電子商務(wù)—電子支付探討

1、本科畢業(yè)設(shè)計題目：電子商電子支付探討電了商務(wù)學 院: 專 業(yè): 學 號: 學生姓名: 指導教師: 日 期:摘要電子支付系統(tǒng)是電子商務(wù)交易的核心，實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活 動過程屮系統(tǒng)的安全性。傳統(tǒng)的支付方式由于其面對面的交易模式，已經(jīng)無法滿 足電子交易操作的要求，于是各種電子支付方式應(yīng)運而生。它克服了傳統(tǒng)支付方 式過程復雜，耗時，攜帶現(xiàn)金不方便等局限性，因具有便利性，高效性，安全性 等特點，在電子商務(wù)屮顯現(xiàn)岀重要作用。伴隨近年來國內(nèi)電子商務(wù)大規(guī)模發(fā)展和應(yīng)用以及電子簽名法的通過，越 來越多的家庭從僅僅在網(wǎng)上查看賬戶信息變?yōu)楦嗟厥褂迷诰€支付支付在國內(nèi)是一個很大的問題，傳統(tǒng)支付方式不但不方

2、便，而且成本很高， 已經(jīng)成為制約國內(nèi)互聯(lián)網(wǎng)發(fā)展和電子商務(wù)的瓶頸，這個問題急需解決。本文介紹 了電子支付的一些基本概念、就電子支付安全協(xié)議與電子支付的風險及防范措施 做了進一步闡述。關(guān)鍵字：電子商務(wù)電子支付安全協(xié)議防范措施abstractthe electronic payment system is the electronic commerce transaction core, realizes the electronic commerce key is must guarantee in the commercial activity process system's secu

3、rity. the traditional payment pattern as a result of it transaction pattern face-to-face, was already unable to satisfy the electronic transaction operation the request, therefore each electron payment pattern arises at the historic moment. it overcame the tradition payment pattern process to be com

4、plex, time-consuming, carried the cash not conveniently and so on limitations, because had the convenience, highly effective, characteristics and so on security, appeared the influential role in the electronic commerce.followed in recent years the domestic electronic commerce large-scale development

5、 and the application as well as "electronic signature law” passing, more and more families from became many merely in on-line examination account information use the online paymentnot only the payment in domestic is a very major problem, the tradition payment pattern is not convenient, moreover

6、 the cost is very high, already became the restriction domestic internet development and the electronic commerce bottleneck, this question urgently needed solution. this article introduced electronic payment's some basic concepts did on the electronic payment security agreement and the electroni

7、c payment's risk and the measure further elaborated.key words： electronic commerce electron payment security agreement measure摘要iabstractii第一章電子商務(wù)簡介1第一節(jié)電了商務(wù)的概念1第二節(jié)電子商務(wù)的特征1第三節(jié)電子商務(wù)的發(fā)展2第四節(jié)電子商務(wù)對社會經(jīng)濟的影響4笫二章電子商務(wù)支付系統(tǒng)6第一節(jié)電于商務(wù)支付系統(tǒng)的構(gòu)成6第二節(jié)電子商務(wù)支付系統(tǒng)的功能錯誤！未定義書簽。第三節(jié)電子交易模型錯誤！未定義書簽。第三章 電子支付錯誤！未定義書簽。第一節(jié)電子支付的概念與特性

8、錯誤！未定義書簽。第二節(jié) 電了支付的形式錯誤！未定義書簽。第三節(jié)電子支付的優(yōu)點與缺點錯誤！未定義書簽。第四節(jié) 電子支付的流程錯誤！未定義書簽。第四章電子支付安全協(xié)議8第一節(jié)ssl安全協(xié)議8第二節(jié)set安全協(xié)議錯誤！未定義書簽。第五章電子支付風險及防范措施12第一節(jié) 電了支付的主要風險12第二節(jié)電子支付的風險防范錯誤！未定義書簽。結(jié)束語15參考文獻：16致謝17第一章電子商務(wù)簡介第一節(jié)電子商務(wù)的概念電子商務(wù)源于英文electronic commerce,簡寫為ec。顧名思義， 其內(nèi)容包含兩個方面，一是電子方式，二是商貿(mào)活動。電子商務(wù)指的是利用簡 單、快捷、低成木的電子通訊方式，買賣雙方不謀面地進

9、行各種商貿(mào)活動。電子商務(wù)可以通過多種電子通訊方式來完成。簡單的，比如你通過打電話 或發(fā)傳真的方式來與客戶進行商貿(mào)活動，似乎也可以稱作為電子商務(wù)；但是， 現(xiàn)在人們所探討的電子商務(wù)主要是以edi （電子數(shù)據(jù)交換）和internet來完 成的。尤其是隨著internet技術(shù)的日益成熟，電子商務(wù)真正的發(fā)展將是建立 在internet技術(shù)上的。所以也冇人把屯子商務(wù)簡稱為ic （internet commerce） o從貿(mào)易活動的角度分析，電子商務(wù)可以在多個環(huán)節(jié)實現(xiàn)，由此也可以將電 子商務(wù)分為兩個層次，較低層次的電子商務(wù)如電子商情、電子貿(mào)易、電子合同 等；最完整的也是最高級的電子商務(wù)應(yīng)該是利用intene

