《電子商務(wù)安全基礎(chǔ)》

第二篇電子商務(wù)平安技術(shù)電子商務(wù)平安技術(shù)SecurityTechniquesOfElectronicCommerce第六章電子商務(wù)支付平安技術(shù).第六章電子商務(wù)支付平安技術(shù)6.2電子支付平安技術(shù)6.1電子支付系統(tǒng)實訓(xùn).6.1電子支付系統(tǒng).6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述美國法律學(xué)會批準(zhǔn)的?統(tǒng)一商業(yè)法規(guī)?對電子支付作了如下定義：電子支付是支付命令發(fā)送方把存放在商業(yè)銀行的資金，通過一條網(wǎng)絡(luò)線路劃入收益方開戶銀行，以支付給收益方的一系列轉(zhuǎn)移過程。電子支付的定義.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付的方式通常認(rèn)為電子商務(wù)支付系統(tǒng)是電子商務(wù)系統(tǒng)的重要組成局部，它指的是消費者、商家和金融機(jī)構(gòu)之間使用平安電子手段交換商品或效勞，即把新型支付手段的支付信息通過網(wǎng)絡(luò)平安傳送到銀行或相應(yīng)的處理機(jī)構(gòu)，來實現(xiàn)電子支付。目前在電子商務(wù)支付結(jié)算過程主要采用兩種根本方式，即傳統(tǒng)的支付方式和網(wǎng)上〔電子〕支付方式，如圖6-1所示。圖6-1電子商務(wù)的支付方式

.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述第一階段銀行利用計算機(jī)及網(wǎng)絡(luò)處理銀行之間的業(yè)務(wù)，辦理結(jié)算；第二階段銀行與其他機(jī)構(gòu)之間計算機(jī)之間資金的結(jié)算，如代發(fā)工資等業(yè)務(wù)；第三階段利用網(wǎng)絡(luò)終端向客戶提供各項銀行效勞，如為客戶在自動柜員機(jī)(ATM)上提供的取存款效勞等；第四階段利用銀行銷售點終端(POS)向客戶提供自動的劃賬效勞，這是現(xiàn)階段電子支付的主要方式；第五階段通過因特網(wǎng)進(jìn)行直接轉(zhuǎn)賬結(jié)算，即網(wǎng)上支付。電子支付的開展階段.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付的特點1.電子支付是在開放的網(wǎng)絡(luò)系統(tǒng)中以先進(jìn)信息技術(shù)來完成信息傳輸，其各種支付方式都是采用數(shù)字化的方式進(jìn)行款項支付的，而傳統(tǒng)的交易支付方式那么以傳統(tǒng)的通信媒介通過現(xiàn)金流轉(zhuǎn)、票據(jù)轉(zhuǎn)讓和銀行的匯兌等物理實體來完成款項的支付。2.電子支付的工作環(huán)境是基于一個開放的系統(tǒng)平臺(互聯(lián)網(wǎng))，而傳統(tǒng)支付那么是在較為封閉的系統(tǒng)中運作。3.電子支付對軟、硬件設(shè)施的要求很高，一般要求有聯(lián)網(wǎng)的微機(jī)、相關(guān)的軟件及其一些配套設(shè)施，而傳統(tǒng)的交易支付方式對實施沒有什么特殊的要求。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付的特點4.電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢，用戶只要擁有一臺聯(lián)網(wǎng)的微機(jī)，便可足不出戶，在很短的時間內(nèi)完成整個支付過程。支付費用僅相當(dāng)于傳統(tǒng)支付方法的幾十分之一，甚至幾百分之一。5.由于電子支付工具、支付過程具有無形化的特征，它將傳統(tǒng)支付方式中面對面的信用關(guān)系虛擬化。如對支付工具的平安管理不是依靠普通的防偽技術(shù)，而是通過用戶密碼，軟硬件加、解密系統(tǒng)以及路由器等網(wǎng)絡(luò)設(shè)備的平安保護(hù)功能來實現(xiàn)的；為保證支付工具的通用性，需制定一系列標(biāo)準(zhǔn)。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付流程1.消費者向商戶發(fā)送購物請求；2.商戶把消費者的支付指令通過支付網(wǎng)點送往商戶開戶行(收單行)；3.收單行通過專用網(wǎng)絡(luò)從消費者開戶行(發(fā)卡行)取得支付授權(quán)后，把授權(quán)信息送回商戶；4.商戶取得授權(quán)后，向消費者發(fā)送購物回應(yīng)信息；5.如果支付獲取與支付授權(quán)并非同時完成的話，商戶還要通過支付網(wǎng)關(guān)向收單行發(fā)送支付獲取請求，以把該筆交易的金額轉(zhuǎn)賬到商戶帳戶中；6.銀行之間那么通過自身的支付清算網(wǎng)絡(luò)來完成最后的行間清算。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付流程圖6-2網(wǎng)上支付流程

