電子商務(wù)安全與支付第2章電子商務(wù)系統(tǒng)的安全需求.ppt

第2章 電子商務(wù)系統(tǒng)的安全需求,2.1 安全問(wèn)題的產(chǎn)生 2.2 交易環(huán)境的安全性 2.3 交易對(duì)象和交易過(guò)程的安全性 2.4 網(wǎng)上支付的安全需求,2.1 安全問(wèn)題的產(chǎn)生 傳統(tǒng)商務(wù)是在現(xiàn)實(shí)物理世界中真實(shí)地進(jìn)行的商務(wù)活動(dòng)，其過(guò)程可以簡(jiǎn)單地分為查詢、訂貨和交易三個(gè)環(huán)節(jié)。,電子商務(wù)也分為查詢、訂貨、交易等環(huán)節(jié)，但電子商務(wù)不需要客戶和商家之間直接見(jiàn)面，并且可以通過(guò)Internet這一媒介來(lái)進(jìn)行。以普通消費(fèi)者的一次網(wǎng)上購(gòu)物為例，基本過(guò)程：,(1) 客戶在Internet上查詢自己想購(gòu)買的商品 (2) 客戶輸入訂單 (3) 商家向客戶提供所購(gòu)商品信息 (4) 客戶在確認(rèn)上述信息后，用電子錢包或其他方式付款,(5) 信用卡號(hào)碼經(jīng)加密后發(fā)送到相應(yīng)銀行 如果信用卡信息經(jīng)銀行檢驗(yàn)后遭到拒絕或不予授權(quán)，說(shuō)明客戶的信用卡不足以支付本次消費(fèi)金額或已過(guò)期。 這時(shí)客戶還可以從電子錢包中選出其他信用卡，重復(fù)上述過(guò)程。,(6) 如果經(jīng)銀行證明客戶信用卡有效授權(quán)，商家就可以準(zhǔn)備付貨。同時(shí)，商家留下整個(gè)交易過(guò)程中發(fā)生的財(cái)務(wù)數(shù)據(jù)，并且出示一份電子收據(jù)給消費(fèi)者。 (7) 銷售商店就按照訂單通過(guò)郵政系統(tǒng)或配送中心送貨。,惡者對(duì)電子商務(wù)系統(tǒng)的主要威脅有： 系統(tǒng)穿透 (2) 違反授權(quán)原則 (3) 植入 (4) 通信監(jiān)視,(5) 通信干擾 (6) 中斷 (7) 拒絕服務(wù) (8) 否認(rèn),2.2 交易環(huán)境的安全性,2.2.1 WWW簡(jiǎn)介 WWW的含義 WWW是“World Wide Web”的縮寫，翻譯成環(huán)球信息網(wǎng)、全球資源網(wǎng)或萬(wàn)維網(wǎng)等。, HTML的產(chǎn)生和WWW的發(fā)展 WWW中的客戶機(jī)和服務(wù)器 客戶機(jī)是一個(gè)需要某些東西的程序，而服務(wù)器則是提供某些東西的程序。,圖2-1 客戶機(jī)和服務(wù)器關(guān)系示意圖,客戶機(jī)的任務(wù)是： (1) 制作一個(gè)請(qǐng)求（通常在單擊某個(gè)鏈接點(diǎn)時(shí)啟動(dòng)）。 (2) 將請(qǐng)求發(fā)送給某個(gè)服務(wù)器。 (3) 通過(guò)對(duì)直接圖像適當(dāng)解碼，呈交HTML文檔和傳遞各種文件給相應(yīng)的觀察器（Viewer），把請(qǐng)求所得的結(jié)果報(bào)告給你。,一個(gè)WWW服務(wù)器的任務(wù)是： (1) 接受請(qǐng)求。 (2) 檢查請(qǐng)求的合法性，包括安全性屏蔽。 (3) 針對(duì)請(qǐng)求獲取并制作數(shù)據(jù)。 (4) 把信息發(fā)送給提出請(qǐng)求的客戶機(jī)。, 瀏覽器 WWW測(cè)覽器（Browser）是一種WWW客戶程序，其最基本的目的在于讓用戶在自己的電腦（客戶機(jī)）上檢索、查詢、獲取WWW上的各種資源。