毕业论文
网上交易安全问题探讨
论文指导老师信息工程系
学生所在系部信息工程系专业名称网络技术
论文提交日期年月日论文答辩日期年月日
20 年月日
论文题目:网上交易安全问题探讨
专业:网络技术
学生:签名:
指导教师:签名:
摘要
网上交易利用现有的计算机硬件设备、软件和网上基础设施,通过一定的协议连接起来的电子网上环境进行各种各样商务活动的总称。狭义上讲,网上交易可定义为:在技术、经济高度发达的现代社会里,掌握信息技术和商务规则的人,系统化运用企业内联网、外联网及因特网等现代系统,进行高效率、低成本的商务活动。随着网上交易技术的发展,网上交易安全成为了网上交易发展的核心和关键问题,对网上隐私数据(网上隐私权)安全的有效保护,成为网上交易顺利发展的重要市场环境条件。因特网的迅速发展给社会生活带来了前所未有的便利,这主要是得益于因特网上的开放性和匿名性特征。然而,正是这些特征也决定了因特网不可避免地存在着信息安全隐患。介绍网上安全方面存在的问题及其解决方法,即网上通信中的数据保密技术和签名与认证技术,以及有关网上安全威胁的理论和解决方案。
【关键词】网上交易网上交易安全隐患信息安全信息安全技术
【论文类型】应用基础
Title:Discussion on the online transaction security problem
Major:Network technology
Name:ZhangGuoQiang Signature:
Supervisor:LiCuiHong Signature:
Abstract
online transactions using the existing computer hardware
equipment, software andInternet infrastructure, combination of all kinds of electronic commerce activities onlineenvironment through the agreement will connect the. In narrow sense, online transactions can
be defined as: in modern society, technology, economy is highly developed, information technology and business rules, systematic use
of Intranet, extranet and Internet and other modern system of high efficiency and low cost of business activity. With the development oftechnology of online transactions, become the core and key problems in the development of online trading the security of online
transactions, the online privacy data (privacy online) the effective protection of security, has become an important market conditions of the smooth development of online transactions. The rapid development of the Internet has broughtunprecedented convenience to social life, which was mainly due to the Internet's openness and anonymity feature. However, it is these characteristics also determine the Internet means the existence of information security risks. Introduction the Internet security
problems and its solution method, namely the online communication data
security technology and signature and authentication technology, and related security threats on the Internet and the theory ofsolution. [keyword]: online trade security risks of information security technology
