网络支付的优缺点范文
发布时间:2024-02-23 14:58:35
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇网络支付的优缺点范例,将为您的写作提供有力的支持和灵感!
篇1
(一)乡镇远程报账县局网络监管模式
在该模式下,县局“乡财县管”管理中心要和各乡镇财政所建立一个较大局域网,都要配备微机、打印机和网络设备,建立健全网络工作平台,县局管理中心需配备5―8台微机和打印机,各乡镇财政所也要配备微机和打印机,都要配备扫描议、摄像议、传真机等等网络工作平台所需设备,对网络环境条件要求较高,前期投资较大,这种模式具体运用时的优缺点如下:
1、优点分析
(1)乡镇使用资金拨付较及时。乡镇干部职工的工资由县财政统拨付后,其建设项目经费、专项资金经费、办公费、维修费、差旅费等日常开支,只需把开支票据用传真机上传到县管理中心,管理中心审核确认后可及时将资金通过银行拨付到各乡镇。
(2)报账员往来差旅费成本小。由于采用了网络设备,乡镇的日常开支能及时得到保证,乡镇财政所报账员每月只需到县管理中心把开支票据核对确认一次就可以了,减少了报账员从乡镇到县城的往来次数,从而减少了费用开支成本。
(3)财务开支票据和报账资金相对比较安全。各种报销经费资金都是通过银行划转的,减少了现金流通环节,资金相对较安全。
2、存在的缺点
(1)网络数据安全性低。由于大量的财务会计信息在网络上传输,网络病毒和风险时刻威胁着财务信息的安全性、完整性、及日十哇、准确性。
(2)网络环境前期投资成本大。在县乡网络工作平台的建设中,在软硬件设备能保证正常运行的前提下的投资无疑是较大的。
(3)报销单据的准确性、合法性、完整性低。因乡镇日常开支的票据影印件是在网络上传输的,有时不能避免个别乡镇或个别人采取骗人的手法,伪造、变造原始单据或票据,以达到提前使用或骗取财政资金的目的。
(4)县局对乡镇的财政监督较弱,管理较松。由于各乡镇的财务开支是在网络上审核、确认后支付的,在存在上述问题的情况下,对于不合法的变造、伪造票据款已拨付,等发现后为时已晚。
(二)乡镇实时报账县局据实监管模式
在该模式下,县局“乡财县管”管理中心要建立一个分乡镇核算的小型局域网,有6―10台微机和网络设备,就可以核算全县各个乡镇的财务会计业务。乡镇报账员根据备用金的开支情况,平常月份每月两到三次到县局管理中心据实报销,管理中心可实时监控乡镇开支情况。其优缺点如下:
1、优点分析
(1)数据安全性高。由于采取小型局域网,数据库维护可实时进行,对病毒及网络风险可及时防范,相对于乡镇来说,县局的网络技术力量要强一些。
(2)报销单据的合法性、完整性高。因采取实报实销制,对白条开支、不合法的票据可以拒付,提高了乡镇遵守财经法纪的自觉性。
(3)网络环境投资成本小。由于不要求财务会计核算与乡镇联网,相对来说前期投资成本较小。
(4)县局对乡镇的财政监督力度大,管理较严。由于采取根据乡镇财力情况实报实销、据实报销,以收定支。提高了乡镇组织财政收入的积极性。报销单据由管理中心层层把关,严格审核,严格子财经纪律,有效地提高了财政监督力度。提高了乡镇领导、财政所人员遵守财经纪律的能动性、自觉性。
2、存在的缺点
(1)乡镇使用资金拨付不及时。因乡镇的日常开支是在备用金用完后由报账员到管理中心报销的,如遇天灾人祸、距离县城较远等自然或人为因素的影响,乡镇的日常开支可能受这些因素的影响而造成资金不能及时拨付到位。
(2)报账员往来差旅费成本稍大。相对于网上报账来说成本开支相对较大一些。
(3)报销票据和资金在往返报账途中存在不安全因素。在这种模式下需要报账员往返县城报销领取资金,在路途中资金存在安全风险,虽说大额可以办理转账,但往往还是报销的小额资金较多。
二、两种网络电算化模式的优化建议
(一)在乡镇实时报账县局据实监管模式下适当增加定额备用金使用量
篇2
doi:10.3969/j.issn.1006-1010.2017.02.015 中图分类号:TN918.91 文献标志码:A 文章编号:1006-1010(2017)02-0074-05
引用格式:郭建昌,姜奎. 运营商发展国密UIM卡技术探讨[J]. 移动通信, 2017,41(2): 74-78.
1 引言
一场始于美国东部的大规模互联网瘫痪于2016年21日席卷全美,美国公共服务、社交平台、民众网络服务器等遭到空前网络攻击,半个国家的网络几乎陷入瘫痪。本次网络瘫痪不仅规模惊人,而且对民众生活产生了严重影响,带来的损失超过数千万美元。近期类似的信息安全事件引发了大众的广泛关注,随着科技的发展和社会的进步,各行各业对于信息安全的需求越来越紧迫,信息安全已成为国家的重点战略。
智能卡作为接入运营商网络的鉴权工具以及承载各种应用、数据的安全载体,已经成为信息安全技术发展的重要组成部分,在智能卡领域保障信息安全的关键技术就是采用各种密码算法对数据进行加密存储及运算。一直以来,我国长期沿用国际通用的密码算法(如DES、3DES、RSA、SHA-1等)体系及相关标准,近年来国家密码管理局先后了一系列由我国自主研发的国产商用密码算法(包括SM2、SM3、SM4等)体系及相关标准,并在相关领域进行试点推广。
近日,全国信息安全标准化技术委员会了24项与信息安全相关的国家标准,其中《信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求》[1]、《信息安全技术具有中央处理器的IC卡芯片安全技术要求》[2]、《信息安全技术SM2椭圆曲线公钥密码算法》[3]、《信息安全技术SM3密码杂凑算法》[4]、《信息安全技术SM4分组密码算法》[5]等多项标准与智能卡行业有密切关联。
随着“互联网+”战略的逐步落地,各行各业之间的融合也日益加深,目前运营商均在推动利用手机终端和UIM卡在移动支付领域的发展,包括金融支付类、身份识别类、门禁考勤类、公交一卡通类、医疗卫生类、社保健康卡、EID等,这与国密算法的应用领域不谋而合。运营商基于现有UIM卡产品实现国密算法,既减少对国际算法的依赖性,抵御现有的国际算法攻击风险,可提供更加安全可靠的产品,又符合国家针对信息安全相关政策的要求,提高行业自主可控能力,更加有利于占领市场先机。
本文介绍了运营商实现国密UIM卡产品的实现方法,对不同的实现方式进行了对比验证,并结合目前的产品推广现状提出了实现方案建议。
2 原理
\营商现有移动支付UIM卡是一种复合型电信智能卡。卡片以UICC多应用平台为基础进行构建,引入了Java Card虚拟机(JCVM)[6]、Java Card运行时环境(JCRE)[7]、Global Platform运行环境(OPEN)[8]、非接触框架(Contactless Framework)等多类应用的运行环境,从而实现了多个维度的“一卡多应用”。具体来说,运营商现有移动支付UIM卡可以在一张UICC上同时支持接触式应用、非接触应用、电信应用(NAA,如UIM、USIM)、非电信应用(如安全域、金融支付类应用、身份识别类应用、门禁考勤类应用、公交一卡通类应用、医疗卫生类应用、社保健康卡应用等),实现多类应用并存的业务需求,所有应用均采用Java Applet方式实现,是一种可以应用于跨领域业务的电信智能卡。
运营商现有移动支付UIM卡架构如图1所示,主要由底层架构和应用层组成,其中底层架构主要由四部分组成:
(1)硬件层:UIM卡用于同外部设备进行通信的物理接口,包括ISO7816接口[9]、SWP接口[10]、蓝牙接口等。
(2)COS层:提供内存和文件等基础管理,实现虚拟机和安全机制,实现底层传输协议及命令分发、APDU指令处理,并实现多个应用间防火墙等,为上层提供基础的逻辑处理机制。
