毕业论文(设计)-电子支付行业存在的问题分析

1、电子支付行业存在的问题分析摘 要：本文介绍了与电子支付行业目前存在的主要问题。认为，研 究并解决电子支付存在的问题，对于今后电子支付行业的健康 发展具有重要的意义！关键词：电子支付 问题 分析回顾我国电子商务几年来的发展历程， 支付问题始终是制约电子商务发展的 一个严重阻碍。而支付问题的核心就是如何保障电子商务交易过程中的支付安全 问题。过去人们一直把关注的焦点集中在从技术的角度保障和提高支付安全性， 但是支付安全问题不仅仅是一个技术层面上的问题， 相比之下， 技术因素之外的 管理问题、 社会问题才是我国目前支付环境中存在的更严重、 更需要解决的关键 问题。这些技术层面之外的问题主要包括有 1

2、：1 安全问题电子支付的安全问题表现在多个方面：一是信息泄漏。电子支付业务是主要 应用互联网进行交易、 清算和信息发布的系统。 网络存在安全漏洞。 无法保证网 络中信息的隐秘性。 例如：电信从业人员可能利用工作之便， 很容易地获取网络 中传输的信息； 网络攻击者也可以通过搭线等方法， 从传输信道窃取信息； 二是 假冒通信。互联网提供了灵活的数据交换机制， 但同时也给假冒通信以可乘之机。 网络外的用户，只要将他的设备配置成与网络内的设备相同，就可能欺骗总部， 与其进行通信； 如果网络外的用户将他的设备配置得与总部的设备相同， 并采取 一些措施将总部的设备阻塞， 他就可以假冒总部， 欺骗问络内的所

3、有网点； 三是 假冒信息， 攻击者窃取了网络中传输的信息后， 采用一些并不复杂的技术， 尤其 是在内部人员的配台下，就能进行信息的假冒。对于以上的各种安全问题，从法律上看，由于网络特殊的跨国性交易特性， 除需要业者的自律规范之外， 更需要通过各国有关银行或金融的相关法规加以规 范。从技术上看， 目前在电子商务界， 国际上已经形成了一些比较成熟的安全机 制，下面我们加以介绍。在技术上， 电子支付的安全机制主要是由安全协议支持的。 目前国际上流行 的电子商务所采用的协议主要包括：基于信用卡交易的安全电子交易协议（Secure Electronic Transaction，即 SET协议）、用于接入

4、控制的 SSL协议（Secure Socket Layer 安全套接层）、Net bill 协议、安全 HTTP（ S-HTTP 协 议、安全电子邮件协议（如 PEM S/MIME等）、用于公对公交易的In ternet EDI 等。其中，SET协议和SSL协议正在走向成熟，并广泛应用的两个协议。下面分 述之。1.1 SSL安全机制23 SSL 协议SSL（ Secure Socket Layer ）协议，即安全套接层协议，是由 Netscape 公 司研究制定的安全协议， 主要用于提高应用程序之间数据的安全性。 该协议向基 于 TCP/IP 的客户/服务器应用程序提供了客户端和服务器的鉴别、

5、 数据完整性及 信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换 SSL初始握 手信息来实现有关安全特性的审查。在 SSL握手信息中采用了 DES MD5等加密 技术来实现机密性和数据完整性， 并采用 X.509 的数字证书实现鉴别。 该协议已 成为事实上的工业标准， 并被广泛应用于 Internet 和 Intranet 的服务器产品和 客户端产品中。女口 Netscape公司、微软公司、IBM公司等领导Internet/lntranet 网络产品的公司已在使用该协议。此外，微软公司和 Visa 机构也共同研究制定 了一种类似于SSL的协议，这就是PCT专用通信技术）协议。该协议

6、只是对SSL 进行少量的改进。SSL的安全服务SSL协议的主要目的是提供In ternet 上的安全通信服务，包括：服务器认证： 由该服务器向用户展示其所拥有的私人密码， 以使用户确信 该服务器的身份。 使用户确信他是在与自己所欲交易的客户的服务器通讯， 而非 与其他冒名者交易。客户认证： 这是通过服务器鉴别用户， 展示其所拥有的私人密码， 而确认 该客户的身份。完整性鉴别： 这一服务确保数据在传输过程中不被恶意篡改。 该服务是通 过添加整体性检验值来实现的。保密性服务： 它是通过对传输的数据进行加密， 以免被第三者窃取。 对于 某些用户的信用卡号码及其他个人账号信息等，如果在传向服务器之前被

