论文关键词：电子支付；支付安全；SET协议

摘要：电子支付系统是电子商务交易的核心，实现电子商务的关键是保证商务活动过程中系统的安全。本文对现有的支付方式进行了比较和讨论，指出了其在安全性上的不足，并基于SET协议支付模型，更换加密算法，修改支付流程，使其具有更高的安全性。

1 简介

电子商务（EC）是利用现有的计算机硬件、软件和网络基础设施，在通过一定的协议连接起来的电子网络环境中开展各种商务活动的方式。所谓电子支付，是指交易双方通过电子手段，如银行的电子存款系统、电子清算系统等，记录和转移资金的方式。是否具备网上支付功能是电子商务是否完善的重要标志，而支付安全则是整个支付过程乃至整个电子商务过程的核心问题。

2 现有电子支付体系的探讨与改进

2.1 三种电子支付模式

第一种：基于SSL协议的支付模型

安全套接字层（SSL）是一种网络安全协议的标准，它最早由一家公司提出，采用公钥技术来保证两个应用程序之间通讯的保密性和可靠性。SSL利用多种密码技术和PKI数字证书技术来保护信息传输的真实性、保密性和完整性，主要适用于点对点的信息传输。两层协议包括：（1）握手协议：描述建立协议的过程，在客户端和服务器之间进行相互身份认证，在传输数据前协商加密算法和会话密钥。（2）记录协议：用于封装不同的高层协议，定义数据传输的格式。

遵守SSL协议的电子交易流程：客户选择服务并提交购物请求→商家响应客户的购买请求，客户端浏览器提示即将与银行网络服务器建立安全连接。身份认证后开始SSL握手协议。双方建立安全通道→出现相应银行的支付页面，显示商家发送的相应订单及支付金额信息，用户确认支付。支付成功后，用户确认离开安全的SSL连接→银行将相关资金转入商家账户→商家收到银行支付成功信息后，向用户发送支付确认信息，支付流程结束。

目前国内银行的网上银行服务大多是基于SSL协议的，例如招商银行的“一网通”网上支付服务就是基于SSL协议的典型代表。

第二种：基于SET协议的支付模型

SET()协议是为在开放网络上进行安全有效的银行卡交易而设计的，由Visa等两大信用卡组织联合多家国际技术机构共同开发，为卡支付交易提供高级别的安全和防欺诈保障；信息在互联网上安全传输，不能被窃取和篡改；持卡人的采购订单和个人账户信息相互隔离，商户只能看到订单信息，金融机构只能看到账户信息；实现了持卡人、商户、支付中心、支付网关等交易参与方身份的相互认证；软件遵循相同的协议和报文格式，使不同厂商开发的软件兼容互通，可以运行在不同的硬件和操作系统平台上。

遵守SET协议的电子交易流程：顾客选取服务并提出购物请求→顾客电脑自动启动电子钱包客户端软件，用户取出里面的电子现金准备付款，SET协议开始介入；客户端软件自动与商户的服务器软件进行SET协议所规定的信息交换与身份认证，然后自动提取信息连同订单一起发送给商户→商户收到信息并核实无误后，回复顾客，发出结算请求，并将客户端信息发送给支付网关→支付网关收到支付信息后，会传送到后端银行网络进行处理，在收到银行的确认信息后，会回复商户支付成功→顾客收到商户的购买确认与付款信息后，关闭客户端软件，支付流程完成。

国内基于SET协议的网上银行支付系统很少，中国银行是其中之一，它的CA就是中国银行业认证中心（CCA），持卡人从中国银行主页下载电子钱包软件，获得中国银行网上认证中心认可的借记卡网上交易电子证书。

第三类：以支付工具为中介的支付模式

除了以上两种支付方式外，还有一种支付流程是以网络支付工具作为中介的，即第三方支付。这种网络实时支付方式本质上就是网上银行。这种支付模式主要不是解决信息流的问题，而是解决网上转账时的安全问题，解决付款和发货不同时可能产生的纠纷。第三方作为支付工具，充当着一个临时的存钱罐的角色。