(3)应用基础能力层:负责为UIM卡应用层的各种卡应用程序提供在卡内容下载、安装、删除的管理和存储等服务,并实现用户卡与外部设备通信的指令报文,以及包含鉴权和加密机制的安全信道会话机制。实现GP应用管理、空间管理、生命周期管理,为UIM卡提供了与终端进行交互的应用工具箱能力(包括Setup Menu(菜单显示)、Display(信息显示)、Get Input(信息输入)、Send Short Message(发送短信)、Set Up Call(拨打电话)等)。
(4)应用API层:为UIM卡应用层的各种卡应用程序提供基本调用接口,包括Java Card API、UICC/USIM API、GP API、HCI API等。
应用层则包括基础功能需求应用(电信应用、CRS、CREL、JCPM等)、安全域(为安全隔离发卡方和应用提供方而创建的具有密钥和卡内容管理功能的特殊应用)以及各类可动态加载或预置的具有复杂处理逻辑的用户卡应用(如金融支付类应用、身份识别类应用、门禁考勤类应用、公交一卡通类应用、医疗卫生类应用、社保健康卡应用、EID应用等)。
本文提到的国密UIM卡产品实现方法,主要是针对COS底层架构中的应用API层进行改造,实现国密算法API供应用层调用。
3 国密UIM卡产品实现方式
目前国密UIM卡产品主要有如下几种实现方式:
(1)在现有的移动支付UIM卡上加载国密芯片;
(2)在现有的移动支付UIM卡上加载国密芯片和蓝牙芯片;
(3)将现有移动支付UIM卡采用芯片替换为国密芯片;
(4)将现有移动支付UIM卡采用芯片替换为国密芯片,同时增加蓝牙芯片。
3.1 现有移动支付UIM卡上加载国密芯片
该方案主要是为了解决运营商现有移动支付UIM卡产品不支持国密算法的问题,基于现有移动支付UIM卡增加国密芯片。现有移动支付UIM卡底层COS调用国密芯片提供的国密算法接口,提供给应用层供Java Applet使用,这样加载在移动支付UIM卡上金融支付类、身份识别类、门禁考勤类、公交一卡通类、医疗卫生类、社保健康卡等领域的Java Applet应用就可以支持国密算法。
基于该方案现有移动支付UIM卡需进行如下改造:
(1)卡片需重新设计封装;
(2)现有移动支付UIM卡COS底层需修改,增加与国密芯片交互接口,同时增加对外提供给Java Applet的国密算法接口。
该方案的优缺点:
(1)原有移动支付UIM卡COS成熟度较高,对原有移动支付UIM卡COS底层改造较小,COS开发和测试难度较小;
(2)现有移动支付UIM卡COS底层与国密芯片交互为私有接口,存在一定的安全隐患,且性能比直接调用国密芯片底层算法接口慢;
(3)卡片重新设计封装额外增加成本,且周期较长;
(4)未解决目前不支持Open Mobile API终端无法通过客户端访问UIM卡上的Java Applet问题。
3.2 现有移动支付UIM卡上加载国密芯片和蓝牙
芯片
该方案基于3.1节的方案额外增加蓝牙芯片,为了解决部分终端不支持Open Mobile API,无法通过客户端访问移动支付UIM卡上的Java Applet的问题。增加蓝牙芯片后,手机终端可通过蓝牙接口与移动支付UIM卡进行通信。
基于该方案现有移动支付UIM卡需进行如下改造:
(1)卡片需重新设计封装;
(2)现有移动支付UIM卡COS底层需修改,增加与国密芯片交互接口,同时增加对外提供给Java Applet的国密算法接口。
该方案的优缺点:
(1)原有移动支付UIM卡COS成熟度较高,对于原有移动支付UIM卡COS底层改造较小,COS开发和测试难度较小;
(2)现有移动支付UIM卡COS底层与国密芯片交互为私有接口,存在一定的安全隐患,且性能比直接调用国密芯片底层算法接口慢;
(3)卡片重新设计封装,额外增加成本,且周期较长;
(4)增加两颗芯片后卡片封装受限,无法封装成Mini-UICC(4FF)形态,在目前卡槽设为Mini-UICC形态的终端上无法使用;
(5)终端与UIM卡进行蓝牙交互目前暂无标准协议接口,且目前终端与卡片进行蓝牙交互成熟度不高,可能存在兼容性问题。
3.3 现有移动支付UIM卡芯片替换为国密芯片
该方案主要是将现有移动支付UIM卡采用的国外芯片替换为国密芯片,UIM卡底层COS可以直接调用国密芯片提供的国密算法接口,提供国密算法API给应用层供Java Applet使用,这样加载在移动支付UIM卡上的金融支付类、身份识别类、门禁考勤类、公交一卡通类、医疗卫生类、社保健康卡等领域的Java Applet应用就可以支持国密算法。
基于该方案,现有移动支付UIM卡需进行如下改造:
需基于国密芯片实现原移动支付UIM卡产品所有功能,同时将国密芯片提供的国密算法接口改造成可供应用层调用的国密算法API接口,其中国密算法API调用流程如图2所示。
安全应用调用国密算法API的流程说明如下:
(1)获得移动支付UIM卡算法能力:调用安全应用的客户端软件使用移动支付UIM卡的基本命令,获取移动支付UIM卡上的算法能力,该命令和移动支付UIM卡上的安全应用无关。
(2)返回算法标识:移动支付UIM卡操作系统通过算法标识返回移动支付UIM卡支持的算法能力。如果载体不支持国密算法,流程结束;如果支持国密算法,转步骤(3)。
(3)调用安全应用接口:如果移动支付UIM卡支持国密算法,调用安全应用的客户端软件调用移动支付UIM卡安全应用的命令接口。移动支付UIM卡安全应用收到调用命令后,根据命令进行处理。
(4)调用国密算法API:如果该命令的处理需要使用国密算法,通过移动支付UIM卡操作系统的商用密码算法API进行调用。
(5)返回算法调用结果:国密算法API被调用后,进行算法处理并向移动支付UIM卡上的安全应用返回算法处理结果。
(6)返回应用调用结果:移动支付UIM卡上的安全应用处理算法结束后,向客户端返回调用结果,流程结束。
该方案的优缺点:
(1)COS开发测试难度较大,需在新的芯片平台进行功能移植(包含移动支付UIM卡架构中所有功能)以及完整的产品化测试;
(2)卡片无需重新设计封装;
(3)未解决目前不支持Open Mobile API终端无法通过客户端访问UIM卡上的Java Applet问题。
3.4 现有移动支付UIM卡采用芯片替换为国密芯
片,同时增加蓝牙芯片
该方案基于3.3节方案增加蓝牙芯片,手机终端可通过蓝牙接口与移动支付UIM卡进行通信。
基于该方案现有移动支付UIM卡需进行如下改造:
(1)需基于国密芯片实现原移动支付UIM卡产品所有功能;
(2)卡片需重新设计封装。
该方案的优缺点:
(1)COS开发测试难度较大,需在新的芯片平台进行功能移植、功能及产品化完整测试;
(2)卡片重新设计封装,额外增加成本,且周期较长;
(3)终端与UIM卡进行蓝牙交互目前暂无标准协议接口,且目前终端与卡片进行蓝牙交互成熟度不高,可能存在兼容性问题。
4 密UIM卡产品实现方式对照
目前国密UIM卡产品实现方式对照结果如表1所示。
5 结束语
运营商发展国密UIM卡产品需根据实际需求,综合考虑实现方式。在目前终端与UIM卡交互成熟度不高的情况下,建议采用方案三,将现有移动支付UIM卡芯片替换为国密芯片。
参考文献:
[1] 全国信息安全标准化技术委员会. GB/T 20276-2016 信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求[S]. 2016.
[2] 全国信息安全标准化技术委员会. GB/T 22186-2016 信息安全技术具有中央处理器的IC卡芯片安全技术要求[S]. 2016.
[3] 全国信息安全标准化技术委员会. GB/T 32918-2016 信息安全技术SM2椭圆曲线公钥密码算法[S]. 2016.
[4] 全国信息安全标准化技术委员会. GB/T 32905-2016 信息安全技术SM3密码杂凑算法[S]. 2016.
