電子商務安全基礎.ppt

《電子商務安全基礎.ppt》由會員分享，可在線閱讀，更多相關《電子商務安全基礎.ppt（43頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第二篇 電子商務安全技術,電子商務安全技術 Security Techniques Of Electronic Commerce,第六章 電子商務支付安全技術,,第六章 電子商務支付安全技術,,,,6.2 電子支付安全技術,6.1 電子支付系統(tǒng),實訓,6.1 電子支付系統(tǒng),,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,美國法律學會批準的統(tǒng)一商業(yè)法規(guī)對電子支付作了如下定義：電子支付是支付命令發(fā)送方把存放在商業(yè)銀行的資金，通過一條網(wǎng)絡線路劃入收益方開戶銀行，以支付給收益方的一系列轉移過程。,電子支付的定義,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付的方式,通常認為電子商務支付系統(tǒng)是電子商務系

2、統(tǒng)的重要組成部分，它指的是消費者、商家和金融機構之間使用安全電子手段交換商品或服務，即把新型支付手段的支付信息通過網(wǎng)絡安全傳送到銀行或相應的處理機構，來實現(xiàn)電子支付。目前在電子商務支付結算過程主要采用兩種基本方式，即傳統(tǒng)的支付方式和網(wǎng)上（電子）支付方式，如圖6-1所示。,圖6-1 電子商務的支付方式,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,第一階段銀行利用計算機及網(wǎng)絡處理銀行之間的業(yè)務，辦理結算； 第二階段銀行與其他機構之間計算機之間資金的結算，如代發(fā)工資等業(yè)務； 第三階段利用網(wǎng)絡終端向客戶提供各項銀行服務，如為客戶在自動柜員機(ATM)上提供的取存款服務等； 第四階段利用銀行銷售點終端 (

3、POS) 向客戶提供自動的劃賬服務，這是現(xiàn)階段電子支付的主要方式； 第五階段通過因特網(wǎng)進行直接轉賬結算，即網(wǎng)上支付。,電子支付的發(fā)展階段,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付的特點,1. 電子支付是在開放的網(wǎng)絡系統(tǒng)中以先進信息技術來完成信息傳輸，其各種支付方式都是采用數(shù)字化的方式進行款項支付的，而傳統(tǒng)的交易支付方式則以傳統(tǒng)的通信媒介通過現(xiàn)金流轉、票據(jù)轉讓和銀行的匯兌等物理實體來完成款項的支付。 2. 電子支付的工作環(huán)境是基于一個開放的系統(tǒng)平臺(互聯(lián)網(wǎng))，而傳統(tǒng)支付則是在較為封閉的系統(tǒng)中運作。 3. 電子支付對軟、硬件設施的要求很高，一般要求有聯(lián)網(wǎng)的微機、相關的軟件及其一些配套設施

4、，而傳統(tǒng)的交易支付方式對實施沒有什么特殊的要求。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付的特點,4. 電子支付具有方便、快捷、高效、經(jīng)濟的優(yōu)勢，用戶只要擁有一臺聯(lián)網(wǎng)的微機，便可足不出戶，在很短的時間內完成整個支付過程。支付費用僅相當于傳統(tǒng)支付方法的幾十分之一，甚至幾百分之一。 5. 由于電子支付工具、支付過程具有無形化的特征，它將傳統(tǒng)支付方式中面對面的信用關系虛擬化。如對支付工具的安全管理不是依靠普通的防偽技術，而是通過用戶密碼，軟硬件加、解密系統(tǒng)以及路由器等網(wǎng)絡設備的安全保護功能來實現(xiàn)的；為保證支付工具的通用性，需制定一系列標準。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支

5、付流程,1. 消費者向商戶發(fā)送購物請求； 2. 商戶把消費者的支付指令通過支付網(wǎng)點送往商戶開戶行(收單行)； 3. 收單行通過專用網(wǎng)絡從消費者開戶行(發(fā)卡行)取得支付授權后，把授權信息送回商戶； 4. 商戶取得授權后，向消費者發(fā)送購物回應信息； 5. 如果支付獲取與支付授權并非同時完成的話，商戶還要通過支付網(wǎng)關向收單行發(fā)送支付獲取請求，以把該筆交易的金額轉賬到商戶帳戶中； 6. 銀行之間則通過自身的支付清算網(wǎng)絡來完成最后的行間清算。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付流程,,圖6-2 網(wǎng)上支付流程,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付系統(tǒng)的構成,1. 客戶 2.

