电子支付行业存在的问题分析

电子支付行业存在的问题分析摘要：本文介绍了与电子支付行业目前存在的主要问题。认为，研究并解决电子支付存在的问题，对于今后电子支付行业的健康发展具有重要的意义！关键词：电子支付问题分析回顾我国电子商务几年来的发展历程，支付问题始终是制约电子商务发展的一个严重阻碍。而支付问题的核心就是如何保障电子商务交易过程中的支付安全问题。过去人们一直把关注的焦点集中在从技术的角度保障和提高支付安全性，但是支付安全问题不仅仅是一个技术层面上的问题，相比之下，技术因素之外的管理问题、社会问题才是我国目前支付环境中存在的更严重、更需要解决的关键问题。这些技术层面之外的问题主要包括有[1]：1安全问题电子支付的安全问题表现在多个方面：一是信息泄漏。电子支付业务是主要应用互联网进行交易、清算和信息发布的系统。网络存在安全漏洞。无法保证网络中信息的隐秘性。例如：电信从业人员可能利用工作之便，很容易地获取网络中传输的信息；网络攻击者也可以通过搭线等方法，从传输信道窃取信息；二是假冒通信。互联网提供了灵活的数据交换机制，但同时也给假冒通信以可乘之机。网络外的用户，只要将他的设备配置成与网络内的设备相同，就可能欺骗总部，与其进行通信；如果网络外的用户将他的设备配置得与总部的设备相同，并采取一些措施将总部的设备阻塞，他就可以假冒总部，欺骗问络内的所有网点；三是假冒信息，攻击者窃取了网络中传输的信息后，采用一些并不复杂的技术，尤其是在内部人员的配台下，就能进行信息的假冒。对于以上的各种安全问题，从法律上看，由于网络特殊的跨国性交易特性，除需要业者的自律规范之外，更需要通过各国有关银行或金融的相关法规加以规范。从技术上看，目前在电子商务界，国际上已经形成了一些比较成熟的安全机制，下面我们加以介绍。在技术上，电子支付的安全机制主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括：基于信用卡交易的安全电子交易协议（SecureElectronicTransaction，即SET协议）、用于接入控制的SSL协议(SecureSocketLayer安全套接层)、Netbill协议、安全HTTP（S-HTTP）协议、安全电子邮件协议（如PEM、S/MIME等）、用于公对公交易的InternetEDI等。其中，SET协议和SSL协议正在走向成熟，并广泛应用的两个协议。下面分述之。1.1SSL安全机制[2－3]

⑴SSL协议

SSL（SecureSocketLayer）协议，即安全套接层协议，是由Netscape公司研究制定的安全协议，主要用于提高应用程序之间数据的安全性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性，并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intranet网络产品的公司已在使用该协议。此外，微软公司和Visa机构也共同研究制定了一种类似于SSL的协议，这就是PCT(专用通信技术)协议。该协议只是对SSL进行少量的改进。⑵SSL的安全服务

SSL协议的主要目的是提供Internet上的安全通信服务，包括：

㈠服务器认证：由该服务器向用户展示其所拥有的私人密码，以使用户确信该服务器的身份。使用户确信他是在与自己所欲交易的客户的服务器通讯，而非与其他冒名者交易。

㈡客户认证：这是通过服务器鉴别用户，展示其所拥有的私人密码，而确认该客户的身份。

㈢完整性鉴别：这一服务确保数据在传输过程中不被恶意篡改。该服务是通过添加整体性检验值来实现的。

㈣保密性服务：它是通过对传输的数据进行加密，以免被第三者窃取。对于某些用户的信用卡号码及其他个人账号信息等，如果在传向服务器之前被人窃取，则将造成巨大的损失，所以应对之进行加密。这样，即便第三人将该信息窃取以后，也无法阅读，不能知悉用户的重要信息。SSL模式具有以下优点：可以使用现有的基础设施，持卡人不需要电子钱包软件，成本低较为容易出现。而SSL模式的缺点是：非常不安全；信用卡号码以及相关支付信息对商户可见；不能实现不可否认；商户难以得到128位的SSL，而40位的SSL易被攻破；消费者的银行资料信息送给商家，消费者无法对商家保密自己的信用卡信息；SSL是用来保护传输资料的过程安全，而在传递过程中仍会遭受截取攻击；未提供消费者对商家的认证，无法保证该商家就是消费者愿与之合作的商家。1.2SET安全机制[2－3]

