电子商务4安全与支付中文版课件

《电子商务4安全与支付中文版课件》由会员分享，可在线阅读，更多相关《电子商务4安全与支付中文版课件（183页珍藏版）》请在金锄头文库上搜索。

1、第四章第四章 电子商务安全电子商务安全4.1电子商务安全概述电子商务安全概述4.2电子商务系统的安全需求电子商务系统的安全需求4.3电子商务安全体系与安全交易标准电子商务安全体系与安全交易标准4.4电子商务安全常见安全技术电子商务安全常见安全技术4.1 电子商务安全概述电子商务安全概述4.1.1案例案例网络安全简介网络安全简介4.1.2电子商务中常见的安全威胁和攻击电子商务中常见的安全威胁和攻击4.1.3电子商务安全目标与内涵电子商务安全目标与内涵唐山黑客徐某唐山黑客徐某唐山黑客徐某唐山黑客徐某 4.1.1 引引 例一例一 僵尸网络僵尸网络案案 底底l l在我国互联网上有超过在我国互联网上有超

2、过6万台的电脑，受到一万台的电脑，受到一神秘黑客编译的一种名为神秘黑客编译的一种名为IPXSRV的后门程序的后门程序的控制，组成了一个庞大的的控制，组成了一个庞大的“僵尸网络僵尸网络”。而神秘黑客则通过操纵这个控制有而神秘黑客则通过操纵这个控制有6万余台电万余台电脑的脑的“僵尸网络僵尸网络”，从，从2019年年10月起，对北月起，对北京一家音乐网站进行京一家音乐网站进行“拒绝服务拒绝服务”攻击，让攻击，让6万余台电脑同时登录该网站，造成网络堵塞，万余台电脑同时登录该网站，造成网络堵塞，让其他客户无法访问该网站。该网站连续让其他客户无法访问该网站。该网站连续3个个月遭到这个控制超过月遭到这个控制

3、超过6万台电脑的万台电脑的“僵尸网络僵尸网络”的的“拒绝服务拒绝服务(DDos)”攻击，造成经济损攻击，造成经济损失达失达700余万元。余万元。l l徐某最终被判刑徐某最终被判刑1年半年半Kevin Mitnick 被美国政府通被美国政府通缉的头号黑客缉的头号黑客 引例引例 2案案 底底l l15岁时潜入岁时潜入北美空中防务指挥系统北美空中防务指挥系统的主机的主机内，和另外一些朋友翻遍了美国指向前苏联内，和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，然后又及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来。悄无声息地溜了出来。l l侵入美国国防部、中央情报局、五角大楼

4、及侵入美国国防部、中央情报局、五角大楼及北美空中防务体系等防守严密的网络系统。北美空中防务体系等防守严密的网络系统。从而对美国一些国家机密了如指掌。闯入美从而对美国一些国家机密了如指掌。闯入美国国家税务总局网络，窃取了许多美国名国国家税务总局网络，窃取了许多美国名人人纳税的绝密资料。纳税的绝密资料。l l从纽约花旗银行非法转移数字庞大的美元到从纽约花旗银行非法转移数字庞大的美元到指定账户。指定账户。2019年被捕年被捕代代 价价l l历时四年的多司法区的追踪，声名狼藉的计算历时四年的多司法区的追踪，声名狼藉的计算历时四年的多司法区的追踪，声名狼藉的计算历时四年的多司法区的追踪，声名狼藉的计算机

5、怪客凯文机怪客凯文机怪客凯文机怪客凯文 米蒂尼克（米蒂尼克（米蒂尼克（米蒂尼克（KevinMitnickKevinMitnick）终）终）终）终于被逮捕。他被指控了于被逮捕。他被指控了于被逮捕。他被指控了于被逮捕。他被指控了2525项计算机和存取设备项计算机和存取设备项计算机和存取设备项计算机和存取设备的诈骗盗窃罪。这些诈骗盗窃活动导致诺基亚的诈骗盗窃罪。这些诈骗盗窃活动导致诺基亚的诈骗盗窃罪。这些诈骗盗窃活动导致诺基亚的诈骗盗窃罪。这些诈骗盗窃活动导致诺基亚（NokiaNokia）、）、）、）、NECNEC、SunMicrosystemsSunMicrosystems、NovellNovel

6、l、富士（、富士（、富士（、富士（FujitsuFujitsu）、和摩托罗拉）、和摩托罗拉）、和摩托罗拉）、和摩托罗拉（MotorolaMotorola）损失了近八千万美元的知识产权）损失了近八千万美元的知识产权）损失了近八千万美元的知识产权）损失了近八千万美元的知识产权和源码。和源码。和源码。和源码。FBIFBI认为该案件是当时美国历史上最认为该案件是当时美国历史上最认为该案件是当时美国历史上最认为该案件是当时美国历史上最大的计算机犯罪案件。凯文大的计算机犯罪案件。凯文大的计算机犯罪案件。凯文大的计算机犯罪案件。凯文 米蒂尼克被定罪米蒂尼克被定罪米蒂尼克被定罪米蒂尼克被定罪并被判处了并被判处

7、了并被判处了并被判处了6868个月的徒刑。他共服刑个月的徒刑。他共服刑个月的徒刑。他共服刑个月的徒刑。他共服刑6060个月，个月，个月，个月，于于于于20002000年年年年1 1月月月月2121日被假释。假释条件禁止他在日被假释。假释条件禁止他在日被假释。假释条件禁止他在日被假释。假释条件禁止他在20192019年之前使用计算机或从事任何和计算机相年之前使用计算机或从事任何和计算机相年之前使用计算机或从事任何和计算机相年之前使用计算机或从事任何和计算机相关的顾问工作。关的顾问工作。关的顾问工作。关的顾问工作。一个著名的一个著名的DDos攻击例子攻击例子 Mitnick攻击（攻击（2019）l

8、 l利用利用利用利用TCP/IPTCP/IP的三次握手过程的固有缺陷进行攻击的三次握手过程的固有缺陷进行攻击的三次握手过程的固有缺陷进行攻击的三次握手过程的固有缺陷进行攻击Syn Flood（洪水湮没攻击）（洪水湮没攻击）l l利用了利用了利用了利用了TCP/IPTCP/IP协议的固有漏洞。面向连接的协议的固有漏洞。面向连接的协议的固有漏洞。面向连接的协议的固有漏洞。面向连接的TCPTCP三次握三次握三次握三次握手是手是手是手是SynFloodSynFlood存在的基础。存在的基础。存在的基础。存在的基础。图图图图2TCP2TCP三次握手三次握手三次握手三次握手 通过发送大量的通过发送大量的通

9、过发送大量的通过发送大量的SynSyn的半连接，使服务器消耗非常多的半连接，使服务器消耗非常多的半连接，使服务器消耗非常多的半连接，使服务器消耗非常多的资源，从而无法对正常的用户请求进行响应的资源，从而无法对正常的用户请求进行响应的资源，从而无法对正常的用户请求进行响应的资源，从而无法对正常的用户请求进行响应 图图图图3 Syn Flood3 Syn Flood恶意地不完成三次握手恶意地不完成三次握手恶意地不完成三次握手恶意地不完成三次握手 国外国外DDos攻击攻击的例子的例子从从2000年年2月月6日到日到2月月7日日,Amazon、Buy、CNN、eBay、E*TRADE、Yahoo、ZD

10、Net等多家网站被大量访问请求所淹没，正常访等多家网站被大量访问请求所淹没，正常访问中断，造成商业损失达到问中断，造成商业损失达到17亿美元。亿美元。直到直到2019年年2月，加拿大的一名少年承认进行月，加拿大的一名少年承认进行了了2000年年2月的攻击月的攻击网络安全事件增长非常快网络安全事件增长非常快CERT报告的事件数量报告的事件数量l l每年每年100%的增长率的增长率 1988:“1988:“蠕虫蠕虫蠕虫蠕虫”病毒病毒病毒病毒 攻击了当时攻击了当时攻击了当时攻击了当时InternetInternet上约上约上约上约10%10%的的的的计算机计算机计算机计算机 导致了导致了导致了导致了

11、CERTCERT（计算机紧急响应小组）的成立（计算机紧急响应小组）的成立（计算机紧急响应小组）的成立（计算机紧急响应小组）的成立目前网络上的混乱状况目前网络上的混乱状况根据美国国家安全协会统计数据根据美国国家安全协会统计数据根据美国国家安全协会统计数据根据美国国家安全协会统计数据l l98%98%的企业都曾遇过病毒感染问题；的企业都曾遇过病毒感染问题；的企业都曾遇过病毒感染问题；的企业都曾遇过病毒感染问题；l l63%63%的企业都曾因感染病毒失去文件资料；的企业都曾因感染病毒失去文件资料；的企业都曾因感染病毒失去文件资料；的企业都曾因感染病毒失去文件资料；l l80%80%的的的的WebWe

12、b服务器受到过黑客攻击；服务器受到过黑客攻击；服务器受到过黑客攻击；服务器受到过黑客攻击；l l其中其中其中其中75%75%的企业遭到财产损失，平均损失高达的企业遭到财产损失，平均损失高达的企业遭到财产损失，平均损失高达的企业遭到财产损失，平均损失高达$2,000,000$2,000,000；l l50%50%以上的以上的以上的以上的CIOCIO认为网络安全是最头疼的问题；认为网络安全是最头疼的问题；认为网络安全是最头疼的问题；认为网络安全是最头疼的问题；l l80%80%的国内网站存在安全隐患；的国内网站存在安全隐患；的国内网站存在安全隐患；的国内网站存在安全隐患；l l世界总损失达到世界总

13、损失达到世界总损失达到世界总损失达到$2$2万亿；万亿；万亿；万亿；l lFBIFBI调查表明，调查表明，调查表明，调查表明，95%95%的网络入侵未被发现；的网络入侵未被发现；的网络入侵未被发现；的网络入侵未被发现；4.1.2 电子商务中常见的安全威胁和电子商务中常见的安全威胁和 攻击方式攻击方式l l窃取机密攻击：窃取机密攻击：窃取机密攻击：窃取机密攻击：网络踩点、网络踩点、网络踩点、网络踩点、扫描攻击、协议栈指纹鉴别、信息流监视、扫描攻击、协议栈指纹鉴别、信息流监视、扫描攻击、协议栈指纹鉴别、信息流监视、扫描攻击、协议栈指纹鉴别、信息流监视、会话劫持会话劫持会话劫持会话劫持l l非法访问

14、非法访问非法访问非法访问 漏洞：入侵者将会利用隐密的特性或缺陷来非法访问漏洞：入侵者将会利用隐密的特性或缺陷来非法访问漏洞：入侵者将会利用隐密的特性或缺陷来非法访问漏洞：入侵者将会利用隐密的特性或缺陷来非法访问系统系统系统系统. . 口令破解、口令破解、口令破解、口令破解、IPIP欺骗、欺骗、欺骗、欺骗、DNSDNS欺骗、特洛伊木马（后门）欺骗、特洛伊木马（后门）欺骗、特洛伊木马（后门）欺骗、特洛伊木马（后门）l l恶意攻击：邮件炸弹、缓冲区溢出攻击、拒绝服务恶意攻击：邮件炸弹、缓冲区溢出攻击、拒绝服务恶意攻击：邮件炸弹、缓冲区溢出攻击、拒绝服务恶意攻击：邮件炸弹、缓冲区溢出攻击、拒绝服务(D

15、oS)(DoS)攻击攻击攻击攻击, ,网络钓鱼等等网络钓鱼等等网络钓鱼等等网络钓鱼等等l l网络病毒网络病毒网络病毒网络病毒l l社交工程：专门指不用程序即可获取帐号、密码、信社交工程：专门指不用程序即可获取帐号、密码、信社交工程：专门指不用程序即可获取帐号、密码、信社交工程：专门指不用程序即可获取帐号、密码、信用卡密码、身份证号码、姓名、地址或其他可确认身用卡密码、身份证号码、姓名、地址或其他可确认身用卡密码、身份证号码、姓名、地址或其他可确认身用卡密码、身份证号码、姓名、地址或其他可确认身份或机密数据的方法份或机密数据的方法份或机密数据的方法份或机密数据的方法 l l信息战信息战信息战信息

16、战网络钓鱼案例网络钓鱼案例案例案例WesternUnionHoldings站点站点(2000)2019年年9月月,站点站点遭到入侵，入侵者偷遭到入侵，入侵者偷走存储在数据库中大约走存储在数据库中大约16,000个用户的信个用户的信用卡卡号用卡卡号，公司不得不一个个通知用户让，公司不得不一个个通知用户让他们知道这件事他们知道这件事4.1.3 电子商务安全目标与内涵电子商务安全目标与内涵l l信息的机密性（信息的机密性（信息的机密性（信息的机密性（ConfidentialityConfidentiality） 保证交易数据在传递过程中不被未授予权限的第三保证交易数据在传递过程中不被未授予权限的第三

17、保证交易数据在传递过程中不被未授予权限的第三保证交易数据在传递过程中不被未授予权限的第三方非法访问方非法访问方非法访问方非法访问l l完整性（完整性（完整性（完整性（IntegrityIntegrity） 保证交易数据在传递过程中不被破坏和修改保证交易数据在传递过程中不被破坏和修改保证交易数据在传递过程中不被破坏和修改保证交易数据在传递过程中不被破坏和修改l l可用性可用性可用性可用性 （AvailabilityAvailability） 保证交易系统和网络资源任何时刻能即需即用，并保证交易系统和网络资源任何时刻能即需即用，并保证交易系统和网络资源任何时刻能即需即用，并保证交易系统和网络资源任

18、何时刻能即需即用，并能提供不间断的正确服务能提供不间断的正确服务能提供不间断的正确服务能提供不间断的正确服务l l真实性（真实性（真实性（真实性（AuthenticityAuthenticity） 保证交易时各方身份真实有效、特别是电子支付时，保证交易时各方身份真实有效、特别是电子支付时，保证交易时各方身份真实有效、特别是电子支付时，保证交易时各方身份真实有效、特别是电子支付时， 更应该确定信用卡账户等是否真实有效更应该确定信用卡账户等是否真实有效更应该确定信用卡账户等是否真实有效更应该确定信用卡账户等是否真实有效l l不可抵赖性（不可抵赖性（不可抵赖性（不可抵赖性（UndeniableUnd

19、eniable） 保证交易后信息的收发方都有足够的证据来证明对保证交易后信息的收发方都有足够的证据来证明对保证交易后信息的收发方都有足够的证据来证明对保证交易后信息的收发方都有足够的证据来证明对该信息的操作确实发生了，该信息的操作确实发生了，该信息的操作确实发生了，该信息的操作确实发生了， 并能确定收发方的真实并能确定收发方的真实并能确定收发方的真实并能确定收发方的真实身份，身份，身份，身份， 以保证交易发生纠纷时，以保证交易发生纠纷时，以保证交易发生纠纷时，以保证交易发生纠纷时， 有所对证有所对证有所对证有所对证网络安全问题的复杂程度网络安全问题的复杂程度复杂程度复杂程度Internet E

20、mailInternet EmailWeb Web 浏览浏览浏览浏览Intranet Intranet 站点站点站点站点电子商务电子商务电子商务电子商务 电子政务电子政务电子政务电子政务电子交易电子交易电子交易电子交易4.2 电子商务的安全需求电子商务的安全需求4.2.1电子商务存在的安全隐患电子商务存在的安全隐患4.2.2电子商务安全隐患带来的后果电子商务安全隐患带来的后果4.2.3电子商务安全隐患的来源电子商务安全隐患的来源4.2.1 4.2.1 电子商务存在的安全隐患电子商务存在的安全隐患1.1.对客户机的安全隐患对客户机的安全隐患2.2.对通信通道的安全隐患对通信通道的安全隐患3.3.

