网上支付与结算资料

网上支付与结算问题一、支付的安全问题支付安全在分析讨论上，存在三个层次，一个是技术实施保障的安全性，一个是管理制度内部健全保障的安全性，一个是法律的社会保障的安全性。只有这三个问题解决了支付的安全性问题才能彻底解决。（1） 技术安全保障在网上支付的技术涉及：认证体系、数字签名、数字证书问题，而这中间目前涉及的技术主要有：加密解密的技术、数字水印技术、图像、声音识别技术、有线、无线和网络通讯传输技术、大型计算机信息存贮的数据库和数据挖掘的软件应用技术，以及硬件安全设备的制造技术等等……从电子商务的推广应用的角度讲，目前技术保障的安全性不存在任何问题，只是使用何种技术的经济效益的可行性问题：即技术上安全，经济上可行，能实施和推进的问题在电子商务的应用上更为突出。从技术实施的层面上，主要是在应用的开发上，要注重经济、实用、可行和实时几个指标。要有用技术来解决支付过程中，人们在使用他时既感到安全、又感到便捷、又能对他逐渐建立信用感的需求问题，进而达到通过技术来解决使用支付工具的信用建立问题。所以在应用技术的研究和使用上，要注重实效性。不仅要有整体解决的理论高度的思维，更要重视能实际推广的具体使用技术。要小题大做，找好切入点，注意市场推广的可能性和实际的效用性。在支付工具的实用性研究技术的应用上，例如，银行卡的具体身份识别技术的研究，采用图像或声音的识别技术，可解决用卡支付的真实身份的确认问题。这个问题从技术上看来并不复杂，但在应用上对银行有重要的使用前景，全国发行的卡有几亿张之多，卡支付的资金安全问题，具有庞大的市场前景和需求，卡支付的真实身份的确认问题解决，就解决了困扰我们的在网上以卡为主要支付工具的信用大问题。1） 以法规带法律建设；在一些法律地位还不明确的地方，为慎重起见，先制定相应的法规，成熟时再制定相应的法律；2） 以地方法规建设为先导，促进地方相应法律的建设；条件成熟和发达的地区，可先行试点，制定地方的法规，然后再逐步地方立法，求得实施中的经验；3） 建立重要的行业和部门的法规，以加快电子商务的法律地位保障；例如：有关网上支付安全和电子媒介方面的部门性的全国法规可以先行颁布执行；4） 数字签名和认证的法律地位保障应尽快颁布实施，以扫出电子商务具体实施发展中的障碍；5） 尽快建立电子商务仲裁和小额经济损失的赔偿机制，以利于全社会层面上的电子商务支付的发展。只要政府支持、引导、社会重视、人们参与、法律保证，处在同一起点上的中国电子商务的发展也一定会走出自己的特色。网上支付安全的概述网上支付虽然具有非常突出的优点，但是，由于它是基于开放互联网平台建立起来的，所以，网上支付的安全问题就显得特别重要。近年来，中国互联网络信息中心的调查显示，影响人们上网交易的因素主要有：产品质量与售后服务及厂商信用得不到保障、安全性得不到保障、网上提供的信息不可靠、付款不方便、送货不及时、价格不够诱人等，其中，网上交易安全性列在了所有人们关心的问题的第二项。如何安全地通过电子支付完成电子商务交易的整个过程，是人们在进行电子商务交易时必须要解决的问题，网上支付的安全问题得不到解决，电子商务就不可能顺利地实现。多年来，世界各国在如何解决网上支付安全问题方面进行了积极的探索和实践，取得了一定的成绩，从技术上为网上安全支付提供了基本的保障。网上支付安全的主要内容电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容主要包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特点是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。计算机网络安全与商务交易安全是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易就无从谈起；没有商务交易安全保障，即使计算机网络本身再安全，也无法达到电子商务所特有的安全要求。网上支付安全协议经过人们的不断研究与探索，目前已经在电子支付交易过程中广泛应用了一些安全技术，提供了电子商务网上支付与结算的基本条件。SSL协议和SET协议就是其中的两项重要技术。