浅析电子商务中安全支付问题.doc

浅析电子商务中安全支付问题摘 要随着社会进步，计算机、网络和通讯技术日益发展，我国的电子商务应用已经逐渐从幼稚走向成熟，在社会经济中发挥着越来越重要的作用，并改变了人们的生活和消费习惯，然而目前我国电子商务的发展还存在着很多的亟待解决的问题，其中制约电子商务快速发展的主要瓶颈之一就是支付问题。电子支付是指电子交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段，通过网络进行的货币支付或资金流转。电子支付是电子商务系统的重要组成部分。随着互联网技术的迅猛发展,网上金融服务正逐渐被引入成为电子商务的一大发展趋势,电子支付安全成为了电子商务发展的核心和关键问题。只有电子支付同电子商务平衡发展,共同促进,才是真正电子商务时代到来的时候。电子支付是电子商务发展的关键环节和基础条件，没有实时的网上支付手段相结合，电子商务就只能是电子商情、电子合同，而无法实现网上成交。电子支付应该有效的解决了电子商务资金流的问题，所以对于电子商务的发展起到了催化剂的作用，因此，我们要对电子支付有深刻的了解。但是由于电子商务所提供的是一个虚拟的网络环境来进行交易，交易各方对网上交易的安全性有所怀疑，网上支付的发展影响着电子商务活动的参与者。因此，要不断的电子支付进行研究和完善，打消交易各方对电子商务交易安全的疑虑，不断推进电子商务的发展。关键词：电子商务 支付方式 电子支付 安全支付目录前 言1第一章 电子商务支付概述21.1 电子商务与电子支付的关系21.2 电子商务中的支付构成31.3 电子商务中的支付方式41.3.1 传统支付方式41.3.2 网上支付方式61.3.3 移动支付方式8第二章 电子支付技术的研究背景92.1 电子支付的特征92.2 电子支付系统安全性功能92.3 网上安全支付技术102.4 网上安全支付方法122.4.1 智能卡支付122.4.2 电子支票支付122.4.3 电子现金支付132.4.4 微支付系统132.4.5 移动支付142.5 电子支付的发展阶段142.5.1 发展情况142.5.2 交易流程162.5.3 支付流程172.5.4 支付电子化17第三章 电子支付技术的研究目的18第四章 电子支付现状194.1 电子支付国内外应用现状194.2 电子支付产业链模型及其安全性分析20第五章 电子支付存在的问题及解决办法215.1 电子支付的安全问题215.1.1 交易过程存在的安全问题215.1.2 信息及网络存在的安全问题225.1.3 社会诚信体系不健全225.1.4 电子商务支付法律法规不安全225.2 解决办法225.2.1 构建安全的电子支付产业链235.2.2 健全的法律保障体系235.2.3 严格电子支付监督管理机制245.3.4 构建诚信的社会信用环境25结 语26致 谢27参考文献28前 言电子商务这个词，我们经常会碰到，我国已经将电子商务列为一种新的职业。那么，什么是电子商务呢？电子商务是指以信息网络技术为手段，以商品交换为中心的商务活动。我们应该从“电子”和“商务”两个方面来理解这个定义。首先是“电子”，他就是定义中所讲的信息网络技术。一百多年前，人们发明了电话、电报等传输工具，并把它们运用到商业上来。那么，我们是否可以把那时的商务活动称之为电子商务活动呢？很显然，历史没有给予那时的商务这种荣誉。今天有了电子商务，是因为商务活动赖以存在的技术基础发生了革命性的变革，其根本性标志是互联网在商业上的应用。当今国际贸易活动各环节的电子化，覆盖了与电子商务活动有关的所有方面，如网上购物、网上订票、网上缴费、网上招标等。所有这些活动都离不开支付。电子支付与结算技术是电子商务中必不可少的一部分，也是电子商务生存和发展的基础。电子商务支付技术是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金、信用卡、借记卡、智能卡等的支付信息通过网络安全传送到银行或相信的处理机构，来实现电子支付。然而,在线支付同时也引发了支付安全问题,“身份”认证、电子文件认证和网络银行在线支付的法律问题以及税收、货币、金融监管等一系列问题。阻碍中国用户使用电子支付手段的原因主要有两点：对安全性表示怀疑；支付受理环境较差。可见，安全性成为制约电子支付发展的主要原因。因此，构筑安全保障体制，加强安全风险控制，化解非法交易对电子支付的威胁对于电子支付产业发展的尤为重要。第一章 电子商务支付概述根据支付活动的运作模式的不同，可将电子商务领域中现有的支付方式分为三大类：分别是：依靠传统支付体系实现的传统支付方式；依靠Internet网络完成的网上支付方式和依靠通信网络完成的移动支付方式。其中，网上支付方式和移动支付方式因为都具有区别与传统支付方式不同的、利用信息技术手段（Internet网络/通信网络）驱动电子资金流动的特征，常常也被统称为“在线支付”或“电子支付”。1.1 电子商务与电子支付的关系20世纪90年代以来，随着Internet迅速普及，逐步从大学、科研机构走向企业和普通家庭，电子商务也发展成为基于Internet的最新商务形式，由于Internet所具有的随时随地、全天候、跨区域等待性，使得电子商务充分体现出了不同于传统商务的低成本、跨区域、高效率和充分个性话的特征优势。