电子商务支付系统及其网络安全概述

电子商务支付系统及其网络安全概述

李素科  

 
 
电子商务一个基本的问题就是如何通过现有的网络技术如Internet Web、数据加密、PKI－CA系统、防火墙技术、各种交易协议（如SET）、客户端浏览技术和软件等，使得客户和商家透明地进行安全交易。其中，支付系统的可靠和安全，是整个电子商务框架的基础和保障。当前的主要支付方法主要有信用卡支付、电子支票、电子现金、Smart Card，同时衍生出很多类型的支付方案。

1．电子支付的定义

客户首先一定金额的现金或存款从发卡者处兑换得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，从而能够清偿债务。这种方法实施的基础是金融电子化以，商用电子化设备和各类交易卡为媒介，以计算机技术和通信技术为手段，二进制（0、1）为存储形式，通过计算机网络系统进行买卖交易。

电子商务的电子支付发展有五个阶段。

◆银行利用计算机处理银行间的业务，办理结算；
◆银行计算机与其他机构计算机之间的结算，如代发工资等；
◆利用网络终端向客户提供各项银行业务，如客户在ATM上取款、存款等操作；
◆利用银行销售点终端（POS）向客户提供自动的扣款服务，此为现阶段电子支付的主要方式；
◆网上支付，即电子支付可随时随地地通过互联网进行直接转帐结算，形成电子商务环境。

2．电子商务支付系统分类

就现在世界通用的支付系统不下几十种，根据在线传输数据的种类（加密、分发类型），初略可以被分为三类。

第一类是使用“信任的三方”（trusted third party）。客户和商家的信息比如银行帐号、信用卡号都被信任的第三方托管和维护。当要实施一个交易的时候，网络上只传送定单信息和支付确认、清除信息，而没有任何敏感信息。实际上通过这样的支付系统没有任何实际的金融交易是在线（on-line）实施的。First Virtual典型的信任第三方系统。在这种系统中，网络上的传送信息甚至可以不加密，因为真正金融交易是离线实施的。但是不加密信息，同样可以看成一个系统的缺陷，而且客户和商家必须到第三方注册才可以交易。

第二类是传统银行转帐结算的扩充。在利用信用卡和支票交易中，敏感信息被交换。例如，如果客户要从商家购买产品，客户可以通过电话告知信用卡号以及接收确认信息；银行同时也接收同样的信息，并且响应地校对用户和商家的帐号。如果这样的信息在线传送，必须经过加密处理。著名的CyberCash和VISA/Mastercard的SET就是基于数字信用卡（Digital Credit Cards）的典型支付系统。这种支付系统，对于B to C（Business to Clients）在线交易是主流，因为现在大部分人，更习惯于传统的交易方式。通过合适的加密和认证处理，这种交易形式，应该比传统的电话交易更安全可靠，因为电话交易缺少必要的认证和信息加密处理。

第三类是包括各种数字现金（Digital Cash）、电子货币（Electronic Money and Electronic Coins）。和前面的系统不一样，这中支付形式传送的是真正的“价值”和“金钱”本身。前面两种交易中，信息的丢失往往是信用卡号码，被伪造的信息，也只是信用卡号等。而这种交易种偷窃信息，不仅仅是信息丢失，往往也是财产的真正丢失。

通过支付手段又可以分为电子信用卡支付、Smart Card支付、电子现金支付、电子支票支付等。

3．电子支付系统安全技术

电子商务支付信息流动典型结构如图1所示。在图中，信任第三方是CA认证中心。商家和客户都必须到CA得到自己的证书，然后通过CA认证。很明显，各个部分信息传递，必须要经过加密处理；信息来源和目的，必须经过认证。

在电子商务支付系统中，消费者和商家面临的威胁有：

◆虚假定单：假冒者以客户名义订购商品，而要求客户付款或返还商品；
◆付款后收不到商品；
◆商家发货后，得不到付款；
◆机密性丧失：PIN或口令在传输过程中丢失；商家的定单确认信息被窜改；
◆电子钱和硬币丢失：可能是物理破坏，或者被偷窃。这个通常给用户带来不可挽回的损失。

