《网上支付与实务期末总复习.ppt》由会员分享,可在线阅读,更多相关《网上支付与实务期末总复习.ppt(154页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网上支付与实务期末总复习 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望2、自助银行服务项目、自助银行服务项目自助银行服务项目,都是以银行卡为自助银行服务项目,都是以银行卡为介质,提供包括诸如介质,提供包括诸如ATM(自动柜员机)(自动柜员机)服务、服务、POS(销售点)服务和(销售点)服务和HB(家庭银(家庭银行)服务。行)服务。银行卡银行卡是商业银行向社会公开发行,具有消是商业银行向社会公开发行,具有消费信用、转账结算、存取现金等全部或部分费信用、转账结算、存
2、取现金等全部或部分功能,作为功能,作为结算支付工具结算支付工具的各类卡的统称。的各类卡的统称。是商业银行签发的允许信用良好者据以赊购是商业银行签发的允许信用良好者据以赊购商品和劳务的身份证明卡商品和劳务的身份证明卡(信用凭证)。信用凭证)。“三金工程”指的是金桥工程、金关工程、金卡工程。这是1994年,国家为了进行信息基础设施建设提出来的,它的主要内容是:国家首先在骨干企业之间建立一个中国经济信息网,构成一座金桥;在海关等领域内进行电脑联网,建立一个全国性的骨干网络;在银行、保险、公用事业中利用电脑网络和IC卡系统进行数据信息管理,使用电子货币,以便促进金融业信息更高程度地进行交流。随着三金工
3、程的发展,后来又出现了金税工程和金卫工程,分别进行税务电脑网络化系统和医疗卫生信息电子化,增加国家税收和提高人民的健康水平。3、提供金融信息增值服务电子化银行能借助信息技术,从各种金融交易数据中提取有用的信息,将信息转化成知识,向各类客户提供具有高附加值的金融信息增值服务,如投资咨询、代客理财、用于各种辅助决策支持的信息服务等。目前,我国金融电子化建设的主要重点是进行支付系统建设。随着我国金融电子化的发展,我国的银行界应该日益重视研制开发各种金融信息服务系统,以向客户提供各种能增值的金融信息服务。4、开展网上银行服务、开展网上银行服务电子商务的发展,给金融业的发展电子商务的发展,给金融业的发展
4、提供了一次新的大好时机。网上经济必提供了一次新的大好时机。网上经济必将带来网上支付业务的发展。现在,世将带来网上支付业务的发展。现在,世界上各大商业银行纷纷推出网上银行服界上各大商业银行纷纷推出网上银行服务,网上银行服务已经成为商业银行竞务,网上银行服务已经成为商业银行竞争手段的新热点。争手段的新热点。C&C+IT+Web电子支付指引(第一号)第二十五条银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过50
5、00元人民币。银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度。二、支付系统的发展传统支付系统EFT网上支付系统纸质票据银行卡银行卡、电子现金、(ATM、POS)电子支票第一章第二节P14第六章第二节P242三、中国目前的支付系统三、中国目前的支付系统受到多层次管理和高度分散式中央银行帐户结受到多层次管理和高度分散式中央银行帐户结构的影响,中国支付系统可区分为构的影响
6、,中国支付系统可区分为6个系统:个系统:全国手工联行系统(央行)全国手工联行系统(央行)全国电子联行系统(央行)全国电子联行系统(央行)同城清算所(央行)同城清算所(央行)全国电子资金汇兑系统(四大国有商业银行)全国电子资金汇兑系统(四大国有商业银行)银行卡系统(银行卡中心)银行卡系统(银行卡中心)邮政汇兑系统(邮政储汇局)邮政汇兑系统(邮政储汇局)下一页1同城清算所同城清算所2.4.1概述全国共有约2000家同城清算所,分布在中心城市和县城/镇。全部同城跨行支付交易和大部分同城行内支付业务都经由同城清算所在商业银行之间进行跨行清算后,再交行内系统进行异地处理。2.4.2系统参与者在同城清算所
7、辖区内的绝大多数银行分支机构都直接参加同城清算和结算处理。依据同城清算所成员间达成的协议:可以为每一家成员分支机构设立清算帐户。商业银行较小的营业网点可使用其管理分行的清算帐户。为一家商业银行开设一个帐户,该银行在当地的所有机构都通过这同一个帐户清算同城支付业务。城市合作银行集中开设清算帐户,供其成员机构共同使用。2.4.3处理的交易类型贷记和借记支付项目都可以交换和结算,其中支票占多数。依据票据法,支票只允许在同城范围内使用。2.4.4系统运行人民银行分/支行拥有和运行当地的同城清算所,对清算所成员进行监管和提供结算服务。票据在成员之间进行交换,每一成员根据提交和收到的全部贷记和借记支付交易
