电子商务第讲

第4章网络银行与电子支付

北京科技大学经济管理学院崔健双12023/2/4本章教学目标了解网络银行了解电子支付系统了解安全电子支付技术22023/2/4本章主要内容网络银行的产生、发展及其特点电子支付系统的功能、类型、实现手段和各种支付工具保证电子交易安全的各种手段32023/2/44/36电子商务在线支付越来越火5/36几个典型的电子支付平台目前国内主要的第三方网上支付平台北京首信易支付（http:///）银联电子支付有限公司（http:///）云网支付（http:///）网银在线（http:///）中国在线支付（http:///）YeePay（http://）快钱（/）易达信动（/）易付网络（http:///）阿里巴巴支付宝（https:///）结论：电子支付工具是电子支付技术的商业化服务产品，由商业公司开发并运营；技术日趋成熟同时竞争日趋激烈；网上在线支付前景越来越看好。一、网络银行全球第一家网络银行：安全第一网络银行(SecurityFirstNetworkBank，SFNB)”1995年10月18日，美国3家银行联合成立了全球第一家员工仅有10人的网络银行，http//1998年被加拿大皇家银行收购。图示为SFNB最初的主页。82023/2/492023/2/4一、网络银行1.网络银行概述（1）定义：网络银行又称虚拟银行（VirtualBank)或在线银行,它是金融电子化发展的产物。银行通过Internet技术网站，利用联网计算机实现全天侯银行业务的一类金融机构。纯网络银行衍生网络银行102023/2/4一、网络银行为客户提供：开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。112023/2/4一、网络银行（2）网络银行产生的基础技术基础：计算机网络技术的飞速发展；需求基础：发达、成熟的电子商务社会要求资金的流动更顺畅、银行结算更便捷；供给基础：银行方面降低服务成本、提高行业竞争优势。122023/2/4一、网络银行（3）网络银行的主要业务功能基本业务、网上投资、网上购物、个人理财、企业银行及其他金融服务。例如：金融信息宣传发布：银行概况，业务品种介绍，汇率和利率信息，操作方法注意事项，特约介绍等各种信息。在线咨询：回答各种客户提交的问题和咨询信息，或专人值守进行实时交互语言或视频交流。

132023/2/4一、网络银行在线查询：客户即时余额和历史数据等的查询。交易业务：主要有展示铺面、安全保证、交易过程、订购业务和售后服务、与传统系统兼容、数据挖掘、系统执行和可伸缩高性能服务器8个环节。资产类业务：银行利用掌握的客户资料直接在网上办理各种贷款和融资业务。现金服务：在家中或单位先期在网络银行办理现金存取手续，银行收到指令后可携带便携式计算机和打印设备及现金直接上门办理确认和凭证打印手续。142023/2/4一、网络银行2.网络银行在各国的发展（1）美国:领头羊，发展最迅速。据统计，1997年全美有400家银行及存款互助机构开展网络银行业务，1999年则猛增至7200家。目前，网络银行已覆盖了除现金以外的所有零售银行业务和部分投资银行业务。152023/2/4一、网络银行162023/2/4一、网络银行（2）欧洲:英国的巴克莱银行、国民西敏寺银行，瑞典的SEB和荷兰银行的网络银行随时、随地、随意提供服务。网络银行爆炸性的增长迫使许多欧洲传统银行大幅削减支出以保持赢利。172023/2/4一、网络银行（3）国内1997年12月中国工商银行在首建网站；2000年推出企业网络银行，支持集团理财、网上结算、网上收费站、B2B和B2C在线支付、银企互联、贵宾室、财务室、网上支付结算代理等许多产品，业务交易金额达到1.93万亿元，占全行结算业务量的3%。182023/2/4一、网络银行192023/2/4一、网络银行中国工商银行网站主页2010年，中国网上银行市场全年交易额达553.75万亿元，网上银行注册用户数突破3亿，大型国有银行均占主导地位。前景展望：网络银行未来将呈现高安全性、服务多样化、市场多端融合的趋势。网上银行将成为银行的主渠道，传统银行将全面融入网上银行，甚至不再单独区分网上银行。202023/2/4一、网络银行3.网络银行的特点全天候运作(Anytime)开放(Anywhere)服务方式多样化(Anyhow)

下表列出了银行各种服务方式成本对比212023/2/4一、网络银行222023/2/4一、网络银行4.网络银行面临的问题（1）风险问题：传统银行所面临的信用风险、流动性风险、利率风险和市场风险，在网银中仍然存在，而金融交易的“虚拟化”使交易对象变得更加不透明，网络银行面临更大的风险。（2）消费者信心问题：客户不愿使用网银的原因80％是出于对风险因素的担心，而这种担心已远超过了其必要的程度。232023/2/4一、网络银行（3）法律问题：由于网络银行缺乏相关的法律，特别是跨境网上金融服务交易的管辖权法律适应性问题难以解决，加大了银行和客户在网上进行电子支付活动的风险。（4）社会信用环境问题：社会信用体系特别是个人信用体系发育相对滞后。242023/2/4一、网络银行（5）网络金融犯罪问题：有愈演愈烈的趋势，而预防和惩治网络金融犯罪的有效手段却未能出台。主要原因是犯罪主体智能化、方式集团化、范围全球化，造成犯罪取证困难、追查困难、管辖困难、执行困难等难题。252023/2/4一、网络银行（6）标准统一问题：设计开发缺乏统一规划和统一标准。262023/2/4一、网络银行解决方法：兵来将挡，水来土囤。272023/2/4一、网络银行1.电子支付概述电子支付是指以商用电子化工具和各类电子货币为媒介，以计算机和通信技术为手段，通过电子数据存储和传递的形式在计算机网络系统上实现资金的流通。目前电子支付方式主要有下列几种：282023/2/4二、电子支付系统（1）第三方转账支付（主流方式）典型代表是支付宝：买卖双方在相同平台上，买家将货款转账到平台账户上，平台收到货款后通知商家按照买家地址发货，买家确认货物后通知平台将买家货款转入卖家账户。最大优点是能够确保买卖双方的利益。292023/2/4二、电子支付系统（2）网络银行在线支付（后详）用户持有网络银行发行的具有网上支付功能的借记卡或信用卡，直接将购物费转入商家的网上银行账户，并通过E-mail或电话方式与商家联系确认。商家确认后将用户购买的商品发送给用户。虽然缺乏有效的担保机制，但如采用信用卡支付，可对交易在规定时间内予以取消，适当地保证了用户的权益。适用于小额支付。302023/2/4二、电子支付系统（3）电话银行、手机银行支付多采用168等声讯平台和手机短信的方式。通过拨打声讯电话、发短信选择购买的产品类型，费用在拨打电话、发送短信的同时扣除，此类方式没有第三方担保，也没有办法取消交易，安全系数较低。例如，影视网站通过声讯平台销售点卡时，在用户听取卡号时，由于卡号数字较多，较容易出错等。312023/2/4二、电子支付系统（4）IP账号支付目前采用IP账号支付的方式基本上只有电信运营商采用。其收费的方式采用支付费用与上网费用捆绑。322023/2/4二、电子支付系统（5）虚拟货币支付虚拟货币就是指由网络服务提供商发行的用于购买网络虚拟商品的电子储值与支付工具，如Q币、U币、各种网站积分、各种游戏币等。332023/2/4二、电子支付系统2.网络银行在线支付（1）电子卡信用卡1952年源于美国富兰克林国民银行，目前国际较流行的是VISA和MasterCard。中国不同银行先后在全国发行了长城卡、牡丹卡和银联卡，取得了长足的发展并加入了VISA和MasterCard这两个国际组织。342023/2/4二、电子支付系统信用卡的类型借记卡（储蓄卡）：其主要作用是储蓄存款，便于持卡人刷卡消费、ATM提现、转账、各类缴费等，不能透支。贷记卡（信用卡）：其主要作用是小额透支贷款，二者区别见表352023/2/4二、电子支付系统362023/2/4二、电子支付系统电子信用卡由普通磁条卡基发展为能够读写大量数据、更加安全可靠的智能卡，称为电子信用卡，这种卡基于Web浏览器与“电子狗”结合实现电子支付，更安全可靠。372023/2/4二、电子支付系统（2）电子支票电子支票(ElectronicCheck)是纸质支票的电子替代品，每一份电子支票带有持票人的数字签名。用电子支票支付银行管理成本较低。电子支票的结算过程如图所示，具体流程如下：38二、电子支付系统39二、电子支付系统1)付款人首先根据要求产生一个电子支票，并对该支票进行签名。2)付款人利用安全E-mail或Web方式把电子支票传送给收款人。3)收款人收到电子支票后，验证付款人电子签名，背书支票（自己签名）后向收单银行发出电子存款单。40二、电子支付系统4)收单银行验证付款人签名和收款人签名无误后，向收款者账号贷记存款额。5)付款人银行验证付款人签名，并借记付款人账号。6)付款人银行和收款人银行通过传统银行网络进行清算，并对清算结果向双方反馈。较著名的电子支票系统有Netbill

和Netcheque

等。412023/2/4二、电子支付系统（3）电子货币电子货币又称为电子现金、数字现金。其主要功能是转账结算、储蓄、兑现、消费贷款等。银行采用数字签名等安全技术来保证电子现金的真实性和不可伪造性。常用的几种电子货币包括：422023/2/4二、电子支付系统1）E-Cash：银行创造一批自己签名的电子货币，客户需要使用真实的货币与E-Cash进行兑换并存在银行计算机中。客户端需要使用电子钱包软件(Cyberwallet)完成支付或接收商家的货币。E-Cash的工作过程如图所示。432023/2/4二、电子支付系统442023/2/4二、电子支付系统2）Millicent：类似E-Cash，但是其电子钱包中存储的是能够在Web上使用的由发行银行创建的一种叫做便条(Script)的电子令牌来代替现金。 452023/2/4二、电子支付系统3）Worldpay：类似E-Cash，但是支持多币制电子支付，用户的信用卡或借记卡可被授权使用Worldpay多币制账户。曾经拥有的不要忘记不能得到的更要珍惜属于自己的不要放弃，已经失去的留作回忆。4）Cybercoin：美国国内使用的小额支付和电子支票转拨，是一个基于软件的电子现金产品，目前已经与SET结盟。462023/2/4二、电子支付系统电子货币的优势支付快捷方便 处理简单成本较低 简化国际汇兑 安全性较实物纸币等要安全得多472023/2/4二、电子支付系统电子货币存在的问题

安全性：从心理上认为不安全。 标准化：电子货币有七八种会引起某些混乱。 法律纠纷难判断：取证？ 审计难：电子审计？482023/2/4二、电子支付系统（4）智能卡智能卡支付是一种典型的小额支付方式，当前在电话卡、公交卡、各种校园卡中有着广泛的应用，便捷、效率高成本低。不再涉及银行或其他资金账户，是一种交换媒介的革命。492023/2/4二、电子支付系统（5）电子钱包电子钱包(E-Wallet、E-Purse)实质是一个装载各种电子支付工具的电子容器。流行的有：VisaCash、Mondex

和Proton。共同特点是与智能卡应用紧密配合，不光可以应用在网上，也可以应用在传统金融专用网络的支付结算中，而且以智能卡形式出现，更加安全。502023/2/4二、电子支付系统图所示为电子钱包软件界面和诺基亚具有电子钱包功能的手机——6131NFC。512023/2/4二、电子支付系统（6）新兴的电子支付方式移动支付：为每个移动用户建立一个与其手机号码关联的支付账户，用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统。522023/2/4二、电子支付系统中间件技术：金融机构开发一个与支付网关系统协同良好，并且方便商家开发的中间件，放在商家处，起到商家和支付网关之间传输数据的中介作用。与非中间件电子支付方式相比较，中间件支付系统更加安全、方便和灵活。532023/2/4二、电子支付系统3.第三方转账支付现状与发展第三方转账支付：支付公司作为信用中介，在买家确认收到商品前，代替买卖双方暂时保管货款，使交易风险得到控制，形成消费者对商品的忠诚。支付宝与贝宝是两个最流行的第三方。542023/2/4二、电子支付系统淘宝网提供“支付宝”，口号—“你敢用，我就敢赔”，对买卖双方实行全额赔付eBay的易趣网提供“贝宝”（PayPal），口号—“有E-mail便能收付款”，把用户信用卡账号与其E-mail地址绑定，用户只需通过E-mail地址收付款。552023/2/4二、电子支付系统据专业部门统计，2009年上半年，全国共发生网络与信息安全事件7万多件，其中1.3万多件涉及金融系统。电子支付的安全性是关注重点。562023/2/4三、电子支付的安全问题1.网络银行的安全风险与防范2.电子支付协议3.公众的防范措施572023/2/4三、电子支付的安全问题网络安全事件类型感染病毒/蠕虫/木马程序/恶意代码遭到网络攻击或端口扫描网页遭篡改垃圾邮件网络盗窃、网络钓鱼582023/2/4三、电子支付的安全问题如何发现网络安全事件网络(系统)管理员工作监测发现通过事后分析发现通过安全产品发现有关部门通知或他人告知592023/2/4三、电子支付的安全问题感染计算机病毒的途径电子邮件网络下载或浏览局域网移动存储介质602023/2/4三、电子支付的安全问题导致发生网络安全事件的可能原因未修补网络（系统）安全漏洞弱口令或缺少访问控制攻击者使用拒绝服务攻击内部安全管理存在漏洞612023/2/4三、电子支付的安全问题622023/2/4三、电子支付的安全问题网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫1.网络银行的安全风险与防范（1）网络银行面临的主要安全风险技术漏洞风险：信息技术还不够完善、不够成熟和稳定，致使各项金融业务难以正常开展，带来信誉损失或实际损害。632023/2/4三、电子支付的安全问题系统设计风险：系统的软、硬件不匹配，存在缺陷或冲突，导致运行过程中出现中断，造成损失。恶意攻击风险：受到外部的恶意攻击，如病毒、黑客入侵等，造成系统瘫痪或失密，这是最主要的风险。642023/2/4三、电子支付的安全问题客户操作风险：客户误操作、卡号密码随意外泄，安全意识不强给犯罪分子利用短信、邮件、假银行网站等方式诈骗造成损失。内部控制风险：银行内部人员违规操作或伺机作案。652023/2/4三、电子支付的安全问题662023/2/4三、电子支付的安全问题假银联网站主页

672023/2/4三、电子支付的安全问题假网站诈骗（“网络钓鱼”）以某银行名义建立貌似银行网站或网上银行的假网页，并借此发布虚假消息，搜集客户资料，骗取客户网上银行注册卡号（登录ID）、密码、口令等信息，进而达到非法窃取客户资金的目的。北美香港中国大陆682023/2/4三、电子支付的安全问题主要诈骗手法网址逼真真网站http:///http://真网站地址http://https://692023/2/4三、电子支付的安全问题页面形式和内容与真网站较为相似。假冒网站的页面往往使用正规网站的LOGO、图表、新闻内容和链接，而且在布局和内容上与真实网站非常相似。通过病毒传播假网站信息：使用一些电脑病毒程序、垃圾软件等将假网站地址发送到客户的电脑上，或放在搜索网站上诱骗客户登录，以窃取客户卡号、密码等信息。702023/2/4三、电子支付的安全问题通过手机短信，冒充银行名义发送诈骗短信，声称客户中奖或账户被他人盗用等，要求客户尽快登录到短信中指定的网站进行身份验证。冒充银行邮箱，发送虚假信息引诱客户登录假网站：以所谓“中国工商银行网络安全”的名义，向客户发送电子邮件，谎称持卡人账户被冻结，并要求客户到指定的网页修改密码。建立假电子商务网站，通过假的支付页面窃取客户网上银行信息：在淘宝网、腾讯网等支付平台网站发布虚假的商品信息。712023/2/4三、电子支付的安全问题电子商务安全需求机密性：防破坏、防窃取；完整性：防篡改；真实性：防假冒；有效性：防抵赖。（2）网银安全措施加强基础设施建设，加大安全技术和资金的投入，提高防范病毒和黑客攻击的能力，建立灾难备份恢复系统，使网络银行系统设计严密、功能完善、运行稳定。强化客户安全意识，加强对客户的安全教育，提高客户识别真伪、防范风险的能力。722023/2/4三、电子支付的安全问题强化网络银行的内部管理，建立完善的内部控制机制，加强对信息系统人员的监控，降低内部违规事件出现的机率。加快国家立法，严厉打击网络犯罪和金融犯罪活动。同时，运用先进的科技手段，提高对高科技犯罪的侦破能力。732023/2/4三、电子支付的安全问题742023/2/4三、电子支付的安全问题2.电子支付协议(1)SSL(SecureSocketLayer)协议，即安全套接层协议。Netscape公司于1995年推出SSL协议可以被理解成一条受密码保护的安全传输通道，其安全性取决于采用的加密算法752023/2/4三、电子支付的安全问题762023/2/4三、电子支付的安全问题772023/2/4三、电子支付的安全问题782023/2/4三、电子支付的安全问题UDP（UserDataProtocol，用户数据报协议）是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送。ICMP（InternetControlMessageProtocol）Internet控制报文协议，是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。RARP（ReverseAddressResolutionProtocol)反向地址转换协议(RARP)允许局域网的物理机器从网关服务器的ARP表或者缓存上请求其IP地址。ARP，即地址解析协议，实现通过IP地址得知其物理地址。792023/2/4三、电子支付的安全问题SSL协议标准已经成为网络上保密通信的一种工业标准。SSL协议支持数据的保密性（对称密码算法IDEA、RC4、DES、3DES等）、完整性（摘要算法MD5、SHA等）和真实性（非对称密码算法RSA、DSS等），但不支持不可抵赖性。SSL协议与TCP/IP协议间的关系如表802023/2/4三、电子支付的安全问题812023/2/4三、电子支付的安全问题1)SSL握手协议在传输前双方进行身份验证；身份验证正确之后双方协商加密和压缩算法并产生对称加密算法密钥，表明握手成功。822023/2/4三、电子支付的安全问题832023/2/4三、电子支付的安全问题2)SSL记录协议从高层接收到数据后经过分段、压缩和加密处理，最后由TCP层发送出去；SSL记录协议规定了记录头和记录数据的格式；842023/2/4三、电子支付的安全问题852023/2/4三、电子支付的安全问题862023/2/4三、电子支付的安全问题SSL记录包含在有效数据被加密之前计算出来的MAC信息，用于进行数据完整性检查。为了防止重传攻击，在HASH函数作用之前将一个序号放入消息中。872023/2/4三、电子支付的安全问题3)SSL协议的缺陷电子商务至少是由用户、网站、银行3家协作完成，而SSL协议只能提供交易中客户与服务器间的双方认证；传输过程中可能被窃听或破坏Web信息；客户信息对商家是全透明的；新的SSL协议被命名为TLS(TransportLayerSecurity)，安全可靠性有所提高，但仍然不能消除原在技术的基本缺陷。882023/2/4三、电子支付的安全问题对称加密算法——实现快速加密892023/2/4三、电子支付的安全问题902023/2/4三、电子支付的安全问题非对称加密算法原理——公钥加密私钥签名具有数据摘要的数字签名-验明身份真实性912023/2/4三、电子支付的安全问题SET协议922023/2/4三、电子支付的安全问题（2）SET协议由美国VISA和MasterCard两大信用卡组织联合国际上多家科技机构，共同制定了应用于互联网上的以银行卡为基础进行在线交易的安全标准，即SET(SecureElectronicTransaction)协议SET协议要达到的目标主要有5个。932023/2/4三、电子支付的安全问题1)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后经过商家到达银行，但是商家不能看到客户的账户和密码信息。2)保证信息在Internet上安全传输，防止数据被黑客或被内部人员窃取。942023/2/4三、电子支付的安全问题3)解决多方认证问题。不仅要对消费者的信用卡认证，而且要对网上商店的信誉程度认证，同时还有消费者、网上商店与银行间的认证。4)保证了网上交易的实时性，使所有的支付过程都是在线的。952023/2/4三、电子支付的安全问题5)规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。962023/2/4三、电子支付的安全问题网上购物的前期准备：消费者到发卡银行办理一张借记卡，该卡的卡号即账号，惟一的确定了持卡人的身份。持卡人将一定数量的现金存入该帐户。通过上网为该卡申请一张安全数字证书。

然后就可以开始网上交易了。三、电子支付的安全问题SET协议操作流程:(1)消费者上网浏览商户网站，从商品目录选择商品，将购物名称及数量、交货时间及地点、订货人及收货人等相关信息填入表单或“购物篮”提交。网站回执确认接受该订单，于是认为交易双方在品种、价格、数量、时间、送货、交货等方面达成合同。三、电子支付的安全问题（2）持卡人将订货单和支付单发送给商家。并对两张单据进行双重数字签名；（3）商家收到订货单和支付单后，将订货单存下，将支付单发向收单银行支付网关请求支付认可；（4）收单银行到发卡银行确认该卡有可支付能力后，返回确认信息给商家，于是商家可放心的送货给客户。三、电子支付的安全问题（5）商家发送订单确认回执给持卡人，客户端软件可保存该回执，以备将来查询。（6）商家按照订货单给客户送货和实际发票到预定交货点。（7）收单银行将货款从持卡人帐号转移到商家帐号，可能每天或每周划帐一次。至此完成交易过程。三、电子支付的安全问题三、电子支付的安全问题客户、商家、银行三家合作完成：客户端处理过程如下：（1）

将订货单B和支付单C分别做MD5摘要计算，得到HB和HC，拼接后以客户的私钥SKA进行数字签名，得到DSA，称为双重签名。（2）

客户端拼接出两个相对独立的信息模块。一块供商务网站解读，称为订货模块，内容包括订货单B、支付单C的摘要HC、双重签名DSA、用户的公钥PKA。另一块供支付银行解读，称为支付模块，但需经商务网站转发给收单银行，内容包括支付单C、订货单B的摘要HB、双重签名DSA、用户的公钥PKA。三、电子支付的安全问题（3）客户端使用两个对称密钥KB和KC分别对上述两个模块加密，得到EB和EC。（4）

以商务网站B的公钥PKB将KB加密；以支付银行C的公钥PKC将KC加密，分别