（产业经济学专业论文）我国电子商务中的跨行电子支付.pdf

我同l u 子商葑中的跨行i u 于土付 y , t 1 0 0 6 艿 内容摘要 电子商务是在汁算机附络的平台上，使用电子数据传输进行的商务活动。电 子支付是电子商务系统的晕要组成部分，跨行电子支付是指在不同金融机构之间 进行资金转移的支付活动。电子商务中大多数支付业务涉及资金从个账户转至 另一个账户或执一家金融机构转至另一家金融机构，金融机构之间必须通过专门 的支付基础设施和手段来实现这种信息和资金的传递。圉此，电子支付中跨行支 付的安全与效率在很大程度上影响着电子商务的发展。 如何利用现有的基础，建立高效、安全的跨行支付系统，推进电子支付的发 展是本文的研究重点，本文从电子商务中的支付系统入手，研究了电子支付的分 类和安全基础，对国内外电子商务跨行电子支付的现状进行了分析，重点咀银行 卡跨行自助转账系统为例，就利用银行卡实现不同银行之间的资金转移的系统设 计进行讨论，分析了系统的需求、基本功能、系统结构、删络结构、信息传输格 式标准、安全接口、清算和认证的实现，并对银行卡跨行支付实旄的关键阃题， 以及银行卡跨行支付的应用前景进行了讨论。该系统的主要功能是为用户提供网 上支付、a t m 、电话银行等安全支付方式：在交易中提供对交易双方的安全认证方 式；支持多种银行支付处理系统；把支付请求转化为银行内部支付交易；提供审 计和控制信息。 奉文通过对电子商务中的跨行支付理论和实践两个方面的研究，讨论了我国 在目前金融信息化水平较低的情况下，如何利用现有的支付体系，制定统一的技 术标准，解决支付的安全、认证、清算方面的问题，实现快速、准确、安全的跨 行支付，最后提出了发展我国跨行电子支付的策略，以建立中国特色的电子支付 系统，迎接电子商务时代的到来。 t h e i n t e r b a n ke l e c t r o n i cp a y m e n t o f e c o m m e r c ei no u r c o u n t r y a b s t r a c t e l e c t r o n i c p a y m e n ti s a ni m p o r t a n tp a r to fe c o m m e r c e ，m o s to fe l e c t r o n i c p a y m e n to fe c o m m e r c ed e a l w i t hd i f f e r e n ta c c o u n t sb e t w e e nd i f f e r e n tb a n k s ，a n d t h e r e f o r et h e d e v e l o p m e n to fe - c o m m e r c eh a sb e e n a f f e c t e d b yt h es e c u r i t y a n d e f f i c i e n c yo f i n t e r b a n ke l e c t r o n i cp a y m e n tt os o m ee x t e n t h o wt ou s ee x i s t i n ge l e m e n t st oe s t a b l i s has e c u r ea n de f f i c i e n ti n t e r b a n kp a y m e n t s y s t e mi s t h ee m p h a s i so ft h i st h e s i s i th a sr e s e a r c h e dt h e c a t e g o r ya n ds e c u r i t yo f e l e c t l o n i e p a y m e n t , a n a l y z e dt h e s i t u a t i o no ft h ei n t e r b a n k p a y m e n ts y s t e m o f e - c o m m e r c ei nc h i n aa n dt h ew o r l d i th a ss t r e s s e do nt h es y s t e ma n a l y s i sa n dd e s i g n o ft h eb a n k c a r di n t e r b a n kp a y m e n ts y s t e m ，d i s c u s s e dt h es y s t e mr e q u i r e m e n t s ，b a s i c f u n c t i o n a l i t y ,s y s t e mc o m p o n e n ta r c h i t e c t u r e ， n e t w o r k a r c h i t e c t u r e ， m e s s a g e s - i n t e r c h a n g ef o r m a t ，s e c u r i t yi n t e r f a c e ，c l e a r i n g a n di d e n t i f i c a t i o n a u t h e n t i c a t i o n ，k e yp r o b l e m i na