第五章網上支付學習目的和要求了解各種網上支付工具的特點；理解網上支付系統的實現方法；掌握網上支付的工作過程和平安措施；主要內容銀行卡支付；電子支票；電子現金；網上支付工具的比較；

12/28/2023背景：隨著信息技術、Internet的高速開展，電子商務變得越來越炙手可熱，引起了流通領域的重大變革。在電子商務的實踐中，在線電子支付是電子商務的關鍵環節，也是電子商務得以順利開展的根底條件。沒有相應實時的電子支付手段相配合，電子商務就只能是沒有實際意義的“虛擬商務〞，只能是電子商情、電子合同，而無法實現真正的網上交易。12/28/2023在線電子支付是電子商務的核心，也是目前制約國內網絡應用開展的一個瓶頸。在電子商務活動中，主要的三個要素是信息流、資金流和物質流。當客戶完成在線選購商品后，必須支付相應的費用，然后由商家按時將貨物送達客戶手中，完成交易過程。因此，在線電子支付是電子商務開展的重心所在，是完成網上交易的關鍵步驟。12/28/2023網上支付，又可稱為在線電子支付、電子貨幣支付，從廣義上來說，是指交易雙方在網上發生的一種資金交換；它是以金融電子化網絡為根底，以商用電子化機具和各類交易卡為媒介，以電子計算機技術和通信技術為手段，以電子數據〔二進制數據〕形式存儲在銀行的計算機系統中，并通過計算機網絡系統以電子信息傳遞形式實現的流通和支付。在線電子支付多種多樣，主要有網上銀行卡支付、電子現金支付、電子錢包支付、電子支票支付等幾種形式。12/28/2023一、銀行卡支付〔一〕網上銀行支付問題銀行卡支付：1〕類別：借記卡、貸記卡2〕特點：不用現金3〕支付過程涉及消費者、商戶和銀行4〕支付過程：清算和結算5〕資金支付流程12/28/2023傳統的銀行卡支付是在銀行專用網絡上傳輸數據和交易信息，而基于銀行卡的支付轉移到因特網上進行，信息會在完全開放的網絡上傳輸，那么對支付的平安性提出了更高的要求。核心問題是：消費者、商家和銀行之間的支付信息的平安傳輸和身份認證12/28/2023〔二〕基于SSL的銀行卡支付系統1.SSL協議概述平安套接層協議SSL(SecureSocketLayer)

為Netscape所研發，用以保障在Internet上數據傳輸之平安，利用數據加密技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。此協議時在因特網根底上提供的一種保證機密性的平安協議。其始終保持對效勞器進行認證，還可以選擇對客戶進行認證。12/28/2023優勢：其與應用層協議獨立無關，應用層協議能夠透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信加密的協商以及效勞器的認證工作。在此之后，應用層協議所傳送的數據都會被加密，從而保證在因特網上通信的機密性。12/28/2023SSL是目前在電子商務中應用最廣泛的平安協議之一1〕應用范圍的普遍性，但凡構建TCP／IP協議上的客戶機效勞器模式需要進行平安通信時，都可以使用SSL協議。2〕SSL被大局部Web瀏覽器和Web效勞器所內置，比較容易被應用。

