Transcript 電子商務概論

電子付款系統
線上信用卡付款

SET (Secure Electronic Transaction)
SSL (Secure Sockets Layer)

電子現金

David Chaum 電子現金系統
Mondex

電子支票

Echeck

小額付款系統

電子付款系統
1
付款工具的演進

「錢」的概念

實體的貝殼、金屬、代幣

被保證的文數字資料


以經過安排的電子或光子的形式存在 (Dee Hock,
1968)
多樣化的付款方式

現金

支票、本票

信用卡付款

直接轉帳
電子付款系統
2
線上信用卡付款
SET (Secure Electronic Transaction)
電子付款系統
3
Approach for the SET standard
SET Team Members
•Visa
•MasterCard
STT
SEPP
Specification
Specification
•Microsoft
•Netscape
•IBM
•GTE
•Terisa Systems
•SAIC
Secure
Electronic
Transaction
Specification
•VeriSign
電子付款系統
4
Electronic Commerce - Visa’s Role
Goal: Create an open standard for secure bankcard
transactions over the Internet (and other networks)
while preserving the cardholder-Issuer and
merchant-Acquirer relationships
MERCHANT
ISSUER
Member Bank
ACQUIRER
0400 1234 5678 9010
Customer
Since
Valid
Thru
71
00/00 CY
William G. Mellor
電子付款系統
5
Secure Processing Overview
Secure Standard
Merchant
Cardholder
Authentication
Authentication
Transaction Encryption
CARDHOLDER
MERCHANT
Internet
ISSUER
ACQUIRER
Electronic Commerce
Payment Service
電子付款系統
6
電子付款系統架構
Merchant Software
Buyer Software
電子付款系統的架構
Internet
特約商店
(商店伺服器)
持卡人
(電子錢包)
Internet
認證中心
Certificate Authority
MasterCard
發卡銀行
NET
VISA/MASTER 組織 收單銀行
付款轉接站
Payment Gateway
電子付款系統
7
線上信用卡付款系統

信用卡在網際網路的應用,是傳統信用卡付款方式的延伸應用

在網路上利用信用卡交易,最重要的是資料的保密與交易的確認
買方
賣方
送出加密信用卡號碼
交易確認 (訂單)
繳
款
取
得
貨
款
帳
單
通
知
檢查信用卡真偽
和信用認證
清算
信用卡認證授權
發卡銀行
Banknet
收單銀行或
信用卡處理業者
電子付款系統
8
電子付款系統
9
Certification Registration
電子付款系統
10
SET加解密流程架構
艾麗絲的電腦
鮑伯的電腦
艾麗絲的
簽章私密金鑰

文件
 鮑伯的金鑰交換
私密鑰匙
加密
訊息摘要
解密
數位信封
數位簽章

訊息

文件
+
文件

鮑伯
密文
密文
加密
+
艾麗絲

密文
解密
+
訊息摘要
對稱金鑰
+
對稱金鑰
數位信封
艾麗絲


比較

加密
解密
鮑伯的
金鑰交換公開鑰匙
數位信封
數位簽章
艾麗絲的
簽章公開金鑰
訊息摘要
SET加解密流程架構圖
資料來源：整理自SET Secure Electronic Transaction Specification[7, p.20].
電子付款系統
11
雙重簽章(Dual Signature)

目的：藉由資訊分離將訊息分為付款指示(PI)
與訂購資訊(OI)，提供消費者隱私權的保護。

方法：消費者使用一次簽章，卻可以同時對
商店與銀行提出承諾以示負責。
電子付款系統
12
雙重簽章(Dual Signature)
電子付款系統
13
雙重簽章(Dual Signature)

顧客傳送購買請求
電子付款系統
14
雙重簽章(Dual Signature)

商店驗證顧客的購買請求
電子付款系統
15
電子錢包

保障持卡人的網路購物及付款(商家看不到付款資訊)

