電子支付的支持系.ppt

電子支付與電子支付的支持系統(tǒng),Company Logo,主要內(nèi)容,第三節(jié)網(wǎng)上交易的國(guó)際標(biāo)準(zhǔn)和過(guò)程,3,第四節(jié) 第三方支付網(wǎng)關(guān),4,第一節(jié) 電子支付概述,在商品交易、證券交易和貨幣交易中，交易雙方的資金往來(lái)，稱為支付,1、傳統(tǒng)支付方式,2、傳統(tǒng)的支付手段對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)的局限性：,缺乏方便性 安全性低 缺乏覆蓋面 適應(yīng)性不強(qiáng) 缺乏對(duì)微支付的支持 網(wǎng)絡(luò)經(jīng)濟(jì)要求電子支付形式的出現(xiàn)與發(fā)展,3、電子支付,據(jù)中國(guó)人民銀行發(fā)表的第23號(hào)電子支付指引公告，電子支付是指單位、個(gè)人（以下簡(jiǎn)稱客戶）直接或授權(quán)他人通過(guò)電子終端發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。 廣義上電子支付主要包括三層含義，一是電子支付工具，包括銀行卡和多用途儲(chǔ)值卡等卡基支付工具、電子票據(jù)以及最近在電子商務(wù)中應(yīng)用較為廣泛的網(wǎng)絡(luò)虛擬貨幣等新型支付工具；二是電子支付基礎(chǔ)設(shè)施或渠道，包括ATM、POS、手機(jī)、電話等自助終端以及互聯(lián)網(wǎng)、金融專用網(wǎng)等網(wǎng)絡(luò)；三是電子支付業(yè)務(wù)處理系統(tǒng)，主要包括已經(jīng)建成的中央銀行現(xiàn)代化支付系統(tǒng)以及商業(yè)銀行的行內(nèi)業(yè)務(wù)處理系統(tǒng)等。 狹義上的電子支付，也就是通常意義上的電子支付，一般僅指電子支付工具以及相應(yīng)的電子支付渠道，銀行卡交易、網(wǎng)上支付、移動(dòng)支付等都屬于狹義上的電子支付。,3、電子支付的定義,考慮到電子支付的實(shí)現(xiàn)方式和支付手段：所謂電子支付，是將傳統(tǒng)的支付業(yè)務(wù)，利用有線、互聯(lián)網(wǎng)、無(wú)線通信技術(shù)，延伸到個(gè)人、家庭、企業(yè)，或利用信息技術(shù)，用電子信息流支付指令代替現(xiàn)金支付行為，使得用戶可以實(shí)現(xiàn)遠(yuǎn)程支付或即時(shí)支付。 考慮到電子支付的基礎(chǔ)和實(shí)現(xiàn)手段：電子支付是以金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以商用電子化工具和各類交易卡為媒介，以計(jì)算機(jī)技術(shù)和通信技術(shù)為手段，以電子數(shù)據(jù)形式存儲(chǔ)在銀行的計(jì)算機(jī)系統(tǒng)中，并通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)以電子信息傳遞形式實(shí)現(xiàn)流通和支付。 考慮到電子支付的實(shí)現(xiàn)目的：?jiǎn)挝?、個(gè)人通過(guò)電子終端，直接或間接向銀行業(yè)金融機(jī)構(gòu)或其他具有資金轉(zhuǎn)移能力的企業(yè)發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移。,4、電子支付的分類：,1）按照采用的通信手段 根據(jù)電子支付是否采用通信手段可分為在線支付和離線支付。 在線支付根據(jù)采用的通信渠道的不同，又可以分為電話支付、互聯(lián)網(wǎng)支付、移動(dòng)支付； 離線支付根據(jù)卡的介質(zhì)分為接觸式和非接觸式支付。,4、電子支付的分類：,充值卡支付,銀行與郵政匯款支付,網(wǎng)上銀行支付,第三方支付,電話支付,按支付模式分,2）按支付模式分,4、電子支付的分類,第一種 模式,復(fù)制PayPal,支付網(wǎng)關(guān)模式,移動(dòng)支付,3）電子支付產(chǎn)業(yè)的三種模式,第二種 模式,第三種 模式,4、電子支付的分類,4）按照支付金額的大小,5、網(wǎng)絡(luò)支付,網(wǎng)絡(luò)支付，是指參加電子商務(wù)活動(dòng)的一方向另一方付款的過(guò)程，是網(wǎng)上交易當(dāng)事人（包括消費(fèi)者、商家和金融機(jī)構(gòu)，使用安全電子支付手段通過(guò)公用網(wǎng)絡(luò)進(jìn)行的貨幣支付或資金流轉(zhuǎn)移。 