《电子金融与支付安全作业题目.ppt》由会员分享,可在线阅读,更多相关《电子金融与支付安全作业题目.ppt(61页珍藏版)》请在金锄头文库上搜索。
1、电子金融与支付安全电子金融与支付安全第一次作业题目解答第一次作业题目解答范静北京外国语大学国际商学院International Business SchoolBeijing Forging Studies University第一案例背景1、银联日前正式宣布推出“银联在线支付”和“银联互联网手机支付”业务,银联在线的用户无需开通网银即可实现线上支付,支持的卡包括借记卡、信用卡、储值卡等。无论愿不愿意,刚刚以独资身份获得支付牌照的支付宝,终于在线上支付领域迎来了其最强对手。许多支付业人士均表示认为,银联“无卡支付交易”的平台与支付宝疾行推进的“快捷支付”难免会形成正面竞争。“对支付宝来说,在线支
2、付市场无疑多了一个强劲的竞争对手。”一位第三方支付领域研究人士直言不讳,京东商城选择与银联合作而与支付宝“分手”就是竞争升级的一个典型案例。根据银联的信息,目前已有60多家银行接入“无卡支付”平台,“从短期来看,城商行以及网银用户较少的股份制银行非常积极地接入银联无卡支付,覆盖所有银行只是时间问题。”银联一位内部人士如是说。“将银行卡应用从线下拓展到线上,从现场延伸到虚拟。”银联总裁许罗德在谈及银联“无卡支付”的意义时强调,除了暂不支持区县以外,无卡支付方式涵盖了各项银行卡业务和功能。特别是通过无卡支付预授权的功能,真正实现了在线交易的金融级担保,实现预授权的金融级担保。“我觉得(这一服务)非
3、常有意义,所以我们把它称为“基于卡但超于卡”,而且拓展到了各类网上消费、公共事业缴费、保险、航空、通讯、物流等行业中,逐步注入服务。”许表示。登录银联在线体验,通过银联在线支付的工具除传统的跳转银行网银外,还可以利用银联网上银行卡交易转接平台进行普通支付(输入银行卡号和密码)、认证支付(输入银行卡系列认证信息)、快捷支付(需注册并关联银行卡)和储值卡支付(不记名储值卡如中银通)。银联所支持的网上支付可以绕开网银,而在此之前支付宝布重兵打造的快捷支付亦寄望于绕开网银构造一个线上支付平台。International Business SchoolBeijing Forging Studies Un
4、iversityInternational Business SchoolBeijing Forging Studies University问题:1、通过银联在线进行支付,“卡基支付”与“无卡支付”的支付流程有何不同?2、中国银联“无卡支付”对于支付宝来说是机遇还是挑战?International Business SchoolBeijing Forging Studies University案例背景知识回顾:电子支付的发展历程:网络支付的历史:n第三方支付工具n网上银行n银联在线支付International Business SchoolBeijing Forging Studies
5、University卡基支付与无卡支付:(1)“卡基支付”通过银联在线支付的工具页面跳转进入银行网银外,通过银行的网银平台,利用U盾等安全措施进行支付。(2)“无卡支付”指无须开通网银,利用支付验证要素,结合银联安全认证,让持卡人完成互联网支付的支付方式。包括:通过银联在线支付转接平台进行普通支付、认证支付、快捷支付等方式。支付流程分别为:International Business SchoolBeijing Forging Studies Universitya认证支付流程(以借记卡为例:输入卡号、密码):持卡人交互-获取短信验证码-输入短信验证码-支付成功。(认证支付是指持卡人在银联支付
6、页面上输入银行卡信息(卡号、密码、CVN2等)和手机号码(已在银行预留),通过银行认证即可完成交易的支付方式。)B储值卡支付流程(即银通卡支付:输入卡号、密码):持卡人交互-支付成功。(银联卡直接付款是指持卡人支付时无需离开商户页面,只需输入卡号和密码即可完成支付的支付方式。)c快捷支付(绑定一张卡):持卡人登陆-已绑定卡验证-支付成功(快捷支付是银联为持卡人提供的一种安全便捷的支付方式。注册成为银联在线支付用户并关联银行卡后,您只需输入用户名、登录密码、短信验证码即可完成支付。)International Business SchoolBeijing Forging Studies Univ