[type of Thesis]applied fundamental
目录
第一章绪论 (7)
1.1计算机系统的安全隐患 (7)
1.1.1硬件系统 (7)
1.1.2软件系统 (7)
1.2网上交易的安全隐患 (8)
第二章网上交易安全风险 (9)
2.1网上盗窃的基本方式 (9)
2.2网上盗窃的特点 (9)
2.3网上支付现状 (10)
2.4网上支付存在的安全问题 (11)
第三章网上盗窃的防范措施 (13)
3.1基本防范措施 (13)
3.2支付密码的泄漏方式 (13)
3.3支付密码的保护手段 (13)
3.3.1网上盗窃攻击手段 (13)
3.3.2支付密码的保护 (14)
第四章网上交易安全的防范措施 (15)
4.1防火墙技术 (15)
4.2数据加密技术 (15)
4.2.1对称加密 (15)
4.2.2非对称加密 (15)
4.3SET与SSL安全性保障机制 (16)
第五章案例 (18)
5.1淘宝网案例分析 (18)
5.1.1背景介绍 (18)
5.1.2交易流程 (18)
5.2支付安全 (19)
5.3淘宝网的网络安全 (22)
5.4网上银行风险类型分析 (23)
5.5网上银行的风险管理 (24)
总结 (28)
致谢 (29)
参考文献 (30)
第一章绪论
1.1计算机系统的安全隐患
1.1.1硬件系统
计算机是现代电子科技发展的结晶,是一个极其精密的系统,它的每一个零件都是由成千上万个电子元件构成的。这一方面使计算机的功能变得十分强大,另一方面又使它极易受到损坏。
现在人们把计算机系统的漏洞或错误称为“Bug(臭虫)”,你知道为什么吗?有这样一种解释:计算机发展的初期,庞大的计算机在运行一个任务时往往发生错误而停止工作。于是操作人员查遍了它的每一部分电路,最终才发现原来只是一只臭虫死在某块电路板上,导致了短路,所以后来人们开始用“Bug”比喻系统错误。由此也可以看出计算机的硬件系统是如何的脆弱。
当然,现代的计算机硬件已经“健壮”了许多,但它毕竟属于精密仪器,震荡、静电、潮湿、过热等都会使其受到严重的损伤。而且,由于现代的计算机硬件体积很小,很容易被人偷窃。想一想,如果你用来存放更重要数据的硬盘被人偷走,并采取措施加以保护。具体的方法我们后面还讲详细讨论。
1.1.2软件系统
软件是用户与计算机硬件联系的桥梁。我们正是通过它来管理CPU等硬件,让他们执行命令的。任何一个软件都有自身的弱点,而大多数安全问题都是围绕着系统的软件部分发生,即包括系统软件也包括应用软件。
这里有两个有趣的例子:
最近发现,Microsoft的Windows 2008中的加密机制可以被有效地关闭。其工作方式是:由于法国不允许普通公众对具有高度保密信息的站点进行访问,因此如果Windows 把用户的工作地点解释为法国,那么,2008强大的加密机制就被禁止了,所以2008也不安全。
2006年1月,加州大学伯克利分校计算机系的两个学生公开了Netscape加密方案中的一个严重缺陷。文章的题目是“随机性和Netscape”浏览器,作者是Goldberg和David。在文章中,他们解释了Netscape 中的称为安全套接层(SSL)的加密协议实现方式中有一个内在的缺陷。这个缺陷使得当安全通信在WWW 上被截取时可能被破译。这是一个绝好的基本缺陷的例子。
可见,软件系统的漏洞可谓多种多样、防不胜防。遗憾的是,到目前为止,人们还没有找到能够彻底查出或纠正软件所有漏洞的方法。所以,从安全的角度考虑,我们必须熟悉各种软件的特点,正确选择并配置、使用自己的平台。关于这方面的内容我们会在后面详细探讨。
1.2网上交易的安全隐患
网上交易的安全问题不仅包括了计算机系统的隐患,还包括了一些自身独有的问题。
数据的安全。一个网上交易必然要存储大量的商务数据,这是其运转的核心。一旦发生数据丢失或损坏,后果不堪设想。尤其这些数据大部分是商业秘密,一旦泄露,将造成不可挽回的损失。
交易的安全。这也是网上交易独有的。在我们日常生活中,进行一次交易必须办理一定的手续,由双方签发各种收据凭证,并签名盖子以作为法律凭据。但在网上交易中,交易在网上进行,双方甚至不会见面,那么一旦一方反悔,另一方怎样能够向法院证明合同,这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全,避免恶意欺诈。
第二章网上交易安全风险
