電子支付安全實(shí)現(xiàn)

新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材電子商務(wù)安全技術(shù)與應(yīng)用主編梁永生e電子商務(wù)安全技術(shù)與應(yīng)用學(xué)習(xí)情境1客戶端安全設(shè)置新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建學(xué)習(xí)情境3信息傳輸安全構(gòu)建學(xué)習(xí)情境4服務(wù)器安全設(shè)置學(xué)習(xí)情境5電子支付安全實(shí)現(xiàn)學(xué)習(xí)情境描述

子學(xué)習(xí)情境1

安全電子支付平臺(tái)構(gòu)建目錄新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材學(xué)習(xí)情境5電子支付安全實(shí)現(xiàn)安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境1子學(xué)習(xí)情境任務(wù)描述通過(guò)一個(gè)完整的網(wǎng)上購(gòu)物與安全電子支付平臺(tái)構(gòu)建過(guò)程的介紹，引出電子支付系統(tǒng)的構(gòu)成、流程、常見(jiàn)電子支付方式等內(nèi)容的。讓學(xué)生對(duì)電子支付在整個(gè)電子商務(wù)中的重要性有著深刻的理解，具備進(jìn)行網(wǎng)上安全支付的能力及基于電子支付安全協(xié)議建立安全交易平臺(tái)的能力。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.1電子支付系統(tǒng)的概述

電子支付還處在發(fā)展過(guò)程中，關(guān)于電子支付并沒(méi)有完整、統(tǒng)一的定義。1989年，美國(guó)法律學(xué)會(huì)批準(zhǔn)的《統(tǒng)一商業(yè)法規(guī)》對(duì)電子支付作了如下定義：電子支付是支付命令發(fā)送方把存放在商業(yè)銀行的資金，通過(guò)一條網(wǎng)絡(luò)線路劃入收益方開(kāi)戶銀行，以支付給收益方的一系列轉(zhuǎn)移過(guò)程。通常認(rèn)為電子商務(wù)支付系統(tǒng)是電子商務(wù)系統(tǒng)的重要組成部分，它指的是消費(fèi)者、商家和金融機(jī)構(gòu)之間使用安全電子手段交換商品或服務(wù)，即把新型支付手段（包括電子現(xiàn)金（E-CA-SH）、信用卡（CREDITCARD）、借記卡（DEBITCARD）、智能卡等）的支付信息通過(guò)網(wǎng)絡(luò)安全傳送到銀行或相應(yīng)的處理機(jī)構(gòu)，來(lái)實(shí)現(xiàn)電子支付。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.1電子支付系統(tǒng)的概述

目前在電子商務(wù)支付結(jié)算過(guò)程主要采用兩種基本方式，即傳統(tǒng)的支付方式和網(wǎng)上（電子）支付方式，如圖5-1所示。圖5-1電子商務(wù)的支付方式安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.2電子支付的發(fā)展階段

隨著信息技術(shù)的發(fā)展，電子支付也經(jīng)歷了五個(gè)發(fā)展階段：第一階段銀行利用計(jì)算機(jī)及網(wǎng)絡(luò)處理銀行之間的業(yè)務(wù)，辦理結(jié)算；第二階段銀行與其他機(jī)構(gòu)之間計(jì)算機(jī)之間資金的結(jié)算，如代發(fā)工資等業(yè)務(wù)；第三階段利用網(wǎng)絡(luò)終端向客戶提供各項(xiàng)銀行服務(wù)，如為客戶在自動(dòng)柜員機(jī)(ATM)上提供的取存款服務(wù)等；安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.2電子支付的發(fā)展階段

隨著信息技術(shù)的發(fā)展，電子支付也經(jīng)歷了五個(gè)發(fā)展階段：第四階段利用銀行銷售點(diǎn)終端(POS)向客戶提供自動(dòng)的劃賬服務(wù)，這是現(xiàn)階段電子支付的主要方式；第五階段通過(guò)因特網(wǎng)進(jìn)行直接轉(zhuǎn)賬結(jié)算，即網(wǎng)上支付，是電子支付發(fā)展的最新階段，是未來(lái)電子商務(wù)發(fā)展的主要形式，指的是電子交易的當(dāng)事人使用安全電子支付手段通過(guò)因特網(wǎng)進(jìn)行的貨幣支付或資金流轉(zhuǎn)。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.3電子支付的特點(diǎn)

