电子商务网上支付介绍湖南农业大学东方科技学院电子商务2班黄海希一、概述电子商务是指贸易活动各环节的电子化,它覆盖了与商务活动有关的所有方面。
如网上购物、网上订票、网上交费、网上招标等。
电子商务给传统的贸易方式带来了巨大的冲击,它突出的标志就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。
可以扩大销路、沟通企业与企业之间的疏通渠道,为客户提供不间断的产品信息查询和定单处理等服务。
这一切都增强了企业的竞争力。
电子商务极大地改变了商务模式,带动了经济结构的变革,被国际上认为是"未来四分之一世纪世界经济发展的一个重要推动力,甚至可以与200年前工业革命对经济发展的促进相比"。
1、电子商务支付系统的概念电子商务支付系统是电子商务系统的重要组成部分,它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务,即把新型支付手段(包括电子现金(E-CA-SH)、信用卡(CREDIT CARD)、借记卡(DEBIT CARD)、智能卡等)的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支付。
2、电子王五支付系统发展历史电子商务于90年代初兴起于美国、加拿大等国,但在近几年电子支付才被人们普遍接受。
各厂商如IBM、惠普、微软、SUN等纷纷推出自己的电子商务产品和各自的解决方案。
随着电子商务的发展,各种法规也随之健全,德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。
1996年下半年,美国财政部颁布有关《全球电子商务选择税收政策》白皮书;联合国国际贸易法委员会(UNCITRAL)已经完成模型电子商务法的制定工作,为电子交易制订出统一通用的规则。
另外,两大国际信用卡组织VISA和MasterCard合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。
SET是专为网上支付卡业务安全所制定的的标准。
这几年来,我国的北京、上海、广州等信息产业发展较快的城市的信息产业部门开始了电子商务相关的研究,并在1998开通了自己的电子商务系统,其他省市也纷纷开始建立电子商务系统。
但是,各大城市都处于实验探索阶段。
二、电子商务支付系统的安全性电子商务支付系统的安全要求包括:保密性、认证、数据完整性、交互操作性等。
目前,国内外使用的保障电子商务支付系统安全的协议包括:SSL(Secure Socket Lay-er,安全套按字层)、SET(Secure Electronic Transaction)等协议标准。
1、SSL协议安全套接层方法(Secure Socket Layer, SSL)协议在网络上普遍使用,能保证双方通信时数据的完整性、保密性和互操作性,在安全要求不太高时可用。
它包括:(1)握手协议。
即在传送信息之前,先发送握手信息以相互确认对方的身份。
确认身份后,双方共同持有一个共享密钥。
(2)消息加密协议。
即双方握手后,用对方证书(RSA公钥)加密一随机密钥,再用随机密钥加密双方的信息流,实现保密性。
由于他被IE,NESCAPE等浏览器所内置,实现起来非常方便。
目前的B-C网上支付大多采用这种办法。
利用招商银行提供的网上支付接口可以很方便的实现基于此协议的网上支付。
SSL使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家。
它等价于使用一个安全电话连接将用户的信用卡通过电话读给商家。
虽然SSL握手协议可以用于双方互相确认身份,但实际上基本只使用客户认证服务器身份,即单方面认证。
这一协议不能防止心术不正的商家的欺诈,因为该商家掌握了客户的信用卡号。
商家欺诈是SSL协议所面临的最严重的问题之一。
另外由于加密算法受到美国加密出口的限制,浏览器和Web Server都存在所谓的"512/40"的问题。
既DES对称加密为40位,RSA加密为512位。
加密强度偏低使B-C的SSL协议难于推广到有更高要求的B-B领域。
2、安全电子交易协议SETSET是实现在开放的网络(Internet或公众多媒体网)上使用付款卡(信用卡、借记卡和取款卡等)支付的安全事务处理协议。
它的实现不需要对现有的银行支付网络进行大改造。
该协议的1.0版本于1997年5月31日发布。
SET规定了电子商务支付系统各方购买和支付消息传送的流程。
附图为SET协议结构流程图。
可见,电子商务支付系统的交易三方为:持卡人、商家和支付网关。
交易流程为:(1)持卡人决定购买,向商家发出购买请求;(2)商家返回同意支付等信息;(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;(6)商家返回信息给持卡人,送货;(7)商家定期向支付网关发送要求支付信息,支付网关通知卡行划帐,并把结果返回商家,交易结束。