7、ersity各种支付方式有什么差异?总之,银联在线支付提供以下几种支付方式:认证支付:在银联的支付页面使用“银行卡信息+手机号码”的组合信息进行支付的方式。快捷支付:已经关联银行卡的“银联在线支付”注册用户,在支付页面使用“银联账户信息+手机号码”的组合信息进行支付的方式。储值卡支付:直接使用储值卡号、密码支付。网银支付:跳转银行网银页面,按银行要求的信息进行支付。International Business SchoolBeijing Forging Studies UniversityInternational Business SchoolBeijing Forging Studies
8、UniversityInternational Business SchoolBeijing Forging Studies University首先,银联支付具有非常强有力的优势。第三方支付牌照刚颁布不久,线下支付霸主“银联”就上马了线上业务,在湖北首次推出“银联在线支付”。截至2011年底,包括联通、中百、工贸等企业,湖北已有100多家企业与银联签订了合作协议,通过银联在线支付平台进行网上支付业务,由此对网上支付霸主支付宝构成强劲挑战。(1)银联认证支付无需开通网上银行,也不需要跳转到网银界面进行操作,只要在“银联在线支付”网页,输入相关认证信息,即可快速完成交易。通过银联在线支付单笔限额
9、为2000元,日累计限额5000元。(2)此次银联在线支付推出担保支付,对比发现,与其他第三方支付机构的最大差别在于拥有独立支付账户上。以前需要把钱打到第三方平台上,现在直接冻结在自己的银行卡中,不需要转出到第三方的账户,规避了一定的风险。目前,第三方支付机构的注册用户已突破7亿,每天交易额都超过30亿元,有的第三方支付机构每天占用银行资金高达1.6亿元,相当于使银行每天损失手续费和利息达163.8万元。(3)除了网上购物,网上缴水电费、信用卡还款、慈善捐款等均可通过银联在线支付,相对其他在线支付,银联在线支付还可延伸到手机支付端,通过手机实现移动网上支付。目前,“银联在线支付”已经广泛开展与
10、国内知名网上购物商城合作,如京东商城。International Business SchoolBeijing Forging Studies University其次,支付宝霸主地位遭挑战。数据显示,2010年中国互联网在线支付市场依然保持较高的市场集中度,支付宝以51.2%的市场份额稳占半壁江山,支付宝、财付通、快钱市场份额前三位的企业占据整个市场80%的市场份额。业内人士分析认为,“银联在线支付”具有一定的优势,能对于其他第三方支付造成多大的影响,要看银联如何推广自己的产品,短期内,虽然支付宝江湖老大的地位不可动摇,但也会受到一定的冲击。据了解,部分电子商户已弃用支付宝,转投银联在线支付
11、。前不久,京东商城、百联集团旗下的联华OK卡均终止了与支付宝合作。京东商城于日前将银联在线支付纳入支付渠道,支付宝所占的市场份额已开始下滑。易观智库最新数据显示,2012年第三季度中国第三方互联网在线支付市场格局保持稳定,支付宝、财付通、银联在线支付分别以46.9%、20.4%和11.5%占据市场前三甲。前三企业占据整个市场78.8%的市场份额。在交易规模方面,2012年第三季度,中国第三方互联网支付市场交易规模达到9764亿元人民币,环比增长13.1%,同比增长73%。International Business SchoolBeijing Forging Studies Universit
12、y(3)中国银联中国银联“无卡支付无卡支付”和支付宝等第三方支付机构可以在一和支付宝等第三方支付机构可以在一定程度上相互促进定程度上相互促进第一、快捷支付发展迅速。继支付宝、银联之后,财付通、快钱、汇付天下等支付企业加快了快捷支付业务的市场推广力度;第二、移动支付创新力度加大。本季度支付宝推出基于二维码和LBS的移动支付产品,财付通联合微信布局“微生活”支付,为推动O2O支付奠定基础;第三、线下POS收单市场拓展力度进一步加大。主要支付公司纷纷加大拓展POS收单业务,特别是汇付天下已在30多个城市设立分支机构,通过代理模式加快POS收单市场布局。International Business S
13、choolBeijing Forging Studies University第二案例背景2、招商银行的网上银行(又名“一网通”)是指通过因特网或其他公用信息网(如“视聆通”),将客户的电脑终端连接至银行,事先将银行服务直接送到客户办公室、家中和手中的服务系统。它拉近客户与银行的距离,是客户不再受限于银行的地理环境、上班时间,突破空间距离和物体媒介的限制,足不出户就可以享受到招商银行的服务。“一网通”包括“企业银行”、“个人银行”、“网上支付”、“网上证券”和“网上商城”等具体内容。网上支付系统向客户提供网上消费支付结算服务,招商银行因特网站已通过国际权威(CA)认证且采用了先进的加密技术,客
