电子商务安全 第7章 安全电子支付协议
- 格式:ppt
- 大小:689.50 KB
- 文档页数:39


- 1 - 电子支付与电子商务安全
电子支付的概念
• 电子支付(Electronic payment)是以计算机和通信技术为手段,通过计算机网络系统以电子信息传递形式实现的货币支付与资金流通。
电子支付的发展阶段
• 第一阶段是银行间采用安全的专用网络进行电子资金转账(EFT),即利用通讯网络进行账户交易信息的电子传输,办理结算;
• 第二阶段是银行计算机与其他机构计算机之间资金的结算,如代发工资,代交水费、电费、煤气费、电话费等业务;
• 第三阶段是利用网络终端向用户提供各项银行服务,如用户在自动柜员机(ATM)上进行取、存款操作等;
• 第四阶段是利用银行销售点终端(POS)向用户提供自动扣款服务,这是现阶段电子支付的主要方式;
• 第五阶段是最新发展阶段,电子支付可随时随地通过互联网络进行直接转账结算,这一阶段的电子支付称为网上支付。
电子支付的特点
• 电子支付是采用先进的信息技术来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的,而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体的流转来完成款项支付的。
• 电子支付的工作环境是基于一个开放的系统平台(如互联网)之上,而传统支付则是在较为封闭的系统中运作。
• 电子支付使用的是最先进的通信手段,如互联网、外联网,传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高,而传统支付则没有这么高的要求。
• 电子支付具有方便、快捷、高效的优势。用户只要拥有一台联网的微机,足不出户便可在很短的时间内完成整个支付过程。电子支付可以完全突破时间和空间的限制,可以满足每周7天,每天24小时的工作模式。
网上电子支付系统
• 目前在互联网上出现的支付系统模式已有十几种,这些大多包含信息加密措施的系统大致上可以划分为三类。第一类是数字化的电子货币系统;第二类是使用已有的安全清算程序对互联网的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法,使银行卡支付信息通过互联网向商家传递,利用金融专用网络提供独立的支付授信;或者采用智能卡技术实现联机支付。
电三jF商务
电子蠢 巾安全支付 i)【的碍究
II陆垂伟 黄石理工学院
前言 电子商务是21世纪世界各国经济热点,它能大幅度减少交易 成本,提高商品与资金的流通速度,促进经济增长,而且从某种 程度上代表一个国家的信息化建设水平,因而成为各国竞相发展 的目标。但是同时电子商务的安全问题却是困挠其发展的主要障 碍。电子商务的安全性主要包括以下几个方面: 1.完整性 即保证所接收到的信息没有被篡改过; 2,秘密性。防止非法的信息存取和信息被泄密; 3.身份认证。即在交易信息的传输过程中为参与交易的个人 企业提供可靠的身份标识,以防止欺诈行为; 4.不可抵赖性 即交易双方日后不可否认曾经发生过的交易 行为 为保证电子商务的安全,国内外已经出现了多种电子交易安 全支付协议.但目前只有两种协议被广泛采用,即安全套接层SSL (Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。 一、安全套接层协议SSL SSL是Netscape公司开发的协议.集成了多种加密技术.用于 客户机与服务器之间通信数据的加密与鉴别 SSL可看做是介于 应用层和运输层之间的一个安全层.它接收应用层的数据.加密 后再交给运输层传出去.同时它也把运输层传上来的数据解密后 交给应用层,从而实现一个安全通信的隧道。SSL协议的实现过 程如下所示。 1.客户机向服务器发送SSL版本号和选定的加密算法j 2.服务器回应相同的信息.此外还回送一个包含RSA公钥的 数字证书; 3.客户机检查收到的证书是否在可信任的CA列表之中,如 在,就用对应CA的公钥对证书解密而获取服务器的公钥,如不 在 则断开连接中止会话: 4.客户机随机产生一个DES会话密钥.并用服务器的公钥加 密后再传给服务器; 5.服务器用私钥解密出会话密钥后发回一个确认报文表示认 可,以后双方就用会话密钥对传送的报文进行加密 SSL协议被大部分的浏览器和Web服务器所内置,便于在电 子交易中应用,但SSL不是专门为信用卡交易而设计的,它只能
龙源期刊网
论电子商务中第三方支付的安全性
作者:黄海华
来源:《商场现代化》2008年第08期
[摘 要] 在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
[关键词] 电子商务 第三方支付 安全性
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式——第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈——网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。
那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。
近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。
实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。
