5.3 电子信用卡

1.无安全措施的信用卡支付模式

持卡人利用信用卡进行支付结算时几乎没有采取技术上的安全措施而把卡号和密码直接传送个给商家，然后由商家负责后续处理的模式。

主要流程：持卡人从商家订货且把信用卡的相关信息通过电话、传真等非网上手段送给商家，或者通过网络等传统手段送给商家，没有对数据进行加密等安全措施。商家收到信用卡后，与银行之间使用各自的授权，检查信用卡的的合法性。这种支付模式的特点是：风险由商家负责，安全性差，持卡人隐私信息完全被商家掌握，支付效率低。

 2.借助第三方代理机构的信用卡支付模式

在卖方和买方之间起作用具有诚信的第三方代理机构的支付方式。第三方非发卡银行，同时给持卡人分发一个代替信用卡账号的注册号并在网上传递，支付由第三方核对确认且经持卡人同意后由第三方代理机构与发卡银行、收单银行等进行专网连接，然后转移资金，例如：阿里巴巴电子商务支付平台。

 3.基于SSL协议机制的信用卡支付模式

（1）基于SSL协议的信用基本支付流程如下：

①持卡客户在网上或直接到发卡银行进行信用卡注册，得到发卡银行的网络支付授权。

②持卡客户上网，在商家网站选择商品或者服务，填写订单。

③持卡客户确认订单信息，选择信用卡支付方式。提交后，生成一个带有信用卡类别的订货单发往商家服务器。

④商家服务器向客户回复收到的订单查询ID，同时生成相应的订单号，加上其他支付信息发往发卡银行。

⑤在订单提交后，客户机浏览器弹出新窗口页面，提示即将建立与发卡银行的的安全连接，SSL协议机制开始介入。

⑥客户端自动验证发卡银行网络服务器的数字证书。

⑦通过验证发卡银行网络服务器的数字证书后，SSL握手协议完成，安全通道已经建立，进入加密通信，浏览器下方出现“闭合锁”状态标志。

⑧支付成功后，系统提示将离开SSL连接，持卡客户确认离开，SSL介入结束。

⑨发卡银行在后台把资金转入商家账号，发送付款信息给商家，商家收到付款信息后，承诺发货。

 （2）基于SSL协议机制的信用卡支付模式特点：

① 实现部分信息加密，以提高效率。

② 适用对称和非对称密钥加密技术，比较安全。

③ 客户端可选对商家身份验证数字证书，提高支付效率。

④ 无需其它任何硬件设施如POS机，投入比较少。

⑤ 很多银行干脆把信用卡号和网络银行账号绑定不单独开网络银行账号，无需信用卡实体。

⑥ 过程比较复杂，仍然有一定的交易成本，不适用于小额支付。

 4.基于SET协议机制的信用卡支付模式

（1）基于SET协议机制的信用卡支付的支付流程如图6-5：

①客户到发卡银行办理SET协议支付的信用卡；网上商家去银行洽谈结算事宜，得到服务器端的SET支付软件，安装运行。

②客户下载客户端并安装，设置用户密码。

③客户访问CA，把账号密码添加进客户软件，并为其中的信用卡申请一张数字证书。同样，商家和网关也申请数字证书。

④客户填写订单，选择在线支付，支付软件自动激活，输入用户名密码进行支付。

⑤SET协议开始客户端与商家进行SET协议的信息交换与身份认证，自动提取信用卡号密码等信息，连同订单一起发送商家；商家验证后产生支付请求，转发给支付网关。

⑥支付网关受到相应的信息后转入后台银行处理，通过验证审核后网关收到银行支付确认信息；支付网关向商家转发，商家给客户发回购货与支付信息。

⑦持卡人确认后，支付成功，支付软件关闭。

 （2）基于SET协议机制的信用卡支付模式的特点：

①需要安装客户端，需要各方身份认证并申请安装数字证书，实现部分信息加密，以提高效率，使用多种技术十分安全。

②充分发挥了CA的作用以维护电子商务参与者所提供信息的真实性和保密性。

③加密认证过多，处理速度慢，成本较高，不适宜小额支付。