网上支付.ppt

网上支付,对外经济贸易大学现代服务业研究中心,主要内容,网络金融服务网上支付的安全保证机制网上支付方式网上支付的发展,因特网络（INTERNET）,计算机网络连接形式,分布式广域网络连接公共数据网络CHINAPACCHINADDN电话专线拨号电话线其他连线,广域网络,INTERNET商业应用,经济信息查询业务联系途径商业广告发布在线金融交易电子商务服务,电子商务环境,电子商务系统,网络商场的构架,企业金融服务发展趋势,银行,交易,保障,社会,统一应用,数字化应用虚拟化,各国政府的七大政策挑战,电子商务的政策问题：网际网络的基础设施法律条例架构交易安全隐私问题税务电子货币,电子商务主要的安全要素,1、有效性2、机密性3、完整性4、不可抵赖性5、可审查性,金融支付方式的发展,电子货币支付方式：代表着电子货币支付发展的不同阶段。第一阶段是银行利用计算机处理银行之间的货币汇划业务，办理汇划结算；第二阶段是银行计算机与其他机构计算机之间资金的汇划，如代发工资等业务；第三阶段是利用网络终端向客户提供各项银行服务，如客户在自动柜员机（ATM）上进行取、存款操作等；第四阶段是利用银行销售点终端（POS）向客户提供自动的扣款服务，这是现在阶段电子货币支付的主要方式；第五阶段是最新发展阶段，电子货币可随时随地通过公共网络（INTERNET）进行直接转帐结算，形成电子商务环境。这是正在发展的形式，也将是主要金融支付方式。,电子货币系统,电子货币：是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。电子货币系统包括：电子支票系统信用卡系统电子现金系统电子货币具有以下特点：以电子计算机技术为依托，进行储存支付和流通；应用广泛，可广泛应用于生产、交换、分配和消费领域；融储蓄、信贷和非现金结算等多种功能为一体；电子货币具有使用简便、安全、迅速、可靠的特征；现在阶段电子货币的使用通常以银行卡（磁卡、智能卡）为媒体；,银行卡系统与功能图,银行卡系统竞争趋势,卡的形式,货币卡,识别卡,虚拟卡,业务发展,分散,专业化重组,统一化,数据资源,操作记录,资源记录,动态记录中心,形态发展,银行化,金融化,社会化,电子商务时代的金融服务,（1）家庭银行：家庭银行可提供完整方便的个人金融服务。个人可随时仅使用个人计算机或其他工具进入网上银行，进行支票、储蓄、货币市场、存款帐户的信息查询和管理等，可检查当前帐户余额，划拨资金。（2）企业在线银行：在线银行为企业或个人工商户提供信息查询、货币支付、储蓄业务、结算、在线投资等服务。例如发布金融信息（产品的现行利率和月费用），完成基本支票业务（提供多种支付方式，联机明细表和注册登记，已结算的支票联机记录和金融报告），货币市场服务，信用卡业务，基本储蓄业务等。（3）网上购物与消费：电子商务环境要求商场、厂家、政府管理部门（税务、工商、海关等）、银行以及认证机构连接网络，形成信息流、物流和资金流的通畅。客户通过网上商场可进行商品预览、定货、金融支付等商务活动；个人可进行在线定票、购物、娱乐等消费,网络银行对电子商务的支持,支付活动信用活动经济发展决策与战略活动创新活动风险保护企业改造社会保障,网络银行的发展,传统业务的实现银行间的业务处理投资、理财等新业务的开发个性化服务企业发展服务商业过程支持个人服务系统,银行模型,网络银行支付过程,支付模式,网络银行客户关系,交易流程,1.OI,5.确认,网上支付标准,PKI标准：公共密钥体系(Public Key Infrastructure)SSL标准：安全套接层协议（Secure Sockets Layer）SET标准：安全电子交易标准(Secure Electronic Transactions，简称 SET)X5.95标准：帐户数字签名工业标准(Account Authority Digital Signatures,or AADS),提供了标准化信用卡处理和帐户管理方法。X.509标准：电子商务证书发放标准（ISO/IEC/ITU X.509，基于PKI，简称PKIX)X.500标准：电子出版目录查询标准（目录服务协议LDAP（X.500协议）,PKI,新的安全技术和安全规范。PKI必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统。,SSL安全协议,SSL安全协议主要提供三方面的服务：认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性，确保数据在传输过程中不被改变。,SET安全协议,SET协议要达到的的目标主要有五个：保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。