作者:祝凌曦 陆本江 编著
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
电子商务安全与支付试读:
前言
Forward
近年来,电子商务蓬勃发展,不仅带来了传统贸易模式的转型,还给人们的生活带来巨大的便捷与全新的体验,更重要的是,它预示着一种人类未来生活电子化的美妙图景。因此,电子商务的安全问题也逐渐成为社会关注的热点话题。
电子商务安全问题涉及信息的安全与支付的安全。这里所讲的信息主要是指在交易过程中,各方主体的相关交易信息。这些信息中有一些是属于敏感信息,比如用户的银行卡账号、密码、商户的账户信息等。这些信息在网上传播,需要有很强的安全保密机制,保证信息的安全性、有效性、完整性以及新鲜性等。支付是电子商务行为中的一个重要环节,一次电子商务活动成功的标志是支付环节的安全实现。所以,保证电子商务过程中信息与支付的安全是推动电子商务继续高速发展的必要条件。而对于广大消费者来说,支付中的安全问题更是他们关心的主要问题。
保障电子商务信息与支付安全除了在法律制度方面需要不断完善之外,更重要的一点是对整体电子商务运作体系中安全技术以及主体行为安全的研究。在这一方面,高校作为社会人才培养储备基地,首当其冲应开展电子商务专业教学与研究。
目前,国内有很多与电子商务相关的教材,但都偏重理论。其实,就目前我国而言,除了电子商务安全问题之外,还有一个制约因素,那就是电子商务面临群众认知度不高的局面,很多人基本没有实际接触过电子商务,更没有真正进行过电子支付。基于此,编篡一本以实践操作为指导的电子商务安全与支付教程已是迫在眉睫的事情。一方面,为广大读者介绍有关电子商务安全与支付的基本理论知识,让读者对电子商务安全及其相关内容有一个大概的了解;另一方面,也是更重要的一点,通过实战操作,真正让读者“感受”电子商务,做到知行合一。
在基础理论方面,本书避免使用过多专业性较强的语言来阐述相关理论,主要是以一种说理叙事的方式进行,将复杂的理论简单化,同时,辅助一些典型案例分析,生动形象地让读者建立起对电子商务安全的基本认知。例如,在讲述网上购物风险时,本书集合了大量发生在我们现实生活中的网购安全案例,并从买方和卖方两个角度进行分析,条理化地总结了诸多影响网上购物的安全影响因素,给出了对应的风险应对措施。
在实践操作方面,本书将主要的电子支付形式一一纳入其中,比如ATM、第三方支付、网上银行以及移动支付等,并将其主要功能进行了详细的操作演示。通过这种形式,让读者在学习理论知识的同时,就能够直接接触到实践操作,从而加深了用户对电子商务安全的理解。
本书最大的特色就是将以往教材书籍中有关电子商务安全与支付的深奥理论以最生动、最亲民的方式展现给读者。首先,本书主要内容仍然围绕电子商务安全与支付,经过精细地梳理与总结,我们把核心的知识点呈现给广大读者,尽量避免因为内容冗余繁杂而使读者厌恶情绪。其次,本书针对电子商务安全问题,引入了大量的真实案例,通过对我们身边的风险案例进行分析,让读者深刻体会电子商务安全的重要性。
总之,本书的一个出发点就是:避免过分强调理论,注重电子商务的实践应用特性,用浅显易懂的阐述方式阐明理论,用大量的案例说话,并辅以详细的实践操作指导,使读者阅读起来就像在和别人对话交流一样亲切、自然,让读者真正学到如何“参与”电子商务。在某种程度上可以说,本书的推出是当前该领域教材同质化问题严重背景下的一大创新。
全书共分为11章。第1 章为电子商务安全概述,主要介绍了中国电子商务的安全现状、同时分析制约电子商务广泛普及的瓶颈因素;第2 章为电子商务的安全技术,针对典型的电子商务风险,引入几种具有针对性的安全防护技术,主要介绍交易过程中的信息保密技术、系统用户身份认证及访问控制技术、网络安全技术等;第3 章为数字证书与协议,主要介绍有关数字证书的基本内容、类型、认证机构以及数字证书中的两类经典应用——SET协议和SSL协议;第4 章为电子支付概述,主要介绍有关电子支付的知识,详细分析了电子支付的概念、分类、发展现状及电子支付产业现存的问题;第5 章为ATM与POS,主要讲述ATM与POS的基本概念、主要功能、工作流程、应用前景、ATM与POS主要功能及具体操作;第6 章为第三方支付——支付宝,主要以支付宝为例,讲述第三方支付的基本概念、运作模式、主要产品服务、操作使用实例以及与网购密切相关的支付安全问题;第 7 章为第三方支付——拉卡拉,主要介绍第三方支付的混合支付模式,并以拉卡拉为例进行详细阐述。第 8 章为第三方支付——首信易支付,主要介绍网关支付的基本概念、主要运作模式、发展现状,及其业务功能和具体操作流程;第9 章为大额电子汇兑系统,主要介绍电子汇兑系统的主要概念和内容,同时介绍国内外典型的大额电子汇兑系统,特别对中国现代化支付系统(CNAPS)作了详细的介绍;第10章为网上银行,主要介绍网上银行的基本知识,从基本概念入手,分别阐述其特点、发展现状、系统组成、发展阶段及其业务模式等;第11 章为移动支付,介绍了移动支付的内涵、分类、发展现状、业务类型、运营模式、支持技术、发展中的障碍以及应对措施。
本书的主编为祝凌曦,副主编为陆本江。其中陆本江承担了本书的部分编写工作,祝凌曦完成全书的统稿和审稿。
北京交通大学的唐瑞、王琛同学为本书的编写和校对作出了一定贡献,在此表示感谢。
本书在编写的过程中参考和引用了很多专家和学者的著作、文献,以及在网上查询了很多的资料。由于网络资料很多,可能无法一一注明,在此一并致谢,希望本书的出版能为我国的电子支付事业的推广和普及作出一定的贡献。鉴于编者学术水平有限,书中可能存在错误和不妥之处,敬请各位专家和读者给予批评、指正。编者2013年1月第1章 电子商务安全概述【内容提要】
本章将为您解读中国电子商务的安全现状,同时分析制约电子商务广泛普及的瓶颈因素。主要以电子商务安全要求为主线,从交易的认证性、保密性、完整性、不可否认性以及其他安全要求分别展开论述,同时,通过对电子商务相关安全协议以及法律制度的介绍,力争让读者对电子商务安全的基本脉络有深入的了解,并能够发挥指导实践的作用。【学习目标】
·了解日常生活中多种多样的电子商务形式。
·了解中国电子商务安全现状。
·深入掌握电子商务基本安全要求的内涵及其具体表现。
·能够初步鉴别电子商务交易过程中的潜在风险。【案例导读】【案例一】一个不明文件引发的损失
2011年5月14日,山东省的王先生在网上购买了一款打折的名牌皮包,卖家通过聊天工具发来一个压缩文件,要求其确认款型。王先生打开压缩文件时看到系统提示“该文件损坏”,当时并没有在意,并重新回到购物网站上进行付款操作。蹊跷的是,500元钱却被打入了另一个陌生账户名下。
大家想一想,王先生的钱究竟去哪儿了?【案例二】你汇款了吗?
