《ch电子商务支付》PPT课件.ppt

1,第三章 电子商务支付,2,学习目标,熟悉网上支付系统的基本组成 熟悉网上支付系统主要类型 熟悉网上支付系统的基本功能 熟悉银行卡网上支付系统 熟悉电子转账网上支付系统 熟悉电子现金网上支付系统 掌握网上支付主要类型的业务流程,3,支付宝是阿里巴巴旗下的淘宝网从2003年10月推出的，短短几年时间内迅速成为使用极其广泛的网上安全支付工具，深受用户喜爱，引起业界高度关注。用户覆盖了整个C2C、B2C、以及B2B领域。支付宝以其在电子商务支付领域先进的技术、风险管理与控制等能力赢得银行等合作伙伴的认同。目前已和国内工商银行、建设银行、农业银行、招商银行等各大商业银行以及VISA国际组织等各大金融机构建立了战略合作，成为银行在网上支付领域极为信任的合作伙伴。,开篇案例,4,支付宝流程,5,拍买商品,6,7,8,9,确认收货,10,11,12,交易评价,13,14,15,现金交易流程图,3.1 传统的支付方式,一、现金,缺点？,16,二、票据,买方,卖方,银行,17,三、信用卡,美国商人弗兰克·麦克纳马拉在纽约一家饭店招待客人用餐，就餐后发现他的钱包忘记带在身边，因而深感难堪，不得不打电话叫妻子带现金来饭店结账。于是麦克纳马拉产生了创建信用卡公司的想法。1950年春，麦克纳马拉与他的好友施奈德合作投资一万美元，在纽约创立了“大来俱乐部”（Diners Club），即大来信用卡公司的前身。大来俱乐部为会员们提供一种能够证明身份和支付能力的卡片，会员凭卡片可以记账消费。这种无须银行办理的信用卡的性质仍属于商业信用卡。 1952年，美国加利福尼亚州的富兰克林国民银行作为金融机构首先发行了银行信用卡。,18,一般信用卡共通特点 先消费 后付款 通常不具有存款功能，发生溢缴款亦不计算利息 对于销售(Sales)交易有免息还款待遇，一般以当月结账后20-30日全额付款为条件 利息一般为按日单利计息，按月复利计息,19,3.2 电子支付的方式,一、电子支付的概念 电子支付指进行电子商务交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。,20,电子支付经历的五个发展阶段,（1）银行利用计算机处理银行之间的业务，办理结算； （2）银行计算机与其他机构的计算机之间进行资金结算； （3）利用网络终端向客户提供各项银行服务； （4）利用银行销售点终端（POS）向客户提供自动的支付账款服务； （5）电子支付可随时随地通过互联网进行直接转账结算，形成电子商务环境。,21,与传统支付方式相比，电子支付具有的特征,电子支付是在网络系统中采用数字技术完成信息传输的；传统的支付方式是通过现金的流转、票据的转让等来实现； 电子支付基于开放的系统平台（即Internet平台）；而传统的支付方式是在较为封闭的环境中运作； 电子支付相对传统支付方式，突破了时间和空间的限制，具有快捷、方便、高效、经济的优势。 电子支付具有方便、快捷、高效、经济的优势。,22,网上支付系统的基本构成,网上支付系统的基本构成主要包括客户、商家、客户的开户行、商家开户行、支付网关、金融专用网、认证机构等。,23,二、电子支付的形式,电子支付的方式可分为三大类： （1）电子货币类，如电子现金、电子钱包等。 （2）电子信用卡类，如智能卡、借记卡、电话卡等。 （3）电子支票类，如电子支票、电子汇款、电子划款等。 电子现金支付系统的特点：预先付款：可以离线操作 电子支票支付系统的特点：即时付款，在线操作 信用卡支付系统的特点：延时付款，在线操作,24,信用卡是一种常见的银行卡，具有购物消费、信用借款、转账结算、汇况储蓄等多项功能，是广为商家接受的主要在线支付方式之一。 信用卡支付可以分为未加密与加密的付款方式。 由于各种信用卡的持有量相当巨大，所以商家纷纷推出用信用卡在网上支付的付款方式。,（一） 信用卡网上支付方式,25,(1) 持卡人到信用卡特约商家处消费。 (2) 特约商家向收单行要求支付授权，收单行通过信用卡组织向发卡行要求支付授权。 (3) 特约商家向持卡人确认支付及金额。 (4) 特约商家向收单行请款。 (5) 收单行付款给特约商家。 (6) 收单行与发卡行通过信用卡组织的清算网络进行清算。 (7) 发卡行给持卡人账单。 (8) 持卡人付款。