电子支付与安全交易.

单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第4章 电子支付与安全交易,学习重点:,电子支付、网上银行,电子支付流程,加密技术,信息认证技术,移动支付的实现技术,第一阶段,是办理结算；,第二阶段,是代发工资等业务；,第三阶段,是客户在自动柜员机（,ATM）,上进行取、存款操作等；,第四阶段,是利用银行销售点终端（,POS）,向客户提供自动的扣款服务；,第五阶段,是网上支付。网上支付的形式称为网上支付工具，主要有信用卡、数字现金、 电子支票等。,电子支付的发展阶段,招商银行的网上银行,自1997年以来，国内招商银行、中国银行、中国建设银行、中国工商银行陆续推出网上银行业务，其中中国银行采用的是,SET,协议，另外则使用了,SSL。,招商银行的网上银行于1999年底正式运行，其功能主要包括了个人银行系统、网上支付系统、网上证券统、网上商城系统等。,中国建设银行开发了日处理业务130万笔、允许5万个客户同时访问和交易的网上银行系统。,4.1 电子支付,1.电子支付的概念,电子支付是指电子交易的当事人,包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。,两大国际信用卡组织,VISA(,维萨卡)和,Master Card(,万事达卡)合作制订的安全电子交易（,SET）,协议定义了一种电子支付过程标准，其目的就是保护万维网上支付卡交易的每一个环节。,2,电子支付与传统支付方式的区别,电子支付具有以下特征：,（1）电子支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是通过,数字化,的方式进行款项支付的；而传统的支付方式则是通过,现金的流转、票据的转让及银行的汇兑,等物理实体来完成款项支付的。,（2）电子支付的工作环境是基于一个,开放的系统平台,（即,Internet）；,而传统的支付则是在,较为封闭的系统,中运作。,（3）电子支付使用的是,最先进的通信手段,，而传统支付使用的则是,传统的通信媒介,；电子支付对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其他一些配套设施，而传统支付则没有这么高的要求。,（4）电子支付具有方便、快捷、高效、经济的优势。,电子支付流程图,审核,定单,协商,认证,认证,认证,确认,确认,审核,扣款,消 费 者,在 线 商 店,支付,网关,收 单,发卡银行,认证 中心,.,3 电子支付流程,（1）选定所要购买的物品，输入定货单。,（2）在线商店做出应答。,（3）消费者选择付款方式、确认定单，签发付款指令。,（4）在,SET,中，消费者必须对订单和付款指令进行数字签名。,（5）在线商店接受订单后，向消费者所在银行请求支付认可。,（6）在线商店发送订单确认信息给消费者。,（7）在线商店发送货物，或提供服务。,4,.,1,.,2,电子货币,电子货币指在电子技术的支持下，能够在交易或消费过程中充当“支付”职能的货币替代品，包括接触式与非接触式的各种各样的卡，以及电子钱包；,非银行系统发行的智能卡一般不记名，不挂失，谁持卡谁便可以使用（如IC卡、 卡），数字卡。银行卡是记名的，也可以挂失。,在各种银行卡中，贷记卡是真正意义的先赊账再付款的信用卡，一般的信用卡必须先存入一笔款项，用完再存款，无须换卡，允许少量透支，不能透支的储值卡、ATM自动提款卡等银行卡；,电子钱包，是指在国家 控制下的银行、支票和纸币等现有的流通网络之外，能通过电子计算机网络大量流通的资金，这是真正意义的电子货币。,分 类,类 型,使 用 特 点,结算方式,贷记卡,发卡行允许持卡人“先消费，后付款”，提供给持卡人短期消费信贷，到期依据有关规定完成清偿,借记卡,持卡人在开立信用卡账户时按规定向发卡行交一定的备用金，持卡人完成消费后，银行会自动从其账户上扣除相应的消费款项，急需时能为持卡人提供小额的善意透支,使用权限,金卡,允许透支限额相对较大（我国为1万元）,普通卡,透支限额低（我国为5千元）,持卡对象,个人卡,持有者是有稳定收入来源的社会各界人士，其信用卡账户上的资金属持卡人个人存款,公司卡,又称单位卡，是各企事业单位、部门中指定人员使用的卡，其信用卡账户资金属公款,使用范围,国际卡,可以在全球许多国家和地区通行使用，如著名的,VISA,卡和,MASTER,卡等,地方卡,只局限在某地区内使用，如我国各大商业银行发行的人民币长城卡、牡丹卡、太平洋卡等都属地方卡,载体材料,磁卡,在信用卡背后贴有的磁条内存储有关信用卡业务所必需的数据，使用时必须有专门的读卡设备读出其中所存储的数据信息,IC,卡,IC,卡是集成电路卡（,Integrated Circuits Card）,的缩写，为法国人,Roland,Moreno,于1970年所研制，并由法国,BULL,公司于1979年推出第一张可工作的,IC,卡。