《(安全生产)安全支付》由会员分享,可在线阅读,更多相关《(安全生产)安全支付(29页珍藏版)》请在金锄头文库上搜索。
1、支付与安全之支付模式简介 来源:考试大() 2009/9/30 【考试大:中国教育考试第一门户】 模拟考场 视频课程 字号:T T 随着经济社会的快速发展与信息技术的突飞猛进人们对支付系统运行效率和服务质量的要求也越来越高,促使支付系统走向电子化、网络化( 即网上支付)当电子商务作为一种新型的贸易方式兴起时,支付与结算也必须适应网络环境的特点。在网络环境下,支付方式和支付手段都发生了变化,出现了新的支付模式。一、网银模式网银模式,又称商业银行网上支付模式( 如图 1 所示),是指客户通过商业银行的网上银行完成支付的业务模式。从近几年的发展情况来看,网银模式发展最快,前景最看好,是完成网上支付的
2、主要业务模式。二、支付网关模式支付网关模式是指客户或商户把支付指令传送到银行的支付网关,然后通过银行的后台设施完成支付的业务模式。在该模式下,商业银行单独建立支付网关。来源:三、共建支付网关模式在共建支付网关模式中,所用的支付网关是由多家商业银行、银行卡中心或自动清算所联合共建的,而不是由一家商业银行单独建设的流程为:1.客户浏览商户网站,选购商品,放入购物车,进入收银台;2.网上商户根据购物车内容,生成付款单,并调用支付网关商户端接口插件对付款单进行数字签名;3.网上商户将付款单和商户对该付款单的数字签名一起交客户确认;4.一旦客户确认支付,则该付款单和商户对该付款单的数字签名将自动转发至支
3、付网关;5.支付网关验证该付款单的商户身份及数据一致性,生成支付页面显示给客户,同时在客户浏览器与支付网关之间建立 SSL 连接;6.客户填写银行卡卡号、密码和有效期( 适合信用卡),通过支付页面将支付信息加密后提交支付网关;7.支付网关验证交易数据后,按照银行卡交换中心的要求组装消费交易,并通过硬件加密机加密后提交银行卡交换中心;8.银行卡交换中心根据支付信息将交易请求路由到发卡银行,银行系统进行交易处理后将交易结果返回到银行卡交换中心; 9.银行卡交换中心将支付结果回传到支付网关;10.支付网关验证交易应答和数字签名后,发送给商户,同时向客户显示支付结果; 11.商户接收交易应答报文,并根
4、据交易状态码进行后续处理。四、第三方支付模式在第三方支付模式中,所用的支付网关或系统是由第三方机构建设的,而不是由银行或银行联合体建设。换言之,网上支付服务是由第三方机构提供的,而不是商业银行或传统支付系统的运营者。在近几年的电子商务浪潮中,该模式已成为网上支付领域的最大特色,也是人们议论和关注的焦点。第三方支付模式见图6。 像淘宝网的支付宝,易趣的安付通,拍拍(腾迅公司的)的财付通都是第三方支付。电子商务安全支付解决方案 来源:考试大 2009/10/8 【考试大:中国教育考试第一门户】 模拟考场 视频课程 字号:T T 相关链接:支付与安全之支付模式简介移动电子商务是传统电子商务的一种创新
5、营利模式,移动电子商务除了存在传统电子商务未能解决的障碍,如支付、配送、费用高等问题外,安全性问题尤其显得突出。针对移动商务的支付现状,提出了以移动支付中心为核心的移动电子商务安全支付方案。移动商务就是在交易活动中用手机、掌上电脑、笔记本电脑作为支付手段,通过短信、WAP、IVR等方式,使用移动话费或使用信用卡做为支付资金,完成购物、缴费、银行转账等商务活动。经过手机投注、网上购买游戏卡、移动梦网和手机支付水电费燃气费等商务活动,移动商务逐渐走进了普通百姓的生活。由于手机用户可以随时随地进行购物和支付,不再受时间和地域限制,被认为将成为今后消费方式的一大主流。目前我国银行系统的发卡量累计已超过