p p l i c a t i o n ，a n df u t u r e0 f t h es y s t e m t h es y s t e m h a s p e r f o r m e dt h ef o l l o w i n gb a s i cf u n c t i o n si no r d e rt om e e tt h er e q u i r e m e n t s ：p r o v i d e s e c u n t y m e t h o d sf o ri n t e r b a n k p a y m e n t st h r o u g hi n t e r n e la t m ，a n dt e l e p h o n e b a n k i n g s e r v i c ee t c f o r c u s t o m e r s ；p r o v i d e m e c h a n i s m st oe n a b l et h es e c u r e a u t h e n t i c a t i o no fp a r t i e si nt h et r a n s a c t i o n ；p r o v i d ea c c e s st om u l t i p l eb a n kp a y m e n t p r o c e s s i n gs y s t e m sw i t ho n ep r o t o c o l ；t r a n s f o r map a y m e n tr e q u e s t i n t oab a n k p a y m e n t t r a n s a c t i o n ；p r o v i d ei n f o r m a t i o nf o ra u d i ta n d c o n t r o lm a n a g e m e n t t h r o u g ht h et h e o r e t i c a la n dp r a c t i c a ls t u d yo ni n t e r b a n ke l e c t r o n i cp a y m e n ti n e 。c o m m e r c e ，t h i st h e s i sh a sd i s c u s s e dh o w t ou s et h ee x i s t i n gp a y m e n ts y s t e m su n d e r t h el o wl e v e lo ff i n a n c i a lc o m p u t e r i z i n gi no u re o u n t r yt or e a l i z ear a p i d ，s e c u r ea n d e x a c ti n t e r b a n kp a y m e n t sb y d e f i n i n gm e s s a g e s - i n t e r c h a n g ef o r m a t ，f i n d i n g s o l u t i o n s f o r p a y m e n ts e c u r i t y , c l e a r i n g a n d a u t h e n t i c a t i n g ；b r i n g f o r w a r da s t r a t e g y o f d e v e l o p i n g i n t e r b a n ke l e c t r o n i c p a y m e n ti n o u r c o u n t r y t om e e tt h e c o m i n g o f e - c o m m e r c e a g e 硕士学位论文 我国电子商务中的跨行电子支付 引言 联合国经济合作和发展组织( o e c d ) 在有关电子商务的报告中对电子商务 ( e - c o m m e r c e ) 的定义是：电子商务是发生在开放阿络上的包含企业之间 ( b u s i n e s st ob u s i n e s s ) 、企业和消费者之间( b u s i n e s st oc o n s u m e r ) 的商业交 易。总的来讲，电子商务可以说是在计算机嘲络的平台上，使用电子数据传输进 行的商务活动。 i n t e r n e t 使得任何规模的企业都能负担起电子商务活动的费用。信用卡 ( c r e d i tc a r d ) 、自动柜员机( a i m ) 、零售业销售终端( p o s ) 和联机电子资金转 账技术的发展，以及相应的网络通信技术和安全技术的发展，推动了今天企业与 消费者之间( bt oc ) 与企业之间( bt ob ) 电子商务的飞速发展。预计到2 0 0 4 年消费者网上购物的总金额会超过3 ，0 0 0 亿美元，网上所有商务活动的总金额将 超过4 0 ，0 0 0 亿美元。 在我国，电子商务正以无比迅猛的速度发展着，根据中国互联网络信息中心 ( c n n i c ) 最新统计报告数据显示，截至2 0 0 2 年底，中国上网用户人数达5 9 1 0 万 人，比2 0 0 1 年增加2 9 8 0 万人。预计2 0 0 3 年网民数将达到8 6 3 0 万，增长率为4 6 。 