10、t網(wǎng)絡(luò)能夠進行全部 的貿(mào)易活動，即在網(wǎng)上將信息流、商流、資金流和部分的物流完整地實現(xiàn)，也 就是說，你可以從尋找客戶開始，一直到洽談、訂貨、在線付（收）款、開據(jù) 電子發(fā)票以至到電子報關(guān)、電子納稅等通過internet 一氣呵成。要實現(xiàn)完整的電子商務(wù)還會涉及到很多方面，除了買家、賣家外，還要冇 銀行或金融機構(gòu)、政府機構(gòu)、認證機構(gòu)、配送屮心等機構(gòu)的加入才行。由于參 與電子商務(wù)中的各方在物理上是互不謀面的，因此整個電子商務(wù)過程并不是物 理世界商務(wù)活動的翻版，網(wǎng)上銀行、在線電子支付等條件和數(shù)據(jù)加密、電子簽 名等技術(shù)在電子商務(wù)中發(fā)揮著重要的不可或缺的作用。第二節(jié)電子商務(wù)的特征普遍性：電子商務(wù)作為一種新型的

11、交易方式，將生產(chǎn)企業(yè)、流通企業(yè)以及 消費者和政府帶入了一個網(wǎng)絡(luò)經(jīng)濟、數(shù)字化生存的新犬地；方便性；在電子商務(wù)環(huán)境中，人們不再受地域的限制，客戶能以非常簡捷 的方式完成過去較為繁朵的商務(wù)活動，如通過網(wǎng)絡(luò)銀行能夠全犬侯地存取資金 帳戶、查詢信息等，同時使得企業(yè)對客戶的服務(wù)質(zhì)量可以大大提高；整體性：電子商務(wù)能夠規(guī)范事務(wù)處理的工作流程，將人工操作和電子信息 處理集成為一個不可分割的整體，這樣不僅能提高人力和物力的利用，也可以 提高系統(tǒng)運行的嚴密性；安全性：在電了商務(wù)中，安全性是一個至關(guān)重耍的核心問題，它耍求網(wǎng)絡(luò) 能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取 控制、防火墻、防病毒保

12、護等等，這與傳統(tǒng)的商務(wù)活動有著很大的不同；協(xié)調(diào)性：商務(wù)活動本身是一種協(xié)調(diào)過程，它需要客戶與公司內(nèi)部、生產(chǎn)商、 批發(fā)商、零售商間的協(xié)調(diào)，在電了商務(wù)環(huán)境中，它更耍求銀行、配送中心、通 訊部門、技術(shù)服務(wù)等多個部門的通力協(xié)作，往往電子商務(wù)的全過程是一氣呵成 的。第三節(jié)電子商務(wù)的發(fā)展1電子商務(wù)產(chǎn)生和發(fā)展的條件電了商務(wù)最早產(chǎn)生于60年代，發(fā)展于90年代，其產(chǎn)生和發(fā)展的重要條件 主要是：計算機的廣泛應(yīng)用：近30年來，計算機的處理速度越來越快，處理能力越 來越強，價格越來越低，應(yīng)用越來越廣泛，這為電子商務(wù)的應(yīng)用提供了基礎(chǔ)；網(wǎng)絡(luò)的普及和成熟：由于internet逐漸成為全球通信與交易的媒體，全 球上網(wǎng)用戶呈級數(shù)

13、增長趨勢，快捷、安全、低成木的特點為電子商務(wù)的發(fā)展提 供了應(yīng)用條件；信用卡的普及應(yīng)用：信用卡以其方便、快捷、安全等優(yōu)點而成為人們消費 支付的重要手段，并由此形成了完善的全球性信用卡計算機網(wǎng)絡(luò)支付與結(jié)算系 統(tǒng)，使“一卡在手、走遍全球”成為可能，同時也為電子商務(wù)中的網(wǎng)上支付提供 的重要的手段；電子安全交易協(xié)議的制定：1997年5月31日,由美國visa和mastercard 國際組織等聯(lián)合指定的set (secure electronic transfer protocol)即電了安全交 易協(xié)議的出臺，以及該協(xié)議得到大多數(shù)廠商的認可和支持，為在開發(fā)網(wǎng)絡(luò)上的 電了商務(wù)提供了一個關(guān)鍵的安全環(huán)境；政府的

14、支持與推動：自1997年歐盟發(fā)布了歐洲電子商務(wù)協(xié)議，美國隨后發(fā) 布“全球電了商務(wù)綱要”以后，電了商務(wù)受到世界各國政府的重視，許多國家的 政府開始嘗試“網(wǎng)上采購"，這為電子商務(wù)的發(fā)展提供了有利的支持；2電了商務(wù)發(fā)展的兩個階段(1) 60年代一90年代：基于edi的電子商務(wù)從技術(shù)的角度來看，人類利用電子通訊的方式進行貿(mào)易活動已有幾十年的 歷史了。早在本世紀60年代，人們就開始了用電報報文發(fā)送商務(wù)文件的工作； 70年代人們又普遍采用方便、快捷的傳真機來替代電報，但是由于傳真文件是 通過紙面打卬來傳遞和管理信息的，不能將信息直接轉(zhuǎn)入到信息系統(tǒng)中，因此 人們開始采用edi （電子數(shù)據(jù)交換）作為

15、企業(yè)間電子商務(wù)的應(yīng)用技術(shù)，這也就 是電了商務(wù)的雛形。edi在60年代末期產(chǎn)生于美國，當時的貿(mào)易商們在使用計算機處理各類商 務(wù)文件的時候發(fā)現(xiàn)，由人工輸入到一臺計算機中的數(shù)據(jù)70%是來源于另一臺計 算機輸出的文件，由于過多的人為因素，影響了數(shù)據(jù)的準確性和工作效率的提 高，人們開始嘗試在貿(mào)易伙伴z間的計算機上使數(shù)據(jù)能夠門動交換，edi應(yīng)運 而生。edi （electronic data interchange）:是將業(yè)務(wù)文件按一個公認的標準從一 臺計算機傳輸?shù)搅硪慌_計算機上去的電子傳輸方法。由于edi大大減少了紙張 票據(jù)，因此，人們也形象地稱z為“無紙貿(mào)易"或“無紙交易從技術(shù)上講，edi包