相应的安全技术有：

◆网络安全检测设备（SAFTsuite）
◆访问设备（安全认证卡）
◆浏览器/服务器软件（支持SSL）
◆证书（VeriSign）（PKI-CA、公钥秘钥加密算法）
◆商业软件（支持电子支付）
◆防火墙（RSA的BSAFE：支持RSA，DES，TripleDES，RC2，RC4等）保护传输线路安全（电磁辐射屏蔽等）
◆防入侵措施，IDS，DIDS（入侵检测系统、分布式入侵检测系统）
◆数据加密（最基本的安全技术，如链路、节点、端对端加密等）
◆访问控制（根据角色访问等控制）
◆鉴别机制（报文鉴别、数字签名、终端识别等）
◆路由选择机制（阻止不合适的IP访问、DoS攻击防范）
◆通信流控制（掩盖通信频度、报文长度、报文形式、报文地址等）
◆数据完整性控制（来自正确的发送方、数据传送到正确的接收方）
◆端口保护（反端口扫描等）
◆病毒木马防范措施

4．典型支付系统应用和安全分析

4．1中间介质服务和信任第三方支付系统

4．1．1 FirstVitual支付系统（无敏感信息在网上传送）
FirstVitual系统的特点是，操作简单，不需要加密信息。适合小面额的交易。它的购物过程如图2所示：（数字标号，表示信息流动时间顺序。）

图 2

买方，卖方和信任第三方之间的数据流动关系如图3所示：

图 3

First Virtual的缺点是，传送的信息都没有加密，身份认证也仅仅处于表面上的帐号验证。首先是必须客户和商家都在第三方上注册；用户容易被别人冒充，同样，第三方发送给用户的帐户确认信息，也可以被冒充者伪造；定单和用户帐号信息，完全暴露。适合的支付范围只是小面额的交易。

4．1．2 CyberCash（敏感信息信息加密，委托的三方代理）

使用CyberCash支付系统，客户端必须先下载CyberCash软件，即“钱夹”；在建立钱夹过程中，买方将信用卡信息提供给第三方CyberCash；CyberCash指定一个加密的代码代表信用卡号码，传送给买方；当买方向接收CyberCash的卖方购物时，它只需简单地输入代码；卖方将代码及购买价格传送给CyberCash；CyberCash证实这一事务并将资金及购买商品的授权传送给卖方。

加密技术使用56位和768位-1024位的RSA公开密钥对产生数字签名。整个过程历时15-20秒。如果网络拥挤会更长时间。客户使用的整购物和支付过程只需输入一个信用卡号，而后台的第三方和银行，以及商家之间的交换信息需要一系列的加密、授权、认证。交易本身需要的成本比较高，适合大面额的交易。安全度也比较高。特别是，交易的各方，都要采用数字签名来验证自己的身份，所以抗伪造信和抗业务否定性比较好。需要说明的是，客户和商家双方均必须使用CyberCash软件，这就是说，要严重信任的三方。在客户上商家注册到的三方，比如Cybercash服务器上的时候，注册后的签名是不能修改的。如果要修改，就要重新注册。

4．1．3 GID（中介服务器交易）
GID中介服务器结构如图所示：

图 4

GID中介服务器，起着对客户和商家的认证机构的作用；并且它维护着买卖双发的帐号；更有意义的是，它同时提供和其他金融机构，比如Visa、Amex、MC等的网关接口；提供任何类型的客户商家要求的服务。整个支付系统有三个大部分组成：Globe ID（R） 中介服务器，提供认证、处理支付、提供和传统金融机构的交易接口；Globe ID（ R）电子钱包接口，让客户确定他要购买的货物愿望、选择支付工具和本身的认证，客户端使用Globe ID PACK（ Payment Authentification Confirmation Kit）工具集；商家电子现金注册工具集（Electronic cash Register Toolkit），让商家产生被签名的支付请求票据（PRT Payment Request Tickets），接收和处理中介服务器传来的PPT（Payment Processed Ticket），这个工具集合中，都采用非对称秘钥，并内嵌中介服务器的证书。

