发信人: chairmao(小毛)
整理人: aokven(2002-11-01 17:14:30), 站内信件
|
国内外网上支付现状
国外的状况
随着Internet的迅速发展,国外早在八十年代就开始了电子商务的研究与开发。现代密码技术的不断更新,使得电子商务,尤其是网上支付在安全算法和协议等方面已经十分成熟;网络通信技术的不断进步,更给电子商务和电子支付提供了坚实的物质基础。目前,国外网上支付系统己进入实用化阶段。
网上支付方案大致可分为以下三类:
1.通信安全协议
多数安全电子商务建筑在传统端到端安全技术之上。当今较为著名的协议有:
·SHTTP [4]、PEM [5]和MOSS [6],它们分别是HTTP、电子邮件和MINE的扩展。
·SSL [7]和IPv6/Ipsec [8],它们提供了应用层之下的安全通信协议。
上述协议使用了一系列相同的安全机制和密码学算法,主要包括基于RSA的数字签名,基于DES和RSA的加密方法和基于MD5的杂凑(hash)函数。它们均需要一个公钥密码体制。SSL和SHTTP已被集成在商业产品上,多数Web浏览器和服务器的生产商已宣布支持它们。
2.支持安全交易的商家服务器
从安全的角度来看,它们的核心是“支付交换”。支付交换支持不同类型的购方身份验证,集中支付行为和取得支付行为成功之后的消息访问权限,服务器支持SSL和SHTTP。显然结构是高度集中化的,并且只从服务器方面考虑。
3.电子在线支付系统
多数现有的电子商务服务集中在开发电子支付系统上,系统包括的范围:
·不使用任何特殊的保护方法,而仅需要提前对用户帐号注册,它们被认为是不充分安全的;
·通过特殊的安全协议处理购方认证和支付信息,来实现信用卡模式的系统,例如iKP 和SET;
·实现匿名电子现金模式的系统。
我们来看看国外的几个具体实例:
·E-mail etc.
为了进行在线购物,顾客使用Web主页或e-mail提供信用卡明细帐。许多Web网点在信用卡明细帐被消费者发送到零售商之前,使用了在Netscape中实现的基本安全协议(SSL)来加密信用卡明细帐;许多也提供另一种可选方式(通过电话或传真)发送信用卡明细帐。
·First Virtual(FV)
仅对于在线信息服务──用户在FV上注册为一个购者或卖者,他们通过邮寄而不是Internet来传送银行/信用卡明细帐。注册过的用户被分配给一个帐号ID和口令。购者使用其FV帐号ID和口令进行购物,卖者与FV进行在线验证,并提供被购的信息给购者,购者最后通过e-mail或者传真来确认交易。小额交易累计到适当的数额($10),然后现金从购者信用卡上收集起来。此口令在Internet上传输时是没有保护的,因此系统是很容易被窃取的。FV通过请求支付方通过email或传真进行确认,来达到一定的保护。现在,它们仅被应用到Visa和MasterCard帐号和美圆上。卖者在指定的银行帐号接收资金。
·CyberCash
CyberCash给用户和商家免费提供客户端软件,以实现它们使用专用加密技术的安全Internet支付服务(Secure Internet Payment Service)。这使用户可提交付款给零售商,零售商再传送给连接到一定数量美国银行专用网络的CyberCash服务器。零售商不能够看到加密支付中的任何信用卡明细帐。CyberCash也决定引进他们自己的货币支付服务和微支付,以允许在银行帐号间进行在线支付。
·Microsoft/Visa
Microsoft和Visa已经宣布结成联盟,以提供给人们“在Microsoft网络上从第三方直接通过信用卡号进行购物”。为使安全金融交易能在不安全的网络上进行,他们提供了专用协议(STT-Secure Transaction Technology)的规范。在信用明细帐传送给零售商之前,明细帐被消费者的浏览器上加密。零售商不能访问任何信用卡明细帐,而只能在卡的发行行/代理行系统上解密一次。
· SEPP
