电子商务之电子支付工具.ppt

电子支付技术,电子支付概述 安全套接层协议SSL 安全电子交易SET协议 电子支付工具 网上银行,1989年美国法律学会的统一商业法中定义：电子支付是支付命令发送方把存放于商业银行的资金，通过一条线路划入收益方开户银行，以支付给收益方的一系列转移过程。 电子支付是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以计算机技术和通信技术为手段，以电子数据(二进制数据)形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付。,电子支付的定义,以计算机技术为支撑，进行储存、支付和流通 集储蓄、信贷和非现金结算等多种功能为一体 可广泛应用于生产、交换、分配和消费领域 使用简便、安全、迅速、可靠 电子支付通常要经过银行专用网络,电子支付的特点,第一阶段是银行利用计算机处理银行之间的业务，办理结算 第二阶段是银行计算机与其他机构计算机之间资金的结算 第三阶段是利用网络终端向客户提供各项银行服务 第四阶段是利用银行销售点终端(POS)向客户提供自动的扣款服务 第五阶段是最新发展阶段，电子支付可随时随地通过互联网络进行直接转账结算，形成电子商务环境。这是正在发展的形式，也将是新世纪的主要电子支付方式。我们又称这一阶段的电子支付叫网上支付。,电子支付的发展阶段,电子商务交易协议：来支持常用的信用卡支付、数字现金支付和电子支票支付 Digicash：是一个匿名的数字现金协议，客户在消费中不会暴露其身份 SSL：是一个使用加密的办法建立安全的通信通道的协议,可以支持简单加密的信用卡支付方式，通过采用SSL，可以将客户的信用卡号加密安全地传送给商家 SET：是基于安全的信用卡协议，实现了信息的集成、全部金融数据的证实、敏感数据的加密等工作 Netbill: 是支持电子支票支付的协议,电子商务交易协议,电子商务中常见的电子交易有以下五种类型： 支付系统无安全措施的模式 通过第三方代理人支付的模式 数字现金支付模式 简单加密支付系统模式 安全电子交易SET支付模式,电子交易的主要模式,支付系统无安全措施的模型,特点 风险由商家承担 商家完全掌握用户的信用卡信息 信用卡信息的传递无安全保障,通过第三方经纪人支付的模型,特点 用户账户的开设不通过网络 信用卡信息不在开放的网络上传送 通过电子邮件来确认用户身份 商家自由度大，风险小 支付是通过双方都信任的第三方(经纪人)完成的,数字现金支付模型,特点 银行和商家之间应有协议和授权关系 用户、商家和数字现金的发行都需要使用数字现金软件 适用于小额交易 身份验证是由数字现金本身完成的 数字现金的发行负责用户和商家之间实际资金的转移 数字现金与普通现金一样，可以存、取和转让,简单加密支付系统模型,特点 信用卡等关键信息需要加密 使用对称和非对称加密技术 可能要启用身份认证系统 以数字签名确认信息的真实性 需要业务服务器和服务软件的支持,SET协议的目标 信息在互联网上安全传输，不能被窃听或篡改 用户资料要妥善保护，商家只能看到订货信息，看不到用户的账户信息 持卡人和商家相互认证，以确定对方身份 软件遵循相同的协议和消息格式，具有兼容性和互操作性,安全电子交易SET支付模式,电子支付概述 安全套接层协议SSL 安全电子交易SET协议 电子支付工具 网上银行,SSL -Secure Socket Layer,Netscape Communication公司设计开发。V3作为RFC发布。后IETF建立一个TLS工作小组，作为Internet Standard。TLS的第一个版本可以看作是SSLv3.1 SSL提供数据加密、服务器认证、报文完整以及TCP/IP联接用可选客户认证等，对计算机之间整个会话过程进行加密 采用SSL协议，可确保信息在传输过程中不被修改，实现数据的保密与完整性，在Internet上广泛用于处理财务上敏感的信息。 SSL使用了证书、数字签名、以及加密技术（基于RSA）等多种技术,SSL协议的服务,认证用户和服务器，使得他们能够确信数据将被发送到正确的客户和服务器上 加密数据，以保证数据在传送过程中的安全，即使数据被窃，盗窃者没有解密密钥也得不到可读的资料 维护数据的完整性，确保数据在传送过程中不被改变。