电子支付模式比较分析

2011-10-25金丹

湖北开放大学学报 2011年12期

关键词：持卡人发货卖家

金丹

（温州广播电视大学，浙江温州 325000）

电子支付模式比较分析

金丹

（温州广播电视大学，浙江温州 325000）

电子支付是电子商务交易过程中关键的环节，在研究了几种不同支付方式的特点及其流程后，从五个方面来分析比较它们的优劣。并针对这几种支付方式存在的安全问题，分别对网上购物平台提供商、监督机构和交易用户提了几点加强网上购物过程安全性的建议。

电子支付；网上购物；安全

1 .网上银行支付的支付模式分析

根据网上银行所采用的不同协议可分为 SSL协议和SET协议两种。

1.1 以SSL协议为基础的支付模式

目前国内大多数银行的网上银行业务都是基于 SSL协议的。只要您持有该银行的银行卡，然后到银行柜面办理个人网银签约开户手续就可以开通网上银行。各大银行对网上支付采用了先进的加密技术，持卡人在使用网上支付时，所有数据都要经过严格加密才能在网上传输。而且银行支付系统全国联网，没有地区限制，直接在浏览器上使用，方便快捷，适用范围广。

当 SSL协议用于电子支付时，持卡用户做客户端，网关作为服务器端，其支付流程如下：

（1）用户通过接入系统，选择相应的服务；

（2）接入系统接收用户的服务请求，同时将请求发往业务网关；

（3）业务网关根据接入系统发来请求中的银行标识信息，将授权请求发往相应的支付服务器；

（4）支付服务器进行相应的数据处理，根据授权请求中的银行标识信息，将请求发往相应的银行支付网关；

（5）银行处理后，银行支付网关将授权响应消息返回给支付服务器；

（6）支付服务器将响应返回给业务网关；

（7）若授权通过业务网关，则将用户服务请求发往业务系统，反之返回认证失败；

（8）业务系统根据用户服务请求提供相应的服务，返回给业务网关；

（9）业务网关将服务响应转发给接入系统；

（10）接入系统将服务响应返回给用户。

1.2 以SET协议为基础的支付模式

国内的网上银行支付系统基于SET协议的极少，中国银行是一家，它的CA是中国银行认证中心。持卡人通过银行主页下载电子钱包（E-Wallet）软件后，通过网络在线获得银行认证中心批准的借记卡网上交易电子证书。银行同时与网上商户签定接受该卡进行网上付费的协议书，并由认证中心在线发给商户网上交易电子证书。

一个以SET协议为基础的电子交易流程如下：

（1）持卡人通过网络浏览器查看商家提供的Web页形式的商品目录；

（2）持卡人选择想要购买的商品；

（3）持卡人得到一张定单表格，它包括：定购商品列表、单价以及包含运输、处理等费用和税收后的商品总价格。这个定单表格可以由商家服务器产生，也可以由持卡人计算机上的电子购物软件产生。一些商家还可以支持持卡人对商品价格的协商。这些都在SET规定的范围之外，但这一过程也应当有具体规范且持卡人和商家要达成一致；

（4）持卡人选择支付手段，SET介入；

（5）持卡人向商家发送填写完毕的定单和选择的支付手段。SET协议要求持卡人必须有签名证书，这一步中持卡人必须对定单和支付手段进行签名；

（6）商家通过收单行向持卡人所在的金融机构请求支付授权。如果授权成功，商家就向持卡人发送定单确认消息。确认定单的消息也可以用SET以外的方式发送；

（7）商家运送定单中规定的商品或实施定单规定的服务；

（8）商家通过收单行请求持卡人的金融机构付款。

SSL和SET都普遍用于电子商务安全领域，它们的目的都是保护交易安全进行，但是使用的技术并不完全相同，因此也带来了安全性方面的差异。SSL和SET都采用公钥方法传递对称密钥，用对称密码方法加密数据。SET协议除了采用公钥机制外，还采用信息摘要和数字签名来确保信息的保密性、可鉴别性、完整性和不可否认性。SSL协议虽然也采用了公钥机制、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但是缺乏一套完整的认证体系，不能提供完备的防抵赖功能。总之，SET协议更复杂、庞大，但是处理速度慢；而SSL协议则简单得多，处理速度比SET协议快。

