发布时间:2024-03-27 15:08:17
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的移动支付缺点样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
Research on the Technology of Mobile Payment Security Based on Two-factor Authentication
Cao Wei Zhao Yan
(School of Cyber-Security,PPSUC Beijing 102623)
【 Abstract 】 The safety of mobile payment is the biggest barrier that restricting the development of mobile payment industry .The article describes the technology of remote payment security and analyzes the advantages and disadvantages of the technologies ,then proposes a two-factor authentication method which based on the IMEI of mobile devices.
【 Keywords 】 two-factor authentication;mobile payment;protocol
1 引言
随着智能手机和网络技术的发展,传统的电子商务和网络购物等行为已经不能满足人们对现代生活的需求,智能手机等移动终端上出现的移动银行、网络商铺等应用受到了许多用户的青睐。与此同时,随着智能卡技术在智能手机上的普及,支持手机等移动设备的非接触支付终端也风靡起来。
2 远程移动支付方式及其安全威胁
2.1 移动支付
移动支付,通常也指移动货币、移动钱包等在金融监管下利用移动设备进行的支付服务。根据支付场所可以分为近场支付和远程支付。近场支付是指利用智能手机等移动终端以非接触式的刷卡方式进行乘坐地铁、刷公交、超市便利店的消费、自助购物设备的支付等;远程支付一般则借助相应的手机终端应用程序,如支付宝、财付通等进行支付。
远程支付已经从过去的Web支付方式过渡到现在的利用智能手机客户端的形式,商家可以套用银行客户端的接口在用户付款时跳转到银行的客户端,将付款的模块交给银行客户端来做,当银行收到买家的付款时,发给商家支付成功的指令,此时商家从银行支付页面跳转回来完成支付。有些应用如支付宝、财付通,是介于商家和银行之间的支付应用层的应用程序,他们支持多种银行和网络商家,使用户省去选择银行的不便,因为有的网络商家的客户端支持的银行并不是很多。
2.2 远程支付方式的安全威胁
远程支付方式的安全威胁主要有几方面。
(1)应用程序的来源不一定可靠:智能手机拥有庞大的软件资源,如安卓系统的应用汇、豌豆荚等下载中心,这里提供了数万种安卓应用供用户下载,可是应用的安全性是没有经过验证的,只能用户自己去判断,用户很容易不小心使用山寨应用和捆绑恶意代码的应用。
(2)支付应用和银行方面的身份验证过程中可能受到攻击或窃听:远程支付是依靠暴露在空中的无线信号来传输的,信息极易遭到非法窃取,如果是使用公共WLAN网络进行远程支付则更容易受到攻击。
(3)数据在传输过程中的保密性可能会受到威胁:在交易时双方需要进行身份认证,数据的保密性在交易传递数据信息时需要被考虑到。
(4)网速不理想情况下支付可能造成多次相同交易:移动网络不可能像有线网络一样一直稳定,所以当网络不稳定、信号不佳的情况下可能会由于应用软件异常情况考虑不够周全造成多次相同交易或多次扣款的状况。
3 远程移动支付的安全技术
3.1 移动支付需要保证的安全特性
远程移动支付是依托于移动通信网络进行的,交易过程相对于传统支付更为开放,因此为了使交易能安全可靠地进行,远程移动支付系统设计必须满足几个安全特性。
(1)保密性。由于移动支付开放性的特点,客户端与服务器端的数据通信比传统方式更容易受到非法截取、篡改,数据的保密性必须受到严格的保证;同时,客户的身份信息、支付账户信息等私人数据的可靠传递也是数据传输过程中需要考虑的问题。
(2)数据完整性。移动支付交易必须保证交易过程不被破坏,交易处理过程中,交易的任一方不能任意增加、删除或修改交易数据,并且交易双方需要在接收到对方数据时对数据完整性进行验证。
(3)不可否认性。移动支付必须要提供一种可以防止交易双方抵赖收到对方消息的方法,如时间戳或多次握手协议。当发送方向接收方发送一个消息时,发送方可以确定接收方已经成功接收该消息,同时当接收方接收到某个消息,它也有依据证明这个消息来自于某个发送方。
3.2 移动支付安全问题的现状
存储安全、传输安全、认证安全等问题是影响移动支付的主要因素。当前远程移动支付方式下还可能存在的安全问题有几点。
(1)手机本身存在安全隐患。近年来随着智能设备的大众化普及,手机病毒、木马也随之活跃,黑客使用病毒盗取用户的手机PIN码、网银密码,银行口令等私密信息,也容易导致用户的账户被盗刷。
(2)身份认证体系不健全。使用智能移动终端作为支付工具,必须对参与交易各方的合法身份进行正确的识别认证,由于远程移动支付涉及到银行、商家、消费者等实体,应该更快速、可靠地进行身份识别。
3.3 移动支付安全技术
针对移动支付过程中可能受到的各种安全威胁,可以从以下的几种技术上考虑减小或避免支付风险,保护通信的完整性、保密性和不可否认性。
(1)短信确认方式
用户要进行支付的时候,不仅要输入支付口令,还要由服务提供商给用户绑定的安全手机发送一条确认短信,只有输入正确的口令并且及时回复确认短信时才会支付成功。类似支付宝,存在一个独立的支付密码,用户购买商品后,输入支付密码,此时由第三方的支付工具给用户预留给系统的手机发一条购买确认短信,包含验证码,用户必须输入此验证码才能正常支付成功,否则不能验证用户身份,支付失败。这种支付方式在一定程度上是安全的,只有同时拥有支付口令和密保手机才能完成支付。缺点是等待短信时间比较长,如果网络信号不好则还可能收不到确认短信,密保手机丢失后重新绑定比较麻烦,确认短信中需要回复的确认码通常是4-6位的数字,比较容易穷举或碰巧试出来,所以由于以上这些缺点,根据短信确认的移动支付方式只适合小额支付。
(2)动态口令技术
动态口令与短信确认的原理基本相同,主要是利用手机中的移动口令密码器应用程序来实现,初次使用时将密码器与对应的支付账户或者银行账户绑定,此后,密码器根据一定的算法,每隔30秒左右生成一个随机密码,当确认支付时,需要输入支付口令和密码器的密码,同时输入正确才能支付成功。
利用电子密码应用可以比短信确认生成位数更长、更复杂的密码,几乎没有延时,安全性略有提升;但是电子密码器生成算法并不是不可攻破的,一旦密码生成算法被算出,账户就没有任何安全性,而且让用户自己输入复杂的电子密码,用户的体验性太差,也不利于技术的普及。
(3)SSL协议
SSL安全套接字层(Security Socket Layer)协议[2]是为网络通信提供安全以及数据完整性的一种安全协议。SSL协议分为SSL记录协议和SSL握手协议,它位于网络层和应用层之间的传输层。SSL协议使用多种加密算法,可以实现对数据加密解密、完整性验证、密钥交换、数字签名等功能,可以防止通信双方在数据传输过程中信息遭到窃听、截取或非法篡改。
根据对SSL协议的分析,可以得出SSL提供的安全保障范围。
1) 验证用户和服务器:SSL握手协议对通信双方使用非对称密钥进行身份的验证,可以确保数据能够传送到正确的主机。
2) 对数据进行加密传输:SSL记录协议会根据SSL握手协议商定好的加密算法对数据利用对称密钥进行加密,这样即使数据在传输过程中被窃取,没有密钥数据也不会在有效时间内被解开。
3) 维护数据的完整性:SSL协议是建立在可靠的传输协议之上,能够对数据的完整性进行校验,从而保护信息的完整性。
但是SSL协议也存在如下缺陷:缺少安全认证机构,无法确定参与交易人员的身份;消费者的信息也可能被商家非法利用。
(4)SET协议
SET(Security Electric Transaction,安全电子交易)协议是旨在建立一个公平公正的电子付款系统而设立的协议规范,它工作于应用层,可以在客户和商家不清楚对方身份的情况下完成身份认证进行交易。SET协议是面向用卡支付的网上交易的,但随着智能手机的发展与普及,SET协议也可以应用于手机移动支付模型。
SET协议中的角色有:消费者、商家、消费者发卡银行、商家收单银行和CA认证机构。使用SET协议进行支付时,首先消费者从商家处挑选好商品之后确认订单,商家计算好订单价格后生成订单号,此时SET开始参与进来,商家把订单号和付款金额发送给消费者,消费者就需要通过其持卡银行给相应订单号的商品支付对应款项,而商家也通过SET把订单号和金额通知商家的收单银行,待消费者付款成功后,金融网络将支付款转至商家收单账户。
这种模式下,商家并不知道消费者的信息,所有的身份认证都交由SET协议中的CA负责,CA与每个协议中的角色都利用证书进行身份的验证,数据的传输也都使用加密算法处理,可以保证交易的机密性和完整性。缺点是没有提供不可否认性的服务,将不可否认性的验证交给银行和应用机构来完成。
4 基于智能手机序列号和时间的双因素身份认证
4.1 双因素身份认证
身份认证过程是基于“某种信息片段”如密码、指纹等进行的,这些信息片段被称为认证因素(Authentication Factor)。认证因素通常分为三类:第一类指使用者所知道的事物,是存在于使用者记忆中的认证信息,如密码;第二类指使用者所拥有的事物,是认证双方约定的具有识别另一方身份的介质,如银行卡、银行U盾;第三类指使用者本身的生物特征,是利用使用者本身的生物特征作为认证信息,如指纹、虹膜。采用任意两种认证因素的的身份认证方式就可被称为双因素认证(Two-factor Authentication)。
4.2 利用双因素认证实现远程移动支付设计
智能手机在出厂时都有其厂商赋予的唯一的序列号IMEI码,IMEI在全球范围内唯一的,在出厂时存入手机的EEPROM中,它与每一台手机是一一对应的,利用此特性也可以实现更安全的身份认证过程。
利用时间同步双因素认证的方法,在智能手机联网的情况下,可以实现这样的认证过程。移动支付应用程序在用户首次使用支付APP时,要求用户绑定常用的移动设备,该过程需要将用户的移动设备序列号IMEI作为时间同步双因素认证中的初始化种子发给银行发卡服务器进行保存,与此同时,用户与服务器端进行时钟校对。移动设备的支付APP即双因素认证方法中的令牌,可能会内置数种产生随机数的算法,首次绑定时,远程服务器也应该与本地支付APP进行算法的绑定,以便双方在同一时刻产生相同的随机值。
银行发卡服务器与令牌必须要一致的有三点:一是拥有相同的初始化种子,本例中即手机序列号IMEI;二是拥有相同的算法,令牌可以有多种算法以对抗攻击,但是在令牌投入使用时必须要与银行服务器保持一致;三是双方时钟必须同步,双方使用相同的种子和相同的相对于时间的算法,所以只有在相同的时刻下,双方才会生成相同的随机值。
当完成首次运行绑定后,用户的移动设备与远程银行发卡服务器就变成一一对应的了,只有使用绑定好的设备,并使用正确的用户名密码登录才是合法的用户。当用户申请支付服务时,由于设备之间时钟不同,首先要与银行服务器进行时钟的同步来保证时钟一致,同步成功后,本地应用根据令牌算法使用设备的序列号IMEI计算出该时刻的随机值,从中截取数位记作立刻发送至服务器。同时,服务器也利用保存的标识序列IMEI码和相同的算法计算得出数据序列,把用户发来的数据和的对应数据位进行比较,如果相同,则服务器可以认为是合法用户的访问。考虑到移动网络传输的开放性,数据传输时可以使用相应的哈希算法,银行服务器也对进行哈希处理,比较哈希值也可以进行相应的身份认证,并可保证数据传输的保密性。由于该认证方式是在移动网络下进行的同步,不考虑时延必然会影响认证的成功率,所以可以考虑将算法的时间间隔设置的略长一些,以保证通信过程中信息传递和算法计算的耗时可以忽略不计。
使用手机序列号IMEI码进行身份认证的方式,减少了通信量,每次使用时仅需时钟校对和发送部分随机数值即可实现身份的认证,而且认证过程不依赖于用户是否更换手机号,首次使用之后也不需要再进行人工干预,安全性、实用性更高。
5 结束语
移动支付正在潜移默化的改变着我们的生活,随之出现的各种各样的支付方式方便了我们的生活。但是,移动支付所带来的安全隐患越来越威胁着我们的生活,我们必须尽快采取相关措施。应该在研究移动支付安全技术的同时,推广使用使用安全的通信协议、不断完善交易流程;加大对非法手机应用程序和手机病毒的打击力度,共同推动安全的移动支付产业。
参考文献
[1] 任昌涛. 移动支付安全技术分析[J]. 信息与电脑 (理论版), 2012, 6: 095.