但要充分显示电子商务所具有的优势，就必须具有高效的物流体系和安全快捷的网上支付结算系统，两者都是支撑电子商务发展的重要保障，特别是网络支付结算系统，他关系到整个电子商务活动的资金流问题，而资金能否顺利周转在任何商务活动中都是整个交易的核心所在。在所有目前涉及到资金支付的电子商务交易中，无论是B2B，B2C，C2C的网上交易活动或是其他提供有偿服务的模式中，都对网络支付体系有着不可替代的依赖性。电子支付的优点：1、电子支付结算加速了整个资金流的周转速度，提高了整个电子商务活动的效率。在正常可信的电子商务交易中，在安全有可靠保障的情况下，如采用网上支付方式结算，省去的不仅是完成支付所需要的时间，资金由买方到达卖方的时间要明显快于传统的汇票、邮寄等支付方式；并且由于网络支付的全天候、跨区域的特点，从而大大缩减了结算的时间跨度，解决现实中可能遇到的银行经营网点所限的问题。2、电子支付结算是电子商务降低交易成本的重要基础。主要表现在两方面:一方面是直接的支付成本,另一方面是网上结算能节约相应的物流成本。3、电子支付是电子商务业务流程的关键部分。电子支付与电子商务的交易活动紧密关联，互为条件。电子商务交易不确定，电子支付就不会发生，而网络支付不进行，电子商务也不能最终完成。电子支付是电子商务的核心、最关键的部分，是交易双方实现各自交易目的最重要一步，也是电子商务得以进行的基础条件。1.2 电子商务中的支付构成基于互联网的电子交易系统由客户、商家、认证中心、支付网关、客户银行、商家银行和银行网络七个部分组成。1、客户一般是指利用电子交易手段与企业或商家进行电子交易活动的单位或个人，他们通过电子交易平台与商家交流信息，签订交易合同，用自己拥有的网络支付工具进行支付。2、商家商家是指向客户提供商品或服务的单位或个人。在电子支付系统中，它必须能够根据客户发出的支付指令向金融机构请求就算，这一过程一般是由商家设置的一台专门的服务器来处理的。3、认证中心认证中心是交易各方都信任的公正的第三方中介机构，它主要负责为参加电子交易活动的各方发放和维护数字证书，以确认各方的真实身份，保证电子交易整个过程的安全稳定进行。4、支付网关支付网关是完成银行网络和Internet之间的通信、协议转换和进行数据加、解密，保护银行内部网络安全的一组服务器。它是互联网公用网络平台和银行内部的金融专用网络平台之间的安全接口，电子支付信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统。5、客户银行客户银行是指为客户提供资金账户和网络支付工具的银行，在利用银行卡作为支付工具的网络支付系统中，客户银行又被称为发卡行。客户银行根据不同的政策和规定，保证支付工具的真实性，并保证对每一笔认证交易的付款。6、商家银行商家银行是为商家提供资金账户的银行，因为商家银行是根据商家提供的合法账单来工作的，所以又被称为收单行。客户向商家发送订单和支付指令，商家将收到的订单留下，将客户的支付指令提交给银行，然后商家银行向客户银行发出支付授权请求，并进行他们之间的清算工作。7、银行网络银行网络是银行内部及各银行之间交流信息的封闭的专用网络，通常具有较高是为稳定性和安全性。1.3 电子商务中的支付方式1.3.1 传统支付方式传统支付方式的共同特征是“网上交易、网下结算”，即：消费者和商家之间只利用网络完成信息检索、定单处理、合同草拟等“信息流”的传递，而“资金流”的传递则是使用现金、票据等传统金融工具来实现的一类支付方式。传统支付方式在电子商务发展的初期阶段、在线支付环境还很不成熟的时候，是完成电子商务交易结算的主要途径。目前，在电子商务领域中常见的传统支付方式包括有：1、 货到付款货到付款即人们俗称的“一手交钱、一手交货”。买家在网络上选定要购买的商品后，在支付方式中选择“货到付款”支付方式，等所购商品实际送达并验证质量无误后，再把货款当面交付给送货人（也就是收款人）。这是目前国内电子商务活动中最流行的支付方式之一。货到付款最大的优点在于货物和资金的交割发生在同一时点上，因而可以尽可能地保持交易双方权利和义务的对等、保护商家的货物和消费者的资金，因此货到付款也被一些电子商务网站称为“零风险支付”。相比货到付款的优点，这种支付方式也存在着一些明显的缺点，主要有：（1）消费者需要额外支付送货费用，从而增加了购买成本。（2）商家需要面对由于送货员（收款员）个人信誉缺失所造成的风险。特别是在电子商务发展的初期，小的物流公司频繁发生送货员（收款员）携款潜逃的事件，给商家造成了一定的风险和损失。（3）受地域限制，目前大多数电子商务交易都只能支持大中城市和交通便利的城市交易，大多数的偏远地区仍无法到达，或费用高昂，无法充分体现电子商务本身所应具有的跨地域交易优势。此外，由于货到付款中收取的一般为现金，因而现金运输、存储过程中的安全性、伪钞风险等现金交易的固有成本也是商家所要承担的，这些都无形中增加了电子商务活动的总成本。2、 邮局汇款邮局汇款是消费者先通过邮局向商家指定的地址汇款，商家再收到汇款或通过传真等方式确认了消费者的汇款信息后，再按照消费者定单的要求发货。