电子商务第一节网上支付概述第二节电子支付第三节Internet电子商务系统的安全协议第四节网上银行电子支付系统第一节网上支付概述传统支付方式网上支付需求网上支付类型网上支付流程传统支付方式传统支付通过现金流转、票据转让以及银行转账等物理实体的流转来实现款项支付的方式。现金:现款交易(物流、资金流同时进行),适宜小额受时空限制,受不同发行主体限制,不便于跨国交易,不利于大额交易开放支付(使用时无特点限制),匿名交易票据:广义(包括证券等)、狭义指银行支付手段票证适宜异地交易,便于物流、资金流分离存在伪造、拒付、诈骗等风险,时间迟滞损失转移支付麻烦传统支付方式信用卡具有一定规模的银行或金融公司发行的,可凭此向特定商家购买货物或享受服务,或向特定银行支取一定款项的信用凭证。灵活,方便,类似现金流程:持卡人用卡购物或消费并在购签单上签字商家向持卡人提供商品或服务;商家向发卡人提交购签单;发卡人向商家付款;发卡人向持卡人发出付款通知;持卡人向发卡人归还贷款。缺点:交易费用高、时间限制,封闭支付(特约商家)网上支付需求消费者通过网上商店购物,网上拍卖通过网络缴费(电话费、电费、水费、纳税等)网上投资(股票交易、买卖债券等)支付手段:信用卡、电子钱包、电子现金企业通过网上向顾客收款(网上商店、网上直销、电信)网上采购(设备、原材料等)收款手段:支持信用卡、电子钱包、电子现金收款支付手段:信用卡、电子转帐政府组织网上收税(国内收税、海关报关)》电子政务网上支付类型网上支付流程目前电子支付的网络平台有PSTN公共交换电话网、公用数据网、专用数据网、Internet和EDI等电子支付基本过程如下:顾客接入因特网,通过游览器在网上浏览销售中心的商品,选择货物,填写订单,交给销售中心;销售中心接到订单后,经过审批,向配送中心发出发货请求。由配送中心向顾客进行送货;顾客收到商品后,进行商品的清点核对,并对验收单进行签字验收。再将收货单进行数字签名后,发送给销售中心进行挂帐处理;当需要付款时,由顾客根据订货以及接货验收情况,将结款信息进行签名,并生成付方密码,传送给销售中心;销售中心接收到顾客的结款请求时,将自身的银行帐号以及收款金额等信息生成收方密码,发送给商家的开户银行;商家的开户银行将该笔交易信息通过人民银行金融区域网及其网上的电子实时支付与清算系统与顾客的开户银行进行清算,将款从顾客的账号上划拨到商家的银行中;双方的开户银行将交易成功信息发送给各自的用户,电子支付全部完成;商家向顾客发送电子发票,网上交易全部完成。第二节电子支付一、电子支付的概述二、电子信用卡三、电子支票四、电子货币电子支付的概述定义:电子支付是指电子交易的当事人,包括消费者、厂商和金融机构,使用安全电子手段通过网络进行的货币支付或资金流转类别:电子信用卡、电子支票和电子货币特征:电子支付采用现代技术通过数字流转来完成支付信息传输,支付手段均是数字信息;而传统的方式则是通过现金的流转、票据的转让以及银行的转账等实体形式的变化实现的。电子支付是基于开放的系统平台(即互联网)之中的;而传统支付则在较为封闭的环境中进行。电子支付使用最先进的通信手段,因此对软硬件要求很高;传统支付对于技术要求不如电子支付高,且多为局域网,不接入互联网。电子支付可以完全突破时间空间的限制,可以满足24/7的工作模式,其效率之高是传统支付难以望其项背的。电子信用卡电子信用卡(ElectronicCreditCard):就是允许通过网络传递卡号和密码,实现远程授权付款交易。电子信用卡的代表是智能卡智能卡(SmartCard):卡中带有IC,可以存储货币信息,保密信息智能卡的工作过程:首先,在适当的机器上启动用户的互联网浏览器然后,通过安装在PC机上的读卡机,用用户的智能卡登录到用户服务的银行Web站点上,智能卡会自动告知银行用户的账号、密码和其他一切加密信息我国智能卡的发展:截止到2000年底,全国共有发卡金融机构55家,发卡总量超过2.77亿张,银行卡帐户人民币存款余额已达2,909亿元;全年交易总额达45,300亿元目前我国智能推广应用中还存在的障碍:智能卡制作成本较高;且不能实现一卡多能、一卡多用;不同种类的智能卡和读写器之间不能跨系统操作;人民币不能自由兑换等等。电子支票(ElectronicCheck)电子支票是是客户向收款人签发的、无条件的数字化支付指令,它可以通过因特网或无线接入设备来完成传统支票的所有功能(电子支票的支付流程见图1)在电子支票体系结构下,要保证交易的真实性、保密性、完整性和不可否认性,其中最重要的一个环节就是确保私有密钥的安全性。现行的做法是客户使用智能卡来实现对私有密钥的保护客户要通过电子支票进行支付,需要在计算机上安装读卡器和驱动程序。电子支票(ElectronicCheck)电子支票支付过程可分以下几个步骤消费者和商家达成购销协议并选择用电子支票支付。消费者通过网络向商家发出电子支票,同时向银行发出付款通知单。商家通过验证中心对消费者提供的电子支票进行验证,验证无误后将电子支票送交银行索付。银行在商家索付时通过验证中心对消费者提供的电子支票进行验证,验证无误后即向商家兑付或转账。图1电子支票的支付流程通知签名证书付款人÷收款人÷付款人银行÷收款人银行÷清算中心÷清算验证签名通知签名、证书四、电子货币电子货币(ElectronicCurrency)是指模拟现金进行交易的电子支付手段,目前主要有电子现金、网络现金电子钱包等电子现金电子钱包电子现金定义:电子现金(ElectronicCash)是一种以数据形式流通的货币特点:银行和商家之间设有协议和授权关系。用户、商家和E-Cash银行都需使用E-Cash软件。E-Cash银行负责用户和商家之间资金的转移。身份验证是由E-Cash本身完成的。匿名性。具有现金特点,可以存、取、转让,适用于小的交易量。电子现金支付过程用户在E-Cash银行设立帐号,用预存入现金购买现金证书使用计算机从E-Cash银行取出电子现金放在本地计算机用户与同意接收电子现金的商家洽谈,使用电子现金付款接收电子现金商家与E-Cash发放银行之间清算。用户商家E-Cash银行买卖洽谈存取E-CashE-Cash结算电子现金的网上支付的问题只有少数商家接受电子现金,而且只有少数几家银行提供电子现金开户服务。成本较高。电子现金对于硬件和软件的技术要求都较高,需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费。因此,尚需开发硬软件成本低廉的电子现金。存在货币兑换问题。由于电子硬币仍以传统的货币体系为基础,因此德国银行中能以德国马克的形式发行电子现金,法国银行发行以法郎为基础的电子现金,诸如此类,因此从事跨国贸易就必须要使用特殊的兑换软件。风险较大。如果某个用户的硬盘损坏,电子现金丢失,钱就无法恢复,这个风险许多消费者都不愿承担。电子钱包(e-wallet)定义:电子钱包是一个可以由持卡人用来进行安全电子交易和储存交易记录的软件,类似于随身携带的钱包一样,装入电子现金、电子零钱、安全零钱、电子信用卡、在线货币、数字货币等。功能:电子安全证书的管理,即电子安全证书的申请、存储安全电子交易。进行SET交易时辨认用户身份等交易记录的保存。保存每一笔交易记录以备日后查询步骤:客户使用浏览器在商家的Web主页上查看在线商品目录浏览商品,选择要购买的商品。客户填写订单,包括项目列表、价格、运费、搬运费等订单可通过电子化方式从商家传过来,或由客户的电子购物软件建立。电子钱包(e-wallet)顾客确认后,选定用电子钱包付钱电子商务服务器对此信用卡号码采用某种保密算法算好并加密后,发送到相应的银行去,同时销售商店也收到了经过加密的购货账单,销售商店将自己的顾客编码加入电子购货账单后,再转送到电子商务服务器上去如果经商业银行确认后拒绝并且不予授权,则说明顾客的这张电子信用卡上的钱数不够用了或者是没有钱了,或者已经透支。遭商业银行拒绝后,顾客可以再单击电子钱包的相应项再打开电子钱包,取出另一张电子信用卡,重复上述操作。如果经商业银行证明这张信用卡有效并授权后,销售商店就可交货。与此同时,销售商店留下整个交易过程中发生往来的财务数据,并且出示一份电子收据发送给顾客。上述交易成交后,销售商店就按照顾客提供的电子订货单将货物在发送地点交到顾客或其指定的人手中。第三节Internet电子商务系统的安全协议一、SSL安全协议二、SET安全协议SSL安全协议SSL安全协议的基本概念:SSL协议(SecureSocketLayer,安全套接层)是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护SSL安全协议的运行步骤:接通阶段:客户通过网络向服务商打招呼,服务商回应。密码交换阶段:客户与服务商之间交换认可的密码。一般选用RSA密码算法,也有的选用Diffie-Hellman和Fortezza-KEA密码算法。会谈密码阶段:客户与服务商间产生彼此交谈的会谈密码。检验阶段:检验服务商取得的密码。客户认证阶段:验证客户的可信度。结束阶段:客户与服务商之间的相互交换结束的信息。SSL安全协议的应用:SSL协议运行的基点是商家对客户信息保密的承诺;SSL协议有利于商家而不利于客户基于SSL协议的网上支付的实现SSL协议提供的服务(SecureSocketsLayer)认证用户和服务器。识别用户和商家加密数据以隐藏方式传输数据维护数据的完整性,确保传输过程不被改变主要保护商家和银行利益,确保不被用户欺骗执行流程客户商家银行1订货2请求确认3审核回复4回复发货SET安全协议SET协议保证信息的安全。保证交易的实时性保证交易参与者信息的相互隔离。商家不知道客户资料解决多方认证问题。消费者、商家和银行之间相互认证安全协议涉及范围顾客(消费者、企业组织购买)商家(网上商店、网上直销站点)收单银行(通过支付网关处理交易双方的付款问题)发行企业(一般是银行,发行信用卡等电子货币),负责审核和支付工作。认证中心(CA,CertifiedAuthentication),对厂商信誉、消费者的支付手段信誉进行认证。SET安全协议从第3步到第7步SET开始起作用每操作一步都通过CA来验证通信主体的身份,确保合法性和不被冒名顶替协议没有保证消费者在收到不符合要求产品后,要求终止支付的权利。顾客网上商家支付网关收单银行发行银行认证中心认证认证认证1协商2定单3审核4审核5批准6确认7确认SET协议的缺陷协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。否则的话,在线商店提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里.SET协议过于复杂,使用麻烦,成本高,且只适用于客户具有电子钱包的场合。SET的证书格式比较特殊,虽然也遵循X.509标准,但它主要是由Visa和MasterCard开发并按信用卡支付方式来定义的。银行的支付业务不光是卡支付业务,而SET支付方式和认证结构适应于卡支付,对其他支付方式是有所限制的。安全是相对的,我们提出电子商务中信息的保密性,要保证支付和定单信息的保密性,即要求商户只能看到定单信息(OI),支付网关只能解读支付信息(PI)。但在SET协议中,虽然账号不会明文传递,它通常用1024位RSA不对称密钥加密,商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号,可是事实上大多数商户都收到了持卡人的账号。我国