[2] 谢冬青, 冷健. PKI 原理与技术[M]. 清华大学出版社,2004.
[3] 李兰燕, 毛雪石. 动态口令双因素认证及其应用[J].计算机时代, 2010 (004): 11-13.
作者简介:
关键词:电子商务安全;移动支付;认证技术;SWOT阐发
中图分类号:F713.36 文献标识码:A
收录日期:2014年7月7日
一、探究背景
人们在20世纪70年代末对电子商务专研,电子商务把计算机、网络和远程通信交融一起呈现电子般的流程、数字化和网络业务。也就是说在一个虚拟的市场里利用信息技术进行买卖,体现电子设施与商务的完美结合。
电子商务的优越性是显而易见的,他为商务活动的水平与服务质量做出了重大贡献。电子邮件的推出省下来费用,EDI的使用使信息及时得到了共享的便利,一个电子系统避免了管理人员的泛滥,销售途径的交互式性,24小时的服务性,能够及时地得到信息的反馈,以便资源相互流通,但依然存在着信息威胁。
电商行业在国内的规模逐渐扩大,市场交易额每年都在增长,2013年电子商务墟市总交易额10万亿元,2014年仅第一季度就增加了255%,然而国家对电商的扶持政策也毋庸置疑,对可信交易过程中基础信息的规范管理和服务做了调整,中国人民银行研究制定政策,规范商业银行、各类支付机构的移动支付标准。
二、移动支付概论
(一)定义及原理
1、定义。移动支付的另一种说法是手机支付,支付方借助智能手机、PDA等移动终端和设备,利用移动网络与支付系统来结束换取产品和服务的购买全过程。
2、原理。用户绑定SIM卡与一张银行卡账号,利用短信的发送,完成系统下达的交易支付要求,流程简洁同时也不受时间与地理位置的干扰进行交易,完美地呈现了移动互联网的快捷方便、数字化的特点。
(二)移动支付现有的交易形式
1、远程支付。如网银、电话银行等下达指令的工具通过WAP、GPRS、WWW等途径完成远距离支付过程。掌中充值就是这样的一个支付形式。远程支付的业务有很多参与者、监督者,产业链也很长,所以运营商、银行、手机厂商都极有可能做业务模式的领导者。在手机上登陆相关页面或者是在安装的客户端进行支付,其中软硬件服务都参与进来,这是用户端操作较繁琐的,而且在电子商务过程中进行支付,关系到了信息的加密与认证等相关的服务。手机话费充值、手机彩票、缴费等移动远程支付应用深受人们欢迎,手机话费充值特别的流行,占整体移动支付一半市场还绰绰有余,然而近几年来,电子商务的地理支付形式得到了迅速的发展。
2、近场支付。近场支付为人们提供的便利的服务,买东西、坐公交车等生活中需要现金交易的过程被刷卡替代了,如今已成为了现实。是在有POS机的前提下,利用特定手机或者是芯片,进行近距离的刷卡,实现支付。芯片的使用、商品的结算、支付的受理等在业务模式的产业链中有着至关的重要性。
3、手机载体下的支付形式。在电子商务时代,条码扫描、二维码拍照等支付已经不陌生了,手机作为媒介,利用他的智能性,使其具有POS机的刷卡功能、银行卡的支付性,就这样,在移动电子商务的远程传递下完成近场支付相关环节。在电子商务市场中类似于这样的支付模式仍在追求更好、更新颖。
(三)安全认证技术
1、对称密码与非对称密码。对称密码与非对称密码是一个密码系统的主要构成。将对称算法解释为用同样的密钥进行加密和解密,密钥简洁快速,处理成果显著,DES与AES是较为有影响力的对称加密体制算法。加密方与解密方实现密钥共享,在解密过程中,持密文、算法,不能成功浏览信息。而非对称密钥即算法的使用一致,而解密的密钥不同。RSA算法是普遍使用的。在整个过程中加密方掌握加密或解密密钥,解密方手中也有另一把解密钥匙,有密文,破译不会成功,拥有算法、密文,但是缺少另一把密钥也不能进行解密,这就是非对称算法的特点,私钥一定要保密。
2、数字签名。信息的发送者拥有数字串,其他人不能伪造,签名与验证证明了数字签名的不可抵赖性。接受者确认信息是否被破坏、认证发送者身份,借助签名技术中的签名值和签名后的文件,保证了消息的完整性,阻止了交易的否认性。
3、身份认证。在支付过程中必须确保安全,断定消息的真实性,对身份认证,出示相关的口令或者证件,以免给伪装者盗取信息的可能。DNA、手机号码、指纹、口令都可以视为认证方式。口令认证还是较为普遍的,在登录时设置一些密码,服务器进行加密,但是安全性会低一些,非法分子会伪装你与服务器进行交流,从而窃取你的更多资料。感应设备的可取性高一些,因为DNA与指纹都是别人无法复制的。
4、WPKI加密。PKI作为一种保障网络信息安全的设备,自行对密钥和证书处理。WPKI则对他进行了升级,主旨是电子商务的移动支付中的实体联系、证书认证,终端、认证中心、WAP网关、目录服务、PKI门户是其重要的组件,当然还关系到相关的服务器设施。终端请求证书签名,PKI门户将请求证书传达给CA,在目录服务的基础上由CA证书,PKI Portal获取证书的位置,由终端将文档、签名和证书的位置传达给WAP网管,整个过程中证书的产生、下达与刷新以及传递的安全、WPKI都进行了标准的优化,使得电子商务移动支付更安全。
(四)移动电子商务的安全要求。保证整个移动支付系统的安全,判断对信息的、实体的有效性,保护信息被篡改的机密度,阻止消息在电子商务环境中泄露,利用可靠的数据,避免中途的不可否认等电子商务数据安全要素,譬如窃听、漫游安全、交易抵赖、完整性损害等。
保证安全要素的同时还要具备一套优越的安全机制,是对电子商务环境下的用户、运营商、第三方主要当事人交易过程中所涉及到的网络层、平台层、应用/服务层、加密技能的安全管理。管理角色权限、认证身份、会话与日志,保护数据,这就是应用/服务层所提供的,阻止对数据的滥用,对服务的非法访问。
三、电子商务市场下移动支付的SWOT
(一)优势阐述。3G网络的盛行,手机及银行卡使用者的数量逐年增加,可想而知,是一个庞大的群体,同时也是可待持续发展的一个市场。移动支付主要的就是Anyway、Anytime、Anywhere性质相比对其他的支付方式造成了威胁,移动支付信息查询快捷、对非实物商品的结算及时,避免了传统支付的现场排队现象,既方便又快捷,同时也会对现金的安全进行保护,用户不必携带现金便可支付,不必担心移动运营商收取多余的费用。
(二)劣势阐述。正视移动支付的两面性,有着优势但也不能忽视他的缺点,人们对移动支付的安全性还是放心不下来,比如信号在传送的过程中被截获,用户端的操作反应慢,就像支付反馈信息收不到,POS机登陆出现故障,移动支付覆盖面扩大了、群体增加了,信用系统却不够完善,无线支付的技术、信誉、法律风险仍是现在面临的问题,无论是运营商与银行或是其他当事人担心责任的问题避而远之,不能平衡支产业链的利益。
(三)机会阐述。目前,使用数据足以证明,移动终端设备的方便快捷,并且逐渐成熟,显然手机淘宝等字样家喻户晓,移动支付也得到了多家银行的支持,整个支付产业链要素已经基本完善,手机与IC卡的融合深受用户的追捧,还有现金支付的弱点、支付途径的单一化、3G网络技术的不系统、国家的相关政策等不完善的方面对于如今的电子商务移动支付来说都是一个极大的挑战,有着更好发展的机遇。
(四)威胁阐述。人们还是热衷于传统支付,拒绝移动支付,因为那样会觉得放心;政策的出台或多或少的会对银行、运营商和支付群体做出一些规范,其中包括很复杂的经营制度、用户能不能放心使用的担忧;考虑支付金额的大小,谨慎坏账和欺诈,要明确风险承担者;如今的移动支付市场多了外资企业这样一个观众,外资企业的加入对中国当地的银行有着一定的竞争力,同时其他的支付方式也在不断改进,在支付市场占据了一定的比例。
四、我国移动支付发展障碍
(一)不习惯移动消费。2013年上半年相关市场调研表明:仅仅6.49%的人不清楚移动支付,听过移动支付的人多,真正了解移动支付的人少。消费者的认知程度低有待进一步的提高,以及强化消费者的使用意识和习惯性移动消费,是电子商务移动支付的首要因素。
(二)产业链利益共赢不平衡。运营商、网络、银行机构等重要成员通过跨行业相关技术的整合,需要完美的分工实现电子商务活动的移动支付,合作上的共赢也成为关键,但实际上运营模式的差异性、技术方案的不统一、支付载体的不同,增加了推广成本,成为各个合作方的一个纠纷,在规范制度上,合作方对权利、成本、模式利益的分配不满意,后来的收益与投资状况都将成为阻碍移动支付飞速发展的因素。
(三)安全技术不完善。技术问题又是一个障碍。3G取代了2G网络,当今,4G网络已经提出,不同的网络体制下加密机制有所差异,不过共同的目标都在保证数据的完整性、保密性,手机短信支付是非互交式的,公网传递无加密,手机出现漏洞,遭遇病毒,信息被窃取的可能性就会增加,用户担忧数据的完整性与及时性不能被保证。
(四)监管方不透明。银行占有主导地位,通信运营商、第三方支付公司的监管主体有差别。比如,工业与信息化部作为通信行业的监管主体,监管移动增值业务的服务、信息安全与业务内容等。重复监管模式对于移动支付的有序发展没有优势。
(五)信用制度不先进。我国的信用体系在金融服务领域还不够成熟。银行信用体系的良好连带到个人使用移动支付的状况,人们担心在交易过程中泄露身份,相关调查也表明:手机用户没有接到垃圾短信、诈骗电话的人少之又少。所以,改变恶劣的信用机制,就不会有机会阻碍移动支付的电子商务市场向前发展了。
五、针对移动支付对电子商务安全问题的建议
(一)支付终端的系统安全。有待加强移动支付的技术设备这个硬环境,对于手机的技术支持、安全芯片、加密文件、身份认证等相关技术,对登录前的安全以及支付的交易保密性的提高。
(二)加强安全技术。就目前电子商务市场的移动支付来说,所涉及到的安全技术大体上能够达成移动支付的业务,保证了自身系统的基本安全却没有在意用户使用过程的安全信息进行升级保护,导致了一部分用户主动放弃这种付款方式。移动支付机构对技术上的可攻击性提高一些,对ID进行加密处理,移动运营商提供的安全网络,避免支付风险,重视整个支付及交易系统的安全。
(三)调动支付产业链的积极性,加大监管力度。保障整个线条的每一部门的利益,使其得到效益均衡,可以充分带动发挥各自的积极性,促使移动支付市场产业链有条不紊地发展。这样,一些监管部门就不会费尽心思想去惩罚他们的一些行为,当然他们的所作所为是在法律允许的边界内,为移动支付产业做贡献。
(四)建设安全信用机制。良好的安全信用体系制造了健康的网络环境,同时为商家提高了信用度。现在通过对第三方担保系统有了规划,加上移动支付企业联合第三方支付平台,进一步增进移动支付产业的信用机制,就能在多个方面解除用户的担忧,感受到移动支付在我们身边的美好。
(五)制定法规。对于业务处理的过程中出现的故障,用户的请求被限制以及支付短信没有反馈,利用合理的支付信用机制,避免风险,采取限额等防范途径,确保支付安全。需要相关部门检测支付体系,对日常监管负责,完善相关法律法规。
六、总结
电子商务市场与移动支付市场都是炙手可热的,两者又相互影响着,移动支付蔓延在社交行业中,比如微信支付已经基本稳定了,对于社交平台的移动支付同样吸引着各个企业,移动终端的普及和电子商务的发展,对于移动支付的发展前景有着不可估量的影响。然而,谈及移动支付的发展前景就会想到其能替代纸币,实现银行服务的移动化、整个移动支付产业链的完美配合,加上大体成型的支付业务环境和技术,不管技术上还是外界状况影响,整合通讯安全等安全机制共同克服移动支付泛起的电子商务安全问题。
主要参考文献:
[1]李琪.电子商务概论[J].高等教育出版社,2009.3.1.
