（管理科学与工程专业论文）一种基于web+services的网上支付系统的设计.pdf

内容摘要 电子商务是在i n t e r n e t 与传统信息技术相结合的背景下应运而生的一种动态商务活 动，电子商务将参与商务活动的各方即商家、客户、物流公司、银行或金融机构、信用卡 公司或证券公司和政府等利用计算机网络统一起来，彻底实现网上在线交易的电子化这 种基于i n t e r n e t 的电子商务给传统的交易方式带来了一场革命。但是，由于电子商务是 建立在开放的、自由的i n t e r n e t 平台上的，其安全的脆弱性阻碍了电子商务的发展。 在对电子商务安全性的研究中，针对电子支付的安全电子交易协议( s e t 【s e c u r e e l e c t r o n i ct r a n s a c t i o n 】) 应运而生。s e t 协议中涉及大量的数据，并对这些数据有严 格的要求，因此它的处理非常繁琐，灵活性非常差，限制了它的普及。而x m l ( e x t e n s i b l e m a r k u pl a n g u a g e 【可扩展标记语言】) 为w e bs e r v i c e s ( w e b 服务) 的基础，它是一种灵 活的数据处理技术，它具有结构化、可扩展性等特点，非常适合处理复杂的、不规则的数 据，将其引入s e t 协议，提高了s e t 协议的处理灵活性和可扩展性。 因为参与电子商务的角色较多，其系统也呈现出相当的异构性，这正是w e bs e r v i c e s 模式应用的用武之地。所以本文对w e bs e r v i c e s 的基础、体系结构和技术标准作了详细 的分析，尤其在w e b 服务对安全性的设计上进行了重点分析研究。w s - s e c u r i t y ( w e b s e r v i c e ss e c u r i t y 【w e b 服务安全】) 是对基于x m l 的w e bs e r v i c e s 安全技术的集成规范， 它所提供的身份验证、加密和签名技术可以满足s e t 协议的需求而x k m s ( x m lk e y m a n a g e m e n ts p e c i f i c a t i o n 【x m l 密钥管理规范】) 解决了s e t 协议所需要的可信任认证中 心问题，提高了电子支付的安全性 本文将基于这一协议框架设计一个具有创新意义的网上支付系统：将电子商务交易中 不可或缺的一方一一物流方增加进协议角色之中，以完善整个网上支付的流程，并在一定 程度上避免虚假交易、信用卡套现等问题 最后分析该网上支付系统在b t o b 电子商务中的整个流程及其安全性，由于缺乏有效 的认证中心及银行的支持，所以有些功能未能实现，但是这部分在理论上已得到了有效的 证明分析目的在于验证该系统的可靠性和可行性，证明本文提出的网上支付系统有较好 的使用价值，希望能为我国b t o b 电子商务安全在线支付系统的发展提供参考 关键词：s e t ，w e bs e r v i c 豁，网上支付系统，物流方 a b s t r a c t o n ek i n do fd y n a m i cc o m m e r c i a la c t i v i b k 吒l e c t r o n i cc o m m e r c eh a sa r i s e nu n d e rt h e b a c k g r o u n dt h a ti n t e m e ta n dt h et r a d i t i o ni n f o r m a t i o nt e c h n o l o g yc o m b i n e d a l lq u a r t e r so f e l e c t r o n i cc o m m e r c ep a r t i c i p a n t si nt h ec o m m e r c i a la c t i v i t y , t h em e r c h a n t ，t h ec u s t o m e r , t h e l o g i s t i c sc o m p a n y , t h eb a n ko rt h ef i n a n c i a lo r g a n ，t h ec r e d i tc a r dc o m p a n yo rt h en e g o t i a b l e s e c u r i t i e sc o m p a n ya n dt h eg o v e r n m e n ta n ds oo nu s i n gt h ec o m p u t e rn e t w o r kt ou n i f y , w i l l r e a l i z eo nt h o r o u g h l yt h en e to n 1 i n et r a n s a c t i o ne l e c t r i f i c a t i o n h o w e v e r , b e c a u s ee l e c t m n i c c o m l t i c t c ee s t a b l i s h e so no p e n ，f