1、电子支付与电子支付的支持系统,Company Logo,主要内容,第三节网上交易的国际标准和过程,3,第四节 第三方支付网关,4,第一节 电子支付概述,在商品交易、证券交易和货币交易中,交易双方的资金往来,称为支付,1、传统支付方式,2、传统的支付手段对网络经济的局限性:,缺乏方便性 安全性低 缺乏覆盖面 适应性不强 缺乏对微支付的支持网络经济要求电子支付形式的出现与发展,3、电子支付,据中国人民银行发表的第23号电子支付指引公告,电子支付是指单位、个人(以下简称客户)直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。 广义上电子支付主要包括三层含义,一是电子支付工具,包括
2、银行卡和多用途储值卡等卡基支付工具、电子票据以及最近在电子商务中应用较为广泛的网络虚拟货币等新型支付工具;二是电子支付基础设施或渠道,包括ATM、POS、手机、电话等自助终端以及互联网、金融专用网等网络;三是电子支付业务处理系统,主要包括已经建成的中央银行现代化支付系统以及商业银行的行内业务处理系统等。 狭义上的电子支付,也就是通常意义上的电子支付,一般仅指电子支付工具以及相应的电子支付渠道,银行卡交易、网上支付、移动支付等都属于狭义上的电子支付。,3、电子支付的定义,考虑到电子支付的实现方式和支付手段:所谓电子支付,是将传统的支付业务,利用有线、互联网、无线通信技术,延伸到个人、家庭、企业,
3、或利用信息技术,用电子信息流支付指令代替现金支付行为,使得用户可以实现远程支付或即时支付。 考虑到电子支付的基础和实现手段:电子支付是以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,以计算机技术和通信技术为手段,以电子数据形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付。 考虑到电子支付的实现目的:单位、个人通过电子终端,直接或间接向银行业金融机构或其他具有资金转移能力的企业发出支付指令,实现货币支付与资金转移。,4、电子支付的分类:,1)按照采用的通信手段 根据电子支付是否采用通信手段可分为在线支付和离线支付。 在线支付根据采用的通信渠道的不同,
4、又可以分为电话支付、互联网支付、移动支付; 离线支付根据卡的介质分为接触式和非接触式支付。,4、电子支付的分类:,充值卡支付,银行与邮政汇款支付,网上银行支付,第三方支付,电话支付,按支付模式分,2)按支付模式分,4、电子支付的分类,第一种 模式,复制PayPal,支付网关模式,移动支付,3)电子支付产业的三种模式,第二种 模式,第三种 模式,4、电子支付的分类,4)按照支付金额的大小,5、网络支付,网络支付,是指参加电子商务活动的一方向另一方付款的过程,是网上交易当事人(包括消费者、商家和金融机构,使用安全电子支付手段通过公用网络进行的货币支付或资金流转移。1)网络支付只是电子支付的一个子集
5、; 2)电子支付包括很多方式,其中只有在线并且是通过公共网络进行的支付才是网络支付。,5.1网络支付的条件,客户系统、支付网关、安全认证是网络支付的必要条件,也是网络银行运行的技术要求。,5.2 网络支付的特征,网络支付与传统支付方式的本质不同在于网络支 付的一切都是数字的。,网络支付的工作环境主要是基于Internet,同时也使 用VAN,VPN等私有网络处理电子数据交换业务。,5.2 网络支付的特征,Internet的访问费用很低,而其作为通信手段,又拥有使用 方便、内容广泛等特性。,传统支付系统要求完整性,除了要有这些特征外,还有新的要求,即可接受性、适用性、匿名性、效率,数字货币与其他
6、类型货币的可兑换性,可靠性,安全性。,5.3网络支付的安全性问题,5.3.1 网络上的安全问题: 1)网站信息安全的风险; 网站的真实性:用户访问网站时需要确认网站的真实性,由于互联网的广泛性和开放性,使得互联网上存在很多虚假的网站,如何让用户信任自己访问的网站。 信息的机密性:现在大量的网上应用需要用户向应用服务器提交一些隐私及机密信息,同时应用服务器也可能向用户返回一些隐私及机密信息,如何确保这些信息的安全。,5.3.1 网络上的安全问题,2)邮件信息安全的风险,邮件服务器,?,?,?,网管,黑客,冒名者,邮件接收者,5.3.1 网络上的安全问题,作为企业决策者,可以 通过电子邮件向下属发