8、计算出自己的净额结算金额。在支付业务量大的城市和较大的县城,清算所每天上、下午各进行一次交换,小城市和大多数县城清算所每天上午只进行一次票据交换。2.4.5交易处理环境一般情况下,参与行把事先清分好的票据提交到清算所。随着支付业务量的增加,许多清算所利用计算机进行轧差处理。在一些大城市,如上海、广州、天津等,已安装了票据清分机,以提高纸票据处理速度。许多城市已经在计划采用通讯网络交换支付信息。2.4.6资金结算程序见2.6部分。2.4.7信用和流动风险只有当所有参加者的净额轧差等于零时,人民银行才接受资金结算。不允许透支,即在贷记收款行帐户之前,首先借记付款行帐户(或在人民银行帐簿上同时进行贷
9、记和借记)。一旦收款行帐户被贷记,则认为支付最终完成。因此,原则上讲,支付的处理不引起信用或流动风险。2.4.8收费同城清算所不以盈利为目的,但参与者必须共同分担运行成本,费用根据业务量大小按比例分担。2.4.9正在实施的主要项目和政策可以期望,同城清算所的自动化程度将会有很大提高。目前,差不多一半支付业务(包括行内和跨行支付在内)量是经同城清算所处理的,其在中国支付体系中的重要性显而易见。将来,清分机设施、磁介质交换以及数据通讯网等技术都将会用来改善同城清算所系统。全国手工联行系统u电汇:全称为电子汇兑,是通过人民银行的大额支付系统或者中转银行进行适时交易的一种汇款方式!可以跨行跨区域进行汇
10、兑!时间较短!一般为1-3天!u信汇:客户将款项委托给银行,由银行通过邮寄方式将款项汇入到客户指定的收款人的当地银行转入收款人手中。这种汇款方式很慢,现在客户要求办理的较少。人民银行和四大国有商业银行都有自己的全国手工联行系统。前面已讲到,对于异地纸凭证支付交易的处理采用了所谓“先横后直”(即先跨行后行内)的处理方式。在这种意义上,只存在同城跨行系统和异地行内系统。在许多方面,这些行内清算系统非常类似于发达国家的跨行清算系统。各商业银行行内手工联行系统基本框架都相同,尽管也存在着某些差别。1996年底以后,四大国有商业银行全都以全国电子资金汇兑系统代替了原来的手工联行。但是,人民银行依然运行着
11、自己的手工联行系统,用以处理跨行纸凭证异地支付交易,以及人民银行分/支行之间的资金划拨。因为新的电子资金汇兑系统基本上是原来手工系统的自动化形式,所以了解手工联行系统在很大程度上有助于更好地了解目前中国支付系统的结构。2.2全国电子联行系统(全国电子联行系统(EIS)电子联行系统是中国人民银行在支付系统现代化建设中的第一次尝试,其主要设计思想是要克服由于纸票据传递迟缓和清算流程过分烦琐造成的大量在途资金,从而加速资金周转,减少支付风险。2.2.2系统的参与者所有在人民银行分/支行开设有帐户的商业银行分行,以及人民银行各分/支行都可以参加电子联行系统,办理自己或代表其客户发出的支付指令。只是由于
12、系统覆盖范围的限制,一些金融机构至今仍然无法利用该系统提供的服务。人民银行拥有并运行这一系统。2.2.3处理的交易类型目前,全国电子联行系统只办理该系统参与者之间的贷记转帐,这包括全部异地跨行支付、商业银行行内大额支付以及人民银行各分支机构之间资金划拨。2.2.4交易处理环境全国电子联行系统是一个分散式处理系统,所有帐务活动(帐户的贷记和借记)都发生在人民银行分/支行,即发报行和收报行,全国总中心主要作为报文信息交换站。全国电子联行系统的设计是针对当时中国通讯设施的特殊情况,采用了VSAT卫星通讯技术,建立了人民银行专用的卫星通讯网,通过卫星通讯链路连结各分/支行卫星通讯小站的基于PC机的处理
13、系统。2.2.5转帐系统的运行电子联行系统的业务流程可以概括如下:汇出行(商业银行分/支行)把支付指令提交到(手工或电子方式)当地发报行(人民银行分/支行)发报行将支付指令经帐务处理(借记汇出行帐户)后送入系统,经卫星通讯链路传输到全国清算总中心清算总中心(实际作为信息交换中心)将支付指令按收报行分类后,经卫星通讯发送到收报行收报行接收到支付指令后,按汇入行分类收报行为每一家汇入行生成支付凭证和清单,送汇入行一项旨在连结电子联行小站、人民银行分行会计核算系统和汇入行的工程(即天地对接)正在进行之中。这项工程把电子联行系统的自动化处理延伸到汇入行,将必然会大大缩短支付指令处理周期。其支付指令处理