[5] 全国信息安全标准化技术委员会. GB/T 32907-2016 信息安全技术SM4分组密码算法[S]. 2016.
[6] Oracle. E25256-01 Java Card 3 Platform Virtual Machine Specification, Classic Edition Version 3.0.4[S]. 2011.
[7] Oracle. E18985-01 Java Card 3 Platform Runtime Environment Specification, Classic Edition Version 3.0.4[S]. 2011.
篇3
对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。
一、私有密钥加密法
(一)定义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)使用过程
具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。
公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。
(二)使用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。
1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。
(三)算法
当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。
(四)优缺点
优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。
能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。
三、两种加密法的比较
通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。
基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。
参考文献:
[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).
[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).
[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).
[4]秦昌友.浅析电子商务的安全技术[J].苏南科技开发,2007,(08).
篇4
对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。
一、私有密钥加密法
(一)定义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)使用过程
具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应
用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。
公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。
(二)使用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。
1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。
(三)算法
当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。
(四)优缺点
优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由
于没有与公钥相匹配的私钥,截获公钥也没有意义。
能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。
三、两种加密法的比较
通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。
基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。
参考文献:
[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).
[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).
[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).
篇5
对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。
一、私有密钥加密法
(一)定义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)使用过程
具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。
公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。
(二)使用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。
1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。
(三)算法
当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。
(四)优缺点
优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。
能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。
三、两种加密法的比较
通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。
基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。
参考文献:
[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).
[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).
[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).
篇6
2.一定要亲自打电话到杂志社询问,中介给的查稿电话一定要亲自验证。验证的方式是自已到邮局定一本杂志,打开杂志的扉页,上面会在编辑部的电话,只要中介给的查稿电话和这个不一样,一定要核实好原因,否则一定不能发。当然了,通过邮局订阅杂志时间会较长,可操作性较差。
3.付款给中介后5天之内一定要打杂志社电话询问自己文章的版面费付了没有,若没付,及时和中介沟通,直到中介付给杂志社之后。
此外,需要大家明白一个问题,有两种方法,各有优缺点,如下表所示:
篇7
(一)小额贷款公司。小额贷款公司是由自然人、企业法人与其社会组织投资设立,经营小额贷款业务的有限责任公司或股份有限公司。与银行相比,小额贷款公司更为便捷、迅速,适合中小企业、个体工商户的资金需求;与民间借贷相比,小额贷款更加规范、贷款利息可双方协商。但由于公司不能吸收存款,只能以股东出资额进行贷款发放业务,因此资金来源渠道单一,股本金也十分有限。
小额贷款公司是由省政府金融办批准、在工商管理部门注册登记、经营货币的特殊企业,在法律上,小额贷款公司属于公司而不是金融机构,因此不受人民银行和银监会的监督管理,应由工商管理部门管理。但工商管理部门又不具备管理货币经营企业的专业经验。各地省政府虽然指定金融办负责监管,但金融办只是政府与金融部门间的沟通协调部门,法律上不具备履行市场准入、贷款检查、内部审计、风险防控等专业职能。因此目前无论是政府、金融办还是人民银行,对小额贷款公司的监管都处于比较尴尬的境地。
(二)村镇银行。村镇银行一般是由一家银行业金融机构控股发起,且其持股比例不低于20%,但实际上超过一半的发起行都拥有51%以上的绝对控股权。董事长均为发起行派驻,业务人员基本在机构所在地招聘,有金融从业经历的人员相对较少。村镇银行可以吸收公众存款,发放短、中、长期贷款,办理国内结算,办理票据承兑与贴现,从事同业拆借、银行卡业务,发行、兑付、承销政府债券,收付款项及保险业务和银监会批准的其他业务。但其信贷审批、系统服务均依托于控股行,服务掣肘严重。然而因为其“接地气”,因此具有较强的产品开发能力和市场拓展能力,能够立足县域农村经济金融需求,因地制宜地设计信贷产品,为当地农户或企业提供服务。
(三)融资性担保公司。融资性担保公司是经过监管部门批准,可以经营贷款担保、票据承兑担保、贸易融资担保、项目融资担保、信用证担保以及其他融资性担保业务的经营融资性担保业务的有限责任公司和股份有限公司。与此同时,融资性担保公司也可以兼营诉讼保全担保、投标担保、预付款担保、工程履约担保、尾付款如约偿付担保等履约担保、与担保业务有关的融资咨询、财务顾问等中介服务以及监管部门规定的其他担保业务。融资性担保指的是担保人与银行业金融机构等债权人约定,当被担保人不履行对债权人负有的融资性债务时,由担保人依法承担合同约定的担保责任行为。
二、小微金融机构对业务的需求
小微金融机构对服务主体的资信情况获取是通过服务前调查、委托人民银行代为查询等程序,无法利用人民银行征信系统提供的资源。而且小微金融机构在发展的过程中,对货币信贷和支付结算方面的需求也越来越强烈,因此小微金融机构自身迫切希望加入人民银行金融城域网,具体对业务的需求可以归结为以下五点。
(一)征信系统需求。小微金融机构在经营过程中,需要了解客户的信用情况,因此需要在人民银行征信系统中进行查询,人民银行也规定了小微金融机构需要向其报送客户的基本信息和信贷业务信息等情况。