中国现在已迈进互联网时代,众多的网民以网上为平台,构成了一个互联网社会,在这个社会里,网民们以虚拟身份出现,通过网上代码方式进行各项活动,这种以代码为基础的交流方式给了不法分子以可乘之机,出现了网上盗窃为主的新型违法犯罪活动。
首先,对于社会中出现的许多新型的违法犯罪活动,我们应该有以下的正确认识和态度及其采取必要的防护措施。
2.1网上盗窃的基本方式
1.利用职务之便获得网上用户的个人信息。
2.利用网上上常见的盗取他人电脑内资料的病毒。比如木马病毒、蠕虫病毒等,通过邮件、不明网页链接等方式,置入他人电脑,读取他人电脑内存储的个人资料后实施盗窃。
3.作案者通过种种方法。如邮件、QQ下载免费软件和图片等,诱使你点击某链接,从而将键盘记录程序置入你的电脑中,记取在线银行的登录名称和密码,拿到电脑中记取的这些信息后实施盗窃。
4.还有一些网上盗窃公司在网上上发布招募广告,这些机构希望能将恶意代码链接到一些热门点击上,恶意代码每被下载一定的次数,粘贴恶意代码的人就可获得一笔费用。
2.2网上盗窃的特点
1.网上盗窃行为已非常专业化和集团化。盗窃者通过在网站上设置病毒等方式,由专职人员盗窃各种有实际价值的网上虚拟物品,然后转手出售给专业化的销售集团,由专业销售人员在第三方交易平台上销售,以获取非法收益。
2.网上盗窃行为具有强大的技术支撑。由专业人员制造用于盗窃的病毒软件的作案工具,这些软件在盗窃中发挥着不可替代的作用,使得盗窃者能在一天内盗窃庞大数量的网上账号,并转移账号中的虚拟物品或虚拟点币。这些软件的提供者有时尽管自身并不参与盗窃号码,但是与盗窃者保持密切的关系。
3.网上盗窃行为具有专业销售平台。在盗号行为中,销售团伙将他们所盗窃的虚拟财产打包销售,转移给买家获利。由第三方交易支付平台为盗窃者提供良好的交易场所,为销赃提供温床。
4.现实物品与虚拟物品相互转化。盗窃者为获取更大的经济利益,由原来的盗窃虚拟物品,转变为利用编造的专用软件直接盗取用户的银行账号和密码,通过网上支付系统购买虚拟物品,然后将虚拟物品以低廉价格出售,从而获得利益。
5.电子商务作为一种新型网上在线贸易方式,使企业与消费者摆脱了传统的商业中介的束缚,但是其安全问题依然是阻碍电子商务发展速度的一个重要问题。首先,信息泄露。攻击者可能通过截收装置,
截获机密信息,推断出有用信息,如消费的银行帐号、密码等.交易双方的内容被第三方窃取,交易一方提供给另一方的文件被第三方使用。其次,信息破坏。交易信息在网络上进行传输的过程中,被他人非法修改、删除或伪造,使信息失去了真实性和完整性。再次,身份的识别。如果不进行身份的识别,第三方就有可能假冒交易一方的身份介入交易过程,以破坏交易、破坏一方的信誉或盗取交易成果等。
2.3网上支付现状
网上支付采用先进的技术通过数字流转来完成信息传输,其各种支付方式都是采用数字化的方式进行的,工作环境基于开放的因特网,使用的是最先进的通信手段,具有方便、快捷、高效、经济的优势。
目前我国网上支付发展迅猛,从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元,同比增速超过了170%。环比增速超过了20%。
目前的网上支付工具主要有:
1.银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式,付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。
它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;
二是能够受理银行卡的商店全世界范围内相当多,用户不受地域的限制。
2.电子现金:是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数,来表示现实中各种金额的币值。但目前我国使用的不多。
它的特点一是具有现实现金特点,可以存、取、转让,适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名,商家接受到电子现金后将其传输给电子现金银行,由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。
3.电子支票:是以一种纸质支票的电子替代品而存在的,用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足,在我国尚是空白。
其特点一是与传统支票的操作有很多相似之处,易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。
4.第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行签约的方式,提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:
一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面,统一的手续费用标准,结算较为便利。但此模式下,消费者并不是其客户,网站商家和银行才是它的客户,消费者最终还是要使用各网上银行进行付款。
二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,买家收到货物之后再通知支付宝,支付宝这时才把钱转到卖家的账户上。在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了资金的安全转让,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上增加了网民对网上购物的可信度,大大减少了网络交易欺诈。
2.4网上支付存在的安全问题
要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。
网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:
1.身份真实性。也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
2.信息的完整性。网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
3.不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
4.数据保密性。有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。
第三章网上盗窃的防范措施
3.1基本防范措施
1.倡导以德治网。网上交往的虚拟性,淡化了人们的道德观念,削弱了人们的道德意识,导致人格的虚伪。要大力加强网上伦理道德教育,提倡网上文明,培养人们明辨是非的能力,使其形成正确的道德观。
2.充分运用防火墙技术。该软件利用一组用户定义的规则来判断数据包的合法性,从而决定接受、丢弃或拒绝,可以通过报告、监控、报警和登录到网上逻辑链路等方式,把对网上和主机的冲突减少到最低限度。
3.使用正版软件、下载正版程序。在机器安装正版程序,不使用盗版软件,在网上中下载使用正版合法的软件和程序,有效防止病毒和木马入侵。
4.增强防范意识。勿因好奇心点击、登录来路不明的网址,当收到广告信、电子邮件、插件等陌生信息时,不要被其文字吸引,而点选信中所提供的网址和文件。
3.2支付密码的泄漏方式
其次,我们应该对网上支付有比较全面的多认识和采取相应的防范措施。在事物的不同发展阶段,风险点发生变化,社会对此的关注点可能发生变化。对于网上支付,当前的主流方式是通过银行卡(包括信用卡、借记卡和支付卡等)这种支付工具,通过浏览器输入必要的支付认证信息,经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于:
1.支付密码泄漏。一旦攻击者通过某种方式得到支付密码,可以轻易地冒充持卡人通过互联网进行消费,给持卡人带来损失。
2.支付数据被篡改。在缺乏必要的安全防范措施情况下,攻击者可以通过修改互联网传输中的支付数据。
3.否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作,若付款人否认发出资金划出指令,商业银行将处于被动局面;对于资金划入操作,若商业银行否认资金划入操作,收款人将处于不利境地。
3.3支付密码的保护手段
3.3.1网上盗窃攻击手段
降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者常常使用以下几种方法来获得我们的支付密码:
1.骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信(邮件)。这
些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗,乖乖地向其泄漏自己地银行卡支付密码。
2.支付终端截取。攻击者可以在持卡人电脑上发布恶意软件(如木马软件)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷地发送出去。
3.网上截获。攻击者在支付终端和其它网上设备等节点通过智能识别和密钥破解手段得到支付密码。
4.暴力攻击。通常支付密码是由数字和字母组成的一段字串。由于人类记忆能力的限制,该字串不会太长。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机,攻击者可以采用密码词典方式逐个试探。
