第四章 電子商務支付安全技術

第4章電子商務支付安全技術主編：彭波第4章電子商務支付安全技術知識教學目標：理解電子支付概念了解電子支付系統(tǒng)基本體系構成了解電子支付面臨的問題和存在的安全隱患了解電子支付的技術中采用的安全措施技能培養(yǎng)目標：能夠掌握網(wǎng)上銀行服務的申請方法能夠通過網(wǎng)上購物體驗電子支付過程4.1電子支付概述在傳統(tǒng)的支付活動中，通過現(xiàn)金或支票支付費用而電子商務中不便使用，支付問題就愈顯突出，電子支付的手段是解決電子商務支付的唯一手段。電子支付是通過信息流的傳輸來代替現(xiàn)金的交換，其各種支付方式都是通過數(shù)字化方式自動完成交易款項的支付。4.1.1電子支付1.傳統(tǒng)支付方式（1）現(xiàn)金支付（2）通過銀行票據(jù)支付（3）使用信用卡支付2.電子支付（1）什么是電子支付指從事電子商務交易的當事人，包括消費者、廠商和金融機構，使用安全電子支付手段通過網(wǎng)絡進行的貨幣支付或資金流轉。（2）與傳統(tǒng)方式相比其特點在開放的網(wǎng)絡系統(tǒng)中以先進信息技術來完成信息傳輸，采用數(shù)字化的方式進行款項支付工作環(huán)境是基于一個開放的系統(tǒng)平臺(互聯(lián)網(wǎng))對軟、硬件設施的要求很高，一般要求有聯(lián)網(wǎng)的微機、相關的軟件及其一些配套設施具有方便、快捷、高效、經(jīng)濟的優(yōu)勢電子支付工具、支付過程具有無形化的特征（3）電子支付的發(fā)展第一階段銀行利用計算機及網(wǎng)絡處理銀行之間的業(yè)務，辦理結算；第二階段銀行與其他機構之間計算機之間資金的結算，如代發(fā)工資等業(yè)務；第三階段利用網(wǎng)絡終端向客戶提供各項銀行服務，如為客戶在自動柜員機(ATM)上提供的取存款服務等；第四階段利用銀行銷售點終端(POS)向客戶提供自動的劃賬服務，這是現(xiàn)階段電子支付的主要方式；第五階段通過因特網(wǎng)進行直接轉賬結算，即網(wǎng)上支付 1）消費者向商戶發(fā)送購物請求； 2）商戶把消費者的支付指令通過支付網(wǎng)點送往商戶開戶行(收單行)； 3）收單行通過專用網(wǎng)絡從消費者開戶行(發(fā)卡行)取得支付授權后，把授權信息送回商戶； 4）商戶取得授權后，向消費者發(fā)送購物回應信息； 5）如果支付獲取與支付授權并非同時完成的話，商戶還要通過支付網(wǎng)關向收單行發(fā)送支付獲取請求，以把該筆交易的金額轉賬到商戶帳戶中； 6）銀行之間則通過自身的支付清算網(wǎng)絡來完成最后的行間清算。（4）電子支付的流程（5）電子支付方式1）預支付方式。先付款，然后才能購買或服務。如超市里面發(fā)行的電子消費卡、還有手機充值卡2）即時支付方式。在交易發(fā)生的同時，錢也被從銀行賬戶中轉入賣方。3）后支付方式。允許用戶購買一件商品之后再付款。信用卡都是一種最普遍的后支付方式。 表4-1三類電子支付方式的比較（6）電子支付存在的問題安全問題支付的條件問題4.1.2電子支付系統(tǒng)1.什么是電子支付系統(tǒng)是電子商務系統(tǒng)的重要組成部分，它指的是消費者、商家和金融機構之間使用安全電子手段交換商品或服務，即把新型支付手段（包括電子現(xiàn)金（E-Cash）、信用卡（CreditCard）、借記卡（DebitCard）、智能卡等）的支付信息通過網(wǎng)絡安全傳送到銀行或相應的處理機構，來實現(xiàn)電子支付，是融購物流程、支付工具、安全技術、認證體系以及現(xiàn)在的金融體系為一體的綜合大系統(tǒng)2.電子支付系統(tǒng)基本體系構成（1）客戶是指與某商家有交易關系并在交易中負有債務的一方。（2）商家商家是商品交易中擁有債權的另一方。（3）銀行1）客戶的開戶行：是指客戶在其中擁有自己賬戶的銀行2）商家開戶行：是指商家在其中擁有自己賬戶的銀行3）支付網(wǎng)關：是公網(wǎng)和金融專用網(wǎng)之間的接口4）金融專用網(wǎng)：是金融機構之間進行通信的網(wǎng)絡（4）認證機構負責為參與電子商務的各方（包括商家、客戶、支付網(wǎng)關）發(fā)放數(shù)字證書以確認各方身份，保證電子支付的安全性。3.電子支付系統(tǒng)基本功能（1）使用數(shù)字簽名和數(shù)字證書實現(xiàn)對各方的認證。（2）對業(yè)務數(shù)據(jù)進行加密確保數(shù)據(jù)的完整性。（3）保證業(yè)務的完整性和不可否認性。（4）處理多方貿(mào)易業(yè)務的多邊支付問題。4.電子交易模型（1）支付系統(tǒng)無安全措施的模型 風險由商家承擔、

商家完全掌握用戶的信用卡信息、

信用卡信息的傳遞無安全保障。圖4-3支付系統(tǒng)無安全措施模型的流程（2）通過第三方經(jīng)紀人支付的模型用戶賬戶的開設不通過網(wǎng)絡。信用卡信息不在開放的網(wǎng)絡上傳送。通過電子郵件來確認用戶身份。商家自由度大，風險小。支付是通過雙方都信任的第三方（經(jīng)紀人）完成的。（3）數(shù)字現(xiàn)金支付模型銀行和商家之間應有協(xié)議和授權關系。用戶、商家和數(shù)字現(xiàn)金的發(fā)行都需要使用數(shù)字現(xiàn)金軟件。適用于小額交易。身份驗證是由數(shù)字現(xiàn)金本身完成的。數(shù)字現(xiàn)金的發(fā)行在發(fā)放數(shù)字現(xiàn)金時使用數(shù)字簽名；商家在第次交易中，將數(shù)字現(xiàn)金傳送給銀行，由銀行驗證數(shù)字現(xiàn)金的有效性。數(shù)字現(xiàn)金的發(fā)行負責用戶和商家之間實際資金的轉移。數(shù)字現(xiàn)金與普通現(xiàn)金一樣，可以存、取和轉讓。（4）簡單加密支付系統(tǒng)模型信用卡等關鍵信息需要加密。使用對稱和非對稱加密技術?？赡芤獑⒂蒙矸菡J證系統(tǒng)。以數(shù)字簽名確認信息的真實性。需要業(yè)務服務器和服務軟件的支持。（5）SET模型“安全電子交易”，簡稱為SET(SecurityElectronicTransaction)，是一個在開放的互聯(lián)網(wǎng)（Internet）上實現(xiàn)安全電子交易的一個國際協(xié)議和標準。SET提供對交易參與者的認證，確保交易數(shù)據(jù)的安全性、完整性和交易的不可抵賴性（5）SET模型加密技術：數(shù)字簽名技術電子認證：專門的電子認證機構（CA）電子信封：4.2電子商務支付安全技術4.2.1電子支付安全隱患1.電子支付面臨的問題（1）電子支付所面臨的法律問題（2）電子支付功能和手段有待突破的問題（3）電子支付系統(tǒng)的風險防范問題（4）與電子支付有關的洗錢及其對策（1）電子支付所面臨的法律問題1）電子支付的安全問題。2）電子支付規(guī)范標準不統(tǒng)一問題。3）各方權利義務不明確、法律責任不清問題。4）電子支付的監(jiān)管問題。5）關稅收入問題。6）違法責任的法律分擔問題。（2）電子支付功能和手段有待突破的問題B2C的小額網(wǎng)上交易利用信用卡、儲蓄卡作為支付工具B2B大額支付：網(wǎng)上訂購，網(wǎng)下支付原因：電子支付效率低下電子支付收費過高電子支付存在限制過多（3）電子支付系統(tǒng)的風險防范問題技術性風險計算機犯罪，黑客問題流動性風險支付不能的風險（4）與電子支付有關的洗錢及其對策建立一定的密鑰托管機構，使政府在一定條件下能夠獲得密碼技術中的私人密鑰制定有關法律，并著手建立密鑰托管機構。2.電子支付面臨的安全隱患（1）交易不安全可能使消費者遭受更大損失（2）因系統(tǒng)問題造成消費者受損（3）可能造成信息外泄（4）可能造成新的犯罪問題4.2.2電子支付安全舉措1.采用數(shù)字證書2.用數(shù)字證書加密電子郵件和進行數(shù)字簽名3.用消息摘要和數(shù)字簽名保證完整性4.構建安全穩(wěn)定的電子商務網(wǎng)站5.安裝抗干擾硬件來保證交易終端安全實訓 安全電子商務支付【實訓條件】1.硬件條件 CPU：至少550MHz，最多支持四個CPU； 內(nèi)存：至少256MB； 硬盤空間：150MB以上，不含緩存使用的磁盤空間。2.軟件條件 操作系統(tǒng)：Windows2000或WindowsXP操作系統(tǒng)。3.網(wǎng)絡環(huán)境 網(wǎng)絡適配器：必須為每個主機網(wǎng)絡單獨準備一個網(wǎng)絡適配器，并可連接互聯(lián)網(wǎng)?！緦嵱杻?nèi)容】 1.申請網(wǎng)上銀行服務 2.網(wǎng)上購物【實訓步驟】1.申請建設銀行網(wǎng)上銀行服務前提必須要有一張可以進行網(wǎng)上支付的由銀行發(fā)行的貸記卡或信用卡當客戶在中國建設銀行申請開立了賬戶、龍卡或者信用卡后，均可選擇開通網(wǎng)上銀行服務， （1）登錄中國建設銀行的官方網(wǎng)站，網(wǎng)址是，進入主頁，如圖4-8所示。 （2）點擊“個人網(wǎng)上銀行”下面的“馬上開通”按鈕，開通個人網(wǎng)上銀行，如圖4-9所示。

圖4-8中國建設銀行的主頁 圖4-9開通個人網(wǎng)上銀行 （3）在圖4-9中，請選擇要開通的網(wǎng)上銀行的類型，點擊“現(xiàn)在開通”按鈕。我們在這里選擇開通“普通客戶網(wǎng)上自助開通”。點擊下面的“現(xiàn)在開通”按鈕，進入服務協(xié)議及風險提示對話界面，如圖4-10所示。 （4）在圖4-10中，請仔細閱讀服務協(xié)議，特別是風險提示。如果閱讀完畢，請點擊“同意”，繼續(xù)完成申請，填寫賬戶信息，如圖4-11所示。

圖4-10服務協(xié)議圖4-11填寫賬戶信息 （5）在圖4-11中，請輸入客戶姓名，賬戶號碼，賬戶取款密碼以及右邊的附加碼，點擊“下一步”，則會顯示當前賬戶對應的個人信息，如圖4-12所示。 （6）選擇性別，輸入手機號碼，網(wǎng)上銀行密碼及確認密碼，注意密碼請遵循前面我們提示過的要用強密碼策略，完成網(wǎng)上銀行基本信息及網(wǎng)上銀行密碼設定，如圖4-13所示。

圖4-12顯示個人信息圖4-13網(wǎng)上銀行密碼設定 （7）在圖4-13中點擊“下一步”，我們會看到已經(jīng)成功申請了網(wǎng)上銀行普通客戶的頁面，如圖4-14所示。點擊“登錄個人網(wǎng)上銀行”，進入個人網(wǎng)上銀行登陸界面，如圖4-15所示。

圖4-14成功申請普通網(wǎng)銀客戶圖4-15個人網(wǎng)上銀行登陸所示2.網(wǎng)上購物 （1）如果你是淘寶網(wǎng)的會員，你可以以會員身份登錄，然后開始在網(wǎng)上選購中意的商品。如果不是你可以先注冊會員再登錄購物。 （2）下面，我們以選擇中國電信話費充值為例，選取“充值中心-電信”單擊進入下一步，如圖4-17所示。

圖4-16淘寶網(wǎng)主頁圖4-17選擇中國電信話費充值 （3）在如圖4-18中，你可以選擇不同的商家和充值面額等服務，我們?nèi)绻氤渲?0元，可以到商家的店鋪里再做選擇或者重新用關鍵字“電信50元”查詢。我們點擊紅色“商城”右邊的賣家“浙江電信淘寶充值店”的店鋪。打開官方充值店鋪，如圖4-19所示。

圖4-18商品選購界面圖4-19浙江電信淘寶充值店 （4）在圖4-19中，我們選擇中國電信“50元”的浙江電信全業(yè)務充值，點擊相應圖片，進入話費充值詳細頁面，如圖4-20所示。 （5）在圖4-20中，我們點擊“馬上去充值”，進入購買信息輸入頁面，如圖4-21所示。

圖4-20話費充值詳細頁面圖4-21購買信息輸入頁面 （7）在圖4-21中，我們點擊“去支付寶付款”，進入支付方式選擇頁面，如圖4-22所示。 （8）在圖4-22中，我們可以有多種支付方式，在此我們使用網(wǎng)上銀行進行支付，點擊“網(wǎng)上銀行付款”選項卡，選擇“中國建設銀行”，點擊“確認無誤，付款”，進入支付金額和方式確認頁面，如圖4-23所示。

圖4-22支付方式選擇頁面圖4-23支付金額和方式確認頁面 （9）在圖4-23中，我們點擊“去網(wǎng)上銀行付款”，進入網(wǎng)上銀行登錄界面，如圖4-24所示。 （10）在圖4-24中，輸入網(wǎng)上銀行的證件號碼和登錄密碼及驗證碼，點擊“下一步”，進入網(wǎng)上銀行客戶支付確認頁面，如圖4-25所示。

圖4-24網(wǎng)上銀行登錄界面圖4-25網(wǎng)上銀行客戶支付確認頁面 （11）在圖4-25中，如果有多個網(wǎng)上銀行賬戶，可以自行選擇，點擊“支付”，進入下一步要求安裝中國建設銀行E路護航安全組件，下載安裝，如圖4-26所示。 （12）完成安裝或者取消安裝，如果出現(xiàn)圖4-27所示界面，則表明你通過網(wǎng)上銀行進行電子支付成功。

圖4-26安裝E路護航安全組件圖4-27網(wǎng)上銀行支付成功本章小結 本章主要介紹了電子商務中電子支付的安全技術，首先介紹了傳統(tǒng)的支付技術及優(yōu)缺點，并說明了電子支付是電子商務支付的最好的支付手段。然后介紹了電子支付的發(fā)展、流程、方式及存在的問題。 接著，詳細介紹了電子支付系統(tǒng)的概念、基本體系構成、應提供的基本功能以及電子支付中目前存在的五種電子交易模型。 后面我們介紹了電子支付目前面臨的法律問題、功能和手段有待突破的問題、風險防范問題、有關的洗錢及其對策問題，并指出了電子支付面臨的安全隱患。根據(jù)電子支付面臨的安全隱患，提出了目前我們可以在電子支付的技術中采用的安全措施。 最后，我們通過一個“安全電子