SSL协议SSL（securesocketlayer,安全套接层）协议是由网景（Netscape）公司在1994年设计开发推出的一种安全通信协议，主要用于提高应用程序之间数据的安全系数，它能够对信用卡和个人信息提供较强的保护，也是目前使用最广泛的安全协议。SSL是对计算机之间整个会话进行加密的协议，提供了对任何安装了SSL协议的客户和服务器间事务的安全保障，SSL协议像基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性和信息机密性等一系列安全措施，可在服务器和客户端同时实现支持，其目标是为用户提供Internet和Intranet的安全通信服务。SSL协议提供的基本服务（1） 认证用户和服务器，使得他们能够确信数据将被发送到正确的客户机和服务器。（2） 加密数据以隐藏被传送的数据。（3） 维护数据的完整性，确保数据在传输过程中不被改变。SET协议SET(secureelectronictransaction，安全电子交易)协议是由世界上两大信用卡公司VISA和MasterCard联合推出的网上信用卡交易的模型和规范。SET是开放的，SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。SET中的核心技术主要有密钥加密、电子数字签名、电子信封、电子安全认证等。金融安全认证为了保证基于Internet的电子商务交易的保密性、真实完整性和不可否认性，防范交易及支付过程中的欺诈行为，必须建立一个完整的金融安全认证体系，形成一种信任和信任验证机制，使交易和支付各方面能够确认其他各方的身份，这就要求必须有一个可以被验证的身份标识，即数字证书。目前，一个完整的电子商务交易中，涉及四类实体：买方(包括个人消费者或企业)、卖方(包括销售商或制造商等)、银行(包括发卡行、开户行)和认证中心。其中，认证中心是必不可少的重要机构。数字签名数字签名技术是公共密钥加密技术和报文分解函数相结合的产物。与加密不同，数字签名的目的是为了保证信息的完整性和真实性传统的交易过程中，人们通常会通过签名来确保一份文档的真实有效性，并对交易双方进行约束，防止其对交易行为进行抵赖。在网络环境下，人们用数字签名技术作为模拟，从而为电子商务提供不可否认的服务。数据签名必须保证以下3点：接受者能够核实发送者对消息的签名；发送者事后不能抵赖对消息的签名；接受者不能伪造对消息的签名。数字证书数字证书(digitalcertificate)又称公共密钥证书，也被称为“数字标识(digitalID)"，是由权威的、可信赖的、公正的第三方机构——认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签名的数据，它把第一个特定的公共密钥与它所属的描述信息进行绑定，其包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能，所以常常把它比喻成电子身份证。数字证书是消费者、商家、银行和政府部分等在网上进行信息交流及商务活动的电子身份证，主要用于网络身份验证，其作用类似于日常生活中的身份证或个人护照，代表了使用者的电子身份辨别证件。数字证书实际上是一段程序，因此它可以存储在软盘、硬盘、IC卡及USB等介质中。中国金融认证中心中国金融认证中心(ChinaFinancialCertificationAuthority,CFCA)于2000年6月29日正式挂牌成立，是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一，也是《中华人民共和国电子签名法》颁布后，国内首批获得电子认证服务许可的CA之一。CFCA作为权威、公正的第三方安全认证机构，通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务，确保网上信息传递双方身份的真实性、信息的保密性和完整性以及网上交易的不可否认性。结束语综上所述，网上支付与结算是开展电子商务活动的重要支付手段，是电子商务活动持续发展的一种全新的支付理念，具有很强的实践性，它的发展速度是前所未有的。电子支付系统与结算中介的结合，大大提高了网上知府的速度。网上支付作为电子商务支付的一种支付形式，是电子商务发展的瓶颈，只有迅速的开展网上支付与结算方式才能更快更迅速的发展电子商务活动。