電子支付模式比較分析

金 丹

（溫州廣播電視大學(xué)，浙江 溫州 325000）

電子支付模式比較分析

金 丹

（溫州廣播電視大學(xué)，浙江 溫州 325000）

電子支付是電子商務(wù)交易過程中關(guān)鍵的環(huán)節(jié)，在研究了幾種不同支付方式的特點(diǎn)及其流程后，從五個(gè)方面來分析比較它們的優(yōu)劣。并針對(duì)這幾種支付方式存在的安全問題，分別對(duì)網(wǎng)上購物平臺(tái)提供商、監(jiān)督機(jī)構(gòu)和交易用戶提了幾點(diǎn)加強(qiáng)網(wǎng)上購物過程安全性的建議。

電子支付；網(wǎng)上購物；安全

1 .網(wǎng)上銀行支付的支付模式分析

根據(jù)網(wǎng)上銀行所采用的不同協(xié)議可分為 SSL協(xié)議和SET協(xié)議兩種。

1.1 以SSL協(xié)議為基礎(chǔ)的支付模式

目前國內(nèi)大多數(shù)銀行的網(wǎng)上銀行業(yè)務(wù)都是基于 SSL協(xié)議的。只要您持有該銀行的銀行卡，然后到銀行柜面辦理個(gè)人網(wǎng)銀簽約開戶手續(xù)就可以開通網(wǎng)上銀行。各大銀行對(duì)網(wǎng)上支付采用了先進(jìn)的加密技術(shù)，持卡人在使用網(wǎng)上支付時(shí)，所有數(shù)據(jù)都要經(jīng)過嚴(yán)格加密才能在網(wǎng)上傳輸。而且銀行支付系統(tǒng)全國聯(lián)網(wǎng)，沒有地區(qū)限制，直接在瀏覽器上使用，方便快捷，適用范圍廣。

當(dāng) SSL協(xié)議用于電子支付時(shí)，持卡用戶做客戶端，網(wǎng)關(guān)作為服務(wù)器端，其支付流程如下：

（1）用戶通過接入系統(tǒng)，選擇相應(yīng)的服務(wù)；

（2）接入系統(tǒng)接收用戶的服務(wù)請(qǐng)求，同時(shí)將請(qǐng)求發(fā)往業(yè)務(wù)網(wǎng)關(guān)；

（3）業(yè)務(wù)網(wǎng)關(guān)根據(jù)接入系統(tǒng)發(fā)來請(qǐng)求中的銀行標(biāo)識(shí)信息，將授權(quán)請(qǐng)求發(fā)往相應(yīng)的支付服務(wù)器；

（4）支付服務(wù)器進(jìn)行相應(yīng)的數(shù)據(jù)處理，根據(jù)授權(quán)請(qǐng)求中的銀行標(biāo)識(shí)信息，將請(qǐng)求發(fā)往相應(yīng)的銀行支付網(wǎng)關(guān)；

（5）銀行處理后，銀行支付網(wǎng)關(guān)將授權(quán)響應(yīng)消息返回給支付服務(wù)器；

（6）支付服務(wù)器將響應(yīng)返回給業(yè)務(wù)網(wǎng)關(guān)；

（7）若授權(quán)通過業(yè)務(wù)網(wǎng)關(guān)，則將用戶服務(wù)請(qǐng)求發(fā)往業(yè)務(wù)系統(tǒng)，反之返回認(rèn)證失??；

（8）業(yè)務(wù)系統(tǒng)根據(jù)用戶服務(wù)請(qǐng)求提供相應(yīng)的服務(wù)，返回給業(yè)務(wù)網(wǎng)關(guān)；

（9）業(yè)務(wù)網(wǎng)關(guān)將服務(wù)響應(yīng)轉(zhuǎn)發(fā)給接入系統(tǒng)；

（10）接入系統(tǒng)將服務(wù)響應(yīng)返回給用戶。

1.2 以SET協(xié)議為基礎(chǔ)的支付模式

國內(nèi)的網(wǎng)上銀行支付系統(tǒng)基于SET協(xié)議的極少，中國銀行是一家，它的CA是中國銀行認(rèn)證中心。持卡人通過銀行主頁下載電子錢包（E-Wallet）軟件后，通過網(wǎng)絡(luò)在線獲得銀行認(rèn)證中心批準(zhǔn)的借記卡網(wǎng)上交易電子證書。銀行同時(shí)與網(wǎng)上商戶簽定接受該卡進(jìn)行網(wǎng)上付費(fèi)的協(xié)議書，并由認(rèn)證中心在線發(fā)給商戶網(wǎng)上交易電子證書。