1 9 9 9 年全国有2 0 0 多个电子商务网站，2 0 0 0 年，达到11 0 0 家。我国电子商务交 易额1 9 9 9 年约为2 亿元，2 0 0 0 年约为8 亿元，预计2 0 0 3 年，将突破1 0 0 亿元。 电子支付是电子商务系统的重要组成部分，它是建立在金融电子化和网络化 的基础上，以商用电子化工具和各类交易卡为媒介，以计算机技术和通信技术为 手段，以电子数据( 二进制数据) 形式存储在银行的计算机系统中，并通过计算 机网络系统以电子信息传递形式实现支付。电子商务中的支付体系应该是融购物 流程支付工具，安全技术，认证体系，信用体系以及现在的金融体系为一体的 综合大系统。 跨行电子支付是指在不同金融机构之间进行资金转移的支付活动。电子商务 中大多数支付业务涉及资金从一个账户转至另一个账户或从一家金融机构转至另 一家金融机构，金融机构之间必须通过专门的支付基础设施和手段来实现这种信 息和资金的传递。因此，电子支付中跨行史付的安全与效率在很大程度上影响着 电子商务的发展。 目前，国内电子商务中的大额资金跨行支付主要由各银行间通过全国电子联 第3 贞j 06 8 负 顺士学位论文我国电子商务。f 一的跨行电子支付 行系统、同城清算所、电子资金汇兑系统以电子转账方式实现跨行支付，这种方 七适用于电子商务的bt ob 交易的支付结算。而电子商务中bt oc 或ct oc 交 易的支付结算则主要由银行卡支付体系来完成。但是由于受我国多层次管理和高 度分散式银行体系，以及各银行间信息系统的差异所引起的连通不畅的问题的影 响，致使跨行支付的效率性和安全性不高，特别是造成异地跨行的支付和结算很 4 i 方便，严重阻碍了我国电子商务的发展。因此，必须对现行的支付结算体系进 行改革，尽快建立一个全国性的现代化支付系统，以提高跨行电子支付的安全和 效率。 如何利用现有的基础，建立高效、安全的跨行支付系统，推进电子支付的发 展是本文的研究重点。本文从电子商务中的支付系统入手，研究了电子支付的分 类和安全基础，结合本人在银联北京分公司的实习经验，从理论和实践两个方面 对电子商务中的跨行支付进行了研究，并以银行卡自助跨行转账系统的设计与实 施为例，讨论了在目前金融信息化水平较低的情况下，如何利用现有的支付体系， 制定统一的技术标准，解决支付的安全、认证、清算方面的问题，实现快速、准 确、安全的跨行支付，并在文章最后提出了发展我国跨行电子支付的策略，以建 立中国特色的电子支付系统，迎接电子商务时代的到来。 第一章电子支付的分类及安全基础，介绍了电子支付的概念和主要特点；根 据电子支付的表现形式和特点，将电子支付方式分为电子转账支付、基于银行卡 的支付、电子现金三种形式，并分别进行了阐述；分析了电子支付的安全威胁及 构成电子支付的安全保障：安全的网络基础设施和高强度的密码技术。 第二章电子商务支付系统的现状，介绍了电子商务支付系统的发展情况；对 国外电子商务支付系统的现状进行了分析，介绍了一些国外典型的电子商务支付 系统；讨论我国支付系统的构成情况，并对国内电子商务支付系统的现状进行分 析。 第三章电子商务中的跨行电子支付，从国外和国内两个角度对电子商务中跨 行电子支付的现状进行了分析，分析了在我国实现电子商务安全快捷的跨行支付 存在的难点。 第四章基于银行卡的跨行电子支付系统的设计，以银行卡跨行自助转账系统 为例，就利用银行卡实现不同银行之间的资金转移的系统设计进行讨论，提出如 何利用现有的支付体系，制定统一的技术标准，解决支付的安全、认证、清算方 面的问题，实现快速、准确、安全的跨行支付。 第4 页j ；6 8 皿 顺七学位论文 我国电子商务”的跨行电子支付 第五章银行卡跨行支付系统的实施原则，讨论了银行卡跨行史付系统实施的 关键问题，对银行卡跨行支付系统的应用前景进行了分析。 总结部分分析了在我国实现跨行电子支付的难点，提出发展我国跨行支付的 策略。 第5 贝j i6 8 负 坝十学位论文 我国l 【l 子商务i | 1 的跨行电子支付 第一章电子支付的分类及安全基础 电子商务一个基本的问题就是如何通过现有的计算机技术如i n t e r n e tw e b 、 数据加密、p k i c a 系统、防火墙技术、各种交易协议( 如s e t ) 、客户端浏览技术 和软件等，使得客广和商家透明地进行安全交易。其中，支付系统的可靠和安全， 是整个电子商务框架的基础和保障。在传统商务活动中，支付主要采用两种方式： 一是票据支付，多用于企业的商贸过程；二是现金，常用于余业对个体消费者的 商品零售过程。在电子商务环境下，传统的支付方式已不适应商务活动电子化的 要求，而必须由全新的电子支付方式来代替。 1 1 电子支付的概念 电子支付是电子商务系统的重要组成部分，它是建立在金融电子化和网络化 的基础上，以商用电子化工具和各类交易卡为媒介，以计算机技术和通信技术为 手段，以电子数据( 二进制数据) 形式存储在银行的计算机系统中，并通过计算 机网络系统以电子信息传递形式实现支付。 电子商务中的支付体系应该是融购物流程，支付工具，安全技术，认证体系， 信用体系以及现在的金融体系为一体的综合大系统。其主要特点有： 以网络和信息化为基础进行资金的储存、支付和流通 储蓄、信贷、现金和非现金结算等多种功能为一体； 可广泛应用于生产、交换、分配和消费领域： 使用简便、安全、迅速、可靠： 电子支付通常要经过银行专用网络。 