6、商家 3. 銀行 4. 認證機構,,圖6-3 電子支付系統(tǒng)的基本構成,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付方式,根據(jù)系統(tǒng)中使用的支付工具不同，大致可以將電子支付方式系統(tǒng)分為以下四大類： （1）電子信用卡系統(tǒng)，如Visa、MasterCard等； （2）數(shù)字化電子現(xiàn)金系統(tǒng)，如ECash等； （3）電子資金傳輸電子支票系統(tǒng)，如E-check、NetBill、Netcheck等； （4）網(wǎng)上銀行。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付功能,對于一個支付系統(tǒng)而言(可能專門針對一方支付方式，也可能兼容幾種支付方式)，它應有以下的功能： 1. 必須使用數(shù)字簽名和數(shù)字證書實現(xiàn)對各

7、方的認證; 2. 使用加密算法對業(yè)務進行加密; 3. 使用消息摘要算法以確認業(yè)務的完整性; 4. 保證對業(yè)務的不可否認性; 5. 處理多方貿易業(yè)務的多邊支付問題;,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,銀行卡,銀行卡的種類較多，從物理特性上分，主要有磁條卡和IC卡；從與銀行賬戶的關系上分，主要有借記卡、信用卡和貸記卡；從用途上分，主要有信用卡、轉賬卡、提現(xiàn)卡；從使用范圍上分有個人卡和單位卡。在此主要介紹借記卡、貸記卡和信用卡。,賬號直接傳輸方式 專用賬號方式 專用協(xié)議方式 SET方式,銀行卡網(wǎng)上支付方式,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,信用卡網(wǎng)上支付系統(tǒng),,, 客戶訪問主頁；瀏覽

8、商品，驗證商家CA證書，申請空白訂貨單。 客戶挑選商品，填寫訂單。同時插入信用卡，輸入身份識別碼PIN，由瀏覽器擴展部分進行驗證，如果符合就打開信用卡，讀取卡中數(shù)據(jù)，并由用戶形成支付指令，與訂單同時發(fā)往商家。 商家后端服務器中的支付處理模塊在收到訂單信息和支付信息之后，初步確認客戶的交易意圖，在對客戶身份認證完成之后，將兩種信息發(fā)往信用卡信息中心進行確認并申請授權。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,信用卡網(wǎng)上支付系統(tǒng),,, 經(jīng)支付網(wǎng)關檢查過的合法支付指令被傳送到信用卡信息中心進行聯(lián)機實時處理，經(jīng)過卡的真實性、持卡人身份合法性以及信用額度的確認后，信用卡信息中心決定是否授權，并將產(chǎn)生結

9、果傳回商家服務器。 接到信用卡授權之后，商家便可繼續(xù)交易，并向客戶發(fā)送交易完成的信息，組織向客戶發(fā)送貨物。 信用卡信息中心將信用卡授權產(chǎn)生的轉賬結算數(shù)據(jù)傳往收單行進行賬務處理。時間可在當日，次日，或約定的一定時間間隔內。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,信用卡網(wǎng)上支付系統(tǒng),,, 收單行將轉賬數(shù)據(jù)及相關信息傳往發(fā)卡行進行認證(注：在信用卡信息中心的認證基礎之上的再認證，充分保證支付系統(tǒng)的安全性)。 轉賬業(yè)務經(jīng)發(fā)卡行認證傳回收單行。同時，發(fā)卡行將客戶的消費金額記入其消費信貸賬戶中，并開始計息；收單行則把商家的貨款收入記入其存款賬戶中。至此，轉賬過程結束。 轉賬結果再分別由發(fā)卡行和收單行傳