邮局汇款的优点在于我国邮政网络发达，遍及全国大小城镇，特别是在经济和金融还不发达的小城镇，使用邮局汇款可以帮助消费者轻易跨越地域限制，获取自己想要的商品。此外，我国的邮政系统在公众心目中的信任程度很高，对于一些注重交易安全的传统交易者来说，可能更倾向于使用邮局汇款的支付方式。邮局汇款的缺点是：（1）交易双方地位不平等：在这种支付方式中，交易的主动权掌握在商家手中，商家可以控制发货时间甚至决定是否发货。消费者的汇款一旦发出，就不再拥有该交易的控制权，因而无法有效对消费者权益实施有效的保护。在2004年，国内一家著名电子商务网站就曾发生过商户利用要求消费者必须采用邮局汇款方式支付，进行恶意欺诈的事件，使该网站不得不专门刊登证明来要求交易者小心。（2）速度比较慢：普通汇款一般需要57天才能到达，而且收款方很难查询在途汇款，一旦发生退货等意外情况，因为汇款在途，会延迟整个交易结束的时间。 3、 银行汇款（转账）银行汇款（转账）是消费者通过在金融机构网点向商家指定的银行账户汇款（转账），来完成电子商务资金结算的一种支付方式。银行汇款的优点是速度比较快（特别是同一银行的系统内汇款）、资金比较安全（由于指定了支付账户，可防止使用邮局汇款单冒领汇款的欺诈现象），而且具有交易的可跟踪性，一旦发生交易纠纷或欺诈行为，买家可以通过法律途径从银行获取相应的账户信息和交易细节证据。银行汇款的缺点主要有：（1）跨行转账手续繁琐，消费者为加快汇款速度不得不选择商家指定账号的同名银行对应网点。（2）小城市和偏远地区的网点少，消费者很难及时找到对应的银行网点。（3）各行的手续费标准不完全统一，买家可能因为选择了收费较高的汇款行而支付更多费用。此外，目前银行网点（特别是工、农、中、建等大行的网点）普遍存在业务繁忙、等待时间长的问题，从而增加了买家的时间成本。1.3.2 网上支付方式 和传统支付方式相比，网上支付方式的共同特征是“网上交易、网上结算”，其本质是在Internet网络上实现传统支付方式的电子化，是传统支付体系向网络的延伸。这是最能体现电子商务优势、代表电子商务领域支付未来的支付方式之一。目前，在电子商务领域中常见的网上支付方式包括有： 1、 网上银行卡银行卡是由银行发行的，具有存取现金、转账、消费、信用等功能的结算支付方式。使用银行卡进行网上支付是目前最为普遍的一种网上支付方式。使用银行卡进行网上支付具有如下优势：（1）交易实时性：银行在接受支付指令时会实时验证账户余额和透支限额，并进行即时扣款，降低了盗用和拒付风险。（2）高安全性：目前在银行卡网上支付中普遍被采用的SSL安全认证协议符合国际通用标准，而且买家是在银行提供的支付网关上填写金融信息，从而保护了买家账户的安全。（3）强制记录性：目前国内买家在使用银行卡支付前必须在相应开户行开通网上银行服务，获取数字证书。同时，消费者每次在网上进行的支付交易也将被严格记录，方便在出现问题时跟踪追查和获取证据。不过，我国目前的银行卡网上支付方式也存在着一些的缺陷。其中，最主要的问题就是各家银行甚至同一家银行的不同分行、不同的卡品种所提供的支付网关、服务标准、地域范围各不相同，给买家和商家利用银行卡网上支付开展电子商务活动造成了很大的混淆和障碍。目前国内主要的电子商务交易网站基本都提供7、8种以上的银行卡网上支付方式，其中既有各家银行提供的独立性支付网关，也有第三方授权机构提供的综合性支付网关，这给交易者选择和网站维护都带来了一定的困难。2、 电子现金电子现金是一种以数据形式流通的货币，它把现金数值转换成一系列的加密序列数，通过这些系列数来表示现实中各种金额的币值。使用电子现金要求电子现金发行者（银行或商家）与电子现金接收者之间预先建立协议授权关系，通过专门软件建立电子现金的完全认证，由发行者负责完成买家和商家之间实际资金的转移。 电子现金的优势在于完全脱离了实物载体，使用户的支付更为方便，此外电子现金采取的是匿名发行，具有不可跟踪性，很好的保护了买家的隐私；由于电子现金一般采取软、硬件结合的加密算法，每一组序列数都具有随机性和唯一性，因而可以更好的防伪造；此外电子现金和实物现金一样具备可转让性、可分割性（大面值的电子现金可以分割成小面值电子现金进行准确支付）、离线可用性（不需要像银行卡一样每次支付都必须经过发行机构的认证），因此在网上支付特别是小额支付的电子商务应用中具有很广阔的发展前景。虽然将电子现金应用于网上支付具有很多非常显著的优势，但从国际范围的电子现金应用现状来看，还有许多问题在阻碍着电子现金的进一步发展。比如支持电子现金的银行和商户数量较少、对软硬件技术要求较高、跨国使用电子现金时存在着货币兑换问题、国际税收问题、洗钱问题及对现有金融秩序、货币供应、汇率稳定的冲击问题等等。 3、 电子钱包电子钱包是以智能卡为载体的电子现金支付系统，应用于多种用途，具有信息存储、电子钱包、安全密码锁等多种功能。在电子钱包中可以装入电子现金、电子银行卡、所有者的地址信息、身份认证信息等多种信息。电子钱包的最大优点就是一“卡”多用途，特别是在网上支付的过程中，可以通过单一点击完成购物支付过程，不必重复填写到货地址、账户信息、认证信息等内容，从而提高了支付效率。电子钱包的缺点主要是需要在商家认证的电子钱包服务系统中运行，商家为了支持电子钱包需要额外的维护和硬件成本，更由于电子钱包的发行者不同、发行标准不统一而限制了电子钱包的推广使用。