2011年6月,甘肃省的赵先生在网上搜到一个冒牌的旅行网站,并在该网站订了两张从兰州到北京的机票。在“客服”热情的咨询服务后,赵先生听信对方的话,直接将1420元购票款汇到了对方的银行账户中。后来却被告知汇款系统已冻结,需要再次汇款才能解封,于是赵先生又汇出1420元。可是最终赵先生既没有得到机票,也没有收回票款,一共被骗2880元。
大家想一想,正规的支付网站和“钓鱼”网站有哪些细微区别呢?【案例三】从 ATM中取2000元假钞,张张同号
2009年,辽宁省孟先生暴料说,他在某银行柜员机提取2000元现金,离开后却发现这沓人民币竟全是假钞,张张同号。他找到银行投诉,很长时间都未有结果。该银行行长表示,内部调查显示,柜员机绝不可能流出假币。
大家想一想,这到底是谁的责任呢?
……
在电子商务发展如火如荼之际,网上欺诈、黑客攻击、计算机病毒等各种网络威胁日渐肆意猖獗。案例中的风险也许曾经就发生在你的身上,那么,如何识破这些电子商务的安全风险呢?通过本章的学习,你将全面了解典型的电子商务安全风险,揭开骗局的神秘面纱,真正体验安全便捷的电子商务新生活!1.1 电子商务安全与支付现状
1.1.1 电子商务在身边
电子商务,通俗而言,就是“电子+商务”,或是将传统的商务活动“移植”到网络环境中。随着数字化、网络化技术的不断发展,社会信息化的步伐越来越快,人类信息化社会的程度越来越高。加上互联网在中国的日益普及,Internet已经深入到我们生活中的方方面面。伴随着电子商务发展所需的各方面条件(包括信息基础设施、人们的消费观念、各大IT 公司的努力)的不断成熟,电子商务已经深入人心。
在我们的日常生活中,随处可见电子商务的踪影,网上购物、网上支付、电子账户、网上银行等时刻陪伴着我们。现在人们在网络上可以进行各种商务活动,大到企业和企业之间的商务合作、国际间贸易的发展,小到个人生活的各个方面如购买房屋、汽车、音像制品、图书和日常用品等。通过商务活动购买的商品既可以是实体的,又可以是虚拟的,实体的如购买电视、冰箱等家用电器,虚拟的到购买音乐、电影。数量金额大到几十万元上百万元,小到下载一个铃声的一元两元、购买一篇论文的三毛五毛、甚至几分钱的游戏点数。
举例来说,以前如果我们需要购房或者租房,一般都需要到售楼实体店进行咨询。先不说交流的效果如何,仅来回往复的奔波都已然让人难以消受了。而且不同公司的宣传方案不同,如果要进行不同楼房的横向对比就更难了,因此,在购房成功之前,消费者所花费的时间成本与精力成本都是很高的。租房者由于信息获取不全面也往往面临各种问题。但随着电子商务的发展,这种情况得到了很大的好转,现在对于购房者或租房者,只需要轻松坐在电脑前,登录一些售房门户网站,就可以在第一时间获取全面的、可比性的高交易信息,比如爱房网或北京焦点二手房等,如图1-1所示。
对于汽车购买来说,问题同样变得非常简单。消费者可以去中国汽车网或搜狐汽车网等购买,如图1-2所示。如果需要购买家电用品,你还需要去大卖场吗?答案是否定的,像国内许多大型家电制造商,现在都已经建立起了自己的电子商务门户网站,这些网站弥补了企业在纯实体时代营销的不足,有力地促进了消费者与商家的互动交流,知名的如海尔的电子商务交易平台现在已经实现完全的个性化(见图1-3);还有苏宁易购,现在已经将业务范围扩展到了日用百货。同样,如果需要购买服装,凡客已然成为一个很好的选择,如图1-4所示。图1-1 爱房网——购房、租房好帮手图1-2 中国汽车网——购买汽车的好选择图1-3 个性化海尔商城图1-4 凡客——与时尚同居
在电子商务浪潮的推动下,书店也被搬上了互联网。现在买书你还需要在书店里费劲地翻阅查找吗?这已然成为过去。现在,你可以登录当当网,在搜索中输入目标关键词,尽情享受丰富的书目一览表,然后轻松下单就可以了(见图1-5)。当然,诸如此类的营销网站还有很多。这些网站在市场化的今天,已变得越来越人性化。它们不仅可以帮助客户做好销售交易的分析,还为不同价格需求的客户进行推式营销,进行不同产品的全面综合对比,使用户真正足不出户便能掌握丰富、全面的信息。
现在,当我们需要办理银行业务时,不必去银行排长队了,只需要开通个人网上银行账户,就可以轻松实现多种银行业务的在线处理,让用户真正体验到了网银的便利与快捷,如图1-6所示。图1-5 购书就来当当网图1-6 个人网上银行业务办理
1.1.2 电子商务安全现状
电子商务发展至今,基本已经覆盖了人们生活的方方面面。当然,我国的电子商务整体发展水平仍然不高,相较其他发达国家,我国电子商务无论是在硬件基础设施,还是在技术发展水平和管理水平方面,都与国外存在较大的差距。国外的电子商务现在已不是什么高新产物,也不再是相关专业人士或高学位人员的专属工具,它已经彻底“飞入寻常百姓家”了。然而就国内而言,我们虽然有着广泛的网络用户基础,据资料显示:截至2011年6月底,中国网民规模达到4.85亿,较2010年年底增加2770万人,增幅为6.1%。但是,在如此庞大的人群中,真正使用电子商务的却不是很多。据艾瑞咨询调查显示,在中国,真正使用电子商务的人员主要有在校学生、销售人员、技术人员等(见表1-1),这些人员一方面有着较高的文化水平,另一方面也有具体的业务需求。所以,他们成为了中国电子商务应用的主力军。表1-1 艾瑞咨询关于2010年主要电子商务使用用户属性对比
