电子商务的交易与网络银行.ppt

电子商务的交易与网络银行 报告人 刘军 电子货币网上支付网上银行 第一阶段实物货币 很不方便 很不安全 第二阶段金属货币 不方便 不安全 第三阶段纸币 较方便 较安全 第四阶段电子货币 很方便 较安全 货币的发展经历了四个阶段 电子货币的定义所谓电子货币是指一种表示现金的加密序列数 它可以用来表示现实中各种金额的币值 就像人民币元一样 人民币只是一些用各类图像标记加以区分的特殊的纸张 使用电子货币具有很多优点人们通过网络可以迅速地将其送至远处 以完成支付过程可确保支付过程的匿名性和准确性具有比现金支付高得多的安全性 电子货币 电子货币与传统货币的区别两者所占有的空间不同 传递渠道不同 计算所需时间不同 匿名程度不同 电子货币 电子货币在电子商务发展中的作用 电子货币是电子商务的核心 建立电子货币系统是发展电子商务的基础和保障 电子货币促进了经济的发展 电子货币活跃和繁荣了商业 随着电子货币在日常生活领域的普及和作用范围不断扩大 网络上的电子商务蓬勃发展 零售业的经营范围已没有地域限制 电子货币降低了银行业的经营成本 电子货币对于降低银行业的经营成本乃至对整个金融业的经营有决定性的影响 电子货币促进了整个金融业的经营创新 电子货币促进了电子商务的创新 特别是与多媒体相关的信息 软件 计算机行业营销结构的创新 其次促进了信息商品的营销的方式的创新 出现了对信息内容进行销售的新形式 磁条卡智能卡 IC卡 电子现金电子支票电子信用卡 电子货币的表现形式 磁条卡的特点 使用广泛 结构简单 安全性相对较低 磁条卡的分类 磁卡可以分为三类 联机磁卡 脱机磁卡以及与IC卡联合的磁卡 磁条卡的用途 磁条卡 智能卡的特点 存储信息量大 数据保密性好 抗干扰性强 存储可靠 读写设备简单 操作速度快 脱机能力强 智能卡的分类 智能可以分为两类 接触智能卡与非接触智能卡 智能卡的用途 智能卡 SmartCardorIC 电子现金 又称数字现金 是纸币现金的电子化 通常是指一种以数字 电子 的形式存储并流通的货币 它通过将用户银行帐户中的资金转换为一系列的加密序列数 通过这些序列数表示现实中各种金额 电子现金的分类 数字现金的种类有多种 不同类型的数字现金都有自己的协议 用于消费者 销售商和发行者之间交换支付信息 电子现金的特点 安全性 匿名性 方便性 成本低 电子现金 ElectronicCash 1 购买E cash 2 存储E cash 3 用E cash购买商品或服务 4 资金清算 5 确认订单 数字现金的应用过程 银行和卖方之间应有协议和授权关系买方 卖方和E cash银行都需使用E cash软件因为数字现金可以申请到非常小的面额 所以数字现金适用于小的交易量 minipayment 身份验证是由E cash本身完成的E cash银行负责买方和卖方之间资金的转移具有现金特点 可以存 取 转让这种方式比较安全E cash与普通钱一样会丢失 数字现金支付的特点 1 IBM Mini pay 2 DigiCash 1994年 荷兰 0 1美分 交易 3 CyberCash 1994年8月 30美分 交易 4 Netcash5 Modex 1995年 英格兰 结合智能钱夹和电子钱包 6 Millicent 0 1美分 交易 7 中国的CNAPS 现行解决方案 电子支票 是指基于Internet的用于发出支付和处理支付的网上服务工具 在美国与加拿大 无论公司还是个人使用支票都较为普遍 而亚洲与欧洲因为支票不是主要的支付手段 所以在亚洲或欧洲电子支票的发展相对缓慢 目前典型的电子支票系统有FSTC的电子支票系统 BIPS E check NetBill NetCheque等 电子支票 电子支票的出现和开发是较晚的 电子支票使得买方不必使用写在纸上的支票 