14、户在使用“网上支付”时,所有数据均经过加密后才在网上传输,因此很安全可靠。凡在招商银行办理“一卡通”的客户均可享受此项服务。问题:招商银行网上银行业务可能有哪些风险?这些风险应如何防范?International Business SchoolBeijing Forging Studies University答案要点:一、招商银行网上银行业务相关风险:操作风险:安全性风险:比如不完善的访问控制使得黑客可以通过互联网成功地攻击银行的系统,从而可以访问、获取和使用机密的信息。系统设计、实施和维护方面的风险。客户误操作风险战略风险如果银行业务的决策和实施与该银行的总体业务目标不一致,这将给银行造成
15、战略风险。信誉风险比如公众对网上银行运行情况产生负面的印象而损坏了银行与客户之间的关系,第三方欺诈,等等。法律风险目前,网上银行业务还不完善,电子商务的法律环境还未建立International Business SchoolBeijing Forging Studies University二、招行网上银行支付体系的安全保障方法保护好自己账号密码银行卡账号和密码是绝对私人所有,不要轻易告诉别人。不要在网上随便透露个人资料使用单独的银行密码将平时在其他网站使用的各类密码与银行密码区分开,不采用同一密码,避免因在其他网站泄漏密码导致您的银行密码同时失窃。谨防钓鱼网站当我们打开银行首页时,可以将正
16、确的网址收藏起来,不要随便开启来历不明并载有附件的电子邮件,切勿点击可疑邮件内的超级链接。4.杀毒软件防火墙的使用防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。5.利用银行提供的各种增值服务招商银行提供了免费的增值服务,如交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态。International Business SchoolBeijing Forging Studies University案例背景:什么是网上银行?网上银行利用Internet和Intranet技术,为客户提供综合、统一、安全、实时的银行服务,包括提供对私、对
17、公的各种零售和批发的全方位银行业务,还可以为客户提供跨国的支付与清算等其他的贸易、非贸易的银行业务。International Business SchoolBeijing Forging Studies University网上银行的功能是什么?1商业银行的业务功能:银行零售业务;银行国内批发业务;全球批发业务;银行投资业务;银行信托业务2网上银行的功能:处在网络世界中的银行,电子化的应用包括六个方面:办公自动化系统、客户服务支持系统、业务处理系统、信息发布系统、支付系统和网上银行系统。其功能包括以下内容:(1)银行业务项目,包括个人银行、对公业务、信用卡业务、多种付款方式、国际业务、信贷及
18、特色服务等功能:(2)商务服务,包括投资理财、资本市场、政府服务等功能;(3)信息发布,包括国际市场外汇行情、对公利率、储蓄利率、汇率、国际金融信息、证券行情、银行信息等功能。International Business SchoolBeijing Forging Studies University(一)运营风险1、操作风险。操作风险主要来源于银行内部员工或客户的错误或恶意操作。与银行传统业务不同的是,网上银行操作具有高技术性,商业银行职员对业务的漫不经心和客户的疏忽,有可能导致网上银行严重的操作风险,从而危及网上银行的总体安全。另外,由于网络银行信息获取的方便、准确和快捷,为商业银行内部职
19、员的欺诈行为提供了潜在条件。有目的地获取客户的私人资料,使用客户的账户进行各种风险投资,将交易风险直接转嫁到客户身上;或者直接偷窃电子货币,让客户蒙受直接损失等这些操作风险对银行造成的损失将是不可估量的。International Business SchoolBeijing Forging Studies University2、信息不对称风险。由于网上银行无法在网上鉴别客户的风险水平而处于不利的选择地位,网上客户利用他们的隐蔽信息和隐蔽行动做出对自己有利但损害网上银行利益的决策,或者由于不利的公众评价而使网上银行丧失客户和资金来源。相比于传统的银行市场,网络市场上商业银行与客户之间信息不对