整个系统的消息意义是：

◆PRT（Payment Request Ticket），这个信息是商家给用户提供的不可复制的消息；由中介服务器，展示在用户面前；
◆PPT（Payment Processed Ticket）当中介服务器证实用户接收请求并可以支付时候产生；
◆CAC（Confirmation and Authentication Challenge）由中介服务器提供给用户的确认认证请求；
◆CAR（Confirmation and Authentication Response）由用户发送，确定用户购买愿，指定支付工具。
  
整个交易的过程是：

◆首先用户和商家都在中间交易服务器上注册，并分别安装GID客户商家软件。用户利用GID提供的PACK和自己的浏览器。
◆商家将得到中介服务器提供的对称秘钥，和中介服务器的公钥匙。
◆客户得到Cid（Customer Wallet Identification）客户钱包标志PIN（和中介服务器共享的密码），以及中介服务器的公钥。
◆客户浏览商家服务器，挑选商品，当确认选择后，商家服务器发送PRT。PRT是有中介服务器公钥加密，并有商家的私钥签名。
◆用户接收有商家发送来的PRT，查看相关信息，发送到中间服务器。
◆中介服务器向用户发送CAC（包括用户先前发送的PRT，和支付工具选择集合）确认请求，使用用户端的PACK，用中介服务器公钥进行对中介服务器发送来的CAC认证。
◆如果确定是正确的而且信息是正确的，客户向中介服务器发送CAR。CAR包括两部分：用户用中介服务器的公钥加密用户自己的PIN以及CAR中的信息（防止重放攻击），还有一部分MAC（认证码）用户和中介服务器会话秘钥和Cid，这部分被用户的PIN加密。CAR和CAC都附加消息序列号和时间戳，这样做的目的也是防止重放攻击。
◆服务器给用户发送信息：PPT，用自己的私钥签名，并用商家的公秘钥匙加密表示已经支付，同时通知用户已经支付的信息。用户在发送到商家，商家确认。

GID系统是一个典型的PKI和电子商务应用的系统。尽管使用公用PIN，用户的秘钥可以被保存到物理设备中去，比如IC卡上，这样可以提高安全度。对系统的管理上面，用户几乎可以随心所欲地改变自己想要的密码。而且，用户可以随心所欲地改变选择用户支付工具，比如使用信用卡支付。GID的安全保证，适合从小到大的面额的安全交易。GID属于那种传递消息家庭银行系统（Message Home-banking System）。关于这样的系统，还有HBCI（Home Backing Computer Interface）、OFX（Open Finacial Exchange）、IFX（Interactive Finacial Exchange）、IGS（Integrion Gold Standard）。

 
4．2 智能卡系统（Smart Card System）

智能卡（Smart Card or IC），即嵌入式微型控制器芯片的IC卡。使用智能卡，必须使用响应的读卡设备和智能卡操作系统。开发商使用智能卡的程序编制器，同时提供智能卡应用程序接口。支付过程是：启动浏览器；通过读卡机登录到开户银行上，将卡上信息告知银行；用户从智能卡上下载现金到商家的帐户上，或从银行帐号下载现金存入卡中。

4．2．1 CAFé（ Conditional Access For Europe）

CAFé是欧共体ESPRIT计划的一个项目。这个计划主要是关于商店支付，而不是在Internet上的支付。主要的硬件是pocket-sized electrionic wallets（便携式电子钱包）。CAFé主要是支持离线交易。允许客户在丢失电子钱包的情况下，一样使用。钱包中所有关于钱的数据都是被加密过的格式。CAFé支付设备通过ATM从一个银行帐户上获得“货币”。这个就是“提前支付”的概念，本身下载下来只是货币的相关的信息，不是真正流通货币。当用户要购买什么东西的时候，用户的CAFé设备向商家传送相关价值的“coins”（硬币）。然后商家就得到了有关这些coins的价值信息。然而，商家必须存储这些电子的货币价值形式，然后再兑换成真实的货币。这些coins的流通，是有代号确定的，防止被重用。