16、括硬件與軟件兩大部分。硬件主要是計算機網(wǎng)絡(luò)，軟 件包括計算機軟件和edi標準。從硬件方面講，90年代z前的大多數(shù)edi都不通過internet,而是通過 租用的電腦線在專用網(wǎng)絡(luò)上實現(xiàn)，這類專用的網(wǎng)絡(luò)被稱為van （value-addle network,增值網(wǎng)）,這樣做的h的主耍是考慮到安全問題。但隨著internet 安全性的日益提高，作為一個費用更低、覆蓋面更廣、服務(wù)更好的系統(tǒng)，其已 表現(xiàn)出替代van而成為edi的硬件載體的趨勢，因此有人把通過internet 實現(xiàn)的edi直接叫做internet edl從軟件方面看，edi所需要的軟件主要是將用戶數(shù)據(jù)庫系統(tǒng)中的信息，翻 譯成edi的標準格

17、式以供傳輸交換。由于不同行業(yè)的企業(yè)是根據(jù)門己的業(yè)務(wù)特 點來規(guī)定數(shù)據(jù)庫的信息格式的，因此，當需要發(fā)送edi文件時，從企業(yè)專有數(shù) 據(jù)庫中提取的信息，必須把它翻譯成edi的標準格式才能進行傳輸，這時就需 要相關(guān)的edi軟件來幫忙了。（2）90年代以來：基于國際互聯(lián)網(wǎng)的電了商務(wù)由于使用van的費用很高，僅大型企業(yè)0會使用，因此限制了基于edi 的電了商務(wù)應(yīng)用范圍的擴大。20世紀90年代中期后，國際互聯(lián)網(wǎng)（internet） 迅速走向普及化，逐步地從大學、科研機構(gòu)走向企業(yè)和百姓家庭，其功能也已 從信息共享演變?yōu)橐环N大眾化的信息傳播工具。從1991年起，一直排斥在互聯(lián) 網(wǎng)z外的商業(yè)貿(mào)易活動正式進入到這個王

18、國，因此而使電子商務(wù)成為互聯(lián)網(wǎng)應(yīng) 用的最大熱點。以直接面對消費者的網(wǎng)絡(luò)直銷模式而聞名的美國戴爾（dell） 公司1998年5月的在線銷售額高達500萬美元，該公司期望2000年在線收入 能占總收入的一半。另一個網(wǎng)絡(luò)新貴亞馬遜(a)網(wǎng)上書店的營業(yè)收 入從1996年的1580萬美元猛增到1998年的4億美元。三年而開辦的ebay公 司是互聯(lián)網(wǎng)上最大的個人對個人的拍賣網(wǎng)站，這個跳蚤市場1998年第一季度的 銷售額就達1億美元。象這樣的營業(yè)性網(wǎng)站已從1995年的2000個急升為1998 年的42.4萬個。面對電子商務(wù)如此辿猛的發(fā)展趨勢，弗雷斯特(forrester)公 司不得不將它對于2002年電了商

19、務(wù)的預測由原來的327()億美元改為8427億美 yc o互聯(lián)網(wǎng)已成為全球最大的互聯(lián)網(wǎng)絡(luò)，已經(jīng)覆蓋150多個國家和地區(qū)，連接 了 1.5萬多個網(wǎng)絡(luò)，220萬臺主機。5年前，被譽為“英特爾z父''的vint cerf 曾預測，到2003年全球?qū)?億英特網(wǎng)用戶，然而，因特網(wǎng)的發(fā)展事實讓他 跌破眼鏡?？谇?，全球預計已有1.5億英特網(wǎng)用戶，是兩年前的3倍。據(jù)業(yè)界 一些專家預計，到2005年，全世界上網(wǎng)的人數(shù)將達10億。第四節(jié) 電子商務(wù)對社會經(jīng)濟的影響隨著電子商務(wù)魅力的日漸顯露，虛擬企業(yè)、虛擬銀行、網(wǎng)絡(luò)營銷、網(wǎng)上購 物、網(wǎng)上支付、網(wǎng)絡(luò)廣告等一大批前所未聞的新詞匯止在為人們所熟悉和認同

20、, 這些詞匯同時也從另一個側(cè)面反映了電子商務(wù)正在對社會和經(jīng)濟產(chǎn)生的影響。(1) 電了商務(wù)將改變商務(wù)活動的方式。傳統(tǒng)的商務(wù)活動最典型的情景就 是“推銷員滿天飛采購員遍地跑''，“說破了嘴、跑斷了腿消費者在商場中 筋疲力盡地尋找口己所需要的商品?，F(xiàn)在，通過互聯(lián)網(wǎng)只要動動手就可以了， 人們可以進入網(wǎng)上商場瀏覽、采購各類產(chǎn)品，而且還能得到在線服務(wù)；商家們 可以在網(wǎng)上與客戶聯(lián)系，利用網(wǎng)絡(luò)進行貨款結(jié)算服務(wù)；政府還可以方便地進行 電子招標、政府采購等；(2) 電了商務(wù)將改變?nèi)藗兊南M方式。網(wǎng)上購物的最大特征是消費者的 主導性，購物意愿掌握在消費者手屮；同時消費者還能以一種輕松自由的自我 服務(wù)