为什么中国电子商务的普及会受到如此大的制约?为什么中国的普通网民涉足电子商务程度总体不高呢?据艾瑞咨询调研,在网购影响因素的调查中,很多人不愿意涉足电子商务最主要的原因是安全问题,占比高达47%。其他诸如产品质量、物流配送以及购物体验等也成为重要因素。对于阻碍电子商务发展的三座大山——电子商务安全、电子支付和电子商务物流,电子商务物流正在蓬勃发展,物流公司不断涌现,人们对物流行业较为熟悉。电子支付系统是银行建设的,和老百姓没有多大关系。安全问题是老百姓(也就是电子商务最大的受众者)所深深担忧的问题,是电子商务推进中的最大路障。人们对电子商务安全的问题十分关心,但是大多数人对安全问题又缺少必要的了解。这个领域对人们来说,充满了神秘感,人们经常在报纸上、电视上看到或听到黑客的种种消息,这可能会让他们对电子商务的网上支付在心理上产生畏惧感。此外,尽管政府以及一些企业已经意识到这一问题,但因为一直缺乏一个安全保护的完整概念,所以很多人在安全认知上仅限于对防火墙的了解,而防火墙只是安全保护的一个方面,绝不等于全部,这也正是实施了防火墙的网络仍有漏洞的原因所在。
在我们的生活中,发生的电子商务安全事件不胜枚举。对于大型电子商务商家而言,黑客的攻击是致命的,比如,2001年2月,黑客大肆攻击雅虎、EBAY 等著名商业网站及其他各类站点,造成了直接经济损失12亿美元,并引起股市动荡。固然,来自于买家的欺诈已成为商家普遍关注的问题,但对处于电子商务交易弱势一方的普通用户而言,不管是来自黑客的拦截攻击还是来自卖家的恶意欺诈,都给消费者造成了巨大的损失。比如,2011年浙江“团购诈骗第一案”就给消费者网上非理性消费敲响了警钟。案件大概是这样的:谢某通过自己开办“同城团”发布很多虚假团购信息,以超低价让很多年轻人纷纷上钩。就在谢某“经营”两个月后,警方破获了这起团购诈骗案。据统计,在此次案件中有近200多人上当受骗,金额达到数万元。
1.1.3 电子商务支付现状
电子商务支付是以互联网为基础,利用银行所支持的某种数字金融工具,发生在购买者和销售者之间的金融交换,从而实现从购买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,由此为电子商务和其他服务提供金融支持。
在电子商务中,银行作为连接上游生产企业和下游消费者的桥梁,其重要作用不容忽视。银行能否实现电子支付已成为电子商务发展的关键因素。在互联网的电子商务系统中,支付过程对支付系统提出了更高的要求,要求从发出支付信息到最后完成资金转账的全过程都是电子形式。
国外电子支付发展迅猛。2005年的12个月间,全球电子商务市场交易规模增长了44.9%,达到41000亿美元。电子商务交易的迅猛发展给与之密切相连的电子支付产业带来了巨大的发展契机。经历了银行后端处理自动化与前端交互方式的创新,全球电子支付正在进入新的发展阶段。据艾瑞咨询2011年9月30日发布的2011年全球支付报告显示,预计2013年全球电子支付交易额预计将达到1.6万亿美元,这将是2010年交易金额的近两倍。报告显示,全球电子支付的交易量将由2010年的179亿笔增长到2013年的303亿笔,年均增长率将近20%;移动支付的交易量将由2010年的45.89亿笔增长到2013年的152.84亿笔,年均增长率高达50%。
电子支付的历史可以追溯到1995年,这一年,美国安全第一网上银行(SFNB)成为第一家对公众开放的网上银行,开创了全球性银行在线金融交易的先河。Visa集团早在1996年亚特兰大奥运会期间,就发行了30万张智能卡。1997年5月芬兰银行在欧洲进行网络购物付款试验。2005年第一季度,欧洲Visa零售支付的10%通过互联网进行,这比2004年同期增长50%。到2010年,欧洲Visa网络的互联网支付率已达到30%。在移动支付方面,法国的Orange、西班牙的Telefonica移动公司、德国的T-Mobile和英国的沃达丰为了联合推动移动支付业务的发展,建立了移动支付服务协会,旨在促进各国移动支付业务互操作的发展。作为协会会员的各国运营商均可采用这一系统,通过手机提供一种开放的、不同品牌间互操作的界面,向他们的用户提供统一品牌、统一使用界面的跨国界的移动支付业务。
在国内,受到电子商务发展的有力拉动,我国电子支付的市场规模发展迅速。2009年,我国已经有各类电子支付企业300多家。我国电子支付产业整体格局为:以银行卡支付为主,网上支付成为新兴增长点,移动支付等新兴形式成为有益补充。电子支付主要应用于五大领域:商业流通领域,公用事业和行业支付领域,城市医疗卫生、公交、旅游领域,文化教育事业领域以及电子政务、税收和财政非税收入领域。由于目前我国电子支付参与主体较多,因而出现了市场多方竞争的态势,既有不同支付方式内部的竞争,又有不同支付方式之间的竞争。银行、运营商、第三方支付企业、银联之间竞争激烈。
网上支付作为电子支付的一种特殊形式,发展势头更加迅猛。2009年,我国网上支付市场规模达5766亿元人民币,同比增长110.2%。网上支付交易额连续五年增速超过100%,交易规模增长了近30 倍。网上支付平台多元化势在必行,增值创新服务也在摸索前进。2009年,我国网上银行交易额接近450万亿元,同比增长38.7%。其中,个人网上银行交易额超过45万亿元,同比增长74.1%;企业网上银行交易额达到400万亿元。
随着3G网络和手机终端的完善,移动互联网应用的步伐开始加速,手机支付将是第一个物联网和移动互联网融合的商业模式。除手机方式以外,移动支付还包括无线CRM、移动股市、移动银行等。中国银联数据显示,2009年年底,手机支付定制用户总量突破2100万户,2009年我国手机支付市场规模达到19.74亿元。
值得一提的是我国的第三方支付产业。在整个国内电子支付业务中,第三方支付占据了很大的份额,2009年我国第三方支付市场交易规模达到5845亿元,同比增长高达133%。2009年7月,支付宝注册用户数正式突破2亿大关,中国成为全球最大的第三方支付市场。机构艾瑞咨询的最新数据显示,2011年第一季度,中国第三方网上支付的交易规模达到3650亿元,同比上涨102.6%。而且,2011年对于国内第三方支付企业来说,势必成为具有里程碑意义的一年。在2011年,央行分别在5月18日、8月29日以及12月22日向27家、13家和15家国内知名的第三方支付企业颁发了运营牌照。中国第三方支付企业的身份得到了正式的认可,这一事件必将进一步推动中国电子商务的发展。图1-7为国内第三方支付监管进程。图1-7 国内网上支付监管进程
