作者:中国金融认证中心技术顾问  关振胜  
 
 
没有人会否认,泡沫的破灭的确可以让人们可以更清楚地观察底层水流的走向。这一道理在网络经济上同样应验。如今,B2B、B2C年交易额的大幅增长似乎又给了人们宣布网络经济理性回归的足够理由。

但是,障碍仍然存在。

    即便是在PKI技术引入和《电子签名法》获得原则通过之后,掩在电子商务头上的最后一丝阴霾依然浓重。现在,网上在线支付问题的解决似乎已经不只是需要排上议事日程这么简单的问题。
 
    众所周知,电子商务活动由四大中心组成,即认证中心、交易中心、支付中心和配送中心。在网络安全问题、法律问题解决之后,中国电子商务主要的问题是实现网上在线支付。

    目前,国内无论是B2B或B2C的网上交易中,在线支付的使用率不高。除了习惯外,成熟安全协议产品和规范的缺失极大影响了国内网上在线支付的发展。银行界不积极参与网上结算,没有网上安全支付协议作支撑,银行就很难建立起支付网关,而支付网关的建设是电子商务活动中的支付中心。请看如下事实:

    从2003年统计,国内电子商务B2C的支付方式有:货到时付款,占29.6%,主要集中在大城市,应不为主流;银行电汇,占10.2%;邮局汇款,占26.8%;通过支付网关网上在线支付占33.2%,其中主要是通过银行卡B2C网上支付。由此可见,实现真正意义在线支付的电子商务—特别是B2B—目前在中国还相差甚远。

    现在,各商业银行开通的网上银行采用的是SSL协议+PKI证书机制,因为网上银行的交易是端对端的,交易流程比较简单。而电子商务无论是B2B还是B2C都是有三方以上的参与者,交易情况比较复杂,交易模式多变,现行交付机制显然无法满足这些需求。事实上,中国银行界还没能积极参与电子商务的网上结算,而没有商业银行界和中国银联参与制定网上交易规则,任何软件开发商是开发不出来切实可行的、符合交易标准的网上支付协议的。
 
    国内在线支付概况

    首先,我们来看B2C的网上安全支付协议概况。

    其一是中国银联的网上安全支付协议。近几年来,属于中国银联的上海Chinapay和广州好易联的B2C电子商务有了很大发展。特别是广州好易联公司的B2C电子商务,实现了以银行卡作支付工具的B2C网上购物结算。好易联公司设置了支付网关,安装有服务器证书,提供支付网关与开放式的互联网用户之间建立通道安全。对于持卡人通过卡号和口令方式进行身份认证,持卡人不安装CA证书,持卡人和支付网关不需要安装其他与安全相关的软件。这是一种SSL协议+用户名+口令的认证方式,由银联银行卡交换中心系统进行跨行交易,实现发卡行与收单行之间的划账清算。

    这种网上交易协议的最大问题是如何保证持卡人的网上身份认证,保证数据的完整性以及交易的不可否认性。

    其二是北京首都电子商城在线安全支付协议。

    北京首都电子商城在线支付协议是建立在SSL安全协议之上的,采用PKI/CA证书机制,通过几次点对点完成的安全交易。

    首都电子商城在线安全支付协议,虽说是支持SET或虚拟POS,但主要的还是基于SSL协议结合PKI/CA证书机制,提供可靠的交易各方的身份认证、保障网上数据的机密性、完整性和不可否认性。该协议的大致流程如下:

    ① 网上消费者登录网上商城,浏览或检索商品;

    ② 网上商户下订单给消费者;

    ③ 消费者填写订单及支付信息,并加密传输给电子商城安全支付平台;

    ④ 电子商城安全支付平台向相关银行传递支付信息;
 
 

    首都电子商城在线支付流程
 

    ⑤ 相关银行经授权后将确认信息返回给首都电子商城安全支付平台;

    ⑥ 电子商城安全支付平台得到确认后通知商户;

    ⑦ 商户执行物流配送;

    ⑧ 日结时银行与商户完成清算。

    该协议具有安全性、便捷性及开放性,是国内较好的B2C电子商务安全协议。

    其次,B2B在线安全支付协议。

    国内在B2B的在线安全支付协议开发方面,由于各种电子商务模式尚未成型,所以,目前尚没见有成熟的品牌产品。一般来讲,基于SSL协议的较多,即SSL+口令的简单认证。

    总之,解决网上在线安全支付,首先要制定网上安全交易规范,即制定B2B、B2C电子商务参与各方在网上进行交易的“游戏规则”。这就必须要有人民银行清算中心、中国银联和相关商业银行以及商家积极参与,共同研究制定网上交易规则。在B2C方面中国银联具有得天独厚的优势地位;而在B2B方面,因为涉及到跨行交易,所以支持跨行网上交易统一认证的中国金融认证中心及人民银行清算中心处于重要地位,他们是解决B2B网上在线支付的关键环节。
 
    B2C在线支付安全协议建议方案

    首先,需求分析。目前中国电子商务B2C网上支付主要使用信用卡、借记卡和其他银行卡。网上支付业务范围包括以下内容。

    消费类支付:除了购买实物外,还包括购买充值卡、电子客票等数字产品;转账类支付:个人、企业之间的汇款和转账;

    金融类支付:包括基金、证券、保险等理财业务;

    账单类支付:包括缴纳水电煤等公用事业费用等;