6、7.6亿,移动电话用户数量已接近4亿,而且大部分移动手机用户拥有一张或多张银行卡。根据CCNIC2006年调查报告,我国上网用户总数为1.23亿人,其中使用手机上网的网民大概有1500万。而且,中国网民70%集中在收入1500元以下、年龄30岁以下的人群中,而手机用户中基本包含了消费群体中高端用户,如早期使用一万多元大哥大的手机用户;另一个原因,无线网络覆盖面广,从城市到乡村,都可以使用手机。因此,不论用户数量还是用户资金实力,移动电子商务都远远高于传统电子商务。如此巨大的手机消费群体和银行卡持有者数量,对于移动商务来说无疑是一个巨大的“金矿”。但是,在移动电子商务发展过程中,由于中国网络环境
7、的特殊,移动电子商务除了存在传统电子商务未能解决的障碍,如支付、配送、费用高等问题外,安全性问题尤其显得突出,成为制约移动电子商务的瓶颈问题。一、移动商务安全性支付问题首先,手机加密能力低。由于手机的运算能力低内存小,加上带宽小容易掉失数据,所以无法运行太复杂加密算法,造成数据保密低,也无法传递大量数据。其次,手机信息在空中极容易被被拦截。网上经常有人叫卖”监听王(GSM/CDMA多信道移动电话拦截系统)装置”,喧称:”监听地点没有限制,能在任何地点,包括车载移动手机空中拦截;监听数量多,可以同时监听20个手机号码;监听范围广,可以显示手机的短信息内容和来电号码;并且可以将监听到的信息录音并存
8、于硬盘,以做证据之用。”这种宣传有水分,但明白不误地告诉我们,手机信息可被拦截;我们使用手机支付的信用卡数据同样也可被拦截。再加上不法分子千方百计企图偷盗消费者的账号密码。例如冒充银行发诈骗短信。“您好!你的信用卡于商城刷卡消费2000元,此笔消费将从您账上扣除。如有疑问请拨3888银联联合管理局。”不法分子用此类短信告知用户无中生有的消费,要求用户确认。用户情急之中查询,结果把自己的账号密码泄露,造成信用卡里的钱被不法分子盗取。因此,当移动商务流行时,不法分子极有可能使用移动电话拦截器,监听移动手机使用信用卡支付信息,想方设法加以破解。二、移动电子商务安全支付方案解决移动电子商务安全支付问题
9、,我们可以采用国际上比较成熟的解决方案,如爱立信公司的移动电子商务解决方案(Mobile E-Pay)、HP为企业提供的全系开移动E-Services解决方案等;同时,我们更鼓励自主推出一些安全支付的解决方案。下面,提出一种以移动安全中心为核心的一套移动电子商务解决方案:1.初始化顾客、商家、移动支付中心分别到权威认证机构申请证书,生成数字证书和公钥私钥。顾客在商家电子商务网站注册账号,并确定支付方式为手机话费,以及支付手机号;商家通过短信,确认手机主人身份。顾客在移动支付中心以实名手机信息注册,并与移动支付中心交换证书和公钥。实名手机信息内容有:手机号码、姓名、身份证号码、固定电话号码、住址
10、、邮政编码。其次,在银联系统进行手机与信用卡帐号绑定,一旦手机话费余额不足时,可快速充值。商家也在移动支付中心注册账号,并与中心交换证书和公钥。顾客和商家拿移动支付中心证书、移动支付中心拿顾客和商家的证书到权威注册机构验证,确保正确无误。2.手机交易安全支付流程(1)顾客使用手机浏览商务网站选择商品,将商品信息、用户编号、交货地址、使用移动话费支付方式等购买信息发给商家。商品信息包含内容:商品名称、规格、数量、价格、购买时间。(2)商家收到购买信息后,产生订单合同,并同时产生惟一的交易合同号。然后商家将订单合同信息、交易合同号发给顾客,订单合同信息包含内容:商品名称、规格、数量、价格、运送方式