经济市场 浅议电子商务安全支付协议 赵艳平 (无锡商业职业技术学院,江苏无锡214153) 摘要:电子商务越来越深入我们的商务活动,电子支付系统是电子商务中最重要的环节之一,主要用来解决电子商务中 的各交易实体(用户、商家、银行等)间资金流和信息流在Internet上即时传递及其安全性问题,电子商务安全问题的核心 是电子交易的安全性,为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。当前应用比较广泛的 电子商务安全协议主要有安全套接层协议SSL和安全电子交易协议SET。文中对这两种主流协议进行了分析和比较。 关键词:电子商务安全协议;电子交易;SSL协议;SET协议 1 引言 随着互联网日益普及,基于Internet的电子商务已经深入到 人们生活的方方面面。安全是电子商务的基石,如何保证电子商 务交易活动中信息的机密性、真实性、完整性、不可否认性和存 取控制等是电子商务发展中迫切需要解决的问题。为了保障电 子商务交易安全,人们开发了各种用于加强电子商务安全的协 议。这些协议主要有:安全套接层协议SSL、安全电子交易协议 SET、超文本传输协议SHrlTp、3一D secure协议和安全电子邮件 协议(PEM、S/MIME)等。这其中应用最为广泛的协议主要有 SSL、SET。 安全电子交易协议(SET)和安全套接层协议(SSL)是两种 重要的通信协议,每一种都提供了通过Intemet进行支付的手 段。事实上,SET和SSL除了都采用RSA公钥算法以外,二者在 其他技术方面没有任何相似之处,而RSA在二者中也被用来实 现不同的安全目标。 2电子商务安全协议 2.1 安全套接层协议(SSL) 安全套接层协议(Secure Socket Layer,简称SSL)是美国网 景公司(Netseape)推出的一种安全通信协议,SSL提供了两台计 算机之间的安全连接,对整个会话进行了加密,从而保证了安全 传输,其主要设计目标是在Intemet环境下提供端到端的安全连 接。它能使客户/服务器应用之问的通信不被攻击者窃听。SSL 协议建立在可靠的TCP传输控制协议之上。高层的应用层协议 能透明的建立于SSL协议之上。SSL协议在应用层协议通信之 前就已经完成加密算法、通信密钥的协商以及服务器认证工作。 在此之后应用层协议所传送的数据都会被加密,从而保证通信 的私密性。 2.2安全电子交易协议(SET) 安全电子交易协议(SeeureEleetronicTransaetion,简称SET) 是美国Visa和MasterCard两大信用卡组织联合于1997年5月 31日推出的电子交易行业规范,它提供了消费者、商家和银行 之间的认证,确保交易的保密性、可靠性和不可否认性,保证在 开放网络环境下使用信用卡进行在线购物的安全,其实质是一 种应用在Intemet上、以信用卡为基础的电子付款系统规范,目 的是为了保证网络交易的安全。SET本身并不是一个支付系统, 而是一个安全协议集,SET规范保证了用户可以安全地在诸如 Internet这样的开放网络上应用现有的信用卡支付设施来完成 交易。SET较好地解决了信用卡在电子商务交易中的安全问题。 SET已获得IETF(The Internet Engineer-ing Task Force,简称 囝 IETF)标准的认可。 3 SSL与SET协议比较分析 + SSL和SET是当前在电子商务中应用最为广泛的安全协 议,两者的差别主要体现在以下几个方面。 3.1 工作层次 SSL属于传输层的安全技术规范,不具备电子商务的商务 性、协调性和集成性功能;而SET协议位于应用层,它规范了整 个商务活动的流程,从持卡人到商家,到支付网关,到认证中心 以及信用卡结算中心之间的信息流走向和必须采用的加密、认 证都制定了严密的标准,从而最大限度地保证了商务性、服务性 和集成性。 3.2认证机制 早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0 中可以通过数字签名和数字证书实现浏览器和WEB服务器之 间的身份认证,但仍不能实现多方认证,而且SSL中只有商家服 务器的认证是必须的,客户端认证则是可选的。SET协议使用数 字证书来确认交易涉及的各方(包括商家、持卡人、受卡行和支 付网关)的身份,为在线交易提供一个完整的可信赖的环境。 SET协议要求所有参与交易活动的各方都必须使用数字证书, 较好的解决了客户与银行、客户与商家、商家与银行之间的多方 认证问题。 3.3加密机制 SSL是基于传输层加密,它为高层提供了特定接口,使得应 用方无须了解传输层情况;然而由于传输层属于较高层,常用软 件实现,这在很大程度上削弱了加密处理能力,同时,地址信息 由低层控制,这种加密无法免于被攻击者流量分析。SET的加图 2 SET协议的工作原理密过程则不同于SSL,SET中广泛使用了 数字信封等技术,并采用严密的系统约束来保证数据传输的安 全性。 3.4完整方面 SET协议将发送的所有报文加密后,将为之产生一个唯一 的消息摘要,一旦有人企图篡改报文中包含的数据,该摘要就会 改变,从而被检测到,这就保证了信息的完整性。SSL协议是使 用秘密共享和哈希函数进行MAC计算来提供信息的完整性服 务的,它可以确保SSL对话的通信内容在传递途中毫无改变地 送达目的地。 3.5安全程度 在网上交易,安全是关键问题。从网络信息传输安全角度 看,只有确保信息在网上传输时的机密性、可鉴别性及信息完整