电子商务第单章电子商务支付工具.ppt

《电子商务第单章电子商务支付工具.ppt》由会员分享，可在线阅读，更多相关《电子商务第单章电子商务支付工具.ppt（62页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、电子商务第单章电子商务支付工具 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望第四章第四章 电子商务支付工具电子商务支付工具 4.1传统的支付方式传统的支付方式 4.1.1 现金现金 现金支付特点：现金支付特点：现金现金(特指某国的法定货币特指某国的法定货币)以国家强制力赋予的信用为后盾，是法律规以国家强制力赋予的信用为后盾，是法律规定的最终的支付手段，具有普遍的可接收性。定的最终的支付手段，具有普遍的可接收性。现金支付具有分散、匿名、使用方便、无交易费和灵活等特

2、点。现金支付具有分散、匿名、使用方便、无交易费和灵活等特点。现金支付具有技术上的现金支付具有技术上的“离线离线”特性，收付款双方处于同一位置，通过特性，收付款双方处于同一位置，通过亲身参与鉴定现金的真伪，不需任何机构的联网确认和支持。亲身参与鉴定现金的真伪，不需任何机构的联网确认和支持。现金发行上的有限性现金发行上的有限性(稀缺性稀缺性)维持了人们对现金价值的信任。维持了人们对现金价值的信任。现金支付过程比较简单，最适合于低价值的交易。现金支付过程比较简单，最适合于低价值的交易。现金支付缺陷现金支付缺陷：受时间和空间的限制，对于不谋面的交易活动，就无法采用现金支付。受时间和空间的限制，对于不谋

3、面的交易活动，就无法采用现金支付。大宗交易必须携带大量的现金，携带不便和不安全因素在一定程度上限大宗交易必须携带大量的现金，携带不便和不安全因素在一定程度上限制了现金作为支付方式的应用。制了现金作为支付方式的应用。安全保管费用较高。安全保管费用较高。第四章第四章 电子商务支付工具电子商务支付工具 4.1传统的支付方式传统的支付方式 4.1.2 票据票据 票据票据是出票人依票据法发行的、无条件支付一定金额或是出票人依票据法发行的、无条件支付一定金额或委托他人无条件支付一定金额给受款人或持票人的一种文书委托他人无条件支付一定金额给受款人或持票人的一种文书凭证。凭证。票据支付（转账支付）票据支付（转

4、账支付）是一种以银行存款作为支付手段是一种以银行存款作为支付手段的非现金结算方式。买卖双方通过代理银行间的资金清算系的非现金结算方式。买卖双方通过代理银行间的资金清算系统来兑现。统来兑现。广义的票据广义的票据包括各种记载一定文字、代表一定权利的文包括各种记载一定文字、代表一定权利的文书凭证，如股票、债券、货单、车船票、汇票等。书凭证，如股票、债券、货单、车船票、汇票等。狭义的票据狭义的票据是一个专用名词，专指票据法所规定的汇票、是一个专用名词，专指票据法所规定的汇票、本票和支票等票据。本票和支票等票据。第四章第四章 电子商务支付工具电子商务支付工具 4.1传统的支付方式传统的支付方式 4.1.

5、2 票据票据（1）汇票汇票是出票人是出票人委托他人委托他人于于到期日到期日无条件支付一定金额给受款人的票。无条件支付一定金额给受款人的票。（2）本票本票是出票人是出票人自己自己于于到期日到期日无条件支付一定金额给受款人的票据。无条件支付一定金额给受款人的票据。（3）支票支票是出票人是出票人委托银行或其他法定金融机构委托银行或其他法定金融机构于于见票时见票时无条件支付一定无条件支付一定金额给受款人的票据。金额给受款人的票据。第四章第四章 电子商务支付工具电子商务支付工具 4.1传统的支付方式传统的支付方式 4.1.3 信用卡信用卡 信用卡是信用卡是银行或金融公司银行或金融公司发行的，授权持卡人在

6、发行的，授权持卡人在指定的商店或场所指定的商店或场所进行记帐消费的信用凭证。进行记帐消费的信用凭证。信用信用卡具有卡具有直接消费、储蓄存款与取款、通存通兑、转账与支付结算、透支直接消费、储蓄存款与取款、通存通兑、转账与支付结算、透支信贷五种主要功能信贷五种主要功能。它能为持卡人和特约商户提供简化高效的结算服务，它能为持卡人和特约商户提供简化高效的结算服务，减少现金货币流通量；还可避免随身携带大量现金的不便，为支付提供减少现金货币流通量；还可避免随身携带大量现金的不便，为支付提供较好的安全保障。较好的安全保障。第四章第四章 电子商务支付工具电子商务支付工具 4.1传统的支付方式传统的支付方式 4

