電子商務(Electronic Commerce,簡稱EC)是利用現有的計算機硬體裝置、軟體和網路基礎設施,在通過一定的協議連線起來的電子網路環境下進行各種各樣商務活動的方式。電子商務的一個重要組成部分就是電子支付系統,所謂電子支付,指的是交易各方通過電子手段,比如說銀行的電子存款系統和電子清算系統來記錄和轉移資金的方式。是否具有線上支付功能是電子商務是否完整的一個重要標誌,而支付的安全性又是整個支付過程乃至整個電子商務過程的核心問題。
2 現有電子支付系統的探討與改進
2.1 三種電子支付模型
第一種:基於SSL協議的支付模型
安全套接字層協議(Secure Socket Layer,SSL)是網路安全協議的標準,最早是由Netscape公司提出的一種安全套接層協議,採用公開金鑰技術,目的是保證兩個應用間通訊的保密性和可靠性,可在伺服器和客戶機兩端同時實現支援。SSL使用多種密碼技術和PKI數字證書技術來保護資訊傳輸的真實性、機密性和完整性,主要適用於點對點之間的資訊傳輸。SSL由兩層協議組成:(1)握手協議:描述了協議的建立過程,在客戶機和伺服器之間進行相互的身份認證,並在傳輸資料之前,協商確定加密演算法和會話金鑰。(2)記錄協議:用於對不同的高層協議進行封裝,定義了資料傳輸的格式。
遵從SSL協議的電子交易過程:客戶選擇服務,提交購物請求→商家回覆客戶的購買請求,客戶端瀏覽器提示即將建立與銀行端網路伺服器的安全連線,經過身分認證後,SSL 握手協議介入開始,雙方建立起安全通道→出現相應銀行的支付網頁,顯示從商家發來的相應的.訂單及支付金額資訊,使用者確認後支付。支付成功後,使用者確認離開安全SSL 連線→銀行在後臺把相關資金轉入商家賬號→商家收到銀行發來的付款成功訊息後,傳送收款確認資訊給使用者,支付過程結束。
目前國內大多數銀行的網上銀行業務都是基於SSL協議的。例如招商銀行的“一網通”網上支付業務就是基於SSL協議的典型代表。
第二種:基於SET協議支付模型
SET(Secure Electronic Transaction)協議是針對開放網路上安全、有效的銀行卡交易,由Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構共同研製,為Internet卡支付交易提供高層的安全和反欺詐保證。SET協議實現資訊在Internet上安全傳輸,不能被竊取或篡改;實現持卡人購買訂單和個人賬號資訊的隔離,使商家只能看到訂貨資訊而金融機構只能看到賬號資訊;實現持卡人、商家、支付中心、支付閘道器等交易參與方身份的相互認證;軟體遵循相同的協議和訊息格式,使不同廠家開發的軟體具有相容性和互操作能力,並且可以執行在不同的硬體和作業系統平臺上。
遵從SET協議的電子交易過程:客戶選擇服務,提交購物請求→客戶計算機自動啟用電子錢包的客戶端軟體,使用者取出裡面的電子現金準備支付,SET協議開始介入;客戶端軟體自動與商家伺服器軟體進行SET 協議規定的資訊交換與身份認證,然後自動提取資訊連同訂貨單一起傳送給商家→商家收到資訊並驗證通過後回覆客戶,同時發出結算請求,並將客戶端資訊一起發給支付閘道器→支付閘道器收到支付資訊後,轉入後臺銀行網路處理,在收到銀行端發來的確認資訊後向商家回覆支付成功→客戶收到商家發來的購貨確認與支付資訊後,客戶端軟體關閉,支付過程結束。
國內的網上銀行支付系統基於SET協議的極少,中國銀行是一家。它的CA是中國銀行認證中心(CCA)。持卡人通過Internet由中國銀行主頁中下載電子錢包軟體後,通過Internet線上獲得中國銀行認證中心批准的借記卡網上交易電子證書。
第三種:以支付工具為中介的支付模型
