《电子商务07电子支付与电子商务安全保障.ppt》由会员分享,可在线阅读,更多相关《电子商务07电子支付与电子商务安全保障.ppt(71页珍藏版)》请在三一文库上搜索。
1、1,主讲人:王江涛 E-mail: QQ:188288646,电子商务,2,第07章 电子支付与电子商务安全保障,3,案例许霆案 2006年4月21日晚10时,许霆来到天河区黄埔大道某银行的ATM取款机取款。结果取出1000元后,他惊讶地发现银行卡账户里只被扣了1元,狂喜之下,许霆连续取款5.4万元。当晚,许霆回到住处,将此事告诉了同伴郭安山。两人随即再次前往提款,之后反复操作多次。后经警方查实,许霆先后取款171笔,合计17.5万元;郭安山则取款1.8万元。事后,二人各携赃款潜逃。,4,案例许霆案 同年11月7日,郭安山向公安机关投案自首,并全额退还赃款1.8万元。经天河区法院审理后,法院认
2、定其构成盗窃罪,但考虑到其自首并主动退赃,故对其判处有期徒刑一年,并处罚金1000元。而潜逃一年的许霆,17.5万元赃款因投资失败而挥霍一空,今年5月在陕西宝鸡火车站被警方抓获。日前,广州市中院审理后认为,被告许霆以非法侵占为目的,伙同同案人采用秘密手段,盗窃金融机构,数额特别巨大,行为已构成盗窃罪,遂判处无期徒刑,剥夺政治权利终身,并处没收个人全部财产。 被告不服,提起上诉,2008年2月22日重审,二审中被告律师在法庭上高呼:“柜员机,你知罪吗?”;二审结束后,许霆被判5年,被告不服,继续上诉,终审仍然被判5年。,5,此事过后,有漫画以此讽刺银行: 某老伯在银行取钱后在柜台上反复清点,银行
3、柜台人员都不耐烦了,说:“我们是国家银行,不会少给你钱的”,老伯回答:“我不是怕少给了,我是怕多给了抓我坐牢!” 思考我们问题是:电子支付安全吗?,6,一、电子支付概述 (一)电子支付的发展阶段 传统商务活动资金结算方式: 现金、 支票、 信用卡 1.电子支付概述 以计算机和通信技术为手段,通过计算机网络以电子信息传递的形式进行的支付,是以在线方式进行的买卖双方的金融交换。 你尝试过哪些电子支付方式?(例举),一、电子支付概述,7,2.银行进行电子货币支付主要有5种形式,并分别代表了5个发展阶段: (1)第1阶段:银行利用计算机处理银行间的货币汇划业务,办理汇划结算; (2)第2阶段:银行计算
4、机与其他机构的计算机之间进行资金汇划结算,如代发工资,代交水电费等。 (3)第3阶段:银行利用自动柜员机(ATM)等网络终端向客户提供各项银行服务,如客户在ATM机上进行存取款操作。 (4)第4阶段:银行通过销售终端(POS)向客户提供自动的扣款服务,这也是现阶段电子支付的主要形式。 (5)第5阶段:电子货币可以随时随地地通过互联网进行直接的转账结算,以资金流的畅通来支持电子商务, 这是电子支付的最新发展阶段,又称为网上支付或在线支付。,一、电子支付概述,8,案例富安百货刷卡记 1.杨家坪富安刷卡被盯梢(当时并不知道,事后公安机关调出录像证实) 2.发现卡中金额被盗 3.报案、书面提请银行付款
5、(银行不管) 4.通过监控录像我的同事亲眼目睹了,犯罪嫌疑人如何在银行ATM机上用了七天时间通过枚举方法,制作一张完全合格的信用卡。其中我的同事更觉不可思议的是,在制卡过程中,犯罪嫌疑人还拿一张制作还不是完全合格(就是只能查询但不能取款的假卡)到建行柜台作存款检验并获取更多的帐户信息,继续制卡,直到完全合格 5.状告银行 6.现状,9,(二)电子支付在电子商务中的特点 1.传统支付的弱点: (1)交易双方必须同时同地 (2)为防止欺诈、透支等问题,支付结算过程往往有一定的延期 (3)不适合大量小额支付(支付成本相对太高) 2.电子支付的特点 (1)以计算机技术为支撑 (2)集储蓄、信贷和非现金
6、结算等多种功能为一体 (3)可胜于各个领域 (4)使用安全、简便、迅速、可靠 (5)通过网络进行,一、电子支付概述,10,(三)电子支付的主要技术工具 电子现金 信用卡 电子支票 电子钱包 智能卡 共同特点: 采用电子货币,并支付小额支付。 电子货币是作为由银行或金融机构支持的数字化的最终方式,分为先付电子货币和后付电子货币两类。,一、电子支付概述,11,电子支付系统的整体架构,一、电子支付概述,12,二、电子现金 (一)电子现金及其持有方式 1.概念: 电子现金又叫数字现金,是一种以数据形式流通的货币。电子现金把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的市值。