关键词:身份识别;加密;VPN;电子商务;支付安全
1 加密技术
加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文后进行传输,从而确保数据的保密性,即使用加密技术可以解决信息的保密性问题。
加密技术又分为对称加密和非对称加密。对称加密是使用同一把密钥进行加密和解密,其优点在于加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。而非对称加密是指生产一对不同的密钥,其中一个称为私钥,另一个称为公钥,私钥由所有者私有,公钥对外,使用其中的一把密钥进行加密,配对的另一把密钥进行解密,其优点在于易分配和管理,缺点是算法复杂,加密速度慢。
目前,在加密技术中采用综合加密,结合对称加密和非对称加密的优缺点,实现加密速度快且密钥安全传输,是提高电子商务移动支付安全的有效手段。
2 身份认证技术
身份认证又叫身份识别,它是计算机系统正确识别通信用户或终端的个人身份的重要方法。计算机领域的身份识别是通过将一个证据与实体身份绑定来实现的,实体可能是用户、主机、应用程序甚至进程。证据与身份之间是一一对应的关系,双方通信过程中,一方实体向另一方通过相应的机制来验证证据,以确定实体是否与证据所宣称的身份一致。身份识别一般包括两个过程:一是用户向系统出示自己身份证明的过程;二是系统核查用户的身份证明的过程。
2.1 口令认证
口令认证技术是计算机系统的早期身份认证产品,其发展历程经历了从静态口令认证到动态口令认证的过程。目前,已发展成动态密码认证和智能卡,数字证书认证有效结合起来的强认证体系。
动态口令又称为一次性口令认证(OTP-one time password),一次性口令认证系统是为了防止黑客通过一次成功的口令窃取而永久地获得系统访问权而设计的一种认证技术。它规定用户每次注册时使不同的口令,限制了同一口令的生存周期。一次性口令系统允许用户每次登录时使用不同的口令,很好地防止了口令重用攻击,增强了系统的安全性,广泛适合于金融、互联网电子商务等领域使用。
2.2 IC卡认证
IC卡是集成电路卡的简称,智能卡(IC卡)内置集成电路芯片,芯片中存有与用户身份相关的数据,并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡根据其通信方式可以分为接触式和非接触式两大类。
初期的IC卡都是接触式IC卡。但接触式IC卡需要通过触点接触,具有容易损坏,通信时间较长等确定。因此,人们一直致力于研发非触发式IC卡。
典型的非接触式IC卡系统可由三部分构成:主数据库,读卡机,卡。读卡机通过电缆与主数据库连接,彼此间能进行数据交换。对于非接触式IC卡将充分发挥其无触点操作的优势,通信的距离将被拉长,会与自动识别技术结合在一起组成射频识别系统(RFID)。非接触式IC卡由于具有交易时间短,安全,可靠等诸多优点,很快在交通,门禁,金融等领域取得重大突破和广泛应用,并且进一步推广到其他票务系统中,在物流和身份识别等众多领域都具有广泛应用。
2.3 生物认证
生物认证技术是国内外一个前沿而又热门的交叉学科,涉及到模式识别、图像处理、生物科学、计算机科学等多个学科领域。生物特征识别技术是目前最为方便、安全的身份识别技术。生物特征认证中,首先得到广泛应用的是语言识别和指纹识别,随后人脸识别,虹膜,视网膜等多种生物识别技术也相应得到发展。
据统计,指纹认证占整个生物认证41%的份额,其次占有量比较大的是声音识别和人脸识别。另外,虹膜认证技术由于具有相对较高的准确率,基本无法伪造的特点,使其应用范围随着图像采集设备的发展,硬件成本的降低而获得了较高的增长,其市场增长率达到了120%的年增长率。
2.4 数字证书认证
数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。认证和数字签名技术提高了电子商务过程中的安全性,有利于电子商务的推广和发展。
上世纪90年代时,美国一些发达国家就已经开始数字证书、数字签名的研究。数字证书认证发展初期,只是采用单纯的数字认证方式,后来慢慢演进为数字认证与其他认证方式相结合的方式。例如,访问网络时采用密码,cookie,数字证书或IC卡,体现了多种认证分支的结合,以保证网上银行的安全。
3 虚拟专用网技术
虚拟私有网(VPN)是使用开放的公开信道,通过附加的协议处理,向用户提供的虚拟私有网络。VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等,其中安全隧道技术(Secure Tunneling Technology)是指,对用户应用数据进行加密处理后封装到网络传输协议的PDU中,然后通过外部协议的传输机制将内部的应用数据传递到对等实体,经过解封装处理后提交上层应用的技术。STT使用加密与封装相结合的技术对用户数据进行安全保护,是实现VPN的核心技术。
4 结束语
文章对电子商务移动支付安全性技术的各技术分支进行了梳理和分析,得到提高电子商务移动支付安全性的技术,主要集中在以下几点:(1)通过组合对称密钥和非对称密钥的优缺点,发展综合加密技术;(2)通过口令认证、IC卡认证、以及生物认证和数字认证简化识别过程,提高识别安全性;(3)通过虚拟私有网对加密后的数据进行封装,提高数据传输的保密性和完整性。
参考文献
从2000年开始,经过5年的曲折发展,我国的电子商务应用已经逐渐从幼稚走向成熟,在社会经济中发挥着越来越重要的作用,并深刻地改变着人们的消费及生活习惯。然而目前我国电子商务的发展还存在着很多的亟待解决的问题,其中制约电子商务快速发展的主要瓶颈之一就是支付问题。因此,本文将把关注的重点集中在电子商务领域中和支付相关的一些方面,介绍目前国内电子商务应用中支付环境的现状及发展趋势、主要的支付方式及其特点、现有支付方式面临的主要问题及解决思路等。
关键词:
电子商务、支付方式、传统支付、在线支付
一、 概述
随着计算机、网络及现代通信技术的日益发展,电子商务应用也逐渐走入了千家万户,成为被人们所熟悉的一种交易方式之一。电子商务利用internet平台将传统商务活动中的参与各方(买家、卖家、物流公司、金融机构等)连接在一起,通过将整个交易过程网络化、电子化、信息化,减低了交易的成本、提高了交易效率,。
作为一种新型的商业交易方式,电子商务的内容仍然还是由“信息流”、“资金流”、“物流”三者构成。但是,和传统的商务活动相比,电子商务最显著的一个特点就是在“三流”中对计算机、网络、通信等现代信息技术的广泛使用,特别是在“信息流”和“资金流”的过程中,信息技术的使用使电子商务冲破了时间和空间的限制,以高效率和低成本的方式去完成整个交易过程。在电子商务发展的初期阶段,信息技术主要是应用在网上信息检索、定单确认、合同草拟等“信息流”的传递过程中,“资金流”的传递主要还依赖传统的支付方式完成。但是,随着电子商务应用的逐渐成熟,对“资金流”电子化、信息化的需求也日益高涨起来。因为,传统的支付方式破坏了整个电子商务环节的完整性,增加了交易成本和交易风险,已经远远不能满易者追求更高效率和更低成本的要求,成为制约电子商务发展的严重瓶颈。
根据中国互联网络信息中心(cnnic)的报告:截至2004年12月底,内地上网用户总数为9400万,但在这些用户中,参与电子商务活动的用户比例却很小——在过去一年中只有近4成左右的网民进行过网上购物活动,而在这4成网民中,也只有不到1/4的人使用过在线支付。可见,传统支付方式仍然是我国目前电子商务应用中的主要支付方式。但是,使用传统支付方式完成电子商务交易结算在给交易者带来额外的风险和成本(比如使用货到付款为支付方式时,就存在着收款成本和收款人道德风险损失等)的同时,更严重地降低了电子商务活动的整体效率。这就好像把电子商务变成了一架被牛车拉着行走的飞机,极大地削弱了电子商务的优势。
从电子商务的长远发展来看,真正能够实现资金流动的信息化、充分发挥电子商务优越性的支付方式还是依靠信息技术来实现的在线支付方式(包括网上支付、移动支付等)。目前国内外许多大型的电子商务网站(包括提供电子商务交易的门户网站、专业网站、企业网站等)都提供了某些类型的在线支付方式,比如电子现金、电子钱包、电子支票,特别是以各种银行卡为载体的网上支付等,这些都一定程度上改善了电子商务的支付环境,提高了电子商务活动的效率。但是,这些在线支付方式还存在着诸如安全认证、支付标准、法律依据、维护费用等等多方面亟待解决的问题。这些问题的解决,单靠市场机制的自发作用是远远不够的,它需要包括消费者、商家、银行、认证机构、政府等多个主体的积极参与和合作,特别是需要政府的参与和支持,因为只有利用政府的力量才能在全社会范围内合理地调配资源,建立和完善涵盖技术、金融、法律、信用、文化等全方位、多角度内容的统一的电子商务支付体系。
二、 电子商务领域中的支付方式分类
根据支付活动的运作模式的不同,可将电子商务领域中现有的支付方式分为三大类:分别是:依靠传统支付体系实现的传统支付方式;依靠internet网络完成的网上支付方式和依靠通信网络完成的移动支付方式。其中,网上支付方式和移动支付方式因为都具有区别与传统支付方式不同的、利用信息技术手段(internet网络/通信网络)驱动电子资金流动的特征,常常也被统称为“在线支付”或“电子支付”。
(一)传统支付方式
传统支付方式的共同特征是“网上交易、网下结算”,即:消费者和商家之间只利用网络完成信息检索、定单处理、合同草拟等“信息流”的传递,而“资金流”的传递则是使用现金、票据等传统金融工具来实现的一类支付方式。传统支付方式在电子商务发展的初期阶段、在线支付环境还很不成熟的时候,是完成电子商务交易结算的主要途径。
目前,在电子商务领域中常见的传统支付方式包括有:
1、 货到付款
货到付款即人们俗称的“一手交钱、一手交货”。买家在网络上选定要购买的商品后,在支付方式中选择“货到付款”支付方式,等所购商品实际送达并验证质量无误后,再把货款当面交付给送货人(也就是收款人)。这是目前国内电子商务活动中最流行的支付方式之一。
货到付款最大的优点在于货物和资金的交割发生在同一时点上,因而可以尽可能地保持交易双方权利和义务的对等、保护商家的货物和消费者的资金,因此货到付款也被一些电子商务网站称为“零风险支付”。
相比货到付款的优点,这种支付方式也存在着一些明显的缺点,主要有:
(1)消费者需要额外支付送货费用,从而增加了购买成本。
(2)商家需要面对由于送货员(收款员)个人信誉缺失所造成的风险。特别是在电子商务发展的初期,小的物流公司频繁发生送货员(收款员)携款潜逃的事件,给商家造成了一定的风险和损失。
(3)受地域限制,目前大多数电子商务交易都只能支持同城范围内的货到付款方式,无法充分体现电子商务本身所应具有的跨地域交易优势。
