《第9章安全电子支付机制.》由会员分享,可在线阅读,更多相关《第9章安全电子支付机制.(62页珍藏版)》请在金锄头文库上搜索。
1、第九章 安全电子支付机制,第九章 安全电子支付机制,9.1电子支付系统 9.2智能卡支付方式 9.3电子支票支付方式 9.4电子现金支付方式 9.5微支付系统 9.6移动支付方式 9.7支付交易安全,9.1电子支付系统,9.1.1传统商务支付方式 在传统的支付方式中,经常使用现金、票据和信用卡三种 在交易时采用“一手交钱,一手交货”的方式称为货币即时结算,这是商品经济社会较低级阶段的主要结算方式,采用的支付媒体是现金 票据在我国分为汇票、本票和支票三种 信用卡是银行或金融公司发行的,授权持卡人在指定的场所进行记账消费的信用凭证。,9.1电子支付系统,传统支付手段对于支持电子商务的局限性 缺乏方
2、便性 安全性低 缺乏覆盖面 适应性不强 缺乏对微支付的支持,9.1电子支付系统,9.1.2电子支付系统方式 在internet进行电子商务的支付过程可以分为预支付、实时支付和后支付三种方式。 预支付是先付款、后消费,如同现在的手机话费卡、银行储蓄卡等,是商家最喜欢的支付方式。 后支付是先购买、再付款,信用卡就是一种后支付方式,这样存在商家被欺诈的风险。 实时支付在交易的同时,款项也通过银行由买方转到了卖方。,9.1电子支付系统,电子支付系统分类: 根据在线传输数据的种类(加密、分发类型)可以分为三类; 1.使用“信任的第三方”(trusted third party) 2.传统银行转账结算的扩
3、充 3.数字现金(Digital Cash)、电子货币(Electronic Money and Electronic Coins),9.1电子支付系统,电子支付有多种手段,但概括起来可以分为三大类。 一类是电子货币类,如电子现金、电子钱包等 另一类是电子信用卡,包括智能卡、借记卡、电话卡等; 还有一类是电子支票,如电子支票、电子汇款(EFT)、电子划款等。,9.1电子支付系统,2.信用卡支付一般模型 网上信用卡支付主要有通过中介支付的模式、简单支付加密模式和SET模式 1.通过中介支付的模式-First Virtual 2.简单支付加密模式-CyberCash 3.SET,9.1电子支付系统
4、,1.通过中介支付的模式-First Virtual 系统的目标是通过网络销售低值的产品,无需专用的客户软件和硬件。 在进行交易前,商家和顾客都需要在FV上注册,FV服务器参与每一笔交易,并把货款存入商家银行账户 顾客在注册时,通过浏览器登记表格,利用电话传递信用卡的细节和电子邮件地址给FV,并接收一个密码(称为虚拟PIN)。 商家注册时需要提供其开户银行细节,也同样得到一个虚拟PIN。,9.1电子支付系统,FV系统的交易过程是: 顾客用账号(虚拟PIN)向商家订货 商家通过FV服务器(人工或自动查询)验证账号的有效性 如果账号有效(没有列入黑名单),商家将货物信息传给顾客和FV服务器。 基于
5、“购前尝试”的原则,FV服务器再通过E_mail询问顾客是否对货物满意。 满意则完成支付,不满意中止交易;,9.1电子支付系统,9.1电子支付系统,2.简单支付加密模式CyberCash CyberCash公司成立于1994年8月,其开发的支付系统于1995年4月开始运行,主要为因特网上的安全金融交易提供软件和服务解决方案。 必须先下载CyberCash软件,用于对信用卡信息加密 用户在 HTML页面上以明文方式输入其信用卡号,该卡号将使用已加密的SSL会话发送给商家的服务器。这种加密的信息只有业务供应商,或第三方付费处理系统能够识别。,9.1电子支付系统,2.简单支付加密模式CyberCas
