第四章 电子商务支付安全技术

第4章电子商务支付安全技术主编：彭波第4章电子商务支付安全技术知识教学目标：理解电子支付概念了解电子支付系统基本体系构成了解电子支付面临的问题和存在的安全隐患了解电子支付的技术中采用的安全措施技能培养目标：能够掌握网上银行服务的申请方法能够通过网上购物体验电子支付过程4.1电子支付概述在传统的支付活动中，通过现金或支票支付费用而电子商务中不便使用，支付问题就愈显突出，电子支付的手段是解决电子商务支付的唯一手段。电子支付是通过信息流的传输来代替现金的交换，其各种支付方式都是通过数字化方式自动完成交易款项的支付。4.1.1电子支付1.传统支付方式（1）现金支付（2）通过银行票据支付（3）使用信用卡支付2.电子支付（1）什么是电子支付指从事电子商务交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。（2）与传统方式相比其特点在开放的网络系统中以先进信息技术来完成信息传输，采用数字化的方式进行款项支付工作环境是基于一个开放的系统平台(互联网)对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其一些配套设施具有方便、快捷、高效、经济的优势电子支付工具、支付过程具有无形化的特征（3）电子支付的发展第一阶段银行利用计算机及网络处理银行之间的业务，办理结算；第二阶段银行与其他机构之间计算机之间资金的结算，如代发工资等业务；第三阶段利用网络终端向客户提供各项银行服务，如为客户在自动柜员机(ATM)上提供的取存款服务等；第四阶段利用银行销售点终端(POS)向客户提供自动的划账服务，这是现阶段电子支付的主要方式；第五阶段通过因特网进行直接转账结算，即网上支付 1）消费者向商户发送购物请求； 2）商户把消费者的支付指令通过支付网点送往商户开户行(收单行)； 3）收单行通过专用网络从消费者开户行(发卡行)取得支付授权后，把授权信息送回商户； 4）商户取得授权后，向消费者发送购物回应信息； 5）如果支付获取与支付授权并非同时完成的话，商户还要通过支付网关向收单行发送支付获取请求，以把该笔交易的金额转账到商户帐户中； 6）银行之间则通过自身的支付清算网络来完成最后的行间清算。（4）电子支付的流程（5）电子支付方式1）预支付方式。先付款，然后才能购买或服务。如超市里面发行的电子消费卡、还有手机充值卡2）即时支付方式。在交易发生的同时，钱也被从银行账户中转入卖方。3）后支付方式。允许用户购买一件商品之后再付款。信用卡都是一种最普遍的后支付方式。 表4-1三类电子支付方式的比较（6）电子支付存在的问题安全问题支付的条件问题4.1.2电子支付系统1.什么是电子支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段（包括电子现金（E-Cash）、信用卡（CreditCard）、借记卡（DebitCard）、智能卡等）的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付，是融购物流程、支付工具、安全技术、认证体系以及现在的金融体系为一体的综合大系统2.电子支付系统基本体系构成（1）客户是指与某商家有交易关系并在交易中负有债务的一方。（2）商家商家是商品交易中拥有债权的另一方。（3）银行1）客户的开户行：是指客户在其中拥有自己账户的银行2）商家开户行：是指商家在其中拥有自己账户的银行3）支付网关：是公网和金融专用网之间的接口4）金融专用网：是金融机构之间进行通信的网络（4）认证机构负责为参与电子商务的各方（包括商家、客户、支付网关）发放数字证书以确认各方身份，保证电子支付的安全性。3.电子支付系统基本功能（1）使用数字签名和数字证书实现对各方的认证。（2）对业务数据进行加密确保数据的完整性。（3）保证业务的完整性和不可否认性。（4）处理多方贸易业务的多边支付问题。4.电子交易模型（1）支付系统无安全措施的模型 风险由商家承担、

商家完全掌握用户的信用卡信息、

信用卡信息的传递无安全保障。图4-3支付系统无安全措施模型的流程（2）通过第三方经纪人支付的模型用户账户的开设不通过网络。信用卡信息不在开放的网络上传送。通过电子邮件来确认用户身份。商家自由度大，风险小。支付是通过双方都信任的第三方（经纪人）完成的。（3）数字现金支付模型银行和商家之间应有协议和授权关系。用户、商家和数字现金的发行都需要使用数字现金软件。适用于小额交易。身份验证是由数字现金本身完成的。数字现金的发行在发放数字现金时使用数字签名；商家在第次交易中，将数字现金传送给银行，由银行验证数字现金的有效性。数字现金的发行负责用户和商家之间实际资金的转移。数字现金与普通现金一样，可以存、取和转让。（4）简单加密支付系统模型信用卡等关键信息需要加密。使用对称和非对称加密技术。可能要启用身份认证系统。以数字签名确认信息的真实性。需要业务服务器和服务软件的支持。（5）SET模型“安全电子交易”，简称为SET(SecurityElectronicTransaction)，是一个在开放的互联网（Internet）上实现安全电子交易的一个国际协议和标准。SET提供对交易参与者的认证，确保交易数据的安全性、完整性和交易的不可抵赖性（5）SET模型加密技术：数字签名技术电子认证：专门的电子认证机构（CA）电子信封：4.2电子商务支付安全技术4.2.1电子支付安全隐患1.电子支付面临的问题（1）电子支付所面临的法律问题（2）电子支付功能和手段有待突破的问题（3）电子支付系统的风险防范问题（4）与电子支付有关的洗钱及其对策（1）电子支付所面临的法律问题1）电子支付的安全问题。2）电子支付规范标准不统一问题。3）各方权利义务不明确、法律责任不清问题。4）电子支付的监管问题。5）关税收入问题。6）违法责任的法律分担问题。（2）电子支付功能和手段有待突破的问题B2C的小额网上交易利用信用卡、储蓄卡作为支付工具B2B大额支付：网上订购，网下支付原因：电子支付效率低下电子支付收费过高电子支付存在限制过多（3）电子支付系统的风险防范问题技术性风险计算机犯罪，黑客问题流动性风险支付不能的风险（4）与电子支付有关的洗钱及其对策建立一定的密钥托管机构，使政府在一定条件下能够获得密码技术中的私人密钥制定有关法律，并着手建立密钥托管机构。2.电子支付面临的安全隐患（1）交易不安全可能使消费者遭受更大损失（2）因系统问题造成消费者受损（3）可能造成信息外泄（4）可能造成新的犯罪问题4.2.2电子支付安全举措1.采用数字证书2.用数字证书加密电子邮件和进行数字签名3.用消息摘要和数字签名保证完整性4.构建安全稳定的电子商务网站5.安装抗干扰硬件来保证交易终端安全实训 安全电子商务支付【实训条件】1.硬件条件 CPU：至少550MHz，最多支持四个CPU； 内存：至少256MB； 硬盘空间：150MB以上，不含缓存使用的磁盘空间。2.软件条件 操作系统：Windows2000或WindowsXP操作系统。3.网络环境 网络适配器：必须为每个主机网络单独准备一个网络适配器，并可连接互联网。【实训内容】 1.申请网上银行服务 2.网上购物【实训步骤】1.申请建设银行网上银行服务前提必须要有一张可以进行网上支付的由银行发行的贷记卡或信用卡当客户在中国建设银行申请开立了账户、龙卡或者信用卡后，均可选择开通网上银行服务， （1）登录中国建设银行的官方网站，网址是，进入主页，如图4-8所示。 （2）点击“个人网上银行”下面的“马上开通”按钮，开通个人网上银行，如图4-9所示。

图4-8中国建设银行的主页 图4-9开通个人网上银行 （3）在图4-9中，请选择要开通的网上银行的类型，点击“现在开通”按钮。我们在这里选择开通“普通客户网上自助开通”。点击下面的“现在开通”按钮，进入服务协议及风险提示对话界面，如图4-10所示。 （4）在图4-10中，请仔细阅读服务协议，特别是风险提示。如果阅读完毕，请点击“同意”，继续完成申请，填写账户信息，如图4-11所示。

图4-10服务协议图4-11填写账户信息 （5）在图4-11中，请输入客户姓名，账户号码，账户取款密码以及右边的附加码，点击“下一步”，则会显示当前账户对应的个人信息，如图4-12所示。 （6）选择性别，输入手机号码，网上银行密码及确认密码，注意密码请遵循前面我们提示过的要用强密码策略，完成网上银行基本信息及网上银行密码设定，如图4-13所示。

图4-12显示个人信息图4-13网上银行密码设定 （7）在图4-13中点击“下一步”，我们会看到已经成功申请了网上银行普通客户的页面，如图4-14所示。点击“登录个人网上银行”，进入个人网上银行登陆界面，如图4-15所示。

图4-14成功申请普通网银客户图4-15个人网上银行登陆所示2.网上购物 （1）如果你是淘宝网的会员，你可以以会员身份登录，然后开始在网上选购中意的商品。如果不是你可以先注册会员再登录购物。 （2）下面，我们以选择中国电信话费充值为例，选取“充值中心-电信”单击进入下一步，如图4-17所示。

图4-16淘宝网主页图4-17选择中国电信话费充值 （3）在如图4-18中，你可以选择不同的商家和充值面额等服务，我们如果想充值50元，可以到商家的店铺里再做选择或者重新用关键字“电信50元”查询。我们点击红色“商城”右边的卖家“浙江电信淘宝充值店”的店铺。打开官方充值店铺，如图4-19所示。

图4-18商品选购界面图4-19浙江电信淘宝充值店 （4）在图4-19中，我们选择中国电信“50元”的浙江电信全业务充值，点击相应图片，进入话费充值详细页面，如图4-20所示。 （5）在图4-20中，我们点击“马上去充值”，进入购买信息输入页面，如图4-21所示。

图4-20话费充值详细页面图4-21购买信息输入页面 （7）在图4-21中，我们点击“去支付宝付款”，进入支付方式选择页面，如图4-22所示。 （8）在图4-22中，我们可以有多种支付方式，在此我们使用网上银行进行支付，点击“网上银行付款”选项卡，选择“中国建设银行”，点击“确认无误，付款”，进入支付金额和方式确认页面，如图4-23所示。

图4-22支付方式选择页面图4-23支付金额和方式确认页面 （9）在图4-23中，我们点击“去网上银行付款”，进入网上银行登录界面，如图4-24所示。 （10）在图4-24中，输入网上银行的证件号码和登录密码及验证码，点击“下一步”，进入网上银行客户支付确认页面，如图4-25所示。

图4-24网上银行登录界面图4-25网上银行客户支付确认页面 （11）在图4-25中，如果有多个网上银行账户，可以自行选择，点击“支付”，进入下一步要求安装中国建设银行E路护航安全组件，下载安装，如图4-26所示。 （12）完成安装或者取消安装，如果出现图4-27所示界面，则表明你通过网上银行进行电子支付成功。

图4-26安装E路护航安全组件图4-27网上银行支付成功本章小结 本章主要介绍了电子商务中电子支付的安全技术，首先介绍了传统的支付技术及优缺点，并说明了电子支付是电子商务支付的最好的支付手段。然后介绍了电子支付的发展、流程、方式及存在的问题。 接着，详细介绍了电子支付系统的概念、基本体系构成、应提供的基本功能以及电子支付中目前存在的五种电子交易模型。 后面我们介绍了电子支付目前面临的法律问题、功能和手段有待突破的问题、风险防范问题、有关的洗钱及其对策问题，并指出了电子支付面临的安全隐患。根据电子支付面临的安全隐患，提出了目前我们可以在电子支付的技术中采用的安全措施。 最后，我们通过一个“安全电子