电子支付的分类有很多种,按照支付形式可以分为:电子支付方式,如储值卡型电子货币(见图1-8)、电子支票支付方式(见图1-9)、银行卡支付方式(见图1-10)等;第三方支付方式,如支付宝(见图1-11)、首信易支付(见图1-12)、贝宝、拉卡拉(见图1-13)等;现金支付,如电子现金。按照支付金额的大小可以分为:大额支付系统、脱机小额支付系统、联机小额支付系统和电子货币。按照支付载体可以分为:电子信用卡系统、电子支票系统和数字现金系统。图1-8 储值卡图1-9 电子支票打印机图1-10 银行卡
近年来,虽然国内电子支付取得了长足的发展,但在其蓬勃发展的背后也出现了一些无法回避的问题。例如,法律保障问题、诚信问题、认证问题以及支付工具多样化等问题。图1-11 支付宝图1-12 易宝支付
1.电子商务支付法律法规保障滞后
网上支付作为一项迅速发展的新兴产业,相应的政策与法规的出台明显滞后于市场的发展,这已成为企业进入该领域的最大风险。近年来,我国虽已加强相关法律法规的制定工作,相继出台了《中华人民共和国电子签名法》《电子认证服务管理办法》《电子支付指引(第一号)》《电子银行业务管理办法》和《电子银行安全评估指引》等法律法规,但在网上支付领域,相关政策与法律还存在空白以及需完善之处。图1-13 拉卡拉支付
2.电子商务支付诚信体系有待加强
网上支付是基于Internet的一种结算方式,不同于传统“一手交钱,一手交货”的物品交易。由于网上交易的双方互不见面,交易的真实性不容易考察和验证,信用问题成了网上交易中最为突出的问题之一,并且它也是产生其他一系列问题的主要根源,因此从某种程度上可以说信用问题决定着网上支付的发展。2006年3月10日,中国电子商务协会颁布了《中国企业电子商务诚信基本规范》。
虽然这类信用体系的出现,对于加强我国整体的信用建设是有建设性的作用,但总体来说,目前我国的信用体系发育程度还较低,社会化信用体系尚不健全,信用心理不健康,在我国还尚未形成一种“违规失信,处处制约;诚实守信,路路畅通”的社会氛围。
3.安全认证体系尚不完善
作为网上支付的主力军,国内的各大商业银行都开设了自己的网站,并提供具有支付功能的网上银行业务。但这些网上银行互不相连,缺乏统一性,主要表现在以下方面。(1)技术不统一问题。我国大部分的网上银行是采用SSL(安全套接层)协议进行安全控制;但也有些银行则采用SET(安全电子交易)协议。这种缺乏统一规划的先天不足,给未来的网上银行整合增加难度,同时也带来了安全隐患。(2)跨行支付问题。目前大多数开办网上银行的商业银行均只接受自己银行提供的支付工具,这就使得在不同银行开户的收付双方无法完成跨行的网上支付。(3)统一身份认证工作问题。为了保证网上交易的安全性,各商业银行都推出了电子证书以便交易时进行安全认证。在1999年建立CFCA(中国金融认证中心)时,央行就对各商业银行表达了统一电子证书的意愿,但直到现在,真正使用CFCA证书的商业银行屈指可数。
4.电子商务支付工具较为单一
作为网上支付业务载体的网上支付工具,是网上支付的主要组成部分,也是实现网上支付的必要条件。在传统的银行支付结算中,具有各种各样的支付结算工具,如支票、汇票、本票、汇兑、委托收款、托收承付、银行卡等。支付结算时可以根据不同情况选择不同的支付方式,互联网上的支付系统应是对现有支付手段的模仿。而目前,在我国的网上支付业务中,网上支付工具比较单一,需要进一步多样化。1.2 电子商务安全的基本要求
一般而言,电子商务安全的要求主要体现为:交易的认证性、交易的保密性、交易的完整性、交易的不可否认性以及一些其他附加要求。只有真正满足这些方面的电子商务才可以称得上安全的电子商务。现实生活中,发生的很多电子商务安全事件,往往都是违背了最基本的安全要求。之所以这样,主要还是因为我们对外界风险的防范意识不足。因此,有必要对电子商务的安全要求再一次进行厘清,从其具体内容、典型风险、应对策略等方面进行深入解读,力争为读者塑造一个系统的电子商务安全要求架构,同时真正用之于实践,使网上交易行为更加安全。电子商务安全的基本要求如下方面。
1.2.1 交易的认证性
一、交易认证性的基本内容
交易的认证性是指在交易开始之前,买卖双方能够认证对方的身份,即可以识别对方的身份是真实的。
电子商务是在网络上进行的电子交易,买卖双方实际上都是在和虚拟的对方进行交易。在这种情况下,可能存在的风险是对方的身份是否与其在网络上声称的一致,是否存在着诈骗的可能。在现实社会中,都无法避免的诈骗现象,在网络的世界里,买卖的双方更是可能相距千里,甚至在不同的国家,在这种情况下,辨别交易双方的实际身份就显得更为重要。
身份认证是证实对方身份是否真实的过程。身份认证一般包含识别和认证两个方面。识别是向系统申明身份的过程,一般通过用户名、账户等完成。认证比识别更高一层,认证主要是提供一种方法验证其申明的正确性。交易的认证性类似现实社会中的“中间人”或者“担保人”,交易的双方都可能对对方不信任,但是只要他们都信任“中间人”——CA,由CA来确认双方的身份,那么买卖双方就可以取得彼此的信任了。这种认证是需要一定的手段来进行保证的,一般是通过数字证书进行身份的验证,因为数字证书有良好的安全性。有些时候还可以要求有硬件(如IC卡、USB KEY 等)来进行验证。图1-14所示的就是关于网购陷阱的例子。图1-14 网购陷阱
二、典型风险——钓鱼网站
1.认识钓鱼网站
钓鱼网站是一种网络交易欺诈,通常是指不法分子利用各种手段,伪装成银行及电子商务等网站,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML 代码。其主要危害是窃取用户提交的银行账号、密码等私密信息。