,SSL协议的作用,向客户端进行服务器认证 可选的，向服务器进行客户认证 在两台机器间产生加密的连接,SSL协议的特性,保密性：握手之后，采用单钥体制进行数据加密、采用双钥体制进行身份鉴别 可靠性：采用消息摘要算法进行完整性检查 确认性：尽管会话的客户端认证是可选的，但是服务器端始终是被认证的 灵活性：通信双方可选择密码算法；允许多种形式各种级别的身份鉴别,IP,SSL Change Cipher Spec Protocol,SSL Alert Protocol,Application Protocol,TCP,SSL Record Protocol,SSL Handshake Protocol,SSL Protocol Stack,HTTP,LDAP,IMAP,SSL位于TCP/IP协议和应用协议之间,SSL握手协议（ Handshake Protocol）,SSL的安全性,几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、Netscape Enterprise Server等）都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点： 系统不符合国务院最新颁布的商用密码管理条例中对商用密码产品不得使用国外密码算法的规定 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上，因此从本质上来讲，攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制，使得进入我国的实现了SSL的产品（Web浏览器和服务器）均只能提供512比特RSA公钥、40比特对称密钥的加密。,SSL的应用,SSL的典型应用主要有两个方面，一是客户端，如浏览器等；另外一个就是服务器端，如Web服务器和应用服务器等。目前，一些主流浏览器（如IE和Netscape等）和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持。 要实现浏览器（或其他客户端应用）和Web服务器（或其他服务器）之间的安全SSL信息传输，必须在Web服务器端安装支持SSL的Web服务器证书，在浏览器端安装支持SSL的客户端证书（可选），然后把URL中的“http:/”更换为“https:/”。,电子支付概述 安全套接层协议SSL 安全电子交易SET协议 电子支付工具 网上银行,安全电子交换协议SET,SET （Secure Electronic Transaction）是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议，用来保证公共网络上银行卡支付交易的安全性，因而成为Internet上进行在线交易的电子付款系统规范 它采用公钥密码体制和X.509数字证书标准，主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现，也是一个基于可信的第三方认证中心的方案,SET协议的目标,信息在Internet上的安全传输，保证网上传输的数据不被黑客窃听； 订单信息和个人账号信息的隔离，在将包括消费者账号信息的订单送到商家时，商家只能看到订货信息，而看不到消费者的账户信息； 消费者和商家的相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保； 要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。,SET协议中的角色,持卡人：在电子商务环境中，消费者和团体购买者通过计算机与商家交流，持卡人通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。在持卡人和商家的会话中，SET可以保证持卡人的个人帐号信息不被泄漏。 发卡机构：它是一个金融机构，为每一个建立了帐户的顾客颁发付款卡，发卡机构根据不同品牌卡的规定和政策，保证对每一笔认证交易的付款。 商家：提供商品或服务，使用SET，就可以保证持卡人个人信息的安全。接受卡支付的商家必须和银行有关系。 银行：在线交易的商家在银行开立帐号，并且处理支付卡的认证和支付。 支付网关：是由银行操作的，将Internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。,SET协议的核心技术 双重数字签名,在我们用信用卡购物时，我们作为持卡人向商户提出订购信息的同时，也给银行付款信息，以便授权银行付款，但我们不希望商户知道自己的账号的有关信息，也不希望开户行知道具体的消费内容，只需按金额贷记或借记账即可。 