電子商務(wù)安全與支付-2

1、第2章 電子商務(wù)系統(tǒng)的安全需求 2.1安安全全問題的的產(chǎn)生2.2交交易易環(huán)境的的安全性性2.3交交易易對象和和交易過過程的安安全性2.4網(wǎng)網(wǎng)上上支付的的安全需需求本章學(xué)習(xí)習(xí)目標(biāo)電子商務(wù)務(wù)系統(tǒng)安安全問題題的根源源電子商務(wù)務(wù)系統(tǒng)的的安全需需求電子交易易交易環(huán)環(huán)境的安安全需求求電子商務(wù)務(wù)交易對對象和交交易過程程的安全需需求傳統(tǒng)商務(wù)務(wù)是在現(xiàn)現(xiàn)實(shí)物理理世界中中真實(shí)地地進(jìn)行的的商務(wù)活活動，其其過程可可以簡單單地分為為查詢、訂貨和和交易三三個環(huán)節(jié)節(jié)。2.1安安全全問題的的產(chǎn)生電子商務(wù)務(wù)也分為為查詢、訂貨、交易等等環(huán)節(jié)，但電子子商務(wù)不不需要客客戶和商商家之間間直接見見面，并并且可以以通過Internet這一一

2、媒介來來進(jìn)行。以普通通消費(fèi)者者的一次次網(wǎng)上購購物為例例，基本本過程：(1)客客戶在在Internet上上查詢自自己想購購買的商商品(2)客客戶輸輸入訂單單(3)商商家向向客戶提提供所購購商品信信息(4)客客戶在在確認(rèn)上上述信息息后，用用電子錢錢包或其其他方式式付款(5)信信用卡卡號碼經(jīng)經(jīng)加密后后發(fā)送到到相應(yīng)銀銀行如果信用用卡信息息經(jīng)銀行行檢驗(yàn)后后遭到拒拒絕或不不予授權(quán)權(quán)，說明明客戶的的信用卡卡不足以以支付本本次消費(fèi)費(fèi)金額或或已過期期。這時客戶戶還可以以從電子子錢包中中選出其其他信用用卡，重重復(fù)上述述過程。(6)如如果經(jīng)經(jīng)銀行證證明客戶戶信用卡卡有效授授權(quán)，商商家就可可以準(zhǔn)備備付貨。同時，商家留

3、留下整個個交易過過程中發(fā)發(fā)生的財(cái)財(cái)務(wù)數(shù)據(jù)據(jù)，并且且出示一一份電子子收據(jù)給給消費(fèi)者者。(7)銷銷售商商店就按按照訂單單通過郵郵政系統(tǒng)統(tǒng)或配送送中心送送貨。惡者對電電子商務(wù)務(wù)系統(tǒng)的的主要威威脅有：系統(tǒng)穿透透(2)違違反授授權(quán)原則則(3)植植入(4)通通信監(jiān)監(jiān)視(5)通通信干干擾(6)中中斷(7)拒拒絕服服務(wù)(8)否否認(rèn)2.2交交易易環(huán)境的的安全性性圖2-1客客戶機(jī)和和服務(wù)器器關(guān)系示示意圖客戶機(jī)的的任務(wù)是是：(1)制制作一個個請求（通常在在單擊某某個鏈接接點(diǎn)時啟啟動）。(2)將將請求求發(fā)送給給某個服服務(wù)器。(3)通通過對對直接圖圖像適當(dāng)當(dāng)解碼，呈交HTML文檔和和傳遞各各種文件件給相應(yīng)應(yīng)的觀察察器（