此外,由于货到付款中收取的一般为现金,因而现金运输、存储过程中的安全性、伪钞风险等现金交易的固有成本也是商家所要承担的,这些都无形中增加了电子商务活动的总成本。
2、 邮局汇款
邮局汇款是消费者先通过邮局向商家指定的地址汇款,商家再收到汇款或通过传真等方式确认了消费者的汇款信息后,再按照消费者定单的要求发货。
邮局汇款的优点在于我国邮政网络发达,遍及全国大小城镇,特别是在经济和金融还不发达的小城镇,使用邮局汇款可以帮助消费者轻易跨越地域限制,获取自己想要的商品。此外,我国的邮政系统在公众心目中的信任程度很高,对于一些注重交易安全的传统交易者来说,可能更倾向于使用邮局汇款的支付方式。
邮局汇款的缺点是:
(1)交易双方地位不平等:在这种支付方式中,交易的主动权掌握在商家手中,商家可以控制发货时间甚至决定是否发货。消费者的汇款一旦发出,就不再拥有该交易的控制权,因而无法有效对消费者权益实施有效的保护。在2004年,国内一家著名电子商务网站就曾发生过商户利用要求消费者必须采用邮局汇款方式支付,进行恶意欺诈的事件,使该网站不得不专门刊登证明来要求交易者小心。
(2)速度比较慢:普通汇款一般需要5—7天才能到达,而且收款方很难查询在途汇款,一旦发生退货等意外情况,因为汇款在途,会延迟整个交易结束的时间。
3、 银行汇款(转账)
银行汇款(转账)是消费者通过在金融机构网点向商家指定的银行账户汇款(转账),来完成电子商务资金结算的一种支付方式。
银行汇款的优点是速度比较快(特别是同一银行的系统内汇款)、资金比较安全(由于指定了支付账户,可防止使用邮局汇款单冒领汇款的欺诈现象),而且具有交易的可跟踪性,一旦发生交易纠纷或欺诈行为,买家可以通过法律途径从银行获取相应的账户信息和交易细节证据。
银行汇款的缺点主要有:
(1)跨行转账手续繁琐,消费者为加快汇款速度不得不选择商家指定账号的同名银行对应网点。
(2)小城市和偏远地区的网点少,消费者很难及时找到对应的银行网点。
(3)各行的手续费标准不完全统一,买家可能因为选择了收费较高的汇款行而支付更多费用。
此外,目前银行网点(特别是工、农、中、建等大行的网点)普遍存在业务繁忙、等待时间长的问题,从而增加了买家的时间成本。
(二)网上支付方式
和传统支付方式相比,网上支付方式的共同特征是“网上交易、网上结算”,其本质是在internet网络上实现传统支付方式的电子化,是传统支付体系向网络的延伸。这是最能体现电子商务优势、代表电子商务领域支付未来的支付方式之一。
目前,在电子商务领域中常见的网上支付方式包括有:
1、 网上银行卡
银行卡是由银行发行的,具有存取现金、转账、消费、信用等功能的结算支付方式。使用银行卡进行网上支付是目前最为普遍的一种网上支付方式。
使用银行卡进行网上支付具有如下优势:
(1)交易实时性:银行在接受支付指令时会实时验证账户余额和透支限额,并进行即时扣款,降低了盗用和拒付风险。
(2)高安全性:目前在银行卡网上支付中普遍被采用的ssl安全认证协议符合国际通用标准,而且买家是在银行提供的支付网关上填写金融信息,从而保护了买家账户的安全。
(3)强制记录性:目前国内买家在使用银行卡支付前必须在相应开户行开通网上银行服务,获取数字证书。同时,消费者每次在网上进行的支付交易也将被严格记录,方便在出现问题时跟踪追查和获取证据。
不过,我国目前的银行卡网上支付方式也存在着一些的缺陷。其中,最主要的问题就是各家银行甚至同一家银行的不同分行、不同的卡品种所提供的支付网关、服务标准、地域范围各不相同,给买家和商家利用银行卡网上支付开展电子商务活动造成了很大的混淆和障碍。目前国内主要的电子商务交易网站基本都提供7、8种以上的银行卡网上支付方式,其中既有各家银行提供的独立性支付网关,也有第三方授权机构提供的综合性支付网关,这给交易者选择和网站维护都带来了一定的困难。
2、 电子现金
电子现金是一种以数据形式流通的货币,它把现金数值转换成一系列的加密序列数,通过这些系列数来表示现实中各种金额的币值。使用电子现金要求电子现金发行者(银行或商家)与电子现金接收者之间预先建立协议授权关系,通过专门软件建立电子现金的完全认证,由发行者负责完成买家和商家之间实际资金的转移。
电子现金的优势在于完全脱离了实物载体,使用户的支付更为方便,此外电子现金采取的是匿名发行,具有不可跟踪性,很好的保护了买家的隐私;由于电子现金一般采取软、硬件结合的加密算法,每一组序列数都具有随机性和唯一性,因而可以更好的防伪造;此外电子现金和实物现金一样具备可转让性、可分割性(大面值的电子现金可以分割成小面值电子现金进行准确支付)、离线可用性(不需要像银行卡一样每次支付都必须经过发行机构的认证),因此在网上支付特别是小额支付的电子商务应用中具有很广阔的发展前景。
虽然将电子现金应用于网上支付具有很多非常显著的优势,但从国际范围的电子现金应用现状来看,还有许多问题在阻碍着电子现金的进一步发展。比如支持电子现金的银行和商户数量较少、对软硬件技术要求较高、跨国使用电子现金时存在着货币兑换问题、国际税收问题、洗钱问题及对现有金融秩序、货币供应、汇率稳定的冲击问题等等。
3、 电子钱包
电子钱包是以智能卡为载体的电子现金支付系统,应用于多种用途,具有信息存储、电子钱包、安全密码锁等多种功能。在电子钱包中可以装入电子现金、电子银行卡、所有者的地址信息、身份认证信息等多种信息。
电子钱包的最大优点就是一“卡”多用途,特别是在网上支付的过程中,可以通过单一点击完成购物支付过程,不必重复填写到货地址、账户信息、认证信息等内容,从而提高了支付效率。
电子钱包的缺点主要是需要在商家认证的电子钱包服务系统中运行,商家为了支持电子钱包需要额外的维护和硬件成本,更由于电子钱包的发行者不同、发行标准不统一而限制了电子钱包的推广使用。
4、 电子支票(转账)
根据2004年美国《21世纪支票交换法案》中的定义:电子支票是客户向收款人签发的数字化支付指令,它通过互联网或无线接入设备来完成传统纸质支票的所有功能。即电子支票实质为数字化信息,从签发出票到最终清算完成的整个过程均为无纸化操作,其载体为智能卡,利用密钥进行的电子签名,与基于纸质支票的电子提示支票有显著区别。
与传统支票相比,电子支票具有节省时间、减少纸张传递费用、没有退票、灵活性强、易于保存和检索等优势。
但是,电子支票的整个事务处理过程要经过银行系统,而银行系统又有义务出文证明每一笔经它处理的业务细节,因此对于一些非常重视隐私的群体来说,电子支票并不是一个很好的选择。
(三)移动支付方式
移动支付方式是伴随着通讯技术的发展和手机在国内的广泛普及而产生的,其主要特征就是“网上交易、掌上结算”。移动支付方式为每个移动用户建立一个与其手机号码关联的支付账户,其功能相当于电子钱夹,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。目前移动支付的应用(特别是在小额支付领域中的应用)正在快速增长,已经被越来越多的人所接受。
移动支付方式作为目前最新型的一种支付方式,具有以下一些主要的优点:
(1)速度快:移动支付是目前为止速度最快的一种支付方式,买家可以利用手机随时随地完成支付过程。
(2)安全程度高:在整个移动支付过程中,从手机终端到银行端采用的是全程加密,特别是手机与卡、卡与账户的绑定机制,能够保证客户账户资金的安全。
(3)操作简便:目前的移动支付方式在手机端可采用人性化操作界面,用户只需按界面提示步骤完成操作过程即可。
虽然发展前景广阔,但是作为一种新生事物,移动支付还存在着一些发展过程中的不完善之处。目前移动支付方式最主要的缺点包括有:
(1)技术不完全成熟:国内目前主要的移动支付方式是通过短信技术实现的,由于这种技术使用的是非常低速的信令信道,因此有时无法保证交易实时性。最近也有少数的几家国内商业银行同时提供了基于wap、brew等技术手段的移动支付服务,但由于受限于手机型号,也不能很好地推广。
(2)服务兼容性差:现有的移动支付方式是由各家银行分别和运营商联系推出的,提供的服务内容、资费标准、操作方式都各不相同,容易给用户造成额外的费用和认知的混淆。
(3)支付功能有限:现在移动支付方式主要还是针对一些如电话卡充值、铃声下载等数字电子商务产品提供的支付,针对大宗、实物产品的支付还很少,功能还有待与进一步开发。
三、 目前我国电子商务支付环境中存在的主要问题
回顾我国电子商务几年来的发展历程,支付问题始终是制约电子商务发展的一个严重阻碍。而支付问题的核心就是如何保障电子商务交易过程中的支付安全问题。过去人们一直把关注的焦点集中在从技术的角度保障和提高支付安全性,但是支付安全问题不仅仅是一个技术层面上的问题,相比之下,技术因素之外的管理问题、社会问题才是我国目前支付环境中存在的更严重、更需要解决的关键问题。这些技术层面之外的问题主要包括有:
(一)认识问题
支付环境中存在的认识问题其实和中国传统的谨慎思维方式有关。因为对支付环境的安全心存疑虑,使人们更倾向于使用传统支付方式来完成电子商务的资金结算、缺乏主动使用在线支付方式的热情和动力。这种需求不旺的情况反过来又影响了电子商务平台提供商对在线支付方式进一步投入的积极性。供需双方一个“保守”、一个“懒惰”,结果就形成了一个“不安全,所以我不用:你不用,我就不提供”的恶性循环,如此循环下去就很难形成被广泛认同的现代支付体系。
(二)信用问题
对于信用问题,以往我国一直提倡以“道德”为准绳,靠人们“自觉”去维持。和西方发达国家相比,我国一直缺乏系统化、制度化的信用体系。然而,电子商务应用中交易双方互不照面、仅在虚拟空间中完成交易过程(特别是支付过程)的特性,在极大地考验着整个社会的诚信。尤其是和在线交易相关的法律问题一直没能彻底解决,人们在电子商务交易过程中违约、欺诈的成本很低,因而和传统商务活动相比,电子商务活动中的信用问题更加突出。信用问题的普遍存在使交易双方难以建立相互的信任,因而宁愿选择传统的支付方式。货到付款能成为目前电子商务应用中主流的支付方式,很大程度上也是因为交易双方对对方信用的否定。
(三)标准化问题
无论是传统支付、网上支付还是在线支付,都不可避免地要面对整个支付环境的标准化问题。支付标准的不统一表现在企业、网站、金融机构之间相互独立、各行其是,数据内容、功能种类、技术平台、认证方式等等涉及支付的各个环节都存在着差异,而且彼此之间因为缺乏统一标准而无法实现共享和互连,结果导致整个支付环境混乱不堪,让交易者无所适从,同时也极大地浪费了社会资源。
(四)法律问题
伴随着电子商务应用的日益成熟,相关的法律规范也在逐步建立的过程中,特别是2005年4月1日起《中华人民共和国电子签名法》的正式颁布实施,为今后在线支付方式的发展提供了一定的法律基础。不过,迄今为止我国还没有专门针对网上支付、移动支付这些新的支付方式而专门适用的法律法规,对于在这些支付方式中可能存在的伪造、更改、注销、刑侦等问题都存在“无法可依”的现象。这些会阻碍电子商务支付环境的改善,不利于电子商务应用的更快发展。