21、对服务器的安全隐患对服务器的安全隐患4.4.电子商务交易的安全隐患电子商务交易的安全隐患（1 1）购买者方面）购买者方面（2 2）销售者方面）销售者方面购买者存在的安全隐患购买者存在的安全隐患l l虚假订单虚假订单l l付款后不能收到商品付款后不能收到商品l l机密性丧失机密性丧失l l网络攻击网络攻击 如拒绝服务如拒绝服务(Ddos)销售者存在的安全隐患销售者存在的安全隐患l l中央系统安全性被破坏中央系统安全性被破坏l l竞争者检索商品递送状况竞争者检索商品递送状况l l客户资料被竞争者获悉客户资料被竞争者获悉l l被他人假冒而损害公司的信誉被他人假冒而损害公司的信誉l l消费者提交订单后

22、不付款消费者提交订单后不付款l l虚假订单虚假订单4.2.2 安全隐患带来的后果安全隐患带来的后果遭受攻击的后果：遭受攻击的后果：l l数据被破坏、篡改；数据被破坏、篡改；l l数据丢失；数据丢失；l l经济损失；经济损失；l l公司信用、声誉损失；公司信用、声誉损失；4.2.3 电子商务安全隐患的来源电子商务安全隐患的来源1.物理安全问题物理安全问题2.方案设计缺陷方案设计缺陷3.系统安全漏洞系统安全漏洞4.TCP/IP协议的安全问题协议的安全问题5.人为的因素人为的因素6.网络使得计算机知识门槛降低，并且攻网络使得计算机知识门槛降低，并且攻击工具的获取非常容易击工具的获取非常容易物理安全问

23、题物理安全问题l l物理设备安全物理设备安全l l物理设备位置安全物理设备位置安全l l限制物理访问限制物理访问l l物理环境安全物理环境安全方案设计缺陷方案设计缺陷l l网络结构复杂网络结构复杂l l工期短工期短l l特定环境需要特定的方案特定环境需要特定的方案l l对设计者水平要求对设计者水平要求系统安全漏洞系统安全漏洞l l操作系统类安全漏洞操作系统类安全漏洞l l网络系统类安全漏洞网络系统类安全漏洞l l应用系统类安全漏洞应用系统类安全漏洞TCP/IP协议安全问题协议安全问题l l因特网最初的设计考虑是该网不会因局部故因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考

24、虑安全问障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。方便性等方面存在着不适应性。l l作为因持网灵魂协议的作为因持网灵魂协议的TCPIP协议，更存协议，更存在着很大的安全隐患，缺乏强健的安全机制，在着很大的安全隐患，缺乏强健的安全机制，这也是网络不安全的重要因素之一。这也是网络不安全的重要因素之一。人为的因素人为的因素l人为的无意失误人为的无意失误l人为的恶意攻击人为的恶意攻击l管理上的因素管理上的因素 网上交易管理风险网上交易管理风险网上交易管理风险网上交易管理风险 交易流程管理风险交易流程管理

25、风险交易流程管理风险交易流程管理风险 人员管理风险人员管理风险人员管理风险人员管理风险 交易技术管理风险交易技术管理风险交易技术管理风险交易技术管理风险4.3 电子商务安全体系与安全交易电子商务安全体系与安全交易标准标准 4.3.1信息认证信息认证加密解密加密解密4.3.2网络中的身份认证网络中的身份认证数字签名与数字证书数字签名与数字证书4.3.3安全应用协议安全应用协议SSL与与SET100%安全的神话安全的神话开开开开 销销销销风风风风 险险险险性性性性 能能能能完整的电子商务安全体系完整的电子商务安全体系概括起来，概括起来，电子商务的信息安全体系可电子商务的信息安全体系可以分为以下几层

26、次：以分为以下几层次：l l基本加密算法、基本加密算法、l l安全认证手段安全认证手段l l安全应用协议，安全应用协议，图图图图 电子商务安全体系结构电子商务安全体系结构电子商务安全体系结构电子商务安全体系结构网络环境中的攻击网络环境中的攻击(认证的需求认证的需求)1.泄漏泄漏泄漏泄漏 2.2.通信量分析通信量分析通信量分析通信量分析 3.3.伪装伪装伪装伪装( (假报文假报文假报文假报文) ) 4.4.内容篡改内容篡改内容篡改内容篡改( (插入插入插入插入, ,删除删除删除删除, ,调换和修改调换和修改调换和修改调换和修改) ) 5.5.序号篡改序号篡改序号篡改序号篡改( (报文序号的修改报

27、文序号的修改报文序号的修改报文序号的修改) ) 6.6.计时篡改计时篡改计时篡改计时篡改( (报文延迟或回放报文延迟或回放报文延迟或回放报文延迟或回放) ) 7.7.抵赖抵赖抵赖抵赖( (否认收或发某报文否认收或发某报文否认收或发某报文否认收或发某报文) ) 8.8.冒充冒充冒充冒充1,2加密加密,36报文认证报文认证,7数字签名数字签名(36)8数字证书数字证书4.3.1 信息认证信息认证1.什么是信息认证？什么是信息认证？2.信息认证的要求信息认证的要求保证信息内容的保密性保证信息内容的保密性保证信息内容的保密性保证信息内容的保密性保证数据的完整性保证数据的完整性保证数据的完整性保证数据的

28、完整性对数据和信息的来源进行验证，以确保发信人的对数据和信息的来源进行验证，以确保发信人的对数据和信息的来源进行验证，以确保发信人的对数据和信息的来源进行验证，以确保发信人的身份身份身份身份3.信息认证的实现方式信息认证的实现方式采用秘密密钥加密系统采用秘密密钥加密系统采用秘密密钥加密系统采用秘密密钥加密系统(Secret Key Encryption)(Secret Key Encryption)公开密钥加密系统公开密钥加密系统公开密钥加密系统公开密钥加密系统(Public Key Encryption)(Public Key Encryption)两者相结合的方式两者相结合的方式两者相结合

29、的方式两者相结合的方式密码学基础知识密码学基础知识l l明文（明文（明文（明文（PlaintextPlaintext）：）：）：）： 明文的全称为明文空间，明文的全称为明文空间，明文的全称为明文空间，明文的全称为明文空间， 是信息没有加密前的是信息没有加密前的是信息没有加密前的是信息没有加密前的形式，形式，形式，形式， 即信息的原始行式，即信息的原始行式，即信息的原始行式，即信息的原始行式， 记为记为记为记为P P； 也有的明文用也有的明文用也有的明文用也有的明文用MessageMessage表示，表示，表示，表示， 记为记为记为记为MM。明文是信源编码符号，。明文是信源编码符号，。明文是信源

30、编码符号，。明文是信源编码符号， 可能是文本文件、可能是文本文件、可能是文本文件、可能是文本文件、 位图、位图、位图、位图、 数字化存数字化存数字化存数字化存储的语音流或数字化的视频图像比特流。可以简单的认为明文是有意储的语音流或数字化的视频图像比特流。可以简单的认为明文是有意储的语音流或数字化的视频图像比特流。可以简单的认为明文是有意储的语音流或数字化的视频图像比特流。可以简单的认为明文是有意义字符流或比特流。义字符流或比特流。义字符流或比特流。义字符流或比特流。l l密文（密文（密文（密文（CiphertextCiphertext）：）：）：）： 明文经过加密后的信息形式，明文经过加密后的

31、信息形式，明文经过加密后的信息形式，明文经过加密后的信息形式， 即经过伪装后即经过伪装后即经过伪装后即经过伪装后的明文，的明文，的明文，的明文， 有时也用有时也用有时也用有时也用CipherCipher（密码）表示，（密码）表示，（密码）表示，（密码）表示， 记为记为记为记为C C， 它也可以被认为它也可以被认为它也可以被认为它也可以被认为是字符流或比特流，是字符流或比特流，是字符流或比特流，是字符流或比特流， 全体可能出现的密文的集合称为密文空间。全体可能出现的密文的集合称为密文空间。全体可能出现的密文的集合称为密文空间。全体可能出现的密文的集合称为密文空间。l l加密（加密（加密（加密（E

32、ncipheringEnciphering）：）：）：）： 明文采用某种加密算法变成密文的过程，明文采用某种加密算法变成密文的过程，明文采用某种加密算法变成密文的过程，明文采用某种加密算法变成密文的过程， 即对明文实施的变换过程，即对明文实施的变换过程，即对明文实施的变换过程，即对明文实施的变换过程， 称为加密变换，称为加密变换，称为加密变换，称为加密变换， 简称加密，简称加密，简称加密，简称加密， 记为记为记为记为E E， 或或或或E E（k k）。）。）。）。l l解密（解密（解密（解密（DecipheringDeciphering）：）：）：）： 密文采用某种解密算法变成明文的过程，密文

33、采用某种解密算法变成明文的过程，密文采用某种解密算法变成明文的过程，密文采用某种解密算法变成明文的过程， 即对密文实施的变换过程，即对密文实施的变换过程，即对密文实施的变换过程，即对密文实施的变换过程， 称为解密变换，称为解密变换，称为解密变换，称为解密变换， 简称解密，简称解密，简称解密，简称解密， 记为记为记为记为D D， 或或或或D D（k k）或）或）或）或E-1E-1（k k）。）。）。）。l l密钥（密钥（密钥（密钥（KeyKey）：）：）：）： 为了有效地控制加密和解密算法的实现，为了有效地控制加密和解密算法的实现，为了有效地控制加密和解密算法的实现，为了有效地控制加密和解密算法

34、的实现， 在其处理在其处理在其处理在其处理过程中要有通信双方掌握的专门信息参与，过程中要有通信双方掌握的专门信息参与，过程中要有通信双方掌握的专门信息参与，过程中要有通信双方掌握的专门信息参与， 这种专门信息称为密钥，这种专门信息称为密钥，这种专门信息称为密钥，这种专门信息称为密钥， 记为记为记为记为K K。密钥的全体称为密钥空间。密码设计中，。密钥的全体称为密钥空间。密码设计中，。密钥的全体称为密钥空间。密码设计中，。密钥的全体称为密钥空间。密码设计中， 各密钥符号一般是各密钥符号一般是各密钥符号一般是各密钥符号一般是独立、独立、独立、独立、 等概出现的，等概出现的，等概出现的，等概出现的，

35、 也就是说，也就是说，也就是说，也就是说， 密钥一般是随机序列。密钥一般是随机序列。密钥一般是随机序列。密钥一般是随机序列。“ “一切秘密一切秘密一切秘密一切秘密于密钥之中。于密钥之中。于密钥之中。于密钥之中。”加密和解密过程加密和解密过程明明明明文文文文密密密密文文文文明明明明文文文文密密密密文文文文加密算法加密算法加密算法加密算法加加加加 密密密密解密算法解密算法解密算法解密算法解解解解 密密密密网络发送网络发送网络发送网络发送发送者发送者网络网络接收者接收者加密密钥加密密钥解密密钥解密密钥对称密钥密码体制与对称密钥密码体制与DES算法算法1.对称密钥密码体制对称密钥密码体制2.DES (

36、Data Encryption Standard)3.DES的加密与解密过程的加密与解密过程4.DES 的优势和劣势的优势和劣势 对称密钥密码体制对称密钥密码体制l l加密和解密密钥相同加密和解密密钥相同 DES加密过程图加密过程图输输输输入入入入X XX0X0L0L0输输输输出出出出Y YR0R0L16L16R16R16初始初始初始初始置换置换置换置换1616次次次次迭代迭代迭代迭代运算运算运算运算逆初始逆初始逆初始逆初始置换置换置换置换公开密钥密码体制与公开密钥密码体制与RSA算法算法l l公开密钥密码体制公开密钥密码体制在在“公公开开密密钥钥密密码码体体制制”中中，加加密密密密钥钥不不同

37、同于于解解密密密密钥钥，加加密密密密钥钥公公之之于于众众，谁谁都都可可以以用用；而而解解密密密密钥钥只只有有解解密密人人自自己己知知道道。它它们们分分别别称称为为“公公钥钥”（publickey）和和“私私钥钥”（private一一key）。）。解密解密解密解密私有私有私有私有密钥密钥密钥密钥公有公有公有公有密钥密钥密钥密钥加密加密加密加密明文明文明文明文MM明文明文明文明文MM密文密文密文密文E E解密解密解密解密公有公有密钥密钥私有私有密钥密钥加密加密加密加密明文明文明文明文MM明文明文明文明文MM密文密文密文密文E E4.3.2 身份认证身份认证1. 什么是身份认证？什么是身份认证？2.

