電子商務(wù)安全作業(yè)

通信與信息工程學(xué)院電子商務(wù)安全策略課程設(shè)計班級：電子商務(wù)（理）1201姓名：學(xué)號：指導(dǎo)教師：設(shè)計時間：2016.1.11-2016.1.15成績：評語：通信與信息工程學(xué)院二〇一六年調(diào)查國內(nèi)在線支付的狀況選擇案例：支付寶

電子支付流程1、流程：1、網(wǎng)上消費者瀏覽檢索商戶網(wǎng)頁。2、網(wǎng)上消費者在商戶網(wǎng)站下訂單。3、網(wǎng)上消費者選擇第三方支付平臺，直接鏈接到其安全支付服務(wù)器上，在支付頁面上選擇自己適用的支付方式，點擊后進(jìn)入銀行支付頁面進(jìn)行支付操作。4、第三方支付平臺將網(wǎng)上消費者的支付信息，按照各銀行支付網(wǎng)關(guān)的技術(shù)要求，傳遞到各相關(guān)銀行。5、由相關(guān)銀行（銀聯(lián)）檢查網(wǎng)上消費者的支付能力，實行凍結(jié)、扣帳或劃帳，并將結(jié)果信息傳至第三方支付平臺和網(wǎng)上消費者本身。6、第三方支付平臺將支付結(jié)果通知商戶。7、支付成功的，由商戶向網(wǎng)上消費者發(fā)貨或提供服務(wù)。8、各個銀行通過第三方支付平臺向商戶實施清算。

2、個性化理解過程：（1）客戶在電子商務(wù)網(wǎng)站上選購商品，最后決定購買，買賣雙方在網(wǎng)上達(dá)成交易意向；（2）客戶選擇利用第三方作為交易中介，客戶用信用卡將貨款劃到第三方賬戶；（3）第三方支付平臺將客戶已經(jīng)付款的消息通知商家，并要求商家在規(guī)定時間內(nèi)發(fā)貨；（4）商家收到通知后按照訂單發(fā)貨；（5）客戶收到貨物并驗證后通知第三方；（6）第三方將其賬戶上的貨款劃入商家賬戶中，交易完成。3、支付寶服務(wù)協(xié)議：一、聲明與承諾

二、定義及解釋

三、支付寶服務(wù)

四、支付寶賬戶

五、支付寶服務(wù)使用規(guī)則

六、支付寶服務(wù)使用限制

七、隱私權(quán)保護

八、系統(tǒng)中斷或故障

九、責(zé)任范圍及責(zé)任限制

十、完整協(xié)議

十一、知識產(chǎn)權(quán)的保護

十二、法律適用與管轄

定義及解釋

（一）支付寶賬戶（或“該賬戶”）：指您按照本公司允許的方式取得的供您使用支付寶服務(wù)的賬戶。

（二）本網(wǎng)站：除本協(xié)議另有規(guī)定外，指及/或客戶端。

（三）阿里網(wǎng)站：指阿里巴巴集團旗下支持支付寶登錄名登錄的任何網(wǎng)站（包括但不限于淘寶、阿里巴巴中國站、阿里云網(wǎng)站及手機淘寶、來往等各種移動客戶端應(yīng)用程序）與本網(wǎng)站，以及后續(xù)可能開通的其他網(wǎng)站及其他移動客戶端應(yīng)用程序。前述網(wǎng)站及客戶端可單稱或并稱阿里網(wǎng)站。

（四）淘寶：指淘寶網(wǎng)（域名為）、天貓網(wǎng)（域名為）、一淘網(wǎng)（域名為）、聚劃算（域名為）及阿里旅行?去啊網(wǎng)（域名為）等網(wǎng)站及客戶端。前述網(wǎng)站及客戶端可單稱或并稱淘寶。

（五）阿里巴巴中國站，指阿里巴巴中國站（域名包括1688.com，，）。前述網(wǎng)站可單稱或并稱阿里巴巴中國站。

（六)止付：指支付寶賬戶余額為不可用狀態(tài)，例如被止付的支付寶賬戶余額不能用于充值、支付、提現(xiàn)或轉(zhuǎn)賬等服務(wù)。

（七）凍結(jié)：指本協(xié)議第四（三）8條規(guī)定的有權(quán)機關(guān)要求的凍結(jié)或依據(jù)其他協(xié)議進(jìn)行的保證金凍結(jié)等。被凍結(jié)余額為不可用狀態(tài)，被凍結(jié)賬戶不可登錄、使用。

