第7章安全交易协议与支付技术

第7章安全交易协议与支付技术

1．了解安全交易协议是一种通过验证买卖双方身份、确保网上交易安全的方法；2．理解SSL协议与SET协议的设计思想，了解其主要应用情况及安全性能，了解二者的异同点；3．了解常用网上支付手段及其安全性；4．理解电子现金、电子钱包、电子支票、网上银行卡等不同电子支付工具的概念、特点，了解其应用方法和安全性能；5．掌握通过第三方支付平台实现网上结算的方法。学习目标与要求尹华是北京航空航天大学大四的学生,喜欢上网,并经常在网上购物。他与朋友聊起自己不久前在网上购物的一次奇特遭遇，至今仍心有余悸:“我当时上网就想买点便宜的东西,看见一个购物网站,上面卖的东西挺便宜,就选了几样,然后象往常一样点击网站提供的写有‘在线支付’字样的按钮。”

尹华自谓是在网上闯荡多年的“老江湖”了,网上购物经验丰富,但这一次的网络交易却出乎他的意料。“点击‘在线支付’后弹出一个页面,咋一看是工行的,所以我就点了‘支付’按钮,输入我的卡号、密码,再点‘支付’按钮”。

“尹华曾多次使用过工行的网上银行。往常点击‘支付’按钮以后,要么出现‘支付成功’,要么出现‘支付不成功’字样,但是这一次屏幕上却出现了‘该网页不存在’六个字。凭着在网络上多次购物的经验，尹华怀疑自己可能登录了一个虚假的银行网站。由于此时已经把银行账户和密码输入到这个假的银行网站上了,为了以防万一,尹华拿起自己的银行卡,飞奔到离宿舍最近的一个自动取款机取出了卡上的600元,但剩下的70元零头无法取出。回来后尹华仔细观察那网页,发现它与工行的页面虽然非常相似,但是网址不一样,工行是‘icbc’,而它的是‘lcbc’,只差一个字母,而尹华初登录时根本没有留意这一点。”之后等尹华再重新登录工商银行网站,检查自己卡里的余额时,发现刚才没有取出来的70多元钱已经不翼而飞。电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全性,特别是支付的安全性。本章将主要介绍电子商务系统常用的安全协议以及电子商务交易中常见的支付手段,并分析其安全性能。7.1安全交易协议概述7.1.1安全交易服务安全交易是电子商务发展的核心问题,支付系统安全则是安全交易的关键。因此,如何在开放的公用网上构筑安全的交易模式,一直是人们关注的话题和研究的热点。一个安全的电子交易模式,一般应提供以下五方面的安全服务:(1)数据保密:防止因信息被截获或非法读取而泄密。(2)对象认证:通信双方对各自通信对象的合法性、真实性进行确认,以防第三者假冒。(3)保持数据完整:阻止非法实体对交换数据的修改、插入、删除,防止数据丢失。(4)防抵赖:证实已发生过的操作,防止交易双方对发生的行为抵赖。(5)访问控制:防止非授权用户非法使用系统资源。7.1.2常用的安全交易协议(1)安全超文本传输(S-HTTP)协议。(2)安全套接层(SecureSocketsLayer,SSL)协议。(3)3-Dsecure协议(4)安全电子邮件协议(PEM、S/MIME)7.2基于SSL协议的支付技术7.2.1

SSL协议的概念安全套接层协议(SSL协议)是网景(Netscape)公司设计开发的基于Web应用的安全协议,它是在网络传输层上提供的一种基于RSA和保密密钥的、用于浏览器和Web服务器之间的安全连接技术,可实现服务器认证、客户认证,并保证SSL链路上的数据的完整性和保密性。7.2.2

SSL协议的工作原理SSL协议使用通讯双方的客户证书以及CA证书,让客户和服务器以一种避免被偷听的方式通讯,在通讯双方间建立起一条安全的、可信任的通讯通道。SSL协议包括SSL记录协议和SSL握手协议两个子协议。7.2.3

SSL协议的工作流程SSL协议的工作流程可划分为服务器认证和用户认证两个主要阶段。SSL协议在服务器认证阶段主要完成如下操作:(1)客户端向服务器发送一个开始信息“Hello”,以便开始一个新的会话连接;(2)服务器根据客户发送的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将提供生成主密钥所需的信息;(3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;(4)服务器解密该主密钥,并返回给客户一个用主密钥加密的信息,以此让客户认证服务器。7.2.4