與傳統(tǒng)的支付方式相比較，電子支付具有以下特點(diǎn)。

1. 電子支付是在開(kāi)放的網(wǎng)絡(luò)系統(tǒng)中以先進(jìn)信息技術(shù)來(lái)完成信息傳輸，其各種支付方式都是采用數(shù)字化的方式進(jìn)行款項(xiàng)支付的，而傳統(tǒng)的交易支付方式則以傳統(tǒng)的通信媒介通過(guò)現(xiàn)金流轉(zhuǎn)、票據(jù)轉(zhuǎn)讓和銀行的匯兌等物理實(shí)體來(lái)完成款項(xiàng)的支付。

2. 電子支付的工作環(huán)境是基于一個(gè)開(kāi)放的系統(tǒng)平臺(tái)(互聯(lián)網(wǎng))，而傳統(tǒng)支付則是在較為封閉的系統(tǒng)中運(yùn)作。

3. 電子支付對(duì)軟、硬件設(shè)施的要求很高，一般要求有聯(lián)網(wǎng)的微機(jī)、相關(guān)的軟件及其一些配套設(shè)施，而傳統(tǒng)的交易支付方式對(duì)實(shí)施沒(méi)有什么特殊的要求安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.3電子支付的特點(diǎn)

與傳統(tǒng)的支付方式相比較，電子支付具有以下特點(diǎn)。

4. 電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)，用戶只要擁有一臺(tái)聯(lián)網(wǎng)的微機(jī)，便可足不出戶，在很短的時(shí)間內(nèi)完成整個(gè)支付過(guò)程。支付費(fèi)用僅相當(dāng)于傳統(tǒng)支付方法的幾十分之一，甚至幾百分之一。

5. 由于電子支付工具、支付過(guò)程具有無(wú)形化的特征，它將傳統(tǒng)支付方式中面對(duì)面的信用關(guān)系虛擬化。如對(duì)支付工具的安全管理不是依靠普通的防偽技術(shù)，而是通過(guò)用戶密碼，軟硬件加、解密系統(tǒng)以及路由器等網(wǎng)絡(luò)設(shè)備的安全保護(hù)功能來(lái)實(shí)現(xiàn)的；為保證支付工具的通用性，需制定一系列標(biāo)準(zhǔn)。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.4電子支付的流程

對(duì)于電子支付，銀行的參與是必須的，電子支付體系必須借助銀行的支付工具、支付系統(tǒng)以及金融專用網(wǎng)才能最終得以實(shí)現(xiàn)。網(wǎng)上交易流程一般包括如下幾個(gè)步驟（圖5-2）：

1．消費(fèi)者向商戶發(fā)送購(gòu)物請(qǐng)求，

2．商戶把消費(fèi)者的支付指令通過(guò)支付網(wǎng)點(diǎn)送往商戶開(kāi)戶行(收單行)；

3．收單行通過(guò)專用網(wǎng)絡(luò)從消費(fèi)者開(kāi)戶行(發(fā)卡行)取得支付授權(quán)后，把授權(quán)信息送回商戶；安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.4電子支付的流程

對(duì)于電子支付，銀行的參與是必須的，電子支付體系必須借助銀行的支付工具、支付系統(tǒng)以及金融專用網(wǎng)才能最終得以實(shí)現(xiàn)。網(wǎng)上交易流程一般包括如下幾個(gè)步驟（圖5-2）：

4．商戶取得授權(quán)后，向消費(fèi)者發(fā)送購(gòu)物回應(yīng)信息。

5．如果支付獲取與支付授權(quán)并非同時(shí)完成的話，商戶還要通過(guò)支付網(wǎng)關(guān)向收單行發(fā)送支付獲取請(qǐng)求，以把該筆交易的金額轉(zhuǎn)賬到商戶帳戶中；

6．銀行之間則通過(guò)自身的支付清算網(wǎng)絡(luò)來(lái)完成最后的行間清算。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境1圖5-2網(wǎng)上支付流程安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.5

電子支付系統(tǒng)的構(gòu)成

電子商務(wù)的電子支付系統(tǒng)基本構(gòu)成包括活動(dòng)參與的主體、支付方式以及遵循的支付協(xié)議等幾個(gè)部分?；顒?dòng)參與的主體包括客戶、商家、銀行和認(rèn)證中心四個(gè)部分。電子支付系統(tǒng)的基本構(gòu)成如圖5-3所示。

1．客戶：是指與某商家有交易關(guān)系并在交易中負(fù)有債務(wù)的一方?？蛻羰褂弥Ц豆ぞ哌M(jìn)行網(wǎng)上支付，是支付系統(tǒng)運(yùn)作的原因和起點(diǎn)。

2．商家:商家是商品交易中擁有債權(quán)的另一方。商家可以根據(jù)客戶發(fā)出的支付指令向金融體系請(qǐng)求資金入賬。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.5