4、Viewer），把請請求所得得的結(jié)果果報(bào)告給給你。基本功能能：檢索查詢詢功能文件服務(wù)務(wù)功能(3)熱熱表管管理(4)建建立自自己的主主頁（Home Page）(5)提提供其其他Internet服務(wù)2.2.2客客戶機(jī)的的安全性性1活動動內(nèi)容活動內(nèi)容容是指在在頁面上上嵌入的的對用戶戶透明的的程序，它可完完成一些些動作?；顒觾?nèi)容容有多種種形式，最知名名的活動動內(nèi)容形形式包括括Java小應(yīng)應(yīng)用程序序、ActiveX控控件、JavaScript和VBScript。2Java、Java小應(yīng)應(yīng)用程序序和JavaScriptJava是Sun微系系統(tǒng)公司司開發(fā)的的一種高高級程序序設(shè)計(jì)語語言。Java是一種種真正的

5、的面向?qū)ο蟮恼Z語言.JavaScript是網(wǎng)景景公司（Netscape）開發(fā)的的一種腳腳本語言言，它支支持頁面面設(shè)計(jì)者者創(chuàng)建活活動內(nèi)容容。3ActiveX控件ActiveX是一個個對象（稱作控控件），它含有有由頁面面設(shè)計(jì)者者放在頁頁面來執(zhí)執(zhí)行特定定任務(wù)的的程序.4圖形形文件、插件和和電子函函件的附附件圖形文件件、瀏覽覽器插件件和電子子函件附附件均有有可存儲儲可執(zhí)行行的內(nèi)容容。這就意味味著帶這這種圖形形的任何何頁面都都是潛在在的安全全威脅，因?yàn)榍肚对趫D形形中的代代碼可能能會破壞壞計(jì)算機(jī)機(jī). 2.2.3通通信信道道的安全全性1對保密密性的安安全威脅脅2對完完整性的的安全威威脅3對即即需性的的安全

6、威威脅2.3交易對象象和交易易過程的的安全性性在電子商商務(wù)環(huán)境境中，電電子交易易所涉及及的主要要主體對對象有：客戶或持持卡人（CardHolder）發(fā)卡機(jī)構(gòu)構(gòu)（Issuer）商家（Merchant）受卡行（Acquirer）支付網(wǎng)關(guān)關(guān)（PaymentGateway）一個典型型的電子子交易過過程是這這樣的如如圖2-2所示圖2-2電電子購物物示意圖圖電子商務(wù)務(wù)交易雙雙方（銷銷售者和和消費(fèi)者者）都面面臨不同同的安全全威脅。1對銷銷售者而而言，他他面臨的的安全威威脅主要要有：(1)中中央系統(tǒng)統(tǒng)安全性性被破壞壞(2)競競爭者者檢索商商品遞送送狀況(3)客客戶資資料被競競爭者獲獲悉(4)被被他人人假冒而而

7、損害公公司的信信譽(yù)(5)消消費(fèi)者者提交訂訂單后不不付款(6)虛虛假訂訂單(7)獲獲取他他人的機(jī)機(jī)密數(shù)據(jù)據(jù)2對消消費(fèi)者而而言，他他面臨的的安全威威脅主要要有：(1)虛假假訂單(2)付付款后后不能收收到商品品(3)機(jī)機(jī)密性性喪失(4)拒拒絕服服務(wù)3黑客客們攻擊擊電子商商務(wù)系統(tǒng)統(tǒng)的手段段可以大大致可歸歸納為：(1)中斷斷（攻擊擊系統(tǒng)的的可用性性）(2)竊竊聽（攻擊系系統(tǒng)的機(jī)機(jī)密性）(3)篡篡改（攻擊系系統(tǒng)的完完整性）(4)偽偽造（攻擊系系統(tǒng)的真真實(shí)性）4網(wǎng)上上進(jìn)行電電子交易易的安全全性要求求可歸納納為：(1)真真實(shí)性要要求(2)有有效性性要求(3)機(jī)機(jī)密性性要求(4)完完整性性要求(5)不不可抵抵賴