安全电子交易使用的安全技术包括:加密(公开密钥加密、秘密密钥加密)、数字信封、数字签名、双重数字签名、认证等。
它通过加密保证了数据的安全性,通过数字签名保证交易各方的身份认证和数据的完整性,通过使用明确的交互协议和消息格式保证了互操作性。
由于它实现起来比较复杂,每次交易都需要经过多次加密、HASH及数字签名,并且须在客户端安装专门的交易软件。
因此现在使用该协议的电子支付系统并不多。
目前中国银行的网上银行中的支付方式是基于SET。
三、我国的电子商务支付系统1、我国发展电子商务支付系统的现有条件法律方面:目前我国还没有有关电子商务的法规。
数字签名的有效性也没有得到法律的认可。
这对电子商务的发展很不利。
我国有关部门正在考虑制订有关电子商务的规范和制度。
金融业方面:用卡付款代替传统的现金付款已越来越被人们所接受,但目前还只有少数银行推出了网上银行业务。
随着银行间竞争的加剧,各商业银行都把目光投向了网络银行。
可以预计一两年内绝大部分的银行都可实现网上支付。
对于支付网关建设,目前各家商业银行也已达成了一定的共识。
支付网关作为金融专用网和公用网之间的安全接口,有的为商业银行自己建设,也有的为由多家商业银行联合共建。
市场方面:出于电子商务潜在的巨大利润,商家盼望电子商务早日实现。
顾客的要求:电子支付为用户提供了很大的方便,得到了用户的欢迎。
但由于电子支付要用户承担一定的风险,故要顾客普遍接受电子支付还需时日。
2、支付系统体系结构选择目前,电子商务支付系统体系结构有两种:SET结构和非SET结构。
非SET结构的电子商务支付系统指使用除SET协议外的其他协议的电子支付系统。
电子商务使用的支付手段可以有E-CASH、E-CHECK、智能卡、商家或别的机构发行的购物卡、银行卡等。
鉴于中国国情,现阶段大多使用非SET协议结构,使用商家或商家授权的银行机构发行的购物卡,银行卡来支付。
3、银行卡非SET电子商务支付系统(SSL)此类型是国内网上支付普遍采用的网上支付方法。
该系统使用SSL协议,RSA加密算法、数字签名和防火墙等保证交易的安全,支付时使用的是银行发行的储值卡(借记卡)、信用卡。
该方式风险较高,只要银行肯参与,该系统是可行的。
该系统的主体有持卡人、商家、支付网关和发卡银行。
流程为:(1)持卡人登录商品发布站点,验证商家身份;(2)持卡人决定购买,向商家发出购买请求;(3)商家返回同意支付等信息;(4)持卡人验证支付网关的身份,填写支付信息,将定购信息和支付信息通过SSL 传给商家,但支付信息被支付网关的公开密钥加密过,对商家来说是不可读的。
(5)商家用支付网关的公开密钥加密支付信息等,传给支付网关,要求支付;(6)支付网关解密商家传来的信息,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并即时划帐;(7)支付网关用它的私有密钥加密结果,把结果返回商家;(8)商家用支付网关的公开密钥解密后返回信息给持卡人,送货,交易结束。
该支付系统有如下特点:(1)有银行的参与,支付网关必须得到银行的授权;(2)商家及支付网关使用证书,支付网关为自签名的Root CA;(3)持卡者支付时使用的微型电子钱包是一个APPLET应用程序,放在支付网关的服务器上,并经过支付网关的签名认证;(4)商家与持卡者通信用SSL协议,商家与支付网关通信使用RSA加密;(5)持卡者必须与支付网关签约,成为其会员;(6)支付网关与发卡行的通信可通过POS机拨号上银行的前置机(业务量不大时用),或走专线,用ISO8583等协议上银行的前置机。
4、银行直接参与的非SET电子商务支付系统(类SSL)该系统支付信息不经商家,直接到银行站点支付,即银行直接接收处理用户的支付信息。
该系统风险较小。
该系统的主体有持卡者、商家和发卡银行。
支付流程为:(1)持卡者登录商品发布站点;(2)持卡者决定购买,向商家发出购买请求,并跳转到发卡行支付站点;(3)持卡者验证发卡行支付站点身份,通过SSL向发卡行传送支付信息;(4)银行处理用户的支付信息,划帐;(5)商家定期到发卡行站点查询成交商品,送货,交易完成。
该支付系统有如下特点:(1)银行亲自建立支付站点,成为支付系统的主体;(2)支付信息不经商家;(3)使用SSL协议保证交易的安全。
四、总结现阶段要在中国实现电子商务的网上实时安全支付,有以下难点。
(1)没有有关电子商务的法规。
(2)没有一个统一的,易于实现与各商业银行互联的支付网关。
(3)关键技术如加密技术难于保证为用户提供安全的电子支付。
(4)各商业银行在网上支付的认识上存在差异,有的银行可能不会在网上支付系统的建设上给予必要的配合。
各商业银行推出的网上支付方案各不相同,如以上介绍的银行卡非SET电子商务支付系统、银行直接参与的非SET电子商务支付系统和SET安全电子商务系统方案,都有银行使用,必将造成开发上的重复浪费。