您好,欢迎访问三七文档
通信与信息工程学院电子商务安全策略课程设计班级:电子商务(理)1201姓名:学号:指导教师:设计时间:2016.1.11-2016.1.15成绩:评语:通信与信息工程学院二〇一六年一、调查国内在线支付的状况选择案例:支付宝、电子支付流程1、流程:1、网上消费者浏览检索商户网页。2、网上消费者在商户网站下订单。3、网上消费者选择第三方支付平台,直接链接到其安全支付服务器上,在支付页面上选择自己适用的支付方式,点击后进入银行支付页面进行支付操作。4、第三方支付平台将网上消费者的支付信息,按照各银行支付网关的技术要求,传递到各相关银行。5、由相关银行(银联)检查网上消费者的支付能力,实行冻结、扣帐或划帐,并将结果信息传至第三方支付平台和网上消费者本身。6、第三方支付平台将支付结果通知商户。7、支付成功的,由商户向网上消费者发货或提供服务。8、各个银行通过第三方支付平台向商户实施清算。2、个性化理解过程:(1)客户在电子商务网站上选购商品,最后决定购买,买卖双方在网上达成交易意向;(2)客户选择利用第三方作为交易中介,客户用信用卡将货款划到第三方账户;(3)第三方支付平台将客户已经付款的消息通知商家,并要求商家在规定时间内发货;(4)商家收到通知后按照订单发货;(5)客户收到货物并验证后通知第三方;(6)第三方将其账户上的货款划入商家账户中,交易完成。3、支付宝服务协议:一、声明与承诺二、定义及解释三、支付宝服务四、支付宝账户五、支付宝服务使用规则六、支付宝服务使用限制七、隐私权保护八、系统中断或故障九、责任范围及责任限制十、完整协议十一、知识产权的保护十二、法律适用与管辖二、定义及解释(一)支付宝账户(或“该账户”):指您按照本公司允许的方式取得的供您使用支付宝服务的账户。(二)本网站:除本协议另有规定外,指及/或客户端。(三)阿里网站:指阿里巴巴集团旗下支持支付宝登录名登录的任何网站(包括但不限于淘宝、阿里巴巴中国站、阿里云网站及手机淘宝、来往等各种移动客户端应用程序)与本网站,以及后续可能开通的其他网站及其他移动客户端应用程序。前述网站及客户端可单称或并称阿里网站。(四)淘宝:指淘宝网(域名为taobao.com)、天猫网(域名为tmall.com)、一淘网(域名为etao.com)、聚划算(域名为ju.tmall.com)及阿里旅行?去啊网(域名为alitrip.com)等网站及客户端。前述网站及客户端可单称或并称淘宝。(五)阿里巴巴中国站,指阿里巴巴中国站(域名包括1688.com,alibaba.com.cn,alibaba.cn)。前述网站可单称或并称阿里巴巴中国站。(六)止付:指支付宝账户余额为不可用状态,例如被止付的支付宝账户余额不能用于充值、支付、提现或转账等服务。(七)冻结:指本协议第四(三)8条规定的有权机关要求的冻结或依据其他协议进行的保证金冻结等。被冻结余额为不可用状态,被冻结账户不可登录、使用。(八)支付宝服务(或“本服务”):指本协议第三条所描述的服务。六、支付宝服务使用限制(三)您理解并同意,本公司不对因下述任一情况导致的任何损害赔偿承担责任,包括但不限于利润、商誉、使用、数据等方面的损失或其他无形损失的损害赔偿(无论本公司是否已被告知该等损害赔偿的可能性):1、本公司有权基于单方判断,包含但不限于本公司认为您已经违反本协议的明文规定及精神,对您名下的全部或部分支付宝账户暂停、中断或终止向您提供本服务或其任何部分,并移除您的资料。2、在发现异常交易或合理怀疑交易有疑义或有违反法律规定或本协议约定之时,为维护用户资金安全和合法权益,本公司有权不经通知先行暂停或终止您名下全部或部分支付宝账户的使用(包括但不限于对这些账户名下的款项和在途交易采取取消交易、调账等措施),同时可能需要您配合提供包括但不限于物流凭证、身份证、银行卡,交易过程中交易双方的阿里旺旺聊天记录截图(非阿里旺旺聊天记录只能作为参考)等资料。