电子商务支付模式.docx

电子商务支付模式现有电子支付系统的探讨与改进1.1 三种电子支付模型第一种：基于SSL协议的支付模型安全套接字层协议(SecureSocketLayer , SSL)是网络安全协议的标准,最早是由 Netscape 公司提出的一种安全套接层协议，采用公开密钥技术，目的是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支持SSL使用多种密码技术和PKI数字证书技术来 保护信息传输的真实性、机密性和完整性，主要适用于点对点之间的信息传输SSL由两层协议组成：(1)握手协议：描述了协议的建立过程，在客户机和服务器之间进行相互的身份认证，并在传输数据之前，协商确定加密算法和会话密钥 (2) 记录协议：用于对不同的高层协议进行封装，定义了数据传输的格式遵从SSL协议的电子交易过程：客户选择服务，提交购物请求一商家回复客户的购买请求，客户端浏览器提示即将建立与银行端网络服务器的安全连接，经过身分认证后，SSL握手协议介入开始，双方建立起 安全通道一出现相对应银行的支付网页，显示从商家发来的相对应的 订单及支付金额信息，用户确认后支付支付成功后，用户确认离开安全SSL连接一银行在后台把相关资金转入商家账号-商家收到银行发来的付款成功消息后，发送收款确认信息给用户，支付过程结束。

目前国内大多数银行的网上银行业务都是基于SSL协议的例如招商银行的“一网通”网上支付业务就是基于SSL协议的典型代表第二种：基于SET协议支付模型SET(SecureElectronicTransaction) 协议是针对开放网络上安全、有效的银行卡交易，由 Visa 和 MasterCard 两大信用卡组织联合国际上多家科技机构共同研制，为 Internet 卡支付交易提供高层的安全和反欺诈保证SET协议实现信息在Internet上安全传输，不能被窃取或 篡改；实现持卡人购买订单和个人账号信息的隔离，使商家只能看到订货信息而金融机构只能看到账号信息；实现持卡人、商家、支付中心、支付网关等交易参与方身份的相互认证；软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容性和互操作能力，并且可以运行在不同的硬件和操作系统平台上遵从SET协议的电子交易过程：客户选择服务，提交购物请求一客户计算机自动激活电子钱包的客户端软件，用户取出里面的电子现金准备支付，SET协议开始介入；客户端软件自动与商家服务器软件进行 SET协议规定的信息交换与身份认证，然后自动提取信息连同订货单一 起发送给商家一商家收到信息并验证通过后回复客户，同时发出结算 请求，并将客户端信息一起发给支付网关一支付网关收到支付信息后， 转入后台银行网络处理，在收到银行端发来的确认信息后向商家回复支付成功一客户收到商家发来的购货确认与支付信息后，客户端软件 关闭，支付过程结束。

国内的网上银行支付系统基于SET协议的极少，中国银行是一家它的CA是中国银行认证中心（CCA）持卡人通过Internet由中国银行主 页中下载电子钱包软件后，通过Internet 获得中国银行认证中心批准的借记卡网上交易电子证书第三种：以支付工具为中介的支付模型国内除了上述两种支付方式外，还有种以网上支付工具为中介的支付流程，即第三方支付这种实时的支付方式实质上还是网上银行这种支付模式主要解决的不是信息流在网上传递的安全性问题，而主要解决的是，因付款和发货不同时进行而可能引起的争执作为支付工具的第三方当了一个临时存钱罐的功能第三方支付的交易过程：买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议，这时买方需把货款汇到第三方中介账户上中介立刻通知卖方钱己收到可以发货，待买方收到商品并确认无误后，中介才会把货款汇到卖方的账户，整个交易就完成了第三方支付的典型代表有贝宝公司的 PayPal 、阿里巴巴旗下的支付宝 等2.2SSL、 SET协议的不足SSL协议存有的问题：第一，客户的信息首先传递到商家，商家可以任意阅读，这样客户资料的隐私性就得不到保证第二， SSL只能保证 资料信息传递的安全，而传递过程是否被人截取无法保证。

第三， SSL 没有对应用层的消息进行数字签名，因此也无法保证不可否认性所以，SSL并没有实现电子支付所要求的保密性、完整性和不可否认性， 而且多方互相认证也很困难SET协议存有的问题：第一，SET协议使用的对称加密算法 DES随着 计算机处理速度和存储效率的提升，己经不是计算上安全的算法了第二，协议没有担保非拒绝服务，无法证明交易是否由签署证书的使用者发出协议签名的内容无法保障持卡者和商家，在协议最后收到的签名，是针对交易内容的认证第三，协议没有考虑交易个体的公平性，持卡人的信用卡信息经过商家转发，虽然是经过加密的，但无论如何也会留下痕迹，这是个很大的安全隐患第四，从实用性来讲，SET协议对商家系统的开发来说是个不小的负担，很多的小商户都会认 为成本太高，不甚划算并且，应用 SET协议需要在持卡人端安装电 子钱包，这也是个不太容易让普通持卡用户很快接受的地方还有，SET协议仅仅针对信用卡，对个人信任制度不成熟的我国现状来说，也 是一个制约因素2.3基于SET协议模型的改进替换密码算法：SET协议规定加密算法为DESffl上RSA而通过上文 分析DESffl密算法存缺陷，因此可选择用IDEA算法作为DES的代替算 法。

IDEA的密钥长度为128位，是目前公认比较安全的加密算法另 IDEA和DES®法同是对称加密算法，分组长度都是64位，使用IDEA对原有系统的影响不大增加支付中心：因为在SET协议中，商家除了要处理订购信息，还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关，虽然支付信息是经过加密的，但不免在商家处留下了痕迹，存有着安全隐患对照现实中商场中“柜台”与“收银台”相分离，对基于SET协议的电子支付系统进行改进，引入了支付中心这一概念，相当于电子的“收银台”这样，电子商户主要承担商品展示功能，在消费者下订单后，商户执行“开票”功能，而“支付”这个敏感，对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责消费者的支付信息不必先发送给商家再由商家来发送给支付网关，而是发送给大家都信任的第三方—支付中心这样，商家看不到持卡人的支付信息，银行也无法获得持卡人的购买信息，从而增强了信息流和资金流在网上实时传递的机密性和安全性3 结束语随着电子商务和金融电子化的日益成熟和持续发展，对网络支付的要求也更加严格虽然网络支付工具随着技术的变化层出不穷，但网络支付并不是非常成熟，只有增强电子支付的安全保障，建立起电子支付业的统一行业规范，完善电子支付的法律体系，才能使我国的电子商务和电子支付具有更强的生命力，在我国经济建设中发挥更大的作用。

电子商务（ElectronicCommerce ,简称EC）是利用现有的计算机硬件设 备、软件和网络基础设施，在通过一定的协议连接起来的电子网络环境下进行各种各样商务活动的方式电子商务的一个重要组成部分就是电子支付系统，所谓电子支付，指的是交易各方通过电子手段，比如说银行的电子存款系统和电子清算系统来记录和转移资金的方式是否具有支付功能是电子商务是否完整的一个重要标志，而支付的安全性又是整个支付过程乃至整个电子商务过程的核心问题电子KJ务支付模式。