《现代电子金融支付原理与实务》由会员分享,可在线阅读,更多相关《现代电子金融支付原理与实务(71页珍藏版)》请在金锄头文库上搜索。
1、2018/9/13,经济与金融学院联合信用研究中心,1,电子商务与金融支付,西安交通大学 单英骥,电子商务金融支付与服务,1、电子商务时代 2、金融认证 3、安全标准 4、银行卡 6、电子商务中的金融服务 7、金融信息化的发展,电子商务时代,21世纪将进入电子商务时代:是社会发展的必然,我们将别无选择地生活在电子商务时代。如何面对电子商务方式、如何适应数字化生存并积极参与电子商务时代的国际竞争,是涉及到每个人、每个企业、部门及国家发展与生存的重大问题,也国家部门现在应该开始解决的问题。 电子商务环境 国际互连网络 安全信息传输 电子货币支付 数字化社会 电子商务活动环境要求 电子商务经济、社会
2、环境,电子商务活动,电子商务活动方式 电子业务方式 电子消费方式 电子贸易方式 电子数据传输 电子认证 电子化管理 面对电子商务 认识电子商务 掌握电子商务方法 开展电子商务活动 参与电子商务的国际竞争,各国政府的七大政策挑战,电子商务的政策问题: 网际网络的基础设施 法律 条例架构 交易安全 隐私问题 税务 电子货币,电子商务时代的挑战,电子商务带来的法律法规真空,经济金融管理问题; 新时代贸易、金融业务与系统的发展战略; 数字化电子货币的发行、支付与管理; 对付黑客的公共网络信息的安全保密问题; 涉及天量数字的可靠金融交易处理与管理; 经济金融信息的开发利用与安全保密问题; 新兴网上业务的
3、开展、竞争与规范化; 传统业务与系统的改造和适应问题; 实力雄厚的国际机构的冲击和竞争; 电子商务时代有关人才的培养; 数字化生活的适应性变化;,电子贸易的基础环境,社会信用程度 社会信息化发展状态 金融支付安全 电子商务法律法规 政府管理支持,电子商务时代的新要求,个人 计算机手段、国际交流、信息处理 企业 模式创新、高速增长、流动办公、密切协作 社会 虚拟空间、数据高速公路、数字化产品 政府 调查统计、跨国法律、经济全球化、规范化,The enterprise in EB ages 电子商务时代的企业特点,新型企业应该具有如下特点: 高速发展计划 充分使用高技术手段 创新能力 广泛的金融支
4、持 世界范围的业务与合作 Internet 高效的管理机制(人力、物力、资金与社会),电子商务时代的企业形态,新兴企业: Yahoo、AOL、Sohu,其特点是创新。 再生型企业: eBay、Amazon,其特点是改造。 适应性企业: Lombard、Dell、8848,其特点是补充。,Enterprise plan 企业发展规划,Market 市场营销 investment 投资规划 finance support 金融支持 development plan 发展计划 technology tools 高技术手段 insurance 保险与保障 information 信息处理,电子商务市场
5、的形式,网上购物 网络娱乐消费 网络传媒、广告服务、网络营销 经济信息咨询、评估服务 电子交易、批发业务 电子化业务管理、理财管理服务 电子化社会综合辅助服务 安全认证服务 在线培训、教育 个性特色服务,金融支付方式的发展,电子货币支付方式:代表着电子货币支付发展的不同阶段。 第一阶段是银行利用计算机处理银行之间的货币汇划业务,办理汇划结算; 第二阶段是银行计算机与其他机构计算机之间资金的汇划,如代发工资等业务; 第三阶段是利用网络终端向客户提供各项银行服务,如客户在自动柜员机(ATM)上进行取、存款操作等; 第四阶段是利用银行销售点终端(POS)向客户提供自动的扣款服务,这是现在阶段电子货币
6、支付的主要方式; 第五阶段是最新发展阶段,电子货币可随时随地通过公共网络(INTERNET)进行直接转帐结算,形成电子商务环境。这是正在发展的形式,也将是下一世纪的主要金融支付方式。,网上支付,网上支付形式: 银行卡 电子支票 电子现金 安全性要求 完整认证(知道与谁交流) 信息完整 无拒付支付 有效的查帐机制 隐私权,非安全性要求 低成本 大型金融机构 普遍性技术 可度量 交易模式的一般性,企业间的支付形式与发展,典型的B TO B模式下。传统支付方式有: 汇款支付 支票支付 转帐支付,电子支付仍在发展之中,其支付方式将有如下形式: 企业信用卡卡支付 电子支票支付 电子转帐支付 信用认证支付
