SET协议保信用卡支付网关安全
商家的电子结算行为总要和银行的信用卡或现金卡挂钩,银行可以支持若干商家的结算行为,因而采用何种安全协议的主动权掌握在银行手中。作为国内第一家采用SET协议进行网上交易安全保障的金融机构,中国银行有自己的想法。
SET安全电子交易协议由以Visa和MasterCard两大信用卡公司为首的几家公司于1997年联合推出,它是在开放网络上保证支付的信息机密、过程完整、参与者身份合法的一种标准。这一规范采用了公开密钥加密、电子数字签名、电子信封、电子安全证书等技术保证网上交易的安全性。很长时间以来,人们认为SET交易过程非常复杂。它的特点在于涉及到交易的持卡人、商户、金融机构都要经过认证,每一方都需要得到身份确认。但是,为了保证网上支付的真正安全,中国银行决定采用SET方式进行电子商务行为,也因此成为国内第一家使用SET协议的金融机构。
CA认证是基础
CA(CertificateAuthority)安全认证用于确认交易各方的身份并保证交易承诺的不可否认,是SET协议运行机制的基础。国际上一般CA中心由专业的第三方机构担当,但是由于中国的现状,尚未出现一家得到公认的CA中心,因而中国银行凭借自身的实力,以及与国际知名厂商的合作,创建了自己的CA认证中心,完成电子支付行为必不可少的一个重要环节。
CA信用卡支付网关认证体系由根CA、品牌CA、持卡人CA、商户CA和支付网关CA构成。中国人民银行牵头,正在建立金融行业的CA体系,预计于明年初建成,将成为国内金融行业的根CA。
进行SET交易的前提是,参与交易的各方先行取得CA认证机构的证书,以此为根据在交易中确认身份。持卡人在网上即可完成中国银行电子安全证书的申请,商户和金融机构申请证书的过程则稍微复杂一些。
电子支付变为现实
如图所示,基于SET协议的网上支付行为的完成涉及到持卡人、商家、银行和CA认证机构四方,电子支付体系由持卡人电子钱包、商户支付服务器、金融机构支付网关、CA认证机构和互联网络组成。
电子钱包(E-wallet)是运行在客户端实现持卡人的卡与卡交易管理的软件,包括管理电子安全证书、进行SET安全电子交易、保存交易记录等功能。中国银行的电子钱包软件运行在中文Windows95或Windows NT操作系统之上,不仅可以管理中国银行的“长城借记卡”和“长城国际卡”,也可以管理其他金融机构的现金卡和信用卡。商户支付服务器则提供商户与持卡人以及商户和金融机构之间的对话,并负责管理支付信息和商户的CA证书。金融机构支付网关是连接银行专用网络与Internet的一组服务器,完成两者之间的通信、协议转换和进行数据加密、解密,以保护银行内部网络的安全。
持卡人在网上确定购买之后,订单信息通过Internet传送到商户的支付服务器,其支付信息从商户的支付服务器上传送到金融机构的支付网关。在这一过程中,商户只能看到订单的购买信息,金融机构只能看到订单的帐户信息。也就是说,每一方只能得到自己需要的信息,而看不到其它资料,以保证交易的安全。此后,CA认证机构分别确认持卡人、商户和金融机构的身份,若通过确认,则商户向持卡人确认购买完成,金融机构随即进行帐户扣款操作。在现场网上购书试验中,电子钱包中记录了详细的资料,而银行帐号中则立刻减少了相应的金额。
中国银行的网上支付方案中,持卡人的款项实时从卡中扣除;在商户一边,交易信息保留在支付服务器上,每日批处理结帐,统一与中国银行的进帐单和交易明晰对帐,之后银行进行对商户的入帐处理,目前这一过程最长不超过三天。由此看来,电子支付对于持卡人而言,可以轻松的完成网上购物的结算过程,完全免去邮局汇款、信用卡授权等烦琐程序,将资金结算时间减少到几乎为零,大大缩短了网上购物的周期;对于商户而言,能够在较短的时间内安全的收到货款,尽快组织货源和发货,使持卡人尽早收到所订商品,树立网上商户良好的形象。
网上支付经验谈
中国银行在半年的时间里就建立了全套的CA认证系统并提供信用卡支付网关服务。网上银行负责人说,这得利于中国银行对实际业务的熟悉,以及行内在技术和业务上都有一批专业人士。另外,银行业务系统的高标准建设也是不可或缺的因素。为了保证网上支付随时可行,金融机构的内部帐务系统必须做到7×24小时连续运转。中国银行的“长城借记卡”系统非常先进,建设时就考虑到了以后的发展,完全符合国际标准,因而现在不需升级就可与新系统连接,并且系统的良好处理性能保证对持卡人帐户的实时扣款处理速度非常快。由于“长城借记卡”的发卡量已经突破850万张,随着越来越多的商户提供电子支付购物方式,中国银行相信会有更多的人使用“长城借记卡”进行网上购物。
另外,中国银行的外币信用卡“长城国际卡”也已于去年年底开通网上支付服务,为国内商户开拓国际市场提供安全方便的支付结算方式。