因此网上电子支付与结算是目前电子商务发展的一个重点，更好的发展网上支付与结算势在必行。随着Internet的迅速发展和广泛应用，人们开始习惯于利用开放快捷的网络进行各种采购和交易，从而导致了电子商务的出现，并使其成为业界新热点。电子商务的显著特点就是增加贸易机会，降低贸易成本，简化贸易流程，提高贸易效率。在交易过程中，消费者、商家、企业、中间结构和银行等需要通过Internet网络进行资金的流转，这就需要通过网络支付或电子支付的手段来实现.因此，电子商务活动必然牵涉到支付，安全有效的支付是电子商务的重要环节.从技术上讲，电子商务最关键的问题是如何安全地实现支付功能，并保证交易各方的安全保密。因此，支付安全是整个电子商务安全的瓶颈。一、电子商务对网上支付安全性的要求网上支付涉及到大量资金流的转移以及个人隐私或商业机密，而这种支付是发生在开放性程度非常高的互联网，未经保护的支付数据极易被竞争对手获取，造成严重损失。一个安全的支付系统至少应具备以下基本功能：数据保密：交易过程中产生的与支付有关的数据应该被严格保密，除交易双方以及被授权第三方外，均无法(或很难)看懂交易数据，保护交易的私密性。数据完整：支付数据在网络上传输过程中的完整性和有效性，即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。数据输入时的意外差错或欺诈行为，数据传输中信息的丢失、重复、错序、被篡改，都可能导致贸易各方信息的差异。因此，网上交易的信息要能做到确保其完整性，即要求接收者收到的数据与原始数据相同。身份认证：网上支付是在交易双方不见面的情况下进行的，因而保证对方确实是即将要进行的交易的另一方是非常重要的，它将关系到电子商务交易的成败。访问控制：在身份认证完成后，支付系统便可确定此用户有何种权限，这种权限能访问到哪些受保护的数据。审计能力：网上支付数据是非常重要和敏感的，详细记录用户和系统的行为对事后审计的意义无疑是巨大的。二、网上安全支付技术数据加密技术。数据加密是保证网络通信机密性的常用手段，其基本原理是用基于数学算法的程序和保密的密匙对信息进行编码，生成难以理解的字符串，即把明文变成密文的过程，反之，把密文转变成明文的过程称之为解密。客户在网上支付时，支付数据首先被加密，加密后的数据经过互联网传输到交易的另一方，接受支付方用事先约定好的密匙对加密数据进行解密，就可以实现支付双方机密的信息通信。数据加密不同于信息的隐藏，它的目的并不是不让人看见文字，数据加密只是将信息转化为可见的但看不出意义的字符串。根据数据加密和解密使用同样的密码与否，有两类加密体制，即对称加密体制（私有密钥加密体制）和非对称加密体制（公开密钥加密体制）。PKI技术。网上支付首先是要确定网上参与交易的各方（如持卡消费户、商户、收单银行的支付网关等）的身份，目前广泛采用的PKI（PublicKeyInfrastructure,公钥基础设施）体系结构采用证书管理公钥，通过第三方可信机构CA（CertificateAuthority）管理公钥，把用户的公钥和用户的其他标识信息捆绑在数字证书中，相应的数字证书（DigitalCertificate）就是代表用户的身份的。通过检查数字证书就可方便的确认对方的身份。另外，PKI体系结构把对称加密体制和非对称加密体制结合起来，实现了密钥的自动管理。3•数字证书与CA。数字证书是实现网上支付认证的基本技术，可以用来验证用户或网站的身份。利用数字证书提供的功能，可以方便的实现网络数字签名、数字信封，结合数字摘要技术则可以实现网上支付数据完整性和不可否认性。数字证书是由权威的、公正的认证机构管理的，称为证书权威机构（CA）。各级认证机构按照根认证中心（RootCA）、品牌认证中心（BrandCA）以及持卡人、商户或收单银行（Acquirer）的支付网关认证中心（HoldCardCA,MerchantCA或PaymentGatewayCA）由上而下按层次结构建立的。4.SSL和SET。SSL即安全套接层协议（SecureSocketLayerProtocol），由Netscape公司提出，它支持两台计算机间的安全连接。SSL协议工作TCP/IP的传输层和应用层之间，由SSL记录协议、SSL握手协议和SSL警报协议组成。SSL利用数字证书和加密技术透明地自动完成发出信息的加密和收到信息的解密工作。