.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付系統(tǒng)的構(gòu)成1.客戶2.商家3.銀行4.認(rèn)證機(jī)構(gòu)圖6-3電子支付系統(tǒng)的根本構(gòu)成.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付方式根據(jù)系統(tǒng)中使用的支付工具不同，大致可以將電子支付方式系統(tǒng)分為以下四大類：〔1〕電子信用卡系統(tǒng)，如Visa、MasterCard等；〔2〕數(shù)字化電子現(xiàn)金系統(tǒng)，如ECash等；〔3〕電子資金傳輸／電子支票系統(tǒng)，如E-check、NetBill、Netcheck等；〔4〕網(wǎng)上銀行。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付功能對于一個支付系統(tǒng)而言(可能專門針對一方支付方式，也可能兼容幾種支付方式)，它應(yīng)有以下的功能：

1.必須使用數(shù)字簽名和數(shù)字證書實現(xiàn)對各方的認(rèn)證;2.使用加密算法對業(yè)務(wù)進(jìn)行加密;3.使用消息摘要算法以確認(rèn)業(yè)務(wù)的完整性;4.保證對業(yè)務(wù)的不可否認(rèn)性;5.處理多方貿(mào)易業(yè)務(wù)的多邊支付問題;.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述銀行卡銀行卡的種類較多，從物理特性上分，主要有磁條卡和IC卡；從與銀行賬戶的關(guān)系上分，主要有借記卡、信用卡和貸記卡；從用途上分，主要有信用卡、轉(zhuǎn)賬卡、提現(xiàn)卡；從使用范圍上分有個人卡和單位卡。在此主要介紹借記卡、貸記卡和信用卡。賬號直接傳輸方式專用賬號方式專用協(xié)議方式SET方式銀行卡網(wǎng)上支付方式.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述信用卡網(wǎng)上支付系統(tǒng)①客戶訪問主頁；瀏覽商品，驗證商家CA證書，申請空白訂貨單。②客戶挑選商品，填寫訂單。同時插入信用卡，輸入身份識別碼PIN，由瀏覽器擴(kuò)展局部進(jìn)行驗證，如果符合就翻開信用卡，讀取卡中數(shù)據(jù)，并由用戶形成支付指令，與訂單同時發(fā)往商家。③商家后端效勞器中的支付處理模塊在收到訂單信息和支付信息之后，初步確認(rèn)客戶的交易意圖，在對客戶身份認(rèn)證完成之后，將兩種信息發(fā)往信用卡信息中心進(jìn)行確認(rèn)并申請授權(quán)。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述信用卡網(wǎng)上支付系統(tǒng)④經(jīng)支付網(wǎng)關(guān)檢查過的合法支付指令被傳送到信用卡信息中心進(jìn)行聯(lián)機(jī)實時處理，經(jīng)過卡的真實性、持卡人身份合法性以及信用額度確實認(rèn)后，信用卡信息中心決定是否授權(quán)，并將產(chǎn)生結(jié)果傳回商家效勞器。⑤接到信用卡授權(quán)之后，商家便可繼續(xù)交易，并向客戶發(fā)送交易完成的信息，組織向客戶發(fā)送貨物。⑥信用卡信息中心將信用卡授權(quán)產(chǎn)生的轉(zhuǎn)賬結(jié)算數(shù)據(jù)傳往收單行進(jìn)行賬務(wù)處理。時間可在當(dāng)日，次日，或約定的一定時間間隔內(nèi)。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述信用卡網(wǎng)上支付系統(tǒng)⑦收單行將轉(zhuǎn)賬數(shù)據(jù)及相關(guān)信息傳往發(fā)卡行進(jìn)行認(rèn)證(注：在信用卡信息中心的認(rèn)證根底之上的再認(rèn)證，充分保證支付系統(tǒng)的平安性)。⑧轉(zhuǎn)賬業(yè)務(wù)經(jīng)發(fā)卡行認(rèn)證傳回收單行。同時，發(fā)卡行將客戶的消費金額記入其消費信貸賬戶中，并開始計息；收單行那么把商家的貨款收入記入其存款賬戶中。至此，轉(zhuǎn)賬過程結(jié)束。⑨轉(zhuǎn)賬結(jié)果再分別由發(fā)卡行和收單行傳往信用卡信息中心，以便它更新數(shù)據(jù)庫，從而方便商家和客戶的查詢。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述信用卡網(wǎng)上支付系統(tǒng)圖6-4信用卡支付系統(tǒng)結(jié)構(gòu)圖

