电子商务第5章--电子支付系统

1、第5章 电子支付系统5.1 电子支付概述5.2 电子支付工具5.3 电子支付中的两个安全协议5.4 网上银行本章重点本章重点：各种支付工具的使用过程、SSL与SET支付体 系、网上银行的体系结构本章难点本章难点：网上银行的体系结构与交易流程5.1 电子支付概述 中国电子商务的发展速度很快，2001年中国电子商务支付市场的规模是9亿元人民币，到2005年该数字已增长到160亿，而2006年为330亿元，2008年中国网上支付市场规模从07年的976亿元飙升到08年的2743亿元，同比迅速增长181%，远高于网络经济49.2%的增速，成为互联网发展最快的行业。 央行第二代支付系统上线，将连接各商业

2、银行网上银行的“网上支付跨行清算系统”。其中，跨行业务将是其中最大的亮点。客户可以从“超级网银”登录自己各个银行的账户，实现跨行转账、跨行支付等功能。 5.1.1 电子支付的内涵电子支付系统是一个包括买卖双方、网络金融服务机构、网络认证中心以及网上支付工具和网上银行等各方组成的大系统。电子支付是指消费者、商家和金融机构之间通过信息网络安全地处理电子货币信息，以清偿经济活动参加者在获取实物资产、金融资产、信息技术或服务等时所承担的债务。5.1.2 电子支付的发展历程 电子支付的发展经历了如下六个阶段：银行利用计算机处理银行间的业务，办理结算。银行计算机与其它机构计算机之间的业务，如代发工资等。利

3、用网络终端向客户提供各项银行业务，如客户在ATM上取款、存款等操作。利用银行销售点终端（POS）向客户提供自动的扣款服务，此为现阶段电子支付的主要方式。网上支付，即电子支付可以随时随地通过互联网进行直接转账结算。移动支付。（微支付大额支付）5.1.2 电子支付的发展历程图5.1 电子支付的发展历程移动支付移动支付5.1.3 电子支付的特点 与传统的支付方式相比，电子支付具有以下特征： 电子支付是通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付，而传统支付方式则是通过现金流转、票据转让及银行的汇兑等物理实体的流转来完成款项支付。 电子支付的工作环境是基于一个开放的系统

4、平台（互联网），而传统的支付则是在较为封闭的系统中进行。 电子支付使用的是先进的通信手段，对软硬件的要求很高；而传统支付则没有这么高的要求。 电子支付可以突破时间和空间的限制，相比传统支付方式具有高效、经济等优势。5.1.4安全的电子支付系统的标准v应有足够的技术手段来保证数据在传输过程中不被非法截获，账户中的现金不被窃取。v应有足够的技术手段保证数据传输的完整性，防止交易方按照不完整的数据来处理交易。v应有足够的技术手段来确认交易各方的身份。v应有足够的技术手段来保证交易各方对所做的交易无法抵赖。5.1.5 电子支付的类型 （1）根据支付时间的不同划分预支付（pre-paid）。预支付是指先

5、付款、后购买。预支付系统基本上是通过将电子货币保存到硬盘或一张智能卡上的方式来工作。这些包含该电子货币的文件叫做虚拟钱包（virtual wallet）。即时支付（instant-paid）。即时支付即交易时付款。即时支付实现起来最复杂，因为其必须直接访问银行的内部数据库，即时支付的安全措施须比其它付款类型更严格。后支付（post-paid）。后支付即先购买、再支付。5.1.5 电子支付的类型 （2）根据支付工具划分电子货币类，如电子现金、电子钱包等。电子信用卡类，包括智能卡、借记卡、电话卡等。电子支票类，如电子支票、电子汇款、电子划款等。5.1.5 电子支付的类型 （3）根据支付体系结构的不