1 2 电子支付的分类 对电子支付分类的方法有很多种。根据电子支付的使用环境，对电子支付方 式加以分类，可以分为i n t e r n e t 环境下的电子支付和非i n t e r n e t 环境下的电子 支付。前者包括嘲上银行和电子货币，后者则是指自动柜员机a i m 、销售终端p o s 、 电话银行等。 根据支付方式也可分为在线支付和离线支付，前者包括各种阿上支付方式， 后者包括基于智能卡的离线支付系统，同样它们也可用于在线方式。 第6 页共6 8 负 顺十学位论文 我国电子商务l i 的跨行电子支付 根据电子支付的表现形式和特点，电子史付方式还可以概括地分为三种形式 电子转账支付、基于银行卡的支付、电子现金。 1 2 1 电子转账支付系统 电子转账支付系统是金融机构通过自己的专用通信网络、设备、软件及一套 完整的标准报文、用户识别、数据安全验证等规范化协议而进行的信息传输和资 金清算系统。银行采用电子计算机等技术进行电子资金转账的方式可分为如下五 种，分别代表着电子资金转账发展的不同阶段。 第一阶段是银行利用计算机处理银行之间的货币汇划业务，办理汇划结 算： 第二阶段是银行计算机与其他机构汁算机之间资金的结算，如代发工资等 业务： 第三阶段是利用网络终端向客户提供各项银行服务，如客户在自动柜员机 ( a t m ) 上进行取、存款操作等： 第四阶段是利用银行销售点终端( p o s ) 向客户提供自动的扣款服务，这 是现阶段电子资金转账的主要方式； 第五阶段是最新发展阶段，电子资金可随时随地通过互联网络进行直接转 账结算，形成电子商务环境。这是正在发展的形式，也将是主要的电子支 付方式。这一阶段的电子支付又称网上支付。 以下是几种典型的电子转账支付系统 银行因特网支付系统b i p s ( b a n ki n t e r n e tp a y m e n t s y s t e m ) b i p s 由美国金融服务技术协会f s t c ( f i n a n c i a ls e r v i c e s t e c h n o l o g y c o n s o r t i u m ) 资助开发，它为银行的服务器提供了一种协议和安全规范，使银行 的客户可以在i n t e r n e t 上启动支付，发送一条支付请求指令，银行利用现有的银行 支付处理系统审核请求和处理支付。 开放金融交换o f x ( o p e n f i n a n c i a l e x c h a n g e ) o f x 是一种在客户和金融机构以及其他服务供应商之间，具有广泛应用基础 的金融数据交换和指令的框架，它可以让商家无须通过中介机构而直接与客户连 颐十学位论文 我国电子商务i | l 的跨行电子支付 接在一起。该标准适用于零售金融服务业，也适用于账单支付和陈述 ( p r e s e n t a t i o n ) 。o f x 协议日前被微软和f d c ( f i r s td a t ac o r p ) 公司合资成立的电 子账单支付公司m s f d c ( 现在的t r a n s p o i n t 公司) 应用在其电子账单陈述和支付 产品中。o f x 协议支持多种开放型标准，比如数据格式( 如s g m l ) 、连接( 如 t c p i p 、h 1 v r p ) 和安全( 如s s l ) 。 金融电子数据交换f e d i ( f i n a n c i a le l e c t r o n i cd a t ai n t e r c h a n g e ) f e d i 是一种以标准化的格式在银行与银行的企业客户计算机应用之间交换 信息的方式。因此，f e d i 标准严格应用在b 2 b 的交易中。 电子支票e c h e c k ( e l e c t r o n i cc h e c k ) 电子支票是一种借鉴纸张支票转移支付的优点，利用数字化网络传递将钱款 从一个账户转移到另一个账户的电子付款形式。这种电子支票的支付是在与商户 及银行相连的网络上以密码方式传递的，多数使用公用关键字加密签名或个人身 份密码( p i n ) 代替手写签名。 e c h e c k 是美国财政部认可的网络支付_ 【具，美国财政部也积极采用该项技术 进行各种支付。电子支票的支付过程如图1 1 所示。 图1 1 ：电子支票支付过程 电子支票支付现在发展的主要方向是今后将逐步过渡到国际互联网络上进 行传输即采用电子资金转账( e 1e c t r o n i cf u n dt r a n s f e r ，简称e f t ) 或网上 银行服务( i n t e r n e tb a n k i n g ) 方式。所谓e f t ，是指客户在嘲上交易后，透过 第8 负j 06 8 顺士学位论文 我国电子商务- | 1 的跨行电子支付 其银行内账户之存款，将货款以资金划拨方式付给商店之银行，这种方式是将传 统的银行转账应用到公共嘲络上进行的资金转账，可直接在列上进行。在专用刚 络上，这种模式的应用具有成熟的模式( 例如银行间使用的s w i f t 系统) ：公共网 络上的电子资金转账仍在实验之中。 1 2 2 基于银行卡的支付系统 目前，信用卡协议是电子商务中使用最多的电子支付协议。基于信用卡的支 付有四种类型：无安全措施的信用卡支付、通过第三方代理人的支付、简单信用 卡加密、s e t 信用卡方式。 