38、身份认证的功能身份认证的功能 可信性可信性可信性可信性 完整性完整性完整性完整性 不可抵赖性不可抵赖性不可抵赖性不可抵赖性 访问控制访问控制访问控制访问控制3.传统身份认证的方式传统身份认证的方式 所知、所有、个人特征或者混合所知、所有、个人特征或者混合所知、所有、个人特征或者混合所知、所有、个人特征或者混合1.数字摘要数字摘要l l利用哈希函数对文件信息进行变换得到利用哈希函数对文件信息进行变换得到的固定长度摘要码的固定长度摘要码2 2 数字签名数字签名( (公开密钥加密技术公开密钥加密技术的另一类应用）的另一类应用）l l书信或文件是根据亲笔签名或印章来证明其书信或文件是根据亲笔签名或印章

39、来证明其真实性的。但在计算机网络中传送的文件又真实性的。但在计算机网络中传送的文件又如何盖章呢？这就是数字签名所要解决的问如何盖章呢？这就是数字签名所要解决的问题。题。l l数字签名必须保证做到以下数字签名必须保证做到以下3点：点：（1）接收者能够核实发送者对报文的签名；）接收者能够核实发送者对报文的签名；（2）发送者事后不能抵赖对报文的签名；）发送者事后不能抵赖对报文的签名；（3）接收者不能伪造对报文的签名。）接收者不能伪造对报文的签名。数字签名的主要方式数字签名的主要方式l l报文的发送方从报文文本中生成一个报文的发送方从报文文本中生成一个报文的发送方从报文文本中生成一个报文的发送方从报文

40、文本中生成一个128128位的散列值位的散列值位的散列值位的散列值（或报文摘要）。发送方用自己的专用密钥对这个（或报文摘要）。发送方用自己的专用密钥对这个（或报文摘要）。发送方用自己的专用密钥对这个（或报文摘要）。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后，散列值进行加密来形成发送方的数字签名。然后，散列值进行加密来形成发送方的数字签名。然后，散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给这个数字签名将作为报文的附件和报文一起发送给这个数字签名将作为报文的附件和报文一起发送给这个数字签名将作为报文的附件和报文一起发送给报文的

41、接收方。报文的接收方首先从接收到的原始报文的接收方。报文的接收方首先从接收到的原始报文的接收方。报文的接收方首先从接收到的原始报文的接收方。报文的接收方首先从接收到的原始报文中计算出报文中计算出报文中计算出报文中计算出128128位的散列值（或报文摘要），接着位的散列值（或报文摘要），接着位的散列值（或报文摘要），接着位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进再用发送方的公开密钥来对报文附加的数字签名进再用发送方的公开密钥来对报文附加的数字签名进再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确行解密。如果两个散列值相同，那

42、么接收方就能确行解密。如果两个散列值相同，那么接收方就能确行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现认该数字签名是发送方的。通过数字签名能够实现认该数字签名是发送方的。通过数字签名能够实现认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。对原始报文的鉴别和不可抵赖性。对原始报文的鉴别和不可抵赖性。对原始报文的鉴别和不可抵赖性。1) 简单数字签名简单数字签名在这种数字签名方式中，发送者在这种数字签名方式中，发送者在这种数字签名方式中，发送者在这种数字签名方式中，发送者A A可使用可使用可使用可使用私用密钥私用密钥私用密钥私用密

43、钥KdaKda对明文对明文对明文对明文P P进行加密，形成进行加密，形成进行加密，形成进行加密，形成DKda(P)DKda(P)后传送给接收者后传送给接收者后传送给接收者后传送给接收者B B。B B可利用可利用可利用可利用A A的公开的公开的公开的公开密钥密钥密钥密钥KeaKea对对对对DKda(P)DKda(P)进行解密，得到进行解密，得到进行解密，得到进行解密，得到EKea(DKda(P)=PEKea(DKda(P)=P，如图，如图，如图，如图(a)(a)所示。所示。所示。所示。 数字签名示意图2) 2) 保密数字签名保密数字签名 为了实现在发送者为了实现在发送者A A和接收者和接收者B

44、B之间的保密之间的保密数字签名，数字签名， 要求要求A A和和B B都具有密钥，再按照图都具有密钥，再按照图 9-4(b)9-4(b)所示的方法进行加密和解密。所示的方法进行加密和解密。 ( (1 1) ) 发发送送者者A A可可用用自自己己的的私私用用密密钥钥K Kd da a对对明明文文 P P加加 密密 ， 得得 到到 密密 文文D DK K d d a a ( ( P P ) )。 ( (2 2) ) A A再再用用B B的的公公开开密密钥钥K Ke eb b对对D DK Kd da a( (P P) )进进行行加加 密密 ， 得得 到到E EK Ke eb b( (D DK Kd d

45、a a( (P P) ) )后后 送送B B。 ( (3 3) ) B B收收到到后后，先先用用私私用用密密钥钥K Kd db b进进行行解解密密，即即D DK Kd db b( (E EK Ke eb b( (D DK Kd da a( (P P) ) ) )= =D DK Kd da a( (P P) )。 ( (4 4) ) B B再再用用A A的的公公开开密密钥钥K Ke ea a对对D DK Kd da a( (P P) )进进行行解解 密密 ， 得得 到到E E K K e e a a ( ( D D K K d d a a ( ( P P ) ) ) ) = = P P。3 3

46、数字证书数字证书(Certificate)(Certificate)l l数字证书能够确认公开密钥的确属于某人。数字证书能够确认公开密钥的确属于某人。数字证书依赖于著名的、被信任的第三方。数字证书依赖于著名的、被信任的第三方。证书包含公开密钥、公开密钥持有者的信证书包含公开密钥、公开密钥持有者的信息以及确认证书内容本身的数字签名。对息以及确认证书内容本身的数字签名。对证书发放负责的第三方，称为证书授权机证书发放负责的第三方，称为证书授权机构或证书管理中心（构或证书管理中心（CentificateAuthority-CA）必须是知名的而且是可）必须是知名的而且是可以信赖的机构。以信赖的机构。电子

47、支付大战开战在即电子支付大战开战在即 淘宝推首淘宝推首张数字证书张数字证书2019/03/15淘宝网的国内第三方支付平台支付宝昨天宣布淘宝网的国内第三方支付平台支付宝昨天宣布淘宝网的国内第三方支付平台支付宝昨天宣布淘宝网的国内第三方支付平台支付宝昨天宣布推出其国内支付领域的首张数字证书，并向其所推出其国内支付领域的首张数字证书，并向其所推出其国内支付领域的首张数字证书，并向其所推出其国内支付领域的首张数字证书，并向其所有的认证用户免费发放，用电子方式证实用户身有的认证用户免费发放，用电子方式证实用户身有的认证用户免费发放，用电子方式证实用户身有的认证用户免费发放，用电子方式证实用户身份。该数字

48、证书从技术上摆脱了普通六位密码验份。该数字证书从技术上摆脱了普通六位密码验份。该数字证书从技术上摆脱了普通六位密码验份。该数字证书从技术上摆脱了普通六位密码验证，改以证，改以证，改以证，改以10241024位加密的数字签名技术，从认证形位加密的数字签名技术，从认证形位加密的数字签名技术，从认证形位加密的数字签名技术，从认证形式来说大大提高了其安全性。支付宝希望能够借式来说大大提高了其安全性。支付宝希望能够借式来说大大提高了其安全性。支付宝希望能够借式来说大大提高了其安全性。支付宝希望能够借此解决网络钓鱼和木马病毒等所困扰而造成的网此解决网络钓鱼和木马病毒等所困扰而造成的网此解决网络钓鱼和木马病

49、毒等所困扰而造成的网此解决网络钓鱼和木马病毒等所困扰而造成的网上购物安全问题。上购物安全问题。上购物安全问题。上购物安全问题。而腾讯公司也宣布旗下而腾讯公司也宣布旗下而腾讯公司也宣布旗下而腾讯公司也宣布旗下C2CC2C电子商务网站拍拍电子商务网站拍拍电子商务网站拍拍电子商务网站拍拍网将正式运营，腾讯表示希望拍拍网能够借助腾网将正式运营，腾讯表示希望拍拍网能够借助腾网将正式运营，腾讯表示希望拍拍网能够借助腾网将正式运营，腾讯表示希望拍拍网能够借助腾讯庞大的社区优势着力打造讯庞大的社区优势着力打造讯庞大的社区优势着力打造讯庞大的社区优势着力打造“ “在线商圈在线商圈在线商圈在线商圈” ”的概念，的

50、概念，的概念，的概念，并宣布其拍拍网所拥有的在线支付平台并宣布其拍拍网所拥有的在线支付平台并宣布其拍拍网所拥有的在线支付平台并宣布其拍拍网所拥有的在线支付平台“ “财付通财付通财付通财付通” ”将和工行展开更深度合作，共同推进中国电子将和工行展开更深度合作，共同推进中国电子将和工行展开更深度合作，共同推进中国电子将和工行展开更深度合作，共同推进中国电子商务的发展。商务的发展。商务的发展。商务的发展。 Internet银行银行支付网关支付网关（Payment Gateway）消费者消费者CA中心中心（Certificate Authority）物流企业物流企业生产企业生产企业网上商店网上商店政府

51、政府（个人证书）（个人证书）（服务器证书）（服务器证书）（服务器证书）（服务器证书）CACA中心中心1.什什么么是是CA（Certified Authentication）认认证证机机构（中心）？构（中心）？2.认证中心的基本原理认证中心的基本原理 顾顾顾顾客客客客向向向向CACA申申申申请请请请证证证证书书书书，证证证证书书书书包包包包含含含含了了了了顾顾顾顾客客客客的的的的名名名名字字字字和和和和他他他他的公钥，以此作为网上证明自己身份的依据的公钥，以此作为网上证明自己身份的依据的公钥，以此作为网上证明自己身份的依据的公钥，以此作为网上证明自己身份的依据 做做做做交交交交易易易易时时时时，

52、应应应应向向向向对对对对方方方方提提提提交交交交一一一一个个个个由由由由CACA中中中中心心心心签签签签发发发发的的的的包包包包含含含含个人身份的证书，以使对方相信自己的身份个人身份的证书，以使对方相信自己的身份个人身份的证书，以使对方相信自己的身份个人身份的证书，以使对方相信自己的身份 CACA中中中中心心心心负负负负责责责责证证证证书书书书的的的的发发发发放放放放、验验验验收收收收，并并并并作作作作为为为为中中中中介介介介承承承承担担担担信用连带责任信用连带责任信用连带责任信用连带责任CA申请的过程 (1) (1) (1) (1) 用户用户用户用户A A A A在使用数字证明书之前，应先向

53、认在使用数字证明书之前，应先向认在使用数字证明书之前，应先向认在使用数字证明书之前，应先向认证机构证机构证机构证机构CACACACA申请数字证明书，此时申请数字证明书，此时申请数字证明书，此时申请数字证明书，此时A A A A应提供身份证应提供身份证应提供身份证应提供身份证明和希望使用的公开密钥明和希望使用的公开密钥明和希望使用的公开密钥明和希望使用的公开密钥A A A A。 (2) CA (2) CA (2) CA (2) CA在收到用户在收到用户在收到用户在收到用户A A A A发来的申请报告后，若决定发来的申请报告后，若决定发来的申请报告后，若决定发来的申请报告后，若决定接受其申请，接受

54、其申请，接受其申请，接受其申请， 便发给便发给便发给便发给A A A A一份数字证明书，在证一份数字证明书，在证一份数字证明书，在证一份数字证明书，在证明书中包括公开密钥明书中包括公开密钥明书中包括公开密钥明书中包括公开密钥A A A A和和和和CACACACA发证者的签名等信息，发证者的签名等信息，发证者的签名等信息，发证者的签名等信息，并对所有这些信息利用并对所有这些信息利用并对所有这些信息利用并对所有这些信息利用CACACACA的私用密钥进行加密的私用密钥进行加密的私用密钥进行加密的私用密钥进行加密( ( ( (即即即即CACACACA进行数字签名进行数字签名进行数字签名进行数字签名)

55、) ) )。 (3) (3) (3) (3) 用户用户用户用户A A A A在向用户在向用户在向用户在向用户B B B B发送报文信息时，由发送报文信息时，由发送报文信息时，由发送报文信息时，由A A A A用私用私用私用私用密钥对报文加密用密钥对报文加密用密钥对报文加密用密钥对报文加密( ( ( (数字签名数字签名数字签名数字签名) ) ) )，并连同已加密，并连同已加密，并连同已加密，并连同已加密的数字证明书一起发送给的数字证明书一起发送给的数字证明书一起发送给的数字证明书一起发送给B B B B。 (4) (4) (4) (4) 为了能对所收到的数字证明书进行解密，用为了能对所收到的数字

56、证明书进行解密，用为了能对所收到的数字证明书进行解密，用为了能对所收到的数字证明书进行解密，用户户户户B B B B须向须向须向须向CACACACA机构申请获得机构申请获得机构申请获得机构申请获得CACACACA的公开密钥的公开密钥的公开密钥的公开密钥B B B B。CACACACA收到用收到用收到用收到用户户户户B B B B的申请后，可决定将公开密钥的申请后，可决定将公开密钥的申请后，可决定将公开密钥的申请后，可决定将公开密钥B B B B发送给用户发送给用户发送给用户发送给用户B B B B。 (5) (5) (5) (5) 用户用户用户用户B B B B利用利用利用利用CACACACA

57、的公开密钥的公开密钥的公开密钥的公开密钥B B B B对数字证明书加以对数字证明书加以对数字证明书加以对数字证明书加以解密，以确认该数字证明书确系原件，并从数字证解密，以确认该数字证明书确系原件，并从数字证解密，以确认该数字证明书确系原件，并从数字证解密，以确认该数字证明书确系原件，并从数字证明书中获得公开密钥明书中获得公开密钥明书中获得公开密钥明书中获得公开密钥A A A A，并且也确认该公开密钥，并且也确认该公开密钥，并且也确认该公开密钥，并且也确认该公开密钥A A A A确确确确系用户系用户系用户系用户A A A A的。的。的。的。 (6) (6) (6) (6) 用户用户用户用户B B

58、 B B再利用公开密钥再利用公开密钥再利用公开密钥再利用公开密钥A A A A对用户对用户对用户对用户A A A A发来的加密报发来的加密报发来的加密报发来的加密报文进行解密，得到用户文进行解密，得到用户文进行解密，得到用户文进行解密，得到用户A A A A发来的报文的真实明文。发来的报文的真实明文。发来的报文的真实明文。发来的报文的真实明文。 中国部分电子商务认证中心中国部分电子商务认证中心1.1.上海电子商务（协卡）认证中心上海电子商务（协卡）认证中心上海电子商务（协卡）认证中心上海电子商务（协卡）认证中心2.2.广东电子商务认证中心广东电子商务认证中心广东电子商务认证中心广东电子商务认证

59、中心3.3.北京数字证书认证中心北京数字证书认证中心北京数字证书认证中心北京数字证书认证中心4.4.湖北省湖北省湖北省湖北省CACA认证中心认证中心认证中心认证中心5.5.武汉数字证书认证中心武汉数字证书认证中心武汉数字证书认证中心武汉数字证书认证中心6.6.中国金融认证中心中国金融认证中心中国金融认证中心中国金融认证中心7.7.华北华北华北华北CACA认证中心认证中心认证中心认证中心8.8.陕西数字证书认证中心陕西数字证书认证中心陕西数字证书认证中心陕西数字证书认证中心信息保障在中国信息保障在中国l l中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共

60、和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例(1994(1994(1994(1994年年年年2 2 2 2月月月月18181818日中华人民共和国国务院令日中华人民共和国国务院令日中华人民共和国国务院令日中华人民共和国国务院令147147147147号发布号发布号发布号发布) ) ) )l l计算机信息系统安全专用产品检测和销售许可证管理办法计算机信息系统安全专用产品检测和销售许可证管理办法计算机信息系统安全专用产品检测和销售许可证管理办法计算机信息系统安全专用产品检测和销售许可证管理办法 (2019 (2019 (2019 (2019年年年年12121212月月月月

61、12121212日中华人民共和国公安部令第日中华人民共和国公安部令第日中华人民共和国公安部令第日中华人民共和国公安部令第32323232号发布号发布号发布号发布) ) ) )l l计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法（2019201920192019年年年年12121212月月月月11111111日国务院批准日国务院批准日国务院批准日国务院批准2019201920192019年年年年12121212月月月月30303030日公安部发布）日公安部发布）日公安部发布）日公安部发布）l

62、 l 中华人民共和国计算机信息网络国际联网管理暂行办法中华人民共和国计算机信息网络国际联网管理暂行办法中华人民共和国计算机信息网络国际联网管理暂行办法中华人民共和国计算机信息网络国际联网管理暂行办法 (2019 (2019 (2019 (2019年年年年2 2 2 2月月月月1 1 1 1日中华人民共和国国务院令第日中华人民共和国国务院令第日中华人民共和国国务院令第日中华人民共和国国务院令第195195195195号发布号发布号发布号发布) ) ) )l l 中华人民共和国电子签名法（中华人民共和国电子签名法（中华人民共和国电子签名法（中华人民共和国电子签名法（2019.8.282019.8.

