电子商务安全-第7章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
7.4 电子现金支付系统
电子现金具有以下特性: ① 具有金钱价值 ② 互通性 ③ 可存储性 ④ 安全性 ⑤ 匿名性 ⑥ 重复性
17
数字现金的应用过程分为五步:
① 购买E-cash ② 存储E-cash ③ 用E-cash购买商品或服务 ④ 资金清算 ⑤ 确认订单
18
应用数字现金进行交易的过程如下图所示:
8
FV系统交易过程 FV系统交易过程 系统交易
顾客用账号(虚拟 服务器(人工 顾客用账号(虚拟PIN)向商家订货,商家通过 服务器 人工 )向商家订货,商家通过FV服务器 或自动查询)验证账号的有效性 如果账号有效(没有列入黑名单), 验证账号的有效性, 或自动查询 验证账号的有效性,如果账号有效(没有列入黑名单), 商家将货物信息传给顾客和FV服务器 基于“购前尝试”的原则, 服务器。 商家将货物信息传给顾客和 服务器。基于“购前尝试”的原则, FV服务器再通过 服务器再通过Email询问顾客是否对货物满意。如满意则完成支付, 询问顾客是否对货物满意。 服务器再通过 询问顾客是否对货物满意 如满意则完成支付, 如不满意中止交易,如果不是该顾客所订购的物品则是欺诈, 如不满意中止交易,如果不是该顾客所订购的物品则是欺诈,将该虚 列入黑名单。 拟PIN列入黑名单。 列入黑名单
3.回复
电子商家
2.账号认证 5.详细账目
FV服务器
1.账号
4.货物信息
6.满意吗?
7.接受或拒绝或欺诈 指示
顾客
9
简单支付加密模式——CyberCash CyberCash 简单支付加密模式
Cybercash支付流程: Cybercash支付流程: 支付流程
顾客从Cybercash商家订货后, Cybercash商家订货后 (1)顾客从Cybercash商家订货后,电子钱包将信用卡信息 加密后传给Cybercash商家服务器。 加密后传给Cybercash商家服务器。 Cybercash商家服务器 (2)商家服务器验证接收到的信息的有效性后,将用户的加 商家服务器验证接收到的信息的有效性后, 密信用卡信息传给Cybercash服务器, Cybercash服务器 密信用卡信息传给Cybercash服务器,商家看不到用户的信用 卡细节。 卡细节。 (3)Cybercash服务器验证商家身份后,在安全地方(非因 Cybercash服务器验证商家身份后,在安全地方( 服务器验证商家身份后 特网)解密信用卡信息, 特网)解密信用卡信息,并将其通过安全网络传送到商业银行 (4)商业银行通过银行间的电子通道到顾客的信用卡发行银 行证实,将结果发回Cybercash服务器,Cybercash服务器再 Cybercash服务器 行证实,将结果发回Cybercash服务器,Cybercash服务器再 通知商家服务器完成或拒绝交易,商家通知客户。 通知商家服务器完成或拒绝交易,商家通知客户。
微支付系统的特点: ① 交易额小 ② 安全性低 ③ 效率高 ④ 应用范围特殊
22
7.5.1 微支付模型
23
7.5.1 微支付模型
4
传统的支付手段的局限 传统的支付手段的局限
Internet上的电子商务中, Internet上的电子商务中,传统的支付手 上的电子商务中 段在支持电子商务所要求的在线(On 段在支持电子商务所要求的在线(On Line) 操作中,还具有很多的局限性: 操作中,还具有很多的局限性: 缺乏方便性 安全性低 缺乏覆盖面 适应性不强 缺乏对微支付的支持
20
典型的电子现金系统
① Digicash系统 ② Millicent系统 ③ Worldpay系统 ④ Cybercoin系统 ⑤ MPTP机制
21
7.5 微支付系统
“微支付(micropayments)”的特征是能够 处理任意小量的钱,适合于因特网上“不可触摸 (non-tangible)商品”的销售。
5
电子支付方式
按支付过程分类
