電子付款系統

1. 電子付款系統 線上信用卡付款 SET (Secure Electronic Transaction) SSL (Secure Sockets Layer) 電子現金 David Chaum 電子現金系統 Mondex 電子支票 Echeck 小額付款系統 電子付款系統

2. 付款工具的演進 • 「錢」的概念 • 實體的貝殼、金屬、代幣 • 被保證的文數字資料 • 以經過安排的電子或光子的形式存在 (Dee Hock, 1968) • 多樣化的付款方式 • 現金 • 支票、本票 • 信用卡付款 • 直接轉帳 電子付款系統

3. 線上信用卡付款SET (Secure Electronic Transaction) 電子付款系統

4. Approach for the SET standard STT Specification • SET Team Members • Visa • MasterCard • Microsoft • Netscape • IBM • GTE • Terisa Systems • SAIC • VeriSign SEPP Specification Secure Electronic Transaction Specification 電子付款系統

5. MERCHANT ISSUER Member Bank Member Bank ACQUIRER 0400 1234 5678 9010 0400 1234 5678 9010 Customer Valid 71 00/00 CY Since Thru William G. Mellor Electronic Commerce - Visa’s Role • Goal: Create an open standard for secure bankcard transactions over the Internet (and other networks) while preserving the cardholder-Issuer and merchant-Acquirer relationships 電子付款系統

6. CARDHOLDER ISSUER ACQUIRER Secure Processing Overview Secure Standard Merchant Authentication Cardholder Authentication Transaction Encryption MERCHANT Internet Electronic Commerce Payment Service 電子付款系統

7. 電子付款系統架構 Merchant Software Buyer Software 電子付款系統的架構 Internet 特約商店 (商店伺服器) 持卡人 (電子錢包) Internet 認證中心 Certificate Authority NET 發卡銀行 VISA/MASTER 組織 收單銀行 付款轉接站 Payment Gateway 電子付款系統

8. 買方 賣方 送出加密信用卡號碼 交易確認 (訂單) 取 得 貨 款 繳 款 帳 單 通 知 檢查信用卡真偽 和信用認證 清算 信用卡認證授權 Banknet 收單銀行或 信用卡處理業者 發卡銀行 線上信用卡付款系統 • 信用卡在網際網路的應用,是傳統信用卡付款方式的延伸應用 • 在網路上利用信用卡交易,最重要的是資料的保密與交易的確認 電子付款系統

9. 電子付款系統

10. Certification Registration 電子付款系統

11. 艾麗絲的電腦 鮑伯的電腦 艾麗絲的 簽章私密金鑰 鮑伯的金鑰交換 私密鑰匙    文件 加密 解密 訊息摘要 訊息摘要 數位信封 數位簽章 數位簽章  訊 息 文件 文件  密文  密文 + + 訊息摘要 解密  密文 加密 對稱金鑰 + +  對稱金鑰 比較 數位信封   加密 解密 數位信封 鮑伯的 金鑰交換公開鑰匙 艾麗絲的 簽章公開金鑰 SET加解密流程架構圖 資料來源：整理自SET Secure Electronic Transaction Specification[7, p.20]. 鮑伯 艾麗絲 艾麗絲 SET加解密流程架構 電子付款系統

12. 雙重簽章(Dual Signature) • 目的：藉由資訊分離將訊息分為付款指示(PI)與訂購資訊(OI)，提供消費者隱私權的保護。 • 方法：消費者使用一次簽章，卻可以同時對商店與銀行提出承諾以示負責。 電子付款系統

13. 雙重簽章(Dual Signature) 電子付款系統

14. 雙重簽章(Dual Signature) • 顧客傳送購買請求 電子付款系統

15. 雙重簽章(Dual Signature) • 商店驗證顧客的購買請求 電子付款系統

16. 電子錢包 • 保障持卡人的網路購物及付款(商家看不到付款資訊) • 為卡片持有人及商家提供身份確認 • 支援符合ＳＥＴ的訊息 • 通知商家接收及認可定單 • 查詢歷次交易記錄 電子付款系統

