一、电子商务与电子支付
随着计算机、网络、信息技术的发展和日益融合,Internet已进入我们社会生活的各个领域和各个环节,无论是机关、单位还是家庭、个人,都可以通过Internet获取资源,共享信息。全新的电子商务是在Internet的广阔联系与传统信息技术系统的丰富资源相互结合的背景下应运而生的一种相互关联的动态商务活动,这种基于Internet的电子商务给传统的交易方式带来了一场革命。通过在网上自由传输的一串串字节,基于广泛互联和完全开放式平台,Internet实现了低成本、高效率的经营模式,包括各种金融业务。
电子商务将参与商务活动的各方,商家、顾客、银行或金融机构、信息卡公司或证券公司和政府等利用计算机网络统一地处在电子商务的统一体中,全面实现网上在线交易过程电子化。电子商务包括两个基本环节,即:交易环节和支付结算环节,主要涉及的是企业及个人的对外交易部分,不可避免地要发生支付、结算和税务等对外的财务往来业务,势必要求企业与企业之间、企业与银行之间能够通过网络进行直接的转账、对账、代收费等业务往来,而支付结算业务绝大多数是由金融专用网络完成的。因此,离开了银行,便无法完成网上交易的支付,从而也谈不上真正的电子商务。电子商务的应用普及必须有金融电子化作保证,即通过良好的网上支付与结算手段提供高质高效的电子化金融服务。信息技术和网络为金融电子化创造了条件,电子银行、电子钱包、电子付款以及智能信用卡等已开始应用。但是,要真正发挥金融电子化对电子商务的保证作用,还需要建立完整的网络电子支付系统,提供验证、银行转账对账、电子证券、账务管理、交易处理、代缴代付、报表服务等全方位的金融服务和金融管理信息系统。
电子支付是指以商用电子化工具和各类电子货币为媒介,以计算机技术和通信技术为手段,通过电子数据存储和传递的形式在计算机网络系统上实现资金的流通和支付。由于运作模式的不同,各种支付系统在安全性、风险性和支付效率等方面有着不同的特点。
二、电子支付的协议模式与安全性
在电子商务中无论采用哪一种付款工具,都必须具备以下几个条件:安全性、处理成本低、且广为全球金融市场所接受,而安全性是第一位的。所以,保证支付工具的真实与识别该使用者的合法身份就是金融业在网络环境下实现电子支付所面临的问题。解决这一问题的关键是使用安全的电子支付模式,SSL和SET是目前实现安全电子支付的两种主要模式。
1、SSL支付模式
SSL(Security Sockets Layer)即安全套接层协议,主要用于提高应用程序之间的数据的安全系数,采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
SSL协议在运行过程中可分为六个阶段:
(1)建立连接阶段:客户通过网络向服务商打招呼,服务商回应;
(2)交换密码阶段:客户与服务商之间交换双方认可的密码;
(3)会谈密码阶段:客户与服务商之间产生彼此交谈的会谈密码;
(4)检验阶段:检验服务商取得的密码;
(5)客户认证阶段:验证客户的可信度;
(6)结束阶段:客户与服务商之间相互交换结束信息。
当上述动作完成之后,两者之间的资料传输就以对方公密进行加密后再传输,另一方收到资料后以私钥解密。即使盗窃者在网上取得加密的资料,如果没有解密密钥,也无法看到可读的资料。
在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。
在SSL协议中主要提供三方面的服务:(1)认证用户和服务器,使得他们能够确信数据将被发送到正确的客户和服务器上;(2)加密数据,以保证数据在传送过程中的安全,即使数据被窃,盗窃者没有解密密钥也得不到可读的资料;(3)维护数据的完整性,确保数据在传送过程中不被改变。
SSL协议的缺点:首先,客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证;其次,SSL只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。
2、SET支付模式
SET(Secure Electronic Transaction)即安全电子交易模式,是由Visa和MasterCard两大信用卡组织提出的以信用卡为基础的电子付款系统规范,用来确保在开放网络上持卡交易的安全性。SET规范使用了公开密钥体系对通信双方进行认证,利用DES、RC4或任何标准对称加密方法进行信息的加密传输,并利用Hash算法鉴别消息的真伪、有无篡改,以维护在任何开放网络上的个人金融资料的安全性。SET体系中还有一个关键的认证机构(CA),此机构根据X.509标准发布和管理证书。
SET协议规定发给每个持卡人一个数字证书。客户(持卡人)选中一个口令,用它对数字证书和私钥、信用卡号以及其他信息加密存储。这些与一个SET协议的软件一起组成了一个SET电子“钱夹”。
SET协议的工作流程如下:
(1)支付初始化请求和响应阶段 当客户决定要购买商家的商品并使用SET钱夹付钱时,商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱,SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息,使客户和商家相互确认,即客户确认商家被授权可以接受信用卡,同时商家也确认客户是一个合法的持卡人。
(2)支付请求阶段 客户发一报文,包括订单和支付命令。在订单和支付命令中必须有客户的数字签名,同时利用双重签名技术保证商家看不到客户的帐号信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。
(3)授权请求阶段 商家收到订单后,POS组织一个授权请求报文,其中包括客户的支付命令,发送给支付网关。支付网关是一个Internet服务器,是连接Internet和银行内部网络的接口。授权请求报文通过到达收单银行后,收单银行再到发卡银行确认。
(4)授权响应阶段 收单银行得到发卡银行的批准后,通过支付网关发给商家授权响应报文。
(5)支付响应阶段 商家发送购买响应报文给客户,客户记录交易日志备查。
在SET协议中,定义了五种实体:持卡人,拥有信用卡的消费者;商家,在Internet上提供商品或服务的商店;支付网关,由金融机构或第三方控制,它处理持卡人购买和商家支付的请求;收单行(Acquirer),负责将持卡人的帐户中资金转入商家帐户的金融机构;发卡行,负责向持卡人发放信用卡的金融机构。涉及SET交易的有持卡人、商家和支付网关三个实体。认证机构需分别向持卡人、商家和支付网关发出持卡人证书、商家证书和支付网关证书。三者在传输信息时,要加上发方的数字签字,并用接收方的公开密钥对信息加密。实现商家无法获得持卡人的信用卡信息,银行无法获得持卡人的购物信息,同时保证商家能收到货款的SET支付的目标。
SET协议在安全性方面主要解决五个问题:(1)保证信息在Internet上安全传输,防止数据被黑客或内部人员窃取;(2)保证电子商务参与者信息的相互隔离,客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的帐户和密码信息;(3)解决多方论证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证;(4)保证网上交易的实时性,使所有的支付过程都是在线的;(5)仿效EDI贸易的形式,规范协议和消息格式,促使不同厂家按照一定的规范开发软件,使其具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET协议的缺陷:自1996年4月SET协议面市以来,得到了IBM、HP、Microsoft、Netscape、VeriFone、GET、Verisign等许多大公司的支持,促进了SET的发展。但SET仍然存在一些问题:(1)只适用于客户安装了“电子钱夹”的场合;(2)使用成本高,在一个典型的SET交易过程中,整个交易过程可能需花费1.5分钟至2分钟;(3)协议复杂,SET证书虽也遵循X.509标准,但格式比较特殊。
SSL协议是国际上最早应用于电子商务的一种网络安全协议,在一些发达国家有许多网上商店至今仍然在使用。在美国几乎所有提供安全交易的在线网址都依靠网景公司的安全套接层(SSL)提供安全交易,SSL保护使用公用密钥编码方案传输的数据。在我国也有一些网上支付系统采用了SSL协议,例如上海长途电信局设计的网上支付系统。几乎无人否认,SSL在限制电子窃听方面很有效。但是SSL运行的基点是商家对客户信息保密的承诺,缺乏客户对商家的认证,在认证交易双方方面几乎无能为力。这是由于电子商务的开始阶段,参与电子商务的大都是一些大公司,信誉较高。随着参与电子商务的厂商迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点完全暴露出来。
相比之下,SET标准更适合于消费者、商家和银行三方进行网上交易的国际安全标准。网上银行采用SET,确保交易各方身份的合法性和交易的不可否认性,使商家只能得到消费者的订购信息而银行只能获得有关支付信息,确保了交易数据的安全、完整和可靠,从而为人们提供了一个快捷、方便、安全的网上购物环境。
三、支付工具
国际通行的电子支付工具和支付手段主要有电子信用卡、电子支票、电子现金、及网上银行等。
1、电子信用卡
信用卡支付是电子支付中最常用的工具,信用卡可以在商场、饭店、车站等许多场所使用。可采用刷卡记帐、POS结帐、ATM提取现金等方式进行支付。在电子商务中最简单的形式是让用户提前在某一公司登记一个信用卡号码和口令,当用户通过网络在该公司购物时,用户只需将口令传送到该公司,购物完成后,用户会收到一个确认的电子邮件,询问购买是否有效。若用户对电子邮件回答有效时,公司就会从用户的信用卡帐户上减去这笔交易的费用。现在更安全更先进的方法是在INTERNE