電子支付系統(tǒng)的構(gòu)成

3．銀行:圖5-3電子支付系統(tǒng)的基本構(gòu)成安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.5

電子支付系統(tǒng)的構(gòu)成

電子商務(wù)的電子支付系統(tǒng)基本構(gòu)成包括活動(dòng)參與的主體、支付方式以及遵循的支付協(xié)議等幾個(gè)部分?；顒?dòng)參與的主體包括客戶、商家、銀行和認(rèn)證中心四個(gè)部分。電子支付系統(tǒng)的基本構(gòu)成如圖5-3所示。

4．認(rèn)證機(jī)構(gòu):負(fù)責(zé)為參與電子商務(wù)的各方（包括商家、客戶、支付網(wǎng)關(guān)）發(fā)放數(shù)字證書(shū)以確認(rèn)各方身份，保證電子支付的安全性。網(wǎng)上支付系統(tǒng)使傳統(tǒng)的信用關(guān)系虛擬化，代表支付結(jié)算關(guān)系的參與者只不過(guò)是網(wǎng)絡(luò)上的電子數(shù)據(jù)。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

1．安全套接層(SecureSocketsLayer，SSL)協(xié)議安全套接層(SecureSocketsLayer，SSL)是一種傳輸層技術(shù)，由Netscape開(kāi)發(fā)，可以實(shí)現(xiàn)兼容瀏覽器和服務(wù)器(通常是Web服務(wù)器)之間的安全通信。SSL協(xié)議是目前網(wǎng)上購(gòu)物網(wǎng)站中常使用的一種安全協(xié)議。使用它在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的安全性，讓瀏覽器和Web服務(wù)器能夠安全地進(jìn)行溝通。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

SSL標(biāo)準(zhǔn)的工作流程主要包括以下幾步：SSL客戶機(jī)向SSL服務(wù)器發(fā)出連接建立請(qǐng)求，SSL服務(wù)器響應(yīng)SSL客戶機(jī)的請(qǐng)求；SSL客戶機(jī)與SSL服務(wù)器交換雙方認(rèn)可的密碼，一般采用的加密算法是RSA算法；檢驗(yàn)SSL服務(wù)器得到的密碼是否正確，并驗(yàn)證SSL客戶機(jī)的可信程度；SSL客戶機(jī)與SSL服務(wù)器交換結(jié)束的信息。圖5-4所示是SSL標(biāo)準(zhǔn)的工作原理。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

圖5-4SSL工作過(guò)程安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

2．安全電子交易(SecureElectronicTransaction，SET)協(xié)議在開(kāi)放的因特網(wǎng)上進(jìn)行電子商務(wù)，如何保證交易雙方傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及的最重要的問(wèn)題。在電子商務(wù)的交易過(guò)程中，首先是交流信息和需求，進(jìn)行磋商；接著是交換單證；最后是電子支付。特別是電子支付涉及到資金、賬戶、信用卡、銀行等一系列對(duì)貨幣最敏感的部門(mén)，因此對(duì)安全有非常高的要求。SSL安全協(xié)議有缺點(diǎn)，不足以擔(dān)此重任。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

1.SET的主要目標(biāo)

SET安全協(xié)議要達(dá)到的目標(biāo)主要有5個(gè)。

(1)

信息傳輸?shù)陌踩?/p>

(2)

信息的相互隔離

(3)

多方認(rèn)證的解決

(4)

效仿EDI貿(mào)易形式，要求軟件遵循相同協(xié)議和報(bào)文格式，使不同廠家開(kāi)發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。

(5)

交易的實(shí)時(shí)性安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

2.SET的交易成員

(1)持卡人——消費(fèi)者：

(2)網(wǎng)上商家：

(3)收單銀行：

(4)支付網(wǎng)關(guān)：

(5)發(fā)卡銀行——電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行：

(6)認(rèn)證中心CA——可信賴、公正的組織：安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

3.SET的技術(shù)范圍

SET的技術(shù)范圍包括以下幾方面。

(1)加密算法。

(2)證書(shū)信息和對(duì)象格式。

(3)購(gòu)買信息和對(duì)象格式。

(4)認(rèn)可信息和對(duì)象格式。

(5)劃賬信息和對(duì)象格式。

(6)對(duì)話實(shí)體之間消息的傳輸協(xié)議。

安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

4.SET軟件的組件

SET系統(tǒng)的動(dòng)作是通過(guò)4個(gè)軟件來(lái)完成的，包括電子錢(qián)包、商店服務(wù)器、支付網(wǎng)關(guān)和認(rèn)證中心軟件，這4個(gè)軟件分別存儲(chǔ)在持卡人、網(wǎng)上商店、銀行以及認(rèn)證中心的計(jì)算機(jī)中，相互運(yùn)作來(lái)完成整個(gè)SET交易服務(wù)，如圖5-5所示。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.6支付協(xié)議