四、 解决电子商务应用过程中支付难题的思路及对策
突破电子商务应用中的支付“瓶颈”、改善支付环境是一个长期的、复杂的工程,不可能一蹴而就。总的来看,要解决电子商务应用过程中的支付难题就必须建立全面统一的现代化支付体系。具体来说包括有:
1、政府牵头、统一规划
目前我国的电子商务发展还处在初级阶段,还面临着许多的困难,因此特别需要政府的统一规划和指导。改善电子商务支付环境必须要解决的信用问题、法律问题、标准化问题等等都不是靠个人、企业、行业等任何局部的社会群体能够完成的,这些问题的解决必须通过政府来牵头组织实施。政府应该作为电子商务发展的规划设计者、环境营造者、交易参与者,全面加入到电子商务的应用过程中来。在这方面,我国政府应该借鉴美国、英国等发达国家的做法,通过建立专门的机构、出台框架性的文件和政策,为全社会明确努力的方向,规范社会群体的行为。
2、市场导向、全员参与
我国目前已经初步建立了社会主义市场经济体制,作为这种经济体制下的一种具体经济活动形式,电子商务活动也要遵从市场导向的指引,不可以完全依靠行政指令去强行约束,而更多地要依靠市场自发的调节机制,特别是要通过引入有序的竞争、多样化的支付方式来激发电子商务活动的参与各方共同建设统一支付体系的积极性。比如可以通过建立以赢利为目的的第三方支付机构,逐步减少支付网关数量,提高支付平台的跨行共享性,进而提高交易效率、降低交易成本,并且减轻交易网站和金融机构的负担。2005年初阿里巴巴携手工行推出的“支付宝”,就是在这种市场需求下催生的第三方在线支付平台,虽然短期内还看不到其运营的实际效果,但是这种支付方式借鉴了国外成熟的市场经济国家的发展模式,具有很好的市场前景。
3、分步实施、注重实效
改善电子商务应用的支付环境切忌“贪功求大”,务必要分步实施、注重实效。要在政府统一制定的框架内有计划、有步骤地推进,要由简到难、以点带面、循序渐进,并且要建立完善的反馈机制,及时观察实施的效果,方便政府调整总体策略。比如在实现在线支付标准化的问题上,就可以充分借鉴从前我们进行“金卡工程”时的经验,按照先由国家建立专门的管理机构、制定统一的标准、选择试点城市、试点应用,然后逐步扩大涵盖的城市、应用的范围,最后直至实现全网应用。在发展过程中,要允许存在一定的过渡阶段、过渡方案,不可强行搞“一刀切”,只要坚持正确的发展方向,假以时日,一定能收到显著的效果。
4、勇于创新、全面发展
目前我国电子商务领域中通行的支付方式主要还是传统的支付方式及以银行卡为主的网上支付、移动支付。与发达国家相比,我国的电子现金、电子钱包、电子支票等“纯”电子资金的发展还比较落后。此外,随着支付环境的日益改善和人们认可程度的提高,还应该针对不同的商家类型、商品种类、消费习惯等开发更多的新型支付方式,为交易者提供更丰富的支付方式选择。历史不止一次证明,新的交易方式的产生经常会伴随支付方式、金融工具的创新,电子商务作为当今最新兴的交易方式,未来也应该会产生出与之配套的、更多更新的支付方式。
五、 总结
21世纪的典型特征之一是“信息经济”时代的到来,信息化的浪潮正在深刻影响着全社会的各个方面。电子商务作为当代信息技术最典型的一个应用,正在彻底地改变着世界和国家的未来,同时,也给了发展中国家一个在经济领域中和发达国家平等竞争的机会。因此,从政府到企业到个人,全社会的每一个成员都应当为推动电子商务发展、建立健全电子商务支付体系而努力,追随时展的脚步,为繁荣国民经济,融入世界经济浪潮献力。
参考文献:
《电子商务教程》 胡玫艳主编 广州 华南理工大学出版社2003年 8月
《电子商务概论》 李琪主编 高等教育出版社2004年9月
《中国电子商务发展研究报告》 吕廷杰,徐华飞主编 北京邮电大学出版社 2003年
《电子商务:商业、技术和社会》 (美)劳顿(laudon,k.c.),(美)特瑞佛(traver.c.g.)箸,劳帼龄等译 高等教育出版社 2004年6月
【关键词】S商业银行 零售业务 分销渠道
一、借力第三方建设社区银行
(一)借力股东建设社区银行
截至2013年末,D房地产企业是S商业银行第二大股东。D房地产企业在社区服务、特别是社区金融服务方面有战略意图。但从目前监管机构对民营资本进驻金融领域的监管情况来看,D房地产企业实现社区金融布局的难度较大。S商业银行和D房地产企业共同合作,打造社区金融网络,实现共赢。
(1)合建渠道的意义。社区银行对D房地产企业来说是服务渠道,对S银行来说是分销渠道。双方合建渠道,各取所需,意义重大。通过社区银行合作,有利于双方深入开展社区金融业务合作,探索社区金融盈利模式,为S商业银行的社区银行、D房地产企业的社区金融业务探索业务模式,积累有益经验。通过社区银行合作,有利于为D房地产企业业主提供优质金融服务,通过社区银行渠道,合作双方整合各自优势资源,为业主提供覆盖社区生命周期和业主生命周期的金融产品。如为业主提供个人生命周期的儿童理财金账户,青年创业资金计划,中年财富管理服务,中老年理财服务和老年以房养老金融服务。社区生命周期的诸如个人按揭贷款、个人房屋装修贷款、住房抵押贷款、车辆购置贷款、房屋置换贷款等各类社区住房类金融产品,以满足社区不同阶段业主的金融需求。通过S商业银行与D房地产企业合作发行的联名金融IC卡,实现小区业主门禁系统身份识别,电梯、车库智能收费,缴纳物业、水、电、煤气、有线电视、网络、燃气等各项居家费用,业务各项个人贷款办理,业主的积分和会员管理等,从而不断提高D房地产企业小区智能化水平,提升品牌形象。
(2)渠道合建方案的初步设想。S商业银行方面,在D房地产企业小区购买或租赁社区银行办公场地,参照同业,面积可以在100平米左右,选址以方便业主为主要原则。S商业银行安排专人与D房地产企业对接,搭建社区综合服务平台,利用其本地化的自身优势引入品牌教育、医疗、餐饮等机构,并提供机场、医疗等贵宾通道服务,丰富社区综合服务平台服务内容。同时,S商业银行负责配合D房地产企业建设智能社区,为D房地产企业业主提供差异化的个人金融产品,提高业主对D房地产企业的满意度。D房地产企业方面,优先提供S商业银行社区银行办公场地,并提供业主信息,配合S商业银行做好业主金融服务。D房地产企业联合S商业银行发行联名金融IC卡,双方合作办理业主卡片物业、水、电、煤气、有线电视、网络、燃气等各项居家费用的代扣功能实现;支持该卡应用于小区门禁、停车等各项小区应用。
(二)借力房地产贷款企业建设社区银行
S商业银行作为地方性城市商业银行,以支持地方经济为己任,在信贷资源紧张的情况下,对房地产企业的信贷支持以区域性龙头企业为主。可以在给予该类房地产企业信贷支持时,按照前文与D房地产企业的合作设想,合力建设社区银行。S商业银行通过降低贷款定价,获取房地产公司优先、优惠提供社区银行办公场地方面的支持。
二、借力多种联盟合作优化渠道策略
(一)银行+银行
银银合作对零售银行业务产生影响的重要方面是拓宽了个人客户的市场空间。商业银行可以通过与其他城商行、农商行、农信社之间开展科技合作,也可寻求全国性商业银行的技术支持,通过系统的联网,扩大服务范围,满足三四线城市、农村地区金融服务需求,同时促进与同业之间的共同发展。
通过银银平网,客户能在多个网点获取各类理财产品信息,并且在网点直接购买。这意味着,偏远县城和农村地区的消费者也能购买到某商业银行及其他合作银行设计的理财产品,商业银行向合作行支付手续费。银银合作也是顺应互联网金融发展的需要,互联网已触及各个地方,通过建立银银联网平台,商业银行可以延伸服务范围,弥补渠道布局不全的缺点。
(二)银联+银行
与银联合作的目的是为了在移动支付领域有进展。银联与银行加强合作在同业机构已有成功模式。建行和银联推出的银联手机支付,农行与银联、中国电信合作的“掌尚钱包”,均为银行零售客户拓宽了服务渠道。中信、中行、邮储银行、广发银行等金融机构与中国银联展开合作,与中国银联联手开发移动支付业务。S商业银行与银联的合作关系一直密切,可以从以下方面开展业务合作,逐步向移动支付领域推进:推动中国银联TSM平台接入项目,推动中国银联TSM平台接入项目尽快实现“空中发卡”的,探寻移动支付合作;增加收单业务渠道,以中国银联利用手机收单业务为抓手,发展移动支付(远程支付)领域的发展,完成部分地区的试点工作,逐步在全行范围推广。
(三)银行+第三方支付平台
与第三方支付平台展开合作已是金融同业应对互联网金融发展的普遍做法。第三方支付平台与银行之间亦敌亦友,但目前来看,合作更有利于双方业务发展。第三方支付平台是指拥有一定信誉和实力的第三方机构,为消费者实现网上购物支付结算而提供的与银行支付结算系统对接服务,这种服务基于互联网,借助网上银行、手机银行、电话银行等电子渠道,实现消费者、商家、金融机构之间资金结算等交易的功能载体。银行与第三方支付的合作可以实现互赢,于银行来说,可以增加手续费等中间业务收入,扩大利润空间;可以挖掘潜在客户,扩大客户范围。于第三方支付企业来说,可以获取银行的信用担保及技术支持,并通过银行完成最终结算服务。S商业银行与第三方支付平台合作关系还没有建立,需要尽快寻求与支付宝、财付通等第三方支付平台的沟通合作,开展业务洽谈,力争共同参与第三方支付的移动支付创新。
【关键词】互联网金融 第三方支付 互联网支付 金融风险
一、引言
互联网金融这一概念,是由谢平、邹传伟[1]学者在2012年首次提出的,他们认为互联网金融是不同于传统的商业银行间接融资或是传统的资本市场直接融资,而是与传统融资方式不一样的第三种金融融资模式。在2015年,谢平[2]等学者补充,互联网金融是一个谱系概念,涵盖基于互联网技术和互联网精神,除了传统的金融中介和市场,还包括无金融中介或市场情形之间的所有金融交易和组织形式。然而也有学者认为互联网金融这个新概念并无新的内涵。陈志武[3]认为,互联网金融本质跟传统金融并无区别,其交易的还是金融契约,只是在渠道意义上挑战传统金融机构和资本市场。
以普惠金融视角来看,互联网金融由于其互联网的特性,它的影响延伸到传统金融涉及不到的“长尾”用户。所以本文对于互联网金融一概念及其内涵保持重视。采用中国人民银行[4]的官方定义,互联网金融是基于互联网和移动通信技术的新兴金融模式;广义的互联网金融包括金融机构和非金融机构;狭义的仅指互联网企业开展的金融业务。
不同学者对互联网金融内涵理解不同,对于互联网金融模式有不同分类。李博、董亮[5]和张晶[6]将互联网金融分为传统金融服务的互联网延伸、金融的互联居间服务和互联网金融服务三种模式。谢平[7]按照各机构在支付、信息处理、资源配置上的差异,将其分为五种主要类型:金融互联网化、移动支付与第三方支付、基于大数据的网络贷款、P2P网络贷款、众筹融资。高汉[8]根据互联网的主要功能,将其分为支付结算类、融资类和投资理财保险类等三类。郑联盛[9]将其分成四类:传统金融业务互联网化、第三方支付及其运行机制、互联网信用业务及其运行机制、互联网虚拟货币。
