《电子商务安全第6章电子教案.ppt》由会员分享,可在线阅读,更多相关《电子商务安全第6章电子教案.ppt(52页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电子商务安全第6章安全电子商务支付机制安全电子商务支付机制 第六章主要内容主要内容l电子支付系统电子支付系统 l智能卡支付方式智能卡支付方式 l电子支票支付系统电子支票支付系统 l电子现金支付系统电子现金支付系统l微支付系统微支付系统 l第三方支付第三方支付3电子支付系统电子支付系统的概念的概念 电子支付是指电子支付的当事人(包括消费者、商家和金融机构)之间通过网络,使用安全电子手段进行的货币支付获资金流转,即把新型支付手段(包括电子现金(E-CA-SH)、信用卡(CREDIT CARD)、借记卡(DEBIT CARD)、智能卡等)的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支
2、付。4传统商务支付方式传统商务支付方式 l传统的支付方式中,经常使用的现金、票据和信用卡三种。l“一手交钱,一手交货”的交易方式称为货币即时结算,是商品经济社会较低阶段的主要结算方式,采用的支付媒体是现金。l票据在我国分为汇票、本票和支票三种。l信用卡是银行或金融公司发行的,授权持卡人在指定的场所进行记账消费的信用凭证。5传统的支付手段的局限传统的支付手段的局限l缺乏方便性 l安全性低l缺乏覆盖面 l适应性不强 l缺乏对微支付的支持 传统商务支付方式传统商务支付方式 6l预支付:先交款、后消费,如同现在的手机话费卡、银行储蓄卡等,是商家最喜欢的支付方式。l后支付:先购买,再付款,信用卡就是一种
3、后支付方式,这样存在欺诈的风险。l实时支付:在交易的同时,钱也从银行转到了卖方。电子支付方式电子支付方式按支付过程分类:按支付过程分类:7l使用“信任的三方”(trusted third party);客户和商家的信息比如银行帐号、信用卡号都被信任的第三方托管和维护,通过第三方交易。l传统银行转帐结算的扩充;在线传递商务及交易支付(银行帐号、信用卡号、口令等)信息。需要加密传送。l数字现金(Digital Cash)、电子货币(Electronic Money and Electronic Coins);传送真正的“价值”和“金钱”本身,如游戏冲值等。电子支付方式电子支付方式按在线传输数据分类
4、:按在线传输数据分类:8信用卡支付模型信用卡支付模型 信用卡支付模式:信用卡支付模式:中介支付模式简单支付加密模式SET模式电子支付分类:电子支付分类:电子货币类电子现金、电子钱包类电子信用卡类9中介支付模式中介支付模式FVFV系统交易系统交易过程过程 顾客用账号(虚拟PIN)向商家订货,商家通过FV服务器(人工或自动查询)验证账号的有效性,如果账号有效(没有列入黑名单),商家将货物信息传给顾客和FV服务器。基于“购前尝试”的原则,FV服务器再通过Email询问顾客是否对货物满意。如满意则完成支付,如不满意中止交易,如果不是该顾客所订购的物品则是欺诈,将该虚拟PIN列入黑名单。电子商家FV服务
5、器顾客1账号2账号认证6满意吗?3回复4货物信息5详细账目7接受或拒绝或欺诈指示简单支付加密模式简单支付加密模式CyberCash CyberCash CybercashCybercash支付流程:支付流程:顾客从Cybercash商家订货后,电子钱包将信用卡信息加密后传给Cybercash商家服务器。商家服务器验证接收到的信息的有效性后,将用户的加密信用卡信息传给Cybercash服务器,商家看不到用户的信用卡细节。Cybercash服务器验证商家身份后,在安全地方(非因特网)解密信用卡信息,并将其通过安全网络传送到商业银行商业银行通过银行间的电子通道到顾客的信用卡发行银行证实,将结果发回C
