電子商務(wù)安全與支付第2章電子商務(wù)系統(tǒng)的安全需求.ppt

第2章 電子商務(wù)系統(tǒng)的安全需求,2.1 安全問題的產(chǎn)生 2.2 交易環(huán)境的安全性 2.3 交易對象和交易過程的安全性 2.4 網(wǎng)上支付的安全需求,2.1 安全問題的產(chǎn)生 傳統(tǒng)商務(wù)是在現(xiàn)實(shí)物理世界中真實(shí)地進(jìn)行的商務(wù)活動，其過程可以簡單地分為查詢、訂貨和交易三個環(huán)節(jié)。,電子商務(wù)也分為查詢、訂貨、交易等環(huán)節(jié)，但電子商務(wù)不需要客戶和商家之間直接見面，并且可以通過Internet這一媒介來進(jìn)行。以普通消費(fèi)者的一次網(wǎng)上購物為例，基本過程：,(1) 客戶在Internet上查詢自己想購買的商品 (2) 客戶輸入訂單 (3) 商家向客戶提供所購商品信息 (4) 客戶在確認(rèn)上述信息后，用電子錢包或其他方式付款,(5) 信用卡號碼經(jīng)加密后發(fā)送到相應(yīng)銀行 如果信用卡信息經(jīng)銀行檢驗(yàn)后遭到拒絕或不予授權(quán)，說明客戶的信用卡不足以支付本次消費(fèi)金額或已過期。 這時(shí)客戶還可以從電子錢包中選出其他信用卡，重復(fù)上述過程。,(6) 如果經(jīng)銀行證明客戶信用卡有效授權(quán)，商家就可以準(zhǔn)備付貨。同時(shí)，商家留下整個交易過程中發(fā)生的財(cái)務(wù)數(shù)據(jù)，并且出示一份電子收據(jù)給消費(fèi)者。 (7) 銷售商店就按照訂單通過郵政系統(tǒng)或配送中心送貨。,惡者對電子商務(wù)系統(tǒng)的主要威脅有： 系統(tǒng)穿透 (2) 違反授權(quán)原則 (3) 植入 (4) 通信監(jiān)視,(5) 通信干擾 (6) 中斷 (7) 拒絕服務(wù) (8) 否認(rèn),2.2 交易環(huán)境的安全性,2.2.1 WWW簡介 WWW的含義 WWW是“World Wide Web”的縮寫，翻譯成環(huán)球信息網(wǎng)、全球資源網(wǎng)或萬維網(wǎng)等。, HTML的產(chǎn)生和WWW的發(fā)展 WWW中的客戶機(jī)和服務(wù)器 客戶機(jī)是一個需要某些東西的程序，而服務(wù)器則是提供某些東西的程序。,圖2-1 客戶機(jī)和服務(wù)器關(guān)系示意圖,客戶機(jī)的任務(wù)是： (1) 制作一個請求（通常在單擊某個鏈接點(diǎn)時(shí)啟動）。 (2) 將請求發(fā)送給某個服務(wù)器。 (3) 通過對直接圖像適當(dāng)解碼，呈交HTML文檔和傳遞各種文件給相應(yīng)的觀察器（Viewer），把請求所得的結(jié)果報(bào)告給你。,一個WWW服務(wù)器的任務(wù)是： (1) 接受請求。 (2) 檢查請求的合法性，包括安全性屏蔽。 (3) 針對請求獲取并制作數(shù)據(jù)。 (4) 把信息發(fā)送給提出請求的客戶機(jī)。, 瀏覽器 WWW測覽器（Browser）是一種WWW客戶程序，其最基本的目的在于讓用戶在自己的電腦（客戶機(jī)）上檢索、查詢、獲取WWW上的各種資源。,基本功能： 檢索查詢功能 文件服務(wù)功能 (3) 熱表管理 (4) 建立自己的主頁（Home Page） (5) 提供其他Internet服務(wù),2.2.2 客戶機(jī)的安全性 1活動內(nèi)容 活動內(nèi)容是指在頁面上嵌入的對用戶透明的程序，它可完成一些動作。 