CAFé交易模式：（－I-L），用户离线交易模式；由于用户和商家的交易是在离线状态下的，所以需要在一定的时候，在线确认。这样的模式称（－I+L）。CAFé对于客户而言是原子（Atomic）性质的交易，也就是说，一次只做一次。而对于商家来说，就不是了。而且，商家得到了用户的电子形式的货币，并不能马上兑换成实际的货币。而且CAFé和其他形式的支付的接口，严重依赖硬件设备协议实现方式。知道设备PIN的用户才是唯一合法的用户。CAFé的件设备，完全记录整个的交易，用户可以查询得到他的花费信息。用户使用CAFé是比较安全的。从交易信息开始传输到传输结束，整个过程对用户来说都是透明的。而且，CAFé本身有良好的便携带性。适合商店使用的CAFé比适合Internet的交易，更富有通用性和挑战性。但是，CAFé本身也是适合比较小的面额交易。所有的用户信息，都记录到CAFé本身的终端硬件设备上面，如果硬件设备损坏，将是不可挽回的损失。

4．2．2 Mondex

Mondex属于磁条卡式电子现金卡。国际三大信用卡组织（Visa、MasterCard和EUROPAY）合作开发了EMV系列标准、比较成功的试点产品有Mondex、VisaCash。

1995年7月首先试用，最大限额500英镑；2000年增到300-500万张。使用Mondex电子钱包，只要3－5秒钟就可以完成交易，使用密码锁定方式，安全性比较高。而且支持转帐结算和资金划拨功能。

智能卡问题，由于涉及到硬件设备，必须有响应的硬件设备的支持。但是智能卡的普及非常迅速，尤其在法国。可以肯定的是，使用智能卡交易，安全可靠，但是要防止的是，智能卡的物理丢失。如果不需要物理上的PIN验证，那么，丢失了智能卡，也就丢失了财产。CEPS：Common Electronic Purse Specification由Europay International、SERMEPA、Visa International，ZKA支持开发；还有Europay /MasterCard/VISA（EMV） Specification等等。--EMA’96：是由Europay，MasterCard和Visa（EMV）开发的私有规范，用嵌入了集成电路的卡实现支付。EMV’96是采用智能卡技术的信用卡和借记卡应用的全部规范的集合。这些规范提供了信用卡从磁条向芯片技术转移的框架，从而可以减少欺诈和改善信用风险的管理。

Multos：1997年由Maosco协会（发起者为Mondex等工业界领袖）提出的一种更成熟的多用途智能卡技术，与EMV兼容。Mutos对应用的生命周期提供了一种审核策略，包括安全下载，存贮和删除。芯片制造商东芝、西门子以及摩托罗拉正在生产次类产品，而且MasterCard和American Express已经采纳了此技术。
  
 
4．3电子现金交易系统

数字现金的定义：是一种表示现金的加密序列数，可以表示现实中各种金额的币值。

数字现金的属性：

◆货币价值：具有一定的现金、银行授权的信用或银行证明的现金支票等支持；
◆可交换性：指可与（不同国家和地区的）纸币、商品/服务、网上信用卡、银行帐户存储金额、支票、负债等交换；
◆可存储性：从银行帐户中提取一定数额的数字现金存入计算机外存、IC卡等专用设备上；
◆可重复性：防止数字现金的复制和重复使用，建立事后（post-fact）检测和惩罚。

电子现金是以电子化数字形式存在的现金货币。电子现金比现有的实际现金（纸币和硬币）有更多的优点，实际现金要承担的较大的存储风险、高昂传输费用、较大的安全保卫和防伪的投资。电子现金的发行方式包括存储性质的预付卡（即电子钱包）和纯电子系统形式的用户号码数据文件等形式。

