《电子商务中电子支付安全问题探讨.doc》由会员分享,可在线阅读,更多相关《电子商务中电子支付安全问题探讨.doc(8页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、电子商务中电子支付安全问题探讨 09软件技术 赵双柱一、电子支付的概念电子支付是指电子交易的当事人,包括消费者、厂商和金融机构,使用电子现金或信用卡,通过网络进行的货币支付或资金流转。电子支付是电子商务系统的重要组成部分。二、电子支付方式在我国电子商务发展的过程中,B2C、C2C电子商务产生了多种支付方式,包括汇款、货到付款、网上支付、电话支付、手机短信支付等方式,并且这些方式同时并存。据2005年CNNT统计,消费者常采用多种支付方式,其中汇款用户占总用户数量的432、网上支付占419、货到付款支付占347、手机支付占17。21 汇款 银行汇款或邮局汇款是一种传统支付方式,也是目前为止电子商
2、务支付方式中最常用的支付方式。邮局汇款是顾客将订单金额通过邮政部门汇到商户的一种结算支付方式。采用银行或邮局汇款,可以直接用人民币交易,避免了诸如黑客攻击、账号泄漏、密码被盗等问题,对顾客来说更安全。但采用此种支付方式的收发货周期时间长,例如卓越网的邮局汇款支付期限为14天,银行电汇为10天,而采用其他网上支付则只需12天。此外,顾客还必须到银行或邮局才能进行支付,支付过程比较繁琐。对于商家来说,这种交易方式也无法体现电子商务高速、交互性强、简单易用且运作成本低等优势。因此,这种支付方式并不能适应电子商务的长期高速发展。22 货到付款 货到付款又称送货上门,指按照客户提交的订单内容,在承诺配送
3、时限内送达顾客指定交货地点后,双方当场验收商品,当场交纳货款的一种结算支付方式。目前,很多购物网站都提供这种支付方式。这是一个充满中国特色的B2C电子商务支付方式、物流方式,既解决了中国网上零售行业的支付和物流两大问题,又培养了客户对网络的信任。货到付款仍然是中国用户最喜欢的支付方式之一。但是,将支付与物流结合在一起存在很多问题。首先,付款方式采用现金付费,因此只局限在小额支付上,例如卓越网的订单金额不可高于15 000元,对于商家的大额交易则无法实现。其次,由于送货上门受到地区的局限,而EMS费用又较高,所以顾客选择最多的还是普通邮寄,这就会带来必然的时间损耗,给用户造成不便。比如当当书店送
4、货上门服务,送到北京市内读者手中需12天,而送到其他城市则需37天,普通邮寄则是更需12周,这还不包括边远地区。送货上门单张订单购物金额满30元免5元平邮费用,单张订单购物金额满200元免加急费用,这个费用对于小额购物的顾客来说是无法接受的。23 网上支付所谓网上支付,是以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以二进制数据形式存储,并通过计算机网络系统以电子信息传递形式实现的流通和支付。2006年网上支付在整个电子支付市场规模中所占的比例为97,网上支付仍是电子支付形式中的绝对主力,国内目前采用网上支付业务的网上书店总数已超过10万家。网上
5、支付的方式主要有:银行卡支付方式、电子支票支付方式和电子货币支付方式。其中比较成熟的是银行卡支付方式,银行卡支付方式是目前在国内网上购物实现在线支付的最主要的手段。231 网上银行卡转帐支付 网上银行卡转帐支付指的是电子商务的交易通过网络,利用银行卡进行支付的方式。客户通过Internet向商家订货后,在网上将银行卡卡号和密码加密发送到银行,直接要求转移资金到商家银行账户中,完成支付。银行卡的卡类可以包括信用卡、借记卡和智能卡等。我国目前网上银行卡转账支付可以分为有数字证书和无数字证书两种方式。一般的用户如果不去银行申请启用有数字证书保护的网上支付功能,就只能使用无数字证书保护的网上支付。不启
