移動電子商務(wù) 課件 于強 第7、8章 移動電子商務(wù)支付、移動電子商務(wù)安全

移動電子商務(wù)支付ANNUALCONVENTION20XX第7章目錄CONTENTS移動電子商務(wù)支付基礎(chǔ)知識7.1移動支付系統(tǒng)7.2移動支付模式7.3第三方支付7.4移動電子商務(wù)支付安全與風(fēng)險防范7.5移動電子商務(wù)支付基礎(chǔ)知識7.1移動電子商務(wù)支付基礎(chǔ)知識知識目標(biāo)（1）了解移動電子商務(wù)支付的概念與特點。（2）了解移動電子商務(wù)支付的類型。（3）掌握移動電子商務(wù)支付的流程。技能目標(biāo)（1）能夠區(qū)分移動電子商務(wù)支付的類型。（2）能夠畫出移動電子商務(wù)支付的流程。7.1.1移動電子商務(wù)支付的概念與特點1.移動電子商務(wù)支付的概念移動電子商務(wù)支付即移動支付，也稱手機支付，是指用戶通過手機、智能終端等移動設(shè)備，依托移動通信網(wǎng)絡(luò)或借助智能終端與支付受理終端之間的信息交互技術(shù)發(fā)起支付指令，完成貨幣資金轉(zhuǎn)移的行為。與傳統(tǒng)電子商務(wù)支付相比，移動電子商務(wù)支付增加了移動性和終端的多樣性，無線系統(tǒng)允許用戶訪問移動網(wǎng)絡(luò)覆蓋范圍內(nèi)任何地方的服務(wù)，通過對話交談和文本文件直接溝通。個人手持移動設(shè)備使用廣泛，使移動支付比傳統(tǒng)支付的基礎(chǔ)資源更加雄厚。移動電子商務(wù)支付基礎(chǔ)知識7.1.1移動電子商務(wù)支付的概念與特點1.移動電子商務(wù)支付的特點1移動性2及時性3定制化4集成性移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型1.按獲得商品的渠道分類根據(jù)獲得商品的渠道不同，移動支付可分為移動服務(wù)支付、移動遠程支付、移動現(xiàn)場支付3種類型。（1）移動服務(wù)支付。移動服務(wù)支付是指用戶購買的是基于手機的內(nèi)容或應(yīng)用（如手機鈴聲、手機游戲等），應(yīng)用服務(wù)的平臺與支付費用的平臺相同，皆為手機，以小額支付為主。（2）移動遠程支付。移動遠程支付有兩種方式：一種是支付渠道與購物渠道不同，如通過有線網(wǎng)絡(luò)購買商品或服務(wù)，而通過手機支付費用；另一種是支付渠道與購物渠道相同，都通過手機完成，如通過手機遠程購買彩票等。（3）移動現(xiàn)場支付。移動現(xiàn)場支付是指在購物現(xiàn)場選購商品或服務(wù)，通過手機或移動POS機等支付。移動現(xiàn)場支付有兩種方式：一種是利用移動終端，通過移動通信網(wǎng)絡(luò)與銀行及商家進行通信，完成交易；另一種是只將手機作為IC卡的承載平臺及與POS機的通信工具完成交易。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型2.按交易金額分類根據(jù)交易金額的大小不同，移動支付可分為微支付和宏支付兩種類型。（1）微支付。微支付是指交易金額少于10美元的支付，通常是指購買移動內(nèi)容業(yè)務(wù)，如游戲、視頻下載等。（2）宏支付。宏支付是指交易金額較大、通常不少于10美元的支付，如在線購物。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類根據(jù)業(yè)務(wù)模式的區(qū)別，移動支付可分為手機代繳費、手機錢包、手機銀行、手機信用平臺、手機支付5種類型。（1）手機代繳費。手機代繳費的特點是代繳費的額度較小且支付時間、額度固定，用戶繳納的費用在移動通信費用的賬單中統(tǒng)一結(jié)算，如個人用戶的電子郵箱服務(wù)費代收等。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類（2）手機錢包。①手機錢包的定義。手機錢包是指裝有電子現(xiàn)金、電子零錢、電子信用卡、數(shù)字現(xiàn)金等電子貨幣，常用于在網(wǎng)上進行小額購物的一種電子支付手段。手機錢包是一種新式錢包，實際上是一個用來攜帶電子貨幣的可獨立運行的軟件，其作用與我們?nèi)粘Ｉ钪兴玫腻X包類似。電子商務(wù)活動中的電子錢包通常都是免費提供的，國際上有VISACash和Mondex兩大手機錢包服務(wù)系統(tǒng)，中國銀行也推出了中銀電子錢包等。②手機錢包的特點。雖然手機錢包的功能與日常生活中所用的錢包功能類似，但是手機錢包在應(yīng)用和表現(xiàn)上具有很多優(yōu)勢。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類手機錢包的特點如下圖所示。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類③手機錢包的分類。手機錢包的分類如下表所示。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類（3）手機銀行。手機銀行也稱移動銀行，是一種比較典型的移動電子商務(wù)應(yīng)用。簡單來說，移動銀行就是以手機、平板電腦等移動終端作為銀行業(yè)平臺中的客戶端來完成某些銀行業(yè)務(wù)的。用戶能夠在任何時間、任何地點，通過移動終端以安全的方式完成諸如轉(zhuǎn)賬、交費等業(yè)務(wù)，而不需要親自去銀行或向銀行打電話咨詢。