14、方式也将作相应改变。2.2.6信用和流动风险根据全国电子联行制度,所有的资金转帐指令必须在帐户余额足以支付的情况下,才能被执行。在支付指令发送全国总中心之前,首先借记汇出行帐户。如果帐户余额不足,支付指令只好排队等待资金。所以,汇入行将不会面临任何信用或流动风险,它接到支付指令后便可以无条件地贷记收款人帐户。第六章 P242电子联行系统的业务流程可以概括如下:电子联行系统的业务流程可以概括如下:汇出行汇出行(商业银行分(商业银行分/支行)把支付指令提交到(手工或支行)把支付指令提交到(手工或电子方式)当地发报行(人民银行分电子方式)当地发报行(人民银行分/支行)支行)发报行发报行将支付指令经帐
15、务处理后送入系统,经卫星通讯链将支付指令经帐务处理后送入系统,经卫星通讯链路传输到全国清算总中心路传输到全国清算总中心清算总中心清算总中心(实际作为信息交换中心)将支付指令按收(实际作为信息交换中心)将支付指令按收报行分类后,经卫星通讯发送到收报行报行分类后,经卫星通讯发送到收报行收报行收报行接收到支付指令后,按汇入行分类接收到支付指令后,按汇入行分类收报行为每一家汇入行生成支付凭证和清单,送收报行为每一家汇入行生成支付凭证和清单,送汇入行汇入行电子资金汇兑系统电子资金汇兑系统 自1996年底起,四大国有商业银行,即工商银行、农业银行、中国银行、建设银行,都用电子资金汇兑系统取代了原来的手工联
16、行。2/3以上的异地支付业务是由这些电子资金汇兑系统处理的。各商业银行的电子资金汇兑系统具有大致相同的框架结构,业务处理流程也基本相同。当然在网络结构、技术平台等方面,各系统不尽相同。与原来的手工联行相比,电子支付指令经各级处理中心进行交换,取代了在发起行和接收行之间直接交换纸票据,因而支付清算速度大大加快。净额资金结算依然和手工联行时一样,定期经人民银行系统办理。显然,这是因为商业银行分/支行的清算帐户开设在人民银行分/支行的缘故。2.5.1运行规则象手工联行清算系统一样,电子汇兑系统具有多级结构。一般情况下,系统有全国处理中心、几十个省级处理中心、数百个城市处理中心和上千个县级处理中心。一
17、家分行必须在每一级处理中心开设单独的帐户,各级分行接受纸凭证支付项目,将纸票据截留后以电子方式发往相应的处理中心。处理中心在当天或第二天营业前将净额结算头寸通告分支机构。返回中国人民银行的中国人民银行的电子联行系统电子联行系统商业银行的商业银行的电子汇兑业务电子汇兑业务、同城清算所系统同城清算所系统商业银行的电子汇兑系统主要面向行内资金商业银行的电子汇兑系统主要面向行内资金汇兑业务,同城清算所则可解决本地跨行业务,汇兑业务,同城清算所则可解决本地跨行业务,中国人民银行的电子联行系统主要用于异地跨行中国人民银行的电子联行系统主要用于异地跨行清算。可以说,它们之间是根据中国金融结构的清算。可以说,
18、它们之间是根据中国金融结构的特点,为全面开展支付清算业务的合理补充,彼特点,为全面开展支付清算业务的合理补充,彼此不是对立的,也不会互相取代。目前,中国现此不是对立的,也不会互相取代。目前,中国现代化支付系统的建设正在逐步进行,它将会逐渐代化支付系统的建设正在逐步进行,它将会逐渐取代全国电子联行系统,并且不断优化。取代全国电子联行系统,并且不断优化。中国国家现代化支付系统中国国家现代化支付系统90年代以来人行主持的中国现代化支付系统(CNAPS,ChinasNationalAdvancedPaymentSystem)项目是对原有支付系统的改造,采用了先进的设计与技术以适应未来的需求。CNAPS
19、项目包括建设覆盖全国的金融数据通讯网(CNFN)这一基础设施,将众多银行机构联结到全国和地区支付业务清算和结算中心;以及开发一系列支付应用处理系统,如大额支付系统、小额支付系统等,以逐步取代原有分散的各个支付系统。大额支付系统(HVPS,HighValuePaymentSystem)由央行拥有和运行,是所有支付应用系统的核心,采用RTGS方式,为跨行资金转帐、金融市场、证券市场、外汇市场提供当日资金结算,也为小额支付系统、同城清算所、银行卡网络以及商业银行电子汇兑系统提供日终净额结算。系统于2005年中完成全国推广,1500家金融机构作为直接参与者,覆盖6万多分支机构。原有分散的银行帐户结构需