4、 电子支票（转账）根据2004年美国21世纪支票交换法案中的定义：电子支票是客户向收款人签发的数字化支付指令，它通过互联网或无线接入设备来完成传统纸质支票的所有功能。即电子支票实质为数字化信息，从签发出票到最终清算完成的整个过程均为无纸化操作，其载体为智能卡，利用密钥进行的电子签名，与基于纸质支票的电子提示支票有显著区别。与传统支票相比，电子支票具有节省时间、减少纸张传递费用、没有退票、灵活性强、易于保存和检索等优势。但是，电子支票的整个事务处理过程要经过银行系统，而银行系统又有义务出文证明每一笔经它处理的业务细节，因此对于一些非常重视隐私的群体来说，电子支票并不是一个很好的选择。1.3.3 移动支付方式移动支付方式是伴随着通讯技术的发展和手机在国内的广泛普及而产生的，其主要特征就是“网上交易、掌上结算”。移动支付方式为每个移动用户建立一个与其手机号码关联的支付账户，其功能相当于电子钱夹，为移动用户提供了一个通过手机进行交易支付和身份认证的途径。目前移动支付的应用（特别是在小额支付领域中的应用）正在快速增长，已经被越来越多的人所接受。移动支付方式作为目前最新型的一种支付方式，具有以下一些主要的优点：（1）速度快：移动支付是目前为止速度最快的一种支付方式，买家可以利用手机随时随地完成支付过程。（2）安全程度高：在整个移动支付过程中，从手机终端到银行端采用的是全程加密，特别是手机与卡、卡与账户的绑定机制，能够保证客户账户资金的安全。（3）操作简便：目前的移动支付方式在手机端可采用人性化操作界面，用户只需按界面提示步骤完成操作过程即可。虽然发展前景广阔，但是作为一种新生事物，移动支付还存在着一些发展过程中的不完善之处。目前移动支付方式最主要的缺点包括有：（1）技术不完全成熟：国内目前主要的移动支付方式是通过短信技术实现的，由于这种技术使用的是非常低速的信令信道，因此有时无法保证交易实时性。最近也有少数的几家国内商业银行同时提供了基于WAP、Brew等技术手段的移动支付服务，但由于受限于手机型号，也不能很好地推广。（2）服务兼容性差：现有的移动支付方式是由各家银行分别和运营商联系推出的，提供的服务内容、资费标准、操作方式都各不相同，容易给用户造成额外的费用和认知的混淆。（3）支付功能有限：现在移动支付方式主要还是针对一些如电话卡充值、铃声下载等数字电子商务产品提供的支付，针对大宗、实物产品的支付还很少，功能还有待与进一步开发。第二章 电子支付技术的研究背景2.1 电子支付的特征1、数字化的支付方式电子支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项；而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体的流转来完成款项支付的。2、开放的系统平台电子支付的工作环境是基于一个开放的系统平台（即因特网）之中；而传统支付则是在较为封闭的系统中运作。3、先进的通讯手段电子支付使用的是最先进的通信手段，如因特网、Extranet；而传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，一般要求有联网的计算机、相关的软件及其它一些配套设施；而传统支付则没有这么高的要求。4、明显的支付优势电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机，便可足不出户，在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。2.2 电子支付系统安全性功能网上支付涉及到大量资金流的转移以及个人隐私或商业机密，而这种支付是发生在开放性程度非常高的互联网，未经保护的支付数据极易被竞争对手获取，造成严重损失。一个安全的支付系统至少应具备以下基本功能： 1.数据保密：交易过程中产生的与支付有关的数据应该被严格保密，除交易双方以及被授权第三方外，均无法（或很难）看懂交易数据，保护交易的私密性。 2.数据完整：支付数据在网络上传输过程中的完整性和有效性，即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。数据输入时的意外差错或欺诈行为，数据传输中信息的丢失、重复、错序、被篡改，都可能导致贸易各方信息的差异。因此，网上交易的信息要能做到确保其完整性，即要求接收者收到的数据与原始数据相同。3.身份认证：网上支付是在交易双方不见面的情况下进行的，因而证对方确实是即将要进行的交易的另一方是非常重要的，它将关系到电子商务交易的成败。4.访问控制：在身份认证完成后，支付系统便可确定此用户有何种权限，这种权限能访问到哪些受保护的数据。 5.审计能力：网上支付数据是非常重要和敏感的，详细记录用户和系统的行为对事后审计的意义无疑是巨大的。2.3 网上安全支付技术 1.数据加密技术。数据加密是保证网络通信机密性的常用手段，其基本原理是用基于数学算法的程序和保密的密匙对信息进行编码，生成难以理解的字符串，即把明文变成密文的过程，反之，把密文转变成明文的过程称之为解密。