7、人窃 取，则将造成巨大的损失，所以应对之进行加密。这样，即便第三人将该信息窃 取以后，也无法阅读，不能知悉用户的重要信息。SSL模式具有以下优点：可以使用现有的基础设施，持卡人不需要电子钱包 软件，成本低较为容易出现。而SSL模式的缺点是：非常不安全；信用卡号码以及相关支付信息对商户可 见；不能实现不可否认；商户难以得到128位的SSL，而40位的SSL易被攻破；消 费者的银行资料信息送给商家， 消费者无法对商家保密自己的信用卡信息； SSL 是用来保护传输资料的过程安全， 而在传递过程中仍会遭受截取攻击；未提供 消费者对商家的认证， 无法保证该商家就是消费者愿与之合作的商家。1.2 SET

8、安全机制 23SET（Secure Electronic Transaction ）协议，即安全电子交易协议，是一 种在因特电子实现安全电子交易的协议标准。SET最初是由世界上最大的两家信用卡组织VISA和Master Card合作发起的，它得到了许多著名公司的参与和支 持。目前，SET是专为电子支付卡业务安全所制定的唯一的具有现实意义的国际 标准。SET协议主要使用的技术包括：对称密钥加密、公钥加密、哈希算法、电 子签名、数字信封以及数字证书等技术。 其中公钥根据其用途可分为公钥签名密 钥和公钥交换密钥， 前者用于电子签名， 后者用于交换随机生成的对称密钥。 SET 通过使用公钥和对称密钥方

9、式加密， 以保证数据的保密性； 通过使用电子签名（结 合哈希算法） 和数字证书实现交易各方的身份认证、 数据的完整性和交易的不可 否认性。SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公 钥技术和哈希算法是其核心。 综合应用以上三种技术产生了电子签名、 数字信封、 数字证书等。SET协议缺省使用由IBM公司发明的DES标准。DES将数据分隔成 64bit 的数据块，用 56bit 的密钥对其进行一系列的数学变换后产生密文，然后 接收者用同一密钥将密文解译成明文。SET 协议工作流程如下图：专用网3扣款应答3）扣款请求支付网关支材请求图8 SET协议工作流程Figure 8 th

10、e use flow of SET agreeme nt持卡者向电子商家发初始请求，电子商家产生初始应答；持卡者接受并检查电子商家的初始应答，如无误，向电子商家发出购物请求。电子商家接受并检查持卡者的购物请求，向支付网关发出支付请求。支付网关接受并检查支付请求，如无误，向银行发扣款请求。银行向支付网关发送扣款应答。支付网关向电子商家发送支付应答。电子商家接受并检查支付网关的支付应答，如无误，向持卡者发送购物应答。持卡者接受购物应答，验证电子商家证书。SET模式具有以下优点：信用卡号码以及相关金融信息对商户不可见，窗户 只可检查订单信息，由于参与各方可以在线确认其它各方的身份，因而非常可靠，能够

11、实现不可否认。SET安全协议存在的问题：协议没有担保非拒绝行为，在线商家无法证明订单是不是由签署证书的消费者发出的；没有说明收单银行给在线商家付款前是 否必须收到消费者接收商品的证书，如果出现消费者对商家提供的商品不满意，责任问题就无法落实；没有明确事务处理结束后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者或者在线商家的计算机里，这些漏洞可能 使这些数据以后受到潜在的攻击。1.3 SET与SSL勺比较安全套接层（SSL协议是由网景（Netscape）公司提出的一种安全通信 协议，它能对信用卡和个人信息提供较强的保护。SET协议比SSL协议复杂，在理论上安全性也更高，因为前者不仅加

12、密两 个端点间的单人会话，还可以加密和认定三方的多个信息， 而这是SSL协议所未 能解决的问题。SET标准的安全程度很高，它结合了数据加密标准（DES、RSA 算法和安全超文本传输协议（S-HTTP，为每一项交易都提供了多层加密。SET也有自己的缺陷，例如目前大多数基于SET的交易都要通过信用卡进 行处理。此外SET过于复杂，所以对商户、用户和银行的要求都比较高，推行起 来遇到的阻力也比较大。2 观念认识问题支付环境中存在的认识问题其实和中国传统的谨慎思维方式有关。 因为对支 付环境的安全心存疑虑， 使人们更倾向于使用传统支付方式来完成电子商务的资 金结算、缺乏主动使用在线支付方式的热情和动力

13、。 这种需求不旺的情况反过来 又影响了电子商务平台提供商对在线支付方式进一步投入的积极性。 供需双方一 个“保守”、一个“懒惰”， 结果就形成了一个“不安全， 所以我不用：你不用， 我就不提供”的恶性循环，如此循环下去就很难形成被广泛认同的现代支付体 系。传统的支付方式主要是货币、 信用卡和支票， 这些方式都是看得见摸得着的 所谓有形支付。 而网上支付主要是数字化货币在网络上的传输和周转， 是无形的 支付方式， 习惯了传统支付方式的人们对此会感到不放心而难以接受。 因此要消 费者真正使用刚上银行的服务， 适应“电子钱包” 和“网络货币”这种“看不到， 摸不着”的网上支付手段，无疑需要个过程。3