21、的方式來完成交易，消費者主權(quán)可以在網(wǎng)絡(luò)購物中充分體現(xiàn)出來；(3) 電了商務(wù)將改變企業(yè)的生產(chǎn)方式。由于電了商務(wù)一種快捷、方便的 購物手段，消費者的個性化、特殊化需要可以完全通過網(wǎng)絡(luò)展示在生產(chǎn)廠商面 前，為了取悅顧客，突出產(chǎn)品的設(shè)計風格，制造業(yè)屮的許多企業(yè)紛紛發(fā)展和普 及電了商務(wù)，如美國福特汽車公司在1998年的3月份將分布在全世界的12萬 個電腦工作站與公司的內(nèi)部網(wǎng)連接起來，并將全世界的1.5萬個經(jīng)銷商納入內(nèi) 部網(wǎng)。福特公司的最終目的是實現(xiàn)能夠按照用戶的不同要求，做到按需供應(yīng)汽 車。（4）電子商務(wù)將對傳統(tǒng)行業(yè)帶來一場革命。電子商務(wù)是在商務(wù)活動的全 過程中，通過人與電了通訊方式的結(jié)合，極大地提高商

22、務(wù)活動的效率，減少不 必要的屮間環(huán)節(jié)，傳統(tǒng)的制造業(yè)籍此進入小批量、多品種的時代，“零庫存'成 為可能；傳統(tǒng)的零售業(yè)和批發(fā)業(yè)開創(chuàng)了“無店鋪網(wǎng)上營銷"的新模式；各種線 上服務(wù)為傳統(tǒng)服務(wù)業(yè)提供了全新的服務(wù)方式。（5）電了商務(wù)將帶來一個全新的金融業(yè)。由于在線電了支付是電了商務(wù) 的關(guān)鍵環(huán)節(jié)，也是電子商務(wù)得以順利發(fā)展的基礎(chǔ)條件，隨著電子商務(wù)在電子交 易環(huán)節(jié)上的突破，網(wǎng)上銀行、銀行卡支付網(wǎng)絡(luò)、銀行電了支付系統(tǒng)以及網(wǎng)上接 服務(wù)、電子支票、電子現(xiàn)金等服務(wù)，將傳統(tǒng)的金融業(yè)帶入一個全新的領(lǐng)域。1995 年10月，全球第一家網(wǎng)上銀行“安全第一網(wǎng)絡(luò)銀行” （security first network

23、 bank）在美國誕生，這家銀行沒有建筑物，沒有地址，營業(yè)廳就是首頁畫而， 員工只有10人，與總資產(chǎn)超過2000億美元的美國花旗銀行相比，“安全第一網(wǎng) 絡(luò)銀行"簡直是微不足道，但與花旗銀行不同的是，該銀行所有交易都透過互聯(lián) 網(wǎng)進行，1996年存款金額達到1400萬美元，預計到1999年將達到4億美元。（6）電子商務(wù)將轉(zhuǎn)變政府的行為。政府承擔著大量的社會、經(jīng)濟、文化的 管理和服務(wù)的功能，尤其作為“看得見的手”，在調(diào)節(jié)市場經(jīng)濟運行，防止市場 失靈帶來的不足方面有著很大的作用。在電子商務(wù)時代，當企業(yè)應(yīng)用電子商務(wù) 進行生產(chǎn)經(jīng)營，銀行是金融電了化，以及消費者實現(xiàn)網(wǎng)上消費的同時，將同樣 對政府管

24、理行為提出新的耍求，電子政府或稱網(wǎng)上政府，將隨著電子商務(wù)發(fā)展 而成為一個重耍的社會角色?？偠詚,作為一種商務(wù)活動過程，電子商務(wù)將帶來一場史無前例的革命。 其對社會經(jīng)濟的影響會遠遠超過商務(wù)的本身，除了上述這些影響外，它還將對 就業(yè)、法律制度以及文化教育等帶來巨大的影響。電子商務(wù)會將人類真正帶入 信息社會第二章電子商務(wù)支付系統(tǒng)電子商務(wù)與支付系統(tǒng)之間存在著密不可分的關(guān)系，基于internet的電子商 務(wù)，需要為數(shù)以百萬計的購買者和銷售者捉供支付服務(wù)，目前已開發(fā)出了很多 網(wǎng)上支付系統(tǒng)。這些系統(tǒng)的實質(zhì)都是要把現(xiàn)有的支付方式轉(zhuǎn)化為電子形式。 internet電子支付系統(tǒng)主要包括金融機構(gòu)、付款者和收款者、

25、第三方非銀行金融 機構(gòu)，以及各種金融網(wǎng)絡(luò)等。金融機構(gòu)通常指銀行，它為付款者和收款者保持 賬戶。第三方非銀行金融機構(gòu)捉供支付服務(wù)，但不保持要求的存款賬戶，它們 與金融機構(gòu)有接口，根據(jù)金融機構(gòu)保持的賬戶進行交易處理。各種金融網(wǎng)絡(luò)為 各金融機構(gòu)和第三方非銀行金融機構(gòu)捉供內(nèi)部連接服務(wù)，現(xiàn)在冇許多金融機構(gòu) 正在考慮將部分內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)移到internet上，如master card和visa的信用卡 網(wǎng)絡(luò)，該網(wǎng)絡(luò)可以實現(xiàn)實時支付授權(quán)和對用戶z間轉(zhuǎn)賬的批清算等功能。電子商務(wù)支付系統(tǒng)是電子商務(wù)系統(tǒng)的重要組成部分，它指的是消費者、商 家和金融機構(gòu)z間使用安全電子手段交換商品或服務(wù)，即把新型支付手段包括 電子現(xiàn)金(