基于金融功能性理论,互联网金融主要涉及到支付结算、借贷众筹等信用业务。本文将从支付结算业务出发,重点阐述第三方互联网支付机构市场特点和发展现状,分析第三方互联网支付机构面临的主要风险并给出相应的建议。本文中第三方互联网支付机构仅包括互联网企业。
二、第三方互联网支付机构在国内的发展现状
国外的第三方互联网支付起步较早,1998年全球最大的第三方支付机构贝宝(Paypal)成立。亚马逊网和谷歌也纷纷推出了Amazon payment和Google Wallet第三方互联网支付产品。全球化的信息浪潮也将第三方互联网支付业务带入中国,并呈现出具有中国特色的第三方互联网支付市场。
(一)互联网普及率高,互联网/移动支付使用率增长快
随着通讯技术、互联网技术的迅猛发展和越来越低廉便捷的上网设备普及,我国互联网普及率在2015年末已经达到了50.3%,中国网民人数达到了6.88亿,中国手机网民规模达到了6.20亿[10]。
在互联网普及率高的基础上,互联网/移动支付使用用户人数基数大,第三方互联网支付市场大。如表1、表2所示,网上支付用户规模达到了4.16亿,手机网上支付用户规模达到了3.57亿。虽然网上支付应用不是使用率最高,仅排名第六位,但是互联网/移动支付使用率增长率迅猛。网上支付应用的使用率从2014年的46.9%增加到60.5%,全年增长率为36.8%。手机网上支付增长尤其迅速,手机网上支付应用的使用率由39.0%提升至57.7%,全年增长率为64.5%,远高于其他应用的增长率。
(二)第三方互联网/移动支付市场集中度高
从市场交易规模来看,在第三方互联网支付以及日益壮大的第三方移动支付市场里,市场集中度很高。第三方互联网/移动支付市场里主要由支付宝和财付通占据了主导地位,在互联网支付市场里占67%的份额,在移动支付市场里占约90%的份额。
支付宝是由国内最大的电子商务平台淘宝网在2003年推出的。淘宝网海量用户成为支付宝的第一批使用者,比起其他机构拥有更多的基础用户。如表1、表2所示,网上购物也是网民使用互联网主要应用之一。网上购物、电子商务的普及使得支付宝这样的主流第三方互联网支付机构占领市场份额。
财付通是由国内最著名的即时通信服务企业――腾讯公司在2005年推出的专业在线支付平台。财付通借助于用户基础好、有大量粘性客户的腾讯软件,通过对Q币这一虚拟货币在不同娱乐、游戏等应用在集团内的通用性,架起从法定货币转换成虚拟货币的桥梁,从而使得财付通获得推广,占领一定份额。
起步较早的一些机构培养了一批忠诚用户,所以在市场里仍占有一定份额,如银商、快钱在第三方互联网支付市场,拉卡拉在第三方移动支付市场。其他机构由于起步晚,进入第三方互联网/移动支付市场较晚,转变用户支付习惯成本太难,所以总体所占份额很有限。
(三)业务交互影响和创新,支付场景拓展
如表1、表2所示,网民利用互联网最主要是进行即时通信。根据调研巨头Kantar(凯度)[11]的2016中国社交媒体影响报告中,使用频率最高的为微信,占75.9%,其次是QQ空间,占50.5%。微信和QQ空间均由腾讯公司开发。超高的使用率让腾讯公司不断创新业务,研究从基础功能向外延伸拓宽服务类型,在不断提升用户黏性的同时逐渐成为连接用户生活各类服务的综合性平台。例如由财付通与微信合作推出的微信支付正在慢慢侵蚀支付宝的市场份额,还培养用户新的支付习惯,甚至是每逢节日发红包的生活习惯。
众多第三方互联网支付机构大力拓展线上线下渠道,丰富支付场景。比如在网络打车市场,阿里巴巴集团和腾讯公司不惜花费巨额资金在市场推广,为了培养用户网络打车的支付习惯。在众多业务创新中,对互联网金融影响最深远的就是支付宝通过余额宝功能推出了互联网货币基金。在用户需要支付时,账户余额显示的是支付金额,在用户不需要支付时,账户余额显示的是金融产品的净值。支付宝的余额宝业务做到了几乎实时性的现金与货币基金的转换,并且由于余额宝起投点低(1元起),比起其他货币基金,突破传统金融业小微客户服务不足、效率不高的缺点,更能惠及广大人群,体现了普惠金融理念。
三、国内第三方互联网支付机构面临的风险
在第三方互联网支付市场近几年快速扩张发展后,市场增速放缓趋于稳健。而一些存在的问题也成为第三方互联网支付机构健康稳健发展的绊脚石。
(一)安全技术风险
第三方互联网支付的便捷性提升了网民使用率和使用体验。但是便捷性的另一面是安全性的疑问,比起传统商业银行转账汇款减少许多操作步骤,每次支付只需完成一个支付密码的输入即可完成转账。甚至在用户设置了“小额”数据后,在这个金额以内,甚至不需要输入支付密码即可完成支付。现在流行的“二维码扫一扫”“也不需要支付密码。于是第三方互联网支付机构面临的首要风险就是安全技术风险。第三方互联网支付机构的技术软件和支付逻辑、程序是否能够维持所有用户安全支付成功是个关键问题。
(二)流动性风险
传统的货币基金并不能像余额宝一样做到T+0赎回,而余额宝类产品能够让用户的余额宝余额(实际是货币基金净值)当天内转换成现金或银行账户余额,依靠着是期限错配和流动性错配。一旦有突发金融新闻引起大量用户集中赎回,余额宝等产品将被迫卖出所持的金融产品来应对巨额赎回,导致流动性风险。
(三)用户道德风险
第三方互联网支付的业务将传统的银行转账汇款程序-资金转出方-中央银行支付清算系统-资金转入方分割成资金转出方-第三方互联网支付机构-商业银行/中央银行支付清算系统-资金转入方[12]。由于第三方互联网支付机构的介入,使得传统资金链的完整性破裂,无法追查某笔款项的源头,这将可能导致用户道德风险。有的用户会利用第三方互联网支付业务来进行洗钱非法套现等不法活动。
(四)互联网支付法律法规滞后引起的法律风险
互联网金融提供的是创新的产品,而我国的金融监管框架还是基于传统的分业经营分业监管,如《中华人民共和国商业银行法》、《中华人民共和国证券法》、《中华人民共和国保险法》等。我国法律法规滞后,没有一部单独完整的监管第三方互联网支付的法律,从而使得许多第三方互联网支付机构行走在灰色地带和法律边界,无法有效地约束第三方互联网支付机构的行为。
例如快的打车(阿里巴巴集团投资)和滴滴打车(腾讯公司投资)在2014年春节前后“烧钱”(巨额补贴给用户和司机)为了争夺市场份额。等确定了市场垄断地位后宣布停止打车补贴优惠政策。并且在2015年2月14日,快的打车和滴滴打车在没有进行经营者集中申报的情况下,宣布战略合并。这显然违背了《中华人民共和国反垄断法》和《国务院关于经营者集中申报标准的规定》的要求。
四、针对第三方互联网支付机构的风险管理建议
(一)改进互联网安全技术
第三方互联网支付机构应该在尽量不牺牲用户体验的基础上,针对层出不穷的各类互联网电信诈骗、黑客攻击事件不断研究,投入一定的人力资源和资金,不断地改进和创新互联网安全技术,来更好地提高安全性,防范互联网犯罪。同时,移动支付的比例正快速增长,第三方互联网支付机构也要抓紧在不同手机系统上和平板系统上应用软件的开发和维护,保证用户使用互联网或移动网络支付时都能体验到同等的安全性与便捷性融合的体验感。
国家政府方面也要尽快制定互联网支付的安全标准,针对数据保护、客户识别、身份验证等环节设置国家标准,激励第三方互联网支付机构达到并超越国家标准。
(二)设立大额赎回准备基金和类存款保险基金
为了预防流动性风险,从单个机构的角度来看,第三方互联网支付机构可以建立专门的防范大额赎回的准备基金。一旦大额赎回发生,可以使用准备基金来减少流动性风险。从整个第三方互联网支付行业来看,如果同时发生多起大额赎回事件,还是需要一个行业统一化的机构来防范此类风险。参考2015年银行业实施的《存款保险条例》,在银行业获得广泛的积极影响。第三方互联网支付机构也可以联合起来,联手建立一个独立公正公平的机构,建立一个赎回金流动性风险保险基金,来防范行业性、系统性的大额赎回导致的流动性风险。
(三)完善征信系统
在防范用户道德风险方面,有的大型第三方互联网支付机构已经推出自己征信系统。比如支付宝推出基于用户网上购物行为计算的芝麻信用。但是对于绝大数第三方互联网支付机构来说,独自完善征信系统非易事。建议第三方互联网支付机构可以不泄露用户隐私的前提下共享用户违约支付结算行为,构建一个负面信用清单。在清单上的用户,第三方互联网支付机构会更加注意监控用户信用行为,从而防范用户道德风险。
(四)尽快出立完整的法律
美国和欧盟等国的第三方互联网支付业务早已出现,较国内业务起步较早,根据魏鹏[13]学者研究,美国的监管模式是功能性监管,欧盟的监管模式是机构监管,监管模式虽然不同,但是欧美的监管思想一致,从自律自由到强制监管。从我国第三方互联网支付机构的发展现状可以看出,国内第三方互联网支付机构业务迅猛拓展,支付场景丰富跨行业创新业务众多,如果监管采用机构监管,针对第三方互联网支付机构的定义来进行监管显然不适用。并且传统金融行业的“一行三会”分业监管也不适用混业发展的第三方互联网支付机构,监管也需要采用混业模式。
所以建议从第三方互联网支付的功能性和支付结算流程出发,重新梳理第三方互联网支付的业务范围,协调好混业监管和功能性监管,针对第三方互联网支付机构的市场准入标准、业务范围、业务流程、安全技术风险、流动性风险、反洗钱风险等各类风险和客户权益保护、第三方互联网支付机构市场推出机制制定一套单独完善的系统性的法律。
参考文献
[1]谢平,邹传伟,刘海二.互联网金融模式研究[J].金融研究,2012(12):11-22.
[2]谢平,邹传伟,刘海二.互联网金融的基础理论[J].金融研究,2015(8):1-12.
[3]陈志武.互联网金融到底有多新?[J].新金融.2014(4):9-13.
[4]中国人民银行金融稳定分析小组.《中国金融稳定报告2014》[R],2014.
[5]李博,董亮.互联网金融的模式与发展[J].中国金融,2013(10):19-21.
[6]张晶.互联网金融新兴业态、潜在风险与应对之策[J].经济问题探索,2014(4):81-85.
[7]谢平,邹传伟,刘海二.互联网金融监管的必要性与核心原则[J].国际金融研究,2014(8):3-9.
[8]高汉.互联网金融的发展及其法制监管[J].中州学刊,2014(2):57-61.
[9]郑联盛.互联网金融的现状、模式与风险:基于美国经验的分析[J].金融市场研究,2014(2):41-49.
[10]中国互联网络信息中心.第37次中国互联网络发展状况统计报告[R],2016.
[11]Kantar.Kantar Social Media Impact Report 2016[R],2016.
[12]谢平,邹传伟,刘海二.互联网金融手册[M].北京:中国人民大学出版社,2014.
[13]魏鹏.中国互联网金融的风险与监管研究[J].金融论坛,2014(7):3-16.
