《[精选]电子商务之电子支付与安全交易培训课程》由会员分享,可在线阅读,更多相关《[精选]电子商务之电子支付与安全交易培训课程(48页珍藏版)》请在金锄头文库上搜索。
1、第4章 电子支付与安全交易,学习重点: 电子支付、网上银行 电子支付流程 加密技术 信息认证技术 移动支付的实现技术,第一阶段是办理结算; 第二阶段是代发工资等业务; 第三阶段是客户在自动柜员机(ATM)上进行取、存款操作等; 第四阶段是利用银行销售点终端(POS)向客户提供自动的扣款服务; 第五阶段是网上支付。网上支付的形式称为网上支付工具,主要有信用卡、数字现金、 电子支票等。,电子支付的发展阶段,招商银行的网上银行,自1997年以来,国内招商银行、中国银行、中国建设银行、中国工商银行陆续推出网上银行业务,其中中国银行采用的是SET协议,另外则使用了SSL。 招商银行的网上银行于1999年
2、底正式运行,其功能主要包括了个人银行系统、网上支付系统、网上证券统、网上商城系统等。 中国建设银行开发了日处理业务130万笔、允许5万个客户同时访问和交易的网上银行系统。,4.1 电子支付,4.1.1电子支付与电子商务 1.电子支付的概念 电子支付是指电子交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。 两大国际信用卡组织VISA(维萨卡)和Master Card(万事达卡)合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。,2 电子支付与传统支付方式的区别,电子支付具有以下特征: (1
3、)电子支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是通过数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体来完成款项支付的。 (2)电子支付的工作环境是基于一个开放的系统平台(即Internet);而传统的支付则是在较为封闭的系统中运作。 (3)电子支付使用的是最先进的通信手段,而传统支付使用的则是传统的通信媒介;电子支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其他一些配套设施,而传统支付则没有这么高的要求。 (4)电子支付具有方便、快捷、高效、经济的优势。,电子支付流程图,.,3 电子支付流程,(1)选定
4、所要购买的物品,输入定货单。 (2)在线商店做出应答。 (3)消费者选择付款方式、确认定单,签发付款指令。 (4)在SET中,消费者必须对订单和付款指令进行数字签名。 (5)在线商店接受订单后,向消费者所在银行请求支付认可。 (6)在线商店发送订单确认信息给消费者。 (7)在线商店发送货物,或提供服务。,4.1.2 电子货币,电子货币指在电子技术的支持下,能够在交易或消费过程中充当“支付”职能的货币替代品,包括接触式与非接触式的各种各样的卡,以及电子钱包; 非银行系统发行的智能卡一般不记名,不挂失,谁持卡谁便可以使用(如IC卡、电话卡),数字卡。银行卡是记名的,也可以挂失。 在各种银行卡中,贷
5、记卡是真正意义的先赊账再付款的信用卡,一般的信用卡必须先存入一笔款项,用完再存款,无须换卡,允许少量透支,不能透支的储值卡、ATM自动提款卡等银行卡; 电子钱包,是指在国家 控制下的银行、支票和纸币等现有的流通网络之外,能通过电子计算机网络大量流通的资金,这是真正意义的电子货币。,电子货币的优点:,第一,方便。第二,安全,第三,通用,第四,增加社会效益。 “电子货币”的概念尚未深入每个人的心中, IC 智能卡在电信业使用广泛,而银行卡在我国使用比例不到1%。 美国通过银行卡进行个人日常支出比例已占到25%。,4.1.3 网上银行,1网上银行的概念与特点: 网上银行(Internet Bank)
6、或称电子银行,上网用户可以通过它管理个人的资金,进行购物、理财或投资. 网上金融业务也从最初的帐户查询、转帐、代交费逐渐转向网上支付、证券交易等项目。网上银行具有明显的优势。 (1)网上银行的服务更能满足客户多样化的要求。 (2)银行的投资可以大大减少。 (3)网上银行为银行开拓业务打下了良好的基础。 如邮电、电力、工商、税务、交通等部门都致力开展网上交费业务,网上银行在这些方面有着良好前景。,2网上银行的功能模块,(1) 开户业务模块 (2) 授权业务模块 (3) 支付业务模块 (4) 清算业务模块 (5) 系统管理模块,3影响网上银行发展的原因,主要的制约因素是网上安全和客户群体; 对于网
7、上银行的客户而言,必须确认在网上输入的机密性资料不会被盗用,输入的交易资料不会被篡改并且能迅速传递到接收端系统。另一个重要因素是客户群体,网上银行会有一个循序渐进的过程。 (1) 进入Internet. (2)加入Internet. (3)利用Internet. (4)创新银行业务。,4.1.4 网上支付,支付网关,位于Internet和传统的银行专网之间,其主要作用是安全连接Internet和专网,将不安全的Internet上的交易信息传给安全的银行专网,起到隔离和保护专网的作用。 主要功能有:将Internet传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的
8、传回来的响应消息,将数据转换为Internet传送的数据格式,并对其进行加密。即支付网关主要完成通信、协议转换和数据加解密功能,以保护银行内部网络。,支付网关的主要功能,2.支付网关是整个系统的关键,它的主要功能有: (1)实现交易功能,即完成持卡人网上支付的正常流程。 (2)进行交易的异常处理,如持卡人的帐户余额改动之后,并为未得到所期望的交易结果,则这样的交易将被部分或全部地冲正。 (3)提供仲裁信息。 (4)提供多种报表。 (5)提供查询功能。 (6) 计费功能 网上支付最常见的信用卡、电子支票; 数字现钞(e-cash),在数字现钞中,货币仅仅是一串数据位,银行可能发行这样的数据位串,
