第五章电子商务支付安全

第五章电子商务支付的安全2014.10.05电子商务支付安全需求

1.电子货币

2.虚拟货币

3.代金券与积分

4.电子商务支付模型

5.电子商务支付模式

6.电子商务支付系统架构

电子商务支付概述

1.电子商务安全支付流程2.电子商务安全影响因素3.电子商务支付安全问题4.电子商务支付安全原则5.电子商务支付安全需求

电子商务安全支付平台电子商务支付安全体系1.电子商务安全支付标准2.电子商务安全支付方式3.电子商务安全支付工具4.电子商务支付的安全管理1.电子支付平台2.网上支付平台3.第三方支付平台5.1电子商务支付概述电子商务支付行业整体交易规模高速发展，多项监管法规相继颁布，第三方支付行业全面进入监管时代。

目前国内电子商务支付市场已经形成四大基本阵营：一是独立的第三方支付企业，如快钱，易宝支付等；二是国内电子商务交易平台价值链延伸的在线支付工具，如支付宝，财付通，百付宝等；三是中国银联的ChinaPay以及各大银行的网上银行等；四是以中国移动，中国电信，中国联通等电信运营商为代表的移动支付企业。5.1.1电子货币定义：电子货币又称为电子通货，数码货币，电子现金等，是以计算机技术，通信技术，金融机具等为基础，以银行卡（磁卡和IC智能卡）和电子资金传输系统为基本载体，通过电子信息转账系统存储，转移，支付，结算等过程完成支付的无形货币资金。类别：银行卡，电子现金，电子支票等。功能：

①转账结算功能②储蓄功能③兑换功能④消费贷款功能特征：①形态上以磁介质形式存在，是一种虚拟货币。②技术上电子货币的发行，流通，回收等均采用信息化方式实现。③支付方式上有预付型(信用卡)，即付型（银行储蓄卡）和后付型（电子支票）3种。

5.1.2虚拟货币定义：虚拟货币是具有现实价值的非真实货币。虚拟货币是网络企业以公用信息网为基础，以计算机技术和通信技术为手段，以数字化的形式存储在网络或有关电子设备中，并通过网络数据传输实现流通和支付的网上等价物。类别：

根据功能和用途可分为三类：

①网络游戏中的游戏币；如网游《魔兽世界》里的魔兽币，盛大游戏运营的盛大点券等。

②门户网站或即时通讯服务商发行发行的专用货币；如腾讯公司的Q币。

③网络虚拟货币公司发行的可用于网络购物的虚拟货币；如美国贝宝公司发行的虚拟货币等。

根据是否需要利用法定货币购买,可分为：

①法币预付充值型虚拟货币,用法币预付充值获得。如Q币，新浪公司的U币，百度公司的百度币等。

②网络活动卷入型虚拟货币，通过参与发行者指定的网络活动获得，如人大经济论坛的论坛币，大家论坛的论坛币等。

功能：

①虚拟实现功能；在流通和交易中取代现实货币而充当一般等价物，在虚拟世界中执行价值尺度、流通手段、支付手段等职能。

②兑换功能；游戏玩家利用购买的虚拟货币来兑换相应的游戏币，然后在游戏平台上玩各种网络游戏。

③管理功能；网络用户的等级可通过其拥有的虚拟货币来体现和衡量，而网络服务商可根据用户不同的等级给予不同的优惠和特权，实现对网络用户的分类管理。

④持有功能；虚拟货币交易体现了网络用户在虚拟世界中拥有虚拟财产的渴望。

虚拟货币不仅可解决微支付问题，而且可以通过网络交换促进虚拟消费和在线消费，是电子商务高级发展阶段的重要构成元素，网络企业也可以通过灵活掌控和运营大量虚拟货币塑造自己的品牌形象。虚拟货币和电子货币的区别：