63、28人大通过）人大通过）人大通过）人大通过）4.3.3 电子商务安全交易标准电子商务安全交易标准l安全套接层协议（安全套接层协议（SSL）l安全电子交易协议（安全电子交易协议（SET）l安全交易技术协议（安全交易技术协议（STT）l安全超文本传输协议（安全超文本传输协议（S-HTTP）概述概述l l电子商务发展的核心和关键问题是交易电子商务发展的核心和关键问题是交易的安全性。由于的安全性。由于Internet本身的开放性，本身的开放性，使网上交易面临种种危险，使网上交易面临种种危险，也由此提出也由此提出了相应的安全交易标准。了相应的安全交易标准。安全套接层（安全套接层（Secure Socke

64、ts Layer， SSL）协议）协议l lSSL提供加密、提供加密、认证服务和报文完整性。认证服务和报文完整性。l l这是由这是由Netscape公司提出的安全交易协议，公司提出的安全交易协议，用于用于NetscapeCommunicator和和MicrosoftIE浏览器，浏览器，以及以及IBM，OpenMarker等公司等公司提供的支持提供的支持SSL的客户机和服务器，的客户机和服务器，还有诸还有诸如如ApacheSSL等产品，等产品，用以完成需要的安用以完成需要的安全交易操作。全交易操作。SSL是一种利用公开密钥技术是一种利用公开密钥技术的工业标准，的工业标准，已广泛用于已广泛用于In

65、ternet。 SSL SSL概述概述 InternetInternetInternetInternet上的安全套接层上的安全套接层上的安全套接层上的安全套接层SSLSSLSSLSSL协议其主要目的协议其主要目的协议其主要目的协议其主要目的就是要解决就是要解决就是要解决就是要解决WebWebWebWeb上信息传输的安全顾虑。上信息传输的安全顾虑。上信息传输的安全顾虑。上信息传输的安全顾虑。 SSL SSL SSL SSL的工作原理：当一个使用者在的工作原理：当一个使用者在的工作原理：当一个使用者在的工作原理：当一个使用者在WebWebWebWeb上用上用上用上用NetscapeNetscape

66、NetscapeNetscape浏览器漫游时，浏览器利用浏览器漫游时，浏览器利用浏览器漫游时，浏览器利用浏览器漫游时，浏览器利用HTTPHTTPHTTPHTTP协议与协议与协议与协议与WebWebWebWeb服务器沟通。服务器沟通。服务器沟通。服务器沟通。 通过通过通过通过SSLSSLSSLSSL，资料在传送出去之前就自动被加密，资料在传送出去之前就自动被加密，资料在传送出去之前就自动被加密，资料在传送出去之前就自动被加密了，它会在接收端被解密。了，它会在接收端被解密。了，它会在接收端被解密。了，它会在接收端被解密。SSLSSL协议提供的服务可以归纳为如下三个协议提供的服务可以归纳为如下三个方

67、面：方面：1 1用户和服务器的合法性认证用户和服务器的合法性认证2加密数据以隐藏被传送的数据加密数据以隐藏被传送的数据3维护数据的完整性维护数据的完整性安全电子交易（安全电子交易（Secure Electronic Transaction， SET）协议）协议l lMasterCard，Visa国际和微软联手推出的国际和微软联手推出的Internet上的安全信用卡交易服务。发布了相应上的安全信用卡交易服务。发布了相应的安全电子交易的安全电子交易(SET)协议，其中规定了信用卡协议，其中规定了信用卡持卡人用其信用卡通过持卡人用其信用卡通过Internet进行付费的方法。进行付费的方法。l lSE

68、T为电子贸易提供了以下功能：为电子贸易提供了以下功能：1付款数据私有化和订货信息与付款信息传送付款数据私有化和订货信息与付款信息传送的保密化。的保密化。2验证持卡人的信用卡账目，验证持卡人的信用卡账目，这是由数字签名这是由数字签名和持卡人证书完成的。验证工作与收款机构共同和持卡人证书完成的。验证工作与收款机构共同进行，进行，厂商验证工作由数字签名和厂商证书完成。厂商验证工作由数字签名和厂商证书完成。3保留付款信息集成，保留付款信息集成，由数字签名完成。由数字签名完成。4特别用途：证书。特别用途：证书。安全交易技术（安全交易技术（Secure Transaction Technology， ST

69、T）协议）协议l lSTT由由Visa国际和微软公司提出，国际和微软公司提出，并在并在IE中采用了这一技术。该技术将认证和中采用了这一技术。该技术将认证和解密在游览器中分开，解密在游览器中分开，以提高安全控制以提高安全控制能力。能力。安全超文本传输协议（安全超文本传输协议（S-HTTP）l lHTTP是是Web上使用的超文本传输协议上使用的超文本传输协议(HTTP)的安全增强版本，由企业集成技的安全增强版本，由企业集成技术公司（术公司（EnterpriseIntegrationsTechnology）设计。）设计。l lS-HTTP提供了文件级的安全机制，因提供了文件级的安全机制，因此每个文件

70、都可以被设成私人此每个文件都可以被设成私人/签字状签字状态。态。4.4常见安全技术常见安全技术4.4.1杀病毒软件：杀病毒软件： 瑞星、卡巴斯基瑞星、卡巴斯基瑞星、卡巴斯基瑞星、卡巴斯基4.4.2防火墙（防火墙（Firewall） 企业级防火墙：企业级防火墙：企业级防火墙：企业级防火墙：ISAISA 个人防火墙个人防火墙个人防火墙个人防火墙: :瑞星防火墙瑞星防火墙瑞星防火墙瑞星防火墙4.4.3入侵检测系统（入侵检测系统（IDS） 轻量级企业轻量级企业轻量级企业轻量级企业IDSIDS：SnortSnort4.4.4防恶意软件工具防恶意软件工具 奇虎，奇虎，奇虎，奇虎，360360安全卫士安全卫

71、士安全卫士安全卫士4.4.2 防火墙（防火墙（Firewall）l l防火墙是位于两个或多个网络之间，执行访问控制防火墙是位于两个或多个网络之间，执行访问控制防火墙是位于两个或多个网络之间，执行访问控制防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称策略的一个或一组系统，是一类防范措施的总称策略的一个或一组系统，是一类防范措施的总称策略的一个或一组系统，是一类防范措施的总称. .l l 一个好的防火墙应具备一个好的防火墙应具备一个好的防火墙应具备一个好的防火墙应具备: :内部和外部之间的所有网络数据流必须经过防火内部和外部之间的所有网络数据流必须经过防火内

72、部和外部之间的所有网络数据流必须经过防火内部和外部之间的所有网络数据流必须经过防火墙墙墙墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透防火墙自身应对渗透防火墙自身应对渗透防火墙自身应对渗透(penetration)(penetration)免疫免疫免疫免疫l l防火墙防火墙防火墙防火墙从狭义上讲，防火墙是指安装了防火墙软件的主机从狭义上讲，防火墙是指安装了防火墙软件的主机从狭义上讲，防火墙是指安装了防火墙软件的主机从狭义上讲，防火墙是指安装了防火墙软件的主机或路由器系统

73、；从广义上讲，防火墙还包括了整个或路由器系统；从广义上讲，防火墙还包括了整个或路由器系统；从广义上讲，防火墙还包括了整个或路由器系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为。网络的安全策略和安全行为。网络的安全策略和安全行为。网络的安全策略和安全行为。特点：特点：堡垒主机堡垒主机:BastionHost堡垒主机是一种配置了安全防范措施的网络堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。机，网络之间将不能相互访

74、问。l l双宿主机双宿主机:Dual-homedHost有两个网络接口的计算机系统有两个网络接口的计算机系统,一个接口接一个接口接内部网内部网,一个接口接外部网一个接口接外部网.代理服务防火墙如图所示。代理服务防火墙如图所示。图图代理服务器代理服务器InternetFirewallIntranetBBS服务器E-mail服务器PC机PC机数据库服务器DNS服务器Web服务器防火墙防火墙外部网对内部网的访问控制外部网对内部网的访问控制内部网对外部网的访问控制内部网对外部网的访问控制网络访问记录网络访问记录FTP服务器防火墙的优点防火墙的优点1 1防火墙对企业内部网实现了集中的安全管理，可防火墙对

75、企业内部网实现了集中的安全管理，可防火墙对企业内部网实现了集中的安全管理，可防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易以强化网络安全策略，比分散的主机管理更经济易以强化网络安全策略，比分散的主机管理更经济易以强化网络安全策略，比分散的主机管理更经济易行。行。行。行。2 2防火墙能防止非授权用户进入内部网络。防火墙能防止非授权用户进入内部网络。防火墙能防止非授权用户进入内部网络。防火墙能防止非授权用户进入内部网络。3 3防火墙可以方便地监视网络的安全性并报警。防火墙可以方便地监视网络的安全性并报警。防火墙可以方便地监视网络的安全性并报警。防火墙可以方便

76、地监视网络的安全性并报警。4 4可以作为部署网络地址转换（可以作为部署网络地址转换（可以作为部署网络地址转换（可以作为部署网络地址转换（NetworkAddressNetworkAddressTranslationTranslation）的地点，利用）的地点，利用）的地点，利用）的地点，利用NATNAT技术，可以缓解地技术，可以缓解地技术，可以缓解地技术，可以缓解地址空间的短缺，隐藏内部网的结构。址空间的短缺，隐藏内部网的结构。址空间的短缺，隐藏内部网的结构。址空间的短缺，隐藏内部网的结构。5 5利用防火墙对内部网络的划分，可以实现重点网利用防火墙对内部网络的划分，可以实现重点网利用防火墙对内

77、部网络的划分，可以实现重点网利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。段的分离，从而限制安全问题的扩散。段的分离，从而限制安全问题的扩散。段的分离，从而限制安全问题的扩散。6 6由于所有的访问都经过防火墙，防火墙是审计和由于所有的访问都经过防火墙，防火墙是审计和由于所有的访问都经过防火墙，防火墙是审计和由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。记录网络的访问和使用的最佳地方。记录网络的访问和使用的最佳地方。记录网络的访问和使用的最佳地方。防火墙的局限性防火墙的局限性(1)1 1为了提高安全性，限制或关闭了一些有用为了提高安全性，

78、限制或关闭了一些有用为了提高安全性，限制或关闭了一些有用为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使但存在安全缺陷的网络服务，给用户带来使但存在安全缺陷的网络服务，给用户带来使但存在安全缺陷的网络服务，给用户带来使用的不便。用的不便。用的不便。用的不便。2 2目前防火墙对于来自网络内部的攻击还无目前防火墙对于来自网络内部的攻击还无目前防火墙对于来自网络内部的攻击还无目前防火墙对于来自网络内部的攻击还无能为力。能为力。能为力。能为力。3 3防火墙不能防范不经过防火墙的攻击，如防火墙不能防范不经过防火墙的攻击，如防火墙不能防范不经过防火墙的攻击，如防火墙不能防范不经过

79、防火墙的攻击，如内部网用户通过内部网用户通过内部网用户通过内部网用户通过SLIPSLIP或或或或PPPPPP直接进入直接进入直接进入直接进入InternetInternet。4 4防火墙对用户不完全透明，可能带来传输防火墙对用户不完全透明，可能带来传输防火墙对用户不完全透明，可能带来传输防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。延迟、瓶颈及单点失效。延迟、瓶颈及单点失效。延迟、瓶颈及单点失效。防火墙的局限性防火墙的局限性(2)5.防火墙也不能完全防止受病毒感染的文件或防火墙也不能完全防止受病毒感染的文件或软软件的传输，由于病毒的种类繁多，如果要在防件的传输，由于病毒的种类繁多，

80、如果要在防火墙完成对所有病毒代码的检查，防火墙的效火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。率就会降到不能忍受的程度。6.防火墙不能有效地防范数据驱动式攻击。防火墙不能有效地防范数据驱动式攻击。7.作为一种被动的防护手段，防火墙不能防范作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。因特网上不断出现的新的威胁和攻击。防火墙策略防火墙策略l l 在构筑防火墙之前在构筑防火墙之前在构筑防火墙之前在构筑防火墙之前, ,需要制定一套完整有效的安需要制定一套完整有效的安需要制定一套完整有效的安需要制定一套完整有效的安全战略全战略全战略全战略l l 网络服务