客户在网上支付时，支付数据首先被加密，加密后的数据经过互联网传输到交易的另一方，接受支付方用事先约定好的密匙对加密数据进行解密，就可以实现支付双方机密的信息通信。数据加密不同于信息的隐藏，它的目的并不是不让人看见文字，数据加密只是将信息转化为可见的但看不出意义的字符串。 根据数据加密和解密使用同样的密码与否，有两类加密体制，即对称加密体制（私有密钥加密体制）和非对称加密体制（公开密钥加密体制）。 2.PKI技术。网上支付首先是要确定网上参与交易的各方（ 如持卡消费户、商户、收单银行的支付网关等）的身份，目前广泛采用的PKI（Public Key Infrastructure，公钥基础设施）体系结构采用证书管理公钥，通过第三方可信机构CA(Certificate Authority)管理公钥，把用户的公钥和用户的其他标识信息捆绑在数字证书中，相应的数字证书（Digital Certificate）就是代表用户的身份的。通过检查数字证书就可方便的确认对方的身份。另外，PKI体系结构把对称加密体制和非对称加密体制结合起来，实现了密钥的自动管理。 3.数字证书与CA。数字证书是实现网上支付认证的基本技术，可以用来验证用户或网站的身份。利用数字证书提供的功能，可以方便的实现网络数字签名、数字信封，结合数字摘要技术则可以实现网上支付数据完整性和不可否认性。 数字证书是由权威的、公正的认证机构管理的，称为证书权威机构（CA）。各级认证机构按照根认证中心（Root CA）、品牌认证中心（Brand CA）以及持卡人、商户或收单银行（Acquirer）的支付网关认证中心（Hold Card CA,Merchant CA或Payment Gateway CA）由上而下按层次结构建立的。4.SSL和SET。SSL协议在网络上普遍使用，它能保证双方通信是数据的完整性、保密性、交互操作性，在安全要求不太高时可用。它包括：（1）握手协议。即在传送消息之前，先发送握手信息以相互确认对方的身份。确认身份后，双方共同持有一个共享密钥。（2）消息加密协议。即双方握手后，用对方证书（RSA公钥）加密一随机密钥，在用随机密钥加密双方的信息流，实现保密性。由于该协议被IE、NESCAPE等浏览器内置，实现起来非常方便。目前的B2C网上支付大多采用这种方法。在中国利用某些银行提供的网上直接扣可以方便地实现基于此协议的网上支付。SSL使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传给商家，如同使用一个安全电话连接将用户的信用卡通过电话读给商家。虽然SSL握手协议可以用于双方互相确认身份，但实际上基本只使用客户认证服务器身份，即单方面认证。这一协议不能防止心术不正的商家的欺诈，倘若该商家掌握了客户的信用卡号。商家欺诈是SSL协议所面临的最严重的问题之一。SET是实现在开放的网络（Internet或公众多媒体网）上使用付款卡（信用卡、借记卡、取款卡等）支付的安全事务处理协议。他的实现不需要对现有的银行支付网络进行大的改造。该协议的1.0版本于1997年5月31日发布。SET规定了电子商务支付系统各方购买和支付消息传送的流程。电子商务支付系统的交易三方为持卡人、商家和支付网关。交易流程为：持卡人决定购买，向商家发送购买请求；商家返回同意支付等信息；持卡人验证商家身份，将定购信息和支付信息安全传送给商家，但支付信息对商家来说是不可见的（用银行公钥加密）；商家验证支付网关身份，把支付信息传给支付网关，要求验证持卡人的支付信息是否有效；支付网关验证商家身份，通过传统的银行网络到发卡行验证持卡人的支付信息是否有效，并把结果返回商家；商家返回信息给持卡人，送货；商家定期向支付网关发送要求支付信息，支付网关通知卡行划账，并把结果返回商家，交易结束。安全电子交易使用的安全技术包括加密（公开密钥加密、秘密密钥加密）、数字信封、数字签名、双重数字签名、认证等。他通过加密保证了数据的安全性，通过数字签名保证了交易各方的身份认证和数据的完整性，通过使用明确的交互协议和消息格式保证了互操作性。由于它实现起来比较复杂，每次交易都需要经过多次加密、HASH及数字签名，并且须在客户端安装专门的交易软件，因此现在使用该协议的电子支付系统并不多。目前中国银行的网上银行中的支付方式是基于SET。2.4 网上安全支付方法2.4.1 智能卡支付严格来说使用智能卡支付网上交易货款并不是真正意义上的网上支付，支付过程实际上发生在网上商户和银行之间，交易安全性基本由商家的信用决定，对买家来说存在被欺诈的风险。但这却是经常使用的网上交易的资金支付方法。 其基本流程为： （1）在实际商品、相关服务与资金流动发生之前，由客户通过安全方式将智能卡信息传送给商家； （2）商家验证客户身份为智能卡账户所有者； （3）商家把智能卡收费信息和数字签名发送给其银行或在线智能卡处理器； （4）银行或处理方把信息送给客户银行进行授权； （5）客户银行为商户返回智能卡数据、收费确认和授权； （6）网上智能卡支付完成。 2.4.2 电子支票支付电子支付支票和传统的支票形式几乎有着同样的功能和内容；不同点在于传统的支票需要支票人的签名，而电子支票需要经过数字签名，被支付人数字签名背面，使用数字凭证确认支付者，被支付者身份支付银行和账户。金融机构使用已签名和认证的电子支票进行账户存储。