（八）支付寶服務(wù)（或“本服務(wù)”）：指本協(xié)議第三條所描述的服務(wù)。支付寶服務(wù)使用限制您理解并同意，本公司不對因下述任一情況導(dǎo)致的任何損害賠償承擔(dān)責(zé)任，包括但不限于利潤、商譽、使用、數(shù)據(jù)等方面的損失或其他無形損失的損害賠償（無論本公司是否已被告知該等損害賠償?shù)目赡苄裕?/p>

1、本公司有權(quán)基于單方判斷，包含但不限于本公司認(rèn)為您已經(jīng)違反本協(xié)議的明文規(guī)定及精神，對您名下的全部或部分支付寶賬戶暫停、中斷或終止向您提供本服務(wù)或其任何部分，并移除您的資料。

2、在發(fā)現(xiàn)異常交易或合理懷疑交易有疑義或有違反法律規(guī)定或本協(xié)議約定之時，為維護用戶資金安全和合法權(quán)益，本公司有權(quán)不經(jīng)通知先行暫?；蚪K止您名下全部或部分支付寶賬戶的使用（包括但不限于對這些賬戶名下的款項和在途交易采取取消交易、調(diào)賬等措施），同時可能需要您配合提供包括但不限于物流憑證、身份證、銀行卡，交易過程中交易雙方的阿里旺旺聊天記錄截圖（非阿里旺旺聊天記錄只能作為參考）等資料。如您未及時、完整、準(zhǔn)確提供上述資料，本公司有權(quán)采取包括但不限于如下限制措施：關(guān)閉余額支付功能、限制收款功能、止付賬戶內(nèi)余額或停止提供全部或部分支付寶服務(wù)。如涉嫌犯罪，本公司有權(quán)移交公安機關(guān)處理。

3、您理解并同意，存在如下情形時，本公司有權(quán)對您名下支付寶賬戶暫停或終止提供全部或部分支付寶服務(wù)，或?qū)θ炕虿糠钟囝~進(jìn)行止付，且有權(quán)限制您所使用的產(chǎn)品或服務(wù)的部分或全部功能（包括但不限于對這些賬戶名下的款項和在途交易采取取消交易、調(diào)賬等限制措施），并通過郵件或站內(nèi)信或者客戶端通知等方式通知您，您應(yīng)及時予以關(guān)注：

1）根據(jù)本協(xié)議的約定；

2）根據(jù)法律法規(guī)及法律文書的規(guī)定；

3）根據(jù)有權(quán)機關(guān)的要求；

4）您使用支付寶服務(wù)的行為涉嫌違反國家法律法規(guī)及行政規(guī)定的；

5）本公司基于單方面合理判斷認(rèn)為該賬戶操作、資金進(jìn)出等存在異常時；

6）本公司依據(jù)自行合理判斷認(rèn)為可能產(chǎn)生風(fēng)險的；

7）您在參加市場活動時有批量注冊支付寶賬戶、刷信用及其他舞弊等違反活動規(guī)則、違反誠實信用原則的；

8）他人向您支付寶賬戶錯誤匯入資金等導(dǎo)致您可能存在不當(dāng)?shù)美模?/p>

9）您遭到他人投訴，且對方已經(jīng)提供了一定證據(jù)的；

10）您可能錯誤地將他人支付寶賬戶進(jìn)行了實名的。

如您申請恢復(fù)服務(wù)、解除上述止付或限制，您應(yīng)按本公司要求如實提供相關(guān)資料及您的身份證明以及本公司要求的其他信息或文件，以便本公司進(jìn)行核實，且本公司有權(quán)依照自行判斷來決定是否同意您的申請。您應(yīng)充分理解您的申請并不必然被允許。您拒絕如實提供相關(guān)資料及身份證明的，或未通過本公司審核的，則您確認(rèn)本公司有權(quán)長期對該等賬戶停止提供服務(wù)且長期限制該等產(chǎn)品或者服務(wù)的部分或全部功能。

在本公司認(rèn)為該等異常已經(jīng)得到合理解釋或有效證據(jù)支持或未違反國家相關(guān)法律法規(guī)及部門規(guī)章的情況下，最晚將于止付款項或暫停執(zhí)行指令之日起的30個日歷天內(nèi)解除止付或限制。但本公司有進(jìn)一步理由相信該等異常仍可能對您或其他用戶或本公司造成損失的情形除外，包括但不限于：