81、访问策略网络服务访问策略网络服务访问策略网络服务访问策略一种高层次的具体到事件的策略，主要用于定义在一种高层次的具体到事件的策略，主要用于定义在一种高层次的具体到事件的策略，主要用于定义在一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。网络中允许或禁止的服务。网络中允许或禁止的服务。网络中允许或禁止的服务。l l 防火墙设计策略防火墙设计策略防火墙设计策略防火墙设计策略一种是一种是一种是一种是“ “一切未被允许的就是禁止的一切未被允许的就是禁止的一切未被允许的就是禁止的一切未被允许的就是禁止的” ”，一种是，一种是，一种是，一种是“ “一一一一切未被禁止的都是允许的切未被禁

82、止的都是允许的切未被禁止的都是允许的切未被禁止的都是允许的” ”。第一种的特点是安全。第一种的特点是安全。第一种的特点是安全。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。性好，但是用户所能使用的服务范围受到严格限制。性好，但是用户所能使用的服务范围受到严格限制。性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是第二种的特点是可以为用户提供更多的服务，但是第二种的特点是可以为用户提供更多的服务，但是第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠在日益增多的网络服务面前，很难为用户提供可靠在日益增

83、多的网络服务面前，很难为用户提供可靠在日益增多的网络服务面前，很难为用户提供可靠的安全防护。的安全防护。的安全防护。的安全防护。防火墙安全策略防火墙安全策略l l 用户帐号用户帐号l l用户权限用户权限l l信任关系信任关系l l包过滤包过滤l l鉴别鉴别l l签名签名l l数据加密数据加密l l密钥分配密钥分配l l审计审计4.4.3 入侵检测系统（入侵检测系统（IDS）l lIDS存在与发展的必然性存在与发展的必然性l l入侵概念入侵概念l l入侵检测入侵检测系统系统IDS（入侵检测系统）存在与发（入侵检测系统）存在与发展的必然性展的必然性一一、网络攻击的破坏性、损失的严重性网络攻击的破坏

84、性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击为什么需要为什么需要IDSl关于防火墙关于防火墙网络边界的设备网络边界的设备自身可以被攻破自身可以被攻破对某些攻击保护很弱对某些攻击保护很弱不是所有的威胁来自防火墙外部不是所有的威胁来自防火墙外部l入侵很容易入侵很容易入侵教程随处可见入侵教程随处可见各种工具唾手可得各种工具唾手可得网络安全工具的特点网络安全工具的特点优点优点优点优点局限性局限性局限性局限性防火墙防火墙防火墙防火墙可简化网络管理，产可简化网络管理，产可简化网络管理，产可简化网络管理，产品

85、成熟品成熟品成熟品成熟无法处理网络内部无法处理网络内部无法处理网络内部无法处理网络内部的攻击的攻击的攻击的攻击IDSIDSIDSIDS实时监控网络安全状实时监控网络安全状实时监控网络安全状实时监控网络安全状态态态态误报警，缓慢攻击，误报警，缓慢攻击，误报警，缓慢攻击，误报警，缓慢攻击，新的攻击模式新的攻击模式新的攻击模式新的攻击模式ScannerScannerScannerScanner简单可操作，帮助系简单可操作，帮助系简单可操作，帮助系简单可操作，帮助系统管理员和安全服务统管理员和安全服务统管理员和安全服务统管理员和安全服务人员解决实际问题人员解决实际问题人员解决实际问题人员解决实际问题并

86、不能真正扫描漏并不能真正扫描漏并不能真正扫描漏并不能真正扫描漏洞洞洞洞VPNVPNVPNVPN保护公网上的内部通保护公网上的内部通保护公网上的内部通保护公网上的内部通信信信信可视为防火墙上的可视为防火墙上的可视为防火墙上的可视为防火墙上的一个漏洞一个漏洞一个漏洞一个漏洞防病毒防病毒防病毒防病毒针对文件与邮件，产针对文件与邮件，产针对文件与邮件，产针对文件与邮件，产品成熟品成熟品成熟品成熟功能单一功能单一功能单一功能单一n n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来

87、防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全但不能完全保证系统的安全但不能完全保证系统的安全n n入侵检测（入侵检测（入侵检测（入侵检测（Intrusion DetectionIntrusion DetectionIntrusion DetectionIntrusion Detectio

88、n）是对入侵行是对入侵行是对入侵行是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络的关键点收集信息并进行分析，从中发现网络的关键点收集信息并进行分析，从中发现网络的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象的迹象的迹象Intrusion Detection入侵检测系统的

89、定义入侵检测系统的定义l l通过从计算机网络或计算机系统的关键点收集通过从计算机网络或计算机系统的关键点收集信息并信息并对系统的运行状态进行监视和分析，发对系统的运行状态进行监视和分析，发对系统的运行状态进行监视和分析，发对系统的运行状态进行监视和分析，发现各种攻击企图、攻击行为或者攻击结果，以保现各种攻击企图、攻击行为或者攻击结果，以保现各种攻击企图、攻击行为或者攻击结果，以保现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性证系统资源的机密性、完整性和可用性证系统资源的机密性、完整性和可用性证系统资源的机密性、完整性和可用性l l进行入侵检测的软件与硬件的组合便是

90、入侵检测进行入侵检测的软件与硬件的组合便是入侵检测进行入侵检测的软件与硬件的组合便是入侵检测进行入侵检测的软件与硬件的组合便是入侵检测系统系统系统系统(IDS : Intrusion Detection System)(IDS : Intrusion Detection System)(IDS : Intrusion Detection System)(IDS : Intrusion Detection System)入侵检测系统结构入侵检测系统结构IDESIDESIDESIDES原型系统原型系统原型系统原型系统4.4.4 防恶意软件工具5.0电子支付概述电子支付概述5.1电子现金电子现金5.

91、2电子支票电子支票5.3网上银行网上银行5.4电子钱包电子钱包5.5信用卡信用卡/借记卡借记卡5.6智能卡智能卡5.7手机支付手机支付第五章第五章 电子支付电子支付5.0 电子支付概述电子支付概述l l传统的支付方式及其特点传统的支付方式及其特点现金、票据、汇兑、信用卡现金、票据、汇兑、信用卡l l电子支付的概念与特点电子支付的概念与特点l l电子支付系统结构电子支付系统结构l l电子支付基本过程电子支付基本过程“过去的穷人口袋里没钱，现在富人口袋过去的穷人口袋里没钱，现在富人口袋里没钱，今后大家口袋里都没有钱里没钱，今后大家口袋里都没有钱” 传统支付方式特点传统支付方式特点 面对面的支付面对

92、面的支付 以现金或纸介质凭证为主的支付以现金或纸介质凭证为主的支付 交易双方的身份和支付能力的认证比较简交易双方的身份和支付能力的认证比较简单单1. 传统的支付方式传统的支付方式 图图5-1 现金支付交易流程现金支付交易流程图图1的流程清楚地表明了现金交易的便捷性。的流程清楚地表明了现金交易的便捷性。现金交易存在如下缺点。现金交易存在如下缺点。 受时间、地点的限制。受时间、地点的限制。 对于大宗交易需要携带大笔现金，造成不方便对于大宗交易需要携带大笔现金，造成不方便和不安全。和不安全。 目前技术手段的完备，使现金交易与需要签名目前技术手段的完备，使现金交易与需要签名的交易方式相比较易造假。的交

93、易方式相比较易造假。(一一) 现金支付现金支付 当交易双方在异地甚至异国时，或者大宗交易的当交易双方在异地甚至异国时，或者大宗交易的交易额巨大时，使用现金支付就有许多弊端。因此，交易额巨大时，使用现金支付就有许多弊端。因此，出现了票据支付方式。常用的票据支付有支票支付、出现了票据支付方式。常用的票据支付有支票支付、电子资金汇兑和邮政汇兑方式。电子资金汇兑和邮政汇兑方式。1. 支票支付支票支付 买方给卖方开据支票，卖方将支票交给卖方的开买方给卖方开据支票，卖方将支票交给卖方的开户银行，银行户银行，银行上账上账并通过支付交易所将支票给买方并通过支付交易所将支票给买方的开户银行；买方的开户银行验证支

94、票的真实性和的开户银行；买方的开户银行验证支票的真实性和完整性后，给买方完整性后，给买方下账下账并把支票退还给卖方的开户并把支票退还给卖方的开户银行。支票支付交易的流程如图银行。支票支付交易的流程如图2所示。所示。(二二) 票据支付票据支付图图图图2 2 支票支付交易流程支票支付交易流程支票支付交易流程支票支付交易流程 支票支付交易双方可以在异地，必须有买方支票支付交易双方可以在异地，必须有买方在支票上的签名，支票才生效，因此支票支付在支票上的签名，支票才生效，因此支票支付交易不是匿名的。支票交易需要通过银行进行，交易不是匿名的。支票交易需要通过银行进行，卖方需向银行交纳一定的手续费用。卖方需

95、向银行交纳一定的手续费用。特点特点l l不受交易时间、地点和对象的限制，且不受交易时间、地点和对象的限制，且具有很强的流通性，可以在更广泛的交具有很强的流通性，可以在更广泛的交易主体之间使用。易主体之间使用。l l支票的使用成本相对较低，无须专用的支票的使用成本相对较低，无须专用的机具和受理设施。机具和受理设施。l l支票支付金额无上限的限制。支票支付金额无上限的限制。l l支票支付具有一定的私密性。使用支票支票支付具有一定的私密性。使用支票进行结算，收款人无须将自己的银行账进行结算，收款人无须将自己的银行账号等告诉付款人号等告诉付款人2. 汇兑支付汇兑支付l l是汇款单位委托银行将款项汇往异

96、地收是汇款单位委托银行将款项汇往异地收款单位的一种结算方式。款单位的一种结算方式。买方向卖方支付货款的方式是：买方向卖方支付货款的方式是： 买方向买方的买方向买方的开户银行下达向卖方的开户银行传送货款的通开户银行下达向卖方的开户银行传送货款的通知，买方开户银行检查买方账户的款额，如款知，买方开户银行检查买方账户的款额，如款额等于或多于货款额，则向卖方的开户银行转额等于或多于货款额，则向卖方的开户银行转账。这样可以避免支票支付中因款额不足不能账。这样可以避免支票支付中因款额不足不能支付的情况。支付的情况。图图图图3 3 邮政汇总支付交易流程邮政汇总支付交易流程邮政汇总支付交易流程邮政汇总支付交易

97、流程 信用卡是银行或金融机构发行的，授权信用卡是银行或金融机构发行的，授权持卡人在指定的商店或场所进行记账消费持卡人在指定的商店或场所进行记账消费的信用凭证。的信用凭证。(三三)信用卡支付信用卡支付1. 信用卡的几种类型信用卡的几种类型1） 借记卡借记卡 不具备透支功能但具有其他购物结算功能的不具备透支功能但具有其他购物结算功能的不具备透支功能但具有其他购物结算功能的不具备透支功能但具有其他购物结算功能的信用卡。信用卡。信用卡。信用卡。 2） 贷记卡（一般意义的信用卡）贷记卡（一般意义的信用卡） 贷记卡是具有透支能力的信用卡。申办无须贷记卡是具有透支能力的信用卡。申办无须贷记卡是具有透支能力的

98、信用卡。申办无须贷记卡是具有透支能力的信用卡。申办无须担保无须保证金、透支消费具有免息期担保无须保证金、透支消费具有免息期担保无须保证金、透支消费具有免息期担保无须保证金、透支消费具有免息期 3） 准收费卡准收费卡（SemiCreditCardSemiCreditCard） 类似于贷记卡，是指持卡人须先按发卡银行类似于贷记卡，是指持卡人须先按发卡银行类似于贷记卡，是指持卡人须先按发卡银行类似于贷记卡，是指持卡人须先按发卡银行要求交存一定金额的备用金，当备用金帐户余额要求交存一定金额的备用金，当备用金帐户余额要求交存一定金额的备用金，当备用金帐户余额要求交存一定金额的备用金，当备用金帐户余额不足

99、支付时，可在发卡银行规定的信用额度内透不足支付时，可在发卡银行规定的信用额度内透不足支付时，可在发卡银行规定的信用额度内透不足支付时，可在发卡银行规定的信用额度内透支的信用卡支的信用卡支的信用卡支的信用卡l l在境外，信用卡在境外，信用卡=贷记卡贷记卡在境内，信用卡在境内，信用卡=贷记卡贷记卡+准贷记卡（存准贷记卡（存款有息、小额信贷、透支计息）款有息、小额信贷、透支计息）2. 信用卡支付流程信用卡支付流程图图图图4 4 信用卡支付流程信用卡支付流程信用卡支付流程信用卡支付流程 收费：在信用卡交易中，发卡人担保向卖方付款，卖方收费：在信用卡交易中，发卡人担保向卖方付款，卖方收费：在信用卡交易中

100、，发卡人担保向卖方付款，卖方收费：在信用卡交易中，发卡人担保向卖方付款，卖方则要向发卡人付手续费。有时，买方（持卡人）也要向则要向发卡人付手续费。有时，买方（持卡人）也要向则要向发卡人付手续费。有时，买方（持卡人）也要向则要向发卡人付手续费。有时，买方（持卡人）也要向发卡人交纳一定的费用。此外信用卡都有一定的有效期，发卡人交纳一定的费用。此外信用卡都有一定的有效期，发卡人交纳一定的费用。此外信用卡都有一定的有效期，发卡人交纳一定的费用。此外信用卡都有一定的有效期，过期即失效。过期即失效。过期即失效。过期即失效。（二）、传统支付方式的限制（二）、传统支付方式的限制l l货币即时结算：商品交易过程

101、同时进行金交换货币即时结算：商品交易过程同时进行金交换货币即时结算：商品交易过程同时进行金交换货币即时结算：商品交易过程同时进行金交换 受交易时间和地点的限制受交易时间和地点的限制受交易时间和地点的限制受交易时间和地点的限制l l支付结算，以银行为中介的货币收支。以手工操支付结算，以银行为中介的货币收支。以手工操支付结算，以银行为中介的货币收支。以手工操支付结算，以银行为中介的货币收支。以手工操作为主，以银行的金融专用网络为核心，通过传作为主，以银行的金融专用网络为核心，通过传作为主，以银行的金融专用网络为核心，通过传作为主，以银行的金融专用网络为核心，通过传统的信道（邮递、电报、传真等）进行