按照汇款和发货的先后顺序可分为两种：一种是先汇款，再发货，另一种是先发货，后汇款。

1.3 先汇款流程

1.4 先发货流程

在现实的交易中，一般都采用先汇款，再发货的方式。但是这种方式往往被一些犯罪份子利用，制造骗钱的骗局，一旦买家汇款后就消失了。所以建议买家上网购物一定要找官方的或者可靠的网站进行购物，如果商家是要求先汇款后发货的，那么汇款前一定要确定商家的信息是否真实可靠，以免财物两空。

2 .以支付工具为中介的支付模式分析

现在国内网民使用比较多的例如贝宝公司的PayPal、阿里巴巴旗下的支付宝等。这里以支付宝举例子，买方登录淘宝网上平台选购自己所需要的商品，与卖家联系并达成购买协议后，买方将所需的货款汇到支付宝这个第三方账户里。支付宝在收到货款第一时间通知卖家发货，带买方收到商品并确认无问题后，通过支付密码将支付宝的货款再汇至买方的账户，最后双方相互评价。这种支付方式实质上还是跟网上银行相关联的，支付工具只是作为第三方托管机构。

支付宝交易与支付流程如下，其中虚线表示根据根据情况可省略的流程。

其实支付宝就是一个交易平台，简单的来说是为了网上交易而产生的。比方说在淘宝网上，买家和卖家互相不认识，做为买家，当你想购买商品的时候会有什么顾虑呢，因为你并不能像在超市里能够看到真实的商品，因此你付了款后，就担心货是否和卖家所介绍的情况一样；另一方面，做为卖家，你会顾虑你发了货而买家是否会如实付款。怎么解决这个互相信任的问题呢？支付宝就是这么一个平台，我们在淘宝上交易的前提就是都相信这个平台，我们买东西的时候，我们会将款汇入支付宝，支付宝会将这个信息告诉卖家，于是卖家确定付款后发货。当你收到货物的时候，只有你确认货物没问题了，然后告知支付宝，货款可以支付宝卖家了，这样卖家才能真正收到这笔货款。

所以这种支付模式主要解决的不是信息流在网上传递的安全性问题，而主要解决的是，因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。这种模式解决了商家不在持卡人开户行的特约商户中网上实时支付的问题。但也可能引入了一个金融问题:作为临时的存钱罐，第三方某段时间账户有可能积累大量的资金，以及随之产生的管理、法律上的问题。

3 .两种支付模式比较研究

（1）从操作模式上看，用支付宝的方式比较能保证买方的交易安全。因为款项不是直接打给卖方，而是交给第三方的中介机构（即第三方存管），即便买卖出现纠纷，买方可以向第三方的中介机构提出退款的申请。而直接通过银行卡支付，缺乏第三方的中介机构，卖方在发货前就拿到了钱，也就是说主动权在卖方手里，卖方就很可能做出不发货或发次品等网络诈骗行为。或者是卖方先发货，买方收到货品后再汇款，也就是说主动权在买方，买方也有可能做出不汇款或不收货等抵赖行为。因此买卖双方的交易行为得不到很好的保障。

（2）从安全技术上看，两种支付方式都是通过 SSL或SET安全协议加密，一般来说账号密码的传输是比较安全的。但银行卡支付采用“USB Key + 密码”登录认证的方式，安全性相对更高。

（3）从交易风险上看，银行卡直接支付购物，它是实时扣款的，如果操作错误而导致转入错误账户，或者转移金额有误，虽然有记录可查，但追债程序及过程可能繁杂不易；一旦款项进入收款人账户，即使商品交易失败，收款人予以否认，款项转移仍合法完成，难以追回。而支付宝可以有效地控制交易风险，对于付款方，只有在收到卖家的商品对其满意后，支付宝才会将货款划拨到卖家的账户中，如不满意可以申请退款。对于收款方，如果发货之后付款方逾期不确认收货，也没有申请退款，则默认交易成功，支付宝会自动将货款划拨给收款方。相对于银行卡支付，支付宝可以有效地控制交易风险。

（4）从寄存风险上看，支付宝属第三方存管平台，非金融机构。与银行相比，缺乏相对完善的安全管理制度与安全技术保护措施。同时，信用等级方面远不及银行金融机构。一旦终结破产，消费者支付平台上的账户资金可能成立破产债权，无法得到保障。特别是在金融风暴席卷中国的情况下，任何非政府组织机构都存在风险。

