基于SSL和SET协议的支付系统

摘 要：由于网络支付是制约电子商务向深度和广度发展的瓶颈，在介绍网络支付系统框架的一般结构及银行卡的网络支付模式之后，提出基于安全套接层（Secure Socket Layer， SSL）和安全电子交易（Secure Electronic Transaction, SET）协议的网络支付系统，并对其支付流程和安全性进行阐述与讨论.

关键词：网络支付； 安全套接层； 安全电子交易； 电子商务； 支付系统； 电子钱包

中图分类号：F724.6 文献标志码：A

Internet payment system based on SSL and SET protocol

JIANG Zhihua

(Info. Eng. College, Shanghai Maritime Univ., Shanghai 200135, China)

Abstract： Internet payment is the bottleneck that restricts the development of E-Business. So the general internet payment system framework for bank card is introduced, and an Internet payment system based on Secure Socket Layer (SSL) and Secure Electronic Transaction (SET) protocol is proposed. And its payment flow and security are detailed and discussed.

Key words： Internet payment; secure socket layer; secure electronic transaction; E-Business; payment system; E-Wallet

0 引 言

网络支付方式是电子商务发展的关键要素.电子商务交易支付涉及支付安全和实现平台的统一，信息安全技术已经为网络支付研究出一系列安全加密及信息传输的技术规范，如以安全套接层(Secure Socket Layer, SSL)协议和安全电子交易协议(Secure Electronic Transaction, SET)为代表的网络支付协议及应用于网上的数字签名、用户论证等技术.本文结合SSL和SET网络支付协议及应用技术，讨论基于第三方运营的网络支付方式，发挥SET的严密性和SSL的简单直观性等特点，使网络支付系统构建体现资源整合、方便交易特色的统一支付平台.

1 网络支付模式

网络支付是指电子商务交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转，对支付的要求是能够实现跨地跨行的交易支付快捷且安全，并保证银行之间、银行商户之间的资金结算准确无误.电子支付的方式主要有3类：一类是电子货币类，如电子现金和电子钱包等；另一类是电子信用卡类，包括银行磁卡、智能卡和电话卡等；还有一类是电子支票类，如电子支票、电子汇款和电子划款等.

在电子支付的3种基本支付方式中信用卡（银行卡）支付得到世界范围内的普及［1］，能很好地解决小额在线支付结算中的安全问题，因此越来越多的人愿意接受并且喜欢利用信用卡进行网络支付.信用卡网络支付模式总体有下面4种.

1.1 无安全措施的信用卡支付模式

这种支付模式是指持卡人利用信用卡进行支付结算时，几乎没有采取任何技术上的安全措施而把信用卡号码和密码直接传送给商家，然后由商家负责后续处理的模式(见图1).这是在电子商务发展初期各方面都不太成熟，特别是银行对电子商务的支持还不完善的情况下出现的，风险由商家负责，安全性差，持卡人的信用卡隐私信息完全被商家掌握，支付效率较低.［2］

1.2 借助第三方机构的信用卡支付模式

为了降低在无安全措施支付模式中的风险，在买方和卖方之间启用1个具有诚信的第三方机构，这个机构持有持卡客户的信用卡账号信息用于与银行的支付结算，并负责将交易信息在商家和客户之间传递(见图2).这种方式对第三方机构的公正、信誉和操作规范有很高的要求［3］，主要风险由第三方机构承担，安全性得到一定的保证；但由于并未发挥银行网络在支付中的作用，在提高安全性的同时支付效率没有得到提高，成本也较高，且不太适合小额的网上支付.

1.3 基于SSL协议机制的信用卡支付模式

这种方式为Internet环境下信用卡支付的典型方式(见图3)：使用SSL作为安全会话，保护和防止Internet其他用户获取信用卡帐号等机密信息.交易多方身份验证机构认证中心(Certification Authority,CA)的作用是间接的，主要是为支付各方颁发证书.用户以明文方式输入其信用卡号，该卡号将被加过密的SSL会话发送给商家的服务器并转发给发卡银行.这种通过商家中转支付信息的SSL支付模式不能保证支付账户信息不被商家看到，所以改进的SSL支付模式就是客户浏览器与银行服务器之间直接建立SSL加密联接.SSL支付模式是应用最为广泛的网络支付模式，其特点是应用方便、成本较低、安全性高、市场产品成熟，国内大多数商业银行的信用卡网络支付系统都采用这种技术模式，绝大多数的网上商家均支持这种模式的信用卡应用.

