电子商务三个疑难杂症
总结来看,国内电子商务目前主要在三个环节存在问题:
①网上支付不安全。网上银行支付对电子商务来说是最便捷的支付手段,但目前各家银行推出的网上银行业务要么安全性能较低,要么操作十分繁琐。使用网上银行必须在线输入密码,而网络的不安全性就极易导致客户账号、密码的泄露,既而导致客户遭受损失,最近就有大量关于客户银行账户密码在网上被黑客窃取的报道。
②网上购物一般都采取款到发货方式,商家真实可靠性难以证实,顾客受骗事件时有发生,大量虚假不法商家的存在很大程度上拖累了诚心信商家,阻碍了中国电子商务整体发展。
③目前一些C2C电子商务网站通过第三方支付企业的资金中转作用来保障买家资金、卖家商品的安全,但是第三方支付企业由此积聚了大量资金,其是否可作为金融机构的身份有待质疑,对国家金融安全造成威胁。从目前几个第三方支付企业的客服论坛上每天的大量交易求助、问题申诉也可看出,客户的资金及交易安全并不能全部得到保障。
网上交易新模式如何解决难题?
笔者提出一种全新网上交易模式,不仅过程简便、安全,采用隐式转账,不会泄露用户的账号等信息,而且资金不出银行,不存在第三方支付企业的问题。
为了保证网上转账的安全,确保客户信用卡账号密码不被黑客和不法商家获取,对银行的网上银行数据库系统进行如下设计:
①为每个开通网上银行业务的账号对应设立一个“虚拟账号”。每个银行客户(商家、个人)都可查询自己的虚拟账号内的资金,但不可提用,当资金被转入真实账号后才可提用。
②为每个账号设立“初级密码”和“高级密码”。
③增设“转账确认”短信平台、固定电话平台、网上平台。
④银行提供账户到账信息通知业务,供用户选订(网上Email方式和手机短信方式两种)。
银行系统如下图:
这样,对使用者来说,使用网上银行转账时,不必向购物网站透露自己的信用卡号码,防止姓名、卡号等信息被不法商家获取。而且网上银行转账分“初转账”和“确认”两个环节,使用者凭“初级密码”登录自己银行账户,可进行明细查询、初转账等业务,(初转账后资金只被转入目的账号的“虚拟账号”,目的人无法动用。)银行返回交易流水号和一个随机产生的“变化码”,用户再根据银行返回的“变化码”和自己的“高级密码”通过一定的算法产生“确认码”,当本次的交易流水号和与其对应的“确认码”一同被以手机短信、或网上在线、或固定电话方式发送到“转账确认”平台时,资金才被转入真实目的账户。每次“转账确认”都是不同的转账码,真实的“高级密码”不会在网上传播,彻底避免了密码泄露的可能。
按照这样的转账流程,使用者需先到开户银行开通网上银行业务,并设定“初级密码”和“高级密码”,有手机的客户填入手机号。登录银行网站,输入账号、“初级密码”和图片码登陆自己的账户。然后填入目的账号、转账金额和附言,并可显示是否给对方显示你的账号。
银行服务器返回初转成功信息。如下图。有手机的用户可设定为将交易流水号和变化码直接发往手机,则本界面将不再显示交易流水号和确认码,这样会更安全。银行数据库上记录了与此交易流水号对应的本次交易信息(如来源账号及其高级密码、目的账号、转账金额、保持期等),交易流水号和确认码可被任何一个手机或固定电话或网上银行在线方式发送至银行,达成本笔交易。
这种设计是为了方便下述的网上购物后邮递员验证资金落实后再把商品交付顾客。由于确认码是由用户在银行设定的高级密码和每次交易时银行服务器随机产生的变化码运算得到,且每次的确认码只对该次转账有效,这种方式极大避免了密码泄露的可能。也是如此,任何拿到一组交易流水号和确认码的人所能做的仅仅是将客户已经“初转账”的交易确认,而不能非法的往自己的账户里转移资金,因为他既没有该组码的账号也没有其密码。系统设定为:当一笔转账的交易流水号和确认码被累计三次错误提交后,本次转账无效,已转入该虚拟账号的资金将被返回至源账号。系统同时向源账号客户发送消息,提醒其更改初级密码。如此设计,即使用户初级密码不幸被破解,也不会造成资金损失。)
新模式防欺诈
各电子商务网站都运行着自己的网上购物系统,包含服务器、产品数据库、客户数据库等,各家不尽相同。顾客在其网站上浏览产品信息,在线选购、生成包含商品名称、数量、单价、总金额等信息的订单,并产生一个“订单号”,返回给顾客。
商家应用本模式时,无需更改现有系统,只需向顾客说明:在网上银行向商家账号转账时将“订单号”填入银行转账“附言栏”即可。
而邮政基本仍是按原有方式进行管理和运作,只需在现有的庞大邮政网络上增加一种新的邮递业务——“确认式邮递”,即不同于原来的把邮品无条件地交给收件人,而要将购物人的“银行转账交易流水号”和“确认码”用手机发送到银行短信平台,待银行服务器通过短信平台向该手机返回“流水号为xxxxxxx的转账成功,转账附言栏号码为xxxxxxxx,已将xxx元转入xxxxxx的真实账号”,邮递员将此信息与邮包标签上的订单号核对无误后将邮包交付,则一笔交易完成。
顾客也可将收货事务交由其他人完成,如公司、学校、机关等一些地方的邮寄收发必须通过收发室进行,这时只需把“订单号”、“转账交易流水号”和“确认码”交给收发室人员即可,由于这些信息不包含银行账号、密码等信息,因此非常安全,不必担心账号信息被代办人获得。
安全不安全 试试才知道
由于电脑和互联网的特性,只要是通过电脑在互连网上传播的信息都有被非法截获的可能,因此,不论采用多长的密钥,用户使用各大银行现运行的网上银行都有不安全性存在。
在笔者提出的模式中,用户的账号是在“初转账”环节中通过Internet传送,而有决定作用的“高级密码”经变化后通过基于移动通信网或固定电话网的“确认”环节发送,与“确认码”一起发送的不是账号,而是一组转账流水号,即用户的账号和密码不会同时在同一场合出现,如此一来用户的账号和密码永远都不会被非法获取。
这样一个创新模式在理论上非常安全,现在就等待实践中的试用了。