r e ei n t e m e tp l a t f o r m ，i t ss a f ev u l n e r a b i l i t yh a sh i n d e r e dt h e e l e c t r o n i cc o m m e r c ed e v e l o p m e n t i nt h es t u d yo fe c ss e c u r i t y , t h es e c u r ee l e c t r o n i ct r a n s a c t i o np r o t o c o lc a m et ot h ew o r l d , w h i c hw a sd e s i g n e df o re l e c t r o n i cp a y m e n t n es e tp r o t o c o li n v o l v e dm u c ho fd a t aa n ds t r i c t l y l i m i t e dt h ef o r m a to fd a t a ；t h e r e f o r ei tw a sv e r yc o c k a m a m i ea n di n f l e x i b l e h o w e v e r , t h ex m l 嬲t h eb a s i co fw r e bs e r v i c e s i saf l e x i b l et e c h n o l o g yo fd a t ap r o c e s s i n g i th a st h es t r u c t u r e da n d e x p a n s i b l ec h a r a c t e r i s t i c s ，w h i c hi ss u i t a b l et oc o n d u c tt h ec o m p l e xa n da n o m a l o u sd a t a t h u s t h i st e c h n o l o g yc a nh e l ps e t i m p r o v ei t sf l e x i b i l i t ya n de x p a n s i b i l i t y t h ep a r t si ne cp r o c e s sa r es om a n ya n dt h e i rs y s t e m ss h o u l db ed i f f e r e n tp l a t f o r m s ，s ot h e w r e bs e r v i c e st e c h n o l o g yi sj u s ta b l et os o l v et h i sp r o b l e m t h e r e f o r e ，t h et h e s i ss t u d i e st h eb a s e , t h es t r u c t u r ea n dt e c h n o l o g ys t a n d a r do f r e bs e r v i c e si nd e t a i l e s p e c i a l l ya b o u tt l l es e c u r i t yo f w 曲s e r v i c e s w s s e c u r i t yi s ak i n d o fi n t e g r a t e ds p e c i f i c a t i o na b o u tx m le n c r y p t i o n , s i g n a t u r ea n da u t h e n t i c a t i o nf o rw e bs e r v i c e s a n dx k m si st h ex m lk e ym a n a g e m e n t s p e c i f i c a t i o n t h e s et w oc a np r o v i d et h ea u t h e n t i c a t i o nc e n t e r , e n c r y p t i o na n ds i g n a t u r es e r v i c e s i nt h es t r u c t u r eo ft h i sp r o t o c o l ，t h i st h e s i sw i l lp r o v i d eak i n do fi n n o v a t i v ea m e l i o r a t i o n ：i n t h ee c sp r o c e s s t h es h i p m e n ti sa ni n d i s p e n s a b l ep a r t , s 0w et a k ec o n s i d e r a t i o no fa d d i n gt h e s h i p m e n ti n t ot h ep a r to fs e ts t r u c t u r e , w h i c hi sa b l et om a k et h ew h o l ee l e c t r o