而是用写在屏幕上的支票进行支付活动 电子支票几乎和纸质支票有着同样的功能 电子支票支付方式 处理电子支票的系统必须具备以下功能 将当前的帐单发送给付款者 使付款者得到一张在线帐单 允许付款者创建一张新的电子支票并输入相关信息允许付款人为一笔指定金额或在一定范围内的资金额创建一个自动授权支付允许付款者调整信息并做必要的修改提交支付信息对有网络资金帐户的收款人直接做资金转帐对无网络资金帐户的收款人签发手工支票并通过邮政汇款方式做资金转移能与金融机构软件和交易处理软件相连 电子支票的运作机制 在客户计算机上安装智能卡的读卡机和驱动 首先 web服务器验证客户端证书有效性 要求输入智能卡的PIN Web服务器发送一串随机数该客户端浏览器 智能卡使用私有密钥对其进行数字签名 并将签名返回web服务器 由web服务器验证签名 签名验证通过 web服务器与浏览器通过SSL协议 建立安全通话通道进行通信 客户进行电子支票的使用时 计算机上显示与纸质支票十分相似的电子支票 用户填写完毕将电子支票通过Email的形式直接发给收款人 收款人从电子邮箱中取出电子支票 在电子支票上加盖电子签名并用私有密钥进行加密 发送给收款人银行 收款人银行对电子支票进行解密 认证处理 把款项打入收款人的帐户 FSTC支票的运作机制 电子支票与传统支票工作方式相同 易于理解和接受加密的电子支票使它们比基于公共密钥加密的数字现金更易于流通电子支票适于各种市场 可以很容易地与EDI应用结合第三方金融服务者不仅可从交易双方处抽取固定交易费用或按一定比例抽取费用 还可作为银行身份 提供存款账目电子支票技术将公共网络连入金融支付和银行清算网络 电子支票支付的特点 电子信用卡是信用卡类型的电子货币 它以信用卡为基础实现网上的电子支付 信用卡类型的电子货币在网上应用比较成熟 是目前Internet上使用积极性最高 发展速度最快的一种 VISA与MasterCard联合制定的安全电子交易规范 SET 可以很好的保障信用卡类型的电子货币的安全使用 电子信用卡 1998年推出的一个方便 快捷 高效的支付工具 招商银行 一网通 采用了先进的SSL协议和加密技术 同时 一网通 还通过国际权威CA认证 加强了系统的可靠性 案例 招商银行 一网通 实时处理的电子信用卡 在SET协议的支持下 消费者在网上购物时将信用卡信息通过Internet传送道特约商户 商户将数据集成传至信用卡收款银行 然后通过原有的信用卡清算系统完成支付结算 通过Email的形式传递信用卡信息 消费者预先在接受该项服务的公司登记自己的信用卡信息 消费者在网上购物并确认购物信息后 发送Email信息给该公司 由其将消费者的信用卡信息通过专用的金融网络传递到信用卡公司请求授权 授权成功则实现支付结算 电子信用卡的种类 电子信用卡是电子形式的钱包 也是客户在电子商务中常用的一种支付手段 目前电子钱包有两大类 以智能卡为介质的电子钱包服务系统 最有代表的是MONDEX系统 使用电子钱包软件的系统 例如 中银电子钱包 E Wallet 中银电子钱包使用SET协议 建立了完全符合国际标准的安全认证中心和支付网关 为客户提供安全 可靠 快捷 高效的电子商务支付结算 电子钱包 运作方式Plug in交易前 客户必须下载电子钱包 付款信息 请启动电子钱包 启动完成 可以开始交易 SET信息 客户端浏览器 商家服务器 电子钱包 ElectronicWallet 续 商家服务器 指商家端提供的SET服务软件 其功能包括 联系客户端的电子钱包联系支付网关向商店的认证中心查询数字证书的状态处理SET的错误信息 持卡人 商家服务器 支付网关 商家服务器的运作方式 支付网关 PaymentGateway 即为SET信息与现有银行网络的转接处 负责接收来自商家服务器送来的SET信息 