发行主体信用保证支付方向支付范围电子货币一般是接受中央银行和银监会监管的各类金融机构。是一种银行信用。（1）可以随时无条件兑换为纸币；（2）能够在与发行者有协议的商家处任意使用，购买各种实物商品与服务。是一种双向支付工具。全局性支付工具，即可在一个国家或社会内购买所有商品。虚拟货币一般是普通网络企业或公用事业机构。主要在于购买者能否方便地购买到发行者提供的虚拟商品或网络服务。（1）法币预付充值型虚拟货币大多是单向性支付工具。（2）网络活动卷入型虚拟货币是双向支付工具。局部性支付工具，只能在某些特定范围内购买指定商品。双向性支付工具：供应者销售商品时收到的支付工具可以用于购买生产要素投入或在同一经济系统中购买其所需要的其他商品。单向性支付工具：是指供应者销售商品时所收到的支付工具不能用于购买其所需要的生产投入或其他商品。5.1.3代金券与积分定义：代金券也称为现金券，是商家发行的一种优惠券，可在其发行商家经营的店铺购物时抵扣等值的现金，是一种短期刺激消费者的工具，与长期吸引顾客的积分共同构成了日常网络营销的基本工具。

积分是电子商务企业为提升老顾客的忠诚度和网站的影响力而实施的一种奖励措施。本质：代金券和积分实质上是商家通过向目标消费人群发放适当的优惠券或赠与一定的消费回馈，以最小的代价获得更多的利润。

5.1.4电子商务支付模型电子支付模型涉及的参与实体对象主要包括：（1）客户银行：为客户发行有效的电子现金、电子支票和信用卡等电子支付凭证。（2）客户：通过取款协议从客户银行取出电子支付凭证，并通过付款协议从客户银行换取电子支付凭证。（3）商家：接受客户的电子支付手段并为其提供商品或服务。（4）商家银行：接受商家从客户收到的电子支付凭证并验证其有效性，然后提交给清算中心，将钱从客户银行转账到商家银行。（5）清算中心：从商家银行收到电子支付凭证并验证其有效性，然后提交给客户银行。见下图：电子商务支付的一般模型5.1.5电子商务支付模式1.支付网关模式：也称为独立第三方支付模式，银行网关模式或网关支付模式，是一种最早的电子商务支付方式，这种支付平台只提供资金支付的中转服务，没有内部交易功能，只是银行网关代理的第三方支付平台。其用户是通过支付平台运营商联系在一起的银行和商家，其收益也主要来自银行收益的分成，以及向消费者和商家收取的年费和交易手续费。支付网关定义：是连接银行内部的金融专用网络与互联网专用网络的一组服务器。功能：主要作用是安全连接Internet和银行专网，将不安全的网络交易信息传给安全的银行专网，起到支付数据隔离和保护专网的作用。主要完成数据通信，协议转换，数据加密和解密，银行内部网络安全保护等任务。支付网关模式下的电子商务支付流程：（1）网购消费者在商家网站选择商品或服务。（2）网购消费者向商家网站提交订单。（3）网购消费者选择支付平台，如首信易，网购消费者的支付账号和订单信息将以密文形式传输到支付平台的安全支付服务器上，在支付平台上选择相应的网银链接，点击后进入对应网上银行的支付页面进行支付操作。（4）支付平台将网购消费者的支付信息按照银行支付网关的技术规范传递到相关银行，必要时需要将支付信息传输给网上商家进行确认或者进行支付信息修改。（5）网购消费者签约银行检查消费者的账户余额、实施扣帐或划账，并将处理结果传输给支付服务器和网购消费者。（6）银行确认支付服务器是否收到其发送的订单支付处理结果。（7）支付服务器将支付结果传输到网上商家。（8）网上商家接收到网购消费者成功完成支付的信息时，即向消费者发货或提供服务，并通知电子商务平台及时更新相关物流信息和交易记录。（9）银行通过支付平台向支付成功的商家进行资金清算，整个电子商务交易过程到此结束。如图：2.信用中介模式：也称为非独立第三方支付模式，这种模式的支付平台主要由大型电子商务交易平台独立开发或与其他投资者共同开发和运营，凭借运营商的实力和信誉与各大银行合作，同时能够为买卖双方提供中间担保。

