電子商務(wù)安全作業(yè)

1、通信與信息工程學(xué)院電子商務(wù)安全策略課程設(shè)計(jì)班 級(jí)：電子商務(wù)（理）1201姓 名：學(xué) 號(hào)：指導(dǎo)教師：設(shè)計(jì)時(shí)間：2016.1.11-2016.1.15成 績(jī)：評(píng) 語(yǔ)：通信與信息工程學(xué)院二一六年1、 調(diào)查國(guó)內(nèi)在線支付的狀況選擇案例：支付寶 1、 電子支付流程 1、流程：1、網(wǎng)上消費(fèi)者瀏覽檢索商戶網(wǎng)頁(yè)。2、網(wǎng)上消費(fèi)者在商戶網(wǎng)站下訂單。3、網(wǎng)上消費(fèi)者選擇第三方支付平臺(tái)，直接鏈接到其安全支付服務(wù)器上，在支付頁(yè)面上選擇自己適用的支付方式，點(diǎn)擊后進(jìn)入銀行支付頁(yè)面進(jìn)行支付操作。4、第三方支付平臺(tái)將網(wǎng)上消費(fèi)者的支付信息，按照各銀行支付網(wǎng)關(guān)的技術(shù)要求，傳遞到各相關(guān)銀行。5、由相關(guān)銀行（銀聯(lián)）檢查網(wǎng)上消費(fèi)者

2、的支付能力，實(shí)行凍結(jié)、扣帳或劃帳，并將結(jié)果信息傳至第三方支付平臺(tái)和網(wǎng)上消費(fèi)者本身。6、第三方支付平臺(tái)將支付結(jié)果通知商戶。7、支付成功的，由商戶向網(wǎng)上消費(fèi)者發(fā)貨或提供服務(wù)。8、各個(gè)銀行通過(guò)第三方支付平臺(tái)向商戶實(shí)施清算。 2、個(gè)性化理解過(guò)程：（1）客戶在電子商務(wù)網(wǎng)站上選購(gòu)商品，最后決定購(gòu)買(mǎi)，買(mǎi)賣(mài)雙方在網(wǎng)上達(dá)成交易意向；（2）客戶選擇利用第三方作為交易中介，客戶用信用卡將貨款劃到第三方賬戶；（3）第三方支付平臺(tái)將客戶已經(jīng)付款的消息通知商家，并要求商家在規(guī)定時(shí)間內(nèi)發(fā)貨；（4）商家收到通知后按照訂單發(fā)貨；（5）客戶收到貨物并驗(yàn)證后通知第三方；（6）第三方將其賬戶上的貨款劃入商家賬戶中，交易完成

3、。3、支付寶服務(wù)協(xié)議：一、聲明與承諾 二、定義及解釋 三、支付寶服務(wù) 四、支付寶賬戶 五、支付寶服務(wù)使用規(guī)則 六、支付寶服務(wù)使用限制 七、隱私權(quán)保護(hù) 八、系統(tǒng)中斷或故障 九、責(zé)任范圍及責(zé)任限制 十、完整協(xié)議 十一、知識(shí)產(chǎn)權(quán)的保護(hù) 十二、法律適用與管轄 2、 定義及解釋 （一）支付寶賬戶（或“該賬戶”）：指您按照本公司允許的方式取得的供您使用支付寶服務(wù)的賬戶。 （二）本網(wǎng)站：除本協(xié)議另有規(guī)定外，指及/或客戶端。 （三）阿里網(wǎng)站：指阿里巴巴集團(tuán)旗下支

4、持支付寶登錄名登錄的任何網(wǎng)站（包括但不限于淘寶、阿里巴巴中國(guó)站、阿里云網(wǎng)站及手機(jī)淘寶、來(lái)往等各種移動(dòng)客戶端應(yīng)用程序）與本網(wǎng)站，以及后續(xù)可能開(kāi)通的其他網(wǎng)站及其他移動(dòng)客戶端應(yīng)用程序。前述網(wǎng)站及客戶端可單稱或并稱阿里網(wǎng)站。 （四）淘寶：指淘寶網(wǎng)（域名為）、天貓網(wǎng)（域名為）、一淘網(wǎng)（域名為）、聚劃算（域名為）及阿里旅行?去啊網(wǎng)（域名為）等網(wǎng)站及客戶端。前述網(wǎng)站及客戶端可單稱或并稱淘寶。 （五）阿里巴巴中國(guó)站，指阿里巴巴中國(guó)站（域名包括，）。前述網(wǎng)站可單稱或并稱阿里巴巴中國(guó)站。 （六)止付：指支付寶賬戶余額為不可用狀態(tài)，例如被止付的支付寶賬戶余額不能用于充值、支付、提現(xiàn)或轉(zhuǎn)