7、送命令、批示 下属用邮件向您汇报 黑客、网管 可以看到所有你们来往的电子邮件 可以篡改你的信 甚至假冒你发信 究竟谁的权力最大?,2)邮件信息安全的风险,5.3.1 网络上的安全问题,3)网络代码的安全需求 软件开发者通过网络发布各种客户端插件、软件代码或补丁程序,让用户下载或在线安装,但是如何让用户相信其真实性,用户如何判断自己下载或在线安装的代码是真正的软件开发者开发的代码,代码是否未被恶意篡改过,或者是否未被恶意替换过,或者是否是病毒程序; 当今一些主流操作系统(如Windows XP及以上),在安装应用程序时会自动检查该程序的真实性及是否被篡改,如无法验证,在高安全级别下会禁止安装,将
8、导致用户无法安装该程序。,5.3.1 网络上的安全问题,互联网应用存在信息安全隐患,网上应用系统服务器,用户,窃听,篡改,抵赖,?,假冒的站点,假冒的用户,无法真正确认彼此的身份 信息在互联网被窃听,导致信息泄漏 信息被篡改,导致信息不完整 用户对发送信息进行抵赖,没有抗抵赖的依据,5.3.2 数字世界的信息安全要素,机密性问题,完整性问题,审查能力问题,有效性问题,不可抵赖性问题,网络支付的安 全性问题,确认信息的保密,不被窃取,确保你收到信息没有被篡改,有证据保证交易不可抵赖,对数据审查结果进行记录,保证所传输的数据是有效的,5.4 网络支付系统分类,现在世界通用的支付系统不下几十种,根据
9、在线传输数据的种类(加密、分发类型)可以分为四类: 1)使用“信任的第三方”(trusted third party) 2)传统银行转账结算的扩充 3)电子现金(Digital Cash) 4)电子账单呈递支付(EBPP)系统,Company Logo,第二节 CA系统,CA的组要功能,3,CA与电子商务,4,网络安全的整体框架,网络层的安全性,应用程序的安全性,防火墙、VPN,访问授权,身份认证,数据加密、签名,防病毒、入侵检测、漏洞扫描,系统的安全性,数据的安全性,用户的安全性,PKI/CA,安全框架,解决方法,网络通讯的四个安全要素,?,Claims,未发出,未收到,机密性,完整性,身份
10、认证,不可抵赖,拦截,篡改,伪造,通讯是否安全?,发出的信息被篡改过吗?,我在与谁通讯?,是否发出/收到信息?,如何解决电子通讯中的安全要素,密码技术 (加密 & 解密) 对称加密 共享 密钥 非对称加密 公共/私有 密钥对密码技术的特殊应用: 数字签名 数字证书,Digital Certificate,密码技术的基本概念,加密是把明文信息转化为密文的过程 解密是把密文信息还原成明文的过程 加密 / 解密 的过程需要: 一个加密算法和一把密钥 两种加密的类型: 对称加密和非对称加密,对称加密算法,在两个通讯者之间需要一把共享的密钥,非对称加密算法,没有共享的密钥。两把密钥同时产生;一把为公钥,
11、另一把为私钥;因此也被称为一对密钥。,加密,To: The Bank From: Tom Jones Date: 31 Dec 99Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非对称 加密算法,非对称加密算法,To:
12、The Bank From: Tom Jones Date: 31 Dec 99Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非对称 加密算法,解密,没有共享的密钥。两把密钥同时产生;一把为公钥,另一把为私钥;因此也被称