SSL协议的应用SSL协议主要提供三方面的服务:一是认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上;二是加密数据,以隐藏被传送的数据;三是维护数据的完整性,确保数据在传输过程中不被改变。SSL协议提供了两台机器间的安全连接。支付系统、在线银行和其他金融系统常常构建在SSL协议之上,以传输信用卡卡号。SSL协议被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。SSL协议的应用主要有下述两种形式。

SecurePay实时信用卡交易服务系统SecurePay实时信用卡交易服务系统面向电子商务业务提供商,帮助商家解决银行支付、订单处理等技术上的问题。

IPS在线支付系统IPS(InternetPaymentSystem)是由环球实业科技股份有限公司投入大量资金和科研实力开发出的网上支付系统。.1IPS在线支付流程上海环迅是环球实业科技股份有限公司的子公司。环迅IPS目前已成为借记卡受理能力最强的在线支付安全平台,中国大陆、香港、澳门、新加坡等地的借记卡都可以通过环迅IPS进行安全支付。i付通(IPS)网上购物人民币支付流程如图7—13所示。图7—3

i付通(IPS)网上购物人民币卡支付流程图7—4

i付通(IPS)国际卡支付流程.2

IPS在线支付系统的安全IPS网上交易的传输安全控制手段采用Internet上广泛使用的SSL协议。IPS安全平台服务器一端安装的是全球著名认证中心Version的SSL证书(128位),客户端的浏览器发送CGI请求时使用S-HTTP协议。7.2.5SSL协议的安全性能分析SSL协议是基于WEB应用的安全协议，它指定了一种在应用程序协议和TCP/lP协议间提供数据安全性分层的机制。(1)SSL协议的加密机制：SSL采用RsA、DES，3DES等、密码体制以及MD系列HASH函数、Diffie-Hellman密钥交换算法。(2)SSL协议提供的安全服务：SSL为TCP／IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。(3)SSL协议的应用领域：主要用于WEB通信安全、电子商务，还被用在对SMTP，POP3，Telnet等应用服务的安全保障上。(4)SSL协议的优点：SSL设置简单成本低，银行和商家无须大规模系统改造；凡构建于TCP／IP协议簇上的C／S模式需进行安全通信时都可使用，持卡人想进行电于商务交易，无须在自己的电脑上安装专门软件，只要浏览器支持即可；SSL在应用层协议通信前就已完成加密算法，通信密钥的协商及服务器认证工作，此后应用层协议所传送的所有数据都会被加密，从而保证通信的安全性。(5)SSL协议的缺点：SSL除了传输过程外不能提供任何安全保证；不能提供交易的不可否认性；客户认证是可选的，所以无法保证购买者就是该信用卡合法拥有者；SSL不是专为信用卡交易而设计，在多方参与的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。7.3基于SET协议的支付技术随着因特网、计算机技术、信息技术的迅速发展,电子商务已深入到社会生活的各个方面。多用于信用卡业务的SET协议,目前已经成为实现安全网上购物所必需的一部分。7.3.1

SET协议概述

SET协议的基本概念SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易安全问题而设计的,它可保证支付信息的机密性、支付过程的完整性、商户及持卡人的合法身份以及网上支付的可操作性。SET协议的核心技术主要有公开密匙加密、数字签名、数字信封、电子安全证书等。