SET（SecureElectronicTransaction）协议，即安全电子交易协议，是一种在因特电子实现安全电子交易的协议标准。SET最初是由世界上最大的两家信用卡组织VISA和MasterCard合作发起的，它得到了许多著名公司的参与和支持。目前，SET是专为电子支付卡业务安全所制定的唯一的具有现实意义的国际标准。SET协议主要使用的技术包括：对称密钥加密、公钥加密、哈希算法、电子签名、数字信封以及数字证书等技术。其中公钥根据其用途可分为公钥签名密钥和公钥交换密钥，前者用于电子签名，后者用于交换随机生成的对称密钥。SET通过使用公钥和对称密钥方式加密，以保证数据的保密性；通过使用电子签名（结合哈希算法）和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥技术和哈希算法是其核心。综合应用以上三种技术产生了电子签名、数字信封、数字证书等。SET协议缺省使用由IBM公司发明的DES标准。DES将数据分隔成64bit的数据块，用56bit的密钥对其进行一系列的数学变换后产生密文，然后接收者用同一密钥将密文解译成明文。SET协议工作流程如下图：图8SET协议工作流程Figure8theuseflowofSETagreement⑴持卡者向电子商家发初始请求，电子商家产生初始应答；持卡者接受并检查电子商家的初始应答，如无误，向电子商家发出购物请求。⑵电子商家接受并检查持卡者的购物请求，向支付网关发出支付请求。⑶支付网关接受并检查支付请求，如无误，向银行发扣款请求。⑷银行向支付网关发送扣款应答。⑸支付网关向电子商家发送支付应答。⑹电子商家接受并检查支付网关的支付应答，如无误，向持卡者发送购物应答。⑺持卡者接受购物应答，验证电子商家证书。SET模式具有以下优点：信用卡号码以及相关金融信息对商户不可见，窗户只可检查订单信息，由于参与各方可以在线确认其它各方的身份，因而非常可靠，能够实现不可否认。SET安全协议存在的问题：协议没有担保非拒绝行为，在线商家无法证明订单是不是由签署证书的消费者发出的；没有说明收单银行给在线商家付款前是否必须收到消费者接收商品的证书，如果出现消费者对商家提供的商品不满意，责任问题就无法落实；没有明确事务处理结束后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者或者在线商家的计算机里，这些漏洞可能使这些数据以后受到潜在的攻击。1.3SET与SSL的比较⑴安全套接层（SSL）协议是由网景（Netscape）公司提出的一种安全通信协议，它能对信用卡和个人信息提供较强的保护。⑵SET协议比SSL协议复杂，在理论上安全性也更高，因为前者不仅加密两个端点间的单人会话，还可以加密和认定三方的多个信息，而这是SSL协议所未能解决的问题。SET标准的安全程度很高，它结合了数据加密标准（DES）、RSA算法和安全超文本传输协议（S-HTTP），为每一项交易都提供了多层加密。⑶SET也有自己的缺陷，例如目前大多数基于SET的交易都要通过信用卡进行处理。此外SET过于复杂，所以对商户、用户和银行的要求都比较高，推行起来遇到的阻力也比较大。2观念认识问题支付环境中存在的认识问题其实和中国传统的谨慎思维方式有关。因为对支付环境的安全心存疑虑，使人们更倾向于使用传统支付方式来完成电子商务的资金结算、缺乏主动使用在线支付方式的热情和动力。这种需求不旺的情况反过来又影响了电子商务平台提供商对在线支付方式进一步投入的积极性。供需双方一个“保守”、一个“懒惰”，结果就形成了一个“不安全，所以我不用：你不用，我就不提供”的恶性循环，如此循环下去就很难形成被广泛认同的现代支付体系。传统的支付方式主要是货币、信用卡和支票，这些方式都是看得见摸得着的所谓有形支付。而网上支付主要是数字化货币在网络上的传输和周转，是无形的支付方式，习惯了传统支付方式的人们对此会感到不放心而难以接受。因此要消费者真正使用刚上银行的服务，适应“电子钱包”和“网络货币”这种“看不到，摸不着”的网上支付手段，无疑需要个过程。3信用问题对于信用问题，以往我国一直提倡以“道德”为准绳，靠人们“自觉”去维持。和西方发达国家相比，我国一直缺乏系统化、制度化的信用体系。然而，电子商务应用中交易双方互不照面、仅在虚拟空间中完成交易过程（特别是支付过程）的特性，在极大地考验着整个社会的诚信。