26、e-cash).信用卡(credit card)、借記卡(debit card)、 智能卡(smart card)等的支付信息通過網(wǎng)絡(luò)安全傳送到銀行或相應(yīng)的處 理機構(gòu)，來實現(xiàn)電子支付；是融購物流程、支付工具、安全技術(shù)、認證體系、 信用體系以及現(xiàn)在的金融體系為一體的綜合大系統(tǒng)。第一節(jié)電于商務(wù)支付系統(tǒng)的構(gòu)成電子商務(wù)支付系統(tǒng)是集購物流程、支付工具、安全技術(shù)、認證體系、信 用體系以及現(xiàn)在的金融體系為一體的綜合大系統(tǒng)?？蛻粲米约簱碛械闹Ц豆ぞ?(如信用卡、電子錢包等)來發(fā)起支付，是支付體系運作的原因和起點。商家 則是擁有債權(quán)的商品交易的另一方，他可以根據(jù)客戶發(fā)起的支付指令向金融體 系請求獲取貨幣給付。商

27、家一般準備了優(yōu)良的服務(wù)器來處理這一過程，包括認 證以及不同支付工具的處理?？蛻舻拈_戶行是指客戶在其中擁有賬戶的銀行， 客戶所擁有的支付工具就是由開戶行提供的，客戶開戶行在提供支付工具的時 候也同時提供了一種銀行信用，即保證支付工具的兌付。在卡基支付體系中， 客戶開戶行又被稱為發(fā)卡行。商家開戶行是商家在其屮開設(shè)賬戶的銀行，其 賬戶是整個支付過程中資金流向的地方，商家將客戶的支付指令提交給其開戶 行后，就由開戶行進行支付授權(quán)的請求以及行與行間的清算等工作。商家的開 戶行是依據(jù)商家提供的合法賬單(客戶的支付指令)來工作的，因此又稱為收單行。圖2-1電子支付系統(tǒng)的構(gòu)成。同時利用雙垂簽名技術(shù)保證商家看不

28、到消費者的賬號信息。 在線商店接受定單后，向消費者所在銀行請求支付認可。信息通過支 付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認。批準交易后，返回確認信息 給在線商店。 在線商店發(fā)送定單確認信息給消費者。消費者端軟件可記錄交易日志， 以備將來查詢。 在線商店發(fā)送貨物，或提供服務(wù)；并通知收單銀行將錢從消費者的賬號 轉(zhuǎn)移到商店賬號，或通知發(fā)卡銀行請求支付。第四章電子支付安全協(xié)議如何通過電子支付安全地完成整個交易過程，乂是人們在選擇網(wǎng)上交易時 所必須而對的而但是首先要考慮的問題。就目前而言，雖然電子支付安全問題 還沒有形成一個公認的成熟的解決辦法，但人們還是不斷通過各種途徑進行大 量探索，ssl安全協(xié)

29、議和set發(fā)全協(xié)議就是這種控索的兩重要結(jié)果，它們已經(jīng) 廣泛在國際間的電子支付中使用。第一節(jié)ssl安全協(xié)議ssl安全協(xié)議最初是由netscape communication公設(shè)計開發(fā)的，又叫安 全套接層(secure sockets layer)協(xié)議，主要用于提高應(yīng)用程序之間的數(shù)據(jù)的 安全系數(shù)。ssl協(xié)議的整個概念可以被總結(jié)為：一個保證任何安裝了安全套接 字的客戶和服務(wù)器間事務(wù)安全的協(xié)議，它涉及了所有tcp/ip應(yīng)用程序。1 ssl的工作原理：當一個使用者在web上用netscape瀏覽器漫游時,瀏 覽器利用http協(xié)議與web服務(wù)器溝通。例如，瀏覽器發(fā)出一個http get 命令給服務(wù)器，想下

30、載一個首頁的html檔案，而服務(wù)器會將檔案的內(nèi)容傳送 給瀏覽器來響應(yīng)。get這個命令的文字和html檔案的文字會通過會話層(socket)的連接來傳送，socket使兩臺遠程的計算機能利用internet來通話。 通過ssl,資料在傳送出去之前就自動被加密了，它會在接收端被解密。對沒 有解密鑰的人來說，其中的資料是無法閱讀的。ssl采用tcp作為傳輸協(xié)議提供數(shù)據(jù)的可靠傳送和接收。ssl工作在socket 層上，因此獨立于更高層應(yīng)用，可為更高層協(xié)議，如telnet. ftp和http提 供安全業(yè)務(wù)。ssl提供的安全業(yè)務(wù)和tcp層一樣，采用了公開密鑰和私人密鑰 兩種加密體制對web服務(wù)器和客戶機(

31、選項)的通信提供保密性、數(shù)據(jù)完整性 和認證。在建立連接過程屮采用公開密鑰，在會話過程屮使用私人密鑰。加密 的類型和強度則在兩端之間建立連接的過程中判斷決定。在所有情況下，服務(wù) 器通過以下方法向客戶機證實自身：給出包含公開密鑰的、可驗證的證明；演 示它能對用此公開密鑰加密的報文進行解密。為了支持客戶機，每個客戶機都要擁有一對密鑰，這要求在internet ±通過 netscape分配。由t internet中的服務(wù)器數(shù)遠少于客戶機數(shù)，因此能否處理簽字 及密鑰管理的業(yè)務(wù)量是很重要的，并h與客戶聯(lián)系比給商家以同樣保證更重要。2 ssl安全協(xié)議主耍提供三方面的服務(wù)：（1）認證用戶和服務(wù)器，使

32、得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機 和服務(wù)器上。（2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。（3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。3 ssl安全協(xié)議的動作步驟ssl安全協(xié)議的運行步驟包括六步：（1）接通階段。客戶通過網(wǎng)絡(luò)向服務(wù)商打招呼，服務(wù)商回應(yīng)。（2）密碼交換階段。客戶與服務(wù)商z間交換雙方認可的密碼。一般選用 rsa密碼算法，也有的選用diffie-hellman和fortezza-kea密碼算法。（3）會談密碼階段。客戶與服務(wù)商間產(chǎn)生彼此交談的會談密碼。（4）檢驗階段。檢驗服務(wù)商取得的密碼。（5）客戶認證階段。驗證客戶的可信度。（6）結(jié)束階段?？蛻襞c服務(wù)z間相互交換結(jié)束的信息。