.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述銀行卡所面臨的平安問題〔1〕銀行卡在公網(wǎng)上傳輸，數(shù)據(jù)被黑客或內(nèi)部人員竊取；〔2〕客戶的個人信息，在電子商務(wù)過程中被商家或第三方獲取而造成泄露；〔3〕由于通訊線路的問題，造成交易數(shù)據(jù)喪失；〔4〕不同的公司和銀行的操作平臺的存在兼容性問題導(dǎo)致交易故障。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子現(xiàn)金電子現(xiàn)金〔ElectronicCash〕也叫數(shù)字現(xiàn)金〔DigitalMoney〕，是一種以數(shù)字形式流通的貨幣。它把現(xiàn)金數(shù)值轉(zhuǎn)換成為一系列的加密序列數(shù)，通過這些序列數(shù)來表示現(xiàn)實中各種金額的幣值。它通常具有紙質(zhì)現(xiàn)金的貨幣價值、可交換性、可存儲性和可重復(fù)性等屬性和多用途、匿名性、使用靈活和快速簡便等特點，可以滿足及時支付要求等。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子現(xiàn)金的種類目前已開發(fā)的各種電子現(xiàn)金主要有智能(IC)卡形式和硬盤數(shù)據(jù)文件形式兩類。①智能卡形式的電子現(xiàn)金②硬盤數(shù)據(jù)文件形式的電子現(xiàn)金.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子現(xiàn)金支付系統(tǒng)

電子現(xiàn)金支付系統(tǒng)是一種“預(yù)先付款“的支付系統(tǒng)。它的特點那么是不直接對應(yīng)任何賬戶，持有者事先預(yù)付資金，便可獲得相應(yīng)貨幣值的電子現(xiàn)金(智能卡或硬盤文件)用于網(wǎng)上支付，因此，可以離線操作。任何電子現(xiàn)金支付系統(tǒng)必須包含一些共同的特征，電子現(xiàn)金也必須具有貨幣價值、互操作性、可恢復(fù)性以及平安性。常用的電子現(xiàn)金系統(tǒng)有“Ecash〞、“Worldpay〞、“DigiCash〞等。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子現(xiàn)金進(jìn)行支付的流程

