电子金融与支付安全作业题目.ppt

电子金融与支付安全 第一次作业题目解答 范静 北京外国语大学国际商学院 International Business School Beijing Forging Studies University 第一案例背景 1、银联日前正式宣布推出“银联在线支付”和“银联互联网手机 支付”业务，银联在线的用户无需开通网银即可实现线上支付 ，支持的卡包括借记卡、信用卡、储值卡等。无论愿不愿意 ，刚刚以独资身份获得支付牌照的支付宝，终于在线上支付 领域迎来了其最强对手。许多支付业人士均表示认为，银联“ 无卡支付交易”的平台与支付宝疾行推进的“快捷支付”难免会 形成正面竞争。“对支付宝来说，在线支付市场无疑多了一个 强劲的竞争对手。”一位第三方支付领域研究人士直言不讳， 京东商城选择与银联合作而与支付宝“分手”就是竞争升级的一 个典型案例。 根据银联的信息，目前已有60多家银行接入“无卡支付”平台， “从短期来看，城商行以及网银用户较少的股份制银行非常积 极地接入银联无卡支付，覆盖所有银行只是时间问题。”银联 一位内部人士如是说。 “将银行卡应用从线下拓展到线上，从现场延伸到虚拟。”银联总 裁许罗德在谈及银联“无卡支付”的意义时强调，除了暂不支持区 县以外，无卡支付方式涵盖了各项银行卡业务和功能。特别是通 过无卡支付预授权的功能，真正实现了在线交易的金融级担保， 实现预授权的金融级担保。“我觉得(这一服务)非常有意义，所以 我们把它称为“基于卡但超于卡”，而且拓展到了各类网上消费、 公共事业缴费、保险、航空、通讯、物流等行业中，逐步注入服 务。”许表示。 登录银联在线体验，通过银联在线支付的工具除传统的跳转银行 网银外，还可以利用银联网上银行卡交易转接平台进行普通支付 (输入银行卡号和密码)、认证支付(输入银行卡系列认证信息)、 快捷支付(需注册并关联银行卡)和储值卡支付(不记名储值卡如中 银通)。 银联所支持的网上支付可以绕开网银，而在此之前支付宝布重兵 打造的快捷支付亦寄望于绕开网银构造一个线上支付平台。 International Business School Beijing Forging Studies University International Business School Beijing Forging Studies University 问题： 1、通过银联在线进行支付，“卡基支付”与“无卡支付” 的支付流程有何不同？ 2、中国银联“无卡支付”对于支付宝来说是机遇还是挑 战？ International Business School Beijing Forging Studies University 案例背景知识回顾： 电子支付的发展历程： 网络支付的历史： n第三方支付工具 n网上银行 n银联在线支付 International Business School Beijing Forging Studies University 卡基支付与无卡支付： （1）“卡基支付”通过银联在线支付的工具页面跳转进 入银行网银外，通过银行的网银平台，利用U盾等安全 措施进行支付。 （2）“无卡支付”指无须开通网银，利用支付验证要素 ，结合银联安全认证，让持卡人完成互联网支付的支 付方式。包括：通过银联在线支付转接平台进行普通 支付、认证支付、快捷支付等方式。支付流程分别为 ： International Business School Beijing Forging Studies University a认证支付流程（以借记卡为例：输入卡号、密码） ：持卡人交 互-获取短信验证码-输入短信验证码-支付成功。（认证支付 是指持卡人在银联支付页面上输入银行卡信息（卡号、密码、 CVN2等）和手机号码（已在银行预留），通过银行认证即可完成 交易的支付方式。） B储值卡支付流程（即银通卡支付：输入卡号、密码）：持卡人 交互-支付成功。（银联卡直接付款是指持卡人支付时无需离开 商户页面，只需输入卡号和密码即可完成支付的支付方式。） c快捷支付（绑定一张卡）：持卡人登陆-已绑定卡验证-支付 成功（快捷支付是银联为持卡人提供的一种安全便捷的支付方式 。注册成为银联在线支付用户并关联银行卡后，您只需输入用户 名、登录密码、短信验证码即可完成支付。） International Business School Beijing Forging Studies University 各种支付方式有什么差异？ 总之，银联在线支付提供以下几种支付方式： 认证支付：在银联的支付页面使用“银行卡信息+手机号码”的组 合信息进行支付的方式。 快捷支付：已经关联银行卡的“银联在线支付”注册用户，在支 付页面使用“银联账户信息+手机号码”的组合信息进行支付的方式 。 储值卡支付：直接使用储值卡号、密码支付。 网银支付：跳转银行网银页面，按银行要求的信息进行支付。 