6、h 加密技术使用56位和7681 024位的RSA公钥对产生数字签名。整个过程历时1520秒。如果网络拥挤时间会更长。 客户的购物和支付过程只需输入一个信用卡号,而后台的第三方和银行以及商家之间的交换信息,需要一系列的加密、授权和认证。 交易本身需要的成本比较高,安全度也比较高,适合大面额的交易。特别是,交易的各方都要采用数字签名来验证自己的身份,所以抗伪造信函和抗业务否定性比较好。 需要说明的是,客户和商家双方均必须使用CyberCash软件,这就是说,均要信任第三方。 注册后的签名是不能修改的。如果要修改,就要重新注册。,9.1电子支付系统,2.简单支付加密模式CyberCash Cybe
7、rCash支付流程如下: Cybercash顾客从Cybercash商家订货后,电子钱包将信用卡信息加密后传送给Cybercash商家服务器; 商家服务器验证接收到的信息的有效性后,将用户的加密信用卡信息传送给Cybercash服务器,商家看不到用户的信用卡细节 CyberCash服务器验证商家身份后在安全的地方解密信用卡信息,并将其通过安全网络传送到商业银行; 商业银行通过银行间的电子通道到顾客的信用卡发行银行去证实,将结果发回Cybercash服务器,Cybercash服务器再通知商家服务器完成或拒绝交易,商家通知客户。 可以看出,Cybercash在支付过程中只是提供网关服务,它为因特网
8、和银行网络之间信息的安全传输提供工具。,9.2智能卡支付方式,智能卡支付方式的优点是: 1.对于用户来说,智能卡提供了一种便利的方法。智能卡消除了某种应用系统可能对用户造成不利影响的各种情况,它能为用户“记忆”某些信息,并以用户的名义提供这种信息。某种应用本身能够配置成适合某个用户的需要,而不是用户去学习和适应这种应用。使用智能卡就再也不用记住个人识别码(密码)。 2.降低了现金处理的支出及被欺诈的可能性,提供了优良的保密性能。使用智能卡,用户不需要携带现金就可以实现像信用卡一样的功能,而保密性能高于信用卡。,9.2智能卡支付方式,由europay,MasterCard和Visa开发的EMV规
9、范,它使用嵌入集成电路的智能卡实现支付; 由maosco协会推出的Mutos系统,它不仅能使智能卡胜任现有信用卡的功能,而且可以提供大量更新的诸如以智能卡充当银行卡、电话频道甚至电影票,消费者还可以根据自己的消费习惯和偏好来设计自己的智能卡; 持卡人将其插入银行终端后几秒内即可完成授权认证、检验账户、存储数据,消费完毕自动处理金额转移,零售商通过Modem,ISDN或网络供应商的特定网络,将交易数据传至银行计算中心; 金融交易卡信息交换格式标准(ISO 8583),该标准用来对广域网中传输的信用卡、借记卡、银行卡,以及金融交易的信息进行监测、捕获和解码;,9.2智能卡支付方式,Open Car
10、d Frame Work标准 这是由IBM、oracle,Sun和Netscape等支持的一种基于网络计算机的智能卡标准; 它由Sun提出,花旗银行、Visa第一联合银行和 VeriFone等组织支持的Java Card API标准。,9.3电子支票支付方式,9.3.1电子支票的特点 1.电子支票和传统支票工作方式相同,客户易于理解和接受,不必再接受培训,并且功能更强,所以接受程度高。 2.加密的电子支票使它们比基于公钥加密的数字现金更易于流通,买卖双方的银行只要用公钥认证确认支票即可,数字签名也可以被自动验证。 3.电子支票适于各种市场,由于支票的内容可以附在贸易对方的汇票资料上,因此可以很
11、容易地与EDI应用结合,推动EDI基础之上的电子订货和支付。,9.3电子支票支付方式,9.3.1电子支票的特点 4.第三方金融服务者不仅可以从交易双方处提取固定交易费用,或按一定比例提取费用,它还可以作为银行身份,提供存款账目,且电子支票存款账户很可能是无利率的,因此给第三方金融机构带来了收益。 5.电子支票技术将公共网络连入金融支付和银行清算网络,实现业务过程处理的自动化。在充分利用电子支付手段的前提下,可以对付款人、收款人、银行和金融系统带来尽量少的影响。 6.节省费用。电子支票通过网络传输,速度极其迅速,大大缩短了支票的在途时间,使客户的在途资金损失减为零。,9.3电子支票支付方式,9.