(二)支付结算需求。小微金融机构尤其是村镇银行有接入支付系统的需求,一般接入方式是通过控股行的线路间接接入支付系统。
(三)国库业务需求。随着小微金融机构尤其是村镇银行的快速发展,未来的村镇银行可以作为乡一级的国库,方便人民银行开展政府性补助金发放业务以及加快流转环节中的资金拨付速度,也有利于村镇银行在乡镇的机构发展。
(四)货币信贷需求。作为资金经营类机构,小微金融机构必须按季度向人民银行报送包括存贷款利率、存贷款水平、资金存量等数据,加入金融城域网,更加方便快捷进行此类报送。
(五)调查统计需求。人民银行调查统计部门需要对包括小微金融机构在内的资金经营主体的数据全面性和完整性予以维护,因此小微金融机构需要定期将自身的经营数据报送给人民银行调查统计部门,加入金融城域网,可以使用人民银行现有的统计报表系统对数据进行报送。
三、接入方案优缺点分析
(一)MPLS VPN。MPLS VPN技术的实现是通过运营商在公用的通信基础平台骨干网络上构建出一条虚拟的通信隧道来进行数据通信,通过隧道协议自身的传输机制和安全机制来满足客户的通信和安全需求,价格较低。缺点在于MPLS VPN技术的通信线路是虚拟隧道,在有通信需求时方可建立,因此时效性较差,而且对于数据的安全性,MPLS VPN保障的不够理想。
(二)SDH。通用的SDH通信方式是通过多个E1来实现的,每一个E1可以提供2.048M的带宽。就目前的数据量来说,小微金融机构使用一个E1也就是2M的带宽是完全可以的。SDH由于具有通用的光接口标准,因此在不同厂商设备之间具有很好的兼容性,但是缺点也比较明显――扩容只能以E1为标准,也就是只能以2M为单位扩容,且价格较高。
(三)MSTP。MSTP是一种基于SDH平台来实现数据接入和传送的传输技术。MSTP可以根据用户的需求任意划定带宽,因此扩容十分方便。加之接入方式为以太口接入,大部分设备均配备以太网口,因此可以充分利用现有设备资源,几乎无需增加设备板卡。而且MSTP的接入费用较低,几乎与家庭互联网接入价格相当。哈尔滨中心支行目前与辖内小微金融机构均使用MSTP线路进行互联。
篇8
关键词 :高校收费; 收费方式; 统一支付平台; 构建
一、高校财务收费方式的现状及其发展趋势
自高校扩招之后,高校招生规模越来越大,包括学费在内的事业收费等也越来越多,但高校财务的大部分收费工作主要集中在每年开学,一般没有安排专人来完成收费。高校财务收费工作面临人手少、时间短、交费人员集中、收取资金量大等问题,高校财务收费工作任务越来越重,这促使了高校财务收费形式的不断发展。
(一)高校财务收费方式的现状
从高校财务收费形式来看,主要有现金收费、电汇转账收费、POS 机刷卡收费等。财务收费最初方式是现金收费,现仍在被使用,其优点是现场完成交易,交钱即开发票,所见即所得。但现金缴费方式存在工作量大、工作效率低下,且存在收到假钞的风险;学生携带大量现金存在易被盗、被抢等不安全因素。为了安全起见,高校也接受电汇转账方式的收费,电汇时存在交费方要支付电汇手续费、并要将转账凭证交到收费方证明已缴费,过程复杂。由于部分人员不愿意承担其费用,妨碍了这种收费方式的使用。随着银行POS机业务的发展,高校采用POS 机刷卡收费。为了鼓励交费方采用POS 机刷卡缴费,部分高校主动承担了POS 机刷卡的手续费,由于缴费方不承担手续费,此交费方式被广泛采用。POS机具有双向转帐功能,减少了清点现金带来的工作量及工作风险、在一定程度上保证了资金的安全。以学生交费为例,不管是现金收费、电汇转账收费、POS 机刷卡收费都存在缴费时产生拥挤和排长队的现象,由于财务人员工作任务过于集中,带来短时间任务很重、压力很大,存在一定工作风险。
(二)高校财务收费方式的发展趋势
统观整个高校财务收费方式的演变不难看出,其收费形式变革一方面来自对自身繁重工作的改进,另一方面也受到其所处外部环境的改变。随着计算机应用的普及,电子商务获得了蓬勃发展,利用网络支付平台进行支付是目前比较主流、也比较方便的一种支付方式。高等院校推行校园统一支付平台较其他群体有一定优势,利用校园统一支付平台进行收费成为了一种必然趋势。
电子商务的蓬勃发展,带动了网络支付平台的广泛使用,网络支付环境在不断变革。只有充分利用现有外部环境,构建校园统一支付平台,鼓励采用校园统一支付平台进行缴费才是唯一解决收费难的问题。
二、校园统一支付平台的构建
高校校园统一支付平台是一种先进的平台,它给缴费方和收费方带来了方便,可以有效的解决以上问题,构建校园统一支付平台势在必行。
(一)现有环境分析
随着高等学校不断发展,收费项目和收费范围逐步扩大,交费类别趋于细致化。各高校收费工作的难度变大。某高校是一所全日制本科学院,招生范围有有本科、专科、预科、自考、培训等,学生人数12000 余人,收费主要采用现金收费、电汇转账收费、POS 机刷卡收费等方式。学生收费是高校财务收费的主要构成,以2014 年秋季学期学生交费为例,开学以来共收费5300 万元,其中现金收费636 万、电汇收费318万、POS机收费4346万,各占12%、6%、82%,由财务部门统一安排时间,基本为现场集中收费。收费工作属于半自动化模式,效率较低,工作量大,且存在风险。通过收费工作的系统化、规范化、自动化,将提高收费工作质量和效率。
(二)统一支付平台功能及选型
校园网统一支付平台核心功能为:实现学校收费平台的集成,能提供并实现自定义项目收费;提供第三方平台支付接口,实现主要商业银行网上支付功能,交费项目以订单方式实现,能实现网银支付、对帐等功能;为各类其他系统提供支付接入接口,方便推广应用;为缴费用户提供统一支付和查询界面,为财务部门和收费业务部门提供收费项目管理和查询统计功能。
目前,统一支付平台的构建方式有自主开发和购买商品化软件,两种方式各有优缺点。采用自主开发方式具有的优点:根据实际量体裁衣,适用性较高,具有根据实际独特需求进行实现的功能;灵活性强,能较快满足流程不断变动的需要,更符合业务要求;由于拥有系统核心源代码,安全性可控程度更高。但也存在不足:开发周期长,投入的成本较高,如人力成本和资金成本都比较高;开发人员压力较大,开发团队稳定性存在风险;产品开发存在不够规范,开发文档不全面等,对后期开发、优化等可能造成障碍;容易出现技术单一,难以实现与其他软件系统的对接、集成;新开发系统稳定性、严谨性和成熟度都有待考验。
购买商品化软件具有的优点:购买现成通用、标准化套装软件,节约大量的开发时间,上线速度快;商业产品经过了充分的验证和测试,在安全、功能,上线风险方面有一定优势; 商用产品中有成熟的经验可以借鉴,产品有专业团队进行不断完善,后继服务有保障;商用产品开发整体开发成本高,但分摊到大量的用户时,购买价格相对适中。软件接口的开放性、集成性较好。存在不足:商品化套装软件难以满足企业个性化管理需求,与企业自身管理模式契合差; 商用软件使用者在实施、服务、升级等方面容易受软件提供商的牵制;存在软件供应商产品针对后续服务、开放接口或升级时出现服务价格太高,后继成本压力存在风险。
通过自主开发和商品化通用型套装产品优缺点的比较,结合统一支付平台功能要求的实际,对平台的构建采用购买通用型套装产品方式。在产品选择时充分考虑以下因素:产品相对成熟、具有一定数量的高校案例、资金投入较小,与现有系统能紧密结合、能实现快速部署。
(三) 统一支付平台的构建
校园统一支付平台采用B/S 结构, 使用微软的Asp.Net作为技术架构,后台数据库采用甲骨文公司的Oracle11g,操作系统采用windows server 2008,web 服务器环境为IIS 7, 整个通过校园网络运行,向所有公众提供服务。统一支付平台的核心功能由数据库服务器和Web服务器实现。采用统一支付平台主要功能由统一支付网关和统一收费管理两大模块构成。
数据库服务器软件是统一支付平台的数据存储,关系到性能及安全,选择一个好的数据库是非常重要。目前,主流的数据库系统有Access、SQL server、Mysql、Oracle、db2 等, 对于数据库系统的选择主要考虑其价格,性能,安全等因素。Web服务器上主要安装统一支付网关和统一收费管理两个软件模块,操作系统为windowsserver 2008, 在服务器上对相关银行或第三方支付平台双向开放指定端口,允许银行或第三方支付平台访问收费支付平台服务器,通过调用支付接口实现收费。收费管理模块主要包括收费项目管理、收费批次管理、收费人员管理、人员交费、交费状态监控和计费记录查询等功能,由管理员添加收费项目,收费业务部门设置收费批次,并导入需要交费的人员,人员通过唯一编号进入统一收费平台进行缴费。
统一支付平台的构建重点是安全,这贯穿整个系统建设过程。主要从网络安全、数据库安全、WEB 安全三方面进行加强。网络安全是指网络系统中硬件、软件及其数据受到保护,不受破坏、更改、泄露,系统连续可靠地运行,网络服务不中断。财务内网配备专门千兆防火墙,采用最大化安全原则,通过专用防火墙与校园网隔离,严格控制内部主机向外网提供的服务,只开发指定服务,保证网络安全。数据库安全指数据库中数据保护措施,为保障数据库的安全性,特地将WEB 服务器与数据库服务器进行分开部署。对数据库本身,及时做好用户密码级别,用户权限等相关设置。为保证本地数据的安全和完整:使用RAID6 技术进行备份,意外事故发生时能及时快速恢复,防止数据在系统出现故障或突然断电等意外情况时丢失。同时,作好数据库及操作系统的查缺补漏、系统安全检查。针对Windows 平台上使用IIS 进行了有效安全防护,主要采用措施有:经常定期针对IIS 存在的系统漏洞,下载安全补丁,进行系统修复;禁用其他的不使用的服务,只开放WEB 服务端口;将WEB服务器放在专门区域中,利用防火墙进行WEB 服务器保护,从而避免免受非法用户侵入。
三、结语
统一支付平台是电子商务发展过程中必不可少的环节,是利用网上支付平台实现的收费新途径,它解决了高校财务收费难的问题。高校建立校园统一支付平台方便多种业务的开展,能更加高效的为校园收费方和交费方提供简单、便利的服务。统一支付平台的建立有效地提高了财务工作业务的简单化、效率化、多样化、统一化,财务部门通过平台可以集中监管校内各类收费项目,实时查询统计收费情况、银行对帐等处理,对部门业务的开展有着重要意义。
基金项目:
四川民族学院人文社科项目(XYZB14008)。
参考文献:
[1]张伟.基于财务视角的高校现场收费平台搭建[J].中国乡镇企业会计,2011(07): 170-171.