其基本流程为： （1）购买电子支票：买方首先必须在提供电子支票服务的银行注册、开具电子支票，注册时可能需要需要输入信用卡和银行账户信息，以支持开设支票、电子支票应具有银行的数字签名。 （2）电子支票付款：买方用自己的私钥在电子支票上进行数字签名，用卖方的公钥加密电子支票。只在卖方可以收到已使用卖方公钥加密了电子支票，用买方的公钥确认买方的数字签名后，向银行进一步认证电子支票后即可发货给买方。 （3）清算：付款人银行和收款人银行通过类似自动清算网络进行清算，并对清算结果向付款的和收款人进行反馈。（4）银行进一步确认电子支票；卖方发货给买方。 2.4.3 电子现金支付电子现金也叫数字现金，是数字化的现金，拥有现金的大部分优点却没有现金的缺点，电子现金特别适用于实现低成本的在线小额支付。 目前，数据安全保护等技术已经基本可以保障数据本身的安全性，像数据被篡改这类恶性事件发生的概率很低，基本可以保证网上资金支付的成功。但是网上支付技术不是万能的，这些技术只能保证资金划拨成功，却无法保证交易的最终成功。网上欺诈事件还是时见报道。因此，用户在进行网上交易时应尽量选择安全的支付方式，比如安付通或支付宝这样的有第三方参与交易的支付方式。 2.4.4 微支付系统在满足安全性的前提下，有昼少的信息舆、较低的管理和存储需求，即速度和效率要求比较高，这种支付形式称为微支付或小额支付，目前国内应用最广泛的网上短消息服务属于典型的微支付方式。 2.4.5 移动支付移动支付也称手机支付，就是允许移动用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。它首先在发达国家被应用，随后在全球推广。移动支付的一个重要方向，是使手机成为真正的“电子钱包”，比如在交通运输、超市购物、餐馆消费等领域实现“手机支付”。2.5 电子支付的发展阶段电子支付的发展阶段第一阶段是银行利用计算机处理银行之间的业务，办理结算。第二阶段是银行计算机与其他机构计算机之间资金的结算，如代发工资等业务。第三阶段是利用网络终端向客户提供各项银行服务，如自助银行。第四阶段是利用银行销售终端向客户提供自动的扣款服务。第五阶段是最新阶段也就是基于Internet的电子支付，它将第四阶段的电子支付系统与Internet的整合，实现随时随地的通过Internet进行直接转账结算，形成电子商务交易支付平台。2.5.1 发展情况2005年被称为中国的电子支付元年，这一年中国电子支付市场高速增长，并且很多电子支付法规也得到了完善，中国的电子支付实现了飞跃式增长。2006年，电子支付产业依然保持着快速的增长，网上支付、移动支付、电话支付等多种支付形式的出现加快了整个产业发展的步伐，在企业业务结算中，电子支付与其它交易结算形式相比，使用率较高，在某些企业中已超过了60%。货到付款、邮政汇款、银行电汇等传统形式仍有一部分忠实的使用者，所占比率分别为39.4%、12.3%和6%。2007年第一季度中国第三方支付市场交易额规模达到160亿元，比上一季度增长了33.3%，与2006年同期相比，增长了4倍多。2007年第2季度，中国第三方电子支付市场中互联网支付（非独立）达115.14亿元，互联网支付（独立）达52.05亿元，第三方手机支付达3.39亿元，第三方电话支付达0.76亿元。2007年第三季度，中国第三方电子支付市场规模中支付宝以47.10%的市场份额排名第一，腾讯财付通以18.00%的市场份额排名第二，中国银联电子支付以13.30%的市场份额排名第三。中国第三方电子支付市场交易额总规模在2007年第4季度已达到229.24亿元。在第三方电子支付市场中，支付宝，China pay和财付通位列交易额排名前三位。中国第三方电子支付市场交易额总规模在2008年第1季度已达到454.67亿元。其中互联网支付达417.59亿元，第三方手机支付达35.2亿元，第三方电话支付达1.88亿元。2008年第2季度达到539.89亿元环比增长19%。其中互联网支付达505.12亿元，第三方手机支付达32.81亿元，第三方电话支付达1.96亿元。2008年第3季度达到661.99亿元，环比增长率达23%，也高于上季度19%的环比增长率。其中互联网支付达623.58亿元，第三方手机支付达36.25亿元，第三方电话支付达2.16亿元。 2008年的全球经济危机对中国网络经济和各个行业带来了深刻影响。但是对于发展快速的网络购物行业而言，经济危机反而成为继非典之后网购市场发展的新一个契机。经济危机下网络购物最核心的几大优势更为明显地凸显出来。国内的电子支付行业仍在稳步前行，并且，金融危机对整个电子支付行业来说反而是一个非常好的机遇。近几年来，随着Internet和电子商务的迅速发展，特别是信息安全技术的进步，电子支付技术也不断发展，支付手段越来越多。西方发达国家在电子支付工具的研发和推广方面投入巨大，大都建成了覆盖全国的电子金融结算网络，如美国的FEDWIRE、国际上的SWIFT与CHIPS资金支付结算网络等，为电子支付提供了良好的支撑环境。这些国家的电子支付已基本普及，为网络时代电子商务的发展奠定了基础。例如，以美、日为代表的发达国家在20世纪80年代就已经普及了信用卡。