电子商务-中国高校管理课件网.PPTVIP

电子商务中的安全支付问题 东南大学经济管理学院 内容纲要 电子商务的定义 网上支付的含义 电子商务安全支付的要求 电子商务安全支付的技术机制 电子商务安全支付的法律要素 什么是电子商务 电子商务( Electronic Commerce)是在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。 电子商务的内容包括信息流、资金流和物流。 网上支付的涵义 广义：网上支付是发生在购买者和销售者之间的金融交换，而这种交换的内容通常是银行所支持的某种数字金融工具，比如信用卡、电子支票或电子现金等。 狭义：网上支付是指消费者借助各类电子货币，通过互联网实现交易的支付结算。 国内电子商务公司的支付方式 现状：“ 网上交易、网下支付”的方式 原因：除了商家和客户还不习惯用电子货币消费外，关键是我国的网上支付业务还很落后，网上支付的效率还很低，确认支付的时间较长，网上支付收取的上网费用和管理费用过高，网上支付有种种限制，如金额限制、地域限制等，重要的是网上支付的安全性问题、信誉问题得不到保障。 电子商务安全支付的要求 信息保密性 交易者身份的确定性(真实性) 不可否认性 不可修改性(数据完整性) 电子商务安全支付的要求 网络环境下的支付安全不仅涉及到技术问题，而且还涉及到法律政策问题，包括法律法规、政府政策、金融体制等等。技术问题虽然是直接保障安全的手段，但离开了法律政策和管理的基础，纵有最先进的技术，网上支付的安全也不会得到保障。 电子商务安全支付的技术机制 防火墙技术 加解密技术 数字签名技术 身份认证技术 网络安全协议 加密( cryptograph) SK 秘密密钥(私钥) 秘密 PK 公开密钥(公钥) 公开 E 加密变换 公开 D 解密变换 公开 X 明文 秘密 Y 密文 公开 加密( cryptograph) P K·SK = SK·P K, EPK( X ) = Y , DSK ( Y ) = X , DSK ( EPK( X ) ) = EPK( DSK( X ) ). 认证和认证中心 为了彼此确认因特网上打交道的对方,必须由权威的第三方来给出认证,正如客户在银行存款或取款必须出示自己的身份证,而该身份证是由大家信任的第三方公安局所给出的一样。在电子商务中,权威的第三方称为认证中心。 安全套接层协议SSL (1) 客户C 与商家M 建立连接. (2) 商家M 向客户传送自己的数字证书. (3) 客户C 利用浏览器中的SSL 软件随机产生传输密钥,以商家的公钥加密后传送给商家. (4) 客户将自己的信用卡号用传输密钥加密后传送给商家. 安全电子交易协议SET (1) 客户C 向商家M 发出采购请求. (2) 商家M 向客户C 报价(目录清单). (3) 客户C 同意报价,并对订单OI (order inst ructions) 进行数字签名:OI′= DSKC (OI) ,然后将OI′发给商家M. (4) 商家M 对收到的OI′解密:OI = EPKC (OI′),确认订单OI 为客户C 所发.商家对自己的数字证书CerM 、支付网关的数字证书Cer P 以及付款要求 Pay进行数字签名:Y = DSKM (CerM ,Cer P ,Pay) ,然后发给客户C(图3 中的消息d) . 安全电子交易协议SET (5) 客户C 收到Y ,对Y 进行解密:(CerM ,Cer P ,Pay) = EPKM ( Y ) ,确认Y 为M 所发,确认商家M 和支付网关P 的身份. 客户C 生成按Pay 要求的支付命令PI (payment inst ructions) ,并进行数字签名:PI′= DSKC (PI) . 客户C 取随机生成的一个对称密钥K ,由K 对PI′进行加密:PI″= EK(PI′) 对客户C 的帐户信息PAN (C 的姓名、信用卡号等) 和K 用支付网关P 的公钥进行加密:P1 = EPKP (PAN ,K) . 对客户C 的数字证书CerC ,PI″及P1 进行数字签名:Y 1 = DSKC (CerC ,PI″,P1) ,然后发给商家M(图3 中的消息e) . 安全电子交易协议SET (6) 商家M 对收到的Y 1 进行解密:(CerC ,PI″,P1) = EPKC ( Y 1) ,确认为客户C 所发。 对CerC ,PI″,P1 和商家M 自己的数字证书CerM 进行数字签名:Y 2 = DSKM(CerM ,CerC ,PI″,P1) ,然后发送给支付网关P。 安全电子交易协议SET (7)