它是Netscape、Mastercard、IBM、GTE和CyberCash联合制定的一个安全金融交易的开放协议(SEPP-Secure Electronic Payments Protocol)。它作为与Microsoft的STT技术的竞争产品。在信用卡明细帐被传送给卖方之前,明细帐被购方的浏览器上加密。卖方不能访问任何信用卡明细帐,而只能在卡的发行行/代理行系统上解密一次。它使用了高级别的安全加密和数字签名技术嵌于支付进程(使用784比特长的密钥,很快将扩展到1024比特)。Netscape已宣布支持Verisign认证中心的证书,并且在其产品中实现了SEPP协议。
·BankNet
BankNet是MarketNet和Secure Trust银行联合推出的。他们建立了一个Internet银行,提供顾客在线查询帐号和提交支付定额的功能。他们提供电子支付定额,称做Echeaque,作为帐号所有者在Internet上购物和服务的支付手段。用户的浏览器允许他们使用一个在BankNet注册过的私钥,数字地签名Echeaque,并允许在BankNet顾客之间进行支付行为。他们打算扩展此系统,以通过e-mail使得Echeaque可被其它一般的银行确认并接收。
·Digicash
Digicash系统引入了“电子货币”的概念,用户银行帐号上的货币数值被数字地签名。与接受这种货币的服务提供者进行交易时,每个货币仅使用一次。当货币使用时,在给付款人返回确认之前,立即被收款人传送给银行进行在线验证和记录(确保不再次使用),之后付款人弃掉已使用的货币。相应数量的现金被记入受款人的银行帐号。系统使用了盲签名技术,它保证货币能被验证,而不会向零售商或银行泄露顾客的身份。然而,所有的交易都要进行集中处理,所有接受到的付款都被存到受款人的银行。所以获得唯一匿名的方法只有通过每次交易中的付款人来实现。
·Mondex
Mondex系统是基于防篡改智能卡上的离线电子现金系统。智能卡保存着现金金额(多种货币单位)及用于产生和接受支付行为的软件。系统由NatWest银行开发,用于作为现实世界中现金的替代。用户在商店、餐馆和咖啡厅等进行现场使用,以及从现场的ATM机中下载现金金额。使用手持“电子钱包”,Mondex允许支付行为在用户之间进行;使用特别改造的电话作为‘ATM’,可从银行帐号远程下载现金金额。它是具有离线可转让性的系统:受款人可以使用接受到的现金进行新的支付行为,而无需中间的转存。因为软件存储在智能卡上,并且使用了认证技术,通信线路的(非)安全性是无关紧要的。没有中心处理过程,在交易中只有双方智能卡的介入,故没有中心记录被保存或查询,这样现金的匿名性被维持。
其中信用卡支付机制的STT和SEPP协议是分别由VISA和MasterCard制订的两个相互竞争标准,最近被一个通用的安全电子交易协议SET(Secure Electronic Transactions)所取代。
国内的现状
目前,国内有招商银行、中国银行首先开通了网上支付业务,其他主要银行也在跟进。下面我们对招商银行的网上支付和中国银行的网上支付作一比较。
招商银行 中国银行
以SSL为基础的自定义方式 仿SET 1.0
“一卡通”子帐户优点:保障主帐户资金安全缺点:需要向专户转帐 长城电子借记卡
无须预装软件优点:操作简单,还可用于信息家电的网上支付 需下载电子钱包软件,申请电子证书缺点:将帐户信息存入电子钱包,可能被盗取。 操作复杂,耗费时间
通过卡号、密码确认 通过卡号、密码、数字证书确认优点:交易不可抵赖
有限额,10000元/天优点:减少风险 无限额优点:可购买大额商品
全国联网 只能在几个城市运行
支付迅速,数秒内可完成 支付缓慢,常不能完成交易
对商户软硬件无要求,容易发展商户 对商户软硬件有较高要求,商户须付出很大代价,很难发展商户
支付信息不经过商户,直接送到银行 支付信息通过商户送到银行
在国外类似方法得到广泛应用优点:比较实用,对商户、用户、网络基础建设的要求都比较低。缺点:理论上不如SET严密 在国外也罕见成功案例
|
|