保证了网上交易的实时性，使所有的支付过程都是在线的。效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。,SET安全协议涉及的范围,）消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。）在线商店，提供商品或服务，具备相应电子货币使用的条件。）收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题。）电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。）认证中心（CA）。负责对交易对方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。,数字证书,认证机构发放的数字证书目前主要应用于：安全的电子邮件系统安全通信信用卡网上安全支付。电子商务中认证证书标准。ISO/IEC/ITU X.509标准对证书格式的定义已被广泛接受（1988年为Ver 1，1993年为Ver 2，1996年发布Ver 3）。,证书标准（x.509）,X.509的具体内容 X.509标准是在通用的网络安全工具如公共密钥加密系统和使用CA(Certificate Authority,证书管理机构),被用以保证在Internet及内部网上传送数据的安全的认证标准。它基于公共密钥密码格式。X.509证书已用于许多网络安全应用程序,其中包括IP安全(IPSec)、安全套层(SSL)、安全电子交易(SET)、安全多用途 Internet邮件扩展(S/MIME)、NON-SET认证等。,X.500电子出版目录查询标准,目录服务网络应用。目录中按一定的格式记录了现实世界中大量对象的信息，供用户（人，计算机应用程序等）做各种频繁查询和相对少量的修改。实现目录服务的方式有多种，但目前趋于统一到ITU-TX.500系列建议标准。CCITT在1988年制定了第一版X.500建议，后ITU-T又在1993年做了显著的修订和补充，产生了第二版建议（但版本编号仍为1），ISO接受了此建议，把它作为ISO/IEC9594国际标准。,安全认证中心CA,CA是受一个或多个用户信任，提供用户身份验证的第三方机构。认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是认证中心（Root CA），它是所有人公认的权威，如人民银行总行的CA。,认证中心的主要功能,1、证书的颁发2、证书的更新3、证书的查询4、证书的作废5、证书的归档,安全认证的法律问题,安全认证需要的法律问题包括：社会信用电子签名法电子交易法认证管理法律,认证中心应有的管理机制,认证中心（CA）是进行网上合法身份和合法交易认证的权威证明机构，它依据国家法律、法规开展工作。它坚持公平、公正、信誉第一的原则，起到维护网上金融信誉、防止金融诈骗的作用。认证CA以独立于认证用户（商家和消费者）和参与者（检查和使用证书的相关方）的第三方的地位证明网上活动的合法有效性。其本身不从事商业业务，不进行网上采购和消费活动。它接受国家政府部门的监督和管理。认证中心具有独立法人地位，为用户管理认证证书；认证用户自原向认证中心申请认证证书以开展电子商务活动；参与方是自愿加入认证中心的会员单位，必须接受有效证书的信用，完成用户涉及的电子商务活动。,电子商务中各方的义务,1）认证中心：发布用户认证证书、管理认证证书、保证认证的安全可靠，其本身必须满足管理、操作于系统的有关要求。对参与者进行严格的审查和认证保证发放的证书具有可靠的权威性和信任度发布可靠及时的认证信息2）认证用户（商家、消费者等）：合法使用认证机制、获得证书，开展电子商务活动。报出本身准确的相关信息 及时检查证书内容和信息妥善包管好私人密钥及时汇报出现的问题，例如密钥泄露、交易异常等现象3）参与者（银行等其他相关方）：合法使用认证机制，按照有关规定进行电子商务操作。检查证书本身的合法有效性、进行证书失效检查通过其他方法确认证书的可靠性、保证业务24小时正常运行,电子商务中各方的责任,1）、认证中心负有责任：由于管理漏洞出现问题，存在犯罪活动引起用户损失；由于CA方密钥泄露出现问题，引起用户损失；由于认证操作出现问题，证书不完善引起用户损失；由于失效信息发布问题，引起用户损失；由于用户注册信息泄露引起的用户损失；由于CA系统和设备问题（停机、终止、信息丢失等）引起的用户损失。,2）、用户责任：用户信息问题出现的损失；个人密钥丢失没有及时通知CA 引起的损失证书不全时进行交易产生的损失非法使用证书产生的损失3）参与者责任：证书检查不严格产生的损失；密钥泄露产生的损失；用户个人信息泄露产生的损失；超限制额度交易产生的损失；其他非法交易产生的损失。