33、當上述動作完成z后，兩者間的資料傳送就會加以密碼，等到另外一端收 到資料后，再將編碼后的資料述原。即使盜竊者在網(wǎng)絡(luò)上取得編碼后的資料， 如果沒有原先編制的宇密碼算法，也不能獲得可讀的有用資料。在電子商務(wù)交易過程中，由于有銀行參與，按照ssl協(xié)議，客戶購買的信 息首先發(fā)往商家，商家再將信息轉(zhuǎn)發(fā)銀行，銀行驗證客戶信息的合法性后，通 知商家付款成功，商家再通知客戶購買成功，將商品寄送客戶。4 set協(xié)議中采用的安全技術(shù)set是在一些早期協(xié)議如mastercard的sepp以及visa和microsoft的stt 的基礎(chǔ)上合并而成的，它定義了交易數(shù)據(jù)在卡用戶、商家、發(fā)卡行、收單行z 間的流通過程，也定

34、義了齊種支持這些交易的安全功能（數(shù)字簽名、hash算法、 加密等）。為了進一步加強安全性，set使用兩組密鑰對分別用于加密和簽名。set 不希望商家得到顧客的賬戶信息，同時也不希望銀行了解到交易內(nèi)容，但又耍 求能對每一筆單獨的交易進行授權(quán)。通過雙簽名（dual signature）機制將訂購信息 同賬戶信息鏈在一起簽名，set巧妙地解決了這一矛盾。set將對稱密鑰的快速、低成本和非對稱密鑰的有效性完美地結(jié)合在-起。 考慮網(wǎng)上商店的情況，對于成千上萬的消費者和商家在internet交換信息，要 對每一個消費者通過某個渠道發(fā)放一個密鑰，在現(xiàn)實中是不可取的。血川公開密 鑰，商家生成一個公共密鑰對，任

35、何一個消費者都可用商家公開發(fā)布的公鑰與商 家進行保密通信，具體介紹如下。數(shù)字信封，set依靠密碼系統(tǒng)保證消息的可靠傳輸，在set中，使用des 算法產(chǎn)生的對稱密鑰來加密數(shù)據(jù)，然后，將此對稱密鑰用接收者的公鑰加密，稱為 消息的“數(shù)字信封",將其和數(shù)據(jù)一起送給接收者，接收者先用他的私鑰解密數(shù)字 信封,得到對稱密鑰，然后使用對稱密鑰解開數(shù)據(jù)。(2) 數(shù)字簽名，由于公開密鑰和私有密鑰z間存在的數(shù)學關(guān)系,使用其中一個 密鑰加密的數(shù)據(jù)只能用另一個密鑰解開。set中使用rsa算法來實現(xiàn)。發(fā)送者 用h己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就 可確定消息來門于誰，這就保證了發(fā)

36、送者對所發(fā)信息不能抵賴。(3) 雙重簽名，為了保證消費者的帳號等重要信息對商家隱蔽,set中釆用了 雙重簽名技術(shù)。在交易中持卡人發(fā)往銀行的支付指令是通過商家轉(zhuǎn)發(fā)的，為了避 免在交易的過程中商家竊取持卡人的信用卡信息，以及避免銀行跟蹤持卡人的 行為，侵犯消費者隱私,但同時又不能影響商家和銀行對持卡人所發(fā)信息的合理 的驗證，只有當商家同意持卡人的購買請求后，才會讓銀行給商家負費,set協(xié)議 采用雙重簽名來解決這一問題。5 set協(xié)議主要特點(1) 信息的保密性。set的一個重要特點是持卡人的信用卡號碼只提供給銀 行，而商家無法知道信用卡號碼。set利用des密碼算法提供信息的保密性。(2) 數(shù)據(jù)完

37、整性。從持卡人發(fā)往商家的支付信息包括訂購信息、個人數(shù)據(jù)及 支付指令。set引入rsa數(shù)字簽名及sha-1雜湊函數(shù)確保這些消息的內(nèi)容在傳 輸過程中不被非法更改。(3) 持卡人身份的鑒別。set可以讓商家鑒別持卡人是有效信用卡賬號的合 法用戶。set采用x.509v3數(shù)字證書和rsa數(shù)字簽名達到這一目的。(4) 商家的鑒別。set是持卡人可以鑒別商家真實性，而且可以驗證商家能否 接受信用卡支付。set同樣采用x.509v3數(shù)字證書和rsa數(shù)字簽名實現(xiàn)這一 功能。6 set協(xié)議的安全性分析與總結(jié)set協(xié)議主要通過使用密碼技術(shù)和數(shù)字證書方式來保證信息的機密性和安 全性，它實現(xiàn)了電了交易的數(shù)據(jù)完整性、機

38、密性、身份的合法性和不可否認性。數(shù)據(jù)完整性(data integrity) set協(xié)議通過使用hash函數(shù)來保證數(shù)據(jù)完整 性。報文發(fā)送后，hash函數(shù)將為z產(chǎn)生一個惟一的報文摘要值，一旦報文中包 含的數(shù)據(jù)被篡改，該值就會改變，從而被檢測到，這樣就保證了信息的完整性。機密性(confidentiality)在set協(xié)議f,客戶將支付信息pi和訂單信息oi 進行雙重簽名商家解密后得到oi,銀行解密后得到pi,從而避免了商家訪問客 戶的支付信息。身份驗證(verification of identity)身份認證，是電子商務(wù)耳啡常重要的環(huán) 節(jié)，set協(xié)議使用數(shù)字證書來確認商家、持卡客戶、受卡行和支付

