電子支付的支持系.pptVIP

電子支付與電子支付的支持系統(tǒng),Company Logo,主要內(nèi)容,第三節(jié)網(wǎng)上交易的國際標(biāo)準(zhǔn)和過程,3,第四節(jié) 第三方支付網(wǎng)關(guān),4,第一節(jié) 電子支付概述,在商品交易、證券交易和貨幣交易中，交易雙方的資金往來，稱為支付,1、傳統(tǒng)支付方式,2、傳統(tǒng)的支付手段對網(wǎng)絡(luò)經(jīng)濟(jì)的局限性：,缺乏方便性 安全性低 缺乏覆蓋面 適應(yīng)性不強(qiáng) 缺乏對微支付的支持 網(wǎng)絡(luò)經(jīng)濟(jì)要求電子支付形式的出現(xiàn)與發(fā)展,3、電子支付,據(jù)中國人民銀行發(fā)表的第23號電子支付指引公告，電子支付是指單位、個人（以下簡稱客戶）直接或授權(quán)他人通過電子終端發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。 廣義上電子支付主要包括三層含義，一是電子支付工具，包括銀行卡和多用途儲值卡等卡基支付工具、電子票據(jù)以及最近在電子商務(wù)中應(yīng)用較為廣泛的網(wǎng)絡(luò)虛擬貨幣等新型支付工具；二是電子支付基礎(chǔ)設(shè)施或渠道，包括ATM、POS、手機(jī)、電話等自助終端以及互聯(lián)網(wǎng)、金融專用網(wǎng)等網(wǎng)絡(luò)；三是電子支付業(yè)務(wù)處理系統(tǒng)，主要包括已經(jīng)建成的中央銀行現(xiàn)代化支付系統(tǒng)以及商業(yè)銀行的行內(nèi)業(yè)務(wù)處理系統(tǒng)等。 狹義上的電子支付，也就是通常意義上的電子支付，一般僅指電子支付工具以及相應(yīng)的電子支付渠道，銀行卡交易、網(wǎng)上支付、移動支付等都屬于狹義上的電子支付。,3、電子支付的定義,考慮到電子支付的實(shí)現(xiàn)方式和支付手段：所謂電子支付，是將傳統(tǒng)的支付業(yè)務(wù)，利用有線、互聯(lián)網(wǎng)、無線通信技術(shù)，延伸到個人、家庭、企業(yè)，或利用信息技術(shù)，用電子信息流支付指令代替現(xiàn)金支付行為，使得用戶可以實(shí)現(xiàn)遠(yuǎn)程支付或即時(shí)支付。 考慮到電子支付的基礎(chǔ)和實(shí)現(xiàn)手段：電子支付是以金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以商用電子化工具和各類交易卡為媒介，以計(jì)算機(jī)技術(shù)和通信技術(shù)為手段，以電子數(shù)據(jù)形式存儲在銀行的計(jì)算機(jī)系統(tǒng)中，并通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)以電子信息傳遞形式實(shí)現(xiàn)流通和支付。 考慮到電子支付的實(shí)現(xiàn)目的：單位、個人通過電子終端，直接或間接向銀行業(yè)金融機(jī)構(gòu)或其他具有資金轉(zhuǎn)移能力的企業(yè)發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移。,4、電子支付的分類：,1）按照采用的通信手段 根據(jù)電子支付是否采用通信手段可分為在線支付和離線支付。 在線支付根據(jù)采用的通信渠道的不同，又可以分為電話支付、互聯(lián)網(wǎng)支付、移動支付； 離線支付根據(jù)卡的介質(zhì)分為接觸式和非接觸式支付。,4、電子支付的分類：,充值卡支付,銀行與郵政匯款支付,網(wǎng)上銀行支付,第三方支付,電話支付,按支付模式分,2）按支付模式分,4、電子支付的分類,第一種 模式,復(fù)制PayPal,支付網(wǎng)關(guān)模式,移動支付,3）電子支付產(chǎn)業(yè)的三種模式,第二種 模式,第三種 模式,4、電子支付的分類,4）按照支付金額的大小,5、網(wǎng)絡(luò)支付,網(wǎng)絡(luò)支付，是指參加電子商務(wù)活動的一方向另一方付款的過程，是網(wǎng)上交易當(dāng)事人（包括消費(fèi)者、商家和金融機(jī)構(gòu)，使用安全電子支付手段通過公用網(wǎng)絡(luò)進(jìn)行的貨幣支付或資金流轉(zhuǎn)移。 