7、.1.3 信用卡信用卡信用卡的传统支付流程信用卡的传统支付流程：客户在特约商家持卡消费，商家现金出纳系统将顾客的消费金额客户在特约商家持卡消费，商家现金出纳系统将顾客的消费金额输入输入POS终端。终端。读卡器读取信用卡磁条或芯片中的认证数据，顾客输入密码。读卡器读取信用卡磁条或芯片中的认证数据，顾客输入密码。将前两步输入的数据送往信用卡机构。将前两步输入的数据送往信用卡机构。信用卡机构基于收到的数据验证信用卡的合法性、顾客密码及信信用卡机构基于收到的数据验证信用卡的合法性、顾客密码及信用额度，更新顾客数据库，并将处理结果用额度，更新顾客数据库，并将处理结果实时实时送回送回POS终端。终端。现金

8、出纳系统对处理结果数据确认后，将商品及收据交给顾客现金出纳系统对处理结果数据确认后，将商品及收据交给顾客 信用卡机构计算机中心将处理过的申请支付数据通过网络传送给信用卡机构计算机中心将处理过的申请支付数据通过网络传送给相应的银行。相应的银行。银行收到申请支付数据后，从顾客的账户支出该款项，同时存入银行收到申请支付数据后，从顾客的账户支出该款项，同时存入特约商家的账户。特约商家的账户。第四章第四章 电子商务支付工具电子商务支付工具 4.2 电子商务支付系统概述电子商务支付系统概述 4.2.1 电子支付的概念电子支付的概念 电子支付普及率北京居全国之首电子支付普及率北京居全国之首 根据我国根据我国

9、“电子支付指引电子支付指引（第一号）（第一号）”的定义，电子支付（的定义，电子支付（Electronic payment）是指单位、个人（以下简称客户）直接或授权他人）是指单位、个人（以下简称客户）直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。通过电子终端发出支付指令，实现货币支付与资金转移的行为。“电子终端电子终端”是指客户可用以发起电子支付指令的计算机、电话、销售点终端是指客户可用以发起电子支付指令的计算机、电话、销售点终端（POS）、自动柜员机、移动通讯工具或其他电子设备。、自动柜员机、移动通讯工具或其他电子设备。我国在电子支付、电子商务方面远远落后于世界水平。电

10、子商务在中国我国在电子支付、电子商务方面远远落后于世界水平。电子商务在中国发展缓慢的首要原因是电子支付的问题发展缓慢的首要原因是电子支付的问题。解决电子支付问题的三个难题：解决电子支付问题的三个难题：第一第一是全国互联互通的网络基础（现在已基本形成）；是全国互联互通的网络基础（现在已基本形成）；第二第二是非常明确的专业分工，有非常合理的价值链的形成，中国的银是非常明确的专业分工，有非常合理的价值链的形成，中国的银行业务带有行业特点和垄断，基本上只有银行，银联等，但是在美国，行业务带有行业特点和垄断，基本上只有银行，银联等，但是在美国，他的分工非常明确；他的分工非常明确；第三第三是社会诚信问题，

11、支付在中国发展不起来，一个是社会诚信问题，支付在中国发展不起来，一个核心的问题是诚核心的问题是诚信的问题信的问题。第四章第四章 电子商务支付工具电子商务支付工具 4.2 电子商务支付系统概述电子商务支付系统概述 4.2.1 电子支付的概念电子支付的概念电子支付的电子支付的 5 种形式代表了电子支付发展的不同阶段。种形式代表了电子支付发展的不同阶段。第一阶段第一阶段：银行利用计算机处理银行之间的业务，办理结算；：银行利用计算机处理银行之间的业务，办理结算；第二阶段第二阶段：银行计算机与其它机构计算机之间资金的结算，如代发工资，代：银行计算机与其它机构计算机之间资金的结算，如代发工资，代交水费、电