當(dāng)前，在互聯(lián)網(wǎng)金融和利率市場化改革的雙重壓力下，商業(yè)銀行傳統(tǒng)業(yè)務(wù)的盈利空間變得越來越狹窄。為了適應(yīng)互聯(lián)網(wǎng)時代的市場需求，各銀行必須在傳統(tǒng)業(yè)務(wù)之外開展電子銀行業(yè)務(wù)（包括網(wǎng)上銀行、電話銀行、手機銀行、自助銀行及其他離柜業(yè)務(wù)），而手機銀行憑借其成本低、不受時間和地點限制等優(yōu)勢，成為各家商業(yè)銀行今后業(yè)務(wù)發(fā)展的重點。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類（4）手機信用平臺。手機信用平臺的特點是無線網(wǎng)絡(luò)運營商和信用卡發(fā)行單位合作，將用戶手機中的SIM卡等身份認(rèn)證技術(shù)與信用卡身份認(rèn)證技術(shù)相結(jié)合，從而實現(xiàn)一卡多用的功能。例如，在某些場合，接觸式或非接觸式SIM卡可以代替信用卡，用戶只需要提供密碼，即可使用信用資費。（5）手機支付。手機支付是目前運用最廣的移動電子商務(wù)支付方式之一，它在無線網(wǎng)絡(luò)運營商和商業(yè)銀行間加入了第三方機構(gòu)，如中國銀聯(lián)。這種包括第三方機構(gòu)的轉(zhuǎn)接平臺具有“一點接入、多點服務(wù)”的功能。手機支付通常有查詢、繳費、消費、轉(zhuǎn)賬等主要業(yè)務(wù)項目。由于有第三方機構(gòu)的介入，銀行和無線網(wǎng)絡(luò)運營商在技術(shù)、業(yè)務(wù)等方面更易協(xié)調(diào)。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型3.按業(yè)務(wù)模式分類手機支付具有以下幾種類型，如下表所示。移動電子商務(wù)支付基礎(chǔ)知識7.1.2移動電子商務(wù)支付的類型4.按接入方式分類根據(jù)接入方式不同，移動支付可分為5種類型：STK（SIMToolKit）方式、IVR（InteractiveVoiceResponse）方式、USSD（UnstructuredSupplementaryServiceData）方式、WAP方式、Web方式。移動電子商務(wù)支付基礎(chǔ)知識7.1.3移動電子商務(wù)支付的流程在移動支付的流程中，銀行體系和無線網(wǎng)絡(luò)運營商體系是絕對主導(dǎo)者。二者不僅是資金管理機構(gòu)，也是相關(guān)技術(shù)的推動者，而且由于銀行控制資金流，無線網(wǎng)絡(luò)運營商控制手機信息流，二者相輔相成。移動支付的流程如下圖所示。移動電子商務(wù)支付基礎(chǔ)知識移動支付系統(tǒng)7.2移動支付系統(tǒng)知識目標(biāo)（1）熟悉移動支付系統(tǒng)的組成。（2）了解移動支付系統(tǒng)架構(gòu)。技能目標(biāo)（1）能夠說出移動支付系統(tǒng)的組成。（2）能夠畫出移動支付系統(tǒng)架構(gòu)。7.2.1移動支付系統(tǒng)的組成移動支付系統(tǒng)主要由3個部分組成，即消費者前臺消費系統(tǒng)、商家管理系統(tǒng)和無線網(wǎng)絡(luò)運營商手機支付平臺。（1）消費者前臺消費系統(tǒng)。消費者前臺消費系統(tǒng)的作用是保證消費者能夠順利購買到所需的商品和服務(wù)，并可隨時觀察消費明細賬目、余額等信息。（2）商家管理系統(tǒng)。商家管理系統(tǒng)主要用于查看銷售數(shù)據(jù)和利潤分成情況。（3）無線網(wǎng)絡(luò)運營商手機支付平臺。無線網(wǎng)絡(luò)運營商手機支付平臺包括鑒權(quán)系統(tǒng)和計費系統(tǒng)。該平臺既要對消費者的權(quán)限、賬戶等進行審核，又要對商家提供的商品和服務(wù)進行監(jiān)督，看是否符合法律規(guī)定，并為利潤分成最終實現(xiàn)提供技術(shù)保證。移動支付系統(tǒng)7.2.2移動支付系統(tǒng)架構(gòu)移動支付系統(tǒng)的核心是賬戶間資金的安全轉(zhuǎn)移，因此，移動支付系統(tǒng)架構(gòu)應(yīng)該圍繞賬戶體系，結(jié)合移動支付的基本特點進行構(gòu)建。下圖顯示了移動支付系統(tǒng)架構(gòu)。移動支付系統(tǒng)移動支付模式7.3移動支付模式知識目標(biāo)（1）了解遠程支付模式。（2）熟悉近場支付模式。（3）掌握掃碼支付模式。技能目標(biāo)（1）能夠利用NFC功能進行近場支付。（2）能夠利用手機進行掃碼支付。7.3.1遠程支付模式遠程支付是指用戶與商家不是面對面交互，而是通過移動通信網(wǎng)絡(luò)，使用移動終端設(shè)備與后臺服務(wù)器進行交互，由后臺服務(wù)器完成交易處理的支付模式。按照使用的技術(shù)類型，遠程支付主要包括智能短信支付、智能卡支付、無卡支付3種類型。移動支付模式1.智能短信支付智能短信支付要求用戶預(yù)先將手機號與支付賬號綁定，通過手機編輯和發(fā)送短信的形式進行支付。在支付過程中，包含支付信息的指令從用戶的手機發(fā)送到短信處理平臺，系統(tǒng)識別并審核之后，支付信息被發(fā)送到移動電子商務(wù)支付接入平臺，與賬戶的管理系統(tǒng)對接，完成相應(yīng)的支付。