一個(gè)以SET協(xié)議為基礎(chǔ)的電子交易流程如下：

（1）持卡人通過網(wǎng)絡(luò)瀏覽器查看商家提供的Web頁形式的商品目錄；

（2）持卡人選擇想要購買的商品；

（3）持卡人得到一張定單表格，它包括：定購商品列表、單價(jià)以及包含運(yùn)輸、處理等費(fèi)用和稅收后的商品總價(jià)格。這個(gè)定單表格可以由商家服務(wù)器產(chǎn)生，也可以由持卡人計(jì)算機(jī)上的電子購物軟件產(chǎn)生。一些商家還可以支持持卡人對(duì)商品價(jià)格的協(xié)商。這些都在SET規(guī)定的范圍之外，但這一過程也應(yīng)當(dāng)有具體規(guī)范且持卡人和商家要達(dá)成一致；

（4）持卡人選擇支付手段，SET介入；

（5）持卡人向商家發(fā)送填寫完畢的定單和選擇的支付手段。SET協(xié)議要求持卡人必須有簽名證書，這一步中持卡人必須對(duì)定單和支付手段進(jìn)行簽名；

（6）商家通過收單行向持卡人所在的金融機(jī)構(gòu)請(qǐng)求支付授權(quán)。如果授權(quán)成功，商家就向持卡人發(fā)送定單確認(rèn)消息。確認(rèn)定單的消息也可以用SET以外的方式發(fā)送；

（7）商家運(yùn)送定單中規(guī)定的商品或?qū)嵤┒▎我?guī)定的服務(wù)；

（8）商家通過收單行請(qǐng)求持卡人的金融機(jī)構(gòu)付款。

SSL和SET都普遍用于電子商務(wù)安全領(lǐng)域，它們的目的都是保護(hù)交易安全進(jìn)行，但是使用的技術(shù)并不完全相同，因此也帶來了安全性方面的差異。SSL和SET都采用公鑰方法傳遞對(duì)稱密鑰，用對(duì)稱密碼方法加密數(shù)據(jù)。SET協(xié)議除了采用公鑰機(jī)制外，還采用信息摘要和數(shù)字簽名來確保信息的保密性、可鑒別性、完整性和不可否認(rèn)性。SSL協(xié)議雖然也采用了公鑰機(jī)制、信息摘要和MAC檢測，可以提供保密性、完整性和一定程度的身份鑒別功能，但是缺乏一套完整的認(rèn)證體系，不能提供完備的防抵賴功能?？傊?，SET協(xié)議更復(fù)雜、龐大，但是處理速度慢；而SSL協(xié)議則簡單得多，處理速度比SET協(xié)議快。

按照匯款和發(fā)貨的先后順序可分為兩種：一種是先匯款，再發(fā)貨，另一種是先發(fā)貨，后匯款。

1.3 先匯款流程

1.4 先發(fā)貨流程

在現(xiàn)實(shí)的交易中，一般都采用先匯款，再發(fā)貨的方式。但是這種方式往往被一些犯罪份子利用，制造騙錢的騙局，一旦買家匯款后就消失了。所以建議買家上網(wǎng)購物一定要找官方的或者可靠的網(wǎng)站進(jìn)行購物，如果商家是要求先匯款后發(fā)貨的，那么匯款前一定要確定商家的信息是否真實(shí)可靠，以免財(cái)物兩空。

2 .以支付工具為中介的支付模式分析

現(xiàn)在國內(nèi)網(wǎng)民使用比較多的例如貝寶公司的PayPal、阿里巴巴旗下的支付寶等。這里以支付寶舉例子，買方登錄淘寶網(wǎng)上平臺(tái)選購自己所需要的商品，與賣家聯(lián)系并達(dá)成購買協(xié)議后，買方將所需的貨款匯到支付寶這個(gè)第三方賬戶里。支付寶在收到貨款第一時(shí)間通知賣家發(fā)貨，帶買方收到商品并確認(rèn)無問題后，通過支付密碼將支付寶的貨款再匯至買方的賬戶，最后雙方相互評(píng)價(jià)。這種支付方式實(shí)質(zhì)上還是跟網(wǎng)上銀行相關(guān)聯(lián)的，支付工具只是作為第三方托管機(jī)構(gòu)。

