北大荒酒董事长:网上支付的安全技术

网上支付的安全技术
作者：柳维长
在电子商务这个名词还没有出现之前，早在90年代初当Internet向商界开放的时候，从事网上商业活动的人们就意识到，网上支付将成为进一步发展网上商业的
主要瓶颈。经过多年的研究，近一、二年来在安全性方面取得了很大的进展，有
些技术已被商家与顾客认可，在网上交易方面获得了成功的应用。
在现实世界里，购物的主要支付方式是现钞交易与刷信用卡。在Internet这个虚拟世界里购买商品，支付方式也不外乎这两种。所不同的是，用虚拟的电子货币
替代纸币，用安全的手段来传送信用卡信息。网上支付的安全技术基本上都是沿
着这条线路发展并日臻完善的。
在一些发达国家，信用卡已成为购物支付的主要手段。自然，信用卡支付也成为网上支付的最理想方式，怎样保证信用卡信息能够安全地在开放性的公用网络上
传送，成为网上支付安全技术的主攻课题。
为了争取市场，国外IT界的一些公司几年来曾展开了一场安全交易标准的争夺战。与金融界一起，推出了不少有效的安全支付标准。在这场争夺战中，早期取得
成功的有安全超文本传送协议（S-HTTP）、安全接层协议（SSL）与安全交易技术
协议（STT）等。它们都以公用密钥系统为基础，有些还采用了数字签字技术并具
备一定程度的认证功能。这些安全交易协议，在小范围内曾获得应用，但没有被
用户普遍接受。
1997年5月31日，国际上两大信用卡巨头Mastercard与Visa提出了一种新的标准，称为安全电子交易（SET），得到了IBM、Netscape、Microsoft这些大公司的支持。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题，目前已被越来越多的人们公认为Internet网上支付的安全标准。世界上已有不少公司推出符合SET标准的应用软件，供用户选用。我国少数几家实现网上支付的电子商场，也采用了SET标准。
目前全球采用的SET标准是1.0版本，它的功能还将不断增加。据成立于1997年12月19日的SETCO公司报导，正在研究之中的项目有27项之多，估计在今年年底有可能推出2.0版本的SET标准。
SET是一种用于开放性网络的信用卡支付协议。在实现过程中利用发放给顾客、商家、银行以及信用卡公司的数字证书，进行一系列的认证与安全检验，提高了信用卡信息在交易过程中的防伪性与安全性。这些安全措施使早期的一些安全支付标准黯然失色。举例来说，SSL只能保证敏感数据在网上传输过程中的安全性，不能保证对参与交易双方的身份确认。
事实上，SET通过4种安全措施来保护网上支付信息的安全性：
1、持卡人能够确认收款商家是否有权以采用SET标准的安全方式接收支付卡。
2、采用SET的商家能够确认交易中正在使用的支付卡。
3、SET采用先进的公用密码系统以及数字签名、数字认证书等技术。
4、SET保证支付信息只能被指定的受方读得；信息只能被采用SET的商家与金融机构破译；商家看不到持卡人的账号。
在实现上述安全措施的过程中，数字证书起了关键的作用。在上一讲曾提到，数字证书是一份电子文件，它记录了用户的身份信息以及公共密钥。证书由权威性
的认证机构（CA）发放，通常都由公认的机构，诸如银行、邮局、安全部门等来
建立认证机构。在SET中，最主要的证书是持卡人证书与商家证书。在国外，持卡
人与商家可通过Internet向参与SET系统的银行申请证书，经审查合格后，认证机
构以数字签名的形式发放证书。此外，在SET环境中还有支付网关证书、银行证书、发卡机构证书。
根据SET标准设计的网上安全支付应用软件，必须经过SET验证才能批准使用。凡经验证符合标准的软件均标以特定的SET图标，供用户鉴别。
一个符合SET标准的网上安全支付应用软件系统由4个子系统组成，根据SETCO的规定，它们分别称为持卡人钱包、商家服务器、支付网关以及认证机构。
·持卡人钱包 在网上消费者的电脑上运行，产生能够被SET商家服务器、支付
网关与认证机构子系统接受的SET协议消息。
·商家服务器 运行在商家的服务器上，处理支付卡交易与认证。它与其它3个
子系统通讯。
·支付网关 运行在收单银行的电脑上，处理商家的认证与支付信息，并提供
与专用金融网络的接口。
·认证机构 运行在发卡银行的电脑上，发放与验证由其它3个子系统要求提供
的数字证书。
根据SETCO公告，截止到1999年7月29日，已通过SET兼容性验证的上述子系统软件产品已达20多种。还有40多种将近20家公司（包括富士通、日立、三星、PriryLink，等等）开发的产品已登记，准备接受验证。
在已通过兼容性验证的SET产品中，持卡人钱包软件主要有：
富士通的CommerceSTAGE Cardholder 1.0（1999.5.26）
CyberCash的CyberCash Wallet（1999.5.20)
GlobeSet的GlobeSet Wallet 1.1（1999.5.29)
Spyrust/Terisa的WebWallet 1.0(1998.5.29)
Trintech的S/PAY 2.1(1999.5.29)
VeriFone的Wallet 2.1(1998.5.29)
IBM的IBM Comsumer Wallet 1.2(1998.10.7)
商家服务器软件主要有：
CyberCash的CyberCash Cashregistry 4.0(1999.5.19)
GlobeSet的GlobeSet POS 1.2(1998.6.15)
Trintech的S/PAY 2.2.3(1999.1.11)
VeriFone的V POS 4.5(1999.1.20)
IBM的IBM Payment Sever 1.2(1999.5.12)
支付网关软件主要有：
GlobeSet的GlobeSet Gateway 1.3(1998.8.28)
Trintech的S/PAY 2.5(1999.4.19)
VeriFone的V GATE 4.1(1999.2.16)
IBM的IBM Payment Gateway(1999.2.25)
认证机构软件主要有：
富士通的Commerce STAGE Secure CA(1999.7.6)
GlobeSet的GlobeSet CA 1.2(1998.7.21)
VeriSign的CA Services 1.10(1999.2.26)
IBM的IBM Payment Registry 1.2(1998.11.17)
在上述有关的电脑上运行相应的SET网上支付子系统后，网上购物的流程与实际购物的流程就变得十分接近。具体的流程为：
持卡人在商家的Web服务器上浏览商品→持卡人在电子商场选购商品→持卡人填写订单→持卡人选定付款方式→持卡人向商家发送订单与付款指令。SET将这些信息加密，保证商家看不到持卡人的账号→商家接收到订单后向持卡人的金融机构请求付款认可。经认证机构确认后，将确认信息返回给商家→商家向持卡人发回订
单确认信息→商家向持卡人发货。
以SET为基础的网上安全支付系统在国际上也是一种崭新的技术，这一点可以从上列应用软件的批准日期得到证实。这些软件大部分是今年才推出的，最早获得批准的日期是1998年5月底，离现在也只不过一年多一点的时间。对于我国企业来说，有必要了解SET技术，因为这种交易形态很可能成为未来电子商务中网上支付的规范。当然，要使我国电子商场中的SET安全支付系统真正成为老百姓喜欢使用的支付手段，首先必须让我国绝大多数网民的手中拥有信用卡。
（作者为本刊主编）
BACK