电子商务安全-第7章

1、安全电子商务支付机制，第7章，第2节，主要内容，电子支付系统，智能卡支付方法，电子支票支付系统，电子现金支付系统，小额支付系统，第3节，电子支付系统的概念，电子支付是指由当事人(包括消费者，企业和金融机构)使用安全电子手段通过网络支付的资金的转移。也就是说，新的支付方式的支付信息(包括电子现金、信用卡、借记卡、智能卡等)。)通过网络安全地传输到银行或相应的处理机构以实现电子支付。传统的商业支付方式，其中现金、票据和信用卡经常被使用。“一手交钱，一手交钱”的交易方式称为货币即时结算，是商品经济和社会低级阶段的主要结算方式，采用的支付媒介是现金。在中国，汇票分为三种：汇票、本票和支票。信用卡是由银

2、行或金融公司签发的信用证书，授权持卡人在指定地点记账和消费。5。传统支付方式的局限性。在网上电子商务中，传统的支付方式在支持电子商务所需的网上操作方面存在诸多局限性：缺乏便利性、安全性低、覆盖面小、适应性弱、缺乏对小额支付的支持；6.按支付流程预付：先支付，后消费，就像现在的手机信用卡和银行储蓄卡一样，是商家最喜欢的支付方式。后付款：先买，然后付款。信用卡是一种后支付方式，因此存在欺诈风险。实时支付：在交易的同时，资金从银行转移到卖方。电子支付方法，7，通过在线传输数据分类，使用“可信第三方”；客户和商户信息，如银行账号和信用卡号，由可信的第三方管理和维护。传统银行转账结算的扩展；在线传输业务

3、和交易支付(银行账号、信用卡号、密码等。)信息。需要加密传输。数字现金、电子货币和电子硬币；转移真实的“价值”和“金钱”本身，如游戏的冲动价值。8、信用卡支付系统，网上信用卡支付主要包括通过中介支付模式、简单支付加密模式和SET模式。最具代表性的中间支付方式是在第一个虚拟公司的FV系统交易前，商户和客户都需要在FV上注册，FV服务器参与每一笔交易，并将款项存入商户银行账户。注册时，客户需要向FV发送信用卡详细信息和电子邮件地址，并接收密码(称为虚拟个人识别码)。商家在注册时需要提供他们银行的详细信息，并且还需要一个虚拟的个人识别码。注册时，客户通过浏览器注册表格，并通过电话发送信用卡的详细信息

4、。9。在FV系统的交易过程中，客户用虚拟个人识别码下订单，商家通过FV服务器验证账户的有效性(手动或自动查询)。如果账户有效(未列入黑名单)，商家将商品信息发送给客户和Fv服务器。基于“先试后买”的原则，FV服务器通过电子邮件询问顾客对商品是否满意。如果满意，付款完成；如果不满意，交易终止；如果不是顾客订购的商品，那就是欺诈，虚拟个人识别码被列入黑名单。电子商务、FV服务器、客户、1个账号、2个账号认证、6您满意吗？3回复、4商品信息、5详细账户、7接受或拒绝或欺诈指令、10、简单支付加密模式网吧、网吧支付流程：(1)在客户向网吧商家订购后，电子钱包对信用卡信息进行加密，并将其传输至网吧商家服

5、务器。(2)在验证了接收到的信息的有效性之后，商家服务器将用户的加密的信用卡信息发送到网吧服务器，并且商家不能看到用户的信用卡的细节。(3)网吧服务器验证商户身份后，在安全的地方(非互联网)解密信用卡信息，并通过安全网络传输给商业银行。(4)商业银行通过银行间电子渠道向客户的信用卡发卡银行确认，并将结果发送回网吧服务器，网吧服务器通知商户服务器完成或拒绝交易，商户通知客户。11，SET模式，安全电子交易(简称SET)是由万事达卡、两个国际知名信用卡组织、维萨和一些跨国公司如GTE、网景、IBM、泰瑞莎系统、威瑞信、微软和SAIC共同开发的安全交易规范，主要用于保证互联网上信用卡交易的安全性。利

