電子商務通過第三方支付的安全研究論文

導語：電子商務通過第三方支付的安全研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

內容摘要:電子數據的安全以及企業間數據交換的法律確認問題是電子商務發展的主要障礙。本文從電子交易技術基礎和電子數據的基本特征角度,對電子商務網上支付的安全及法律問題進行分析,旨在推動我國電子商務的發展。

關鍵詞:電子商務；網上支付；技術基礎；電子數據

目前,我國電子商務的B2C、B2B以及C2C模式都可以實現在線支付,突破了電子商務資金流的瓶頸。然而,在線支付同時也引發了支付安全問題,“身份”認證、電子文件認證和網絡銀行在線支付的法律問題以及稅收、貨幣、金融監管等一系列問題。

電子商務網上支付的技術基礎

電子數據交換是將商業事務處理數據按照一個公認的標準,形成結構化的事務處理報文數據格式,通過電子方式在計算機系統之間進行傳輸。因此,企業間開展電子數據交換除了自身必須應用計算機系統外,還必須同時具備兩個條件:通信網絡和數據標準。

(一)電子數據交換的環境

通信網絡是實施電子數據交換不可缺少的工具。在互聯網出現之前,企業內的數據交換主要在商用增值網上進行。增值網供應商提供的主要業務有:私人業務、綜合業務、不拒絕業務和驗證業務。私人業務是指增值網保證信息只能由指定的接收者閱讀,他人無法看到;綜合業務是指如果沒有人看信息,則信息從發送端到接收端的過程中不發生變化;不拒絕業務是指發送端不能拒發,接收端不能拒收,并通過旁聽跟蹤來實現;驗證業務則保證信息從指定的發送端發送。通過增值網實施數據傳輸,安全可靠,傳輸效率高。企業間業務往來中的格式化數據都可通過增值網傳輸,包括采購進貨單、退貨單、發貨單、報價單、托運單、對賬單、單價單、缺貨通知單、付款明細表等。另外,還可在海關申報、電子對賬、電子轉賬、保險等事務處理中傳輸格式化單據。

開展電子數據交換的關鍵是標準化問題,包括數據格式標準化和報文標準。由于不同行業、不同企業都是根據自己的業務特點設計數據庫結構,當需要發送電子數據交換文件時,需要通過軟件提取數據庫中的數據,并自動將其翻譯成統一的標準格式才能傳輸和被對方接收。電子數據交換標準主要有以下四項:網絡通信標準、處理標準、聯系標準、報文標準。綜觀電子數據交換標準的發展過程,大致經歷了三個發展階段:行業標準階段、國家標準階段、國際標準階段。

(二)SSL安全協議

安全套接層協議(SecureSocketLayer,簡稱SSL)是由網景(Netscape)公司推出的一種安全通信協議,它能夠對信用卡和個人信息提供較強的保護,是對計算機之間整個會話進行加密的協議。在SSL協議中,采用了公開密鑰和私有密鑰兩種加密方法,主要用于提高應用程序之間數據的安全系數。協議的整個要領可以被總結為:一個為安裝了安全套接層的客戶和服務器提供事務安全保證的協議,它涉及所有TCP/IP應用程序。

(三)SET安全協議

安全電子交易協議(SecureElectronictransaction,簡稱SET)是由Visa和MasterCard兩大信用卡公司聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份,以及可操作性。SET的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。SET協議比SSL協議復雜,因為前者不僅可以加密兩個端點間的單個會話,它還可以加密和認定三方間的多個信息。

電子商務網上支付的風險

電子商務網上支付風險從整體上可分為兩大部分:計算機網絡風險和商務交易風險。

(一)計算機網絡風險

計算機網絡風險包括:計算機網絡設備風險、計算機網絡系統風險、數據庫風險等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。

另外,不論采用什么操作系統,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。網絡軟件的漏洞是進行網絡攻擊的首選目標。此時計算機網絡風險主要有:未進行CGI程序代碼審計、拒絕服務攻擊、安全產品使用不當、缺少嚴格的網絡安全管理制度。

(二)商務交易風險

商務交易風險是傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上保障電子商務過程的順利進行,即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。電子商務的形式多樣,涉及的安全問題各不相同,但其中最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:竊取信息、篡改信息、假冒、惡意破壞。

電子商務網上支付安全的強化策略

在傳統支付系統中,偽造現金、偽造簽名、拒付支票等是商品交易中的風險。在電子支付系統中,由于知道私鑰的任何人都能以買方的身份產生數字簽名,連續購買行為之間的關系可以被跟蹤出來,電子數字文檔復制不影響原文檔,所以,電子支付系統存在著與傳統支付系統類似的風險,而且風險可能更大。

電子支付系統的基本安全需求可以總結為:買方與賣方都必須證明自己的支付身份;要求支付交易數據不可受到非授權的參與方的更改;確保在未經用戶明確授權之前不能從該用戶的賬戶或智能卡中提取任何現金;一項或多項支付交易數據的機密性。強化安全管理需要從以下兩個方面著眼:

(一)強化安全支付服務

首先,支付交易安全服務。支付交易安全服務涉及所有的電子支付系統和所有的支付手段,具體包括以下內容:用戶匿名性、地址不可跟蹤性、買方匿名性、支付交易不可跟蹤性、支付交易數據的機密性、支付交易消息的不可否認性、支付交易消息的新鮮性。其次,數字貨幣安全。數字貨幣安全服務主要與數字貨幣相關,具體包括以下內容:防止再度花費、防止數字貨幣偽造、防止貨幣被盜。再次,電子支票附加服務。電子支票附加服務基于以電子支票作為支付手段的支付系統的特定技術,其主要內容是支付授權轉賬(),即使某一授權的參與方可以將支付授權轉移給他所選定的另一參與方。