顧客到銀行開戶，存入真正的現(xiàn)金，在網(wǎng)絡(luò)銀行買了一定的電子現(xiàn)金，存儲在本地計算機(jī)中。顧客在網(wǎng)上購物時使用電子現(xiàn)金向商家支付，電子現(xiàn)金經(jīng)加密后傳輸給商家效勞器。商品將收到的電子現(xiàn)金發(fā)送到開戶銀行，要求兌付真正的現(xiàn)金。商家開戶行對數(shù)字簽名進(jìn)行驗證后，通過銀行專用網(wǎng)絡(luò)與客戶開戶行進(jìn)行清算，并將清算金額轉(zhuǎn)撥給商家。商家根據(jù)客戶提交的購物單給客戶發(fā)送貨物。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子現(xiàn)金所面臨的平安問題〔1〕重復(fù)花費。電子現(xiàn)金的重復(fù)使用。〔2〕電子現(xiàn)金的偽造。在電子商務(wù)中使用未經(jīng)授權(quán)私自制造的電子現(xiàn)金。〔3〕電子現(xiàn)金被盜。電子現(xiàn)金被未經(jīng)授權(quán)方非法使用。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支票

電子支票是完全電子化的支票形式，它是一種借鑒紙質(zhì)支票轉(zhuǎn)移支付的優(yōu)點，利用計算機(jī)網(wǎng)絡(luò)傳遞經(jīng)付款人私鑰加密的寫有相關(guān)信息的電子文件，進(jìn)行資金轉(zhuǎn)賬的電子付款形式。多數(shù)使用公用關(guān)鍵字加密簽名或個人身份密碼(PIN)代替手寫簽名。利用電子支票，可以使支票支付的業(yè)務(wù)和全部處理過程實現(xiàn)電子化。

.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支票的特點

〔1〕電子支票和傳統(tǒng)支票功能相同，操作業(yè)務(wù)流程相近，易于理解和接受?！?〕加密的電子支票易于流通，銀行只要用公鑰認(rèn)證支票即可，數(shù)字簽名也可被自動驗證?！?〕電子支票尤其適用于B2B等大額電子商務(wù)交易，可以很容易與EDI應(yīng)用結(jié)合，推動基于EDI的電子交易和支付?！?〕第三方金融機(jī)構(gòu)不僅可以從交易雙方收取固定交易費用或按一定比例提取費用，而且還可以從提供存款賬目和無利息的電子支票存款賬戶上獲利?！?〕電子支票技術(shù)將因特網(wǎng)與金融支付和銀行清算網(wǎng)絡(luò)相連接。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支票的業(yè)務(wù)流程

〔1〕客戶用專用軟件生成一個特定格式的電子支票，該支票包含有用戶的數(shù)字簽名?！?〕客戶用某種平安的方式將電子支票傳給商家?！?〕商家對收到的電子支票進(jìn)行驗證，如果是有效的，商家向自己的開戶行發(fā)送背書支票，同時開出一張電子存款單。〔4〕客戶的開戶行驗證客戶簽名和商家簽名，將上述信息通過銀行專用網(wǎng)絡(luò)送給客戶的開戶行，要求轉(zhuǎn)賬。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述〔5〕客戶的開戶行驗證客戶簽名，與商家的開戶進(jìn)行清算，并將清算結(jié)果反響給客戶和商家?！?〕商家的開戶行將清算金額轉(zhuǎn)入商家的戶頭。商家向客戶發(fā)貨，并將電子發(fā)票寄送給客戶。電子支票的業(yè)務(wù)流程