电子钱包也可以看成是电子现金的一种形式，往往和智能卡结合使用。

典型的交易系统有：

◆--E-Cash：ECash是由Digicash开发的在线交易用的数字货币。用e-cash客户软件，消费者从银行提取和在自己的计算机上存贮e-cash。制造货币的银行验证现有货币的有效性和把真实的货币与e-cash交换。商家能够在提供信息或货物时接受支付的e-cash货币。客户端软件叫“电脑钱包”（cyberwallet），负责到银行的存／取款，以及支付或接收商家的货币，支付者的身份是不公开的。
◆--Digicash：Digicash是由Digicash公司于1994年5月开发的一种电子现金系统。该系统允许消费者使用电子现金进行在线交易。Digicash是一种无条件匿名系统。当消费者使用硬币时，商家所能看到的只是银行的签字，而不是消费者本人的签名。（http://www.digicash.com）

E-Cash的交易图：

电子现金的主要特点是：

◆银行和卖方之间应有协议和授权关系；
◆买方、卖方和E-cash银行都需要使用E-cash软件；
◆适合于小量的交易（minipayment）；
◆身份验证由E-cash本身完成；
◆E-cash银行负责买方和卖方之间资金的转移；
◆具有现金特点，可以存、取、转让；而且安全性也比较好；
◆主要缺点是，就和普通的货币一样，硬盘故障的时候，如果没有备份，现金就丢失了。技术上主要考虑的问题是电子货币的流通和重用性。

4．4微支付系统

微支付（micropayment）系统主要是用在特别小的网络交易上面，精确度甚至可以达到十分之一美分计算。比如客户浏览收费网页等等。比较典型的微支付系统如IBM的Micropayments系统、Millicent钱包、Cybercoin、NetBill Electronic Commerce Project、MPTP等。

--Millicent钱包用的是能够在WEB上使用的，叫做便条（script）的电子令牌。Script被安全地保存在用户的PC硬盘上，并用个人身份号或口令对其加以保护。由于是微型交易，所以对本身交易的安全考虑并不要求太高，这样的系统，仅仅使用用户的PIN就可以保护自己的用户标志了。还有Worldpay安全的、多币制电子支付系统。使用Worldpay的好处是，不受地域的限制。只要用户有由信用卡或借记卡授权，Worldpay就可以利用自己的可以处理多币制帐户功能集中处理帐户。这个转帐的功能是传统交易行为的扩充，也是计算机金融自动化的产物。需要的设施是，需要特别的支持Worldpay银行作为运行系统的经济人。Cybercoin可以用在信用卡交易，协议尚未公开。-MPTP：3W协会（W3C）定义的一组微支付用的API。

4．5电子支票系统

电子支票和传统的支票形式几乎有着同样的功能。比如说内容上同样有支票支付人的姓名、支付人金融机构名称、支付和帐户名、被支付人姓名、支票金额等。不同于传统的支票认为签名，电子支票需要经过数字签名，被支付人数字签名背书，使用数字凭证确认支付者/被支付者身份、支付银行以及帐户，从伪造签名意义上说，伪造一个电子支票远远比伪造一个传统的支票的签名难度大，所以安全度比较高。金融机构使用签过名和认证过的电子支票进行帐户存储。

首先是和传统支票工作方式相同，易于理解和接受；加密的电子支票使它们比基于公共密钥加密的数字现金更易于流通，买卖双方的银行只要用公共密钥认证确认支票即可，数字签名也可以被自动验证；电子支票适于各种市场，可以很容易地与EDI应用结合，推动EDI基础上也可以被自动验证；第三方金融服务者不仅可以从交易双方处抽取固定交易费用或按一定比例抽取费用，它还可以作为银行身份，提供存款账目，且电子支票存款账户很可能是无利率的，因此给第三方金融机构带来了收益；电子支票技术将公共网络连入金融支付和银行清算网络。CyberCash可提供一种名为购买支票：需注册并具有银行的数字签名。电子支票系统，严重一类PKI。