n i cp a y m e n t p r o c e s sb e t t e ra n da v o i dt h ec r e d i tc a r dc h e a tt h r o u g hf a k ec o m m e r c ei ns o m ed e g r e e f i n a l l y , a n a l y s i so ft h eo n l i n ep a y m e n ts y s t e mi nb t o be - c o m m e r c eo ft h ee n t i r ep r o c g s s a n di t ss a f e t y b e c a u s eo ft h el a e ko fa ne f f e c t i v ec e r t i f i c a t i o nc e n t e ra n dt h es u p p o r to fb a n k s s o m ef e a t u r e sn o tr e a l i z e d ，b u tt h i sp a r to ft h et h e o r yh a sb e e np r o v e de f f e c t i v e a n a l y s i so ft h e s y s t e ma i m st ov e r i f yt h er e l i a b i l i t ya n df e a s i b i l i t y t h r o u g ht h es i m u l a t i o n , t h ep a p e r so n l i n e p a y m e n ts y s t e mw a sp r o v e dab e t t e rv a l u e , t h a ti s f o rt h ed e v e l o p m e n to fc h i n a sb t o b e - c o m m e r c eo n l i n ep a y m e n ts y s t e m k e y w o r d s ：s e t , w e bs e r v i c e s ，o n l i n ep a y m e n ts y s t e m , s h i p m e n t h 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不 包含其他人己经发表或撰写过的研究成果，也不包含为获得天津财经大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究 所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名： 乏，1 7 签字日期：矽年月厂钼 学位论文版权使用授权书 本学位论文作者完全了解天津财经大学有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权天津财经大学可以将学位论文的全部或部分内容编入有 关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位 论文， ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 乏， 导师签名： f 翮 签字日期：矽o y 年6 月，乙日 签字日期：加扩年月阳 学位论文作者毕业后去向： 工作单位：电话：肛哆矽驴螂 | 通讯地址：邮编： 第1 章导论 1 1 研究背景 随着电子商务的迅猛发展，支付问题就成7 s u 约电子商务发展的瓶颈，尤其是支付的 安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环 节，如果没有支付，整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才 能实现电子商务涉及的物流、资金流、信息流的有机结合，才能确保电子商务交易顺利进 行。 目前，国内网上支付采用s s l 协议以及s e t 协议建立的电子商务支付系统较为普遍。 但也存在许多的问题：在基于s s l 协议的电子商务支付系统中，安全方面普遍存在加密算 法密钥长度不够长的问题，且不能提供数字签名服务；在基于s e t 协议的电子商务支付系 统中，s e t 协议非常复杂、庞大、处理速度慢，使用前需要多方认证，使用起来很不方便。 因此，只有在现有的电子支付系统的基础上研究开发出更安全可靠、方便实用的电子 支付系统才能满足电子商务不断发展的要求。 1 2 研究现状 国内外对电子支付有着多角度和多方面的讨论和研究。