支付寶交易與支付流程如下，其中虛線表示根據(jù)根據(jù)情況可省略的流程。

其實(shí)支付寶就是一個(gè)交易平臺(tái)，簡單的來說是為了網(wǎng)上交易而產(chǎn)生的。比方說在淘寶網(wǎng)上，買家和賣家互相不認(rèn)識(shí)，做為買家，當(dāng)你想購買商品的時(shí)候會(huì)有什么顧慮呢，因?yàn)槟悴⒉荒芟裨诔欣锬軌蚩吹秸鎸?shí)的商品，因此你付了款后，就擔(dān)心貨是否和賣家所介紹的情況一樣；另一方面，做為賣家，你會(huì)顧慮你發(fā)了貨而買家是否會(huì)如實(shí)付款。怎么解決這個(gè)互相信任的問題呢？支付寶就是這么一個(gè)平臺(tái)，我們?cè)谔詫毶辖灰椎那疤峋褪嵌枷嘈胚@個(gè)平臺(tái)，我們買東西的時(shí)候，我們會(huì)將款匯入支付寶，支付寶會(huì)將這個(gè)信息告訴賣家，于是賣家確定付款后發(fā)貨。當(dāng)你收到貨物的時(shí)候，只有你確認(rèn)貨物沒問題了，然后告知支付寶，貨款可以支付寶賣家了，這樣賣家才能真正收到這筆貨款。

所以這種支付模式主要解決的不是信息流在網(wǎng)上傳遞的安全性問題，而主要解決的是，因付款和發(fā)貨不同時(shí)進(jìn)行而可能引起的爭執(zhí)。作為支付工具的第三方當(dāng)了一個(gè)臨時(shí)存錢罐的功能。這種模式解決了商家不在持卡人開戶行的特約商戶中網(wǎng)上實(shí)時(shí)支付的問題。但也可能引入了一個(gè)金融問題:作為臨時(shí)的存錢罐，第三方某段時(shí)間賬戶有可能積累大量的資金，以及隨之產(chǎn)生的管理、法律上的問題。

3 .兩種支付模式比較研究

（1）從操作模式上看，用支付寶的方式比較能保證買方的交易安全。因?yàn)榭铐?xiàng)不是直接打給賣方，而是交給第三方的中介機(jī)構(gòu)（即第三方存管），即便買賣出現(xiàn)糾紛，買方可以向第三方的中介機(jī)構(gòu)提出退款的申請(qǐng)。而直接通過銀行卡支付，缺乏第三方的中介機(jī)構(gòu)，賣方在發(fā)貨前就拿到了錢，也就是說主動(dòng)權(quán)在賣方手里，賣方就很可能做出不發(fā)貨或發(fā)次品等網(wǎng)絡(luò)詐騙行為?；蛘呤琴u方先發(fā)貨，買方收到貨品后再匯款，也就是說主動(dòng)權(quán)在買方，買方也有可能做出不匯款或不收貨等抵賴行為。因此買賣雙方的交易行為得不到很好的保障。

（2）從安全技術(shù)上看，兩種支付方式都是通過 SSL或SET安全協(xié)議加密，一般來說賬號(hào)密碼的傳輸是比較安全的。但銀行卡支付采用“USB Key + 密碼”登錄認(rèn)證的方式，安全性相對(duì)更高。

（3）從交易風(fēng)險(xiǎn)上看，銀行卡直接支付購物，它是實(shí)時(shí)扣款的，如果操作錯(cuò)誤而導(dǎo)致轉(zhuǎn)入錯(cuò)誤賬戶，或者轉(zhuǎn)移金額有誤，雖然有記錄可查，但追債程序及過程可能繁雜不易；一旦款項(xiàng)進(jìn)入收款人賬戶，即使商品交易失敗，收款人予以否認(rèn)，款項(xiàng)轉(zhuǎn)移仍合法完成，難以追回。而支付寶可以有效地控制交易風(fēng)險(xiǎn)，對(duì)于付款方，只有在收到賣家的商品對(duì)其滿意后，支付寶才會(huì)將貨款劃撥到賣家的賬戶中，如不滿意可以申請(qǐng)退款。對(duì)于收款方，如果發(fā)貨之后付款方逾期不確認(rèn)收貨，也沒有申請(qǐng)退款，則默認(rèn)交易成功，支付寶會(huì)自動(dòng)將貨款劃撥給收款方。相對(duì)于銀行卡支付，支付寶可以有效地控制交易風(fēng)險(xiǎn)。

