互聯(lián)網(wǎng)協(xié)會(huì)-電子商務(wù)安全(四)

電子商務(wù)安全（四）電子支付安全第八章電子支付體系第1節(jié)電子商務(wù)支付系統(tǒng)第2節(jié)網(wǎng)上支付與結(jié)算形式第3節(jié)網(wǎng)上銀行第4節(jié)安全微支付技術(shù)第1節(jié)電子商務(wù)支付系統(tǒng)1、支付活動(dòng)與支付發(fā)展2、電子商務(wù)與電子支付3、電子支付系統(tǒng)的社會(huì)基礎(chǔ)4、網(wǎng)上支付系統(tǒng)的基本構(gòu)成5、網(wǎng)上支付系統(tǒng)的種類(lèi) 6、電子商務(wù)支付系統(tǒng)的功能1、支付活動(dòng)與支付發(fā)展（1）優(yōu)點(diǎn)缺點(diǎn)影響產(chǎn)生商品貨幣電子貨幣紙幣金屬貨幣貨幣供應(yīng)量比例消費(fèi)者銀行操作系統(tǒng)使用和流通方便、成本低安全問(wèn)題形式銀行卡電子現(xiàn)金電子支票現(xiàn)金支付：簡(jiǎn)單方便，易磨損、易失、易盜、易偽造通過(guò)銀行支付支票支付：增加各大銀行和交易部門(mén)(支票交易所)的開(kāi)支，存在支票不能兌換的可能性郵政匯兌支付：支付者給其銀行發(fā)送指令向接收者的開(kāi)戶(hù)行傳送款額.不經(jīng)過(guò)交易系統(tǒng).自動(dòng)清算(ACH)：類(lèi)似于支票支付，但支付指令均為電子形式,用于小額.電子資金匯兌,用于大額使用信用卡支付有透支功能的信用卡借記卡收費(fèi)卡旅行娛樂(lè)卡1、支付活動(dòng)與支付發(fā)展（2）傳統(tǒng)的支付結(jié)算貨幣即時(shí)結(jié)算：商品交易過(guò)程同時(shí)進(jìn)行金交換支付結(jié)算，以銀行為中介的貨幣收支。以手工操作為主，以銀行的金融專(zhuān)用網(wǎng)絡(luò)為核心，通過(guò)傳統(tǒng)的信道（郵遞、電報(bào)、傳真等）進(jìn)行憑證的傳遞實(shí)現(xiàn)貨幣的支付結(jié)算支付工具有形安全性、認(rèn)證性、完整性、不可否認(rèn)性電子支付方式電子支付是支付命令發(fā)送方把存放于商業(yè)銀行的資金，通過(guò)一條線(xiàn)路劃入收益者開(kāi)戶(hù)方銀行，以支付給收益方的一系列轉(zhuǎn)移過(guò)程。在線(xiàn)支付是電子商務(wù)的關(guān)鍵環(huán)節(jié)，是電子商務(wù)得以順利發(fā)展的前提條件。支付工具無(wú)形化（貨幣可能智能卡芯片中的一組數(shù)據(jù)、硬盤(pán)中的一個(gè)文件或網(wǎng)絡(luò)中的一組二進(jìn)制流）存在安全性的問(wèn)題2、電子商務(wù)與電子支付（1）電子支付傳統(tǒng)交易支付信息傳輸數(shù)字流傳輸技術(shù)物理實(shí)體(現(xiàn)金流轉(zhuǎn)、票據(jù)轉(zhuǎn)讓、銀行匯兌）工作環(huán)境Internet封閉系統(tǒng)對(duì)軟、硬件的要求高（微機(jī)、相關(guān)軟件及配套設(shè)施）低方便、快捷性方便、快捷、高效、經(jīng)濟(jì)，成本低差，成本高安全性保障加密、CA認(rèn)證、信用要求高仿偽技術(shù)支付方式特點(diǎn)2、電子商務(wù)與電子支付（2）支付與信用信用卡、電子支票依托銀行信用電子現(xiàn)金：持有電子錢(qián)包的群體向發(fā)放電子錢(qián)包的群體提供的信用支付以信用為基石2、電子商務(wù)與電子支付（3）3、電子支付系統(tǒng)的社會(huì)基礎(chǔ)信用卡公司銀行：給顧客信用并進(jìn)行清算向信用卡加盟店提供認(rèn)證和收款業(yè)務(wù)的第三方處理公司如同Visa的網(wǎng)絡(luò)，將進(jìn)行收款的處理業(yè)務(wù)和銀行聯(lián)系在一起。ATM網(wǎng)絡(luò)自動(dòng)清算公司（ACH）中國(guó)在建的“中國(guó)國(guó)家現(xiàn)代化支付系統(tǒng)”（CNAPS），行內(nèi)建立了電子匯兌系統(tǒng)和銀行卡授權(quán)系統(tǒng)銀聯(lián)系統(tǒng)建立發(fā)卡行的行內(nèi)授權(quán)系統(tǒng)，為跨行交易創(chuàng)造了條件。4、網(wǎng)上支付系統(tǒng)的基本構(gòu)成網(wǎng)上支付體系的基本構(gòu)成5、網(wǎng)上支付系統(tǒng)的種類(lèi) （1）信用卡支付系統(tǒng)的特點(diǎn)是：每張卡對(duì)應(yīng)著一個(gè)賬戶(hù)，資金的支付最終是通過(guò)轉(zhuǎn)賬實(shí)現(xiàn)的，對(duì)信用卡賬戶(hù)的處理是后于貨款支付的。（2）電子轉(zhuǎn)賬支付系統(tǒng)的特點(diǎn)是：是一種“即時(shí)付款”的支付辦法。（3）電子現(xiàn)金支付系統(tǒng)的特點(diǎn)則是：是一種“預(yù)先付款”的支付系統(tǒng)。返回本節(jié)6、電子商務(wù)支付系統(tǒng)的功能使用數(shù)字簽名和數(shù)字證書(shū)實(shí)現(xiàn)對(duì)各方的認(rèn)證使用加密技術(shù)對(duì)業(yè)務(wù)進(jìn)行加密使用消息摘要算法以確認(rèn)業(yè)務(wù)的完整性當(dāng)交易雙方出現(xiàn)糾紛時(shí)，保證對(duì)業(yè)務(wù)的不可否認(rèn)性能處理貿(mào)易業(yè)務(wù)的多邊支付問(wèn)題。

（由于網(wǎng)上貿(mào)易的支付牽涉到客戶(hù)、商家和銀行等多方，其中傳送的購(gòu)貨信息與支付指令必須連接在一起，因?yàn)樯碳抑挥写_認(rèn)了支付指令后才會(huì)繼續(xù)交易，銀行也只有確認(rèn)了支付指令后才會(huì)提供支付。但商家不能讀取客戶(hù)的支付指令，銀行不能讀取商家的購(gòu)貨信息，這種多邊支付的關(guān)系可通過(guò)雙重簽名等技術(shù)來(lái)實(shí)現(xiàn)。）第2節(jié)網(wǎng)上支付與結(jié)算形式1、網(wǎng)上支付與結(jié)算形式2、信用卡支付形式3、電子現(xiàn)金支付方式4、電子支票支付方式5、電子錢(qián)包支付形式6、智能卡支付方式1、網(wǎng)上支付與結(jié)算形式信用卡支付數(shù)字現(xiàn)金支付形式電子支票支付形式智能卡支付形式電子錢(qián)包支付形式其它電子支付形式無(wú)安全措施的信用卡支付通過(guò)第三方經(jīng)紀(jì)人的支付簡(jiǎn)單加密信用卡支付SET信用卡支付負(fù)債卡EBT卡2、信用卡支付形式（1）1.信用卡的基本功能ID功能結(jié)算功能信息記錄功能附加功能消費(fèi)信用消費(fèi)信貸吸收儲(chǔ)蓄轉(zhuǎn)帳結(jié)算通存通兌自動(dòng)取款代發(fā)工資代理收費(fèi)信譽(yù)標(biāo)志2.信用卡應(yīng)用的基本特點(diǎn)特約商店無(wú)須太多投入即能付于使用24小時(shí)內(nèi)無(wú)論何時(shí)均能使用能受理信用卡的商店在全世界數(shù)量多法律和制度方面的問(wèn)題少2、信用卡支付形式（2）3.信用卡的支付模式無(wú)安全措施的信用卡支付通過(guò)第三方經(jīng)紀(jì)人的支付簡(jiǎn)單加密信用卡支付SET信用卡支付2、信用卡支付形式（3）無(wú)安全措施的信用卡支付流程特點(diǎn)消費(fèi)者商家銀行風(fēng)險(xiǎn)由商家承擔(dān)信用卡信息通過(guò)電話(huà)、傳真等非網(wǎng)上傳

送手段或在線(xiàn)傳送，無(wú)安全措施商家完全掌握消費(fèi)者的信用卡信息電話(huà)、傳真Internet(無(wú)安全措施)合法性檢查2、信用卡支付形式（4）通過(guò)第三方經(jīng)紀(jì)人的支付流程特點(diǎn)支付通過(guò)雙方都信任的經(jīng)紀(jì)人完成消費(fèi)者賬號(hào)開(kāi)設(shè)不通過(guò)網(wǎng)絡(luò)信用卡信息不在開(kāi)放的網(wǎng)絡(luò)上傳送E-mail確認(rèn)消費(fèi)者身份商家風(fēng)險(xiǎn)小消費(fèi)者商家經(jīng)紀(jì)人銀行購(gòu)物帳戶(hù)開(kāi)立帳戶(hù)支付確認(rèn)帳戶(hù)支付確認(rèn)信用卡信息2、信用卡支付形式（5）簡(jiǎn)單加密信用卡支付流程特點(diǎn)部分或全部信息加密使用加密技術(shù)可能使用身份驗(yàn)證證書(shū)采用防偽數(shù)字簽名不適合小額交易

（因?yàn)樾杓用堋⒄J(rèn)證、授權(quán)，交易成本較高）發(fā)卡行消費(fèi)者商家業(yè)務(wù)服務(wù)器商家銀行商家服務(wù)器信用卡認(rèn)證交易信用卡加密信息加密信息認(rèn)證信息交易情況認(rèn)證信息解密信息2、信用卡支付形式（6）SET信用卡支付SET目標(biāo)信息的安全傳輸電子商務(wù)參與者信息隔離解決多方認(rèn)證問(wèn)題交易實(shí)時(shí)性規(guī)范協(xié)議和操作格式SecureElectronicTransaction(安全電子交易)電子付款協(xié)議標(biāo)準(zhǔn)VisaCard,MasterCard合作開(kāi)發(fā)對(duì)消費(fèi)者信用卡認(rèn)證對(duì)商家身份的認(rèn)證2、信用卡支付形式（7）SET信用卡支付SET涉及的對(duì)象消費(fèi)者在線(xiàn)商店收單銀行電子貨幣發(fā)行公司及銀行認(rèn)證中心(CA)2、信用卡支付形式（8）SET信用卡支付SET的流程消費(fèi)者在線(xiàn)商店收單銀行支付網(wǎng)關(guān)認(rèn)證中心發(fā)卡銀行協(xié)商訂單確認(rèn)審核確認(rèn)認(rèn)證認(rèn)證審核客戶(hù)通過(guò)瀏覽器在網(wǎng)上商店選擇完所要購(gòu)買(mǎi)的商品（即傳送訂單），結(jié)帳時(shí)會(huì)激活電子錢(qián)包，消費(fèi)者在輸入自己電子錢(qián)包密碼后，可以選擇任何一張經(jīng)SET認(rèn)證的信用卡來(lái)支付。2.網(wǎng)絡(luò)商店此時(shí)便將通過(guò)數(shù)字簽名及加密過(guò)的信用卡數(shù)據(jù)，通過(guò)電子收款機(jī)及付款網(wǎng)關(guān)將數(shù)據(jù)格式加以轉(zhuǎn)換，通過(guò)金融網(wǎng)絡(luò)，傳送到收單行申請(qǐng)授權(quán)。3.收單銀行通過(guò)信用卡發(fā)卡組織的金融網(wǎng)絡(luò)，連接到發(fā)卡銀行向發(fā)卡銀行申請(qǐng)授權(quán)。4.當(dāng)發(fā)卡行檢查信用卡持卡人的卡號(hào)真?zhèn)?、信用額度、有效期限皆有效后，即核發(fā)授權(quán)給收單銀行。5.當(dāng)收單銀行獲取由發(fā)卡行授權(quán)成功的數(shù)據(jù)，便將授權(quán)成功的信息轉(zhuǎn)送給網(wǎng)絡(luò)商店。6.此時(shí)網(wǎng)絡(luò)商店立即將客戶(hù)的訂單回復(fù)給消費(fèi)者，并顯示交易碼、交易金額、商店代號(hào)及商店名稱(chēng)，以通知消費(fèi)者交易已成功。同時(shí)網(wǎng)絡(luò)商店也將客戶(hù)的訂單轉(zhuǎn)成送貨單通知商店的倉(cāng)儲(chǔ)系統(tǒng)出貨。7.收單銀行將劃款數(shù)據(jù)匯整處理后，將貨款轉(zhuǎn)入商店戶(hù)頭。收單銀行與發(fā)卡銀行通過(guò)國(guó)際信用卡發(fā)卡組織進(jìn)行清算，發(fā)卡銀行累計(jì)消費(fèi)者的消費(fèi)款項(xiàng)數(shù)據(jù)，以賬單通知消費(fèi)者。

2、信用卡支付形式（9）SET信用卡支付SET的特點(diǎn)安全措施特點(diǎn)公共密匙對(duì)稱(chēng)密匙消息摘要數(shù)字簽名數(shù)字簽名商家證書(shū)技術(shù)特定協(xié)議特定消息格式數(shù)據(jù)的保密性數(shù)據(jù)的一致性完整性不同軟件的兼容性對(duì)商家認(rèn)證2、信用卡支付形式（10）SET協(xié)議的核心技術(shù)共享密鑰加密：用同一個(gè)密鑰去加密和解密數(shù)據(jù)。常用的算法包括DES等。共享密鑰加密是SET加密協(xié)議的基礎(chǔ)。公開(kāi)密鑰加密：常用的算法是RSA等。公開(kāi)密鑰技術(shù)解決了密鑰發(fā)布和管理問(wèn)題，商家可以公開(kāi)其公開(kāi)密鑰，而保留私有密鑰。購(gòu)物者可以用人人皆知的公開(kāi)密鑰對(duì)發(fā)送信息加密，安全送至商家后，用商家的私有密鑰解密。電子數(shù)字簽名：將報(bào)文與簽名同時(shí)發(fā)送作為憑證。利用公開(kāi)密鑰加密技術(shù)對(duì)一定的報(bào)文摘要進(jìn)行加密成電子簽名以達(dá)到憑證作用。電子安全證書(shū)：解決身份驗(yàn)證的問(wèn)題。方案是采用第三方認(rèn)證CA，它在核實(shí)網(wǎng)上某一實(shí)體的真實(shí)身份后，向?qū)嶓w一份簽名文件，其中包括實(shí)體名稱(chēng)和實(shí)體的公開(kāi)密鑰。該文件稱(chēng)為“電子證書(shū)”，以后該實(shí)體在網(wǎng)上的發(fā)文都將帶上該“電子證書(shū)”，以做驗(yàn)證.2、信用卡支付形式（11）3、電子現(xiàn)金支付方式（1）1、含義電子現(xiàn)金(E-cash)：又稱(chēng)電子貨幣（E-money）或數(shù)字貨幣（digitalcash）,被看作是現(xiàn)實(shí)貨幣的電子或數(shù)字模擬，它以數(shù)字形式存在，以數(shù)據(jù)形式流通，是通過(guò)Internet購(gòu)買(mǎi)商品或服務(wù)時(shí)使用的貨幣。2、發(fā)行方式存儲(chǔ)性質(zhì)的預(yù)付卡：如銀行發(fā)行的具有數(shù)字化現(xiàn)金功能的智能卡、各種儲(chǔ)蓄卡等，在商家的POS機(jī)上都可以受理，一般用于小額交易。純電子形式的用戶(hù)號(hào)碼數(shù)據(jù)文件，把數(shù)字現(xiàn)金從買(mǎi)方處扣除并傳輸給賣(mài)方3、屬于“預(yù)先付款”的支付系統(tǒng)4、具體運(yùn)行方式用戶(hù)在E-CASH發(fā)布銀行開(kāi)E-CASH賬號(hào)，購(gòu)買(mǎi)E-CASH使用PCE-CASH終端軟件從E-CASH銀行取出一定數(shù)量的E-CASH存在硬盤(pán)上，通常少于100$。用戶(hù)從同意接收E-CASH的商家訂貨，使用E-CASH支付所購(gòu)商品的費(fèi)用。接收E-CASH的商家與E-CASH發(fā)放銀行之間進(jìn)行清算，E-CASH銀行將用戶(hù)購(gòu)買(mǎi)商品的錢(qián)支付給商家。3、電子現(xiàn)金支付方式（2）5、電子現(xiàn)金的基本特性電子現(xiàn)金和現(xiàn)實(shí)中的現(xiàn)金一樣，可以存、取和轉(zhuǎn)讓?zhuān)瑓⑴c對(duì)象有客戶(hù)、商家、銀行以及它們均要使用的電子現(xiàn)金軟件。它的特點(diǎn)是：使用方便、靈活獨(dú)立性、安全：它通過(guò)電子現(xiàn)金自身的各項(xiàng)密碼技術(shù)來(lái)保證電子現(xiàn)金的安全。不可重復(fù)使用性：電子現(xiàn)金只能使用一次匿名性：電子現(xiàn)金中不包含用于跟蹤持有者的信息，即使商家和銀行聯(lián)合也無(wú)法將電子現(xiàn)金的用戶(hù)的購(gòu)買(mǎi)行為聯(lián)系在一起。不可偽造性：不能制造假幣，包括兩種情況：一是用戶(hù)不能憑空制造有效的電子現(xiàn)金；二是用戶(hù)從銀行提取N個(gè)有效的電子現(xiàn)金后，也不能根據(jù)這N個(gè)電子現(xiàn)金的信息制造出有效的電子現(xiàn)金。依賴(lài)于電子現(xiàn)金軟件3、電子現(xiàn)金支付方式（3）4、電子支票支付方式（1）

電子支票是一種借鑒紙張支票轉(zhuǎn)移支付的優(yōu)點(diǎn)，利用數(shù)字傳遞將錢(qián)款從一個(gè)帳戶(hù)轉(zhuǎn)移到另一個(gè)帳戶(hù)的電子付款形式。這種支票的支付是在與商家及銀行相連的網(wǎng)絡(luò)上以密碼方式傳遞的，多數(shù)使用公用關(guān)鍵字加密簽名或個(gè)人身份證號(hào)碼(PIN)代替手寫(xiě)簽名。電子支票系統(tǒng)的特點(diǎn)是支付過(guò)程中操作直接針對(duì)賬戶(hù),對(duì)賬戶(hù)的即是支付的進(jìn)行過(guò)程，是一種“即時(shí)付款”的支付辦法4、電子支票支付過(guò)程（2）（1）購(gòu)買(mǎi)電子支票

:買(mǎi)方首先必須在提供電子支票服務(wù)的銀行注冊(cè)，開(kāi)具電子支票。注冊(cè)時(shí)可能需要輸入信用卡和銀行賬戶(hù)信息以支持開(kāi)設(shè)支票。電子支票應(yīng)具有銀行的數(shù)字簽名。（2）電子支票付款:一旦注冊(cè)，買(mǎi)方就可以和產(chǎn)品/服務(wù)出售者取得聯(lián)系。買(mǎi)方用自己的私鑰在電子支票上進(jìn)行數(shù)字簽名，用賣(mài)方的公鑰加密電子支票，使用E-mail或其他傳遞手段向賣(mài)方進(jìn)行支付；只有賣(mài)方可以收到用賣(mài)方公鑰加密的電子支票，用買(mǎi)方的公鑰確認(rèn)買(mǎi)方的數(shù)字簽名后，可以向銀行進(jìn)一步認(rèn)證電子支票，之后即可發(fā)貨給買(mǎi)方。（3）清算:賣(mài)方定期將電子支票存到銀行，支票允許轉(zhuǎn)賬。

4、電子支票支付的特點(diǎn)（3）電了支票與傳統(tǒng)支票工作方式相同，易于理解和接受；加密的電子支票使它們比基于公共密鑰加密的數(shù)字現(xiàn)金更易于流通，買(mǎi)賣(mài)雙方的銀行只要用公共密鑰認(rèn)證確認(rèn)支票即可，數(shù)字簽名也可以被自動(dòng)驗(yàn)證；電子支票適于各種市場(chǎng)，可以很容易地與EDI應(yīng)用結(jié)合，推動(dòng)EDI基礎(chǔ)上的電子訂貨和支付；第三方金融服務(wù)者不僅可以從交易雙方處取固定交易費(fèi)用或按一定比例抽取費(fèi)用，它還可以作為銀行身份，提供存款賬目，且電子支票存款賬戶(hù)很可能是無(wú)利率的，因此給第三方金融機(jī)構(gòu)帶來(lái)了收益；

電子支票技術(shù)將公共網(wǎng)絡(luò)連入金融支付和銀行清算網(wǎng)絡(luò)。

5、電子錢(qián)包支付形式（1）

也叫儲(chǔ)值卡，是用集成電路芯片來(lái)儲(chǔ)存電子貨幣并必被顧客用來(lái)作為電子商務(wù)購(gòu)物活動(dòng)中常用的一種支付工具。小額購(gòu)物或購(gòu)買(mǎi)小商品時(shí)常用的新式錢(qián)包。顧客用它進(jìn)行安全電子交易和儲(chǔ)存交易記錄。使用電子錢(qián)包購(gòu)物，通常要在電子錢(qián)包服務(wù)系統(tǒng)中進(jìn)行。電子商務(wù)活動(dòng)中的電子錢(qián)包的軟件通暢都是免費(fèi)提供的，可以直接使用與自己銀行帳戶(hù)相連接的電子商務(wù)系統(tǒng)服務(wù)器上的電子錢(qián)包軟件，也可以從Internet上調(diào)出來(lái)，采用各種保密方式利用Internet上的電子錢(qián)包軟件。5、電子錢(qián)包支付形式（2）電子錢(qián)包購(gòu)物過(guò)程通過(guò)Internet查詢(xún)所需商品，輸入訂單通過(guò)電子商務(wù)服務(wù)器與有關(guān)商店聯(lián)系，確認(rèn)顧客貨物信息顧客用電子錢(qián)包付錢(qián)。裝入系統(tǒng)-打開(kāi)-輸入口令-取出電子信用卡付款電子商務(wù)服務(wù)器將信用卡號(hào)碼加密并發(fā)送到銀行銷(xiāo)售商店受到經(jīng)加密的購(gòu)貨賬單，將顧客編碼加入賬單，轉(zhuǎn)送到電子商務(wù)服務(wù)器上。電子錢(qián)包購(gòu)物過(guò)程電子商務(wù)服務(wù)器確認(rèn)合法顧客，將其送到信用卡公司和商業(yè)銀行信用卡公司和商業(yè)銀行進(jìn)行應(yīng)收付款錢(qián)數(shù)和帳務(wù)往來(lái)的電子數(shù)據(jù)交換和結(jié)算處理商業(yè)銀行拒絕信用卡公司請(qǐng)求：換另一張信用卡商業(yè)銀行授權(quán)：銷(xiāo)售商店付貨，出電子收據(jù)。交貨5、電子錢(qián)包支付形式（3）6、智能卡支付方式（1）20世紀(jì)70年代中期在法國(guó)問(wèn)世。類(lèi)似信用卡，在計(jì)算機(jī)芯片和小的存儲(chǔ)器上將消費(fèi)者信息和電子貨幣存儲(chǔ)起來(lái)。用途：購(gòu)買(mǎi)產(chǎn)品、服務(wù)存儲(chǔ)信息智能卡的結(jié)構(gòu)：建立智能卡的程序編制器處理智能卡操作系統(tǒng)的代理：智能卡操作系統(tǒng)智能卡應(yīng)用程序接口的附屬部分作為智能卡應(yīng)用程序接口的代理智能卡的應(yīng)用范圍：電子支付電子識(shí)別數(shù)字存儲(chǔ)6、智能卡支付方式（2）6、智能卡支付方式（3）在機(jī)器上(PC機(jī)，終端電話(huà))啟動(dòng)消費(fèi)者的因特網(wǎng)瀏覽器通過(guò)安裝在PC機(jī)上的讀卡機(jī)，用消費(fèi)者的智能卡登錄到為消費(fèi)者服務(wù)的銀行的Web站點(diǎn)，告知銀行消費(fèi)者的賬號(hào)、密碼和加密信息消費(fèi)者從智能卡中下載現(xiàn)金到廠(chǎng)商的帳戶(hù)上從銀行帳戶(hù)下載現(xiàn)金存入智能卡。智能卡系統(tǒng)工作過(guò)程6、智能卡支付方式（4）智能卡標(biāo)準(zhǔn)優(yōu)點(diǎn)全球PC/SC計(jì)算機(jī)與智能卡聯(lián)盟EMV集成電路卡規(guī)范PCSC(個(gè)人計(jì)算機(jī)智能卡)標(biāo)準(zhǔn)JavaCardAPI標(biāo)準(zhǔn)歐洲電訊工業(yè)智能卡規(guī)范中國(guó)IC卡系列標(biāo)準(zhǔn)與規(guī)范使電子商務(wù)中的交易簡(jiǎn)便易行具有很好的安全性和保密性第3節(jié)網(wǎng)上銀行1、網(wǎng)上銀行的基本概念2、網(wǎng)上銀行的功能 3、網(wǎng)上銀行模式4、網(wǎng)上銀行的技術(shù)要求 5、網(wǎng)上銀行的管理1、網(wǎng)上銀行的基本概念1．網(wǎng)上銀行的定義網(wǎng)上銀行利用Internet和Intranet技術(shù)，為客戶(hù)提供綜合、統(tǒng)一、安全、實(shí)時(shí)的銀行服務(wù)，包括提供對(duì)私、對(duì)公的各種零售和批發(fā)的全方位銀行業(yè)務(wù)，還可以為客戶(hù)提供跨國(guó)的支付與清算等其他的貿(mào)易、非貿(mào)易的銀行業(yè)務(wù)服務(wù)。2．網(wǎng)上銀行的主要特征（1）依托迅猛發(fā)展的計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)，利用滲透到全球每個(gè)角落的因特網(wǎng)。（2）突破了銀行傳統(tǒng)業(yè)務(wù)操作模式，把銀行的業(yè)務(wù)直接在因特網(wǎng)上推出。（3）可以通過(guò)網(wǎng)絡(luò)自動(dòng)定期交納各種社會(huì)服務(wù)項(xiàng)目的費(fèi)用，進(jìn)行網(wǎng)上購(gòu)物。

1、網(wǎng)上銀行的基本概念（4）

企業(yè)集團(tuán)用戶(hù)不僅可以查詢(xún)本公司和集團(tuán)子公司賬戶(hù)的余額、匯款、交易信息，并且能夠在網(wǎng)上進(jìn)行電子貿(mào)易。（5）網(wǎng)上銀行服務(wù)還提供網(wǎng)上支票報(bào)失、查詢(xún)服務(wù)，維護(hù)金融秩序，最大限度減少?lài)?guó)家、企業(yè)的經(jīng)濟(jì)損失。（6）網(wǎng)上銀行服務(wù)采用了多種先進(jìn)技術(shù)來(lái)保證交易的安全，商業(yè)罪犯將更難以找到可乘之機(jī)。1、網(wǎng)上銀行的基本概念3．網(wǎng)上銀行在電子商務(wù)中的作用銀行作為電子化支付和結(jié)算的最終執(zhí)行者，起著連接買(mǎi)賣(mài)雙方的紐帶作用。網(wǎng)上銀行所提供的電子支付服務(wù)是電子商務(wù)中最關(guān)鍵的因素，直接關(guān)系到電子商務(wù)的發(fā)展前景。隨著電子商務(wù)的發(fā)展，網(wǎng)上銀行的發(fā)展亦是必然趨勢(shì)。1、網(wǎng)上銀行的基本概念2、網(wǎng)上銀行的功能 （1）銀行業(yè)務(wù)項(xiàng)目：個(gè)人銀行服務(wù)、網(wǎng)上信用卡業(yè)務(wù)、對(duì)公業(yè)務(wù)、其他付款方式、國(guó)際業(yè)務(wù)、信貸、特色服務(wù)。（2）商務(wù)服務(wù)：投資理財(cái)、資本市場(chǎng)、政府服務(wù)。（3）信息發(fā)布：國(guó)際市場(chǎng)外匯行情、兌換利率、儲(chǔ)蓄利率、匯率、國(guó)際金融信息、證券行情、銀行信息等。2．網(wǎng)上銀行的功能（1）銀行業(yè)務(wù)項(xiàng)目：個(gè)人銀行服務(wù)、網(wǎng)上信用卡業(yè)務(wù)、對(duì)公業(yè)務(wù)、其他付款方式、國(guó)際業(yè)務(wù)、信貸、特色服務(wù)。（2）商務(wù)服務(wù)：投資理財(cái)、資本市場(chǎng)、政府服務(wù)。（3）信息發(fā)布：國(guó)際市場(chǎng)外匯行情、兌換利率、儲(chǔ)蓄利率、匯率、國(guó)際金融信息、證券行情、銀行信息等。2、網(wǎng)上銀行的功能 3、網(wǎng)上銀行模式1．網(wǎng)上銀行的運(yùn)行機(jī)制從網(wǎng)上銀行的運(yùn)行機(jī)制上講有兩種模式。一種是完全依賴(lài)于Internet網(wǎng)發(fā)展起來(lái)的全新電子銀行。另一種模式是指?jìng)鹘y(tǒng)商業(yè)銀行運(yùn)用公共Internet開(kāi)展傳統(tǒng)的銀行業(yè)務(wù)，通過(guò)其發(fā)展家庭銀行、企業(yè)銀行等服務(wù)。2．網(wǎng)上銀行的業(yè)務(wù)模式有三種模式：第一種模式，把網(wǎng)上銀行所針對(duì)的客戶(hù)群設(shè)定為零售客戶(hù)，把網(wǎng)上銀行作為銀行零售業(yè)務(wù)柜臺(tái)的延伸，達(dá)到24小時(shí)不間斷服務(wù)的效果，并節(jié)省銀行的成本。第二種模式，網(wǎng)上銀行以批發(fā)業(yè)務(wù)為主，即在網(wǎng)上處理銀行間的交易和銀行間的資金往來(lái)；第三種模式，是前兩種的結(jié)合，即網(wǎng)上銀行包括零售和批發(fā)兩個(gè)方面的業(yè)務(wù)。3、網(wǎng)上銀行模式4、網(wǎng)上銀行的技術(shù)要求 從技術(shù)的角度看，網(wǎng)上交易至少需要四個(gè)方面功能：（1）商戶(hù)系統(tǒng)（2）電子錢(qián)包（3）支付網(wǎng)關(guān)（4）安全認(rèn)證5、網(wǎng)上銀行的管理1．網(wǎng)上銀行的經(jīng)營(yíng)風(fēng)險(xiǎn)（1）信息在Internet上擴(kuò)散得很快，信息的迅速傳播擴(kuò)散會(huì)直接影響到網(wǎng)上銀行的運(yùn)行。（2）Internet讓客戶(hù)可以更快地訪(fǎng)問(wèn)他們的賬戶(hù)。（3）對(duì)網(wǎng)上銀行方便快捷的訪(fǎng)問(wèn)和信息通過(guò)Internet可以快速擴(kuò)散，也使得網(wǎng)上銀行的運(yùn)行更容易受到外界因素的影響。（4）安全是基于Internet的網(wǎng)上銀行最大的問(wèn)題。（5）傳統(tǒng)的商業(yè)銀行如果出現(xiàn)危機(jī)，國(guó)家一般要對(duì)其進(jìn)行一定的干預(yù)。（6）在Internet上人們不一定需要使用真名和真實(shí)的通信地址，網(wǎng)上消費(fèi)者和網(wǎng)上銀行之間的高度匿名性增加了銀行和儲(chǔ)戶(hù)之間相互監(jiān)督的困難。5、網(wǎng)上銀行的管理2．網(wǎng)上銀行管理的問(wèn)題對(duì)于許多類(lèi)型的跨國(guó)界金融服務(wù)，現(xiàn)在還不清楚用哪個(gè)國(guó)家的管理規(guī)定。不同國(guó)家對(duì)網(wǎng)上銀行的管理規(guī)定松緊程度差別很大。5、網(wǎng)上銀行的管理3．網(wǎng)上銀行管理的策略由于Internet具有國(guó)際性，因此網(wǎng)上銀行也具有國(guó)際性，但它的國(guó)際性與傳統(tǒng)的跨國(guó)銀行的國(guó)際性不同。美國(guó)對(duì)外國(guó)銀行機(jī)構(gòu)進(jìn)行管理時(shí)，實(shí)行與美國(guó)銀行同等對(duì)侍的“國(guó)民侍遇”，而歐洲委員會(huì)則實(shí)行“本地國(guó)原則”。網(wǎng)上銀行與跨國(guó)銀行還有一個(gè)重要的區(qū)別：網(wǎng)上銀行并不建立分支機(jī)構(gòu)，因此對(duì)網(wǎng)上銀行的管理各國(guó)也會(huì)面臨不同的問(wèn)題。5、網(wǎng)上銀行的管理第4節(jié)安全微支付技術(shù)1、微支付的概念2、微支付的特點(diǎn)3、微支付模型4、基于票據(jù)的微支付機(jī)制5、基于hash鏈的微支付機(jī)制6、微支付的應(yīng)用和發(fā)展1、微支付的概念由于信息產(chǎn)品本身的特點(diǎn)，收取的費(fèi)用面額一般都非常小，如查看一條新聞收費(fèi)一分等。這種支付機(jī)制有著特殊的系統(tǒng)要求，在滿(mǎn)足一定安全性的前提下，要求有盡量少的信息傳輸、較低的管理和存儲(chǔ)需求，即速度和效率要求比較高。這種支付形式就稱(chēng)為微支付或小額支付。

目前常用的微支付機(jī)制有Millicent、MicroMint、SubScrip、PayWord、Paytree等，它們?cè)诮灰讘{據(jù)、憑據(jù)產(chǎn)生主體、采用的密碼技術(shù)等方面都各有不同。

2、微支付的特點(diǎn)1

交易額。微支付的交易額非常小，每一筆交易在幾分（甚至更小）到幾元之間。

一般還會(huì)有單位時(shí)間消費(fèi)限制。2安全性。由于微支付每一筆的交易額小，即使被截獲或竊取，對(duì)交易方的損失也不大。所以，微支付很少或不采用公鑰加密，而采用對(duì)稱(chēng)加密和hash運(yùn)算，其安全性在很大程度上是通過(guò)審計(jì)或管理策略來(lái)保證的。3效率。由于微支付交易頻繁，所以要求較高的處理效率，如存儲(chǔ)盡量少的信息、處理速度盡量快和通信量盡可能少等。在實(shí)際應(yīng)用中，可在安全性和效率之間尋求平衡。4應(yīng)用。由于微支付的特點(diǎn)，其應(yīng)用也具有特殊性，如信息產(chǎn)品支付（新聞、信息查詢(xún)和檢索、廣告點(diǎn)擊付費(fèi)等）、移動(dòng)計(jì)費(fèi)和認(rèn)證，以及分布式環(huán)境下的認(rèn)證等。微支付一般不適合于實(shí)物交易中的電子支付。3、微支付模型4、基于票據(jù)的微支付機(jī)制票據(jù)（Scrip）是微支付中最為常見(jiàn)的支付形式之一，它是一種面值很小的電子貨幣，一般由M或B代理產(chǎn)生（也可以由B獨(dú)立產(chǎn)生），在不需要第三方參與的情況下，可以由M在線(xiàn)驗(yàn)證貨幣的真?zhèn)?。在票?jù)形式的微支付中一般不采用公鑰技術(shù)，而使用對(duì)稱(chēng)密鑰技術(shù)和hash函數(shù)。常見(jiàn)的票據(jù)形式的微支付機(jī)制包括Millicent、Subscrip和MicroMint等。

5、基于hash鏈的微支付機(jī)制hash鏈就是這樣一種方式，它的思想最初由Lamport提出，以用于口令認(rèn)證，后來(lái)被應(yīng)用到微支付機(jī)制中，其具體方法就是由用戶(hù)選擇一隨機(jī)數(shù)，并對(duì)其進(jìn)行多次hash計(jì)算，把每次hash的結(jié)果組成一個(gè)序列，序列中的每一個(gè)值代表一個(gè)支付單元。

基于hash鏈的微支付機(jī)制比較普遍，并發(fā)展了多種改進(jìn)和變形。Hash鏈一般由C產(chǎn)生，而簽署支付承諾的證書(shū)由B頒發(fā)。在進(jìn)行支付時(shí)，C把自己的證書(shū)、支付承諾和hash鏈（以hash鏈生成相反的順序）提交給M，一定時(shí)間以后，M會(huì)集中把hash鏈和支付承諾提交給B進(jìn)行兌現(xiàn)。由于采用了支付承諾的方式，一個(gè)hash鏈一般都針對(duì)特定M?；趆ash鏈的典型微支付機(jī)制比較多，如PayWord、Pedersen提出的小額支付、NetCard和Paytree等。

6、微支付的應(yīng)用和發(fā)展

目前，對(duì)微支付的研究開(kāi)發(fā)也出現(xiàn)了很多新的方向，如移動(dòng)微支付、微支付的公平性研究、具有認(rèn)證功能的分布式微支付研究和采用新的安全技術(shù)的微支付機(jī)制等

第5節(jié)安全電子支付（SET）1、概述2、SET服務(wù)3、SET協(xié)議提供如下安全特性4、體系結(jié)構(gòu)5、購(gòu)買(mǎi)請(qǐng)求6、支付認(rèn)證1、概述安全電子交易是一個(gè)通過(guò)開(kāi)放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)，由VISA和MasterCard組織共同制定，于1997年聯(lián)合推出。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得IETF標(biāo)準(zhǔn)的認(rèn)可。這是一個(gè)為互聯(lián)網(wǎng)上進(jìn)行在線(xiàn)交易而設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。2、SET服務(wù)（1）SET在保留對(duì)客戶(hù)信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來(lái)講是至關(guān)重要的。SET將建立一種能在Internet上安全使用銀行卡購(gòu)物的標(biāo)準(zhǔn)。安全電子交易規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則，是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議，它能夠?qū)⑵毡閼?yīng)用的信用卡的使用場(chǎng)所從目前的商店擴(kuò)展到消費(fèi)者家里，擴(kuò)展到消費(fèi)者個(gè)人計(jì)算機(jī)中。2、SET服務(wù)（2）從本質(zhì)上，SET提供了三種服務(wù)：[1]

在交易涉及的各方之間提供安全的通信信道。[2]

通過(guò)使用X.509v3數(shù)字證書(shū)來(lái)提供信任。[3]

保證機(jī)密性，因?yàn)樾畔⒅皇窃诒匾臅r(shí)候、必要的地方才對(duì)交易各方可用。

3、SET協(xié)議提供如下安全特性信息的保密性。SET的一個(gè)重要特點(diǎn)是持卡人的信用卡號(hào)碼只提供給銀行，而商家無(wú)法知道信用卡號(hào)碼。SET利用DES密碼算法提供信息的保密性。數(shù)據(jù)完整性。從持卡人發(fā)往商家的支付信息包括訂購(gòu)信息、個(gè)人數(shù)據(jù)及支付指令。SET引入RSA數(shù)字簽名及Sha－1雜湊函數(shù)確保這些消息的內(nèi)容在傳輸過(guò)程中不被非法更改。持卡人身份的鑒別。SET可以讓商家鑒別持卡人是有效信用卡帳號(hào)的合法用戶(hù)。SET采用X.509V3數(shù)字證書(shū)和RSA數(shù)字簽名達(dá)到這一目的。商家的鑒別。SET使持卡人可以鑒別商家真實(shí)性，而且可以驗(yàn)證商家能否接受信用卡支付。SET同樣采用X.509V3數(shù)字證書(shū)和RSA數(shù)字簽名實(shí)現(xiàn)這一功能。4、體系結(jié)構(gòu)（1）4、體系結(jié)構(gòu)（2）基于SET的電子商務(wù)系統(tǒng)由以下六部分組成：[1]

持卡人：指由發(fā)卡銀行所發(fā)行的支付卡的授權(quán)持有者。[2]

商家：指出售商品或服務(wù)的個(gè)人或機(jī)構(gòu)。商家必須與收單銀行建立業(yè)務(wù)聯(lián)系，以接受支付卡這種付款方式。[3]

發(fā)卡銀行：指向持卡人提供支付卡的金融機(jī)構(gòu)。4、體系結(jié)構(gòu)（3）[4]

收單銀行：指與商家建立業(yè)務(wù)聯(lián)系的金融機(jī)構(gòu)。[5]

支付網(wǎng)關(guān)：實(shí)現(xiàn)對(duì)支付信息從Internet到銀行內(nèi)部網(wǎng)絡(luò)的轉(zhuǎn)換，并對(duì)商家和持卡人進(jìn)行認(rèn)證。[6]

認(rèn)證中心（CA）：在基于SET協(xié)議的電子商務(wù)體系中起著重要作用。可以為持卡人、商家和支付網(wǎng)關(guān)簽發(fā)X.509V3數(shù)字證書(shū)，讓持卡人、商家和支付網(wǎng)關(guān)通過(guò)數(shù)字證書(shū)進(jìn)行認(rèn)證。CA同時(shí)要對(duì)證書(shū)進(jìn)行管理。5、購(gòu)買(mǎi)請(qǐng)求（1）持卡人完成了瀏覽、選購(gòu)及訂貨之后，商家向顧客發(fā)送一張完整的訂購(gòu)單，然后持卡人才開(kāi)始進(jìn)入購(gòu)買(mǎi)請(qǐng)求階段，在此之前的各種處理并沒(méi)有用到SET。購(gòu)買(mǎi)請(qǐng)求由四種消息組成：初始請(qǐng)求、初始響應(yīng)、購(gòu)買(mǎi)請(qǐng)求、購(gòu)買(mǎi)響應(yīng)。為了能向商家發(fā)送SET消息，持卡人必須擁有商家和支付網(wǎng)關(guān)的數(shù)字證書(shū)拷貝。持