10、往信用卡信息中心，以便它更新數(shù)據(jù)庫，從而方便商家和客戶的查詢。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,信用卡網(wǎng)上支付系統(tǒng),,,圖6-4 信用卡支付系統(tǒng)結構圖,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,銀行卡所面臨的安全問題,,,（1）銀行卡在公網(wǎng)上傳輸，數(shù)據(jù)被黑客或內部人員竊??； （2）客戶的個人信息，在電子商務過程中被商家或第三方獲取而造成泄露； （3）由于通訊線路的問題，造成交易數(shù)據(jù)丟失； （4）不同的公司和銀行的操作平臺的存在兼容性問題導致交易故障。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子現(xiàn)金,,,電子現(xiàn)金（Electronic Cash）也叫數(shù)字現(xiàn)金（Digital Mon

11、ey），是一種以數(shù)字形式流通的貨幣。它把現(xiàn)金數(shù)值轉換成為一系列的加密序列數(shù)，通過這些序列數(shù)來表示現(xiàn)實中各種金額的幣值。它通常具有紙質現(xiàn)金的貨幣價值、可交換性、可存儲性和可重復性等屬性和多用途、匿名性、使用靈活和快速簡便等特點，可以滿足及時支付要求等。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子現(xiàn)金的種類,,,目前已開發(fā)的各種電子現(xiàn)金主要有智能(IC)卡形式和硬盤數(shù)據(jù)文件形式兩類。 智能卡形式的電子現(xiàn)金 硬盤數(shù)據(jù)文件形式的電子現(xiàn)金,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子現(xiàn)金支付系統(tǒng),,,電子現(xiàn)金支付系統(tǒng)是一種“預先付款“的支付系統(tǒng)。它的特點則是不直接對應任何賬戶，持有者事先預付資金，

12、便可獲得相應貨幣值的電子現(xiàn)金(智能卡或硬盤文件)用于網(wǎng)上支付，因此，可以離線操作。任何電子現(xiàn)金支付系統(tǒng)必須包含一些共同的特征，電子現(xiàn)金也必須具有貨幣價值、互操作性、可恢復性以及安全性。 常用的電子現(xiàn)金系統(tǒng)有“Ecash”、“Worldpay”、“DigiCash”等。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子現(xiàn)金進行支付的流程,,,顧客到銀行開戶，存入真正的現(xiàn)金，在網(wǎng)絡銀行買了一定的電子現(xiàn)金，存儲在本地計算機中。 顧客在網(wǎng)上購物時使用電子現(xiàn)金向商家支付，電子現(xiàn)金經(jīng)加密后傳輸給商家服務器。 商品將收到的電子現(xiàn)金發(fā)送到開戶銀行，要求兌付真正的現(xiàn)金。 商家開戶行對數(shù)字簽名進行驗證后，通過銀行專

13、用網(wǎng)絡與客戶開戶行進行清算，并將清算金額轉撥給商家。 商家根據(jù)客戶提交的購物單給客戶發(fā)送貨物。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子現(xiàn)金所面臨的安全問題,,,（1）重復花費。電子現(xiàn)金的重復使用。 （2）電子現(xiàn)金的偽造。在電子商務中使用未經(jīng)授權私自制造的電子現(xiàn)金。 （3）電子現(xiàn)金被盜。電子現(xiàn)金被未經(jīng)授權方非法使用。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支票,,,電子支票是完全電子化的支票形式，它是一種借鑒紙質支票轉移支付的優(yōu)點，利用計算機網(wǎng)絡傳遞經(jīng)付款人私鑰加密的寫有相關信息的電子文件，進行資金轉賬的電子付款形式。多數(shù)使用公用關鍵字加密簽名或個人身份密碼(PIN)代替手寫簽名