活動內(nèi)容有多種形式，最知名的活動內(nèi)容形式包括Java小應(yīng)用程序、ActiveX控件、JavaScript和VBScript。,活動內(nèi)容模塊是嵌在WWW頁面里的，它對瀏覽頁面的用戶完全透明，企圖破壞客戶機(jī)的人可將破壞性的活動頁面放進(jìn)表面看起來完全無害的WWW頁面中。 這種技術(shù)稱作特洛伊木馬，它可立即運(yùn)行并進(jìn)行破壞活動。 在WWW頁面里加入活動內(nèi)容為電子商務(wù)帶來了多種安全危脅。,2Java、Java小應(yīng)用程序和JavaScript Java是Sun微系統(tǒng)公司開發(fā)的一種高級程序設(shè)計(jì)語言。 Java是一種真正的面向?qū)ο蟮恼Z言. JavaScript是網(wǎng)景公司（Netscape）開發(fā)的一種腳本語言，它支持頁面設(shè)計(jì)者創(chuàng)建活動內(nèi)容。,3ActiveX控件 ActiveX是一個對象（稱作控件），它含有由頁面設(shè)計(jì)者放在頁面來執(zhí)行特定任務(wù)的程序.,4圖形文件、插件和電子函件的附件 圖形文件、瀏覽器插件和電子函件附件均有可存儲可執(zhí)行的內(nèi)容。 這就意味著帶這種圖形的任何頁面都是潛在的安全威脅，因?yàn)榍对趫D形中的代碼可能會破壞計(jì)算機(jī).,2.2.3 通信信道的安全性 1對保密性的安全威脅 2對完整性的安全威脅 3對即需性的安全威脅,2.2.4 服務(wù)器的安全性 WWW服務(wù)器的安全性 大多數(shù)計(jì)算機(jī)（包括UNIX計(jì)算機(jī)）上所運(yùn)行的WWW服務(wù)器可在不同權(quán)限下運(yùn)行。 WWW服務(wù)器上最敏感的文件之一就是存放用戶名和口令的文件，如果此文件沒有得到保護(hù)，任何人就都能以他人身份進(jìn)入敏感區(qū)域。, 公用網(wǎng)關(guān)接口的安全性 公用網(wǎng)關(guān)接口，它可實(shí)現(xiàn)從WWW服務(wù)器到另一個程序的信息傳輸。, 其他程序的安全性 另一個對WWW服務(wù)器的攻擊可能來自服務(wù)器上所運(yùn)行的程序。,2.3 交易對象和交易過程的安全性,在電子商務(wù)環(huán)境中，電子交易所涉及的主要主體對象有： 客戶或持卡人（Card Holder） 發(fā)卡機(jī)構(gòu)（Issuer） 商家（Merchant） 受卡行（Acquirer） 支付網(wǎng)關(guān)（Payment Gateway）,一個典型的電子交易過程是這樣的如圖2-2所示,圖2-2 電子購物示意圖,電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨不同的安全威脅。 