,IC,卡的卡片,中,嵌有芯片，信用卡业务中的有关数据存储在,IC,芯片中，既可以脱机使用也可以联机使用,分 类,类 型,使 用 特 点,电子货币的优点：,第一，方便。第二，安全，第三，通用，第四，增加社会效益。,“电子货币”的概念尚未深入每个人的心中，,IC,智能卡在电信业使用广泛，而银行卡在我国使用比例不到,1%,。,美国通过银行卡进行个人日常支出比例已占到,25%,。,4,.,1.3,网上银行,1网上银行的概念与特点：,网上银行(,Internet Bank),或称电子银行,上网用户可以通过它管理个人的资金,进行购物、理财或投资.,网上金融业务也从最初的帐户查询、转帐、代交费逐渐转向网上支付、证券交易等项目。网上银行具有明显的优势。,（1）,网上银行的服务更能满足客户多样化的要求。,（2）,银行的投资可以大大减少。,（3）网上银行为银行开拓业务打下了良好的基础。,如邮电、电力、工商、税务、交通等部门都致力开展网上交费业务，网上银行在这些方面有着良好前景。,2网上银行的功能模块,（1）,开户业务模块,（2）,授权业务模块,（3）,支付业务模块,（4）,清算业务模块,（5）,系统管理模块,3影响网上银行发展的原因,主要的制约因素是,网上安全,和,客户群体,；,对于网上银行的客户而言，必须确认在网上输入的机密性资料不会被盗用，输入的交易资料不会被篡改并且能迅速传递到接收端系统。另一个重要因素是客户群体，网上银行会有一个循序渐进的过程。,（1）,进入,Internet.,（2）,加入,Internet.,（3）,利用,Internet.,（4）创新银行业务。,4,.,1,.,4,网上支付,支付网关，位于,Internet,和传统的银行专网之间，其主要作用是安全连接,Internet,和专网，将不安全的,Internet,上的交易信息传给安全的银行专网，起到隔离和保护专网的作用。,主要功能有：将,Internet,传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为,Internet,传送的数据格式，并对其进行加密。即支付网关主要完成,通信、协议转换和数据加解密,功能，以保护银行内部网络。,支付网关的主要功能,2.支付网关是整个系统的关键，它的主要功能有：,（1）实现交易功能，即完成持卡人网上支付的正常流程。,（2）进行交易的异常处理，如持卡人的帐户余额改动之后，并为未得到所期望的交易结果，则这样的交易将被部分或全部地冲正。,（3）,提供仲裁信息。,（4）,提供多种报表。,（5）,提供查询功能。,（6）,计费功能,网上支付最常见的信用卡、电子支票；,数字现钞（,e-cash,），,在数字现钞中，货币仅仅是一串数据位，银行可能发行这样的数据位串，或者从消费者的帐户中划出相等的纸币。,4.1.5,移动支付,从2002年开始，移动支付就已经成为移动增值业务中的一个亮点。,目前我国的移动支付业务发展重点不是很明显，银行信用卡捆绑的缴费业务、查询业务等,移动支付业务就是将移动网络与金融系统结合，商品交易、缴费等金融服务的业务，小商品交易、电子内容（产品）支付、服务付费、缴费等银行服务等几类。,小额服务付费是指用户通过手机来支付服务业务费用。最流行支付停车或者洗车费等。,手机当钱用,.,缴费业务,以缴费业务为代表的移动银行目前是我国银行系统参与的移动支付主要业务类型。“手机钱包”服务其实就是这个业务非常典型的应用，通过与银行的捆绑，将,SIM,卡与银行帐号自然联系起来。,电子内容,电子内容（数字产品）支付其实已经是目前移动支付的一个主要业务。将来类似电子内容的很多服务和商品的支付会成为移动支付的主要收入来源。,如：博彩、彩票投注服务。