1）網(wǎng)絡(luò)支付只是電子支付的一個(gè)子集； 2）電子支付包括很多方式，其中只有在線并且是通過(guò)公共網(wǎng)絡(luò)進(jìn)行的支付才是網(wǎng)絡(luò)支付。,5.1網(wǎng)絡(luò)支付的條件,客戶系統(tǒng)、支付網(wǎng)關(guān)、安全認(rèn)證是網(wǎng)絡(luò)支付的必要條件，也是網(wǎng)絡(luò)銀行運(yùn)行的技術(shù)要求。,5.2 網(wǎng)絡(luò)支付的特征,網(wǎng)絡(luò)支付與傳統(tǒng)支付方式的本質(zhì)不同在于網(wǎng)絡(luò)支 付的一切都是數(shù)字的。,網(wǎng)絡(luò)支付的工作環(huán)境主要是基于Internet，同時(shí)也使 用VAN，VPN等私有網(wǎng)絡(luò)處理電子數(shù)據(jù)交換業(yè)務(wù)。,5.2 網(wǎng)絡(luò)支付的特征,Internet的訪問費(fèi)用很低，而其作為通信手段，又擁有使用 方便、內(nèi)容廣泛等特性。,傳統(tǒng)支付系統(tǒng)要求完整性，除了要有這些特征外，還有新的要求，即可接受性、適用性、匿名性、效率，數(shù)字貨幣與其他類型貨幣的可兌換性，可靠性，安全性。,5.3網(wǎng)絡(luò)支付的安全性問題,5.3.1 網(wǎng)絡(luò)上的安全問題： 1）網(wǎng)站信息安全的風(fēng)險(xiǎn)； 網(wǎng)站的真實(shí)性：用戶訪問網(wǎng)站時(shí)需要確認(rèn)網(wǎng)站的真實(shí)性，由于互聯(lián)網(wǎng)的廣泛性和開放性，使得互聯(lián)網(wǎng)上存在很多虛假的網(wǎng)站，如何讓用戶信任自己訪問的網(wǎng)站。 信息的機(jī)密性：現(xiàn)在大量的網(wǎng)上應(yīng)用需要用戶向應(yīng)用服務(wù)器提交一些隱私及機(jī)密信息，同時(shí)應(yīng)用服務(wù)器也可能向用戶返回一些隱私及機(jī)密信息，如何確保這些信息的安全。,5.3.1 網(wǎng)絡(luò)上的安全問題,2)郵件信息安全的風(fēng)險(xiǎn),郵件服務(wù)器,?,?,?,網(wǎng)管,黑客,冒名者,郵件接收者,5.3.1 網(wǎng)絡(luò)上的安全問題,作為企業(yè)決策者，可以 通過(guò)電子郵件向下屬發(fā)送命令、批示 下屬用郵件向您匯報(bào) 黑客、網(wǎng)管 可以看到所有你們來(lái)往的電子郵件 可以篡改你的信 甚至假冒你發(fā)信 究竟誰(shuí)的權(quán)力最大？,2)郵件信息安全的風(fēng)險(xiǎn),5.3.1 網(wǎng)絡(luò)上的安全問題,3)網(wǎng)絡(luò)代碼的安全需求 軟件開發(fā)者通過(guò)網(wǎng)絡(luò)發(fā)布各種客戶端插件、軟件代碼或補(bǔ)丁程序，讓用戶下載或在線安裝，但是如何讓用戶相信其真實(shí)性，用戶如何判斷自己下載或在線安裝的代碼是真正的軟件開發(fā)者開發(fā)的代碼，代碼是否未被惡意篡改過(guò)，或者是否未被惡意替換過(guò)，或者是否是病毒程序； 當(dāng)今一些主流操作系統(tǒng)（如Windows XP及以上），在安裝應(yīng)用程序時(shí)會(huì)自動(dòng)檢查該程序的真實(shí)性及是否被篡改，如無(wú)法驗(yàn)證，在高安全級(jí)別下會(huì)禁止安裝，將導(dǎo)致用戶無(wú)法安裝該程序。