20、称状态更加严重,客户会有激励更多地利用信息优势地位采取对网上银行不利的道德风险行为。例如,网上银行根据原有风险水平确定新金融品种的价格,由于逆向选择,高于原有风险水平的客户将大量购买这种新金融品种,而低于原有风险水平的客户将不会购买这种金融产品,这样网上银行每销售一份新金融产品,将会增加其风险。International Business SchoolBeijing Forging Studies University3、信用风险。网上银行提供的虚拟金融服务突破了地理国界,具有无边界限制的服务特征。网上银行通过远程通讯手段,借助信用确认程序对借款者的信用等级进行评估,提高了网上银行的信用风险。
21、在银行业竞争激烈的大环境中,银行的信誉是难以用金钱估价的,甚至已经成为一种社会稀缺性资源。它是个银行生存和可持续性发展的基础,一旦银行遭遇信誉风险,则可能引发连环性的金融危机。International Business SchoolBeijing Forging Studies University(二)技术风险虽然我国网上银行业务起步晚,但是发展速度快,安全技术和安全管理跟上其发展水平,这是造成网上业务开展的一个突出问题。网上银行的业务发展需要信息技术的发展作为支持,否则安全问题将会制约其发展。1、技术常规风险。网上银行和商业银行其它涉及帐务处里的计算机系统一样,面临系统总体架构设计、网络
22、结构设计等常规风险,这是银行应用系统普遍关注的技术漏洞。2、加密技术风险。加密技术,加密体制,加密算法和密钥长度等网上交易和数据传输安全策略的确定,是网上银行安全问题的核心。但是由于我国目前还不具备适用于互联网交易的成熟的的商用密码产品,大多数商业银行采取的密码产品一般来自西方国家,而这些国家出口的往往是低端产品,在加密这个核心问题上对我国商业银行构成威胁。International Business SchoolBeijing Forging Studies University3、身份认证和验证风险。应用PKI体制,网上交易身份认证和验证与加密技术一道,共同构筑了互联网上解决交易双方或多方
23、非对面交易的技术基础。但是目前私人密钥和证书承载介质一般为不携带CPU的存贮介质,其可在任何一台计算机上即可读取,大大降低了私人密钥的机密程度,且密钥生成依赖于认证中心,存在安全隐患。4、网络安全风险。网上银行在空间上拓广了客户群体的同时,也将网络恶意行为的实施者扩大到国际范围,地球上任何一名黑客都是银行防范的对象,这加大了商业银行遭受风险的范围和可能,同时也增加了银行的成本。5、群机系统风险。网上银行系统运行过程中涉及的诸如web服务器、应用服务器等硬件和软件系统是网上银行的后台系统,是商业银行提供网上银行业务的核心部位,一个部位出现问题或一个程序进程死锁,都将影响网上银行业务的持续进行,它
24、的影响也会随着网络迅速蔓延到全国的客户。International Business SchoolBeijing Forging Studies University(三)法律风险1、网络犯罪风险。网络系统是本身存在的不足会给网上银行带来风险,随着网络黑客人数和技术水平的上升,许多黑客对于网络的攻击,使网上银行的网络系统受损甚至崩溃的威胁。有的网络黑客甚至窃取商业机密或盗取资金,以谋取不义之财,甚至利用网上银行进行洗钱。截止目前,国内外没有权威数据表明网上银行犯罪造成的具体损失是多少,但是有研究表明增长速度惊人。2003年,英国因网上银行欺诈而导致的损失为零,但是2006年,这一数据达到了33
25、50万英镑。美国官方统计也显示,银行每年在网络上被偷窃的资金大于6000万美元。网上银行犯罪已经成为包括中国在内的各个国家不得不面对的问题。2、法律纠纷风险。网上银行属于新兴事物,我国政府尚未有配套的法律法规与之相适应,造成了银行在开展业务时无法可依,且银行难以采取主动措施。另外,上网银行的交易是跨越国界的,各国之间有关金融交易的法律、法规存在的差异,会产生国与国之间的法律问题上的冲突。目前国际上尚未就网上银行涉及的法律达成共同协议,也没有一个权威的仲裁机构,客户与网上银行很容易陷入法律纠纷之中。International Business SchoolBeijing Forging Stud
26、ies UniversityInternational Business SchoolBeijing Forging Studies University从招商银行的角度:(一)运营管理体系构建完善网上银行业务的运营管理体系,应当以全面性、谨慎性、有效性、独立性为原则,贯穿业务全过程和各个操作环节,覆盖所有使用网上银行的银行内、外部机构和个人。对于银行内部使用网上银行的管理主要着眼于对银行内部操作网上银行系统,办理网上银行业务的机构和人员建立逐级管理和分级授权的制度。对网上银行客户的管理重点在于银行对可以使用网上银行的客户的选择,对客户可以使用网上银行服务的限制,以及对客户操作网上银行的过程和
