电子商务安全与支付

本章所讨论的电子商务网上支付系统 是建立在这些现存的支付清算系统基础之 上的下层支付服务系统，因此，本章只涉 及下层支付服务体系的内容。
对传统支付结算模式的冲击很大。
传统的支付结算系统是以手工操作为主 ，以银行的金融专用网络为核心，通过传 统的信道(邮递、电报、传真等）来进行凭 证的传递，从而实现货币的支付结算。
1．支付承诺 2．对违法者的惩罚 3．信用积累制度 4．身份认证
2.4.2 电子商务系统中的支付
支付的全过程可分为两个层次。
一层是商业银行为广大客户提供金融服 务时所产生的支付往来与结算，是支付系 统的下层支付服务系统。
另一层是中央银行为商业银行提供支付 资金清算服务时所产生的支付与清算，是 支付系统中的上层资金清算系统。
(5) 信用卡号码经加密后发送到相应银行
如果信用卡信息经银行检验后遭到拒绝或不 予授权，说明客户的信用卡不足以支付本次消 费金额或已过期。
这时客户还可以从电子钱包中选出其他信用 卡，重复上述过程。
(6) 如果经银行证明客户信用卡有效授权，商 家就可以准备付货。同时，商家留下整个交易 过程中发生的财务数据，并且出示一份电子收 据给消费者。
电子商务也分为查询、订货、交易等环节 ，但电子商务不需要客户和商家之间直接见 面，并且可以通过Internet这一媒介来进行 。以普通消费者的一次网上购物为例，基本 过程：
(1) 客户在Internet上查询自己想购买的 商品
(2) 客户输入订单
(3) 商家向客户提供所购商品信息
(4) 客户在确认上述信息后，用电子钱包 或其他方式付款
客户机的任务是：
(1) 制作一个请求（通常在单击某个链接 点时启动）。
(2) 将请求发送给某个服务器。
(3) 通过对直接图像适当解码，呈交 HTML文档和传递各种文件给相应的观察 器（Viewer），把请求所得的结果报告给 你。
基本功能：
• 检索查询功能 • 文件服务功能 (3) 热表管理 (4) 建立自己的主页（Home Page） (5) 提供其他Internet服务
一个典型的电子交易过程是 这样的如图2-2所示
图2-2 电子购物示意图
电子商务交易双方（销售者和消费者） 都面临不同的安全威胁。
1．对销售者而言，他面临的安全威胁主 要有：
(1)中央系统安全性被破坏
(2) 竞争者检索商品递送状况
(3) 客户资料被竞争者获悉
(4) 被他人假冒而损害公司的信誉 (5) 消费者提交订单后不付款 (6) 虚假订单 (7) 获取他人的机密数据
2．对消费者而言，他面临的安全威 胁主要有：
(1)虚假订单 (2) 付款后不能收到商品 (3) 机密性丧失 (4) 拒绝服务
3．黑客们攻击电子商务系统的手 段可以大致可归纳为：
(1)中断（攻击系统的可用性） (2) 窃听（攻击系统的机密性） (3) 篡改（攻击系统的完整性） (4) 伪造（攻击系统的真实性）
(7) 销售商店就按照订单通过邮政系统或配送 中心送货。
恶者对电子商务系统的主要威胁有：
(1)系统穿透
(2)(2) 违反授权原则
(3)(3) 植入
(4)(4) 通信监视 (5) 通信干ห้องสมุดไป่ตู้ (6) 中断 (7) 拒绝服务 (8) 否认
2.2 交易环境的安全性
客户机
统一资源定位器 HTTP
服务器
多媒体文件数据 图2-1 客户机和服务器关系示意图
4．网上进行电子交易的安全性要求可归纳为：
(1)真实性要求 (2) 有效性要求 (3) 机密性要求 (4) 完整性要求 (5) 不可抵赖要求
2.4 网上支付的安全需求
2.4.1 支付的发展
以银行信用力为基础的货币给付行 为被称为支付结算。
这其中又可分为两类，一类是支付人 发起的结算，另一类是接收人发起的结 算。
电子商务是一种全新的商务模式。 货币可以是智能卡芯片中的一组数据、 硬盘中的一个文件或网络中的一组二进 制流。
2.2.2 客户机的安全性
1．活动内容
活动内容是指在页面上嵌入的对用户透 明的程序，它可完成一些动作。
活动内容有多种形式，最知名的活动内 容形式包括Java小应用程序、ActiveX控 件、JavaScript和VBScript。
2．Java、Java小应用程序和JavaScript
Java是Sun微系统公司开发的一种高级程 序设计语言。
一般意义上的结算包含了货 币即时结算和支付结算两种。
可将支付定义为：为清偿商品交换 和劳务活动引起的债权债务关系，由银 行所提供的金融服务业务。
支付与信用的关系十分密切，一 定的信用关系与信用制度是支付体系 得以建立与完善的基础，同时，支付 体系的完善和发展也能促进信用体系 的进一步发展。
与支付有关的信用体系的建立与完善要涉及 到以下因素：
Java是一种真正的面向对象的语言.
JavaScript是网景公司（Netscape）开发的 一种脚本语言，它支持页面设计者创建活动内 容。
3．ActiveX控件
ActiveX是一个对象（称作控 件），它含有由页面设计者放在 页面来执行特定任务的程序.
4．图形文件、插件和电子函件的 附件
图形文件、浏览器插件和电子函件 附件均有可存储可执行的内容。
这就意味着带这种图形的任何页面 都是潜在的安全威胁，因为嵌在图形 中的代码可能会破坏计算机.
2.2.3 通信信道的安全性
1．对保密性的安全威胁 2．对完整性的安全威胁 3．对即需性的安全威胁
2.3 交易对象和交易过程的安全性
在电子商务环境中，电子交易所涉及 的主要主体对象有： 客户或持卡人（Card Holder） 发卡机构（Issuer） 商家（Merchant） 受卡行（Acquirer） 支付网关（Payment Gateway）
第2章 电子商务系统的安全需求
2.1 安全问题的产生 2.2 交易环境的安全性 2.3 交易对象和交易过程的安全性 2.4 网上支付的安全需求
本章学习目标
电子商务系统安全问题的根源 电子商务系统的安全需求 电子交易交易环境的安全需求 电子商务交易对象和交易过程
的安全需求
2.1 安全问题的产生
传统商务是在现实物理世界中真实地进行的 商务活动，其过程可以简单地分为查询、订货和 交易三个环节。