,5.3.1 網(wǎng)絡(luò)上的安全問題,互聯(lián)網(wǎng)應(yīng)用存在信息安全隱患,網(wǎng)上應(yīng)用系統(tǒng)服務(wù)器,用戶,竊聽,篡改,抵賴,?,假冒的站點(diǎn),假冒的用戶,無(wú)法真正確認(rèn)彼此的身份 信息在互聯(lián)網(wǎng)被竊聽，導(dǎo)致信息泄漏 信息被篡改，導(dǎo)致信息不完整 用戶對(duì)發(fā)送信息進(jìn)行抵賴，沒有抗抵賴的依據(jù),5.3.2 數(shù)字世界的信息安全要素,機(jī)密性問題,完整性問題,審查能力問題,有效性問題,不可抵賴性問題,網(wǎng)絡(luò)支付的安 全性問題,確認(rèn)信息的保密,不被竊取,確保你收到信息沒有被篡改,有證據(jù)保證交易不可抵賴,對(duì)數(shù)據(jù)審查結(jié)果進(jìn)行記錄,保證所傳輸?shù)臄?shù)據(jù)是有效的,5.4 網(wǎng)絡(luò)支付系統(tǒng)分類,現(xiàn)在世界通用的支付系統(tǒng)不下幾十種，根據(jù)在線傳輸數(shù)據(jù)的種類（加密、分發(fā)類型）可以分為四類： 1)使用“信任的第三方”(trusted third party) 2)傳統(tǒng)銀行轉(zhuǎn)賬結(jié)算的擴(kuò)充 3)電子現(xiàn)金(Digital Cash) 4)電子賬單呈遞支付(EBPP)系統(tǒng),Company Logo,第二節(jié) CA系統(tǒng),CA的組要功能,3,CA與電子商務(wù),4,網(wǎng)絡(luò)安全的整體框架,網(wǎng)絡(luò)層的安全性,應(yīng)用程序的安全性,防火墻、VPN,訪問授權(quán),身份認(rèn)證,數(shù)據(jù)加密、簽名,防病毒、入侵檢測(cè)、漏洞掃描,系統(tǒng)的安全性,數(shù)據(jù)的安全性,用戶的安全性,PKI/CA,安全框架,解決方法,網(wǎng)絡(luò)通訊的四個(gè)安全要素,?,Claims,未發(fā)出,未收到,機(jī)密性,完整性,身份認(rèn)證,不可抵賴,攔截,篡改,偽造,通訊是否安全?,發(fā)出的信息被篡改過(guò)嗎？,我在與誰(shuí)通訊?,是否發(fā)出/收到信息?,如何解決電子通訊中的安全要素,密碼技術(shù) （加密 & 解密） 對(duì)稱加密 共享 密鑰 非對(duì)稱加密 公共/私有 密鑰對(duì) 密碼技術(shù)的特殊應(yīng)用： 數(shù)字簽名 數(shù)字證書,Digital Certificate,密碼技術(shù)的基本概念,加密是把明文信息轉(zhuǎn)化為密文的過(guò)程 解密是把密文信息還原成明文的過(guò)程 加密 / 解密 的過(guò)程需要： 一個(gè)加密算法和一把密鑰 兩種加密的類型： 對(duì)稱加密和非對(duì)稱加密,對(duì)稱加密算法,在兩個(gè)通訊者之間需要一把共享的密鑰,非對(duì)稱加密算法,沒有共享的密鑰。兩把密鑰同時(shí)產(chǎn)生；一把為公鑰，另一把為私鑰；因此也被稱為一對(duì)密鑰。,加密,To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非對(duì)稱 加密算法,非對(duì)稱加密算法,To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非對(duì)稱 加密算法,解密,沒有共享的密鑰。兩把密鑰同時(shí)產(chǎn)生；一把為公鑰，另一把為私鑰；因此也被稱為一對(duì)密鑰。,Company Logo,1.什么是CA,CA（認(rèn)證中心）是電子商務(wù)與網(wǎng)絡(luò)銀行交易最具權(quán)威性、可信耐性以及公正性的第三方機(jī)構(gòu)。它的主要任務(wù)是為電子商務(wù)環(huán)境中各個(gè)實(shí)體頒發(fā)數(shù)字證書，以證明各實(shí)體身份的真實(shí)性，并負(fù)責(zé)在交易中檢驗(yàn)和管理證書。,權(quán)威的認(rèn)證機(jī)構(gòu)：CA,證書認(rèn)證中心 Certificate Authority 提供網(wǎng)絡(luò)身份認(rèn)證服務(wù) 負(fù)責(zé)簽發(fā)和管理數(shù)字證書 具有權(quán)威性和公正性的第三方信任機(jī)構(gòu) 作用類似于頒發(fā)證件的公司 如護(hù)照辦理機(jī)構(gòu) 在公開體系下，人人都有CA的公鑰（人人都信任CA）,CA：CA(CertificationAuthority) 是認(rèn)證機(jī)構(gòu)的國(guó)際通稱， 是指對(duì)數(shù)字證書的申請(qǐng)者發(fā)放 、管理、取消數(shù)字證書的機(jī)構(gòu)。 CA的作用是檢查證書持 有者身份的合法性， 并簽發(fā)證書（在證書上簽字）， 以防證書被偽造或篡改， 就是證書的認(rèn)證中心。