,认证中心的认证操作规则,1）组织规则独立的中间机构：认证中心是独立于交易双方的中间机构，发挥权威作用：认证中心必须以信誉为基础，获得公认的权威可靠性。严格的内部管理制度：保证操作安全和信息安全。2）操作规则操作要求：规定操作要求。安全控制规则：规定个人活动范围、处理的业务、期限和权限。密钥管理规则：规定密钥产生、传输和管理的责任制度。审核规则：规定定期审核制度。3）信息控制规则认证声明：公开有关认证活动的责任、义务、操作方式及相关措施。信息公开制度：发布相关认证信息，例如证书生效、失效等公开信息。用户信息保护制度：保护认证中心、用户的机密信息。,网上问题处理,网上交易出现纠纷问题后，可由当事人提出仲裁申请，上级政府机关进行仲裁处理；如需要上诉，可上诉法院解决。具体程序为：问题申诉程序分级仲裁措施政府部门协调问题处理依据,网上支付,网上支付形式：银行卡电子支票电子现金安全性要求 完整认证(知道与谁交流)信息完整 无拒付支付 有效的查帐机制 隐私权,非安全性要求 低成本 大型金融机构普遍性技术可度量 交易模式的一般性,企业间的支付形式与发展,典型的B TO B模式下。传统支付方式有：汇款支付支票支付转帐支付,电子支付仍在发展之中，其支付方式将有如下形式：企业信用卡卡支付电子支票支付电子转帐支付信用认证支付,网上电子货币的发展,网上金融服务已经在世界范围内开展。网络金融服务包括了人们的各种需要内容，网上消费、网上银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行及时电子支付与结算。Internet上的电子货币系统发展非常快，典型的电子货币包括：电子支票系统（E-checkNetBillNetCheque）信用卡系统（CyberCashFirst VirtualHolding）数字化电子现金系统（MONDEXNetCashDigicash）,信用卡支付,1、信用卡支付：买方通过网上从卖方订货，而信用卡信息通过电话、传真等非网上传送，或者信用卡信息在互联网上传送，但无任何安全措施，卖方与银行之间使用各自现有的银行商家专用网络授权来检查信用卡的真伪。2、通过第三方代理人的支付：买方在线或离线在第三方代理人处开账号，第三方代理人持有买方信用卡号和账号；买方用账号从卖方在线订货，即将账号传送给卖方；卖方将买方账号提供给第三方代理人，第三方代理人验证账号信息，将验证信息返回给卖方；卖方确定接收订货。3、加密信用卡支付：使用简单加密信用卡模式付费时，当信用卡信息被买方输入浏览器窗口或其他电子商务设备时，信用卡信息就被简单加密，安全地作为加密信息通过网络从买方向卖方传递。采用的加密协议有SHTTP、SSL等。4、安全电子交易SET信用卡支付：SET是一种应用于因特网环境下，以信用卡为基础的安全电子支付系统的协议，它给出了一套电子交易的过程规范。通过SET这一套完备的安全电子交易协议可以实现电子商务交易中的加密、认证机制、密钥管理机制等，保证在开放网络上使用信用卡进行在线购物的安全。,电子支票系统,电子支票（e-check或e-cheque）支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输，从而控制安全性。这种方式已经较为完善。电子支票支付现在发展的主要问题是今后将逐步过渡到公共互联网络上进行传输。电子支票支付遵循金融服务技术联盟（FSTC，Financial Services Technology Consortium）提的BIP（Bank Internet Payment）标准（草案）。典型的电子支票系统有E-check、NetBill、NetCheque等。,Echeck,Echeck（www.echeck.org）是由美国金融服务技术联合会（The Financial Services Technology Consortium，FSTC）组织开发的电子支票系统，也是目前最有影响的电子支票项目。按照支票管理和日常业务支票处理分开进行的原则，Echeck电子支票系统分为两个系统：电子支票管理系统和电子支票业务系统。电子支票管理系统负责电子账户的开户、电子支票的发放等。电子支票业务系统负责日常业务中电子支票的使用和挂失等，它又分成银行业务系统和客户端处理系统两部分。银行业务系统负责通过EMAIL接受电子支票、处理电子支票、与传统银行支票处理系统进行交互处理。客户端处理系统负责“填写”电子支票（包括附加数字证书、账单和生成签名）、加密发送、接收后解密、验证签名、背书、“填写”进账单（包括附加数字证书、账单和生成签名）等。,Echeck,电子现金系统,电子现金：又称数字现金，是网上付款方式中最主要取代纸币的支付手段，包含电子现金的客户加密银行帐户就是电子钱包，既可以由网上直接下载，也可以由网络银行提供的光盘安装，一些银行甚至直接用普通信用卡代替电子钱包的功能。