网上支付与安全.ppt

第五章 网上支付与安全,第五章 网上支付与安全,学习目标掌握：电子货币、电子现金的基本概念；网上支付卡的申请流程；电子商务交易的安全控制要求；电子商务安全的综合应用；电子商务的安全交易方法。了解：SSL与SET协议；电子商务系统安全的基本内容。理解：信息加密的基本思想；数字证书的用途；认证中心的作用。教学重点 电子货币、电子现金的基本概念；网上支付卡的申请流程；电子商务交易的安全控制要求；电子商务安全的综合应用；电子商务的安全交易方法教学难点 所有内容,第五章 网上支付与安全,电 子 货 币 的 发 行,直接发行,电子货币:是指用一定金额的现金或存款从发行者处兑换并获得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，从而能够清偿债务。电子货币的直接发行：发行、流通和回收,中介机构介入的发行,中介机构一般指银行，有银行介入的电子货币的发行、流通.,第五章 网上支付与安全,电 子 货 币 的 分 类,电子货币按流通方式可分为“开环型”电子货币和“闭环型”电子货币。,开环型电子货币：是指余额信息在个人或企业之间可以辗转不断的流通下去，信息的流通路径没有限定的终点。,闭环型电子货币：是指用于一次支付的余额信息必须返回到发行主体。,第五章 网上支付与安全,电 子 货 币 的 分 类,储值卡是指某一行业或公司发行的可代替现金用的IC卡、磁卡或其它卡。,消费者必须用现金购买相同价值的卡，凭卡消费 不计名、不挂失面值较小，一般为20元、50元、100元等,储值卡型电子货币,储值卡的特点主要有：,电 子 货 币 的 分 类,信用卡的概念 信用卡是银行或专门的发行公司发给消费者使用的一种信用凭证，是一种把支付与信贷两项银行基本功能融为一体的业务。,借记卡(Debit Card，属于广义信用卡)：借记卡的特征是“先存款，后支用”，持卡人必须先在发卡机构存款，用款时以存款余额为限不允许透支。贷记卡(Credit Card，属于狭义信用卡)。贷记卡的特征是“先消费，后还款”，持卡人无需先在发卡机构存款，就可享用一定信贷额度的使用权。目前我国发行的信用卡主要是两种功能结合又偏重于“借记”的信用卡。,金融卡：万事达卡(Master Card)、威士卡(Visa Card)、中国银行长城卡等属金融卡或银行卡。非金融卡：加油卡、交通卡、电话卡、商业优惠卡等属非金融卡或非银行卡。,信用卡应用型电子货币,信用卡的类型 按卡的信用性质与功能分类,按发卡机构的性质分类,第五章 网上支付与安全,借记卡,牡丹灵通卡是中国工商银行发行的，在其营业网点、ATM及特约单位联网终端使用的，以人民币结算的借记卡。存、取款：持卡人可凭卡和密码在中国工商银行遍布全国三百多个城市的任何网点办理存、取款或在ATM机办理取款。真正体现“中国工商银行，您身边的银行”。消费：持卡人可在工商银行特约单位购物消费后，凭卡和密码在销售点终端(POS)上转账结算，方便、快捷。转账：持卡人凭卡和密码通过本地营业网点或ATM办理转账，安全而灵活。中间代理业务：持卡人凭卡和密码在本地营业网点或ATM上交纳电费、交通罚没款等各类代付业务，也可办理银证通、基金买卖等业务。,电 子 货 币 的 分 类,第五章 网上支付与安全,电 子 货 币 的 分 类,贷记卡,牡丹贷记卡是中国工商银行发行的，采用国际通行的循环信用消费方式，发卡机构根据持卡人的资信状况给予持卡人授信额度，持卡人在信用额度内先消费、后还款的信用卡。个人卡最高授信可达5万元。对于信用额度内的消费透支，持卡人在对帐单规定的还款日期前全部还款，即可享受最短25天、最长56天的免息还款期。牡丹贷记卡国内通用，以人民币结算，具有信用消费、转帐结算、存取现金等功能。,第五章 网上支付与安全,电 子 货 币 的 分 类,万事达卡,万事达卡国际组织（MasterCard International）,第五章 网上支付与安全,电 子 货 币 的 分 类,威士卡,第五章 网上支付与安全,电 子 货 币 的 分 类,交通卡,电话卡,信用卡应用型电子货币,信用卡的基本功能,可用于支付购买商品、享受服务的款项，是非现金、支票、期票的结算功能。