102、凭证的传统的信道（邮递、电报、传真等）进行凭证的传统的信道（邮递、电报、传真等）进行凭证的传统的信道（邮递、电报、传真等）进行凭证的传递实现货币的支付结算递实现货币的支付结算递实现货币的支付结算递实现货币的支付结算l l 支付工具有形支付结算成本高，凭证传递时支付工具有形支付结算成本高，凭证传递时支付工具有形支付结算成本高，凭证传递时支付工具有形支付结算成本高，凭证传递时间长，在途资金积压大，资金周转慢间长，在途资金积压大，资金周转慢间长，在途资金积压大，资金周转慢间长，在途资金积压大，资金周转慢l l 不可否认性不可否认性不可否认性不可否认性（一）、电子支付的概念与特点（一）、电子支付的概念

103、与特点（一）、电子支付的概念与特点（一）、电子支付的概念与特点电子支付电子支付电子支付电子支付 是指交易的各方使用电子方式，通过网是指交易的各方使用电子方式，通过网是指交易的各方使用电子方式，通过网是指交易的各方使用电子方式，通过网上安全地完成全部交易支付过程的支付方式。上安全地完成全部交易支付过程的支付方式。上安全地完成全部交易支付过程的支付方式。上安全地完成全部交易支付过程的支付方式。 电子支付的目的电子支付的目的电子支付的目的电子支付的目的 在于减少银行成本、加快处理在于减少银行成本、加快处理在于减少银行成本、加快处理在于减少银行成本、加快处理速度、方便客户等。它将改变支付处理的方式，使

104、速度、方便客户等。它将改变支付处理的方式，使速度、方便客户等。它将改变支付处理的方式，使速度、方便客户等。它将改变支付处理的方式，使得消费者可以在任何地方、任何时间通过互联网获得消费者可以在任何地方、任何时间通过互联网获得消费者可以在任何地方、任何时间通过互联网获得消费者可以在任何地方、任何时间通过互联网获得银行的支付服务，而无须再到银行传统的营业柜得银行的支付服务，而无须再到银行传统的营业柜得银行的支付服务，而无须再到银行传统的营业柜得银行的支付服务，而无须再到银行传统的营业柜台。今后的发展必将是家庭银行服务、企业银行服台。今后的发展必将是家庭银行服务、企业银行服台。今后的发展必将是家庭银行

105、服务、企业银行服台。今后的发展必将是家庭银行服务、企业银行服务逐步深入，满足客户的多种需要。务逐步深入，满足客户的多种需要。务逐步深入，满足客户的多种需要。务逐步深入，满足客户的多种需要。 2.电子支付系统电子支付系统一、电子支付的特征一、电子支付的特征与传统支付方式相比较，电子支付的特征主要体与传统支付方式相比较，电子支付的特征主要体现在如下几个方面。现在如下几个方面。1. 以信息流代替现金流以信息流代替现金流 电子支付是通过信息流的传输代替现金的交电子支付是通过信息流的传输代替现金的交换，其各种支付方式都是通过数字化方式完成款换，其各种支付方式都是通过数字化方式完成款项支付的。传统的支付方

106、式则是通过现金的流转、项支付的。传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体完成款项支票据的转让及银行的汇兑等物理实体完成款项支付的。付的。2. 基于因特网的开放平台基于因特网的开放平台 电子支付信息传递是基于一个完全开放的网电子支付信息传递是基于一个完全开放的网络平台络平台因特网实现的，而传统支付则是在一因特网实现的，而传统支付则是在一个相对封闭的系统中完成的。个相对封闭的系统中完成的。3. 方便高效的支付方式方便高效的支付方式 电子支付具有方便快捷高效的特征。客户只电子支付具有方便快捷高效的特征。客户只要在联网的计算机上轻点鼠标就可以足不出户完要在联网的计算机上轻点鼠

107、标就可以足不出户完成全部支付过程。不仅支付过程短，而且支付成成全部支付过程。不仅支付过程短，而且支付成本低，仅相当于传统支付的几十分之一，甚至几本低，仅相当于传统支付的几十分之一，甚至几百分之一。百分之一。4. 电子支付的安全电子支付的安全 电子支付对支付过程信息的安全性要求非常电子支付对支付过程信息的安全性要求非常高。传统支付则主要是通过面对面或传统媒介来高。传统支付则主要是通过面对面或传统媒介来完成的，对信息的安全性要求就比较低。完成的，对信息的安全性要求就比较低。5. 电子支付的条件限制电子支付的条件限制 除了对网络速度及安全性的要求外，还要依除了对网络速度及安全性的要求外，还要依靠电子

108、支付工具才能完成。所以电子支付对计算靠电子支付工具才能完成。所以电子支付对计算机及网络硬件、软件提出了较高的要求。机及网络硬件、软件提出了较高的要求。二、电子支付系统结构二、电子支付系统结构 图图图图5-5 5-5 电子支付系统概念结构电子支付系统概念结构电子支付系统概念结构电子支付系统概念结构电子商务支付系统所包括的具体内容电子商务支付系统所包括的具体内容l 因特网交易平台因特网交易平台因特网交易平台因特网交易平台电子支付建立在因特网平电子支付建立在因特网平电子支付建立在因特网平电子支付建立在因特网平台之上，并依靠网上支付工具（电子货币如电子台之上，并依靠网上支付工具（电子货币如电子台之上，

109、并依靠网上支付工具（电子货币如电子台之上，并依靠网上支付工具（电子货币如电子支票、信用卡、电子现金）的支持支票、信用卡、电子现金）的支持支票、信用卡、电子现金）的支持支票、信用卡、电子现金）的支持l l 电子商务交易主体电子商务交易主体电子商务交易主体电子商务交易主体电子支付系统的主体首电子支付系统的主体首电子支付系统的主体首电子支付系统的主体首先应包括买（消费者或用户）卖（商家或企业）先应包括买（消费者或用户）卖（商家或企业）先应包括买（消费者或用户）卖（商家或企业）先应包括买（消费者或用户）卖（商家或企业）双方双方双方双方l l安全协议安全协议安全协议安全协议电子支付系统应具有保证电子毅然

110、电子支付系统应具有保证电子毅然电子支付系统应具有保证电子毅然电子支付系统应具有保证电子毅然决然安全进行的可靠环境，这种环境是由电子交决然安全进行的可靠环境，这种环境是由电子交决然安全进行的可靠环境，这种环境是由电子交决然安全进行的可靠环境，这种环境是由电子交易协议或安全套接层协议等安全控制协议来提供易协议或安全套接层协议等安全控制协议来提供易协议或安全套接层协议等安全控制协议来提供易协议或安全套接层协议等安全控制协议来提供的。的。的。的。l l网络银行网络银行网络银行网络银行包括网络金融服务机构，商家银行包括网络金融服务机构，商家银行包括网络金融服务机构，商家银行包括网络金融服务机构，商家银行

111、和用户银行；和用户银行；和用户银行；和用户银行；l l 认证机构认证机构认证机构认证机构公开安全的第三方认证体系，这一公开安全的第三方认证体系，这一公开安全的第三方认证体系，这一公开安全的第三方认证体系，这一体系可以在商家与用户进行网上交易时为他们颁发体系可以在商家与用户进行网上交易时为他们颁发体系可以在商家与用户进行网上交易时为他们颁发体系可以在商家与用户进行网上交易时为他们颁发电子证书，在交易行为发生时对电子证书和数字签电子证书，在交易行为发生时对电子证书和数字签电子证书，在交易行为发生时对电子证书和数字签电子证书，在交易行为发生时对电子证书和数字签名进行验证；名进行验证；名进行验证；名进

112、行验证；l l法律和诚信体系法律和诚信体系法律和诚信体系法律和诚信体系属于网上交易与支付的环境属于网上交易与支付的环境属于网上交易与支付的环境属于网上交易与支付的环境的外层，由国家及国际相关法律法规的支撑予以实的外层，由国家及国际相关法律法规的支撑予以实的外层，由国家及国际相关法律法规的支撑予以实的外层，由国家及国际相关法律法规的支撑予以实现，另外还要依靠完善的社会诚信体系。现，另外还要依靠完善的社会诚信体系。现，另外还要依靠完善的社会诚信体系。现，另外还要依靠完善的社会诚信体系。l l法律和诚信体系法律和诚信体系法律和诚信体系法律和诚信体系属于网上交易与支付的环境属于网上交易与支付的环境属于

113、网上交易与支付的环境属于网上交易与支付的环境的外层，由国家及国际相关法律法规的支撑予以实的外层，由国家及国际相关法律法规的支撑予以实的外层，由国家及国际相关法律法规的支撑予以实的外层，由国家及国际相关法律法规的支撑予以实现，另外还要依赖完善的社会诚信体系现，另外还要依赖完善的社会诚信体系现，另外还要依赖完善的社会诚信体系现，另外还要依赖完善的社会诚信体系电子支付不但要具备以上结构，还要解决以电子支付不但要具备以上结构，还要解决以下几个电子商务关键问题下几个电子商务关键问题1. 要有可靠的安全措施要有可靠的安全措施，即除采用网上支付时，即除采用网上支付时的的128位以上的高强度加密算法之外，还应

114、相应位以上的高强度加密算法之外，还应相应地对网络系统的核心软件配备高强度的交易安全地对网络系统的核心软件配备高强度的交易安全协议，要有防止黑客攻击的有效措施，要有完善协议，要有防止黑客攻击的有效措施，要有完善的网上支付的法律保障环境。的网上支付的法律保障环境。2. 2. 要有较好的公用电子商务基础设施要有较好的公用电子商务基础设施要有较好的公用电子商务基础设施要有较好的公用电子商务基础设施，对电子支付参，对电子支付参，对电子支付参，对电子支付参与方提供良好的互联网环境，整个系统必须有用宽带连与方提供良好的互联网环境，整个系统必须有用宽带连与方提供良好的互联网环境，整个系统必须有用宽带连与方提供

115、良好的互联网环境，整个系统必须有用宽带连接的网络转换中民，网络干线与出口带宽应该较宽，网接的网络转换中民，网络干线与出口带宽应该较宽，网接的网络转换中民，网络干线与出口带宽应该较宽，网接的网络转换中民，网络干线与出口带宽应该较宽，网络结构要安全可靠，要有优秀的网络运行质量。同时，络结构要安全可靠，要有优秀的网络运行质量。同时，络结构要安全可靠，要有优秀的网络运行质量。同时，络结构要安全可靠，要有优秀的网络运行质量。同时，应使上网交易和参与支付的各方得到上网资费的实惠。应使上网交易和参与支付的各方得到上网资费的实惠。应使上网交易和参与支付的各方得到上网资费的实惠。应使上网交易和参与支付的各方得到

116、上网资费的实惠。3. 3.要能可靠、快捷地处理网上支付要能可靠、快捷地处理网上支付要能可靠、快捷地处理网上支付要能可靠、快捷地处理网上支付，在处理小额支付时，在处理小额支付时，在处理小额支付时，在处理小额支付时可使用卡、存折、邮购、电话购物等多样方法。处理大可使用卡、存折、邮购、电话购物等多样方法。处理大可使用卡、存折、邮购、电话购物等多样方法。处理大可使用卡、存折、邮购、电话购物等多样方法。处理大额支付时可使用转账及网上信用证等方法，同时通过若额支付时可使用转账及网上信用证等方法，同时通过若额支付时可使用转账及网上信用证等方法，同时通过若额支付时可使用转账及网上信用证等方法，同时通过若干提高

117、支付安全性及提高干提高支付安全性及提高干提高支付安全性及提高干提高支付安全性及提高B to CB to C电子商务安全等级的方法，电子商务安全等级的方法，电子商务安全等级的方法，电子商务安全等级的方法，来有效减少企业在支付中出现的错误。来有效减少企业在支付中出现的错误。来有效减少企业在支付中出现的错误。来有效减少企业在支付中出现的错误。图图图图4 4 电子支付的流程电子支付的流程电子支付的流程电子支付的流程三三 电子支付过程电子支付过程步骤步骤1： 浏览网上商店浏览网上商店浏览网上商店浏览网上商店。步骤步骤2： 挑选商品挑选商品挑选商品挑选商品。步骤步骤3： 填写订单。填写订单。填写订单。填写

118、订单。步骤步骤4： 选择付款方式。此时，安全电子交易协议选择付款方式。此时，安全电子交易协议选择付款方式。此时，安全电子交易协议选择付款方式。此时，安全电子交易协议（SET,secure electronic transactions)SET,secure electronic transactions)开始介入。开始介入。开始介入。开始介入。步骤步骤5： 传送订单。在传送订单。在传送订单。在传送订单。在SETSET中，订单和付款指令由消费中，订单和付款指令由消费中，订单和付款指令由消费中，订单和付款指令由消费者进行数字签名。同时利用双重签名技术保证商家看不者进行数字签名。同时利用双重签名技术

119、保证商家看不者进行数字签名。同时利用双重签名技术保证商家看不者进行数字签名。同时利用双重签名技术保证商家看不到消费者的账号信息。到消费者的账号信息。到消费者的账号信息。到消费者的账号信息。步骤步骤6： 支付请求。商家接受订单后，向消费者的金融支付请求。商家接受订单后，向消费者的金融支付请求。商家接受订单后，向消费者的金融支付请求。商家接受订单后，向消费者的金融机构请求支付认可。通过网关到银行，再到发卡机构确机构请求支付认可。通过网关到银行，再到发卡机构确机构请求支付认可。通过网关到银行，再到发卡机构确机构请求支付认可。通过网关到银行，再到发卡机构确认，批准交易，然后返回确认信息给商家。认，批准

120、交易，然后返回确认信息给商家。认，批准交易，然后返回确认信息给商家。认，批准交易，然后返回确认信息给商家。步骤步骤7： 确认订单。商家发送订单确认信息给顾客，顾确认订单。商家发送订单确认信息给顾客，顾确认订单。商家发送订单确认信息给顾客，顾确认订单。商家发送订单确认信息给顾客，顾客端软件可记录交易日志，以备将来查询。客端软件可记录交易日志，以备将来查询。客端软件可记录交易日志，以备将来查询。客端软件可记录交易日志，以备将来查询。步骤步骤步骤步骤8 8： 送货。到此一个购买过程已经结束。商家送货。到此一个购买过程已经结束。商家送货。到此一个购买过程已经结束。商家送货。到此一个购买过程已经结束。商

121、家可以立即请求银行将货款从购物者的账号转移到商可以立即请求银行将货款从购物者的账号转移到商可以立即请求银行将货款从购物者的账号转移到商可以立即请求银行将货款从购物者的账号转移到商家账号，也可以等到某一时间，请求成批划账处理。家账号，也可以等到某一时间，请求成批划账处理。家账号，也可以等到某一时间，请求成批划账处理。家账号，也可以等到某一时间，请求成批划账处理。 步骤步骤步骤步骤9 9： 支付。商家从消费者的金融机构请求支付。支付。商家从消费者的金融机构请求支付。支付。商家从消费者的金融机构请求支付。支付。商家从消费者的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔。在认证操作和