无安全措施的信用卡支付 买方通过网上从卖方订货，而信用卡信息通过电话、传真等非网上传送，或 者信用卡信息在互联网上传送，但无任何安全措施，卖方与银行之间使用各自现 有的银行商家专用网络授权来检查信用卡的真伪。 通过第三方代理人的支付 买方在线或离线在第三方代理人处开账号，第三方代理人持有买方信用卡号 和账号；买方用账号从卖方在线订货，即将账号传送给卖方；卖方将买方账号提 供给第三方代理人，第三方代理人验证账号信息，将验证信息返回给卖方；卖方 确定接收订货。在买方和卖方之间启用第三方代理，目的是使卖方看不到买方信 用卡信息，避免信用卡信息在网上多次公开传输而导致的信用卡信息被窃取。通 过第三方代理的支付流程如图卜2 所示。 信用卡信息 硕十学位论文我同电子商务一l i 的跨行电子支付 图1 - 2 ：通过第二方代理的支付流程 以上两种支付方式的缺点是，传送的信息都没有加密，身份认证也仅仅处于 表面上的账号验证。用户容易被别人冒充，定单和用户账号信息完全暴露。因此 只适合支付范围是小面颊交易的支付。 简单加密信用卡支付 使用简单加密信用卡模式付费时，当信用卡信息被买方输入浏览器窗口或其 他电子商务设备时，信用卡信息就被简单加密，安全地作为加密信息通过网络从 买方向卖方传递。采用的加密协议有s h t t p 、s s l 等。加密的信用卡信息只有业务 提供商或第三方机构能够识别；但是由于需要一系列的加密、授权、认证及相关 信息传送，交易成本较高，所以对小额交易不适用。 安全套接层协议s s l ( s e c u r es o c k e tl a y e r ) 就是一种简单加密信用卡支付 协议，最初是由n e ts c a p e 公司研究制定的安全通信协议，是在因特网基础上提供 的一种保证机密性的安全协议。s s l 建立在t c p 协议之上，它的优势在于与应用 层协议独立无关，应用层协议能透明地建立于s s l 协议之上。s s l 协议在应用层 协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在 此之后，应用层协议所传送的数据都会被加密，从而保证在因特网上通信的机密 性。 s s l 是目前在电子商务中广泛应用最广泛的安全协议之一。它是一种安全技 术标准，并不强制对使用者这一端做身份的认证，只要店家和银行谈好交换资料 的格式以及做法，申请s s l 认证( 其实有些s e v e r 甚至可以自己签认证) 就可以 完成一套线上收单作业机制了，因此很容易实现。但是s s l 也存在着较大的风险， 一方面对商店而言，你无法知道报卡号给你的消费者是不是真正的持卡人，所咀 有欺诈的风险，店家必须自己去发展一套风险管理的方法，比如说设计较为严谨 的会员管理方法，配台物流掌握风险的控制等等：另一方面消费者对商店的可信 度也无法保证，而且当消费者把卡号送到商店后，商店可以看到卡号、持卡人名 字与信用卡有效日期等信息，可能会因此泄露机密信息。 安全电子交易s e t 信用卡支付 安全电子交易协议s e t ( s e c u r ee l e c t r o n j ct r a n s a c t i o n ) 是由v i s a 和 颂七学位论文 我国电子商务- - 的跨行f 乜子支付 m a s t e r c a r d 两大信用卡组织于1 9 9 7 年5 月联合推出的规范。s e t 主要是为了解决 用户、商家和银行之间通过信用卡支付的交易而设汁的，在保留对客广信用卡认 证的前提下，又增加了对商家身份的认证，从而保让支付信息的机密、支付过程 的完整、商户及持卡人的合法身份、以及交易的可操作性。通过s e t 这一套完备 的安全电子交易协议可以实现电子商务交易中的加密、认证机制、密钥管理机制 等，保证在开放网络上使用信用卡进行在线购物的安全。 s e t 的购物流程如图卜3 所示。 图1 3 ：s e t 支付流程 由于s e t 提供商家和收单银行的认证，确保了交易数据的安全、完整可靠和 交易的不可抵赖性，特别是具有保护消费者信用卡号不暴露给商家等优点，因此 它成为目前公认的信用卡的网上交易的国际标准。但是s e t 也存在使用不方便， 兼容性差等缺点。自从s e t 发布以来，i b m 率先在其电子商务套件c o m m e r c ep o i n t 中使用了s e t 规范，c o m m e r c ep o i n t 目前己在全球很多地方应用。著名的v e r i f o n e 公司也提供了与s e t 兼容的电子商务套件( v w a l l e t 、v p o s 、v g a t e ) ，v g a t e 已经 安装到了很多银行中，v p o s 也己在很多i n t e r n e t 在线商家得到应用。 1 2 3 电子现金支付系统 电子现金是一种以数据形式流通的货币。它把现金数值转换成为一系列的加 密序列数，通过这些序列数来表示现实中各种金额的市值，用户在开展电子现金 业务的银行开设账户并在账户内存钱后，就可以在接受电子现金的商家使用。电 子现金具有多用途、灵活使用、匿名性、快速简便的特点，无需直接与银行连接 便可使用，适用于小额交易。在电子现金市场，提供解决方案的公_ 占：l 有d i g i c a s h 、 第1 1 页j e6 8 贞 颂十学位论文 我国电子商务一扣的跨行电子支付 c y b e r c a s h 和i b m 等。 