International Business School Beijing Forging Studies University International Business School Beijing Forging Studies University International Business School Beijing Forging Studies University 首先，银联支付具有非常强有力的优势。第三方支付牌照刚颁布不久， 线下支付霸主“银联”就上马了线上业务，在湖北首次推出“银联在线支付” 。截至2011年底，包括联通、中百、工贸等企业，湖北已有100多家企业 与银联签订了合作协议，通过银联在线支付平台进行网上支付业务，由 此对网上支付霸主支付宝构成强劲挑战。 （1）银联认证支付无需开通网上银行，也不需要跳转到网银界面进行操 作，只要在“银联在线支付”网页，输入相关认证信息，即可快速完成交 易。通过银联在线支付单笔限额为2000元，日累计限额5000元。 （2）此次银联在线支付推出担保支付，对比发现，与其他第三方支付机 构的最大差别在于拥有独立支付账户上。以前需要把钱打到第三方平台 上，现在直接冻结在自己的银行卡中，不需要转出到第三方的账户，规 避了一定的风险。 目前，第三方支付机构的注册用户已突破7亿，每天交易额都超过30亿元 ，有的第三方支付机构每天占用银行资金高达1.6亿元，相当于使银行每 天损失手续费和利息达163.8万元。 （3）除了网上购物，网上缴水电费、信用卡还款、慈善捐款等均可通过 银联在线支付，相对其他在线支付，银联在线支付还可延伸到手机支付 端，通过手机实现移动网上支付。目前，“银联在线支付”已经广泛开展 与国内知名网上购物商城合作，如京东商城。 International Business School Beijing Forging Studies University 其次，支付宝霸主地位遭挑战。 数据显示，2010年中国互联网在线支付市场依然保持较高的市场集中度，支付宝 以51.2%的市场份额稳占半壁江山，支付宝、财付通、快钱市场份额前三位的企业 占据整个市场80%的市场份额。 业内人士分析认为，“银联在线支付”具有一定的优势，能对于其他第三方支付造 成多大的影响，要看银联如何推广自己的产品，短期内，虽然支付宝江湖老大的 地位不可动摇，但也会受到一定的冲击。 据了解，部分电子商户已弃用支付宝，转投银联在线支付。前不久，京东商城、 百联集团旗下的联华OK卡均终止了与支付宝合作。京东商城于日前将银联在线支 付纳入支付渠道，支付宝所占的市场份额已开始下滑。 易观智库最新数据显示，2012年第三季度中国第三方互联网在线支付市场格局保 持稳定，支付宝、财付通、银联在线支付分别以46.9%、20.4%和11.5%占据市场前 三甲。前三企业占据整个市场78.8%的市场份额。在交易规模方面，2012年第三季 度，中国第三方互联网支付市场交易规模达到9764亿元人民币，环比增长13.1%， 同比增长73%。 International Business School Beijing Forging Studies University （3）中国银联“无卡支付”和支付宝等第三方支付机构可以在一定 程度上相互促进 第一、快捷支付发展迅速。继支付宝、银联之后，财付通、快钱 、汇付天下等支付企业加快了快捷支付业务的市场推广力度；第 二、移动支付创新力度加大。本季度支付宝推出基于二维码和LBS 的移动支付产品，财付通联合微信布局“微生活”支付，为推动 O2O支付奠定基础；第三、线下POS收单市场拓展力度进一步加大 。主要支付公司纷纷加大拓展POS收单业务，特别是汇付天下已 在30多个城市设立分支机构，通过代理模式加快POS收单市场布 局。 International Business School Beijing Forging Studies University 第二案例背景 2、招商银行的网上银行（又名“一网通”）是指通过因特网或其他 公用信息网（如“视聆通”），将客户的电脑终端连接至银行，事 先将银行服务直接送到客户办公室、家中和手中的服务系统。它 拉近客户与银行的距离，是客户不再受限于银行的地理环境、上 班时间，突破空间距离和物体媒介的限制，足不出户就可以享受 到招商银行的服务。“一网通”包括“企业银行”、“个人银行”、“网 上支付”、“网上证券”和“网上商城”等具体内容。 网上支付系统向客户提供网上消费支付结算服务，招商银行因特 网站已通过国际权威（CA）认证且采用了先进的加密技术，客户 在使用“网上支付”时，所有数据均经过加密后才在网上传输，因 此很安全可靠。凡在招商银行办理“一卡通”的客户均可享受此项 服务。 问题：招商银行网上银行业务可能有哪些风险？这些风险应如何 防范？ International Business School Beijing Forging Studies University 答案要点： 一、招商银行网上银行业务相关风险： 操作风险： 安全性风险：比如不完善的访问控制使得黑客 可以通过互联网成功地攻击银行的系统，从而可以访问、获取和 使用机密的信息。系统设计、实施和维护方面的风险。客 户误操作风险 战略风险 如果银行业务的决策和实施与该银行的总体业务目标不一致，这 将给银行造成战略风险。 信誉风险 比如公众对网上银行运行情况产生负面的印象而损坏了银行与客 户之间的关系，第三方欺诈，等等。 法律风险 目前，网上银行业务还不完善，电子商务的法律环境还未建立 International Business School Beijing Forging Studies University 二、招行网上银行支付体系的安全保障方法 保护好自己账号密码 银行卡账号和密码是绝对私人所有，不要轻易告诉别人。不要在网上随 便透露个人资料 使用单独的银行密码 将平时在其他网站使用的各类密码与银行密码区分开，不采用同一密 码，避免因在其他网站泄漏密码导致您的银行密码同时失窃。 谨防钓鱼网站 当我们打开银行首页时，可以将正确的网址收藏起来，不要随便开启 来历不明并载有附件的电子邮件，切勿点击可疑邮件内的超级链接。 4.杀毒软件防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线， 才能接触目标计算机。 5.利用银行提供的各种增值服务 招商银行提供了免费的增值服务，如交易的短信、邮件提醒，用户可以 充分利用银行的贴心服务，掌握自己的财务消费状态。 International Business School Beijing Forging Studies University 案例背景： 什么是网上银行？ 网上银行利用Internet和Intranet技术，为客户提供综合 、统一、安全、实时的银行服务，包括提供对私、对 公的各种零售和批发的全方位银行业务，还可以为客 户提供跨国的支付与清算等其他的贸易、非贸易的银 行业务。 International Business School Beijing Forging Studies University 网上银行的功能是什么？ 1 商业银行的业务功能：银行零售业务；银行国内批发业务；全 球批发业务；银行投资业务；银行信托业务 2 网上银行的功能：处在网络世界中的银行，电子化的应用包括 六个方面：办公自动化系统、客户服务支持系统、业务处理系统 、信息发布系统、支付系统和网上银行系统。其功能包括以下内 容： (1)银行业务项目，包括个人银行、对公业务、信用卡业务、多种 付款方式、国际业务、信贷及特色服务等功能： (2)商务服务，包括投资理财、资本市场、政府服务等功能； (3)信息发布，包括国际市场外汇行情、对公利率、储蓄利率、汇 率、国际金融信息、证券行情、银行信息等功能。 International Business School Beijing Forging Studies University （一）运营风险 1、操作风险。操作风险主要来源于银行内部员工或客户的错误或 恶意操作。与银行传统业务不同的是，网上银行操作具有高技术 性，商业银行职员对业务的漫不经心和客户的疏忽， 有可能导致 网上银行严重的操作风险，从而危及网上银行的总体安全。 另外，由于网络银行信息获取的方便、准确和快捷，为商业银行 内部职员的欺诈行为提供了潜在条件。有目的地获取客户的私人 资料，使用客户的账户进行各种风险投资，将交易风险直接转嫁 到客户身上；或者直接偷窃电子货币， 让客户蒙受直接损失等这 些操作风险对银行造成的损失将是不可估量的。 International Business School Beijing Forging Studies University 2、信息不对称风险。由于网上银行无法在网上鉴别客户的风险 水平而处于不利的选择地位， 网上客户利用他们的隐蔽信息和 隐蔽行动做出对自己有利但损害网上银行利益的决策， 或者由 于不利的公众评价而使网上银行丧失客户和资金来源。 相比于传统的银行市场， 网络市场上商业银行与客户之间信息 不对称状态更加严重， 客户会有激励更多地利用信息优势地位 采取对网上银行不利的道德风险行为。 例如，网上银行根据原有风险水平确定新金融品种的价格，由 于逆向选择，高于原有风险水平的客户将大量购买这种新金融 品种， 而低于原有风险水平的客户将不会购买这种金融产品， 这样网上银行每销售一份新金融产品，将会增加其风险。 International Business School Beijing Forging Studies University 3、信用风险。网上银行提供的虚拟金融服务突破了地理国界，具 有无边界限制的服务特征。网上银行通过远程通讯手段，借助信 用确认程序对借款者的信用等级进行评估，提高了网上银行的信 用风险。 