我国的电子支付建设起步较晚，发展水平同发达国家存在很大差距。但我国近年来推广电子支付的力度较大，自20世纪90年代以来实施了如“三金工程”等一系列信息化工程和中国国家现代化支付系统的建设，为电子支付的应用提供了很好的基础。经过多年努力，我国也建成了多个电子支付结算系统。1.银行卡系统20世纪90年代前后，我国的商业银行就先后建立了各自的全国性或地区性的银行卡支付系统，但银行卡只能在本行进行支付结算。从1993年起，政府就开始进行银行卡垮行信息交换中心的建设，并于1997年开通运行。2002年3月份，中国银联股份公司成立，这标志着我国银行卡垮区域的互联互通确立了统一标准。通过银联卡可方便快捷地进行垮行操作。同时，各银行发行的银行卡都已经开通了在线电子支付功能。2.电子汇兑系统电子汇兑系统是用电子手段处理资金汇兑业务的系统，可以提高汇兑效率。目前的电子汇兑系统主要在银行专用网上运行。电子汇兑系统一般采用多级结构，由全国、省级、城市和县级处理中心构成。银行营业点接受客户的汇兑请求后，将相关票据以电子方式发送给相应的处理中心，再由当地的银行营业点面向客户办理取款手续。目前，三分之二以上的异地支付业务都通过电子汇兑系统来完成。3.网络银行系统我国的网络银行是从20世纪90年代后期开始发展的。当时，随着Internet和电子商务的发展，我国的银行开始通过Web页面向用户提供银行业务。目前，网络银行提供的业务主要有在线电子支付、账户余额查询、转账、网上证券、投资理财等。到目前为止，已经有招商银行、中国银行、中国建设银行、中国工商银行等银行建立了自己的网络银行系统。4.中国国家现代化支付系统中国国家现代化支付系统(英文缩写为CNAPS)把商业银行(如中国建设银行)为客户提供的支付服务系统和中央银行为商业银行提供的清算服务系统二者整合在一起，通过这个统一平台，可以提供支付、清算、金融经营管理和货币政策等多种功能，该系统是我国全面实现金融电子化的奠基石。5.邮政金融系统邮政拥有遍布全国城镇、农村的营业网点，因此它开办金融业务有着得天独厚的优势。邮政金融系统主要面向个人客户，提供储蓄、汇兑、支付等多种金融业务。邮政金融系统也加入了银联组织，发行的邮政绿卡可以在任何一个银联网点办理业务。2.5.2 交易流程(1)消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入定货单，定货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。(2)通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。(3)消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入。(4)在SET中，消费者必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到消费者的帐号信息。(5)在线商店接受定单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。(6)在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。(7)在线商店发送货物，或提供服务;并通知通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。2.5.3 支付流程支付流程包括：支付的发起、支付指令的交换与清算、支付的结算等环节。清算（Clearing），指结算之前对支付指令进行发送、对帐、确认的处理，还可能包括指令的轧差。轧差（Netting），指交易伙伴或参与方之间各种余额或债务的对冲，以产生结算的最终余额。结算（Settlement），指双方或多方对支付交易相关债务的清偿。严格意义上，清算与结算是不同的过程，清算的目的是结算。但在一些金融系统中清算与结算并不严格区分，或者清算与结算同时发生2.5.4 支付电子化支付的电子化与创新经历了后端到前端的发展过程。银行后端IT系统与电信网络的应用使货币债权能够被电子化地记录与保存，实现行间支付清算与结算的电子化处理，这个阶段的变革几乎不被公众所注意。银行前端支付工具与渠道的创新则为消费者带来真实的便利，ATM/POS、支付卡、互联网、手机、机顶盒逐步成熟与流行，极大地改变了银行与客户、消费者与商家之间的交互方式，节省成本、提高效率是创新的主要动力。同时，支付交易流程各个环节的电子化程度越来越高，理论上，信息与电信技术使整个支付流程能够以电子化的方式进行全程自动化处理。第三章 电子支付技术的研究目的在信息安全所涉及的众多领域中，电子支付是最为引人注目的一个，其原因有两点：一是它和金钱直接挂钩，稍有差池就会带来巨大的经济损失，并且引起整个金融链的恐慌。二是其客户端分布广泛，形式各异，再加上应用水平参差不齐，难以形成统一标准的安全技术平台。受中国传统文化的限制，很多人宁肯相信硬件也不相信软件，因为诚信比支付更难解决。在缺乏诚信的大背景和环境下，消费者不论是在网上还是在线下，都不喜欢用电子支付，因为面对面的交易存在诚信问题，更不用说是远程交易。