从日前支持电子现金的要件的不同来区分，电子现金可分为两类 1 需要新硬件并以其为核心的电子现金支付系统。主要是智能卡形式的支 付卡，应用于多种用途，具有信息存储、安全密码锁等功能，安全可靠。 2 只需要软件支持的电子现金支付方式，如数字方式的现金文件。 三方电子现金支付流程如图卜4 所示。 1 3 电子支付的安全基础 图】- 4 ：电子现金支付流程 随着电子商务在全球范围内的迅猛发展，电子商务中的网络安全问题日渐突 出。根据中国互联网信心中心( c n n i c ) 发布的“中国互联网络发展状况统计报告 ( 2 0 0 0 1 ) ”，在电子商务方面，5 2 2 6 的用户最关心的是交易的安全可靠性。由 此可见，电子商务中的安全问题是实现电子商务的关键所在。 1 3 1 电子支付安全威胁 目前，从技术方面，一般的电子支付系统都面临着以下几种安全隐患 信息的截获和窃取 第1 2 页儿6 8 斑 硕士学位论文 我国电子商务中的跨行电子支付 如果发有采用加密措施或加密强度小够，攻击者可能通过互联网、公共电话 嘲、搭线、电磁波辐射范围内安装截收装置或在数据包通过的附关和路由器上截 获数据等方式，获取传输的机密信息，或通过对信息流量和流向、通信频度和长 度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业的商业机 密等。 信息的篡改 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的 信息进行中途修改，并发往目的地，从而破坏信息的完整性。破坏手段主要有三 种：篡改、删除和插入。 信息的假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法的 用户或发送假冒信息来欺骗其他用户。 交易抵赖 交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收 信者事后否认曾经收到过某条信息或内容：购买者地交订货单却不承认。 1 3 2 电子支付安全需求 电子支付面临的威胁导致了对电子支付安全的需求，也是真正实现一个安全 电子支付系统所要求做到的各个方面： 鉴别性 对人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在 相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定 的身份时，鉴别服务将提供一种方法来验证其声明的正确性，一般都通过证书认 证机构c a 和证书来实现。 有效性 电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或 国家的经济利益和声誉。冈此，要对i ) 1 ) 9 络故障、操作错误、应用程序错误、硬件 第1 31 i c6 8 页 颂十学位论文 我国电子商务- l ，的跨行电子支付 故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸 易数据在确定的时刻、确定的地点是有效的。 机密性 机密性是指信息只能在所授权的时间、所授权的地点让所授权的人查阅。传 统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达 到保守机密的目的。电子商务是建立在一个开放的网络环境( 如i n t e r n e t ) 上的， 维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存 取和信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行 加密处理来实现。 完整性 完整性是指信息是完整的、准确的和合法的。由于数据输入时的意外差错或 欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、 信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，要预防对 信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并 保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。 不可抵赖性 电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易 方正是进行交易所期望的贸易方，这一问题则是保证电子商务顺利进行的关键。 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上 手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行 为的发生。在无纸化的方式下，通过手写签名和印章进行贸易方的鉴别已不可能 因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标 识。不可抵赖性可通过对发送的消息进行数字签名来实现。 1 3 3 网络安全和密码技术 电子商务交易是建立在一定的网络基础之上的，安全的网络基础设施和高强 度的密码技术共同构成了电子支付的安全保障。 