搜索
1第07章电子支付与电子商务安全保障2[案例]许霆案2006年4月21日晚10时,许霆来到天河区黄埔大道某银行的ATM取款机取款。结果取出1000元后,他惊讶地发现银行卡账户里只被扣了1元,狂喜之下,许霆连续取款5.4万元。当晚,许霆回到住处,将此事告诉了同伴郭安山。两人随即再次前往提款,之后反复操作多次。后经警方查实,许霆先后取款171笔,合计17.5万元;郭安山则取款1.8万元。事后,二人各携赃款潜逃。3[案例]许霆案同年11月7日,郭安山向公安机关投案自首,并全额退还赃款1.8万元。经天河区法院审理后,法院认定其构成盗窃罪,但考虑到其自首并主动退赃,故对其判处有期徒刑一年,并处罚金1000元。而潜逃一年的许霆,17.5万元赃款因投资失败而挥霍一空,今年5月在陕西宝鸡火车站被警方抓获。日前,广州市中院审理后认为,被告许霆以非法侵占为目的,伙同同案人采用秘密手段,盗窃金融机构,数额特别巨大,行为已构成盗窃罪,遂判处无期徒刑,剥夺政治权利终身,并处没收个人全部财产。被告不服,提起上诉,2008年2月22日重审,二审中被告律师在法庭上高呼:“柜员机,你知罪吗?”;二审结束后,许霆被判5年,被告不服,继续上诉,终审仍然被判5年。4此事过后,有漫画以此讽刺银行:某老伯在银行取钱后在柜台上反复清点,银行柜台人员都不耐烦了,说:“我们是国家银行,不会少给你钱的”,老伯回答:“我不是怕少给了,我是怕多给了抓我坐牢!”[思考]我们问题是:电子支付安全吗?5一、电子支付概述(一)电子支付的发展阶段传统商务活动资金结算方式:现金、支票、信用卡1.电子支付概述以计算机和通信技术为手段,通过计算机网络以电子信息传递的形式进行的支付,是以在线方式进行的买卖双方的金融交换。你尝试过哪些电子支付方式?(例举)一、电子支付概述62.银行进行电子货币支付主要有5种形式,并分别代表了5个发展阶段:(1)第1阶段:银行利用计算机处理银行间的货币汇划业务,办理汇划结算;(2)第2阶段:银行计算机与其他机构的计算机之间进行资金汇划结算,如代发工资,代交水电费等。(3)第3阶段:银行利用自动柜员机(ATM)等网络终端向客户提供各项银行服务,如客户在ATM机上进行存取款操作。(4)第4阶段:银行通过销售终端(POS)向客户提供自动的扣款服务,这也是现阶段电子支付的主要形式。(5)第5阶段:电子货币可以随时随地地通过互联网进行直接的转账结算,以资金流的畅通来支持电子商务,这是电子支付的最新发展阶段,又称为网上支付或在线支付。一、电子支付概述7[案例]富安百货刷卡记1.杨家坪富安刷卡被盯梢(当时并不知道,事后公安机关调出录像证实)2.发现卡中金额被盗3.报案、书面提请银行付款(银行不管)4.通过监控录像我的同事亲眼目睹了,犯罪嫌疑人如何在银行ATM机上用了七天时间通过枚举方法,制作一张完全合格的信用卡。其中我的同事更觉不可思议的是,在制卡过程中,犯罪嫌疑人还拿一张制作还不是完全合格(就是只能查询但不能取款的假卡)到建行柜台作存款检验并获取更多的帐户信息,继续制卡,直到完全合格5.状告银行6.现状8(二)电子支付在电子商务中的特点1.传统支付的弱点:(1)交易双方必须同时同地(2)为防止欺诈、透支等问题,支付结算过程往往有一定的延期(3)不适合大量小额支付(支付成本相对太高)2.电子支付的特点(1)以计算机技术为支撑(2)集储蓄、信贷和非现金结算等多种功能为一体(3)可胜于各个领域(4)使用安全、简便、迅速、可靠(5)通过网络进行一、电子支付概述9(三)电子支付的主要技术工具电子现金信用卡电子支票电子钱包智能卡共同特点:采用电子货币,并支付小额支付。电子货币是作为由银行或金融机构支持的数字化的最终方式,分为先付电子货币和后付电子货币两类。一、电子支付概述10电子支付系统的整体架构一、电子支付概述11二、电子现金(一)电子现金及其持有方式1.概念:电子现金又叫数字现金,是一种以数据形式流通的货币。电子现金把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市值。用户在开展电子现金业务的银行开设账户并在账户内存钱后,就可以在接受电子现金的商店购物。二、电子现金122.电子现金的基本特性:(1)货币价值性电子现金必须得到银行的支付与承认,用户可以随时将电子现金与传统现金进行对账。(2)可交换性电子现金作为一种支付结算方式,必须要能够与其他的电子现金、纸币现金进行交换。(3)可存储性电子现金必须可储存,比如存储于计算机的外在、智能卡或者其他设备上,并在需要时进行电子现金的检索和交换。(4)不可重复性电子现金和实际通货一样,只能支付一次。由于电子现金不像纸币那样是一个实物,当甲支付给乙后,甲就不再拥有已经支付出去的现金了。电子现金只是一些数字,本身具有无形性,所以要防止同一笔电子现金的复制和双重使用。二、电子现金13(5)匿名性电子现金与实际通货一样,也具有匿名性,这样买卖双方在使用电子现金时都能避免暴露自己的身份,匿名性也防止了销售商未经客户同意收集有关个人或组织的消费习惯等信息。(6)可分解性电子现金与纸币现金的一个重要区别,与纸币现金受所发行的纸币单位的影响不同,电子现金可以根据交易方达成的协议来决定支付单位的大小,电子现金的不同单位和其真实价值都能独立于现实现金进行定义,不受现实现金体系的限制。二、电子现金142003年,网络游戏“红月”玩家李宏晨发现,自己辛苦获得的游戏装备在一夜之间消失,为此他将“红月”经营者北极冰科技公司告上法庭。李某诉称,他玩此游戏已有两年,并且在两个ID中曾拥有许多“生化武器”,2003年2月17日,他发现其中一个ID中所拥有的装备全部不翼而飞。虽然他多次与被告联系,但对方都拒绝协助找回丢失的装备。李某要求被告赔偿他丢失的各种装备,并赔偿精神损失费10000元。被告方称:李某所称的两个ID在注册时,没有使用真实姓名,李某不能证明他就是这两个ID的玩家;且不能就虚拟装备被盗提供证明;即使能够提供证明,根据游戏规则,公司也不应承担任何责任。经过调查,“红月”游戏服务器存在外挂程序,该外挂程序形成漏洞并导致了李某的损失。2003年一审判定李某胜诉,要求被告赔偿李某。被告不服,再次上诉,2004年终审维持原判。案例:首例虚拟货币骗取案153.电子现金的持有方式电子现金的持有方式有两种:在线存储和离线存储(1)在线存储电子现金意味着消费者不需要自己拥有电子现金,而是由一个可信赖的第三方(如电子银行)参与到所有的电子现金转账过程中,它们持有消费者的现金账号。在线存储电子现金系统要求商家先同消费者的开启银行联系,然后再接收消费者的购买请求。这样做的目的是通过检查消费者所提供的电子现金是否有效来防止可能发生的欺诈行为。(2)离线存储电子现金离线存储电子现金是在消费者自己的钱包里保存虚拟的电子货币,由消费者自己持有电子现金,不需要可信的第三方参与交易。但这样往往容易发生欺诈事件,所以需要利用手段和技术来防止同一笔电子现金的重复使用及其他各种欺诈行为。[思考]我们使用的校园卡是在线存储还是离线存储?二、电子现金16(二)电子现金的使用1.基本原理电子现金采用基于公开密钥的方法,采用一对密钥:一个用于上锁(加密,私钥),另一个用于开锁(解密,公钥)。用其中一个密钥加密的信息只能用另一个密钥解密。加密密钥必须秘密保存,而解密密钥则可以公开。如下述方法(某种简化的方法):二、电子现金17一个极大的质数(公钥)*另一个极大的质数(私钥)*若干加密算法*身份信息=加密的密文那么,密文内容由于已经加密,无法直接解读,公钥公开,那么在没有私钥的情况下,无法得知身份信息。F(A,B,C)=DA-公钥B-私钥C-身份信息D-密文F(X)-算法那么如果要证明C有效,需要正确的公钥(公开的证书)、正确的私钥(用户的密码+验证信息)、算法(保密),密文(不需要知道具体内容,但要保证一致)二、电子现金18[例]某人的身份信息为转换为ASCII码为12345,已知公钥为1395771,私钥为15131751,加密算法为INT((公钥*私钥)/1000)*9341+身份信息(数字证书),则密文=INT((1395771+15131751)/1000)*9341+12345=INT(16527522/1000)*9341+12345=INT(16527.522)*9341+12345=16527*9341+12345=154391052现在假设身份信息保密,公钥1395771公开,密文保密,加密算法保密,私钥保密,你能求出身份信息(数字证书)吗?[思考]如果要证明身份信息有效如何证明?用户提供私钥,银行支付系统提供算法,那么在已知公钥的前提下,配合用户的身份信息(某个电子证书)可以再次得到密文,将此密文与银行系统存储的一比较,看是否相同,即可认可该身份是否有效。该方法为非常简化的示例,实际算法中将有很多变化和类型,其计算过程不可逆。在缺乏私钥的情况下,无法通过密文倒推出身份信息。二、电子现金192.购买电子现金二、电子现金203.使用电子现金用户购买电子现金,其计算机上的电子现金软件就会存储下由银行签名的数字货币。然后用户就可以在任何接受该电子现金的商店中使用电子现金,既不必开设账户,也不必传送信用卡号码。在用户进行支付结算时,电子现金软件会从该用户所存储的电子现金中传送付出所需金额的电子货币。在进行具体支付时有两种类型:双方和三方(1)双方支付方式主要涉及到买卖双方,这时卖方可以用银行的公开密钥来检查电子现金的数字签名,没有问题,卖方就在其计算机中存储下该笔电子现金,然后再通过银行把该电子现金的票面价值存入到自己的账户。[例]与公交乘车卡类似的方法二、电子现金21(2)三方支付方式电子现金发给卖方后,卖方直接把它传送给发行该电子现金的银行,由银行来检验该电子现金的有效性,并确认该电子现金未被重复使用,随后将其价值传入卖方的账户。4.双方支付方式存在的问题及其解决由于在许多情况下,存在重复使用的可能性,所以一般不使用双方支付方式。为了防止电子现金的重复使用,可以利用加密算法来追踪电子现金持有人并防止其篡改。(如可以采用复杂的双锁技术,当某人试图重复消费时发出警告并立即暴露持有人的身份----平时采用匿名机制)二、电子现金225.电子现金匿名方法二、电子现金23(三)电子现金的优缺点1.电子现金的优点(1)更方便更有效(2)成本更低廉(3)交易成本与交易距离无关(4)人人都可以使用(5)不需要特殊认证2.电子现金的缺点(请参阅电子交通乘车卡理解)(1)征税困难(电子现金验证以追踪)(2)可能被用来洗钱(匿名采购,公开销售获利)(3)被伪造(存在较小的可能性)(4)无法找零(领出后不利用找零)二、电子现金24(四)各种电子现金系统二、电子现金25[案例]易宝支付26[案例]易宝支付27[案例]巨人网络的网上充值28[案例]巨人网络的网上充值29[案例]快钱30[案例]快钱特点:需要双重登录以保证安全:31[案例]快钱32[案例]快钱33[案例]快钱34[案例]快钱35[案例]快钱36三、信用卡(一)信用卡概述在线交易中,有相当一部分的支付是通过信用卡(贷记卡)和借记卡来进行结算的。这些卡是由金融机构发行的,授权持卡人可以在商家进行记账消费的支付工具。对于信用卡而言,一般是根据用户的信用限制事先设定一个消费限度,用户在支付时,可以花光卡上的余额,并透支一定的额度(借记卡则不能透支)。(二)信用卡概述1.使用信用卡涉及的角色持卡人、商家、发卡银行、商家开户银行、信用卡公司三、信用卡372.网上银行信用卡支付类型(1)使用不加密信用卡信息的方式进行支付问题1:安全性问题2:身份认证(2)使用加密信用卡信息的方式进行支付传送信用卡前先对信息进行加密问题:交易成本导致小额支付的限制(3)使用第3方验证的方式进行支付通过第3方收款、证实,达到解决安全和认证的问题。三、信用卡383.信用卡支付的处理商家用户验证后的信用卡CA中心CACenter提供(1)有效性验证(第三方