5.其它途径获取。如攻击者趁持卡人不注意,在银行柜台、ATM或POS终端记下持卡人的支付密码。
3.3.2支付密码的保护
支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出,我们首先要具有安全意识和基本防范技能。持卡人应注意:
1.识别假冒网站。持卡人需要确认支付页面网站域名的真伪。
2.虚假短信(邮件)相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。
其次,我们也应该注意密保的问题。密码保护需要持卡人注意不要设置简单的密码,此外,还注意支付终端的安全性,如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时,还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等。
第四章网上交易安全的防范措施
4.1防火墙技术
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。所有来自Internet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。实现防火墙技术的主要途径有:分组过滤和代理服务。分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单,即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据访问表(或黑名单)对进出路由器的分组进行检查和过滤。这种防火墙简单易行,但不能完全有效地防范非法攻击。
目前,80%的防火墙都是采用这种技术。代理服务:是一种基于代理服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。所谓审计跟踪是对网络系统资源的使用情况提供一个完备的记录,以便对网络进行完全监督和控制。通过不断收集与积累有关出入网络的完全事件记录,并有选择地对其中的一些进行审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。防火墙虽然能对外部网络的功击实施有效的防护,但对网络内部信息传输的安全却无能为力,实现电子商务的安全还需要一些保障动态安全的技术。
4.2数据加密技术
在电子商务中,数据加密技术是其他安全技术的基础,也是最主要的安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
4.2.1对称加密
对称加密又称为私钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。比较著名的对称加密算法是:美国国家标准局提出的DES(DataEncryptionStandard,数据加密标准)。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
4.2.2非对称加密
非对称加密又称为公钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,通信双方各具有两
把密钥,即一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密。同样地,用私钥加密的数据只能用对应的公钥解密。RSA(即Rivest,ShamirAdleman)算法是非对称加密领域内最为著名的算法。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开,得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把私有密钥对加密后的信息进行解密。贸易方甲只能用其私有密钥解密由其公开密钥加密后的任何信息。为了充分发挥对称和非对称加密体制各自的优点,在实际应用中通常将这两种加密体制结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。
4.3 SET与SSL安全性保障机制
SET协议描述了持卡客户、商家、支付网关、收单银行、发卡银行和认证机构(CA)等6方面实体交易支付框架,它是一个复杂的又较为安全的网上交易安全协议。然而,SET协议对应用层不透明,在实施过程中,需要在客户端安装相应的客户端软件,同时必须在银行设立支付网关,而且商家对应的服务器上必须安装对应的服务器软件。另外。每个交易方都必须有交易证书,交易过程也比较复杂,处理时间很慢,很多商家服务器在有较多客户时,由于加密解密处理时间长,服务器常不能及时响应客户的请求。目前支持SET协议的产品较少,而且SET成本相对较高。因而,实际采用SET进行网络交易的相对较少,而采用SSL协议进行网络交易的在目前仍然占大部分。为此,以下主要探讨SSL协议,