12、费、煤气费、电话费等业务；交水费、电费、煤气费、电话费等业务；第三阶段第三阶段：利用银行网络终端利用银行网络终端向用户提供各项银行服务，如用户在自动柜员向用户提供各项银行服务，如用户在自动柜员机（机（ATM）上进行取、存款操作等；）上进行取、存款操作等；第四阶段第四阶段：利用：利用银行销售点终端银行销售点终端（POS）向用户提供自动扣款服务，这是现）向用户提供自动扣款服务，这是现阶段电子支付的主要方式；阶段电子支付的主要方式；第五阶段第五阶段：通过：通过因特网因特网进行直接转账结算，这是电子支付发展的进行直接转账结算，这是电子支付发展的最新阶段最新阶段。电子支付方式电子支付方式分为因特网和非因

13、特网环境分为因特网和非因特网环境下的电子支付。电子支付发展下的电子支付。电子支付发展的前四个阶段属于非因特网环境下的电子支付，而第五阶段属于因特网环境的前四个阶段属于非因特网环境下的电子支付，而第五阶段属于因特网环境下的电子支付，也称之为下的电子支付，也称之为电子商务的网上支付电子商务的网上支付。网上支付是电子商务的关键。网上支付是电子商务的关键环节之一。环节之一。第四章第四章 电子商务支付工具电子商务支付工具 4.2 电子商务支付系统概述电子商务支付系统概述 4.2.1 电子支付的概念电子支付的概念 与传统的支付方式相比较，与传统的支付方式相比较，电子支付具有以下特点电子支付具有以下特点：1

14、、电子支付是采用先进的信息技术来完成信息传输的，其各种支付、电子支付是采用先进的信息技术来完成信息传输的，其各种支付方式都是方式都是采用数字化的方式采用数字化的方式进行款项支付的，而传统的支付方式则是通过进行款项支付的，而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体的流转来完成款项支付现金的流转、票据的转让及银行的汇兑等物理实体的流转来完成款项支付的。的。2、电子支付的工作环境是基于一个、电子支付的工作环境是基于一个开放的系统平台开放的系统平台（如互联网）之（如互联网）之上，而传统支付则是在较为封闭的系统中运作。上，而传统支付则是在较为封闭的系统中运作。3、电子支付使用的

15、是最先进的通信手段，如、电子支付使用的是最先进的通信手段，如互联网、外联网互联网、外联网，传统，传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，而传统支付则没有这么高的要求。而传统支付则没有这么高的要求。4、电子支付具有、电子支付具有方便、快捷、高效、经济方便、快捷、高效、经济的优势。用户只要拥有一的优势。用户只要拥有一台联网的微机，足不出户便可在很短的时间内完成整个支付过程。台联网的微机，足不出户便可在很短的时间内完成整个支付过程。5、网上支付的支付过程具有网上支付的支付过程具有无形化无形化的特征，它将传统支

16、付方式中面对的特征，它将传统支付方式中面对面的信用关系虚拟化。面的信用关系虚拟化。网上支付商家 WWW 服务器银行主机InternetBrowser金融网络消费者商家支付网关电子借记卡电子现金电子信用卡CertificateRequest付款方式电子支票网上信用卡结算与传统方式的比较网上信用卡结算与传统方式的比较传传统统信信用用卡卡 网网上上信信用用卡卡传统方式的消费者扣款授权传统方式的消费者扣款授权在现场在现场以书面方式进行以书面方式进行网上方式消费者扣款授权网上方式消费者扣款授权在网上在网上以电子方式进行以电子方式进行商家主机商家主机信用卡网络信用卡网络中心中心银行主机银行主机支付网关支付

17、网关银行主机银行主机商家主机商家主机InternetInternet第四章第四章 电子商务支付工具电子商务支付工具 4.2 电子商务支付系统概述电子商务支付系统概述 4.2.2 网上支付系统的基本构成网上支付系统的基本构成 CA信用体系信用体系客户：支付工具客户：支付工具商家：后台服务器商家：后台服务器支付网关支付网关支付网关支付网关商家开户行：收单行商家开户行：收单行客户开户行：发卡行客户开户行：发卡行Internet支付协议支付协议银行银行网络网络 网上支网上支付系统由支付系统由支付活动的付活动的主主体体（客户、（客户、商家、银行商家、银行和认证中心）和认证中心）和和支付工具支付工具及遵循

18、的支及遵循的支付付安全协议安全协议等组成。等组成。第四章第四章 电子商务支付工具电子商务支付工具 4.2 电子商务支付系统概述电子商务支付系统概述 4.2.2 网上支付系统的基本构成网上支付系统的基本构成 网上支付的网上支付的核心是银行核心是银行，作为参与方的银行会涉及到客户开户行，作为参与方的银行会涉及到客户开户行（发卡行）、商家开户行（收单行）、第三方支付中心、支付网关和银（发卡行）、商家开户行（收单行）、第三方支付中心、支付网关和银行专用网等诸多方面。行专用网等诸多方面。支付网关支付网关（Payment Gateway）是连接银行专用网络与）是连接银行专用网络与Internet的的一组服