6、同划分银行卡非SET电子商务支付系统（SSL）。此类型是国内普遍采用的网上支付方法。银行直接参与的非SET电子商务支付系统（类SSL）。该系统的支付信息不经商家，直接到银行站点支付，风险较小。SET电子支付系统。SET是实现在开放的网络上使用付款卡支付的安全事务处理协议。5.2 电子支付工具5.2.1 电子现金电子现金（E-cash）是一种用数据形式流通的货币。它把现金数值转换成一系列的加密序列数，通过这些序列数来表示现实中的货币值。用户在开展电子现金业务的银行（E-Mint）开设账户并在账户内存款后，就可以在接受电子现金的商店购物了。比较典型的电子现金系统有DigiCash、NetCash和

7、Mondex（IC卡型电子现金）。5.2.1 电子现金 （1）电子现金的支付过程顾客首先向银行请求开设电子现金账户；银行在检查顾客的有效证书后返还顾客一个银行账户；顾客将资金存入自己的账户，并向银行发出购买电子现金的申请；银行确认了顾客的身份后，发给顾客一定数量的电子现金，然后从顾客账户上减去相同的金额；顾客浏览商家网站，在确定所购商品后，向商家递交购物清单。商家收到订单后，即向顾客发送支付请求，由顾客发送经过加密的电子现金；商家将电子现金发送到银行进行验证；银行将电子现金与已经使用的电子现金数据库进行比较；以检验是否重复使用；如果未经重复使用，银行便向商家发送核实信息；商家向顾客发送确认信息

8、，并发送商品或服务。5.2.1 电子现金买买 方方银银 行行商家商家（1）（2）（3）（4）电子现金库（7）（5）（6）（9）（8）图 5.2 电子现金的支付过程5.2.1 电子现金 （2）电子现金的性质独立性：电子现金不依赖于所用的计算机系统。不可重复使用：电子现金一次花完后不能用第2次。匿名性：电子现金不能提供用于跟踪持有者的信息。可传递性：电子现金可以容易地从一个人传递给另一个人，并且不能提供跟踪这种传递的信息。可分性：电子现金可用若干种货币单位，并且可以像普通现金一样，把大钱分为小钱。安全存储：电子现金能够安全地存储在客户的计算机或Smart卡中，而且客户以这种方式存的电子现金可以方便

9、地在网上传递。5.2.1 电子现金 （3）电子现金的安全电子现金的产生。与钞票上的号码一样，电子现金在产生时，也应产生一个唯一的识别数字。这就要求E-Mint在它发行的电子现金上做一个戳记。 认证。电子现金是由E-Mint的私钥数字化签名的。接收者使用E-Mint的公钥来解密电子现金。 5.2.1 电子现金电子现金的传送。电子现金的传送必须是安全可靠的。其安全性可通过加密来实现，其完整性可以通过哈希摘要来保证。电子现金的存储。用户和银行必须有一个安全的方法来存储电子现金。如果所有的业务都是在线进行的，则当被盗的现金在使用时，可进行跟踪并拒绝支付。解决这一问题的另一种方法是用户持存有电子现金的智

10、能卡。不可重复使用。在交易时，用户的身份识别与银行授权同时在联机系统中出现，这样可以防范对电子现金的复制和非法多次使用。5.2.1 电子现金 （4）电子现金支付存在的问题 只有少数商家接受电子现金，而且只有少数几家银行提供电子现金开户服务。 成本较高。 存在货币兑换问题。 风险较大。 5.2.2 电子钱包（1）电子钱包的工作原理 使用电子钱包的顾客通常先要在有关银行开立账户，然后将电子钱包通过其应用软件安装到电子商务服务器上，利用电子钱包服务系统把自己的各种电子货币或电子金融卡上的数据输入进去。付款时，顾客只需单击一下相应图标即可完成，这种电子支付方式称为单击式或点击式支付。 在电子商务服务系

11、统中设有电子钱包管理器，顾客可以用它来改变保密口令或保密方式，察看自己银行账号上的电子货币账目、清单和数据。电子商务服务系统中还有电子交易记录器，顾客通过查询记录器，可以了解自己购买商品的情况，也可以把查询结果打印出来。5.2.2 电子钱包 （2）电子钱包的网上购物过程 客户在线浏览商品目录，选择要购买的商品。 客户填写订单 。 顾客确认后，选定用电子钱包付钱。将电子钱包装入系统，单击电子钱包图标将其打开；然后输入自己的保密口令，从中取出一张电子信用卡来付钱。 5.2.2 电子钱包 电子商务服务器对此信用卡号码采用某种加密算法加密后，发送到相应的银行业务服器，同时销售商也收到了经过加密的购货账