為卡片持有人及商家提供身份確認

支援符合ＳＥＴ的訊息

通知商家接收及認可定單

查詢歷次交易記錄
電子付款系統
16
電子錢包帳戶畫面
電子付款系統
17
線上信用卡付款
SSL (Secure Sockets Layer)
電子付款系統
18
SSL (Secure Sockets Layer)

TCP/IP模型中傳輸層與應用層間的安全機制

將網頁到伺服器間的資料傳輸作加密

防止傳輸中的資料外洩

SSL啟動

網頁上網址為 https 開頭

瀏覽器視窗右下方已鎖上的小鎖圖案
電子付款系統
19
2
3
1
2
電子付款系統
20
線上信用卡付款 — SSL


Secure Sockets Layer Protocol

機密性

真確性 – 以雜湊函數產生訊息驗證碼(MAC)

身份鑑別 - client端身分鑑別為Optional
發展現況

由 Netscape 於 1994 年提出, SSL 3.0於1996.11推出

Microsoft修正SSL2.0的弱點，提出PCT

TLS (Transport Layer Security))

IETF以SSL 3.0為基礎來設計

1999 公佈TLS1.0為RFC2246新標準
電子付款系統
21
電子付款系統
22
SSL

以非對稱式加密法交換 session key

以對稱式加密法對傳輸資料加解密
SSL Message Layer
SSL Record Layer
SSL Handshake
Protocol
•SSL Change Cipher
Spec Protocol
•SSL Alert
Protocol
•SSL Record Protocol

訊息層（SSL Message Layer）：傳遞用戶資料、交談資料
（Handshake）、警告資料及密碼資料等

記錄層（SSL Record Layer）：接收來自於訊息層之資料訊息區塊，
切割成固定封包，再壓縮、加入MAC、加密、加入SSL版本資訊等
電子付款系統
23
記錄層
電子付款系統
24

Mutual Authentication
Ensuring data integrity

Securing data privacy

電子付款系統
25
SSL in handshake phase

Message exchanged in a typical SSL handshake
CLIENT
SERVER
ClientHello
a list of cipher
suites supported
ServerHello
server selects a cipher
suites, usually RSA
Certificate
server sends its certificate
ClientKeyExchange
a random challenge,
encrypted with the
server’s public key
HTTP communication
begins over the secure channel
電子付款系統
26
SSL的三種身分識別模式

雙方皆匿名

Server端身分驗證, Client端匿名

雙方皆進行身分驗證
電子付款系統
27
電子付款系統
28
Credit-card-over-SSL

Message flow
Order Web Page
Traditional Clearing
Banking
Network
Credit Card No.
持卡人
Receipt Web Page 特約商店
(電子錢包)
(商店伺服器)
Secure Channel(SSL)
電子付款系統
29
若登入網站的伺服器憑證是由不明的認證單位所簽發，
不被您使用的瀏覽器信任，瀏覽器會出現警告訊息。
電子付款系統
30
SET 的問題與質疑

未解決的問題



不同軟體廠商開發的SET應用軟體間的相互
操作性
SET應用軟體與商店既有系統的整合
對 SET 的質疑

不斷延遲

真正的獲利者 ?

運作速度緩慢且成本高

可攜性差且不夠安全
電子付款系統
31
SSL 的問題

SSL的加密強度

大多使用者仍使用有缺點的 2.0舊版

SSL 曾被破解

Microsoft 改善 SSL 的缺點, 擴充成 PCT (Private
Communications Technology). , 包含第二個 key 以進行
身份辨識及更強健的亂數產生器