13、为一对密钥。,Company Logo,1.什么是CA,CA(认证中心)是电子商务与网络银行交易最具权威性、可信耐性以及公正性的第三方机构。它的主要任务是为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。,权威的认证机构:CA,证书认证中心 Certificate Authority 提供网络身份认证服务 负责签发和管理数字证书 具有权威性和公正性的第三方信任机构 作用类似于颁发证件的公司 如护照办理机构 在公开体系下,人人都有CA的公钥(人人都信任CA),CA:CA(CertificationAuthority) 是认证机构的国际通称, 是指对数字
14、证书的申请者发放 、管理、取消数字证书的机构。 CA的作用是检查证书持 有者身份的合法性, 并签发证书(在证书上签字), 以防证书被伪造或篡改, 就是证书的认证中心。,Company Logo,1.1CA认证系统的组成,1.2数字证书:电子的身份证,公安局,现实世界:,虚拟世界:,数字证书:身份认证的解决之道!,数字证书 VS 身份证,姓名:王明 序列号:484865 签发者:XXXCA 发布时间:2002-01-01 有效时间:2002-12-31 Email: 公钥:38ighwejb 私钥: 42qdyeipv ,姓名:王明 编号:110104197312061536 签发者:北京市公安
15、局海淀分局 发布时间:2000-04-05 有效期:20年 住址:北京市海淀区中科院南路6号,1.2.1数字证书的颁发,数字证书是由认证中心(CA)颁发的 数字证书颁发过程如下:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。,证书个人信息公钥信息CA的签名信息,Company Logo,1.2.2数字证书,数字证书的类型,代码签名证书和表单
16、签名证书,个人数字证书,单位数字证书,单位员工数字证书,服务器证书,VPN证书,WAP证书,Company Logo,2.CA系统的组成结构,按层次结构分: 认证中心(根CA) 密匙管理中心(KM) 认证下级中心(子CA) 证书审批中心(RA中心) 证书审批受理点(RAT),CA系统的 组成结构,从业务流程: 认证机构 数字证书库 黑名单库 密匙托管处理系统 证书目录服务 证书审批 作废处理系统,3.CA的主要功能,1)自身密匙的产生、存储、备份/恢复、归档和销毁。 2)提供安全密匙管理服务 3)提供密匙生成和分发服务 4)提供密匙托管与恢复服务 5)确定客户密匙生存周期,实施密匙吊销和更新管
17、理 6)其他密匙生成和管理、密匙运算功能,数字证书生命期,4、CA与电子商务,Company Logo,第三节 网上交易的国际过程,1.SSL协议,1.1 什么是SSL SSL (Secure socket Layer)安全套接层协议是一种在客户端和服务器端之间建立安全通道的协议,主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。 SSL一经提出,就在Internet上得到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全,消除用户在Intern
18、et上数据传输的安全顾虑。,1.2基于SSL的一个完整的Web访问过程,1.客户机浏览器的数字证书和公钥,2.服务器的数字证书和公钥,3.用服务器的公钥加密信息,4.用服务器的私钥解密信息,5.用客户机浏览器的公钥加密会话密钥,6.用客户机浏览器的私钥解密信息,7.用会话密钥加密传输的数据,客户端,服务器,2. SET协议,2.1 什么事SET SET协议是应用层协议,由Master Card和Visa以及其他一些业界的主流厂商设计发布,是一种基于消息流的协议,用于保证在公共网络,特别是Internet上进行银行卡支付交易的安全性,能够有效地防止电子商务中的各种诈骗。它是目前已经标准化并且被业