27、结果进行管理。客户内部使用网上银行的管理在于使客户根据自身情况,通过建立特定的网上银行业务授权模式,使客户在网上银行的操作过程处于一个安全体系控制之下。International Business SchoolBeijing Forging Studies University(二)网络技术体系构建对于网络技术体系的构建最根本是建立网络安全防护体系,包括有效的访问控制,有效的客户身份验证系统和多层防御系统,有效的监控体系,周期性地检查安全漏洞,做到及时发现及时防范。另外,应当对信息加密传输,采取先进的加密技术,并重视高科技产品的研发和引进,使用科技含量高的产品可以在很大程度上提高网上银行的使用
28、安全,同时培养具有专业知识和技术经验的科技人才队伍。International Business SchoolBeijing Forging Studies University从用户的角度:保护好自己账号密码银行卡账号和密码是绝对私人所有,不要轻易告诉别人。不要在网上随便透露个人资料使用单独的银行密码将平时在其他网站使用的各类密码与银行密码区分开,不采用同一密码,避免因在其他网站泄漏密码导致您的银行密码同时失窃。谨防钓鱼网站当我们打开银行首页时,可以将正确的网址收藏起来,不要随便开启来历不明并载有附件的电子邮件,切勿点击可疑邮件内的超级链接。International Business Sc
29、hoolBeijing Forging Studies University4.杀毒软件防火墙的使用防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。5.利用银行提供的各种增值服务招商银行提供了免费的增值服务,如交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态。International Business SchoolBeijing Forging Studies University电子金融与支付安全电子金融与支付安全第二次作业题目解答第二次作业题目解答范静北京外国语大学国际商学院International Business Sch
30、oolBeijing Forging Studies University题目1:SSL协议(SecuritySocketLayer,安全套接层协议)是网景(Netscape)公司提出的基于Web应用的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息,来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。SET协议是1997年5月31日由VISA和MasterCard两大信用卡公司联合推出
31、的一个基于开放网络的安全的以信用卡支付为基础的电子商务协议。它运用了RSA安全的公钥加密技术,具有资料保密性、资料完整性、资料来源可辨识性及不可否认性,是用来保护消费者在Internet持卡付款交易安全中的标准。现在,SET已成为国际上所公认的在Internet电子商业交易中的安全标准。International Business SchoolBeijing Forging Studies UniversityInternational Business SchoolBeijing Forging Studies University安全协议安全协议安全套接层协议SSL(Secure Sock
32、ets Layer)安全电子交易协议SET (Secure Electronic Transaction)International Business SchoolBeijing Forging Studies UniversitySSL协议背景:安全套接层协议SSL(Secure Sockets Layer),国际上最早应用于电子商务的一种安全协议Netscape公司于1994年开发的对互联网上计算机间对话进行加密的一种网络安全协议;它采用公开密钥和对称密钥向结合的技术,通过浏览器软件和WWW服务器建立一条安全、可信任的通信通道;在这一通道中,所有点对点的信息都被加密,从而实现了在Inter