1對銷售者而言，他面臨的安全威脅主要有： (1)中央系統(tǒng)安全性被破壞 (2) 競爭者檢索商品遞送狀況 (3) 客戶資料被競爭者獲悉,(4) 被他人假冒而損害公司的信譽(yù) (5) 消費(fèi)者提交訂單后不付款 (6) 虛假訂單 (7) 獲取他人的機(jī)密數(shù)據(jù),2對消費(fèi)者而言，他面臨的安全威脅主要有： (1)虛假訂單 (2) 付款后不能收到商品 (3) 機(jī)密性喪失 (4) 拒絕服務(wù),黑客們攻擊電子商務(wù)系統(tǒng)的手段可以大致可歸納為： (1)中斷（攻擊系統(tǒng)的可用性） (2) 竊聽（攻擊系統(tǒng)的機(jī)密性） (3) 篡改（攻擊系統(tǒng)的完整性） (4) 偽造（攻擊系統(tǒng)的真實(shí)性）,網(wǎng)上進(jìn)行電子交易的安全性要求可歸納為： (1)真實(shí)性要求 (2) 有效性要求 (3) 機(jī)密性要求 (4) 完整性要求 (5) 不可抵賴要求,2.4 網(wǎng)上支付的安全需求,2.4.1 支付的發(fā)展 以銀行信用力為基礎(chǔ)的貨幣給付行為被稱為支付結(jié)算。 這其中又可分為兩類，一類是支付人發(fā)起的結(jié)算，另一類是接收人發(fā)起的結(jié)算。,可將支付定義為：為清償商品交換和勞務(wù)活動引起的債權(quán)債務(wù)關(guān)系，由銀行所提供的金融服務(wù)業(yè)務(wù)。,一般意義上的結(jié)算包含了貨幣即時(shí)結(jié)算和支付結(jié)算兩種。,支付與信用的關(guān)系十分密切，一定的信用關(guān)系與信用制度是支付體系得以建立與完善的基礎(chǔ)，同時(shí)，支付體系的完善和發(fā)展也能促進(jìn)信用體系的進(jìn)一步發(fā)展。,1支付承諾 2對違法者的懲罰 3信用積累制度 4身份認(rèn)證,與支付有關(guān)的信用體系的建立與完善要涉及到以下因素：,支付的全過程可分為兩個層次。 一層是商業(yè)銀行為廣大客戶提供金融服務(wù)時(shí)所產(chǎn)生的支付往來與結(jié)算，是支付系統(tǒng)的下層支付服務(wù)系統(tǒng)。 另一層是中央銀行為商業(yè)銀行提供支付資金清算服務(wù)時(shí)所產(chǎn)生的支付與清算，是支付系統(tǒng)中的上層資金清算系統(tǒng)。,2.4.2 電子商務(wù)系統(tǒng)中的支付,本章所討論的電子商務(wù)網(wǎng)上支付系統(tǒng)是建立在這些現(xiàn)存的支付清算系統(tǒng)基礎(chǔ)之上的下層支付服務(wù)系統(tǒng)，因此，本章只涉及下層支付服務(wù)體系的內(nèi)容。 對傳統(tǒng)支付結(jié)算模式的沖擊很大。 傳統(tǒng)的支付結(jié)算系統(tǒng)是以手工操作為主，以銀行的金融專用網(wǎng)絡(luò)為核心，通過傳統(tǒng)的信道(郵遞、電報(bào)、傳真等）來進(jìn)行憑證的傳遞，從而實(shí)現(xiàn)貨幣的支付結(jié)算。,電子商務(wù)是一種全新的商務(wù)模式。 貨幣可以是智能卡芯片中的一組數(shù)據(jù)、硬盤中的一個文件或網(wǎng)絡(luò)中的一組二進(jìn)制流。 在一次支付中，甚至可能不會產(chǎn)生任何實(shí)體的東西，而只是生成了若干文件而已。,對于網(wǎng)上支付，銀行的參與是必需的，網(wǎng)上支付體系必須借助銀行的支付工具、支付系統(tǒng)以及金融專用網(wǎng)才能最終得以實(shí)現(xiàn)。 電子轉(zhuǎn)賬支付系統(tǒng)的特點(diǎn)是支付過程中操作直接針對帳戶，對帳戶的處理即意味著支付的進(jìn)行，是一種“即時(shí)付款”的支付辦法。,2.4.3 網(wǎng)上支付系統(tǒng)的安全需求 一個安全、有效的支付系統(tǒng)是實(shí)現(xiàn)電子商務(wù)的重要前提