39、網(wǎng)關(guān)的身份, 為網(wǎng)上交易提供了一個完整的可信賴的環(huán)境。(3) set技術(shù)規(guī)范沒有提及在事務(wù)處理完成后，如何安全地保存或銷毀此 類數(shù)據(jù)，是否應(yīng)當將數(shù)據(jù)保存在消費者、在線商店或收單銀行的計算機里。這 種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。set存在的缺陷促使人們設(shè)法改進它。中國商品交易中心、中國銀行和上 海長途電信局都提出了自己的設(shè)計方案。讀者可以從本書提供的案例屮發(fā)現(xiàn)這 些方案的可取z處。5 set的安全性分析(1) 采用公鑰加密和私鑰加密相結(jié)合的辦法保證數(shù)據(jù)的保密性set協(xié)議小，支付環(huán)境的信息保密性是通過公鑰加密法和私鑰加密法相結(jié) 合的算法來加密支付信息而獲得的。它采用的公鑰加密算法是rsa

40、的公鑰密碼 體制，私鑰加密算法是采用des數(shù)據(jù)加密標準。這兩種不同加密技術(shù)的結(jié)合應(yīng) 用在set中被形象的成為數(shù)字信封，rsa加密相當于用信封密封，消息首先以 56位的des密鑰加密,然后裝入使用1024位rsa公鑰加密的數(shù)字信封在交易 雙方傳輸。這兩種密鑰相結(jié)合的辦法保證了交易中數(shù)據(jù)信息的保密性。(2) 采用信息摘耍技術(shù)保證信息的完整set協(xié)議是通過數(shù)字簽名方案來保證消息的完整性和進行消息源的認證 的，數(shù)字簽名方案采用了與消息加密相同的加密原則。即數(shù)字簽名通過rsa加 密算法結(jié)合生成信息摘耍，信息摘要是消息通過hash函數(shù)處理后得到的唯一 對應(yīng)于該消息的數(shù)值，消息中每改變一個數(shù)據(jù)位都會引起信息

41、摘耍中大約一半 的數(shù)據(jù)位的改變。而兩個不同的消息具有相同的信息摘耍的可能性及其微小， 因此hash函數(shù)的單向性使得從信息摘要得出信息的摘要的計算是不可行的。 信息摘耍的這些特征保證了信息的完整性。(3) 采用雙重簽名技術(shù)保證交易雙方的身份認證set協(xié)議應(yīng)用了雙重簽名(dual signatures)技術(shù)。在一項安全電了商務(wù)交 易中，持卡人的定購信息和支付指令是相互對應(yīng)的。商家只有確認了對應(yīng)于持 卡人的支付指令對應(yīng)的定購信息才能夠按照定購信息發(fā)貨；而銀行只有確認了 與該持卡人支付指令對應(yīng)的定購信息是真實可靠的才能夠按照商家的耍求進行 支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡

42、人訂購 信息的同時不會侵犯顧客的私人隱私這一口的，set協(xié)議采用了雙重簽名技術(shù) 來保證顧客的隱私不被侵犯。第五章 電子支付風險及防范措施電子支付系統(tǒng)作為電子貨幣與交易信息傳輸?shù)南到y(tǒng)，既涉及到國家金融和 個人的經(jīng)濟利益，乂涉及交易秘密的安全;支付電子化還增加了國休金融風險傳 導、擴散的危險。能否冇效防范電子支付過程中的風險是電子支付健康發(fā)展的 關(guān)鍵。第一節(jié)電子支付的主要風險1電子支付的基木風險支付電子化的同時，既給消費者帶來便利，也為銀行業(yè)帶來新的機遇，同 吋也對相關(guān)主體提出了挑戰(zhàn)。電子支付面臨多種風險，主要包括經(jīng)濟波動及電 子支付本身的技術(shù)風險，也包括交易風險、信用風險等。金融系統(tǒng)中傳統(tǒng)意義

43、上的風險在電子支付屮表現(xiàn)得尤為突出。(1) 經(jīng)濟波動的風險電子支付系統(tǒng)面臨著與傳統(tǒng)金融活動同樣的經(jīng)濟周期性波動的風險。同時 由于它具有信息化、國際化、網(wǎng)絡(luò)化、無形化的特點，電子支付所面臨的風險 擴散更快、危害性更大。一旦金融機構(gòu)出現(xiàn)風險，很容易通過網(wǎng)絡(luò)迅速在整個 金融體系中引起連鎖反應(yīng)，引發(fā)全局性、系統(tǒng)性的金融風險，從而導致經(jīng)濟秩 序的混亂，甚至引發(fā)嚴重的經(jīng)濟危機。(2) 電子支付系統(tǒng)的風險首先是軟硬件系統(tǒng)風險。從整體看，電子支付的業(yè)務(wù)操作和大量的風險控 制工作均由電腦軟件系統(tǒng)完成。全球電子信息系統(tǒng)的技術(shù)和管理中的缺陷或問 題成為電子支付運行的最為重要的系統(tǒng)風險。在與客戶的信息傳輸屮，如果該

44、系統(tǒng)與客戶終端的軟件互不兼容或出現(xiàn)故障，就存在傳輸中斷或速度降低的可 能。此外，系統(tǒng)停機、磁盤列陣破壞等不確定性因素，也會形成系統(tǒng)風險。根 據(jù)對發(fā)達國家不同行業(yè)的調(diào)查，電腦系統(tǒng)停機等因索對不同行業(yè)造成的損失各 不相同。其屮，對金融業(yè)的影響最大。發(fā)達國家零售和金融業(yè)的經(jīng)營服務(wù)已在 相當程度上依賴于信息系統(tǒng)的運行。信息系統(tǒng)的平衡、可靠和安全運行成為電 子支付各系統(tǒng)安全的重要保障。其次是外部支持風險。由于網(wǎng)絡(luò)技術(shù)的高度知識化和專業(yè)性，又出于對降 低運營成木的考慮，金融機構(gòu)往往要依賴外部市場的服務(wù)支持來解決內(nèi)部的技 術(shù)或管理難題，如聘請金融機構(gòu)之外的專家來支持或直接操作各種網(wǎng)上業(yè)務(wù)活 動。這種做法適應(yīng)