12、3.2电子支票支付流程 1.购买电子支票 2.电子支票付款 1.买方首先根据要求产生一个电子支票,用自己的私钥在电子支票上进行数字签名; 2.使用卖方的公钥加密电子支票; 3.使用E_Mail或其他方式向卖方支付; 4.卖方收到用卖方公钥加密的电子支票,并用自己的私钥解密; 5.用买方的公钥确认买方的数字签名,背书(endorses)支票,写出一张存款单 (deposit),并签署该存款单; 6.向银行进一步确认电子支票; 7.卖方发货给买方。 3.清算,9.3电子支票支付方式,9.3电子支票支付方式,注意: 电子支票的数字签名都要被验证,而实际的纸质支票很少验证手写签名 电子支票使用金融服务
13、标记语言FSML(Financial Services Markup Language)来书写 电子支票使用X.509证书来提供对签名的验证功能。 银行之间电子支票的清算都遵循ANSI X9.46和X9.37标准 银行提供的电子支票清算账号必须是电子支票清算中心组织 ECCHO(Electronic Check Clearing House Organization)或具有同等功能的其他组织的成员,或者相互之间按照一定的规则提供了清算功能等等,9.4电子现金支付方式,电子现金即数字现金,是一种以数据形式流通的货币。 它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市
14、值,用户在开展电子现金业务的银行开设账户并在账户内:存钱后,就可以在接受电子现金的商家使用。 电子现金具有多用途、灵活使用、匿名性、快速简便的特点,无需直接与银行连接便可使用,适用于小额交易。在网上付款方式上,电子现金可能是最主要的取代纸钞的付款方式。 它尤其适合于在Internet上进行小数目金额的实时支付,极有可能成为网络贸易应用中个人消费者的最常用的一个支付工具。,9.4电子现金支付方式,电子现金具有以下特性: 1.具有金钱价值。它受现金、银行授权信用或银行证明的本票所担保,若没有适当的银行证明,电子现金就有在付款时以资金不足而被拒绝的风险。 2.互通性。电子现金可与其他电子货币、纸钞、
15、货物或服务、信用贷款限额、银行账户存款、银行票据或契约、电子利益转移等来相互交换。 3.可存储性。远程的存储和取得可以为用户提供不论是在家里、办公室,还是旅游时交换电子现金的可能,用户甚至可以将它存储在远程的计算机里、智能卡上或其他方便携带或特别设计的装置上。,9.4电子现金支付方式,电子现金具有以下特性: 4.安全性。预防或检测电子现金的复制和重复使用,可以使电子现金不容被复制和篡改。 5.匿名性。由于无需签名,所以没有办法追踪付款人,这在某些场合下可以使个人的隐私权得到尊重。 6.重复性。必须防止数字现金的复制和重复使用(double-spending)。因为买方可能用同一个数字现金在不同
16、国家或地区的网上商店同时购物,这就造成数字现金的重复使用。一般的数字现金系统会建立事后(post-fact)检测和惩罚。,9.4电子现金支付方式,电子现金的应用过程分为五步: 1.购买E-cash。 2.存储E-cash。 3.用E-cash购买商品或服务。 4.资金清算。 5.确认订单。,9.4电子现金支付方式,9.4电子现金支付方式,电子现金支付方式的特点 : 1.银行和卖方之间应有协议和授权关系; 2.买方、卖方和E-cash银行均需使用E-cash软件; 3.因为数字现金可以申请到非常小的面额,所以数字现金适用于小交易量 (minipayment)的支付; 4.份验证由E-cash本身完成,E-cash银行在发放E-cash时使用了数字签名,卖方在每次交易中将E-cash传送给E-cash银行,由E-cash银行验证买方支持的E-cash是否有效,9.4电子现金支付方式,电子现金支付方式的特点 : 5.E-cash银行负责买方和卖方之间的资金转移。 6.具有现金特点,可以存、取转让。 7.买卖双方都无法伪造银行的数字签名,而且双方都可以确信支付是有效的; 8.E-