14、。利用電子支票，可以使支票支付的業(yè)務和全部處理過程實現(xiàn)電子化。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支票的特點,,,（1） 電子支票和傳統(tǒng)支票功能相同，操作業(yè)務流程相近，易于理解和接受。 （2） 加密的電子支票易于流通，銀行只要用公鑰認證支票即可，數(shù)字簽名也可被自動驗證。 （3） 電子支票尤其適用于B2B等大額電子商務交易，可以很容易與EDI應用結合，推動基于EDI的電子交易和支付。 （4） 第三方金融機構不僅可以從交易雙方收取固定交易費用或按一定比例提取費用，而且還可以從提供存款賬目和無利息的電子支票存款賬戶上獲利。 （5） 電子支票技術將因特網(wǎng)與金融支付和銀行清算網(wǎng)絡相連接。,6

15、.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支票的業(yè)務流程,,,（1）客戶用專用軟件生成一個特定格式的電子支票，該支票包含有用戶的數(shù)字簽名。 （2）客戶用某種安全的方式將電子支票傳給商家。 （3）商家對收到的電子支票進行驗證，如果是有效的，商家向自己的開戶行發(fā)送背書支票，同時開出一張電子存款單。 （4）客戶的開戶行驗證客戶簽名和商家簽名，將上述信息通過銀行專用網(wǎng)絡送給客戶的開戶行，要求轉賬。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,（5）客戶的開戶行驗證客戶簽名，與商家的開戶進行清算，并將清算結果反饋給客戶和商家。 （6）商家的開戶行將清算金額轉入商家的戶頭。商家向客戶發(fā)貨，并將電子發(fā)票寄送

16、給客戶。,,電子支票的業(yè)務流程,,圖6-5 電子支票交易流程流程圖,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支票所面臨的安全問題,,,（1）電子支票面臨著被竊聽、篡改的危險。 （2）電子支票的支付有別于傳統(tǒng)的紙質支票，支票的傳送主要是通過網(wǎng)絡實現(xiàn)，很難當面完成交易，這要求實施電子支票的系統(tǒng)能夠提供交易雙方身份的認證。 （3）商業(yè)運作中，存在很多偽造，抵賴的行為，由于不存在紙質的簽名，電子支票必須提供必要的保障，防止對于交易的抵賴以及對支票的偽造。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,網(wǎng)上銀行,,,網(wǎng)上銀行是借助于互聯(lián)網(wǎng)數(shù)字通信技術,向客戶提供金融信息發(fā)布和金融交易服務的電子銀行,它

17、是傳統(tǒng)銀行業(yè)務在互聯(lián)網(wǎng)上的延伸,是一種電子虛擬世界的銀行。網(wǎng)上銀行一般有兩個注冊地址，一是地理位置上的注冊地址, 另一個是網(wǎng)上的注冊地址(網(wǎng)址)。網(wǎng)上銀行利用Internet開展金融業(yè)務，它直接在Internet上建立站點，人們可以通過瀏覽器等各種方式進入它的主頁。網(wǎng)上銀行不需要分支機構，通過Internet伸向全世界的每個角落，其活動的“空間”更廣闊，時間更靈活.,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,網(wǎng)上銀行的優(yōu)勢,,, 突破了傳統(tǒng)的銀行業(yè)務操作模式。 使用簡單，客戶只要一臺能上網(wǎng)的電腦就可使用網(wǎng)上銀行提供的各種服務。 服務多樣化。目前網(wǎng)上銀行可以滿足客戶各種各樣的需求。 用戶使用成本

18、低廉。 銀行交易成本降低。 網(wǎng)上銀行可以突破時間、空間限制，提高工作效率。 提升銀行形象，增強客戶對銀行的信心。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,網(wǎng)上銀行的特點,,,（1）以已有的業(yè)務處理系統(tǒng)為基礎 （2）采用InternetIntranet技術 （3）將現(xiàn)有的業(yè)務系統(tǒng)有機地聯(lián)系起來 （4）提供綜合服務,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,網(wǎng)上銀行的模塊,,,（1）賬戶申請?zhí)幚砟K （2）支付授權處理模塊 （3）網(wǎng)上支付處理模塊 （4）清算業(yè)務模塊 （5）系統(tǒng)管理模塊,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,網(wǎng)上銀行功能,,,（1）銀行業(yè)務 （2）商業(yè)服務 （3) 信息發(fā)布,