1）網(wǎng)絡(luò)支付只是電子支付的一個子集； 2）電子支付包括很多方式，其中只有在線并且是通過公共網(wǎng)絡(luò)進(jìn)行的支付才是網(wǎng)絡(luò)支付。,5.1網(wǎng)絡(luò)支付的條件,客戶系統(tǒng)、支付網(wǎng)關(guān)、安全認(rèn)證是網(wǎng)絡(luò)支付的必要條件，也是網(wǎng)絡(luò)銀行運(yùn)行的技術(shù)要求。,5.2 網(wǎng)絡(luò)支付的特征,網(wǎng)絡(luò)支付與傳統(tǒng)支付方式的本質(zhì)不同在于網(wǎng)絡(luò)支 付的一切都是數(shù)字的。,網(wǎng)絡(luò)支付的工作環(huán)境主要是基于Internet，同時(shí)也使 用VAN，VPN等私有網(wǎng)絡(luò)處理電子數(shù)據(jù)交換業(yè)務(wù)。,5.2 網(wǎng)絡(luò)支付的特征,Internet的訪問費(fèi)用很低，而其作為通信手段，又擁有使用 方便、內(nèi)容廣泛等特性。,傳統(tǒng)支付系統(tǒng)要求完整性，除了要有這些特征外，還有新的要求，即可接受性、適用性、匿名性、效率，數(shù)字貨幣與其他類型貨幣的可兌換性，可靠性，安全性。,5.3網(wǎng)絡(luò)支付的安全性問題,5.3.1 網(wǎng)絡(luò)上的安全問題： 1）網(wǎng)站信息安全的風(fēng)險(xiǎn)； 網(wǎng)站的真實(shí)性：用戶訪問網(wǎng)站時(shí)需要確認(rèn)網(wǎng)站的真實(shí)性，由于互聯(lián)網(wǎng)的廣泛性和開放性，使得互聯(lián)網(wǎng)上存在很多虛假的網(wǎng)站，如何讓用戶信任自己訪問的網(wǎng)站。 信息的機(jī)密性：現(xiàn)在大量的網(wǎng)上應(yīng)用需要用戶向應(yīng)用服務(wù)器提交一些隱私及機(jī)密信息，同時(shí)應(yīng)用服務(wù)器也可能向用戶返回一些隱私及機(jī)密信息，如何確保這些信息的安全。,5.3.1 網(wǎng)絡(luò)上的安全問題,2)郵件信息安全的風(fēng)險(xiǎn),郵件服務(wù)器,?,?,?,網(wǎng)管,黑客,冒名者,郵件接收者,5.3.1 網(wǎng)絡(luò)上的安全問題,作為企業(yè)決策者，可以 通過電子郵件向下屬發(fā)送命令、批示 下屬用郵件向您匯報(bào) 黑客、網(wǎng)管 可以看到所有你們來往的電子郵件 可以篡改你的信 甚至假冒你發(fā)信 究竟誰的權(quán)力最大？,2)郵件信息安全的風(fēng)險(xiǎn),5.3.1 網(wǎng)絡(luò)上的安全問題,3)網(wǎng)絡(luò)代碼的安全需求 軟件開發(fā)者通過網(wǎng)絡(luò)發(fā)布各種客戶端插件、軟件代碼或補(bǔ)丁程序，讓用戶下載或在線安裝，但是如何讓用戶相信其真實(shí)性，用戶如何判斷自己下載或在線安裝的代碼是真正的軟件開發(fā)者開發(fā)的代碼，代碼是否未被惡意篡改過，或者是否未被惡意替換過，或者是否是病毒程序； 當(dāng)今一些主流操作系統(tǒng)（如Windows XP及以上），在安裝應(yīng)用程序時(shí)會自動檢查該程序的真實(shí)性及是否被篡改，如無法驗(yàn)證，在高安全級別下會禁止安裝，將導(dǎo)致用戶無法安裝該程序。