19、务器一组服务器，其主要作用是完成两者之间的通信、协议转换和进行数据，其主要作用是完成两者之间的通信、协议转换和进行数据加、解密，以保护银行内部网络的安全。加、解密，以保护银行内部网络的安全。网上支付流程网上支付流程消费者向商户消费者向商户发送购物请求发送购物请求。商户把消费者的支付指令通过支付网关送往商户开户行商户把消费者的支付指令通过支付网关送往商户开户行(收单行收单行)。收单行通过专用网络从消费者开户行收单行通过专用网络从消费者开户行(发卡行发卡行)取得取得支付授权支付授权后，把授权后，把授权信息送回商户。信息送回商户。商户取得授权后，向消费者发送购物回应信息（商户取得授权后，向消费者发送

20、购物回应信息（发货发货）。）。银行之间则通过自身的支付清算网络来完成最后的行间清算。银行之间则通过自身的支付清算网络来完成最后的行间清算。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.1 SSL协议协议 1.协议简介协议简介 SSLTLS（Secure Socket Layer）（）（Transport Layer Security Protocol），安全套接层协议）是一种保安全套接层协议）是一种保护护WEB通讯安全的工业标准，由网景通讯安全的工业标准，由网景（Netscape）公司开公司开发。主要目的是提供因特网上的安

21、全通信服务，提高应用程发。主要目的是提供因特网上的安全通信服务，提高应用程序之间数据的安全系数。序之间数据的安全系数。SSL安全协议是国际上最早应用于电子商务的一种网络安全协议是国际上最早应用于电子商务的一种网络安全协议，目前应用广泛。安全协议，目前应用广泛。SSL 协议既使用了公钥加密技术又使用了对称加密技术协议既使用了公钥加密技术又使用了对称加密技术。SSL仅能提供传输过程的安全保证，不能确认公司接收仅能提供传输过程的安全保证，不能确认公司接收信用卡支付是否得到授权。信用卡支付是否得到授权。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付

22、安全协议 4.3.1 SSL协议协议 1.协议简介协议简介 SSL可以支持任何可以支持任何TCP/IP层以上的网络协议，因此层以上的网络协议，因此HTTP、FTP、SMTP等等皆等等皆是是SSL的保护范围。的保护范围。SSL协议一共包含两个部分：协议一共包含两个部分：SSL Handshake协议和协议和SSL Record协议。前者负责通信前的一些参数协商，后者负责定义协议。前者负责通信前的一些参数协商，后者负责定义SSL的内部数据格式。的内部数据格式。SSL Handshake协议协议 SSL中中Handshake协议是协议是SSL的前置步骤，通信的双方（商店的服务器与客户的前置步骤，通信

23、的双方（商店的服务器与客户计算机）先对计算机）先对SSL通信的参数设置进行通信的参数设置进行“沟通沟通”与与“协调协调”，包括：，包括：通信中所使用的通信中所使用的SSL版本。版本。信息加密用的算法信息加密用的算法 客户端的身份验证要求客户端的身份验证要求 所使用的公开密钥算法所使用的公开密钥算法 SSL Record协议协议 Record协议描述的是协议描述的是SSL信息交换过程中的记录格式。信息交换过程中的记录格式。SSL协议是介于应用层协议是介于应用层和网络层之间，因此它接收来自应用层的信息，并加以包装后交由下一层（也就是网和网络层之间，因此它接收来自应用层的信息，并加以包装后交由下一层

24、（也就是网络层来传送）。络层来传送）。HTTP传输进行加密的协议为传输进行加密的协议为HTTPS，它是通过，它是通过SSL（Secure socket layer）来进行来进行HTTP传输的协议传输的协议第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.1 SSL协议协议 1.协议简介协议简介 SSL提供三种基本安全服务：提供三种基本安全服务：保密性。保密性。SSL客户机和服务器之间通过密码算法和密钥客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的的协商，建立起一个安全通道。以后在安全通道