33、net中的传输保密文件。International Business SchoolBeijing Forging Studies UniversitySSL本质上并不是一个支付协议,而是一个安全数据交换协议。例如在登录电子邮箱时往往有SSL保护邮箱地址和密码。因此,SSL协议并不是专门用于电子支付的技术,其设计目的是保证互联网信息传递的保密性。在电子交易过程中,通过SSL协议建立消费者和商家之间的联系,其用户端的浏览器和商家服务器通过一个加密的安全通道进行信息交换,第三者无法通过窃听的方式把得到的加密数据还原成明文。International Business SchoolBeijing Fo
34、rging Studies University套接层协议(SSL)运行在TCP/IP层(即传输层)之上、应用层之下。n在应用层协议通信之前就已经完成了加密算法、通信密钥的协商以及通信双方的认证工作;n为应用层提供了安全的传输通道,高层的应用层协议(如http,ftp,Telnet等)可以透明地建立与SSL协议之上;n应用层协议所传送的数据都会被加密,从而保证了通信的机密性。International Business SchoolBeijing Forging Studies UniversityInternational Business SchoolBeijing Forging Stu
35、dies UniversitySSL协议的体系结构International Business SchoolBeijing Forging Studies UniversitySSL的工作流程的工作流程浏览器请示与服务器建立安全会话;浏览器与Web服务器交换密钥证书以便双方互相确认;Web服务器与浏览器协商密钥位数(40位或128位);用户机提供资金支持的所有算法清单,服务器选择它认为最有效的密码。浏览器将产生的会话密钥用Web服务器的公钥加密传给Web服务器;Web服务器用自己的私钥解密;Web服务器和浏览器用会话密钥加密和解密,实现加密传输。International Business S
36、choolBeijing Forging Studies UniversitySSL的应用(1)单向认证:又称匿名SSL连接,这是SSL安全连接的最基本模式,它便于使用,主要的浏览器都支持这种方式,适合单向数据安全传输应用。n在这种模式下客户端没有数字证书,只是服务器端具有证书。n典型的应用就是用户进行网站注册时采用ID口令的匿名认证,过去网上银行的所谓“大众版”就是这种认证。International Business SchoolBeijing Forging Studies UniversitySSL的应用(2)双方认证:是对等的安全认证,这种模式通信双方都可以发起和接收SSL连接请求。
37、通信双方可以利用安全应用程序(控键)或安全代理软件,前者一般适合于B/S结构,而后者适用于C/S结构,安全代理相当于一个加密/解密的网关,这种模式双方皆需安装证书,进行双向认证。这就是网上银行的专业版等应用。电子商务与网上银行交易不同,因为有商户参加,形成客户商家银行,两次点对点的SSL连接。客户,商家,银行,都必须具证书,两次点对点的双向认证。International Business SchoolBeijing Forging Studies UniversitySSL协议在实际应用中的几个问题SSL协议在实际应用中的几个问题(1)不能提供交易的不可否认性。SSL协议是基于Web应用的安
38、全协议,它只能提供安全认证,SSL链路上的数据完整性和保密性。对于电子商务的交易应用层的信息不进行数据签名,因此,不能提供交易的不可否认性,这是SSL在电子商务中使用的最大缺欠。(2)服务器的处理速度问题。由于在网上交易时,一定要使用SSL加/解密用户数据,这样服务器就占用了大量CPU的处理时间,增大了系统的开销,使SSL登陆和传输数据的速度变慢。International Business SchoolBeijing Forging Studies UniversitySET协议International Business SchoolBeijing Forging Studies Univ