1）收到針對該等異常的投訴：

2）您已經(jīng)實質(zhì)性違反了本協(xié)議或另行簽署的協(xié)議，且我們基于保護各方利益的需要必須繼續(xù)止付款項或暫停執(zhí)行指令：

3）您雖未違反國家相關(guān)法律法規(guī)及部門規(guī)章規(guī)定，但該等使用涉及本公司限制合作的行業(yè)類目或商品，包括但不限于通過本公司的產(chǎn)品或服務(wù)從事類似金字塔或矩陣型的高額返利業(yè)務(wù)模式。

5、在本公司合理認(rèn)為有必要時，本公司無需事先通知即可終止提供本服務(wù)，并暫停、關(guān)閉或刪除您名下全部或部分支付寶賬戶及該賬戶中所有相關(guān)資料及檔案，并將您滯留在該賬戶的全部合法余額退回到您的銀行賬戶。電子支付安全體系電子支付安全體系主要靠這兩個保密協(xié)議（SSL和SET）來維護；電子支付系統(tǒng)的安全要求包括：保密性、認(rèn)證、數(shù)據(jù)完整性、交互操作性等。目前，國內(nèi)外使用的保障電子支付系統(tǒng)安全的協(xié)議包括：SSL(SecureSocketLay-er,安全套接字層)、SET(SecureElectronicTransaction)等協(xié)議標(biāo)準(zhǔn)。SSL協(xié)議安全套接層方法(SecureSocketLayer,SSL)協(xié)議在網(wǎng)絡(luò)上普遍使用，能保證雙方通信時數(shù)據(jù)的完整性、保密性和互操作性，在安全要求不太高時可用。它包括：(1)握手協(xié)議。即在傳送信息之前，先發(fā)送握手信息以相互確認(rèn)對方的身份。確認(rèn)身份后，雙方共同持有一個共享密鑰。(2)消息加密協(xié)議。即雙方握手后，用對方證書(RSA公鑰)加密一隨機密鑰，再用隨機密鑰加密雙方的信息流，實現(xiàn)保密性。由于他被IE，NESCAPE等瀏覽器所內(nèi)置，實現(xiàn)起來非常方便。目前的B-C網(wǎng)上支付大多采用這種辦法。利用招商銀行提供的網(wǎng)上支付接口可以很方便的實現(xiàn)基于此協(xié)議的網(wǎng)上支付。SSL使用加密的辦法建立一個安全的通信通道以便將客戶的信用卡號傳送給商家。它等價于使用一個安全電話連接將用戶的信用卡通過電話讀給商家。SSL交易過程圖雖然SSL握手協(xié)議可以用于雙方互相確認(rèn)身份，但實際上基本只使用客戶認(rèn)證服務(wù)器身份，即單方面認(rèn)證。這一協(xié)議不能防止心術(shù)不正的商家的欺詐,因為該商家掌握了客戶的信用卡號。商家欺詐是SSL協(xié)議所面臨的最嚴(yán)重的問題之一。另外由于加密算法受到美國加密出口的限制，瀏覽器和WebServer都存在所謂的"512/40"的問題。既DES對稱加密為40位，RSA加密為512位。加密強度偏低使B-C的SSL協(xié)議難于推廣到有更高要求的B-B領(lǐng)域。SET協(xié)議SET是實現(xiàn)在開放的網(wǎng)絡(luò)(Internet或公眾多媒體網(wǎng))上使用付款卡(信用卡、借記卡和取款卡等)支付的安全事務(wù)處理協(xié)議。它的實現(xiàn)不需要對現(xiàn)有的銀行支付網(wǎng)絡(luò)進(jìn)行大改造。該協(xié)議的1.0版本于1997年5月31日發(fā)布。SET規(guī)定了電子支付系統(tǒng)各方購買和支付消息傳送的流程。附圖為SET協(xié)議結(jié)構(gòu)流程圖?？梢?，電子支付系統(tǒng)的交易三方為：持卡人、商家和支付網(wǎng)關(guān)。交易流程為：(1)持卡人決定購買，向商家發(fā)出購買請求；(2)商家返回同意支付等信息；(3)持卡人驗證商家身份，將定購信息和支付信息安全傳送給商家，但支付信息對商家來說是不可見的(用銀行公鑰加密)；(4)商家驗證支付網(wǎng)關(guān)身份，把支付信息傳給支付網(wǎng)關(guān)，要求驗證持卡人的支付信息是否有效；(5)支付網(wǎng)關(guān)驗證商家身份，通過傳統(tǒng)的銀行網(wǎng)絡(luò)到發(fā)卡行驗證持卡人的支付信息是否有效，并把結(jié)果返回商家；(6)商家返回信息給持卡人，送貨；(7)商家定期向支付網(wǎng)關(guān)發(fā)送要求支付信息，支付網(wǎng)關(guān)通知卡行劃帳，并把結(jié)果返回商家，交易結(jié)束。安全電子交易使用的安全技術(shù)包括：加密(公開密鑰加密、秘密密鑰加密)、數(shù)字信封、數(shù)字簽名、雙重數(shù)字簽名、認(rèn)證等。它通過加密保證了數(shù)據(jù)的安全性，通過數(shù)字簽名保證交易各方的身份認(rèn)證和數(shù)據(jù)的完整性，通過使用明確的交互協(xié)議和消息格式保證了互操作性。由于它實現(xiàn)起來比較復(fù)雜，每次交易都需要經(jīng)過多次加密、HASH及數(shù)字簽名，并且須在客戶端安裝專門的交易軟件。因此現(xiàn)在使用該協(xié)議的電子支付系統(tǒng)并不多。目前中國銀行的網(wǎng)上銀行中的支付方式是基于SET。電子支付機制的優(yōu)缺點在SET出現(xiàn)之前，網(wǎng)上交易就已經(jīng)有了。所用安全措施主要是SSL協(xié)議。到目前為止，還有許多網(wǎng)上交易系統(tǒng)采用SSL協(xié)議。