25、中传输的所有信息都经过了加密处理。所有信息都经过了加密处理。完整性。完整性。SSL利用密码算法和利用密码算法和hash函数，通过对传输信函数，通过对传输信息数字指纹的提取来保证信息的完整性。息数字指纹的提取来保证信息的完整性。认证性。认证性。利用证书技术和可信的第三方利用证书技术和可信的第三方CA，可以让客户，可以让客户机和服务器相互识别对方的身份，使得它们能够确信数据机和服务器相互识别对方的身份，使得它们能够确信数据将被发送到正确的客户机和服务器上。将被发送到正确的客户机和服务器上。第四章第四章 电子商务支付工具电子商务支付工具4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4

26、.3.1 SSL协议协议 2.SSL证书的分类证书的分类域名型域名型SSL证书（证书（DV SSL）https:/ 颁发时只验证域名所有权，颁发时间快而无需递交公司文书。颁发时只验证域名所有权，颁发时间快而无需递交公司文书。浏览器界面显示安全锁标志浏览器界面显示安全锁标志，只显示域名而不显示单位名称只显示域名而不显示单位名称。企业型企业型SSL证书（证书（OV SSL）颁发证书前审核证书申请人对域名的所有权，以及部分企业相关信息审核。颁发证书前审核证书申请人对域名的所有权，以及部分企业相关信息审核。浏览器界面显示安全锁标志，显示单位名称浏览器界面显示安全锁标志，显示单位名称。增强型增强型SSL

27、证书（证书（EV SSL）此证书审核证书申请人对域名的所有权，而且对域名拥有企业自身身份进此证书审核证书申请人对域名的所有权，而且对域名拥有企业自身身份进行严格鉴证。行严格鉴证。IE7.0对于对于EV证书会激活浏览器界面的安全增强功能，证书会激活浏览器界面的安全增强功能，地址栏会变为绿色地址栏会变为绿色。VeriSign服务器证书服务器证书 该证书采用该证书采用SGC技术，对于技术，对于IE浏览器浏览器4.723612.1713及以上版本可以实现及以上版本可以实现40位位IE浏览器的浏览器的128位强制加密。位强制加密。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付

28、安全协议国际通行的电子支付安全协议 4.3.1 SSL协议协议 3.SSL的特点的特点 SSL协议可解决如下问题：协议可解决如下问题：客户对服务器的身份确认客户对服务器的身份确认：SSL服务器容许客户的浏览器使用标准的服务器容许客户的浏览器使用标准的公钥加密技术和可靠的认证中心（公钥加密技术和可靠的认证中心（CA）的证书，来确认服务器的合法性）的证书，来确认服务器的合法性（检验服务器的证书和（检验服务器的证书和ID的合法性）。的合法性）。服务器对客户的身份确认服务器对客户的身份确认：SSL协议容许客户服务器的软件通过公钥协议容许客户服务器的软件通过公钥技术和可信赖的证书，来确认客户的身份（客户

29、的证书技术和可信赖的证书，来确认客户的身份（客户的证书 clients certificate）。）。建立起服务器和客户之间安全的数据通道建立起服务器和客户之间安全的数据通道：SSL要求客户和服务器所要求客户和服务器所发送的数据都被加密。同时发送的数据都被加密。同时SSL协议会在传输过程中检查数据是否被中协议会在传输过程中检查数据是否被中途修改。途修改。SSL无法保证传输之后信息的安全问题。因为无法保证传输之后信息的安全问题。因为当数据到达商家的当数据到达商家的Web后，所有的信息被解密，是否将这些信息以安全的格式进行存储均后，所有的信息被解密，是否将这些信息以安全的格式进行存储均由商家负责由

30、商家负责。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.1 SSL协议协议 5.SSL3.0双向认证协议的具体过程双向认证协议的具体过程客户浏览器发送一个连接请求给安全服务器。客户浏览器发送一个连接请求给安全服务器。服务器将自己的数字证书及相关信息发送给客户浏览器。服务器将自己的数字证书及相关信息发送给客户浏览器。客户浏览器检查服务器的证书是否是由自己信赖的客户浏览器检查服务器的证书是否是由自己信赖的CA中心签发？中心签发？验证验证CA证书中记载的域名和公钥，以判断服务器的合法性。证书中记载的域名和公钥，以判断服务器的合法

31、性。服务器要求客户发送客户的数字证书并进行验证。服务器要求客户发送客户的数字证书并进行验证。客户浏览器告诉服务器自己能够支持的通讯对称密码方案。客户浏览器告诉服务器自己能够支持的通讯对称密码方案。服务器从客户发送的密码方案中，选择一种加密程度最高的密码服务器从客户发送的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加密后通知浏览器。方案，用客户的公钥加密后通知浏览器。客户浏览器从选定的密码方案，选择一个通话密钥，用服务器的客户浏览器从选定的密码方案，选择一个通话密钥，用服务器的的公钥加密后发送给服务器。的公钥加密后发送给服务器。服务器接收到浏览器发送的消息，用自己的私钥解密，获得通话