SET协议的设计指导思想SET协议主要应用于保障网上购物信息的安全性,设计时必须力求实现以下功能:(1)保证信息的机密性。

(2)验证交易各方。

(3)保证支付的完整性和一致性。(4)保证互操作性。(5)订单信息和个人账号信息的隔离。事实上,SET协议通过四种安全措施来保护网上支付信息的安全性:(1)持卡人能够确认收款商家是否有权以采用SET协议的安全方式接收支付卡。(2)采用SET协议的商家能够确认交易中正在使用的支付卡。(3)SET协议采用先进的公用密码系统以及数字签名、数字证书等技术。(4)SET保证支付信息只能被指定的接收方阅读,且只能被采用SET协议的商家与金融机构破译,同时商家只能看到订货信息而看不到持卡人的账号。7.3.2基于SET协议的支付系统的组成及其工作流程在一些发达国家,信用卡支付已成为购物支付的主要手段。然而,怎样保证信用卡信息能够安全地在开放的公用网络上传送呢?这是网上支付安全技术需要解决的关键问题。SET协议妥善地解决了信用卡在电子商务中的信息保密、资料完整以及身份认证等问题,目前已被公认为网上支付的安全标准之一。世界上已有不少公司推出符合SET协议的应用软件,供用户选用。我国实现网上支付的电子商场也大多采用了SET协议。根据SET协议设计的网上安全支付应用软件,必须经过SET协议验证才能批准使用。凡经验证符合标准的软件,均标以特定的SET图标供用户鉴别。SET协议利用发放给客户、商家、银行以及信用卡公司的数字证书,进行一系列的认证与安全检验,提高了信用卡信息在交易过程中的防伪性与安全性。基于SET协议的支付系统的组成一个符合SET标准的网上安全支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包、商家服务器软件、支付网关和认证机构(签发证书)软件四个子系统。(1)电子钱包。(2)商家服务器软件。(3)支付网关。(4)认证机构软件。基于SET协议的支付系统的工作流程SET协议规定了交易各方进行安全交易的具体流程。在电脑上运行基于SET协议支付系统后,网上购物的流程与实际购物的流程就变得十分类似。其具体的流程为:(1)消费者利用自己的电脑通过Internet选定所要购买的物品,并形成订货单,订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。(2)消费者通过电子商务服务器与有关在线商店联系,在线商店作出应答,并确定消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。(3)消费者选择付款方式,确认订单,签发付款指令。此时SET协议开始介入。(4)在SET协议下,消费者必须对订单和付款指令进行数字签名,同时可利用双重签名技术保证商家看不到自己的账号信息。(5)在线商店接受订单后,向消费者指定银行请求支付认可。信息通过支付网关传输到收单银行,收单银行再将之传输到电子货币发行公司进行确认。确认后,银行批准交易,反馈确认信息给在线商店。(6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。(7)在线商店发送货物或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行结当天的账。从上述步骤看,前两步与SET协议无关,从第(3)步开始一直到第(6)步,SET协议发挥了很大作用。在处理过程中,对通信协议、请求信息的格式、数据类型的定义等SET协议都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA中心来验证通信主体的身份,以确保通信的对方不是冒名顶替,所以,也可以简单地认为SET协议充分发挥了认证中心的作用,维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。7.3.3SET协议的安全性能分析

SET协议的安全性能（1）采用公钥加密和私钥加密相结合的办法保证数据的保密性（2）采用数字签名技术来保证消息的完整性和不可否认性（3）采用双重签名技术保证交易双方的身份认证7.3.3.2

SET协议与SSL协议的比较(1)认证要求方面。(2)安全性方面。(3)网络层协议位置方面。(4)应用领域方面。

SET协议与3-Dsecure协议的比较SET协议和3-DSecure协议严格来说都是安全协议和格式的集合，其中SET协议复杂而详细，但需要交易各方下载安装软件来提供许多商业功能，不依赖于传输安全机制。而3-DSecure协议相对简明，将SET协议中的持卡者验证和在线个人标识扩展加入到核心标准中，但依赖于传输安全机制。具体差别主要体现在以下几个方面。（1）机密性。（2）不可否认性。（3）身份认证。（4）完整性。