,信用卡网上支付系统模型,26,27,（二）电子现金支付方式,现金与电子现金 电子现金的种类 电子现金网上支付系统模型 电子现金支付系统实例,28,1.现金与电子现金,在传统的支付工具中，现金具有举足轻重的作用。有的国家，甚至70%95%的交易都是使用现金来支付的，其他支付工具（如支票等）的使用也是建立在能与现金自由兑换的基础之上的。,29,电子现金概念,电子现金又称为电子货币（E-cash）或数字货币，是一种以数据形式流通的货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值，被看作是现实货币的电子或数字模拟，是买家和卖家之间进行在线交易中使用的货币。,30,电子现金的特点,电子现金既具有现钞所拥有的基本特点，又有互通性、多用途、快速简便等特点。 （1）现金具有最终支付手段的特征。 （2）现金支付具有分散、匿名的特性。 （3）现金支付具有技术上的“离线处理”的特性 （4）现金具有国家强制力赋予的信用性以及发行商的有限性（稀缺性） 现金管理：发行量的控制；防止伪造,31,2.实现电子现金的技术手段,硬盘数据文件形式的电子现金 荷兰求索现金公司Dig Cash bv/inc IC卡形式的电子现金 英国Mondex,32,3.电子现金的应用过程,电子现金网上支付系统模型,33,8 确认,9 确认信息,7 核对,1 请求开设E- cash账户,买 方,2 账号,3 购买数字现金请求,4 银行数字签名的随机数,银 行,数字现金库存,5 订单及加密的数字现金,6 加密的数字现金,卖方,34,电子钱包 电子钱包是一种客户端的小数据库，用于存放电子现金和电子信用卡，包含诸如信用卡账号、数字签字以及身份验证等信息。 使用电于钱包购物，需在电子钱包服务系统中运行。电子商务服务系统中设有： 电子钱包管理器：电子现金和电子钱包的功能管理模块。顾客可用它来改变保密口令或保密方式；查看自己银行帐号上的收付往来的电子货币帐目、清单和数据。 电子交易记录器，顾客通过查询记录器，可以了解自己的购买，可把查询结果打印出来。,35,电子钱包是由位于“英国的硅谷”斯温敦 (Swindon) 市的西敏寺银行 (National-Westminster) 开发的一种电子货币“MONDEX”，1995年7月首先在斯温敦试用。 在电子钱包中只能放电子货币 使用电子钱包时，将有关的应用软件安装到电子商务服务器上，利用电子钱包服务系统把自己的各种电子货币、电子信用卡上的数据输入进去。 付款时只要单击电子钱包服务系统的相应图标就可以完成。,36,使用电子钱包的购物过程 顾客在自己的计算机上，通过因特网选择要购买的商品，输入购物订单。 通过电子商务服务器与有关商店联系，商店告诉顾客所购商品的单价、应付款数、送货等信息。 顾客确认后，用电子钱包付款。将电子钱包装入系统，单击电子钱包图标，打开电子钱包，输入密码，取出其中的一张电子信用卡付款。 电子商务服务器将顾客的信用卡号经加密处理后，发送到信用卡所属的银行，同时将购货帐单也进行加密处理发往商店。商店将购货帐单加上顾客编码再返回给电子商务服务器。在此过程中商店看不到顾客的信用卡上的号码，商店也不能直接处理信用卡上的钱款。,37,电子商务服务器确认顾客的合法性后，将信用卡信息和购货帐单同时发往信用卡公司和银行。由信用卡公司和银行进行电子数据交换与结算。 如果这张信用卡已经透支（没有钱了或钱数不够）银行拒绝授权。顾客可以再打开电子钱包取出另一张信用卡，重复以上的操作。 如果银行证明这张信用卡有效并授权，商店就可付货，并给顾客发送一份电子收据。 使用电子钱包购物虽然经过这么多步骤，但完成上述过程只需要不到一分钟的时间。,38,智能卡（Smart Card or IC） 智能卡也称“IC卡”，是一种内部嵌入集成电路芯片、能独立进行信息处理与交换的卡片式现代信息工具 智能卡具有储存信息量大、数据保密性好、抗干扰能力强、储存可靠、读写设备简单、使用灵活、操作速度快、脱机工作能力强等特点与优点。,39,智能卡的应用范围,电子支付，如智能卡用于电话付费，代替信用卡； 电子识别，如能够控制对大楼房间或系统的访问机或收银机； 数字存储，即一种必须适时存储和查询数据的应用，如存储和查询病历，目标跟踪信息或处理验证信息。,40,智能卡的优点,对于用户来说，智能卡提供了一种便利的方法。