（4）從寄存風(fēng)險(xiǎn)上看，支付寶屬第三方存管平臺(tái)，非金融機(jī)構(gòu)。與銀行相比，缺乏相對(duì)完善的安全管理制度與安全技術(shù)保護(hù)措施。同時(shí)，信用等級(jí)方面遠(yuǎn)不及銀行金融機(jī)構(gòu)。一旦終結(jié)破產(chǎn)，消費(fèi)者支付平臺(tái)上的賬戶資金可能成立破產(chǎn)債權(quán)，無法得到保障。特別是在金融風(fēng)暴席卷中國的情況下，任何非政府組織機(jī)構(gòu)都存在風(fēng)險(xiǎn)。

（5）從消費(fèi)額度上看，部分網(wǎng)上銀行對(duì)網(wǎng)上購物的消費(fèi)額度和每天地消費(fèi)次數(shù)進(jìn)行了有效的控制，這可以避免因計(jì)算機(jī)被入侵后資金大量流失。而支付寶該安全功能則比較缺乏，不宜轉(zhuǎn)入大量資金在賬戶里。

4 .加強(qiáng)網(wǎng)上購物過程安全性的建議

4.1 對(duì)網(wǎng)上購物平臺(tái)提供商的安全性建議

（1）目前網(wǎng)上銀行服務(wù)器端的基本上都配置了防火墻、入侵檢測和CA認(rèn)證等安全策略，但在用戶交易的前臺(tái)客戶端相當(dāng)缺乏安全措施，時(shí)常給網(wǎng)絡(luò)不法分子有可乘之機(jī)，所以建議加強(qiáng)前臺(tái)客戶端的安全機(jī)制?？裳邪l(fā)一些網(wǎng)上電子交易前的內(nèi)存非法進(jìn)程暫時(shí)掛起、漏洞和病毒掃描程序。

（2）可以采用同步密碼技術(shù)，同步密碼技術(shù)實(shí)際上已經(jīng)在美國的許多銀行證券網(wǎng)站得到采用，用戶將會(huì)獲得一個(gè)小型的電子設(shè)備，上面會(huì)顯示出一個(gè)密碼，這個(gè)密碼每個(gè)三十秒變動(dòng)一次，并和銀行端的系統(tǒng)保持同步。支付寶采用后，用戶在登錄的時(shí)候，將除了輸入賬戶和密碼之外，還需要輸入六位數(shù)、一次性的同步密碼（從同步密碼匙處獲得），這樣安全性將獲得極大提高。即使網(wǎng)絡(luò)犯罪者通過釣魚網(wǎng)站獲得了用戶的賬號(hào)和密碼，依然無法成功登錄。

（3）定期開展網(wǎng)上購物平臺(tái)漏洞檢測，及時(shí)升級(jí)購物平臺(tái)的安全補(bǔ)丁與防病和防入侵等安全管理系統(tǒng)。

（4）作為第三方的中介網(wǎng)站要建立和落實(shí)網(wǎng)絡(luò)誠信體制，加強(qiáng)對(duì)買賣雙方誠信度的管理和監(jiān)督。隨著市場的發(fā)展和各項(xiàng)規(guī)章的建立健全，如果商家能夠申請(qǐng)網(wǎng)上用的工商標(biāo)識(shí)，可信度將得到更大的提高。

4.2 對(duì)網(wǎng)上購物運(yùn)營商監(jiān)督機(jī)構(gòu)的建議

（1）加強(qiáng)對(duì)銀行金融機(jī)構(gòu)和第三方存管機(jī)構(gòu)的網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全技術(shù)保護(hù)措施的檢查。

（2）要求網(wǎng)上購物平臺(tái)要記錄網(wǎng)絡(luò)每一筆交易，并根據(jù)互聯(lián)網(wǎng)法律法規(guī)的要求保留網(wǎng)絡(luò)日志 60天以上的安全措施。

（3）定期巡查網(wǎng)上交易平臺(tái)是否已向信產(chǎn)部和公安機(jī)關(guān)備案登記，是否存在錯(cuò)登和漏登。

（4）對(duì)于第三方支付機(jī)構(gòu)中沉淀資金和交易客戶保證金的安全問題已經(jīng)成為監(jiān)管機(jī)構(gòu)關(guān)注的重點(diǎn)。第三方支付機(jī)構(gòu)以后由銀行來監(jiān)管資金流動(dòng)呢？還是銀行簽訂專門托管協(xié)議？這些都有待監(jiān)管機(jī)構(gòu)出臺(tái)相應(yīng)的管理辦法。