39、ersitySET协议背景:SET协议 (安全电子交易协议,Secure Electronic Transaction) 由VISA和MasterCard联合发起;在IBM、Netscape等多家计算机公司支持下于1996年联合推出的;其实质是一种应用于互联网开放环境下,以信用卡支付为基础的安全支付协议。International Business SchoolBeijing Forging Studies UniversitySET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET协议利用公开密码体制和X.509数字证书标准,通过公开密钥加密、数字签名、数字证书等核心技术,
40、解决了用户、商家和银行之间通过信用卡支付时支付信息的保密性和完整性、支付过程的安全性,以及商家和持卡人身份的合法性。International Business SchoolBeijing Forging Studies UniversitySET协议提供的服务功能及目标(1)保证客户交易信息的保密性和完整性SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。International Business Schoo
41、lBeijing Forging Studies University(2)确保商家和客户交易行为的不可否认性SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。(3)确保商家和客户的合法性SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。International Business SchoolBeijing Forging Studies UniversitySSL与SET的主要区别项目SSL协议SET
42、协议使用专用软件否是协议所处层次传输层与应用层之间应用层是否透明透明不透明过程简单复杂效率高低安全性商家掌握客户IP客户IP对商家保密认证机制双方认证多方认证是否专为EC设计否是International Business SchoolBeijing Forging Studies UniversitySSL与SET的主要区别u(1)用户方面。SSL协议已被浏览器和服务器内置,无须安装专门软件,也不用申请数字证书。SET协议中在用户端要安装专门的电子钱包软件,在商家服务器和金融专用网络上也需要安装相应的软件,还必须向交易的各方发放数字证书。而且只适用于B2C模式的信用卡交易。SET比SSL的使
43、用成本高,推行阻力大。International Business SchoolBeijing Forging Studies UniversitySSL与SET的主要区别u(2)协议层次方面。SSL协议位于传输层和应用层之间,可以很好地封装应用层的数据,对用户是透明的。SET协议则位于应用层,对网络上其它层也有涉及,规范了整个商务活动的流程。International Business SchoolBeijing Forging Studies UniversitySSL与SET的主要区别u(3)效率方面。SET协议非常复杂、庞大、处理速度慢,系统负载重,一个典型的SET交易过程需验证电子证
44、书9次,验证数字签名6次,传递证书7次,进行5次签名,4次对称加密和4次非对称加密,整个交易过程需要1.52次。SSL协议则简单得多,整个交易过程只需要几秒钟,工作效率高。International Business SchoolBeijing Forging Studies UniversitySSL与SET的主要区别u(4)认证方面。SSL协议中只有商家服务器的认证是必须的,用户端认证则是可选的。SET协议的认证要求较高,所有参与的成员都必须申请数字证书,并解决了用户与银行、用户与商家、商家与银行之间的多方认证问题。International Business SchoolBeijing
45、Forging Studies UniversitySSL与SET的主要区别u(5)应用层次方面。SSL协议是面向连接的,但它只是简单地建立起通信双方的安全连接,运行在协议下的支付系统只能与Web服务器捆绑在一起;SET协议是一个多方的报文协议,它定义了持卡人、商家和银行所必须遵守的报文规范,可在银行内部网和其他网络上传输。不仅能够加密两个端点之间的对话,还可以加密盒认定三方面的多个信息。International Business SchoolBeijing Forging Studies UniversitySSL与SET的主要区别(6)SSL与SET的服务功能与目标之间的区别SSL:单向