近年来,钓鱼网站在全球频繁出现,严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站或者正规的交易网站,窃取访问者提交的账号和密码信息。它一般通过电子邮件传播,此类邮件中一个经过伪装的链接将收件人链接到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说,钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。
用户在上网的时候需要谨防钓鱼网站,那么如何来鉴别呢?我们来看一个例子:图1-15为“伪淘宝”钓鱼网站,乍看该网站,你根本无法看出它与正规的淘宝网站到底有什么区别,粗心的用户往往不会注意到这一点,看到这个链接页面后,便会直接输入自己的账户密码等保密信息,完成支付过程。实际上,用户的支付金早已进入了不法分子的腰包。其实,如果仔细观察这个网站,就会发现一些区别,最主要的就是URL,也就是网址,这也是专业人士区分钓鱼网站与正规网站的关键点。我们知道,正规的淘宝登录网址应该是https://login.taobao.com/,但图1-15中的淘宝登录URL显然是有问题的。所以,相关专家提醒,网民在查找信息时,应该特别小心由不规范的字母数字组成的CN 类网址,最好禁止浏览器运行JavaScript和ActiveX代码,不要上一些不太了解的网站。图1-15 “伪淘宝”钓鱼网站
2.钓鱼网站的骗术揭秘(1)短信诈骗法,不法分子会向用户发送提醒中奖的短信,然后诱使用户上网操作,进而中圈套。(2)邮件诈骗法,不法分子发送电子邮件,以虚假信息引诱用户中圈套。不法分子大量发送欺诈性电子邮件,邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。(3)心理诈骗法,不法分子往往会利用广大网民消费者爱贪图小便宜的心理,利用虚假的电子商务网站进行诈骗。在知名电子商务网站发布虚假信息,以所谓“大甩卖”“免税”“秒杀”“慈善义卖”等名义出售商品,要求受骗者先行支付货款以达到诈骗目的。(4)病毒窃取,利用“木马”和“黑客”技术窃取用户信息。不法分子在电子邮件或网站中隐藏“木马”程序,这样,一旦在感染“木马”的计算机上进行网上交易时,“木马”程序即以键盘记录方式获取用户账号和密码。(5)口令破解法,不法分子利用部分用户贪图方便、在网上银行设置“弱口令”的漏洞,从网上搜寻到银行储蓄卡卡号,进而登录该银行网上银行网站,破解“弱口令”。(6)连贯转账操作,迅速转移网银款项。图1-16所示为转账背后的黑手的示意图。图1-16 转账背后的黑手
案例:钓鱼网站“钓”走 200万元
2009年10月,乐清陈女士申请银行贷款200万元,准备用于购房,并开通网上银行以方便转账。谁知日前,她收到一条短信:“您的中行E令于次日即将过期,请您尽快登录www.bocg.tk 进行升级。”陈女士赶紧上网,输入自己的用户名和密码,但网站提示密码不正确,要求再次输入。
第二天一早,陈女士收到短信,说她申请的贷款200万元已经发放了,陈女士就急忙报案。警方一查,结果发现“www.bocg.tk”是一个“钓鱼网站”。办案人员介绍,骗子通过群发短信,诱骗网上银行用户登录“钓鱼网站”。当受骗者再次输入密码时,密码和相关资料就已被盗取了。
案例中的陈女士正是中了我们所说的短信诈骗法。其实,我们在日常生活中经常会收到类似的短信,要么说中了奖,要么说需要转账,诈骗说法很多。而且,其中的部分诈骗网站具有高仿真性,如果用户没有仔细区别,很容易就会上当受骗。所以,通过该案例,我们得到启示:如果遇到类似的情形,用户一定要向正规部门进行咨询,切不可因一时情急而上当受骗。
3.钓鱼网站的防范办法(1)查验“可信网站”
通过第三方网站身份诚信认证,辨别网站真实性。目前不少网站已在其首页安装了第三方网站身份诚信认证——“可信网站”,这可帮助网民判断网站的真伪性。“可信网站”验证服务,通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份,通过认证后,企业网站就进入中国互联网络信息中心(CNNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别。网民可通过单击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。(2)核对网站域名
假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通常将英文字母I 替换为数字1,CCTV 换成CCYV或者CCTV-VIP这样的仿造域名。(3)比较网站内容
假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可单击栏目或图片中的各个链接看是否能打开。(4)查询网站备案
通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。(5)查看安全证书
目前大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”开头的,如果发现不是“https”开头,应谨慎对待。
目前互联网上活跃的钓鱼网站传播途径主要有以下八种。(1)通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。(2)在搜索引擎、中小网站投放广告,吸引用户单击钓鱼网站链接,此种手段被假医药网站、假机票网站常用。(3)通过E-mail、论坛、博客、SNS网站批量发布钓鱼网站链接。(4)通过微博、Twitter中的短连接散布钓鱼网站链接。(5)通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站。(6)感染病毒后弹出模仿QQ、阿里旺旺等聊天工具的窗口,用户单击后进入钓鱼网站。(7)恶意导航网站、恶意下载网站弹出仿真悬浮窗口,单击后进入钓鱼网站。(8)伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com 等,一旦用户写错,就误入钓鱼网站。