12、单，销售商将自己的顾客编码加入电子订货单后，再转送到电子商务服器上去。经过电子商务服务器确认这是一位合法的顾客后，将其同时送到信用卡公司和商业银行。在信用卡公司和商业银行之间要进行应收款项和账务往来的电子数据交换和结算处理。信用卡公司将处理请求送到商业银行请求确认并授权，商业银行确认并授权后送回信用卡公司。5.2.2 电子钱包 如果经商业银行确认后拒绝并且不予授权，则说明顾客的这张电子信用卡上的钱数不够用了或者是没有钱了，或者已经透支了。遭商业银行拒绝后，顾客可以再单击电子钱包的相应项打开电子钱包，取出另一张电子信用卡，重复上述操作。 如果商业银行证明这张信用卡有效并授权后，销售商就可交货。与

13、此同时，销售商留下整个交易过程中发生往来的财务数据，并且出示一份电子收据发送给顾客。 上述交易成交后，销售商就按照顾客的电子订货单将货物送达消费者。5.2.3 电子支票电子支票是客户向收款人签发的、无条件的数字化支付指令，它可以通过互联网来完成传统支票的所有功能。由于电子支票采用数字化信息，因此处理方便、成本也比较低，而且采用PKI技术，可以实现支付的保密性、真实性、完整性和不可否认性。电子支票在使用的过程中最重要的一项工作就是鉴定电子支票及其持有者的真伪，因此需要一个专门的验证机构来对此作出认证，该验证机构还应像CA那样能够对商家的身份和资信提供认证。5.2.3 电子支票付帐图5.3 电子支

14、票交易流程图电子支票消费者验证中心兑付或转帐验证商家银行验证验证付款通知单5.2.3 电子支票 电子支票交易的过程如下：商家和消费者达成购销协议并选择使用电子支票进行支付。消费者通过网络向商家发出电子支票，同时向自己的开户银行发出付款通知单。商家通过验证中心对消费者提供的电子支票进行验证，验证无误后将电子支票送交银行索付。银行在商家索付时通过验证中心对消费者提供的电子支票进行验证，验证无误后即向商家兑付或转账。 5.2.4 电子信用卡 （1）IC卡的分类 存储器卡指的是嵌入卡中的集成电路芯片只含有EEPROM单元列阵。存储在EEPROM中的内容可以自由读、擦和写，卡本身没有计算功能。其特点是成

15、本低，但对于存入卡中的信息，卡片不提供保护。 逻辑加密卡是带有逻辑加密功能的存储器卡。芯片内的集成电路对EEPROM的读、擦和写动作提供密码保护，其功能介于存储器卡和CPU卡之间。这样，卡片就具有了一定的安全性，但仍没有计算功能，适用于保密功能要求不是很高的场合。 CPU卡是真正意义上的智能卡，就是人们常说的SmartCard。卡内具有操作系统COS，能进行复杂的密码运算，通过编程可以完成很复杂的工作。 5.2.4 电子信用卡（2）IC卡的使用IC卡必须通过卡的读写设备才能与外界交换信息。读写器向卡发出命令，卡执行命令要求的功能并把结果返回给读写器。读写器将分析这一响应，从而决定向卡发送的下一

16、条命令是什么。例如，一次交易流程大体过程如下：5.2.4 电子信用卡卡插入读写器（或POS机），读写器向卡供电（+5V电压），从而启动卡片中的COS运行。卡片向读写器自动发回复位应答信号ATR。读写器根据卡交易序号确定卡是否在黑名单中，并利用内、外部命令，使读写设备和卡相互鉴别真伪。如果需要的话，持卡人通过读写器输入个人密码，读写器将这一密码传给卡片进行校验。选择交易类型，读写器发出交易命令，在卡中进行交易，卡返回给读写器本交易是否成功的应答。结束交易，拔卡。5.2.4 电子信用卡 （3）IC卡的安全机制 密钥鉴别。卡片和读写器掌握共同的密钥，通过认证这些密钥，它们得以相互确认对方的身份。常用