45、了電子支付發(fā)展的要求，但也使自身暴露在可能出現(xiàn)的操作 風險之中，外部的技術(shù)支持者可能并不具備滿足金融機構(gòu)要求的足夠能力，也 可能因為h身的財務(wù)困難而終止提供服務(wù)，可能對金融機構(gòu)造成威脅。在所有 的系統(tǒng)風險中，最具有技術(shù)性的系統(tǒng)風險是電了支付信息技術(shù)選擇的失謀。當 齊種網(wǎng)上業(yè)務(wù)的解決方案層出不窮，不同的信息技術(shù)公司大力推舉各自的方案, 系統(tǒng)兼容性可能出現(xiàn)問題的情況f,選擇錯謀將不利于系統(tǒng)與網(wǎng)絡(luò)的有效連接, 述會造成巨大的技術(shù)機會損失，甚至蒙受巨大的商業(yè)機會損失。(3) 交易風險電子支付主要是服務(wù)于電子商務(wù)的需要，而電子商務(wù)在網(wǎng)絡(luò)上的交易由于 交易制度設(shè)計的缺陷、技術(shù)路線設(shè)計的缺陷、技術(shù)安全缺陷等

46、因素，可能導致 交易屮的風險。這種風險是電子商務(wù)活動及其相關(guān)電子支付獨有的風險，它不 僅可能局限于交易各方、支付的各方，而且可能導致整個支付系統(tǒng)的系統(tǒng)性風 險。2電了支付的操作風險電子支付加大了風險，也使得其影響范帀也擴大了，某個環(huán)節(jié)存在的風險 對整個機構(gòu)，甚至金融系統(tǒng)都可能存在潛在的影響?；ヂ?lián)網(wǎng)和其他信息技術(shù)領(lǐng) 域的進步所帶來的潛在損失已經(jīng)遠遠超過了受害的個體所能承受的范帀，已經(jīng) 影響到經(jīng)濟安全。這種情況與技術(shù)有著直接的關(guān)系，其中表現(xiàn)最為突出的是操 作風險。電子貨幣的許多風險都可以歸納為操作風險。一些從事電子貨幣業(yè)務(wù) 的犯罪分了偽造電了貨幣，給銀行帶來直接的經(jīng)濟損失。這些罪犯不僅來門銀 行外

47、部，有時述來自銀行內(nèi)部，對銀行造成的威脅更大。(1) 電了扒手一些被稱為“電子扒手''的銀行偷竊者專門竊取別人網(wǎng)絡(luò)地址，這類竊案近 年呈迅速上升趨勢。一些竊賊或因商業(yè)利益，或因?qū)λ阢y行或企業(yè)不滿，甚 至因好奇盜取銀行和企業(yè)密碼，瀏覽企業(yè)核心機密，甚至將盜取的秘密賣給競 爭對手。美國的銀行每年在網(wǎng)絡(luò)上被偷竊的資金達600()萬美元，而每年在網(wǎng)絡(luò) 上企圖電子盜竊作案的總數(shù)高達5100億美元z間，持槍搶劫銀行的平均作案 值是7500美元，而“電了扒手”平均作案值是25萬美元。“電了扒手"多數(shù)為解 讀密碼的高手，作案手段隱蔽，不易被抓獲。(2) 網(wǎng)上詐騙網(wǎng)上詐騙包括市場操縱

48、、知情人交易、無照經(jīng)紀人、投資顧問活動、欺騙 性或不止當銷售活動、謀導進行高科技投資等互聯(lián)網(wǎng)詐騙。據(jù)北美證券管理者 協(xié)會調(diào)查，網(wǎng)上詐騙每年估計使投資者損失100億美元。(3) 網(wǎng)上黑客攻擊即所謂非法入侵電腦系統(tǒng)者，網(wǎng)上黑客攻擊對國家金融安全的潛在風險極 大。目而，黑客行動幾乎涉及了所有的操作系統(tǒng)，包括unix與windowsnto 因為許多網(wǎng)絡(luò)系統(tǒng)都有著齊種齊樣的安全漏洞，其屮某些是操作系統(tǒng)本身的， 有些是管理員配置錯課引起的。黑客利用網(wǎng)上的任何漏洞和缺陷修改網(wǎng)頁，非 法進人主機，進入銀行盜取和轉(zhuǎn)移資金、竊取信息、發(fā)送假冒的電了郵件等。(4) 電腦病毒破壞電腦網(wǎng)絡(luò)病毒破壞性極強。以novell網(wǎng)為例，一旦文件服務(wù)器的硬盤被 病毒感染，就可能造成netware分區(qū)屮的某些區(qū)域上內(nèi)容的損壞，使網(wǎng)絡(luò)服務(wù) 器無法啟動，導致整個網(wǎng)絡(luò)癱瘓，這對電了支付系統(tǒng)來說無疑是滅頂z災。電 腦網(wǎng)絡(luò)病毒普遍具有較強的再生功能，一接觸就可通過網(wǎng)絡(luò)進行擴散與傳染。 一旦某個程序被感染了，很快整臺機器、整個網(wǎng)絡(luò)也會被感染的。據(jù)有關(guān)資料 介紹，在網(wǎng)絡(luò)上病毒傳播的