,4.,安全交易,电子商务安全技术,电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。,计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。,保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。,为什么网络安全如此重要,Web,Server,The Internet,Encryption,线路安全,客户安全,连接安全,The Intranet,Web Server,Weakness,:,External access,now granted.,Are applications,and network,secure?,信息资本,Enterprise,Network,没有边界,没有中央管理,是开放的、标准的,没有审计记录,INTERNET,1,计算机网络安全,安全隐患：,（1）,未进行操作系统相关安全配置。,（2）,拒绝服务攻击。,（3）,安全产品使用不当。,（4）,缺少严格的网络安全管理制度。,(5) 计算机网络安全体系不够完善。,计算机网络安全系统网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。,主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏动检测技术、黑客跟踪技术，,实施网络安全防范措施,在实施网络安全防范措施时，,首先要加强主机本身的安全，做好安全配置，安装安全补丁程序，减少漏洞；,其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补，,访问控制措施，安装防火墙，加强授权管理和认证；,RAID5，,隔离措施，数据加密，病毒软件。,围绕电子商务安全的防护技术将在未来几年中成为重点，如身份认证、授权检查、数据安全、通信安全等。,减少安全威胁的主要策略,修补系统漏洞,系统,病毒检查,系统,直接安全,管理,空闲机器安全,管理,废品处理安全,管理,口令安全,管理,加密,系统,认证、授权,系统,Internet,防火墙,系统,捕捉闯入者,系统,政策、法律、守则、管理,Internet,防火墙,授权、认证,加密,审计、监控,什么是防火墙？,防火墙,：,在被保护网络和,Internet,之间，或者和其它网络之间限制访问的软件和硬件的组合。,防火墙,防火墙的主要功能,能做什么？,安全把关,网络活动统计,内部隔离,不能做什么？,不能防范内部入侵,不能防范新的威胁,控制粒度粗,防火墙的基本原理,数据过滤：,一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。,屏蔽路由器,防火墙的基本原理,（续）,代理服务,：,代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有,Internet,用户和内部网之间的通讯以代替直接交谈。,代理服务,2. 商务交易安全,商务安全中普遍存在着以下几种安全隐患：,（1）,窃取信息。,（2）,纂改信息。,（3）,假冒。,（4）,恶意破坏。,电子商务的安全交易主要保证：,（1）,信息保密性,（2）,交易者身份的确定性,（3）,不可否认性,（4）不可修改性,安全交易标准和技术，主要的协议标准有：,（1）,安全超文本传输协议（,S-HTTP）,（2）,安全套接层协议(,SSL),（3）,安全交易技术协议(,STT, Secure Transaction Technology),(4)安全电子交易协议,(,SET,Secure Electronic Transaction),2.,SET,(Secure Electronic Transaction),持卡人,密文,商家,银行,发卡机构,CA,密文,协商,定单,确认,审核,确认,审核,批准,认证,认证,认证,提供身份认证、数据保密、,数据完整性等服务,SET,协议规范所涉及的对象:,消费者,在线商店,收单银行,电子货币,认证中心（,CA,）,主要的安全技术有：,（1）,虚拟专用网（,VPN）,（2）,数字认证,（3）,加密技术,(4) 电子商务认证中心（,CA,）,CA(,认证中心,),的基本功能,是,生成和保管,符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名；,对数字证书和数字签名进行,验证,；,对数字证书进行,管理,，重点是证书的撤消管理，同时追求实施自动管理用以代替非手工管理建立应用接口，特别是支付接口。