电子支票付款：（分为七步）

◆买方用自己的私有密钥在电子支票上进行数字签名；
◆使用卖方的公钥加密电子支票；
◆使用e-mail或其它方式向卖方支付；
◆只有卖方可以收到用卖方公钥加密的电子支票；
◆用买方的公钥确认买方的数字签名；
◆向银行进一步确认电子支票；
◆卖方发货给买方。

现在主要在开发或者应用的电子支票系统有：FSTC Electronic Check、The Mandate Electronic Cheque、NetCheque、NetChex，以及是由美国匹兹堡的Carnegie-Mellon大学的NetBill等。

4．6电子信用卡系统

信用卡1915年起源于美国。是一种信用凭证是一种将支付与信贷融为一体的业务。信用卡同时具备信贷与支付；信用卡除银行与客户之外，还与受理信用卡商户发生关系。

按信用卡性质与功能区分：借记卡（Debit Card）--先存款，后支用；贷记卡（Credit Card）--先消费，后还款；综合卡--结合两种功能的卡，偏重“借记”。信用卡支付是电子支付中最常用的工具。可采用刷卡记帐、POS结帐、ATM提取现金等方式进行支付。电子商务中当用户通过网络在该公司购物时，用户用信用卡号，和公司交换信息。用户使用安全的SET协议进行网络支付，具体方式是用户网上发送信用卡号和密码，加密发送到银行进行支付。在网页传送过程中，为了保证安全可靠，使用SSL传输协议。

信用卡支付是当今网络支付最流行的支付方式。主要有四种支付形式。

◆无安全措施的信用卡支付。买方通过网上从卖方定货，信用卡信息通过电话、传真等非网上传送，或者在网上传送信用卡信息，但无安全措施；买卖双方使用各自现有的银行商家专用网授权来检查信用卡的真伪。特点是：由于卖方没有得到买方的签字，如果买方拒付或否认购买行为，卖方将承担一定的风险；信用卡信息在线传送，但无安全措施，买方将承担信用卡信息在传输过程中的被盗风险及卖方获得信用卡信息等风险。

◆通过第三方代理人的支付启用第三方代理，使卖方看不到买方的信用卡信息，避免信用卡信息在网上多次公开传输而导致信用卡信息被窃。原理和前面介绍的第三方支付系统差不多。使用SET(3/4)Secure Electronic Transaction，由Visa和MasterCard联合制定，已成为工业标准。在SET中要使用五种证书：持卡人、商家、支付网关、收单者、颁发者。使用的仍然是PKI-CA体系结构。有点特点的地方是，引入了“双重签名机制”。

5．其他相关协议
◆联合电子支付倡议（JEPI）。JEPI是W3C和CommerceNet的一个合作项目。包括位于HTTP层之上的被称为PEP（协议扩展协议）一个扩展层；以及统一支付前导门PN，鉴别合适支付方式的协商协议。支持JEPI的支付系统有CyberCash，GCTech。

◆因特网开放购买协议（OBI）。OBI是由0BI协会规定的一个电子商务标准。OBI标准是一种设计开放、灵活的B-to-B因特网电子商务解决方案。OBI要求使用广泛接受的、标准化了的技术，如HTTP，数字证书（X.509），SSL和EDI等。--（

◆因特网开放交易协议（IOTP）。IOTP提供了一个电子商务互操作框架。先前为0TP组织拥有，现在为IETF所接管。优点是消费者和商家可以事先并不认识，以及与支付协议的独立性。它能够封装和支持的协议包括SET，Mondex，CyberCash的CyberCoin，DigiCash的e-cash，GeldKarte等。

小结
本文就整个电子商务的支付系统的安全支付问题做了一个非常粗略的概述。电子商务实现技术问题中的关键问题就是安全问题，安全问题又涉及到整个使用的协议的实现和安全应用问题。

【参考文献】
1．Paul-André Pays，Fabrice de Comarmond，An Intermediation and Payment System Technology
2．Electronic Payment
3．何宝宏.因特网电子支付协议发展现状
4．北大计算机系.北京大学电子商务讲义

5．张铎.电子商务的核心：电子货币