郭涛，李之棠，吴世忠等人论 述了电子商务的各种安全支付系统，介绍了电子商务安全支付系统的发展过程、分类以及 其使用的主要技术，分析了电子支付系统的安全性和性能要求，指出了安全电子支付系统 的发展新方向h 引；白海梳理出一个较为规范的网上支付体系理论模型框架，并设计了一些 网上支付系统的业务流程、组成部分，以及每种支付系统所能提供的业务，以期对电子商 务网上支付系统作一定的规划h 3 1 ；田仲富重点研究安全在线支付所涉及的加密算法及安全 支付协议h 4 1 ，在对这些算法、协议的研究过程当中针对某些安全缺陷甘元驹、雷强、赵英 等人提出了改进措施n 州4 5 儿例；杨兴凯、张笑楠等人则主要研究目前在b t o c 中比较流行的第 三方支付模式刎阳儿驯；李剑、万麟瑞等人研究- j w e bs e r v i c e 在电子商务中的应用脚1 ；车 蕾，熊前兴，吴业福等人探讨了基于x m lw e b 服务的服务器电子钱包支付系统的设计与实 现咖1 ；郑晓梅，毛磊，夏阳等人研究了基于w e b 服务和s e t 协议的电子支付系统豳1 ；而郑 建友、邓翠薇等人则从网上支付的监管和法律问题的角度来研究网上支付的安全性畸订璐。 无论是何种电子支付方案，他们在设计使用上都未将电子商务中不可或缺的物流方因 l 素给考虑进去。应该说在电子商务中存在着丰富的购物信息平台，可信任的支付平台和能 提供优质快捷服务的物流公司，但是他们之间的联系纽带仍显不足。在已有的电子购物网 站中，存在着这样的问题，一方面，商家需要大量的人手来手工完成向物流公司下物流订 单，而另一方面，客户又向商家抱怨所递送货物的费用不理想，不能完全根据客户的需求 来选择物流服务。同时还存在这样的情况，即有的客户在拍卖网站或一些小型的购物网站 上甚至可以通过虚假的交易来实现信用片的套现行为。如果可信任的电子支付系统作为第 三方，将物流服务集成到系统中，那么可以很好的解决以上这些问题。 1 3 研究目的 将w e bs e r v i c e s ( w e b 服务) 技术引入s e t 协议，可以提高s e t 协议的处理灵活性和可 扩展性。本文将基于这一协议框架设计一个具有创新意义的网上支付系统：将电子商务交 易中不可或缺的一方物流方增加进协议角色之中，以完善整个网上支付的流程，并在 一定程度上避免虚假交易、信用卡套现等问题。并且，分析该网上支付系统在b t o b 电子 商务中的整个流程及其安全性，希望能为我国b t o b 电子商务安全在线支付系统的发展提 供参考。 1 4 研究内容 本文研究的主要内容是利用w e bs e r v i c e s 技术在s e t 协议框架下研究一种集支付与 商品传送于一体的安全电子商务网上支付系统。该系统能满足电子商务支付的安全性、保 密性、不可否认性、公平性以及高效性，完善了电子商务流程的环节，在一定程度上避免 虚假交易信用卡套现，从而促进当前电子支付服务的应用。 ( 1 ) 电子支付流程设计 设计加入物流方的电子支付流程，以完善整个网上支付的流程，并在一定程度上避免 虚假交易、信用卡套现等问题。 ( 2 ) 系统模型的设计及其数据结构 在s e t 协议的电子支付模式基础上，结合w e b 服务的技术优势，提出了一种全新的网 上支付系统的模型，并设计出支付系统的主要数据结构及流程。 ( 3 ) 系统拟采用的开发工具与环境 简要介绍系统拟采用的开发工具与环境，并设计了系统的基本架构。 2 ( 4 ) 系统在b t o b 电子商务中的安全性分析 分析该网上支付系统在b t o b 电子商务中的整个流程，详细阐述该系统信息流、数据 流、资金流，及所采用的安全技术，研究该网上支付系统在b t o b 电子商务中所发挥的作 用，验证本论文提出的网上支付系统的可靠性和可行性，并对系统的安全性进行了分析、 评估。 1 5 本文创新之处 ( 1 ) 将电子商务交易中不可或缺的一方物流方加进协议角色之中，以完善整个 电子支付的流程。既能更好的为整个电子商务交易提供服务，又能在一定程度上避免虚假 交易的出现，甚至可以充当交易纠纷的仲裁者。 ( 2 ) 分析该网上支付系统在b t o b 电子商务中的整个流程及其安全性，目的在于验证 该系统的可靠性和可行性，证明本文提出的网上支付系统有较好的使用价值，希望能为我 国b t o b 电子商务安全在线支付系统的发展提供参考。 1 6 研究方法 本文研究的理论基础是系统论、建构主义理论和科学研究方法论等；采用的方法有行 动研究、实验研究、评价研究和文献索引等方法；以信息技术作为研究手段，采用经验总 结、实验、对比分析、模拟分析等方法和手段，进行多个轮回的研究。 应用w e bs e r v i c e s ( w e b 服务) 技术设计一个安全的电子商务网上支付系统。 1 7 章节安排 本文包括七个章节： 第一章阐述了本文的研究背景、研究现状、研究目的、研究内容、创新之处以及研究 方法等。 第二章主要介绍了网上支付的产生与定义、网上支付系统的发展现状、影响网上支付 的因素、网上支付的特征以及网上支付工具等内容。 第三章对当前的电子支付系统分类和所支持的安全协议进行了概述性介绍。接着对安 全电子商务支付系统需采用的s e t 协议进行了详细的分析。 第四章主要阐述了论文所设计的网上支付系统需采用的w e bs e r v i c e s 技术及其建构 的基础) ( m l 。 第五章详细分析了基于w e bs e r v i c e s 的网上支付系统的模型。 第六章分析该网上支付系统在b t o b 电子商务中的整个流程，详细阐述该系统信息流、 数据流、资金流，及所采用的安全技术，研究该网上支付系统在b t o b 电子商务中所发挥 的作用，并对系统的安全性和可行性进行评估。 第七章总结了不足之处以及进一步的工作展望。 