圖5-5SET軟件系統(tǒng)的組件安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.7

電子支付技術(shù)

1．網(wǎng)上支付技術(shù)

網(wǎng)上支付是電子支付的一種形式。廣義地講，網(wǎng)上支付是以互聯(lián)網(wǎng)為基礎(chǔ)，利用銀行所支持的某種數(shù)字金融工具，發(fā)生在購(gòu)買者和銷售者之間的金融交換，而實(shí)現(xiàn)從買者到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等過(guò)程，由此電子商務(wù)服務(wù)和其它服務(wù)提供金融支持。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.7

電子支付技術(shù)

2．移動(dòng)支付技術(shù)

移動(dòng)支付主要是基于手機(jī)銀行基礎(chǔ)上的一種新型的支付模式，其特點(diǎn)是可隨處支付，交易時(shí)間短。手機(jī)銀行指通過(guò)GSM網(wǎng)絡(luò)將客戶手機(jī)連接至銀行，利用手機(jī)界面直接完成各種金融理財(cái)和支付服務(wù)等的虛擬銀行，目前有短信手機(jī)銀行和STK卡手機(jī)銀行。要使用手機(jī)支付,客戶必須在銀行開(kāi)通手機(jī)銀行服務(wù)，將銀行賬號(hào)與手機(jī)綁定,商家必須在銀行開(kāi)設(shè)結(jié)算賬戶。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.7

電子支付技術(shù)

3．POS支付技術(shù)

POS系統(tǒng)指通過(guò)自動(dòng)讀取設(shè)備在銷售商品時(shí)直接讀取商品銷售信息,并通過(guò)通信網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)傳送至有關(guān)部門(mén)進(jìn)行分析加工以提高經(jīng)營(yíng)效率的系統(tǒng)。POS是pointofsales的縮寫(xiě),銷售時(shí)點(diǎn)信息POS系統(tǒng)是指通過(guò)自動(dòng)讀取設(shè)備（如收銀機(jī)）在銷售商品時(shí)直接讀取商品銷售信息（如商品名、價(jià)格等），并通過(guò)通信網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)傳送至有關(guān)部門(mén)進(jìn)行分析加工以提高經(jīng)營(yíng)效率的系統(tǒng)。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.8電子支付安全技術(shù)

電子支付安全技術(shù)在電子商務(wù)安全管理占有很重要的位置，這也是電子商務(wù)安全管理的一個(gè)明顯的特點(diǎn)。電子支付安全技術(shù)并不僅僅限于安全技術(shù)的采用，而是一系列風(fēng)險(xiǎn)管理控制措施的總和，現(xiàn)階段通常采取了如下的安全措施：（1）電子支付服務(wù)提供商為每個(gè)用戶頒發(fā)一個(gè)全球通用的個(gè)人數(shù)字證書(shū)用于登錄電子支付服務(wù)系統(tǒng)的真實(shí)身份認(rèn)證和用于每個(gè)交易的數(shù)字簽名，從而杜絕了口令泄露而造成的損失和提供了交易不可否認(rèn)的證據(jù)。還可以使用公用電腦的用戶使用USBKey型硬件移動(dòng)數(shù)字證書(shū)來(lái)確保用戶的真實(shí)身份。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.8電子支付安全技術(shù)

（2）由于每個(gè)用戶都有全球通用的個(gè)人數(shù)字證書(shū)，不僅可以用于身份認(rèn)證快速安全登錄電子支付服務(wù)系統(tǒng)，還可以用于電子郵件數(shù)字簽名和電子郵件內(nèi)容加密，所有電子支付服務(wù)提供商與用戶之間的電子郵件通信內(nèi)容都是使用數(shù)字證書(shū)加密的，只有用戶本人使用其個(gè)人數(shù)字證書(shū)才能閱讀，而其他人即使在電子郵件服務(wù)器端或電子郵件傳輸過(guò)程中非法竊取電子郵件支付內(nèi)容，但由于需要使用用戶的個(gè)人數(shù)字證書(shū)才能閱讀而無(wú)法閱讀其內(nèi)容，從而保證了用戶的資金收付安全。安全電子支付平臺(tái)構(gòu)建學(xué)習(xí)情境5子學(xué)習(xí)情境15.1.8電子支