第五章电子支付技术课件.ppt
Slide 1,18 March 2023,第五章电子支付技术,51电子支付概述,5.1.1电子支付的基本问题,电子支付是在传统的支付方式基础上发展起来的,以网络为主要通信平台,利用计算机技术、安全和密码技术实现资金的转移。1.电子货币 电子现金、电子支票、信用卡、微支付。2.电子支付协议 SSL、SET、Digicash、FirstVirtual、NetBill,Slide 2,18 March 2023,51电子支付概述,3.支付网络平台(1)中国国家金融通信网(CNFN):双网方案卫星网、虚拟专用网。双套系统北京主站、无锡备份站。,5.1.1电子支付的基本问题,Slide 3,18 March 2023,51电子支付概述,3.支付网络平台(2)中国现代化支付系统(CNAPS):大额支付系统(HVPS);小额批量支付系统(BEPS);银行卡授信系统;支票影像交换系统 政府证券簿记系统。,5.1.1电子支付的基本问题,Slide 4,18 March 2023,51电子支付概述,(1)预支付借记卡、电子现金;(2)即时支付电子支票;(3)后支付贷记卡、微支付。,5.1.2 电子支付模式,5.1.3 电子支付的特征,1.货币数字化 货币形式是二进制数字,可以满足交易过程中的所有支付需求。,Slide 5,18 March 2023,51电子支付概述,5.1.3 电子支付的特征,2.支付网络化 公共网和银行专用网。3.设备电子化 支付过程的所有环节都以电子化设备为主要手段 4.过程自动化 多计算机系统协同处理,不需要人工干预。5.安全复杂化 涉及到数据加密、网络通道、信用体系等问题。,Slide 6,18 March 2023,52电子支付工具,5.2.1 信用卡,Visa、Master、Dinners、American Express、JBC、各商业银行卡。信用卡的发展历史:金属卡基塑料卡基 磁介质集成电路 1.狭义信用卡要素(1)提供持卡人的信用证明;(2)含有信用额度;(3)支持后支付模式。,Slide 7,18 March 2023,52电子支付工具,5.2.1 信用卡,2.广义信用卡种类(1)贷记卡、准贷记卡;(2)借记卡先存款后消费;(3)储蓄卡带存款功能,可异地提取现金;(4)支票卡电子支票;(5)转账卡实时扣帐,有转账结算、存取现金和消费功能;(6)专用卡有专门用途、在特定区域使用。,Slide 8,18 March 2023,52电子支付工具,5.2.2电子现金,电子现金应具备的特征:(1)买卖双方直接交换;(2)可以拆分,并支付给其他人;(3)隐蔽支付人身份,不可追踪。电子现金的使用需要得到电子钱包软件的支持,著名的系统包括Visa Cash、Mondex、MasterCard Cash。电子现金可以存储在IC卡上,也可以存储在计算机的硬盘中。,Slide 9,18 March 2023,52电子支付工具,5.2.3电子支票,电子支票是由“电子支票簿”系统产生的。“电子支票簿”的常见形式有IC卡、PC卡、PDM。生成IC支票卡的过程如下:(1)核实持卡人身份,登记其支票帐号和基本信息,写入卡内;(2)执行“电子支票簿”的初始化程序,激活IC芯片,生成加密密钥对和签名密钥对;,Slide 10,18 March 2023,52电子支付工具,5.2.3电子支票,(3)银行CA对持卡人的公钥和支票帐号进行映射,并为持卡人发数字证书;(4)将数字证书、支票限制信息和随机生成的PIN码再写入IC卡内,在卡的表面打印银行的标志、持卡人姓名和识别码。,Slide 11,18 March 2023,52电子支付工具,5.2.4 微支付,微支付是一种非常特别的电子货币概念,是实物货币中所没有的,专门用于解决小额支付的问题。特征:(1)低值的交易额;(2)快捷的结算方式;(3)适当的安全性;(4)有限的应用范围。,Slide 12,18 March 2023,53电子支付系统,消费者开户银行,公钥基础设施,商家,商家开户银行,消费者,电子支付的体系涉及到消费者、商家、金融机构和认证管理部门,其基本组成如下:,Slide 13,18 March 2023,53电子支付系统,5.3.1基于Internet的支付要素,CA认证中心,商家服务器,消费者开户行,商家开户行,银行支付网关,客户端支付工具,金融专网,Internet,Slide 14,18 March 2023,53电子支付系统,5.3.1基于Internet的支付要素,1.客户端支付工具 消费者一端的IC卡、电子钱包软件、电子支票等系统。2.商家服务器 处理订单、请求结算、协助身份认证等软件系统。3.消费者开户行 中国国家现代化支付系统。4.商家开户行 中国国家现代化支付系统。