7、,网上支付标准,PKI标准:公共密钥体系 (Public Key Infrastructure) SSL标准:安全套接层协议(Secure Sockets Layer) SET标准:安全电子交易标准(Secure Electronic Transactions,简称 SET) X5.95标准:帐户数字签名工业标准 (Account Authority Digital Signatures, or AADS), 提供了标准化信用卡处理和帐户管理方法。 X.509标准:电子商务证书发放标准(ISO/IEC/ITU X.509,基于PKI,简称PKIX ) X.500标准:电子出版目录查询标准(目录
8、服务协议LDAP(X.500协议),PKI,新的安全技术和安全规范。PKI必须具有 认证机关(CA)、 证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端证书处理系统。,SSL安全协议,SSL安全协议主要提供三方面的服务: 认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上; 加密数据以隐藏被传送的数据; 维护数据的完整性,确保数据在传输过程中不被改变。,SET安全协议,SET协议要达到的的目标主要有五个:保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。 保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的帐户
9、和密码信息。 解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。 保证了网上交易的实时性,使所有的支付过程都是在线的。 效仿EDI贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。,SET安全协议涉及的范围,)消费者,包括个人消费者和团体消费者,按照在线商店的要求填写定货单,通过由发卡银行发行的信用卡进行付款。 )在线商店,提供商品或服务,具备相应电子货币使用的条件。 )收单银行,通过支付网关处理消费者和在线商店之间的交易付款问题。 )电子货币(如智能卡、电
10、子现金、电子钱包)发行公司,以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。 )认证中心(CA)。负责对交易对方的身份确认,对厂商的信誉度和消费者的支付手段进行认证。,数字证书,认证机构发放的数字证书目前主要应用于: 安全的电子邮件系统 安全通信 信用卡网上安全支付。 电子商务中认证证书标准。ISO/IEC/ITU X.509标准对证书格式的定义已被广泛接受(1988年为Ver 1,1993年为Ver 2,1996年发布Ver 3)。,证书标准(x.509),X.509的具体内容X.509标准是在通用的网络安全工具如公共密钥加密系统和使用CA(Certificate Autho
11、rity ,证书管理机构),被用以保证在Internet及内部网上传送数据的安全的认证标准。它基于公共密钥密码格式。X.509证书已用于许多网络安全应用程序,其中包括IP安全(IPSec)、安全套层(SSL)、安全电子交易(SET)、安全多用途 Internet邮件扩展(S/MIME)、NON-SET认证等。,X.500电子出版目录查询标准,目录服务网络应用。目录中按一定的格式记录了现实世界中大量对象的信息,供用户(人,计算机应用程序等)做各种频繁查询和相对少量的修改。实现目录服务的方式有多种,但目前趋于统一到ITU-TX.500系列建议标准。CCITT在1988年制定了第一版X.500建议,