SSL與SET采用的都是公開密鑰加密法。在這一點上，兩者是一致的。從對信息傳輸?shù)谋Ｃ苌蟻碚f，兩者的功能是相同的，都能保證信息在傳輸過程中的保密性。

但SSL與SET兩種協(xié)議在網(wǎng)絡(luò)中的層次不一樣。SSL是基于傳輸層的協(xié)議，而SET則是基于應(yīng)用層的協(xié)議。SSL在建立了通訊雙方的安全通道之后，所有傳輸?shù)男畔⒍紩患用?，?/p>

SET則會有選擇地加密一部分敏感信息。

當(dāng)今市場上已有許多SSL相關(guān)產(chǎn)品及工具，而有關(guān)SET的相關(guān)產(chǎn)品卻相對較少，也不夠成熟，SSL已被大部分Web瀏覽器和Web服務(wù)器所內(nèi)置，比較容易被接受。而SET要求在銀行建立支付網(wǎng)關(guān)，在商戶的Web服務(wù)器上安裝商戶軟件、持卡人的個人計算機上安裝電子錢包軟件等。這些成了SET被廣泛接受的阻力。另外，SET還要求必須向交易各方發(fā)放數(shù)字證書，這也成為阻礙之一。所有這些使得使用SET要比使用SSL麻煩得多。

SSL協(xié)議中，商戶也有數(shù)字證書，可以向持卡人證明自己是一家真實存在的商戶。有些系統(tǒng)也向持卡人發(fā)放證書，但這證書是發(fā)給瀏覽器的，而不是像SET那樣，與信用卡綁在一起。