    网上查询:持卡人查询银行卡余额和交易明细查。

    归结起来就是将传统的POS购物和ATM转帐交易延伸到互联网上来即实现网上支付,这是基本需求。

    其次,建议方案。上述SET协议及3-D安全规范的实用性和安全性都有其局限性和不足之处。在国内,人们使用的大多数是借记卡而很少是贷记卡,各商业银行参与VISA和MASTER。CARD组织所签发的信用卡也很少。因此,在中国采用3-D规范是需要做很多本地化工作的。为此,我们鉴于国内的实际情况,提出以下基于PKI的建议方案。

    (1)采取这种方案的指导思想是中国银联负责组织联合有关商业银行制定B2C网上交易规则,在此基础上,吸收目前国内运行较好网站经验,进行设计、开发合乎国内具体情形的网上支付协议。

    我们提出的是立足自行研发的基于PKI的方案,其过程是:银联设立统一支付网关,提供对外的标准接口,通过互联网与商户连接。商户事先要在某商业银行开结算户,持卡人客户通过互联网与商户网站连接。银联支付网关和商户网站安装服务器证书,持卡人客户安装个人普通证书。

    (2)“持卡人客户—商户网站”之间采用SSL协议,实现点对点的连接和认证;“商户网站—银联支付网关”之间采用SSL协议,实现点对点连接和认证,即整个连接是两次点对点通信和交易连接。

    (3)支付过程及数据流程。

    持卡人客户登录商户网站,浏览商品,填写订单信息和支付信息,签名后发往商户网站信箱,商户网站验证订单信息,确认后向银联支付网关转发支付信息。银联网关经8583格式转换后,传后台进行传统授权,划账成功后将结果签名后返回商场,商场将结果返回给持卡人,持卡人等待商场配送。

    具体来讲,这种基于PKI,采用SSL握手协议,通过两次点对点,实现网上B2C交易的数据流程如下:

    ① 持卡人登录商家网站,浏览商品,填写购物定单信息及银行卡支付信息,并做数字签名。发送到商家网站服务器。

    ② 商家验证持卡人的定单签名,确认后商家将支付信息转发给银联支付网关,银联支付网关将通讯格式转换为8583格式后转送后台进行信息转接并进行传统授权处理。

    ③ 银联信息交换中心将支付信息按传统授权,即收单行向发卡行要求授权,之后发卡行通过银联信用卡网络向收单行发送授权。

    ④ 银联支付网关将交易授权结果回应返回给商户。
 
 

    B2C在线安全支付协议框架
 
 

    交易数据流程
 

    ⑤商户将交易扣款成功信息返回给持卡人,持卡人等待商家的配送。

    此方案具有以下特点:

    ● 采用证书机制,网上身份认证采用的是强认证机制;

    ● 系统安全性高,目前***尚不能攻破PKI机制;

    ● 具有数据完整性、数据保密×××;

    ● 具有数字签名机制,抗否认性;

    ● 交易过程快捷;

    ● 客户成本较高。

    PKI证书的发放,有两种方式:一种办法是直接由银联审核颁发,持卡人必须持有银联标识的银行卡,登录银联RA将申请转向CFCA的国产化CA进行签发;另一种方法是银联与各商业银行签约联合颁发,经由各商业银行的RA转向CFCA的国产化CA。
 
 

    B2B电子商务流程框架
 

    B2B在线支付安全建议方案

    首先,需求分析。

    中国目前B2B电子商务涉及了许多行业,大多数是以卖方主导型为主,但目前的做法只能是特约商户只能在一家开户银行做结算。如果买卖双方分别在不同银行开户,各个银行又分别自建PKI/CA系统,买卖双方无法取得对方的公钥证书,是完成不了网上跨行交易的;再加上跨行交易需要人民银行清算中心的介入,而目前人民银行清算中心还只采用“天地对接”的传统清算方式,而没开发互联网上清算的提交渠道。为此,急需人民银行清算中心建立支付网关,将跨行划拨的联行提交渠道延伸到网上来。这个问题是影响目前中国电子商务发展的新瓶颈。其次,建议方案。

    其交易流程大致如下:

    ① 卖方在电子商务平台(电子交易市场)发布信息;

    ② 买方在电子商务平台上查询浏览物品,填写订购信息及支付信息;

    ③ 买卖双方洽谈,订购合同,下载订单;

    ④ 买方开证申请,付款同时通知买方客户行;

    ⑤ 电子商务支付中心收到支付信息:⑥ 电子商务支付中心通知卖方;

    ⑦ 卖方通知卖方商业银行;

    ⑧ 卖方进行物流配送;

    ⑨ 卖方银行通过电子商务平台通知买方开户银行;

    ⑩ 买卖双方经过人民银行清算中心支付网关,进入传统人民银行电子联行系统完成跨行划款。

    买卖双方及其开户行持有统一金融认证中心的电子证书,网上各方之间的连接采用SSL协议,其认证过程与上述IDENTRUS“四角模型”的认证过程相似。

    综观目前中国电子商务的发展,在安全问题、法律问题解决之后,业界必须解决网上在线安全支付问题。解决网上在线安全支付的前提是有完善的在线安全支付协议,尤其是要设计开发具有中国自主知识产权的网上安全协议,而在这方面金融界处于重要地位。特别是中国银联和×××清算中心,在B2C和B2B的安全协议开发方面具有独特的技术和位置优势,应大力牵头组织国内有关商业银行、特约商户和IT公司等各方面的力量,首先制定网上交易规范,然后在此基础上开发B2C、B2B的网上安全支付协议。此问题如不及早解决,则势必成为中国电子商务发展的下一个瓶颈。