5、賬等服務(wù)。 （七）凍結(jié)：指本協(xié)議第四（三）8條規(guī)定的有權(quán)機(jī)關(guān)要求的凍結(jié)或依據(jù)其他協(xié)議進(jìn)行的保證金凍結(jié)等。被凍結(jié)余額為不可用狀態(tài)，被凍結(jié)賬戶不可登錄、使用。 （八）支付寶服務(wù)（或“本服務(wù)”）：指本協(xié)議第三條所描述的服務(wù)。6、 支付寶服務(wù)使用限制（3） 您理解并同意，本公司不對(duì)因下述任一情況導(dǎo)致的任何損害賠償承擔(dān)責(zé)任，包括但不限于利潤(rùn)、商譽(yù)、使用、數(shù)據(jù)等方面的損失或其他無(wú)形損失的損害賠償（無(wú)論本公司是否已被告知該等損害賠償?shù)目赡苄裕?、本公司有權(quán)基于單方判斷，包含但不限于本公司認(rèn)為您已經(jīng)違反本協(xié)議的明文規(guī)定及精神，對(duì)您名下的全部或部分支付寶賬戶暫停、中斷或終止向您提供本服務(wù)或

6、其任何部分，并移除您的資料。2、在發(fā)現(xiàn)異常交易或合理懷疑交易有疑義或有違反法律規(guī)定或本協(xié)議約定之時(shí)，為維護(hù)用戶資金安全和合法權(quán)益，本公司有權(quán)不經(jīng)通知先行暫?；蚪K止您名下全部或部分支付寶賬戶的使用（包括但不限于對(duì)這些賬戶名下的款項(xiàng)和在途交易采取取消交易、調(diào)賬等措施），同時(shí)可能需要您配合提供包括但不限于物流憑證、身份證、銀行卡，交易過(guò)程中交易雙方的阿里旺旺聊天記錄截圖（非阿里旺旺聊天記錄只能作為參考）等資料。如您未及時(shí)、完整、準(zhǔn)確提供上述資料，本公司有權(quán)采取包括但不限于如下限制措施：關(guān)閉余額支付功能、限制收款功能、止付賬戶內(nèi)余額或停止提供全部或部分支付寶服務(wù)。如涉嫌犯罪，本公司有權(quán)移交公安機(jī)關(guān)處理

7、。3、您理解并同意，存在如下情形時(shí)，本公司有權(quán)對(duì)您名下支付寶賬戶暫?；蚪K止提供全部或部分支付寶服務(wù)，或?qū)θ炕虿糠钟囝~進(jìn)行止付，且有權(quán)限制您所使用的產(chǎn)品或服務(wù)的部分或全部功能（包括但不限于對(duì)這些賬戶名下的款項(xiàng)和在途交易采取取消交易、調(diào)賬等限制措施），并通過(guò)郵件或站內(nèi)信或者客戶端通知等方式通知您，您應(yīng)及時(shí)予以關(guān)注：1）根據(jù)本協(xié)議的約定；2）根據(jù)法律法規(guī)及法律文書(shū)的規(guī)定；3）根據(jù)有權(quán)機(jī)關(guān)的要求；4）您使用支付寶服務(wù)的行為涉嫌違反國(guó)家法律法規(guī)及行政規(guī)定的；5）本公司基于單方面合理判斷認(rèn)為該賬戶操作、資金進(jìn)出等存在異常時(shí)；6）本公司依據(jù)自行合理判斷認(rèn)為可能產(chǎn)生風(fēng)險(xiǎn)的；7）您在參加市場(chǎng)活動(dòng)時(shí)有批量注冊(cè)支