20、要进行合并与集中化改造以适应全国统一市场的需求。小额支付系统(BEPS,BulkElectronicPaymentSystem)基于批处理方式,支持各类借记与贷记业务,2005年底系统开始试点,预计2006年中完成全国推广。第六章 P256邮政储蓄和汇兑系统邮政储蓄和汇兑系统邮局提供信息和电报汇款业务,主要面邮局提供信息和电报汇款业务,主要面向消费者个人用户。中国邮政的电子汇兑系向消费者个人用户。中国邮政的电子汇兑系统总体上来说还是比较方便的,这是由于多统总体上来说还是比较方便的,这是由于多年的国情,普通个人特别是农民对邮政汇兑年的国情,普通个人特别是农民对邮政汇兑比较熟悉。邮局也开办了邮政储
21、蓄业务,消比较熟悉。邮局也开办了邮政储蓄业务,消费者可以从其邮政储蓄账户汇出或汇入资金。费者可以从其邮政储蓄账户汇出或汇入资金。各邮局之间的资金结算是通过开设在中国人各邮局之间的资金结算是通过开设在中国人民银行的特殊账户实现的。民银行的特殊账户实现的。中国银联中国银联-公司简介公司简介公司概况公司概况中国银联是经中国人民银行批准的、由八十多家国内金融机构共同发起设立的股份制金融服务机构,注册资本16.5亿元人民币。公司于2002年3月26日成立,总部设在上海。公司经营宗旨公司经营宗旨采用先进的信息技术与现代公司经营机制,建立和运营广泛、高效的银行卡跨行信息交换网络系统,制定统一的业务规范和技术
22、标准,实现高效率的银行卡跨行通用及业务的联合发展,并推广普及银联卡,积极改善受理环境,推动我国银行卡产业的迅速发展,把银联品牌建设成为国际主要银行卡品牌,实现中国人走到哪里,银联卡用到哪里”。第一章第四节P22银联银联标识以红、绿、蓝三种不同颜色银行卡的标识以红、绿、蓝三种不同颜色银行卡的平行排列为背景,衬托出白颜色的平行排列为背景,衬托出白颜色的银联银联汉字造型,汉字造型,突出了银行卡连网联合的主题。三种颜色,红色象征突出了银行卡连网联合的主题。三种颜色,红色象征合作、诚信;蓝色象征畅通、高效;绿色象征安全。合作、诚信;蓝色象征畅通、高效;绿色象征安全。三种不同颜色银行卡的紧密排列象征着银行
23、卡的联合。三种不同颜色银行卡的紧密排列象征着银行卡的联合。推行推行“银联银联”标识卡是提高银行卡业务服标识卡是提高银行卡业务服务水平、推动联网通用、联合发展的必然要务水平、推动联网通用、联合发展的必然要求。求。“银联银联”标识不仅仅是一种受理标记,标识不仅仅是一种受理标记,更重要的是它所体现的统一标准、统一操作更重要的是它所体现的统一标准、统一操作流程和跨行、跨地区通用的服务质量。由于流程和跨行、跨地区通用的服务质量。由于各商业银行发行的银行卡品种较多,不同产各商业银行发行的银行卡品种较多,不同产品的服务指标和受理程序也互不相同,在这品的服务指标和受理程序也互不相同,在这种情况下即使实现了联网
24、,也难于实现通用。种情况下即使实现了联网,也难于实现通用。为了实现带有为了实现带有“银联银联”标识的银行卡在全标识的银行卡在全国联网通用,各商业银行需要一定时间,按照国联网通用,各商业银行需要一定时间,按照统一的技术标准,对发行银行卡的计算机处理统一的技术标准,对发行银行卡的计算机处理系统和受理银行卡的自动柜员机和销售点终端系统和受理银行卡的自动柜员机和销售点终端机等分期分批地改造,逐步做到带有机等分期分批地改造,逐步做到带有“银联银联”标识的银行卡的联网通用。标识的银行卡的联网通用。第一节电子银行系统的产生一、一、EFT系统系统lEFT系统的建设始于20世纪60年代lEFT系统是银行同其客户
25、间用于电子支付的全共享的通信系统(图2-1)l电子支付已经成为发达国家的主要支付手段l电子支付网络已由专有网络发展成全球性的电子金融体系 二、二、EFT系统采用的支付方式系统采用的支付方式l支票支付l贷记转账l直接借记l电子现金卡直接支付银行往来银行行政管理机构商业部门企业部门银行大众图2-1银行同其客户组成的EFT系统第二章 第一节 P30第二节电子银行体系一、电子银行体系的构成一、电子银行体系的构成l电子银行体系是一个创新体系,需随着科学技术和国民经济的发展而不断创新和发展l金融信息和交易体系结构(图2-2)核心是客户第二层是会计结算第三层是交易最外层是信息 核=客户会计结算交易信息图2-