6、ybercash服务器,Cybercash服务器再通知商家服务器完成或拒绝交易,商家通知客户。11SET模式 安全电子交易规范(Secure Electronic Transaction,简称SET)由两大国际知名的信用卡组织MasterCard 与Visa及其GTE、Netscape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一些跨国公司共同开发的安全交易规范,主要用于保障Internet上信用卡交易的安全性。利用SET给出的整套安全电子交易的过程规范,可以实现电子商务交易中的机密性、认证性、数据完整性等安全功能。SET提供商家和收单银行的认证,确
7、保了交易数据的安全、完整可靠和交易的不可抵赖性,特别是具有保护消费者信用卡号不暴露给商家等优点,已成为事实上的工业标准。12 网络银行网络银行网络银行又称在线银行、电子银行、虚拟银行。网络银行依托迅猛发展的计算机和计算机网络与通信技术,利用渗透到全球每个角落的因特网,突破了银行传统的业务操作模式,摈弃了银行由店堂前台接柜开始的传统服务流程,把银行的业务直接在因特网上推出。这种新式的网络银行,代表了整个银行金融业未来的发展方向。13网络银行网络银行特点:特点:全面实现无纸化交易;服务方便、快捷、高效、可靠;经营成本低廉;简单易用。网络银行网络银行14电子账单呈递支付电子账单呈递支付(EBPP)系
8、统系统电子账单呈递支付(EBPP)系统在美国日益盛行,它除了可以降低营运成本、缩短服务流程外,通过分析各种账单消费行为,可达到实际时反映客户需求,贯彻客户关系,进而支持决策分析以提升企业应变速度与服务品质。以美国的上市公司CheckFree和Trans Paint两家为最为典型的EBPP供应商,15智能卡支付方式智能卡支付方式 智能卡(Smart Card)最早是在法国问世的。20世纪70年代中期,法国Moreno公司采取在一张信用卡大小的塑料卡片上安装嵌入式存储器芯片的方法,率先开发成功IC存储卡。经过20多年的发展,真正意义上的智能卡,即在塑料卡上安装嵌入式微型控制器芯片的IC卡,已由摩托
9、罗拉和Bull HN公司共同于1997年研制成功。16智能卡结构:智能卡结构:建立智能卡的程序编制器,它从智能卡布局的层次描述了卡的初始化和个人化创建所有需要的数据。处理智能卡操作系统的代理,它包括智能卡操作系统和智能卡应用程序接口的附属部分。作为智能卡应用程序接口的代理,该代理是应用程序到智能卡的接口,它有助于对智能卡代理进行管理,并且还向应用程序提供独立接口。智能卡支付方式智能卡支付方式 17对于用户来说,智能卡提供了一种便利的方法。智能卡消除了某种应用系统可能对用户造成不利影响的各种情况,它能为用户“记忆”某些信息,并以用户的名义提供这种信息。使用智能卡就再也不用记住个人识别码。降低了现
10、金处理的支出及被欺诈的可能性,提供了优良的保密性能。智能卡支付方式的优点:智能卡支付方式的优点:智能卡支付方式智能卡支付方式 18电子支票支付系统电子支票支付系统电子支票特点:电子支票特点:电子支票接受程度高;加密的电子支票使它们比基于公钥加密的数字现金更易于流通;电子支票可以推动EDI基础之上的电子订货和支付;给第三方金融机构带来了收益;实现业务过程处理的自动化;节省费用。19购买电子支票 电子支票付款 清算电子支票的应用过程:电子支票的应用过程:电子支票支付系统电子支票支付系统20买方首先根据要求产生电子支票,用私钥进行数字签名;使用卖方的公钥加密电子支票;使用Email或其他方式向卖方支
11、付;卖方收到用卖方公钥加密的电子支票,并用私钥解密;用买方的公钥确认买方的数字签名,背书(endorses)支票,写出一张存款单(deposit),并签署该存款单;向银行进一步确认电子支票;卖方发货给买方;电子支票付款的基本过程:电子支票付款的基本过程:电子支票支付系统电子支票支付系统21 付款人付款人收款人收款人收款人银行收款人银行清算中心清算中心 付款人银付款人银 数字签名数字签名通通知知清算清算 验证签名验证签名 通通知知数数字字签签名名电子支票支付流程图电子支票支付流程图电子支票付款过程图:电子支票付款过程图:电子支票支付系统电子支票支付系统22 值得注意的是,电子支票的数字签名都要被