5.CA认证中心,Slide 15,18 March 2023,53电子支付系统,5.3.1基于Internet的支付要素,6.支付网关(1)提供进/出网关的信息流路由通道;(2)接收支付请求信息,发出支付授权信息;(3)验证持卡人证书、商家证书的有效性;(4)检查数据的完整性;(5)对进出网关的支付指令进行加密、解密;(6)实现Internet上信息格式到银行内部信息格式(ISO 8583)之间格式的转换。,Slide 16,18 March 2023,53电子支付系统,5.3.2电子支付的基本功能,(1)认证交易参与方的身份;(2)实现支付信息完整性检测;(3)对支付信息流的加密;(4)实现交易的不可抵赖性;(5)支付信息与订购信息隔离;(6)资金转移。,Slide 17,18 March 2023,54电子支付流程统,5.4.1电子支付的基本流程,客户机/浏览器,商家服务器,支付网关,银行内部系统,购物/支付信息,支付信息,1.消费者填写订购单,选择支付工具,如信用卡、电子现金、电子支票;2.客户机加密订购信息和支付信息,连同自己的身份信息一起提交;,Slide 18,18 March 2023,54电子支付流程统,5.4.1电子支付的基本流程,3.商家服务器检查数据完整性,认证客户机身份,确认订购信息,并将支付信息转发给支付网关;4.支付网关检查数据完整性,认证商家和客户机身份,实现数据格式转换,将信息发送到银行内部系统;5.银行检查支付网关传来的信息,并再通过网关给商家服务器回送一个支付结算的确认信息,给客户机发一个支付授权请求(可选);6.银行从消费者帐户上将资金划拨到商家的资金帐户上,并分别给消费者和商家发送一个支付结算成功信息;7.商家服务器给客户机发送一个发货通知信息。,Slide 19,18 March 2023,54电子支付流程统,5.4.2信用卡支付流程,1.FirstVirtual支付系统,消费者,银行,商家,中介机构,用户PIN码及订购信息,用户PIN码,订购信息,商家PIN码,授权交易书,信用卡及支付信息,购买确认消息,Slide 20,18 March 2023,54电子支付流程统,5.4.2信用卡支付流程,1.FirstVirtual支付系统(1)消费者填写订购单,其中包含信用卡的PIN码信息;(2)商家将自身的PIN码和持卡人的PIN码和商品订购描述信息用E-mail发给中介机构;(3)中介机构验证商家身份和消费者信用卡的PIN码;(4)中介机构给消费者发一份电子邮件,等待回答;(5)消费者确认这笔交易,回复邮件给中介机构;(6)中介机构向银行提供持卡人信息和其他支付信息,银行进行资金结算;(7)完成支付后,中介机构给商家发一份授权交易书。,Slide 21,18 March 2023,54电子支付流程统,5.4.2 信用卡支付流程,2.CyberCash支付系统,银行的信用卡处理系统,CyberCash服务器,消费者PC机电子钱包软件,商家服务器,Slide 22,18 March 2023,54电子支付流程统,5.4.2 信用卡支付流程,2.CyberCash支付系统(1)消费者从商家订货,填写订单;(2)消费者电子钱包将信用卡和订购信息传送给商家;(3)商家服务器加密身份信息,与持卡人信息拼接,并进行数字签名,传给CyberCash服务器;(4)CyberCash服务器验证商家和消费者的身份;(5)CyberCash通过专用网将支付信息传给商家开户行;(6)交易双方开户银行之间的资金结算;(7)银行将结算结果传送给CyberCash服务器;(8)CyberCash服务器通知商家服务器交易完成或被拒绝,Slide 23,18 March 2023,54电子支付流程统,5.4.3电子现金支付流程,E-Cash是匿名的、不可追踪的、在线支付系统。系统使用非对称加密体制,利用了隐蔽签名的专利技术。,银行E-cash处理系统,消费者电子钱包软件,商家电子钱包软件,隐蔽“硬币”,经隐蔽签名“硬币”,隐蔽“硬币”,“硬币”,商家的货物清单,电子“硬币”,商品配送,Slide 24,18 March 2023,54电子支付流程统,5.4.3电子现金支付流程,E-Cash是匿名的、不可追踪的、在线支付系统。系统使用非对称加密体制,利用了隐蔽签名的专利技术。(1)消费者端填写订购清单;(2)消费者端取出适量“硬币”加密传输给商家;(3)商家解密收到的电子“硬币”,并加密传输给银行;(4)银行验证自己的隐蔽签名,确认后回送给商家一个授权交易消息;(5)商家收到授权交易后进行商品配送。,Slide 25,18 March 2023,54电子支付流程统,5.4.4电子支票支付流程,1.FSTC电子支票系统 FSTC的关键技术:金融服务标记语言(FSML)和“电子支票簿”。FSML具有数据元素的语法、语义和值,用于描述电子支票的内容。