网上交易新模式如何解决难题?
笔者提出一种全新网上交易模式,不仅过程简便、安全,采用隐式转账,不会泄露用户的账号等信息,而且资金不出银行,不存在第三方支付企业的问题。
为了保证网上转账的安全,确保客户信用卡账号密码不被黑客和不法商家获取,对银行的网上银行数据库系统进行如下设计:
①为每个开通网上银行业务的账号对应设立一个“虚拟账号”。每个银行客户(商家、个人)都可查询自己的虚拟账号内的资金,但不可提用,当资金被转入真实账号后才可提用。
②为每个账号设立“初级密码”和“高级密码”。
③增设“转账确认”短信平台、固定电话平台、网上平台。
④银行提供账户到账信息通知业务,供用户选订(网上Email方式和手机短信方式两种)。
银行系统如下图:
这样,对使用者来说,使用网上银行转账时,不必向购物网站透露自己的信用卡号码,防止姓名、卡号等信息被不法商家获取。而且网上银行转账分“初转账”和“确认”两个环节,使用者凭“初级密码”登录自己银行账户,可进行明细查询、初转账等业务,(初转账后资金只被转入目的账号的“虚拟账号”,目的人无法动用。)银行返回交易流水号和一个随机产生的“变化码”,用户再根据银行返回的“变化码”和自己的“高级密码”通过一定的算法产生“确认码”,当本次的交易流水号和与其对应的“确认码”一同被以手机短信、或网上在线、或固定电话方式发送到“转账确认”平台时,资金才被转入真实目的账户。每次“转账确认”都是不同的转账码,真实的“高级密码”不会在网上传播,彻底避免了密码泄露的可能。
按照这样的转账流程,使用者需先到开户银行开通网上银行业务,并设定“初级密码”和“高级密码”,有手机的客户填入手机号。登录银行网站,输入账号、“初级密码”和图片码登陆自己的账户。然后填入目的账号、转账金额和附言,并可显示是否给对方显示你的账号。
银行服务器返回初转成功信息。如下图。有手机的用户可设定为将交易流水号和变化码直接发往手机,则本界面将不再显示交易流水号和确认码,这样会更安全。银行数据库上记录了与此交易流水号对应的本次交易信息(如来源账号及其高级密码、目的账号、转账金额、保持期等),交易流水号和确认码可被任何一个手机或固定电话或网上银行在线方式发送至银行,达成本笔交易。
这种设计是为了方便下述的网上购物后邮递员验证资金落实后再把商品交付顾客。由于确认码是由用户在银行设定的高级密码和每次交易时银行服务器随机产生的变化码运算得到,且每次的确认码只对该次转账有效,这种方式极大避免了密码泄露的可能。也是如此,任何拿到一组交易流水号和确认码的人所能做的仅仅是将客户已经“初转账”的交易确认,而不能非法的往自己的账户里转移资金,因为他既没有该组码的账号也没有其密码。系统设定为:当一笔转账的交易流水号和确认码被累计三次错误提交后,本次转账无效,已转入该虚拟账号的资金将被返回至源账号。系统同时向源账号客户发送消息,提醒其更改初级密码。如此设计,即使用户初级密码不幸被破解,也不会造成资金损失。)
