电子支付系统.ppt

任务分析 美国密执安大学的一个调查机构曾对23000名因特网用户调查显示：超过60%的人由于担心电子商务的安全性问题而不愿进行网上购物。 电子商务的交易安全就是对交易中涉及的各种数据的可靠性、完整性和可用性进行保护。做到传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性，才能确保电子商务的安全。 电子商务发展的速度太快，致使其安全技术和安全管理跟不上，这是一个越来越突出的问题。安全是一个系统的概念，电子商务安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都密切相关。 相关知识 1．电子商务面临的安全威胁 计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。 （1）信息的截获和窃取 如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输入的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业的商业机密等。 （2）信息的篡改 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。 ①篡改：改变信息流的次序，更改信息的内容，如篡改购买商品的出货地址等。 ②删除：删除某个消息或消息的某些部分，比如一些淘宝店铺雇佣黑客删除差评，误导消费者。 ③插入：在消息中插入一些信息，让收方读不懂或接收错误的信息。 （3）信息假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式。 ①伪造电子邮件，虚开网站和商店，给用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户发大量的电子邮件，窃取商家的商品信息和用户信用等信息。 ②假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨清真伪。 （4）恶意破坏 由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。 （5）交易抵赖 交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容：收信者事后否认曾经收到过某条消息或内容：购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。 相关链接 窃取经济利益成为黑客攻击主要目标 2012年，网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益。由于互联网用户通过网络开展的经济活动持续增多，在线销售和支付总额增长迅速，窃取经济利益成为黑客实施网络攻击的主要目标之一。 2012年，国家计算机网络应急技术处理协调中心监测发现，针对我国境内网站的钓鱼页面有22308个，涉及IP地址2576个；接收到网络钓鱼类事件举报9463起，较2011年大幅增长73.3%。 这些钓鱼网站中，仿冒网上银行的约占54.8%，进行虚假抽奖或中奖活动、虚假新奇特或低价物品销售活动的约占44.7%。钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。 2012年，仅国家计算机网络应急技术处理协调中心监测发现被黑客骗取的用户银行卡信息就达1.8万条。 2013年上半年，匿名黑客组织开展了一项名为Operation Last Resort的黑客行动，并公开了4000多位美国银行家的登录账户和个人信息，要求政府改革美国计算机犯罪法。 2．电子商务安全要素 贸易数据在确定的时刻、确定的地点是有效的 有效性 接发收方的身份是真实的 真实性 保密性 保证只有发送者和接收者可以接触到信息。 信息在传输过程中未经任何改动 完整性 在交易数据发送完成以后，双方都不能否认自己曾经发出或接收过信息。 不可否认性 3．电子商务安全技术 1．密码技术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。 ①加密技术是保证电子商务安全的重要手段 ②密钥管理技术。 ③数字签名。 电子支付协议 安全HTTP（S—HTTP）协议。 ④安全协议。 安全电子邮件协议（如PEM、S/MIME等）。