1.2.2 交易的保密性
一、交易保密性的基本内容
交易的保密性,国外也称为交易的隐私性,是指交易双方的信息在网络传输或者存储中不被他人窃取或获取后无法破译。交易保密性是在交易信息可用的情况下,保障信息安全的重要手段。
在传统的商务交易中,敏感性的数据,例如商务合同、信用卡号码、交易机密等可以通过文件的封装或者其他可靠的途径来传递,以此来保证数据的安全。而在开放的Internet上,由于TCP/IP采用IP报文交换方式,因而存在数据被窃取的可能。所以,电子交易过程中要保证交易数据的隐秘,就显得尤为重要。
电子商务的保密性主要是通过“数据不被窃取、窃取不可破译”的思路来设计的。具体来说,“数据不被窃取”,可以通过防火墙、IPSec 等手段实现,而“窃取不可破译”,则主要通过各种加密手段来进行保证,如采用DES、RSA加密等方法。
在交易的保密性中,还包括了交易的不可跟踪性。即在进行电子交易的时候,其他人无法通过对消费者采用支付手段的分析,发现消费者的身份。这一点对数字现金等领域的应用很重要。
二、典型风险——木马病毒
影响交易信息保密性的因素有很多,比如木马病毒、黑客窃取、意外泄露等,下面重点介绍木马病毒及其危害。
1.认识木马病毒
木马病毒主要是指利用计算机程序漏洞侵入后窃取文件的程序,它是一种具有隐藏性的、自发性的、可被用来进行恶意行为的程序,大多不会直接对电脑产生危害,而是以控制为主。
木马和常见的传统病毒不同,传统意义下的病毒一般都是出于破坏性目的的,比如,破坏电脑里的数据资料,肆意删除电脑数据,甚至是破坏电脑的运行程序,使之无法正常运行。自从电脑病毒被发明以来,它的危害就一直在不断扩大。对于木马病毒,为什么现在引起了如此之大的关注?一方面,很多电脑黑客们集结成地下产业链,专门从事研究新型的木马病毒;另一方面,众多高尖端IT 人才也在不断致力于研究病毒木马的破译程序。这看似就是一个互相博弈的过程。
木马的作用是偷偷监视别人和盗窃别人的密码、数据等,如盗窃管理员密码、子网密码搞破坏、偷窃上网密码用于它用、游戏账号、股票账号、甚至网上银行账户等,以达到偷窥别人隐私和得到经济利益的目的。所以木马的作用比早期的电脑病毒更大,更能够直接达到使用者的目的。这导致许多别有用心的程序开发者编写大量的这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上木马泛滥成灾的原因。鉴于木马的巨大危害性和作用性质独特性,木马虽然属于病毒中的一类,但是要单独地从病毒类型中间剥离出来,并称之为“木马”程序。图1-17所示为木马病毒的示意图。图1-17 木马病毒
2.木马病毒的传播途径
木马的传播方式主要有两种:一种是通过E-mail,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件,系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。
3.木马病毒的防范措施
对于木马病毒,常见的预防措施如下。(1)安装杀毒软件和个人防火墙,并及时升级。(2)将个人防火墙设置安全等级,防止未知程序向外传送数据。(3)可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。(4)如果使用IE浏览器,应安装卡卡安全助手或360安全卫士,防止恶意网站在自己电脑上安装不明软件或浏览器插件,以免被木马趁机侵入。
案例:木马盗钱
2005年9月,福州市市民姚某到中国建设银行福州广安支行办理人民币活期储蓄业务,建行广安支行向姚某出具了通存通兑的活期储蓄存折和龙卡储蓄卡各一张。2006年6月11日,姚某的账户存款余额为6.7万元。但是在2006年6月底,姚某发现其账户存款余额仅剩400元。他到建行广安支行查询后发现,其存款于2006年6月12日在建行福州市连江县支行凤城分理处被他人取走。公安局立案侦查。
经公安机关调查,犯罪嫌疑人是使用“木马”程序入侵互联网的网络服务器,窃取了包括姚某在内的一些网上银行客户的身份证号码、银行账号及密码,利用这些信息伪造了受害者身份证及一张磁条已被损坏的龙卡储蓄卡,并持假的身份证和龙卡储蓄卡到建行连江县支行支取姚某的存款。
该案例中,犯罪嫌疑人正是利用木马病毒的窃密特性,盗窃了用户银行账号和密码。当然,这个案例也从侧面反映出了我国网上银行系统现存的漏洞。如果网上银行不能保障用户资料的保密性,那么必将对国内网上银行业务的发展造成严重影响。这需要引起相关部门人员的高度重视。
1.2.3 交易的完整性
一、交易完整性的基本内容
交易的完整性是指交易信息未经授权不能进行改变的特性,即交易数据在传输或存储过程中不被恶意或意外的删除、改变、伪造、乱序、重放、插入等损坏。
交易的保密性固然能够保证交易数据在传输过程中不被窃取,但是不能保证传输过程中可能发生某种意外或者非授权情况下的破坏,同时也难以保证数据传输的顺序统一。而完整性在一定程度上可以弥补这些缺陷。各种原因都有可能导致交易各方信息的差异,并影响到交易各方的决策。例如,在交易中的扣款过程,需要在双方的账号上进行操作,如果交易不完整,只在一方账号上进行了操作,那么产生的结果是难以预料的。因此,交易的完整性是电子商务应用的基础。完整性一般通过消息摘要、数字签名等技术实现。
二、典型风险——重放攻击
1.认识重放攻击