122、支付操作中间一般会有一个时间间隔。在认证操作和支付操作中间一般会有一个时间间隔。在认证操作和支付操作中间一般会有一个时间间隔。上述过程的前上述过程的前上述过程的前上述过程的前3 3个步骤与个步骤与个步骤与个步骤与SETSET无关。从步骤无关。从步骤无关。从步骤无关。从步骤4 4开始，开始，开始，开始，SETSET起作用，一直到步骤起作用，一直到步骤起作用，一直到步骤起作用，一直到步骤9 9。在处理过程中，通信。在处理过程中，通信。在处理过程中，通信。在处理过程中，通信协议、请求信息的格式、数据类型的定义等，协议、请求信息的格式、数据类型的定义等，协议、请求信息的格式、数据类型的定义等，协议、请

123、求信息的格式、数据类型的定义等，SETSET都有明确的规定。在操作的每一步骤，消费者、商都有明确的规定。在操作的每一步骤，消费者、商都有明确的规定。在操作的每一步骤，消费者、商都有明确的规定。在操作的每一步骤，消费者、商家、网关都通过认证中心（家、网关都通过认证中心（家、网关都通过认证中心（家、网关都通过认证中心（CACA，certificate certificate authority)authority)来验证通信主体的身份，以确保通信的来验证通信主体的身份，以确保通信的来验证通信主体的身份，以确保通信的来验证通信主体的身份，以确保通信的对方不是冒名顶替的。对方不是冒名顶替的。对方不是冒

124、名顶替的。对方不是冒名顶替的。5.1 5.1 电子现金电子现金（电子货币）（电子货币） ( E-money )或（数字货币）或（数字货币）( digital cash ) 用户用户用户用户银行银行银行银行商家商家商家商家兑换兑换兑换兑换电子现金电子现金电子现金电子现金清算清算清算清算交易、支付交易、支付交易、支付交易、支付用户认证用户认证用户认证用户认证数据加密数据加密数据加密数据加密l l电子现金是一种数字化形式的现金货币，在网上付款方式电子现金是一种数字化形式的现金货币，在网上付款方式电子现金是一种数字化形式的现金货币，在网上付款方式电子现金是一种数字化形式的现金货币，在网上付款方式上，电

125、子现金可能是最主要取代纸钞的付款方式上，电子现金可能是最主要取代纸钞的付款方式上，电子现金可能是最主要取代纸钞的付款方式上，电子现金可能是最主要取代纸钞的付款方式l l具有货币价值，得到传统货币、银行信用认证或银行本票具有货币价值，得到传统货币、银行信用认证或银行本票具有货币价值，得到传统货币、银行信用认证或银行本票具有货币价值，得到传统货币、银行信用认证或银行本票的支持；的支持；的支持；的支持；l l互通性，能和其他电子现金，银行存款或银行本票等方式互通性，能和其他电子现金，银行存款或银行本票等方式互通性，能和其他电子现金，银行存款或银行本票等方式互通性，能和其他电子现金，银行存款或银行本票

126、等方式相互交易；相互交易；相互交易；相互交易；l l可取得性，有存款和提款功能可取得性，有存款和提款功能可取得性，有存款和提款功能可取得性，有存款和提款功能l l安全性，有安全可靠的载体，保证不被复制和篡改；安全性，有安全可靠的载体，保证不被复制和篡改；安全性，有安全可靠的载体，保证不被复制和篡改；安全性，有安全可靠的载体，保证不被复制和篡改；电子现金（续）电子现金（续）l l特点特点 银行和商家之间应有协议和授权关系；银行和商家之间应有协议和授权关系；银行和商家之间应有协议和授权关系；银行和商家之间应有协议和授权关系； 用户、商家和电子现金的发行行都需要使用用户、商家和电子现金的发行行都需要

127、使用用户、商家和电子现金的发行行都需要使用用户、商家和电子现金的发行行都需要使用电子现金软件；电子现金软件；电子现金软件；电子现金软件； 适用于小额交易；适用于小额交易；适用于小额交易；适用于小额交易； 身份验证是由电子现金本身完成；身份验证是由电子现金本身完成；身份验证是由电子现金本身完成；身份验证是由电子现金本身完成； 电子现金的发行行负责用户和商家之间实际电子现金的发行行负责用户和商家之间实际电子现金的发行行负责用户和商家之间实际电子现金的发行行负责用户和商家之间实际资金的转移；资金的转移；资金的转移；资金的转移； 电子现金与普通现金一样，可以存、取和转电子现金与普通现金一样，可以存、取

128、和转电子现金与普通现金一样，可以存、取和转电子现金与普通现金一样，可以存、取和转让；让；让；让；4.5.2 电子支票电子支票图图图图5-9 5-9 电子支票的支付流程电子支票的支付流程电子支票的支付流程电子支票的支付流程电子支票（续）电子支票（续）l l电子支票的支付流程大致如下：电子支票的支付流程大致如下：电子支票的支付流程大致如下：电子支票的支付流程大致如下：（1 1）付款人首先根据支票的要求产生一个电子支票，并对）付款人首先根据支票的要求产生一个电子支票，并对）付款人首先根据支票的要求产生一个电子支票，并对）付款人首先根据支票的要求产生一个电子支票，并对该支票进行签名。该支票进行签名。该

129、支票进行签名。该支票进行签名。（2 2）付款人利用安全）付款人利用安全）付款人利用安全）付款人利用安全e-maile-mail或或或或WWWWWW方式把电子支票传送方式把电子支票传送方式把电子支票传送方式把电子支票传送给收款人，一般用收款人的的公钥加密电子支票。给收款人，一般用收款人的的公钥加密电子支票。给收款人，一般用收款人的的公钥加密电子支票。给收款人，一般用收款人的的公钥加密电子支票。（3 3）收款人收到该电子支票，也只有收款人才能收到用收）收款人收到该电子支票，也只有收款人才能收到用收）收款人收到该电子支票，也只有收款人才能收到用收）收款人收到该电子支票，也只有收款人才能收到用收款人的

130、公钥加密的电子支票，之后，用付款人的公钥确款人的公钥加密的电子支票，之后，用付款人的公钥确款人的公钥加密的电子支票，之后，用付款人的公钥确款人的公钥加密的电子支票，之后，用付款人的公钥确认付款人的数字签名，背书（认付款人的数字签名，背书（认付款人的数字签名，背书（认付款人的数字签名，背书（endorsesendorses）支票，写出一）支票，写出一）支票，写出一）支票，写出一存款单（存款单（存款单（存款单（depositdeposit），并签署该存款单。），并签署该存款单。），并签署该存款单。），并签署该存款单。（4 4）收款人银行验证付款人签名和收款人签名，贷记）收款人银行验证付款人签名和收

131、款人签名，贷记）收款人银行验证付款人签名和收款人签名，贷记）收款人银行验证付款人签名和收款人签名，贷记（creditscredits）收款者账号，以用于后面的支票清算。）收款者账号，以用于后面的支票清算。）收款者账号，以用于后面的支票清算。）收款者账号，以用于后面的支票清算。（5 5）付款人银行验证付款人签名，并借记（）付款人银行验证付款人签名，并借记（）付款人银行验证付款人签名，并借记（）付款人银行验证付款人签名，并借记（debitsdebits）付款）付款）付款）付款人账号。人账号。人账号。人账号。（6 6）最后，付款人银行和收款人银行通过传统银行网络进）最后，付款人银行和收款人银行通过传

132、统银行网络进）最后，付款人银行和收款人银行通过传统银行网络进）最后，付款人银行和收款人银行通过传统银行网络进行清算，并对清算结果向付款人和收款人进行反馈。行清算，并对清算结果向付款人和收款人进行反馈。行清算，并对清算结果向付款人和收款人进行反馈。行清算，并对清算结果向付款人和收款人进行反馈。5.3 网上银行网上银行l l网上银行的运行机制网上银行的运行机制网上银行的运行机制网上银行的运行机制完全依赖于完全依赖于完全依赖于完全依赖于InternetInternetInternetInternet发展起来的全新的电子发展起来的全新的电子发展起来的全新的电子发展起来的全新的电子银行，几乎所有银行业务

133、交易都通过互联网银行，几乎所有银行业务交易都通过互联网银行，几乎所有银行业务交易都通过互联网银行，几乎所有银行业务交易都通过互联网进行。如安全第一网络银行（进行。如安全第一网络银行（进行。如安全第一网络银行（进行。如安全第一网络银行（SFNBSFNBSFNBSFNB，Security First Network Bank)Security First Network Bank)Security First Network Bank)Security First Network Bank)传统银行上网开展业务，提供查看账户信息、传统银行上网开展业务，提供查看账户信息、传统银行上网开展业务，提供查

134、看账户信息、传统银行上网开展业务，提供查看账户信息、网上存钱转账等业务网上存钱转账等业务网上存钱转账等业务网上存钱转账等业务l l网上银行的业务模式网上银行的业务模式 第一种模式，把网上银行所针对的客户群设第一种模式，把网上银行所针对的客户群设第一种模式，把网上银行所针对的客户群设第一种模式，把网上银行所针对的客户群设定为零售客户，把网上银行作为银行零售业定为零售客户，把网上银行作为银行零售业定为零售客户，把网上银行作为银行零售业定为零售客户，把网上银行作为银行零售业务柜台的延伸，达到务柜台的延伸，达到务柜台的延伸，达到务柜台的延伸，达到2424小时不间断服务的效小时不间断服务的效小时不间断服

135、务的效小时不间断服务的效果，并节省银行的成本；果，并节省银行的成本；果，并节省银行的成本；果，并节省银行的成本； 第二种模式，网上银行以批发业务为主，即第二种模式，网上银行以批发业务为主，即第二种模式，网上银行以批发业务为主，即第二种模式，网上银行以批发业务为主，即在网上银行处理银行间的交易（如拆借）、在网上银行处理银行间的交易（如拆借）、在网上银行处理银行间的交易（如拆借）、在网上银行处理银行间的交易（如拆借）、银行间的资金往来（结算和清算）；银行间的资金往来（结算和清算）；银行间的资金往来（结算和清算）；银行间的资金往来（结算和清算）； 第三种模式，是前两者的结合，即网上银行第三种模式，是

136、前两者的结合，即网上银行第三种模式，是前两者的结合，即网上银行第三种模式，是前两者的结合，即网上银行包括两个方面的业务；包括两个方面的业务；包括两个方面的业务；包括两个方面的业务；网上银行特点网上银行特点全面实现无纸化交易。全面实现无纸化交易。服务方便、快捷、高效、可靠。服务方便、快捷、高效、可靠。经营成本低廉。经营成本低廉。简单易用简单易用银行各种服务方式成本对比银行各种服务方式成本对比5.4 电子钱包电子钱包电子钱包的功能：电子钱包的功能：和实际钱包一样，可存放信用卡信息，和实际钱包一样，可存放信用卡信息，电子现金和个人身份证书等等，并可以电子现金和个人身份证书等等，并可以自动填写送货地址

137、和结算信息。自动填写送货地址和结算信息。案例案例l l英国英国英国英国西敏寺（西敏寺（西敏寺（西敏寺（NationalNational一一一一WestminsterWestminster）银行）银行）银行）银行开发的电子开发的电子开发的电子开发的电子钱包钱包钱包钱包MondexMondex是世界上最早的电子钱包系统，于是世界上最早的电子钱包系统，于是世界上最早的电子钱包系统，于是世界上最早的电子钱包系统，于20192019年年年年7 7月首先在有月首先在有月首先在有月首先在有“ “英国的硅谷英国的硅谷英国的硅谷英国的硅谷” ”之称的斯温顿（之称的斯温顿（之称的斯温顿（之称的斯温顿（Swindo

138、nSwindon）市试用。起初，名声并不那么响亮，不过很快就在温斯顿市试用。起初，名声并不那么响亮，不过很快就在温斯顿市试用。起初，名声并不那么响亮，不过很快就在温斯顿市试用。起初，名声并不那么响亮，不过很快就在温斯顿打开了局面，被广泛应用于超级市场、酒吧、珠宝店、宠打开了局面，被广泛应用于超级市场、酒吧、珠宝店、宠打开了局面，被广泛应用于超级市场、酒吧、珠宝店、宠打开了局面，被广泛应用于超级市场、酒吧、珠宝店、宠物商店、餐饮店、食品店、停车场、电话问和公共交通车物商店、餐饮店、食品店、停车场、电话问和公共交通车物商店、餐饮店、食品店、停车场、电话问和公共交通车物商店、餐饮店、食品店、停车场、

139、电话问和公共交通车辆之中。这是由于电子钱包使用起来十分简单，只要把辆之中。这是由于电子钱包使用起来十分简单，只要把辆之中。这是由于电子钱包使用起来十分简单，只要把辆之中。这是由于电子钱包使用起来十分简单，只要把MondexMondex卡插入终端，三五秒钟之后，卡和收据条便从设卡插入终端，三五秒钟之后，卡和收据条便从设卡插入终端，三五秒钟之后，卡和收据条便从设卡插入终端，三五秒钟之后，卡和收据条便从设备付出，一笔交易即告结束，读取器将从备付出，一笔交易即告结束，读取器将从备付出，一笔交易即告结束，读取器将从备付出，一笔交易即告结束，读取器将从MondexMondex卡中所卡中所卡中所卡中所有的钱

140、款中扣除掉本次交易的花销。此外，有的钱款中扣除掉本次交易的花销。此外，有的钱款中扣除掉本次交易的花销。此外，有的钱款中扣除掉本次交易的花销。此外，MondexMondex卡还卡还卡还卡还大都具有现金货币所具有的诸多属性，如作为商品尺度的大都具有现金货币所具有的诸多属性，如作为商品尺度的大都具有现金货币所具有的诸多属性，如作为商品尺度的大都具有现金货币所具有的诸多属性，如作为商品尺度的属性、储蓄的属性和支付交换的属性，通过专用终端设备属性、储蓄的属性和支付交换的属性，通过专用终端设备属性、储蓄的属性和支付交换的属性，通过专用终端设备属性、储蓄的属性和支付交换的属性，通过专用终端设备还可将一张卡上