4 第2 章网上支付概述 要充分体现电子商务所具有的优势，就必须具有高效的物流体系和安全快捷的网上支 付系统，两者都是支撑电子商务发展的重要保障，特别是网上支付系统，它关系到整个电 子商务活动的资金流问题，而资金能否顺利周转在任何商务活动中都是整个交易的核心所 在。在所有目前涉及到资金支付的电子商务交易中，无论是b 2 b ，b 2 c ，c 2 c 模式的网上交 易活动或是其他提供有偿服务的模式中，都对网上支付体系有着不可替代的依赖性。网上 支付系统是电子商务交易的核心，因此，提供一个安全可靠、方便实用的网上支付系统是 电子商务交易的关键。本章主要介绍了网上支付的有关概念。 2 1 网上支付的产生与定义 网上支付是在电子支付的基础上发展起来的，它是电子支付发展的一个新阶段，是基 于i n t e r n e t 并且适合于电子商务发展的电子支付。 电子支付( e l e c t r o n i cp a y m e n t ) 又称电子结算，是指单位、个人直接或授权他人通过 电子终端发出支付指令，实现货币支付与资金转移的行为。电子支付的类型按电子支付指 令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其 他电子支付。 网上支付是电子支付的一种形式。广义地讲，网上支付是以i n t e r n e t 为基础，利用 银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者 到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为 电子商务服务和其它服务提供金融支持。由此可见，网上支付带有很强的i n t e r n e t 烙印， 它也是基于i n t e r n e t 的电子商务核心支撑流程。 2 2 网上支付系统发展现状 网上支付在中国的发展开始于1 9 9 8 年招商银行推出网上银行业务，随后中国银行、 中国建设银行和中国工商银行等银行开通了网上银行服务，农业银行、交通银行、中信实 业银行和光大银行等银行也加大开发网上银行的业务。其中除中国银行的“长城电子借记 卡 和“长城国际信用卡采用s e t 协议外，招行一网通、建设银行的“龙卡 、工商银 行的“牡丹信用卡 等均采用s s l 协议。银行在初期完全主导着网上支付，大型企业用户 5 与银行之间建立支付接口是最主要的支付模式。但银行在处理中小型商户的业务方面显得 不足，于是非银行类的企业开始介入支付领域，第三方支付平台应运而生。北京首信、上 海环讯、网银在线等诸多具有较强银行接口技术的服务商，在银行基础支付层提供的统一 平台和接口的基础上，提供网上支付通道，并通过与银行的二次结算获得分成。这类支付 网关型模式是目前国内最成熟的。而随着市场需求的变化，支付网关型模式同样表现出不 足，一是第三方支付平台与银行的合作过程中缺乏谈判筹码，二是不能满足用户多样化的 需求，于是银行和第三方支付平台都在谋求更完善的电子支付服务方式。 伴随近年来国内电子商务大规模发展和应用以及电子签名法的通过，中国个人网 上支付的市场规模发展迅速。根据艾瑞( 2 0 0 6 年中国网上支付研究简版报告中的数据表 明：2 0 0 5 年中国电子支付的市场规模为1 6 4 亿元，年增长率为1 2 2 。i r e s e a r c h 预测，2 0 0 6 年该市场规模将达到3 3 0 亿元，未来几年我国电子支付的市场规模将继续扩大。伴随互联 网的普及和广大消费者传统支付观念的改变，使用电子支付的人将会越来越多。2 0 0 5 年中 国电子支付的用户规模为5 6 0 0 万，年增长率为6 5 。i r e s e a r c h 预测，2 0 0 6 年该用户规模 将达到8 3 5 0 万，未来几年我国电子支付的用户规模将继续扩大。由此可以看出，我国的 网上支付有着巨大的市场前景。 2 3 影响网上支付的因素 信息的安全性是影响网上支付的一个重要问题。2 0 0 5 年，i t 技术最发达、防范系统 最完善的美国发生了信用卡和用户数据被盗事件，给全球电子商务和网上支付市场蒙上了 一层阴影。 除了安全，还有一些别的因素影响着网上支付。根据艾瑞的调查显示，用户不使用网 上支付的主要原因有两类：一类是担心交易的安全性，主要体现在担心泄漏个人私隐和错 误操作导致对自己造成不必要的损失；另一类是考虑到网上支付的便捷性，包括注册账户 太麻烦，不能随时随地办理业务使用服务等。其中最为明显的是担心交易的安全性，6 6 1 的用户将交易不安全列为第一原因。 根据艾瑞咨询的最新调查显示，超过一半的被调查用户对网上支付有极大的兴趣，其 中6 0 以上的用户是因为其便捷性、节省时间而选择使用的。可见，便捷的优势正为网上 支付平台吸引更多的用户。在2 0 0 5 年网上支付高峰论坛中，英国朴次茅斯大学的c a r l a d a m s 教授也指出：成功的电子商务的一个首要条件就是有实用的电子支付系统。 安全和便捷是影响网上支付的重要因素，他们相辅相成。脱离了安全，网上支付再怎 6 么方便也变得没有意义；若网上支付保证了安全，但不能为用户提供方便的使用方式也是 不能得到用户的信赖。因此只有处理好了网上支付安全性与便捷性的关系，电子商务才能 得到长久的发展。 2 4 网上支付的特征 与传统支付方式相比，网上支付的特征主要包括以下方面。 ( 1 ) 网上支付与传统支付方式的本质不同在于网上支付的一切都是数字的。其各种 支付方式都是采用数字化的方式进行款项支付的；而传统的支付方式则是通过现金、支票 及信用卡等物理实体的流转来完成款项支付的。 ( 2 ) 网上支付的工作环境主要是基于i n t e r n e t ，同时也使用v a n ，v p n 等私有网络处 理电子数据交换业务。网上支付的工作环境是一个开放的系统平台，基于这样的工作环境 要求配备有相应的软、硬件配套设施保证支付操作的顺畅与安全；传统支付是在较为封闭 的系统中运行，相对而言，软、硬件标准要求不高。网上支付需要有一定的社会基础，主 要包括信用卡公司、a t m 网络以及a c h ，这些现已存在的机构或系统已经构成了网上支付 的社会基础。 ( 3 ) i n t e r n e t 的访问费用很低，而其作为通信手段，又拥有使用方便、内容广泛等 特性。所以，基于此工作环境上的网上支付相对于传统支付而言，具有方便、快捷、高效、 经济的优势。用户只要拥有一台可以上网的个人计算机，就可以足不出户地在很短时间内 完成整个交易过程。支付费用仅相当于传统支付费用的几十分之一，甚至几百分之一。同 时，因为电子系统的维护开销很小，无论小公司还是大公司都可以从中受益。 ( 4 ) 传统支付系统要求完整性、保密性和可靠性；使用网上支付系统，除了要拥有 这些特征外，还有新的要求，即可接受性、适用性、匿名性、效率、数字货币与其他类型 货币的可兑换性、可靠性、安全性。 2 5 三种典型的网上支付工具 在传统商务活动中，支付主要采用两种方式：一是票据支付，常用于企业间的交易过 程；另一种便是采用现金，常用于企业对消费者的商品零售过程。由于电子商务的发展， 在实践中衍生出了各种各样的电子支付工具。如果将各种电子支付方式加以分类，可以分 为两大类：一是非i n t e r n e t 环境下的电子支付，主要包括互联网被广泛应用于商务领域 7 以前即已出现的电子支付方式；二是i n t e r n e t 环境下的电子支付，主要指近年各国以 i n t e r n e t 为基础而开展的新型电子支付，即网上支付。在电子商务环境下，传统的支付方 式已不适应商务活动电子化的要求，而必须采用全新的电子支付方式，而网上支付是电子 支付中应用最广泛的一种方式。网上支付有三种典型的支付工具，分别是： ( 1 ) 电子支票( e c h e c k ) 1 9 9 8 年6 月3 0 日，世界上第一张电子支票在美国出现。电子支票是一种借鉴纸张支 票转移支付的优点，利用数字化网络传递将钱款从一个账户转移到另一个账户的电子付款 形式。客户利用一个电子支票薄( e l e c t r o n i cc h e c k b o o k ) ，实际上是一张插在个人电脑上 的带有个人金融信息的卡片，来进行支付过程。出票人的电脑屏幕上会出现支票图像，使 用时，程序用加密系统使出票人进行电子出票和签发数字化支付命令，然后将电子支票通 过i n t e r n e t 传给受款人，在受款人处有特别程序对其真实性加以确认。电子支票通过计 算机网络传送到付款者银行后，付款者银行将指定数额的资金支付到指定的收款者。收款 者确认接收此支票后就可背书并用自己的安全设备将其转到自己的开户行，使支票支付的 业务和全部处理过程实现电子化。这一支付过程在数秒内即可实现。电子支票的优点是适 合做小额付款的结算，而且电子支票的传统密码加密方式比以公开密钥密码的系统较容易 处理。收款人、收款人银行和付款人银行都可以使用公开密钥来验证支票。用电子支票支 付，事务处理费用较低，而且银行也能为参与电子商务的商户提供标准化的资金信息。电 子支票的安全和确认通过数字签名进行支持。 ( 2 ) 银行卡 银行卡包括信用卡、借记卡、智能卡等，是一种为群众广为使用的支付工具。作为一 种特殊的金融支付工具，它几乎集中了全部的金融服务功能，包括存款、贷款、消费、转 账、结算等。在结算手段、结算容量、结算速度、结算质量等方面具有传统货币无法比拟 的优点，是一种理想的电子支付工具。到目前为止，信用卡已成为因特网上最受欢迎的付 款方式。当顾客在网上购物时，信用卡信息通过网上传送手段进行传输到支付银行，验证 后从银行拨付货款，完成支付过程。 信用卡1 9 1 5 年诞生于美国，2 0 世纪6 0 年代发展迅速，至今已有8 0 多年的历史。信 用卡之所以能在世界范围内被广泛使用，与其本身的特点是分不开的。信用卡的特点主要 有两个：多功能和高效便捷。智能卡7 0 年代中期在法国问世，经过2 0 多年的发展，真正 意义上的智能卡1 9 9 7 年研制成功。智能卡系统的工作过程是：首先，在适当的机器上启动 用户的因特网浏览器：然后，通过安装在p c 机上的读卡机，用户的智能卡登录到为用户 8 服务的银行w e b 站点上，智能卡会自动告知银行用户的账号、密码和其他一切加密信息； 完成这两步操作后，用户就能够从智能卡中下载现金到厂商的账户上，或从银行帐号下载 现金存入智能卡。在电子商务交易中，智能卡的应用类似于实际交易过程。只是用户在自 己的计算机上选好商品后，键入智能卡的号码登录到发卡银行，并输入密码和在线商家的 账号，完成整个支付过程。 ( 3 ) 电子现金( e l e c t r o n i cc a s h d i g i t a lm o n e y ) 电子现金是一种以数据形式流通的货币，它把现金数值转换成为一系列的加密序列 数，通过这些序列数来表示现实中各种金额的币值。