在银行业竞争激烈的大环境中，银行的信誉是难以用金钱估价的 ，甚至已经成为一种社会稀缺性资源。它是个银行生存和可持续 性发展的基础，一旦银行遭遇信誉风险，则可能引发连环性的金 融危机。 International Business School Beijing Forging Studies University （二）技术风险 虽然我国网上银行业务起步晚，但是发展速度快，安全技术和安 全管理跟上其发展水平，这是造成网上业务开展的一个突出问题 。网上银行的业务发展需要信息技术的发展作为支持， 否则安全 问题将会制约其发展。 1、技术常规风险。网上银行和商业银行其它涉及帐务处里的计算 机系统一样，面临系统总体架构设计、网络结构设计等常规风险 ，这是银行应用系统普遍关注的技术漏洞。 2、加密技术风险。加密技术，加密体制，加密算法和密钥长度等 网上交易和数据传输安全策略的确定，是网上银行安全问题的核 心。但是由于我国目前还不具备适用于互联网交易的成熟的的商 用密码产品，大多数商业银行采取的密码产品一般来自西方国家 ，而这些国家出口的往往是低端产品， 在加密这个核心问题上对 我国商业银行构成威胁。 International Business School Beijing Forging Studies University 3、身份认证和验证风险。应用PKI 体制，网上交易身份认证和验 证与加密技术一道， 共同构筑了互联网上解决交易双方或多方非 对面交易的技术基础。但是目前私人密钥和证书承载介质一般为 不携带CPU 的存贮介质，其可在任何一台计算机上即可读取，大 大降低了私人密钥的机密程度，且密钥生成依赖于认证中心，存 在安全隐患。 4、网络安全风险。网上银行在空间上拓广了客户群体的同时，也 将网络恶意行为的实施者扩大到国际范围， 地球上任何一名黑客 都是银行防范的对象，这加大了商业银行遭受风险的范围和可能 ，同时也增加了银行的成本。 5、群机系统风险。网上银行系统运行过程中涉及的诸如web 服务 器、应用服务器等硬件和软件系统是网上银行的后台系统，是商 业银行提供网上银行业务的核心部位， 一个部位出现问题或一个 程序进程死锁，都将影响网上银行业务的持续进行，它的影响也 会随着网络迅速蔓延到全国的客户。 International Business School Beijing Forging Studies University （三）法律风险 1、网络犯罪风险。网络系统是本身存在的不足会给网上银行带来风险， 随着网络黑客人数和技术水平的上升， 许多黑客对于网络的攻击，使网 上银行的网络系统受损甚至崩溃的威胁。有的网络黑客甚至窃取商业机 密或盗取资金， 以谋取不义之财， 甚至利用网上银行进行洗钱。 截止目前， 国内外没有权威数据表明网上银行犯罪造成的具体损失是多 少，但是有研究表明增长速度惊人。2003 年，英国因网上银行欺诈而导 致的损失为零，但是2006 年，这一数据达到了3350 万英镑。美国官方统 计也显示， 银行每年在网络上被偷窃的资金大于6000 万美元。网上银行 犯罪已经成为包括中国在内的各个国家不得不面对的问题。 2、法律纠纷风险。网上银行属于新兴事物，我国政府尚未有配套的法律 法规与之相适应，造成了银行在开展业务时无法可依，且银行难以采取 主动措施。另外，上网银行的交易是跨越国界的，各国之间有关金融交 易的法律、法规存在的差异，会产生国与国之间的法律问题上的冲突。 目前国际上尚未就网上银行涉及的法律达成共同协议， 也没有一个权威 的仲裁机构，客户与网上银行很容易陷入法律纠纷之中。 International Business School Beijing Forging Studies University International Business School Beijing Forging Studies University 从招商银行的角度： （一）运营管理体系构建 完善网上银行业务的运营管理体系，应当以全面性、谨慎性、有 效性、独立性为原则，贯穿业务全过程和各个操作环节，覆盖所 有使用网上银行的银行内、外部机构和个人。 对于银行内部使用网上银行的管理主要着眼于对银行内部操作网 上银行系统， 办理网上银行业务的机构和人员建立逐级管理和分 级授权的制度。对网上银行客户的管理重点在于银行对可以使用 网上银行的客户的选择，对客户可以使用网上银行服务的限制， 以及对客户操作网上银行的过程和结果进行管理。客户内部使用 网上银行的管理在于使客户根据自身情况，通过建立特定的网上 银行业务授权模式，使客户在网上银行的操作过程处于一个安全 体系控制之下。 International Business School Beijing Forging Studies University （二）网络技术体系构建 对于网络技术体系的构建最根本是建立网络安全防护 体系， 包括有效的访问控制，有效的客户身份验证系 统和多层防御系统，有效的监控体系，周期性地检查 安全漏洞，做到及时发现及时防范。 