單純以 SSL來作為安全解決方案並不足夠
電子付款系統
32
電子現金
電子付款系統
33
電子現金的形式

儲值智慧卡

離線作業

同信用卡般紀錄交易內容, 無匿名性

Mondex電子現金


卡片會與持卡人的銀行帳戶連結以便讓持卡人作
循環儲值
網路電子貨幣

E-cash
電子付款系統
34
Mondex

傳輸電話、自動櫃員機


可將款項下載至Mondex卡，亦可更改、上鎖
或解除Mondex晶片的密碼
餘額讀取機

可隨時讀取Mondex 卡上餘額及查閱最近十
筆交易記錄
電子付款系統
35
電子現金

可在網路上流通的「數位化」現金

電子現金應具備的特性

貨幣價值

可移轉性：使用者使用者

可分割性：可對整筆的電子現金進行分割

安全性：難以偽造、無重複使用


匿名性：無法查知付款人身份  使用「盲目簽章」
技術 (DigiCash)
發展現況

DigiCash 、NetCash、Mondex
電子付款系統
36
電子現金的運作方式
賣方
買方
電子現金
申請檢驗
發款
使用過的
電子現金
資料庫
銀行網路
銀行A
電子付款系統
銀行B
37
Electronic Cash

Properties of e-cash:
 Anonymous





Can be spent only once
Transferable
Divisible
Disadvantages:
 difficult to track and audit
 enabled money laundering
Types:


on-line
off-line
電子付款系統
38
Electronic Cash (cont.)

An electronic coin is a piece of data
representing monetary value within an
electronic cash system.

Coins are identified in the sense that every
coin is minted with a unique serial number.
電子付款系統
39
Blind signature盲目簽章
by David Chaum 電子現金之父
creates
$1
serial no.
1000784
sends to
the bank
blinds
serial no.
Deducts $1
form Ann’s
account.
Signs $1
coin.
$1
Serial no.
xxxxxx
$1
serial no.
1000784
Signed $1
recovers serial
number
$1
Serial no.
xxxxxx
$1
Serial no.
xxxxxx
bank sends
to Ann
Signed $1
Bank
$1
Serial no.
xxxxxx
Signed $1
電子付款系統
40
Blind signature (cont.)
1.
2.
3.
4.
The user’s cyberwallet generates random blinding factor r.
The serial number of the coin is blinded by multiplying it by
r raised to the power of the bank’s public key (public
exponent) e.
serial# re (mod n)
The bank signs the coin with its private key d.
(serial# re)d = (serial#)d red=
= (serial#)d r (mod n)
The user divides out the blinding factor r.
(serial#)d
電子付款系統
41
Using Ecash on the WWW
Bank
5. Deposit coins
Client
wallet
3. Payment request
4. Coins
7. Receipt
Merchant
wallet
2. Activate wallet
Web
browser
1. Place an order
電子付款系統
6. Accepted
8. Delivery
Web
Server
42
Electronic coin
{serial#}SKBank $1
Coin=Serial#, KeyVersion, {serial#}SKBank $1
Coin=Serial#, KeyVersion, {H(serial#)}SKBank $1
電子付款系統
43
Double spending
ECash coins
Minting
Bank
DB with spent
serial numbers
If Serial number NOT in DB
THEN Valid
ELSE Double spending
電子付款系統
44
Withdrawing coins
{blinded coins, denominations required}
Minting
Bank
Client
{Signed blinded coins}Sigbank
Request:
{Ks}PKbank,{request, {H(request)}SKclient}Ks
電子付款系統
45
電子支票
電子付款系統
46
電子支票