4.3 對(duì)網(wǎng)上交易用戶的安全性建議

（1）一定要安裝殺毒軟件，并定期升級(jí)殺毒軟件。最好選擇具有隱私保護(hù)功能（特別是信用卡號(hào)以及密碼保護(hù)功能）的防殺病毒軟件?？梢詫⒍拒浖纳?jí)設(shè)置成自動(dòng)升級(jí)或者定時(shí)升級(jí)，并打開殺毒軟件的實(shí)時(shí)監(jiān)視功能。每個(gè)星期都應(yīng)該對(duì)電腦進(jìn)行一次全面殺毒、掃描工作，以便發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。

（2）一旦感染上病毒時(shí)，應(yīng)該立即將殺毒軟件升級(jí)到最新版本，然后斷開網(wǎng)絡(luò)連接按鈕或拔掉網(wǎng)絡(luò)連接端口，進(jìn)入安全模式后，在對(duì)整個(gè)硬盤進(jìn)行掃描操作，清除一切可以查殺的病毒。

（3）及時(shí)安裝操作系統(tǒng)補(bǔ)丁，盡量去備份。其實(shí)備份是最安全的，尤其對(duì)于重要的數(shù)據(jù)和文章，很多時(shí)候，其重要性比安裝防御產(chǎn)品更甚。

（4）不要打開不認(rèn)識(shí)的郵件，不要隨意下載軟件或執(zhí)行來歷不明的軟件。要下載就一定要到正規(guī)的網(wǎng)站去下載。下載后在文件運(yùn)行或打開前要對(duì)其進(jìn)行病毒掃描。如果遇到病毒及時(shí)清除，遇到清除不了的病毒，及時(shí)提交反病毒廠商。

（5）建議在進(jìn)行電子商務(wù)活動(dòng)或進(jìn)行網(wǎng)上交易前采用殺毒軟件來查殺。網(wǎng)上交易過程中要特別留意瀏覽網(wǎng)頁的變化，比如IE地址欄的詳細(xì)信息、網(wǎng)頁連接、一些可疑的進(jìn)程等并關(guān)注這些網(wǎng)頁地址URL的變化情況。有問題及時(shí)聯(lián)系網(wǎng)絡(luò)銀行或者相關(guān)專業(yè)人士。

（6）注意盡量不要所有的地方都是用同一個(gè)密碼，這樣一旦被黑客猜測出來，一切個(gè)人資料都將被泄漏。養(yǎng)成修改網(wǎng)上銀行密碼的習(xí)慣。這個(gè)方法對(duì)于黑客用窮舉法來破解密碼很有效?，F(xiàn)在有很多密碼破解程序可以從網(wǎng)上免費(fèi)下載，只要加上一個(gè)足夠大的字典在足夠快的機(jī)器上日夜運(yùn)行，就可以獲得需要的賬號(hào)和密碼。因此經(jīng)常修改密碼顯得尤為重要。此外密碼最好由9個(gè)以上字符組成，并且大小寫混用，如果能穿插一些功能鍵作為密碼，那么將增大破解難度，拉長破解時(shí)間。

5 .發(fā)展態(tài)勢

今后，網(wǎng)銀和第三方支付的合作關(guān)系將融入更多的競爭元素，雙方均將進(jìn)一步延伸業(yè)務(wù)，更多的去貼近廣大用戶。網(wǎng)銀將進(jìn)一步拓展網(wǎng)上支付、生活繳費(fèi)等業(yè)務(wù)，爭取更多的電子商務(wù)網(wǎng)站、商戶以及行業(yè)企業(yè)；而第三方支付則進(jìn)一步拓展充值渠道，業(yè)務(wù)也將向日常生活以及信貸、保險(xiǎn)、投資理財(cái)?shù)冉鹑陬I(lǐng)域延伸。

[1] 高雷. 中國電子商務(wù)中第三方支付問題研究[D]. 華北電力大學(xué)，2010.

[2] 羅宇瀟. 電子商務(wù)支付技術(shù)的發(fā)展[J]. 企業(yè)研究，2011，7.

[3] 張春鶴. 銀行網(wǎng)上支付發(fā)展研究[D]. 電子科技大學(xué)，2010.

F724.6

A

1008-7427（2011）12-0095-02

2011-10-15

作者系溫州廣播電視大學(xué)講師。