26、2电子银行的信息和交易体系第二章 P33l电子银行体系包含的应用系统 建立在关系数据库上的为客户提供支付服务的金融综合业务服务系统建立在数据仓库上的以IT为核心技术的金融信息增值服务与管理系统金融安全监控与预警系统l电子银行应用系统间的关系金融综合业务服务系统是基础。需能全面反映全国的金融交易活动金融信息增值服务与管理系统需把信息采集渠道直接延伸到金融综合业务系统中去,并及时对采集到的数据进行分析研究,应用到金融宏观决策和帮助客户理财的金融信息增值服务中去金融安全监控与预警系统是保障前两类系统安全、正常运行的安全保障系统 二、电子银行的综合业务服务体系二、电子银行的综合业务服务体系l综合业务处
27、理系统是以客户为中心,有集中、统一的账务处理系统,能向客户提供综合业务服务的金融企业电子系统l组成(图2-3)面向客户的系统l零售银行业务系统。联机柜员系统、ATM系统和家庭银行系统 l面向商业的银行业务系统。EFT/POS系统l批发银行业务系统。与银行联机的企业银行系统电子银行综合业务服务体系客户往来银行网上银行银行内部管理零售业务商业批发业务分行管理行长管理总行管理内务管理国内国际ATM声音应答微机POS微机T-to-TOnlineMinisACHSWIFT专用网网上支付服务 网上银行服务B2CB2B家庭银行服务企业银行服务图2-3电子银行的综合业务服务体系结构面向往来银行的系统lACH和
28、国内电子汇兑系统l国际金融专用网络 网上银行系统l网上支付服务。B2C和B2B两类支付服务 l网上银行服务。家庭银行服务和企业银行服务 银行内部管理系统。行长管理系统、总行管理系统、内务管理系统和分行管理系统 三、不同类型电子银行系统的特点三、不同类型电子银行系统的特点l自助银行服务系统特点。覆盖面很广,非常繁忙、交易笔数很大,交易额小,实时性要求非常高 l企业银行系统和电子汇兑系统特点。交易额大,风险性大,对安全性要求很高,跨行和跨国交易比例大 l网上银行系统特点。在开放的互联网上传送,服务的对象不确定,身份检验和电文检验复杂 第二章 第二节 P35第四节发展电子银行的意义与金融风险一、发展
29、电子银行的主要意义l使商业银行实现三次飞跃实现电子化。使银行从手工操作实现电子化,随后推出自助银行服务实现信息化。使传统银行发展成电子银行实现虚拟化。使实体银行向虚拟银行发展 l增强中央银行和银监会的宏观调控作用国家宏观调控部门只有通过电子支付系统,才能实时掌握整个社会纷繁变化的资金运用状况和经济运行状况,并据此采取有效的宏观调控措施中央银行通过与各商业银行之间的电子支付与结算活动,及时有效地控制信贷规模,监督商业银行的金融活动,办理政府财政业务,控制国家货币的发行和资金的储备,以加强中央银行的宏观调控作用l促进国民经济的发展和信息化进程金融信息化是我国国民经济信息化的重要组成部分电子支付系统
30、是国民经济大动脉中的关键系统,电子银行是现代社会经济的支柱和命脉第二章 第四节 P47联机事务处理系统(OLTP),也称为面向交易的处理系统,其基本特征是顾客的原始数据可以立即传送到计算中心进行处理,并在很短的时间内给出处理结果。这样做的最大优点是可以即时地处理输入的数据,及时地回答。也称为实时系统(Real time System)。衡量联机事务处理系统的一个重要性能指标是系统性能,具体体现为实时响应时间(Response Time),即用户在终端上送入数据之后,到计算机对这个请求给出答复所需要的时间。联机分析处理(OLAP)的概念最早是由关系数据库之父E.F.Codd于1993年提出的,他
31、同时提出了关于OLAP的12条准则。OLAP的提出引起了很大的反响,OLAP作为一类产品同联机事务处理(OLTP)明显区分开来。OLAP是使分析人员、管理人员或执行人员能够从多角度对信息进行快速、一致、交互地存取,从而获得对数据的更深入了解的一类软件技术。OLAP的目标是满足决策支持或者满足在多维环境下特定的查询和报表需求,它的技术核心是维这个概念。第二章第五节P58OLTPOLAP用户操作人员,低层管理人员决策人员,高级管理人员功能日常操作处理分析决策DB 设计面向应用面向主题数据当前的,最新的细节的,二维的分立的历史的,聚集的,多维的集成的,统一的存取读/写数十条记录读上百万条记录工作单位