如您未及时、完整、准确提供上述资料,本公司有权采取包括但不限于如下限制措施:关闭余额支付功能、限制收款功能、止付账户内余额或停止提供全部或部分支付宝服务。如涉嫌犯罪,本公司有权移交公安机关处理。3、您理解并同意,存在如下情形时,本公司有权对您名下支付宝账户暂停或终止提供全部或部分支付宝服务,或对全部或部分余额进行止付,且有权限制您所使用的产品或服务的部分或全部功能(包括但不限于对这些账户名下的款项和在途交易采取取消交易、调账等限制措施),并通过邮件或站内信或者客户端通知等方式通知您,您应及时予以关注:1)根据本协议的约定;2)根据法律法规及法律文书的规定;3)根据有权机关的要求;4)您使用支付宝服务的行为涉嫌违反国家法律法规及行政规定的;5)本公司基于单方面合理判断认为该账户操作、资金进出等存在异常时;6)本公司依据自行合理判断认为可能产生风险的;7)您在参加市场活动时有批量注册支付宝账户、刷信用及其他舞弊等违反活动规则、违反诚实信用原则的;8)他人向您支付宝账户错误汇入资金等导致您可能存在不当得利的;9)您遭到他人投诉,且对方已经提供了一定证据的;10)您可能错误地将他人支付宝账户进行了实名的。如您申请恢复服务、解除上述止付或限制,您应按本公司要求如实提供相关资料及您的身份证明以及本公司要求的其他信息或文件,以便本公司进行核实,且本公司有权依照自行判断来决定是否同意您的申请。您应充分理解您的申请并不必然被允许。您拒绝如实提供相关资料及身份证明的,或未通过本公司审核的,则您确认本公司有权长期对该等账户停止提供服务且长期限制该等产品或者服务的部分或全部功能。在本公司认为该等异常已经得到合理解释或有效证据支持或未违反国家相关法律法规及部门规章的情况下,最晚将于止付款项或暂停执行指令之日起的30个日历天内解除止付或限制。但本公司有进一步理由相信该等异常仍可能对您或其他用户或本公司造成损失的情形除外,包括但不限于:1)收到针对该等异常的投诉:2)您已经实质性违反了本协议或另行签署的协议,且我们基于保护各方利益的需要必须继续止付款项或暂停执行指令:3)您虽未违反国家相关法律法规及部门规章规定,但该等使用涉及本公司限制合作的行业类目或商品,包括但不限于通过本公司的产品或服务从事类似金字塔或矩阵型的高额返利业务模式。5、在本公司合理认为有必要时,本公司无需事先通知即可终止提供本服务,并暂停、关闭或删除您名下全部或部分支付宝账户及该账户中所有相关资料及档案,并将您滞留在该账户的全部合法余额退回到您的银行账户。4、电子支付安全体系电子支付安全体系主要靠这两个保密协议(SSL和SET)来维护;电子支付系统的安全要求包括:保密性、认证、数据完整性、交互操作性等。目前,国内外使用的保障电子支付系统安全的协议包括:SSL(SecureSocketLay-er,安全套接字层)、SET(SecureElectronicTransaction)等协议标准。SSL协议安全套接层方法(SecureSocketLayer,SSL)协议在网络上普遍使用,能保证双方通信时数据的完整性、保密性和互操作性,在安全要求不太高时可用。它包括:(1)握手协议。即在传送信息之前,先发送握手信息以相互确认对方的身份。确认身份后,双方共同持有一个共享密钥。(2)消息加密协议。即双方握手后,用对方证书(RSA公钥)加密一随机密钥,再用随机密钥加密双方的信息流,实现保密性。由于他被IE,NESCAPE等浏览器所内置,实现起来非常方便。目前的B-C网上支付大多采用这种办法。利用招商银行提供的网上支付接口可以很方便的实现基于此协议的网上支付。SSL使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家。它等价于使用一个安全电话连接将用户的信用卡通过电话读给商家。SSL交易过程图虽然SSL握手协议可以用于双方互相确认身份,但实际上基本只使用客户认证服务器身份,即单方面认证。