,能够证明持卡人的身份、确认使用者是否本人的功能,将持卡人的属性（身份、密码）、对卡的使用情况等各种数据记录在卡中的功能。,第五章 网上支付与安全,使用消费信用卡代替现镏金到特约商店、酒店、宾馆直接购物、就餐、住宿、增加信用。,电 子 货 币 的 分 类,在信用卡保证金账户储蓄的保证金，一般为两年，按同期定期储蓄计息。备用金则按活期储蓄存款的利息计息。,信用卡的附加服务功能,持卡人凭卡也可在非特约商户购物。,可在开办信用卡务的分支机构，以及不同发卡系统的分支机构通存通兑现金。,持信用卡可在ATM（自动柜员机）上自动存取款、转账、查询余额和修改密码等。,第五章 网上支付与安全,电 子 货 币 的 分 类,应用特点,特约商店无须太多投入即能付于使用。24小时内无论何时均可使用。受理信用卡的商店在全世界数量相当之多。法律和制度方面的问题较少。,存款利用型电子货币是通过计算机通信网络安全移动存款支付以完成结算。现金结算票据交换票据交换是一种集中办理转账清算的制度，一般是在每天固定的时间内通过票据交换组织，互相抵消各自应收应付的票据金额，然后轧付轧收其差额。,存款利用型电子货币,第五章 网上支付与安全,电 子 货 币 的 分 类,现金模拟型电子货币是最接近实体现金的电子货币，一旦得到普及，则对国家的货币体系影响也最大。,现金模拟型电子货币,现金支付的特点,现金在人们日常生活中不可缺少，扮演着重要角色。现金支付具有以下几个特点。现金支付具有“分散处理”的性质 现金支付在付款与收款当事人之间，只需授受现金即可使支付完全终结，无须任何第三者的介入、也无须改写和记录保存在任何地点的账目。现金的稀缺性与信誉性 所有经济主体相信现金本身具有的价值，认为从付款人手中接受的现金可以用于下一次支付，即自己成为债务人时，债权人也能将该现金当作支付手段接受。债权人相信只要接受现金，此外，无须与任何人联络、无须任何确认手续，即可放心地完全回收债权。,第五章 网上支付与安全,现金模拟型电子货币 电子现金的实现电子现金（Electronic cash）是一种以数据形式流通的货币。,现金的实现手段第一种手段：将遵循一定规则排列的一定长度的数字串作为代表纸币或辅币所有信息。现金是“网络型电子货币”的代表，其特点是电子货币本身保管在微机的硬盘中，在网络中使电子货币得到传递和流通。,电 子 货 币 的 分 类,第五章 网上支付与安全,电 子 货 币 的 分 类,电子现金的普及主要的现金模拟型电子货币：,IC卡有两大特点：其一，耐篡改性。即IC卡内存储器中保存的内容无论是读取还是改写在物理上极难实现。这与微机硬盘保存的内容可以简单地读取和改写相比，显然，IC卡型的电子货币安全水平高。其二，IC卡内嵌入的微处理器比微机的计算功能差。现代密码技术大部分依赖于复杂的数值计算，计算功能低的计算机难以进行高强度的密码处理。因此，使用IC卡则难以应用高强度密码，达到高度的逻辑安全性。显然，在这一点上，网络型电子货币的安全水平高。,现金也正在向使用IC卡的方向迈进。,第五章 网上支付与安全,个人信用 个人信用的基本概念个人信用：提供社区家庭人口、住房档案基本信息，记录商业记录、社会公共信息记录及有可能影响个人信息状况的、涉及民事、刑事、行政诉讼和行政处罚的特别记录。个人信用是电子商务的基石。个人信用评级标准,电 子 货 币 的 分 类,第五章 网上支付与安全,电 子 现 金 的 特 点,电子现金的匿名性现金模拟型电子货币仅仅在结算的当事人之间进行脱线的分散处理，因此资金的流向不必由第三者管理和把握，这与使用现金的情况类似，可经实现匿名性。电子现金用于个人支付对现金模拟型电子货币而言，由于结算实行脱线的分散处理，基本上无需第三者访问某些管理系统（例如，信用卡公司的授信管理系统、银行的存款账户管理系统）。信用卡应用型电子货币不能用于个人之间的支付，而电子现金则完全可以。,第五章 网上支付与安全,e现金的安全防范措施,为了防止伪造，对使用中的e现金，必须能够证明是由取得发行权的银行发行的原件。有如发行纸币时，每张纸币上均需盖有银行的印鉴一样。e现金可以通过加盖电子印鉴以防伪。银行加盖印鉴时，银行一方不可能看到每个e现金的序列号，这是采用“盲签名”密码技术的关键所在。为什么每个e现金都需要有一个序列号呢?如果仅仅是为了匿名性的话，一开始就不用序列号也是可以的。