SET的方法更加安全，而SSL的方法則比較簡單。

SSL還有一個很大的缺點，就是無法保證商戶看不到持卡人的信用卡賬戶等信息。在持卡人與商戶建立了安全連接后，持卡人可以安全地將信用卡號等敏感信息傳送給商戶，但是這些信息到了商戶哪兒，都變成了明文。在Internet上，我們經(jīng)常會光顧一些沒有名氣的陌生商店，這些網(wǎng)上商店我們只知道它的網(wǎng)址，根本不知道它的實際地址，而且今天它還開著，明天也許已經(jīng)關(guān)了。正因如此，網(wǎng)上商店發(fā)生欺詐行為的可能性要比我們通常光顧的商店大得多。如果碰到一家黑店，得到了你的信用卡號等信息后，不知會干出些什么事來。即使是一個誠實的網(wǎng)上商店在收到你的信用卡號后，也許會因為沒有采用好的辦法來保證其安全，而使這些敏感信息被竊取。我們已經(jīng)聽到過大量的黑客通過商戶服務(wù)器竊取信用卡號的案例。而SET協(xié)議則在這方面采取了強有力的措施，用網(wǎng)關(guān)的公開密鑰來加密持卡人的敏感信息，并采用雙重簽名等方法，保證商戶無法看到持卡人傳送給網(wǎng)關(guān)的信息。支付寶使用過程截圖總體來說支付寶使用過程非常簡單，并且可以在諸多占領(lǐng)中國市場的幾大網(wǎng)站都可以進(jìn)行交易，比如及/或客戶端、阿里網(wǎng)站、淘寶（這里的網(wǎng)站在支付寶協(xié)議中有詳細(xì)規(guī)定）等，使用支付寶更加豐富了我們的生活；現(xiàn)在我了解的支付寶支付過程非常簡單，已下展示支付寶的一些功能。付款：掃一掃付款和付款，支付寶轉(zhuǎn)賬功能：校園一卡通功能：手機充值：二、木馬的檢測和刪除1、木馬的基本原理

(一)木馬(

特洛伊木馬)的工作原理木馬是隱藏在正常程序中的具有特殊功能的惡意代碼，是具有破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤、實施Dos攻擊甚至完全控制計算機等特殊功能的后門程序。1．木馬工作組成及原理

服務(wù)器端、客戶端及其運動平臺或操作。

工作原理：攻擊者利用一種稱為綁定程序的工具將服務(wù)器端程序綁定到某個合法軟件上，誘使用戶運行該合法軟件，用戶一旦運行該該合法軟件，木馬的服務(wù)器端程序就在用戶毫無知覺的情況下完成安裝。

服務(wù)器端程序：服務(wù)器運行的IP端口號，程序啟動時機，如何發(fā)出調(diào)用，隱身，加密，采用通信方式。2．木馬分類

破壞型：破壞和刪除文件（DLL、INI、EXE）

密碼發(fā)送型：找到目標(biāo)的隱藏密碼，發(fā)給攻擊者信箱

遠(yuǎn)程訪問型：在目標(biāo)計算機上運行服務(wù)器端，前提是服務(wù)端的IP地址鍵盤記錄木馬：通過Log文件查找密碼等，或記錄受害者的鍵盤動作DoS攻擊木馬：通過植入木馬，可以把受控主機當(dāng)作一個個肉雞，控制者可以操縱大量的肉雞來同時對某個主機發(fā)起DoS攻擊，隨機生成各種各樣主題的信件，對特定的郵箱不停的發(fā)送郵件，直到對方癱瘓。代理木馬：攻擊時又保護自己，被控制的計算機種上代理木馬，作為跳板，就像操縱傀儡一般FTP木馬：打開21端口，讓每個FTP客戶端不要密碼就可連接到受控主機，隨意竊取受害主機的文件程序殺手木馬：關(guān)閉目標(biāo)機上運行的木馬查殺程序或病毒軟件反彈端口型木馬：對于有放火墻的受害者，木馬可以通過反連端口的方式來達(dá)到操縱受害主機的目的，也就是說，木馬自己穿越防火墻主動去連接控制者，因為一般木馬會采用常用的端口，比如80端口，而且現(xiàn)在的防火墻往往采用嚴(yán)進(jìn)寬出的方案，所以這種控制很有用。3．傳播途徑

1）網(wǎng)頁傳播

2）下載軟件或提示誘導(dǎo)3）郵件傳播

4）利用系統(tǒng)漏洞4．木馬攻擊流程

1）配置木馬木馬偽裝：修改圖標(biāo)、捆綁文件、出錯顯示、定制端口、自我銷毀、木馬更名

2）傳播木馬

采用郵件、文件下載、網(wǎng)頁瀏覽3）運行木馬

自動安裝、自啟動、激活木馬

4）信息反饋◆

通過信息反饋(ADSL是動態(tài)IP地址，但可確定一個地區(qū)的網(wǎng)絡(luò)服務(wù)商的IP地址)

◆IP地址掃描：主機的IP地址、植入端口、E-Mail

5）木馬連接◆獲取服務(wù)端的木馬程序端口和IP地址◆服務(wù)端已安裝了服務(wù)端程序◆控制端、服務(wù)端都在網(wǎng)上6）遠(yuǎn)程控制竊取密碼、文件操作、修改注冊表、系統(tǒng)操作2、木馬的基本特征特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序\t"