12、验证,而实际的纸质支票很少验证手写签名。电子支票中必须包含某些必选的信息和可选的信息以及数字签名,所以电子支票使用金融服务标记语言FSML(Financial Services Markup Language)来书写。电子支票使用X.509证书来提供对签名的验证功能。X.509证书不能保证电子支票的完全有效性。电子支票薄(checkbook)智能卡可以保护签名者的私有签名密钥,以防止盗窃或误用。电子支票付款的基本过程:电子支票付款的基本过程:电子支票支付系统电子支票支付系统23 电子支票系统和应用层密码技术可不受出口限制。另外,为了保证信息传输的机密性,可以通过安全电子邮件方式,或双方之间已加
13、密的交互对话方式进行消息传送。银行之间电子支票的清算都遵循ANSI X9.46和X9.37标准。主要的电子支票系统有FSTC Electronic Check、The Mandate Electronic Cheque、NetCheque、NetChex和NetBill等。电子支票付款的基本过程:电子支票付款的基本过程:电子支票支付系统电子支票支付系统24电子现金支付系统电子现金支付系统电子现金特性:电子现金特性:具有金钱价值具有金钱价值 互通性互通性 可存储性可存储性 安全性安全性 匿名性匿名性 重复性重复性 25 购买E-cash 存储E-cash 用E-cash购买商品或服务 资金清算
14、确认订单 数字现金的应用过程:数字现金的应用过程:电子现金支付系统电子现金支付系统26应用数字现金进行交易的流程图数字现金的应用过程:数字现金的应用过程:电子现金支付系统电子现金支付系统27 银行和卖方之间应有协议和授权关系 买方、卖方和E-cash银行均需使用E-cash软件 适用于小交易量(minipayment)的支付 身份验证由E-cash本身完成 E-cash银行负责买方和卖方之间资金的转移 具有现金特点,可以存、取、转让 买卖双方都无法伪造银行的数字签名,而且双方都可以确信支付是有效的 E-cash与普通现金一样会丢失数字现金的特点:数字现金的特点:电子现金支付系统电子现金支付系统
15、28 Digicash系统 Millicent系统 Worldpay系统 Cybercoin系统 MPTP机制 典型的电子现金系统:典型的电子现金系统:电子现金支付系统电子现金支付系统29 “微支付(micropayments)”的特征是能够处理任意小量的钱,适合于因特网上“不可触摸(non-tangible)商品”的销售。由于是微型交易,所以对交易本身的安全考虑并不要求太高,这样的系统仅仅使用用户的PIN就可以保护自己的用户标志了。微支付系统微支付系统30微支付系统的特点:微支付系统的特点:交易额小 安全性低 效率高 应用范围特殊微支付系统微支付系统31微支付模型:微支付模型:微支付系统微支
16、付系统典型的微支付模型示意图32 微 支 付 模 型 一 般 涉 及 到 C(Consumer,顾 客)、B(Broker,代理)和M(Merchant,商家)三方。顾客是使用微电子货币购买商品的主体;商家为用户提供商品并接收支付。代理是作为可信第三方存在的,用于为顾客和商家维护账号、通过证书或其他方式认证顾客和商家的身份、进行货币销售和清算,并解决可能引起的争端,它可以是一些中介机构,也可以是银行等。微支付系统微支付系统微支付模型:微支付模型:33 根据不同的支付类型,微支付中的货币可以由票据(Scirp)或hash链等组成,可以由商家产生,也可 以由代理(一般代理商家)和顾客产生。其他微支
17、付模型:-iKP和LITESET,它们建立在宏支付基础之上,利用宏支付协议和消息来完成微支付过程。有些微支付机制(如SubScrip)更简单,甚至不需要代理的参与,交易中只涉及顾客和商家。微支付系统微支付系统微支付模型:微支付模型:34(1)Millicent微支付系统微支付系统 Millicent是一个由DEC与Compaq于1995年联合开发的微支付系统,它建立在代金券系统基础上。其基本思想是利用一个密钥控制的单向hash函数来认证和验证支付票据。Millicent系统没有使用公钥技术,而采用效率更高的单向hash函数,部分采用对称加密算法。Millicent进行了实际系统测试,协议本身效
