网上支付系统研究 基础篇.docVIP

网上支付系统研究 基础篇 网上支付系统研究-基础篇 第一节网上支付系统概述 一,网上支付系统定义 网上支付系统是电子商务系统的重要组成部分,它指的是消费者,商家和金融机构之间使用安全电子手段交换商品或服务,即把新型支付手段(包括电子现金(E-CASH),信用卡(CREDIT CARD),借记卡(DEBIT CARD),智能卡等)的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支付. 一套数字支付系统要获得成功,它必须符合下列要求： 可接受性--为了获得成功,支付体制必须被广泛接受 匿名操作--如果客户要求,他们的身份应该受到保护 可兑换性--数字货币应该能够兑换成其他类型的货币 有效性--每笔交易的费用应该接近于零 灵活性--应该支持几种不同的支付方案 综合--为了支持现有的应用程序,应该开发接口与应用程序综合使用 可靠性--支付系统应该具有高度可用性,避免任何小小的失误 可升级性--允许新客户和经营者的加入,不应当破坏系统结构 安全性--允许在开放网络上,比如因特网上,进行财务交易 易用性--支付过程应该象现实世界中那样方便 二,网上支付系统的功能 虽然货币的不同形式会导致不同的支付方式,但安全,有效,便捷是各种支付方式追求的目标.对于一个支付系统而言(可能专门针对一种支付方式,也可能兼容几种支付方式),应有以下的功能： 1,使用数字签名和数字证书实现对各方的认证 为实现协议的安全性,对参与贸易的各方身份的有效性进行认证,通过认证机构和注册机构向参与各方发放X.509证书,以证实身份的合法. 2,使用加密技术对业务进行加密 可以采用对称体制和非对称体制来进行消息加密,并采用数字信封,数字签名等技术来加强数据传输的保密性,以防止未被授权的非法第三者获取消息的真正含义. 3,使用消息摘要算法以确认业务的完整性 为保护数据不被未授权者建立,嵌入,删除,篡改,重放,而完整无缺地到达接收者,可以采用数据变换技术.通过对原文的变换生成消息摘要一并传送到接收者,接收者就可以通过摘要来判断所接收的消息是否完整,否则,要求发送端重发以保证其完整性. 4,当交易双方出现异议,纠纷时,保证对业务的不可否认性 用于保护通信用户对付来自其他合法用户的威胁,如发送用户对他所发消息的否认,接收者对他已接收消息的否认等.支付系统必须再交易的进程中生成或提供足够充分的证据来迅速辨别纠纷中的是非.可以采用仲裁名,不可否认签名等技术来实现. 5,能够处理贸易业务的多边支付问题 由于网上贸易的支付要牵涉到客户,商家和银行等多方,其中传送的购货信息与支付信息必须连接在一起,因此商家只有确认了支付用户后才会继续交易,银行业只有确认了购付信息后才会提供支付.但同时,商家不能读取客户的支付信息,银行不能读取商家的订单信息,这种多边支付的关系就可以通过双联签字等技术来实现. 三,网上支付系统的类型 1,目前,世界通用的支付系统不下几十种,根据在线传输数据的种类(加密,分发类型),粗略可以被分为三类. 第一类是使用信任的第三方(trusted third party).客户和商家的信息比如银行帐号,信用卡号都被信任的第三方托管和维护.当要实施一个交易的时候,网络上只传送定单信息和支付确认,清除信息,而没有任何敏感信息.实际上通过这样的支付系统没有任何实际的金融交易是在线(on-line)实施的.First Virtual是典型的信任第三方系统.在这种系统中,网络上的传送信息甚至可以不加密,因为真正金融交易是离线实施的. 第二类是传统银行转帐结算的扩充.在利用信用卡和支票交易中,敏感信息被交换.例如,如果客户要从商家购买产品,客户可以通过电话告知信用卡号以及接收确认信息；银行同时也接收同样的信息,并且响应地校对用户和商家的帐号.如果这样的信息在线传送,必须经过加密处理.著名的CyberCash和VISA/Mastercard的SET就是基于数字信用卡(Digital Credit Cards)的典型支付系统.这种支付系统,对于B to C(Business to Clients)在线交易是主流,因为现在大部分人,更习惯于传统的交易方式.通过合适的加密和认证处理,这种交易形式,应该比传统的电话交易更安全可靠,因为电话交易缺少必要的认证和信息加密处理. 第三类是包括各种数字现金(Digital Cash),电子货币(Electronic Money and Electronic Coins)的支付系统.和前面的系统不一样,这种支付形式传送的是真正的价值和金钱本身.前面两种交易中,信息的丢失往往是信用卡号码.被伪造的信息,也只是信用卡号等.而这种交易中被偷窃信息,不仅仅是信息丢失,往往也是财产的真正丢失. 2,根据支付体系结构的不同分类,可分为： (1)银行卡非SET电子