,基本功能： 檢索查詢功能 文件服務(wù)功能 (3) 熱表管理 (4) 建立自己的主頁(yè)（Home Page） (5) 提供其他Internet服務(wù),2.2.2 客戶機(jī)的安全性 1活動(dòng)內(nèi)容 活動(dòng)內(nèi)容是指在頁(yè)面上嵌入的對(duì)用戶透明的程序，它可完成一些動(dòng)作。 活動(dòng)內(nèi)容有多種形式，最知名的活動(dòng)內(nèi)容形式包括Java小應(yīng)用程序、ActiveX控件、JavaScript和VBScript。,活動(dòng)內(nèi)容模塊是嵌在WWW頁(yè)面里的，它對(duì)瀏覽頁(yè)面的用戶完全透明，企圖破壞客戶機(jī)的人可將破壞性的活動(dòng)頁(yè)面放進(jìn)表面看起來(lái)完全無(wú)害的WWW頁(yè)面中。 這種技術(shù)稱作特洛伊木馬，它可立即運(yùn)行并進(jìn)行破壞活動(dòng)。 在WWW頁(yè)面里加入活動(dòng)內(nèi)容為電子商務(wù)帶來(lái)了多種安全危脅。,2Java、Java小應(yīng)用程序和JavaScript Java是Sun微系統(tǒng)公司開(kāi)發(fā)的一種高級(jí)程序設(shè)計(jì)語(yǔ)言。 Java是一種真正的面向?qū)ο蟮恼Z(yǔ)言. JavaScript是網(wǎng)景公司（Netscape）開(kāi)發(fā)的一種腳本語(yǔ)言，它支持頁(yè)面設(shè)計(jì)者創(chuàng)建活動(dòng)內(nèi)容。,3ActiveX控件 ActiveX是一個(gè)對(duì)象（稱作控件），它含有由頁(yè)面設(shè)計(jì)者放在頁(yè)面來(lái)執(zhí)行特定任務(wù)的程序.,4圖形文件、插件和電子函件的附件 圖形文件、瀏覽器插件和電子函件附件均有可存儲(chǔ)可執(zhí)行的內(nèi)容。 這就意味著帶這種圖形的任何頁(yè)面都是潛在的安全威脅，因?yàn)榍对趫D形中的代碼可能會(huì)破壞計(jì)算機(jī).,2.2.3 通信信道的安全性 1對(duì)保密性的安全威脅 2對(duì)完整性的安全威脅 3對(duì)即需性的安全威脅,2.2.4 服務(wù)器的安全性 WWW服務(wù)器的安全性 大多數(shù)計(jì)算機(jī)（包括UNIX計(jì)算機(jī)）上所運(yùn)行的WWW服務(wù)器可在不同權(quán)限下運(yùn)行。 WWW服務(wù)器上最敏感的文件之一就是存放用戶名和口令的文件，如果此文件沒(méi)有得到保護(hù)，任何人就都能以他人身份進(jìn)入敏感區(qū)域。, 公用網(wǎng)關(guān)接口的安全性 公用網(wǎng)關(guān)接口，它可實(shí)現(xiàn)從WWW服務(wù)器到另一個(gè)程序的信息傳輸。, 其他程序的安全性 另一個(gè)對(duì)WWW服務(wù)器的攻擊可能來(lái)自服務(wù)器上所運(yùn)行的程序。,2.3 交易對(duì)象和交易過(guò)程的安全性,在電子商務(wù)環(huán)境中，電子交易所涉及的主要主體對(duì)象有： 客戶或持卡人（Card Holder） 發(fā)卡機(jī)構(gòu)（Issuer） 商家（Merchant） 受卡行（Acquirer） 支付網(wǎng)關(guān)（Payment Gateway）,一個(gè)典型的電子交易過(guò)程是這樣的如圖2-2所示,圖2-2 電子購(gòu)物示意圖,電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨不同的安全威脅。 