18、率较高,网络TCP连接速度才是影响其性能的主要原因,这也是许多微支付系统存在的问题。微支付系统微支付系统基于票据的微支付系统:基于票据的微支付系统:35(1)Millicent微支付系统微支付系统 Millicent系统对经常更换商家的顾客效率不高。在票据中采用了标识的方式来代表顾客的身份,具有一定的匿名性,但顾客证书的使用对顾客的匿名性是一个损害。由于采用了可验证的凭据及支付的分布式特点,所以Millicent系统可用于类似Kerberos这样的分布式环境进行认证服务。微支付系统微支付系统基于票据的微支付系统:基于票据的微支付系统:36(2)SubScrip系统系统 ubScrip是澳大利亚
19、Newcastle大学开发的一种很简单的微支付系统,最初是为Internet的按次计费而设计的。它基于预支付机制,不需要对顾客进行身份验证。SubScrip票据本身不具有任何价值,它只是通过票据中的顾客标识来在商家数据库中查找相应的账号,真正的价值存储在商家的数据库中。微支付系统微支付系统基于票据的微支付系统:基于票据的微支付系统:37(2)SubScrip系统系统 基本的SubScrip系统没有采用加密和hash算法,票据和相应信息以明文的形式传输,容易被篡改或截获并被非法使用。被篡改后的SubScrip票据将是无效的,因为它无法同商家数据库中的真正用户账户相对应。一个SubScrip票据只
20、在一个商家处有效且本身的交易额小,这可以在一定程度上防止SubScrip票据的非法截获和使用。为了提高安全性,SubScrip可进行公钥扩展,在建立账户的宏支付中,顾客把自己的公钥发送给商家,商家发送信息或新的票据时可使用该公钥进行加密。微支付系统微支付系统基于票据的微支付系统:基于票据的微支付系统:38 hash链的思想最初由Lamport提出,以用于身份认证,后来被应用到微支付机制中,其具体方法就是由用户选择一个随机数,并对其进行多次hash计算,把每次hash的结果组成一个序列,序列中的每一个值代表一个支付单元。基于hash链的典型微支付机制比较多,如PayWord、Pedersen提出
21、的小额支付、NetCard和Paytree等。微支付系统微支付系统基于基于HashHash链的微支付系统:链的微支付系统:39(1)PayWord系统系统 PayWord也是基于交易的三方:顾客、商家和代理。但与MicroMint不同的是它基于hash链,是一种典型的基于信用的离线微支付机制。PayWord的缺陷:如果其他人(顾客、代理和商家除外)获取了代理公钥,则可以解密证书,并了解顾客的详细信息,特别是证书中地址信息的加入,将严重破坏顾客的匿名性;顾客必须对他需要支付的商家签署一个承诺,如果频繁互换商家的话,将会带来很大的计算消耗;采用了公钥密码技术,在一定程度上降低了协议的效率。40(2
22、)Paytree系统系统 基于散列链的PayWord系统一般适合于对特定商家的重复支付,而对于频繁更换商家的支付场合效率不高。在PayWord系统的基础上,Paytree系统通过树结构扩展了hash链,使微支付可灵活应用于多商家参与的场合。由于采用了树结构,所以Paytree系统可以进行灵活扩展,实现多币值树和可分货币等。但是Paytree具有灵活性的同时,也增加了系统的带宽和存储开销。41 微支付的研究开发的新方向:移动微支付、微支付的公平性研究、具有认证功能的分布式微支付研究和采用新的安全技术的微支付机制等。微支付面额小而要求效率高等特点使得实现完全的公平性是不可行的,当交易量小时,微支付
23、的公平性研究也没有多大的必要性。当微支付的交易数量特别大时,如何采用有效的措施来实现微支付的公平性将显得尤为重要。微支付系统微支付系统微支付的应用和发展微支付的应用和发展 :42 通过对一些分布式环境下的认证协议(如Kerberos)进行扩展和改进,可以很容易派生出分布式微支付机制,且可充分利用现有的认证基础设施。同样,对某些微支付机制,特别是基于hash链的微支付方式,实现支付和认证的有效结合在某些分布式环境下(如移动通信)比较有效,这也是微支付需要研究的问题之一。采用新的公钥密码技术(如椭圆曲线密码)来替代现有的RSA密码算法,可有效提高系统效率,这也是微支付发展中一个很引人关注的话题。微