6、用数字证书保护的网上支付在功能上会有一定的限制,例如只能进行账户查询或只能进行小额支付。而启用数字证书保护的网上支付不仅拥有更高的安全性,而且能享受网上银行所提供的全部服务,支付的金额不受限制。 银行卡网上直接转账支付存在着安全性和方便性方面的矛盾,例如要起用数字证书保护,付款人必须经过向银行申请安装数字证书,下载指定软件等多道手续,对有些对电脑操作不熟悉的顾客而言就很难实现了。另外,因客户直接将货款转移到商家的帐户上,如果出现交易失败的情况,那么讨回货款的过程就可能变得非常繁琐和困难。232 第三方支付平台结算支付 第三方结算支付是指客户和商家都首先在第三方支付平台处开立账户;并将各自的银行
7、账户信息提供给支付平台的账户中,第三方支付平台通知商家已经收到货款,商家发货;客户收到并检验商品后,通知第三方支付平台可以付款给商家,第三方支付平台再将款项划转到商家的账户中。这样客户和商家的银行帐户信息只需提供给第三方支付平台,比较安全,且支付通过第三方支付平台完成,如果客户未收到商品或商品有问题则可以通知第三方支付平台拒绝划转货款到商家。而商家则可以在货款有保障的情况下放心发货,有效地降低了交易风险。第三方平台结算支付是当前国内服务数量最多的支付模式。国内当前从事网上支付的企业已经从2004年的10多家增加到现在的50多家,2005年我国第三方支付平台规模增长到161亿元。来自赛迪顾问的调
8、查表明,2007年我国第三方支付平台规模已达到215亿元。国内目前第三方支付公司中,比较知名的有阿里巴巴的支付宝、易趣的安付通、贝宝、腾讯的财付通、易宝、网银在线、银联电子支付、环讯的IPS、云网等等。 由于第三方支付平台的介入,解决了电子商务支付过程中的一系列问题。如安全问题、信用问题、成本问题。与此同时,中国现有的第三方支付平台也存在一定的问题。 (1)中国法律规定只有金融机构才有权吸纳代理用户的钱,其他企业机构不得从事类似活动,支付平台的法律地位也受到一部分人的质疑。 (2)货款在第三方支付平台中滞留的时间内将产生一定的利息,这部分利息如何分配目前也缺乏明确的规范和严格的监督。 (3)支
9、付平台解决的电子商务支付过程中的安全性问题只限于客户和厂商之间,其他安全性问题如客户在支付平台填写银行资料时信息的保密性、有效性和完整性问题还有待进一步解决。 (4)操作还不够简便,客户在使用支付平台时都必须进行一系列繁琐的申请。 (5)贷款会在第三方支付平台的账号中滞留一段时间,非实时性支付带来存款风险,如第三方支付企业不能完全保证货款安全,将大大损害客户和商家的利益。 (6)第三方支付平台可能会被利用,通过捏造虚假交易从信用卡套现,甚至存在可能被利用来进行洗钱的风险。第三方支付的概念和发展现状所谓第三方支付,就是一些和国内外各大银行签约并具备一定实力和信誉保障的第三方支付服务商提供的交易支
10、持平台。在通过第三方支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达、进行发货;买方检验物品后,就可以通知付款给卖家,第三方再将款项转至卖家账户。第三方支付分第三方网上支付、固话支付和移动支付等几种,本文中谈到的第三方支付特指第三方网上支付。第三方支付成功解决了相互不了解的人的交易诚信问题,自身也得到了快速发展。根据艾瑞、易观国际等咨询公司的有关数据,2003年我国第三方支付行业的交易规模不到10亿元,2004年达到74亿元,2009年达到5808亿元,2010年上半年达到4546亿元,预计未来三年内仍会以年均70以上的速度增长。233、第三方支
11、付存在的安全性问题1、信用卡套现、洗钱问题层出不穷由于第三方支付账户可以从一家商业银行账户中充值,再将账户余额转到在另一家商业银行的账户中,因此,利用信用卡进行套现,因为有了第三方支付的帮助变得异常简单。同时,由于支付宝之类的第三方支付兼具资金的收付功能,因此,它不仅存在着信用卡套现的风险,更面临诸如洗钱之类的问题。在支付中,有相当一部分交易属于虚拟货币的交易,比如腾讯公司的Q币,移动通讯公司的话费充值等。因而不排除有些人通过设立多个账户,从事虚假的虚拟货币交易,以此达到转移不法资金,以达到洗钱的目的。2、账户资金被盗、网络诈骗时有发生在淘宝网购物,通过支付宝付款一直被认为是目前最安全的网购方
