2.5.2.收款人端
支付引导网页负责引导支付界面 applet 程序在消费者端的浏览器运行,并把商户号,交易
的序列号,日期,交易金额,签名等作为参数传送给支付界面 applet 程序。 通过 CODEBASE 参数引导支付界面 applet 程序在用户端浏览器运行. 支付结果接口作为银行通知商户支付成功的接口,以 Cgi 形式开发,可以用 Java Servlet
开发。银行把支付结果通过 HTTP Post 活 Get 的方式通知商户。
电子签名商户端生成支付引导网页的数字签名和认证银行支付交易结果中的数字签名。
电子签名商户端也是用 Java 开发。
2.5.3.服务端
支付界面 applet 程序是一个 Java applet,在消费者端浏览器运行,作为消费者网上支付
的界面。其功能包括接收商户在支付引导网页中通过在 param 参数传来的参数,提示用户输
入帐号和密码。报这些信息组合成支付请求信息发送给银行服务器,并向用户返回支付结果 的信息。
支付处理服务是银行网上支付的核心,用 Java servlet 开发,作为交易服务实现银行对
支付的处理,作为服务程序,程序的功能反映在业务的处理流程。 1) 接收支付界面 applet 程序传来的支付请求
2) 向电子签名客户端要求交易签名,向身份认证服务认证消费者和商户的签名 3) 向业务系统接口发送转帐业务请求 4) 向商户返回支付结果
2.6. 支付过程的信息安全措施
针对网上支付的安全需求,我们的方案通过以下几个措施解决交易过程中的安全隐患:
1) 交易过程三方相互间都有身份认证,其一个互相制约的作用。
2) 消费者的身份认证是密码和电子签名同时进行,其他人如果想假冒,必须同时持有
消费者的私人密钥和知道密码,这样对消费者而言等于有了双重保险。
3) 支付过程中三方在网上相互之间直接通讯,信息流向取消中间环节,商户不需知道
消费者的银行帐号,银行也不知消费者购物的信息,既可以防止消费者的个人资料,也可以 保护个人隐私。
4) 由于在支付过程不用直接和第三方的认证中心(CA)打交道,网络上的信息传递可
以直接使用 SSL。
5) 支付请求有消费者和商户的数字签名,消费者收到的签名请求中有银行的签名,商
户接收到的支付结果通知中有银行的签名,这样在支付交易过程中三方互相制约,技术上和
方案上具有不可否认性,便于明确法律责任和提取证据。
6) 软件由 Java 2.0 开发,利用 Java 提供的成熟的安全机制,使加密强度可以达到工 业标准。
(六)电子支付的主要风险
电子支付系统作为电子货币与交易信息传输的系统,既涉及到国家金融和个人的经
济利益,又涉及交易秘密的安全;支付电子化还增加了国际金融风险传导、扩散的危险。
能否有效防范电子支付过程中的风险是电子支付健康发展的关键。
1. 电子支付的基本风险
支付电子化的同时,既给消费者带来便利,也为银行业带来新的机遇,同时也对相
关主体提出了挑战。电子支付面临多种风险,主要包括经济波动及电子支付本身的技术
风险,也包括交易风险、信用风险等。金融系统中传统意义上的风险在电子支付中表现 得尤为突出。
1.1. 交易风险
电子支付主要是服务于电子商务的需要,而电子商务在网络上的交易由于交易制度设计的缺陷、技术路线设计的缺陷、技术安全缺陷等因素,可能导致交易中的风险。这种风险是电子商务活动及其相关电子支付独有的风险,它不仅可能局限于交易各方、支付的各方,而且可能导致整个支付系统的系统性风险。
2. 电子支付的操作风险
银行的业务风险由来已久,巴塞尔银行监管委员会就曾经组织各国监管机构较系统地归纳出几种常见风险,如操作风险、声誉风险、法律风险等等。在传统业务中,这些风险表现形式有所不同。在操作风险中,可能是信贷员没有对借款人进行认真细致的资信调查,或者是没有要求借款人提供合格的担保,没有认真审查就盲目提供担保,等等。
这些风险可以通过现有的一系列管理措施加以防范,比如双人临柜,比如制定和严格执
行一整套贷款操作的规程,等等。传统业务中的风险大多跟技术没有直接的联系,
某个
环节存在的风险虽然对其他环节有影响,但影响限定在一定范围内。
电子支付加大了风险,也使得其影响范围也扩大了,某个环节存在的风险对整个机
构,甚至金融系统都可能存在潜在的影响。互联网和其他信息技术领域的进步所带来的
潜在损失已经远远超过了受害的个体所能承受的范围,已经影响到经济安全。这种情况
与技术有着直接的关系,其中表现最为突出的是操作风险。电子货币的许多风险都可以
归纳为操作风险。一些从事电子货币业务的犯罪分子伪造电子货币,给银行带来直接的
经济损失。这些罪犯不仅来自银行外部,有时还来自银行内部,对银行造成的威胁更大。
3. 电子支付的法律风险
电子支付业务常涉及银行法、证券法、消费者权益保护法、财务披露制度、隐私保
护法、知识产权法和货币银行制度等。目前,全球对于电子支付立法相对滞后。现行许
多法律都是适用于传统金融业务形式的。在电子支付业务中出现了许多新的问题。如发
行电子货币的主体资格、电子货币发行量的控制、电子支付业务资格的确定、电子支付
活动的监管、客户应负的义务与银行应承担的责任,等等,对这些问题各国都还缺乏相
应的法律法规加以规范。以网上贷款为例,就连网上贷款业务发展较早的台湾金融监管
部门也没有相关法令规范这一新兴业务,其监管机构目前能做的只是对银行提交的契约
范本进行核准。缺乏法律规范调整的后果表现在两个方面,要么司法者或仲裁者必须用
传统的法律规则和法律工具来分析网上业务产生的争议;要么法官或仲裁者不得不放弃
受理这类纠纷。由于网络纠纷的特殊性,用传统法律规则来解决是一个非常吃力的问题;
但是,消极地拒绝受理有关争议同样无助于问题的解决。
4. 电子支付的其它风险
除了基本风险、操作风险和法律风险以外,电子支付还面临着市场风险、信用风 险、流动性风险、声誉风险和结算风险等。
(七)电子支付的风险防范与规避
1. 电子支付风险管理步骤
电子支付与传统金融风险管理的基本步骤和原理几乎是一样的,但是,不同的国家、
不同的监管机构可能会根据不同的情况,制定出不同的电子支付风险管理要求。目前,
最为常见、最为通俗易懂的是巴塞尔委员会采用的风险管理步骤。以网上银行为例,巴
塞尔委员会把电子支付风险管理分为三个步骤:评估风险、管理和控制风险以及监控风
险。评估风险实际包含了风险识别过程,不过,识别风险只是最基本的步骤,识别之后,
还需要将风险尽可能地量化;经过量化以后,银行的管理层就能够知道银行所面