9、或者从消费者的帐户中划出相等的纸币。,4.1.5 移动支付,从2002年开始,移动支付就已经成为移动增值业务中的一个亮点。 目前我国的移动支付业务发展重点不是很明显,银行信用卡捆绑的缴费业务、查询业务等 移动支付业务就是将移动网络与金融系统结合,商品交易、缴费等金融服务的业务,小商品交易、电子内容(产品)支付、服务付费、缴费等银行服务等几类。 小额服务付费是指用户通过手机来支付服务业务费用。最流行支付停车或者洗车费等。,手机当钱用,.,缴费业务,以缴费业务为代表的移动银行目前是我国银行系统参与的移动支付主要业务类型。“手机钱包”服务其实就是这个业务非常典型的应用,通过与银行的捆绑,将SIM卡与
10、银行帐号自然联系起来。,电子内容,电子内容(数字产品)支付其实已经是目前移动支付的一个主要业务。将来类似电子内容的很多服务和商品的支付会成为移动支付的主要收入来源。 如:博彩、彩票投注服务。,4.安全交易4.2.1电子商务安全技术,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。 保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。,为什么网络安全如此重要,External access,now granted.,Are applications,and
11、 network,secure?,信息资本,Enterprise,Network,没有边界 没有中央管理 是开放的、标准的 没有审计记录,INTERNET,1 计算机网络安全,安全隐患: (1) 未进行操作系统相关安全配置。 (2) 拒绝服务攻击。 (3) 安全产品使用不当。 (4) 缺少严格的网络安全管理制度。 (5) 计算机网络安全体系不够完善。 计算机网络安全系统网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。 主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏动检测技术、黑客跟踪技术,,实施网络安全防范措
12、施,在实施网络安全防范措施时, 首先要加强主机本身的安全,做好安全配置,安装安全补丁程序,减少漏洞; 其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补, 访问控制措施,安装防火墙,加强授权管理和认证;RAID5,隔离措施,数据加密,病毒软件。 围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等。,减少安全威胁的主要策略,修补系统漏洞 系统 病毒检查 系统 直接安全 管理 空闲机器安全 管理 废品处理安全 管理 口令安全 管理 加密 系统 认证、授权 系统 Internet防火墙 系统 捕捉闯入者 系统,政策
13、、法律、守则、管理,Internet 防火墙,授权、认证,加密,审计、监控,什么是防火墙?,防火墙:在被保护网络和Internet之间,或者和其它网络之间限制访问的软件和硬件的组合。,防火墙,防火墙的主要功能,能做什么? 安全把关 网络活动统计 内部隔离,不能做什么? 不能防范内部入侵 不能防范新的威胁 控制粒度粗,防火墙的基本原理,数据过滤:一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。,屏蔽路由器,防火墙的基本原理(续),代理服务:代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交
14、谈。,代理服务,2. 商务交易安全,商务安全中普遍存在着以下几种安全隐患: (1) 窃取信息。 (2) 纂改信息。 (3) 假冒。 (4) 恶意破坏。 电子商务的安全交易主要保证: (1) 信息保密性 (2) 交易者身份的确定性 (3) 不可否认性 (4)不可修改性,3.电子商务交易中的安全措施,安全交易标准和技术,主要的协议标准有: (1) 安全超文本传输协议(S-HTTP) (2) 安全套接层协议(SSL) (3) 安全交易技术协议(STT, Secure Transaction Technology) (4)安全电子交易协议(SET,Secure Electronic Transacti
15、on),2. SET(Secure Electronic Transaction),持卡人,密文,商家,银行,发卡机构,CA,密文,协商 定单 确认,审核 确认,审核 批准,认证,认证,认证,提供身份认证、数据保密、数据完整性等服务,SET协议规范所涉及的对象: 消费者 在线商店 收单银行 电子货币 认证中心(CA),主要的安全技术有:,(1) 虚拟专用网(VPN) (2) 数字认证 (3) 加密技术 (4) 电子商务认证中心(CA),CA(认证中心)的基本功能,是生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名; 对数字证书和数字签名进行验证; 对数字证书进行管理,重点是
16、证书的撤消管理,同时追求实施自动管理用以代替非手工管理建立应用接口,特别是支付接口。 电子商务认证中心是否具有支付接口是能否支持电子商务的关键。 简言之:认证中心的功能:核发证书、管理证书、搜索证书、验证证书,PKI(公钥基础实施)技术,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都已经走向成熟。 建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:由Internet特别工作组颁发的标准: 轻型目录访问协议(LDAP)、 安全电子邮件协议(S/MIME)、 传输层安全套接层传输协议(TLC) 通用认证技术(CAT) 通用安全服务接口(GSS-API)等。 由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为数字证书格式标准(9594-8/X.509).,4.2.2信息加密技术,专用密钥加密(如3DEA、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。 1对称密钥密码体制 对称密钥密码体制的特点是加密密钥和解密密钥是相同的或可以相互推导。 2非对称密钥密码体制