12、式。然而,近来消费者大量网购资金并未转入支付宝,而是被黑客劫至“中国移动通信集团湖南有限公司电子商务中心”、“北京联动优势科技公司”等第三方支付平台,继而流进骗子的账户。例如,一名由于第三方支付平台监管不严而遭遇网络诈骗的网友表示,自己在某大型网购网站购物时,第一次支付不成功,随后被骗子商家用另一家小型第三方支付平台的链接骗去500元。事发后,该网友分别找到两家支付公司,它们互相推诿,最后只能不了了之,“花钱买教训吧”,该网友很无奈。可见,网民第三方支付账户资金被盗,少数人利用第三方支付工具进行网络诈骗已经成为一个较普遍的社会现象。3、安全保障的技术手段有待改进网络钓鱼是指骗子以低价等作为诱饵
13、,诱使用户在假的网站或冒充的页面付款,从而导致资金损失。根据杀毒软件厂商的最新报告,网络钓鱼的黑色产业链初步形成,其危害已经超过传统的病毒和木马,成为威胁网民利益的第一杀手。近期不断爆发用户按照第三方支付平台的正常操作步骤,资金却被转入到指定账户。可见,第三方支付平台的技术安全保障手段亟待加强。另外,目前第三方支付平台普遍采用的重要技术安全保障手段数字证书,其并不是真正意义的独立第三方CA认证,而是内部建设一套符合实际要求的证书注册审计系统,使自身具备证书申请、审批、下载、证书状态在线查询、证书撤销等功能,然而这种数字证书并没有法律效力。4、第三方支付平台本身不是金融机构目前,国内的第三方支付
14、企业属于非金融机构,是有限责任公司的性质,一旦公司出现破产等情形,则可能引发剧烈的多米诺骨牌效应,导致其他企业的资金链出现问题。因此,即使是附属于某些著名的网站,第三方支付平台也存在一个信用问题。许多第三方支付公司的在途资金已经远远大于它的注册资金。那么,用户的资金放在平台上是不是安全?如何保障这些资金的安全值得政府监管部门的思考。234、国内主流第三方支付平台的安全策略分析1、配合央行加大力度打击信用卡套现、洗钱中国人民银行2010年6月21日公布的非金融机构支付服务管理办法,不仅对作为第三方支付平台的非金融机构做出严格规定,同时也对支付平台的用户加以严格管理,此举无疑会对网络非法套现行为造
15、成打击。例如,支付宝通过其自行研发的网上支付风险监控系统对检控到的违规操作,将冻结该账户资金,支付宝同时还主动和银行联系,要求发卡银行针对套现现象做信用卡网上支付单笔限额的规定。对于杜绝洗钱问题,关键在于对交易双方的身份核查。不少第三方支付平台推出实名认证服务。例如,2005年7月25日开始,支付宝公司推出了“支付宝认证”服务,支付宝公司一直严格遵循中华人民共和国反洗钱法,对用户进行了双重身份认证身份证认证和银行卡认证。2、实名认证、全额赔付应对资金被盗、网络诈骗国内领先的第三方支付平台如支付宝、快钱等目前都采用了多种安全措施。例如,快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认
16、证系统等六道功能,试图将安全隐患压低到最小程度。作为国内最大的第三方支付平台,支付宝的做法更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。3、采用多重技术手段保障用户安全按照艾瑞咨询发布的2010年第三季度第三方支付的市场份额,对比前几名的第三方支付企业的安全技术保障措
17、施(截止2010年12月20日),结果如表1所示。表1主流第三方支付企业的安全技术保障措施第三方支付平台对比项支付宝财付通快钱上海银联易宝SSL加密是是是是是登陆问候语否是是否否安全问题是是是是是登陆验证码是是是是是安全控件是是是是否邮件提示是是是否是口令卡否是是否否数字证书(文件证书)是是是否是手机绑定、信使服务是是是是是登陆、支付密码是否独立是是是是是支付盾(移动证书)是是是否否手机动态口令是否否否否账户安全检查是是是否是二次登陆密码否是否否否银行卡联名服务是否否是是风险实时监控是否否否否(1)采用SSL协议保障底层安全。从表1可以看出,到目前为止,几乎所有主流第三方支付都采用安全套接层协