7、用户在开展电子现金业务的银行开设账户并在账户内存钱后,就可以在接受电子现金的商店购物。,二、电子现金,13,2.电子现金的基本特性: (1)货币价值性 电子现金必须得到银行的支付与承认,用户可以随时将电子现金与传统现金进行对账。 (2)可交换性 电子现金作为一种支付结算方式,必须要能够与其他的电子现金、纸币现金进行交换。 (3)可存储性 电子现金必须可储存,比如存储于计算机的外在、智能卡或者其他设备上,并在需要时进行电子现金的检索和交换。 (4)不可重复性 电子现金和实际通货一样,只能支付一次。由于电子现金不像纸币那样是一个实物,当甲支付给乙后,甲就不再拥有已经支付出去的现金了。电子现金只是一
8、些数字,本身具有无形性,所以要防止同一笔电子现金的复制和双重使用。,二、电子现金,14,(5)匿名性 电子现金与实际通货一样,也具有匿名性,这样买卖双方在使用电子现金时都能避免暴露自己的身份,匿名性也防止了销售商未经客户同意收集有关个人或组织的消费习惯等信息。 (6)可分解性 电子现金与纸币现金的一个重要区别,与纸币现金受所发行的纸币单位的影响不同,电子现金可以根据交易方达成的协议来决定支付单位的大小,电子现金的不同单位和其真实价值都能独立于现实现金进行定义,不受现实现金体系的限制。,二、电子现金,15,2003年,网络游戏“红月”玩家李宏晨发现,自己辛苦获得的游戏装备在一夜之间消失,为此他将
9、“红月”经营者北极冰科技公司告上法庭。 李某诉称,他玩此游戏已有两年,并且在两个ID中曾拥有许多“生化武器”,2003年2月17日 ,他发现其中一个ID中所拥有的装备全部不翼而飞。虽然他多次与被告联系,但对方都拒绝协助找回丢失的装备。李某要求被告赔偿他丢失的各种装备,并赔偿精神损失费10000元。 被告方称:李某所称的两个ID在注册时,没有使用真实姓名,李某不能证明他就是这两个ID的玩家;且不能就虚拟装备被盗提供证明;即使能够提供证明,根据游戏规则,公司也不应承担任何责任。 经过调查,“红月”游戏服务器存在外挂程序,该外挂程序形成漏洞并导致了李某的损失。2003年一审判定李某胜诉,要求被告赔偿
10、李某。被告不服,再次上诉,2004年终审维持原判。,案例:首例虚拟货币骗取案,16,3.电子现金的持有方式 电子现金的持有方式有两种:在线存储和离线存储 (1)在线存储电子现金 意味着消费者不需要自己拥有电子现金,而是由一个可信赖的第三方(如电子银行)参与到所有的电子现金转账过程中,它们持有消费者的现金账号。 在线存储电子现金系统要求商家先同消费者的开启银行联系,然后再接收消费者的购买请求。这样做的目的是通过检查消费者所提供的电子现金是否有效来防止可能发生的欺诈行为。 (2)离线存储电子现金 离线存储电子现金是在消费者自己的钱包里保存虚拟的电子货币,由消费者自己持有电子现金,不需要可信的第三方
11、参与交易。但这样往往容易发生欺诈事件,所以需要利用手段和技术来防止同一笔电子现金的重复使用及其他各种欺诈行为。 思考我们使用的校园卡是在线存储还是离线存储?,二、电子现金,17,(二)电子现金的使用 1.基本原理 电子现金采用基于公开密钥的方法,采用一对密钥:一个用于上锁(加密,私钥),另一个用于开锁(解密,公钥)。用其中一个密钥加密的信息只能用另一个密钥解密。加密密钥必须秘密保存,而解密密钥则可以公开。 如下述方法(某种简化的方法):,二、电子现金,18,一个极大的质数(公钥)*另一个极大的质数(私钥)*若干加密算法*身份信息加密的密文 那么,密文内容由于已经加密,无法直接解读,公钥公开,那
12、么在没有私钥的情况下,无法得知身份信息。 F(A,B,C)=D A-公钥 B-私钥 C-身份信息 D密文 F(X)算法 那么如果要证明C有效,需要正确的公钥(公开的证书)、正确的私钥(用户的密码+验证信息)、算法(保密),密文(不需要知道具体内容,但要保证一致),二、电子现金,19,例某人的身份信息为转换为ASCII码为12345,已知公钥为1395771,私钥为15131751,加密算法为INT(公钥*私钥)/1000)*9341+身份信息(数字证书) ,则 密文INT(1395771+15131751)/1000)*9341+12345 =INT(16527522/1000)*9341+1