第三方支付的交易流程：买家在网上选定自己需要的商品之后，联系卖家并达成交易，此时买家需要将货款汇到第三方中介账户，中介立刻通知卖家已经收到货款，可以发货了，买家收到货确认无误之后，中介再将货款汇到卖家账户，整个交易就完成了。

第三方支付的典型代表有阿里巴巴旗下的、支付宝。

2.2 SSL 和 SET 协议的缺点

SSL协议存在的问题：首先，客户的信息首先要传输给商户，商户可以随意读取，因此无法保证客户信息的私密性；其次，SSL只能保证信息传输的安全，但传输过程却无法保证不被人截取；第三，SSL不对应用层消息进行数字签名，因此无法保证不可否认性，因此SSL并不能达到电子支付所要求的机密性、完整性和不可否认性，多方之间相互认证也存在困难。

SET协议存在的问题：首先，SET协议采用的对称加密算法DES随着计算机处理速度和存储效率的提高，已经不再是一种计算上安全的算法。其次，该协议不保证不拒绝服务，无法证明交易是否由签署证书的用户发出。协议签名的内容不能保证持卡人和商户在协议结束时收到的签名是对交易内容的认证。第三，该协议没有考虑交易个体的公平性。持卡人的信用卡信息由商户转发，虽然经过加密，但无论如何都会留下痕迹，这是一个很大的安全隐患。第四，在实用性方面，SET协议对于商户系统的发展意义重大。对于商户来说，这是一个很大的负担，很多小商户认为成本太高，不值得。另外，SET协议的应用需要持卡人安装电子钱包，普通持卡人不容易快速接受。此外，SET协议仅针对信用卡，这对于我国目前个人信任体系不成熟的现状也是一个制约因素。

2.3 基于SET协议模型的改进

替换密码算法：SET协议规定加密算法为DES+RSA，但如上分析的那样，DES加密算法存在缺陷，因此可以选择IDEA算法作为DES的替换算法，IDEA的密钥长度为128位，是目前公认的比较安全的加密算法。另外IDEA和DES算法都是对称加密算法，数据包长度都是64位，使用IDEA对原有系统不会造成太大的影响。

增加支付中心：在SET协议中，商户除了处理订单信息外，还需要将持卡人发送的包含信用卡账号等机密数据的支付信息转发给支付网关，虽然支付信息经过了加密，但难免会在商户处留下痕迹，带来安全风险。对比现实商场中“柜台”与“收银员”的分离，基于SET协议的电子支付系统进行了改进，引入了支付中心的概念，相当于这样，电商商户主要承担展示商品的功能，消费者下单后，商户执行“开具发票”的功能，而对技术安全性和可信度要求较高的“支付”这一敏感功能则由第三方“支付中心”负责。消费者的支付信息不需要先发送给商户再由商户发送给支付网关，而是发送给大家信赖的第三方——支付中心。这样，商户看不到持卡人的支付信息，银行无法获取持卡人的支付信息，持卡人的购买信息银行也无法获得，从而加强了互联网上信息实时传输和资金流的保密性和安全性。

3 结论

随着电子商务和金融电子化的日益成熟和发展，对网上支付的要求也愈加严格，虽然随着技术的变化网上支付工具层出不穷，但是网上支付还不是很成熟，只有加强电子支付的安全性，建立电子支付行业统一的行业规范，完善电子支付的法律体系，才能使我国的电子商务和电子支付具有更强的生命力，在我国经济发展中发挥更大的作用。

参考：

[1]吴琪.典型电子商务网站及商业模式分析[M].通信世界,2007.2.

[2]肖群.电子支付协议与电子现金研究[M].陕西师范大学出版社，2004.2.

[3]王婵,姚赤丹. SSL/SET协议比较及改进模型[J].现代计算机,2002.8.