据2007年初的调

14、查，在品牌认知度方面，有80%的受访者认可PayPal，而仅有45%的用户认可Checkout。 Checkout第三方在线支付服务的优点在于，Google在搜索市场的领导地位使得Checkout在线支付服务对依赖于Google搜索服务的很多商家很有吸引力，另外其价格也有优势，Google推出支付服务之后，为了从PayPal手中抢夺市场份额，给商家和消费者提供了多种优惠政策。12.1.3国外对第三方支付平台的监管目前，美国没有制定针对第三方网上支付平台的专门法规条例。只是在现有的法规中寻求相关的监管依据，或对已有的法规进行相应增补。美国联邦存款保险公司(FDIC)是监管的重要部门。美国采用立体

15、的监管体制，从联邦和州两个层面对第三方网上支付平台进行监管，将监管的重点放在交易的过程，而不是从事第三方支付的机构。在监管方式上采取了现场检查和非现场检查相结合的方式。 欧盟出台了专门的监管法律框架。主要有三个指引文件，通过对电子货币的监管来实现对第三方网上支付公司的监管。2000年1月颁布了电子签名共同框架指引，在该指引文件中确认了电子签名的法律有效性和在欧盟内的通用性。同年又颁布电子货币指引和电子货币机构指引两个指引文件，要求非银行的电子支付服务商必须取得与金融部门有关的营业执照（完全银行业执照、有限银行业执照或电子货币机构执照）。在对第三方支付平台的身份划分上，欧盟规定网上第三方支付的介

16、质只能是商业银行货币或电子货币。这就意味着第三方网上支付公司必须取得银行业执照或电子货币公司的执照才能开展业务。在对第三方支付平台滞留资金的监管上，欧盟规定第三方支付平台需在中央银行开设专门的账户留存大量资金，并将电子货币的发行权限定在传统的信用机构和新型的受监管的电子货币机构。对于增值服务，目前还没有适用于整个欧盟的法律法规。由于欧盟致力于建设单一欧元支付区(SEPA)，第三方支付公司只要取得“单一执照”，便可在整个欧盟25国通用。例如，PayPal在2004年取得了英国金融服务局(FSA)颁发的电子货币机构许可证，并接受FSA 的监管。就可以在欧盟其他成员国开展业务。在对电子货币的监管上欧

17、盟规定机构和个人也可以发行货币，但要通过相应的审批、获得执照，如在英国由金融服务业协会向希望发行自己货币的公司发行许可证并进行监管，英国一些公司已经拿到了合格证。在对非法金融活动的监管上，欧盟与美国一样，实行审慎的监管，限制将客户资金用于投资。32.2 第三方支付平台发展中存在的问题2.2.1网上支付存在着很大的局限性该问题主要表现在跨行网上支付难度大，各银行网上支付的标准不同。我国的金融电子化系统是在无统一标准的情况下各自建立起来的，由于缺乏处理大规模联机事务的经验，在系统建设中标准化意识不强。开发的各类业务系统缺乏统一的业务规范和信息格式标准，即便在同一银行系统内的各业务系统也无统一的规范

18、和标准，就增加了全国银行间网络互联的难度，从而影响了网上支付业务的拓展。由于以前的传统产业采用的都是实时实地交易的模式，只要两人面对面洽谈就能商讨解决好一切的问题。并不需要跨越时间和空间的阻隔，所以有关网上支付业务的扩展大多企业都并不注重，以致造成现在这种局限性的存在。但继2005年4月1日首部电子商务成文法中华人民共和国电子签名法正式实施：银监会发布电子银行业务管理办法(征求意见稿)之后央行也于近日发布了电子支付指引征求意见稿。摆脱了过去没有法律依据、缺乏权益保障的尴尬后，广泛开展网上支付业务大力推广网上支付建设已经成为协调整个中国电子商务行业及其他网络增值业务共同发展的关键。随着网上支付的