另外，应当对信息加密传输，采取先进的加密技术， 并重视高科技产品的研发和引进， 使用科技含量高的 产品可以在很大程度上提高网上银行的使用安全， 同 时培养具有专业知识和技术经验的科技人才队伍。 International Business School Beijing Forging Studies University 从用户的角度： 保护好自己账号密码 银行卡账号和密码是绝对私人所有，不要轻易告诉别人。不要在 网上随便透露个人资料 使用单独的银行密码 将平时在其他网站使用的各类密码与银行密码区分开，不采用同 一密码，避免因在其他网站泄漏密码导致您的银行密码同时失窃 。 谨防钓鱼网站 当我们打开银行首页时，可以将正确的网址收藏起来，不要随便 开启来历不明并载有附件的电子邮件，切勿点击可疑邮件内的超 级链接。 International Business School Beijing Forging Studies University 4.杀毒软件防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全 防线，才能接触目标计算机。 5.利用银行提供的各种增值服务 招商银行提供了免费的增值服务，如交易的短信、邮件提醒，用 户可以充分利用银行的贴心服务，掌握自己的财务消费状态。 International Business School Beijing Forging Studies University 电子金融与支付安全 第二次作业题目解答 范静 北京外国语大学国际商学院 International Business School Beijing Forging Studies University 题目1： SSL协议（Security Socket Layer，安全套接层协议）是网景（ Netscape）公司提出的基于Web应用的安全协议，该协议向基于 TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数 据完整性及信息机密性等安全措施。该协议通过在应用程序进行 数据交换前交换SSL初始握手信息，来实现有关安全特性的审查。 在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数 据完整性，并采用X.509的数字证书实现鉴别。 SET协议是1997年5月31日由VISA和MasterCard两大信用卡公司联 合推出的一个基于开放网络的安全的以信用卡支付为基础的电子 商务协议。它运用了RSA安全的公钥加密技术，具有资料保密性 、资料完整性、资料来源可辨识性及不可否认性，是用来保护消 费者在Internet持卡付款交易安全中的标准。现在，SET已成为国 际上所公认的在Internet电子商业交易中的安全标准。 International Business School Beijing Forging Studies University International Business School Beijing Forging Studies University 安全协议 安全套接层协议SSL（Secure Sockets Layer） 安全电子交易协议SET (Secure Electronic Transaction) International Business School Beijing Forging Studies University SSL协议背景： 安全套接层协议SSL（Secure Sockets Layer），国 际上最早应用于电子商务的一种安全协议 Netscape公司于1994年开发的对互联网上计算机间对 话进行加密的一种网络安全协议；它采用公开密钥和 对称密钥向结合的技术，通过浏览器软件和WWW服务 器建立一条安全、可信任的通信通道；在这一通道中 ，所有点对点的信息都被加密，从而实现了在 Internet中的传输保密文件。 International Business School Beijing Forging Studies University SSL本质上并不是一个支付协议，而是一个安全数据交 换协议。例如在登录电子邮箱时往往有SSL保护邮箱地 址和密码。因此，SSL协议并不是专门用于电子支付的 技术，其设计目的是保证互联网信息传递的保密性。 在电子交易过程中，通过SSL协议建立消费者和商家之 间的联系，其用户端的浏览器和商家服务器通过一个 加密的安全通道进行信息交换，第三者无法通过窃听 的方式把得到的加密数据还原成明文。 International Business School Beijing Forging Studies University 套接层协议（SSL）运行在TCP/IP层（即传输层）之上 、应用层之下。 