第1 4 负烬6 8 贞 颤士学位论文我同电子商务中的跨行电子支付 1 3 3 1 网络安全 网络安全是一种保护敏感信息的方式，能够保护附络资源免遭非法或无意的 破坏，同时又能够让合法或授权使用者根据自己的权 艮使用一定的网络资源。 网络是电子商务交易的基础和载体，网络的安全与否直接关系到电子商务交 易的正常进行。随着电子商务的快速发展，大量的电子商务交易通过非安全网络 来实现，因此很容易遭到恶意攻击，造成商业信息和个人机密的泄漏，所以网络 安全的地位也显得越来越重要。 一个完整的网络安全系统结构包括很多方面，如安全策略、网络的物理安全、 访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。网络 的安全可以通过多种技术来实现，如安全主机技术、身份认证技术、访问控制技 术、防火墙技术、安全审计技术、安全管理技术等，在攻击者和受保护的资源问 建立多道严密的安全防线，以实现电子商务的安全交易。 1 3 3 2 密码技术 密码技术是保证电子商务安全的重要手段，许多密码算法现己成为网络安全 和商务信息安全的基础。密码算法利用密钥( s e c r e tk e y s ) 来对敏感信息进行加 密，然后把加密的数据和密钥通过安全方式发送给接收者，接收者利用同样的算 法和传递来的密钥对数据进行解密，从而获得敏感信息并保证了网络数据的机密 性。 利用密码技术可以保证商务交易的机密性、完整性、真实性和不可抵赖性。 加密技术包括：共享密钥或对称密钥加密、公开密钥或非对称密钥加密、混合加 密技术。 对称密钥加密技术 对称密钥是使用同一个密钥来加密和解密信息，密钥的长度可能会由于算法 的不同而不同，但一般位于4 0 位到1 2 8 位之间。对称密钥技术的最大优势是加 解密速度快，适合对大数据量进行加密，但密钥管理困难。常用的对称密钥算法 有d e s 、i d e a 等。 小对称密钥加密技术 第15 贞j e6 8 负 城七学位论文 我同电子商务t i - 的跨行i 埋于支付 小对称密钥加密技术需要使用一对密钥来分别完成加密和解密操作，信息发 送者用公开密钥去加密，而信息接收者则用私有密钥占解密。不对称密钥加密技 术解决了密钥的发布和管理问题，但是公钥算法计算速度慢，也没有一种使公钥 广为发布的方法和体制。常用的不对称密钳算法由r s a 、e i g a m a l 等。 混合密码技术 为了充分利用对称密钥和不对称密钥算法的优点，解决每次传送更换密钥的 问题，提出了混合密码技术，即所谓的电子信封技术。发送者自动生成对称密钥， 用对称密钥加密要传送的信息，再将对称密钥用接收方的公钥进行加密，最后将 密文连同加密后的对称密钥一起发送给接收方。接收方用其私钥解密得到对称密 钥，再用此对称密钥对密文进行解密。 数字签名 数字签名是建立在公钥密码体制基础上的，在签名和核实签名的处理过程中 引入了散列( h a s h ) 函数，也称报文摘要( m e s s a g ed i g e s t ) 、哈希函数或杂凑函 数等，其输入为一可变长输入，返回一个固定长度串，该串被称为输入的散列值( 报 文摘要) 。把h a s h 函数和公钥算法结合起来，可以在提供数据完整性的同时，也 可以保证数据的真实性。 被发送文件采用 l a s h 算法对原始报文进行运算，得到一个固定长度的报文摘 要，不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是唯一 的。发送方生成报文的报文摘要，用自己的私钥对摘要进行加密来形成发送方的 数字签名。这个数字签名将作为报文的附件和报文一起发送给接收方。接收方首 先从接收到的原始报文中用同样的算法计算出新的报文摘要，再用发送方的公钥 对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能 确认该数字签名是发送方的。 1 3 4 认证机构和数字证书 对数字签名和公开密钥加密技术来说，都会面临公开密钥的分发问题，即如 何把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理 这些公钥的系统必须是值得信赖的。所以，必须有一项技术来解决公钥与合法拥 有者身份的绑定问题。数字证书是解决这问题的有效方法。数字证书通常是一 第1 6 矗j 6 8 页 颤十学位论文 我同电子商务， 一的跨行 乜子互付 个签名文档，标记特定对象的公开密钥和其他身份信息。数宁证书由一个认证中 心c a ( c e r t i f i c a t i o na u t h o r j t y ) 签发。 认证中心是受一个或多个用户信任，提供用户身份验证的第三方机构。日前 在世界范围内c a 的主要功能都是接收注册请求，处理批准拒绝请求，颁发证书。 用户向c a 提交自己的公共密钥和代表自己身份的信息( 如身份证号码或e m a i l 地址) ，c a 验证了用户的有效身份之后，向用户颁发一个经过c a 私有密钥签名的 证书。 第17 页业6 8 负 顺士学位论文我围电子商务t t = 的跨行电子支付 第二章电子商务支付系统的现状 2 1 电子商务支付系统的发展情况 电子商务于9 0 年代初兴起于美国、加拿大等国，但在近几年电子支付才被人 们普遍接受。各厂商如i b m 、惠普、微软、s u n 等纷纷推出自己的电子商务产品和 各自的解决方案。