,电子商务认证中心是否具有,支付接口,是能否支持电子商务的关键。,简言之：认证中心的功能：,核发证书、管理证书、搜索证书、验证证书,PKI(,公钥基础实施,),技术,PKI,技术无论在理论上还是应用上以及开发各种配套产品上，都已经走向成熟。,建立在,PKI,技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有：由,Internet,特别工作组颁发的标准：,轻型目录访问协议,(,LDAP),、,安全电子邮件协议,(,S/MIME),、,传输层安全套接层传输协议,(,TLC),通用认证技术,(,CAT),通用安全服务接口,(,GSS-API),等。,由国际标准化组织,(,ISO),或国际电信联盟,(,ITU),批准颁发的标准为数字证书格式标准,(9594-8/,X.509).,信息加密技术,专用密钥加密（如,3,DEA,、,IDEA,、,RC4,和,RC5,）,和公钥加密（如,RSA,、,SEEK,、,PGP,和,EU,）,可用来保证电子商务的保密性、完整性、真实性和非否认服务。,1对称密钥密码体制,对称密钥密码体制的特点是加密密钥和解密密钥是相同的或可以相互推导。,2非对称密钥密码体制,非对称密钥密码体制又称公开密钥密码体制，其基本思想是利用求解某些数学难题的困难性。,RSA,算法是非对称密钥密码体制中比较成熟的算法。实施,RSA,公开密钥密码体制的步骤为：设计密钥、设计密文和恢复明文。,4,.,2,.,3,信息认证技术,整个认证机制：数字证书(,Digital Certificates),和证书授权机构(,CA),数字证书(数字凭证)是用电子手段来证实一个用户的身份和对网络资源的访问权限.,证书是一个经证书授权中心数字签名的包括公开密钥拥有者信息以及公开密钥的文档.,数字证书与,CA,认证,1数字证书（,Digital Certificate,或,Digital ID）,数字证书采用公私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。,数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,2数字证书的内容,数字证书包括以下内容如图所示 ：,l,证书拥有者的姓名；,l,证书拥有者的公钥；,l,公钥的有限期；,l,颁发数字证书的单位；,l,颁发数字证书单位的数字签名；,l,数字证书的序列号等。,数字鉴名,1.,数字鉴名（,Digital signature,）,技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。应用广泛的数字签名的方法主要有三种：,RSA,签名、,DSS,签名和,Hash,签名。,Hash,签名是最主要的数字签名方法，也称之为数字摘要法或数字指纹法。,4.3.3,数字签名,发送方私钥,2.,身份认证,认证机构或信息服务商应当提供如下认证功能：,（1）可信性,（2）完整性,（3）不可抵赖性,(4)访问控制,身份认证的方式,用户身份认证可通过三种基本方式或其组合方式来实现。,（1）用户所知道的某个秘密信息，例如用户知道自己的口令。,（2）用户所持有的某个秘密信息（硬件），即用户必须持有合法的随身携带的物理介质。,（3）用户所具有的某些生物学特征，如指纹、声音、,DNA,图案、视网膜血管分布扫描等。,用户身份认证的最简单的方法就是口令。系统事先保存每个用户的二元组信息，进入系统时用户输入二元组信息，系统将保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。,生物识别技术,.,口令加密,对口令进行加密传输是一种改进的方法。,最安全的身份认证机制是采用一次性口令机制，即每次用户登录系统时口令互不相同，主要有两种实现方式。第一种采用“请求响答”方式。第二种方法采用“时钟同步”机制。,Kerberos,协议是一种共享秘密的验证协议，因为用户和密钥分配中心都知道用户的密码。,