1對(duì)銷售者而言，他面臨的安全威脅主要有： (1)中央系統(tǒng)安全性被破壞 (2) 競(jìng)爭(zhēng)者檢索商品遞送狀況 (3) 客戶資料被競(jìng)爭(zhēng)者獲悉,(4) 被他人假冒而損害公司的信譽(yù) (5) 消費(fèi)者提交訂單后不付款 (6) 虛假訂單 (7) 獲取他人的機(jī)密數(shù)據(jù),2對(duì)消費(fèi)者而言，他面臨的安全威脅主要有： (1)虛假訂單 (2) 付款后不能收到商品 (3) 機(jī)密性喪失 (4) 拒絕服務(wù),黑客們攻擊電子商務(wù)系統(tǒng)的手段可以大致可歸納為： (1)中斷（攻擊系統(tǒng)的可用性） (2) 竊聽(tīng)（攻擊系統(tǒng)的機(jī)密性） (3) 篡改（攻擊系統(tǒng)的完整性） (4) 偽造（攻擊系統(tǒng)的真實(shí)性）,網(wǎng)上進(jìn)行電子交易的安全性要求可歸納為： (1)真實(shí)性要求 (2) 有效性要求 (3) 機(jī)密性要求 (4) 完整性要求 (5) 不可抵賴要求,2.4 網(wǎng)上支付的安全需求,2.4.1 支付的發(fā)展 以銀行信用力為基礎(chǔ)的貨幣給付行為被稱為支付結(jié)算。 這其中又可分為兩類，一類是支付人發(fā)起的結(jié)算，另一類是接收人發(fā)起的結(jié)算。,可將支付定義為：為清償商品交換和勞務(wù)活動(dòng)引起的債權(quán)債務(wù)關(guān)系，由銀行所提供的金融服務(wù)業(yè)務(wù)。,一般意義上的結(jié)算包含了貨幣即時(shí)結(jié)算和支付結(jié)算兩種。,支付與信用的關(guān)系十分密切，一定的信用關(guān)系與信用制度是支付體系得以建立與完善的基礎(chǔ)，同時(shí)，支付體系的完善和發(fā)展也能促進(jìn)信用體系的進(jìn)一步發(fā)展。,1支付承諾 2對(duì)違法者的懲罰 3信用積累制度 4身份認(rèn)證,與支付有關(guān)的信用體系的建立與完善要涉及到以下因素：,支付的全過(guò)程可分為兩個(gè)層次。 一層是商業(yè)銀行為廣大客戶提供金融服務(wù)時(shí)所產(chǎn)生的支付往來(lái)與結(jié)算，是支付系統(tǒng)的下層支付服務(wù)系統(tǒng)。 另一層是中央銀行為商業(yè)銀行提供支付資金清算服務(wù)時(shí)所產(chǎn)生的支付與清算，是支付系統(tǒng)中的上層資金清算系統(tǒng)。,2.4.2 電子商務(wù)系統(tǒng)中的支付,本章所討論的電子商務(wù)網(wǎng)上支付系統(tǒng)是建立在這些現(xiàn)存的支付清算系統(tǒng)基礎(chǔ)之上的下層支付服務(wù)系統(tǒng)，因此，本章只涉及下層支付服務(wù)體系的內(nèi)容。 對(duì)傳統(tǒng)支付結(jié)算模式的沖擊很大。 傳統(tǒng)的支付結(jié)算系統(tǒng)是以手工操作為主，以銀行的金融專用網(wǎng)絡(luò)為核心，通過(guò)傳統(tǒng)的信道(郵遞、電報(bào)、傳真等）來(lái)進(jìn)行憑證的傳遞，從而實(shí)現(xiàn)貨幣的支付結(jié)算。,電子商務(wù)是一種全新的商務(wù)模式。 貨幣可以是智能卡芯片中的一組數(shù)據(jù)、硬盤中的一個(gè)文件或網(wǎng)絡(luò)中的一組二進(jìn)制流。 在一次支付中，甚至可能不會(huì)產(chǎn)生任何實(shí)體的東西，而只是生成了若干文件而已。,對(duì)于網(wǎng)上支付，銀行的參與是必需的，網(wǎng)上支付體系必須借助銀行的支付工具、支付系統(tǒng)以及金融專用網(wǎng)才能最終得以實(shí)現(xiàn)。 電子轉(zhuǎn)賬支付系統(tǒng)的特點(diǎn)是支付過(guò)程中操作直接針對(duì)帳戶，對(duì)帳戶的處理即意味著支付的進(jìn)行，是一種“即時(shí)付款”的支付辦法。,2.4.3 網(wǎng)上支付系統(tǒng)的安全需求 一個(gè)安全、有效的支付系統(tǒng)是實(shí)現(xiàn)電子商務(wù)的重要前提