整個過程主要由短信處理平臺與移動電子商務(wù)支付接入平臺交互完成支付處理。7.3.1遠程支付模式移動支付模式2.智能卡支付智能卡支付是指用戶通過存儲著支付信息的智能卡進行安全認(rèn)證的遠程支付業(yè)務(wù)。智能卡的一個主要功能就是進行電子支付，包括基于互聯(lián)網(wǎng)平臺為電子商務(wù)服務(wù)的網(wǎng)絡(luò)支付。智能卡具備兩種網(wǎng)絡(luò)支付模式，即智能卡的在線支付模式和離線支付模式。7.3.1遠程支付模式移動支付模式3.無卡支付無卡支付是指用戶通過互聯(lián)網(wǎng)瀏覽器或移動設(shè)備客戶端，經(jīng)互聯(lián)網(wǎng)與支付平臺交互完成支付業(yè)務(wù)。無卡支付可以通過互聯(lián)網(wǎng)、手機、電視或語音的方式，在安全技術(shù)保障前提下，提供銀行卡號、證件信息和手機號等交易要素及支付指令給相應(yīng)支付機構(gòu)，進行信息驗證和交易授權(quán)。例如，用戶通過移動終端在網(wǎng)上電子商務(wù)網(wǎng)站購買商品或服務(wù)時，只需要在相應(yīng)的支付界面中輸入網(wǎng)上銀行賬戶或第三方支付賬戶認(rèn)證信息，即可完成支付；也可以通過手機上的客戶端選擇購買相應(yīng)的商品或服務(wù)，再經(jīng)過手機錢包手機安全支付控件，隨時隨地享受快捷支付服務(wù)。7.3.2近場支付模式移動支付模式1.NFC技術(shù)基礎(chǔ)NFC（NearFieldCommunication）即近場通信，又稱近距離無線通信，是一種短距離、高頻率的無線通信技術(shù)。它允許電子設(shè)備之間進行非接觸式點對點數(shù)據(jù)傳輸。在日常應(yīng)用中，用戶可以使用帶有NFC功能的手機進行刷卡消費。7.3.2近場支付模式移動支付模式2.NFC技術(shù)在手機上的應(yīng)用NFC技術(shù)已經(jīng)被許多手機廠商應(yīng)用，主要包括以下幾個方面。（1）接觸通過。用戶將存儲著票證或門控密碼的NFC手機靠近讀卡器讀取信息即可。（2）接觸支付。用戶將NFC手機靠近嵌有NFC模塊的POS機就可以進行支付，并確認(rèn)交易。（3）接觸瀏覽。用戶可將NFC手機靠近街頭有NFC功能的智能公用電話或海報來瀏覽交通信息等。（4）接觸連接。用戶可把兩個NFC手機相連，進行點對點的數(shù)據(jù)傳輸，如傳輸音樂、圖片和交換通信錄等。（5）下載接觸。用戶可通過GPRS網(wǎng)絡(luò)接收或下載信息，用于支付。7.3.3掃碼支付模式移動支付模式1.二維碼支付二維碼支付使用便捷且成本較低。商家需要提前打印或展示用于收款的二維碼，用戶支付時需要打開手機支付軟件中的掃描功能，掃描商家的收款二維碼，在出現(xiàn)的支付界面中輸入相應(yīng)的付款金額并輸入自己的支付密碼，即可完成支付。7.3.3掃碼支付模式移動支付模式2.付款碼支付在付款碼支付中，商家的收銀系統(tǒng)能夠兼容第三方支付應(yīng)用軟件，而且需要在收銀系統(tǒng)中安裝第三方支付平臺的程序。當(dāng)用戶展示支付軟件中的付款碼進行支付時，商家使用掃描槍掃描付款碼，即可完成支付。第三方支付7.4第三方支付知識目標(biāo)（1）了解第三方支付的概念與特點。（2）掌握第三方支付的基本流程。（3）了解我國第三方支付的發(fā)展現(xiàn)狀。技能目標(biāo)（1）能夠畫出第三方支付的基本流程。（2）能夠描述我國第三方支付的發(fā)展現(xiàn)狀。7.4.1第三方支付的概念與特點1.第三方支付的概念國內(nèi)外眾多學(xué)者從不同角度分別闡述了第三方支付的基本內(nèi)涵。國外第三方支付相關(guān)業(yè)務(wù)的興起時間較早，但較少使用“第三方支付”概念，更多使用“電子支付”“移動支付”“網(wǎng)絡(luò)支付”“在線支付”這類詞匯來表述。Kuttner&Mcandrews將在線支付定義為基于網(wǎng)絡(luò)系統(tǒng)傳遞支付信息，通過網(wǎng)絡(luò)和電子郵件技術(shù)支持個體之間的資金轉(zhuǎn)移，主要用于小額零售支付。DanJ.Kim較早給出的定義認(rèn)為，電子支付是使用商業(yè)和技術(shù)的安全功能，為電子交易業(yè)務(wù)提供便捷的獨立機制和公正機構(gòu)。Sullivan&Wang及Weiner、Bradford、Hayashietal將網(wǎng)絡(luò)支付定義為通過網(wǎng)絡(luò)途徑為消費者提供支付服務(wù)的非銀行機構(gòu)。第三方支付7.4.1第三方支付的概念與特點1.第三方支付的概念國內(nèi)對第三方支付的認(rèn)識大致經(jīng)歷了以下兩個階段。（1）2010年以前，第三方支付主要指以某個特定系統(tǒng)內(nèi)（以銀行為主）網(wǎng)絡(luò)為主要清算平臺的互聯(lián)網(wǎng)支付。（2）自2010年中國人民銀行發(fā)布《非金融機構(gòu)支付服務(wù)管理辦法》及2011年頒發(fā)非金融機構(gòu)支付業(yè)務(wù)許可證以來，第三方支付的范疇得到了外延。第三方支付由原來的互聯(lián)網(wǎng)支付擴展為從事支付業(yè)務(wù)、資金轉(zhuǎn)移服務(wù)的所有非金融機構(gòu)。傳統(tǒng)的第三方支付服務(wù)僅僅指代中介機構(gòu)提供的線上資金轉(zhuǎn)移服務(wù)，而新興的第三方支付服務(wù)還應(yīng)包括移動支付、POS收單等各種線下支付服務(wù)。