这其实就是双重数字签名，它把需要寄出两个相关信息给接收者，接收者只能打开一个，而另一个只需转送，不能打开看其内容。这有效的保护了消费者的隐私和商家的商业机密。,SET协议的核心技术 双重数字签名,双重签名的作用： 实现订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到卖方时，商家只能看到订货信息，而看不到持卡人的账户信息。,双重签名的实现步骤,(1) 信息发送方对发给商户的信息1用对称密钥SK1加密，并生成信息摘要1。 (2) 信息发送方对通过商户转发给银行的信息2用对称密钥SK2加密，并生成信息摘要2。 (3) 信息发送方把信息摘要1和信息摘要2链接在一起，产生信息摘要3，并用私钥对其进行数字签名。 (4)信息发送方用商户的公钥对SK1加密，得到数字信封DE1 （5）信息发送发用银行的公钥对SK2加密,得到数字信封DE2,(4)信息发送方把加密后的信息1、加密后的信息2，数字信封DE1,数字信封DE2,信息摘要1，信息摘要2和信息摘要3的签名发给商家。 (5)商家用自己的私钥解开数字信封DE1,得到对称密钥SK1，然后用SK1对信息1解密，得到信息1，在将解密的信息1生产新的信息摘要1，和信息摘要2链接成新的信息摘要； 同时使用发送方的公钥对信息摘要3的签名进行验证（解密），以确定信息发送方的身份和信息是否被修改过。,双重签名的实现步骤（续）,(7) 商家将加密的信息2，数字信封DE2,信息摘要1，信息摘要2和信息摘要3的签名转发给银行。银行收到信息后，用自己的私钥对数字信封DE2解密，得到对称密钥SK2，用SK2将信息2解密，然后对信息2生成信息摘要，将其和收到的信息摘要1合在一起，链接成新的信息摘要； 同时使用发送方的公钥对信息摘要3的签名进行验证（解密），以确定信息发送方的身份和信息是否被修改过。,SET协议的工作原理,（1） 用户向商家发送购货单和一份经过签名、加密的信托书。书中的信用卡号是经过加密的，商家无从得知； （2） 商家把信托书传送到收单银行，收单银行可以解密信用卡号，并通过认证验证签名； （3） 收单银行向发卡银行查问，确认用户信用卡是否属实； （4） 发卡银行认可并签证该笔交易； （5） 收单银行认可商家并签证此交易； （6） 商家向用户传送货物和收据； （7） 交易成功，商家向收单银行索款； （8） 收单银行按合同将货款划给商家； （9） 发卡银行向用户定期寄去信用卡消费账单。,SET协议规定的工作流程,支付协议中采用的加密技术,1数字信封：SET依靠密码系统保证消息的可靠传输，在SET中，使用DES算法产生的对称密钥来加密数据，然后，将此对称密钥用接收者的公钥加密，称为消息的“数字信封”，将其和数据一起送给接收者，接收者先用他的私钥解密数字信封，得到对称密钥，然后使用对称密钥解开数据。 2数字签名：由于公开密钥和私有密钥之间存在的数学关系，使用其中一个密钥加密的数据只能用另一个密钥解开，SET中使用RSA算法来实现。发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可确定消息来自于谁。这就保证了发送者对所发信息不能抵赖。,支付协议中采用的加密技术(续),3消息摘要：在SET协议中，原文通过SHA-1算法生成消息的文摘。 4. 双重签名：为了保证消费者的账号等重要信息对商家隐蔽，SET中采用了双重签名技术，它是SET推出的数字签名的新应用。首先生成两条消息的摘要，将两个摘要连接起来，生成一个新的摘要（称为双重签名），然后用签发者的私有密钥加密，为了让接收者验证双重签名，还必须将另外一条消息的摘要一块传过去。这样，任何一个消息的接收者都可以通过以下方法验证消息的真实性：生成消息摘要，将它和另外一个消息摘要连接起来，生成新的摘要，如果它与解密后的双重签名相等，就可以确定消息是真实的。,SET的缺陷,SET的复杂性和认证机制决定了完全采用SET实施的应用系统寥寥无几，其困难不在于技术实施，而在于建立一个为商家、银行、发卡机构和消费者普便认可的证书权威认证机构CA及其认证体系，这是一个敏感的商业问题，牵涉多方利益，很难协调。 SET的另一个弱点，是作为一种卡支付协议，对别的安全协议，如SSL、IP sec/VPN、S/MIME等不兼容，所以，SET协议不但不支持除了卡支付以外的其它支付方式，更不能支持电子商务中另一种增长较快、交易额较大的网上交易方式B2B的电子商务。