12、后ITU-T又在1993年做了显著的修订和补充,产生了第二版建议(但版本编号仍为1),ISO接受了此建议,把它作为ISO/IEC9594国际标准。,安全认证中心CA,CA是受一个或多个用户信任,提供用户身份验证的第三方机构。认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。处在最高层的是认证中心(Root CA),它是所有人公认的权威,如人民银行总行的CA。,认证中心的主要功能,1、证书的颁发 2、证书的更新 3、证书
13、的查询 4、证书的作废 5、证书的归档,安全认证的法律问题,安全认证需要的法律问题包括: 社会信用 电子签名法 电子交易法 认证管理法律,认证中心应有的管理机制,认证中心(CA)是进行网上合法身份和合法交易认证的权威证明机构,它依据国家法律、法规开展工作。它坚持公平、公正、信誉第一的原则,起到维护网上金融信誉、防止金融诈骗的作用。 认证CA以独立于认证用户(商家和消费者)和参与者(检查和使用证书的相关方)的第三方的地位证明网上活动的合法有效性。其本身不从事商业业务,不进行网上采购和消费活动。它接受国家政府部门的监督和管理。 认证中心具有独立法人地位,为用户管理认证证书;认证用户自原向认证中心申
14、请认证证书以开展电子商务活动;参与方是自愿加入认证中心的会员单位,必须接受有效证书的信用,完成用户涉及的电子商务活动。,电子商务中各方的义务,1)认证中心:发布用户认证证书、管理认证证书、保证认证的安全可靠,其本身必须满足管理、操作于系统的有关要求。 对参与者进行严格的审查和认证 保证发放的证书具有可靠的权威性和信任度 发布可靠及时的认证信息 2)认证用户(商家、消费者等):合法使用认证机制、获得证书,开展电子商务活动。 报出本身准确的相关信息 及时检查证书内容和信息 妥善包管好私人密钥 及时汇报出现的问题,例如密钥泄露、交易异常等现象 3)参与者(银行等其他相关方):合法使用认证机制,按照有
15、关规定进行电子商务操作。 检查证书本身的合法有效性、进行证书失效检查 通过其他方法确认证书的可靠性、保证业务24小时正常运行,电子商务中各方的责任,1)、认证中心负有责任: 由于管理漏洞出现问题,存在犯罪活动引起用户损失; 由于CA方密钥泄露出现问题,引起用户损失; 由于认证操作出现问题,证书不完善引起用户损失; 由于失效信息发布问题,引起用户损失; 由于用户注册信息泄露引起的用户损失; 由于CA系统和设备问题(停机、终止、信息丢失等)引起的用户损失。,2)、用户责任: 用户信息问题出现的损失; 个人密钥丢失没有及时通知CA 引起的损失 证书不全时进行交易产生的损失 非法使用证书产生的损失3)
16、参与者责任: 证书检查不严格产生的损失; 密钥泄露产生的损失; 用户个人信息泄露产生的损失; 超限制额度交易产生的损失; 其他非法交易产生的损失。,认证中心的认证操作规则,1)组织规则 独立的中间机构:认证中心是独立于交易双方的中间机构, 发挥权威作用:认证中心必须以信誉为基础,获得公认的权威可靠性。 严格的内部管理制度:保证操作安全和信息安全。 2)操作规则 操作要求:规定操作要求。 安全控制规则:规定个人活动范围、处理的业务、期限和权限。 密钥管理规则:规定密钥产生、传输和管理的责任制度。 审核规则:规定定期审核制度。 3)信息控制规则 认证声明:公开有关认证活动的责任、义务、操作方式及相
17、关措施。 信息公开制度:发布相关认证信息,例如证书生效、失效等公开信息。 用户信息保护制度:保护认证中心、用户的机密信息。,网上问题处理,网上交易出现纠纷问题后,可由当事人提出仲裁申请,上级政府机关进行仲裁处理;如需要上诉,可上诉法院解决。具体程序为: 问题申诉程序 分级仲裁措施 政府部门协调 问题处理依据,电子货币系统,电子货币:是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据(二进制数据)形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。 电子货币系统包括: 电子支票系统 信用卡系统 电子现金系统 电子货币具有以下特点: 以电子计算机技术为依托,进行储存支付和流通; 应用广泛,可广泛应用于生产、交换、分配和消费领域; 融储蓄、信贷和非现金结算等多种功能为一体; 电子货币具有使用简便、安全、迅速、可靠的特征; 现在阶段电子货币的使用通常以银行卡(磁卡、智能卡)为媒体;,