17. 電子錢包帳戶畫面 電子付款系統

18. 線上信用卡付款SSL (Secure Sockets Layer) 電子付款系統

19. SSL (Secure Sockets Layer) • TCP/IP模型中傳輸層與應用層間的安全機制 • 將網頁到伺服器間的資料傳輸作加密 • 防止傳輸中的資料外洩 • SSL啟動 • 網頁上網址為 https開頭 • 瀏覽器視窗右下方已鎖上的小鎖圖案 電子付款系統

20. 2 3 1 2 電子付款系統

21. 線上信用卡付款 — SSL • Secure Sockets Layer Protocol • 機密性 • 真確性 – 以雜湊函數產生訊息驗證碼(MAC) • 身份鑑別 - client端身分鑑別為Optional • 發展現況 • 由 Netscape 於 1994 年提出, SSL 3.0於1996.11推出 • Microsoft修正SSL2.0的弱點，提出PCT • TLS(Transport Layer Security)) • IETF以SSL 3.0為基礎來設計 • 1999 公佈TLS1.0為RFC2246新標準 電子付款系統

22. 電子付款系統

23. SSL • 以非對稱式加密法交換 session key • 以對稱式加密法對傳輸資料加解密 • 訊息層（SSL Message Layer）：傳遞用戶資料、交談資料（Handshake）、警告資料及密碼資料等 • 記錄層（SSL Record Layer）：接收來自於訊息層之資料訊息區塊，切割成固定封包，再壓縮、加入MAC、加密、加入SSL版本資訊等 SSL Message Layer SSL Record Layer 電子付款系統

24. 記錄層 電子付款系統

25. Mutual Authentication • Ensuring data integrity • Securing data privacy 電子付款系統

26. CLIENT SERVER ClientHello a list of cipher suites supported ServerHello server selects a cipher suites, usually RSA Certificate server sends its certificate ClientKeyExchange a random challenge, encrypted with the server’s public key HTTP communication begins over the secure channel SSL in handshake phase • Message exchanged in a typical SSL handshake 電子付款系統

27. SSL的三種身分識別模式 • 雙方皆匿名 • Server端身分驗證, Client端匿名 • 雙方皆進行身分驗證 電子付款系統

28. 電子付款系統

29. Banking Network Order Web Page Traditional Clearing Credit Card No. 持卡人 (電子錢包) Receipt Web Page 特約商店 (商店伺服器) Secure Channel(SSL) Credit-card-over-SSL • Message flow 電子付款系統

30. 若登入網站的伺服器憑證是由不明的認證單位所簽發，不被您使用的瀏覽器信任，瀏覽器會出現警告訊息。若登入網站的伺服器憑證是由不明的認證單位所簽發，不被您使用的瀏覽器信任，瀏覽器會出現警告訊息。 電子付款系統

31. SET 的問題與質疑 • 未解決的問題 • 不同軟體廠商開發的SET應用軟體間的相互操作性 • SET應用軟體與商店既有系統的整合 • 對 SET 的質疑 • 不斷延遲 • 真正的獲利者 ? • 運作速度緩慢且成本高 • 可攜性差且不夠安全 Sep. 1998/ Master's thesis in Computer Science / Carl Eric Wolrath 電子付款系統

32. SSL 的問題 • SSL的加密強度 • 大多使用者仍使用有缺點的 2.0舊版 • SSL 曾被破解 • Microsoft 改善 SSL 的缺點, 擴充成 PCT (Private Communications Technology). , 包含第二個 key 以進行身份辨識及更強健的亂數產生器 • 單純以 SSL來作為安全解決方案並不足夠 電子付款系統

33. 電子現金 電子付款系統

34. 電子現金的形式 • 儲值智慧卡 • 離線作業 • 同信用卡般紀錄交易內容, 無匿名性 • Mondex電子現金 • 卡片會與持卡人的銀行帳戶連結以便讓持卡人作循環儲值 • 網路電子貨幣 • E-cash 電子付款系統