8、要求求2.4網(wǎng)網(wǎng)上上支付的的安全需需求2.4.1支支付的發(fā)發(fā)展以銀行信信用力為為基礎(chǔ)的的貨幣給給付行為為被稱為為支付結(jié)結(jié)算。這其中又又可分為為兩類，一類是是支付人人發(fā)起的的結(jié)算，另一類類是接收收人發(fā)起起的結(jié)算算。可將支付付定義為為：為清清償商品品交換和和勞務(wù)活活動引起起的債權(quán)權(quán)債務(wù)關(guān)關(guān)系，由由銀行所所提供的的金融服服務(wù)業(yè)務(wù)務(wù)。一般意義義上的結(jié)結(jié)算包含含了貨幣幣即時結(jié)結(jié)算和支支付結(jié)算算兩種。支付與信信用的關(guān)關(guān)系十分分密切，一定的的信用關(guān)關(guān)系與信信用制度度是支付付體系得得以建立立與完善善的基礎(chǔ)礎(chǔ)，同時時，支付付體系的的完善和和發(fā)展也也能促進(jìn)進(jìn)信用體體系的進(jìn)進(jìn)一步發(fā)發(fā)展。1支付付承諾2對違違法者的的

9、懲罰3信用用積累制制度4身份份認(rèn)證與支付有有關(guān)的信信用體系系的建立立與完善善要涉及及到以下下因素：支付的全全過程可可分為兩兩個層次次。一層是商商業(yè)銀行行為廣大大客戶提提供金融融服務(wù)時時所產(chǎn)生生的支付付往來與與結(jié)算，是支付付系統(tǒng)的的下層支支付服務(wù)務(wù)系統(tǒng)。另一層是是中央銀銀行為商商業(yè)銀行行提供支支付資金金清算服服務(wù)時所所產(chǎn)生的的支付與與清算，是支付付系統(tǒng)中中的上層層資金清清算系統(tǒng)統(tǒng)。2.4.2電電子商務(wù)務(wù)系統(tǒng)中中的支付付本章所討討論的電電子商務(wù)務(wù)網(wǎng)上支支付系統(tǒng)統(tǒng)是建立立在這些些現(xiàn)存的的支付清清算系統(tǒng)統(tǒng)基礎(chǔ)之之上的下下層支付付服務(wù)系系統(tǒng)，因因此，本本章只涉涉及下層層支付服服務(wù)體系系的內(nèi)容容。對傳統(tǒng)支

10、支付結(jié)算算模式的的沖擊很很大。傳統(tǒng)的支支付結(jié)算算系統(tǒng)是是以手工工操作為為主，以以銀行的的金融專專用網(wǎng)絡(luò)絡(luò)為核心心，通過過傳統(tǒng)的的信道(郵遞、電報(bào)、傳真等等）來進(jìn)進(jìn)行憑證證的傳遞遞，從而而實(shí)現(xiàn)貨貨幣的支支付結(jié)算算。電子商務(wù)務(wù)是一種種全新的的商務(wù)模模式。貨貨幣幣可以是是智能卡卡芯片中中的一組組數(shù)據(jù)、硬盤中中的一個個文件或或網(wǎng)絡(luò)中中的一組組二進(jìn)制制流。在一次支支付中，甚至可可能不會會產(chǎn)生任任何實(shí)體體的東西西，而只只是生成成了若干干文件而而已。對于網(wǎng)上上支付，銀行的的參與是是必需的的，網(wǎng)上上支付體體系必須須借助銀銀行的支支付工具具、支付付系統(tǒng)以以及金融融專用網(wǎng)網(wǎng)才能最最終得以以實(shí)現(xiàn)。電子轉(zhuǎn)賬賬支付系系統(tǒng)的特特點(diǎn)是支支付過程程中操作作直接針針對帳戶戶，對帳帳戶的處處理即意意味著支支付的進(jìn)進(jìn)行，是是一種“即時付付款”的的支付辦辦法。2.4.3網(wǎng)網(wǎng)上支付付系統(tǒng)的的安全需需求一個安全全、有效效的支付付系統(tǒng)是是實(shí)現(xiàn)電電子商務(wù)務(wù)的重要要前提，對于網(wǎng)網(wǎng)上支付付系統(tǒng)的的安全需需求主要要表現(xiàn)為為如下幾幾個方面面：(1)使使用