实际上，序列号是为了防止通过复制e现金，从而非正当地、恶意地、重复二次、三次地使用。使用e现金支付时的处理过程：,第五章 网上支付与安全,盲 签 名,假设消费者需要从银行支取金额是1元的e现金。首先，用自己的微机启动e现金软件，发出想要支取的指令。然后，微机内自动产生一个表示序列号的随机数字串，再与表示1元金额的数字串合并成一个新的数字串。为了不被他人所知，将该数字串装入电子信封(即加密处理)中，授信给银行。银行收到之后，不开启信封，透过信封对里面的数字串加盖电子印鉴，连信封一起传递回消费者处。消费者从信封中取出盖有银行电子印鉴的数字串，保存到硬盘中。这样就得到了1元金额的e现金。,第五章 网上支付与安全,网上银行的基本概念,网上银行的定义 网上银行也称为网络银行、在线银行，是指利用Internet、Intranet及相关技术处理传统的银行业务及支持电子商务网上支付的新型银行。,网上银行在电子商务中的地位 电子商务强调支付过程和支付手段的电子化。作为电子支付和结算的最终执行者，网上银行起着连结买卖双方的纽带作用，网上银行所提供的电子支付服务是电子商务中最关键要素和最高层次。,第五章 网上支付与安全,网 上 银 行 的 特 点,第五章 网上支付与安全,银 行 基 本 业 务,第五章 网上支付与安全,银 行 基 本 业 务,第五章 网上支付与安全,电子商务网上购物流程,信用卡购物流程网上购物流程,第五章 网上支付与安全,网 上 支 付 模 式,面向商家的MOSET(Merchant Oriented SET)模式持卡人与商家之间通过SSL协议进行连接。MOSET的优点：持卡人不必向CA申请持卡人证书；持卡人购物时只需输入信用卡信息。MOSET的缺点：商户可以看见类似信用卡号码以及到期日的金融数据。无证书SET(Cert Less SET)模式,完全SET模式单纯SSL模式(收银机、POS仿真)SSL协议主要用于浏览器和网络服务器之间的通信。SSL模式的优点：不必修改现有基础设施；持卡人不需要电子钱包软件。SSL模式的缺点：信用卡号码以及相关支付信息对商家可见,第五章 网上支付与安全,电子商务系统安全的概念,由于电子商务是在开放的网上进行的贸易，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理，所以，其安全问题引起了广泛的重视。电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。它包括电子商务系统的硬件安全、软件安全、系统安全、立法安全等。硬件安全是指保护计算机系统硬件(包括外部设备)的安全，保证其自身的可靠性和为系统提供基本安全机制。软件安全是指保护软件和数据不被窜改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。系统运行安全是指保护系统能连续和正常地运行。电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。,第五章 网上支付与安全,电子商务的安全要求,信息传输的保密性信息的保密性是指信息在传输过程或存储中不被他人窃取。交易文件的完整性 信息的完整性是从信息存储和传输两个方面来看的。在存储时，要防止非法窜改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。信息的不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。交易者身份的真实性 交易者身份的真实性是指交易双方确实是存在的，不是假冒的。,第五章 网上支付与安全,信 息 加 密 技 术,加密和解密加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文还原成原来可理解的形式。加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。算法是加密或解密的一步一步的过程。在这个过程中需要一串数字，这个数字就是密钥。密码系统的构成 密码系统的构成如图所示 按密钥的形式可以分为两类：通用密钥密码体制和公开密钥密。