6、用SET给出的一整套安全电子交易流程规范，可以实现电子商务交易中的保密、认证和数据完整性等安全功能。SET提供对商户和收单银行的认证，确保交易数据的安全性、完整性和可靠性以及交易的不可否认性。特别是，它具有保护消费者的信用卡号码不被商家看到的优点，并且已经成为事实上的工业标准。12、智能卡支付，数字媒体在互联网上的应用呈爆炸式增长，越来越多的知识产品以电子版本的形式在互联网上传播。数字信号处理和网络传输技术可以无限制地编辑、修改、复制和分发数字媒体(数字声音、文本、图像和视频)的原始版本，导致数字媒体的知识产权保护和信息安全问题日益突出。13、7.3电子支票支付系统，电子支票具有以下特点：电子

7、支票的高接受度；加密的电子支票比基于公钥加密的数字现金更容易流通；电子支票可以促进基于电子数据交换的电子订购和支付；给第三方金融机构带来好处；实现业务流程处理的自动化。省钱。14，电子支票的申请流程是：购买电子支票，电子支票，支付和清算，用电子支票支付的基本流程如下图所示：通知，清算，签名验证，通知，数字签名，图7.3，电子支票支付流程图，15，值得注意的是，电子支票的数字签名必须经过验证，但很少有实际的纸质支票电子支票必须包含一些必需的信息，可选信息和数字签名，因此电子支票是用FSML(金融服务标记语言)编写的。电子支票使用X.509证书提供签名验证功能。X.509证书不能保证电子支票的完全

8、有效性。电子支票簿智能卡可以保护签名者的私人签名密钥，防止被盗或误用。16、电子支票系统和应用层密码技术不受出口限制。此外，为了确保信息传输的机密性，可以通过安全的电子邮件或双方之间的加密互动对话来传输消息。银行间电子支票的清算遵循ANSI X9.46和X9.37标准。主要的电子支票系统有FSTC电子支票、授权电子支票、网上支票、网上支票和网上账单。17，7.4电子现金支付系统，电子现金具有以下特点：货币价值的互操作性，可存储性，安全性，匿名性和可重复性，18。数字现金的应用过程分为五个步骤：购买电子现金、存储电子现金、用电子现金购买商品或服务、用资金结算确认订单。将数字现金应用于贸易的过程如

9、下图所示：20、数字现金支付方式的特点银行和卖方之间应该有协议和授权关系。买方、卖方和电子现金银行都需要使用电子现金软件，该软件适用于小额交易的支付认证。电子现金本身负责买卖双方之间的资金转移。它可以被存放、取走和转移，买卖双方都不能伪造银行的数字签名，双方都可以确定付款是有效的。电子现金将会像普通现金一样消失。21.典型的电子现金系统，数字现金系统，毫西特系统，世界支付系统，网络货币系统，MPTP机制，22。7.5小额支付系统“小额支付”的特点是能够处理任何小额资金，适合在互联网上销售“非有形商品”。小额支付系统的特点：交易量小、安全性低、效率高、适用范围特殊。23，7.5.1小额支付模式和

10、24，7.5.1小额支付模式通常涉及三方：丙方(消费者)、乙方(经纪人)和丙方(商人)。顾客是使用微电子货币购买商品的主体；商家向用户提供商品并收取货款。代理作为可信的第三方存在，用于维护客户和企业的账户，通过证书或其他方式验证客户和企业的身份，进行货币销售和清算，以及解决可能出现的争议。他们可以是中间人或银行。25，7.5.1小额支付模型根据不同的支付类型，小额支付中的货币可以由代币或哈希链组成，代币或哈希链可以由商家、代理(总代理)和客户生成。其他小额支付模式：-iKP和LITESET，它们基于宏支付，使用宏支付协议和消息来完成小额支付过程。一些小额支付机制(如SubScrip)更简单，即