电子现金试图代替纸质现金作为网上 支付的主要支付工具。用户在开展电子现金业务的银行开设账户并在账户内存钱后，就可 以在接受电子现金的商店购物了。当用户进入i n t e r n e t 网上银行，使用一个口令( p a s s w o r d ) 和个人识别码( p i n ) 来验明自身，直接从其账户中下载成包的低额电子“硬币 时，这时 候电子现金才起作用。然后，这些电子现金被存放在用户的硬驱当中，直到用户从网上商 家进行购买为止。为了保证交易安全，计算机还为每个硬币建立随时选择的序号，并把这 个号码隐藏在一个加密的信封中，这样就没有人可以搞清是谁提取或使用了这些电子现 金。按这种方式购买实际上可以对买主无迹可寻，提倡个人隐私权的人对此很欢迎。 电子现金使用时与人们常使用的普通现金有很多相同的特征：交易可以是私下的，有 丢失金额的可能性，任可场合均可被接受，交易为个人到个人，多用于小额支付，可实现 脱机处理。在网上付款方式上，电子现金可能是最主要取代纸钞的付款方式，它所具备的 特性是具有金钱价值( 受现金、银行授权信用或银行证明的本票所担保，若没有适当的银 行证明，电子现金就有在存款时以资金不足而被拒绝的风险) 、互通性( 可和其它数字现金、 纸钞、货物或服务、信用贷款限额、银行账户存款、银行票据或契约、电子利益转移等等 来交换) 、可取得性( 远程的储存和取得可以提供客户不论是在家里、办公室或旅行时交换 电子现金，甚至可以储存在远程的计算机内存里、在智能卡上、或在其它方便携带或特别 设计的装置上) 和安全性( 预防或检测数字现金的复制和重复使用是做得到的，以便使数字 现金不容易被复制或窜改) 。电子现金以所谓的数字签名的密码系统为基础，这方法使用 了一对同时运作的数字密钥：一个密码用来锁定，也就是加密，另一个密码则是用来解密。 用一个数字密钥所能编译出来的信息只能用另一个数字密钥来解读，加密密钥绝对是保密 的，而解读密钥则是公开的。一旦银行把公开密钥提供给所有的顾客，客户便可以解读任 何用银行私密密钥所编译的信息，如果客户解读出可辩识的信息，那么客户便可以确定此 信息乃是银行所编译的。客户通过建立账号和维持账号内足够的钱来支持任何的采购，一 9 旦买进代币，客户计算机上所使用的数字现金软件，就会记下银行所签章的数字金钱，使 用者就可以在任何接受数字现金的商店里尽情购物，而不必再开账号或传送信用片号码， 客户如果想付款，软件就会从所储存的代币中转出适当的金额。但由此也带来了许多问题， 从技术上讲，各个商家都可以发行电子现金，如果不加以控制，电子商务将不可能正常发 展，甚至由此带来相当严重的经济金融问题。对于无国家界限的电子商务来说，电子现金 还存在税收和法律、外汇汇率的不稳定性、货币供应的干扰和金融危机可能性等潜在问题。 有必要制定严格的经济金融管理制度，保证电子现金的正常运作。目前，电子支票和电子 现金在我国还没有被使用，所以本文所涉及的网上支付是基于银行卡的。 2 6 本章小结 本章主要介绍了网上支付的产生与定义、网上支付系统的发展现状、影响网上支付的 因素、网上支付的特征以及网上支付工具等内容。 1 0 第3 章电子支付的安全协议与网上支付系统 如何使得支付信息在i n t e r n e t 上安全地传输，保证电子支付的安全可靠性，满足客户、 商家、银行各方的需求，是整个电子商务活动顺利完成的基础和保障。s e t 协议是一个较 完善地通过i n t e r n e t 进行安全资金支付的技术标准，采用数据加密技术和安全认证技术， 营造一个可信赖的电子交易环境，保证了信用卡在线支付的安全。本章对s e t 协议进行了 重点分析，并且对网上支付系统的基本构成和功能进行简单介绍，以便采用s e t 协议框架 进行网上支付系统的研究和设计。 3 1 1 安全协议概述 3 1 电子支付的安全协议 电子支付协议可能是所有电子商务过程中出现机会最多，也是期望和争议最多的一个 环节。 ( 1 ) 电子支付协议的范围和分类口1 对于电子支付协议应该包含哪些主要内容，目前还没有一个比较一致的看法和做法。 有些支付协议( 比如安全交易协议s e t ) 包含的内容比。支付一要广，把很多与支付相关 的电子商务活动都包含在内了，比如发票收据、折扣和证书等。而有些电子商务协议( 比 如m o d e x ) 包含的内容却非常“单纯一，甚至连使用方法也与现实世界的货币没有多大区别。 至于电子支付协议的分类也没有一个统一的标准。有的按内容分为“纯 支付协议( 如m o d e x ， d i g i c a s h ) 和综合支付防议( 如s e t ) ；有的按支付时是否需要中介机构( 如电子银行) 的 参与，分为三方支付协议( 如s e t ) 和两方支付协议( 如s s l s e c u r es o c k e tl a y e r ，安 全套接层协议 和电子现金) ；有的按传输方式分为信用卡、借记卡、电子支票和电子现金 等；甚至有的按每笔交易的支付方式分为按笔结算( 信用卡和电子现金) 和记账方式( 借 贷记片、订购) 。 ( 2 ) 利用电子邮件传递支付信息 最初使用未经加密的电子邮件传递信用卡信息，因此存在安全隐患，但是随着技术的 发展和进步，安全电子邮件的使用越来越多。