13、2345 =INT(16527.522)*9341+12345 =16527*9341+12345 =154391052 现在假设身份信息保密,公钥1395771公开,密文保密,加密算法保密,私钥保密,你能求出身份信息(数字证书)吗? 思考如果要证明身份信息有效如何证明? 用户提供私钥,银行支付系统提供算法,那么在已知公钥的前提下,配合用户的身份信息(某个电子证书)可以再次得到密文,将此密文与银行系统存储的一比较,看是否相同,即可认可该身份是否有效。 该方法为非常简化的示例,实际算法中将有很多变化和类型,其计算过程不可逆。在缺乏私钥的情况下,无法通过密文倒推出身份信息。,二、电子现金,20,2
14、.购买电子现金,二、电子现金,21,3.使用电子现金 用户购买电子现金,其计算机上的电子现金软件就会存储下由银行签名的数字货币。然后用户就可以在任何接受该电子现金的商店中使用电子现金,既不必开设账户,也不必传送信用卡号码。在用户进行支付结算时,电子现金软件会从该用户所存储的电子现金中传送付出所需金额的电子货币。 在进行具体支付时有两种类型:双方和三方 (1)双方支付方式 主要涉及到买卖双方,这时卖方可以用银行的公开密钥来检查电子现金的数字签名,没有问题,卖方就在其计算机中存储下该笔电子现金,然后再通过银行把该电子现金的票面价值存入到自己的账户。 例与公交乘车卡类似的方法,二、电子现金,22,(
15、2)三方支付方式 电子现金发给卖方后,卖方直接把它传送给发行该电子现金的银行,由银行来检验该电子现金的有效性,并确认该电子现金未被重复使用,随后将其价值传入卖方的账户。 4.双方支付方式存在的问题及其解决 由于在许多情况下,存在重复使用的可能性,所以一般不使用双方支付方式。 为了防止电子现金的重复使用,可以利用加密算法来追踪电子现金持有人并防止其篡改。(如可以采用复杂的双锁技术,当某人试图重复消费时发出警告并立即暴露持有人的身份-平时采用匿名机制),二、电子现金,23,5.电子现金匿名方法,二、电子现金,24,(三)电子现金的优缺点 1.电子现金的优点 (1)更方便更有效 (2)成本更低廉 (
16、3)交易成本与交易距离无关 (4)人人都可以使用 (5)不需要特殊认证 2.电子现金的缺点(请参阅电子交通乘车卡理解) (1)征税困难(电子现金验证以追踪) (2)可能被用来洗钱(匿名采购,公开销售获利) (3)被伪造(存在较小的可能性) (4)无法找零(领出后不利用找零),二、电子现金,25,(四)各种电子现金系统,二、电子现金,26,案例易宝支付,27,案例易宝支付,28,案例巨人网络的网上充值,29,案例巨人网络的网上充值,30,案例快钱,31,案例快钱 特点:需要双重登录以保证安全:,32,案例快钱,33,案例快钱,34,案例快钱,35,案例快钱,36,案例快钱,37,三、信用卡 (一
17、)信用卡概述 在线交易中,有相当一部分的支付是通过信用卡(贷记卡)和借记卡来进行结算的。这些卡是由金融机构发行的,授权持卡人可以在商家进行记账消费的支付工具。对于信用卡而言,一般是根据用户的信用限制事先设定一个消费限度,用户在支付时,可以花光卡上的余额,并透支一定的额度(借记卡则不能透支)。 (二)信用卡概述 1.使用信用卡涉及的角色 持卡人、商家、发卡银行、商家开户银行、信用卡公司,三、信用卡,38,2.网上银行信用卡支付类型 (1)使用不加密信用卡信息的方式进行支付 问题1:安全性 问题2:身份认证 (2)使用加密信用卡信息的方式进行支付 传送信用卡前先对信息进行加密 问题:交易成本导致小
18、额支付的限制 (3)使用第3方验证的方式进行支付 通过第3方收款、证实,达到解决安全和认证的问题。,三、信用卡,39,3.信用卡支付的处理,40,四、虚拟信用卡 (一)虚拟信用卡的含义 虚拟信用卡(virtual credit card)是信用卡发卡行给每个用户一个特殊交易号码,可以替代标准信用卡用于在线支付。 (二)虚拟信用卡产生的缘由 虽然网上消费发展迅速,但许多消费者对于在网上使用信用卡仍然有所顾虑。虚拟信用卡就是针对消费者的这种心理而设计的。 消费者在网上购物时,首先要向银行卡管理公司提取一个随机号码,这个号码与其信用卡号是对应的,然后用这个号码就可以在网上购物了。通常,这个随机号码只