SET即安全电子交易协议（SecureElectricTranscations），是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。SET在保留对客户的信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来说是非常重要的，由于设计上很合理，得到了广泛的应用。SET在很多方面优于SSL协议，但SET过于复杂和繁琐，大量交易同时进行时交易速度受到影响。三、网上安全支付方法智能卡支付。严格来说使用智能卡支付网上交易货款并不是真正意义上的网上支付，支付过程实际上发生在网上商户和银行之间，交易安全性基本由商家的信用决定，对买家来说存在被欺诈的风险。但这却是经常使用的网上交易的资金支付方法。其基本流程为：（1） 在实际商品、相关服务与资金流动发生之前，由客户通过安全方式将智能卡信息传送给商家；（2） 商家验证客户身份为智能卡账户所有者；（3） 商家把智能卡收费信息和数字签名发送给其银行或在线智能卡处理器；（4） 银行或处理方把信息送给客户银行进行授权；（5） 客户银行为商户返回智能卡数据、收费确认和授权；（6）网上智能卡支付完成。电子支票支付。电子支支票和传统的支票形式几乎有着同样的功能和内容；不同于传的支票人为签名，电子支票需要经过数字签名，被支付人数字签名背面，使用数字凭证确认支付者，被支付者身份支付银行和账户。金融机构使用已签名和认证的电子支票进行账户存储。其基本流程为：（1） 购买电子支票：买方首先必须在提供电子支票服务的银行注册、开具电子支票，注册时可能需要需要输入信用卡和银行账户信息，以支持开设支票、电子支票应具有银行的数字签名。（2） 电子支票付款：买方用自己的私钥在电子支票上进行数字签名，用卖方的公钥加密电子支票。只在卖方可以收到已使用卖方公钥加密了电子支票，用买方的公钥确认买方的数字签名后，向银行进一步认证电子支票后即可发货给买方。（3） 清算：付款人银行和收款人银行通过类似自动清算网络进行清算，并对清算结果向付款的和收款人进行反馈。（4） 银行进一步确认电子支票；卖方发货给买方。电子现金支付。电子现金也叫数字现金，是数字化的现金，拥有现金的大部分优点却没有现金的缺点，电子现金特别适用于实现低成本的在线小额支付。目前，数据安全保护等技术已经基本可以保障数据本身的安全性，像数据被篡改这类恶性事件发生的概率很低，基本可以保证网上资金支付的成功。但是网上支付技术不是万能的，这些技术只能保证资金划拨成功，却无法保证交易的最终成功。网上欺诈事件还是时见报道。因此，用户在进行网上交易时应尽量选择安全的支付方式，比如安付通或支付宝这样的有第三方参与交易的支付方式。微支付系统。在满足安全性的前提下，有昼少的信息舆、较低的管理和存储需求，即速度和效率要求比较高，这种支付形式称为微支付或小额支付，目前国内应用最广泛的网上短消息服务属于典型的微支付方式。移动支付。移动支付也称手机支付，就是允许移动用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。它首先在发达国家被应用，随后在全球推广。移动支付的一个重要方向，是使手机成为真正的“电子钱包”，比如在交通运输、超市购物、餐馆消费等领域实现“手机支付”。关于电子支付的安全性探讨论文关键词：电子支付；支付安全；SET协议论文摘要：电子支付系统是电子商务交易的核心，实现电子商务的关键是要保证商务活动过程中系统的安全性。本文对现有的支付模式进行了比较论述，指出安全性方面的不足，在基于SET协议支付模型基础上，替换加密算法，修改支付流程，使其具有更高的安全级别。1引言电子商务(ElectronicCommerce，简称EC)是利用现有的计算机硬件设备、软件和网络基础设施，在通过一定的协议连接起来的电子网络环境下进行各种各样商务活动的方式。电子商务的一个重要组成部分就是电子支付系统，所谓电子支付，指的是交易各方通过电子手段，比如说银行的电子存款系统和电子清算系统来记录和转移资金的方式。是否具有在线支付功能是电子商务是否完整的一个重要标志，而支付的安全性又是整个支付过程乃至整个电子商务过程的核心问题。