上述三種數字貨幣安全服務在一定程度上是相互沖突的,但在實施的同時可以達到風險與保護的平衡。例如,可以將這三種服務設置成僅當非法事件發生的時候才起作用(如有條件的匿名性)。

(二)強化企業內部的安全管理

首先,網絡安全管理。網絡安全管理主要包括以下內容:安全服務管理、安全機制管理、安全審計管理、安全恢復管理等。其次,保密設備與密鑰的安全管理。保密設備的使用,應與網絡中保護對象的密級相一致。密碼算法、密鑰和保密協議是核心內容,同步技術和操作方式的選擇也相當重要。保密設備的管理主要包括保密性能指標的管理,工作狀態的管理,保密設備的類型、數量、分配和使用者的狀況,以及密鑰的管理等。再次,安全行政管理。安全行政管理的重點是:安全組織機構的設立、安全人事管理、安全的責任與監督等。

電子商務網上支付安全的相關法律問題

(一)電子數據的特征

電子商務不是以紙張作為記錄的原始憑證,而是將數據記錄在計算機系統中的磁(光)性信息載體上。電子數據極大地改變了傳統書面數據的生成方式和存在方式,由于其不同于書面數據的特征,也改變了法律對其證據效力的規定。電子數據具有以下特征:第一,無形性。電子數據實質上是計算機存儲介質中的一組電子信息,具有無形的特點。第二,不穩定性。傳統的書面數據一旦形成,其形態和內容不再發生變化,除非遭受不可抗拒的災害事故。第三,易改動性。傳統書面數據一旦生成,具有不可改動性。如有改動也容易留下修改痕跡。第四,技術性。電子數據的生成、確認、傳遞、儲存,以及為了保證它的可靠性、安全性、完整性和可驗證性等,都是建立在一系列的高技術之上的。

從某種意義上講,上述問題的存在也阻礙了會計無紙化的發展。如果電子數據的可靠性、機密性、完整性、可驗證性得不到確定的保障,那么開展電子商務進行無紙化交易是不可能的。即使采取了現代化的網絡通信手段,人們仍離不開紙質憑證。

(二)電子數據的數字簽名技術

數字簽名實際上是電子數據文件中一組用二進制數0、1表示的字符串。它是通過加密技術,在發送方和接收方之間經過加密、解密轉換實現。基本原理是:報文發送方用散列算法從報文中生成一個固定長度的報文摘要(散列值),然后用私有密鑰對報文摘要進行加密形成發送方數字簽名并發送;接收方用同樣的散列算法計算原報文的報文摘要,再用公用密鑰對附加的數字簽名進行解密,如果兩個報文摘要相同,就確認該報文由數字簽名方發送。

數字簽名可以實現以下功能:一是接收方能夠核實發送方對報文簽名的真實性;二是發送方事后無法抵賴對報文的簽名;三是接收方無法偽造對報文的簽名。也只有同時具備以上三條,才能保證數字簽名的有效性、可靠性。

(三)電子數據的法律承認

完善的技術是電子數據普及使用的基礎。但電子數據要得到社會的認可,首先要取得法律上的承認,使其具有法律效力。由于電子商務沒有國界,有關電子商務的法律需要考慮全球普遍性,建立電子商務的法律環境已受到各國的重視。聯合國國際貿易法委員會在1996年通過的《電子商務示范法》為各國電子商務立法提供了范本。我國于1999年3月通過了新的《合同法》,也第一次承認了電子商務合同在我國的法律地位。然而,完善法規應注意以下問題:

電子商務環境下的電子數據已不同于任何傳統意義上的書面形式。是取消書面形式的提法還是擴大書面形式的定義,是電子商務立法中面臨的問題。根據功能等同法原理,把符合書面形式功能的東西視同書面形式,是目前普遍采用的做法。公務員之家

在許多國家的法律中,涉及證據時都要求提供原件。原件具有獨一無二的特征,會計上的原始憑證一般都要求是原件。電子商務環境下的電子數據是記錄在計算機內的一串字符,傳送給接收方的也是一串字符,不可能具備獨一無二的特征。從某種意義上講,電子數據不存在“原件”問題,因此,法律需要對此做出相應的規定。

電子數據(尤其是電子合同)的生效時間和地點在電子商務活動中具有重要法律意義。在傳統的商務環境中,不同國家的法律對此有不同的規定。例如,英美法系國家采取“發出生效規則”,大陸法系國家則采取“到達生效規則”。由于電子數據可在任何時間、任何地點發送,具有較大的不確定性。因此,到達生效規則更適合于電子商務活動。

簽名是交易合同和單據生效的必備條件。傳統的書面簽字是指某具體人在交易合同和單據上親筆寫上自己的姓名或所代表的單位名以示確認,并開始承擔相應責任。然而傳統的簽字方法無法應用在電子數據文件上。

參考文獻:

1.段滿珍,曹會云.制約我國電子商務發展的若干問題[J].河北理工大學學報(社科版),2008(2)

2.王崇哲,王雁.實行付款憑單制有效控制購貨款結算[J].商業研究,2000(2)

3.王寧.基于電子商務的物資采購管理[J].化工管理,2008(2)

4.卓婷婷.電子商務網上支付風險問題探析[J].經濟研究導刊,2008(1)