（5）从消费额度上看，部分网上银行对网上购物的消费额度和每天地消费次数进行了有效的控制，这可以避免因计算机被入侵后资金大量流失。而支付宝该安全功能则比较缺乏，不宜转入大量资金在账户里。

4 .加强网上购物过程安全性的建议

4.1 对网上购物平台提供商的安全性建议

（1）目前网上银行服务器端的基本上都配置了防火墙、入侵检测和CA认证等安全策略，但在用户交易的前台客户端相当缺乏安全措施，时常给网络不法分子有可乘之机，所以建议加强前台客户端的安全机制。可研发一些网上电子交易前的内存非法进程暂时挂起、漏洞和病毒扫描程序。

（2）可以采用同步密码技术，同步密码技术实际上已经在美国的许多银行证券网站得到采用，用户将会获得一个小型的电子设备，上面会显示出一个密码，这个密码每个三十秒变动一次，并和银行端的系统保持同步。支付宝采用后，用户在登录的时候，将除了输入账户和密码之外，还需要输入六位数、一次性的同步密码（从同步密码匙处获得），这样安全性将获得极大提高。即使网络犯罪者通过钓鱼网站获得了用户的账号和密码，依然无法成功登录。

（3）定期开展网上购物平台漏洞检测，及时升级购物平台的安全补丁与防病和防入侵等安全管理系统。

（4）作为第三方的中介网站要建立和落实网络诚信体制，加强对买卖双方诚信度的管理和监督。随着市场的发展和各项规章的建立健全，如果商家能够申请网上用的工商标识，可信度将得到更大的提高。

4.2 对网上购物运营商监督机构的建议

（1）加强对银行金融机构和第三方存管机构的网络安全管理制度和网络安全技术保护措施的检查。

（2）要求网上购物平台要记录网络每一笔交易，并根据互联网法律法规的要求保留网络日志 60天以上的安全措施。

（3）定期巡查网上交易平台是否已向信产部和公安机关备案登记，是否存在错登和漏登。

（4）对于第三方支付机构中沉淀资金和交易客户保证金的安全问题已经成为监管机构关注的重点。第三方支付机构以后由银行来监管资金流动呢？还是银行签订专门托管协议？这些都有待监管机构出台相应的管理办法。

4.3 对网上交易用户的安全性建议

（1）一定要安装杀毒软件，并定期升级杀毒软件。最好选择具有隐私保护功能（特别是信用卡号以及密码保护功能）的防杀病毒软件。可以将杀毒软件的升级设置成自动升级或者定时升级，并打开杀毒软件的实时监视功能。每个星期都应该对电脑进行一次全面杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。

（2）一旦感染上病毒时，应该立即将杀毒软件升级到最新版本，然后断开网络连接按钮或拔掉网络连接端口，进入安全模式后，在对整个硬盘进行扫描操作，清除一切可以查杀的病毒。

（3）及时安装操作系统补丁，尽量去备份。其实备份是最安全的，尤其对于重要的数据和文章，很多时候，其重要性比安装防御产品更甚。

（4）不要打开不认识的邮件，不要随意下载软件或执行来历不明的软件。要下载就一定要到正规的网站去下载。下载后在文件运行或打开前要对其进行病毒扫描。如果遇到病毒及时清除，遇到清除不了的病毒，及时提交反病毒厂商。

（5）建议在进行电子商务活动或进行网上交易前采用杀毒软件来查杀。网上交易过程中要特别留意浏览网页的变化，比如IE地址栏的详细信息、网页连接、一些可疑的进程等并关注这些网页地址URL的变化情况。有问题及时联系网络银行或者相关专业人士。

（6）注意尽量不要所有的地方都是用同一个密码，这样一旦被黑客猜测出来，一切个人资料都将被泄漏。养成修改网上银行密码的习惯。这个方法对于黑客用穷举法来破解密码很有效。现在有很多密码破解程序可以从网上免费下载，只要加上一个足够大的字典在足够快的机器上日夜运行，就可以获得需要的账号和密码。因此经常修改密码显得尤为重要。此外密码最好由9个以上字符组成，并且大小写混用，如果能穿插一些功能键作为密码，那么将增大破解难度，拉长破解时间。