2现有电子支付系统的探讨与改进三种电子支付模型第一种：基于SSL协议的支付模型安全套接字层协议(SecureSocketLayer，SSL)是网络安全协议的标准，最早是由Netscape公司提出的一种安全套接层协议，采用公开密钥技术，目的是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支持。SSL使用多种密码技术和PKI数字证书技术来保护信息传输的真实性、机密性和完整性，主要适用于点对点之间的信息传输。SSL由两层协议组成：(1)握手协议：描述了协议的建立过程，在客户机和服务器之间进行相互的身份认证，并在传输数据之前，协商确定加密算法和会话密钥。(2)记录协议：用于对不同的高层协议进行封装，定义了数据传输的格式。遵从SSL协议的电子交易过程：客户选择服务，提交购物请求一商家回复客户的购买请求，客户端浏览器提示即将建立与银行端网络服务器的安全连接，经过身分认证后，SSL握手协议介入开始，双方建立起安全通道一出现相应银行的支付网页，显示从商家发来的相应的订单及支付金额信息，用户确认后支付。支付成功后，用户确认离开安全SSL连接一银行在后台把相关资金转入商家账号一商家收到银行发来的付款成功消息后，发送收款确认信息给用户，支付过程结束。目前国内大多数银行的网上银行业务都是基于SSL协议的。例如招商银行的“一网通”网上支付业务就是基于SSL协议的典型代表。第二种：基于SET协议支付模型SET(SecureElectronicTransaction)协议是针对开放网络上安全、有效的银行卡交易，由Visa和MasterCard两大信用卡组织联合国际上多家科技机构共同研制，为Internet卡支付交易提供高层的安全和反欺诈保证。SET协议实现信息在Internet上安全传输，不能被窃取或篡改；实现持卡人购买订单和个人账号信息的隔离，使商家只能看到订货信息而金融机构只能看到账号信息；实现持卡人、商家、支付中心、支付网关等交易参与方身份的相互认证；软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容性和互操作能力，并且可以运行在不同的硬件和操作系统平台上。遵从SET协议的电子交易过程：客户选择服务，提交购物请求一客户计算机自动激活电子钱包的客户端软件，用户取出里面的电子现金准备支付，SET协议开始介入；客户端软件自动与商家服务器软件进行SET协议规定的信息交换与身份认证，然后自动提取信息连同订货单一起发送给商家一商家收到信息并验证通过后回复客户，同时发出结算请求，并将客户端信息一起发给支付网关一支付网关收到支付信息后，转入后台银行网络处理，在收到银行端发来的确认信息后向商家回复支付成功一客户收到商家发来的购货确认与支付信息后，客户端软件关闭，支付过程结束。国内的网上银行支付系统基于SET协议的极少，中国银行是一家。它的CA是中国银行认证中心(CCA)。持卡人通过Internet由中国银行主页中下载电子钱包软件后，通过Internet在线获得中国银行认证中心批准的借记卡网上交易电子证书。第三种：以支付工具为中介的支付模型国内除了上述两种支付方式外，还有种以网上支付工具为中介的支付流程，即第三方支付。这种在线实时的支付方式实质上还是网上银行。这种支付模式主要解决的不是信息流在网上传递的安全性问题，而主要解决的是，因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。第三方支付的交易过程：买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议，这时买方需把货款汇到第三方中介账户上。中介立刻通知卖方钱己收到可以发货，待买方收到商品并确认无误后，中介才会把货款汇到卖方的账户，整个交易就完成了。第三方支付的典型代表有贝宝公司的PayPal、阿里巴巴旗下的支付宝等。SSL、SET协议的不足SSL协议存在的问题：第一，客户的信息首先传递到商家，商家可以任意阅读，这样客户资料的隐私性就得不到保证。第二，SSL只能保证资料信息传递的安全，而传递过程是否被人截取无法保证。第三，SSL没有对应用层的消息进行数字签名，因此也无法保证不可否认性。所以，SSL并没有实现电子支付所要求的保密性、完整性和不可否认性，而且多方互相认证也很困难。SET协议存在的问题：第一，SET协议使用的对称加密算