14、 信用问题对于信用问题， 以往我国一直提倡以“道德”为准绳， 靠人们“自觉”去维 持。和西方发达国家相比，我国一直缺乏系统化、制度化的信用体系。然而，电 子商务应用中交易双方互不照面、 仅在虚拟空间中完成交易过程 （特别是支付过 程）的特性， 在极大地考验着整个社会的诚信。 尤其是和在线交易相关的法律问 题一直没能彻底解决， 人们在电子商务交易过程中违约、 欺诈的成本很低， 因而 和传统商务活动相比， 电子商务活动中的信用问题更加突出。 信用问题的普遍存 在使交易双方难以建立相互的信任， 因而宁愿选择传统的支付方式。 货到付款能 成为目前电子商务应用中主流的支付方式， 很大程度上也是因为交易双

15、方对对方 信用的否定。4 标准化问题无论是传统支付、 网上支付还是在线支付， 都不可避免地要面对整个支付环 境的标准化问题。 支付标准的不统一表现在企业、 网站、金融机构之间相互独立、 各行其是，数据内容、功能种类、技术平台、认证方式等等涉及支付的各个环节 都存在着差异， 而且彼此之间因为缺乏统一标准而无法实现共享和互连， 结果导 致整个支付环境混乱不堪，让交易者无所适从，同时也极大地浪费了社会资源。5 法律问题伴随着电子商务应用的日益成熟，相关的法律规范也在逐步建立的过程中， 特别是 2005年 4月 1 日起中华人民共和国电子签名法的正式颁布实施，为 今后在线支付方式的发展提供了一定的法律

16、基础。 不过，迄今为止我国还没有专 门针对网上支付、 移动支付这些新的支付方式而专门适用的法律法规， 对于在这 些支付方式中可能存在的伪造、 更改、 注销、 刑侦等问题都存在“无法可依”的 现象。另外，迄今为止，我国银行开展电子支付业务已经有 7 年多了，但国内法 律法规还不能给电子支付业务发展提供充分的保障， 涉及计算机和网络领域的立 法工作还相对滞后，缺乏保障网上银行和电子商务活动有效开展的法律框架体 系。一些基础性法律尚未出台，而商业银行法、中国人民银行法均未涉及 网上银行的业务。目前除了安全法、保密法外，仅有中国人民银行制定的网上银行业务管理暂行办法在起作用。致使银行在可能与客户发生的

17、纠纷中 处于无法可依的尴尬境地。此外，对传统交易方式中具有法律效力的合同等如何 在电子介质中应用，电子记录如何作为证据等问题均无明确规定。 这些会阻碍电 子商务支付环境的改善，不利于电子商务应用的更快发展。从各国发展历史来看，信息业立法滞后是全球通弊，目前制约网上支付发展 的立法问题，主要包括：由谁来发行电子货币 ？如何进行网络银行的资格认定 ？ 怎样鉴管网络银行的业务？如何对网上犯罪进行制裁 ？这些问题即使在发达国家 也没有得到很好的解决，在我国就显得更为落后一些。电子支付业务的健康发展必须有相应的法律法规来保障，因此国家有关部门应加快立法的步伐，为电子支付的持续发展提供健全的法律保障体系和

18、服务支持 体系。一是我国政府有关部门应就网上银行的通讯安全、控制权的法制责任、存款保险、保护措施和争端的适应条文等冋题加以立法。二是制定有关数字化，电子货币的发行、支付与管理的制度以及电子支付业务结算、 电子设备使用等标准。 为给电子支付发展一个规范、明确的法律环境，立法机关要密切关注电子支付业 务的最新发展和科技创新，集中力量研究、制定与完善自关的法律法规，比如加 密法、电子证据法等。要明确定义电子交易各方（消费者、商家、银行、CA中心） 的权利和义务，明确法律判决的依据。6结论可以说支付手段的电子化，即实现电子支付是支持电子商务产业持续健康发 展的重要动力因素之一。但是目前国内电子支付的发展还存在许多问题， 这些问 题制约了电子支付的实现和人们使用电子支付的信心。研究目前电子支付行业存在的问题， 提出解决这些问题的方法及建议，对于 今后电子支付行业的健康发展具有重要的意义！参考资料1 Uited Nati ons website.U nited Nati ons Conference on Trade andDevelopme nt. I nformati on Economy Report 2005，http:/www.u /T