SET协议是由Visa和MasterCard联合开发的1种开放性标准.SET协议可以让持卡人在开放网络上发送安全的支付指令和获取认证信息.SET主要用于兼容当前的信用卡网络，目前涉及的是B2C的电子商务交易.在交易之前，客户必须到相应的发卡银行柜台办理应用SET协议机制的信用卡，并下载安装持卡客户端软件（电子钱包软件），将信用卡相关信息添加进客户端软件，最后为其中的信用卡申请数字证书；同样，商户需到银行办理这类信用卡结算事宜，得到服务器端SET支持软件，并且从CA得到数字证书.作为银行网络与外部网的接口支付网关，也须得到数字证书的认证.在交易过程中，SET介入信用卡支付的全过程，由于加密、认证较多，支付处理速度相对SSL机制的信用卡支付稍慢，各方开销也大一些，但该协议设计得很安全，已经成为事实上的工业标准.［4］

2 基于SSL和SET的网络支付

2.1 网络支付原理

目前应用较多的SSL和SET机制各有优劣.SSL强调的重点在于实现网络支付的便捷性，即可以在任何1网的PC上进行网上支付（需要安全认证和数字证书的下载），但是用户必须遵循不同银行卡相对独立的支付规则，且针对银行的是特约商户，一般商户不能支持所有银行卡.而SET流程设计安全，一般利用安装在物理设备（用户PC硬盘）之上的电子钱包模拟实际购物，对于用户而言很直观也比较易用，但是移动性却因为需要安装电子钱包软件而丧失，每次网络支付都要安装电子钱包软件很不现实.

结合SSL和SET网上支付的优势，将安装在本地硬盘的电子钱包置于网络上，由独立的第三方（网络服务商）管理用户电子钱包，并使网上钱包与银行的前端接口――支付网关有机结合，这样用户在网上购物与支付时，以浏览器加密专用通道（即SSL）的方式使用SET机制的电子钱包功能.

2.2 网络支付流程

网络支付流程见图4.

从图4可知，利用网上钱包进行在线支付的大致流程如下：（1）申请电子钱包.客户要在网上钱包服务商处开通网上钱包功能，申请电子钱包并进行设置.一般情况下客户可以到柜台申请，也可以在线申请，成功后用户得到网上钱包的账号和密码.用户还需对自己的电子钱包进行设置，将信用卡及支付卡账号、密码等信息存入网上钱包的个人账户中，除此之外还应对电子钱包的保密性做设置.（2）使用钱包中的信用卡支付.网上钱包实际上是个统一的支付平台，用户在SSL会话界面输入自己的网上钱包账号和密码进入钱包系统，选择信用卡进行支付.此时SET介入其中，对于银行支付网关，可以是与网上钱包平台集成的统一支付网关，也可以是银行自身的支付网关.收单行扣款成功返还给网上钱包平台，再通过SSL通知客户支付成功信息.

3 网络支付的安全性讨论

网络支付给用户带来使用上的方便，而且SSL和SET的结合能够使支付交易的速度得到提高.SSL和SET协议在网络安全上根据不同的安全要求和级别采取相应的安全防范措施.同样，网络支付在应用中也采用诸如数字签名、数字信封和数字摘要等技术，使其安全性问题就在于第三方钱包运营商的公正性（如钱包用户基本信息的保密问题等）以及钱包用户身份合法性上.

前者应当强化第三方机构（服务商）的审核，可以在应用中由业界普遍认同的绝对公正的金融机构担任网上钱包的服务商，同时CA应适时地加以身份鉴证；技术上加强用户对钱包账户信息的自我控制，对钱包运营商的数据监控.对于后者［5］，应加强密码系统的安全性，用户应注意账户信息的保密和密码的及时更新，必要时可以采用动态密码机制.另外将账户信息集成在存储设备（如智能卡）上，采用双重身份登陆方法，也是实现网上钱包个人安全登陆的好办法.目前，国内金融网络建设的“银联”模式就是这样的实际应用，“银联”是依托于银行卡跨行跨地的资金流转业务而产生的，除了提供银行卡方便的现金支取和消费刷卡之外，其技术优势可完全应用于网络支付，作为第三方的支付网关，代表众多商业银行的支付工具，已经实现在线支付的即时到账，各类具有银联标志的银行卡都能方便地完成网络支付，并且正得到越来越多的应用.

4 结 论

本文阐述的是基于SSL和SET相结合的网络支付系统，是权衡两者利弊的较佳方案.可以看到，网络支付依托的是传统的网络支付模型和工具，在系统构成上主要要素不变，这就说明已经成熟的网络支付协议及安全技术是支付系统的基础，而在支付方式的形式上有比较大的拓展空间，这要根据实际的支付环境来决定.在设计网络支付系统时，应充分考虑支付环境和交易的情况，做到安全和便捷的统一.

参考文献：

［1］ 梁春晓, 安徽. 电子商务从理念到行动［M］. 北京: 清华大学出版社, 2001.

［2］ 柯新生. 网络支付与结算［M］. 北京: 电子工业出版社, 2004.

［3］ 张卓其. 电子银行安全技术［M］. 北京: 电子工业出版社, 2003.

［4］ 尹美娟, 王中尚, 李梅林. 基于SET协议的网上支付系统研究和分析［J］. 计算机与现代化, 2003(11): 62-64.

［5］ 杨德礼, 胡祥培. 电子商务环境下管理理论与方法［M］. 大连: 大连理工大学出版社, 2004.