网络支付存在的安全问题及解决对策

2011年第10卷第9期网络支付存在的安全问题及解决对策研究

□于浩

【摘要】随着互联网的快速发展和信息技术的突飞猛进，计算机网络已经延伸到世界的各个角落。而电子商务作为一种新型网上在线贸易方式，使企业与消费者摆脱了传统的商业中介的束缚，但是电子商务交易中最为重要的环节—网上支付，其安全问题依然是阻碍电子商务快速发展的瓶颈之一。本文对现阶段网上支付的安全问题进行了分析，并提出了解决这些安全问题的若干对策。

【关键词】电子商务；网络支付；安全问题

【作者单位】于浩，聊城大学东昌学院

作为电子商务中重要的环节———网络支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机，便可足不出户，在很短的时间内完成整个支付过程。然而网络支付也是一把双刃剑，在给我们带来便利的同时，也不可避免的存在着安全隐患。

一、网络支付的主要支付工具及其特点

目前的网上支付工具主要有以下几种：

（一）银行卡在线转帐支付。是目前我国应用非常普遍的电子支付模式，付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。它具有以下基本特点：一是可以接受此电子支付方式的商家投入成本较低；二是能够受理银行卡的商店全世界范围内相当多，用户不受地域的限制。

（二）电子现金。是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数，来表示现实中各种金额的币值。但目前我国使用的不多。它的特点：一是具有现实现金特点，可以存、取、转让，适用于小额支付；二是电子现金银行在发放电子货币时使用了数字签名，商家接受到电子现金后将其传输给电子现金银行，由电子现金银行通过对数字签名的验证来确定此电子货币是否有效；三是电子现金的支付是匿名消费。

（三）电子支票。是以一种纸质支票的电子替代品而存在的，用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足，在我国尚是空白。其特点：一是与传统支票的操作有很多相似之处，易于理解和运用；二是通过简单加密工具就可以保证其安全性；三是电子支票技术可连接公众网络金融机构和银行票据交换网络，可以通过公众网络连接现有金融付款体系。

（四）第三方支付。是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类：一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面，统一的手续费用标准，结算较为便利。二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司，支付宝收到货款之后通知卖家发货，买家收

笔者不是为刑讯逼供正名，毕竟，事在人为，改变提高司法人员的素质才是解决之道。笔者认为，对证据审查适用的核心环节应该在证据材料上，即尚未被真正确定是否具有证据资格的原始材料里，对于这些材料，应当有两种属性，一是客观证明力，二是主观证明力。客观证明力指证据材料因其外观、痕迹、属性、内容等特征所具有的可能指证犯罪的能力，而主观证明力则指审判人员在审判中对上述具备客观证明力的材料以及其他事实通过逻辑推理或技术鉴定而判断其是否具有证明犯罪事实的能力。客观证明力既可能具有真正指证犯罪的特征，也有可能与案件无关，法院在法庭调查的过程中所要做的，就是判别控辩双方提出的他们所认为的具有客观证明力的证据是否具有让所有人信服的主观证明力。所以，笔者构想的是一种新的证据模式，可以叫“证据相对确定”模式，这种模式的特点是，在法庭调查结束前，控辩双方提出的证据所具有的证据资格只是相对确定的，或者说，这些材料对控辩双方所具有的相对证据资格是基于双方于之前的取证中用各种手段对其客观证明力进行检验得来的，它们只在相对范围里被称作证据，需要最终通过法官运用相应方法确认所提供的相对证据是否具有主观证明力，是否可以被人们所认同。如果法官认为一方提供的证据真的证明了犯罪真实情况，可以被信服，则主客观相统一，成为绝对证据用以证明被告人是否有罪。如果被告人或者辩方出具任何可以证明刑讯逼供的事实，则可以通过认定来确认控方证据不具有主观证明力而予以排除。

以上论述只是笔者对于证据制度的很不成熟的构想，但是笔者始终认为“非法证据排除规则”的确立不用那么急切与草率，在尚未很好平衡实体与程序正义关系的时候，这个规则很可能带来许多意想不到的尴尬和困惑。

2011年第10卷第9期

到货物之后再通知支付宝，支付宝这时才把钱转到卖家的账户上。在整个交易过程中，如果出现欺诈行为，平台提供方将进行赔付。

二、网上支付存在的安全问题分析

要想保证在网上进行交易的安全性，首先要确保网上交易的载体———计算机网络的安全以及用户机终端的安全。计算机网络安全的内容包括：计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行，如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。网上支付的安全除了上述两种安全问题外，还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性，包括以下几个方面：

（一）身份真实性。也称商务对象的认证性，传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性，但网上交易的双方相隔甚远，互不了解，支付方不知道商家到底是谁，商家不能清晰确定银行卡等网络支付工具是否真实，以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机，所以需要为参与交易的各方提供可靠标识，使他们能正确识别对方并能互相证明身份。

（二）信息的完整性。网上交易简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为，可能会导致交易各方信息的差异。另外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据（如支付金额）进行修改而发生多支付或少支付的问题，那么势必给交易双方添加不少麻烦。

（三）不可否认性，也称不可抵赖性。在传统的商务交易中，双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生，但在网上则是不可能的。因此就有可能出现这样的情况，当交易一方发现交易行为对自己不利时，可能会否认电子交易行为，这必然会损害另一方的利益。

（四）数据保密性。有关交易的各种信息，如付款人和收款人的标识、交易的内容和数量等，这些信息只能让交易的参与者知道，有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。

三、网上支付存在安全问题的解决对策

（一）技术方面的对策。

1.数据加密。数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足信息完整性的要求。它是通过一定的加密算法，利用密钥（Secret keys）来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。

2.数字签名。数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个散列值（或报文摘要），发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值（或报文摘要），接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

3.安全协议。在国际上，比较有代表性的电子支付安全协议有SSL和SET。SSL（安全槽层）协议是由Netscape公司研究制定的安全协议。通俗地说，SSL就是客户和商家在通信之前，在Internet上建立了一个“秘密传输信息的信道”，来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的认证问题也就越来越突出，SSL的缺点就会逐渐暴露出来，SSL协议也就逐渐被新的SET协议所代替。

（二）法制方面的对策。加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管，规范市场主体行为。首先要加强对网络银行的监管，网上银行不同于传统银行，应该制定新的准入条件，加强对客户开户的监管，落实责任审查客户资料等信息，明确网上银行业务终止条件、清算办法等，制定电子货币退出机制，规范电子货币市场；其次要加强对第三方支付机构的监管，要让第三方支付机构受银监会监督，第三方无权动用客户资金，必须确保资金安全和支付的效率。

（三）管理方面的对策。在管理方面，由于网上支付涉及到许多部门和机构，容易造成混乱的局面。通常来说，电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此，统一而先进的管理和规范就显得尤为重要。例如，各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。

【参考文献】

1．张李义，李枫林．电子商务概论［M］．武汉：武汉大学出版社，2002

2．柯新生．网络支付与结算［M］．北京：电子工业出版社，2009

3．郭亚军，宋建华，李莉．信息安全原理与技术［M］．北京：清华大学出版社．2008

4．肖德琴．电子商务安全保密技术与应用［M］．广州：华南理工大学出版社．2008