电子商务安全与支付 第2章 电子商务系统的安全需求.pdf

第2章电子商务系统的 安全需求 2.1 安全问题的产生 2.2 交易环境的安全性 2.3 交易对象和交易过程的安全性 2.4 网上支付的安全需求 2.1 安全问题的产生 传统商务是在现实物理世界中 真实地进行的商务活动，其过程可 以简单地分为查询、订货和交易三 个环节。 电子商务也分为查询、订货、交易 等环节，但电子商务不需要客户和商家 之间直接见面，并且可以通过Internet 这一媒介来进行。以普通消费者的一次 网上购物为例，基本过程： (1) 客户在Internet上查询自己想购买的 商品 (2) 客户输入订单 (3) 商家向客户提供所购商品信息 (4) 客户在确认上述信息后，用电子钱包 或其他方式付款 (5) 信用卡号码经加密后发送到相 应银行 如果信用卡信息经银行检验后 遭到拒绝或不予授权，说明客户的 信用卡不足以支付本次消费金额或 已过期。 这时客户还可以从电子钱包中 选出其他信用卡，重复上述过程。 (6) 如果经银行证明客户信用卡有 效授权，商家就可以准备付货。同 时，商家留下整个交易过程中发生 的财务数据，并且出示一份电子收 据给消费者。 (7) 销售商店就按照订单通过邮政系 统或配送中心送货。 恶者对电子商务系统的主要威胁有： (1)系统穿透 (2) 违反授权原则 (3) 植入 (4) 通信监视 (5) 通信干扰 (6) 中断 (7) 拒绝服务 (8) 否认 2.2 交易环境的安全性 2.2.1 WWW简介 WWW的含义 WWW是“World Wide Web”的缩 写，翻译成环球信息网、全球资源网 或万维网等。 HTML的产生和WWW的发展 WWW 中的客户机和服务器 客户机是一个需要某些东西的程序， 而服务器则是提供某些东西的程序。 统一资源定位器 HTTP 客户机 服务器 多媒体文件数据 图2-1 客户机和服务器关系示意图 客户机的任务是： (1) 制作一个请求（通常在单击某个链接 点时启动）。 (2) 将请求发送给某个服务器。 (3) 通过对直接图像适当解码，呈交HTML 文档和传递各种文件给相应的观察器（ Viewer），把请求所得的结果报告给你。 一个WWW服务器的任务是： (1) 接受请求。 (2) 检查请求的合法性，包括安全性屏 蔽。 (3) 针对请求获取并制作数据。 (4) 把信息发送给提出请求的客户机。 浏览器 WWW测览器（Browser ）是 一种WWW客户程序，其最基本的 目的在于让用户在自己的电脑（客 户机）上检索、查询、获取WWW 上的各种资源。 基本功能： • 检索查询功能 • 文件服务功能 (3) 热表管理 (4) 建立自己的主页（Home Page ） (5) 提供其他Internet服务 2.2.2 客户机的安全性 1．活动内容 活动内容是指在页面上嵌入的对用户 透明的程序，它可完成一些动作。 活动内容有多种形式，最知名的活动 内容形式包括Java小应用程序、ActiveX控 件、JavaScript和VBScript 。 活动内容模块是嵌在WWW页面里 的，它对浏览页面的用户完全透明，企 图破坏客户机的人可将破坏性的活动页 面放进表面看起来完全无害的WWW页 面中。 这种技术称作特洛伊木马，它可立 即运行并进行破坏活动。 在WWW页面里加入活动内容为电 子商务带来了多种安全危胁。 2 ．Java 、Java小应用程序和JavaScript Java是Sun微系统公司开发的一种高 级程序设计语言。 Java是一种真正的面向对象的语言. JavaScript是网景公