19、迅速发展，特别是第三方支付平台的出现，因其在款项收付的便利性、功能的可拓展性、第三方信用中介的信誉保证等方面已逐步表现出越来越强大的性能优势，正成为当今电子商务活动、网络消费方式的主流。2.2.2网上支付工具发展滞后电子商务需要银行卡的参与，但仅靠银行卡的运行还是远远不够的。未来电子商务活动中使用新一代电子货币如电子现金、电子支票等通过银行账户或电子邮件进行的转账方式进行支付的金额将不断增加。但我国目前在电子现金方面的开发和应用与国外相比还有很大差距，电子支票尚是空白。电子现金其实与现实货币没有什么不同，是一般等价物的一种表现形式，但其法律地位一直难以确定。这是因为按照货币的实质和网络无国界性

20、来推断，各国中央银行的地位都将受到挑战，因为任何一个有实力、有信誉的全球性公司，都可以发行购买其产品，从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序，任何国家都不会允许。但随着电子现金技术的不断成熟，其又具有网络化的方便性、安全性、秘密性，所以电子现金的发展优势是不可阻挡的。关键是要在法律方面进行调整。而我国现在电子支票的应用也极为有限。主要原因是受到我国票据法的制约， 电子支票的法律地位难以得到确认，使银行望而却步。2.2.3我国部分品牌银行网上支付情况差异较大这些差异有技术上的原因，也有管理上的原因。现在的银行卡使用情况可说是五花八门。有工行的、交行的、建行的、中信的 每个人拿出来

21、的信用卡几乎都有一定的用途。其使用的范围、透支额度都是有差异的。目前，电子商务交易的支付方式还显得很繁杂，直接在网上支付的只占极少数，企业间多采用信证、传统的支票转账的方式进行支付，而个人在网上交易的支付方式有信汇、货到付款(现金)、网上支付等，由于支付形式的不统一，所以极大地影响了电子商务的交易效率，这与银行本身信息化程度不高有很大的关系。相关法规的不完善也是制约网上支付的关键因素，另一大因素则要归为领导的不重视。任何一个项目的开发或是系统的运行都需要上级领导的鼎力支持，如果管理层首先没有动起来，那基层做再多的工作也只是事倍功半而已。42 .2.4网上安全认证机构的建设不健全 网上安全认证机

22、构的建设，从规范的角度讲，只有国家出面建设统一公用的认证机构，才能起到认证机构中立，权威的作用，也才能更好地为网上支付提供安全保证。所以按照有关法律的规定，制订电子商务安全认证管理办法，可以进一步规范密钥、证书、认证机构的管理，注重责任体系的建设，发展和采用具有自主知识产权的加密和认证技术，还可以整合现有资源，完善安全认证基础设施，建立布局合理的安全认证体系。实现行业、地方等安全认证机构的交叉认证，为社会提供可靠的电子商务安全认证服务。由此可见，安全认证机构的建设是相当重要的，是顺利开展电子商务与进行网上支付的安全保障，一定要切切实实的抓好。2.3网上支付存在的安全问题分析要想保证在网上进行交

23、易的安全性，首先要确保网上交易的载体计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易，如果计算机网络不安全，可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括：计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行，如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。上述两种安全问题不仅仅只存在于电子商务交易中，即使用户不使用计算机网络进行交易，而是进行普通的上网活动，也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩，用户如果碰到了这两种安全问题，受到的损失相对来说会小一些。网上支付的安全除

24、了上述两种安全问题外，还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性。2.3.1身份真实性也称商务对象的认证性，传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性，但网上交易的双方相隔甚远，互不了解，支付方不知道商家到底是谁，商家不能清晰确定银行卡等网络支付工具是否真实，以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动。所以需要为参与交易的各方提供可靠标识，使他们能正确识别对方并能互相证明身份。2.3.2信息的完整性网上交易简化了贸易过程，减少了人为的干预，同时也带来维护交易各方商业信息的完整、统一的问题。

25、数据输入时的意外差错或欺诈行为，可能会导致交易各方信息的差异。另外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据（如支付金额）进行修改而发生多支付或少支付的问题，那么势必给交易双方添加不少麻烦。2.3.3不可否认性也称不可抵赖性。在传统的商务交易中，双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生，但在网上则是不可能的。因此就有可能出现这样的情况：当交易一方发现交易行为对自己不利时，可能会否认电子交易行为，这必然会损害另一方的利益。2.3.4数据保密性有关交易的各种信息，如付款人和收款人的标识、交易的内容和数量等，这些信息