32、简单的事务复杂的查询用户数上千个上百个DB 大小100MB-GB100GB-TB3.1.2 3.1.2 电子商务的安全性要求电子商务的安全性要求v信信息息的的保保密密性性:这是指信息在存储、传输和处理过程中,不被他人窃取。这需要对交换的信息实施加密保护,使得第三者无法读懂电文。v信信息息的的完完整整性性:这是指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,在交换过程中无乱序或篡改,保持与原发送信息的一致性。第三章v信信息息的的不不可可否否认认性性:这是指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。v交交易易者者身身份份的的真真实实性性:这是指交易双方的身
33、份是真实的,不是假冒的。防止冒名发送数据。v系系统统的的可可靠靠性性:这是指计算机及网络系统的硬件和软件工作的可靠性。v在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。3.2.2 3.2.2 对称密钥加密与对称密钥加密与DESDES算法算法对对称称加加密密算算法法是是指指文文件件加加密密和和解解密密使使用用一一个个相相同同秘秘密密密密钥钥,也也叫叫会会话话密密钥钥。目目前前世世界界上上较较为为通通用用的的对对称称加加密密算算法法有有RC4RC4和和DESDES。这这种种加加密密算算法法的的计计算算速速度度非非常常快快,因
34、因此此被广泛应用于对大量数据的加密过程。被广泛应用于对大量数据的加密过程。对对称称密密钥钥密密码码技技术术的的代代表表是是数数据据加加密密标标准准DES DES(Data(Data Encrypuon Encrypuon Standard)Standard)。这这是是美美国国国国家家标标准准局局于于19771977年年公公布布的的由由IBMIBM公公司司提提出出的的一一种种加加密密算算法法,19791979年年美美国国银银行行协协会会批批准准使使用用DES,1980DES,1980年年它它又又成成为为美美国国标标准准化化协协会会(ANSl)(ANSl)的的标标准准,逐逐步步成成为为商商用用保保
35、密密通通信信和和计计算算机机通通信信的的最常用加密算法。最常用加密算法。第三章第五节P91DES算法的基本思想算法的基本思想DESDES算算法法的的基基本本思思想想来来自自于于分分组组密密码码,即即将将明明文文划划分分成成固固定定的的n n比比特特的的数数据据组组,然然后后以以组组为为单单位位,在在密密钥钥的的控控制制下下进进行行一一系系列列的的线线性性或或非非线线性性的的变变化化变变换换而而得得到到密密文文,这这就就是是分分组组密密码码(Block(Block Cipher)Cipher)体体制制。分分组组密密码码一一次次变变换换一一组组数数据据,当当给给定定一一个个密密钥钥后后,分分组组变
36、变换换成成同同样样长长度度的的一一个个密密文文分分组组。若若明明文文分分组组相同,那么密文分组也相同。相同,那么密文分组也相同。1 1在在首首次次通通信信前前,双双方方必必须须通通过过除除网网络络以以外外的的另另外途径传递统一的密钥。外途径传递统一的密钥。2 2当当通通信信对对象象增增多多时时,需需要要相相应应数数量量的的密密钥钥。例例如如一一个个拥拥有有100100个个贸贸易易伙伙伴伴的的企企业业,必必须须要要有有100100个个密钥,这就使密钥管理和使用的难度增大。密钥,这就使密钥管理和使用的难度增大。3 3对对称称加加密密是是建建立立在在共共同同保保守守秘秘密密的的基基础础之之上上的的,
37、在在管管理理和和分分发发密密钥钥过过程程中中,任任何何一一方方的的泄泄密密都都会会造造成成密密钥钥的的失失效效,存存在在着着潜潜在在的的危危险险和和复复杂杂的的管管理理难难度。度。对称加密技术存在的问题对称加密技术存在的问题3.2.3 3.2.3 非对称密钥加密与非对称密钥加密与RSARSA算法算法当网络用户数很多时,对称密钥的管理十分繁琐。为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(Public Key Crypt-system),对近代密码学的发展具有重要影响。现现在在公公钥钥密密码码体体系系用用的的最最多多是是
38、RSARSA算算法法,它它是是以以三三位位发发明明者者(RivestRivest、ShamirShamir、AdlemanAdleman)姓名的第一个字母组合而成的。姓名的第一个字母组合而成的。它它最最重重要要的的特特点点是是加加密密和和解解密密使使用用不不同同的的密密钥钥,每每个个用用户户保保存存着着两两个个密密钥钥:一一个个公公开开密密钥钥(Public(Public Key)Key),简简称称公公钥钥,一一个个私私人人密密钥钥(Individual Key)(Individual Key),简称私钥。,简称私钥。按按现现在在的的计计算算机机技技术术水水平平,要要破破解解目目前前采采用用的