8、付寶賬戶、刷信用及其他舞弊等違反活動(dòng)規(guī)則、違反誠(chéng)實(shí)信用原則的；8）他人向您支付寶賬戶錯(cuò)誤匯入資金等導(dǎo)致您可能存在不當(dāng)?shù)美模?）您遭到他人投訴，且對(duì)方已經(jīng)提供了一定證據(jù)的；10）您可能錯(cuò)誤地將他人支付寶賬戶進(jìn)行了實(shí)名的。如您申請(qǐng)恢復(fù)服務(wù)、解除上述止付或限制，您應(yīng)按本公司要求如實(shí)提供相關(guān)資料及您的身份證明以及本公司要求的其他信息或文件，以便本公司進(jìn)行核實(shí)，且本公司有權(quán)依照自行判斷來(lái)決定是否同意您的申請(qǐng)。您應(yīng)充分理解您的申請(qǐng)并不必然被允許。您拒絕如實(shí)提供相關(guān)資料及身份證明的，或未通過(guò)本公司審核的，則您確認(rèn)本公司有權(quán)長(zhǎng)期對(duì)該等賬戶停止提供服務(wù)且長(zhǎng)期限制該等產(chǎn)品或者服務(wù)的部分或全部功能。在本公司認(rèn)為該

9、等異常已經(jīng)得到合理解釋或有效證據(jù)支持或未違反國(guó)家相關(guān)法律法規(guī)及部門(mén)規(guī)章的情況下，最晚將于止付款項(xiàng)或暫停執(zhí)行指令之日起的30個(gè)日歷天內(nèi)解除止付或限制。但本公司有進(jìn)一步理由相信該等異常仍可能對(duì)您或其他用戶或本公司造成損失的情形除外，包括但不限于：1）收到針對(duì)該等異常的投訴：2）您已經(jīng)實(shí)質(zhì)性違反了本協(xié)議或另行簽署的協(xié)議，且我們基于保護(hù)各方利益的需要必須繼續(xù)止付款項(xiàng)或暫停執(zhí)行指令：3）您雖未違反國(guó)家相關(guān)法律法規(guī)及部門(mén)規(guī)章規(guī)定，但該等使用涉及本公司限制合作的行業(yè)類(lèi)目或商品，包括但不限于通過(guò)本公司的產(chǎn)品或服務(wù)從事類(lèi)似金字塔或矩陣型的高額返利業(yè)務(wù)模式。5、在本公司合理認(rèn)為有必要時(shí)，本公司無(wú)需事先通知即可終止

10、提供本服務(wù)，并暫停、關(guān)閉或刪除您名下全部或部分支付寶賬戶及該賬戶中所有相關(guān)資料及檔案，并將您滯留在該賬戶的全部合法余額退回到您的銀行賬戶。4、 電子支付安全體系電子支付安全體系主要靠這兩個(gè)保密協(xié)議（SSL和SET）來(lái)維護(hù)；電子支付系統(tǒng)的安全要求包括：保密性、認(rèn)證、數(shù)據(jù)完整性、交互操作性等。目前，國(guó)內(nèi)外使用的保障電子支付系統(tǒng)安全的協(xié)議包括：SSL(Secure SocketLay-er,安全套接字層)、SET(Secure Electronic Transaction)等協(xié)議標(biāo)準(zhǔn)。SSL協(xié)議安全套接層方法(Secure Socket Layer,SSL)協(xié)議在網(wǎng)絡(luò)上普遍使用，能保證雙方通信時(shí)數(shù)據(jù)

11、的完整性、保密性和互操作性，在安全要求不太高時(shí)可用。它包括：(1)握手協(xié)議。即在傳送信息之前，先發(fā)送握手信息以相互確認(rèn)對(duì)方的身份。確認(rèn)身份后，雙方共同持有一個(gè)共享密鑰。(2)消息加密協(xié)議。即雙方握手后，用對(duì)方證書(shū)(RSA公鑰)加密一隨機(jī)密鑰，再用隨機(jī)密鑰加密雙方的信息流，實(shí)現(xiàn)保密性。由于他被IE，NESCAPE等瀏覽器所內(nèi)置，實(shí)現(xiàn)起來(lái)非常方便。目前的B-C網(wǎng)上支付大多采用這種辦法。利用招商銀行提供的網(wǎng)上支付接口可以很方便的實(shí)現(xiàn)基于此協(xié)議的網(wǎng)上支付。SSL使用加密的辦法建立一個(gè)安全的通信通道以便將客戶的信用卡號(hào)傳送給商家。它等價(jià)于使用一個(gè)安全電話連接將用戶的信用卡通過(guò)電話讀給商家。SSL交易過(guò)程