24、支付作为电子现金的一种支付形式,是目前电子支付发展的一个新方向,在满足安全性的前提下,它具有简单高效的优点,且每一笔交易的费用非常低。微支付系统微支付系统微支付的应用和发展微支付的应用和发展 :43第三方支付平台第三方支付平台第三方支付平台概念:第三方支付平台概念:第三方支付平台是指由第三方机构(并非银行等金融机构)投资运营的网上支付平台。第三方支付平台提供商利用相关技术,在银行与商品提供方之间建立连接,能够对商品提供方的信用进行担保,进而为移动商务活功的各参与方提供资金支付、流转以及查询等服务的多功能平台。第三方支付平台能够整合多种银行卡支付方式于一个电子界面,扮演着电子商务交易参与方与银行
25、之间纽带的角色,承担着交易结算中和银行对接的功能,进而促进电子商务交易的简单化、便捷化。44第三方支付平台第三方支付平台基于SET的第三方支付平台体系框架图45第三方支付平台第三方支付平台第三方支付平台优势:第三方支付平台优势:交易简单化成本下降化服务多样化不可否认性服务提升企业竞争力46第三方支付平台第三方支付平台第三方支付流程:第三方支付流程:消费者在电子商务网站上选取商品,选定后在网站上确认下订单。消费者选取第三方作为支付中介,用借记卡或者信用卡将钱款转至第三方的支付账户,并且设置发货期限。第三方支付机构把消费者的相关支付信息传递至银行。银行对消费者的账户余额进行检查,实施冻结、扣款或转
26、账操作,并通知第三方支付机构相应的操作结果。第三方支付机构通知商品提供者消费者己付款,并要求商品提供者在规定时间内发货。47第三方支付平台第三方支付平台第三方支付流程:第三方支付流程:商品提供者接收到通知后根据订单内容发货,并且在交易网站上做相应记录,消费者能够在商务网站上查询商品状态,若商家在限定时间内未发货,第三方支付平台会告知消费者交易失败,消费者可选择把钱款转回自己的账户或者暂存于第三方支付平台。消费者接收到货物后对货物的真伪、数量与质量进行验证,若没问题则通知第三方支付机构付款;若有问题或者与商家的承诺不符,则告知支付平台拒付钱款,并且把商品退给商家。第三方支付机构接收到消费者的转账
27、申请后,通知银行将其账户上的钱款支付给商品提供方。银行将相应钱款从第三方支付机构账户转给商品提供方。48第三方支付平台第三方支付平台B2C模式的第三方支付流程49第三方支付平台第三方支付平台第三方运营模式:第三方运营模式:独立的第三方网关模式独立的第三方网关模式 所谓独立的第三方网关,是指与电子商务网站无关联,第三方支付机构为签约消费者提供的服务共享平台,该平台能够提供与订单、支付相关的多项增值服务。消费者可从平台前端选择特定的支付方法,而平台后端与诸多银行相连接。平台的主要功能是负责和不同银行之间的账务清算,并为商家提供订单管理,为消费者提供账户查询功能。银联支付、百付通、首信易支付均采用这
28、种运营模式。50第三方支付平台第三方支付平台第三方运营模式:第三方运营模式:具有电子商务和担保功能的第三方支付网关模式具有电子商务和担保功能的第三方支付网关模式 这种运营模式的第三方支付平台,可以和电子商务平台合作开发,与各大银行之间建立长期合作关系,是依靠公司自身实力与信用度承担担保的支付平台。它凭借电子商务平台与担保支付平台吸引商品提供方的注意力。这类运营模式的特点是主要面向中小型客户(包括个人),并为其提供服务,以收取交易服务费、店面费的方式获取利润。此外,第三方机构有着自己的用户资源,根据历史交易记录建立与用户相关联的信用评价体系,提供较好的可信度。51练习61、比较传统支付方式与电子支付方式的区别。2、电子支付的主要形式有哪些?3、目前网上信用卡支付有哪几种方式?各有什么特点?4、简述智能卡、电子现金、电子支票的使用过程。5、为什么要设计微支付系统?它有什么特点?6、电子现金有什么特点?7、请根据自己的理解,描述电子支付的发展前景。8、微支付系统为什么要采用Hash链?9、简述第三方支付方式的优缺点。52