所以通过电子支付的方式，很多人会心存戒备，普及起来也十分的困难，这就使得电子支付陷入困境。不但诚信是挡在电子支付面前的阻碍，如行业监管、支付安全、消费者习惯的改变、风险管理和新技术的推出等等一系列问题，都是电子支付发展的瓶颈。我们知道，采用电子支付最重要的就是方便、快捷、高效、经济等优势。用户只要拥有可以上网的终端设备，便可足不出户地完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。然而另一方面，这些优势的建立，需要电子支付的工作环境是基于一个开放的系统平台之中，而不像传统支付，是在较为封闭的系统中运作。这就带来了安全上不可避免的隐忧。可以说，世界上没有绝对的安全，任何安全都是相对的，电子支付同样如此。不管是在线支付、电话支付还是手机支付，它们最终都会落实到互联网技术上。在开放的互联网中，它们也完全会有受到攻击的可能。而且，目前的电子支付系统也可能会出现各种各样的漏洞，电脑黑客和病毒程序都有可能会利用这些漏洞非法侵入，盗转网民资金。但是，这些只是技术上的问题，完全可以通过技术手段来解决。目前，防止非法入侵的防火墙技术和防止信息泄露的SSL、SET加密传输协议等技术手段都在不断进步与更新。由此看来，电子支付的安全问题，实际上是一个牵连甚广的应用问题。电子商务发展所要求的开放的支付环境，需要金融和通信、互联网等产业之间的融合，而这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同，因此一些在国外成功的经验并不能简单套用，这就使得电子支付需要面对的安全问题进一步复杂化。也许，这种应用上的困惑最终还要应用来解答，而从实际用户群的习惯、行业特征出发，推出不同的电子支付方式，才是掌握电子支付安全钥匙的唯一途径。第四章 电子支付现状4.1 电子支付国内外应用现状20世纪90年代初，美国，加拿大，日本等国的厂商如IBM、惠普、微软、SUN等，纷纷退出自己的电子商务产品和各自的解决方案。随着电子商务的发展，各自法规也随之健全，德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。联合国国际贸易法委员会（UNCITRAL）已经完成模型电子商务法的制定工作，为电子交易制订出统一通用的规则。另外，两大国际信用卡组织VISA和MasterCard合作制订的安全电子交易协议（SET）定义了一种电子交付过程标准，其目的就是保护万维网上支付卡交易的每一个环节。SET是专为网上支付卡业务安全所制定的标准。我国的北京、上海、广州等信息产业发展较快的一些城市也已进行了电子商务相关的研究，并于1998年开通了自己的电子商务系统。中国人民银行发布的电子支付指引规定了银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币，并规定信用卡的网上支付不得超过提现额度。随着电子商务的发展，为确保顾客在购买东西的时候不会钱财两空，一种新的支付方式第三方支付出现了，解决了电子商务的瓶颈网上支付信用与安全问题。它充当商家与消费者之间的信用纽带，作为交易各方与银行的接口，消除消费者对商家的顾虑，提供方便、快捷、简易的支付方式。所谓第三方支付，是指为了保障电子商务的支付安全，支付通过买卖双方之间完全中立的一家企业来完成。我国发展电子商务支付系统的现有条件：法律方面。目前我国还没有完整的电子商务法规，数字签名的有效性也没有得到法律的认可，这对电子商务的发展很不利。有关部门正在相继制订有关电子商务的规范和制度。金融业方面。用卡付款代替传统的现金付款已越来越被人们接受，但目前只有少数银行推行了网上银行业务。随着银行间竞争的加剧，各商业银行都把目光投向了网络银行，可以预计一两年内绝大部分的银行都可以实现网上支付。对于支付网关建设，目前各家商业银行已达成了一定的共识。支付网关作为金融专用网和公用网之间的安全接口，有的由商业银行自己建设，有的由多家商业银行联合共建。市场方面。由于电子商务潜在的巨大利润，商家盼望电子商务早日实现。顾客要求方面。电子支付为用户提供了很大的方便，得到了用户的欢迎，但由于电子支付要用户承担一定的风险，所以顾客普遍接受电子支付还需时间。4.2 电子支付产业链模型及其安全性分析电子支付发展所要求的是开放的支付环境，需要金融、通信、互联网等产业之间的融合。当前，众多的市场参与者，包括银行、非银行支付中介、电子商务企业以及消费者，纷纷介入电子支付这一新兴领域，构成了电子支付产业链条。电子支付直接与金钱挂钩，一旦出现问题会带来较大的经济损失，并会在电子支付链中相互传递风险。我们必须收集、分析、鉴别电子支付产业链中的各种交易信息，对其进行安全性分析。电子支付安全性主要有三层涵义：（）完整性。指信息在存储或传输时不被修改、破坏和丢失，保证合法用户能接收和使用真实信息。（）身份真实性。在交易信息的传输过程中，要为参与交易的各方提供可靠标识，使他们能正确识别对方并能互相证明身份，这可以有效防止网上交易的欺诈行为。（）不可否认性。必须防止交易各方日后否认发出或接收过的信息。由此可见，电子支付的安全性对支付模式的管理水平、信息传递技术提出了很高的要求。本文试图从产业链出发，将电子支付安全问题分为两个方面：管理层面的安全交易安全；技