12、圖雖然SSL握手協(xié)議可以用于雙方互相確認(rèn)身份，但實(shí)際上基本只使用客戶認(rèn)證服務(wù)器身份，即單方面認(rèn)證。這一協(xié)議不能防止心術(shù)不正的商家的欺詐,因?yàn)樵撋碳艺莆樟丝蛻舻男庞每ㄌ?hào)。商家欺詐是SSL協(xié)議所面臨的最嚴(yán)重的問(wèn)題之一。另外由于加密算法受到美國(guó)加密出口的限制，瀏覽器和WebServer都存在所謂的"512/40"的問(wèn)題。既DES對(duì)稱加密為40位，RSA加密為512位。加密強(qiáng)度偏低使B-C的SSL協(xié)議難于推廣到有更高要求的B-B領(lǐng)域。SET協(xié)議SET是實(shí)現(xiàn)在開(kāi)放的網(wǎng)絡(luò)(Internet或公眾多媒體網(wǎng))上使用付款卡(信用卡、借記卡和取款卡等)支付的安全事務(wù)處理協(xié)議。它的實(shí)現(xiàn)不需要對(duì)現(xiàn)

13、有的銀行支付網(wǎng)絡(luò)進(jìn)行大改造。該協(xié)議的1.0版本于1997年5月31日發(fā)布。SET規(guī)定了電子支付系統(tǒng)各方購(gòu)買(mǎi)和支付消息傳送的流程。附圖為SET協(xié)議結(jié)構(gòu)流程圖?？梢?jiàn)，電子支付系統(tǒng)的交易三方為：持卡人、商家和支付網(wǎng)關(guān)。交易流程為：(1)持卡人決定購(gòu)買(mǎi)，向商家發(fā)出購(gòu)買(mǎi)請(qǐng)求；(2)商家返回同意支付等信息；(3)持卡人驗(yàn)證商家身份，將定購(gòu)信息和支付信息安全傳送給商家，但支付信息對(duì)商家來(lái)說(shuō)是不可見(jiàn)的(用銀行公鑰加密)；(4)商家驗(yàn)證支付網(wǎng)關(guān)身份，把支付信息傳給支付網(wǎng)關(guān)，要求驗(yàn)證持卡人的支付信息是否有效；(5)支付網(wǎng)關(guān)驗(yàn)證商家身份，通過(guò)傳統(tǒng)的銀行網(wǎng)絡(luò)到發(fā)卡行驗(yàn)證持卡人的支付信息是否有效，并把結(jié)果返回商家；(6

14、)商家返回信息給持卡人，送貨；(7)商家定期向支付網(wǎng)關(guān)發(fā)送要求支付信息，支付網(wǎng)關(guān)通知卡行劃帳，并把結(jié)果返回商家，交易結(jié)束。安全電子交易使用的安全技術(shù)包括：加密(公開(kāi)密鑰加密、秘密密鑰加密)、數(shù)字信封、數(shù)字簽名、雙重?cái)?shù)字簽名、認(rèn)證等。它通過(guò)加密保證了數(shù)據(jù)的安全性，通過(guò)數(shù)字簽名保證交易各方的身份認(rèn)證和數(shù)據(jù)的完整性，通過(guò)使用明確的交互協(xié)議和消息格式保證了互操作性。由于它實(shí)現(xiàn)起來(lái)比較復(fù)雜，每次交易都需要經(jīng)過(guò)多次加密、HASH及數(shù)字簽名，并且須在客戶端安裝專門(mén)的交易軟件。因此現(xiàn)在使用該協(xié)議的電子支付系統(tǒng)并不多。目前中國(guó)銀行的網(wǎng)上銀行中的支付方式是基于SET。5、 電子支付機(jī)制的優(yōu)缺點(diǎn)在SET出現(xiàn)之前，網(wǎng)