12/28/2023計算機數據通信原理〔TCP/IP協議〕TCP/IP中文名為傳輸控制協議/因特網互聯協議，又叫網絡通訊協議，這個協議是Internet最根本的協議、Internet國際互聯網絡的根底，簡單地說，就是由網絡層的IP協議和傳輸層的TCP協議組成的。TCP/IP是一個兩層的程序。高層為傳輸控制協議，它負責聚集信息或把文件拆分成更小的包。這些包通過網絡傳送到接收端的TCP層，接收端的TCP層把包復原為原始文件。12/28/2023低層是網際協議，它處理每個包的地址局部，使這些包正確的到達目的地。網絡上的網關計算機根據信息的地址來進行路由選擇。即使來自同一文件的分包路由也有可能不同，但最后會在目的地集合。TCP/IP使用客戶端/效勞器模式進行通信。TCP/IP通信是點對點的，意思是通信是網絡中的一臺主機與另一臺主機之間的。整體構架概述TCP/IP通訊協議采用了4層的層級結構，每一層都呼叫它的下一層所提供的網絡來完成自己的需求。12/28/2023應用層：應用程序間溝通的層，如簡單電子郵件傳輸〔SMTP〕、文件傳輸協議〔FTP〕、網絡遠程訪問協議〔Telnet〕等。傳輸層：在此層中，它提供了節點間的數據傳送，應用程序之間的通信效勞，主要功能是數據格式化、數據確認和喪失重傳等。如傳輸控制協議〔TCP〕、用戶數據報協議〔UDP〕等，TCP和UDP給數據包參加傳輸數據并把它傳輸到下一層中，這一層負責傳送數據，并且確定數據已被送達并接收?；ミB網絡層：負責提供根本的數據封包傳送功能，讓每一塊數據包都能夠到達目的主機〔但不檢查是否被正確接收〕，如網際協議〔IP〕。網絡接口層〔主機-網絡層〕：接收IP數據報并進行傳輸，從網絡上接收物理幀，抽取IP數據報轉交給下一層，對實際的網絡媒體的管理，定義如何使用實際網絡〔如Ethernet、SerialLine等〕來傳送數據。12/28/20232.SSL協議的功能SSL協議提供的效勞主要有：1〕認證用戶和效勞器，確保數據發送到正確的客戶機和效勞器；2〕加密數據以防止數據中途被竊取；3〕維護數據的完整性，確保數據在傳輸過程中不被改變。12/28/2023根本功能：SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供平安支持。運行時，支持SSL協議的效勞器可以向一個支持SSL協議的客戶機認證它自己，客戶機也可以向效勞器認證它自己，還允許這兩個機器間建立加密連接。1〕SSL效勞器認證：允許客戶機確認效勞器身份，支持SSL協議的客戶機軟件能使用公鑰密碼技術檢查效勞器證書、是否由在客戶信任的認證機構CA列表內的認證機構發放。12/28/20232〕確認用戶身份：使用同樣的技術，支持SSL協議的效勞器軟件能檢查客戶證書、是否由在效勞器信任的認證機構列表內的認證機構發放。3〕保證用戶傳輸的機密性和完整性：SSL要求客戶機與效勞器之間的信息由發送方加密由接受方解密；所有數據都會被一種檢測修改的機制所保護，保證數據完整性。

12/28/20233.SSL體系結構SSL協議位于TCP/IP協議模型的網絡層和應用層之間,使用TCP來提供一種可靠的端到端的平安效勞,它是客戶/效勞器應用之間的通信不被攻擊竊聽,并且始終對效勞器進行認證,還可以選擇對客戶進行認證。SSL協議在應用層通信之前就已經完成加密算法、通信密鑰的協商以及效勞器認證工作,在此之后,應用層協議所傳送的數據都被加密。12/28/2023SSL實際上是共同工作的兩層協議組成。從體系結構圖可以看出SSL平安協議實際是SSL握手協議、SSL修改密文協議、SSL警告協議和SSL記錄協議組成的一個協議族。12/28/2023其中最重要的兩個SSL子協議是記錄協議和握手協議。SSL記錄協議為SSL連接提供了兩種效勞:一是機密性，二是消息完整性。記錄協議定義了要傳輸數據的格式，從高層SSL子協議收到數據后，對它們進行封裝、壓縮、認證和加密。從而保證數據的機密性和完整性。12/28/2023SSL握手協議被SSL記錄協議所封裝。該協議允許效勞器與客戶機在應用程序傳輸和接收數據之前相互認證、協商加密和密鑰。SSL握手協議可以使得效勞器和客戶能夠相互鑒別對方，協商具體的加密算法和MAC算法以及保密密鑰，用來保護在SSL記錄中發送的數據。SSL握手協議允許通信實體在交換應用數據之前協商密鑰的算法、加密密鑰和對客戶端進行認證〔可選〕的協議，為下一步記錄協議要使用的密鑰信息進行協商，使客戶端和效勞器建立并保持平安通信的狀態信息。12/28/2023SSL握手協議是在任何應用程序數據傳輸之前使用的。SSL握手協議包含四個階段：第一個階段建立平安能力；第二個階段效勞器鑒別和密鑰交換；第三個階段客戶鑒別和密鑰交換；第四個階段完成握手協議。12/28/2023SSL協議的工作流程：效勞器認證階段：1〕客戶端向效勞器發送一個開始信息“Hello〞以便開始一個新的會話連接；2〕效勞器根據客戶的信息確定是否需要生成新的主密鑰，如需要那么效勞器在響應客戶的“Hello〞信息時將包含生成主密鑰所需的信息；3〕客戶根據收到的效勞器響應信息，產生一個主密鑰，并用效勞器的公開密鑰加密后傳給效勞器；12/28/20234〕效勞器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證效勞器。5〕用戶認證階段：在此之前，效勞器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的效勞器發送一個提問給客戶，客戶那么返回〔數字〕簽名后的提問和其公開密鑰，從而向效勞器提供認證。