39、的10241024位位RSARSA密密钥钥,需需要要上上千千年年的的计计算算时时间间!。!。公公开开密密钥钥技技术术解解决决了了密密钥钥发发布布的的管管理理问问题题,商商户户可可以以公公开开其其公公开开密密钥钥,就就像像现现在在个个人人的的姓姓名名、地地址址、E-mailE-mail地地址址一一样样,可可以以放放在在网网页页上上供供人人下下载载,也也可可公公开开传传送送给给需需要要通通信信的的人人。而而私私钥钥需需由由用用户户自自己己严严密密保保管管。通通信信时时,发发送送方方用用接接收收者者的的公公钥钥对对明明文文加加密密后后发发送送,接接收收方方用用自自己己的的私私钥钥进进行行解解密密,别
40、别人人即即使使截截取取了了也也无无法法解解开开,这这样样既既解解决决了了信信息息保保密密问问题题,又克服了对称加密中密钥管理与分发传递的问题。又克服了对称加密中密钥管理与分发传递的问题。RSARSA算算法法的的优优点点是是:易易于于实实现现,使使用用灵灵活活,密密钥钥较较少少,在在网网络络中中容容易易实实现现密密钥钥管管理理,便便于于进进行行数数字字签签名名,从从而保证数据的不可抵赖性;而保证数据的不可抵赖性;缺缺点点是是要要取取得得较较好好的的加加密密效效果果和和强强度度,必必须须使使用用较较长长的的密密钥钥,从从而而加加重重系系统统的的负负担担和和减减慢慢系系统统的的吞吞吐吐速速度度,这这
41、使使得得非非对对称称密密钥钥技技术术不不适适合合对对数数据据量量较较大大的的报报文文进进行加密。行加密。另另外外,RSARSA算算法法体体系系的的基基础础在在于于大大素素数数因因子子分分解解困困难难因因子子分分解解越越困困难难,密密码码就就越越难难以以破破译译,加加密密强强度度就就越越高高。反反之之,如如果果能能有有办办法法或或者者在在一一定定条条件件下下对对大大素素数数进进行行因因子子分分解解,就就能能够够对对密密文文进进行行破破译译,就就会会动动摇摇这这种加密体制的基础。种加密体制的基础。RSA和和DES相结合的综合保密系统相结合的综合保密系统在在实实践践中中,为为了了保保证证电电子子商商
42、务务系系统统的的安安全全、可可靠靠以以及及使使用用效效率率,一一般般可可以以采采用用由由RSARSA和和DESDES相相结结合合实实现现的的综综合合保保密密系系统统。在在该该系系统统中中,用用DESDES算算法法作作为为数数据据的的加加密密算算法法对对数数据据进进行行加加密密,用用RSARSA算算法法作作为为DESDES密密钥钥的的加加密密算算法法,对对DESDES密密钥钥进进行行加加密密。这这样样的的系系统统既既能能发发挥挥DESDES算算法法加加密密速速度度快快、安安全全性性好好的的优优点点,又又能能发挥发挥RSARSA算法密钥管理方便的优点,扬长避短。算法密钥管理方便的优点,扬长避短。3
43、.3.2 3.3.2 数字摘要数字摘要数字摘要:也称为安全Hash编码法,简称SHA或MD5,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。所谓所谓数字摘要数字摘要,是指通过单向,是指通过单向HashHash函数,函数,将需加密的明文将需加密的明文“摘要摘要”成一串成一串128bit128bit固固定长度的密文,不同的明文摘要成的密文定长度的密文,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必其结果总是不相同,同样的明文其摘要必定一致,并且即使知道了摘要而成的密文定一致,并且即使知道了摘要而成的密文也不能推出其明文。数字摘
44、要类似于人类也不能推出其明文。数字摘要类似于人类的的“指纹指纹”,因此我们把这一串摘要而成,因此我们把这一串摘要而成的密文称之为的密文称之为数字指纹数字指纹,可以通过数字指,可以通过数字指纹鉴别其明文的真伪。只有数字指纹完全纹鉴别其明文的真伪。只有数字指纹完全一致,才可以证明信息在传送过程中是安一致,才可以证明信息在传送过程中是安全可靠,没有被篡改。数字指纹的应用使全可靠,没有被篡改。数字指纹的应用使交易文件的完整性交易文件的完整性(不可修改性不可修改性)得以保证。得以保证。数字摘要的使用过程数字摘要的使用过程对原文使用Hash算法得到数字摘要;将数字摘要与原文一起发送;接收方将收到的原文应用