n在应用层协议通信之前就已经完成了加密算法、 通信密钥的协商以及通信双方的认证工作； n为应用层提供了安全的传输通道，高层的应用层 协议（如http, ftp, Telnet等）可以透明地建立与SSL 协议之上； n应用层协议所传送的数据都会被加密，从而保证 了通信的机密性。 International Business School Beijing Forging Studies University International Business School Beijing Forging Studies University SSL协议的体系结构 International Business School Beijing Forging Studies University SSL的工作流程 浏览器请示与服务器建立安全会话； 浏览器与Web服务器交换密钥证书以便双方互相确认； Web服务器与浏览器协商密钥位数（40位或128位）；用户 机提供资金支持的所有算法清单，服务器选择它认为最有 效的密码。 浏览器将产生的会话密钥用Web服务器的公钥加密传给 Web服务器； Web服务器用自己的私钥解密； Web服务器和浏览器用会话密钥加密和解密，实现加密传 输。 International Business School Beijing Forging Studies University SSL的应用 （1）单向认证：又称匿名SSL连接，这是SSL安全连接的最基本 模式，它便于使用，主要的浏览器都支持这种方式，适合单向数 据安全传输应用。 n在这种模式下客户端没有数字证书，只是服务器端具有证书 。 n典型的应用就是用户进行网站注册时采用ID口令的匿名认证 ，过去网上银行的所谓“大众版”就是这种认证。 International Business School Beijing Forging Studies University SSL的应用 （2）双方认证：是对等的安全认证，这种模式通信双方都可以 发起和接收SSL连接请求。 通信双方可以利用安全应用程序(控键)或安全代理软件，前者一 般适合于B/S结构，而后者适用于C/S结构，安全代理相当于一个 加密/解密的网关，这种模式双方皆需安装证书，进行双向认证 。 这就是网上银行的专业版等应用。电子商务与网上银行交易不同 ，因为有商户参加，形成客户商家银行，两次点对点的 SSL连接。客户，商家，银行，都必须具证书，两次点对点的双 向认证。 International Business School Beijing Forging Studies University SSL协议在实际应用中的几个问题 SSL协议在实际应用中的几个问题 （1）不能提供交易的不可否认性。SSL协议是基于Web应用的安全 协议，它只能提供安全认证，SSL链路上的数据完整性和保密性。 对于电子商务的交易应用层的信息不进行数据签名，因此，不能 提供交易的不可否认性，这是SSL在电子商务中使用的最大缺欠。 （2）服务器的处理速度问题。由于在网上交易时，一定要使用SSL 加/解密用户数据，这样服务器就占用了大量CPU的处理时间，增 大了系统的开销，使SSL登陆和传输数据的速度变慢。 International Business School Beijing Forging Studies University SET协议 International Business School Beijing Forging Studies University SET协议背景： SET协议 (安全电子交易协议，Secure Electronic Transaction) 由VISA和MasterCard联合发起；在IBM 、Netscape等多家计算机公司支持下于1996年联合推 出的； 其实质是一种应用于互联网开放环境下，以信用卡支 付为基础的安全支付协议。 International Business School Beijing Forging Studies University SET协议向基于信用卡进行电子化交易的应用提供了 实现安全措施的规则。 SET协议利用公开密码体制和X.509数字证书标准，通 过公开密钥加密、数字签名、数字证书等核心技术， 解决了用户、商家和银行之间通过信用卡支付时支付 信息的保密性和完整性、支付过程的安全性，以及商 家和持卡人身份的合法性。 International Business School Beijing Forging Studies University SET协议提供的服务功能及目标 (1)保证客户交易信息的保密性和完整性 SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和 订单信息分别签名，使得商家看不到支付信息，只能接收用户的 订单信息；而金融机构看不到交易内容，只能接收到用户支付信 息和帐户信息，从而充分保证了消费者帐户和定购信息的安全性 。 