第三章电子商务网上支付2.ppt

第三章电子商务网络 支付方式 传统支付 现金 票据 信用卡电子支付 电子现金 借记卡 信用卡 智能卡 电子支票 本章主要内容 电子支付概述 电子支付工具 电子支付系统 电子支付安全 电子支付法律问题 一 电子支付概述 1 电子支付的概念2 电子支付的特征 1 电子支付的概念 1989年 美国法律学会批准的 统一商业法规 对电子支付作了如下定义 电子支付是支付命令发送方把存放在商业银行的资金 通过一条网络线路划入收益方开户银行 以支付给收益方的一系列转移过程 2 电子支付的特征 1 一种新型数字化的支付活动 2 跨空间和时间 3 无形化 4 安全性 电子支付与传统支付的区别 二 电子支付工具 一 电子现金 二 借记卡 信用卡 智能卡 三 电子支票 一 电子现金 1 概念电子现金是以数字化的形式存在的电子货币 又称数字现金 是一种以电子数据形式流通的 能被客户和商家普遍接受的 通过Internet购买商品或服务时使用的货币 2 电子现金支付的特点 1 商家和银行之间应有协议和授权关系 2 顾客 商家和电子现金的发行银行都需要电子现金软件 3 适用于小额交易 minipayment 因此适用于B2C模式的电子商务 4 电子现金的发行银行在发放电子现金时使用数字签名 商家在每次交易中 将电子现金传送给银行 由银行验证电子现金的有效性 5 电子现金的发行者负责用户和商家之间实际资金的转移 6 电子现金与普通现金一样 可以存 取和转让 3 电子现金工作原理 客户通过建立账号和维持账号内足够的钱来支持任何的采购 从银行的货币服务器购买数字现金 其价值由银行来做担保 一旦买进货币 客户计算机上所使用的数字现金软件 就会记下银行所签章的数字金钱 使用者如果想付款 软件就会从所储存的货币中转出适当的金额 为防止电子现金的重复使用 银行先拿数据库里已使用的票据资料来检查 并用流水号码来辨识 二 借记卡 信用卡 在电子商务中信用卡付款方式最简单的形式是让客户提前在某一公司登记一个信用卡密码和口令 当客户通过网络在该公司购物时 客户只需将口令传送到该公司 购物完成后 客户会收到一个确认的电子邮件 询问购买是否有效 若客户对电子函件回答有效 公司就从客户的信用卡账户上减去这笔交易的费用 二 借记卡 信用卡 现在更安全更先进的方式是在internet环境下通过SET协议 安全电子交易SecureElectronicTransaction 进行网络支付 具体方式是客户在网上发送信用卡号和密码 加密发送到银行进行支付 其支付过程要进行客户 商家及付款要求的合法性验证 二 借记卡 信用卡 信用卡支付系统的目标市场主要定位在电子商务的B2C交易 它具有低风险性和高安全性等显著特点 因为信用卡本身的支付额度有限 有效地降低了支付双方的风险 但不适合大宗交易 我国目前重点发展的是银行借记卡和IC卡 各大商业银行都提供借记卡代替现金付账的业务 但没有透支功能 1 无安全措施的信用卡支付 工作流程 信用卡信息 承担信用卡信息在传输过程中被盗及卖方获得信用卡信息等风险 信用卡网上支付方式 2 通过第三方代理人的支付 客户 第三方代理人 银行 开设账户 帐号 商家 订单及帐号 帐号 授权 订单确认 支付确认 银行卡信息 特点 支付通过双方都信任第三方完成 信用卡信息不在开放的网络上传送 买方没有信用卡信息被盗窃的风险 交易成本低 特点 1 使用SSL技术加密的信用卡信息只有业务提供商或第三方机构能够识别 2 用户购物时只需一个信用卡号 比较方便 3 启用身份认证系统和数字签名 并且这些是用户 商家在线注册系统时产生的 不能修改 4 需要业务服务器和服务软件的支持 3 基于SSL协议的简单加密信用卡支付 发卡行 商家银行 客户 商家服务器 业务服务器 商家 开设信用卡账户 信用卡账户 订货及信用卡 加密 信用卡加密信息 解密信息 银行卡认证 认证信息 认证信息 交易情况 交易是否成功 1 安全电子交易协议 SET 是为了保障Internet上信用卡交易的安全性而开发的 