,5.3.1 網(wǎng)絡(luò)上的安全問題,互聯(lián)網(wǎng)應(yīng)用存在信息安全隱患,網(wǎng)上應(yīng)用系統(tǒng)服務(wù)器,用戶,竊聽,篡改,抵賴,?,假冒的站點(diǎn),假冒的用戶,無法真正確認(rèn)彼此的身份 信息在互聯(lián)網(wǎng)被竊聽，導(dǎo)致信息泄漏 信息被篡改，導(dǎo)致信息不完整 用戶對發(fā)送信息進(jìn)行抵賴，沒有抗抵賴的依據(jù),5.3.2 數(shù)字世界的信息安全要素,機(jī)密性問題,完整性問題,審查能力問題,有效性問題,不可抵賴性問題,網(wǎng)絡(luò)支付的安 全性問題,確認(rèn)信息的保密,不被竊取,確保你收到信息沒有被篡改,有證據(jù)保證交易不可抵賴,對數(shù)據(jù)審查結(jié)果進(jìn)行記錄,保證所傳輸?shù)臄?shù)據(jù)是有效的,5.4 網(wǎng)絡(luò)支付系統(tǒng)分類,現(xiàn)在世界通用的支付系統(tǒng)不下幾十種，根據(jù)在線傳輸數(shù)據(jù)的種類（加密、分發(fā)類型）可以分為四類： 1)使用“信任的第三方”(trusted third party) 2)傳統(tǒng)銀行轉(zhuǎn)賬結(jié)算的擴(kuò)充 3)電子現(xiàn)金(Digital Cash) 4)電子賬單呈遞支付(EBPP)系統(tǒng),Company Logo,第二節(jié) CA系統(tǒng),CA的組要功能,3,CA與電子商務(wù),4,網(wǎng)絡(luò)安全的整體框架,網(wǎng)絡(luò)層的安全性,應(yīng)用程序的安全性,防火墻、VPN,訪問授權(quán),身份認(rèn)證,數(shù)據(jù)加密、簽名,防病毒、入侵檢測、漏洞掃描,系統(tǒng)的安全性,數(shù)據(jù)的安全性,用戶的安全性,PKI/CA,安全框架,解決方法,網(wǎng)絡(luò)通訊的四個安全要素,?,Claims,未發(fā)出,未收到,機(jī)密性,完整性,身份認(rèn)證,不可抵賴,攔截,篡改,偽造,通訊是否安全?,發(fā)出的信息被篡改過嗎？,我在與誰通訊?,是否發(fā)出/收到信息?,如何解決電子通訊中的安全要素,密碼技術(shù) （加密 & 解密） 對稱加密 共享 密鑰 非對稱加密 公共/私有 密鑰對 密碼技術(shù)的特殊應(yīng)用： 數(shù)字簽名 數(shù)字證書,Digital Certificate,密碼技術(shù)的基本概念,加密是把明文信息轉(zhuǎn)化為密文的過程 解密是把密文信息還原成明文的過程 加密 / 解密 的過程需要： 一個加密算法和一把密鑰 兩種加密的類型： 對稱加密和非對稱加密,對稱加密算法,在兩個通訊者之間需要一把共享的密鑰,非對稱加密算法,沒有共享的密鑰。兩把密鑰同時(shí)產(chǎn)生；一把為公鑰，另一把為私鑰；因此也被稱為一對密鑰。,加密,To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非對稱 加密算法,非對稱加密算法,To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非對稱 加密算法,解密,沒有共享的密鑰。兩把密鑰同時(shí)產(chǎn)生；一把為公鑰，另一把為私鑰；因此也被稱為一對密鑰。,Company Logo,1.什么是CA,CA（認(rèn)證中心）是電子商務(wù)與網(wǎng)絡(luò)銀行交易最具權(quán)威性、可信耐性以及公正性的第三方機(jī)構(gòu)。它的主要任務(wù)是為電子商務(wù)環(huán)境中各個實(shí)體頒發(fā)數(shù)字證書，以證明各實(shí)體身份的真實(shí)性，并負(fù)責(zé)在交易中檢驗(yàn)和管理證書。,權(quán)威的認(rèn)證機(jī)構(gòu)：CA,證書認(rèn)證中心 Certificate Authority 提供網(wǎng)絡(luò)身份認(rèn)證服務(wù) 負(fù)責(zé)簽發(fā)和管理數(shù)字證書 具有權(quán)威性和公正性的第三方信任機(jī)構(gòu) 作用類似于頒發(fā)證件的公司 如護(hù)照辦理機(jī)構(gòu) 在公開體系下，人人都有CA的公鑰（人人都信任CA）,CA：CA(CertificationAuthority) 是認(rèn)證機(jī)構(gòu)的國際通稱， 是指對數(shù)字證書的申請者發(fā)放 、管理、取消數(shù)字證書的機(jī)構(gòu)。 