[2]李莹.高校收费工作存在的问题及对策[J].山西财经大学学报,2012(S4): 107.
[3]张晖.高校收费规范化管理的思考[J].会计之友,2011(33): 113-115.
篇9
网上购物,就是通过互联网检索商品信息,并通过电子订购单发出购物请求,然后填上私人支票帐号或信用卡的号码,厂商通过邮购的方式发货,或是通过快递公司送货上门。国内的网上购物,一般付款方式是款到发货(直接银行转帐,在线汇款)、担保交易(淘宝支付宝,百度百付宝,腾讯财付通等的担保交易),货到付款等。
网络购物的优缺点
1、网络购物的优点
网络购物有以下几个优点:网络商店中商品种类繁多,无商店营业面积的限制;网络购物无任何的时间限制;购物成本低;网上商品的价格相对较低;网络商店库存小,资金积压少;商品信息更新快,且容易;商品容易查找。
2、网络购物的缺点
网络购物的缺点有以下几点:(1)实物和照片差距有时太大。(2)不能试穿。(3)网络支付不安全。(4)诚信问题。就是卖家的信用度,如果碰到服务质量较差的卖家,问几个问题就显得不耐烦。还有在网上购物时时常出现上当受骗的事情。(5)配送的速度问题。在网上所买的物品,要经过配送的环节,快则一两天,慢则一个星期或者更久,有的时候,配送过程会出现一些问题。(6)退货不方便。
网络购物模式
网络购物主要有以下三种模式:B2C(Business to Customer)、C2C(Customer to Customer)、B2B(Business to Business)。
1、B2C
B2C(Business to Customer)即企业对消费者的交易。这种模式也就是通常说的商业零售,直接面向消费者销售产品和服务。这种形式的电子商务一般以网络零售业为主,主要借助于互联网开展在线销售活动。B2C电子商务的付款方式是货到付款与网上支付相结合,大多数企业的配送选择物流外包方式以节约运营成本。
从客户所面对的商家的类型,目前网上购物B2C模式主要有以下两种:(1)商店型。这一类型包括百货商店型和垂直商店类型。像亚马逊、当当、卓越就属于典型的百货商店型。所谓百货商店一般有他们的销售场所、仓库,有一定的库存量,以方便更快的物流配送和客户服务。垂直商店主要是服务于某种特定的需求或者某些特定的人群,提供有关这个领域或需求的全面产品及更专业的服务体现。像京东、在线国美就属于典型的垂直商店型。(2)综合商城型。像淘宝、易购就是最典型的综合商城型。综合商城只是提供了一个供商家和客户交易的平台,商城本身并不提供商品,商城把店面租给商家销售商品。客户所购买商品的价格、品种、质量等均与商城没有关系,客户直接与商家进行交易,这就是综合商城的模式。
2、C2C
C2C(Customer to Customer)即消费者对消费者的交易。电子商务的普及也正得益与C2C。淘宝网是目前我国具有代表性的C2C网站。它的特点是:(1)只提供平台。(2)交易方式灵活,交易双方可选择见面交易,也能选择邮汇等其他方式。(3)提供信用体系。交易之后交易双方都可给出信用评价以表达自己对交易的满意度。买家可根据卖家的信用程度和买家评价来选择是否与卖家交易。(4)消费者的选择空间大,可以真正地实现货比多家。 (5)交易双方可以商议价格。
3、B2B
B2B(Business to Business)即企业对企业的电子商务。它将企业内部网,通过B2B网站与客户紧密结合起来,通过网络的快速反应,为客户提供更好的服务,从而促进企业的业务发展。通俗的说法是指进行电子商务交易的供需双方都是商家(或企业、公司),他们使用了Internet的技术或各种商务网络平台,完成商务交易的过程。这些过程包括:供求信息,订货及确认订货,支付过程及票据的签发、传送和接收,确定配送方案并监控配送过程等。
网络购物存在的风险
消费者安全意识风险
网络购物时,由于消费者没有对交易中可能存在的风险引起足够的认识而造成的网络购物安全风险有很多。
1、由密码引起的风险
很多消费者为了方便记忆多个密码相同或密码设置的简单,这样就容易被第三方猜出,造成密码泄露的风险。在许多实例中,输入的密码很容易泄密,只需通过键盘上的手势就大致能猜出来了。甚至一些程序员可以通过程序记录用户录入的内容。键盘输入记录器能记录所有的输入信息,因此能很容易获得用户名和口令信息。
2、由不良的使用计算机习惯造成的风险
如消费者为了方便登陆,便用浏览器自动保存用户名和密码的功能,这样就可能被别人使用;上网时提供过多的个人隐私信息,造成个人信息泄露;网购时,轻易相信商家所推荐的链接,很容易就被“钓鱼网站”套取密码等资料。
3、忽视电脑的上网安全引发的风险
目前的操作系统无论是Windows 还是其它任何操作系统,由于软件开发商的利益驱动,其系统本身必定存在一定的安全漏洞,漏洞形成的原因是由于软件开发人员的疏忽、设计中的缺陷,或是开发商的主观原因等。这些安全漏洞都将存在重大安全隐患。还有用户浏览不安全的网站或不安杀毒软件和防火墙、不经常升级杀毒软件和及时查杀木马病毒,从而容易中病毒木马等。
商品质量风险
篇10
随着互联网的不断普及,我国使用移动互联网的人数持续增加。中国互联网络信息中心(CNNIC)8月3日的最新《中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民规模已达7.1亿,其中手机网民6.56亿。而我国网民数量的增多,也为网络第三方支付平台的使用提供了更多用户基础。第三方支付平台是指与银行(通常是多家银行)签约,并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台,是买卖双方在交易过程中的资金“中间平台”,是在银行监管下保障交易双方利益的独立机构。在通过第三方支付平台的交易中,买方使用第三方平台提供的账户进行货款支付,第三方再将款项转至卖家账户。
根据艾瑞咨询,2015年第三季度中国第三方互联网支付交易规模达到30747.9亿元,同比增长52.6%,中国网上支付规模增长率高达9.3%(见图1),不断刷新着我国移动电子商务的交易量。据速途网调查,2015年第三季度第三方支付平台中,支付宝以61.9%的比例占据大部分支付市场,领先于其他平台。财付通市场份额仅次于支付宝,排在第二位,微信支付、QQ钱包两种新支付入口的快速发展使其市场占比进一步扩大。
创立于2004年的支付宝是国内领先的独立第三方支付平台,主要提供支付及理财服务,包括网购担保交易、网络交付、转账还款、个人理财等多个领域,从2004年建立至今,为电子商务各个领域的用户创造了丰富的价值,拥有庞大的互联网用户基础。随着网民数量的增多和网络技术的日趋成熟,支付宝逐渐兴起于2008年,截至2008年8月底,支付宝用户首次达到一亿人。
微信支付功能开通于2014年3月,具有完整的社交关系链,建立起了个人与个人、个人与企业之间支付的连接,用户可以通过手机完成快速的支付流程,方便快捷且同時具有多种娱乐功能。2015年春节期间爆红的微信红包,更是充分调动了各年龄段人们的好奇心与积极性,使得使用人数快速增长,致使微信支付同样在人们日常生活中占据了一席之地,截至2015年第一季度末,微信支付用户已达到4亿左右。
支付宝和微信支付都对近年来人们的生活习惯和互联网支付交易金额产生了重大影响,逐渐成为人们日常生活中离不开的一部分。而支付宝与微信支付究竟哪种支付方式人群受众更广,人们对其使用满意度又有多高,又是什么因素会影响到人们对这两种支付方式的满意度,本文就支付宝与微信支付的受众群进行了线上问卷调查,得出了如下结论。
二、数据描述
