在信用卡的网络支付中,客户的信用卡账号中通常没有多少资金,实际上商家取得的商品或者服务债权金额,由客户的发卡行代为支付。在信用卡网络支付系统中,会有一个信用卡交换中心作为信用卡的授权机构参与网络支付的授权、清算等活动。
1、无安全措施的信用卡支付模式
这种支付模式是指持卡人利用信用卡进行支付结算时,几乎没有采取任何技术上的安全措施而把信用卡号码和密码直接传送给商家然后由商家负责后续处理的模式,如图1所示。这是在电子商务发展初期各方面都不太成熟,特别是银行对电子商务的支持还不完善的情况下出现的,风险由商家负责,安全性差持人的信用卡隐私信息完全被商家掌握,支付效率较低。
图1 无安全措施的信用卡支付模式
2、借助第三方代理机构的信用卡支付模式
为了降低在无安全措施支付模式中的风险,在买方和卖方之间启用一个具有诚信的第三方代理机构,这个机构持有持卡客户的信用卡账号信息用于与银行的支付结算并负责将交易信息在商家和客户之间传递。
这种方式对第三方代理机构的公正、信誉和操作规范有很高的要求,主要风险由第三方代理机构承担,安全性得到一定的保证;但由于并未发挥银行网络在支付中的作用,在提高安全性的同时支付效率没有得到提高,成本也较高,且不太适合小额的网上支付。
借助第三方代理机构的信用卡支付流程如下:
(1)持卡客户以在线或离线方式在第三方代理机构处登记信用卡号和注册一个相应的应用账号,由代理人持有买方的信用卡号和账号。
(2)持卡客户上网用该应用账号从网上商家处进行在线订货,且把应用账号传送给商家。
(3)商家将持卡客户传送来的应用账号、交易资金、支付条款等信息以离线或在线方式提供给第三方代理机构核实,第三方代理机构验证应用账号信息后,经与持卡客户协商,得到持卡客户确认,再返回给商家一个确认信息。
(4)商家在收到第三方代理机构的确认信息后,接收持卡客户的购货订单,然后给持卡客户以及第三方发出交易确认通知。
(5)第三方代理机构收到交易确认通知后,按支付条款要求办理资金转拨手续。
图2描述了借助第三方代理机构的信用卡支付的流程。
图2 第三方代理机构信用卡支付流程
借助第三方代理机构的银行卡支付方式的特点如下:
使用这种方式是通过双方都信任的第三方代理机构协助完成的,由于真正的信用卡信息不在开放的网络上多次传送,因此持卡客户既没有信用卡信息被盗窃的风险,卖方也没有很高的受骗风险;这种方式对第三方代理机构的公正、信誉与操作规范有很高的要求,主要风险由第三方代理机构承担;该方式虽然提高了支付的安全性,但支付效率还是较低,成本也较高,其性能价格比在小额支付结算中并不高,它属于电子商务发展初期利用银行卡支付结算时的一种过渡方式。
3、基于SSL协议机制的信用卡支付模式
这种方式为互联网环境下信用卡支付的典型方式,使用SSL作为安全会话,保护和防止互联网其他用户获取信用卡账号等机密信息。交易多方身份验证机构认证中心的作用是间接的,主要是为支付各方颁发证书。用户以明文方式输入其信用卡号,该卡号将被加过密的SSL会话发送给商家的服务器并转发给发卡银行。
这种通过商家中转支付信息的SSL支付模式不能保证支付账户信息不被商家看到,所以改进的SSL支付模式就是客户浏览器与银行服务器之间直接建立SSL加密连接。
SSL协议在运行过程中可分为六个阶段:
(1)建立连接阶段:客户通过网络向服务商打招呼,服务商回应。
(2)交换密码阶段:客户与服务商之间交换双方认可的密码。
(3)会谈密码阶段:客户与服务商之间产生彼此交谈的会谈密码。
(4)检验阶段:检验服务商取得的密码。
(5)客户认证阶段:验证客户的可信度。
(6)结束阶段:客户与服务商之间相互交换结束信息。
SSL在信息传递上的安全性,刚好适应了电子支付的需要。又由于架构简单,处理的步骤少,速度快,所以虽然存在一定的安全性漏洞,但依然被广泛地应用在银行卡在线支付模式中。图3描述了基于SSL协议机制的信用卡支付模式工作流程。
图3 基于SSL协议机制的信用卡支付流程
(1)身份认证。SSL模式的身份认证机制比较简单,只是付款人与收款人在建立“握手”关系时交换数字证书。
(2)付款人建立和收款人之间的加密传输通道之后,将商品订单和信用卡转账授权传递给收款人。
(3)收款人通过支付网关将转账授权传递给其收单行。
(4)收单行通过清算网络向发卡行验证授权信息,发卡行验证信用卡相关信息无误后,通知收单行。
(5)收单行通知收款人电子支付成功,收款人向收单行请款。
通过对基于SSL协议机制的信用卡支付流程的分析,可以发现该模式应用具有以下特点:
①实现的是部分信息加密,效率提高;
②使用对称私有密钥和非对称公开密钥加密技术各尽所长,相当安全;
③客户端可选对商家身份验证数字证书,提高支付效率;
④由于持卡客户端进行网络购物时只需一个银行卡号和密码,无须任何其他硬件设施,可以说比传统的银行卡支付投入还少。
所以这种支付方式给支付客户带来极大的方便,支付处理速度也比较快。
4、基于SET协议机制的信用卡支付模式
SET协议是由VISA和MasterCard联合开发的一种开放性标准。SET协议可以让持卡人在开放网络上发送安全的支付指令和获取认证信息。
SET主要用于兼容当前的信用卡网络,目前涉及的是B2C的电子商务交易。在这种支付方式中,运用了一系列安全技术与身份认证手段,如对称加密、公开密钥加密、数字摘要、数字签名和双重签名、数字证书等。
SET协议的作用是达到网络的安全交易。安全电子交易的目的是提供信息的保密性,确保付款的完整性和能对商家及持卡人进行身份验证,而实施SET机制可以做到如下几点:
(1)对付款信息及订单信息能各自保密。
(2)能确保所有传送信息的完整性。
(3)能验证付款人是银行卡的合法使用者。
(4)能验证商家是该银行卡的合法特约商家。
(5)建立一个协议,该协议不是依赖传输的安全机制。
(6)能在不同平台上及不同网络系统上使用。
SET协议为了能做到上述六点,必须要架构一个PKI(public key infrastructure,公钥基础设施)对参与的成员进行认证,同时利用密钥对传送信息进行加密。在SET协议中对认证的架构规定严谨,认证是采用层级式的架构,而无论是付款人、收款人或收单银行都需要经过认证才能参与交易。其中地区性认证中心并不一定存在,而品牌认证中心可能直接认证付款人、收款人及金融机构。
基于SET协议机制的信用卡支付模式的工作流程:在SET协议环境下,应用银行卡进行电子支付需要在客户端下载一个客户端软件(电子钱包软件),在商家服务端安装商家服务器端软件在支付网关安装对应的网关转换软件等,并且各参与者还要各自下载一个证实自己真实身份的数字证书,借此获取自己的公开密钥和私人密钥,且把公开密钥公开出去,手续稍显麻烦。如图4所示。
图4 基于SET机制的网络支付流程
(1)付款人在发卡行柜台办理应用SET网络支付的信用卡;收款人(商家)与收单行签订相关结算合同,得到商家服务器端的SET支持软件,并安装。
(2)付款人从银行网站下载客户端软件,安装后设置应用此软件的用户名、密码等,以防止被人非法运行。
(3)付款人访问认证中心网站,把信用卡相关信息,如卡类别、卡号、密码、有效期等资料填入客户端软件,并且申请一张数字证书。
(4)付款人在商家网站上选购商品,结账时选择SET结算方式。这时客户端软件被激活,付款人输入软件用户名和密码,取出里面的相应信用卡进行支付。
(5)客户端软件自动与商家服务器相应软件进行身份验证,双方验证成功后,将订单信息及信用卡信息一同发送到商家。
(6)商家服务器接收到付款人发来的相关信息,验证通过后,一边回复付款人一边产生支付结算请求,连同从客户端来的转发信息一并发给支付网关。
(7)支付网关收到相应支付信息后转入后台银行网络处理,通过各项验证审核后,支付网关收到银行端发来的支付确认信息。否则向商家回复支付不成功。
(8)支付网关向商家转发支付确认信息商家收到后认可付款人的这次购物订货单,并且给付款人发回相关购物确认与支付确认信息。
(9)付款人收到商家发来的购物确认与支付确认信息后,表示这次购物与网络支付成功,客户端软件关闭。电子支付完毕。
分析基于SET协议机制的信用卡支付模式工作流程,可以总结出该支付方式具有以下特点:
①需要在持卡客户端安装客户端软件;
②需要各方申请安装数字证书并且验证真实身份;
③实现的是部分信息加密,以提高效率;
④使用对称密钥加密法、非对称密钥加密法、数字摘要技术、数字签名、数字信封等多种技术,各尽所长;
⑤充分发挥CA的作用以维护在互联网上的电子商务参与者所提供信息的真实性和保密性;
⑥客户端软件功能多样,每次网上购物的相关信息都可集成在一个数据结构里,以后整体地自动提取应用,可以减少持卡客户每次购物的繁琐度和工作量。
由于加密、认证多,支付处理相比于SSL机制,速度稍慢一些各方开销大一些。
与SSL协议机制的银行卡网络支付方式一样基于SET协议机制的信用卡网络支付方式对微额交易而言是不太适用的,成本相对较高。可在持卡客户端软件里装电子零钱应用,加密与认证次数就少多了,应用起来效果更佳。