11、(平邮或快邮)、总金额、交货地址。(3)商家将订单合同信息、交易合同号、顾客手机号码,以及订货合同数字签名,使用DES对称加密形成请求支付信息,再把DES密码使用移动支付中心公钥加密,然后一起发送到移动支付中心。(4)移动支付中心:首先,使用私钥解出DES密码,使用DES解密算法解出订货合同。其次,将订货合同、顾客现有话费(如果话费不足,加上提示),使用DES加密,再把DES密码使用顾客公钥加密,形成请求确认合同信息。把请求确认合同信息发到顾客手机上。然后把交易合同写入移动支付中心的记录交易的网站中,以便顾客商家查询和检查交易进展。如果没有收到顾客确认合同信息,则拒绝交易,购买过程到此终止。(
12、5)顾客首先对请求确认合同信息解密,确认订货合同无误。如果顾客看到话费不够,顾客把银行信用卡号、密码、转账命令以及个人证书使用私钥签名,再用银行公钥加密,发送转账短信到银行。银行根据转账短信,把钱转到移动支付中心的顾客账号中。其次,对合同进行确认。把确认合同信息以及订货合同号使用顾客私钥加密,通过手机发送到移动支付中心。(6)移动支付中心使用顾客公钥解密确认合同信息,从顾客账号中预扣货款;使用移动支付中心私钥加密请求发货通知,并把发货通知发给商家。(7)商家根据通知发货,使用短信通知顾客收货,同时把订单合同号,货已发等信息加密后发送到移动支付中心。(8)顾客收到货后进行验收,验收通过,把订货合
13、同号、交易成功短信使用顾客私钥加密,使用手机向移动支付中心发送交易成功短信。如果验收不合格,将货寄回商家,同时向移动支付中心发送交易不成功短信,并同时向商家和移动支付中心阐明交易不成功理由。如果顾客在规定时间内没有向移动支付中心发出交易成功或交易不成功信息,则移动支付中心自动按交易成功处理。(9)移动支付中心收到交易成功短信后,将货款汇到商家账户。(10)商家被退货到手后,向移动支付中心发出同意退款短信。移动支付中心将预扣款退回顾客账户里。(11)商家和顾客在交易完后均须在移动支付中心记录交易网站对对方作出评价,累积诚信积分。移动支付中心根据顾客支付额度给予积分,从积分上给予顾客优惠话费,以降
14、低交易成本。至此完成交易过程。三、移动电子商务安全支付方案可行性分析:1.方案优点(1)移动支付中心为纽带的安全性高。在整个支付过程中,移动支付中心的支付管理系统是一个核心纽带,它完成对顾客商家身份确认、监督商家发货、代扣顾客货款等业务。当顾客发出确认合同和交易成功信息时,顾客的短信只传到移动支付中心,而不是商家系统。移动支付中心只能知道顾客账户的话费可用金额,用于判断顾客是否有足够的余额进行购买。顾客的开户行账号详细信息只由金融机构进行管理。当移动话费不足时,顾客发送转账指令到银行。根据顾客指令,由银行进行银行账户转账、支付和清算。移动支付中心不能处理顾客的银行账户,商家更不可以进行顾客的银
15、行账户处理。这样,避免了顾客信用卡账号被欺骗的可能性。同时,由于顾客的个人重要资料不是存放在商家系统中,也保护了顾客的隐私。另外,交易过程中,移动支付中心首先暂替商家扣下货款,保障了商家的权益;所暂扣话费没有直接交给商家,而是等顾客验收完货物后,才转给商家,同样也保障了顾客权益。(2)重要数据的机密性。为防止重要数据被非法用户所截获,使用了加密的手段实现保密,从而确保在传递过程中,只有顾客、商家、移动支付中心知道交易的内容。使用加密技术,手机在传送顾客证书,传送顾客的银行账号和口令,以及传送各种个人的机密敏感信息,不会被轻易破译或盗用。(3)完整性。使用加密技术和以移动支付中心为纽带,可以防止其他方或非法入侵者对交易的内容进行修改,同时保障交易双方权益。(4)身份可确认性。通过数字证书验证,确保交易双方身份认证,防止欺诈行为的产生。顾客的身份还可以通过手机卡号确认。手机卡可以做到惟一和专属又不受时空限制,除移动通信服务商之外的其他机