國內除了上述兩種支付方式外,還有種以網上支付工具為中介的支付流程,即第三方支付。這種線上實時的支付方式實質上還是網上銀行。這種支付模式主要解決的不是資訊流在網上傳遞的安全性問題,而主要解決的是,因付款和發貨不同時進行而可能引起的爭執。作為支付工具的第三方當了一個臨時存錢罐的功能。 第三方支付的交易過程:買方在網上選中自己所需商品後就與賣方取得聯絡並達成成交協議,這時買方需把貨款匯到第三方中介賬戶上。中介立刻通知賣方錢己收到可以發貨,待買方收到商品並確認無誤後,中介才會把貨款匯到賣方的賬戶,整個交易就完成了。
第三方支付的典型代表有貝寶公司的PayPal、阿里巴巴旗下的支付寶等。
2.2 SSL、SET協議的不足
SSL協議存在的問題:第一,客戶的資訊首先傳遞到商家,商家可以任意閱讀,這樣客戶資料的隱私性就得不到保證。第二,SSL只能保證資料資訊傳遞的安全,而傳遞過程是否被人擷取無法保證。第三,SSL沒有對應用層的訊息進行數字簽名,因此也無法保證不可否認性。所以,SSL並沒有實現電子支付所要求的保密性、完整性和不可否認性,而且多方互相認證也很困難。
SET協議存在的問題:第一,SET協議使用的對稱加密演算法DES,隨著計算機處理速度和儲存效率的提高,己經不是計算上安全的演算法了。第二,協議沒有擔保非拒絕服務,無法證明交易是否由簽署證書的使用者發出。協議簽名的內容無法保障持卡者和商家,在協議最後收到的簽名,是針對交易內容的認證。第三,協議沒有考慮交易個體的公平性,持卡人的信用卡資訊經過商家轉發,雖然是經過加密的,但無論如何也會留下痕跡,這是個很大的安全隱患。第四,從實用性來講,SET協議對商家系統的開發來說是個不小的負擔,很多的小商戶都會認為成本太高,不甚划算。並且,應用SET協議需要在持卡人端安裝電子錢包,這也是個不太容易讓普通持卡使用者很快接受的地方。還有,SET協議僅僅針對信用卡,對個人信任制度不成熟的我國現狀來說,也是一個制約因素。
2.3 基於SET協議模型的改進
替換密碼演算法:SET協議規定加密演算法為DES加上RSA,而通過上文分析DES加密演算法存缺陷,因此可選擇用IDEA演算法作為DES的代替演算法。IDEA的金鑰長度為128位,是目前公認比較安全的加密演算法。另IDEA和DES演算法同是對稱加密演算法,分組長度都是64位,使用IDEA對原有系統的影響不大。
增加支付中心:由於在SET協議中,商家除了要處理訂購資訊,還要將持卡人發來的包含信用卡賬號等機密資料的支付資訊轉發給支付閘道器,雖然支付資訊是經過加密的,但不免在商家處留下了痕跡,存在著安全隱患。對照現實中商場中“櫃檯”與“收銀臺”相分離,對基於SET協議的電子支付系統進行改進,引入了支付中心這一概念,相當於電子的“收銀臺”。這樣,電子商戶主要承擔商品展示功能,在消費者下訂單後,商戶執行“開票”功能,而“支付”這個敏感,對技術安全性、信譽度要求高的功能由第三方“支付中心”來負責。消費者的支付資訊不必先發送給商家再由商家來發送給支付閘道器,而是傳送給大家都信任的第三方—支付中心。這樣,商家看不到持卡人的支付資訊,銀行也無法獲得持卡人的購買資訊,從而加強了資訊流和資金流在網上實時傳遞的機密性和安全性。
3 結束語
隨著電子商務和金融電子化的日益成熟和不斷髮展,對網路支付的要求也更加嚴格。雖然網路支付工具隨著技術的變化層出不窮,但網路支付並不是非常成熟,只有加強電子支付的安全保障,建立起電子支付業的統一行業規範,完善電子支付的法律體系,才能使我國的電子商務和電子支付具有更強的生命力,在我國經濟建設中發揮更大的作用。
參考文獻:
吳琦.電子商務代表網站及業務模式分析[M].通訊世界,2007.2