FSTC的工作流程完全模仿传统支票,付款人需要数字签名,收款人需要利用数字化手段背书。,Slide 26,18 March 2023,54电子支付流程统,5.4.4电子支票支付流程,1.FSTC电子支票系统 FSTC处理系统的构成:(1)EPH前端相当于支付网关,所有商家服务器通过Internet与其连接;(2)EPH支付服务器处理支付业务逻辑;(3)EPH证书服务器金融CA中心。,Slide 27,18 March 2023,54电子支付流程统,5.4.4电子支票支付流程,1.FSTC电子支票系统 FSTC的支付流程:(1)付款人签发支票;(2)通过E-mail或浏览器将电子支票发送给收款人;(3)收款人验证该支票,“填写”进帐单,附加自己的数字证书,连同收到的电子支票一起进行数字签名,发送给收款人的开户行;(4)收款人开户行验证收款人的数字签名,并再次验证电子支票;(5)付款人开户行验证收款人开户行和付款人的数字签字,通过传统的银行间资金清算网将钱划入收款人的开户行。,Slide 28,18 March 2023,54电子支付流程统,5.4.4电子支票支付流程,2.NetBill系统 提供了一个从价格协商到送货的完整解决方案,特点如下:(1)能自动提交证书,确保消费者在收到商品后再付款;(2)采用会员机制;(3)采用匿名结构保护消费者身份。,Slide 29,18 March 2023,54电子支付流程统,5.4.5微支付流程,IBM公司解决方案:,银 行,IAP,ISP,消费者,商 家,资金流,Slide 30,18 March 2023,54电子支付流程统,5.4.5微支付流程,微支付流程IBM公司解决方案:(1)消费者从IAP处得到每日信用凭证,即经IAP签名的每日证书;(2)消费者向商家网站发出一个经过签名的购买序列消息,其中也包含了每日证书。(3)商家验证每日证书中的IAP签名,确认消费者身份的有效性,并获得其公钥。(4)商家从每日证书中得到推荐的每天最大花费额度,根据消费者支付情况分别处理:,Slide 31,18 March 2023,54电子支付流程统,5.4.5微支付流程,微支付流程IBM公司解决方案:消费者累计支付不超过每天最大花费额度,则立刻响应购买序列消息,配送商品。消费者累计支付已超过每天最大花费额度,则商家向IAP发出请求增加超额花费的消息。IAP回送一个消息给商家,可以做出批准或拒绝的响应。(5)在固定的周期内,商家将所有消费者的支付序列集中起来,形成一个签名转帐消息,发送给ISP或银行;(6)ISP或银行完成帐户之间的资金结算,并将支付信息分别发送给相应的IAP。,Slide 32,18 March 2023,55安全套接层协议,5.5.1 SSL协议概述,安全套接层协议(Secure Socket Layer Protocol,SSL)是美国网景公司(Netscape)开发的在网络会话层上的安全协议,用于浏览器和Web服务器之间的安全连接。它结合数字签名和数字证书技术实现了客户机和服务器的身份验证,广泛应用于电子商务的安全电子支付环节。SSL提供的基本安全服务功能:(1)服务器认证(必须过程);(2)客户机认证(可选过程);(3)保证数据传输的机密性和完整性。,Slide 33,18 March 2023,55安全套接层协议,5.5.1 SSL协议概述,SSL在TCP/IP网络分层结构中的位置,应用层:HTTP、TELNET、FTP、SMTP,SSL握手协议(SSL Hand Shake Protocol)SSL记录协议(SSL Record Protocol),TCP协议,IP协议,Slide 34,18 March 2023,55安全套接层协议,5.5.2 SSL协议分析,1.SSL记录协议,1 记 录,长 度,MAC,0 记 录,长 度,MAC,填充数据,数 据,数 据,填充长度,二字节记录头,三字节记录头,Slide 35,18 March 2023,55安全套接层协议,5.5.2 SSL协议分析,2.SSL握手协议 第一阶段:建立私密性通信通道;第二阶段:实现客户机的认证。3.SSL协议的会话过程(1)客户机发出请求;(2)选择数据加密方式和压缩方式;(3)身份识别;(4)确定会话密钥(以RSA算法为例);(5)数据传输。,Slide 36,18 March 2023,55安全套接层协议,5.5.2 SSL协议分析,4.SSL协议的发送数据过程,分组数据,压缩数据块,添加MAC,附加SSL记录报头,应用数据,加密,Slide 37,18 March 2023,55安全套接层协议,5.5.3基于客户机/服务器的SSL安全连接,实现SSL协议安全连接的必备条件:(1)客户机与Web服务器都信任同一个认证机构(2)从可信任的CA机构获取Web服务器证书;(3)在Web服务器上安装服务器证书;(4)在Web服务器上设置SSL选项。