第三方支付服務(wù)是一種信用中介服務(wù)、一種支付托管行為，其本質(zhì)是通過設(shè)立中間過渡賬戶的形式實現(xiàn)資金的可控性停頓。蔣先玲、徐曉蘭認(rèn)為，第三方支付是指通過信息技術(shù)優(yōu)勢、客戶群體優(yōu)勢為客戶提供支付通道或支付工具，從而最終實現(xiàn)貨幣資金轉(zhuǎn)移的服務(wù)機構(gòu)。第三方支付7.4.1第三方支付的概念與特點1.第三方支付的概念可見，國內(nèi)外均將第三方支付界定為與傳統(tǒng)金融中介有密切業(yè)務(wù)聯(lián)系，為貨幣資金轉(zhuǎn)移提供服務(wù)，但又不同于傳統(tǒng)金融中介的獨立機構(gòu)，而且國內(nèi)界定的范圍比國外窄。國外文獻一般將第三方支付界定為非銀行機構(gòu)，而國內(nèi)大多文獻界定為非金融機構(gòu)。目前，我國大多數(shù)第三方支付機構(gòu)的核心業(yè)務(wù)還只是提供支付通道，因此將其定位于非金融機構(gòu)可能更有利于實施風(fēng)險的謹(jǐn)慎管理。然而，這種定位不利于第三方支付機構(gòu)的持續(xù)創(chuàng)新。隨著風(fēng)險監(jiān)管水平的不斷提高、市場內(nèi)在潛力的不斷挖掘，第三方支付機構(gòu)在聯(lián)通資金收支、沉淀資金、便捷金融投資等方面的功能將越來越突出，金融機構(gòu)的特性也會越來越明顯，因而我國可將其定位逐步過渡為準(zhǔn)金融機構(gòu)，并最終接受金融監(jiān)管。第三方支付7.4.1第三方支付的概念與特點1.第三方支付的概念綜合來看，第三方支付業(yè)務(wù)具體可以劃分為3個不同的子行業(yè)：一是互聯(lián)網(wǎng)支付，二是預(yù)付卡發(fā)行與受理，三是銀行卡直接收單。第三方支付子行業(yè)的基本概念和業(yè)務(wù)內(nèi)容具體如右表所示。第三方支付7.4.1第三方支付的概念與特點2.第三方支付的特點第三方支付具備以下特點。（1）支付結(jié)算便捷。（2）交易成本降低。（3）提供信用保證。（4）邊際效應(yīng)遞增。第三方支付7.4.2第三方支付的基本流程第三方支付平臺通過與銀行合作，面向企業(yè)、政府、事業(yè)單位等組織，為其提供以銀行支付結(jié)算功能為基礎(chǔ)的公正且公立的個性化支付結(jié)算，或者提供其他增值服務(wù)。買家在購買商品或服務(wù)之后，使用第三方支付平臺就能完成支付作業(yè)，由第三方支付平臺通知賣家貨款已付，賣家這時就要交付商品或服務(wù)，第三方支付平臺再把貨款轉(zhuǎn)送到賣家賬戶，交易結(jié)束。右圖展示了第三方支付的基本流程。第三方支付7.4.3我國第三方支付的發(fā)展現(xiàn)狀我國第三方支付的發(fā)展先后經(jīng)歷了以下3個階段。（1）第一階段：網(wǎng)上銀行的快速發(fā)展使行業(yè)快速成長（2005年之前）。（2）第二階段：互聯(lián)網(wǎng)時代的到來使行業(yè)實現(xiàn)較大發(fā)展（2005—2012年）（3）第三階段：移動互聯(lián)網(wǎng)浪潮促使第三方支付實施重大改革（2012年至今）第三方支付1.我國第三方支付的發(fā)展階段7.4.3我國第三方支付的發(fā)展現(xiàn)狀如今，在經(jīng)濟社會發(fā)展、消費者支付習(xí)慣改變、金融電子化、互聯(lián)網(wǎng)快速普及的背景下，第三方支付行業(yè)得到了飛速發(fā)展，逐步形成了以銀聯(lián)商務(wù)、支付寶、財付通為主要品牌的第三方支付集團，業(yè)務(wù)涵蓋網(wǎng)絡(luò)支付、預(yù)付卡發(fā)行與受理、銀行卡收單等方面。其中，在互聯(lián)網(wǎng)支付領(lǐng)域，支付寶、財付通采取搶占入口的策略，借助各自龐大的用戶端群體數(shù)量，借助C2C平臺和自身業(yè)務(wù)將個人用戶與其賬戶支付模式綁定，讓個人用戶逐漸適應(yīng)并依賴其平臺，進而搶占更多客源。而市場中的其他主要平臺則更多采取細分市場策略，以提高專業(yè)化服務(wù)水平為手段拓展市場。自2010年起，在網(wǎng)絡(luò)購物、社交紅包、線下掃碼支付等不同推動力的作用下，2020年，第三方移動支付與第三方互聯(lián)網(wǎng)支付的總規(guī)模達到271萬億元。我國第三方支付憑借便捷、高效、安全的支付體驗，成為國際領(lǐng)先的第三方支付市場。第三方支付2.我國第三方支付的市場規(guī)模移動電子商務(wù)支付安全與風(fēng)險防范7.5移動電子商務(wù)支付安全與風(fēng)險防范知識目標(biāo)（1）了解移動電子商務(wù)支付存在的問題。（2）熟悉移動電子商務(wù)支付安全與技術(shù)。（3）了解移動電子商務(wù)支付安全認(rèn)證與監(jiān)管。（4）掌握移動電子商務(wù)支付的風(fēng)險防范。技能目標(biāo)（1）能夠描述移動電子商務(wù)支付存在的問題。（2）能夠?qū)σ苿与娮由虅?wù)支付的風(fēng)險進行防范。7.5.1移動電子商務(wù)支付存在的問題1.密碼管理不善大部分公司和個人遭受到網(wǎng)絡(luò)攻擊的主要原因是密碼管理不善。大多數(shù)用戶使用的密碼都不是很復(fù)雜。86%的用戶在所有網(wǎng)站上使用的都是同一個密碼或有限的幾個密碼。