其中包括重要的信用卡数据 在转换成银行网络的格式后传送给收单银行处理 同时作相应的检查工作 如确认商家和持卡人的身份等 信用卡付款授权程序当客户端传来订单与付款数据时 商家端将接收该订单 并且将加密过的付款数据传给支付网关 要求取得付款授权 如图所示 观念上 从传统纸币到 和 构成的数字货币技术上 纠错 校验能力法规上 制定法律安全上 遗失 电磁攻击 黑客攻击 删改应用上 环境支持 包括人员和设备 电子货币存在的问题 电子货币网上支付网上银行 支付是指经济行为人之间由于商品交换和劳务关系所引起的债务 债权关系的清算 支付系统是金融机构为了解决这种清偿而提供的一系列金融服务 包括清算和结算 一个良好的支付系统必须能快速 准确 低成本 安全地实现货币所有权在各经济行为人之间的转移 支付 支付工具与支付系统是随着人类社会技术的进步 信息的发展而不断演变发展的 支付的定义 传统商务中主要的支付手段是现金 支票 信用卡 借记卡和电子资金转移等 与传统支付手段相对应的支付系统有 现金收付系统 支票结算系统 信用卡授权结算系统和电子资金转帐系统等 传统支付指令的传递完全依靠面对面的手工处理和经过邮政 电信部门的委托传递 结算成本高 凭证传递时间长 在途资金大 资金周转慢 传统支付手段 网上支付是指消费者 交易商和金融机构之间使用安全电子交易手段交换商品或者服务 即将新型支付手段的支付信息通过网络安全传递到银行或者相应处理机构来实现电子支付 1989年美国法律学会的 统一商业法 中定义 电子支付是支付命令的发送方把存放于商业银行的资金 通过一条线路划入收益方开户银行 以支付给收益方的一系列转移过程 网上支付 电子商务活动的基本保障是安全可靠 如何通过电子支付安全地完成整个交易过程 是人们选择网上交易时首先要考虑的问题 网上支付的安全问题可以通过技术手段和管理手段来保障技术上必须按照国际通行的安全协议来处理管理上要符合中国国情 制定相应的法律 法规 网上支付安全协议 安全电子交换协议SET SET SecureElectronicTransaction 是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议 它是一种基于消息流的协议 用来保证公共网络上银行卡支付交易的安全性 因而成为Internet上进行在线交易的电子付款系统规范它采用公钥密码体制和X 509数字证书标准 主要应用于B2C模式中保障支付信息的安全性 SET协议本身比较复杂 设计比较严格 安全性高 它能保证信息传输的机密性 真实性 完整性和不可否认性 SET协议是PKI框架下的一个典型实现 也是一个基于可信的第三方认证中心的方案 SET协议的目标 保障付款安全 确保付款资料的隐密性及完整性 提供持卡人 特约商店 收单银行的认证 并定义安全服务所需要的算法及相关协定确定应用的互通性 提供一个开放式的标准 明确定义细节 以确保不同厂商开发的应用程序可共同运作 促成软件互通 在现存各种标准下构建协定 允许在任何软硬件平台上执行 使标准达到相容性与接受性目标达到全球市场的接受性 在容易使用与对特约商店 持卡人影响最小的前提下 达到全球普遍性 允许在目前使用者的应用软件下 嵌入付款协定的执行 对收单银行与特约商店 持卡人与发卡银行间的关系 以及信用卡组织的基础构架改变最少 SET协议中的角色 持卡人 在电子商务环境中 消费者和团体购买者通过计算机与商家交流 持卡人通过由发卡机构颁发的付款卡 例如信用卡 借记卡 进行结算 在持卡人和商家的会话中 SET可以保证持卡人的个人帐号信息不被泄漏 发卡机构 它是一个金融机构 为每一个建立了帐户的顾客颁发付款卡 发卡机构根据不同品牌卡的规定和政策 保证对每一笔认证交易的付款 商家 提供商品或服务 使用SET 就可以保证持卡人个人信息的安全 