上班人群对于支付平台的选择与使用对于整个第三方支付市场有着关键的影响,为了更具体地了解该类人群使用和评价第三方支付平台的影响因素,尤其是对于两大巨头支付宝和微信的偏好和满意度,本次调查以电子问卷形式于2016年8月在山东莱芜市对该地区的上班人群进行了抽样调查(见图2),共计发放问卷121份,有效问卷114份。该问卷的内容主要包括三个部分,被调查者个人信息部分、目前最常使用的第三方支付方式部分、对自己最常使用的第三方支付方式评价及期望部分。调查年龄分布为15至60岁,其中男性占比例45.45%,女性占比例54.55%,男女比例基本持平。其中,主体可分为25-29岁、30-44岁、45-59岁三组,在每一组中,男女比例都基本持平。
三、数据结果与分析
(一)被调查者个人信息部分
问卷填写者受教育程度大多为本科,占52.86%,高中、中专及以下占17.36%,大专占20.66%,还有少数为硕士学位,没有博士及以上学位(见图3),被调查者平均月收入分布,(见图4)。
(二)目前最常使用的第三方支付方式部分
从图5中可以看出,68.6%的人最常使用的第三方支付方式为手机支付宝,24.79%的人最常使用的第三方支付方式为微信支付,0.83%的人最常使用的第三方支付方式为快钱,5.79%的人最常使用的第三方支付方式为其他。从调查获得的饼状图来看,相比于微信支付,支付宝在日常生活中被使用的频率要更高一些。
(三)对自己最常使用的第三方支付方式评价及期望部分
满意程度部分——使用手机支付宝的人8.43%对该支付方式一般满意,54.22%对该支付方式比较满意,37.35%对该支付方式非常满意。而使用微信支付的人16.67%对该支付方式一般满意,43.33%对该支付方式比较满意,40%对该支付方式非常满意。不难看出,使用手机支付宝的人对支付宝的评价保守一些,其满意程度更偏向于中性评价比较满意,而使用微信支付的人相比而言,两极略呈分化趋势,一般满意和非常满意所占的比例都要更高(见图6)。
使用原因部分——由图7可看出,用两种支付方式的人绝大多数是由于该支付平台操作简单、便捷容易而使用,说明对于大多数有一定年龄的上班人群来说,技术上的简单直白更易被自己接受。而使用手机支付宝的人中,还有39.76%是由于常用的购物平台指定使用该购物平台而使用该支付方式,这一比例远远高于微信支付中因为此原因使用支付方式的人。由此可见,由于购物的需要,人们往往会默认使用某一支付方式,所以支付方式的推广就显得尤为重要。
未来期望部分——关于最常使用的支付方式未来需要在哪些方面做出改进,使用手机支付宝的人40.96%认为需要加大优惠力度,而微信支付此方面仅为26.67%,使用手机支付宝的人61.45%认为将来需要对安全方面进行升级,微信支付此方面高达70%。人们对两者需要改进的方面差别较大,说明二者各有优缺点且长短分明。从图8调查中得到的数据来看,人们最关心的问题还是安全性问题,甚至高过了操作的简便性方面。在目前来看,手机支付宝在优惠力度方面还有所欠缺,而微信支付则需要在安全性方面加大升级力度。
关于是否会在有其他支付渠道时依然选择该支付方式,如图9可知,使用手机支付宝的人77.11%会继续使用,略高于微信支付的73.33%。说明相比于微信支付,人们对手机支付宝的满意程度更高一些,但手机支付宝也并不是一骑绝尘,微信支付仍然有上升甚至赶超的空间。
四、结论
本文基于对114名上班族的调查,分析了人们最常使用某一支付平台的原因、对该平台的满意程度、忧虑及期望。调查得出以下结论。第一,人們在进行平台选择的时候,会受到便捷性、购物平台、优惠力度等因素的影响,也会因为使用操作的简便性和固定购物平台的绑定而使用某一支付方式。第二,被调查者的年龄和月收入对最常使用哪一个支付平台影响不大。第三,在目前的日常生活中,支付宝比微信支付更受人们欢迎,而人们对手机支付宝的满意程度也略高于微信支付。第四,手机支付宝和微信支付的侧重点有所不同,在人们眼中各自的优缺点也比较明显且显著不同。
综合调查数据和结果分析,各平台在进行运营的时候,要重视操作的简便易懂和用户的满意程度,要清楚自己的优势,利用自己的优势来获得客户、留住客户;也要找出自己在哪些方面有所欠缺,从而加以改善。比如微信支付要想提高自己在使用人群中的满意度,需要在安全性优惠力度上多下功夫;要想提高在人群中的被使用频率,可以选择与人们常用的购物平台捆绑或多投放些电子广告。支付宝要想保持自己的优势地位,在继续推广自己被使用范围的同时,也要注意自己操作上的简单化,使自己更易被大众所接受。各平台要对人们的意见给予一定的关注,借鉴人群的意见加以改进,完善自己的程序从而推动新技术的出现,促进第三方支付和社会的发展。
参考文献:
[1] 奚中阳. 第三方移动支付影响因素研究[D].昆明:云南财经大学,2015.
[2] 李长城. 第三方移动支付用户接受影响因素研究[D].北京邮电大学,2015.
篇11
一、手机支付的定义
移动支付,也称为手机支付,就是用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。
二、手机支付的安全问题
如何在基于网络技术的电子商务业务中,迅速发展手机支付业务,首先要解决的是手机支付的安全问题。尤其随着市场的发展,手机支付逐渐应用到大额支付场合,安全性必然成为客户最关注的核心问题。
根据艾瑞2011年7月的调查发现,88.6的智能手机用户认为手机存在安全威胁或病毒威胁,而智能手机用户中,有近六成表示在使用手机支付时最担心手机安全。同一调查报告显示,39.7%的智能手机用户认为手机安全中财产安全的保护是最为重要的。可见支付安全已经成为手机用户关注的首要问题。
同时,随着手机微博的应用爆发和团购市场的井喷,使得手机搜索、手机银行和手机支付安全需求有了很大发展,手机支付安全也成为了手机厂商最关注的问题之一。
从安全性角度考虑,手机支付主要存在三大安全影响因素:
1.通信保密问题
随着网络技术的更新换代,网络加密技术也不断发展。手机支付的加密技术必须使用最前沿的技术,且应广泛应用于各种支付过程。这对处于起步阶段的手机支付来说障碍重重。由于手机支付的主要过程主要是经过无线通信,特别是用户与支付平台、商家与支付平台之间,用户和商家的信息以及交易的密钥对手机支付的交易至关重要,如何让消费者和商家消除对信息泄密的担心是手机支付业务推广的重要挑战。
2.身份识别的缺乏
手机支付应用的一个天然不足是不能有效识别用户的身份,手机只是作为支付的终端设备,且使用无线通信。支付过程中交易双方都看不到其交易对象,当手机丢失和密码被窃取,都会给交易双方带来难于估计的损失。
3.信用体系的缺失
信用问题也在一定程度上限制了手机支付的发展。在普通的交易市场并不存在信用问题或者说可以有效的去避免交易带来的信用问题。然而在手机支付中,主要指小额支付,用户把手机的话费账户作为支付的账户,如果该用户已经欠费,而支付系统没有及时发现,也会给交易带来麻烦。
对于以上三类安全隐患,只有提高手机支付的安全性才能很好的规避。
因此,我们有必要在现阶段通过技术手段解决手机支付系统中的安全性问题,致力于研究出一种行之有效的、适用于手机支付系统的安全体系,消除用户对手机支付安全性的担忧,从而保证手机支付行业长期繁荣稳定的发展。
三、手机安全支付主要技术
目前用到的手机支付技术主要有四大类。
第一类是RFSIM卡技术,它是将无线射频模块嵌入到手机SIM卡中,从而使SIM卡同时具有射频识别卡的功能,使手机可以与读卡器(POS)之间进行非接触式数据交换,如此一来,用户在原来的SIM卡通讯功能基础上还能实现各种支付操作。
第二大类就是NFC手机,例如诺基亚6131i、诺基亚6216c,它们在手机中嵌入NFC模块,这项技术在日韩的应用相当广泛和成熟,也深受用户喜爱。这种应用中,NFC芯片和应用安全芯片是独立于SIM卡之外的,比如我国厦门的试点即采用了NFC手机。
