第5章 电子商务支付系统（信息安全）PPT课件.ppt

第5章 电子商务支付系统 在支付模型中，整个交易过程可分为两个过程：在线交易和确认过程、离线或安全的支付结算过程。在前一过程中，客户只需向商家传输客户订单信息，如商家和客户的标识、商品名、支付金额以及客户的标识号。然后商家将客户订单提供给第三方，并由第三方负责向客户核实订单信息的正确性。 只有在客户确认该订单信息之后，第三方才开始启动离线或安全的支付结算过程。第三方将代表客户和商家处理所有敏感支付信息，并将银行账号等信息传送给银行，从而实施客户和商家账户之间的支付结算，完成整个支付过程。 在线交易和确认过程没有进行任何资金流转，它不需要在各个参与者之间传输客户的敏感信息（如信用卡号等），而是只有非敏感信息进行在线交换。因此该支付模型分离了敏感信息和非敏感信息。在这种情况下，网络上传送的信息可以不需要加密。但是商家和客户之间不加密的信息传输仍然是该系统的缺陷。 First Virtual Holdings（FV）是一个典型的、以Internet为基础的信任第三方系统。 1 客户和商家向FV注册，并请求一个VirtualPIN（VPIN），即一串字母和数字的组合，它将用作用户信用卡号的替代名。它利用假名方式保证客户匿名性。 2 为了购买商家提供的商品，客户向商家发出商品请求，同时将自己的VPIN核订单一起发送给商家。该系统利用假名方式保证客户匿名性，即在客户和商家的交易过程中，客户将FV系统分配给他的VirtualPIN作为客户信用卡号的替代名，并同订单一起发送给商家。 3 在进行大宗交易之前，需要对FV与商家之间的交换的认证消息进行加密保护，防止假冒客户获取较大宗商品。因此商家向FV服务器发出VPIN认证的请求，以核实客户的VPIN。 尽管最初的FV支付系统没有使用密码系统，但它后来在某些情况下仍然提供了加密功能。例如在进行大宗交易之前，需要对FV与商家之间交换的认证消息进行加密保护，防止假冒客户获取大宗商品。 4FV将认证即过发送给商家。 5 若此VPIN有效，商家将客户请求的服务或商品发送给客户。 6 发送商品后，商家和FV支付系统联系，将交易信息发送给FV服务器，以请求客户支付。 7 First Virtual 支付服务器向客户发送一个请求支付的电子消息（如一个WWW表单或一个简单的email），询问客户是否同意支付费用。 客户可对支付请求作出以下响应：“同意支付”、“不同意支付”、“伪造交易”。 8 若客户不满意接受到的商品，他也可以回复“不同意支付”。若客户并没有预定该商品，则客户将以“伪造交易”作为回答。这表明VPIN已被盗，于是FV将立即中止该交易，并删除被盗的VPIN。若客户同意付费，则客户将以“同意支付”作为回答。因此VPIN只有得到客户的授权之后才可以使用它。 9 若FV支付服务器接收到“同意支付”的应答消息，则FV将此次交易的金额从客户账户中取出，并存入商家的账户。 为了保护客户免遭不诚实商家的欺骗，First Virtual 支付服务器将向客户发送一个请求支付的电子消息（如通过电子邮件），询问客户是否同意支付费用。该方案将允许客户有权无条件地拒绝支付任意一笔费用。因此FV系统只有得到客户的支付授权之后，FV才可以将此次交易的金额从客户账户中取出，并存入商家的账户。但同时也为商家带来了客户拒绝支付的风险。 信任第三方的支付模型要求客户必须是该支付系统的成员，它不能提供非成员之间的交易。为了实现与非成员的交易，客户和商家可以采用传统的信用卡支付方法。这是当前比较常用的一种支付模式，客户只需在银行开设一个普通信用卡账户。在支付时，客户向商家提供加密的信用卡号码，由商家将这些信息转发给支付网关。支付网关将解密后的支付信息转发给相关的金融机构。因此该模型中的支付网关是公共网络和内部的金融网络之间的通信媒介。 电子现金又称为数字货币，是一种以数字形式流通的货币,是传统现金的电子表现形式，可以被看作是现实世界纸币现金的电子模拟。电子现金将传统现金的价值转换为加密序列数，以数字信息形式存在，并可以通过互联网流通。但它比纸币更加方便、经济。因此电子现金在经济领域起着与普通现金同样的作用，对正常的经济运行至关重要。 电子现金的发行方式包括存储性质的预付卡和纯电子形式的数据文件等。预付卡可以是银行发行的具有数字化现金功能的智能卡、储蓄卡等，它一般用于小额支付，很多商家都可受理这类支付工具。纯电子化现金没有明确的物理形式，它以用户的数字号码形式存在，因此它适用于基于网络的电子交易。 作为一种支付工具，电子现金有其独特的安全问题。 首先是不可重复花费，其次是匿名性。 电子支付系统必须要采取相应的安全措施来保证电子现金不能在两次不同的交易中使用，也就是说应该能够检查出电子现金的重复花费。并且还需要保证电子现金不是伪造