CA的作用是檢查證書持 有者身份的合法性， 并簽發(fā)證書（在證書上簽字）， 以防證書被偽造或篡改， 就是證書的認(rèn)證中心。,Company Logo,1.1CA認(rèn)證系統(tǒng)的組成,1.2數(shù)字證書：電子的身份證,公安局,現(xiàn)實(shí)世界：,虛擬世界：,數(shù)字證書：身份認(rèn)證的解決之道！,數(shù)字證書 VS 身份證,姓名：王明 序列號：484865 簽發(fā)者：XXXCA 發(fā)布時(shí)間：2002-01-01 有效時(shí)間：2002-12-31 Email： 公鑰：38ighwejb 私鑰： 42qdyeipv ,姓名：王明 編號簽發(fā)者：北京市公安局海淀分局 發(fā)布時(shí)間：2000-04-05 有效期：20年 住址：北京市海淀區(qū)中科院南路6號,1.2.1數(shù)字證書的頒發(fā),數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的 數(shù)字證書頒發(fā)過程如下： 用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動。,證書個人信息公鑰信息CA的簽名信息,Company Logo,1.2.2數(shù)字證書,數(shù)字證書的類型,代碼簽名證書和表單簽名證書,個人數(shù)字證書,單位數(shù)字證書,單位員工數(shù)字證書,服務(wù)器證書,VPN證書,WAP證書,Company Logo,2.CA系統(tǒng)的組成結(jié)構(gòu),按層次結(jié)構(gòu)分： 認(rèn)證中心（根CA) 密匙管理中心(KM) 認(rèn)證下級中心(子CA） 證書審批中心（RA中心） 證書審批受理點(diǎn)（RAT),CA系統(tǒng)的 組成結(jié)構(gòu),從業(yè)務(wù)流程： 認(rèn)證機(jī)構(gòu) 數(shù)字證書庫 黑名單庫 密匙托管處理系統(tǒng) 證書目錄服務(wù) 證書審批 作廢處理系統(tǒng),3.CA的主要功能,1）自身密匙的產(chǎn)生、存儲、備份/恢復(fù)、歸檔和銷毀。 2）提供安全密匙管理服務(wù) 3）提供密匙生成和分發(fā)服務(wù) 4）提供密匙托管與恢復(fù)服務(wù) 5）確定客戶密匙生存周期，實(shí)施密匙吊銷和更新管理 6）其他密匙生成和管理、密匙運(yùn)算功能,數(shù)字證書生命期,4、CA與電子商務(wù),Company Logo,第三節(jié) 網(wǎng)上交易的國際過程,1.SSL協(xié)議,1.1 什么是SSL SSL (Secure socket Layer)安全套接層協(xié)議是一種在客戶端和服務(wù)器端之間建立安全通道的協(xié)議，主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對點(diǎn)之間的信息傳輸，常用Web Server方式。 SSL一經(jīng)提出，就在Internet上得到廣泛的應(yīng)用。SSL最常用來保護(hù)Web的安全。為了保護(hù)存有敏感信息Web的服務(wù)器的安全，消除用戶在Internet上數(shù)據(jù)傳輸?shù)陌踩檻]。,1.2基于SSL的一個完整的Web訪問過程,1.客戶機(jī)瀏覽器的數(shù)字證書和公鑰,2.服務(wù)器的數(shù)字證書和公鑰,3.用服務(wù)器的公鑰加密信息,4.用服務(wù)器的私鑰解密信息,5.用客戶機(jī)瀏覽器的公鑰加密會話密鑰,6.用客戶機(jī)瀏覽器的私鑰解密信息,7.用會話密鑰加密傳輸?shù)臄?shù)據(jù),客戶端,服務(wù)器,2. SET協(xié)議,2.1 什么事SET SET協(xié)議是應(yīng)用層協(xié)議，由Master Card和Visa以及其他一些業(yè)界的主流廠商設(shè)計(jì)發(fā)布，是一種基于消息流的協(xié)議，用于保證在公共網(wǎng)絡(luò)，特別是Internet上進(jìn)行銀行卡支付交易的安全性，能夠有效地防止電子商務(wù)中的各種詐騙。