SSL协议[2]是在基于面向连接TCP层上实现的安全通信协议,工作在会话层。SSL由两部分组成,一层是SSL记录层,提供数据机密性、可靠性、重放保护服务,在其之上还有SSL 握手协议层,主要为了初始化和同步通信双方密钥状态。图4.3表示的是SSL各层之间的结构。
图4.3 SSL各层之间的结构
SSL握手协议包括两个阶段。第一阶段是协商并建立一个保密的通道,第二阶段主要是对客户端进行身份验证,第二阶段是可选的。
SSL记录层协议由两部分组成:记录头和非零长度的数据。当SSL记录层接收到上层的数据时,首先对其初步加工,把比较长的数据进行分片或组合;接着对这个新的数据单元进
行数据压缩处理,并对此数据生成验证码MAC,然后使用握手协议协商好对称密钥进行加密,把加密数据发送给TCP。
SSL数据机密性保障是通过混合密码体制来实现的,SSL记录层采用对称加密算法加密数据,使用此类算法是因为对称加密算法比非对称加密算法处理速度相对要快,但是对称加密算法使用是同一个密钥,所以还需通过SSL握手协议层协商得到这个随机的对称密钥,而协商过程的安全保护则采用非对称密码体制完成。
SSL还利用MD5或SHA-1生成MAC以保证消息的完整性,使用数字证书验证服务器以及客户端的身份。
第五章案例
5.1淘宝网案例分析
5.1.1背景介绍
淘宝网是国内领先的个人交易网上平台,由阿里巴巴投资4.5亿创办,致力于成为全球最大的个人交易网站。自2003年5月10日成立以来,从零做起,短短半年时间内就迅速占领了国内个人交易市场的领先地位,创造了互联网企业的一个发展奇迹。截止2009年上半年,淘宝网注册会员1.45亿人,覆盖了中国绝大部分网购人群;2008年,淘宝网年交易额达到999.6亿元,与2007年的433亿元比较,增长了131%,约占全国社会消费品零售总额的1%。
淘宝网的创立为国内互联网用户提供了更好的个人交易场所,淘宝网凭借其迅速发展以及其在个人交易领域的独特文化,荣获了财经时报与搜狐公司2003年评选的国内十大最佳投资的荣誉。淘宝网倡导诚信、活泼、高效的网络交易文化,在为淘宝会员打造更安全高效的商品交易平台的同时,也全心营造和倡导了互帮互助,轻松愉快的家庭式文化氛围,让每一位在淘宝网进行交易的人交易更迅速高效,并在交易的同时交到更多朋友,成为越来越多网民网上创业和以商会友的最先选择。
5.1.2交易流程
1.淘宝网采用会员制,只对注册会员提供交易服务,会员可利用淘宝提供的第三方支付工具——“支付宝”来完成交易,提高交易双方网上交易的信用度。会员可使用即时交易沟通工具“淘宝旺旺”等进行交流,目的是让交易双方更加方便快捷的进行网上交易。淘宝还提供留言管理、站内信件、淘宝社区等非实时的会员交流、协商方式。淘宝社区作为一个反馈论坛,有专人管理,促进了淘宝自律机制的动态发展。
2.用户通过虚拟的会员名、E-mail进行注册,在填写信息、激活账号后完成注册。为防止程序恶意注册,设置了校验码程序,激活程序有两种方法:E-mail和手机(一个手机只能激活一个用户账号)。用激活的用户账号就可以登录淘宝网首页选择要购买的商品,也可以发布求购信息,等卖家来联系你。
对于卖家则需要通过实名认证,并发布10件商品才可以在淘宝网上开店,淘宝网为卖家提供电子店铺主页、橱窗位等供商品展示。卖家发布商品,可根据其需要用“一口价”、“拍卖”两种方式进行发布,到期没有卖出的商品可以到虚拟仓库中重新上架发布,时间重新计算。用户还可以参加淘宝组织的各类产品德促销、广告活动。
3.登录淘宝网,在我的淘宝点击“实名认证”进入认证申请页面,会出现“个人认证”和“商家认证”两种方式,填写所需资料并提供在有效期内证件(有效期3个月内的证件不予受理)和固定电话。未满18
周岁不可以成为淘宝的认证人员。通过认证的会员不允许修改真实姓名和身份证号码。
个人认证可用证件:身份证、护照、驾照、军官证、户籍证明(户籍证明必须原件邮寄);澳门会员需提供回乡证;台湾会员需出具台胞证及大陆担保人身份证明,同时须提供大陆担保人的联系电话;非中华人民共和国证件的人员,必须有国内的担保人同时上传身份证明和联系电话。
商家认证是指具有法人资格的商家所进行的认证,不包括无字号的商店。商家认证需提供:有效身份证件、公司营业执照、授权委托书。必须保证在淘宝上出售的商品与营业执照中经营范围相一致,否则淘宝有权追究责任。如果用支付宝时无法提供公司账号的,建议申请个人认证,否则将会导致支付宝无法汇款到账。