尤其是和在线交易相关的法律问题一直没能彻底解决，人们在电子商务交易过程中违约、欺诈的成本很低，因而和传统商务活动相比，电子商务活动中的信用问题更加突出。信用问题的普遍存在使交易双方难以建立相互的信任，因而宁愿选择传统的支付方式。货到付款能成为目前电子商务应用中主流的支付方式，很大程度上也是因为交易双方对对方信用的否定。4标准化问题无论是传统支付、网上支付还是在线支付，都不可避免地要面对整个支付环境的标准化问题。支付标准的不统一表现在企业、网站、金融机构之间相互独立、各行其是，数据内容、功能种类、技术平台、认证方式等等涉及支付的各个环节都存在着差异，而且彼此之间因为缺乏统一标准而无法实现共享和互连，结果导致整个支付环境混乱不堪，让交易者无所适从，同时也极大地浪费了社会资源。5法律问题伴随着电子商务应用的日益成熟，相关的法律规范也在逐步建立的过程中，特别是2005年4月1日起《中华人民共和国电子签名法》的正式颁布实施，为今后在线支付方式的发展提供了一定的法律基础。不过，迄今为止我国还没有专门针对网上支付、移动支付这些新的支付方式而专门适用的法律法规，对于在这些支付方式中可能存在的伪造、更改、注销、刑侦等问题都存在“无法可依”的现象。另外，迄今为止，我国银行开展电子支付业务已经有7年多了，但国内法律法规还不能给电子支付业务发展提供充分的保障，涉及计算机和网络领域的立法工作还相对滞后，缺乏保障网上银行和电子商务活动有效开展的法律框架体系。一些基础性法律尚未出台，而《商业银行法》、《中国人民银行法》均未涉及网上银行的业务。目前除了《安全法》、《保密法》外，仅有中国人民银行制定的《网上银行业务管理暂行办法》在起作用。致使银行在可能与客户发生的纠纷中处于无法可依的尴尬境地。此外，对传统交易方式中具有法律效力的合同等如何在电子介质中应用，电子记录如何作为证据等问题均无明确规定。这些会阻碍电子商务支付环境的改善，不利于电子商务应用的更快发展。从各国发展历史来看，信息业立法滞后是全球通弊，目前制约网上支付发展的立法问题，主要包括：由谁来发行电子货币?如何进行网络银行的资格认定?怎样鉴管网络银行的业务？如何对网上犯罪进行制裁?这些问题即使在发达国家也没有得到很好的解决，在我国就显得更为落后一些。电子支付业务的健康发展必须有相应的法律法规来保障，因此国家有关部门应加快立法的步伐，为电子支付的持续发展提供健全的法律保障体系和服务支持体系。一是我国政府有关部门应就网上银行的通讯安全、控制权的法制责任、存款保险、保护措施和争端的适应条文等问题加以立法。二是制定有关数字化，电子货币的发行、支付与管理的制度以及电子支付业务结算、电子设备使用等标准。为给电子支付发展一个规范、明确的法律环境，立法机关要密切关注电子支付业务的最新发展和科技创新，集中力量研究、制定与完善自关的法律法规，比如加密法、电子证据法等。要明确定义电子交易各方(消费者、商家、银行、CA中心)的权利和义务，明确法律判决的依据。6结论可以说支付手段的电子化，即实现电子支付是支持电子商务产业持续健康发展的重要动力因素之一。但是目前国内电子支付的发展还存在许多问题，这些问题制约了电子支付的实现和人们使用电子支付的信心。研究目前电子支付行业存在的问题，提出解决这些问题的方法及建议，对于今后电子支付行业的健康发展具有重要的意义！参考资料[1]UitedNationswebsite.UnitedNationsConferenceonTradeandDevelopment.InformationEconomyReport2005，/Templates/webflyer.asp?docid=6479&intItemID=3591&lang=1&mode=downloads[2]中国互联网络信息中心.