第三方支付定义：是具备一定实力和信誉保障的独立机构，采用与各大银行签约的形式提供与银行支付结算系统连接的网上支付模式。功能：提供服务通道，通过第三方支付平台实现交易和资金转移结算。

特点：通过第三方支付平台可以降低电子商务交易成本，促成商家和银行间的合作。除了向网上商家提供支付功能之外，还可以提供一些增值业务。本质：一种提供结算信用担保的中介服务模式。信用中介模式的支付流程：在信用中介模式的电子商务支付过程中，买家首先要向自己的支付宝账户中充入一定数额的实体资金，当买方在网上提交订单并达成交易协议后，即向支付宝平台发出支付请求，支付宝平台将买方支付宝账户中相应数额的资金进行冻结，并通知卖方为买方发货；买方收到购买的商品并确认收货后，支付宝平台才将临时保管的资金拨到卖家的支付宝账户中，卖方可将自己支付宝账户中的资金提取到其绑定的银行账户中，这时电子商务整个交易过程便基本完成。3.网上银行模式：是银行通过自己的网站向消费者提供账号查询、对账、转账、信贷、网上支付等金融业务服务，不仅需要商家在银行中开设结算账户，而且需要客户在银行中开设网上支付账户，并在卡中存有一定数量的钱款，商家直接通过支付网关连接银行专用网络进行资金结算。4.移动支付模式：是以智能手机、平板电脑等智能移动终端设备为载体，以短距离无线通讯技术为手段，在各类移动支付平台上进行交易的电子支付新模式。需要买方在银行开通手机银行服务，并将银行账号与手机绑定，商家在银行开设结算账户。这样买方选择手机银行支付，支付信息由银行发送到买家手机上；在银行收到买家确认订单信息后再将货款从买家账户转到卖家账户，支付完成后，卖家发货给买家。5.1.6电子商务系统架构电子商务支付过程涉及客户，商家，银行或其他金融机构，认证中心等主体对象。电子商务系统包括支付活动的主体，支付工具（如银行卡，电子现金，电子支票），支付协议（如SSL协议和SET协议）等要素，是一个融网络购物，支付工具，安全认证，信息管理，金融系统为一体的综合型系统，其基本体系构架如下：5.2电子商务支付安全需求5.2.1电子商务安全支付流程（1）客户通过Web浏览器或移动电子商务平台提交订单。（2）客户成功提交订单后，确定支付该订单时，选择相应的支付方式向支付平台提交请求信息，同时链接到安全支付服务器上完成货款的支付；同时，客户授权支付平台将其账户中的相应款项转到支付平台账户或商家账户。（3）客户成功完成支付后，支付平台向商家发送客户订单成功支付的信息，商家确认订单后为客户发货，并在电子商务平台上发布货物的物流信息。（4）客户收到货物后，验收无误，确认收货并通知第三方支付平台拨款给商家；在商家提取货款时，第三方支付平台通知商家签约银行完成相应金额款项的划账和清算。见下图：5.2.2电子支付安全影响因素影响电子支付安全的5种因素：①来自银行合作单位的安全隐患。②来自不信任区域的安全隐患。③来自互联网的安全隐患。④来自内部网的安全隐患。⑤来自安全管理的安全隐患。如与电信服务商，保险公司，证券交易所等单位的网上业务来往，由于银行信息系统与这些合作单位的信息系统业务不同，安全保护的侧重点也有差异，使得银行网络系统存在来自这些业务关联单位的安全威胁。对于一个区域的银行来说，其他地区的银行系统就是不可信任的，是存在安全隐患的。由于互联网的开放性，广泛性，虚拟性等，与互联网相连的各种金融系统往往会成为网络攻击的重要目标。企业内部员工对企业的支付系统的了解可能导致电子商务支付系统的安全问题。包括技术管理和规章支付管理，不健全的管理措施或执行不力会给企业带来严重的安全管理风险。5.2.3电子商务支付安全问题