International Business School Beijing Forging Studies University (2)确保商家和客户交易行为的不可否认性 SET协议的重点就是确保商家和客户的身份认证和交易行为的不可 否认性。其理论基础就是不可否认机制，采用的核心技术包括 X.509电子证书标准，数字签名，报文摘要，双重签名等技术。 (3)确保商家和客户的合法性 SET协议使用数字证书对交易各方的合法性进行验证。通过数字证 书的验证，可以确保交易中的商家和客户都是合法的，可信赖的。 International Business School Beijing Forging Studies University SSL与SET的主要区别 项目 SSL协议SET协议 使用专用软件否是 协议所处层次传输层与应用层之间应用层 是否透明透明不透明 过程简单复杂 效率高低 安全性商家掌握客户IP客户IP对商家保密 认证机制双方认证多方认证 是否专为EC设计否是 International Business School Beijing Forging Studies University SSL与SET的主要区别 u(1)用户方面。 SSL协议已被浏览器和服务器内置，无须安装专门软件，也不用 申请数字证书。 SET协议中在用户端要安装专门的电子钱包软件，在商家服务器 和金融专用网络上也需要安装相应的软件，还必须向交易的各方 发放数字证书。而且只适用于B2C模式的信用卡交易。 SET比SSL的使用成本高，推行阻力大。 International Business School Beijing Forging Studies University SSL与SET的主要区别 u(2)协议层次方面。 SSL协议位于传输层和应用层之间，可以很好地封装应用层的数 据，对用户是透明的。 SET协议则位于应用层，对网络上其它层也有涉及，规范了整个 商务活动的流程。 International Business School Beijing Forging Studies University SSL与SET的主要区别 u(3)效率方面。 SET协议非常复杂、庞大、处理速度慢，系统负载重，一个典型 的SET交易过程需验证电子证书9次，验证数字签名6次，传递证 书7次，进行5次签名，4次对称加密和4次非对称加密，整个交易 过程需要1.52次。 SSL协议则简单得多，整个交易过程只需要几秒钟，工作效率高 。 International Business School Beijing Forging Studies University SSL与SET的主要区别 u(4)认证方面。 SSL协议中只有商家服务器的认证是必须的，用户端认证则是可 选的 。 SET协议的认证要求较高，所有参与的成员都必须申请数字证书 ，并解决了用户与银行、用户与商家、商家与银行之间的多方认 证问题。 International Business School Beijing Forging Studies University SSL与SET的主要区别 u(5)应用层次方面。 SSL协议是面向连接的，但它只是简单地建立起通信双方的安全 连接，运行在协议下的支付系统只能与Web服务器捆绑在一起； SET协议是一个多方的报文协议，它定义了持卡人、商家和银行 所必须遵守的报文规范，可在银行内部网和其他网络上传输。不 仅能够加密两个端点之间的对话，还可以加密盒认定三方面的多 个信息。 International Business School Beijing Forging Studies University SSL与SET的主要区别 (6)SSL与SET的服务功能与目标之间的区别 SSL：单向认证、双向认证、但不提供不可否认性 SET：完整性、安全性、不可否认性等。 International Business School Beijing Forging Studies University 第二次作业第二题 （1）第三方支付公司的优势和劣势是什么？ （2）第三方支付公司和商业银行未来的关系是合作大 于竞争还是竞争大于合作？（出自第五单元） International Business School Beijing Forging Studies University 以“支付宝”为代表的第三方支付是在银行监管下保障交易双方利益的独 立机构，是买卖双方在交易过程中的资金“中间平台”。其基本模式是： 买方购买商品后，将货款交付给第三方支付平台，由第三方通知卖方发 货，买方收到商品并满意后，由第三方将货款交付给卖方；若买方不满 意，第三方支付平台确认商家收到退货后，将货款退还给买方。 由于网络的虚拟性，交易双方在网上是匿名的，第三方就充当信誉 证人的角色，即保护