,Company Logo,1.1CA認(rèn)證系統(tǒng)的組成,1.2數(shù)字證書：電子的身份證,公安局,現(xiàn)實(shí)世界：,虛擬世界：,數(shù)字證書：身份認(rèn)證的解決之道！,數(shù)字證書 VS 身份證,姓名：王明 序列號(hào)：484865 簽發(fā)者：XXXCA 發(fā)布時(shí)間：2002-01-01 有效時(shí)間：2002-12-31 Email： 公鑰：38ighwejb 私鑰： 42qdyeipv ,姓名：王明 編號(hào)簽發(fā)者：北京市公安局海淀分局 發(fā)布時(shí)間：2000-04-05 有效期：20年 住址：北京市海淀區(qū)中科院南路6號(hào),1.2.1數(shù)字證書的頒發(fā),數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的 數(shù)字證書頒發(fā)過(guò)程如下： 用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。,證書個(gè)人信息公鑰信息CA的簽名信息,Company Logo,1.2.2數(shù)字證書,數(shù)字證書的類型,代碼簽名證書和表單簽名證書,個(gè)人數(shù)字證書,單位數(shù)字證書,單位員工數(shù)字證書,服務(wù)器證書,VPN證書,WAP證書,Company Logo,2.CA系統(tǒng)的組成結(jié)構(gòu),按層次結(jié)構(gòu)分： 認(rèn)證中心（根CA) 密匙管理中心(KM) 認(rèn)證下級(jí)中心(子CA） 證書審批中心（RA中心） 證書審批受理點(diǎn)（RAT),CA系統(tǒng)的 組成結(jié)構(gòu),從業(yè)務(wù)流程： 認(rèn)證機(jī)構(gòu) 數(shù)字證書庫(kù) 黑名單庫(kù) 密匙托管處理系統(tǒng) 證書目錄服務(wù) 證書審批 作廢處理系統(tǒng),3.CA的主要功能,1）自身密匙的產(chǎn)生、存儲(chǔ)、備份/恢復(fù)、歸檔和銷毀。 2）提供安全密匙管理服務(wù) 3）提供密匙生成和分發(fā)服務(wù) 4）提供密匙托管與恢復(fù)服務(wù) 5）確定客戶密匙生存周期，實(shí)施密匙吊銷和更新管理 6）其他密匙生成和管理、密匙運(yùn)算功能,數(shù)字證書生命期,4、CA與電子商務(wù),Company Logo,第三節(jié) 網(wǎng)上交易的國(guó)際過(guò)程,1.SSL協(xié)議,1.1 什么是SSL SSL (Secure socket Layer)安全套接層協(xié)議是一種在客戶端和服務(wù)器端之間建立安全通道的協(xié)議，主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web Server方式。 SSL一經(jīng)提出，就在Internet上得到廣泛的應(yīng)用。SSL最常用來(lái)保護(hù)Web的安全。為了保護(hù)存有敏感信息Web的服務(wù)器的安全，消除用戶在Internet上數(shù)據(jù)傳輸?shù)陌踩檻]。,1.2基于SSL的一個(gè)完整的Web訪問過(guò)程,1.客戶機(jī)瀏覽器的數(shù)字證書和公鑰,2.服務(wù)器的數(shù)字證書和公鑰,3.用服務(wù)器的公鑰加密信息,4.用服務(wù)器的私鑰解密信息,5.用客戶機(jī)瀏覽器的公鑰加密會(huì)話密鑰,6.用客戶機(jī)瀏覽器的私鑰解密信息,7.用會(huì)話密鑰加密傳輸?shù)臄?shù)據(jù),客戶端,服務(wù)器,2. SET協(xié)議,2.1 什么事SET SET協(xié)議是應(yīng)用層協(xié)議，由Master Card和Visa以及其他一些業(yè)界的主流廠商設(shè)計(jì)發(fā)布，是一種基于消息流的協(xié)議，用于保證在公共網(wǎng)絡(luò)，特別是Internet上進(jìn)行銀行卡支付交易的安全性，能夠有效地防止電子商務(wù)中的各種詐騙。它是目前已經(jīng)標(biāo)準(zhǔn)化并且被業(yè)界所廣泛接受的一種基于信用卡的付款機(jī)制。,2.2 SET協(xié)議的三個(gè)階段,持 卡 人,商 家,銀 行,1、購(gòu)買請(qǐng)求階段,2、支付認(rèn)定階段,3、受款階段,2.3SET協(xié)議的主要目標(biāo),保障付款安全； 確保應(yīng)用的互通性； 達(dá)到全球市場(chǎng)的接受性。 SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性。,2.4 SET協(xié)議的模型,發(fā)卡行,用戶,企業(yè)服務(wù)器,認(rèn)證機(jī)構(gòu)（CA）,商家,開戶,認(rèn)證,認(rèn)證,SET協(xié)議,SET協(xié)議,訂單、支付指令（數(shù)字簽名、加密）,2.5 SET協(xié)議的處理邏輯,2.5.1 SET購(gòu)物流程,持 卡 人 （ 消 費(fèi) 者 ）,特 約 商 店,收 單 銀 行,1、確認(rèn)商店的合法性,2、提交商店的證書,3、數(shù)字簽名、訂單和電子證書,4、請(qǐng)求交易授權(quán),5、交易授權(quán)回復(fù),6、訂單確認(rèn)，完成交易,7、請(qǐng)款要求,8、請(qǐng)款回復(fù),8.3.2 SET完整處理流程分析,整個(gè)處理流程對(duì)持卡人來(lái)說(shuō)是透明的，軟件自動(dòng)完成。 SET支付處理基本流程包括： 持卡人注冊(cè) 商家注冊(cè) 購(gòu)買請(qǐng)求 支付授權(quán) 支付獲得,（1）持卡人注冊(cè),持卡人 初始化注冊(cè) 持卡人接收響應(yīng) 并請(qǐng)求注冊(cè)表 持卡人接收注冊(cè)表 并請(qǐng)求證書 持卡人接收證書,CA發(fā)出響應(yīng) CA處理請(qǐng)求并 發(fā)出注冊(cè)表 CA處理請(qǐng)求并 發(fā)出證書,初始化請(qǐng)求 初始化響應(yīng) 注冊(cè)表請(qǐng)求 注冊(cè)表 持卡人證書請(qǐng)求 持卡人證書,持卡人計(jì)算機(jī),CA,（2）商家注冊(cè),商家請(qǐng)求注冊(cè)表 商家接收注冊(cè)表 和請(qǐng)求證書 商家接收證書,CA處理請(qǐng)求并 發(fā)出注冊(cè)表 CA處理請(qǐng)求并 發(fā)出證書,初始化請(qǐng)求 注冊(cè)表 商家證書請(qǐng)求 商家證書,商家計(jì)算機(jī),CA,（3）購(gòu)買請(qǐng)求,持卡人 初始化注冊(cè) 持卡人接收響應(yīng) 和發(fā)出請(qǐng)求 持卡人接收 購(gòu)買響應(yīng),商家發(fā)出證書 商家處理 請(qǐng)求信息,初始化請(qǐng)求 初始化響應(yīng) 商家訂購(gòu)請(qǐng)求 商家響應(yīng),持卡人計(jì)算機(jī),商家,（4）支付授權(quán),商家請(qǐng)求授權(quán) 商家處理響應(yīng),支付網(wǎng)關(guān) 處理授權(quán),授權(quán)請(qǐng)求 授權(quán)響應(yīng),商家計(jì)算機(jī),支付網(wǎng)關(guān)處理,1）商家請(qǐng)求授權(quán) 2）支付網(wǎng)關(guān)處理授權(quán)請(qǐng)求 OI識(shí)別號(hào)PI 3）商家處理響應(yīng),授權(quán)響應(yīng)消息： 發(fā)卡行的響應(yīng)； 支付網(wǎng)關(guān)的簽名證書； 可選的請(qǐng)款標(biāo)記；,支付授權(quán)三個(gè)步驟,（5）支付請(qǐng)款,商家請(qǐng)求付款 商家處理響應(yīng),支付網(wǎng)關(guān) 處理請(qǐng)款,商家計(jì)算機(jī),支付網(wǎng)關(guān),請(qǐng)款請(qǐng)求 請(qǐng)款響應(yīng),Company Logo,第四節(jié) 第三方支付網(wǎng)關(guān),1、什么是第三方支付,第三方支付的概念,所謂第三方支付，就是一些和產(chǎn)品所在國(guó)家以及國(guó)外各大銀行簽約、并具備一定實(shí)力和信譽(yù)保障的第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺(tái)。在通過(guò)第三方支付平臺(tái)的交易中，買方選購(gòu)商品后，使用第三方平臺(tái)提供的賬戶進(jìn)行貨款支付，由第三方通知賣家貨款到達(dá)、進(jìn)行發(fā)貨；買方檢驗(yàn)物品后，就可以通知付款給賣家，第三方再