許多攻擊者還會直接使用軟件強力破解一些安全性弱的密碼。移動電子商務(wù)支付安全與風(fēng)險防范2.非法破譯以非法手段竊取、篡改、刪除、插入數(shù)據(jù)或?qū)τ脩粜诺佬畔⑦M行破譯分析，使用戶數(shù)據(jù)傳輸出現(xiàn)錯誤、丟失、亂序，可能導(dǎo)致用戶數(shù)據(jù)的完整性被破壞，使機密的數(shù)據(jù)內(nèi)容泄露給未被授權(quán)的用戶。7.5.1移動電子商務(wù)支付存在的問題3.網(wǎng)絡(luò)釣魚“網(wǎng)絡(luò)釣魚”攻擊者利用帶有欺騙性的電子郵件、偽造信息或假冒合法商家的身份（如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌），進行非法連接，截獲合法用戶的信息。受騙者往往泄露自己的財務(wù)數(shù)據(jù)，如信用卡號、賬號和密碼等?！熬W(wǎng)絡(luò)釣魚”攻擊者占有或支配受騙者的資源，然后傳送給非法使用者。移動電子商務(wù)支付安全與風(fēng)險防范4.網(wǎng)絡(luò)支付缺乏信用由于網(wǎng)絡(luò)支付虛擬性、超時空性等特點，交易雙方互不相見，也難以客觀地判斷對方的信用等級，致使網(wǎng)絡(luò)支付雙方對對方的信用產(chǎn)生懷疑，也因此阻礙了網(wǎng)絡(luò)支付的發(fā)展。7.5.2移動電子商務(wù)支付安全與技術(shù)1.移動電子商務(wù)支付安全理論上，移動電子商務(wù)支付安全包括實體安全、實體間交互安全，以及為實體安全和實體間交互安全提供支撐的基礎(chǔ)安全3個部分。（1）實體安全。實體是指移動電子商務(wù)支付數(shù)據(jù)傳輸與處理網(wǎng)絡(luò)中，承擔(dān)著各種業(yè)務(wù)處理功能的邏輯組成體，如金融智能IC卡、移動終端、數(shù)據(jù)傳輸與處理系統(tǒng)等。（2）實體間交互安全。實體間交互安全主要是指移動終端與移動支付平臺之間的連接安全、移動終端與商家平臺之間的連接安全、移動終端與可信服務(wù)管理（TrustedServiceManager，TSM）平臺之間的連接安全、商家平臺與支付平臺之間的連接安全、TSM平臺與TSM平臺之間的連接安全。（3）基礎(chǔ)安全?；A(chǔ)安全包括密鑰管理、認(rèn)證體系、密碼算法、安全基礎(chǔ)設(shè)施、電子憑證等。移動電子商務(wù)支付安全與風(fēng)險防范7.5.2移動電子商務(wù)支付安全與技術(shù)2.移動電子商務(wù)支付技術(shù)為保證移動電子商務(wù)支付安全、高效，可采用以下幾種關(guān)鍵技術(shù)。（1）Hash函數(shù)。Hash函數(shù)即摘要函數(shù)，是將任意長度的輸入字符串轉(zhuǎn)化為固定長度的字符串，也稱雜湊函數(shù)或散列函數(shù)。（2）身份認(rèn)證技術(shù)。身份認(rèn)證的主要用途是確保消息擁有真實、可靠的來源。（3）公鑰基礎(chǔ)設(shè)施。公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）是一種以公鑰加密理論及相關(guān)技術(shù)為基礎(chǔ)的向用戶提供信息安全服務(wù)的基礎(chǔ)設(shè)施。（4）數(shù)字簽名。數(shù)字簽名是在待傳輸?shù)臄?shù)據(jù)中附加一些特定的驗證元素，或者對待發(fā)送的信息進行一定程度的密碼變換。（5）密碼技術(shù)。密碼技術(shù)主要研究信息加解密及如何實現(xiàn)密碼破譯。（6）指紋支付技術(shù)。常見的用于移動電子商務(wù)支付的生物識別技術(shù)是指紋支付技術(shù)。移動電子商務(wù)支付安全與風(fēng)險防范7.5.3移動電子商務(wù)支付安全認(rèn)證與監(jiān)管1.我國對第三方移動電子商務(wù)支付的監(jiān)管目前，我國對第三方移動電子商務(wù)支付的監(jiān)管及其意義如右表所示。移動電子商務(wù)支付安全與風(fēng)險防范7.5.3移動電子商務(wù)支付安全認(rèn)證與監(jiān)管2.安全認(rèn)證與監(jiān)管措施監(jiān)管部門對移動電子商務(wù)支付行業(yè)在謹(jǐn)慎中持有寬容的態(tài)度。一方面不斷完善監(jiān)管領(lǐng)域相關(guān)制度，防范控制風(fēng)險；另一方面實行更加靈活的監(jiān)管政策，在保證安全的基礎(chǔ)上對相關(guān)技術(shù)持更加開放的態(tài)度。監(jiān)管部門采取的相關(guān)措施如右表所示。移動電子商務(wù)支付安全與風(fēng)險防范7.5.4移動電子商務(wù)支付的風(fēng)險防范1.移動電子商務(wù)支付存在的安全問題移動電子商務(wù)支付存在的安全問題主要體現(xiàn)在以下幾個方面。（1）移動電子商務(wù)支付設(shè)備安全。（2）移動電子商務(wù)支付用戶信息保護。（3）移動電子商務(wù)支付方式安全。（4）移動電子商務(wù)支付業(yè)務(wù)風(fēng)險。移動電子商務(wù)支付安全與風(fēng)險防范7.5.4移動電子商務(wù)支付的風(fēng)險防范2.防范移動電子商務(wù)支付風(fēng)險的具體措施防范移動電子商務(wù)支付風(fēng)險的具體措施如下。（1）設(shè)備遺失，立即掛失。