美国f i r s tv i r t u a lh o l d i n g s 公司的 v i r t u a l p i n 是i n t e r n e t 上最早使用的支付系统之一，传递信用卡支付信息的方式就是使 用电子邮件。 1 1 ( 3 ) 电子货币支付协议 电子货币与传统货币除了载体不一样外，没有太大的本质区别。使用者一般可以从网 络银行获得电子货币，并把货币保存在计算机的硬盘或智能卡中“1 。从网上购物时，消费 者通过i n t e r n e t 把电子货币发送给商家，并因此而得到商家所提供的商品或服务。 ( 4 ) 信用卡借记卡支付协议 关于信用片借记卡支付协议，这应该说是应用得最广泛的支付协议了。在信用卡借 记卡支付协议中，电子商务过程除了涉及消费者和商家外，还引入了银行做交易双方的c a ( c e r t i f i c a t ea u t h o r i t y 证书授权中心 ) 认证，保证交易过程的安全性，其基本流程 如图3 1 所示。主要的信用卡借记卡支付协议有s s l 和s e t 。 图3 1 银行认证流程 s s l s s l ( 安全套接层协议 s e c u r es o c k e tl a y e r ) 是由网景通信( n e t s c a p e c o m m u n i c a t i o n ) 公司设计开发的一种基于w e b 应用的安全通信协议，主要用于提高应用 程序之间数据传递的安全性。在s s l 中，采用了公共密钥和私用密钥两种方法，它对计算 机之间整个会话过程进行加密嘲。s s l 主要是使用公共密钥体制和x 5 0 9 数字证书技术保 护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的 信息传输，常用w e bs e r v e r ( w e b 服务器) 方式嘲。 对于电子商务应用来说，使用s s l 可以保证信息的真实性、完整性和保密性，但由于 s s l 不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是s s l 在电子 商务中使用的最大不足。有鉴于此，网景公司在从c o m m u n i c a t o r 4 0 4 版开始的所有浏览 器中引入了一种被称作，“表单签名( f o r ms i g n i n g ) ”的功能，在电子商务中可以利用这 一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的 不可否认性口1 。 但是对于电子支付来说，采用s s l 协议运行的基础是商家对消费者信息保密的承诺， 1 2 有利于商家而不利于消费者，整个过程中只有商家对消费者的认证，而缺少了消费者对商 家的认证。在电子商务的初级阶段，由于运作电子商务的企业大多都是信誉比较高的大公 司，因此这个问题还没有充分暴露出来。但是随着电子商务业务的不断扩展，各中小型公 司也纷纷涌入i n t e r n e t ，电子商务支付过程中的单一认证问题越来越突出，s s l 协议的缺 点明显阻碍了电子支付的进一步开展，必须有新的协议来弥补它的不足。 ) s e t 安全电子交易协议( s e t s e c u r ee l e c t r o n i ct r a n s a c t i o n ) 是为了在i n t e r n e t 上 进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。它是由v i s a 和m a s t e r c a r d 两大信用卡组织联合开发的一个电子商务安全协议，是一种基于消息流的协议，主要 是为了持卡人、商家和银行之间通过信用卡支付的交易而设计的，用以保证支付信息的机 密、支付过程的完整、商家和持片人的合法身份以及可操作性嘲。 s e t 非常详细而准确地反映了交易各方之间存在的各种关系。它定义了加密信息的格 式和付款支付交易过程中各方传输信息的规则。s e t 提供了持片人、商家和银行之间的认 证，确保了网上交易数据的机密性、数据的完整性及交易的不可抵赖性。 s e t 的核心技术主要有公开密钥加密、电子数字签名、数字信封、数字证书等m 。其 工作原理如图3 2 所示。 图3 2s e t 工作原理 s e t 协议是一个涉及到很多方面技术的综合协议标准，本文所讨论研究的系统基本上 建立在s e t 的协议架构之上，对于其协议所涉及到的技术在后面的内容中还将进行更详细 的分析。而s e t 相对于s s l 而言具有如下优点： 第一，确认了商家的合法性，并且保证了持卡人的信用卡号不会被窃取，s e t 替持卡 人保守了更多的秘密，使其在线购物更加安全n 训； 第二，s e t 为商家提供了保护自己的手段，它保证交易信息不可抵赖，使商家免受欺 诈的困扰，并使商家的运营成本降低n ； 第三，对银行和发卡机构以及各种信用卡组织来说，因为s e t 可以帮助它们将业务扩 展到因特网，并使得信用片网上支付具有更低的欺骗概率，这使得金融机构提供的支付服 务具有更大的竞争力； 第四，s e t 对于参与交易的各方定义了协同操作接口，一个系统可以由不同厂商的产 品构筑n 射。 当然，s e