第三类就是依托网络的空中支付,这也是目前使用最广泛,被最多的网购用户所采有的支付方式。它使用WAP网络、短信确认、第三方支付平台等来实现“空中”的支付,这个方案与RFSIM和NFC手机最大的区别就在于通过网络和软件实现,手机不用改变任何硬件设备即可完成支付。
与计算机相比,手机内存小、可利用的资源少、功能简单,但这也同时对病毒的危害和传播产生了一定的限制,而且手机的私人性使得不法分子获取个人账户和密码资料的可能性大大降低,如此一来,网银大盗往往难以对手机支付用户下手。在很大程度上,手机网上支付的安全性大于传统的网上支付。
第四类是USSD (Unstructured Supplementary Service Data,非结构化补充数据业务)服务,它是一种基于GSM网络的新型交互式数据业务,如证券交易、移动银行业务,专业性强,提供服务的企业对安全问题上也相当的看重。
四、手机支付的安全认证技术
由于移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。
WPKI是基于公开密钥机制,即无线公开密钥体系。PKI运用公开密钥密码体制保证通信的安全性,WPKI是公开密钥密码体制在无线环境下的安全保证机制。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥,通过第三方的可信任机构--认证中心(CA)验证用户的身份,从而实现信息的安全传输以及用户身份的有效识别。
WPKI技术虽然有着广泛的应用前景,但在技术实现和应用方面仍面临着一些问题:
相对于有线终端,无线终端的资源有限,它处理能力低,存储能力小,需要尽量减少证书的数据长度和处理复杂度。
无线网络和有线网络的通信模式不同,我们还需要考虑WPKI与标准PKI之间的互通性。
篇12
结合教学内容随时收集和讲解热点问题支付安全问题、DELL网站成功的营销模式、竞价排名策略、淘宝和易趣的经营模式的分析比较、网上免费定价策略和价格歧视策略等,这些内容学生的关注程度很高而且也非常感兴趣,只要是他们感兴趣的东西,参与性就非常高,这样既保证了课堂气氛的活跃性,也使教学效果得到保证。例如,笔者上课讲到“网络安全性”这部分知识时,了解到学生对“黑客”很感兴趣,笔者要求学生课后寻找这方面的相关报道与资料,了解三方面的知识:一,黑客是什么;二,黑客是如何进入电脑;三,黑客的危害。学生上课时利用搜索到的资料进行讨论。学生在讨论过程中,气氛非常活跃,笔者让每位同学都积极参与,同时把代表发言和自由发言相结合,鼓励学生各抒已见,畅所欲言。在讨论过程中,让学生了解到黑客对网络安全造成的危害及其影响。此外,在课程的讲授过程中,为了将行业最新发展信息融入课程体系中,可以考虑开展专题讲座,培养学生分析问题、解决问题的能力,使课堂成为一个经验交流和解决实际问题的场所。
2案例教学法
案例教学法不但拉近了现实生活的案例与课堂的距离,而且富有很大的吸引力,更有利于学以致用。从教学角度看,网络营销案例教学法的主要体现在以案例故事导入课程内容,结合案例教学、课堂讨论、实践练习共同进行。通过案例故事,归纳出知识的内在联系,尤其是要重点阐述基本理论,介绍各种的网络营销的特点、评价分析和资源的特征、分布规律、吸引力因素、网络营销功能等,为学生今后从事网络营销管理、研究以及规划开发工作打下理论基础。而对描述性的内容则指导学生自学,以培养学生的自学能力。同时,结合教学内容,将行业、领域内的相关网络营销资源与开发方面研究的新理论、新思想、以及发展动态介绍给学生,以开阔学生的视野,激发其求知欲,逐步建立经营管理的理念。笔者在运用案例教学法时注意以下三个环节:一是选好或编好教学案例;二是组织好任课班级的讨论;三是任课教师与学生一起对本节课的内容进行评论。其中第一步是决定整个案例教学法是否成功的关键,这就要求任课教师课前一定要收集材料,并进行有效的整理。对于网络营销这门课程笔者几乎每一章都精选一至三个案例。如在导言部分我选择了“京东商城”作为案例;在网络营销部分,我选择了“淘宝网”里的网上购物作为案例;在网络营销的支付部分我选择了“中国农业银行的网上支付系统”作为案例等。通过案例的讨论、互动,提高了学生发现问题、解决问题的能力,取得了较好的教学效果。
3网络教学法
当今社会,网络资源作为更新最快的全球知识宝库,它与教学紧密地结合是教育行业的教学所趋,既是教学内容改革的需要,也是教学手段优化的必然要求。网络资源和网络营销的教学紧密相结合,必然能够使网络营销的教学在动态上有飞跃式的变化,满足了目前竞争市场对网络营销人才培养的要求。丰富的网络资源激发了学生学习的兴趣,有效地提高了学生的动手能力和实践的操作能力,使学生的主体性得到了充分的发挥,优化了教学的方法与手段,拓展了教学和学习的空间,便于师生之间的互动与交流。一是利用Internet的各种免费资源,培养学生信息处理能力(信息收集、整理、分析、利用能力);二是将Internet作为了解市场、了解竞争对手、发现商机的渠道;三是通过Internet创业,为企业提供有偿服务或在线创业,在干中学,边做边学,在学习中不断完善知识结构。例如:学习网上购物的流程时,可以结合淘宝网的网上购物流程,让学生登录到淘宝网,然后一步步地教学生如何在网上亲身体验网上购物的过程。具体在淘宝网上的购物流程如下:开通网上银行业务、注册淘宝会员,注册支付宝,开始在网上选择商品、与卖家洽谈、填写订单、确认订单(也就是把款付到支付宝)、收到所购的商品、再次登录交易管理确认收货。在课堂的讲解时,教师可以先演示给学生看,然后让学生亲自去注册及登录相关的网站,体验真实的网上购物。学生通过亲身经历的网上购物过程,可以达到教学的实用化,同时也达到了学生可以边做边学。最后再通过组织学生进行讨论,评价网上营销的经历,分析现有网上购物及营销的优缺点,提出更好的建议。通过学生边做边学,可以让他们既可以在实践中掌握相关的理论知识,激发对本门课程及与本门课程相关课程的学习兴趣,又可以通过具体的操作与练习提高学生的动手与实践应用能力。这种实际性操作的环境让学生在学习过程中能够直观地、生动地、感兴趣地去学习,并且让我们的教学效果也达到更好。
4问题教学法
教师在教学过程中可根据课程的重点,结合网络营销的热点和难点,提出问题或列出习题,先让学生思考,再组织他们讨论,最后由教师帮助分析、归结,引导出正确结论。这种教学方法与单一的理论讲授相比,可大大提高教学效率。我们可以利用互联网让学生真正感受到网络营销的存在及目前的广泛应用,可以分析在网络营销方面做得比较成功的网站的功能及其运营模式。为了达到教学的预期目标,笔者课前都要精心设计一些相对应的思考题,引导学生在操作时思考并完成。比如:(1)学习网络营销要用到的电子支付工具。让学生自己找出目前比较流行的结算工具(中国银行、中国工商银行、中国建设银行、中国农业银行等众多银联卡、一卡通、借记卡等)。让学生事先申请一张中国农业银行的口令卡,然后在网上进行证书下载及运行安装,说明操作的过程及步骤,提醒学生在操作过程中应该注意的事项。(2)通过让学生上网浏览京东网上商城,当当网上购物,淘宝网,卓越网上购物等网站,总结出B2B、B2C、C2C、B2G等网站销售的产品或提供服务的优缺点,同时比较他们之间的区别和联系,他们之间的营销流程是怎么样的?是否有共同点?通过这种教学方法,学生可以理论与实际相结合,能够加深对相关理论知识的理解与巩固,从而基本上能够达到我们的教学目标。
篇13
中图分类号:F830.91 文献标识码:A doi:10.3969/j.issn.1672-3309(x).2013.08.25 文章编号:1672-3309(2013)08-55-02
一、背景介绍