智能卡消除了某种应用系统可能对用户造成不利影响的各种情况，它能为用户“记忆”某些信息，并以用户的名义提供这种信息。某种应用本身能够配置成适合某个用户的需要，而不是用户去学习和适应这种应用。使用智能卡就再也不用记住个人识别号码(密码)，例如，打电话、取现金、支付。无需记住个人识别号码是一大优点。 降低了现金处理的支出以及被欺诈的可能性，提供了优良的保密性能。使用智能卡，用户不需要携带现金，就可以实现像信用卡一样的功能，而保密性能高于信用卡。因此，智能卡在网上支付系统中作用重大。,41,其他各种电子货币 除了上述的电子信用卡、电子现金和电子支票外，还有电子零钱、安全零钱、在线货币、数字货币等。这些支付工具的共同特点都 是将现金或货币无纸化、电子化和数字化，利于在网络中传输、支付 和结算，利于网络银行使用，利于实现电子支付和在线支付。,42,（三）电子支票支付方式,电子支票是网络银行常用的一种电子支付工具。将传统支票改变为带有数字签名的电子报文，或利用其他数字电文代替传统支票的全部信息，就是电子支票。 电子支票是一个经付款人私钥加密的写有相关信息的电子文件。它由客户计算机内的专用软件生成，一般应包括支付数据（支付人、支付金额、支付起因等）、支票数据（出票人、收款人、付款人、到期日等）、客户的数字签名、CA证书、开户行证明文件等内容。由于支票是银行见票即付的票据，因此开出支票的事先授权十分重要。 电子支票的支付过程与传统支票的支付过程是一致的，只是电子支票是纸质支票的电子版本，其支票的形式是通过网络传播，显现在电子屏幕上，并用数字签名代替了传统的签名方式，它利用数字传递将钱款从一个账户转移到另一个账户。,43,1998年6月30日，世界上第一张电子支票在美国出现 。 用于企业转账支付，在企业内通过Internet 按照特定形式的电子化支票进行支付。 例如，美国安全第一网络银行（Security First Network Bank）（http:/www.sfnb.com）是得到联邦银行业管理机构授权的全球第一家因特网银行。在这个网络银行，客户可以采用电子方式开出支票和支付帐单，通过上网了解当前货币汇率等信息。,44,电子支票包含三个实体，即购买方、销售方以及金融机构。 当购买方与销售方进行完一次交易处理后，销售方要求付款。 此时，购买方从金融机构那里获得一个唯一的付款证明（相当于一张支票），这个电子形式的付款证明表示购买方账户欠金融机构钱，购买方在购买时把这个付款证明交给销售方，销售方再转交给金融机构。,45,整个事务处理过程就像传统的支票查证过程。 当它作为电子方式进行时，付款证明是一个由金融机构出示证明的电子流。 更重要的是，付款证明的 传递和传输、以及账户的负债和信用几乎是同时发生的。 如果购买方 和销售方没有使用同一家金融机构，通常将由国家中央银行或国际金 融组织协同控制。电子支票方式的付款可以脱离现金和纸张进行。购 买者通过计算机或POS机获得一个电子支票付款证明，而不是寄张支票或直接在柜台前付款。,46,特点,电子支票与传统支票工作方式相同，易于理解和接受； 加密的电子支票易于流通，买卖双方的银行只要用公共密钥认证确认支票即可，数字签名也可以被自动验证； 电子支票适于各种市场； 第三方金融服务者不仅可以从交易双方取固定交易费用或按一定比例抽取费用；它还可以作为银行身份，提供存款账目，且电子支票存款账户很可能是无利率的，因此给第三方金融机构带来了收益； 电子支票技术将公共网络连入金融支付和银行清算网络。,47,1.电子支票支付系统模型,电子支票支付系统提供发出支票、处理支票和网上服务，是纸基支票的电子化延伸。 付款人向收款人发出电子支票以抵付货款，收款人用此电子支票向银行背书以启动支付，经认证的合法电子支票在支付过程中就作为将存款从付款人账户转入收款人账户的确认依据。这是一种付款人启动支付的模式。 大量的电子支票还可以经票据交换所进行清算，即通过票据交换组织互相抵消各自应收应付的票据金额，然后只进行最终差额的转账。由于整个过程的自动化程度很高，即使交易额很少，这种方式也是经济划算的。,48,电子支票支付系统模型,49,电子支票支付系统实例,NetCheque NetCheque系统是由美国南加州大学的信息科学研究院开发的面向支票结算的支付系统。它使现在使用的普通支付处理方法，在Internet上得以实现。 NetCheque系统中除客户、商家与银行之外，还引入了另一个第三方参与者Kerberos服务器。