银行卡的便捷网上支付模式提供了更好的体验

目前，银行卡的网上支付主要经历过四种模式类型，包括无安全措施的银行卡支付、通过第三方代理的银行卡支付、简单加密的银行卡支付和SET模式下的银行卡支付。

(一) 无安全措施的银行卡支付

无安全措施的银行卡支付主要是在20世纪90年代早期电子商务发展初期时出现的。这种模式主要是延续了信用卡应用中的委托支付模式，是完全建立在商业社会的信用基础之上的。其主要特点是交易风险完全暴露在网络空间、安全性较差，持卡人的信用卡隐私信息完全被商家掌握，而商家也往往需要承担顾客的恶意透支风险，支付效率较低等。

1. 流程

消费者从商家订货，信用卡信息可以通过电话、传真等非在线传送手段进行传输;也可以在网上传送信用卡信息，但无安全措施。商家与银行之间使用各自现有的授权来检查银行卡的合法性。其流程如图4-1所示。

图4-1 无安全措施的银行卡支付流程

2. 特点

(1) 风险完全暴露。由于卖方没有得到买方的签字(这与传统领域信用卡委托支付有根本性的区别)，如果买方拒付或否认购买行为，则信用卡结算无法进行，卖方将承担一定的风险;对于买方来讲，信用卡信息完全透露给卖方，相当于全权委托，卖方任意篡改交易记录、超额透支等行为无法得到有效监控，给买方带来巨大的风险。另外，卖方向第三方透露买方银行卡信息的风险也无法控制。

(2) 银行卡信息传输通道不安全。银行卡信息可以在线传输，但无任何安全措施。买方(即持卡人)将承担银行卡信息在传输过程中被盗取的风险。

(二) 通过第三方代理的银行卡支付

在采用无安全措施的银行卡支付模式中，由于商家完全掌握消费者的银行卡信息，存在着银行卡信息在网上多次公开传输而导致的银行卡信息被窃取的风险。为降低这一双边风险，引入了在买方和卖方之间启用第三方支付代理人的方式。

消费者和商家首先以离线或在线的方式在第三方代理人处注册一个账号，消费者提供姓名、银行卡号、电子邮件等信息，第三方代理给消费者开通一个应用账号。该账号与信用卡账号一一对应，由第三方代理掌握消费者的信用卡信息。支付过程中，在网络上传输的是第三方提供的应用账号，而卖方收到的也是这个应用账号和商品信息。这样，就避免了银行卡信息在网络上频繁传输以及直接发送给卖方的弊端。

通过第三方代理的银行卡支付特点是:①用户账号的开设可以不通过网络，这样就多了一层安全屏障;②银行卡信息不需要在开放的网络上直接传送，卖家无法得到买家的银行卡信息;③可用第三方认证等方法来确认用户的身份，防止伪造;④商家和用户的自由度较大，最大限度降低风险;⑤支付是通过双方都信任的第三方代理人完成的。

(三) 简单加密的银行卡支付

1. 简单加密的银行卡支付原理

简单加密的银行卡网上支付是对银行卡等敏感信息进行加密处理，加密的协议包括SHTTP、SSL等。由于消费者进行在线购物时只需一个银行卡号，所以这种付费方式给消费者带来方便。这种方式需要一系列的加密、授权、认证及相关信息传送，交易成本较高，所以对小额交易而言是不适用的。

2. 简单加密的银行卡支付流程

现以CyberCash公司安全网络银行卡支付系统为例，介绍简单加密的银行卡支付流程(见图4-2)。(www.xing528.com)

图4-2 简单加密的银行卡支付流程图

(1) CyberCash公司提供专用软件，用户在CyberCash商家订货后，通过电子钱包将银行卡信息加密后传给商家服务器。

(2) 商家服务器验证接收到的信息的有效性和完整性后，将用户加密的银行卡信息传给CyberCash服务器，商家服务器看不到用户的银行卡信息。

(3) CyberCash服务器验证商家身份后，将用户加密的银行卡信息转移到非网络的安全地方解密，然后将用户银行卡信息通过安全专用网传送到商家开户的银行。

(4) 商家开户银行通过银行之间的电子通道与用户银行卡发卡行联系，确认银行卡信息的有效性。得到证实后，将结果传送给CyberCash服务器，CyberCash服务器通知商家服务器交易完成或拒绝，商家再通知用户。

整个过程只要经历很短的时间。交易过程的每一步都需要交易方以数字签名来确认身份，用户和商家都必须使用支持此种业务的软件，数字签名是用户、商家在线注册系统时产生的，不能修改。

(四) SET模式下的银行卡支付

1. 基本原理

SET(安全电子交易协议)是为了解决用户、商家和银行之间通过银行卡支付的交易而设计的，于1996年2月由VISA和MasterCard联合开发。主要特点包括:使用数字签名和持卡人证书，对持卡人的银行卡进行认证;使用数字签名和商家证书，对商家进行认证;使用加密技术确保交易数据的安全性;使用数字签名确保支付信息的完整性和各方对有关交易事项的不可否认性;使用双重签名保证购物信息和支付信息的私密性(使商家看不到持卡人的银行卡号)。

2. SET的目标

(1) 传输的安全性。订单和个人账号信息在网上安全传输，保证网上传输数据的安全。

(2) 订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到卖方时，商家只看到订货信息，而看不到持卡人的账户信息。

(3) 持卡人和商家相互认证，以确定通信双方的身份。一般由第三方CA负责为在线通信双方提供信用担保。

3. SET的安全技术

SET使用的安全技术主要有对称密钥系统、公钥系统、消息摘要、数字签名、数字信封、双重签名、认证技术等。

SET模式下的银行卡支付流程，如图4-3所示。

图4-3 SET模式下的银行卡支付流程图