使用方式如同傳統支票，可減少學習時間及成本

目前企業以實體票據支付，開出的票據太多，無法
有效率彙整票據開立金額與到期日，常常因疏忽發
生跳票，電子支票可以更有效率進行財務管理

個人支存戶，實體票據手續費較高，而且要冒著遺
失、偽造風險

電子支票有嚴密的安全保護，手機也可開立票據
電子付款系統
47
電子支票運作方式
買方
1.以電子支票支
付
賣方
5.接受或拒絕交易
4.驗證結果
2.申請
驗證
電子
支票
6.清算
3.驗證電子支票
買方銀行
電子付款系統
帳務伺服器
48
eCheck Transport & Confidentiality
Secure email
(e.g., S/MIME)
Payee
One Hundred and no/100s
6/30/98
100.00
Invoice #Secure
593281
web session
(e.g., SSL)
電子付款系統
49
Creating an
electronic check payment
6/30/98
Payee
One Hundred and no/100s
Invoice # 593281
100.00
For illustrative
purposes only
74B71299CA302A
E7F1601338211DE
3A014D9FF429B3A
Smartcard
Reader
Electronic
Checkbook
電子付款系統
50
Electronic Checkbook Example:
a SmartCard




IC會自行產生金鑰對供支票簽章
私鑰永不傳出IC之外
公鑰可以取出
銀行當作CA註冊每本支票簿的公鑰
Electronic
Checkbook
PRIV
PUB
Digital
Signing
Card
電子付款系統
51
Electronic Checkbook Example:
a SmartCard
Any party can use the public key contained
in the Treasury Root Certificate to verify
Treasury’s signatures on Bank Certificates
United States
Department
of the Treasury
Electronic
Checkbook
Certificate
Authority
Checkbook
Certificate
PRIV
PUB
Bank CA
Certificate
PUB
Digital
Signing
Card
“Root”
Certificate
PUB
• Treasury’s Certificate is known as a “Root”
Certificate since it is not signed by a higher
authority—Treasury signs its own certificate
電子付款系統
52
B2B Payment未來研究方向
現行支票的使用習慣, 具有延遲付款,信用保證,風險轉嫁等特性, 電子
化的付款環境未必能實現目前的使用習慣.
一旦電子化支付概念與現行支票支付概念不同, 如何參考現行票據法
立法精神, 進行電子付款立法工作.
B2B Payment中如有糾紛, 法院是否有判定能力? 或者將出現專門進行
電子化環境中, 糾紛仲裁的服務公司(可能具有資訊安全與商業經營的專
業諮詢)?
 Wireless趨勢如何與目前公司開票的內部流程整合?
如何藉由社會資訊安全教育, 來打破地域,行業別,國家,族群的限制, 順
利推行電子化付款.
電子付款系統
53
電子支票

現有紙張支票體系的電子化

發展現況


美國 FSTC (Financial Services Technology
Consortium) 發展的 Echeck 系統

依據現有法源運作

美國財政部使用 echeck 付款給國防部的供應商

新加坡政府發展中

應用公開金鑰密碼方法
美國南加大發展的 NetCheque 系統

應用對稱式金鑰密碼方法
電子付款系統
54
電子支票的一般化架構 (Echeck)
Invoice / Bill
Account
Receivable
Account
Payable
付款人
Invoice
收款人
Check
Check
電子
支票簿
Signature
Certificates
Invoice / Bill
電子
支票簿
Signature
Certificates
‧背 書
‧存款憑條
Signature
票據交換 / 清算
Certificatces
背書 Check
Signature
Payer's Bank
credit account
Certificates
電子付款系統
Payee's Bank
debit account
55
電子支票技術 (Echeck)

使用「數位簽章」取代手寫簽名

使用「電子支票簿」(a smartcard)


取代紙本支票簿

儲存使用者的私密金鑰 (private key)
支票是複合式文件 (compound document)

利用 FSML (Financial Services Markup
Language) 實作
電子付款系統
56
小額付款系統
電子付款系統
57
小額付款系統



小金額的交易系統

商品價格不高

新聞檢索、股價報導、氣象預測、線上收費遊戲…
使用技術

大多利用赫序函數 (hash function)

仲介商 ( 可信賴第三者) 的設立
發展現況

Millicent：針對美元1分以下的交易所設計

NetBill：用來支付「資訊商品」的付款系統
電子付款系統
58
網路付款系統的展望

多樣化的付款系統並存

B2B 的電子付款方式

SET 的展望
電子付款系統
59