45、单向Hash函数产 生一个新的数字摘要;将新的数字摘要与发送方发来的数字摘要 进行比较,若两者相同则表明原文在传 输中没有被修改,否则就说明原文被修改过。3.3.33.3.3数字签名数字签名1.1.数字签名的含义和作用数字签名的含义和作用 在在书书面面文文件件上上亲亲笔笔签签名名或或盖盖章章是是传传统统商商务务中中确确认文件真实性和法律效力的一种最为常用的手段。认文件真实性和法律效力的一种最为常用的手段。作用作用:确认当事人的身份,起到了签名或盖章的作用。确认当事人的身份,起到了签名或盖章的作用。能够鉴别信息自签发后到收到为止是否被篡改。能够鉴别信息自签发后到收到为止是否被篡改。数字签名建立在
46、公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。完善的数字签名技术具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力,在电子商务安全服务中的源鉴别、完整性服务、不可否认性服务方面有着特别重要的意义。2.2.数字签名和验证的过程数字签名和验证的过程数字签名和验证的具体步骤如下:报文的发送方从原文中生成一个数字摘要,再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。发送方将数字签名作为附件与原文一起发送给接收方。接收方用发送方的公钥对已收到的加密数字摘要进行解密;接收方对收到的原文用Hash算法得到接收方的数字摘
47、要;将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同,则说明信息完整且发送者身份是真实的,否则说明信息被修改或不是该发送方发送的。由于发送方的私钥是由自己管理使用的,其他人无法仿冒使用,一旦发送方用自己的私钥加密发送了信息也不能否认,所以数字签名解决了电子商务信息的完整性鉴别和不可否认性(抵赖性)问题。数字签名使用的是发发送送方方的的密密钥钥对对,是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性;密钥加密解密过程使用的是接接收收方方的的密密钥钥对对,是发送方用接收方的公钥加密,接收方
48、用自己的私钥解密,是多对一的关系,表明任何拥有该公司公钥的人都可以向该公司发送密文,但只有该公司才能解密,其他人不能解密;数字签名与加密过程密钥对使用差别数字签名与加密过程密钥对使用差别3.3.4 3.3.4 数字时间戳数字时间戳在书面合同文件中,日期和签名均是十分重要的防止被伪造和篡改的关键性内容。在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。用户首先将需要时间戳的文件用Hash算法加密得到数字摘要;然后将数字摘要发送到专门提供数字时间戳服务的DTS机构;DTS机构在原数字摘要上加上收到
49、文件摘要的时间信息,用Hash算法加密得到新的数字摘要;DTS机构用自己的私钥对新的数字摘要进行加密,产生数字时间戳发还给用户;用户可以将收到的数字时间戳发送给自己的商业伙伴以证明信息的发送时间。数字时间戳产生的过程数字时间戳产生的过程 需加时间戳的文件的数字摘要需加时间戳的文件的数字摘要 DTSDTS机构收到文件摘要的日期和时间机构收到文件摘要的日期和时间 DTSDTS机构的数字签名机构的数字签名数字时间戳包括三个部分:数字时间戳包括三个部分:3.4.1 3.4.1 安全套接层协议安全套接层协议SSL(secure sockets layer)SSL(secure sockets layer
50、)是由是由Netscape CommunicationNetscape Communication公司是由设计公司是由设计开发的,其目的是通过在收发双方建立开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通安全性,从而实现浏览器和服务器(通常是常是WebWeb服务器)之间的安全通信。服务器)之间的安全通信。第七章 第三节 P300目前目前MicrosoftMicrosoft和和NetscapeNetscape的浏览器都支持的浏览器都支持SSLSSL,很多,很多WebWeb服务器也支持服务器也支持SSLSSL。