26、只能让交易的参与者知道，有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。3.解决网上支付问题的对策3.1解决网上支付现阶段问题的对策3.1.1 加快网络基础设施的建设银行应从传统的主要经营资产负债业务的观念中摆脱出来，注重中间业务的经营，并遵循统一的标准，中央银行应充分利用金融系统电子化基础设施，加快实现全国范围内银行卡跨行、异地支付业务授权及清算信息自动交换。除此之外，国家还应建立并完善电子商务国家标准体系。提高标准化意识，充分调动各方积极性，抓紧完善电子商务的国家标准体系，鼓励以企业为主体，联合高校和科研机构研究制订电子商务关键技术标准，积极推进电子商务标准化进

27、程。电子商务体系完善起来了，网上支付也会随之正规化。而随着两者的相继完善与发展，其存在着的制约因素也会日益减少，网上支付业务也就会越来越多的受到人们的青睐了。73.1.2 研发符合我国国情的网上支付工具在发展电子商务中，要积极开展对电子现金、电子支票等网上支付工具的研究。参与国际交流与合作，跟踪国际先进技术，推动网上支付工具的应用同时也要制定和规范符合我国国情的支付标准。就目前网上支付的主要工具银行卡来讲，必须建立全国统一、完整的银行卡转账、授权网络，以实现支付标准的统一和银行卡异地跨行的支付结算。现在信用卡的使用已经越来越普遍了。用卡付款代替传统的现金付款已越来越被人们所接受，但目前还只有少

28、数银行推出了网上银行业务。随着银行间竞争的加剧，各商业银行都把目光投向了网络银行。可以预计两年内绝大部分的银行都可实现网上支付。目前国际通行的电子支付工具主要有电子信用卡，电子支票、电子现金等。这些支付工具随着网上银行的日益普及也会越来越受到人们的欢迎。3.1.3 制订统一的标准主要包括制定统一的管理、统一的读卡机、统一的安全技术等，而我国各地经济发展水平的不一致。导致了银行间网络化发展水平的参差不齐，这势必给我国银行卡统一发展及利用银行卡进行网上支付带来困难。我国商业银行通过lnternet提供网上支付还处在初级阶段，其覆盖面小，还远远不能适应网上商务支付的要求。据CCID调查显示，通过网上

29、直接支付的仅占国内电子商务总交易额的1 7 左右。目前国内银行大多还只是提供一些基础性的支票、电话转账及信用证业务，网上主动支付业务能力有限，并且还仅仅是在一些大中城市中提供此类业务。这远远不能满足电子商务所需要的网上支付流程。虽然各大商业银行都做相应努力与调整，但短期内很难突破这种局限性，很显然，这些都是急需改进的，一方面要加快银行的信息建设工作，另一方面就是要尽快完善网上交易的相关安全规范，只有真正地实现了电子支付，电子商务的优势才会显现出来。3.1.4 进行数字认证当然，其中与认证相关的法律一定要完善。不严格的认证审批所带来的连锁反应、在认证过程中出现的欺骗行为及其后果等一系列问题的责任

30、划分，必须在法律上有所规定。所以我们要积极推动电子商务法律法规的建设，认真贯彻实施中华人民共和国电子签名法，抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题，尽快提出制订相关法律法规的意见，根据电子商务健康有序发展的要求，抓紧研究并及时修订相关法律法规，加快制订在网上开展相关业务的管理办法；推动网络仲裁、网络公证等法律服务与保障体系建设；打击电子商务领域的非法经营以及危害国家安全、损害人民群众切身利益的违法犯罪活动。保障电子商务的正常秩序。83.2 解决网上支付安全性的对策3.2.1技术方面的对策（1）数据加密：数据加密被认为是电子商

31、务最基本的安全保障形式，可以从根本上满足信息完整性的要求，它是通过一定的加密算法，利用密钥（Secret keys）来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。（2）数字签名：数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个散列值，发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公钥来对报文附

32、加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。（3）安全协议：在国际上，比较有代表性的电子支付安全协议有SSL和SET。SSL（安全槽层）协议是由Netscape公司研究制定的安全协议。通俗地说，SSL就是客户和商家在通信之前，在Internet上建立了一个“秘密传输信息的信道”，来保障传输信息的机密性、完整性和认证性。该协议向基于TCPIP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的