（2）信息保護，防止盜刷。（3）交易驗證不泄露。（4）防范網(wǎng)絡(luò)詐騙及不規(guī)范的業(yè)務(wù)商品。移動電子商務(wù)支付安全與風(fēng)險防范謝謝觀看移動電子商務(wù)安全ANNUALCONVENTION20XX第8章目錄CONTENTS移動電子商務(wù)安全基礎(chǔ)知識8.1移動電子商務(wù)安全技術(shù)8.2移動電子商務(wù)安全管理措施8.3手機病毒及其防治8.4移動電子商務(wù)安全基礎(chǔ)知識8.1移動電子商務(wù)安全基礎(chǔ)知識知識目標(biāo)（1）了解移動電子商務(wù)安全的概念。（2）了解移動電子商務(wù)的安全問題。（3）熟悉移動電子商務(wù)主要的安全威脅形態(tài)。技能目標(biāo)（1）能夠描述移動電子商務(wù)的安全問題。（2）能夠說出移動電子商務(wù)主要的安全威脅形態(tài)。8.1.1移動電子商務(wù)安全的概念移動電子商務(wù)安全的概念可以從廣義和狹義兩個方面理解。從廣義上講，移動電子商務(wù)安全包括移動電子商務(wù)運行環(huán)境中的各種安全問題，如移動電子商務(wù)的軟硬件安全、運行和管理安全、支付安全等內(nèi)容。從狹義上講，移動電子商務(wù)安全是指移動電子商務(wù)信息的安全，即信息的存儲和傳輸安全。移動電子商務(wù)安全基礎(chǔ)知識1.移動電子商務(wù)技術(shù)上的安全問題移動電子商務(wù)技術(shù)上的安全問題如右圖所示。8.1.2移動電子商務(wù)的安全問題移動電子商務(wù)安全基礎(chǔ)知識2.移動電子商務(wù)管理上的安全問題（1）手機短信的安全管理問題。（2）服務(wù)提供商的安全管理問題。（3）移動終端的安全管理問題。（4）工作人員的安全管理問題。（5）信息安全管理的標(biāo)準(zhǔn)化問題。8.1.2移動電子商務(wù)的安全問題移動電子商務(wù)安全基礎(chǔ)知識1.手機病毒手機病毒也是一種計算機程序，與其他計算機病毒一樣具有傳播性、破壞性。手機病毒可通過短信、彩信、電子郵件、瀏覽網(wǎng)站等方式傳播，導(dǎo)致用戶手機死機、關(guān)機、資料被刪除，甚至損毀SIM卡、芯片等硬件。國內(nèi)普遍認(rèn)為，手機病毒和計算機病毒差不多，不同的是，手機病毒以手機為感染對象，以手機和手機網(wǎng)絡(luò)為傳播平臺，通過短信、電子郵件等方式，對手機或手機網(wǎng)絡(luò)進行攻擊，從而造成手機或手機網(wǎng)絡(luò)異常。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識2.手機木馬木馬（Trojan）這個名字來源于《荷馬史詩》中木馬計的故事，“Trojan”一詞的本意是“特洛伊的”，代指特洛伊木馬。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它既不自我繁殖，也不“刻意”地感染其他文件。它通過偽裝自身以吸引用戶下載執(zhí)行，向施種木馬者提供打開被種手機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種手機。手機木馬嚴(yán)重危害現(xiàn)代網(wǎng)絡(luò)的安全運行。木馬與移動網(wǎng)絡(luò)中常常用到的遠程控制軟件相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性；木馬則完全相反，木馬要實現(xiàn)的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性，就是“毫無價值”的。木馬的遠程控制是指通過一段特定的木馬程序控制另一個移動端。木馬程序一旦運行，控制端將享有服務(wù)端的大部分操作權(quán)限，如給移動設(shè)備增加口令，瀏覽、移動、復(fù)制、刪除文件，修改注冊表，更改移動端配置等。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識2.手機木馬（1）手機木馬的原理。一套完整的木馬程序包含兩個部分：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。被種者是服務(wù)端，而黑客利用控制端進入運行了木馬程序的移動設(shè)備。運行了木馬程序的服務(wù)端會有一個或兩個端口被打開，黑客可以利用這些打開的端口向指定地點發(fā)送數(shù)據(jù)，如網(wǎng)絡(luò)游戲、即時通信軟件密碼和用戶上網(wǎng)密碼等。黑客利用木馬程序打開的端口進入移動設(shè)備系統(tǒng)，那么系統(tǒng)安全和個人隱私也就毫無保障了。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識2.手機木馬（2）手機木馬的特征。手機木馬程序不經(jīng)手機用戶準(zhǔn)許就可獲得手機的使用權(quán)，程序容量十分小，運行時不會耗費太多資源，因此若沒有使用殺毒軟件，是難以發(fā)覺的。手機程序運行時很難阻止它的啟動，運行后，它會立刻自動登錄在系統(tǒng)引導(dǎo)區(qū)，之后每次在系統(tǒng)加載時自動運行，或者立刻自動變更文件名，甚至隱形，或者馬上自動復(fù)制到其他文件夾中。