141、的钱转移到另一张卡上，而且，卡内存有还可将一张卡上的钱转移到另一张卡上，而且，卡内存有还可将一张卡上的钱转移到另一张卡上，而且，卡内存有还可将一张卡上的钱转移到另一张卡上，而且，卡内存有的钱一旦用光，还可通过专用的钱一旦用光，还可通过专用的钱一旦用光，还可通过专用的钱一旦用光，还可通过专用ATMATM机将其本人在银行帐户机将其本人在银行帐户机将其本人在银行帐户机将其本人在银行帐户上的存款调人卡内。上的存款调人卡内。上的存款调人卡内。上的存款调人卡内。 5.5 信用卡信用卡/借记卡借记卡l l什么是信用卡？什么是信用卡？信用卡是银行或金融公司发行的，授权持信用卡是银行或金融公司发行的，授权持信用

142、卡是银行或金融公司发行的，授权持信用卡是银行或金融公司发行的，授权持卡人在指定的商店或场所进行记账消费的卡人在指定的商店或场所进行记账消费的卡人在指定的商店或场所进行记账消费的卡人在指定的商店或场所进行记账消费的信用凭证。信用凭证。信用凭证。信用凭证。电子智能卡（电子智能卡（电子智能卡（电子智能卡（smart cardsmart card）是一种大小和信用卡相）是一种大小和信用卡相）是一种大小和信用卡相）是一种大小和信用卡相似的塑料卡片，内含一块直径在似的塑料卡片，内含一块直径在似的塑料卡片，内含一块直径在似的塑料卡片，内含一块直径在1cm1cm左右的硅芯片，左右的硅芯片，左右的硅芯片，左右的

143、硅芯片，具有存储信息和进行复杂运算的功能。它被广泛地具有存储信息和进行复杂运算的功能。它被广泛地具有存储信息和进行复杂运算的功能。它被广泛地具有存储信息和进行复杂运算的功能。它被广泛地应用于电话卡、金融卡、身份识别卡以及移动电话、应用于电话卡、金融卡、身份识别卡以及移动电话、应用于电话卡、金融卡、身份识别卡以及移动电话、应用于电话卡、金融卡、身份识别卡以及移动电话、付费电视等领域。在智能卡上，拥有一整套性能极付费电视等领域。在智能卡上，拥有一整套性能极付费电视等领域。在智能卡上，拥有一整套性能极付费电视等领域。在智能卡上，拥有一整套性能极强的安全保密控制机制，安全控制程序被固化在只强的安全保密

144、控制机制，安全控制程序被固化在只强的安全保密控制机制，安全控制程序被固化在只强的安全保密控制机制，安全控制程序被固化在只读存储器之中，因而具有无法复制和密码读写等可读存储器之中，因而具有无法复制和密码读写等可读存储器之中，因而具有无法复制和密码读写等可读存储器之中，因而具有无法复制和密码读写等可靠的安全保证。在智能卡的芯片上，集成了微处理靠的安全保证。在智能卡的芯片上，集成了微处理靠的安全保证。在智能卡的芯片上，集成了微处理靠的安全保证。在智能卡的芯片上，集成了微处理器、存储器以及输入输出单元等。智能卡可分为存器、存储器以及输入输出单元等。智能卡可分为存器、存储器以及输入输出单元等。智能卡可分

145、为存器、存储器以及输入输出单元等。智能卡可分为存储卡、逻辑加密卡、储卡、逻辑加密卡、储卡、逻辑加密卡、储卡、逻辑加密卡、CPUCPU卡、卡、卡、卡、JAVAJAVA卡等。由于卡等。由于卡等。由于卡等。由于CPUCPU卡具有存储量大、复杂计算、加密算法等众多卡具有存储量大、复杂计算、加密算法等众多卡具有存储量大、复杂计算、加密算法等众多卡具有存储量大、复杂计算、加密算法等众多优点，因此已成为金融优点，因此已成为金融优点，因此已成为金融优点，因此已成为金融ICIC卡的技术标准。卡的技术标准。卡的技术标准。卡的技术标准。 4.5.4 智能卡智能卡5.6 智能卡（智能卡（IC卡）卡）l l什么是智能卡

146、？什么是智能卡？l l智能卡的名称来源于英文名词智能卡的名称来源于英文名词“Smartcard”，又称集成电路卡，又称集成电路卡，即即IC卡卡(IntegratedCircuitcard)。l l是一种大小和信用卡相似的塑料卡片，是一种大小和信用卡相似的塑料卡片，内含一块直径在内含一块直径在1cm左右的硅芯片，具左右的硅芯片，具有存储信息和进行复杂运算的功能。有存储信息和进行复杂运算的功能。智能卡的发展智能卡的发展2020世纪世纪世纪世纪7070年代中期，法国人罗兰德年代中期，法国人罗兰德年代中期，法国人罗兰德年代中期，法国人罗兰德 莫瑞诺莫瑞诺莫瑞诺莫瑞诺（Roland MorenoRola

147、nd Moreno）第一次将可进行编程设置的）第一次将可进行编程设置的）第一次将可进行编程设置的）第一次将可进行编程设置的ICIC（integrated circuitintegrated circuit）芯片嵌入一张信用卡大小）芯片嵌入一张信用卡大小）芯片嵌入一张信用卡大小）芯片嵌入一张信用卡大小的塑料卡片中，使卡片具有更多的功能，这就是世的塑料卡片中，使卡片具有更多的功能，这就是世的塑料卡片中，使卡片具有更多的功能，这就是世的塑料卡片中，使卡片具有更多的功能，这就是世界上第一张界上第一张界上第一张界上第一张ICIC卡。真正意义上的智能卡，是由摩托卡。真正意义上的智能卡，是由摩托卡。真正意义

148、上的智能卡，是由摩托卡。真正意义上的智能卡，是由摩托罗拉公司和罗拉公司和罗拉公司和罗拉公司和Bull HNBull HN公司于公司于公司于公司于19791979年共同研制成功的。年共同研制成功的。年共同研制成功的。年共同研制成功的。图图图图5-8 5-8 智能卡的形状智能卡的形状智能卡的形状智能卡的形状智能卡与智能卡与ATM卡的区别卡的区别智能卡通过嵌入式芯片来储存信息，智能卡通过嵌入式芯片来储存信息，而而ATM卡通过磁条来储存信息卡通过磁条来储存信息。智能卡存储信息量较大，存储信息智能卡存储信息量较大，存储信息的范围较广，安全性也较好。的范围较广，安全性也较好。智能卡的作用智能卡的作用l信息

149、存储量比一个磁卡大信息存储量比一个磁卡大100倍，可以倍，可以存储用户的个人信息，比如财务数据，存储用户的个人信息，比如财务数据，帐户信息，信用卡号码，健康保健信息，帐户信息，信用卡号码，健康保健信息，电子现金等等电子现金等等l与信用卡不同之处在于信用卡不含现金与信用卡不同之处在于信用卡不含现金l电子钱包则是个软件电子钱包则是个软件2. 智能卡分类智能卡分类1 1） 普通存储卡（普通存储卡（普通存储卡（普通存储卡（memory cardmemory card）普通存储卡不能处理信息，只是简单的存储设备，普通存储卡不能处理信息，只是简单的存储设备，普通存储卡不能处理信息，只是简单的存储设备，普通

150、存储卡不能处理信息，只是简单的存储设备，从这个角度来讲，它们很像磁卡。惟一的区别是存从这个角度来讲，它们很像磁卡。惟一的区别是存从这个角度来讲，它们很像磁卡。惟一的区别是存从这个角度来讲，它们很像磁卡。惟一的区别是存储的容量更大，但也存在着和磁卡一样的安全缺陷，储的容量更大，但也存在着和磁卡一样的安全缺陷，储的容量更大，但也存在着和磁卡一样的安全缺陷，储的容量更大，但也存在着和磁卡一样的安全缺陷，没有任何安全保障的应用。（数码相机、数码摄像没有任何安全保障的应用。（数码相机、数码摄像没有任何安全保障的应用。（数码相机、数码摄像没有任何安全保障的应用。（数码相机、数码摄像机、手提电脑机、手提电脑

151、机、手提电脑机、手提电脑 ）2 2） 加密存储卡（加密存储卡（加密存储卡（加密存储卡（security cardsecurity card）加密存储卡在普通存储卡的基础上增加加密逻辑，加密存储卡在普通存储卡的基础上增加加密逻辑，加密存储卡在普通存储卡的基础上增加加密逻辑，加密存储卡在普通存储卡的基础上增加加密逻辑，保持普通存储卡的价格优势。一次性的加密卡（又保持普通存储卡的价格优势。一次性的加密卡（又保持普通存储卡的价格优势。一次性的加密卡（又保持普通存储卡的价格优势。一次性的加密卡（又称预付费卡）用得较多，像电话储值卡。称预付费卡）用得较多，像电话储值卡。称预付费卡）用得较多，像电话储值卡。

152、称预付费卡）用得较多，像电话储值卡。3 3） CPU CPU卡卡卡卡CPUCPU卡有处理器和内存，因此不仅能存信息还能对卡有处理器和内存，因此不仅能存信息还能对卡有处理器和内存，因此不仅能存信息还能对卡有处理器和内存，因此不仅能存信息还能对数据进行复杂的运算。数据进行复杂的运算。数据进行复杂的运算。数据进行复杂的运算。由于可以实现对数据的加密，安全性有了显著提高，由于可以实现对数据的加密，安全性有了显著提高，由于可以实现对数据的加密，安全性有了显著提高，由于可以实现对数据的加密，安全性有了显著提高，可以有效地防止伪造，用于储蓄卡、信用卡和其他可以有效地防止伪造，用于储蓄卡、信用卡和其他可以有效

153、地防止伪造，用于储蓄卡、信用卡和其他可以有效地防止伪造，用于储蓄卡、信用卡和其他对安全性要求较高的应用场合。对安全性要求较高的应用场合。对安全性要求较高的应用场合。对安全性要求较高的应用场合。4 4） 射频卡射频卡射频卡射频卡射频卡在射频卡在射频卡在射频卡在CPUCPU卡的基础上增加了射频收发电路，能卡的基础上增加了射频收发电路，能卡的基础上增加了射频收发电路，能卡的基础上增加了射频收发电路，能非接触式读写，大量用于交通行业。如公交非接触式读写，大量用于交通行业。如公交非接触式读写，大量用于交通行业。如公交非接触式读写，大量用于交通行业。如公交ICIC卡卡卡卡5 5） 光卡（光卡（光卡（光卡（

154、optical cardoptical card）光卡由半导体激光材料组成，能够储存记录并再生光卡由半导体激光材料组成，能够储存记录并再生光卡由半导体激光材料组成，能够储存记录并再生光卡由半导体激光材料组成，能够储存记录并再生大量信息。光卡记录格式目前形成了两种格式：大量信息。光卡记录格式目前形成了两种格式：大量信息。光卡记录格式目前形成了两种格式：大量信息。光卡记录格式目前形成了两种格式： CanonCanon型和型和型和型和DeltaDelta型。这两种形式均已被国际标准化型。这两种形式均已被国际标准化型。这两种形式均已被国际标准化型。这两种形式均已被国际标准化组织接收为国际标准。光卡具有

155、体积小、便于随身组织接收为国际标准。光卡具有体积小、便于随身组织接收为国际标准。光卡具有体积小、便于随身组织接收为国际标准。光卡具有体积小、便于随身携带、数据安全可靠、容量大、抗干扰性强、不易携带、数据安全可靠、容量大、抗干扰性强、不易携带、数据安全可靠、容量大、抗干扰性强、不易携带、数据安全可靠、容量大、抗干扰性强、不易更改、保密性好和相对价格便宜等优点。如：电子更改、保密性好和相对价格便宜等优点。如：电子更改、保密性好和相对价格便宜等优点。如：电子更改、保密性好和相对价格便宜等优点。如：电子病历病历病历病历 ，电子图书馆。，电子图书馆。，电子图书馆。，电子图书馆。智能卡的处理过程智能卡的处

156、理过程智能卡的优点智能卡的优点l防磁、防静电、防机械损坏和防化学破防磁、防静电、防机械损坏和防化学破坏等能力，坏等能力，l信息保存期在信息保存期在100年以上，读写次数在年以上，读写次数在10万次以上，至少可用万次以上，至少可用10年；年；l安全性好；安全性好；l存储容量大；存储容量大；l读写器易实现；读写器易实现；l类型多。类型多。5.7 移动支付移动支付l移动支付出现的原因移动支付出现的原因庞大的移动用户银行卡用户数量，庞大的移动用户银行卡用户数量，信用卡使用习惯的不足信用卡使用习惯的不足移动支付业务的市场规模发展情况移动支付业务的市场规模发展情况移动支付发展趋势移动支付发展趋势移动支付业

157、务发展特点移动支付业务发展特点l l由于操作简便，运营商代收费成为移动支付推广由于操作简便，运营商代收费成为移动支付推广由于操作简便，运营商代收费成为移动支付推广由于操作简便，运营商代收费成为移动支付推广的利器的利器的利器的利器l l以安全级别要求较低的小额支付为主以安全级别要求较低的小额支付为主以安全级别要求较低的小额支付为主以安全级别要求较低的小额支付为主l l业务以无需与商户终端相交互的方式为主，所购业务以无需与商户终端相交互的方式为主，所购业务以无需与商户终端相交互的方式为主，所购业务以无需与商户终端相交互的方式为主，所购商品大多为电子形式的商品，系统建设成本低商品大多为电子形式的商品

158、，系统建设成本低商品大多为电子形式的商品，系统建设成本低商品大多为电子形式的商品，系统建设成本低l l大多采用短信接入方式，安全性低，仅适合小额大多采用短信接入方式，安全性低，仅适合小额大多采用短信接入方式，安全性低，仅适合小额大多采用短信接入方式，安全性低，仅适合小额支付支付支付支付l l业务的推出呈现地区割据状态，地区差异较大业务的推出呈现地区割据状态，地区差异较大业务的推出呈现地区割据状态，地区差异较大业务的推出呈现地区割据状态，地区差异较大l l仅有彩票购买、话费购买等少数亮点业务，大多仅有彩票购买、话费购买等少数亮点业务，大多仅有彩票购买、话费购买等少数亮点业务，大多仅有彩票购买、话费购买等少数亮点业务，大多数业务的规模很小，处于初期的试点状态数业务的规模很小，处于初期的试点状态数业务的规模很小，处于初期的试点状态数业务的规模很小，处于初期的试点状态 移动支付的瓶颈移动支付的瓶颈l信用体系、信用体系、l技术实现、技术实现、l产业链成熟度产业链成熟度l用户使用习惯用户使用习惯