,电子支付概述 安全套接层协议SSL 安全电子交易SET协议 电子支付工具 网上银行,信用卡就是一种常见的银行卡，1915年起源于美国。是一种信用凭证是一种将支付与信贷融为一体的业务。 信用卡的特点 两种功能：同时具备信贷与支付 三角关系：信用卡除银行与客户之外，还与受理信用卡商户发生关系,信用卡,按信用卡性质与功能区分 借记卡（Debit Card）：先存款，后支用 贷记卡（Credit Card）：先消费，后还款 综合卡：结合两种功能的卡，偏重“借记” 按发卡机构区分 金融卡：万事达卡（Master Card）、威萨卡（Visa Card）、中国银行长城卡等 非金融卡：加油卡、地铁卡、电话卡、商业优惠卡等 按发卡对象区分 主卡、附属卡、个人卡、公司卡等 4.按持卡人信誉或社会经济地位区分 白金卡、金卡、银卡、普通卡等 5.按流通范围区分 国际卡、区域卡,信用卡的分类,信用卡基本功能 ID功能：能够证明持卡人的身份 结算功能：用于支付，是非现金、支票、期票的结算 信息记录功能：将持卡人的属性（身份、密码）、对卡的使用情况等各种数据记录在卡中的功能 信用卡的补充功能 消费信用 、消费信贷、吸收存储 、转帐结算 、通存通兑 、自动存款 、代发工资 、代理收费 、信誉标志,信用卡的功能,第一阶段 完成客户的购物 第二阶段 从客户帐目向商家帐目转帐 第三阶段 通知客户应支付的款额并为客户下帐,信用卡业务过程的三个阶段,电子现金支付方式,1、含义 电子现金(E-cash)：又称电子货币（E-money）或数字货币（digital cash）,被看作是现实货币的电子或数字模拟，它以数字形式存在，以数据形式流通，是通过Internet购买商品或服务时使用的货币。 2、发行方式 存储性质的预付卡：如银行发行的具有数字化现金功能的智能卡、各种储蓄卡等，在商家的POS机上都可以受理，一般用于小额交易。 纯电子形式的用户号码数据文件，把数字现金从买方处扣除并传输给卖方。,电子现金支付方式,3、 属性 货币价值 电子现金必须有一定的现金、银行授权的信用或银行证明的现金支票进行支持。 可交换性 电子现金可以与纸币、商品/服务、网上信用卡、银行账户存储金额、支票或负债等进行互换。 可存储性 可存储性将允许用户在家庭、办公室、或途中对存储在一个计算机的外存、IC卡，或者其他更易于传输的标准或特殊用途的数字现金进行存储和检索。电子现金的存储是从银行账户中提取一定数量的电子现金，存入上述设备。 重复性 必须防止电子现金的复制和重复使用。,电子现金支付方式,4、属于“预先付款”的支付系统 5、具体运行方式 购买 用户在E-CASH发布银行开E-CASH账号，购买E-CASH 存储 使用PC E-CASH终端软件从E-CASH银行取出一定数量的E-CASH存在硬盘上，通常少于100$。 购买商品或服务 用户从同意接收E-CASH的商家订货，使用E-CASH支付所购商品的费用。 资金清算 接收E-CASH的商家与E-CASH发放银行之间进行清算，E-CASH银行将用户购买商品的钱支付给商家。 确认订单 卖方获得付款后，向买方发送订单确认信息。,1、购买E-cash、2、存储E-cash 、3、用E-cash购买商品或服务 、4、资金清算、5、确认订单,数字现金的应用过程,银行和卖方之间应有协议和授权关系 买方、卖方和E-cash银行都需使用E-cash软件 因为数字现金可以申请到非常小的面额，所以数字现金适用于小的交易量(minipayment) 身份验证是由E-cash本身完成的 E-cash银行负责买方和卖方之间资金的转移 具有现金特点，可以存、取、转让 这种方式比较安全 E-cash与普通钱一样会丢失,数字现金支付的特点,1.IBM（Mini-pay） 2.DigiCash（1994年，荷兰， 0.1美分/交易） 3.CyberCash（1994年8月，30美分/交易） 4.Netcash 5.Modex（1995年，英格兰，结合智能钱夹和电子钱包） 6.Millicent（ 0.1美分/交易） 7.中国的CNAPS,现行解决方案,是指安装在客户端计算机上，并符合SET规格的软件。 