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識移動電子商務(wù)安全技術(shù)8.2移動電子商務(wù)安全技術(shù)知識目標(biāo)（1）了解生物特征識別技術(shù)的概念和熱點技術(shù)。（2）了解加密技術(shù)的概念。（3）熟悉常用的加密技術(shù)。（4）了解WPKI技術(shù)的基礎(chǔ)知識。（5）掌握防火墻技術(shù)的相關(guān)知識。（6）了解數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)。技能目標(biāo)能夠利用各種移動電子商務(wù)安全技術(shù)維護移動電子商務(wù)安全。8.2.1生物特征識別技術(shù)生物特征識別技術(shù)是指通過個體生理特征或行為特征對個體身份進行識別認(rèn)證的技術(shù)。從應(yīng)用流程看，生物特征識別通常分為注冊和識別兩個階段。注冊階段通過傳感器對人體的生物表征信息進行采集，如利用圖像傳感器對指紋和人臉等光學(xué)信息、利用麥克風(fēng)對說話聲等聲學(xué)信息進行采集，利用數(shù)據(jù)預(yù)處理及特征提取技術(shù)對采集的數(shù)據(jù)進行處理，得到相應(yīng)的特征并存儲。識別階段采用與注冊階段一致的信息采集方式對待識別人進行信息采集、數(shù)據(jù)預(yù)處理和特征提取，然后將提取的特征與存儲的特征進行比對分析，完成識別。生物特征識別技術(shù)涉及的內(nèi)容十分廣泛，包括指紋、掌紋、人臉、虹膜、靜脈、聲音、步態(tài)等多種生物特征，識別過程涉及圖像處理、計算機視覺、語音識別、機器學(xué)習(xí)等多項技術(shù)。目前，生物特征識別技術(shù)作為重要的智能化身份認(rèn)證技術(shù)，在金融、公共安全、教育、交通等眾多領(lǐng)域得到廣泛應(yīng)用。移動電子商務(wù)安全技術(shù)1.生物特征識別技術(shù)的概念行業(yè)PPT模板/hangye/1指紋識別2人臉識別3皮膚芯片4步態(tài)識別8.2.1生物特征識別技術(shù)移動電子商務(wù)安全技術(shù)2.生物特征識別的熱點技術(shù)6靜脈識別7視網(wǎng)膜識別8手掌幾何學(xué)識別9DNA識別5虹膜識別10聲音和簽字識別8.2.2加密技術(shù)加密技術(shù)是指利用技術(shù)手段將原始信息變?yōu)殡y以識別的亂碼字符（加密后的信息）進行傳送，到達目的地后再使用相同或不同的手段還原信息（解密）。加密技術(shù)包括兩個基本元素，即算法和密鑰。（1）算法是指將明文與一串字符（密鑰）結(jié)合起來進行加密運算后形成密文。（2）密鑰是在明文轉(zhuǎn)換為密文或密文轉(zhuǎn)換為明文的算法中輸入的一串字符，它可以是數(shù)字、字母、詞匯或語句。移動電子商務(wù)安全技術(shù)1.加密技術(shù)的概念8.2.2加密技術(shù)常用的加密技術(shù)有兩種，即非對稱加密技術(shù)和對稱加密技術(shù)。（1）非對稱加密技術(shù)。1976年，美國學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通信雙方交換信息，安全地達成一致的密鑰，這就是公開密鑰系統(tǒng)。相對于對稱加密算法，這種方法也叫非對稱加密算法。（2）對稱加密技術(shù)。對稱加密技術(shù)在加密和解密的過程中采用同一密鑰，雙方通信時，首先分發(fā)要采用的密鑰，然后信息發(fā)送方使用該密鑰和加密算法將明文轉(zhuǎn)換為密文，接收方收到密文后使用對稱密鑰和解密算法將密文轉(zhuǎn)換為明文。對稱加密的特點是加解密速度快，而且如果密鑰長度合適，則具有較高的保密性。移動電子商務(wù)安全技術(shù)2.常用的加密技術(shù)8.2.3WPKI技術(shù)無線公開密鑰體系（WirelessPublicKeyInfrastructure，WPKI）技術(shù)是根據(jù)無線網(wǎng)絡(luò)連接的特點設(shè)計的一種算法。它是將互聯(lián)網(wǎng)電子商務(wù)中PKI安全機制引入無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書管理平臺體系，用它管理在移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書，可以有效地建立安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境。WPKI并不是一個全新的PKI標(biāo)準(zhǔn)，而是傳統(tǒng)的PKI技術(shù)應(yīng)用于無線網(wǎng)絡(luò)環(huán)境的優(yōu)化擴展。它采用了優(yōu)化的橢圓曲線加密和壓縮的X.509數(shù)字證書。它同樣采用證書管理公開密鑰，通過第三方的可信任機構(gòu)—CA驗證用戶的身份，從而實現(xiàn)信息的安全傳輸。移動電子商務(wù)安全技術(shù)1.WPKI技術(shù)的概念行業(yè)PPT模板/hangye/1WPKI客戶端2CA3RA8.2.3WPKI技術(shù)移動電子商務(wù)安全技術(shù)4數(shù)字證書庫5應(yīng)用接口2.WPKI的組成部分8.2.4防火墻技術(shù)網(wǎng)絡(luò)防火墻是一個硬件和軟件的結(jié)合體，它將一個機構(gòu)的內(nèi)部網(wǎng)絡(luò)和整個互聯(lián)網(wǎng)隔離，允許一些數(shù)據(jù)分組通過，而阻止另外一些數(shù)據(jù)分組通過。