4 安全电子交易 SET 信用卡支付 2 功能 1 对交易参与者进行认证 用户 商家 服务器 银行 2 信息保密性 3 数据完整性 4 订单和帐号信息相互隔离 保证用户资金安全 5 互操作性成本过高 客户 商家 发卡行 收单银行 银行专网 认证中心 支付网关 申请信用卡 订单 支付指令 数字签名 加密 审核 审核 批准 确认信息 确认信息 确认信息 确认 认证 认证 认证 货款转移 货款转移 三 电子支票 将支票改变为带有数字签名的电子报文 或利用其他数字电文代替传统支票的全部信息 就是电子支票 利用电子支票 可以使支票的支付业务和支付过程电子化 网络银行和大多数银行金融机构 通过建立电子支票支付系统 在各个银行之间发出和接收电子支票 向客户提供电子支付服务 三 电子支票 电子支票的构成 电子支票由客户计算机内的专用软件生成 一般应包括支付数据 支付人 支付金额 支付起因等 支票数据 出票人 收款人 付款人 到期日等 客户的数字签名 CA证书 开户行证明文件等内容 电子钱包 ElectronicPurse 1 含义 电子钱包是一种抽象化的钱包 是一种应用软件 安装在用户的计算机上 通过银行的电子钱包服务系统来管理自己账户上各种电子货币或者卡上的数据 从而进行交易 是小额购物或购买小商品时常用的新式钱包 2 包含内容 电子钱包的功能和实际钱包一样 可存放电子信用卡 智能卡 电子现金 所有者的身份证书 所有者地址以及在电子商务网站的收款台上所需的其他信息 3 使用方法 先将电子钱包软件 免费提供 安装在计算机上 利用电子钱包的服务系统就可以把自己的各种电子货币或者卡上的数据输入进去 付款时 比如使用信用卡付款 单击相应项目或图标就能完成 这种支付方式也称为单击式或电击式支付方式 例如 中国银行电子钱包1 用户在自己的计算机内安装中银电子钱包软件 2 登录中国银行网站 http www bank of 在线申请并获得持卡人电子安全证书 3 登录到中国银行网上特约商户的站点 选购商品 填写送货地址并最后确认定单 4 点击长城电子借记卡支付 浏览器会自动启动电子钱包软件 用户只要按照画面提示输入借记卡卡号 密码等信息即可实时完成在线支付 5 用户在家里坐等网上商户将选购的商品邮寄过来或送货上门 注 以上1 2步骤仅在初次使用中国银行长城电子借记卡进行网上购物时方进行 在第二次乃至以后进行网上购物时 不必重复上面1 2步骤 总之 电子钱包提高了购物的效率 消费者选好要采购的商品时 可立即点击自己的钱包 从而加速了订购的过程 附 A的一次点击技术只要消费者在亚马逊的网站上购买过一次图书 其通信地址和信用卡号就会被自动储存 下次购买时消费者只需用鼠标点击所购的图书 就可以收到所需商品 一次点击系统和电子钱包的区别 前者只适合某家商店 后者从理论上讲适合多家商店 只要商店接受这个系统 三 电子支付系统 一 电子支付系统的构成 是指消费者 商家和金融机构之间使用安全电子手段交换商品或服务 即把新型支付手段包括电子现金 信用卡 支票等的支付信息通过网络安全传送到银行或响应的处理机构 来实现电子支付 是融购物流程 支付工具 安全技术 认证体系以及现在的金融体系为一体的综合大系统 三 电子支付系统 信用卡支付系统结构图 客户 是指与某商家有交易关系并存在未清偿的债权债务关系 一般是债务 的一方 商家则是拥有债权的商品交易的另一方 它可以根据客户发起的支付指令向金融体系请求获取货币给付 顾客开户行指客户在其中拥有账户的银行 客户开户行在提供支付工具的时候也同时提供了一种银行信用 即保证支付工具的兑付 客户的开户行也是发卡行 商家开户行是商家在其中开设账户的银行 商家将客户的支付指令提交给其开户行后 就由开户行进行支付授权的请求以及行与行间的清算等工作 商家的开户行又称为收单行 支付网关是公用网和金融专用网之间的接口 支付信息必须通过支付网关才能进入银行支付系统 进而完成支付的授权和获取 银行专用网则是银行内部及银行间进行通信的网络 具有较高的安全性 