,Slide 38,18 March 2023,56安全电子交易协议,SET(Secure Electronic Transaction)协议是Visa和MasterCard组织倡导,由多家著名公司,包括IBM、Microsoft、Netscape、Verisign、SAIC、Terisa共同开发制定的一个安全协议。支持信用卡支付的重要协议。SET协议文档主要包含以下三部分内容:商业描述:提供SET处理的总述;程序员指南:介绍了数据区、消息和数据处理的流程,包括系统设计考虑、证书管理、支付系统和正式的协议定义;协议定义:数据区和消息的严格描述。,Slide 39,18 March 2023,56安全电子交易协议,SET协议综合运用了对称和非对称加密体制,在PKI和X.509v3数字证书支持下,具体规定了交易参与方的操作流程。SET协议的创新之处是双重签名,很好地解决了订购信息和支付信息的隔离问题。,5.6.1 SET协议概述,5.6.2 SET协议的参与方,1.持卡人 经银行批准后的专用持卡人软件(电子钱包),安装在客户机上,并要获得由SET CA颁发的数字证书。,Slide 40,18 March 2023,56安全电子交易协议,5.6.2 SET协议的参与方,2.商家 获得收单银行的许可;安装SET商家软件;获得由SET CA 颁发的数字证书。3.支付网关 4.收单银行 5.发卡银行 6.SET CA,Slide 41,18 March 2023,56安全电子交易协议,5.6.3 SET协议的购物流程,持卡人,商家服务器电子柜员机,商 家,收单银行,浏 览 器 电子钱包,SET CA,支付网关,发卡银行,协商,订购消息,订单确认,支付信息,支付授权,Slide 42,18 March 2023,56安全电子交易协议,5.6.3 SET协议的购物流程,1.持卡人填写商品订单;2.持卡人选择所使用的银行卡、语言等,向商家发出初始请求。以下开始按SET协议规范操作;3.商家服务器产生一个不含任何机密的初始响应消息。消息包含商家的数字签名和数字证书、支付网关的数字证书;4.持卡人处理从商家收到的消息,完成对商家的身份的认证和消息完整性的检查;5.持卡人利用电子钱包软件对订购信息、支付信息进行双重签名,并将相关信息、持卡人数字证书和数字信封打包成一个购买请求消息,发给商家;,Slide 43,18 March 2023,56安全电子交易协议,5.6.3 SET协议的双重签名及支付消息,6.商家打开数字证书,验证双重签名,检查数据的完整性,从购买请求消息中提取订购信息,产生支付请求消息,包括支付信息、双重签名、数字摘要、数字信封、商家数字证书等等,发送到支付网关;7.支付网关检查数据的完整性,认证商家和持卡人的数字证书,提取出支付信息,发送给收单银行;8.收单银行将支付请求消息发给发卡银行,经核实后,发卡银行给出支付授权,由收单银行通过支付网关发给商家;9.商家将订单确认的信息发给持卡人。,Slide 44,18 March 2023,56安全电子交易协议,5.6.4 SET协议的双重签名及支付消息,1.双重签名 目的:让商家服务器只能看到订购信息,而看不到持卡人的支付信息。基本方法:将发送给商家的订购信息和发送给银行的支付信息连接起来,形成一个订购消息,再用私钥进行加密,形成双重签名。,Slide 45,18 March 2023,56安全电子交易协议,5.6.4 SET协议的双重签名及支付消息,1.双重签名 商家验证过程:商家可以获得OI、PIMD、DS信息。利用持卡人证书中的公钥KUc将双重签名DS解密,得到POMD。然后,计算H(PIMD|H(OI)。如果得到的值也是POMD,则可以确认持卡人的签名。支付网关验证过程:支付网关可以获得PI、OIMD、DS信息。利用持卡人证书中的公钥KUC将双重签名DS解密,得到POMD。然后,计算H(H(PI)|OIMD)。如果得到的值也是POMD,则可以确认客户的签名。,Slide 46,18 March 2023,56安全电子交易协议,5.6.4 SET协议的双重签名及支付消息,2.支付消息,加密(DES),PIMD,OI,DS,密文信息,数字信封,加密(RSA),PI+DS+OIMD,Ks,Ks,KUb,转发支付网关,持卡人证书,Slide 47,18 March 2023,56安全电子交易协议,5.6.4 SET协议的双重签名及支付消息,2.支付消息,PReq消息包含了三个部分:(1)通过商家转发给支付网关的支付消息:EKs(PI,DS,OIMD)EKUb(KS)第一项是用对称密钥KS加密后形成的密文;第二项是用支付网关公钥KUb加密后形成的数字信封。(2)订购消息:支付数字摘要PIMD、订购信息OI和双重签名DS。(3)持卡人证书,