12/28/20234.基于SSL的銀行卡支付過程基于SSL的銀行卡支付系統使用SSL協議，RSA加密算法、數字簽名和防火墻等保證交易的平安。系統的參與者有持卡人、商戶、支付網關和發卡銀行。基于SSL的銀行卡支付流程如下：①持卡人登錄商品發布站點，驗證商戶身份②持卡人決定購置，向商戶發出購置請求；③商戶返回同意支付等信息；12/28/2023④持卡人驗證支付網關的身份，填寫支付信息，將訂購信息和支付信息通過SSL傳給商戶,但支付信息被支付網關的公開密鑰加密過，對商戶來說是不可讀的；⑤商戶用支付網關的公開密鑰加密支付信息等，傳給支付網關，要求支付；⑥支付網關解密商戶傳來的信息，通過傳統的銀行網絡到發卡行驗證持卡人的支付信息是否有效，并即時劃賬；12/28/2023⑦支付網關用它的私有密鑰加密結果，把結果返回商戶；⑧商戶用支付網關的公開密鑰解密后返回信息給持卡人，送貨，交易結束。SSL協議存在的問題從SSL協議所提供的效勞及其工作流程可以看出，SSL協議運行的根底是商家對消費者信息保密的承諾，這就有利于商家而不利于消費者。在電子商務初級階段，由于運作電子商務的企業大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。12/28/2023但隨著電子商務的開展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web效勞器雙方的身份驗證，但是SSL協議仍存在一些問題，比方，只能提供交易中客戶與效勞器間的雙方認證，在涉及多方的電子交易中，SSL協議并不能協調各方間的平安傳輸和信任關系。12/28/2023要想電子商務得以成功的廣泛開展，必須在SSL根底上采用更先進的基于PKI體系結構的銀行卡支付系統，克服SSL僅為通信雙方提供平安通道而沒有解決持卡人的身份認證和交易的不可抵賴等問題。在這種情況下，Visa和MasterCard兩大信用卡公組織制定了SET協議，為網上信用卡支付提供了全球性的標準。