基本功能 与商家端的SET软件沟通，以激活SET交易 向商家端查询有关付款和订货的相关信息 接收来自商家端的响应信息 向认证中心要求申请数字证书，并下载数字证书的申请表 从认证中心下载持卡人的数字证书 与认证中心沟通，查询数字证书目前的状态,电子钱包(Electronic Wallet),运作方式 Plug-in 交易前，客户必须下载电子钱包,付款信息,请启动电子钱包,启动完成，可以开始交易,SET信息,客户端浏览器,商家服务器,电子钱包(Electronic Wallet) （续）,商家服务器(Merchant Server或POSPoint of Sale),指商家端提供的SET服务软件，其功能包括： 联系客户端的电子钱包 联系支付网关 向商店的认证中心查询数字证书的状态 处理SET的错误信息,持卡人,商家服务器,支付网关,商家服务器的运作方式,支付网关(Payment Gateway),即为SET信息与现有银行网络的转接处，负责接收来自商家服务器送来的SET信息，其中包括重要的信用卡数据，在转换成银行网络的格式后传送给收单银行处理。同时作相应的检查工作，如确认商家和持卡人的身份等。 信用卡付款授权程序 当客户端传来订单与付款数据时，商家端将接收该订单，并且将加密过的付款数据传给支付网关，要求取得付款授权。如图所示：,比起前两种电子支付方式，电子支票的出现和开发是较晚的。 电子支票使得买方不必使用写在纸上的支票，而是用写在屏幕上的支票进行支付活动。电子支票几乎和纸质支票有着同样的功能。,电子支票支付方式,电子支票与传统支票工作方式相同，易于理解和接受 加密的电子支票使它们比基于公共密钥加密的数字现金更易于流通 电子支票适于各种市场，可以很容易地与EDI应用结合 第三方金融服务者不仅可从交易双方处抽取固定交易费用或按一定比例抽取费用，还可作为银行身份，提供存款账目 电子支票技术将公共网络连入金融支付和银行清算网络,电子支票支付的特点,电子支票的认证 电子支票是客户用其私钥所签署的一个文件。接收者(商家或商家的开户行)使用支付者的公钥来解密客户的签字。这样将使得接收者相信发送者的确签署过这一支票。 公钥的发送 发送者及其开户行必须向接收者提供自己的公钥。提供方法是将他们的X509证书附加在电子支票上。 私钥的存储 为了防止欺诈，可向客户提供一个Smart卡，以实现对私钥的安全存储。 银行本票 银行本票由银行按如下方式发行：发行银行首先产生支票，用其私钥对其签字，并将其证书附加到支票上。接收银行使用发行银行的公钥来解密数字签字。,电子支票支付的安全性要求,NetBill,电子支票实例,电子资金转帐的定义 电子资金转帐（EFT，Electronic Funds Transfer）是一种使用主计算机、终端机、磁带、电话以及通信网络等电子设备和技术手段进行的快速、高效的资金传递方式，通常用于大额资金的实时转账，特别适用于大型企事业和商业单位通过银行所进行的各种支付业务。 国际上主要的电子资金清算系统 环球银行金融电讯协会的SWEFT系统 美国联邦储备局（FRB） 美国的CHIPS系统 英国CHAPS系统,电子资金转帐,智能卡支付方式,20世纪70年代中期在法国问世。 类似信用卡，在计算机芯片和小的存储器上将消费者信息和电子货币存储起来。 用途： 购买产品、服务 存储信息,智能卡支付方式,智能卡的结构： 建立智能卡的程序编制器 处理智能卡操作系统的代理： 智能卡操作系统 智能卡应用程序接口的附属部分 作为智能卡应用程序接口的代理 智能卡的应用范围： 电子支付 电子识别 数字存储,智能卡支付方式,在机器上(PC机，终端电话)启动消费者的因特网浏览器,通过安装在PC机上的读卡机，用消费者的智能卡登录到为消费者服务的银行的Web站点，告知银行消费者的账号、密码和加密信息,消费者从智能卡中下载现金到厂商的帐户上 从银行帐户下载现金存入智能卡。,智能卡系统工作过程,智能卡支付方式,智能卡标准,优点,全球PC/SC计算机与智能卡联盟 EMV集成电路卡规范 PCSC(个人计算机智能卡)标准 Java Card API标准 欧洲电讯工业智能卡规范 中国IC卡系列标准与规范,使电子商务中的交易简便易行 具有很好的安全性和保密性,网上银行,网上银行的定义 网上银行利用Internet和Intranet技术，为客户提供综合、统一、安全、实时的银行服务，包括提供对私、对公的各种零售和批发的全方位银行业务，还可以为客户提供跨国的支付与清算等其他的贸易、非贸易的银行业务服务。 网上银行的特征 依托计算机和计算机网络与通信技术 把银行的业务直接在互联网上推出 个人用户通过网络交纳社会服务费用，进行网络购物 企业集团用户可在网上进行电子贸易 提供网上支票报失、查询服务，维护金融秩序