46、认证、双向认证、但不提供不可否认性SET:完整性、安全性、不可否认性等。International Business SchoolBeijing Forging Studies University第二次作业第二题(1)第三方支付公司的优势和劣势是什么?(2)第三方支付公司和商业银行未来的关系是合作大于竞争还是竞争大于合作?(出自第五单元)International Business SchoolBeijing Forging Studies University以“支付宝”为代表的第三方支付是在银行监管下保障交易双方利益的独立机构,是买卖双方在交易过程中的资金“中间平台”。其基本模式是:买方
47、购买商品后,将货款交付给第三方支付平台,由第三方通知卖方发货,买方收到商品并满意后,由第三方将货款交付给卖方;若买方不满意,第三方支付平台确认商家收到退货后,将货款退还给买方。由于网络的虚拟性,交易双方在网上是匿名的,第三方就充当信誉证人的角色,即保护了个人隐私,又能实现公平交易。作为一种针对网上交易推出的安全付款服务,第三方支付平台可在买家确认收货前,替买卖双方暂时保管货款。因为收货后卖家才能拿到钱,所以不存在买家货款被骗的情况;而对卖家而言,交易资金实时划拨,点下鼠标就能完成交易,从而较好地解决了资金安全和网络支付问题,通过约束买卖双方的经营行为,从而建立起诚信经营环境。Internati
48、onal Business SchoolBeijing Forging Studies University优点:第三方支付的优点:1简化交易操作。第三方支付平台采用了与众多银行合作的方式,从而极大地方便了网上交易的进行,对于商家来说,不需要安装各个银行的认证软件,从一定程度上简化了操作。2降低商家和银行的成本。对于商家第三方支付平台可以降低企业运营成本;对于银行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本。第三方支付平台能够提供增值服务,帮助商家网站解决实时交易查询和交易系统分析,提供方便及时的退款和止付服务。3第三方支付平台可以对交易双方的交易进行详细的记录,从而防止交
49、易双方对交易行为可能的抵赖,以及为在后续交易中可能出现的纠纷问题提供相应的证据。International Business SchoolBeijing Forging Studies University1法律制度不够完善。由于法律的不完备,并且没有建立起国家的信用体制,第三方支付的安全得不到很好的保证,独立于网络之外的物流活动的诚信风险依然存在。第三方支付存在的不足主要表现在:交易中出现纠纷买卖双方往往各执一词,相关部门取证困难;支付平台流程有漏洞,不可避免地出现人为耍赖,不讲信用的情况,这已成为第三方支付发展道路上必须完善和改进的地方。International Business Sch
50、oolBeijing Forging Studies University2.对第三方支付平台的监管也是个大问题。(1)尽管第三方支付平台与银行签订了战略合作协议,但这些银行对“支付宝”账户上的资金是否“专款专用”并没有监督的权利和义务。这样就导致支付宝公司本身“类银行”的相关业务处于监管真空状态,这给使用“支付宝”的资金安全留下财务隐患。(2)第三方支付工具提供了买卖双方现金交易的平台,这样就会导致有些人通过第三方支付工具进行洗钱,而有时候某些第三方支付工具不需要实名制就可以完成交易,同时国内的第三方支付平台都没有防止恶意交易的相关措施,这样洗钱就更为容易。如果相应的法律文件还不出台,第三方
51、支付工具将有可能沦为不法分子的洗钱工具,为网络赌博等提供资金渠道。如果某个第三方支付平台因为管理不善导致用户的资金流失,那么这个责任由谁来负,怎么承担,目前也都没有一个统一的标准。International Business SchoolBeijing Forging Studies University第三方支付与(1)“第三方”与银行的竞争问题。“支付宝”等第三方支付公司是通过与银行的合作来运行,但支付公司和银行之间的关系并非只有合作,当银行不通过任何第三方支付公司,而直接与商家连接时,第三方支付公司将面临来自银行的强大竞争。(2)第三方支付公司和商业银行未来的关系是合作远大于竞争。这主要体现在:一方面,中国支付服务的市场足够大,银行与第三方支付各有优势,只有相互弥补和配合,才能充分开拓市场;另一方面,在未来的市场格局方面,银行依旧会在传统金融服务领域占据主导,而第三方支付将在网上支付等创新服务领域占据稳固的市场,二者的核心市场和利益并不存在严重的重叠和排斥。然而中银在线支付将是以支付宝为代表的第三方支付的更强有力的竞争对手。