NetCheque系统使用Kerberos服务器来提供签发支票的信用担保服务，并与银行合作完成整个支付过程。,50,3.3 网络银行与第三方支付,51,一、网络银行 （一）什么是网络银行 网络银行也称为网上银行、在线银行，是指利用Internet、Intranet及相关技术处理银行业务及支持电子商务网上支付的新型银行。 网上银行利用Internet或Intranet技术，为客户提供综合、统一、安全、实时的银行服务，包括提供对私、对公的各种零售和批发的全方位银行业务，还可以为客户提供跨国的支付与清算等其他的贸易、非贸易的银行业务服务。,52,（二）网上银行的发展模式 依托迅猛发展的计算机和计算机网络与通信技术，利用渗透到全球每个角落的互联网； 突破了银行传统的业务操作模式，据弃了银行由店堂前台接柜开始的传统服务流程，把银行的业务直接在互联网上推出； 个人用户不仅可以通过网上银行查询存折账户、信用卡帐户中的余额及交易情况，还可以通过网络自动定期交纳各种社会服务项目的费用，进行网络购物； 企业集团用户不仅可以查询本公司和集团子公司账户的余额、汇款、交易信息并且能够在网上进行电子贸易；,53,网上银行还提供网上支票报失、查询服务，维护金融秩序，最大限度减少国家、企业的经济损失； 网上银行服务采用了多种先进技术来保证交易的安全，不仅用户、商户和银行三者的利益能够得到保障，而且随着银行业务的网络化，商业罪犯将更难以找到可乘之机,54,（三）网上银行发展的动因与影响,是银行电子化服务的必然趋势 受到客户的认同 可以降低银行的运营成本 扩大银行业务范围 是电子商务活动必不可少的组成部分 网上银行安全、认证技术的进步,55,（四）网上银行的功能与特点,全球化无分支机构； 开放性与虚拟性； 智能化； 创新性； 运营成本低； 亲和性增强。,56,电子银行业务包括四个部分： (1) 利用计算机和互联网开展的银行业务(简称网上银行业务)。 (2) 利用电话等声讯设备和电信网络开展的银行业务(简称电话银行业务)。 (3) 利用移动电话和无线网络开展的银行业务(简称手机银行业务)。 (4) 其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务。,57,网络银行的业务项目,银行业务 家庭银行 企业银行 信用卡业务 各种支付 特色服务,商务业务 资本市场 投资理财 网上购物,信息发布 外汇行情 储蓄利率 汇率 证券行情,58,电子银行运作的基本流程,59,（五）支付网关,支付网关是银行系统和因特网之间的接口，是由银行操作的将因特网上的传输数据转换为金融机构内部数据的设备，或有指派的第三方处理商家支付信息和顾客的支付指令。 支付网关可以确保交易在因特网用户与交易处理上之间安全、无缝隙地传递，并且无需对原有主机系统进行修改。,60,银行使用支付网关可以实现以下功能： 配置和安装Internet网络支付能力 避免对现有主机系统的修改 采用直观的用户图形接口进行系统管理 适应诸如扣帐卡、电子支票、电子现金以及微电子支付等电子支付手段。 通过采用RSA公共密钥加密和SET协议，可以确保网络交易的安全性 提供完整的商户支付处理功能，包括授权、数据捕获和结算、对帐等 通过对Internet网上交易的报告和跟踪，对网上活动进行监视 使Internet网络的支付处理过程与当前支付处理上的业务模式相符，确保商户信息管理上的一致性，并为支付处理商进入互联网交易处理这一不断增长的新市场提供了机会,61,二、第三方支付,第三方支付作为目前主要的网络交易手段和信用中介，最重要的是起到了在网上商家和银行之间建立起连接，实现第三方监管和技术保障的作用。采用第三方支付，可以安全实现从消费者、金融机构到商家的在线货币支付、现金流转、资金清算、查询统计等流程；为商家开展B2B、B2C交易等电子商务服务和其它增值服务提供完善的支持。,62,第三方支付简介 第三方支付机构是最近几年出现的新的支付清算组织，它是为银行业金融机构或其他机构及个人提供电子支付指令交换和计算的法人组织。在第三方支付模式下，支付者必须在第三方支付机构平台上开立账户，向第三方支付机构平台提供信用卡信息或账户信息，在账户中“充值”，通过支付平台将该账户中的虚拟资金划转到收款人的账户，完成支付行为。收款人可以在需要时将账户中的资金兑成实体的银行存款。