这一协议不能防止心术不正的商家的欺诈,因为该商家掌握了客户的信用卡号。商家欺诈是SSL协议所面临的最严重的问题之一。另外由于加密算法受到美国加密出口的限制,浏览器和WebServer都存在所谓的512/40的问题。既DES对称加密为40位,RSA加密为512位。加密强度偏低使B-C的SSL协议难于推广到有更高要求的B-B领域。SET协议SET是实现在开放的网络(Internet或公众多媒体网)上使用付款卡(信用卡、借记卡和取款卡等)支付的安全事务处理协议。它的实现不需要对现有的银行支付网络进行大改造。该协议的1.0版本于1997年5月31日发布。SET规定了电子支付系统各方购买和支付消息传送的流程。附图为SET协议结构流程图。可见,电子支付系统的交易三方为:持卡人、商家和支付网关。交易流程为:(1)持卡人决定购买,向商家发出购买请求;(2)商家返回同意支付等信息;(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;(6)商家返回信息给持卡人,送货;(7)商家定期向支付网关发送要求支付信息,支付网关通知卡行划帐,并把结果返回商家,交易结束。安全电子交易使用的安全技术包括:加密(公开密钥加密、秘密密钥加密)、数字信封、数字签名、双重数字签名、认证等。它通过加密保证了数据的安全性,通过数字签名保证交易各方的身份认证和数据的完整性,通过使用明确的交互协议和消息格式保证了互操作性。由于它实现起来比较复杂,每次交易都需要经过多次加密、HASH及数字签名,并且须在客户端安装专门的交易软件。因此现在使用该协议的电子支付系统并不多。目前中国银行的网上银行中的支付方式是基于SET。5、电子支付机制的优缺点在SET出现之前,网上交易就已经有了。所用安全措施主要是SSL协议。到目前为止,还有许多网上交易系统采用SSL协议。SSL与SET采用的都是公开密钥加密法。在这一点上,两者是一致的。从对信息传输的保密上来说,两者的功能是相同的,都能保证信息在传输过程中的保密性。但SSL与SET两种协议在网络中的层次不一样。SSL是基于传输层的协议,而SET则是基于应用层的协议。SSL在建立了通讯双方的安全通道之后,所有传输的信息都会被加密,而SET则会有选择地加密一部分敏感信息。当今市场上已有许多SSL相关产品及工具,而有关SET的相关产品却相对较少,也不够成熟,SSL已被大部分Web浏览器和Web服务器所内置,比较容易被接受。而SET要求在银行建立支付网关,在商户的Web服务器上安装商户软件、持卡人的个人计算机上安装电子钱包软件等。这些成了SET被广泛接受的阻力。另外,SET还要求必须向交易各方发放数字证书,这也成为阻碍之一。所有这些使得使用SET要比使用SSL麻烦得多。SSL协议中,商户也有数字证书,可以向持卡人证明自己是一家真实存在的商户。有些系统也向持卡人发放证书,但这证书是发给浏览器的,而不是像SET那样,与信用卡绑在一起。SET的方法更加安全,而SSL的方法则比较简单。SSL还有一个很大的缺点,就是无法保证商户看不到持卡人的信用卡账户等信息。在持卡人与商户建立了安全连接后,持卡人可以安全地将信用卡号等敏感信息传送给商户,但是这些信息到了商户哪儿,都变成了明文。在Internet上,我们经常会光顾一些没有名气的陌生商店,这些网上商店我们只知道它的网址,根本不知道它的实际地址,而且今天它还开着,明天也许已经关了。正因如此,网上商店发生欺诈行为的可能性要比我们通常光顾的商店大得多。如果碰到一家黑店,得到了你的信用卡号等信息后,不知会干出些什么事来。即使是一个诚实的网上商店在收到你的信用卡号后,也许会因为没有采用好的办法来保证其安全,而使这些敏感信息被窃取。我们已经听到过大量的黑客通过商户
本文标题:电子商务安全作业
链接地址:https://www.777doc.com/doc-2209541 .html