接受卡支付的商家必须和银行有关系 银行 在线交易的商家在银行开立帐号 并且处理支付卡的认证和支付 支付网关 是由银行操作的 将Internet上的传输数据转换为金融机构内部数据的设备 或由指派的第三方处理商家支付信息和顾客的支付指令 SET协议的工作原理 SET协议的安全措施加密技术 同时使用公钥与私钥数字签名技术电子认证电子信封 1 用户向商家发送购货单和一份经过签名 加密的信托书 书中的信用卡号是经过加密的 商家无从得知 2 商家把信托书传送到收单银行 收单银行可以解密信用卡号 并通过认证验证签名 3 收单银行向发卡银行查问 确认用户信用卡是否属实 4 发卡银行认可并签证该笔交易 5 收单银行认可商家并签证此交易 6 商家向用户传送货物和收据 7 交易成功 商家向收单银行索款 8 收单银行按合同将货款划给商家 9 发卡银行向用户定期寄去信用卡消费账单 SET协议规定的工作流程 支付协议中采用的加密技术 1 数字信封 SET依靠密码系统保证消息的可靠传输 在SET中 使用DES算法产生的对称密钥来加密数据 然后 将此对称密钥用接收者的公钥加密 称为消息的 数字信封 将其和数据一起送给接收者 接收者先用他的私钥解密数字信封 得到对称密钥 然后使用对称密钥解开数据 2 数字签名 由于公开密钥和私有密钥之间存在的数学关系 使用其中一个密钥加密的数据只能用另一个密钥解开 SET中使用RSA算法来实现 发送者用自己的私有密钥加密数据传给接收者 接收者用发送者的公钥解开数据后 就可确定消息来自于谁 这就保证了发送者对所发信息不能抵赖 支付协议中采用的加密技术 续 3 消息摘要 在SET协议中 原文通过SHA 1算法生成消息的文摘 4 双重签名 为了保证消费者的账号等重要信息对商家隐蔽 SET中采用了双重签名技术 它是SET推出的数字签名的新应用 首先生成两条消息的摘要 将两个摘要连接起来 生成一个新的摘要 称为双重签名 然后用签发者的私有密钥加密 为了让接收者验证双重签名 还必须将另外一条消息的摘要一块传过去 这样 任何一个消息的接收者都可以通过以下方法验证消息的真实性 生成消息摘要 将它和另外一个消息摘要连接起来 生成新的摘要 如果它与解密后的双重签名相等 就可以确定消息是真实的 SET中的身份认证技术 证书持卡人证书是支付卡的一种电子化的表示 它由金融机构以数字化形式签发 不能随意更改 包括用单向哈希算法根据帐号 截止日期生成的一个码商家证书由金融机构签发 不能被第三方改变 表示商家收款可用的卡 在SET中 一个商家至少应有一个证书 与银行交往中可能会有多个证书 表示与多家银行的合作关系 可接受多种付款方式CA SET的缺陷 SET的复杂性和认证机制决定了完全采用SET实施的应用系统寥寥无几 其困难不在于技术实施 而在于建立一个为商家 银行 发卡机构和消费者普便认可的证书权威认证机构CA及其认证体系 这是一个敏感的商业问题 牵涉多方利益 很难协调 SET的另一个弱点 是作为一种卡支付协议 对别的安全协议 如SSL IPsec VPN S MIME等不兼容 所以 SET协议不但不支持除了卡支付以外的其它支付方式 更不能支持电子商务中另一种增长较快 交易额较大的网上交易方式 B2B的电子商务 SSL SecureSocketLayer NetscapeCommunication公司设计开发 IETF建立一个TLS工作小组 TLS的第一个版本可以看作是SSLv3 1SSL提供数据加密 服务器认证 报文完整以及TCP IP联接用可选客户认证等 对计算机之间整个会话过程进行加密采用SSL协议 可确保信息在传输过程中不被修改 实现数据的保密与完整性 在INTERNET上广泛用于处理财务上敏感的信息 SSL协议的特性 保密性 握手之后 采用单钥体制进行数据加密 