电子商务支付存在8种安全问题：①支付密码泄露，如形式简单的密码，流行的木马病毒，钓鱼网站等严重威胁密码的安全。②支付数据篡改，如果部分网络系统的安全防范措施不完善，攻击者可以截取并篡改发送方的信息，给其造成损失。③支付各方身份的确认，在支付过程中需要验证各方的身份信息，以防止攻击者假冒支付中的某一方提交虚假信息，给交易带来安全风险。④支付行业标准不统一，目前我国没有统一网上银行支付接口技术规范，数字证书也没有统一的技术标准，相应的安全性难以得到很好的保证。⑤支付信用风险，第三方支付中的信用风险主要表现在交易中的消费者、商家和第三方支付平台运营商。⑥支付系统的安全性，着来自互联网和相关企业内部的攻击、病毒感染、黑客入侵等都可能对电子商务支付系统带来巨大安全威胁。⑦支付隐私泄露，网购消费者的私人信息，如银行账户、真实姓名、联系方式、交易记录等与支付相关的隐私信息被有意或无意的泄露，都会对支付数据的机密性和消费者的个人隐私安全造成威胁。⑧支付安全监管体系不健全，我国颁布的法律只有解决支付结算业务中签章问题的《电子签名法》，以及中国人民银行发布的《网上银行业务管理办法》和《电子支付指引》、银监会发布的《电子银行业务管理办法》。电子商务支付相关法律法规的缺失，导致政府对行业监管缺乏统一的标准和依据，导致网购消费者维权难的问题。5.2.4电子商务支付安全原则

支付数据的机密性支付数据的完整性支付数据的真实性支付的抗抵赖性支付平台的安全性5.2.5电子商务支付安全需求

保密性完整性可靠性可用性抗否认性容错性安全管理和安全技术的结合5.3电子商务支付安全体系

5.3.1电子商务支付安全标准2010年6月21号，中国人民银行发布了《非金融机构支付服务管理办法》，在此之前，相关部门已发布的与支付行业相关标准规范见下图：这里主要对以下3类行业标准规范进行分析：1.2005年10月发布的《电子支付指引》作用：明确了电子支付适用的主体范围；明确了电子商务系统参与各方主体的权利义务和风险责任分配机制，加强了对电子支付中消费者合法权益的保护；对电子指令在电子支付中的法律效力做出明确规定；为维护国家金融安全，对跨境金融资金流、信息流进行监管。2.2006年2月发布的《电子银行业务管理办法》和《电子银行安全评估指引》适用对象：银行金融机构以及在我国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司，以及经银监会批准设立的其他金融机构。这里的电子银行包括网上银行、电话银行和手机银行，以及其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务，如自助银行、ATM系统等。3.2010年6月出台的《非金融机构支付服务管理办法》《办法》明确规定第三方支付机构接受央行的监督管理，未经央行批准，任何非金融机构和个人不得从事或变相从事支付业务。《办法》中所指的提供支付服务的非金融机构包括以商户网络为基础的收单专业化服务机构以及预付卡业务机构等，如银行卡商户、银行POS终端客户、移动支付和网上支付服务商等。2.网上支付定义：网上支付又被称为网络支付，专指以数字化金融网络和电子商务为基础，以商业银行为主体，使用基于互联网的电子货币支付和资金流转等即时支付和结算。电子支付系统是网上支付的基础，网上支付是电子支付的高级形式。5.3.2电子商务安全支付方式1.电子支付定义：又称电子结算，是以金融网络为基础，以商用电子化工具和各类电子货币为媒介，并且以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在通讯网络系统上实现资金的流通和支付。特征：数字化、开放性、高效性

3.移动支付

定义：移动支付是以银行卡账户为资金支持，以智能手机，PDA，平板电脑等移动通信终端作为交易工具，通过短信，语音，WAP，移动WEB等无线方式完成购物消费，代缴费，转账，账户余额查询等操作并得到交易结果通知和账户变化等通知的一种新型支付方式。

业务模式：手机代缴费、手机钱包、手机银行和手机信用平台

参与对象：移动支付涉及客户，商家，银行，移动支付服务提供商（PSP），移动运营商（MO），以及仲裁机构等参与主体，银行通常还可以分为汇出行和接收行。

其一般流程如图：

4.电话支付

定义：电话支付是电子支付的一种线下实现形式，是指消费者使用固定电话，手机，平板电脑或其他类似电话的终端设备，基于公共交换电话网络与金融机构清算系统，通过电话支付终端向用户提供自助支付，自助金融等电子支付服务的电信增值业务。

一方面，电话支付能够为金融机构提供新的电子支付形式，扩展银行的服务渠道，降低支付服务成本；

另一方面，电话支付可以帮助电信运营商提高固网每用户平均收入，降低固话机拆机率，提高用户黏着度，扩展综合信息服务。

5.电视支付电视支付是由广电网络公司主导，基于双向互动电视网络，以数字电视机顶盒为支付终端，安全、便捷地使用个人账户向第三方完成在线支付的过程。6.微支付微支付可以很好地满足信息商品或信息服务的小额支付需求，如支付一条付费新闻的浏览费用、一个电子文档的下载费用。微支付在满足安全性的前提下，简单高效，且每一笔交易的费用较低。7.指纹支付指纹支付就是一种基于指纹识别技术实现的电子支付服务，将用户指纹信息与其银行账户绑定之后，用户在购物或消费后便可通过手指在指纹识别终端的扫描实现用户身份的认证，确认用户真实身份后，便可轻松完成交易支付。5.3.3电子商务安全支付工具

1.银行卡

银行卡是一种由磁性材料或集成电路构成的，用来记录、存储客户姓名、联系方式、支付记录等信息的卡片，是银行提供电子支付服务的一种工具，主要用于取款和在线转账支付。

2.电子现金

电子现金又称为数字现金，是以数据形式存在的现金货币，它使用一系列加密序列数来表示现实中各种金额的币值，是一种数据形式流通的货币，不具备实物特征。

3.电子支票

电子支票是客户向收款人签发的，无条件的数字化支付指令，可以通过因特网或无线接入设备来完成传统支票的所有功能。5.3.4电子商务支付的安全管理

1.完善电子商务支付监管机制

构建安全高效的电子支付监管体系，对电子商务支付服务提供商进行有效的管理与控制，防止电子支付相关的金融风险。

2.强化支付平台安全技术措施

一方面，采用数据加密技术、防火墙技术、数字签名技术等加强系统的安全性；另一方面，建立电子商务支付平台的容灾备份中心，保证支付系统在遭受自然灾害时能够尽可能及时恢复相关支付数据。

3.健全支付安全管理对策

除了采取必要的安全技术措施外，还需要做好相关的系统管理和管理人员的制度规范。

4.提高电子商务支付的安全意识

5.4电子商务安全支付平台5.4.1电子支付平台一个完整的电子支付平台应具有即时结算，安全保障，信用评估，方便易用，多边支付等功能和特点。即时结算功能是电子支付平台的基本功能，即应该让客户与商家感到快捷，充分体现电子支付方式的优点。电子支付平台应采取相关技术措施保证支付信息的机密性、完整性、可用性、真实性等，防止支付信息的篡改、丢失、泄露等安全问题的发生。多边支付是指商家只有确认了支付信息后才会继续交易，银行也只有确认了购物信息后才提供支付服务，但商家不能读取客户的支付信息，银行也不能读取商家的订单信息。类别：

根据支付数据传递的内容可分为类似于支付指令的支付系统和类似于电子货币转拨的支付系统

1）发出指令的用户一般不真正拥有货币，而是由他指示金融中介机构替他转拨货币，