35. Mondex • 傳輸電話、自動櫃員機 • 可將款項下載至Mondex卡，亦可更改、上鎖或解除Mondex晶片的密碼 • 餘額讀取機 • 可隨時讀取Mondex 卡上餘額及查閱最近十筆交易記錄 電子付款系統

36. 電子現金 • 可在網路上流通的「數位化」現金 • 電子現金應具備的特性 • 貨幣價值 • 可移轉性：使用者使用者 • 可分割性：可對整筆的電子現金進行分割 • 安全性：難以偽造、無重複使用 • 匿名性：無法查知付款人身份  使用「盲目簽章」技術 (DigiCash) • 發展現況 • DigiCash 、NetCash、Mondex 電子付款系統

37. 賣方 買方 電子現金 申請檢驗 發款 使用過的電子現金資料庫 銀行網路 銀行A 銀行B 電子現金的運作方式 電子付款系統

38. Electronic Cash • Properties of e-cash: • Anonymous • Can be spent only once • Transferable • Divisible • Disadvantages: • difficult to track and audit • enabled money laundering • Types: • on-line • off-line 電子付款系統

39. Electronic Cash (cont.) • An electronic coin is a piece of data representing monetary value within an electronic cash system. • Coins are identified in the sense that every coin is minted with a unique serial number. 電子付款系統

40. Blind signature盲目簽章by David Chaum 電子現金之父 $1 serial no. 1000784 creates $1 Serial no. xxxxxx sends to the bank blinds serial no. Deducts $1 form Ann’s account. Signs $1 coin. $1 Serial no. xxxxxx Bank recovers serial number bank sends to Ann $1 serial no. 1000784 $1 Serial no. xxxxxx $1 Serial no. xxxxxx Signed $1 Signed $1 Signed $1 電子付款系統

41. Blind signature (cont.) • The user’s cyberwallet generates random blinding factor r. • The serial number of the coin is blinded by multiplying it by r raised to the power of the bank’s public key (public exponent) e. serial# re (mod n) • The bank signs the coin with its private key d. (serial# re)d = (serial#)d red= = (serial#)d r (mod n) • The user divides out the blinding factor r. (serial#)d 電子付款系統

42. Using Ecash on the WWW Bank 5. Deposit coins 6. Accepted 3. Payment request Client wallet Merchant wallet 4. Coins 7. Receipt 2. Activate wallet 8. Delivery 1. Place an order Web browser Web Server 電子付款系統

43. Electronic coin {serial#}SKBank $1 Coin=Serial#, KeyVersion, {serial#}SKBank $1 Coin=Serial#, KeyVersion, {H(serial#)}SKBank $1 電子付款系統

44. Double spending ECash coins Minting Bank DB with spent serial numbers If Serial number NOT in DB THEN Valid ELSE Double spending 電子付款系統

45. Withdrawing coins Request: {Ks}PKbank,{request, {H(request)}SKclient}Ks {blinded coins, denominations required} Minting Bank Client {Signed blinded coins}Sigbank 電子付款系統

46. 電子支票 電子付款系統

47. 電子支票 • 使用方式如同傳統支票，可減少學習時間及成本 • 目前企業以實體票據支付，開出的票據太多，無法有效率彙整票據開立金額與到期日，常常因疏忽發生跳票，電子支票可以更有效率進行財務管理 • 個人支存戶，實體票據手續費較高，而且要冒著遺失、偽造風險 • 電子支票有嚴密的安全保護，手機也可開立票據 電子付款系統

48. 1.以電子支票支付 賣方 買方 5.接受或拒絕交易 • 2.申請驗證電子支票 4.驗證結果 6.清算 3.驗證電子支票 買方銀行 帳務伺服器 電子支票運作方式 電子付款系統

49. 100.00 One Hundred and no/100s Secure email (e.g., S/MIME) 6/30/98 Payee Secure web session (e.g., SSL) Invoice # 593281 eCheck Transport & Confidentiality 電子付款系統

50. Creating anelectronic check payment 100.00 For illustrativepurposes only One Hundred and no/100s ElectronicCheckbook 6/30/98 Payee 74B71299CA302AE7F1601338211DE3A014D9FF429B3A Invoice # 593281 Smartcard Reader 電子付款系統