12/28/2023(三)基于SET的銀行卡支付系統1.SET協議概述背景：電子商務在提供機遇和便利的同時，也面臨著一個最大的挑戰，即交易的平安問題。在網上購物的環境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用；商家那么希望客戶的定單不可抵賴，并且，在交易過程中，交易各方都希望驗明其他方的身份，以防止被欺騙。針對這種情況，由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構，共同制定了應用于Internet上的以銀行卡為根底進行在線交易的平安標準，這就是"平安電子交易"〔SecureElectronicTransaction，簡稱SET〕。它采用公鑰密碼體制和X.509數字證書標準，主要應用于保障網上購物信息的平安性。12/28/2023概述：SET是一種應用于因特網環境下，以信用卡為根底的平安電子支付協議，它給出了電子交易的過程標準。通過SET協議可以實現電子商務交易中的加密，認證機制，密鑰管理機制等，保證在開放網絡上使用信用卡進行在線購物的平安。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的平安性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為了目前公認的信用卡/借記卡的網上交易的國際平安標準。12/28/2023SET協議中采用的數據加密模型12/28/2023該模型具有以下特點：1〕交易參與者的身份鑒別采用數字證書的方式來完成，數字證書的格式一般采用X．509國際標準。2〕交易的不可否認性用數字簽名的方式來實現。由于數字簽名是由發送方的私鑰產生，而發送方的私鑰只有他本人知道，所以發送方便不能對其發送過的交易數據進行抵賴。3〕用報文摘要算法來保證數據的完整性。4〕由于非對稱加密算法的運算速度慢，所以要和對稱加密算法聯合使用，用對稱加密算法來加密數據，用數字信封來交換對稱密鑰。12/28/2023SET協議的平安性SET協議采用了對稱密鑰和非對稱密鑰體制，把對稱密鑰體制的快速、低本錢和非對稱密鑰的有效性結合在一起，以保護在開發網絡上傳輸的個人信息，保證交易信息的隱蔽性，其重點是如何確保商戶和消費者的身份和行為的認證和不可抵賴性，其理論根底是非否認協議，采用的核心技術包括X.509電子證書標準與數字簽名技術、報文摘要、數字信封、雙重簽名等技術。SET交易過程十分復雜性，在完成一次SET協議交易過程中，需驗證電子證書9次，驗證數字簽名6次，傳遞證書7次，進行簽名5次，4次對稱加密和非對稱加密。12/28/2023保證網上交易平安SET協議使用數字證書對交易各方的合法性進行驗證；數宇簽名確保數據完整性和不可否認；雙重簽名對SET交易過程中的支付信息和定單信息分別簽名，商家看不到支付信息，只能對訂單信息解密，金融機構對支付和賬戶信息解密，看不到交易內容，保證消費者的賬戶和訂購信息的平安性。SET制定標準和各種技術手段，解決了電子商務開展的平安問題，包括購物欲支付信息的保密性、交易支付完整性、身份認證和不可抵賴性，在電子交易環節上提供了更大的信任度和更少受欺詐的可能性。12/28/2023SET協議存在的缺陷和文檔組成SET協議存在的缺陷昂貴、互操作性差和難以實施，它提供了多層次的平安保障，復雜程度顯著增加；SSL協議的廣泛應用SET支付方式只適用與卡支付，對其他支付方式有所限制，其用以支持B2C類型的電子商務模式，而不支持B2B類型的模式。銀行的支付業務不僅是卡支付業務，所以在銀行支付業務應用過程中有一定的限制。12/28/2023SSL協議的文檔組成商業描述：提供SET處理的總述；程序員指導：介紹SET數據區、消息及處理流程；正式的協議定義：提供SET消息和數據區的嚴格描述下載地址：://12/28/20232.SET協議的數據交換過程12/28/2023SET協議的工作流程

(1)支付初始化請求和響應階段。當客戶決定要購置商家的商品并使用電子錢包支付時，商家效勞器上POS軟件發報文給客戶的瀏覽器電子錢包，電子錢包要求客戶輸入口令然后與商家效勞器交換“握手〞信息，使客戶和商家相互確認，即客戶確認商家被授權可以接受信用卡，同時商家也確認客戶是一個合法的持卡人。(2)支付請求階段?？蛻舭l出一個報文，包括訂單和支付命令。在訂單和支付命令中必須有客戶的數字簽名，同時利用雙重簽名技術保證商家看不到客戶的賬號信息。而位于商家開戶行的被稱為支付網關的另外一個效勞器可以處理支付命令中的信息。12/28/2023(3)授權請求階段。商家收到訂單后，POS組織一個授權請求報文，其中包括客戶的支付命令，發送給支付網關。支付網關是一個Internet效勞器，是連接Internet和銀行內部網絡的接口。授權請求報文通過支付網關到達收單銀行后，收單銀行再到發卡銀行確認。(4)授權響應階段。收單銀行得到發卡銀行的批準后，通過支付網關發給商家授權響應報文。(5)支付響應階段。商家發送購置響應報文給客戶，記錄客戶交易日志，以備查詢。之后進行發貨或提供效勞，并通知收單銀行將錢從消費者的賬號轉移到商店賬號，或通知發卡銀行請求支付。12/28/2023SET交易參與方：12/28/2023上圖的系統架構圖中我們可以看到五種角色，分別是持卡人、特約商場、收單銀行、發卡銀行及認證中心，系統的構成份子包含了所有參與交易的個體，以及驗證交易個體身份的單位。對于電子交易進行的順利及平安，這幾個角色是缺一不可。根本上這五個角色都參加此系統中，并遵循SET的標準。為使網際網路上的交易兼具平安與方便性，對所有網際網路交易的對象必須標準其作業方式及流程。持卡人：即消費者，他們通過web瀏覽器或客戶端軟件購物12/28/2023商戶：提供在線商店或效勞給消費者；支付網關：是由受款銀行或指定的第三方操縱的設備，它處理商家的支付信息，同時也包括來自消費者的支付指令收單行：它為商家建立帳戶，并且處理支付卡的認證和支付事宜發卡行：它是一金融機構，為持卡人開帳戶，并且發放支付卡認證中心：不參與SET的支付流程，它給各參與方頒發證書，各參與方可以通過查看對方的證書，來確定對方是否準確而不是冒充的。12/28/20233.SET購物流程SET購物流程與傳統的銀行卡購物流程十分接近，通常包括幾個步驟：①持卡人使用瀏覽器在商戶的WEB主頁上查看在線商品目錄瀏覽商品。②持卡人選擇要購置的商品。③持卡人填寫相應的訂單，包括商品名稱、單價列表等。訂單可以從商戶效勞器以電子形式發放，也可以通過電子購物軟件在持卡人自己的機器上創立。④持卡人選擇付款方式。中選擇SET方式進行付款時，SET開始起作用。12/28/2023⑤持卡人發送給商戶一個完整的訂單及要求付款的指令。在SET中，訂定單和付款指令由持卡人進行數字簽名。同時利用雙重簽名技術保證商戶看不到持卡人的賬號信息。⑥商戶收到訂單后，向持卡人所在銀行發出支付請求。支付信息通過支付網關到收單銀行，再到發卡銀行。支付請求獲得發卡銀行的支付授權后，返回授權指令給商戶。⑦商戶將訂單確認信息通知持卡人，同時商戶開始給顧客裝運貨物，或完成訂購的效勞。⑧持卡人終端軟件記錄交易日志，以備將來查詢。12/28/2023SETB2C模式網上購物系統〔SET購物流程〕持卡人商戶收單銀行認證中心支付網關發卡銀行協商訂單確認審核確認審核批準認證認證認證12/28/20234.SET支付消息通過SET購物流程可以知道，SET的交易流程是非常復雜的，那么SET協議如何來執行交易流程的。需要進一步理解SET協議的支付消息。完整的一筆交易通常包括四對SET支付消息：支付發起請求/支付發起應答、購置請求/購置應答、授權請求/侵權應答、支付請求/支付應答12/28/2023