淘宝网与全国公安部门下属身份证查询中心合作,将认证资料交由国家有关部门进行核对认证,并进行固定电话审核。验证需三个工作日,并以站内信件、电子邮件或电话通知结果。一旦淘宝发现用户注册资料中主要内容是虚假的,淘宝可以随时终止与该用户的服务协议。
4.买家通过在淘宝网站浏览找到自己喜欢的商品,可以点击“立刻购买”,输入购买的数量、选择收货地址和运送方式后确认无误后点击“确认无误,购买”,然后在核对完拍下的宝贝信息后选择付款方式,完成购买。还可以选用“购物车”程序进行购买,方便用户购买数量多付款时带来的不便。
在买家付款前,双方可以通过淘宝旺旺、E-mail等各种实时或非实时聊天工具进行协商。卖家还可以进入支付宝交易管理中,重新调整物流的承运商和调整给买家的折扣。找到需要修改价格的商品,点击“修改交易价格”可选择修改物流承运商和调整给买家的折扣。一旦修改成功,系统将发送一封包含本次交易的修改内容的邮件给买家确认。
买家购买商品以后,卖家可以在已卖出的商品中看到交易状态为“等待买家付款”。当买家付款到支付宝后,系统会通知卖家发货。卖家可以自己找物流承运商发货,核对交易信息无误后输入承运公司名称和承运单号码,点击“确认发货”。卖家可以选择支付宝推荐的物流承运商发货,核对交易信息无误后输入物流来上门取货的时间及取货地址,点击“通知物流公司上门取货”,系统会根据物流公司的反馈自动确认已发货,卖家可以在“交易管理”中查询本次交易,填入承运单号码,点击“确认发货”。完成发货后系统会发送一封包含发货相关物流信息的邮件给买家,买家确认收到货物后,交易状态会显示为“交易成功”,支付宝会将钱打入卖家的“支付宝账户”。如果交易双方相当信任,可以发起“即时到帐交易”,在买家完成付款后直接到达卖家的“支付宝账户”中,此交易部受“支付宝交易”保护,交易风险自己承担。
5.2支付安全
随着电子商务的不断发展,网络诈骗使得很多人不敢尝试网上购物,而淘宝网的安全支付系统“支付
宝”在这一方面的努力得到了用户的认可。买家在网站上门购买了商品并付款,这笔钱首先到了支付宝,当买家收到商品并感到满意时,再通过网络授权支付宝付款给卖家,支付宝从中收取少量的费用,这尽可能降低了C2C交易的风险,因而赢得了用户的青睐。实际是,为了保障交易安全淘宝网设立了多重安全防线:全国首推卖家开店先通过公安部门验证身份证信息,并有手机和信用卡认证;每个卖家有信用评价体系,如果卖家有欺诈行为信用就会很低。除此之外,阿里巴巴宣布支付宝推出了“全额赔付”制度,对于使用支付宝而受骗遭受损失的用户,支付宝将全部赔偿其损失。主动全额赔付以保障用户利益这一制度不仅显示了阿里巴巴解决电子商务支付问题的决心,也表示了对支付宝产品的绝对信心,成为众多用户坚实的保障。
(1)支付宝简介
2003年10月,淘宝抓住支付风险这个人人回避的市场空白,试探性的发布了“支付宝”服务——买家将货款打入淘宝提供的第三方账户,确认收到货物之后再将货款支付给卖家。这大大降低了卖家的风险,由此淘宝的会员注册和成家率节节攀升。支付宝运作的实质是以支付宝为信用中介,在买家确认收到商品前由支付宝替买卖双方暂时保管货款的一种增值服务。
淘宝网与工商银行、建设银行、农业银行和招商银行联手,并和VISA战略联盟,任何一张有VISA标志的银行卡都支持支付宝。支付宝为淘宝用户提供了一个操作平台,实际支付通过合作银行完成,类似电子钱包保管和支付,但不付利息。用户在支付宝支付时选择任一银行卡支付通道后立即进入银行网关,银行卡资料全部在银河网关加密页面上填写,无论是支付平台还是网站都无法看到或者是了解到任何银行卡资料。用户输入银行卡资料后,提交过程全部采用国际通用的SSL(加密套接协议层)或SET(安全电子交易)及数字证书进行加密传输,安全性由银行全面提供支持和保护,各银行网上支付系统安全可以确保网上支付的安全。
目前淘宝支付宝支持的银行有:中国招商银行、中国工商银行、中国建设银行、中国农业银行、兴业银行、广东发展银行、上海浦东发展银行、国际卡支付,对于农村广泛使用的邮政储蓄和信用合作社尚未提供支持。
但支付宝也并非没有缺点,例如,很多人抱怨支付宝太偏向买方,而卖方的利益得不到最大的保护。验货和确认成了本处于弱势的买家制衡卖家的关键环节,然而这一环节却成为了某些买家欺骗卖家的手段——收到货却故意不确认,这不光光是支付宝的隐患,也是整个支付系统甚至是电子商务遇到的难题。
(2)支付宝的安全措施
支付宝网站采用了128位SSL加密技术(参照国内银行网站的普遍做法),确保用户在支付宝页面上输入的任何信息都可以安全传送到支付宝,而不用担心有人会通过网络窃取用户的敏感信息。为了提升支付宝账号的安全性,支付宝公司推出支付宝安全控件,在SSL加密传输基础上对用户的关键信息再次进行复