,密码系统,第五章 网上支付与安全,信 息 加 密 技 术,通用密钥密码体制通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”。恺撒密码：恺撒密码是于明文的各个字母，根据它在26个英文字母表中的排列位置，按某个固定间隔n变换字母，即得到对应的密文。这个固定间隔的数字n就是加密密钥，也是解密密钥。例如英文单词：cryptography是明文，使用密钥n=4，加密过程如图所示。,密码系统,第五章 网上支付与安全,信 息 加 密 技 术,通用密钥密码体制通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”。恺撒密码：恺撒密码是于明文的各个字母，根据它在26个英文字母表中的排列位置，按某个固定间隔n变换字母，即得到对应的密文。这个固定间隔的数字n就是加密密钥，也是解密密钥。例如英文单词：cryptography是明文，使用密钥n=4，加密过程如图所示。,多表式密码的算法：密钥字串与明文同样长度(也可不同长度)，明文中每一个字母往后移动的间隔，与它在密钥字串中对应的字母本身在字母表中的位置有关。例如：对于HOWAREYOU明文，其密钥为ENGLANDEN，具体算法如下：,明文：CRYPTOGRAPHY密钥：n=4密文：FUBSWRJUDSKB,第五章 网上支付与安全,信 息 加 密 技 术,公开密钥密码体制 公开密钥密码体制的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥(private key)，而加密密钥完全公开，称为公共密钥(public key)。该系统也称为“非对称密码体制”。,kdx,kdy,kdz,公众通信网,密钥中心,Kex,key,kez,.,私人密钥,私人密钥,私人密钥,第五章 网上支付与安全,信 息 加 密 技 术,SHA加密,比较二者若一致,Public Key解密,SHA加密,Privae Key加密,第五章 网上支付与安全,电子商务安全交易方法,数字摘要数字摘要(digital digest)也称安全Hash编码法(SHA)。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文也称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。数字签名数字签名(digital signature)与书面文件签名有相同之处，作用如下：其一，信息是由签名者发送的；其二，信息自签发后到收到为止未曾作过任何修改。,数字时间戳数字时间戳服务(DTS，Digital Timestamp Service)提供电子文件发表时间的安全保护。时间戳是一个经加密后形成的凭证文档，它包括三个部分：一是需加时间戳的文件的摘要；二是DTS收到文件的日期和时间；三是DTS的数字签名。时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后，再对该文件加密(数字签名)，然后送回用户。,信息,摘要,数字签名,数字签名,摘要,摘要,信息,信息被确认,发送,发送方,接受方,第五章 网上支付与安全,数字证书与认证中心,数字证书 数字证书原理数字证书的类型 个人凭证(Personal Digital ID)：企业(服务器)凭证(Server ID)：,第五章 网上支付与安全,数字证书与认证中心,认证中心的作用:证书的颁发证书的查询,证书的作废证书的归档,第五章 网上支付与安全,数字证书与认证中心,认证的分级体系,第五章 网上支付与安全,数字证书与认证中心,数字证书申请责任书,综合应用,第五章 网上支付与安全,SSL 协 议,SSL协议概述,第五章 网上支付与安全,SSL 协 议,SSL的基本结构SSL协议包括两个子协议：SSL记录协议和SSL握手协议。SSL记录协议建立在可靠的传输协议（例如：TCP）上，用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴别。,第五章 网上支付与安全,SET 协 议,SET协议概述 SET协议的设计指导思想 保证信息的加密性：验证交易各方：保证支付的完整性和一致性：保证互操作性：,