32、服务器接收到浏览器发送的消息，用自己的私钥解密，获得通话密钥。密钥。服务器、浏览器以后的通讯都是在对称密钥加密的情况下进行。服务器、浏览器以后的通讯都是在对称密钥加密的情况下进行。SSL协议的执行过程协议的执行过程分为两层，一是握手层，二是记录层。分为两层，一是握手层，二是记录层。1 1、买方将包含支、买方将包含支、买方将包含支、买方将包含支付信息的订单付信息的订单付信息的订单付信息的订单发给卖方发给卖方发给卖方发给卖方2 2、卖方将信息转、卖方将信息转、卖方将信息转、卖方将信息转发至银行发至银行发至银行发至银行3 3、银行向买方验、银行向买方验、银行向买方验、银行向买方验证其信息合法证其信息

33、合法证其信息合法证其信息合法性性性性4 4、银行通知商家、银行通知商家、银行通知商家、银行通知商家付款成功付款成功付款成功付款成功5 5、商家通知客户、商家通知客户、商家通知客户、商家通知客户购买成功购买成功购买成功购买成功 第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.2 SET协议协议1、SET概述概述 SET协协议议（Secure Electronic Transaction ProtocolProtocol，安安全全电电子子交交易易协协议议）是是由由VISA和和MasterCard两两信信用用卡卡公公司司于于199

34、7年年5月月31日日联联合合推推出出。得得到到IBM、Netscape、Microsoft、Oracle等等众众多多厂厂商商的的支支持持。其其实实质质是是一一种种应应用用在在Internet上上、以以信信用用卡卡为为基基础础的的电电子子付付款款系系统统规规范范，目目的的就就是是为为了了保保证证网网络络交交易易的的安安全全。它它采采用用公公钥钥密密码码体体制制和和X.509数数字字证证书书标标准准。SET已已获获得得IETF标准的认可，是电子商务的发展方向。标准的认可，是电子商务的发展方向。由由于于SET 提提供供了了消消费费者者、商商家家和和银银行行之之间间的的认认证证，确确保保了了交交易易数

35、数据据的的机机密密性性、真真实实性性、完完整整性性和和交交易易的的不不可可否否认认性性，特特别别是是保保证证不不将将消消费费者者银银行行卡卡号号暴暴露露给给商商家家等等优优点点，因因此此它它成成为为了了目目前前公公认认的的信信用用卡卡/借借记记卡卡的的网网上上交交易易的的国际安全标准。国际安全标准。SET中中的的核核心心技技术术主主要要有有对对称称加加密密、非非对对称称加加密密、消消息息摘摘要要、数数字字签签名名、数字信封、安全超文本传输协议（数字信封、安全超文本传输协议（S-HTTP）、双重签名和认证等技术。）、双重签名和认证等技术。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国

36、际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.2 SET协议协议 2.SET协议的目标协议的目标保证信息在因特网上安全传输保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。，防止数据被黑客或被内部人员窃取。订单信息和个人账号信息隔离订单信息和个人账号信息隔离。在将包括持卡人账号信息在内的订单送到。在将包括持卡人账号信息在内的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户和密码信息。银商家时，商家只能看到订货信息，而看不到持卡人的账户和密码信息。银行也只能看账户信息，而看不到订货信息。行也只能看账户信息，而看不到订货信息。持卡人、商家和银行相互认证持卡人、商家

37、和银行相互认证，以确保交易各方的真实身份。通常，第三，以确保交易各方的真实身份。通常，第三方机构负责为在线交易的各方提供信用担保。方机构负责为在线交易的各方提供信用担保。保证网上保证网上交易的实时性交易的实时性，支付过程的在线性支付过程的在线性。要求软件遵循相同协议和消息格式要求软件遵循相同协议和消息格式，使不同厂家开发的软件具有兼容性和，使不同厂家开发的软件具有兼容性和互操作性，并且可以运行在不同的硬件和操作系统平台上。互操作性，并且可以运行在不同的硬件和操作系统平台上。SET协议涉及的当事人包括持卡人、商家、认证中心（协议涉及的当事人包括持卡人、商家、认证中心（CA）、银行（收）、银行（收