随着计算机、网络、信息技术的发展和日益融合,Internet已进入我们社会生活的各个领域和各个环节,无论是机关、单位还是家庭、个人,都可以通过Internet获取资源,共享信息。全新的电子商务是在Internet的广阔联系与传统信息技术系统的丰富资源相互结合的背景下应运而生的一种相互关联的动态商务活动,这种基于Internet的电子商务给传统的交易方式带来了一场革命。通过在网上自由传输的一串串字节,基于广泛互联和完全开放式平台,Internet实现了低成本、高效率的经营模式,包括各种金融业务。
电子商务将参与商务活动的各方,商家、顾客、银行或金融机构、信息卡公司或证券公司和政府等利用计算机网络统一地处在电子商务的统一体中,全面实现网上在线交易过程电子化。电子商务包括两个基本环节,即:交易环节和支付结算环节,主要涉及的是企业及个人的对外交易部分,不可避免地要发生支付、结算和税务等对外的财务往来业务,势必要求企业与企业之间、企业与银行之间能够通过网络进行直接的转账、对账、代收费等业务往来,而支付结算业务绝大多数是由金融专用网络完成的。因此,离开了银行,便无法完成网上交易的支付,从而也谈不上真正的电子商务。电子商务的应用普及必须有金融电子化作保证,即通过良好的网上支付与结算手段提供高质高效的电子化金融服务。信息技术和网络为金融电子化创造了条件,电子银行、电子钱包、电子付款以及智能信用卡等已开始应用。但是,要真正发挥金融电子化对电子商务的保证作用,还需要建立完整的网络电子支付系统,提供验证、银行转账对账、电子证券、账务管理、交易处理、代缴代付、报表服务等全方位的金融服务和金融管理信息系统。
电子支付是指以商用电子化工具和各类电子货币为媒介,以计算机技术和通信技术为手段,通过电子数据存储和传递的形式在计算机网络系统上实现资金的流通和支付。由于运作模式的不同,各种支付系统在安全性、风险性和支付效率等方面有着不同的特点。
二、电子支付的协议模式与安全性
在电子商务中无论采用哪一种付款工具,都必须具备以下几个条件:安全性、处理成本低、且广为全球金融市场所接受,而安全性是第一位的。所以,保证支付工具的真实与识别该使用者的合法身份就是金融业在网络环境下实现电子支付所面临的问题。解决这一问题的关键是使用安全的电子支付模式,SSL和SET是目前实现安全电子支付的两种主要模式。
1、SSL支付模式
SSL(SecuritySocketsLayer)即安全套接层协议,主要用于提高应用程序之间的数据的安全系数,采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
SSL协议在运行过程中可分为六个阶段:
(1)建立连接阶段:客户通过网络向服务商打招呼,服务商回应;
(2)交换密码阶段:客户与服务商之间交换双方认可的密码;
(3)会谈密码阶段:客户与服务商之间产生彼此交谈的会谈密码;
(4)检验阶段:检验服务商取得的密码;
(5)客户认证阶段:验证客户的可信度;
(6)结束阶段:客户与服务商之间相互交换结束信息。
当上述动作完成之后,两者之间的资料传输就以对方公密进行加密后再传输,另一方收到资料后以私钥解密。即使盗窃者在网上取得加密的资料,如果没有解密密钥,也无法看到可读的资料。
在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。
在SSL协议中主要提供三方面的服务:(1)认证用户和服务器,使得他们能够确信数据将被发送到正确的客户和服务器上;(2)加密数据,以保证数据在传送过程中的安全,即使数据被窃,盗窃者没有解密密钥也得不到可读的资料;(3)维护数据的完整性,确保数据在传送过程中不被改变。
SSL协议的缺点:首先,客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证;其次,SSL只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。
2、SET支付模式
SET(SecureElectronicTransaction)即安全电子交易模式,是由Visa和MasterCard两大信用卡组织提出的以信用卡为基础的电子付款系统规范,用来确保在开放网络上持卡交易的安全性。SET规范使用了公开密钥体系对通信双方进行认证,利用DES、RC4或任何标准对称加密方法进行信息的加密传输,并利用Hash算法鉴别消息的真伪、有无篡改,以维护在任何开放网络上的个人金融资料的安全性。SET体系中还有一个关键的认证机构(CA),此机构根据X.509标准和管理证书。
SET协议规定发给每个持卡人一个数字证书。客户(持卡人)选中一个口令,用它对数字证书和私钥、信用卡号以及其他信息加密存储。这些与一个SET协议的软件一起组成了一个SET电子“钱夹”。
SET协议的工作流程如下:
(1)支付初始化请求和响应阶段当客户决定要购买商家的商品并使用SET钱夹付钱时,商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱,SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息,使客户和商家相互确认,即客户确认商家被授权可以接受信用卡,同时商家也确认客户是一个合法的持卡人。
(2)支付请求阶段客户发一报文,包括订单和支付命令。在订单和支付命令中必须有客户的数字签名,同时利用双重签名技术保证商家看不到客户的帐号信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。
(3)授权请求阶段商家收到订单后,POS组织一个授权请求报文,其中包括客户的支付命令,发送给支付网关。支付网关是一个Internet服务器,是连接Internet和银行内部网络的接口。授权请求报文通过到达收单银行后,收单银行再到发卡银行确认。
(4)授权响应阶段收单银行得到发卡银行的批准后,通过支付网关发给商家授权响应报文。
(5)支付响应阶段商家发送购买响应报文给客户,客户记录交易日志备查。
在SET协议中,定义了五种实体:持卡人,拥有信用卡的消费者;商家,在Internet上提供商品或服务的商店;支付网关,由金融机构或第三方控制,它处理持卡人购买和商家支付的请求;收单行(Acquirer),负责将持卡人的帐户中资金转入商家帐户的金融机构;发卡行,负责向持卡人发放信用卡的金融机构。涉及SET交易的有持卡人、商家和支付网关三个实体。认证机构需分别向持卡人、商家和支付网关发出持卡人证书、商家证书和支付网关证书。三者在传输信息时,要加上发方的数字签字,并用接收方的公开密钥对信息加密。实现商家无法获得持卡人的信用卡信息,银行无法获得持卡人的购物信息,同时保证商家能收到货款的SET支付的目标。
SET协议在安全性方面主要解决五个问题:(1)保证信息在Internet上安全传输,防止数据被黑客或内部人员窃取;(2)保证电子商务参与者信息的相互隔离,客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的帐户和密码信息;(3)解决多方论证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证;(4)保证网上交易的实时性,使所有的支付过程都是在线的;(5)仿效EDI贸易的形式,规范协议和消息格式,促使不同厂家按照一定的规范开发软件,使其具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET协议的缺陷:自6年4月SET协议面市以来,得到了IBM、HP、Microsoft、Netscape、VeriFone、GET、Verisign等许多大公司的支持,促进了SET的发展。但SET仍然存在一些问题:(1)只适用于客户安装了“电子钱夹”的场合;(2)使用成本高,在一个典型的SET交易过程中,整个交易过程可能需花费1.5分钟至2分钟;(3)协议复杂,SET证书虽也遵循X.509标准,但格式比较特殊。
SSL协议是国际上最早应用于电子商务的一种网络安全协议,在一些发达国家有许多网上商店至今仍然在使用。在美国几乎所有提供安全交易的在线网址都依靠网景公司的安全套接层(SSL)提供安全交易,SSL保护使用公用密钥编码方案传输的数据。在我国也有一些网上支付系统采用了SSL协议,例如上海长途电信局设计的网上支付系统。几乎无人否认,SSL在限制电子窃听方面很有效。但是SSL运行的基点是商家对客户信息保密的承诺,缺乏客户对商家的认证,在认证交易双方方面几乎无能为力。这是由于电子商务的开始阶段,参与电子商务的大都是一些大公司,信誉较高。随着参与电子商务的厂商迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点完全暴露出来。
相比之下,SET标准更适合于消费者、商家和银行三方进行网上交易的国际安全标准。网上银行采用SET,确保交易各方身份的合法性和交易的不可否认性,使商家只能得到消费者的订购信息而银行只能获得有关支付信息,确保了交易数据的安全、完整和可靠,从而为人们提供了一个快捷、方便、安全的网上购物环境。
三、支付工具
国际通行的电子支付工具和支付手段主要有电子信用卡、电子支票、电子现金、及网上银行等。
1、电子信用卡
信用卡支付是电子支付中最常用的工具,信用卡可以在商场、饭店、车站等许多场所使用。可采用刷卡记帐、POS结帐、ATM提取现金等方式进行支付。在电子商务中最简单的形式是让用户提前在某一公司登记一个信用卡号码和口令,当用户通过网络在该公司购物时,用户只需将口令传送到该公司,购物完成后,用户会收到一个确认的电子邮件,询问购买是否有效。若用户对电子邮件回答有效时,公司就会从用户的信用卡帐户上减去这笔交易的费用。现在更安全更先进的方法是在INTERNET环境下通过前述SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。
随着技术的发展,信用卡的卡基由磁条发展为能够读写大量数据、更加安全可靠的智能卡,称之为电子信用卡或电子钱夹。电子钱夹也可以说是一种基于WWW浏览器或与浏览器结合的电子支付工具,它可以显示使用者的余额,并且在相互认可的情况下,可以在多个电子钱夹之间划拨资金。有一些电子钱夹还可以进行无限数据通讯,使电子支付更具生命力。
2、电子支票(ElectronicCheck)
电子支票是利用数字化手段,用数字化信息彻底取代了纸质支票。实质上,电子支票的支付过程与传统支票的支付过程是一致的,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,显现在电子屏幕上,并用数字签名代替了传统的签名方式。现在,在一些发达国家,纸质支票的使用已经逐步减少,这一方面是因为纸质支票的处理成本较高,支付速度慢;另一方面,由于信息安全技术的应用使纸质支票转化为电子支票成为可能。6年美国金融服务技术财团研制出的电子支票交易系统现在仍在广泛使用。2002年,新加坡开发了亚洲第一大电子支票系统,此外,Netbill和Netcheque等电子支票系统也在试用当中。将来,电子支票的应用将会更加广泛。
3、电子现金(E-cash)
电子现金,又称为数字现金。简单来说,就是以电子方式存在的货币现金。其实质是代表一定价值的数字,或者说电子现金就是纸质现金的电子化,因此电子现金同时拥有现金和电子化两者的优点。目前,比较有影响的电子现金系统有E-cash,Netcash,Cybercoin,Mondex和EMV现金卡等。电子现金具有人们手持现金的基本特点,同时又具有网络化的方便性、安全性、秘密性。因此,电子现金必将成为网上支付的主要手段之一。
4、网上银行
网上银行是指利用Internet和Intranet技术,为客户提供综合、统一、安全、实时的银行服务,包括提供对私和对公的个人或团体的全方位的银行业务,还可以为客户提供跨国支付和结算等其它贸易、非贸易的银行服务。自从5年10月,美国的安全第一网络银行SFNB(SecurityFirstNetworkBank)诞生以来,网上银行已经成为金融机构拓宽领域,争取业务增长的重要手段,网上银行的范围涉及到电子支票兑付、在线交易登记、支票转帐等几乎全部的金融业务。
四、支付工具存在的问题
有关电子支付的问题主要有一下几个方面:
1、支付工具效力问题
用卡的支付已经比较普遍,现实社会中应用也比较普遍,其效力已经得到充分认可。
网上银行,实质上就是现实银行在网上业务的拓展和延伸,随着网络技术的逐渐成熟,网上银行变得更快捷、方便、安全。广大零散个人客户更倾向采用这种方法,对于银行而言,随着个人收入的不断提高,个人客户与企业客户已经逐渐占到了同等重要的地位,面对如此巨大的个人金融市场,网上银行是最节约、最有效、最有接近小额零售业务客户的一种手段。由于客户与银行都会积极推进网上银行的建设,其效力一般不会出现问题。
但电子支票和电子现金,因为其与传统法律具有一定抵触,其效力存在一定争议。
(1)电子支票的效力问题