17、的方法是一方利用共同密钥加密一段双方都知道的随机数据，另一方对密文进行解密，将明文与已知数据进行比较，从而判定对方的真实性。 密码认证。是持卡人的身份认证手段。持卡人通过读写器将个人密码PIN提交给卡，卡将其内部储存的PIN与持卡人的输入进行比较，从而判定持卡人的身份。 数据加密和解密。数据的加密和解密使得通信双方能够确信传输的数据的真实性。目前的数据加密和解密多采用DES算法。 文件访问安全控制。即COS中采用的对文件访问进行控制的方法。不同发卡商设计的COS采用的方法一般不同，由COS设计者自行定义。 5.2.4 电子信用卡（4）IC卡的支付类型目前，基于信用卡的支付有四种类型：无安全措施

18、的信用卡支付、通过第三方代理人的支付、简单信用卡加密支付、基于SET协议的信用卡支付。5.2.4 电子信用卡v无安全措施信用卡支付的特点：商家完全掌握用户的信用卡信息，信用卡信息的传递无安全保障。用户商家银行电话、传真 Internet等合法性检查图5.4 无安全措施信用卡支付流程5.2.4 电子信用卡v通过第三方代理人支付的特点：信用卡信息不在开放的网络中传递，支付是通过用户和商家均信任的第三方来完成。代理人银行用户商家开户申请支付确认购物账户信用卡信息购物账户图5.5 通过第三方代理人支付流程5.2.4 电子信用卡v简单加密支付的特点：使用加密技术对信用卡等关键信息加密，以数字签名确认身份

19、，需要业务服务器和服务软件的支持。顾 客发卡银行商家银行业务服务器商家服务器商家（1） （2）（3）（4）（5）（6）（7）（8）（9）图5.6 简单加密支付流程5.3 电子支付中的两个安全协议5.3.1 SSL安全协议 （1）SSL安全协议的基本概念 SSL协议(安全套接层)是由网景（Netscape）公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器间事务安全的协

20、议，它涉及所有TCP/IP应用程序。5.3.1 SSL安全协议 SSL安全协议的内容包括两个方面：v握手协议。即在传送信息之前，先发送握手信息以相互确认对方的身份。v消息加密协议。即双方握手后，用对方公钥加密一随机密钥，再用随机密钥加密双方的信息流，实现保密性 。5.3.1 SSL安全协议 SSL安全协议主要提供三方面的服务：认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。加密数据以隐藏被传送的数据。维护数据的完整性，确保数据在传输过程中不被改变。5.3.1 SSL安全协议 （2）SSL安全协议的应用vSSL使用加密的办法建立一个安全的通信通道，以便将客户的信用卡号传送

21、给商家。它相当于使用一个安全电话连接用户的信用卡，通过电话将用户的信用卡号读给商家。v虽然SSL握手协议可以用于双方互相确认身份，但实际上基本上只使用客户认证技术，即单方面认证。 5.3.2 SET安全协议 （1）概述vSET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的。vSET协议比SSL协议复杂，因为前者不仅加密两个端点间的单个会话，还可以加密和认定三方间的多个信息。v SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。v各级认证机构是按根认证机构，品牌认证机构，以及持卡人、商户或收单行支付网关认证机构由上而下按层次

22、结构建立的。 5.3.2 SET安全协议 （2）SET安全协议运行的目标v 保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取。v 保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。v 解决多方认证问题。不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。v 保证网上交易的实时性，使所有的支付过程都是在线的。v 效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。5.3.2 SET安全协议 （3）SE

23、T安全协议涉及的范围 SET协议规范所涉及的对象有：v消费者。通过由发卡银行发行的信用卡进行付款。 v在线商店。提供商品或服务，具备相应电子货币使用的条件。v收单银行。通过支付网关处理消费者和在线商店之间的交易付款问题。v电子货币发行公司，以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。v认证中心（CA）。负责对交易对方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。5.3.2 SET安全协议SET协议规范的技术范围包括：v加密算法的应用（例如RSA和DES）。v证书信息和对象格式。v购买信息和对象格式。v认可信息和对象格式。v划账信息和对象格式。v对话实体之间的消息的传