中国互联网络发展状况统计报告.1997年10月~2006年1月，[3]中国互联网络信息中心.2004年中国互联网络信息资源数量调查报告.2005年2月，TheanalysistoproblemsinelectronicpaymenttradeZhongMingqiang(GuangzhouHondaAutomobileLimitedCompany，510700)Abstract:Themainproblemsinelectronicpaymentareanalyzedinthepaper.Itisconsideredimportanttoelectronicpayment’shealthdevelopmentthatthemainproblemsinelectronicpaymenttradeareresearchedandresolvedinthepaper.Keywords:electronicpayment;problem;analysis`基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC（8）05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正（STR）调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试验台控制器的研制基于单片机的软起动器的研究和设计基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究基于单片机的机电产品控制系统开发基于PIC单片机的智能手机充电器基于单片机的实时内核设计及其应用研究基于单片机的远程抄表系统的设计与研究基于单片机的烟气二氧化硫浓度检测仪的研制基于微型光谱仪的单片机系统单片机系统软件构件开发的技术研究基于单片机的液体点滴速度自动检测仪的研制基于单片机系统的多功能温度测量仪的研制基于PIC单片机的电能采集终端的设计和应用基于单片机的光纤光栅解调仪的研制气压式线性摩擦焊机单片机控制系统的研制基于单片机的数字磁通门传感器基于单片机的旋转变压器-数字转换器的研究基于单片机的光纤Bragg光栅解调系统的研究单片机控制的便携式多功能乳腺治疗仪的研制基于C8051F020单片机的多生理信号检测仪基于单片机的电机运动控制系统设计Pico专用单片机核的可测性设计研究基于MCS-51单片机的热量计基于双单片机的智能遥测微型气象站MCS-51单片机构建机器人的实践研究基于单片机的轮轨力检测基于单片机的GPS定位仪的研究与实现基于单片机的电液伺服控制系统用于单片机系统的MMC卡文件系统研制基于单片机的时控和计数系统性能优化的研究基于单片机和CPLD的粗光栅位移测量系统研究单片机控制的后备式方波UPS提升高职学生单片机应用能力的探究基于单片机控制的自动低频减载装置研究基于单片机控制的水下焊接电源的研究基于单片机的多通道数据采集系统基于uPSD3234单片机的氚表面污染测量仪的研制基于单片机的红外测油仪的研究96系列单片机仿真器研究与设计基于单片机的单晶金刚石刀具刃磨设备的数控改造基于单片机的温度智能控制系统的设计与实现基于MSP430单片机的电梯门机控制器的研制基于单片机的气体测漏仪的研究基于三菱M16C/6N系列单片机的CAN/USB协议转换器基于单片机和DSP的变压器油色谱在线监测技术研究基于单片机的膛壁温度报警系统设计基于AVR单片机的低压无功补偿控制器的设计基于单片机船舶电力推进电机监测系统基于单片机网络的振动信号的采集系统基于单片机的大容量数据存储技术的应用研究基于单片机的叠图机研究与教学方法实践基于单片机嵌入式Web服务器技术的研究及实现基于AT89S52单片机的通用数据采集系统基于单片机的多道脉冲幅度分析仪研究机器人旋转电弧传感角焊缝跟踪单片机控制系统基于单片机的控制系统在PLC虚拟教学实验中的应用研究基于单片机系统的网络通信研究与应用基于PIC16F877单片机的莫尔斯码自动译码系统设计与研究基于单片机的模糊控制器在工业电阻炉上的应用研究基于双单片机冲床数控系统的研究与开发基于Cygnal单片机的μC/OS-Ⅱ的研究基于单片机的一体化智能差示扫描量热仪系统研究基于TCP/IP协议的单片机与Internet互联的研究与实现变频调速液压电梯单片机控制器的研究基于单片机γ-免疫计数器自动换样功能的研究与实现基于单片机的倒立摆控制系统设计与实现单片机嵌入式以太网防盗报警系统基于51单片机的嵌入式Internet系统的设计与实现单片机监测系统在挤压机上的应用MSP430单片机在智能水表系统上的研究与应用基于单片机的嵌入式系统中TCP/IP协议栈的实现与应用单片机在高楼恒压供水系统中的应用基于ATmega16单片机的流量控制器的开发基于MSP430单片机的远程抄表系统及智能网络水表的设计基于MSP430单片机具有数据存储与回放功能的嵌入式电子血压计的设计基于单片机的氨分解率检测系统的研究与开发锅炉