四對支付消息的功能

①支付發起請求/支付發起應答:將支付發起消息傳送給商戶，說明持卡人已準備為其所選定的物品進行支付。支付發起請求／支付發起應答主要完成一些初始化工作。②購置請求/購置應答：這一對消息是持卡人和商戶之間真正支付時所使用的消息對，持卡人向商戶發送兩個要素：訂單信息和支付指令，商戶收到購置請求后，向支付網關請求授權，得到應答后，向持卡人發購置應答。12/28/2023③授權請求/授權應答。授權過程允許商戶驗證持卡人具有該筆購置的信用，并為該筆交易從持卡人銀行卡上獲取收款的許可。④支付請求/支付應答，通過收單銀行將支付請求發給發卡銀行，發卡銀行收到支付請求后，才真正將貨款從持卡人的賬戶中扣除，然后，向收單銀行發出支付應答。

12/28/2023SET協議的缺陷在于：SET要求在銀行網絡、商戶效勞器、顧客的PC上安裝相應的軟件。這給顧客、商家和銀行增加了許多附加的費用，成了SET被廣泛接受的阻礙。另外，SET還要求必須向各方發放證書，這也成為阻礙之一。所以這些使得使用SET要比使用SSL昂貴很多。SET的優點在于：平安性高，保證了交易雙方的平安交易和信息隱私；它還可以用在系統的一局部或者全部，即如商戶可以考慮在銀行連接中使用SET，而與顧客連接時仍使用SSL,這種方案既回避了在顧客機器上安裝電子錢包軟件，同時又獲得了SET提供的很多有點。12/28/20235、SET交易流程與傳統銀行卡交易流程比較SET系統保持了傳統銀行卡交易的根本流程，只是將交易過程搬到了公開的網絡—因特網上，并且加上了一層基于數字證書的平安加密和數字認證系統，以保證交易的平安性。其在平安方面考慮的很周密，提供了各個環節的協議，為電子商務平安交易提供了一個重要的保障機制，但它局限于使用信用卡方式的支付手段。12/28/20236、SSL與SET的區別主要表現在以下幾個方面：〔1〕用戶接口：SSL協議已被瀏覽器和Web效