认证机构则负责为参与商务活动的各方 包括客户 商家与支付网关 发放数字证书 以确认各方的身份 保证电子商务支付的安全性 三 电子支付系统 二 电子支付系统的功能 1 使用数字签名和数字证书实现对各方的认证 2 使用加密技术对业务进行加密 3 使用消息摘要算法以确认业务的完整性 4 当交易双方出现纠纷时 保证对业务的不可否认性 5 能够处理贸易业务的多边支付问题 四 电子支付的交易步骤 一 电子现金支付系统的交易步骤 二 电子信用卡交易系统的交易步骤 三 电子支票系统的交易步骤 一 电子现金支付系统的交易步骤 主要应用在小额支付的场合 1 顾客到银行开户 存入真正的现金 在网络银行购买一定数额的电子现金 这个额度一般都比较小 存储在本地计算机上 一 电子现金支付系统的交易步骤 2 顾客在网上购物时使用电子现金向商家支付 电子现金数据加密后传输给商家服务器 3 商家服务器将收到的数字货币发到开户银行 要求兑付真正的现金 一 电子现金支付系统的交易步骤 4 商家开户行对数字货币验证后 通过银行专用网络与客户的开户行进行清算 并将清算金额转拨给商家 5 商家根据客户提交的购物单给客户发送货物 二 电子信用卡交易系统的交易步骤 普遍适用于B2C电子商务模式 1 客户到银行开户 申请办理电子借记卡 存入适当金额的现金 2 客户从开户行的网站下载免费的电子钱包软件 同时申请开户行颁发的CA证书 二 电子信用卡交易系统的交易步骤 3 客户上网购物 与商家达成购销协议并选择用电子钱包支付 4 客户进入自己的电子钱包软件 输入信用卡的密码进行付款 付款信息包含了客户的证书信息 通过安全的传输协议传送给商家的服务器 二 电子信用卡交易系统的交易步骤 5 商家的开户行与客户的开户行之间进行应收款项和财务往来的电子数据交换和结算处理 6 经商家开户行证明电子钱包付款有效并授权后 商家发货 将电子收据发给顾客 并保留整个交易过程中发生往来的财务数据 7 商家按照客户提供的电子订货单发送货物给顾客 三 电子支票系统的交易步骤 适用于B2B的电子商务模式 1 客户先利用专用软件产生一个特定格式的电子支票 该支票包含有数字签名 2 客户利用安全E mail或www方式把电子支票传送给商家 三 电子支票系统的交易步骤 3 商家收到该电子支票之后 验证这张支票的有效性 如果这张支票是有效的 商家向自己的开户行发送背书的支票 同时开出一张电子存款单 背书也是一种电子签名的方式 三 电子支票系统的交易步骤 4 商家的开户行验证客户签名和商家签名 将上述存单中的支票信息再通过银行专用网络发送给客户的开户行 要求转账 三 电子支票系统的交易步骤 5 客户的开户行验证客户签名 与商家的开户行进行清算 并将清算结果反馈给客户和商家 6 商家的开户行将清算金额转入商家的户头 商家向客户发货 并将电子发票寄送给客户 1 信用卡支付系统 FirstVirtual FV 信用卡支付系统这是因特网上使用最早的信用卡支付系统之一 主要特点是安全 不用加密 简单易用 FV采用有关客户信用卡和商家开户行的所有信息不在Internet上传递 而是通过电话 传真或邮递等方式传递给FV支付系统的方法来解决安全问题 事先要注册 使用电子邮件反复传递信息SET支付系统 2 电子支票支付系统 主要应用的电子支票系统有 NetCheque 这是一种面向支票结算的支付系统 将传统支票的支付处理方法在因特网上得以实现 FSTC电子支票系统 这是一种以现行使用的行间支付系统为基础的电子支票系统 具有更大的灵活性 此外还有NetChex和NetBill等 3 电子现金支付系统 支付过程不直接对应任何银行账户 持有者可以通过预先付款便可购买到相应币值的电子现金用于网上支付 国外有影响的电子现金系统 DigiCash NetCash 此外还有CyberCoin EMV现金卡 Beenz和Flooz等电子现金系统 电子现金支付的三种实用系统 DigiCash 无条件匿名电子现金支付系统 主要特点是通过数字记录现金 