19、能使用一次,因此虚拟信用卡也被称为“一次性卡”。,四、虚拟信用卡,41,(三)虚拟信用卡的优缺点: 1.优点: (1)使用方便 (2)避免非法盗取 2.缺点: (1)虚拟卡号只能一次性有效 (2)不能用于续付款项的支付 (四)虚拟信用卡的实例: 1.美国万国宝公司推出的“Private Payments”(秘密支付)虚拟信用卡服务 2.腾讯和兴业银行推出的“QQ秀”卡(国内第一张虚实合一的网上购物信用卡),四、虚拟信用卡,42,五、网络银行 (一)网络银行概述 网络银行是伴随着互联网的发展、依托信息技术而兴起的一种新兴的银行服务手段。 1.网络银行概念: 网络银行是指通过网络设备和其他电子手段
20、为客户提供产品和服务的银行。 2. 网络银行包括三要素: (1)必须具备互联网及其他电子通信手段的支持。 (2)有基于电子通信形式的金融服务提供者,如提供电子金融服务的银行或其他金融机构 (3)有基于电子通信形式的金融服务消费者,如以电子通信形式消费的各类终端用户。,五、网络银行,43,3.网络银行的分类 (1)分支型网络银行 是指现有的传统银行设立的网络银行,其类似于该银行的其他物理分支机构或柜台,对其一般采用与物理分支机构相类似的政策。 (2)纯网络型银行 本身就是一家银行,是为了专门提供在线银行服务而设立的。纯网络银行也被称为只有一个站点的银行,因为这类银行一般只有一个办公地址,既没有分
21、支机构也没有营业网点,其所有的业务都是通过网络来进行的。对于这类网络银行而言,其监管方式与传统银行有很大的差异。,五、网络银行,44,(二)网络银行的发展 1.网络银行发展历程: 1995年全球第一家网络银行在美国诞生(Security First Network Bank),目前这家银行由于亏损而被其他银行收购。 1997年4月,招商银行率先设立了网上银行“一网通”,并推出网上个人银行业务;1998年4月率先在界内推出网上企业银行,开通网上支付功能,成为国内首家提供网上支付服务的银行;1999年底,形成了以“一网通”为品牌的国内著名金融网站,功能包括“企业银行”、“个人银行”、“网上证券”、
22、“网上商城”和“网上支付”5个系统。 1998年3月,中国银行正式开通首家国内虚拟银行,办理了第1笔网上支付业务;1999年6月,中国银行正式推出“企业在线理财”、“个人在线理财”、“支付网上行”等网上银行系列化产品。 1999年8月,中国建设银行在北京和广州相继推出了网上虚拟银行业务;2000年1月,在北京正式开通网上个人理财业务,提供个人贷款等多项个人理财服务。,五、网络银行,45,2000年2月,中国工商银行开通了对公网上银行业务,其业务覆盖北京、上海、天津、广州等4个城市,同年6月推出了B2B企业在线支付。 2.中国网络银行发展特点 (1)网络银行模式都是传统银行与网络银行相结合的产物
23、,其业务基本依赖于母行。 (2)许多银行在发展网络银行业务的初期,利用的是非银行专有的域名网站,至今仍然一些银行将其产品和服务的广告宣传放在其他网站之中。 (3)业务方式演变迅速,一开始就进入动态、交互式信息检索阶段,并很快进入在线业务信息查询阶段,并且与电子商务的发展紧密结合。 3.业务方面提供的服务内容: 信息服务、个人银行服务、企业银行服务、银证转账、网上支付。,五、网络银行,46,思考题: 1.如何保证网上支付的安全? 2.如果想自己开办一个电子商务网站(B2C模式),如何集成第三方支付平台? 3.尝试注册易宝、支付宝和中国工商银行网上银行(注意:后两者必须保证是在自己的电脑上进行!请妥善保管好各类密码、数字证书。),思 考 题,47,1. 电子支付概述 2.电子现金 3.信用卡 4.虚拟信用卡 5.网络银行,本章要点回顾,48,案例支付宝,49,案例支付宝,50,案例支付宝,51,案例支付宝,52,案例支付宝,53,案例支付宝,54,案例支付宝,55,案例支付宝,56,案例支付宝,57,案例支付宝,58,案例支付宝,59,案例支付宝,60,案例支付宝,61,案例支付宝,62,案例支付宝,63,案例支付宝,64,案例支付宝,65,案例支付宝,66,案例支付宝,67,案例支付宝,68,案例支付宝,69,案例支付宝,70,案例支付宝,71,案例支付宝,