15、上交易就已經(jīng)有了。所用安全措施主要是SSL協(xié)議。到目前為止，還有許多網(wǎng)上交易系統(tǒng)采用SSL協(xié)議。 SSL與SET采用的都是公開(kāi)密鑰加密法。在這一點(diǎn)上，兩者是一致的。從對(duì)信息傳輸?shù)谋Ｃ苌蟻?lái)說(shuō)，兩者的功能是相同的，都能保證信息在傳輸過(guò)程中的保密性。 但SSL與SET兩種協(xié)議在網(wǎng)絡(luò)中的層次不一樣。SSL是基于傳輸層的協(xié)議，而SET則是基于應(yīng)用層的協(xié)議。SSL在建立了通訊雙方的安全通道之后，所有傳輸?shù)男畔⒍紩?huì)被加密，而 SET則會(huì)有選擇地加密一部分敏感信息。 當(dāng)今市場(chǎng)上已有許多SSL相關(guān)產(chǎn)品及工具，而有關(guān)SET的相關(guān)產(chǎn)品卻相對(duì)較少，也不夠成熟，SSL已被大部分W

16、eb瀏覽器和Web服務(wù)器所內(nèi)置，比較容易被接受。而SET要求在銀行建立支付網(wǎng)關(guān)，在商戶的Web服務(wù)器上安裝商戶軟件、持卡人的個(gè)人計(jì)算機(jī)上安裝電子錢(qián)包軟件等。這些成了SET被廣泛接受的阻力。另外，SET還要求必須向交易各方發(fā)放數(shù)字證書(shū)，這也成為阻礙之一。所有這些使得使用SET要比使用SSL麻煩得多。 SSL協(xié)議中，商戶也有數(shù)字證書(shū)，可以向持卡人證明自己是一家真實(shí)存在的商戶。有些系統(tǒng)也向持卡人發(fā)放證書(shū)，但這證書(shū)是發(fā)給瀏覽器的，而不是像SET那樣，與信用卡綁在一起。 SET的方法更加安全，而SSL的方法則比較簡(jiǎn)單。 SSL還有一個(gè)很大的缺點(diǎn)，就是無(wú)法保證商戶看不到持卡人

17、的信用卡賬戶等信息。在持卡人與商戶建立了安全連接后，持卡人可以安全地將信用卡號(hào)等敏感信息傳送給商戶，但是這些信息到了商戶哪兒，都變成了明文。在Internet上，我們經(jīng)常會(huì)光顧一些沒(méi)有名氣的陌生商店，這些網(wǎng)上商店我們只知道它的網(wǎng)址，根本不知道它的實(shí)際地址，而且今天它還開(kāi)著，明天也許已經(jīng)關(guān)了。正因如此，網(wǎng)上商店發(fā)生欺詐行為的可能性要比我們通常光顧的商店大得多。如果碰到一家黑店，得到了你的信用卡號(hào)等信息后，不知會(huì)干出些什么事來(lái)。即使是一個(gè)誠(chéng)實(shí)的網(wǎng)上商店在收到你的信用卡號(hào)后，也許會(huì)因?yàn)闆](méi)有采用好的辦法來(lái)保證其安全，而使這些敏感信息被竊取。我們已經(jīng)聽(tīng)到過(guò)大量的黑客通過(guò)商戶服務(wù)器竊取信用卡號(hào)的案例。而S

18、ET協(xié)議則在這方面采取了強(qiáng)有力的措施，用網(wǎng)關(guān)的公開(kāi)密鑰來(lái)加密持卡人的敏感信息，并采用雙重簽名等方法，保證商戶無(wú)法看到持卡人傳送給網(wǎng)關(guān)的信息。6、 支付寶使用過(guò)程截圖總體來(lái)說(shuō)支付寶使用過(guò)程非常簡(jiǎn)單，并且可以在諸多占領(lǐng)中國(guó)市場(chǎng)的幾大網(wǎng)站都可以進(jìn)行交易，比如及/或客戶端、阿里網(wǎng)站、淘寶（這里的網(wǎng)站在支付寶協(xié)議中有詳細(xì)規(guī)定）等，使用支付寶更加豐富了我們的生活；現(xiàn)在我了解的支付寶支付過(guò)程非常簡(jiǎn)單，已下展示支付寶的一些功能。付款：掃一掃付款和付款， 支付寶轉(zhuǎn)賬功能： 校園一卡通功能：手機(jī)充值： 二、木馬的檢測(cè)和刪除 1、木馬的基本原理 (一)木馬( 特洛伊木馬)的工作原理木馬是隱藏在正