我国现在电子支票应用极为有限,主要原因是受到我国《票据法》的制约,电子支票的法律地位难以得到确认,使银行望而却步。
我国《票据法》第四条规定,“票据上的签章,为签名、盖章或者签名加盖章。”目前,我国国内银行所辖的分支机构和联网分行之间,为客户提供通存通兑服务。为了实现通存通兑,各个银行一般规定,出票人必须在支票上使用数码印签,原来加盖在支票上的图章印签不再作为识别出票人的标记,电子计算机只按照数码印签确认出票人授权指令的有效性。因此,如果因为某一支票没有数码签章,被机器拒收,造成支付延迟或其它侵权行为,银行方面会在法律面前处于不利地位。因此,在票据法中承认数字签名的合法性是一个非常紧迫的问题。
(2)电子现金的法律地位
电子现金其实与现实货币一般没有什么不同,是一般等价物的一种表现形式,但其法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。但随着电子现金技术的不断成熟,其又具有网络化的方便性、安全性、秘密性,所以电子现金的发展优势是不可阻挡的。关键是要在法律方面进行调整:
第一,限制电子现金的发行人。目前情况下,可只允许银行发行电子现金,这样,许多现行的一些货币政策和法规可以应用于电子现金,而无需太大的改动。当电子商务环境成熟时,再扩展到有实力和有信誉的大公司和网络服务提供商。
第二,建立合理的电子现金识别制度。发行统一的电子现金是不可能的。所以必须建立合理的电子现金识别制度。
2、税收与洗钱
由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。现在,通过互联网进行跨国交易时的国际税收问题已经发生,将来会更加突出,为了解决这个问题,国际税收规则必须进行调整。此外由于电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。
电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前唯一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。
3、网络安全问题
消费者的个人信息存储在银行,如果银行的网络遭到攻击,私人信息可能会泄漏,若补救不及时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。
尽管电子支付还存在很多问题(其中主要是安全和信任问题),但作为电子商务的中心环节,其发展趋势是不可阻挡的,关键是从立法和技术两方面进行逐步完善。
五、新兴的电子支付手段
1、移动支付
移动支付业务是由移动运营商、移动应用服务提供商(MASP)和金融机构共同推出的、构建在移动运营支撑系统上的一个移动数据增值业务应用。移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,其功能相当于电子钱夹,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统(或与用户和MASP开户银行的主机系统协作)来完成。
2、中间件技术
在应用SET模式中,商家端有很强的动态特性,因此需要金融机构在保证安全性的前提下,为商家提供方便的开发接口,还能适应灵活多变的业务需求,中间件就是一种很好的
实现方式。金融机构开发一个与支付网关系统协同良好,并且方便商家开发的中间件,放在商家处,起到商家和支付网关之间传输数据的中介作用。
中间件中位于商家局域网内,既为数据传输提供了可靠的长连接保证,又可以检测商家数据里面的格式或逻辑错误;通过注册中间件的属性信息,可以使金融机构更方便的控制商家业务;中间件和支付网关之间应用成熟的加密通道技术,为公网数据传输提供安全保证,另外通过注册IP的方法使得中间件的使用更加安全可靠。所以,与非中间件电子支付方式相比较,中间件支付系统更加方便、灵活和安全。
六、电子支付的展望
新的世纪,电子支付系统将会改变我们的生活方式以及贸易方式。在世界各地,电子支付系统正在运行当中并取得了极大的成功,得到众多用户和系统运营商的青睐。
关键词:商业银行;互联网金融;机遇与挑战;战略选择
随着时代的进步和科技的发展,互联网金融实现了迅猛发展,也大大影响了我国经济的发展轨道。所谓的互联网金融就是IT企业利用IT技术和信息通信技术与商业银行等传统金融机构实现资金融通、支付、投资和信息中介服务的一种新型金融业务模式,兼具了传统商业银行和互联网行业成本低(交易双方通过网络平台咨询交易,没有传统中介、没有交易成本、没有垄断利润,不需要开设网点进行的资金投入),效率高(利用计算机处理,操作流程标准化,节省了信息匹配和人员排队的时间),风险大(指风险控制和监督管理等方面)的特点。我国目前互联网金融的典型代表是淘宝网,同时第三方支付占领市场份额越来越大,很多金融机构的经营模式越来越多地转变为互联网金融模式。因此在我国经济发展进入新常态下,商业银行要巩固并发展自己的市场地位,就要直面互联网金融带来的挑战,重视改变传统的金融发展战略,逐步引进新金融模式,实现互联网金融模式下商业银行的战略转型。
一、商业银行与互联网金融比较
商业银行是我国传统的金融机构,有着体系完整、等级分明、业务相互关联的“总分支”运作模式,与互联网金融企业扁平化的管理模式相比,其结构庞大复杂,管理方式烦冗,应对市场速度缓慢,面对瞬息万变的金融行业,决策链条过长的商业银行的决策欠缺灵活性,很难形成快速的反应机制,这对商业银行在互联网金融的新常态下如何发展提出了更高的要求。互联网金融是一个新生事物,互联网金融的特点决定了其自诞生之日起能够在短短的十几年时间里发展迅猛。但互联网金融下,信息安全难以得到保证。大众化属性的互联网金融,我们的个人信息在网络等公共媒介上极容易被第三方盗用;互联网公司为达到其商业目的也有着主观泄露信息的故意,导致个人信息被泄露的安全隐患严重存在。同时,到目前还没有一个完善的法律能够对互联网金融参与者进行有效的保障,在互联网金融领域法律尚不完善的情况下,其运营风险尚难以估计。目前的市场形势是,无论是现在还是将来,我国80后、90后的年轻人对市场的影响将越来越大。据统计国内近80%的手机网民都是20岁到35岁的年轻人,一半以上愿意使用网上支付或通过电子银行渠道消费。而互联网金融的一个重要领域就是移动支付,移动支付今后或许就会发展成为互联网金融的基础支付方式,这显示出移动支付不仅仅是开辟了一个新的业务领域,还可能是今后金融领域的主要力量,尽管它还刚刚起步,也还需要更好的完善,但并不意味着它不能长大,或许伴随着技术进步,移动支付就要威胁到银行卡的生存。
二、互联网金融给商业银行带来的挑战
近年来,随着互联网技术的发展,移动互联网、大数据技术已进入千家万户,融入社会生活的每个角落,彻底改变了人们的行为。移动互联网和大数据技术的运用极大地改变了人们的思维,人们的生活观念和消费方式发生了根本性的颠覆改变;互联网技术在金融领域的广泛应用,带来的全新的经营模式,给商业银行信用卡业务带来了新的巨大的挑战。
1.第三方网络支付平台的许多业务原属于传统金融机构业务,尤其是近年发展迅速的支付宝、微信支付等影响到传统金融机构的结算服务业务;新兴网络金融如阿里巴巴旗下的花呗,京东旗下的京东白条等信贷业务等等,会越来越多地挤占商业银行固有的市场份额。以淘宝网为例。淘宝网成交金额2005年突破80亿元并超越沃尔玛;2007年淘宝的交易额实现了433亿元,比2006年增长156%;2008年上半年,淘宝成交额就已达到413亿元;2009年全年交易额达到2083亿人民币。2012年11月11日天猫双11购物节,淘宝天猫平台交易金额已经达到191亿元;2013年“双11”天猫及淘宝的总成交额破300亿元,达350.19亿元;2014年双11,淘宝+天猫成交额再次刷新记录,达到571亿元;2015年双11,淘宝+天猫成交额再次刷新记录,达到912亿元。由此可以看出其惊人的发展速度和对市场的吞噬程度。
2.互联网金融不但在揽储业务给传统金融信贷业带来了压力,也在支付结算、信用贷款等方面带来新的挑战,其影响程度会越来越深刻。以阿里小贷和京保贝为例,其可以将其风险控制在合理范围内,信贷金额的使用者是确认的,均为在平台中销售货物的店主,虽然暂时看它的规模并不大,不太会影响传统信贷业务,对传统信用卡业务冲击还很小,但其发展潜力和发展空间尤其对现有金融业的颠覆能力和破坏性决不可小觑。如苏宁、国美等企业推出的“三零模式”(即零手续费、零利率、零首付),可看成是个人信用消费产品的初始形态。在2014年2月14日面向用户公测并获得公测资格后的“京东白条”可以在京东直接进行消费。京东白条可以依靠其京东商城的大数据,对所申请的贷款人进行筛选,从而规避风险,留下更可靠的用户。这样所审批通过的客户诚信度较高,风险和坏账都可以得到有效控制。京东白条是互联网行业推出的首款面向个人的金融消费产品,也是到目前为止国内真正的互联网金融产品,其在功能上已经与银行的信用卡分期业务特别相近,消费者在京东消费时,可以按照“先消费、后付款”的延后付款或“分期0元购”的分期付款方式享受服务。“京东白条”的贷款来自于京东自有资金,同时又不会用空京东的资金,一方面在消费产生后京东并不垫付资金,而是将其列入应收账款;另一方面因为“京东白条”对消费的带动和刺激会形成正向影响,两者相抵,可能还会增加京东的净现金流。所以,“京东白条”已经可以脱离银行了,这种信用模式直接冲击了银行业。
3.通过互联网进行金融支付已成为一种新型的金融模式,它对金融支付方式、信息处理以及资源的配置等都将产生一定的影响;同时移动支付等技术的进步,都可形成一种互联网金融模式,给各个企业提供了与资本市场等间接进行融资的机会。再者,大数据应用能够通过互联网金融模式解决资金的供求双方长期存在的信息不对称等问题,经济市场中的新金融模式有了全新中介。因此,商业银行面临的形势是其现有的市场份额有被全新的互联网金融所吞噬的趋势,迫切需要找到符合新常态下社会经济发展的战略模式。互联网金融利用最新的科技,最大程度地方便了用户的需求,符合社会的发展,人们愿意选择这种模式进行消费,如果商业银行仍然按照现在的模式发展,必然会被人们所抛弃,这本身就是银行业面临的挑战。
三、抓住机遇,实现互联网金融下商业银行的战略转型
我们必须看到,商业银行面临的形势是挑战与机遇并存,希望与困难同在。互联网技术的进步对金融业发展的作用将超过任何其他因素。因此,商业银行要在互联网时代继续保持原有的领先地位,就必须抓住这次机遇,修正其效率低,手续繁复等弊病,改正自身缺点,发挥自身体系优势,积极应对挑战;就必须跟上时展步伐,做出自己的战略选择,即从根本上树立起科技兴行的理念,发挥固有优势,引入互联网金融模式,形成商业银行新的经营优势,实现经营模式的战略转型。
1.商业银行必须以其固有的风险管控为依托大胆创新,这方面是商业银行与互联网金融相比最大的优势——就是它领先的风险管理理念、成熟的风险控制手段和完善的企业征信体系,商业银行必须充分发挥这一优势,打开新局面。
2.提高自身管理效率,减少不必要的业务手续以及环节,提高工作效率,为客户提供优质的服务体验。商业银行必须不断加强队伍建设以提高自身的力量和素质;增加电子银行的投入;加强业务人员和网络维护人员专业知识的相互了解和交流;努力培养和使用互联网金融和电子银行的优秀人才;追踪和学习国内外银行新经验;不断完善并加快开发互联网金融的产品等。商业银行如果在这些方面不改变,将来会遇到很大的问题。
3.互联网金融的本质还是金融。商业银行在资金管理、产品设计方面有丰富的操作经验,其从业人员也有着较高的专业素养和技能。银行要提高科技水平,更新硬件和软件设备,做到安全、保密、快捷,自动化地完成工作,尤其是网络金融业务。并通过开启手机银行接口,将网络发展到移动终端,并与各种电商和社交平台合作,互利共赢。
4.引入大数据进行银行业务,借用大数据进行银行业务分析。越大越全面的分析数据,就会得到越接近于真实的分析结果,也就能够更加充分地体现大数据的极大商业价值。大数据分析是未来企业在发展过程中不可缺少的,能够更好的利用大数据分析就意味着企业能够从这些新的数据中获取新的准确信息并提升为洞察力;重视并能够运用大数据的企业,就能够成为具有可持续发展的竞争优势的企业。
5.针对不同的客户,制定特色品牌差异化服务,提升商业银行品牌认可度。我国正在举国推进的“互联网+”说明,互联网已经并将继续深入融入我们的生活空间,并在改变人们的生活,同时在推动我国政治开明,决策科学方面也发挥着作用。但互联网金融现在让我们感知到的作用还只是窥一斑而难见全豹,据预测,今后随着互联网金融的发展,在不远的将来现有的银行、券商、交易所等传统的中介都将面临极大的挑战。就如比尔盖茨所说:如果你们这些银行不改变的话,你们就是21世纪将要灭亡的恐龙。这说明如果我们不重视互联网金融的发展,后果是很严重的。因此,我们必须以只争朝夕的精神和事关企业生死存亡的紧迫感加快实现商业银行的战略转型,确保商业银行在互联网金融下健康可持续发展。
作者:王永德 杨廷尧 单位:黑龙江八一农垦大学
参考文献:
[1]李爽.新金融模式下商业银行的战略选择[J].时代金融,2015,(32).