交易信息的完整性意在保证交易过程中的数据是正确、有效、新鲜的,新鲜的意思主要是指有效信息只需经过一次交易认证即可。但是,在我们的生活中常会发生这样的事情,我们会经常收到多次的交易认证信息,进而导致多次的划账转账操作,其实这就是重放攻击。重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
重放攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。从这个解释上理解,加密可以有效防止会话劫持,但是却防止不了重放攻击。重放攻击在任何网络通信过程中都可能发生。重放攻击是计算机世界黑客常用的攻击方式之一,它的书面定义对不了解密码学的人来说比较抽象。
2.重放攻击与cookie
攻击者通过监听http数据传输而截获的敏感数据,大多数存放在cookie中。其实在Web安全中通过其他方式(非网络监听)盗取cookie与提交cookie也是一种重放攻击。攻击者有时候可以复制别人的cookie直接获得相应的权限。
3.防范措施(1)时间戳。时间戳是系统中指示当前时刻的标记。一般而言,重放攻击所发送的信息包与有效发送的信息包具有不同的时间戳,如果系统时间窗过大,虽然能够允许更大的传输延迟,但是重放攻击得以实现的概率会大大增加。所以,将系统时间窗口调小,可以有效防止重放攻击的发生。(2)序号确认。通信双方可以实现商定信息序号识别标准,然后在传输的过程中通过协定的序号则可以有效防范重放攻击所发来的无效信息包。
案例:阿里巴巴与40大盗的故事
话说有一天,40大盗准备把一抢来的珠宝放进他们的宝库里去。
// 用户打算登录系统
他们来到宝库面前,准备打开石门
// 系统要求身份认证,弹出口令窗口
40大盗的首领对着石门喊道:“芝麻开门”
//用户输入口令“芝麻开门”
不巧这一幕被阿里巴巴看到
//有黑客截获用户的登录过程
40大盗将宝物放进宝库后,就离开了
//用户退出系统
等40大盗走远后,阿里巴巴来到石门前也大喊“芝麻开门”
//黑客对系统进行了重放攻击------------------------------------------------重点:重放攻击
石门打开了,阿里巴巴把宝物都搬回了家
//成功入侵系统
1.2.4 交易的不可否认性
一、交易不可否认性的基本内容
不可否认性也称不可抵赖性,主要指交易的双方不能否认彼此之间所进行的信息交流。
在传统的交易过程中,就算双方并不见面,例如邮购过程,双方对交易的行为是很难抵赖的,因为有足够的证据(如邮购中的单据、凭证等)来证明买方或者卖方的行为。而网络上的交易,由于采用的是电子化的信息,如果没有相关的手段进行保证,确实很难证明某笔订单是来自某个买家的,如常见的网络购物中的“送货上门、货到付款”。
电子商务中的抵赖行为有多种,具体如下。(1)发信者事后否认曾经发送过某条信息或内容。(2)收信者事后否认曾经收到某条信息或内容。(3)购买者下单后不承认。(4)商家卖出商品后不承认原有的交易等。
电子商务交易的不可否认性虽然不能像传统交易那样通过签订“白纸黑字”的合同、盖章来加以确认,但是可以采取类似的思路,通过使用数字签名来加以确认。通过数字签名,将具体用户信息与对应操作和交易信息进行绑定,使用户必须为他们的行为负责,这样也为法律提供了可信证据。
二、典型风险——交易抵赖
1.认识交易抵赖
交易抵赖主要指交易双方在交易过程中由于事先没有确认对方身份的合法有效性,从而导致在交易之后出现一方否认交易存在的现象。
2.交易抵赖的防范措施
在电子商务交易过程中,主要通过身份认证和数字签名来避免对交易行为的抵赖。一种方法是通过身份认证,身份认证就是在电子商务交易过程中由交易双方都信赖的权威第三方——CA来确认双方交易的合法身份,它主要是通过颁发相应的证书来实现。
另一种方法是通过数字签名,数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是需要使用公钥加密领域的技术实现,是一种用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。通过数字签名,一方面可以验证对方身份的合法性,另一方面也可以保证自身身份的合法性,使交易双方能够公平安心地进行交易。
案例:招商证券遭欺诈
2006年12月某日,招商证券在对自己内部的系统进行检测时,突然接到了某用户的投诉电话,称其并未在前几日进行交易,但账户却发生了异常变动。招商证券有关工作人员马上意识到问题的严重性,并立即派遣了专门的工作人员对该情况进行相应的调查和处理,经过一番调查之后,得到了该用户当日账户交易的具体情况和IP地址。查证之后,发现该IP地址正是该用户家庭IP地址。于是,招商证券立即与该用户取得了联系,在相当多的证据之下,该用户仍然矢口否认这几日的交易情况,并一口咬定是招商证券的网上交易平台存在漏洞,导致其这几日交易的巨大损失,要求招商证券一定要还他一个说法或者是给予相应的补偿,还威胁说如果不做出补偿就把招商证券存在的系统漏洞等问题拿到媒体上曝光等。由于IP地址确实属于该用户的家庭ADSL,但招商证券也无法证明当时操作交易的就是该用户本人或其家人,在万般无奈之下,只有对该用户的损失作出了一定的赔偿。
事实上该用户确实在那几日进行了交易,并且是亲自完成了交易,但由于缺乏投资的经验,买的股票一再下跌,但是他是计算机专业毕业的,因此,他就针对招商证券无法核实交易人真正身份的漏洞进行了诈骗。
通过该案例,我们看到,在电子交易过程中,交易身份的准确核实是至关重要的。如果缺失了这一环,那么,交易双方的抵赖行为就在所难免了。电子交易抵赖造成的损失不仅是具体交易额的损失,更重要的是反映了我国电子商务发展的短板。所以,建立网上交易诚信监管体制是电子商务发展过程中的一个重要命题。
1.2.5 其他安全需求
除了以上主要的安全需求之外,电子商务安全的需求还包括如下方面。