24、输协议。5.3.2 SET安全协议(4)基于SET的电子支付流程消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入定货单。通过电子商务服务器与有关在线商店联系，在线商店作出应答。消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入。在SET中，消费者必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到消费者的账号信息。5.3.2 SET安全协议在线商店接受定单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来

25、查询。在线商店发送货物或提供服务；并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。5.3.2 SET安全协议批准认证审核确认协商确认消费者在线商店收 单发卡银行认证中心支付网关定单认证认证审核图5.7 电子支付的工作流程图5.3.2 SET安全协议 （5）SET安全协议的缺陷v协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。否则的话，在线商店提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。v协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购不是由签署证书的消费者发出的。vSET技术规范没有提及在事务处理完成后，如何安全地保存或销

26、毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这些漏洞可能使这些数据以后受到潜在的攻击。5.3.2 SET安全协议v协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵，互操作性差，实施起来有一定难度。vSET的证书格式比较特殊，它的支付方式和认证结构适应于卡支付，对其他支付方式有所限制。v在SET协议中，商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号，但事实上大多数商户都收到了持卡人的账号。5.3.3 SSL与SET的比较 SET是一个多方的消息报文协议，SET定义了银行、商家、持卡人之间必须的报文规范，而SSL只是简单地在两方之间

27、建立了一条安全链接。SET报文能够在银行内部网或者其他网络上传输，而基于SSL的卡支付系统只能与Web浏览器捆绑在一起使用。具体来说：5.3.3 SSL与SET的比较v在认证方面，SET的安全需求较高。因此，所有参与SET交易的成员都必须先申请数字证书来识别身份。而在SSL中，只有客户端的服务器需要认证，商家认证则是选择性的。v对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET为消费者保守了更多的秘密，使其在线购物更加轻松。v在安全性方面，一般公认SET的安全性较SSL高。主要原因是在这个交易过程中，包括持卡人到商家、商家到支付网关再到银行网络，都受到严密的保护。而S

28、SL的安全范围只限于持卡人到商家的信息交流。5.3.3 SSL与SET的比较vSET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑起来。v在采用比率方面，由于SET的设置成本较SSL高很多，并且进入国内市场的时间尚短，因此目前还是SSL普及率高。5.4 网上银行5.4.1概述 （1）网上银行的定义 网上银行也称为网络银行、在线银行，是指利用Internet、Intranet及相关技术处理传统的银行业务及支持电子商务网上支付的新型银行。它实现了银行与客户之间安全、方便、友好、实时的连接，可向客户提供全方位银行业务服务。可以说，网上银行是在Internet上的虚拟银行柜台。5

29、.4.1概述 （2）网上银行在电子商务中的地位 能否有效地实现支付手段的电子化和网络化是网上交易成败的关键，直接关系到电子商务的发展前景。网上银行创造的电子货币以及独具优势的网上支付功能，为电子商务中电子支付的实现提供了强有力的支持。作为电子支付和结算的最终执行者，网上银行起着连结买卖双方的纽带作用，网上银行所提供的电子支付服务是电子商务中最关键要素和最高层次。 5.4.1概述 （3）网上银行的运行机制 目前网上银行的运行机制有两种模式。一种是完全依赖于Internet发展起来的全新的电子银行，特点是银行的所有业务都是通过互联网进行的，如美国的SFNB，另一种是传统银行在Internet上建立的网站，如美国花旗银行、我国的招商银行、中国银行等。5.4.2 网上银行的特征（1）经营管理不受时空限制（2）大幅降低经营成本（3）服务更加多元化、个性化（4）实现电子化、无纸化操作5.4.3 网络银行的功能（1）银行业务项目（2）商务服务（3）信息发布5.4.4 网上银行的安全保障 安全是建立网上银行首先需要考虑和解决的核心问题。网上银行的安全主要体现在三个方面：一是银行网站本身的安全；二是交易信息在商户与银行之间的传递安全；三是交易信