集中控制和管理现金 是一种足够安全的电子交易系统 NetCash http www isi edu 可记录的匿名电子现金支付系统 主要特点是设置分级货币服务器来验证和管理电子现金 其中电子交易的安全性得到保证 Mondex 欧洲使用的 以智能卡为电子钱包的电子现金系统 可以应用于多种用途 具有信息存储 电子钱包 安全密码锁等功能 可保证安全可靠 五 电子支付安全概论 一 客户匿名性与支付交易的不可跟踪性 二 交易消息的新鲜性 三 支付信息的保密性 四 交易支付完整性 五 身份认证 六 支付消息不可否认性 七 电子现金安全 八 信用卡交易安全 九 电子支票安全 一 客户匿名性与支付交易的不可跟踪性 客户匿名性指的是整个交易过程中客户的身份不会通过交易中提供的信息而有所泄漏 买方的匿名可以通过使用假名或数字ID来实现 支付交易不可跟踪性的目的就是使得无法将同一买方的多次支付交易联系在一起 地址不可跟踪性就是确保个人电脑的IP地址或主机名不会泄漏 二 交易消息的新鲜性 保证交易消息的新鲜性意味着防止交易信息重复使用 交易消息的新鲜性可以通过在交易信息中附加新鲜子来保证 新鲜子实际上也是附加在付款信息中的一个随机数 三 支付信息的保密性 支付交易数据的机密性不仅仅是要防止支付交易数据泄漏给外人 而且还防止数据的指定部分泄漏给指定的参与方 如卖方 使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名 使得商家看不到支付信息 只能对客户的订单信息解密 而金融机构只能对支付和账户信息解密 充分保证消费者的账户和定货信息的安全性 四 交易支付完整性 支付完整性要求支付交易数据不可受到非授权的参与方的更改 支付交易数据包括客户身份 商家身份 购买内容 金额以及其他信息等 通常的完整性机制可以通过单向散列函数生成消息摘要结合数字签名来实现 消息或文档的任何改变 都可以使摘要的内容完全不同 以保证交易支付的完整性 五 身份认证 身份认证 即客户与商家都必须证明自己的支付身份 支付身份不必与其真实身份相同 但必须是确实可信的 目前 身份认证主要是通过网上认证机构 CA 来实现的 六 支付消息不可否认性 在整个电子商务交易过程中 商家 接收银行 发行银行和客户都需要不可抵赖的证据 以证明彼此进行的支付交易 支付授权 领取支付等过程是不可否认和不可抵赖的 其手段是分别使用数字签名的形式 七 电子现金安全 电子现金安全即与电子现金安全性有关的问题 电子现金在流通过程中 不但会存在与传统货币类似的安全问题 比如假币现象 还会出现传统货币中没有的安全问题 与电子现金安全有关的问题总结起来有以下三种 重复花费 防止电子硬币的重复使用 硬币的伪造 防止未授权的参与方伪造电子硬币 硬币被盗 防止电子硬币被未授权的参与方花费 八 信用卡交易安全 1 网络传输安全 电子商务网站要提供一种足够安全的加密方法确保顾客提交的信用卡信息不被网络黑客盗用 2 网络交易安全 信用卡交易采用公钥和私钥相结合的加密机制来保证第三方无法看到与他无关的信息 3 网络交易身份安全 信用卡交易还要有完整的认证体系来确保交易信息对交易三方都真实可信 4 SET 安全电子支付 协议比较全面的解决了信用卡交易的安全问题 九 电子支票安全 电子支票中使用X 509证书来提供对签名的验证功能 当银行客户申请一个电子支票账号时 银行将向客户发放一个证书 当证书过期以后 银行将重新发放该证书 以保证一个证书对应一个客户账号 签名者的私钥也没有被盗窃和误用 智能卡可以保护签名者的私有签名密钥 以防止盗窃或误用 为了保证电子支票的惟一性 电子支票簿在每次签名时都自动产生一个序列号 并保存一个日志或记录以便在发生纠纷 如给定的电子支票是否被签名和背书等 时可以查询 六 电子支付的法律问题 就电子支付而言 其主要涉及的法律要素主要有 1 有关认证 CA 中心的法律 CA中心是电子商务中的核心角色 它担负着保证电子商务公正 安全进行的任务 