第9章安全电子支付机制

第九章安全电子支付机制第九章安全电子支付机制9.1电子支付系统9.2智能卡支付方式9.3电子支票支付方式9.4电子现金支付方式9.5微支付系统9.6移动支付方式9.7支付交易安全9.1电子支付系统9.1.1传统商务支付方式在传统的支付方式中，经常使用现金、票据和信用卡三种在交易时采用“一手交钱，一手交货”的方式称为货币即时结算，这是商品经济社会较低级阶段的主要结算方式，采用的支付媒体是现金票据在我国分为汇票、本票和支票三种信用卡是银行或金融公司发行的，授权持卡人在指定的场所进行记账消费的信用凭证。9.1电子支付系统传统支付手段对于支持电子商务的局限性缺乏方便性安全性低缺乏覆盖面适应性不强缺乏对微支付的支持9.1电子支付系统9.1.2电子支付系统方式在internet进行电子商务的支付过程可以分为预支付、实时支付和后支付三种方式。预支付是先付款、后消费，如同现在的手机话费卡、银行储蓄卡等，是商家最喜欢的支付方式。后支付是先购买、再付款，信用卡就是一种后支付方式，这样存在商家被欺诈的风险。实时支付在交易的同时，款项也通过银行由买方转到了卖方。9.1电子支付系统电子支付系统分类:根据在线传输数据的种类（加密、分发类型）可以分为三类；1.使用“信任的第三方”(trustedthirdparty)2.传统银行转账结算的扩充3.数字现金(DigitalCash)、电子货币(ElectronicMoneyandElectronicCoins)9.1电子支付系统电子支付有多种手段，但概括起来可以分为三大类。一类是电子货币类，如电子现金、电子钱包等另一类是电子信用卡，包括智能卡、借记卡、电话卡等；还有一类是电子支票，如电子支票、电子汇款(EFT)、电子划款等。9.1电子支付系统2.信用卡支付一般模型网上信用卡支付主要有通过中介支付的模式、简单支付加密模式和SET模式1.通过中介支付的模式-FirstVirtual2.简单支付加密模式-CyberCash3.SET9.1电子支付系统1.通过中介支付的模式-FirstVirtual系统的目标是通过网络销售低值的产品，无需专用的客户软件和硬件。在进行交易前，商家和顾客都需要在FV上注册，FV服务器参与每一笔交易，并把货款存入商家银行账户顾客在注册时，通过浏览器登记表格，利用电话传递信用卡的细节和电子邮件地址给FV，并接收一个密码(称为虚拟PIN)。商家注册时需要提供其开户银行细节，也同样得到一个虚拟PIN。9.1电子支付系统FV系统的交易过程是：顾客用账号(虚拟PIN)向商家订货商家通过FV服务器(人工或自动查询)验证账号的有效性如果账号有效(没有列入黑名单)，商家将货物信息传给顾客和FV服务器。基于“购前尝试”的原则，FV服务器再通过E_mail询问顾客是否对货物满意。满意则完成支付，不满意中止交易；9.1电子支付系统电子商家FV服务器顾客(1)帐号(2)帐号认证(3)回复(4)货物信息(5)详细帐目(6)满意吗？(7)接受或拒绝或欺诈提示9.1电子支付系统2.简单支付加密模式—CyberCashCyberCash公司成立于1994年8月，其开发的支付系统于1995年4月开始运行，主要为因特网上的安全金融交易提供软件和服务解决方案。必须先下载CyberCash软件，用于对信用卡信息加密用户在HTML页面上以明文方式输入其信用卡号，该卡号将使用已加密的SSL会话发送给商家的服务器。这种加密的信息只有业务供应商，或第三方付费处理系统能够识别。9.1电子支付系统2.简单支付加密模式—CyberCash加密技术使用56位和768～1024位的RSA公钥对产生数字签名。整个过程历时15～20秒。如果网络拥挤时间会更长。客户的购物和支付过程只需输入一个信用卡号，而后台的第三方和银行以及商家之间的交换信息，需要一系列的加密、授权和认证。交易本身需要的成本比较高，安全度也比较高，适合大面额的交易。特别是，交易的各方都要采用数字签名来验证自己的身份，所以抗伪造信函和抗业务否定性比较好。需要说明的是，客户和商家双方均必须使用CyberCash软件，这就是说，均要信任第三方。注册后的签名是不能修改的。如果要修改，就要重新注册。9.1电子支付系统2.简单支付加密模式—CyberCashCyberCash支付流程如下：Cybercash顾客从Cybercash商家订货后，电子钱包将信用卡信息加密后传送给Cybercash商家服务器；商家服务器验证接收到的信息的有效性后，将用户的加密信用卡信息传送给Cybercash服务器，商家看不到用户的信用卡细节CyberCash服务器验证商家身份后在安全的地方解密信用卡信息，并将其通过安全网络传送到商业银行；商业银行通过银行间的电子通道到顾客的信用卡发行银行去证实，将结果发回Cybercash服务器，Cybercash服务器再通知商家服务器完成或拒绝交易，商家通知客户。可以看出，Cybercash在支付过程中只是提供网关服务，它为因特网和银行网络之间信息的安全传输提供工具。9.2智能卡支付方式智能卡支付方式的优点是：1.对于用户来说，智能卡提供了一种便利的方法。智能卡消除了某种应用系统可能对用户造成不利影响的各种情况，它能为用户“记忆”某些信息，并以用户的名义提供这种信息。某种应用本身能够配置成适合某个用户的需要，而不是用户去学习和适应这种应用。使用智能卡就再也不用记住个人识别码(密码)。2.降低了现金处理的支出及被欺诈的可能性，提供了优良的保密性能。使用智能卡，用户不需要携带现金就可以实现像信用卡一样的功能，而保密性能高于信用卡。9.2智能卡支付方式由europay，MasterCard和Visa开发的EMV规范，它使用嵌入集成电路的智能卡实现支付；由maosco协会推出的Mutos系统，它不仅能使智能卡胜任现有信用卡的功能，而且可以提供大量更新的诸如以智能卡充当银行卡、电话频道甚至电影票，消费者还可以根据自己的消费习惯和偏好来设计自己的智能卡；持卡人将其插入银行终端后几秒内即可完成授权认证、检验账户、存储数据，消费完毕自动处理金额转移，零售商通过Modem，ISDN或网络供应商的特定网络，将交易数据传至银行计算中心；金融交易卡信息交换格式标准(ISO8583)，该标准用来对广域网中传输的信用卡、借记卡、银行卡，以及金融交易的信息进行监测、捕获和解码；9.2智能卡支付方式OpenCardFrameWork标准这是由IBM、oracle，Sun和Netscape等支持的一种基于网络计算机的智能卡标准；它由Sun提出，花旗银行、Visa第一联合银行和VeriFone等组织支持的JavaCardAPI标准。9.3电子支票支付方式9.3.1电子支票的特点1.电子支票和传统支票工作方式相同，客户易于理解和接受，不必再接受培训，并且功能更强，所以接受程度高。2.加密的电子支票使它们比基于公钥加密的数字现金更易于流通，买卖双方的银行只要用公钥认证确认支票即可，数字签名也可以被自动验证。3.电子支票适于各种市场，由于支票的内容可以附在贸易对方的汇票资料上，因此可以很容易地与EDI应用结合，推动EDI基础之上的电子订货和支付。9.3电子支票支付方式9.3.1电子支票的特点4.第三方金融服务者不仅可以从交易双方处提取固定交易费用，或按一定比例提取费用，它还可以作为银行身份，提供存款账目，且电子支票存款账户很可能是无利率的，因此给第三方金融机构带来了收益。5.电子支票技术将公共网络连入金融支付和银行清算网络，实现业务过程处理的自动化。在充分利用电子支付手段的前提下，可以对付款人、收款人、银行和金融系统带来尽量少的影响。6.节省费用。电子支票通过网络传输，速度极其迅速，大大缩短了支票的在途时间，使客户的在途资金损失减为零。9.3电子支票支付方式9.3.2电子支票支付流程1.购买电子支票2.电子支票付款1.买方首先根据要求产生一个电子支票，用自己的私钥在电子支票上进行数字签名；2.使用卖方的公钥加密电子支票；3.使用E_Mail或其他方式向卖方支付；4.卖方收到用卖方公钥加密的电子支票，并用自己的私钥解密；5.用买方的公钥确认买方的数字签名，背书(endorses)支票，写出一张存款单(deposit)，并签署该存款单；6.向银行进一步确认电子支票；7.卖方发货给买方。3.清算9.3电子支票支付方式付款人收款人数字签名付款人银行清算中心收款人银行通知数字签名通知验证签名清算9.3电子支票支付方式注意：电子支票的数字签名都要被验证，而实际的纸质支票很少验证手写签名电子支票使用金融服务标记语言FSML(FinancialServicesMarkupLanguage)来书写电子支票使用X.509证书来提供对签名的验证功能。银行之间电子支票的清算都遵循ANSIX9.46和X9.37标准银行提供的电子支票清算账号必须是电子支票清算中心组织ECCHO(ElectronicCheckClearingHouseOrganization)或具有同等功能的其他组织的成员，或者相互之间按照一定的规则提供了清算功能等等9.4电子现金支付方式电子现金即数字现金，是一种以数据形式流通的货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的市值，用户在开展电子现金业务的银行开设账户并在账户内：存钱后，就可以在接受电子现金的商家使用。电子现金具有多用途、灵活使用、匿名性、快速简便的特点，无需直接与银行连接便可使用，适用于小额交易。在网上付款方式上，电子现金可能是最主要的取代纸钞的付款方式。它尤其适合于在Internet上进行小数目金额的实时支付，极有可能成为网络贸易应用中个人消费者的最常用的一个支付工具。9.4电子现金支付方式电子现金具有以下特性：1.具有金钱价值。它受现金、银行授权信用或银行证明的本票所担保，若没有适当的银行证明，电子现金就有在付款时以资金不足而被拒绝的风险。2.互通性。电子现金可与其他电子货币、纸钞、货物或服务、信用贷款限额、银行账户存款、银行票据或契约、电子利益转移等来相互交换。3.可存储性。远程的存储和取得可以为用户提供不论是在家里、办公室，还是旅游时交换电子现金的可能，用户甚至可以将它存储在远程的计算机里、智能卡上或其他方便携带或特别设计的装置上。9.4电子现金支付方式电子现金具有以下特性：4.安全性。预防或检测电子现金的复制和重复使用，可以使电子现金不容被复制和篡改。5.匿名性。由于无需签名，所以没有办法追踪付款人，这在某些场合下可以使个人的隐私权得到尊重。6.重复性。必须防止数字现金的复制和重复使用(double-spending)。因为买方可能用同一个数字现金在不同国家或地区的网上商店同时购物，这就造成数字现金的重复使用。一般的数字现金系统会建立事后(post-fact)检测和惩罚。9.4电子现金支付方式电子现金的应用过程分为五步：1.购买E-cash。2.存储E-cash。3.用E-cash购买商品或服务。4.资金清算。5.确认订单。9.4电子现金支付方式买方银行卖方数字现金库1.请求开设E-cash帐户2.帐号3.购买数字现金请求4.银行签名的随机数5.订单及加密的数字现金8.信息确认6.加密的数字现金7.信息确认9.4电子现金支付方式电子现金支付方式的特点：1.银行和卖方之间应有协议和授权关系；2.买方、卖方和E-cash银行均需使用E-cash软件；3.因为数字现金可以申请到非常小的面额，所以数字现金适用于小交易量(minipayment)的支付；4.份验证由E-cash本身完成，E-cash银行在发放E-cash时使用了数字签名，卖方在每次交易中将E-cash传送给E-cash银行，由E-cash银行验证买方支持的