采用双钥体制进行身份鉴别可靠性 采用消息摘要算法进行完整性检查确认性 尽管会话的客户端认证是可选的 但是服务器端始终是被认证的灵活性 通信双方可选择密码算法 允许多种形式各种级别的身份鉴别 IP SSLChangeCipherSpecProtocol SSLAlertProtocol ApplicationProtocol TCP SSLRecordProtocol SSLHandshakeProtocol SSLProtocolStack HTTP LDAP IMAP SSL的安全性 几乎所有操作平台上的WEB浏览器 IE Netscatp 以及流行的Web服务器 IIS NetscapeEnterpriseServer等 都支持SSL协议 因此使得使用该协议便宜且开发成本小 但应用SSL协议存在着不容忽视的缺点 系统不符合国务院最新颁布的 商用密码管理条例 中对商用密码产品不得使用国外密码算法的规定系统安全性差 SSL协议的数据安全性其实就是建立在RSA等算法的安全性上 因此从本质上来讲 攻破RSA等算法就等同于攻破此协议 由于美国政府的出口限制 使得进入我国的实现了SSL的产品 Web浏览器和服务器 均只能提供512比特RSA公钥 40比特对称密钥的加密 一个安全协议除了基于其所采用的加密算法安全性以外 更为关键的是其逻辑严密性 完整性 正确性 从目前来看 SSL比较好地解决了这一问题 另外 SSL协议在 重传攻击 上 有它独到的解决办法 SSL协议为每一次安全连接产生了一个128位长的随机数 连接序号 理论上 攻击者提前无法预测此连接序号 因此不能对服务器的请求做出正确的应答 总的来讲 SSL协议的安全性能是好的 而且随着SSL协议的不断改进 更多的安全性能 好的加密算法被采用 逻辑上的缺陷被弥补 SSL协议的安全性能会不断加强 SSL的安全性 SSL的应用 SSL的典型应用主要有两个方面 一是客户端 如浏览器等 另外一个就是服务器端 如Web服务器和应用服务器等 目前 一些主流浏览器 如IE和Netscape等 和IIS DominoGoWebServer NetscapeEnterpriseServer Appache等Web服务器都提供了对SSL的支持 要实现浏览器 或其他客户端应用 和Web服务器 或其他服务器 之间的安全SSL信息传输 必须在Web服务器端安装支持SSL的Web服务器证书 在浏览器端安装支持SSL的客户端证书 可选 然后把URL中的 http 更换为 https SSL的应用 续 由于出口限制和其他原因 目前的浏览器 包括IE和Netscape 只能支持56位对称密钥和512位非对称密钥长度的SSL连接 这在实际应用中是非常不安全的 安全的SSL系统需要至少128位对称密钥和1024位非对称密钥长度 在SSL的客户机 服务器模式下 即使服务器端可以支持位数更多的密钥长度 具有较高的安全强度 但由于客户端的限制 实际SSL连接中只能使用客户端较低位数的密钥长度来进行安全信息传输 所以很多安全系统的客户端大都安装了一个SSL代理程序 它直接接管浏览器发送和接收的信息 利用安全的密钥长度与服务器进行交互 必要的时候还需要在服务器端安装SSL服务器代理 SSL的缺陷 SSL的缺陷是只能保证传输过程的安全 无法知道在传输过程中是否受到窃听 黑客可以此破译SSL的加密数据 破坏和盗窃WEB信息SSL在全球的大规模使用还有一定的难度 SSL产品的出口受到美国国家安全局 NSA 的限制 美国政府只允许加密密钥为40位以下的算法出口 而美国的商家一般都可以使用128位的SSL 致使美国以外的国家很难真正在电子商务中充分利用SSL 电子货币网上支付网上银行 网上银行 网上银行的定义网上银行利用Internet和Intranet技术 为客户提供综