(5)复杂性。以上所述可以看出，3-DSecure协议简化了SET安全协议的大量的数字签名和证书交换过程，虽然其同SET协议同样支持在系统中使用硬件加密模块来进行密钥管理。但是就协议本身而言，3-DSecure协议的安全性要弱于SET协议。7.4电子商务常用支付工具的使用及其安全性能分析随着电子商务的普及发展，越来越多的人正在选择、使用各种不同的网上支付工具与支付手段,使得电子支付成为行业热点。所谓电子支付是指电子交易的当事人,包括消费者、商家和金融机构,使用安全电子支付手段,通过网络进行的货币支付或资金流转。广义的电子支付指支付系统中所包括的所有以电子方式或者称为无纸化方式进行的资金的划拨与结算。狭义的电子支付也称为网上支付,是指在电子商务的应用和推广中,为顺利完成整个交易过程所建立的一套通用的电子交易支付方法和机制。目前,在电子商务中常用的支付工具主要有智能卡、电子现金、电子钱包、电子支票、银行卡等。7.4.1电子现金电子现金的概念电子现金(E-cash)又叫数字现金,是一种在网上当作现金使用的电子货币,以数据形式流通。它把现金数值转化为一系列加密的序列数,通过这些序列数来表示现实中各种金额的币值,用户在开展电子现金业务的银行开设账户并在账户内存钱后,就可以在接受电子现金的网上商店里使用。电子现金的支付过程使用电子现金的操作步骤为:(1)用户在E-cash发布银行开立E-cash账号,用现金服务器账号中预先存入的现金来购买E-cash证书,将E-cash分成若干包“硬币”。(2)使用计算机E-cash终端软件从E-cash银行取出一定数量的E-cash存在硬盘上。(3)用户与同意接收E-cash的厂商洽谈,签订订货合同,使用E-cash支付所购买商品的费用,具体做法是用卖方的公钥加密E-cash后,将它传送给卖方。(4)接收E-cash的厂商与E-cash发放银行之间进行清算,E-cash银行进行现金划转。7.4.1.3电子现金的使用条件及特点电子现金的使用条件有:(1)银行与商家之间应有协议和授权关系。(2)用户、商家和E-cash银行都装有E-cash软件。(3)E-cash银行负责完成用户和商家之间资金的转移。(4)身份验证由E-cash银行本身完成。电子现金的特点有:匿名性;具有现金特点,可以存、取,转让;适用于交易量较小的商务活动。7.4.1.4电子现金支付实用系统及其安全性能分析目前有三种较典型的电子现金支付实用系统:(1)Digicash系统,是无条件匿名电子现金支付系统,其主要特点是通过数字记录现金来集中控制和管理现金,是一种足够安全的电子交易系统。(2)Netcash系统,是可记录的匿名电子现金支付系统,其主要特点是设置分级货币服务器来验证和管理电子现金,电子交易的安全性得到了保证。(3)Mondex系统,是一种采用电子钱包形式的电子现金系统,其特点是具有信息存储、查询管理、安全密码锁等功能,保证安全可靠,可以应用于多种用途。7.4.2电子钱包7.4.2.1电子钱包的含义电子钱包(E-wallet)是一个供持卡人用来进行安全电子交易和储存交易记录的软件,它就像生活中随身携带的钱包一样,但它是一种虚拟的钱包。电子钱包以智能卡为系统基础,增加了多种用途,具有信息储存、查询管理、安全密码锁等功能。7.4.2.2电子钱包的使用方法消费者要想利用电子钱包在网上购物,必须先到银行开设一个账户,并把电子钱包通过有关的应用软件安装到相应的服务器上,该服务器是电子零售系统的核心;然后消费者再利用电子钱包服务系统把自己的各种电子货币或金融卡上的数据输入电子钱包中,从而使钱包“有钱支付”。接下来的过程通常包括以下步骤:(1)和商家达成购销协议并选择用电子钱包支付;(2)选定用电子钱包付款并将电子钱包装入系统,输入保密口令并进行付款;(3)电子商务服务器进行合法性确认后,在信用卡公司和商业银行之间进行应收款项和账务往来的电子数据交换和结算处理。(4)经商业银行证明电子钱包付款有效并授权后,商店发货,并将电子收据发给客户;与此同时,商店保留整个交易过程中发生的往来财务数据记录。(5)商店按照客户要求将货物交到客户手中或其指定的人手中。7.4.3电子支票7.4.3.1电子支票的概念支票一直是银行大量采用的支付工具之一,电子支票(E-check)是网络银行常用的一种电子支付工具。将支票改变为带有数字签名的报文或者利用数字电文代替支票的全部信息,就是电子支票。严格地说,电子支票是一种借鉴纸张支票转移支付的优点,利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码传递的方式实现的。7.4.2.3.2电子支票的支付流程电子支票的使用一般要经过购买电子支票、电子支票付款、清算等几个主要步骤。其中,购买电子支票即是到银行注册,电子支票应具有银行的数字签名。。使用电子支票支付的一般流程如图7—7所示。图7—27电子支票的支付流程图（资料来源：参见《电子商务基础与应用》，陈晴光主编，清华大学出版社，2011）7.4.3.3电子支票的安全性能分析电子支票使用数字证书来提供对签名的验证功能。当银行客户申请一个电子支票账号时,银行将向客户发放一个证书,当证书过期以后,银行将重新发放该证书,以保证一个证书对应一个用户账号,以及签名者的私钥没有被盗窃和误用。数字证书只能告诉签名验证者,证书发布时证书中的公钥与签名者身份和银行账号一致,而不能保证电子支票的完全有效性,因为只有支付银行知道账号的目前状态和私有签名密钥是否被盗用,也只有支付银行能够判定电子支票是否是真实的,支票账号是否有足够的金额用于支付。一个电子支票簿(Checkbook)智能卡可以保护签名者的私有签名密钥,以防止被盗窃或误用。使用加密硬件可以使签名验证者更能确信支票来自合法用户,因为签名私钥在满足银行工业标准的加密算法控制下只能在智能卡内产生和使用,由于签名私钥从来都不进入签名者的计算机,因此也防止了通过计算机网络对签名私钥的窃取。为了保证电子支票的唯一性,电子支票簿在每次签名时都将自动产生一个序列号,并保存一个日志或记录,以便在发生纠纷(如给定的电子支票是否被签名和背书等)时可以查询。为了防止电子支票被欺骗,可以利用数字签名来充分保障消息的完整性、可认证性和不可抵赖性。另外,为了保证信息传输的机密性,可以通过安全电子邮件方式或双方之间已加密过的交互对话方式进行消息传送。7.4.4网上银行卡7.4.4.1网上银行卡与传统银行卡的区别网上银行卡与传统银行卡的区别有如下一些:(1)使用的信息传递通道不同。(2)付款地点不同。(3)身份认证方式不同。(4)付款授权方式不同。(5)商品和支付信息的采集方式不同。7.4.4.2网上银行卡使用的基本流程

图7—8招商银行“一卡通”使用的基本流程7.4.4.3银行卡支付的安全性能分析银行卡支付和其他事物一样,没有绝对的安全,一般只能在安全与性能之间找到一个权衡。权衡就意味着牺牲。在同等技术条件下,越方便就越不安全,反之亦然。美国的信用卡使用不需要密码,使用起来很方便,因此也隐含了不安全因素,但是丝毫没有影响大家在更多的场合使用信用卡;我国的信用卡在安全性方面较强,在方便性上与美国相比就差不少,有诸多限制,最终成交交易量也较美国的少。银行卡支付的安全体现在两个方面,一是信息被窃取的可能性,二是信息被盗时追溯的可能性。

智能卡支付方式智能卡（SMARTCard）又叫IC卡，在法国问世。20世纪70年代中期，法国ROLANDMORENO公司采取在一张信用卡大小的塑料卡片上安装嵌入式存储器芯片的方法，率先开发成功IC存储卡。真正意义上的智能卡即在塑料卡上安装嵌入式微型控制器芯片的IC卡，是在1997年由摩托罗拉公司和BULLHN公司研制成功。智能卡与ATM卡的区别在于：IC卡通过嵌入式芯片存储信息；ATM卡通过磁条存储信息。由于智能卡存储信息量较大，存储信息的范围较广，安全性也较好，因而逐渐引起人们的重视。我国1993年起在全国范围内开展“金卡工程”，目前已成为世界上信用卡发行最快、潜力最大的市场。智能卡的种类（1）存储卡：简单的存储设备，不能处理信息，没有安全保障，（类似磁卡但比磁卡容量大）（2）加密存储卡：在存储卡基础上增加了加密逻辑，如电话充值卡（一次性的加密卡）（3）CPU卡：有存储器和内存，能存储信息，并对数据进行运算处理加密，常用于储蓄、信用卡和其他安全性要求较高的应用场合。（4）射频卡：在CPU卡的基础上增加了射频收发电路，非接触式读写，大量用于交通行业。智能卡的结构智能卡看起来就像普通塑料支付卡一样，其不同之处在于嵌入了微型芯片。由于智能卡内安装了嵌入式微型控制器芯片，因而可存储并处理数据，卡上的价值受持卡人的个人识别码（PIN）保护，因此只有持卡人能访问它。智能卡的结构主要包括了三个部分：（1）建立智能卡的程序编辑器。（2）处理智能卡操作系统的代理。（3）作为智能卡应用程序接口的代理。使用智能卡的基本操作步骤在电子交易过程中，智能卡的应用类似于实际交易过程，只是需要在计算机上选好商品后，键入智能卡的号码登陆到发卡银行，并输入密码和在线花店的帐号，完成整个支付过程。使用智能卡的基本操作步骤如图7-9所示：（1）在适当的机器上启动你的因特网浏览器，这里所说的机器可以是PC机，也可以是一部终端电话，甚至是付费电话；（2）通过安装在PC机上的读卡机，用智能卡登陆到提供智能卡服务的银行WEB站点上，智能卡可自动告知银行持卡愉的帐号、密码和其他一些加密信息；（3）从智能卡下载现金存入厂商的帐号上，或从银行帐号下载现金存入智能卡。智能卡的应用领域智能卡的发展受到其应用的驱动。目前，欧洲、南美洲和亚洲已经发行了大量智能卡，美国和加拿大的持卡量约占到全球总数的15%。智能卡应用目前主要集中在以下领域：（1）零售市场。零售商使用智能卡识别其忠诚顾客并给以奖励。（2）金融领域。金融机构、支付联盟和信用卡公司正在使用智能卡扩展其传统支付卡服务。（3）信息技术。所有用户将能借助智能卡的安全性来扩展与实体世界和虚拟世界的联系，它能帮助用户保护隐私，并能确保只有合法顾客才能得到服务。（4）医疗和社会福利。许多建立了全国医疗系统的国家正在考虑使用智能卡降低服务成本。（5）交通运输。低成本、单芯片、非接触卡技术的出现，使公共交通机构能利用智能卡来收费。（6）身份认证。智能卡非常适合用于身份认证，它被广泛用于学生证、驾驶执照和移民卡等应用领域。智能卡的安全性能分析多功能的智能卡嵌入有高性能的CPU，并配备有独自的基本软件（OS）能够象个人电脑那样自由地增加和改变功能。这种智能卡还设有自爆装置，如果犯罪分子想打开IC卡非法获取信息，卡内软件上的内容将立即消失。智能卡可以存放或帮助访问有价值的资产（如电子现金）或敏感信息（如医疗记录），因此它们必须能防盗、防欺诈和防滥用。总体来说，智能卡比传统支付卡更安全。

移动支付方式移动支付目前也称为手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。整个移动支付价值链包括移动运营商、支付服务商（比如银联等）、应用提供商（公交、校园、公共事业等）、设备提供商（终端厂商，卡供应商，芯片提供商等）、系统集成商、商家和终端用户。移动支付的标准目前移动支付中以手机刷卡支付为主，手机刷卡支付标准主要有13.56MHz的标准与RF-SIM标准。13.56MHz的标准是国际上比较成熟的标准，产业成熟度比较高，现在已经在大部分城市获得成功应用，效果比较好，认可度高，而且已经形成稳定的产业合作联盟。RF-SIM标准由中国移动主导开发，与13.56MHz的标准相比，RF-SIM模式是以预存话费来消费，这与现有的支付基础设施如我国的公交卡系统、国际上的PayPass、PayWave等并不兼容，目前银行、金融等机构布点的POS机等终端大都基于13.56MHz技术，与RF-SIM卡无法实现兼容。13.56MHz的标准在技术上虽然有优势，但是要大面积推广13.56MHz就必须对现有市场销售的手机进行改造，生产定制手机，13.56MHz技术无法做到穿透手机外壳，实现刷卡消费，无论13.56MHz芯片是被集成在手机SIM卡中或是手机内部，都必须配置天线，这就要求手机厂商对原有设计进行更改。而RF-SIM标准的最大好处则是其2.4G频率可以直接穿过手机外壳，实现刷卡消费。移动支付的方式分类移动支付的方式目前主要有手机钱包与二维码两大类型。（1）手机钱包,手机钱包主要是手机的小额支付应用。（2）二维码识别二维码进行移动支付的方式主要有电子支付回执、电子票、电子折扣券、电子凭证与电子回执。手机钱包主要是手机的小额支付应用。移动支付的安全性能分析目前移动支付可能隐藏以下安全问题:（1）普通手机通常没有加密技术，在支付过程中往往会造成信息泄露，这已成为移动支付发展的一大难题。（2）对参与交易各方的合法身份身份识别确认。（3）用户信用体系有待进一步建设和完善。（4）手机丢失会给移动支付用户带来损失。此外，由于移动支付涉及银行、商家、移动支付服务提供商、认证中心、消费者等多方，其安全问题不仅涉及相关技术本身的安全防范，还应考虑到和其他系统之间信息的安全传递。移动支付业务是将移动网络与金融系统结合，为用户提供更为便利的手段进行商品交易、缴费等金融业务。要顺利完成移动支付业务，需要开展该业务的机构共同遵循一定的标准。7.5网上安全支付的第三方结算平台下面具体介绍几种目前国内常见的第三方电子支付平台与支付工具的操作方法。7.5.1首都电子商城网上支付平台——“首信易支付”首都电子商城支付服务系统“首信易支付”在线购物的操作方法(步骤略)支付宝最初主要只是为B2C、C2C电子商务提供第三方支付中介服务,现在,支付宝与各银行合作,开始提供大规模的面向B2B电子商务的支付服务。目前除淘宝和阿里巴巴外，支持使用支付宝交易服务的商家已经超过33万家，涵盖了虚拟游戏、数码通讯、商业服务、机票等行业。由于在电子商务交易中,交易双方互不见面,仅通过网络进行洽谈、发布信息、选择商品,通过物流交付商品,通过网上银行交付货款,因而出现了各种交易风险,如虚假的信息、伪劣的产品、收款不发货、到货赖账不付。这些风险严重削弱了人们对电子商务的信任,阻碍电子商务的发展。支付宝就是针对这种现象推出的保障买卖双方交易安全的网络支付服务。支付宝的安全交易流程图7—18卖家与买家通过支付宝进行交易的流程支付宝的安全技术措施为了保证用户资金和交易信息安全,支付宝还采取了许多先进的安全技术和管理措施,下面简要作一介绍。(1)密码。(2)数字证书。(3)账户一致性检查。(4)手机短信核查。(5)账户资金保障。(6)精心设计的交易规则。支付宝与其他电子商务网站的联系支付宝不是一个完整的电子商务交易网站,它不提供网上商品交易的全过程,也没有网上银行即时支付的能力,不提供直接的资金划转。支付宝是一个独立的具有中介性质的第三方网上支付增值服务平台。买家在支付宝预存的资金,支付宝不能用来进行其他的投资等活动,支付宝只是一个资金保管机构,按照预先的约定为买卖双方保管资金,在买卖成功后,通过银行实现资金划转。除了淘宝网、阿里巴巴网可以最方便地使用支付宝。在淘宝网的首页,支付宝的标志一目了然。在淘宝网上进行交易时,淘宝网会自然地推荐使用支付宝。关于支付宝的操作方法,读者可以通过在淘宝网上购物和售物的实践自行掌握,此处不赘述。7.5.3其它第三方电子支付工具

银联电子支付服务有限公司(ChinaPay)银联电子支付服务有限公司(ChinaPay)是中国银联控股的银行卡专业化服务公司，拥有面向全国的统一支付平台，主要从事以互联网等新兴渠道为基础的网上支付、企业B2B账户支付、电话支付、网上跨行转账、网上基金交易、企业公对私资金代付、自助终端支付等银行卡网上支付及增值业务。ChinaPay依托中国银联全国统一的跨行信息交换网络，在人民银行及中国银联的业务指导和政策支持下，致力于银行卡受理环境的建设和银行卡业务的推广，将先进的支付科技与专业的金融服务紧密结合起来，通过业务创新形成多元化的支付服务体系，为广大持卡人和各类商户提供安全、方便、快捷的银行卡支付及资金结算服务。公司充分利用中国银联全国性的品牌、网络、市场等优势资源，整合银联体系的系统资源、银行资源、商户资源和品牌影响力，实现强强联合、资源共享和优势互补。用户使用财付通完成在线交易的流程如下：（1）网上买家开通自己的网上银行，拥有自己的网上银行账户。（2）买家和卖家点击QQ钱包，激活自己的财付通账户。（3）买家向自己的财付通账户充值。资金从自己网上银行账户划拨到自己的财付通账户。（4）卖家通过中介保护收款功能，选择实体或虚拟物品，如实填写商品名、金额、数量、