它是目前已經(jīng)標(biāo)準(zhǔn)化并且被業(yè)界所廣泛接受的一種基于信用卡的付款機(jī)制。,2.2 SET協(xié)議的三個階段,持 卡 人,商 家,銀 行,1、購買請求階段,2、支付認(rèn)定階段,3、受款階段,2.3SET協(xié)議的主要目標(biāo),保障付款安全； 確保應(yīng)用的互通性； 達(dá)到全球市場的接受性。 SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性。,2.4 SET協(xié)議的模型,發(fā)卡行,用戶,企業(yè)服務(wù)器,認(rèn)證機(jī)構(gòu)（CA）,商家,開戶,認(rèn)證,認(rèn)證,SET協(xié)議,SET協(xié)議,訂單、支付指令（數(shù)字簽名、加密）,2.5 SET協(xié)議的處理邏輯,2.5.1 SET購物流程,持 卡 人 （ 消 費(fèi) 者 ）,特 約 商 店,收 單 銀 行,1、確認(rèn)商店的合法性,2、提交商店的證書,3、數(shù)字簽名、訂單和電子證書,4、請求交易授權(quán),5、交易授權(quán)回復(fù),6、訂單確認(rèn)，完成交易,7、請款要求,8、請款回復(fù),8.3.2 SET完整處理流程分析,整個處理流程對持卡人來說是透明的，軟件自動完成。 SET支付處理基本流程包括： 持卡人注冊 商家注冊 購買請求 支付授權(quán) 支付獲得,（1）持卡人注冊,持卡人 初始化注冊 持卡人接收響應(yīng) 并請求注冊表 持卡人接收注冊表 并請求證書 持卡人接收證書,CA發(fā)出響應(yīng) CA處理請求并 發(fā)出注冊表 CA處理請求并 發(fā)出證書,初始化請求 初始化響應(yīng) 注冊表請求 注冊表 持卡人證書請求 持卡人證書,持卡人計(jì)算機(jī),CA,（2）商家注冊,商家請求注冊表 商家接收注冊表 和請求證書 商家接收證書,CA處理請求并 發(fā)出注冊表 CA處理請求并 發(fā)出證書,初始化請求 注冊表 商家證書請求 商家證書,商家計(jì)算機(jī),CA,（3）購買請求,持卡人 初始化注冊 持卡人接收響應(yīng) 和發(fā)出請求 持卡人接收 購買響應(yīng),商家發(fā)出證書 商家處理 請求信息,初始化請求 初始化響應(yīng) 商家訂購請求 商家響應(yīng),持卡人計(jì)算機(jī),商家,（4）支付授權(quán),商家請求授權(quán) 商家處理響應(yīng),支付網(wǎng)關(guān) 處理授權(quán),授權(quán)請求 授權(quán)響應(yīng),商家計(jì)算機(jī),支付網(wǎng)關(guān)處理,1）商家請求授權(quán) 2）支付網(wǎng)關(guān)處理授權(quán)請求 OI識別號PI 3）商家處理響應(yīng),授權(quán)響應(yīng)消息： 發(fā)卡行的響應(yīng)； 支付網(wǎng)關(guān)的簽名證書； 可選的請款標(biāo)記；,支付授權(quán)三個步驟,（5）支付請款,商家請求付款 商家處理響應(yīng),支付網(wǎng)關(guān) 處理請款,商家計(jì)算機(jī),支付網(wǎng)關(guān),請款請求 請款響應(yīng),Company Logo,第四節(jié) 第三方支付網(wǎng)關(guān),1、什么是第三方支付,第三方支付的概念,所謂第三方支付，就是一些和產(chǎn)品所在國家以及國外各大銀行簽約、并具備一定實(shí)力和信譽(yù)保障的第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺。在通過第三方支付平臺的交易中，買方選購商品后，使用第三方平臺提供的賬戶進(jìn)行貨款支付，由第三方通知賣家貨款到達(dá)、進(jìn)行發(fā)貨；買方檢驗(yàn)物品后，就可以通知付款給賣家，第三方再