19、網(wǎng)上銀行的安全問題,（1）數(shù)據(jù)傳輸系統(tǒng)被破壞。 （2）網(wǎng)上銀行應用系統(tǒng)的設計缺陷。 （3）計算機病毒的攻擊。,6.1 電子支付系統(tǒng),電子支付系統(tǒng)的概述,電子支付的其它方式,,,自動柜員機（ATM） 電子智能卡 電子錢包 POS系統(tǒng) SWIFT系統(tǒng),6.1 電子支付系統(tǒng),完善電子支付所面臨的幾個問題,完善電子支付所面臨的問題,,,電子支付所面臨的法律問題; 電子支付功能和手段有待突破的問題; 電子支付系統(tǒng)的風險防范問題; 與電子支付有關的洗錢及其對策.,6.1 電子支付系統(tǒng),完善電子支付所面臨的幾個問題,電子支付所面臨的法律問題,,,電子支付的安全問題。 電子支付規(guī)范標準不統(tǒng)一問題。 各方權利義

20、務不明確、法律責任不清問題。 電子支付的監(jiān)管問題。 關稅收入問題。 違法責任的法律分擔問題。,6.1 電子支付系統(tǒng),完善電子支付所面臨的幾個問題,電子支付所面臨的法律問題,,,電子支付的安全問題。 電子支付規(guī)范標準不統(tǒng)一問題。 各方權利義務不明確、法律責任不清問題。 電子支付的監(jiān)管問題。 關稅收入問題。 違法責任的法律分擔問題。,,6.2 電子支付安全技術,6.2 電子支付安全技術,電子支付所面臨的安全隱患,,,（1）電子支付制度也和其他傳統(tǒng)的付款方式相同，都會因為被他人冒領、盜領款項而發(fā)生損失（例如有人侵入他人網(wǎng)絡系統(tǒng)，或偽造他人私鑰或信用卡等資料），而網(wǎng)絡電子支付制度若無法保障交易安全，可

21、能會使消費者遭受更大的財務損失。 （2）電子支付系統(tǒng)若發(fā)生斷線、操作錯誤等問題時，對消費者經(jīng)濟方面造成損失的可能性。消費者在利用電子支付方式時，亦可能發(fā)生雖然有錢，但是卻因為斷線、廠商拒收或是其他原因，而無法在一定時間、地區(qū)完成特定金額交易的困擾。,6.2 電子支付安全技術,電子支付所面臨的安全隱患,,,（3）消費者在從事電子支付時，還可能面臨另一個挑戰(zhàn)，那就是所有的付款資訊可能未經(jīng)消費者的同意即被收集或是向第三人披露，甚至被冒用或是其他不利于消費者利益的目的而使用，反而侵害消費者的隱私權。 （4）電子支付工具的使用，亦可能造成新的犯罪問題。,6.3 實訓,一 實驗條件,,,1.硬件環(huán)境要求： CPU：至少550 MHz，最多支持四個CPU； 內存：至少256 MB； 硬盤空間：150 MB以上，不含緩存使用的磁盤空間。 2.軟件環(huán)境要求： 操作系統(tǒng)：Windows 2000 或 Windows XP 操作系統(tǒng)。 3.網(wǎng)絡環(huán)境： 網(wǎng)絡適配器：必須為每個主機網(wǎng)絡單獨準備一個網(wǎng)絡適配器，并可連接互聯(lián)網(wǎng)。,6.3 實訓,二 實驗內容,,,1. 申請建設銀行“龍卡” 2. 申請建設銀行網(wǎng)上銀行服務 3. 網(wǎng)上商店購物,