有效性:指交易信息、数据在约定的交易期限内是有效的。交易信息的有效性是整个交易进行的重要基础,它为保密性提供了基本条件。在传统的商业贸易中,我们通过各种合同条文及纸质单据来保证交易的有效性。但在网上交易的过程中,没有了纸质单据对有效性的长效证明,而交易的双方又处于不同的时空点,所以,交易的有效性往往成为制约交易进行的重要问题。比如,A 给B 发送了一份报文:“请在2009年12月汇款叁万元,A”,报文在传递过程中经过C 的手,C 将12月改为8月,这样,整个报文信息就失去了有效性。
可用性:是指当用户需要使用硬件、软件、数据等方面的资源时,这些服务是可用的。可用性一般用系统正常使用时间和整个工作时间之比来度量。影响资源可用性的原因主要硬件故障、软件缺陷、病毒及拒绝服务攻击等恶意行为引起的运行中断事件。所以,为确保资源的可用性,工作人员必须清楚资源不可用的原因,通过对中断事件的合理分析,最大限度地减小对运营的影响。
合法性:保证各方的业务符合可适用的法律法规。法律法规是对一切事物的标准规范,在法制社会里,只有符合法律法规的行为才能得到执行与落实,网上交易也是如此。与传统的交易方式相比,网上交易的合法性更加难以确保,一方面是由于网上交易本身具有的时空异质性,另一方面,关于网上交易的相关立法现在还不完善,尤其在我国,电子商务法律方面还处于起步阶段。因此,保障网上交易的合法性就成为发展电子商务的重要制度保障。只有建立健全电子商务法律法规体系,用户及商家在进行网上交易时才能明确什么是合法的、什么是非法的,才能在交易矛盾发生时有章可循。1.3 电子商务的安全交易标准
当涉及电子商务安全问题的标准时,一般会提到电子商务安全五协议,也就是安全套接层(SSL)协议、安全电子交易协议(SET)、安全超文本传输协议(S-HTTP)、安全交易技术(STT)协议和安全电子邮件管理(S-MIME)协议,简称“5S”。它们都是在电子商务活动中常用的电子商务系统安全交易标准。在实际工作中,充分深入地了解这些协议各自的主要用途是很重要的。
1.3.1 安全套接层协议
安全套接层(Secure Sockets Layer,SSL)协议是Netscpe公司推出的一个安全通信协议。SSL协议采用公开密钥技术,其目标是在服务器和客户机两端同时实现支持、保证两个应用之间通信的保密性和可靠性。目前,SSL协议已经成为Internet上保密通信的标准。现行的Web浏览器普遍将HTTP协议和SSL协议相结合,从而实现安全通信,如图1-18所示。图1-18 SSL协议栈
SSL协议是在Internet基础上提供的一种保证机密性的安全协议,它能使客户机/服务器应用之间的通信不被攻击者窃听,并始终对服务器进行认证,还可以选择对客户机进行认证。SSL协议要求建立在诸如TCP这样的可靠传输层协议之上。SSL协议的优势是它独立于应用层协议,高层的应用层协议(如HTTP、FTP、Telnet)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商,以及服务器认证工作,在此之后,应用层协议所传输的数据都会被加密,从而保证通信的私密性。
1.3.2 安全电子交易协议
安全电子交易(Secure Electronic Transaction,SET)协议是由Master Card 和Visa以及其他一些业界的主流厂商设计发布的一种基于信息流的协议。它主要用于保证在公共网络,特别是Internet上进行银行卡支付交易的安全性,能够有效地防止电子商务中的各种诈骗。它是目前已经标准化并且被业界所广泛接受的基于信用卡的支付机制。
SET主要通过使用各种密码技术对交易数据及支付信息进行加密,以确保信息的保密性,并使用数字证书来验证参与交易各方的身份,因而保护了进行交易的各方(包括持卡人、商家、银行)等的安全。并且SET协议还通过证书机制以及数字签名、双重数字签名等技术手段,不但可以为不可否认性提供重要证据,而且还保证了商家无法看到持卡人的相关信息、银行无法看到订单信息等功能,更好地保护了各方利益。1997年5月,SET规范1.0版正式发布,它是面向B2C模式的,针对使用信用卡(包括借记卡)来进行网络支付而制定的,涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整性等各个方面。
1.3.3 安全超文本传输协议
安全超文本传输(S-HTTP或SHTTP)协议是利用密钥对文本进行加密,通常只用于Web业务,保障Web站点之间进行交换信息传输的安全性。SHTTP是对HTTP扩充安全特性、增加了报文的安全性而产生的,它是基于SSL技术的。该协议向Internet的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
HTTP是一个客户端和服务器端请求和应答的标准(TCP)。客户端是终端用户,服务器端是网站。通过使用Web浏览器、网络爬虫或者其他的工具,客户端发起一个到服务器上指定端口(默认端口为80)的HTTP请求。我们称这个客户端为用户代理(User Agent)。应答的服务器上存储着一些资源,比如HTML 文件和图像。我们称这个应答服务器为源服务器(Origin Server)。在用户代理和源服务器之间可能存在多个中间层,比如代理,网关,或者隧道(tunnel)。事实上,HTTP可以在任何其他互联网协议上,或者在其他网络上实现。HTTP只假定其下层协议提供可靠的传输,任何能够提供这种保证的协议都可以被其使用。
浏览器通常利用HTTP协议与服务器通信,收发信息未被加密、安全敏感的事务,如电子商务或在线财务账户等信息,浏览器与服务器必须加密。https: URI scheme 与S-HTTP二者在20世纪90年代中期均已被定义来满足这一需求。不过占据浏览器市场的网景及微软公司支持https远胜S-HTTP,使得https成为安全万维网通信的事实标准。
试读结束[说明:试读内容隐藏了图片]