预支付:先交款、后消费,如同现在的手机话费卡、 预支付:先交款、后消费,如同现在的手机话费卡、 银行储蓄卡等,是商家最喜欢的支付方式。 银行储蓄卡等,是商家最喜欢的支付方式。
后支付:先购买,再付款, 后支付:先购买,再付款,信用卡就是一种后支付方 式,这样存在欺诈的风险。 这样存在欺诈的风险。
付款人 通 知 付款人银 清算 清算中心 验证签名 数字签名 收款人 通 知
数 字 签 名
收款人银行
14
图7.3电子支票支付流程图
值得注意的是,电子支票的数字签名都要被验证, 而实际的纸质支票很少验证手写签名。 电子支票中必须包含某些必选的信息和可选的 信息以及数字签名,所以电子支票使用金融服务标记 语言FSML(Financial Services Markup Language) 来书写。 电子支票使用X.509证书来提供对签名的验证功 能。X.509证书不能保证电子支票的完全有效性。 电子支票薄(checkbook)智能卡可以保护签名 者的私有签名密钥,以防止盗窃或误用。
3
传统商务支付方式
ቤተ መጻሕፍቲ ባይዱ传统的支付方式中,经常使用的现金、 传统的支付方式中,经常使用的现金、票据和信 现金 用卡三种 用卡三种 。 “一手交钱,一手交货”的交易方式称为货币即 一手交钱,一手交货” 时结算, 时结算,是商品经济社会较低阶段的主要结算方 采用的支付媒体是现金。 式,采用的支付媒体是现金。 票据在我国分为汇票、本票和支票三种。 票据在我国分为汇票、本票和支票三种。 信用卡是银行或金融公司发行的, 信用卡是银行或金融公司发行的,授权持卡人在 指定的场所进行记账消费的信用凭证。 指定的场所进行记账消费的信用凭证。
第七章
安全电子商务支付机制
主要内容
电子支付系统 智能卡支付方式 电子支票支付系统 电子现金支付系统 微支付系统
2
电子支付系统的概念 电子支付系统的概念
电子支付是指电子支付的当事人( 电子支付是指电子支付的当事人(包括消费 商家和金融机构)之间通过网络, 者、商家和金融机构)之间通过网络,使用安 全电子手段进行的货币支付获资金流转, 全电子手段进行的货币支付获资金流转,即把 新型支付手段(包括电子现金( 新型支付手段(包括电子现金(E-CA-SH)、 )、 信用卡( )、借记卡 信用卡(CREDIT CARD)、借记卡(DEBIT )、借记卡( CARD)、智能卡等)的支付信息通过网络安 )、智能卡等 )、智能卡等) 全传送到银行或相应的处理机构, 全传送到银行或相应的处理机构,来实现电子 支付。 支付。
7
信用卡支付系统
网上信用卡支付主要有通过中介支付的模式、 网上信用卡支付主要有通过中介支付的模式、 简单支付加密模式和SET模式。 SET模式 简单支付加密模式和SET模式。 中介支付的模式最有代表意义的是第一虚拟公 司的FV FV系统 司的FV系统
在进行交易前,商户和顾客都需要在FV上注册, 在进行交易前,商户和顾客都需要在FV上注册, FV上注册 FV服务器参与每一笔交易 并把货款存入商户银行帐户。 服务器参与每一笔交易, FV服务器参与每一笔交易,并把货款存入商户银行帐户。 顾客在注册时, 顾客在注册时,需要将其信用卡细节和电子邮件地址发 )。商家注册时 给FV,并接收一个密码(称为虚拟 ,并接收一个密码(称为虚拟PIN)。商家注册时 )。 需要提供其开户银行细节,也同样得到一个虚拟PIN。 需要提供其开户银行细节,也同样得到一个虚拟 。 注册时顾客通过浏览器登记表格, 注册时顾客通过浏览器登记表格,利用电话传递信用卡 的细节。 的细节。
实时支付:在交易的同时,钱也从银行转到了卖方。 实时支付:在交易的同时,钱也从银行转到了卖方。
6
按在线传输数据分类
使用“信任的三方” 使用“信任的三方”(trusted third party);客户和商家 ) 的信息比如银行帐号、 的信息比如银行帐号 、 信用卡号都被信任的第三方托管和 维护,通过第三方交易。 维护,通过第三方交易。 传统银行转帐结算的扩充; 在线传递商务及交易支付 ( 银 传统银行转帐结算的扩充 ; 在线传递商务及交易支付( 行帐号、信用卡号、口令等)信息。需要加密传送。 行帐号、信用卡号、口令等)信息。需要加密传送。 数字现金( Cash)、电子货币( )、电子货币 数字现金(Digital Cash)、电子货币(Electronic Coins) 传送真正的“价值” Money and Electronic Coins) ;传送真正的“价值”和 金钱” 如游戏冲值等。 “金钱”本身 ,如游戏冲值等。
10
SET模式 SET模式
安全电子交易规范( Transaction, 安全电子交易规范(Secure Electronic Transaction, 简称SET 由两大国际知名的信用卡组织MasterCard SET) 简称SET)由两大国际知名的信用卡组织MasterCard 与Visa 及其GTE Netscape、IBM、 GTE、 Systems、Verisign、 及其GTE、Netscape、IBM、Terisa Systems、Verisign、 Microsoft、SAIC等一些跨国公司共同开发的安全交易规范 等一些跨国公司共同开发的安全交易规范, Microsoft、SAIC等一些跨国公司共同开发的安全交易规范, 主要用于保障Internet上信用卡交易的安全性。 Internet上信用卡交易的安全性 主要用于保障Internet上信用卡交易的安全性。 利用SET给出的整套安全电子交易的过程规范, 利用SET给出的整套安全电子交易的过程规范,可以实现 SET给出的整套安全电子交易的过程规范 电子商务交易中的机密性、认证性、数据完整性等安全功能。 电子商务交易中的机密性、认证性、数据完整性等安全功能。 SET提供商家和收单银行的认证,确保了交易数据的安全、 SET提供商家和收单银行的认证,确保了交易数据的安全、 提供商家和收单银行的认证 完整可靠和交易的不可抵赖性, 完整可靠和交易的不可抵赖性,特别是具有保护消费者信用 卡号不暴露给商家等优点,已成为事实上的工业标准。 卡号不暴露给商家等优点,已成为事实上的工业标准。
15
电子支票系统和应用层密码技术可不受出口限制。 另外,为了保证信息传输的机密性,可以通过安全电 子邮件方式,或双方之间已加密的交互对话方式进行 消息传送。
银行之间电子支票的清算都遵循ANSI X9.46和 X9.37标准。
主要的电子支票系统有FSTC Electronic Check、 The Mandate Electronic Cheque 、 NetCheque 、 NetChex和NetBill等。
12
7.3 电子支票支付系统
电子支票具有如下特点: ① 电子支票接受程度高; ② 加密的电子支票使它们比基于公钥加密的数字现 金更易于流通; ③ 电子支票可以推动EDI基础之上的电子订货和支付; ④ 给第三方金融机构带来了收益; ⑤ 实现业务过程处理的自动化。 ⑥ 节省费用。
13
电子支票的应用过程是: ① 购买电子支票 ② 电子支票付款 ③ 清算 应用电子支票进行付款基本过程如下图所示:
19
数字现金支付方式的特点
① 银行和卖方之间应有协议和授权关系 ② 买方、卖方和E-cash银行均需使用E-cash软件 ③ 适用于小交易量(minipayment)的支付 ④ 身份验证由E-cash本身完成 ⑤ E-cash银行负责买方和卖方之间资金的转移 ⑥ 具有现金特点,可以存、取、转让 ⑦ 买卖双方都无法伪造银行的数字签名,而且双方都 可以确信支付是有效的 ⑧ E-cash与普通现金一样会丢失
11
智能卡支付
互联网上的数字媒体应用正在呈爆炸式的增长, 互联网上的数字媒体应用正在呈爆炸式的增长, 越来越多的知识产品以电子版的方式在网上传 播。 数字信号处理和网络传输技术可以对数字媒体 (数字声音,文本,图象和视频 的原版进行无 数字声音, 数字声音 文本,图象和视频)的原版进行无 限制的任意编辑,修改,拷贝和散布, 限制的任意编辑,修改,拷贝和散布,造成数 字媒体的知识产权保护和信息安全的问题日益 突出 。
7.4 电子现金支付系统
电子现金具有以下特性: ① 具有金钱价值 ② 互通性 ③ 可存储性 ④ 安全性 ⑤ 匿名性 ⑥ 重复性
17
数字现金的应用过程分为五步:
① 购买E-cash ② 存储E-cash ③ 用E-cash购买商品或服务 ④ 资金清算 ⑤ 确认订单
18
应用数字现金进行交易的过程如下图所示:
8
FV系统交易过程 FV系统交易过程 系统交易
顾客用账号(虚拟 服务器(人工 顾客用账号(虚拟PIN)向商家订货,商家通过 服务器 人工 )向商家订货,商家通过FV服务器 或自动查询)验证账号的有效性 如果账号有效(没有列入黑名单), 验证账号的有效性, 或自动查询 验证账号的有效性,如果账号有效(没有列入黑名单), 商家将货物信息传给顾客和FV服务器 基于“购前尝试”的原则, 服务器。 商家将货物信息传给顾客和 服务器。基于“购前尝试”的原则, FV服务器再通过 服务器再通过Email询问顾客是否对货物满意。如满意则完成支付, 询问顾客是否对货物满意。 服务器再通过 询问顾客是否对货物满意 如满意则完成支付, 如不满意中止交易,如果不是该顾客所订购的物品则是欺诈, 如不满意中止交易,如果不是该顾客所订购的物品则是欺诈,将该虚 列入黑名单。 拟PIN列入黑名单。 列入黑名单
3.回复
电子商家
2.账号认证 5.详细账目
FV服务器
1.账号
4.货物信息
6.满意吗?
7.接受或拒绝或欺诈 指示
顾客
9
简单支付加密模式——CyberCash CyberCash 简单支付加密模式
Cybercash支付流程: Cybercash支付流程: 支付流程
顾客从Cybercash商家订货后, Cybercash商家订货后 (1)顾客从Cybercash商家订货后,电子钱包将信用卡信息 加密后传给Cybercash商家服务器。 加密后传给Cybercash商家服务器。 Cybercash商家服务器 (2)商家服务器验证接收到的信息的有效性后,将用户的加 商家服务器验证接收到的信息的有效性后, 密信用卡信息传给Cybercash服务器, Cybercash服务器 密信用卡信息传给Cybercash服务器,商家看不到用户的信用 卡细节。 卡细节。 (3)Cybercash服务器验证商家身份后,在安全地方(非因 Cybercash服务器验证商家身份后,在安全地方( 服务器验证商家身份后 特网)解密信用卡信息, 特网)解密信用卡信息,并将其通过安全网络传送到商业银行 (4)商业银行通过银行间的电子通道到顾客的信用卡发行银 行证实,将结果发回Cybercash服务器,Cybercash服务器再 Cybercash服务器 行证实,将结果发回Cybercash服务器,Cybercash服务器再 通知商家服务器完成或拒绝交易,商家通知客户。 通知商家服务器完成或拒绝交易,商家通知客户。
微支付系统的特点: ① 交易额小 ② 安全性低 ③ 效率高 ④ 应用范围特殊
22
7.5.1 微支付模型
23
7.5.1 微支付模型
4
传统的支付手段的局限 传统的支付手段的局限
Internet上的电子商务中, Internet上的电子商务中,传统的支付手 上的电子商务中 段在支持电子商务所要求的在线(On 段在支持电子商务所要求的在线(On Line) 操作中,还具有很多的局限性: 操作中,还具有很多的局限性: 缺乏方便性 安全性低 缺乏覆盖面 适应性不强 缺乏对微支付的支持
20
典型的电子现金系统
① Digicash系统 ② Millicent系统 ③ Worldpay系统 ④ Cybercoin系统 ⑤ MPTP机制
21
7.5 微支付系统
“微支付(micropayments)”的特征是能够 处理任意小量的钱,适合于因特网上“不可触摸 (non-tangible)商品”的销售。
5
电子支付方式
按支付过程分类
预支付:先交款、后消费,如同现在的手机话费卡、 预支付:先交款、后消费,如同现在的手机话费卡、 银行储蓄卡等,是商家最喜欢的支付方式。 银行储蓄卡等,是商家最喜欢的支付方式。
后支付:先购买,再付款, 后支付:先购买,再付款,信用卡就是一种后支付方 式,这样存在欺诈的风险。 这样存在欺诈的风险。
付款人 通 知 付款人银 清算 清算中心 验证签名 数字签名 收款人 通 知
数 字 签 名
收款人银行
14
图7.3电子支票支付流程图
值得注意的是,电子支票的数字签名都要被验证, 而实际的纸质支票很少验证手写签名。 电子支票中必须包含某些必选的信息和可选的 信息以及数字签名,所以电子支票使用金融服务标记 语言FSML(Financial Services Markup Language) 来书写。 电子支票使用X.509证书来提供对签名的验证功 能。X.509证书不能保证电子支票的完全有效性。 电子支票薄(checkbook)智能卡可以保护签名 者的私有签名密钥,以防止盗窃或误用。
3
传统商务支付方式
ቤተ መጻሕፍቲ ባይዱ传统的支付方式中,经常使用的现金、 传统的支付方式中,经常使用的现金、票据和信 现金 用卡三种 用卡三种 。 “一手交钱,一手交货”的交易方式称为货币即 一手交钱,一手交货” 时结算, 时结算,是商品经济社会较低阶段的主要结算方 采用的支付媒体是现金。 式,采用的支付媒体是现金。 票据在我国分为汇票、本票和支票三种。 票据在我国分为汇票、本票和支票三种。 信用卡是银行或金融公司发行的, 信用卡是银行或金融公司发行的,授权持卡人在 指定的场所进行记账消费的信用凭证。 指定的场所进行记账消费的信用凭证。
第七章
安全电子商务支付机制
主要内容
电子支付系统 智能卡支付方式 电子支票支付系统 电子现金支付系统 微支付系统
2
电子支付系统的概念 电子支付系统的概念
电子支付是指电子支付的当事人( 电子支付是指电子支付的当事人(包括消费 商家和金融机构)之间通过网络, 者、商家和金融机构)之间通过网络,使用安 全电子手段进行的货币支付获资金流转, 全电子手段进行的货币支付获资金流转,即把 新型支付手段(包括电子现金( 新型支付手段(包括电子现金(E-CA-SH)、 )、 信用卡( )、借记卡 信用卡(CREDIT CARD)、借记卡(DEBIT )、借记卡( CARD)、智能卡等)的支付信息通过网络安 )、智能卡等 )、智能卡等) 全传送到银行或相应的处理机构, 全传送到银行或相应的处理机构,来实现电子 支付。 支付。
7
信用卡支付系统
网上信用卡支付主要有通过中介支付的模式、 网上信用卡支付主要有通过中介支付的模式、 简单支付加密模式和SET模式。 SET模式 简单支付加密模式和SET模式。 中介支付的模式最有代表意义的是第一虚拟公 司的FV FV系统 司的FV系统
在进行交易前,商户和顾客都需要在FV上注册, 在进行交易前,商户和顾客都需要在FV上注册, FV上注册 FV服务器参与每一笔交易 并把货款存入商户银行帐户。 服务器参与每一笔交易, FV服务器参与每一笔交易,并把货款存入商户银行帐户。 顾客在注册时, 顾客在注册时,需要将其信用卡细节和电子邮件地址发 )。商家注册时 给FV,并接收一个密码(称为虚拟 ,并接收一个密码(称为虚拟PIN)。商家注册时 )。 需要提供其开户银行细节,也同样得到一个虚拟PIN。 需要提供其开户银行细节,也同样得到一个虚拟 。 注册时顾客通过浏览器登记表格, 注册时顾客通过浏览器登记表格,利用电话传递信用卡 的细节。 的细节。
实时支付:在交易的同时,钱也从银行转到了卖方。 实时支付:在交易的同时,钱也从银行转到了卖方。
6
按在线传输数据分类
使用“信任的三方” 使用“信任的三方”(trusted third party);客户和商家 ) 的信息比如银行帐号、 的信息比如银行帐号 、 信用卡号都被信任的第三方托管和 维护,通过第三方交易。 维护,通过第三方交易。 传统银行转帐结算的扩充; 在线传递商务及交易支付 ( 银 传统银行转帐结算的扩充 ; 在线传递商务及交易支付( 行帐号、信用卡号、口令等)信息。需要加密传送。 行帐号、信用卡号、口令等)信息。需要加密传送。 数字现金( Cash)、电子货币( )、电子货币 数字现金(Digital Cash)、电子货币(Electronic Coins) 传送真正的“价值” Money and Electronic Coins) ;传送真正的“价值”和 金钱” 如游戏冲值等。 “金钱”本身 ,如游戏冲值等。
10
SET模式 SET模式
安全电子交易规范( Transaction, 安全电子交易规范(Secure Electronic Transaction, 简称SET 由两大国际知名的信用卡组织MasterCard SET) 简称SET)由两大国际知名的信用卡组织MasterCard 与Visa 及其GTE Netscape、IBM、 GTE、 Systems、Verisign、 及其GTE、Netscape、IBM、Terisa Systems、Verisign、 Microsoft、SAIC等一些跨国公司共同开发的安全交易规范 等一些跨国公司共同开发的安全交易规范, Microsoft、SAIC等一些跨国公司共同开发的安全交易规范, 主要用于保障Internet上信用卡交易的安全性。 Internet上信用卡交易的安全性 主要用于保障Internet上信用卡交易的安全性。 利用SET给出的整套安全电子交易的过程规范, 利用SET给出的整套安全电子交易的过程规范,可以实现 SET给出的整套安全电子交易的过程规范 电子商务交易中的机密性、认证性、数据完整性等安全功能。 电子商务交易中的机密性、认证性、数据完整性等安全功能。 SET提供商家和收单银行的认证,确保了交易数据的安全、 SET提供商家和收单银行的认证,确保了交易数据的安全、 提供商家和收单银行的认证 完整可靠和交易的不可抵赖性, 完整可靠和交易的不可抵赖性,特别是具有保护消费者信用 卡号不暴露给商家等优点,已成为事实上的工业标准。 卡号不暴露给商家等优点,已成为事实上的工业标准。
15
电子支票系统和应用层密码技术可不受出口限制。 另外,为了保证信息传输的机密性,可以通过安全电 子邮件方式,或双方之间已加密的交互对话方式进行 消息传送。
银行之间电子支票的清算都遵循ANSI X9.46和 X9.37标准。
主要的电子支票系统有FSTC Electronic Check、 The Mandate Electronic Cheque 、 NetCheque 、 NetChex和NetBill等。
12
7.3 电子支票支付系统
电子支票具有如下特点: ① 电子支票接受程度高; ② 加密的电子支票使它们比基于公钥加密的数字现 金更易于流通; ③ 电子支票可以推动EDI基础之上的电子订货和支付; ④ 给第三方金融机构带来了收益; ⑤ 实现业务过程处理的自动化。 ⑥ 节省费用。
13
电子支票的应用过程是: ① 购买电子支票 ② 电子支票付款 ③ 清算 应用电子支票进行付款基本过程如下图所示:
19
数字现金支付方式的特点
① 银行和卖方之间应有协议和授权关系 ② 买方、卖方和E-cash银行均需使用E-cash软件 ③ 适用于小交易量(minipayment)的支付 ④ 身份验证由E-cash本身完成 ⑤ E-cash银行负责买方和卖方之间资金的转移 ⑥ 具有现金特点,可以存、取、转让 ⑦ 买卖双方都无法伪造银行的数字签名,而且双方都 可以确信支付是有效的 ⑧ E-cash与普通现金一样会丢失
11
智能卡支付
互联网上的数字媒体应用正在呈爆炸式的增长, 互联网上的数字媒体应用正在呈爆炸式的增长, 越来越多的知识产品以电子版的方式在网上传 播。 数字信号处理和网络传输技术可以对数字媒体 (数字声音,文本,图象和视频 的原版进行无 数字声音, 数字声音 文本,图象和视频)的原版进行无 限制的任意编辑,修改,拷贝和散布, 限制的任意编辑,修改,拷贝和散布,造成数 字媒体的知识产权保护和信息安全的问题日益 突出 。