38、单行、发卡行）和支付网关。单行、发卡行）和支付网关。SET协议规范的技术范围包括：加密算法的应用（例如协议规范的技术范围包括：加密算法的应用（例如RSA和和DES）、）、证书信息和对象格式、购买信息和对象格式、认可信息和对象格式、划帐证书信息和对象格式、购买信息和对象格式、认可信息和对象格式、划帐信息和对象格式、对话实体之间消息的传输协议。信息和对象格式、对话实体之间消息的传输协议。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.2 SET支付系统组成支付系统组成 SET支付系统主要由支付系统主要由持卡人（持卡人（CardH

39、older）、）、商家（商家（Merchant）、发）、发卡行（卡行（Issuing Bank）、）、收单行（收单行（Acquiring Bank）、支付网关）、支付网关（Payment Gateway）、）、认证中心（认证中心（Certificate Authority）等六个部分）等六个部分组成。组成。基于基于SET协议的网上协议的网上购物系统应包括电子钱包购物系统应包括电子钱包软件、商家软件、支付网软件、商家软件、支付网关软件和签发证书软件等。关软件和签发证书软件等。金融机构（金融机构（Financial Institution）第四章第四章 电子商务支付工具电子商务支付工具 4.3 国

40、际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.2 SET协议协议3.SET协议的购物流程协议的购物流程消费者在商家的消费者在商家的Web页面上查看和浏览在线商品及目录。页面上查看和浏览在线商品及目录。消费者选择要购买的商品，填写订单（包括在线商店名称、购买商品名称及数量、消费者选择要购买的商品，填写订单（包括在线商店名称、购买商品名称及数量、交货时间及地点等交货时间及地点等）。）。消费者选择付款方式，确认定单，签发付款指令。此时消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入开始介入。在在SET中，消费者必须对中，消费者必须对定单和付款指令定单和付款指令进行数字签名

41、，以证明消费者的身份。进行数字签名，以证明消费者的身份。然后利用双重签名技术：即先用银行的公钥对信用卡号码和密码进行加密（保证然后利用双重签名技术：即先用银行的公钥对信用卡号码和密码进行加密（保证该部分信息永远对商家保密），再用商家的公钥对订单和付款指令加密，生成该部分信息永远对商家保密），再用商家的公钥对订单和付款指令加密，生成“数字信封数字信封”，将其发送给商家。，将其发送给商家。商家接受订单，用私钥打开商家接受订单，用私钥打开“数字信封数字信封”，解密订单、验证，解密订单、验证“消息摘要消息摘要”和消费和消费者身份。然后商家将卡号和密码部分的加密信息连同订单副本（银行看不到具体者身份。然

42、后商家将卡号和密码部分的加密信息连同订单副本（银行看不到具体的订单内容但可以证明商家的身份）一并转发给收单行。的订单内容但可以证明商家的身份）一并转发给收单行。收单行解密消费者卡号等信息并验证消费者和商家的身份及传输的完整性。通过收单行解密消费者卡号等信息并验证消费者和商家的身份及传输的完整性。通过发卡行检查消费者的信用额度。发卡行检查消费者的信用额度。收单行将交易信息发给发卡行，请求划拨款项。收单行将交易信息发给发卡行，请求划拨款项。发卡行划转资金，同时通知商家。发卡行划转资金，同时通知商家。商家发送商品或提供服务，同时通知消费者。商家发送商品或提供服务，同时通知消费者。消费者终端软件记录交

43、易日志，以备将来查询。消费者终端软件记录交易日志，以备将来查询。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.2 SET协议协议 4.SET交易的安全性交易的安全性信息的机密性（信息的机密性（Confidentiality）。）。SET系统中，敏感信系统中，敏感信息（如持卡人的帐户和支付信息）是加密传送的。息（如持卡人的帐户和支付信息）是加密传送的。数据的完整性（数据的完整性（Integrity）。通过数字签名，保证在传送）。通过数字签名，保证在传送者和接收者传送消息期间，消息的内容不会被修改。者和接收者传送消息期间，消息

44、的内容不会被修改。身份的验证（身份的验证（Authentication）。通过使用证书和数字签）。通过使用证书和数字签名，可为交易各方提供认证对方身份的依据，即保证信息名，可为交易各方提供认证对方身份的依据，即保证信息的真实性。的真实性。交易的不可否认性（交易的不可否认性（None-repudiation）。通过使用数字）。通过使用数字签名，可以防止交易中的一方抵赖已发生的交易。签名，可以防止交易中的一方抵赖已发生的交易。互操作性（互操作性（Interoperability）。通过使用特定的协议和消）。通过使用特定的协议和消息格式，息格式，SET系统可提供在不同的软硬件平台操作的同等系统可提供

