电子商务安全(第6章)

第6章安全电子商务支付机制

本章主要内容6.1电子支付系统6.2智能卡6.3电子支票支付系统6.4电子现金支付系统6.5微支付系统第一部分教学组织一、目的要求1.了解电子支付工具的工作流程和支付过程；2.掌握各种支付工具的结构与标准；3.了解网上购物中电子支付的一般过程。二、工具器材网银或支付宝等在线支付工具。三、学习方式建议建议将实训环节与理论相结合，抓实训教学促进学科理论知识的学习。第二部分教学内容6.1电子支付系统6.1.1电子支付电子支付方式的出现要早于互联网，电子支付的5种形式（如图6.1）分别代表着电子支付的不同发展阶段：图6.1电子支付的形式6.1.2电子支付的分类及比较1.电子支付的分类（1）电子支付的业务类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。①网上支付②电话支付③移动支付（2）电子支付按运营主体划分为银行电子支付、第三方支付平台、以电信运营商为主体的电子支付。①银行电子支付。②第三方支付平台支付。③以运营商为主体的电子支付。2.电子支付的工具（1）电子现金（E-Cash）（2）电子钱包（ElectronicWallet）（3）电子支票（ElectronicCheck）（4）借记卡（DebitCard）对于首信易支付方式，其付费方式分为B2C、B2B两种，并且对于B2C有严格的服务收费标准，具体可以见图6.2。图6.2首信易B2C支付方式服务收费标准6.1.3电子支付的支付流程下面介绍一个典型的电子支付结算流程例子，一次电子支付结算流程分为下面六个步骤，如图6.3所示。图6.3基于Internet平台的电子支付的一般流程6.1.4电子支付系统电子支付系统(ElectronicPaymentSystems)是采用数字化电子化形式进行电子货币数据交换和结算的网络银行业务系统，目前电子支付系统主要有：ATM系统、POS系统、电子兑汇系统、网上支付系统，图6.4描述网上支付系统的基本构成。6.1.5电子商务支付系统的功能一个电子支付系统能否在互联网上被广泛采用，取决于它能否具有安全、方便、高效等特点，具体功能为：1.采用加密技术来提供订购及支付信息的保密性。在实际的交易环境中必须保护消费者的订购信息和支付信息的安全，使得只有特定的接收方才能访问这些信息。2.使用信息摘要算法保证所有传输数据的完整性，防止所有传输数据的内容被非法篡改。3.使用X.509数字证书和数字签名技术认证交易各方身份的合法性和有效性，并保证交易的不可否认性。4.不依赖其他的安全传输机制及交易平台软件。应能在纯粹的TCP/IP协议上运行，但也不与其他安全协议（如IPSEC、SSL、TLS等）的使用发生抵触，并且协议及数据格式也不依赖与特定的硬件平台、操作系统或WEB软件。5.能够处理贸易业务的多边支付问题。支付结算牵涉客户、商家和银行等多方，传送的购货信息与支付指令信息还必须连接在一起，因为商家只有确认了某些支付信息后才会继续交易，银行也只有确认支付才会提供支付。为了保证安全，商家不能读取客户的支付指令，银行不能读取商家的销售信息，这种多边支付的关系能够借用系统提供的诸如双重数字签名等技术来实现。6.提高支付效率。网络支付的手续和过程并不复杂，支付效率很高。6.1.6电子交易模型

电子商务的业务包括两大部分，一部分是B-B，即企业与企业之间的业务活动，主要是保证企业生产供应链的通畅；另一部分是B-C，即企业与消费者之间的业务，是为了方便企业销售和消费者购物，主要表现为网上购物。目前在Internet网上提供上网购物服务的公司很多，包括金融公司、信用卡公司、批发零售公司等。具有代表性的公司有CyberCash，FirstVirtualCorp.(FVC)，OpenMarket等。1.支付系统无安全措施的模型

图6.5支付系统无安全措施模型的流程2.通过第三方经纪人支付的模型

图6.6通过第三方经纪人支付模型的流程3.电子现金支付模型4.简单加密支付系统模型

5.SET(securityelectronictransaction)模型6.2智能卡6.2.1智能卡概述智能卡(SmartCard)一般用于指一张给定大小的塑料卡片，上面封装了集成电路芯片，用于存储和处理数据。一些智能卡包含一个RFID芯片，所以它们不需要与读写器的任何物理接触就能够识别持卡人。图6.10智能卡

6.2.2智能卡在电子商务中作用及发展智能卡在上述电子商务流程中至少起到以下两个重要作用：

（1）强化网络安全管理——电子商务的基本平台是因特网，而因特网目前存在的所谓7P问题的核心是网络安全。除了采用“防火墙”、“虚拟专用网络技术”和数据加密技术外，智能卡及基于智能卡的数字认证是强化网络安全管理的有效措施。智能卡是存取密钥的最佳媒体，将密钥存放在卡的芯片上，通过电脑配备的读卡器接入因特网。卡内存有授权用户口令和密码，采用可靠的RSA/DES加、解密技术，所有加、解密操作均在卡内实现，所有秘密信息均不暴露在卡外。人们已把智能卡当作访问网络、利用网络资源的工具，看成计算机网络的延伸，其功能从通过公共网络实现数码签名、数码证件到拨号上网，实现网上银行业务、电子钱包、借贷事务处理等。

（2）支持网上各种支付方案

安全可靠地实现在线支付功能是实现网上银行、网上购物、电子商务的

前提。智能卡技术支持网上各种支付方案，包括电子货币支付（即电子信用卡支付、电子现金支付、电子钱包支付），电子票据支付（即电子支票支付、电子汇票支付）以及通过清算中心自动进行电子资金转帐等。 6.3电子支票支付系统6.3.1电子支票电子支票是一个经付款人私钥加密的写有相关信息的电子文件。它由客户计算内的专用软件生成，一般应包括支付数据（支付人，支付金额、支付起因等）、支票数据（出票人、付款人、到期日等）、客户的数字签名、CA证书、开户行证明文件等内容。电子支票系统提供发出支票、处理支票和网上服务，是纸基纸票的电子化延伸，付款人像收款人发出电子支票以抵付货款，收款人用此电子支票向银行背书以启动支付，经认证的合法电子支票在支付过程中就作为将存款从付款人账户转入收款人账户的确认依据。这是一种付款人启动支付支付的模式。大量的电子支票还可以经票据交换所进行清算，即通过票据交换组织相互抵销各自应收应付的数据金额，然后只进行最终差额的转账。电子支票是纸质支票的电子替代物，是将纸质支票改变为带有数字签名的电子报文，或利用其它数字电文代替纸质支票的全部信息，如图6.11所示。图6.11电子支票(①使用者姓名及地址,②支票号,③传送路由号,④帐号)

6.3.2电子支票支付方式的业务流程图6.12电子支票支付业务流程6.3.3我国电子支票的运作方式目前，中国人民银行和各商业银行已建立起全国范围内的支付结算、资金清算体系。如何有效利用现有网络资源来实现电子支票的各项功能，减少硬件设备投入、软件开发等一系列费用，已成为我国金融科技界面临的一大难题。1.行间直联模式2.跨行联接模式3.两种运作模式的比较行间直联模式利用了现成的银行网络资源，但各个银行都需要添加电子支票的处理设备。随着网络经济的高速发展，参与行间直联的银行数目和参与交易的对象的不断增加，当设备升级时，所有银行都需要对硬件、软件进行更改，从而造成社会资源的浪费。跨行联接模式则解决了上述问题，由于所有的电子支票交易都通过统一的支付网关进行，当需要对硬件、软件进行升级时，也只是对统一支付网关做相应的更改。同时，由于票据集中处理，提高了票据的处理速度。统一支付网关作为独立的第三方机构，还可以对因交易引起的纠纷进行调节、仲裁，并协调各银行共同制定网上支付标准，确保支付安全、迅速地进行。6.4电子现金支付系统6.4.1电子现金电子现金(ElectronicCash)又称为数字现金或电子货币，是一种以电子形式存在的现金货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。电子现金使用时与纸质现金完全类似，多用于小额支付，是一种储值型的支付工具。图6.13电子现金支付模型6.4.2电子现金的分类及基本特性1.电子现金分类（1）电子现金系统根据其交易的载体可分为基于账户的电子现金系统和基于代金券的电子现金系统；（2）根据电子现金在花费时商家是否需要与银行进行联机验证分为联机电子现金系统和脱机电子现金系统；（3）根据一个电子现金是否可以合法的支付多次将电子现金分为可分电子现金和不可分电子现金；（4）根据电子现金的使用功能，可以把电子现金分为专门用途型电子现金和通用型电子现金；（5）根据电子现金的使用形式，可以把电子现金分为基于卡的预付款式电子现金和纯电子形式电子现金。2.电子现金基本特性（1）独立性。电子现金的安全性不能只靠物理上的安全来保证，必须通过电子现金自身使用的各项密码技术来保证电子现金的安全;（2）不可重复花费。电子现金只能使用一次，重复花费能被容易地检查出来；（3）匿名性。银行和商家相互勾结也不能跟踪电子现金的使用，就是无法将电子现金的用户的购买行为联系到一起，从而隐蔽电子现金用户的购买历史；（4）不可伪造性。用户不能造假币，包括两种情况：一是用户不能凭空制造有效的电子现金；二是用户从银行提取N个有效的电子现金后，也不能根据提取和支付这N个电子现金的信息制造出有效的电子现金；（5）可传递性：用户能将电子现金像普通现金一样，在用户之间任意转让，且不能被跟踪；（6）可分性：电子现金不仅能作为整体使用，还应能被分为更小的部分多次使用，只要各部分的面额之和与原电子现金面额相等，就可以进行任意金额的支付。6.5微支付系统6.5.1微支付概述1.微支付的特点微支付(McroPayments)是指在互联网上，进行的一些小额的资金支付。这种支付机制有着特殊的系统要求，在满足一定安全性的前提下，要求有尽量少的信息传输，较低的管理和存储需求，即速度和效率要求比较高。这种支付形式就称为微支付。同其他电子支付系统相比，微支付系统应具有如下特点：（1）交易额低。微支付的每笔交易额较低，因此，具有较高交易成本和计算成本的支付机制是不适用的。（2）安全性不高。由于微支付每一笔的交易额小，即使被截获或窃取，对交易方的损失也不大。所以，微支付很少或不采用耗费较多计算资源的安全技术，其安全性在一定程度上要辅以审计或管理策略来保证。（3）效率高。由于微支付交易频繁，所以要求较高的处理效率。（4）应用相关性。由于微支付的特点，其应用也具有特殊性，如新闻、信息查询和检索、广告点击付费等，移动计费和认证，以及分布式环境下的认证等。微支付一般不适合实物交易中的电子支付。2.微支付的实现类型按照实现的方式来划分，微支付可以分为三种实现类型：（1）定制与预支付。这类方式适用于消费者对所购买的产品与服务有着充分的了解和信任，才可能产生“预先”付款的行为。（2）计费系统与集成。这类支付机制已经大量应用于电信行业，电信公司在利用计费系统对自身的服务进行收费的同时，可以向其他类型的商家提供账单集成服务。（3）储值方案，即电子现金方案。与第一种类型不同，这类方案基于“电子现金账户”而不是“预付费账户”，电子现金是可以回收并且跨系统运行的，可以使基于互联网的软件方案，也可以为基于智能卡的硬件方案，其发展潜力更多地面向现实环境，起到替代现金的作用。3.微支付模型微支付模型一般涉及到C（Consumer，顾客）、B（Broker，代理）和M（Merchant，商家）三方，如图6.14所示。其中顾客是使用微电子货币购买商品的主题；商家为用户提供商品并接收支付；代理是作为可信第三方存在的，用于为顾客和商家维护帐号、通过证书或其他方式认证顾客和商家的身份、进行货币销售和清算，并解决可能引起的争端，它可以是一些中介机构，也可以是银行等。图6.14微支付模型

6.5.2微支付运营模式1.商业银行运营模式2.移动运营商模式3.第三方支付模式本章小结随着计算机网络技术的发展，电子支付的形式、过程和工具等越来越多。本章首先介绍了电子支付的分类、电子支付工具、支付流程、支付系统和电子交易模型等相关基础概念，然后主要介绍智能卡、电子支票、电子现金和微支付系统的特点及支付方式以及这些方式各自的特点和运作模式和适用于不同的交易过程。实训：淘宝网C2C购物【实训目的】了解几个知名的C2C平台，了解电子商务中基本交易流程，掌握支付宝安全电子支付原理；通赤实际的网上交易，学会在淘宝网上购物流程，掌握网上购物的支付流程及网上银行的设置；熟悉电子商务支付