11、使没有代理的参与，只有客户和企业参与交易。基于票据的小额支付系统(1) Millicent小额支付系统Millicent是1995年由DEC和Compaq共同开发的基于凭证系统的小额支付系统。它的基本思想是使用一个密钥控制的单向散列函数来认证和验证支付账单。Millicent系统不使用公钥技术，而是使用单向哈希函数，效率较高，有些采用对称加密算法。密立信已经对实际系统进行了测试，协议本身是高效的，网络的TCP连接速度是影响其性能的主要原因，这也是很多微支付系统中存在的问题。27，7.5.2基于账单的小额支付系统(1)对于频繁更换商户的客户来说，Milicint小额支付系统Milicint系统效

12、率低下。在该法案中，客户的身份是由身份来表示的，身份具有一定的匿名性，但使用客户证书是对客户匿名性的损害。由于可验证的凭证和分布式支付，密立信系统可以用于像Kerberos这样的分布式环境中的认证服务。下标系统下标是澳大利亚纽卡斯尔大学开发的一个非常简单的微支付系统，最初是为互联网上的按次付费而设计的。它基于预付费机制，不需要认证客户。SubScrip票证本身没有价值，它只通过票证中的客户标识在商户数据库中找到相应的账号，真正的价值存储在商户数据库中。(2)下标系统基本下标系统不采用加密和哈希算法，票据和相应信息以明文形式传输，容易被篡改或被截获，被非法使用。篡改的SubScrip账单将无效，

13、因为它不能与商户数据库中的真实用户帐户相对应。下标票据只在一个商户有效，交易量小，在一定程度上可以防止下标票据的非法截取和使用。为了提高安全性，下标rip可以扩展公钥。在建立账户的宏观支付中，客户将他们的公钥发送给商家，商家可以在发送信息或新票据时使用该公钥进行加密。30，7.5.3基于哈希链的小额支付系统中哈希链的思想最早是由Lamport为了身份认证而提出的，后来被应用到小额支付机制中。具体的方法是用户选择一个随机数，对其进行多次哈希计算，并形成一个哈希结果序列，序列中的每个值代表一个支付单位。基于哈希链的小额支付机制有很多，如PayWord、Pedersen提出的小额支付、NetCard

14、和Paytree。Payword系统PayWord也是基于三个交易方：客户、商家和代理商。然而，与基于散列链的微交易不同，它是一种典型的基于信用的离线微支付机制。PayWord的缺陷：如果其他人(除了客户、代理和商家)获得了代理的公钥，他们可以解密证书并知道客户的详细信息，特别是在证书中添加地址信息会严重损害客户的匿名性；顾客必须向他需要付款的商家签署一份承诺。如果商家频繁交换，将带来巨大的计算消耗；采用公钥密码技术，在一定程度上降低了协议的效率。基于哈希链的Paytree系统PayWord系统一般适用于特定商户的重复支付，但对于商户频繁更换的支付场合效率不高。在PayWord系统的基础上，P

15、aytree系统通过树形结构扩展哈希链，使得小额支付可以灵活应用于多个商家参与的场合。由于树形结构，Paytree系统可以灵活扩展，实现多币种树形和可分币种。然而，Paytree具有灵活性，这也增加了系统的带宽和存储开销。33、7.5.4小额支付的应用与发展小额支付研究与发展的新方向：移动小额支付、小额支付公平性研究、具有认证功能的分布式小额支付研究和具有新安全技术的小额支付机制研究等。小额支付具有面额小、效率高的特点，这使得实现完全公平变得不可行。当交易量较小时，没有必要研究小额支付的公平性。当小额支付交易量非常大时，如何采取有效措施实现小额支付的公平性就显得尤为重要。小额支付的应用与发展通过在分布式环境中扩展和改进一些认证协议(如Kerberos)，可以很容易地导出分布式小额支付机制，并且可以充分利用现有的认证基础设施。同样，对于一些小额支付机制，尤其是基于哈希链的小额支付模式，在一些分布式环境(如移动通信)中实现支付和认证的有效结合更加有效，这也是小额支付需要研究的问题之一。用新的公钥密码(如椭圆曲线密码)代替现有的RSA密码算法可以有效地提高系统效率，这也是微支付发展中一个非常有趣的课题。小额支付作为电子现金的一种支付形式，是目前电子支付的一个新的发展方向。在满足安全性的前提下，它具有简单高效的优点，并且每笔交易的成本非常低。本章总结了电子