《电子商务安全与管理》第5章

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

《电子商务安全与管理》2006年8月第五章电子支付系统的安全本章绪言本章主要对电子支付系统的安全进行了全面地介绍,包括支付手段的安全、支付工具的安全和电子货币安全。支付手段的安全主要针对在线和离线两种支付方式;支付工具主要针对目前使用非常广泛的信用卡及其一些新出现的金融信用工具;电子货币安全主要针对目前三大类电子货币的使用过程安全来展开讨论。本章包括以下内容•电子支付系统综述•电子支付系统安全服务•电子货币及其支付安全第一节电子支付系统综述电子支付系统的应用和推广,正在改变着人们的消费模式、支付方式和观念,尤其各种银行卡系统的建成和使用以及银行卡的大量使用,为电子支付的广泛应用奠定了群众基础。本节主要探讨电子支付系统的产生与发展以及常见的电子支付手段和方式,最后介绍电子支付常用工具银行卡及其管理系统。一、电子支付系统的产生与发展(一)电子支付产生与发展的原因•Internet的快速增长和普及•电子商务对支付系统运行效率要求的提高•客户需求的个性化•电子支付系统的开发•政府的引导•移动通讯技术的飞速发展(二)电子支付系统发展过程1、电子支付系统指消费者、商家和金融机构之间使用安全电子手段交换商品或服务,即把支付信息通过网络安全传送到银行或相应的处理机构,来实现货币支付或资金流转的系统。一、电子支付系统的产生与发展2、电子支付系统的发展历程•银行利用计算机处理银行内部及银行之间的业务,办理结算。•银行与其他行业之间的资金结算(如代发工资)。•利用网络终端向客户提供各项银行服务(ATM服务、自助银行服务等)。•利用银行销售点终端(POS)向客户提供自动扣款服务。•网上支付阶段。一、电子支付系统的产生与发展3、常见的电子支付系统简介•电子现金支付系统•基于信用卡的电子支付系统•电子支票支付系统•小额批量电子支付系统•大额实时支付系统•ATM、POS授权系统•国际支付系统•中国国家现代化支付系统一、电子支付系统的产生与发展(三)电子支付系统的作用及其安全问题一、电子支付系统的产生与发展可以看出:•电子支付系统涉及到与银行支付网关的对接和网上支付系统的开发。•电子支付系统是电子商务系统的基础平台和重要组成部分,是处理资金流的关键系统,控制着资金流的流向。•电子支付系统是网上支付系统和各种网上支付业务的基础。一、电子支付系统的产生与发展电子支付系统的安全问题:•机密性问题•完整性问题•审查能力问题•不可抵赖性问题•有效性问题一、电子支付系统的产生与发展二、电子支付手段(一)电子支付的概念•电子支付是以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,以计算机技术和通讯技术为手段,将货币以电子数据形式存储,并通过计算机网络系统传递形式实现货币流通和支付的经济活动。•电子支付的本质是支付手段和支付方法的电子化。(二)离线与在线支付1、主要的在线支付方式简介•基于卡的支付:基于SSL协议和基于SET协议的卡支付模式。•基于电子现金的支付:主要有电子钱包和纯电子方式。•基于电子邮件的支付:虚拟账户和实账户方式。•基于ACH的支付•基于移动通讯的支付(手机支付)二、电子支付手段2、智能卡•智能卡概念•智能卡在电子支付中的应用现状•智能卡相关标准•智能卡应用领域:传统的电子支付、网络支付、电子身份识别、信息存储。二、电子支付手段3、智能卡在线支付模式(1)带读卡器的智能卡的网络支付模式•客户在联网的计算机上启动浏览器,进行购物,双方进行认证,填写订单,选择智能卡支付。•如果利用智能卡里的银行资金账号支付,可借助智能卡读卡器,登陆到相应银行站点,智能卡自动与银行进行身份验证,发送银行帐号、密码和其他一切加密信息。二、电子支付手段•银行根据客户的要求从客户资金账号中转移资金到商家的收单银行账户上,通知商家确认客户的订单并发货,完成网络支付。•如果利用智能卡里的电子现金支付,则智能卡在对商家身份认证后,直接将相应数目的电子现金发送给商家,商家收到后借助银行审核,验证电子现金的合法性和有效性,确认订单并发货。二、电子支付手段(2)不带读卡器的智能卡网络支付模式•客户在联网的计算机上启动浏览器,进行购物,双方进行认证,填写订单,选择智能卡支付。•填写智能卡号码和使用密码,然后加密该数据发送到相应银行的web站点,准备进行支付。•银行通过对持卡客户的身份认证(一般采用数字证书认证),确认号码和密码无误后,根据客户的要求从客户的资金账户转移资金到商家账户,通知商家确认客户订单并发货,完成网络支付。二、电子支付手段4.智能卡离线支付模式•客户到发行电子现金的银行申请数字现金,下载存入智能卡。•客户完成网上购物,提交订单,选择智能卡支付。•支付时将智能卡插入智能卡读写器。•客户输入智能卡PIN,确认支付金额。•确认PIN码,如一致,打开智能卡,开始支付。二、电子支付手段5、智能卡应用的安全性•智能卡中采用不同类型的存储器存储不同安全要求的数据。•智能卡从硬件和软件方面实施了安全策略,可以控制卡内不同区域的存取权限,并设有安全密码。•智能卡具有独立的移动计算能力,对网络的性能要求不高。•智能卡抗电磁干扰能力强,避免了卡内数据被窃取,保证了卡内数据的长期存放和使用的有效性。•智能卡在网络支付中减少了现金处理的支出以及被欺诈问题出现的可能性。二、电子支付手段(三)借记卡与信用卡•信用卡指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡。•信用卡是银行或专门的发行公司发给消费者使用的一种信用凭证,是一种把支付与信贷两项银行基本功能融为一体的业务。•借记卡的特征是“先存款,后支用”,持卡人必须先在发卡机构存款,用款时以存款余额为限不允许透支。•贷记卡的特征是“先消费,后还款”,持卡人无需先在发卡机构存款,就可享用一定信贷额度的使用权。二、电子支付手段(四)电子钱包1、电子钱包概念电子钱包(E-Wallet或E-Purse)是用来进行安全网络交易特别是网络安全支付并且存储交易记录的特殊计算机软件或硬件设备,能够存储电子现金、信用卡号、电子零钱、个人信息等,经过授权后可以方便使用的新式网络支付工具。二、电子支付手段电子钱包的本质是装载电子货币的“电子容器”,是一种新型的支付工具,它既可以是一个特殊的计算机软件(称为电子钱包软件),也可以是一个特殊的硬件装置(如IC卡、智能卡)。电子钱包系统由电子钱包服务系统、客户端软件和电子钱包管理器组成。二、电子支付手段2、电子钱包的支付模式•客户到支持电子钱包使用的银行申请信用卡,下载安装电子钱包客户端软件,支持该银行电子钱包的商家安装服务器端软件。•客户安装电子钱包客户端软件,并进行设置。•客户添加所要使用的信用卡信息,申请并安装信用卡的数字证书。•客户进入购物网站,完成交易,提交订单。二、电子支付手段•客户检查购物清单,利用电子钱包进行网络支付。输入自己的开包用户名和密码,取出对应的信用卡,输入相应金额进行付款,后续支付过程与信用卡的SET支付相同。•信用卡如若经过发卡银行确认后拒绝授权,则可取出其它信用卡进行支付。•发卡银行确认信用卡有效性后,经客户授权,将客户相应资金转到收单银行商家账户,支付完成,通知客户和商家。•商家按照订单发货,商家或银行服务器端记录交易过程中发生的往来财物和物品数据,供客户电子钱包管理软件查询。二、电子支付手段3、电子钱包支付的特点个人资料管理与应用方便客户可用多张信用卡可以使用多个钱包软件购物记录的保存和查询多台电脑可共用一钱包和数字证书较强的安全性对参与各方要求较高二、电子支付手段4、电子钱包的安全问题银行卡的伪造问题:在线交易情况;离线交易情况;消费记名情况;消费不记名情况。电子钱包遗失和盗用问题。网络和硬件设备的安全问题。二、电子支付手段(一)银行卡史话1、银行卡的演变第一阶段(20世纪初――40年代末),商业信用阶段。第二阶段(20世纪50年代--80年代)银行信用阶段。第三阶段(20世纪90年代至今)综合信用阶段。三、银行卡与卡式管理系统2、中国银行卡发展历程第一阶段(20世纪80年代中期--90年代初期)培育阶段。第二阶段(20世纪90年代中期--90年代末)初级阶段。第三阶段(21世纪开始)联网通用阶段。三、银行卡与卡式管理系统3、银行卡介质的演变塑料卡磁卡集成电路卡(IC卡)激光卡三、银行卡与卡式管理系统(二)磁卡与射频卡1、磁卡三、银行卡与卡式管理系统磁卡的物理结构磁卡的数据结构磁卡的ISO标准磁卡设备:磁卡阅读器和磁卡读写器三、银行卡与卡式管理系统2、射频卡三、银行卡与卡式管理系统射频卡属于非接触式IC卡,由IC芯片、感应天线组成,封装在一个标准的PVC卡片。非接触性IC卡与读卡器之间通过无线电波来完成读写操作。射频卡内部分为两部分,分别是系统区(CDF)和用户区(ADF)。射频卡的优点①避免了由于接触读写而产生的各种故障②操作方便③防冲突④可以适合于多种应用⑤加密性能好三、银行卡与卡式管理系统(三)Java卡与SIM卡1、Java卡智能卡应用缺陷Java卡是一种可以运行Java程序的接触式微处理器智能卡。Java卡的结构三、银行卡与卡式管理系统Java卡的生命周期①Java卡虚拟机的生命期②Java卡Applet的生命期Java卡的优势①Java卡跨平台应用②简化了卡内Applet与终端或后台服务器的通信③开发人员可以任意选择开发工具④支持一卡多用和重用三、银行卡与卡式管理系统2.SIM卡三、银行卡与卡式管理系统SIM卡的结构:CPU(8位处理器);程序存储器(ROM),存储容量3~8kbit;工作存储器(RAM),存储容量6~16kbit;数据存储器(EPROM或EEPROM),存储容量16~256kbit;串行通信单元。SIM卡的类型①卡片式(俗称大卡)SIM卡②嵌入式(俗称小卡)SIM卡SIM卡主要应用在GSM通讯系统中,SIM卡技术成功地解决了无线通讯中信息保密问题。通过鉴权来防止未授权的接入,这样保护了网络运营者和用户不被假冒;通过对传输加密可以防止在无线信道上被窃听,从而保护了用户的隐私。SIM卡的主要完成两种功能:存储数据(控制存取各种数据)和在安全条件下(个人身份号码PIN、鉴权钥Ki正确)完成客户身份鉴别和客户信息加密的过程。SIM卡在GSM系统中的使用。该项应用能够对网络接入客户进行身份的鉴别以及对客户数据进行加密通讯。移动设备通过GSM网络建立一次呼叫需要经过三个过程,分别是客户参数生成、客户身份鉴别以及客户通讯加密。三、银行卡与卡式管理系统SIM卡中的信息①由SIM卡生产厂商存入的系统原始数据②存储手机的固定信息③用户自己存入的数据④有关于网络方面的数据⑤相关的业务代码三、银行卡与卡式管理系统SIM卡的特点①实现客户与设备分离(人机分开)②通信安全可靠,可有效防止通讯盗用③使用成本低,使用时间有限制第二节电子支付系统的安全服务在电子商务中都要经过资金的支付和结算才能完成每笔电子交易。因此,作为资金流负载者的银行的参与就显得至关重要,电子支付系统对于客户、商家、银行之间的资金流控制起着重要的作用。由于互联网的开放性,使得网上支付的安全问题,比基于专用网的传统银行的支付安全问题更加严重,也更加复杂。构筑完善的安全风险控制系统,收集、分析、鉴别网上交易信息的真实性,化解非法交易对网上支付的威胁,通过技术手段建立安全的电子支付系统,为客户提供安全的电子支付手段和方式。(一)电子支付系统面临的安全问题1.支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用2.支付金额被更改3.无法有效验证收款人身份4.对支付行为或支付的信息内容进行抵赖、修改和否认5.电子支付系统非人为性中断瘫痪或故意被攻击或支付被延迟一、支付交易安全(二)电子支付系统安全需求保证网络上资金流数据的保密性。保证网络上资金流数据不被篡改(数据完整性)。保证资金结算双方身份的认定。保证交易双方对支付结算行为以及内容的不可抵赖。保证电子支付系统运行的稳定可靠,快捷,做好数据备份和灾难性恢复功能,保证一定的

1 / 72
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功