我国证券市场经过多年的发展,中小型券商逐渐进入瓶颈期,没有雄厚的资金和足够的研究实力与大型券商竞争,也没有能和大型券商抗衡的承揽承销的资源渠道,经纪业务和资产管理也不过是通过压低佣金和通道费来进行所谓的“竞争”,最终陷入同质化竞争的困境。
随着互联网技术发展的越来越迅猛,所有行业都受到了巨大冲击,许多行业已经开始将发展平台向互联网转移。而互联网和传统金融行业的有机结合,就形成了互联网金融这个新兴领域。它利用以互联网为主的信息技术,如大数据、移动支付和社交网络等,使得金融业务的透明度得以提高、信息传递更为方便、迅速、有效,对金融模式的发展带来了深远的影响。例如阿里金融的小额信贷业务、“三马”合资筹建的众安在线财险等都是互联网金融的优秀产物。
证券行业的互联网金融,及广义上的证券电子商务,是一个“大平台”的概念。它是在“证券交易电子化”的基础上延伸和扩展出来的“证券商业网络化”。将目前传统证券行业的同质化竞争,转化为互联网思维方式、信息技术整合应用能力的竞争。
二、证券行业发展互联网金融的现状
(一)狭义的证券电子商务
中国证监会于2000年出台《网上证券委托暂行管理办法》至今。所有券商已陆续实现了“狭义”的证券电子商务,即实现证券的网上委托买卖。不过大多数券商的网上交易平台应用功能单一,仅能满足最基本的股票交易、基金申赎等功能,缺少对大客户的特色服务。公司网站大多仅起到企业宣传、软件下载等功能。这种缺少统一客户服务体系的狭义电子商务已经成为券商的“标配”,不具有竞争力,本文所要研究的互联网金融是广义的更为完整和全面的电子商务。
(二)已发展互联网金融的券商所采用的模式
1、自建电子商务平台模式。自建电子商务平台其实就是“行业垂直电商”的概念,最典型的即是网上商城战略。目前,国泰君安、华泰证券、华创证券等券商已相继建成网上商城,销售的产品包括交易软件、投资资讯、投资顾问套餐、研究报告等一系列增值服务。截止至今年7月底,自建电子商务平台或具备电子商务平台雏形的券商有28家,具备网上开户功能的券商有13家。
2、进驻第三方电商平台模式。今年3月,方正证券正式宣布其天猫商城“泉友会旗舰店”开始营业,这是首家登陆第三方B2C电商网站的券商。“泉友会旗舰店”目前主要定位为业务展示及服务产品销售,此次上线19款服务产品,包括泉量化投资决策软件、泉秘书、短信资讯、网页资讯、财富管理套餐、电话会议系列、套利工具等,售价从十几元到上万元不等。但从实际销售情况看并不理想。截至今年6月1日,仅有8只产品有成交记录,其他产品尚无人问津。而在有成交记录的8只产品中,除了首日秒杀的“方正证券全量化投资决策主力版”成交记录达到94笔外,其他7只产品销量均在1-3件。从实际效果来看,该模式但目前还只有眼球效益。
3、与第三方电商形成战略合作模式。该模式可以理解为模式2中借助第三方电商平台的升级版。目前业内采取该种模式的券商仅华创证券一家,其于2012年下半年通过收购一家名为证联融通的公司从而取得第三方支付牌照,通过内部测试的网上商城,挂出了电器、消费品等非金融产品。华创商城属于券商推进金融电子商务中的特例,其现阶段主要以测试支付功能和为客户提供增值服务为目的,最终目的是条件成熟后开展类支付通业务。
三、中小型券商发展互联网金融的模式规划
(一)三种模式的优缺点
1、自建电子商务平台的优缺点。自建互联网电商平台是提供全方位、多渠道、个性化的全面服务的技术平台。该平台是集交易、理财、服务、管理于一体的证券全业务金融服务平台,可以优化服务流程、整合服务资源、统一产品,实现对渠道、客户、服务产品、营销服务活动、过程控制的全面管理,深度挖掘客户行为数据实现精准营销。该模式投入产出较高,并且先发优势容易转化为品牌效应。其缺点是,如果该电商平台缺少流量支撑,则该平台的效用则无从谈起。在互联网上,要卖出东西首先要有用户,但是对于一个新平台来说,前期可能需要投入较多营销费用以发展客户和导入流量。
2、进驻第三方电商平台模式的优缺点。券商做互联网金融主要问题是客户流量有限,品牌认知度比较低,借助电商平台恰恰能解决这一问题,投入成本也大为降低。但对于券商来说,类似淘宝、腾讯等第三方电商的客户群体与券商的目标客户存在比较大的差异。券商的金融产品的目标客户是有理财需求的较富裕人群,与一般的零售客户群体存在差异。另外这类大型电商过于强势,作为组织方可能会在销售的收益上压榨券商。
3、与第三方电商形成战略合作模式优缺点。与第三方电商通过相互参控股或者成立合资公司等方式进行战略合作,可以充分的利益绑定,相互取长补短,共享资源。借鉴其互联网业务拓展的成熟经验及管理模式弥补券商互联网经验不足的短板。但缺点在于证券公司与互联网公司毕竟属于两个行业,经营理念及行业特点还是有很大的差别,能否很好的融合在一起是个未知数,另外参控关系在操作层面难度较大。
(二)中小型券商宜采取的模式与技术规划
今年以来券商C类型网点的建设成为券商设立分支机构的趋势后,该类网点的绝大部分功能已转向互联网,通过互联网和移动互联网建立一套完整的线上商业模式则更适合采用“自建电子商务平台”模式。借助电子商务平台的搭建弥补信息系统的历史欠账,把互联网链条打造成拓展业务的第二战场,完整地把业务转到互联网之上。技术规划方面,要搭建强大统一的数据后台、建设功能丰富的、完善方式多样的前台。具体包括:
1、全业务金融商城。目前,越来越多的实体经济投融资需求被证券公司、信托公司、资产管理公司等设计成为具有年化收益率、封闭期限、最低申购金额、风险评估水平等可比属性的标准化金融产品,即“金融产品化”和“金融产品标准化”。标准化的金融产品需要多元的、开放的、竞争性的销售渠道,中小型券商全业务金融产品商城的建设目标就是把公司牌照下所有合适的产品(资管产品、OTC产品、增值服务产品等),通过恰当的服务(自助服务或投顾、客服),经过适当的渠道(订购渠道、配送渠道、支付渠道等),销售给适当的客户。另外,还要借助这个平台实现公司所有业务部门的资源无缝对接。
2、客户服务平台。全业务金融产品商城解决的是商品来源以及卖什么商品的问题,而客户服务平台则要构建完整的产品设计、资源、生产、推广等产品生命周期的跟踪管理体系。基于中后台的客户管理,可以实现客户相关资料维护、订单跟踪查询、个人订购产品的递送、客户数据采集、行为分析,为销售平台提供精确营销提供支持,解决产品怎么卖、卖给谁以及如何方便客户购买的问题。该平台由客户账户服务、综合账户理财服务、综合支付服务、呼叫中心服务。IM软件服务、客户关系管理服务、客户积分管理、互联网广告推广八个方面进行搭建。使其为前端销售提供稳定的运营保障。
3、移动平台终端建设。在电子商务平台搭建中小型券商要尽量摈弃“大而全”的做法,走有特色的“小而强”。移动证券这个载体就是可以进行突破的一个方向。
随着3G、4G通信技术的快速发展,智能终端目不暇接的更新换代,迅速改变着我们的行为模式和生活习惯,金融服务的进一步自助化和碎片化,金融服务对物理场所和时间的依赖越来越低,用户更倾向于通过终端设备随时随地自助获取资讯,完成交易,这意味着移动交易比重将进一步提高。因此,券商移动终端产品的内涵需要扩充,从原来以行情、委托、咨询等服务与交易通道业务为主的应用,延伸到既要服务于交易通道,又要服务于非交易通道的业务。金融产品销售、基金代销、集合理财、预约开户、风险测评等一系列业务模块完全可以迁移到券商的移动终端产品上。并将使证券行业服务逐步移动化、社交化,产生新的具有移动互联网特点的金融模式。
四、风险与展望
中小型券商发展互联网金融不光要在资金成本上有巨大的投入,还要涉及到许多现有业务流程的再造,必定会产生决策和经营风险。任何行业的创新永远走在监管之前,在新的金融趋势面前,既要提高风险管理能力,又要避免过度审慎的合规经营。只有艺术地做好对风险和机会的拿捏,才能实现中小型券商在本次金融创新大潮中的弯道超车。
参考文献:
