1、【第六章第六章】电电 子子 支支 付付 6.1 传统的支付方式传统的支付方式 6.2 电子支付电子支付6.3 国际上通行的两种电子支付安全国际上通行的两种电子支付安全协议协议 6.4 网上银行网上银行(Internet Banking)6.5 推动我国电子支付的快速推动我国电子支付的快速发展的措施发展的措施 6.1 6.1 传统的支付方式传统的支付方式6.1.1 现金现金现金有两种形式,即纸币和硬币,是由国家组织或政府授权银行发行的。在现金支付中,买卖双方处于同一位置,而且支付是匿名进行的。卖方不需要了解买方的身份,因为现金本身是有效的,其价值由发行机构加以保证。现金具有使用方便和灵活的特点,
2、其支付流程如图6-1所示。图6-1 现金支付流程 买方钱款卖方货物从图6-1中可以看出,这种支付方式程序非常简单,一手交钱,一手交货;支付双方在支付结束后马上就可以实现其支付目的:卖方用货物换取现金,买方用现金买到货物。然而,这种支付也存在如下一些缺陷:(1)受时间和空间的限制,对于不在同一时间、同一地点进行的交易,就无法采用现金支付的方式。(2)现金表面金额的固定性意味着在大宗交易中需携带大量的现金,这种携带的不便性以及由此产生的不安全性在一定程度上限制了现金作为支付手段的采用。6.1.2 票据在商业交易中,交易双方往往分处两地或远居异国,经常会发生在异地之间兑换或转移金钱的需要,因为一旦成
3、交,就要向外地或外国输送款项供清偿之用。在这种情况下,如果输送大量现金,不仅十分麻烦,而且途中风险很大。以票据的转移代替实际的金钱的转移,则可以大大减少上述麻烦或风险。票据是出票人依票据法发行的、无条件支付一定金额或委托他人无条件支付一定金额给受款人或持票人的一种文书凭证。广义上的票据包括如股票、债券、货单、车船票、汇票等各种文书凭证;狭义上的票据是一个专用名词,专指票据法所规定的汇票、本票和支票等票据。在支票支付中,支票由买方签名后即可生效,故而买卖双方无须处于同一位置。卖方需通过银行来处理支票,需为此付一定的费用,并需等待提款。因而,与现金支付相比,这种支付方式不再匿名,而且费用也较高。其
4、支付流程见图6-2。图6-2 支票支付流程 买方货物卖方支票(1)现金或对帐支票(2)银行汇票支付流程与支票支付大体相同,本票支付则有所不同,即汇票、支票是由卖方通过银行处理的,而本票则是由买方通过银行处理的。但是,无论怎样,票据本身的特性决定了支付可以异时、异地进行,这样就突破了现金支付同时同地的局限,大大增加了支付实现的机会;此外,票据所具有的汇兑功能也使得大宗交易成为可能。尽管如此,票据本身也存在一定的不足,如票据的真伪、遗失等都可能带来一系列的问题。6.1.3 信用卡信用卡信用卡是银行或金融公司发行的,授权持卡人在指定的商店或场所进行记账消费的信用凭证。信用卡最早诞生于美国。1915年
5、起,美国的一些百货商店和饮食业商人为招揽生意,在一定范围内给顾客发放信用筹码,顾客可以在这些发行筹码的商店及其分号赊购商品,约期付款。这种方便顾客的新方法对笼络顾客、扩大销售起到了明显的促进作用。1946年,美国狄纳斯俱乐部和运通公司等开始发行旅游、娱乐信用卡。1952年,美国加州富兰克林国民银行首先发行银行信用卡。20世纪80年代后,信用卡在美国、加拿大、西欧、日本等国已成为一种普遍采用的支付工具,逐步取代了现金和支票,大到买房置地、旅游购物,小到公用电话、公共汽车,都采用信用卡结算。信用卡进入中国是在改革开放之后。随着对外经贸往来的扩大及旅游事业的发展,客观上要求我国改革传统的结算方式,从
6、国外引进信用卡结算方式。1978年中国银行广东省分行首先同香港东亚银行签订协议,代理信用卡业务。1985年3月,中国银行珠海分行发行了我国第一张信用卡人民币中银卡。同年10月,中国银行加入维萨国际组织,并于1989年8月发行了第一张长城维萨卡。之后,我国其他几家银行也先后发行了自己的信用卡,如中国工商银行的牡丹卡,中国人民建设银行的万事达卡,中国农业银行的金穗卡,交通银行的神通卡,等等。截止2005年6月,发卡机构超过160家,发卡量8.75亿张。2005年16月,全国银行卡交易额为24.06万亿元。信用卡支付的参与者主要包括发卡行、收单行、持卡人、商家及信用卡组织。发卡行是向持卡人签发信用卡
7、的银行,收单行是接收商户账单并向商户付账的银行。由于发卡行和收单行往往不是同一家银行,所以就需要通过信用卡组织的国际清算网络进行身分信息的认证以及授权信息的传递,世界上主要的清算网络有VIAS组织和MasterCard组织。一个典型的信用卡支付流程如图6-3所示。图6-3 信用卡支付流程 信用卡组织(1)(3)发卡行持卡人信用卡特约商店收单行(1)(3)(2)(6)(2)(4)(5)(8)(7)(2)(6)图6-3中的数字序号含义如下:(1)持卡人到信用卡特约商家处消费。(2)特约商家向收单行要求支付授权,收单行向发卡行要求支付授权。(3)特约商家向持卡人确认支付及金额。(4)特约商家向收单行
8、请款。(5)收单行付款给特约商家。(6)收单行与发卡行通过信用卡组织的清算网络清算。(7)发卡行给持卡人账单。(8)持卡人付款。6.1.4 借记卡银行借记卡是指商业银行向个人和单位发行的,凭此向特约单位购物、消费和向银行存取现金的银行卡。现阶段我国各银行发行的银行卡大多是借记卡。持卡人在使用借记卡支付前需要在卡内预存一定的金额,银行不提供信贷服务。借记卡支付同样包括发卡行、收单行、持卡人、商家及清算网络。收单行会先通过清算网络验证持卡人出示的卡号和密码,并查询其账户中是否有足够的资金用于支付。支付完成后资金将直接从持卡人的账户中划拨到收单行,然后支付给商家。借记卡支付与信用卡支付流程有类似之处
9、,主要区别就在于借记卡无信贷功能,是即时的支付。具体的流程如图6-4所示。图6-4 借记卡支付流程 清算网络(1)(3)发卡行持卡人信用卡特约商店收单行(1)(3)(2)(5)(2)(4)(5)(2)(5)图6-4中的数字序号含义如下:(1)持卡人到信用卡特约商家处消费。(2)特约商家向收单行要求支付授权,收单行向发卡行验证卡号、密码及账户金额。(3)特约商家向持卡人确认支付及金额。(4)特约商家向收单行请款。(5)收单行从发卡行的持卡人账户划拨资金到特约商家。6.2 电电 子子 支支 付付6.2.1 电子支付的概念及特征电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支
10、付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。与传统的支付方式相比,电子支付具有以下特征:(1)电子支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等,即物理实体的流转来完成款项支付的。(2)电子支付的工作环境是在一个开放的系统平台(即因特网)之中,而传统支付则是在较为封闭的系统中运作。(3)电子支付使用的是最先进的通信手段,如Internet、Extranet,而传统支付使用的则是传统的通信媒介
11、。电子支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其它一些配套设施,而传统支付则没有这么高的要求。(4)电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC(个人电脑),便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。就目前而言,电子支付仍然存在一些缺陷。比如安全问题,一直是困扰电子支付发展的关键性问题。大规模地推广电子支付,必须解决防止黑客入侵,防止内部作案,防止密码泄露等涉及资金安全的问题。还有一个支付的条件问题。消费者所选用的电子支付工具必须满足多个条件,如要有消费者账户所在的银行发行的电子支付工具,
12、有相应的支付系统和商家所在银行的支持,电子支付工具被商家所认可等。如果消费者的支付工具得不到商家的认可,或者说缺乏相应的系统支持,则电子支付仍无法实现。6.2.2 电子支付的工具20世纪70年代以来,支票和现金支付方式逐渐将主导地位让给银行卡,在这一转换过程中,支付过程的“现金流动”转变成“票据流动”。伴随着银行应用计算机网络技术的不断深入,银行已经能够利用计算机应用系统将上述“现金流动”、“票据流动”进一步转变成计算机中的“数据流动”。根据系统中使用的支付工具不同,可以将电子支付系统分为以下三大类:(1)银行卡电子支付工具,主要包括信用卡和借记卡;(2)电子现金支付工具,如Mondex、Ne
13、tCash等;(3)电子票据支付工具,如电子支票等。1.银行卡电子支付工具在所有传统支付方式中,银行卡(主要是信用卡和借记卡)最早适应了电子支付的形式。支付者可以使用申请了在线转账功能的银行卡转移小额资金到另外的银行账户中,完成支付。一般来说,在线转账功能需要到银行申请,并获得用于身份识别的证书及电子钱包软件(E-wallet)才能够使用。在线转账使用方便,付款人只需使用电子钱包软件登录其银行账户,输入汇入账号和金额后即可完成支付。而此后的事务由清算中心、付款人银行、收款人银行等各方通过金融网络系统来完成。银行卡电子支付的参与者包括付款人、收款人、认证中心,以及发卡行和收单行,其支付流程如图6
14、-5所示。图6-5 银行卡电子支付流程 收款人付款人清算网络收单行发卡行认证中心互联网(3)(1)(1)(2)(4)图6-5中数字序号含义如下:(1)付款人和发卡行申请认证,使得支付过程双方能够确认身份;(2)付款人通过电子钱包软件登录发卡行,并发出转账请求。转账请求包括汇入银行名称、汇入资金账号、支付金额等信息;(3)发卡行接受转账请求之后,通过清算网络与收单行进行资金清算;(4)收款人与收单行结算。2.电子现金支付工具所谓电子现金(E-cash),是一种以电子数据形式流通的、能被客户和商家普遍接受的、通过互联网购买商品或服务时可以使用的货币。电子现金是现实货币的电子化或数字模拟,它把现金数
15、值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。电子现金以数字信息形式存在,存储于电子现金发行者的服务器和用户计算机终端上,通过因特网流通。电子现金既具有现钞所拥有的基本特点,又由于和网络结合而具有互通性、多用途、快速简便等特点,已经在国内外的网上支付中广泛使用。随着电子商务的发展,电子现金将成为互联网支付的一种重要工具,特别是涉及个体的、小额网上消费的电子商务活动。电子现金支付模式中最基本的参与者有付款人、收款人、电子现金发行者三方。电子现金发行者可能直接就是银行等金融单位,也可能是公正的第三方机构,如果是公正第三方机构位,则架构中必须再加入银行进行实体现金的交换,电
16、子现金发行者可能也不只一个,如果有多个电子现金发行者,也可能发行各自的电子现金。如果需要这些电子现金能够通用,则电子现金发行者之间也必须承认其它电子现金发行者发行的电子现金,最后为了简化分账问题,可能还要成立清算中心。应用电子现金进行网络支付,需要在客户端安装专门的电子现金客户端软件,在商家服务器端安装电子现金服务器端软件,发行者需要安装对应的电子现金管理软件等。为了保证电子现金的安全性及可兑换性,发行银行还应该从认证中心申请数字证书以证实自己的身份,并利用非对称加密进行数字签名,具体流程如图6-6所示。图6-6 电子现金支付流程 付款人收单行付款行收款人认证中心发行者交易清算转账信息购买电子
17、现金(2)(4)(4)(1)(3)(4)(4)图6-6中的数字序号含义如下:(1)预备工作:付款人、收款人(商家)、发行者都要在认证中心申请数字证书,并安装专用软件。付款人从发行者处开设电子现金账号,并用其它电子支付方式存入一定数量的资金(例如使用银行转账或信用卡支付方式),利用客户端软件兑换一定数量的电子现金。接受电子现金付款的商家也在发行者处注册,并与收单行签约,用于兑换电子现金。(2)付款人与收款人达成购销协议,付款人验证收款人身份并确定对方能够接受相应的电子现金支付。(3)付款人将订单与电子现金一起发给收款人。这些信息使用收款人的公开密钥加密,收款人使用自己的私钥解密。(4)收款人收到
18、电子现金后,可以要求发行者兑换成实体现金。发行者通过银行转账的方式将实体资金转到收单行,收款人与收单行清算。3.电子票据支付工具在在线支付中,电子票据支付模拟传统纸质票据的使用方式,可说是传统票据支付在网络的延伸。下面以电子支票为例说明电子票据的支付流程。电子支票是一种借鉴纸张支票转移支付的优点,利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。这种电子支票的支付主要是通过专用网络及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输。用电子支票支付,事务处理费用较低,而且银行也能为参与电子商务的客户提供标准化的资金信息,故而可能是目前最有效率的支付手段之一。根据支票处理的
19、类型,电子支票可以分为两类:一类是借记支票(credit check),即债权人向银行发出支付指令,以向债务人收款的划拨;另一类是贷记支票(debit check),即债务人向银行发出支付指令,向债权人付款的划拨。电子借记支票的流转程序可分以下几个步骤(参见图6-7):(1)出票人和持票人达成购销协议并选择用电子支票支付。(2)出票人通过网络向持票人发出电子支票。(3)持票人将电子支票寄送持票人开户银行索付。(4)持票人开户银行通过票据清算中心将电子支票寄送出票人开户银行。(5)出票人开户银行通过票据清算中心将资金划转持票人开户银行。图6-7 电子借记支票流转程序 电子贷记支票的流传程序可分以
20、下几个步骤(参见图6-8):(1)出票人向出票人开户银行提示支票付款。(2)出票人开户银行通过票据清算中心与向收款人开户银行交换进账单并划转资金。(3)收款人开户银行向收款人划转资金。图6-8 电子贷记支票流转程序 电子支票支付遵循金融服务技术联盟(FSTC,Financial Services Technology Consortium)的BIP(Bank Internet Payment)标准(草案)。典型的电子支票系统有NetCheque(cheque.org)、NetBill(http:/)、E-check等。今后发展的方向将逐步过渡到在公共互联网络上进行传输。4.电子资金划拨(Ele
21、ctronic Fund Transfer)根据美国1978年电子资金划拨法,电子资金划拨是不以支票、期票或其他类似票据的凭证,而是通过电子终端、电话、电传设施、计算机、磁盘等命令、指示或委托金融机构向某个账户付款或从某个账户提款;或通过零售商店的电子销售、银行的自动提款机等电子设施进行的直接消费、存款或提款等。电子资金划拨根据发起人的不同,可以分为贷记划拨和借记划拨。贷记划拨(credit transfer)是由债务人发起的划拨,即债务人(支付人)向其开户银行发出支付命令,将其存放于该银行账户的资金,通过网络与电讯线路,划入债权人(收款人)开户银行的一系列转移过程。借记划拨(debit tr
22、ansfer)是由债权人发起的划拨,即债权人(收款人)命令开户银行将债务人(支付人)资金划拨到自己的账户。电子资金划拨系统根据服务对象的不同与支付金额的大小分为小额电子资金划拨系统(HEPS)与大额电子资金划拨系统(HVPS)。前者服务对象主要是广大消费者个人,特点是交易发生频繁、交易金额小且多样化;后者的服务对象包括货币、黄金、外汇、商品市场的经纪商与交易商,在金融市场从事交易活动的商业银行,以及从事国际贸易的工商企业,其特点是金额巨大,对支付时间性、准确性与安全性有特殊要求,在电子资金划拨中处于主要地位。截止2005年6月,中国人民银行大额支付系统完成在全国的推广运用,直接连接1500多家
23、金融机构,涉及6万多个银行分支机构;系统日均处理跨行支付业务45万多笔,金额达7000亿元,每笔业务不到1分钟即可到账。因特网条件下电子资金划拨系统的运作如图6-9所示。图6-9 电子资金划拨流程图 信用卡签字工作站商场声明电子支票付款人银行贷记账户收款人银行借记账户电子邮件自动清算所支票清算储值支票付款人汇款接受账户汇款发票收据ECP汇款支票签字证书证书支票签字证书证书背书证书证书“Card”电子邮件信用卡签字6.2.3 电子支付模式根据资金服务技术协会(Financial Services Technology Consortium,FSTC)的分类,电子支付,不论是使用智能卡、电子现金,
24、还是使用电子支票或电子资金划拨,支付活动基本上可以分为4种模式(参见图6-10)。图6-10 电子支付的4种模式(3)清算(2)存款付款人付款人银行收款人收款人银行(1)支付(4)电子资金划拨(5)通知(6)支付确认B付款人付款人银行收款人收款人银行(1)支付(4)通知(5)支付确认A(3)确认(2)请求支付(2)清算D付款人付款人银行收款人收款人银行(3)通知(4)支付确认C(1)支付(2)电子资金划拨付款人付款人银行收款人收款人银行(3)通知(4)支付确认(1)支付在图6-10中的A模式中,付款人在商店购买商品,使用电子支付工具支付款项;收款人将款项存入自己的开户银行;付款人开户银行与收款
25、人开户银行清算,并通知收款人;收款人开户银行将支付账单交给付款人。A模式是最一般的支付模式。在图6-10中的B模式中,付款人使用电子支付工具支付款项;收款人根据电子支付工具的信息向付款人开户银行请求支付;付款人开户银行通过电子资金划拨支付给收款人开户银行;收款人开户银行通知收款人;付款人开户银行将支付账单交给付款人。例如,支付电话费,消费者将有关电子支付的信息告诉电信局;电信局直接请求消费者的开户银行支付;消费者的开户银行将款项划拨给电信局的开户银行;电信局的开户银行通知电信局款项已到;消费者的开户银行将支付账单交给消费者。网上支付水电费也是这样一种模式。在图6-10中的C模式中,付款人使用电
26、子支付工具直接将款项支付给收款人开户银行;收款人根据电子支付工具的信息向付款人开户银行请求支付;付款人开户银行通过电子资金划拨支付给收款人开户银行;收款人开户银行通知收款人;付款人开户银行将支付账单交给付款人。例如,一个人驾驶汽车时违反了交通规则,警察开出罚款单;驾车人到临近的银行利用电子支付工具将款项划入警察局的开户银行;警察局的开户银行与驾车人的开户银行清算,警察局的开户银行通知警察款项已到;驾车人的开户银行将支付账单交给驾车人。在图6-10中的D模式中,付款人使用电子支付工具将款项存入自己的开户银行;付款人开户银行通过电子资金划拨支付给收款人开户银行;收款人开户银行通知收款人;付款人开户
27、银行将支付账单交给付款人。例如,贷款购房,付款人首先使用电子支付工具将款项存入自己的开户银行;付款人开户银行将款项划拨给房屋开发商的开户银行;房屋开发商的开户银行通知房屋开发商款项已到,付款人开户银行将支付账单交给付款人。6.3 国际上通行的两种电子支付安全协议国际上通行的两种电子支付安全协议6.3.1 SSL安全协议安全协议 1.SSL安全协议的基本概念SSL协议是一种保护网络通讯的工业标准,是基于公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL安全协议是最初由Netscape Communication公司设计开发的,又叫“安全套接层(S
28、ecure Sockets Layer)协议”,主要目的是提供因特网上的安全通信服务,提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。SSL安全协议主要提供三方面的服务:(1)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上;(2)加密数据以隐藏被传送的数据;(3)维护数据的完整性,确保数据在传输过程中不被改变。SSL在建立连接过程中采用公开密钥,在会话过程中使用专有密钥。在每个SSL会话(其中客户机和服务器都被证实身份)中,要求服务器完成一次使用服务器专用密钥
29、的操作和一次使用客户机公开密钥的操作。SSL提供数据加密、服务器认证、报文完整以及TCP/IP连接可选客户认证等,对计算机之间整个会话过程进行加密。采用SSL协议,可确保信息在传输过程中不被修改,实现数据的保密与完整,在因特网上广泛用于处理财务上敏感的信息。在信用卡交易方面,商家可以通过SSL在Web上实现对信用卡订单的加密,由于SSL适合各类主流浏览器及Web服务器,因此只要安装一个数字证书就可使SSL成为可能。SSL的缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可以此破译SSL的加密数据,破坏和盗窃Web信息。新的SSL协议被命名为TLS(Transport Lay
30、er Security),安全可靠性有所提高,但仍不能消除原有技术上的基本缺陷。2.SSL安全协议的运行步骤SSL运行步骤包括六步:(1)接通阶段。客户通过网络向服务商打招呼,服务商回应。(2)密码交换阶段。客户与服务商之间交换双方认可的密码。一般选用RSA密码1算法,也有的选用Diffie-Hellman和Fortezza-KEA密码算法。1 RSA是数据保密技术中使用的一种通用关键字密码方法,它是基于大数作因子分解的难度而建立的方法,由Rivest Shamir Adleman三个人所提出。(3)会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。(4)检验阶段。检验服务商取得的密码。(5
31、)客户认证阶段。验证客户的可信度。(6)结束阶段。客户与服务商之间相互交换结束的信息。当上述动作完成之后,客户和服务商间传送的资料就会被加密,等到另外一端收到资料后,再将加密后的资料解密。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。图6-11 SSL安全协议流程图 客户商家银行信息发货信息通知3.SSL安全协议的应用SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议,至今仍然有许多网上商店在使用。当然,在使用时,SSL协议根据邮购的原理进行了部分改进。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家再把商品寄给客户。这里,商
32、家是可以信赖的,所以,客户须先付款给商家。在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期作废的信用卡,因而希望银行给予认证。SSL安全协议正是在这种背景下应用于电子商务的。SSL协议运行的基点是商家对客户信息保密的承诺。如美国著名的亚马逊(Amazon)网上书店在它的购买说明中明确表示:“当你在亚马逊公司购书时,受到亚马逊公司安全购买保证保护,所以,你永远不用为你的信用卡安全担心”。1 但在上述流程中我们也可以注意到,SSL协议有利于商家而不利于客户。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。商家认证客户是必要的,但整个过程中缺少了客户对商
33、家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点完全暴露出来。SSL协议逐渐被新的SET协议所取代。6.3.2 SET安全协议安全协议 1.SET安全协议运行的目标SET协议要达到的目标主要有五个:(1)保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。(2)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的账户和密码信息。(3)解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认
34、证,同时还有消费者、在线商店与银行间的认证。(4)保证网上交易的实时性,使所有的支付过程都是在线的。(5)借鉴EDI贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以在不同的硬件和操作系统平台上运行。2.SET安全协议涉及的对象SET协议规范所涉及的对象有:(1)消费者,包括个人消费者和团体消费者,按照在线商店的要求填写订货单,通过由发卡银行发行的信用卡进行付款。(2)在线商店,提供商品或服务,具备相应电子货币使用的条件。(3)收单银行,通过支付网关处理消费者和在线商店之间的交易付款问题。(4)电子货币(如智能卡、电子现金、电子钱包等)发行公司,以及某些兼有
35、电子货币发行的银行。负责处理智能卡的审核和支付工作。(5)认证中心(CA)。负责对交易对方的身份确认,对厂商的信誉度和消费者的支付手段进行认证。SET协议规范的技术范围包括加密算法的应用(例如RSA和DES)、证书信息和对象格式、购买信息和对象格式、认可信息和对象格式、划账信息和对象格式、对话实体之间消息的传输协议。SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其重点是确保商家和消费者的身份和行为的认证和不可抵赖性,其理论基础是著名的非否认协议(Non-repudiation),其采用的
36、核心技术包括X.509电子证书标准与数字签字(Digital Signature)、报文摘要、数字信封、双重签名等技术。如使用数字证书对交易各方的合法性进行验证;使用数字签字技术确保数据完整性和不可否认;使用双重签字技术对SET交易过程中消费者的支付信息和订单信息分别签字,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和订货信息的安全性。SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高
37、的安全性和更少受欺诈的可能性。3.SET安全协议的工作原理 SET的工作原理如图6-12和图6-13所示。图6-12是一个形象性的示意图,图6-13是其工作流程图。图6-12 SET协议的工作原理示意图 SET/SSL电子商店/网上银行发卡银行SET/SSLSET/SSLSET/SSL(CA)消费者收单银行网关因特网银行网络认证中心物流公司图6-13 SET协议的工作流程图 消费者在线商店收单银行发卡银行认证中心支付网关协商订单确认审核确认认证认证认证审核批准根据SET协议的工作流程图,可将整个工作程序分为下面七个步骤:(1)消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上填写
38、定货单,订货单上需包括在线商店名称、购买物品名称及数量、交货时间及地点等相关信息。(2)通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。(3)消费者选择付款方式,确认订单,签发付款指令。此时SET开始介入。(4)在SET中,消费者必须对定单和付款指令进行数字签字。同时利用双重签名技术保证商家看不到消费者的账号信息。(5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,在线商店返回确认信息。(6)在线商店发送订单确认信息给消费者。消费者端软件可
39、记录交易日志,以备将来查询。(7)在线商店发送货物,或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。4.SET协议的缺陷从1996年4月SET协议1.0版面市以来,大量的现场实验和实施效果获得了业界的支持,促进了SET的发展。但它的推广应用仍然比较缓慢,主要原因是存在下面几个问题:(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。否则,在线商店提供的货物不符合质量标准,消费者提出疑义,将产生责任纠纷。(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是由签署证书的消费者发出的。(3)协议提供了多层次的安全保障,但显
40、著增加了复杂程度,因而费用增加、互操作性差,实施起来有一定难度。(4)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。5.SET协议的最新扩展SET存在的缺陷促使人们设法改进它。1999年以来,SET协议推广组织(SETC0)发布了多个扩展来增强SET协议的功能,加速SET协议在市场的应用。(1)商家初始授权扩展(The Merchant Initiated Authorization extension)。标准的SET协议的授权是从持卡人采用SET协议开始的。而商家初始授
41、权扩展允许一个商家为非SET的订购进行授权和请款(Capture Request)。这些订购是由持卡人采用非SET的传输方式完成的,如采用电话、传真、SSL等方式通知商家支付,由商家采用SET协议向银行发出授权请求。该扩展拓宽了SET协议的应用场合,实现了现有电子商务的支付方式向SET模式的平滑过渡。(2)在线个人识别号扩展(Online PIN extensions to SETTM 1.0)。个人识别号(Personal Identification Numbers,PIN)是用户为支付卡设定的个人密码。SET协议在线个人识别号扩展定义两种使用PIN的扩展方式。一是持卡人通过任何方式(包括
42、键盘)来输入PIN,二是通过安全设备输入PIN。在实际应用中,根据支付卡的政策决定使用方式。该扩展增强了支付卡的认证信息,为借记卡和IC卡采用SET协议提供了新的用户信息识别方式。(3)芯片卡扩展(Common Chip extension)。芯片卡(如IC卡)与磁卡相比,具有存储信息容量大、安全性能高、使用方便快捷等优点。SET1.0标准出台时没有考虑对芯片卡的支持。1999年9月,SETC0批准公布了Europe International、MasterCard International、Visa International提交的“Common Chip Extension SETTM
43、1.0”,支持芯片卡采用SET协议进行安全电子交易,并使SET具有处理芯片卡数据的通用扩展。6.4 网上银行网上银行(Internet Banking)网上银行具有以下特点:(1)功能丰富。网上银行可以打破传统银行的部门局限,综合客户的多种需求,提供多种类型的金融服务,如信用卡业务、储蓄业务、融资业务、投资业务、居家服务、理财服务、资讯服务等。(2)操作简单。客户使用网上银行的服务,只需到银行营业网点登记,填写有关表格,不需申领任何新的专用卡就可获得功能强大的银行服务。在使用中,网上银行以登录卡为主线,可为不同类型的账户申请不同功能,并可对各种账户的各项功能进行在线修改。(3)跨越时空。网上银
44、行可以提供跨区域和全天候的服务,即可以在任何时候、任何地点、以任何方式为客户提供金融服务,超越了传统银行受时间、地点、人员等多方面的限制。(4)信息共享。网上银行通过因特网,可以更广泛地收集和分析最新的金融资讯信息,并以快捷便利的方式传递给网上银行客户。由于网络资源的全球共享性,使银行与客户之间都能相互全面了解对方的信用及资产状况,从而大大减少了信用风险和道德风险,降低了传统银行业务的交易成本。网上银行的主要业务包括:(1)基础网上银行业务(Traditional banking online)。基础网上银行业务一般分为三类。一是信息服务,包括公共信息发布、各种利率发布、投资理财咨询、最新市场
45、行情等;二是客户交流服务,包括客户信箱服务、账户查询、贷款申请等;三是银行交易服务,包括转账业务、汇款业务、外汇买卖、住房按揭贷款等。(2)新兴网上银行业务(New banking due to IT)。这类业务是指银行利用因特网的特点和优势设计和开发的全新的银行服务产品。例如为各种电子商务提供的网上支付服务、代缴费用、移动电子支付、银证转账等。这类服务成为网上银行最具吸引力和体现特色的业务品种。(3)附属网上银行业务(Electronic activities incidental to the banking)。这类业务是指能够提供与银行业务相关的服务。例如,客户身份验证、交易双方资信认证
46、、客户网上银行系统建设服务、网上募捐、ATM(Automatic Teller Machine,自动取款机)网络与因特网的整合等。图6-14 网上银行的基本流程 银行用户个人访问企业访问企业(4)(1)(2)上传银行网上前置机个人储蓄系统信息处理信息处理(3)(5)对单位会计系统因特网金融网6.4.2 支付网关支付网关是银行金融系统和因特网之间的接口,是由银行操作的将因特网上的传输数据转换为金融机构内部数据的设备,或由指派的第三方处理商家支付信息和顾客的支付指令。支付网关是网上银行的关键设备,离开了支付网关,网上银行的电子支付功能就无从实现。银行使用支付网关可以实现以下功能:(1)配置和安装I
47、nternet网络支付能力;(2)避免对现有主机系统的修改;(3)采用直观的用户图形接口进行系统管理;(4)适应诸如扣账卡、电子支票、电子现金以及微电子支付等电子支付手段;(5)通过采用RSA公共密匙加密和SET协议,确保网络交易的安全性;(6)提供完整的商户支付处理功能,包括授权、数据捕获和结算、对账等;(7)通过对Internet网上交易的报告和跟踪,对网上活动进行监视;(8)使Internet网络的支付处理过程与当前支付处理商的业务模式相符,确保商户信息管理上的一致性。6.4.3 网上银行的监管随着网上银行业务品种的不断增加和业务量的快速上升,网上银行业务的经营风险也随之扩大。加强网上银
48、行业务的监管,进一步增强商业银行发展网上银行业务的风险控制能力,就成为银行监管机构的一项重要任务。由于网上银行业务的运行机制和环境与传统银行业务有很大区别,一些传统的监管规则和制度已经不适应网上银行监管的需要,制度建设就成为网上银行业务监管的首要任务。2001年6月,中国人民银行在总结中国商业银行网上银行业务实际发展情况的基础上,本着积极审慎发展原则、前瞻性原则和技术风险管理原则,制定颁布了网上银行业务管理暂行办法(以下简称办法),为中国网上银行业务的发展提供了基本的管理依据。办法包括总则、网上银行业务的市场准入、网上银行业务的风险管理、法律责任和附则共五章三十二条,阐明了网上银行业务的定义、
49、市场准入条件和程序、网上银行业务风险管理规则以及银行的法律责任,是中国第一部专门针对网上银行业务管理的行政法规。根据办法规定,人民银行对银行机构开办网上银行业务的市场准入,实行“一级监管”的原则,即各类银行机构首次开办网上银行业务,应由其总行向人民银行总行、分行或营业管理部申请。银行在获准开办网上银行业务后,如需要增加网上银行业务品种,应由其总行或主报告行向人民银行总行、分行或营业管理部申请。审查银行机构开办网上银行业务的申请,人民银行监管部门应从风险管理能力、安全性评估、网上银行业务运行应急和业务连续性计划、内部监控能力等四个方面重点掌握。网上银行业务申请机构应配备合格的管理人员和专业人员,
50、应建立识别、监测、控制和管理网上银行业务风险的方法与管理制度。网上银行业务运行应急和连续性计划至少应包括四个方面的内容,即系统的备份情况,包括软硬件的备份和数据的备份;对意外事故的处理;对非法侵入或攻击的处理;对业务运行应急计划和连续性计划的科学性和有效性进行定期测试的制度安排。网上银行董事会和高级管理层应确立网上银行业务发展战略和运行安全策略,应依据有关法律、法规制定和实施全面、综合、系统的业务管理规章,应对网上银行业务运行及存在的风险实施有效的管理。网上银行应制定并实施充分的物理安全措施,有效防范外部或内部非授权人员对关键设备的非法接触;应采用合适的加密技术和措施,以确认网上银行业务用户身