網(wǎng)絡(luò)防火墻允許網(wǎng)絡(luò)管理員控制外部世界和被管理網(wǎng)絡(luò)內(nèi)部資源之間的訪問，這種控制是通過管理流入和流出這些資源的流量實現(xiàn)的。移動電子商務(wù)安全技術(shù)1.網(wǎng)絡(luò)防火墻的基本概念8.2.4防火墻技術(shù)（1）按照組成結(jié)構(gòu)分類。按照組成結(jié)構(gòu)，防火墻可分為以下3類。①軟件防火墻。②硬件防火墻。③芯片級防火墻。（2）按照體系結(jié)構(gòu)分類。按照體系結(jié)構(gòu)，防火墻可分為以下兩類。①分組過濾型防火墻。②應(yīng)用程序網(wǎng)關(guān)防火墻。移動電子商務(wù)安全技術(shù)2.防火墻的分類8.2.5數(shù)字簽名技術(shù)數(shù)字簽名是密碼學(xué)中的重要問題之一，手寫簽名的每項業(yè)務(wù)都是數(shù)字簽名的潛在應(yīng)用。數(shù)字簽名可以提供以下基本的密碼服務(wù)：數(shù)據(jù)完整性（確保數(shù)據(jù)沒有未授權(quán)的更改）、真實性（數(shù)據(jù)來源于其聲明的地方）及不可抵賴性。因而，當(dāng)需要對某一實體認(rèn)證、傳輸具有有效性的密鑰及進行密鑰分配時，便可以借助數(shù)字簽名來完成這些任務(wù)。文件的制造者可以在電子文件上簽一個可信、不可偽造、不可改變、不可抵賴的數(shù)字簽名，數(shù)字簽名具有法律效力，簽名者一旦簽名便需要對自己的簽名負(fù)責(zé)。接收者通過驗證簽名來確認(rèn)信息來源正確、內(nèi)容完整并可靠。數(shù)字簽名技術(shù)是非對稱加密技術(shù)的應(yīng)用。使用時，報文發(fā)送方在報文中生成128位的單項Hash值，即報文摘要；報文發(fā)送方用私有密鑰對此摘要進行加密，形成數(shù)字簽名；報文發(fā)送方將數(shù)字簽名和原始報文一起發(fā)送給報文接收方；報文接收方從接收到的原始報文中計算出128位的Hash值，用報文發(fā)送方的公開密鑰對數(shù)字簽名解密。若計算出的兩個Hash值相同，則報文接收方就能確認(rèn)此報文是簽名者發(fā)送的，并且報文在傳輸中保持了完整。移動電子商務(wù)安全技術(shù)8.2.6身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)是指網(wǎng)絡(luò)設(shè)備系統(tǒng)及計算機系統(tǒng)通過有效利用各種技術(shù)手段來識別用戶的身份信息，包括數(shù)字證書身份認(rèn)證、隨機口令身份認(rèn)證及生物特征身份認(rèn)證等技術(shù)。隨機口令身份認(rèn)證主要包括靜態(tài)口令認(rèn)證、USBKEY（USB接口的硬件設(shè)備）認(rèn)證及動態(tài)口令認(rèn)證等幾種認(rèn)證方式；由證書發(fā)行機構(gòu)頒發(fā)的數(shù)字證書可以對各個用戶的身份信息進行標(biāo)記；生物特征身份認(rèn)證指的是通過人臉、掌紋、指紋、視網(wǎng)膜、虹膜等進行用戶身份信息的識別。相同，則報文接收方就能確認(rèn)此報文是簽名者發(fā)送的，并且報文在傳輸中保持了完整。移動電子商務(wù)安全技術(shù)1.身份認(rèn)證技術(shù)的概念8.2.6身份認(rèn)證技術(shù)根據(jù)被認(rèn)證對象的屬性不同，移動電子商務(wù)中的身份認(rèn)證方案可以分為以下3類。（1）口令認(rèn)證。（2）智能卡認(rèn)證。（3）生物特征認(rèn)證。移動電子商務(wù)安全技術(shù)2.身份認(rèn)證方案移動電子商務(wù)安全管理措施8.3移動電子商務(wù)安全管理措施知識目標(biāo)（1）了解移動電子商務(wù)安全管理的技術(shù)措施。（2）了解移動電子商務(wù)安全管理的管理措施。（3）熟悉移動電子商務(wù)安全管理的法律措施。技能目標(biāo)能夠依據(jù)移動電子商務(wù)安全管理措施維護移動電子商務(wù)安全。8.3.1技術(shù)措施在維護移動電子商務(wù)企業(yè)內(nèi)部安全的技術(shù)方面，可以更新和改進傳統(tǒng)的用戶權(quán)限管理技術(shù)，積極引進新的身份識別技術(shù)，如生物特征方面的指紋鎖、聲音鎖和面部特征識別等，以此提升安全性。在基于云計算的互聯(lián)網(wǎng)時代，企業(yè)在維護交易數(shù)據(jù)安全傳輸?shù)募夹g(shù)方面，可以充分利用虛擬服務(wù)器中的實用計算架構(gòu)和管理服務(wù)提供商（ManagedServiceProvider，MSP）架構(gòu)優(yōu)化改良傳統(tǒng)企業(yè)安全防范模式。另外，為了保障移動電子商務(wù)交易活動中最關(guān)鍵的資金流動，特別是移動支付的安全，可以通過透明安裝和智能監(jiān)控機制保證App支付接口安全。移動電子商務(wù)安全管理措施8.3.2管理措施高層管理人員要提高對移動互聯(lián)網(wǎng)安全的重視程度，改變過去重技術(shù)、輕管理的局面，然后與技術(shù)開發(fā)人員一起商定企業(yè)安全防御方案，制定企業(yè)安全標(biāo)準(zhǔn)和條例；技術(shù)開