圖6-5電子支票交易流程流程圖

.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支票所面臨的平安問題〔1〕電子支票面臨著被竊聽、篡改的危險?！?〕電子支票的支付有別于傳統(tǒng)的紙質(zhì)支票，支票的傳送主要是通過網(wǎng)絡(luò)實現(xiàn)，很難當(dāng)面完成交易，這要求實施電子支票的系統(tǒng)能夠提供交易雙方身份的認(rèn)證?！?〕商業(yè)運作中，存在很多偽造，抵賴的行為，由于不存在紙質(zhì)的簽名，電子支票必須提供必要的保障，防止對于交易的抵賴以及對支票的偽造。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述網(wǎng)上銀行網(wǎng)上銀行是借助于互聯(lián)網(wǎng)數(shù)字通信技術(shù),向客戶提供金融信息發(fā)布和金融交易效勞的電子銀行,它是傳統(tǒng)銀行業(yè)務(wù)在互聯(lián)網(wǎng)上的延伸,是一種電子虛擬世界的銀行。網(wǎng)上銀行一般有兩個注冊地址，一是地理位置上的注冊地址,另一個是網(wǎng)上的注冊地址(網(wǎng)址)。網(wǎng)上銀行利用Internet開展金融業(yè)務(wù)，它直接在Internet上建立站點，人們可以通過瀏覽器等各種方式進(jìn)入它的主頁。網(wǎng)上銀行不需要分支機(jī)構(gòu)，通過Internet伸向全世界的每個角落，其活動的“空間〞更廣闊，時間更靈活..6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述網(wǎng)上銀行的優(yōu)勢①突破了傳統(tǒng)的銀行業(yè)務(wù)操作模式。②使用簡單，客戶只要一臺能上網(wǎng)的電腦就可使用網(wǎng)上銀行提供的各種效勞。③效勞多樣化。目前網(wǎng)上銀行可以滿足客戶各種各樣的需求。④用戶使用本錢低廉。⑤銀行交易本錢降低。⑥網(wǎng)上銀行可以突破時間、空間限制，提高工作效率。⑦提升銀行形象，增強(qiáng)客戶對銀行的信心。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述網(wǎng)上銀行的特點〔1〕以已有的業(yè)務(wù)處理系統(tǒng)為根底〔2〕采用Internet／Intranet技術(shù)〔3〕將現(xiàn)有的業(yè)務(wù)系統(tǒng)有機(jī)地聯(lián)系起來〔4〕提供綜合效勞.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述網(wǎng)上銀行的模塊〔1〕賬戶申請?zhí)幚砟K〔2〕支付授權(quán)處理模塊〔3〕網(wǎng)上支付處理模塊〔4〕清算業(yè)務(wù)模塊〔5〕系統(tǒng)管理模塊.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述網(wǎng)上銀行功能〔1〕銀行業(yè)務(wù)〔2〕商業(yè)效勞〔3)信息發(fā)布網(wǎng)上銀行的平安問題〔1〕數(shù)據(jù)傳輸系統(tǒng)被破壞?！?〕網(wǎng)上銀行應(yīng)用系統(tǒng)的設(shè)計缺陷?！?〕計算機(jī)病毒的攻擊。.6.1電子支付系統(tǒng)電子支付系統(tǒng)的概述電子支付的其它方式自動柜員機(jī)〔ATM〕電子智能卡電子錢包POS系統(tǒng)SWIFT系統(tǒng).6.1電子支付系統(tǒng)完善電子支付所面臨的幾個問題完善電子支付所面臨的問題電子支付所面臨的法律問題;電子支付功能和手段有待突破的問題;電子支付系統(tǒng)的風(fēng)險防范問題;與電子支付有關(guān)的洗錢及其對策..6.1電子支付系統(tǒng)完善電子支付所面臨的幾個問題電子支付所面臨的法律問題電子支付的平安問題。電子支付標(biāo)準(zhǔn)標(biāo)準(zhǔn)不統(tǒng)一問題。各方權(quán)利義務(wù)不明確、法律責(zé)任不清問題。電子支付的監(jiān)管問題。關(guān)稅收入問題。違法責(zé)任的法律分擔(dān)問題。.6.1電子支付系統(tǒng)完善電子支付所面臨的幾個問題電子支付所面臨的法律問題電子支付的平安問題。電子支付標(biāo)準(zhǔn)標(biāo)準(zhǔn)不統(tǒng)一問題。各方權(quán)利義務(wù)不明確、法律責(zé)任不清問題。電子支付的監(jiān)管問題。關(guān)稅收入問題。違法