全球最大的国际性电子现金是MONDEX，它的支付系统精华在于电子价值(Value)存在于芯片中，且可以很安全地在卡片的芯片之间转换，银行、特约商店及消费者对应不同等级的MONDEX卡。它允许超市、酒吧、食品等商户和客户之间直接进行电子现金交易，无需通过中央电脑系统这一环节，且每张卡可储有5种主要货币。目前它已在美国、加拿大、澳洲、新西兰、南非以及日本和中国香港等世界各地的形成规模之势。电子现金MONDEX是英国MONDEX开发的电子货币系统，目前在世界上已经有了广泛的应用，其企业标准成为了行业的事实标准。,电子现金的种类,电子现金支付已经有三种典型的实用系统开始使用，分别是：Mondex,Netcash,Digicash。Mondex：欧洲使用的、以智能卡为电子钱包的电子现金支付系统，应用于多种用途，具有信息存储、电子钱包、安全密码锁等功能，安全可靠。Netcash：可记录的匿名电子现金支付系统。主要特点是设置分级货币服务器来验证和管理电子现金，其中电子交易的安全性得到保证。DigiCash：无条件匿名电子现金支付系统。主要特点是通过数字记录现金，集中控制和管理现金，是一种足够安全的电子交易系统。,网络支付的基本要求,电子商务是在Internet开放式网络环境下商务活动，原来的专用银行网络下的支付体系必须经过相应的改造才能实现在Internet电子商务条件下的支付应用。电子商务支付体系的基本要求是按照国际规范建设、电子支付安全可靠、银行共享支持、手段方便灵活：国际标准的支付体系 银行共享支付网络系统 多种形式的支付手段 方便灵活的电子货币系统 安全可靠的支付环境,对体系建设的要求,系统建设采取统一规划、应用国际标准、进行互连互通；行业协商制定建设方案、连接标准、应用模式；允许多种支付手段的应用；银行卡的应用作为主要的应用工具；安全建设作为重要的环节；认证体系需要首先建立，支付手段不断扩充；保证支付手段的实用性，中小性企业可以使用。,发展模式,电子商务支付系统应该是全面电子化处理、及时清算的系统。我国电子支付的发展表现为，用户将使用统一的银行账户，在电子商务中通过互连网络，依靠传统银行系统进行支付活动，其发展模式是如下三层结构：前端多种形式：开发多种支付手段来满足需要；中端国际标准：使用国际保证协议保证系统的安全可靠，并确保世界通用；后端银行系统：支付最终要通过现有银行实现，可共享银行数据库系统，充分利用银行的各种资源。,电子商务支付模式的操作,行业协商建设：保障支付的通用性和通用性；第三方认证制：保证认证的平等、有效；市场带动体系：通过市场的需要带动支付系统建设和使用；示范模式建设：通过典型的系统环境的建设，从试点城市扩展到全国、从试点企业扩展到普通企业；国家政策支持：鼓励电子商务支付手段的开发和使用，要求支付系统的互连互通，政府严格要求电子货币的统计、监管和控制。,冲击和影响,新的模式将改变长期以来银行系统的各自建设电子化系统的格局，必须建设互连互通的网络系统和支付体系，对我国现形状态的冲击和影响表现在：银行的竞争从系统环境建设转变到服务内容质量上；大小银行处在同一竞争水平上；竞争将加剧；需要树立金融部门的合作意识，协商将成为电子商务发展的主流；促进电子商务认证与安全管理的发展，形成新的服务内容；加强我国的国际化合作，提高人们国际化的认识、应用与发展；扩大了电子货币的应用规模，加快了国家经济建设；国际化矛盾加剧、国家政策、监管与合作将十分重要。,对策与建议,统一规划并指导建设电子商务支付应用认证体系，包括认证政策、技术规范、管理办法；通过第三方建立认证体系，保证平等管理、商业经营、合法监督、数据保存，支付记录等保障。完善银行卡支付在电子商务中的应用环境，提供银联系统实现银行卡之间的通用性、建设更加方便、灵活的共享性接入环境设备，特别是个人（零售）支付方面实现离线支付方式。发挥电子商务的特点，将电子支付方式应用到中小型商业与消费企业，促进我国电子货币的应用。建设良好的安全保障体系，保证支付及其过程的安全性、可靠性。参加国际电子商务支付体系建设，发展符合国际规范、通用的认证制度、管理方法及应用模型。为保证电子商务支付体系建设，应该采取如下保证措施：组织体系：独立的认证体系、行业的支付系统、国际化的管理模式标准；政策制度：鼓励电子商务支付系统建设、允许多种形式的支付手段、提高电子货币的应用程度、帮助中小企业发展电子支付应用产品；管理模式：市场机制管理模式，进行电子数据化管理、统计，推广优秀企业、产品。促进电子支付的建设何应用发展；建设模式：鼓励行业组织进行系统建设、标准讨论与应用、支付手段创新，保障系统的互连互通、支付的通畅、电子货币的安全；从市场的竞争的商业模式建设中国的支付前端体系，安全接入国家的现代化支付系统。,