19、界所广泛接受的一种基于信用卡的付款机制。,2.2 SET协议的三个阶段,持 卡 人,商 家,银 行,1、购买请求阶段,2、支付认定阶段,3、受款阶段,2.3SET协议的主要目标,保障付款安全; 确保应用的互通性; 达到全球市场的接受性。SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。,2.4 SET协议的模型,发卡行,用户,企业服务器,认证机构(CA),商家,开户,认证,认证,SET协议,SET协议,订单、支付指令(数字签名、加密),2.5 SET协议的处理逻辑,2.5.1 SET购物流程,持 卡 人 ( 消 费 者 ),特 约 商 店,收 单 银 行,1、确认商店的合
20、法性,2、提交商店的证书,3、数字签名、订单和电子证书,4、请求交易授权,5、交易授权回复,6、订单确认,完成交易,7、请款要求,8、请款回复,8.3.2 SET完整处理流程分析,整个处理流程对持卡人来说是透明的,软件自动完成。 SET支付处理基本流程包括: 持卡人注册 商家注册 购买请求 支付授权 支付获得,(1)持卡人注册,持卡人 初始化注册持卡人接收响应 并请求注册表持卡人接收注册表 并请求证书持卡人接收证书,CA发出响应CA处理请求并 发出注册表CA处理请求并 发出证书,初始化请求初始化响应注册表请求注册表持卡人证书请求持卡人证书,持卡人计算机,CA,(2)商家注册,商家请求注册表商家
21、接收注册表 和请求证书商家接收证书,CA处理请求并 发出注册表CA处理请求并 发出证书,初始化请求注册表 商家证书请求商家证书,商家计算机,CA,(3)购买请求,持卡人 初始化注册持卡人接收响应 和发出请求持卡人接收 购买响应,商家发出证书商家处理 请求信息,初始化请求初始化响应商家订购请求商家响应,持卡人计算机,商家,(4)支付授权,商家请求授权商家处理响应,支付网关 处理授权,授权请求授权响应,商家计算机,支付网关处理,1)商家请求授权 2)支付网关处理授权请求 OI识别号PI 3)商家处理响应,授权响应消息:发卡行的响应;支付网关的签名证书;可选的请款标记;,支付授权三个步骤,(5)支付
22、请款,商家请求付款商家处理响应,支付网关 处理请款,商家计算机,支付网关,请款请求请款响应,Company Logo,第四节 第三方支付网关,1、什么是第三方支付,第三方支付的概念,所谓第三方支付,就是一些和产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达、进行发货;买方检验物品后,就可以通知付款给卖家,第三方再将款项转至卖家账户。,2.第三方支付模式,2.1 账户型支付模式,交易平台型账户支付模式是指第三方支付平台机构具有交易平台(如支付宝
23、就有淘宝网作为其交易平台),该模式中买卖双方达成付款意向后,由买方将款项划至其在支付平台上的账户,待卖家发货给买家,买家收货后通知第三方支付平台,第三方支付平台再将买方划来的款项从买家的账户中划至卖家的账户。此类模式的典型代表是支付宝。,无交易平台型账户支付模式是指第三方支付平台机构没有独立的交易平台(如易宝支付就没有独立交易平台),该模式是指买卖双方均在第三方支付平台内部开立账号,第三方支付公司负责按照付款方指令将款项从其账户中划付给收款方账户,以电子货币为介质(付款人的账户资金需要从银行账户充值)完成网上款项支付,使支付交易只在支付平台系统内循环。此类模式有代表性的是快钱,易宝支付。,2.
24、2 网关型支付模式,支付网关模式是指支付平台只作为支付通道将客户发出的支付指令传递给银行,银行完成转账后再将信息传递给支付平台,支付平台将此信息通知商户并与商户进行账户结算。支付网关位于Internet 和传统的银行专网之间,其主要作用是安全连接Internet 和专网,起到隔离和保护专网的作用。 在支付网关模式下,第三方支付平台扮演着“通道”的角色,并没有实际涉及银行的支付和清算,只是传递了支付指令,2.3 多种手段结合模式,多种支付手段结合模式是指第三方电子支付公司利用电话支付、移动支付和网上支付等多种方式提供支付平台的模式。这种模式比起电脑上的操作,更多的在于其他方式(如手机、终端)的操作。典型代表为拉卡啦。,3、第三方支付网关的举例,支付宝 财付通 安付通 PAYPAL贝宝 快钱 首信易支付 拉卡拉 嗖!付,