18、议(SSL协议)作为底层协议,客户机和服务器交换信息前都必须构建安全通道,所有信息都经过加密传输,安全性将大为提高。(2)采用数字证书保护用户账户安全。分析的五家第三方支付平台除了中国银联在线外都推荐使用数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。(3)采用手机验证保护用户账户安全。数字证书安全级别虽然较高,但对于不少计算机入门者来说使用有一定难度,于是支付宝推出了手机短信的动态口令登陆的方式,财付通、支付宝等推出了短信验证服务、信使服务等,既可以保护用户账户安全,还为用户对数字证书的备份、导入等难题提供了解决方案。(4)采用U
19、盾或和银行U盾绑定保护用户账户安全。第三方支付虽然现在还是民营企业,但是为了保护用户账户安全,不少企业向金融机构看齐,不断提升安全保障措施。现在不少第三方支付还可以提供类似于银行网银U盾这样的工具,既方便了用户又保证了用户的使用安全,还有的第三方支付平台和银行加强合作,银行的U盾即可用来登录、管理第三方支付平台的账户。(5)多重安全技术策略确保用户安全。第三方支付平台越来越重视安全性能的开发,从表1中看出像支付宝这样的领军企业,为了用户安全不断创新,采取数字证书、手机动态口令、安全控件和风险实时监控等多重安全策略齐下的方案,大大降低了技术风险。同时,对于数字证书的管理,第三方支付企业应加快与第
20、三方CA机构的合作,使第三方支付企业从证书的颁发者、管理者真正转变成为被认证者。这样,用户的权益将得到法律更多的保护,这对于从根本上保障电子商务交易的安全具有重大的现实意义。4、第三方支付的规范为从个人根本上实现电子支付的安全,2010年6月,央行正式对外公布非金融机构支付服务管理办法对国内第三方支付行业实施正式的监管。根据相关规定,非金融机构提供支付服务需要按规定取得支付业务许可证,成为支付机构,而2011年9月1日成为第三方支付机构获得许可证的最后期限,逾期未取得的企业将不得继续从事支付业务。可见,第三方支付的民营出身将正式纳入央行的金融机构管辖范围,第三方支付本身的信用问题将随之得到圆满
21、解决。用户也不必担心由于第三方支付企业的破产而带来的种种金融风险,正名后的第三方支付将迎来发展的大好明天。三、第三方支付未来的发展方向正如易宝支付副总裁余晨所说的,移动的网络变得越来越开放,越来越像互联网,所以会涌现出大量的内容跟应用,而里面很多都是需要支付平台的。5年前的手机上有十几个功能已经很了不起了,现在苹果的应用商店里有超过25万个应用,爆炸式的内容就丰富了很多。移动互联网的应用增长对支付均有很大的需求。目前,第三方支付依赖互联网平台,而在未来,将会更多的依赖于移动互联网。手机已经成为移动支付或是远程支付不可或缺的手段,同时越来越多的终端开始介入支付领域。来自国外媒体的报道,Googl
22、e已经和eBay初步达成合作,将PayPal支付方案纳入到Android电子市场中,以方便用户在电子市场中购买应用。首先,手机的覆盖远比PC、比传统互联网要大得多,手机的用户群,远远地超过传统互联网的用户群;其次,手机的移动互联网能够获得用户更高的付费意愿,手机上很多看似很无聊,很初级的内容,比如:很简单的音乐,很简单的游戏,很多人仍愿意付费。我们这种支付公司的市场就可以在这些需求中拓展。或许这也是Google和eBay合作的动因。但是第三方支付绝不仅仅只是手机支付这样的移动支付方式。根据艾瑞智慧发布的最新中国手机购物市场研究数据显示,2010年,手机购物以百元以下小额支付为主,50.6%的手机购物用户单次购买金额在100元以下,1000元以上的大额支付仅占4.9%;13.1%手机端用户使用网上银行直接支付,比PC端低7个百分点。手机支付更多的局限于小额支付,这样的方式并不利于第三方支付的发展壮大。移动支付和互联网支付实际上是相互补充的,不能简单地讲支付的发展方向是移动支付,支付的发展方向可能是多元化。越来越多的支付渠道会使得用户有更多的方式来支付。就易宝支付而言,定位“行业支付专家”,主攻的方向就是行业客户,深耕行业,目前易宝支付主要关注航空、电信、保险、教育、行政缴费等。例如,易宝支付与中国联通的网上营业厅合作,为其全国统一的电子渠道提供支付解决方案,实现其网上营业厅的功能。
黑公网安备:91230400333293403D