19、常程序中的具有特殊功能的惡意代碼，是具有破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤(pán)、實(shí)施Dos攻擊甚至完全控制計(jì)算機(jī)等特殊功能的后門(mén)程序。1木馬工作組成及原理 服務(wù)器端、客戶端及其運(yùn)動(dòng)平臺(tái)或操作。 工作原理：攻擊者利用一種稱為綁定程序的工具將服務(wù)器端程序綁定到某個(gè)合法軟件上，誘使用戶運(yùn)行該合法軟件，用戶一旦運(yùn)行該該合法軟件，木馬的服務(wù)器端程序就在用戶毫無(wú)知覺(jué)的情況下完成安裝。 服務(wù)器端程序：服務(wù)器運(yùn)行的IP端口號(hào)，程序啟動(dòng)時(shí)機(jī)，如何發(fā)出調(diào)用，隱身，加密，采用通信方式。2木馬分類(lèi) 破壞型：破壞和刪除文件（DLL、INI、EXE） 密碼發(fā)送型：找到目

20、標(biāo)的隱藏密碼，發(fā)給攻擊者信箱 遠(yuǎn)程訪問(wèn)型：在目標(biāo)計(jì)算機(jī)上運(yùn)行服務(wù)器端，前提是服務(wù)端的IP地址鍵盤(pán)記錄木馬：通過(guò)Log文件查找密碼等，或記錄受害者的鍵盤(pán)動(dòng)作DoS攻擊木馬：通過(guò)植入木馬，可以把受控主機(jī)當(dāng)作一個(gè)個(gè)肉雞，控制者可以操縱大量的肉雞來(lái)同時(shí)對(duì)某個(gè)主機(jī)發(fā)起DoS攻擊，隨機(jī)生成各種各樣主題的信件，對(duì)特定的郵箱不停的發(fā)送郵件，直到對(duì)方癱瘓。代理木馬：攻擊時(shí)又保護(hù)自己，被控制的計(jì)算機(jī)種上代理木馬，作為跳板，就像操縱傀儡一般FTP木馬：打開(kāi)21端口，讓每個(gè)FTP客戶端不要密碼就可連接到受控主機(jī)，隨意竊取受害主機(jī)的文件程序殺手木馬：關(guān)閉目標(biāo)機(jī)上運(yùn)行的木馬查殺程序或病毒軟件反彈端口型木馬：對(duì)于

21、有放火墻的受害者，木馬可以通過(guò)反連端口的方式來(lái)達(dá)到操縱受害主機(jī)的目的，也就是說(shuō)，木馬自己穿越防火墻主動(dòng)去連接控制者，因?yàn)橐话隳抉R會(huì)采用常用的端口，比如80端口，而且現(xiàn)在的防火墻往往采用嚴(yán)進(jìn)寬出的方案，所以這種控制很有用。3傳播途徑 1）網(wǎng)頁(yè)傳播 2）下載軟件或提示誘導(dǎo) 3）郵件傳播 4）利用系統(tǒng)漏洞4木馬攻擊流程 1）配置木馬木馬偽裝：修改圖標(biāo)、捆綁文件、出錯(cuò)顯示、定制端口、自我銷(xiāo)毀、木馬更名 2）傳播木馬 采用郵件、文件下載、網(wǎng)頁(yè)瀏覽 3）運(yùn)行木馬 自動(dòng)安裝、自啟動(dòng)、激活木馬 4）信息反饋 通過(guò)信息反饋(ADSL是動(dòng)態(tài)IP地址，但可確定一個(gè)地區(qū)的網(wǎng)絡(luò)服務(wù)商的IP地址) IP地址掃描：主機(jī)的IP地址、植入端口、E-Mail 5）木馬連接獲取服務(wù)端的木馬程序端口和IP地址服務(wù)端已安裝了服務(wù)端程序控制端、服務(wù)端都在網(wǎng)上6）遠(yuǎn)程控制竊取密碼、文件操作、修改注冊(cè)表、系統(tǒng)操作2、木馬的基本特征特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運(yùn)行時(shí)不