,63,国内以易趣、淘宝网站为首的大型电子商务平台已经在不同场合表示了对第三方网上支付业务的高度重视。同时，正式应用“安付通”、“支付宝”等第三方支付手段来促进自身的电子商务活动发展及提供安全交易保证。 目前，国内以eBay易趣的“安付通”；B2B代表企业阿里巴巴亲手打造的“支付宝”；首信“易支付”、易达信动“1st-pay.net”等一些优秀和具有一定代表性的第三方支付企业为首的第一阵营正在显现着稳定和良好的上升趋势。借助第三方支付完善自身业务，进行全面发展；已经成为国内网上支付行业乃至整个电子商务产业达到世界一流水准的所需一条必经之路。,64,当前的在线支付公司主要分为三类,第一类是提供网关的公司； 成本正在不断降低，而且更多的银行将会提供此类服务，所以增值部分越来越少，从而导致这种支付方式的最终消失。 第二种类似于电子钱包模式的公司，包括相对独立的公司，如99Bill，以及电子商务网站投资的，比如支付宝等； 最有前景，它基于银行的技术业务来开发并提供增值服务，并且很容易从互联网平台跨越到移动平台。 第三类就是所谓的手机支付，将手机号码和账户相连进行支付。 必须与每个省的移动系统、当地的银行合作推出此类服务。,65,第三方支付流程 第三方支付是典型的应用支付层架构。提供第三方支付服务的商家往往都会在自己的产品中加入一些具有自身特色的内容。但是总体来看，其支付流程都是付款人提出付款授权后，平台将付款人账户中的相应金额转移到收款人账户中，并要求其发货。有的支付平台会有“担保”业务，如支付宝。担保业务是指将付款人将要支付的金额暂时存放于支付平台的账户中，等到付款人确认已经得到货物(或者服务)、或在某段时间内没有提出拒绝付款的要求，支付平台才将款项转到收款人账户中。,66,第三方平台结算支付模式的资金划拨是在平台内部进行的，此时划拨的是虚拟的资金。真正的实体资金还需要通过实际支付层来完成。,67,第三方支付平台结算支付流程,68,图中各数字序号含义如下： (1) 付款人将实体资金转移到支付平台的支付账户中。 (2) 付款人购买商品(或服务)。 (3) 付款人发出支付授权，第三方平台将付款人账户中相应的资金转移到自己的账户中保管。,69,(4) 第三方平台告诉收款人已经收到货款，可以发货。 (5) 收款人完成发货许诺(或完成服务)。 (6) 付款人确认可以付款。 (7) 第三方平台将临时保管的资金划拨到收款人账户中。 (8) 收款人可以将账户中的款项通过第三方平台和实际支付层的支付平台兑换成实体货币，也可以用于购买商品。,70,第三方支付的优缺点 第三方支付模式有如下优点： (1) 比较安全。信用卡信息或账户信息仅需要告知第三方支付机构，而无需告诉每一个收款人，大大减少了信用卡信息和账户信息失密的风险。 (2) 支付成本较低。第三方支付机构集中了大量的电子小额交易，形成规模效应，因而支付成本较低。,71,(3) 使用方便。对支付者而言，他所面对的是友好的界面，不必考虑背后复杂的技术操作过程。 (4) 第三方支付机构的支付担保业务可以在很大程度上保障付款人的利益。,72,第三方支付模式同时也存在以下缺点： (1) 这是一种虚拟支付层的支付模式，需要其他的“实际支付方式”完成实际支付层的操作。 (2) 付款人的银行卡信息将暴露给第三方支付平台，如果这个第三方支付平台的信用度或者保密手段欠佳，将带给付款人相关风险。 (3) 第三方支付机构的法律地位尚缺乏规定，一旦该机构终结破产，消费者所购买的“电子货币”可能成为破产债权，无法追回。 (4) 由于有大量资金寄存在支付平台账户内，而第三方支付机构并非金融机构，所以存在资金寄存的风险。,73,第四节 电子支付的安全保障,OSI五层安全服务： 数据保密 对象认证 数据完整性 防止抵赖 访问控制,74,一、SSL协议,在Internet上进行欺骗的模式： 采用假的服务器来欺骗用户的终端； 采用假的用户来欺骗服务器； 在信息的传输过程中截取信息； 在Web服务器及Web用户之间进行双方欺骗。,75,SSL安全协议是一种保护Web通信的工业标准，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL安全协议最初由Netscape Communication公司设计开发，又叫“安全套接层(Secure Sockets Layer)协议”，其主要目的是提供因特网上的安全通信服务，提高应用程序之间数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及所有TCP/IP应用程序。