45、在不同的软硬件平台操作的同等能力。能力。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议 4.3.2 SET协议协议5.SET协议的缺陷协议的缺陷SET协议是基于信用卡进行处理。协议是基于信用卡进行处理。协议没有说明收单行给商家付款前，是否必须收到消费者的货物接受证协议没有说明收单行给商家付款前，是否必须收到消费者的货物接受证书。即没有解决先付款还是先交货的问题。书。即没有解决先付款还是先交货的问题。SET能够处理的交易类型有限，一次性付款没有问题，但能够处理的交易类型有限，一次性付款没有问题，但无法处理分期无法处理分期付款等比较复杂

46、的结算形式。付款等比较复杂的结算形式。SET 技术规范没有提及在技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类事务处理完成后，如何安全地保存或销毁此类数据，数据，是否要将数据保存在消费者、在线商店或收单银行的计算机里。是否要将数据保存在消费者、在线商店或收单银行的计算机里。SET过于复杂，所以对商户、用户和银行的要求都比较高，推行阻力较过于复杂，所以对商户、用户和银行的要求都比较高，推行阻力较大。大。接近名存实亡。接近名存实亡。6.SET协议的最新扩展协议的最新扩展商家初始授权扩展（商家初始授权扩展（The Merchant Initiated Authorization exte

47、nsion）。）。在线个人识别号扩展（在线个人识别号扩展（Online PIN extensions to SETTM 1.0）。）。芯片卡扩展（芯片卡扩展（Common Chip extension）。）。VISA和和MASTER又推出了又推出了3-DSecure协议。协议。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议4.3.3 SSL与与SET的比较的比较（1）认证机制认证机制：SET的安全要求较高，因此，所有参与的安全要求较高，因此，所有参与SET交易的成员（持卡人、商家、支付网关等）都必须先申交易的成员（持卡人、商家、支付

48、网关等）都必须先申请数字证书来识别身份，而在请数字证书来识别身份，而在SSL中只有商店端的服务器需中只有商店端的服务器需要认证，客户端认证则可以选择。要认证，客户端认证则可以选择。（2）设置成本设置成本：SET交易必须在计算机上安装符合交易必须在计算机上安装符合SET规规格的电子钱包软件，而格的电子钱包软件，而SSL交易则不需要另外安装软件。交易则不需要另外安装软件。（3）安全性安全性：SET协议比协议比SSL协议复杂，理论上安全性也协议复杂，理论上安全性也更高。因为整个交易过程中，包括持卡人到商店端、商店到更高。因为整个交易过程中，包括持卡人到商店端、商店到支付网关再到银行网络，都受到严密的

49、保护，而支付网关再到银行网络，都受到严密的保护，而SSL是对计是对计算机之间整个会话过程进行的加密，安全范围只限于持卡人算机之间整个会话过程进行的加密，安全范围只限于持卡人到商店端的信息交换。到商店端的信息交换。第四章第四章 电子商务支付工具电子商务支付工具 4.3 国际通行的电子支付安全协议国际通行的电子支付安全协议4.3.3 SSL与与SET的比较的比较 实践证明实践证明SSL是发展的潮流。是发展的潮流。SSL提供了两台机器间的安全连接。支付系统经常通过在提供了两台机器间的安全连接。支付系统经常通过在SSL连接连接上传输信用卡卡号的方式来构建，网上银行和其他金融或政务系统也常常构建在上传输

50、信用卡卡号的方式来构建，网上银行和其他金融或政务系统也常常构建在SSL之上。之上。SSL被广被广泛应用的原因在于它被大部分泛应用的原因在于它被大部分Web浏览器和服务器所内置，比较容易投入应用。浏览器和服务器所内置，比较容易投入应用。SET曾经在国际上被大量实验性地使用并经受住了考验，但大多数在曾经在国际上被大量实验性地使用并经受住了考验，但大多数在Internet上采购的消费者并上采购的消费者并没有真正使用没有真正使用SET，原因是，原因是SET交易过程太复杂。交易过程太复杂。SET是一个非常复杂的协议，因为它详尽而准确地是一个非常复杂的协议，因为它详尽而准确地反映了卡交易各方之间存在的各种