随着电子商务的发展，各种法规也随之健全，德国、韩国、意 大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。联合国国际贸 易法委员会( u n c i t r a l ) 已经完成模型电子商务法的制定工作，为电子交易制订 出统一通用的规则。另外，两大国际信用卡组织v i s a 和m a s t e r c a r d 合作制订的 安全电子交易( s e t ) 协议定义了一种电子支付过程标准，其目的就是保护因特网 上支付卡交易的每一个环节。 这几年来，我国的北京、上海、广州等信息产业发展较快的城市的信息产业 部门开始了电子支付相关的研究，并在1 9 9 8 开通了自己的电子商务系统，其他省 市也纷纷开始建立电子商务系统。但是，各大城市都处于实验探索阶段。我国有 关部门正在考虑制订有关电子商务的规范和制度。 2 2 国外电子商务支付系统的现状 国外电子商务支付系统多数集中在在线电子支付系统上，这类系统包括：1 ) 不使用任何强的保护方法的系统，而仅需要提前对用户帐号注册，它们被认为是 不充分安全的；2 ) 通过特殊的安全协议处理购方认证和支付信息的系统，实现信 用卡模式的系统：3 ) 实现匿名电子现金模式的系统。 在i n t e r n e t 之外，还有一些有意义的基于智能卡( s m a r t c a r d ) 的离线支付 系统已被开发，同样它们也可用于在线方式。这类系统包括从传统的电子钱包到 提供强的多方安全和匿名性的系统，例如e s p r i t 开发的c a f e 系统。 但是多数电子支付系统是封闭的，它们使用专用技术，或只支持特定集合的 协议或机制，缺乏可互操作性。虽然多数系统为公钥体制，但很少注意多方安全。 顾客的匿名性和隐私性没有充分考虑。 下面介绍国外一些典型电子商务支付系统 第1 8 贝j # 6 8 负 倾+ 学位论文 我同电子商务- i t 的跨行电子支付 f v 仅针对在线信息服务用户在f v 上注册为一个购者或卖者，他们通过 邮寄而不是i n t e r n e t 来传送银行信用卡明细帐。f v 是一种典型的信任第三方系 统，注册过的用户被分配给一个帐号i d 和口令，购者使用其f v 帐号i d 和口令进行 购物，卖者与f v 进行在线验证，并提供被购的信息给购者，购者最后通过e m a i1 或者传真来确认交易。小额交易累计到适当的数额( $ 1 0 ) ，然后现金从购者信用 卡上收集起来。此口令在i n t e r n e t 上传输时是没有保护的，因此系统是很容易被 窃取的。f v 通过请求支付方通过e m a i1 或传真进行确认，来达到一定的保护。现 在，它们仅被应用到v i s a 和m a s t e r c a r d 帐号和美圆上，卖者在指定的银行帐号 接收资金。f v 系统的特点是，操作简单，不需要加密信息，适合小面额的交易。 f i r s tv i r t u a l 的缺点是，传送的信息都没有加密，身份认证也仅仅处于表 面上的帐号验证。首先是必须客户和商家都在第三方上注册；用户容易被别人冒 充，同样，第三方发送给用户的帐户确认信息，也可以被冒充者伪造；定单和用 户帐号信息，完全暴露。 c y b e r c a s h c y b e r c a s h 公司提供了简单加密信用卡解决方案，给用户和商家免费提供客 户端软件，以使他们实现使用专用加密技术的安全i n t e r n e t 支付服务( s e c u r e i u t e r n e tp a y m e n ts e r v i c e ) 。用户可提交付款给零售商，零售商再传送给连接到 一定数量美国银行专用网络的c y b e r c a s h 服务器。零售商不能够看到加密支付中 的任何信用卡明细帐。c y b e r c a s h 加密技术使用5 6 位和7 6 8 位一1 0 2 4 位的r s a 公 开密钥对产生数字签名，加密时间较长，如果网络拥挤会更长时间。因此， c y b e r c a s h 的安全度也比较高，抗伪造信和抗业务否定性比较好。客户使用的整 购物和支付过程只需输入一个信用卡号，而后台的第三方和银行，以及商家之间 的交换信息需要一系列的加密、授权、认证，所以交易本身需要的成本比较高， 适合大面额的交易。 c y b e r c a s h 支持多种信用卡，如v i s ac a r d 、l i a s t e rc a r d 、a m e r i c a ne x p r e s s c a r d 、d i n e r s 和c a r t eb l a n c h e 等；已授权处理c y b e r c a s h 的系统有g l o b a l p a y m e n ts y s t e m 、f i r s td a t ac o r p o r a t i o n 和v i s a n e t 等。c y b e r c a s h 也决定引 进他们自己的货币支付服务和微支付，以允许在银行帐号间进行在线支付。 s e p p s e p p 是n e t s c a p e 、g a s t e r c a r d 、i b m 、g t e 和c y b e r c a s h 联合制定的一个安 硕士学也论文我闻电子商务中的跨行电子支付 全金融交易的开放协议( s e p p s e c u r