,76,SSL安全协议主要提供三方面的服务： (1) 认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。 (2) 加密数据以隐藏被传送的数据。 (3) 维护数据的完整性，确保数据在传输过程中不被改变。,77,SSL安全协议的运行步骤 SSL运行步骤包括6步： (1) 接通阶段：客户机向服务器打招呼，服务器回应 (2) 密码交换阶段。 (3) 会谈密码阶段：客户机与服务器产生会谈密码 (4) 检验阶段：客户机检验服务器取得的密码 (5) 客户认证阶段：服务器验证客户机的可信度 (6) 结束阶段。,78,79,在线支付SSL模式工作流程,80,二、SET标准,在开放的因特网上处理电子商务，如何保证买卖双方传输数据的安全成为电子商务能否普及的最重要问题。为了克服SSL安全协议的缺点，两大信用卡组织，VISA和Master Card，联合开发了SET (Secure Electronic Transaction，安全电子交易)协议。SET是一种应用于开放网络环境下、以智能卡为基础的电子支付系统协议。SET给出了一套完备的电子交易过程的安全协议，可实现电子商务交易中的加密、认证、密钥管理等任务。在保留对客户信用卡认证的前提下，SET又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。,81,1. SET安全协议运行的目标 SET协议要达到的目标主要有以下5个： (1) 保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。 (2) 保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。 (3) 解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。,82,(4) 保证了网上交易的实时性，使所有的支付过程都是在线的。 (5) 仿效EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。,83,2. SET安全协议涉及的范围 SET协议规范所涉及的对象有： (1) 消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。 (2) 在线商店，提供商品或服务，具备相应电子货币使用的条件。 (3) 收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题。,84,(4) 电子货币(如智能卡、电子现金、电子钱包)发行公司，以及某些兼有电子货币发行的银行，负责处理智能卡的审核和支付工作。 (5) 认证中心(CA)，负责交易双方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。 SET协议规范的技术范围包括加密算法的应用(例如RSA和DES)、证书信息和对象格式、购买信息和对象格式、认可信息和对象格式、划账信息和对象格式、对话实体之间消息的传输协议。,85,SET协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其重点是如何确保商家和消费者的身份和行为的认证和不可抵赖性，其理论基础是著名的非否认协议(Non-repudiation)，其采用的核心技术包括X.509电子证书标准与数字签名技术(Digital Signature)、报文摘要、数字信封、双重签名等技术。,86,3. SET安全协议的工作原理,87,SET协议的工作流程可分为下面7个步骤： (1) 消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入定货单，定货单上包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。 (2) 通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。 (3) 消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入。,88,(4) 在SET中，消费者必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到消费者的账号信息。 (5) 在线商店接受定单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。 (6) 在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。,89,(7) 在线商店发送货物，或提供服务；并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。 在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结一天的账。,90,上述流程的前两步与SET无关，从第(3)步开始SET起作用，一直到第(7)步。在处理过程中，对通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，消费者、在线商店、支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替的。因此，也可以简单地认为，SET协议充分发挥了认证中心的作用，以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。,91,4. SET协议的缺陷 从1996年4月SET协议1.0版面市以来，大量的现场实验和实施效果获得了业界的支持，促进了SET的发展。但它的推广应用仍然比较缓慢，主要原因是存在下面几个问题： (1) 协议没有说明收单行给在线商店付款前，是否必须收到消费者的货物接收证书。如果在线商店提供的货物不符合质量标准，消费者提出疑义，责任由谁承担不明确。 (2) 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的消费者发出的。,92,(3) 协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵、互操作性差，实施起来有一定难度。 (4) SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。,93,5. SET协议的最新扩展 (1) 商家初始授权扩展(The Merchant Initiated Authorization Extension)版本。标准的SET协议，其授权是从持卡人采用SET协议开始的。而商家初始授权扩展允许一个商家为非SET的订购进行授权和请款(Capture Request)。这些订购是由持卡人采用非SET的传输方式完成的，如采用电话、传真、SSL等方式通知商家支付信息，由商家采用SET协议向银行发出授权请求。该扩展拓宽了SET协议的应用场合，实现了现有电子商务的支付方式向SET模式的平滑过渡。,94,(2) 在线个人识别号扩展(Online PIN Extension to SET 1.0)版本。个人识别号(Personal Identification Numbers, PIN)是用户为支付卡设定的个人密码。SET协议在线个人识别号扩展版本定义了两种使用PIN的扩展方式。一是持卡人通过任何方式(包括键盘)来输入PIN；二是通过安全设备来输入PIN。在实际应用中，根据支付卡的政策决定使用方式。该扩展版本增强了信用卡的认证信息，为借记卡和IC卡采用SET协议提供了新的用户信息识别方式。,95,(3) 芯片卡扩展(Common Chip Extension)版本。芯片卡(如IC卡)与磁卡相比，具有存储信息容量大、安全性能高、使用快捷方便等优点。SET 1.0标准出台时没有考虑对芯片卡的支持。1999年9月，SETC0批准公布了Europe International、MasterCard International、VISA International提交的“Common Chip Extension SET 1.0”，支持芯片卡采用SET协议进行安全电子交易，并使SET具有处理芯片卡数据的通用扩展性能。,