因而必须由国家法律来规定CA中心的设立程序和资格以及必须承担的法律义务和责任 同时要由法律规定对CA中心进行监管的部门及监管方法以及违规后的处罚措施 六 电子支付的法律问题 2 有关保护个人隐私 秘密的法律 本着最小限度收集个人数据 最大限度保护个人隐私的原则来制定法律 以消除人们对泄露个人隐私以及重要个人信息的担忧 从而吸引更多的人上网进行电子商务 3 有关电子合同 发票 收据的法律 需要制定有关的法律对电子合同的法律效力 数字签名 电子商务凭证的合法性予以确认 需要对电子商务凭证 电子支付数据的伪造 变更 涂销做出相应的法律规定 思考题 1 电子支付工具与传统支付工具相比 提出了哪些新的要求 2 简述电子支付体系结构中的几个参与对象 3 分析电子现金交易步骤 4 分析信用卡交易步骤 5 分析电子支票交易步骤 6 电子支付中的匿名性问题有些人觉得无关紧要 你认为他们的理由是什么 一 什么是SET 安全电子交易规范SET SecureElectronicTransaction 安全电子交易规范是由两大国际知名的信用卡组织MasterCard和Visa以及Netscape IBM Verisign和Microsoft等公司共同开发的安全交易规范 主要用于保障Internet上信用卡交易的安全性 返回 二 SET的商业需求 1 信息的机密性SET协议必须提供支付信息的机密性 并保证与支付信息一同传输的订购信息的机密性 SET协议利用加密技术实现传递信息的机密性 2 数据的完整性SET协议必须保证订单消息和接收到的支付信息与发送消息内容匹配 SET协议利用数字签名技术保证支付信息的完整性 返回 二 SET的商业需求 3 持卡人账号的认证性商家必须能够验证持卡人是一个有效的品牌支付卡账号的合法用户 SET使用数字签名和持卡人证书保证持卡人账号的认证性 4 商家认证性商家认证性用于保证商家可以通过金融机构接收品牌支付卡交易 同时持卡人必须能够鉴别商家身份 SET使用数字签名和商家证书保证商家的认证性 5 可交互性SET协议必须能够应用于不同的硬件和软件平台 使用兼容软件的任何持卡人都必须能够与满足定义标准要求的任何商家软件进行通信 SET使用特定的协议和消息格式实现可交互性 三 SET协议的处理逻辑 SET购物流程 持卡人 消费者 特约商店 收单银行 1 确认商店的合法性 2 提交商店的证书 3 数字签名 订单和电子证书 4 请求交易授权 5 交易授权回复 6 订单确认 完成交易 7 请款要求 8 请款回复 SET协议中涉及的主要参与者 持卡人 Cardholder 发卡行 Issuer 为持卡人建立帐号 并发行支付卡的金融机构 商家 Merchant 收单行 Acquirer 为商家建立帐号的金融机构 并处理支付卡授权和支付 支付网关 PaymentGateway 由收单行操作的设施或由指定第三方担任 处理商家支付信息和持卡人发来的支付指令 品牌 Brand 支付卡品牌 四 SET协议中的证书 SET中的证书通过一个信任层次进行验证 每个证书都连接到一个签署该证书的实体的证书 通过这样一个信任树到达一个公认的信任机构 用户就可以保证证书是有效的 持卡人证书 商家证书 支付网关证书 收单行证书 发卡行证书 返回 1 持卡人证书 持卡人证书表示持卡人合法拥有支付卡 持卡人的发卡金融机构对用户验证并同意以后 向持卡人发放证书 持卡人证书中包含一个利用单向散列算法计算出的一个秘密值 不包含账号信息和过期时间 在SET协议中 持卡人向支付网关提供帐号信息和秘密值用于验证 在电子商务交易中 持卡人证书连同购买请求和加密后的支付指令一同传送给商家 商家接收到持卡人证书后 能够在最低程度上验证该帐号 2 商家证书 商家证书表明商家同金融机构有一定的关系 能够接受支付卡品牌支付 商家证书由商家金融机构数字签名 商家证书不能被任何第三方修改 并且只能由金融机构产生 每个商家对每个它接受的支付卡品牌拥有一对证书 3 支付网关证书 支付网关证书由收单行或处理授权和请款消息的受理系统拥有 持卡人从支付网关证