电子商务课件(武大).ppt-道客多多

资源描述

1、1、了解电子商务的概念 2、掌握电子商务的技术 3、能规划电子商务的网站 4、一种电子商务解决方案,电子商务概论要求,第一章电子商务概述,本章目的商品交易模式传统商务与电子商务的区别,一、商品交易的发展原始社会：不存在商品交易生产力的发展，出现剩余商品，物物交换交易范围的扩大，出现货币社会化大生产及分工的日趋专业化，出现了“中介人” 二、商品交易的三个阶段交易前：买卖双方和参与交易的各方在签约之前所进行的活动买方：获取信息卖方：发布信息,第一节商品交易模式：,商品交易模式,交易中：双方就交易细节进行谈判，最后签订贸易合同。合同洽谈单证传递合同签订交易

2、后：双方办完各种手续后，到买方得到商品、卖方得到货币的过程。物流配送资金转移售后服务支持,商品交易模式,三、商品交易的四个流信息流：交易双方在交易过程中所涉及到的各种信息，既包括商品信息的提供、促销行销、技术支持、售后服务等内容，也包括诸如询价单、报价单、付款通知单、转帐通知单等商业贸易单证，还包括交易双方的支付能力、支付信誉等。商流：商品在购、销之间进行交易和商品所有权转移的运动过程。物流：物质实体（商品或服务）的转移过程。资金流：资金的转移过程。,第二节传统商务模式与电子商务模式的区别,一、交易过程的区别交易前：传统商务：买方获取信息：新闻媒介、向卖方索取产品材料；卖方

3、发布信息：广告宣传、印制宣传单与产品说明书、产品清单。电子商务：网站交易中：传统商务：面对面、信件与电话、纸质合同电子商务：e-mail、视频会议系统、电子合同。,传统商务模式与电子商务模式的区别,交易后：物流资金转移售后服务二、电子商务所具有的特点：交易虚拟化交易成本低,传统商务模式与电子商务模式的区别,通信与人工成本低中介的减少广告费用降低文件处理与纸张费用无库存方式提高效率、降低管理成本办公环境的成本交易效率高（速度）交易透明化,第二章电子商务概念,本章目的电子商务的基本概念 Internet 商务活动的主要方式电子商务的类别电子商务产生和发展的条

4、件电子商务的应用领域和发展现状,第一节电子商务概念,一、电子商务的定义电子商务是信息流、资金流和物流（商流）的完美结合。电子商务是指对整个贸易活动实现电子化。电子商务是通过电子方式的商务活动。电子商务是各参与方之间以电子方式而不是以物理交换或直接物理接触方式完成任何形式的业务交易。,电子商务概念,电子商务是在Internet网络上进行的重要事务，不仅仅是商业交易。电子商务是指在从售前服务到售后支持的各个环节实现电子化、自动化。电子商务是利用 Internet网络进行的商务交易。电子商务是一种支持商务交易和涉及价值交换的商业事件的处理过程。电子商务是EDI(Electronic

5、 Date Interchange)在Internet上的推广使用。,电子商务是一个以Internet/Intranet网络为构架，以交易双方为主体，以银行支付和结算为手段，以客户数据库为依托的全新商业模式。 E-business=Web+IT+business 流行的说法：电子商务分广义和狭义，狭义的电子商务即指电子贸易(e-commerce)，主要是指利用Web提供的通信手段在网上进行的交易，而广义的电子商务(e-business）包括电子贸易在内的利用Web进行的全部商业活动，如市场分析、客户联系、物资调配等。,电子商务概念,电子商务概念,二、概念的相同点主要表现在：都采用（或源于）同一

6、个术语电子商务；都强调电子工具，强调在现代信息社会，利用多种多样的电子信息工具；工具作用的基本对象都为商业活动。三、概念的不同点主要有：技术的涵盖面不同（均包括运用Internet技术）商务的涵盖面不同（其中均包括交易）,电子商务概念,四、表示方法：Microsoft: e-commerceIBM : e-businessHP : e-service,一、概念的起源： 1839年，电报出现，人们就开始对运用电子手段进行商务的讨论 1969年EDI的出现 1991年万维网在Internet上出现是电子商务规模发展的标志 1997年IBM公司推出电子商务全球概念 1999年“政府上网年” 20

7、00年“企业上网年” 2001年“小企业上网年”,第二节电子商务起源EDI：,20世纪60年代末，EDI产生于美国 1987年，联合国规定有关行政、商业及交通运输的电子交换标准UN/EDIFACT 90年代INTERNET的发展对EDI产生促进作用 EDI定义：EDI是用户的计算机系统之间的对结构化、标准化的商业信息进行自动传输和自动处理的过程。 EDI不仅是一种用电子单据取代人工单据的方法、用电子传输取代传统传输的方式，更是一种用电子数据输入取代传统人工数据输入的方法。,电子商务起源EDI：,电子商务起源EDI：,EDI目的：不仅是消除纸张，更主要的是消除处理的延误及数据的重复输入，减少数

8、据出错的概率。 EDI的益处降低业务处理差错缩短业务运转周期降低贸易成本改善客户服务质量,电子商务起源EDI：,EDI的益处降低库存成本加速资金流动提高企业的竞争能力,电子商务起源EDI：,EDI的处理过程用户在现有的计算机应用系统上进行信息的编辑处理，然后通过EDI转换软件(Mapper)将原始的单据格式转换为平面文件(Flat file)，平面文件是用户原始资料格式与EDI标准格式之间的对照性文件，它符合翻译软件的输入格式，通过翻译软件（Translator）变成EDI标准格式文件，然后在文件外层加上通信信封（Interchange），通过通信软件发送到增殖服务网络或直接传

9、送给对方用户，对方用户则进行相反的处理过程，最后成为用户系统应用能够接受的文件格式进行收阅处理。,电子商务起源EDI：,EDI的成本硬件成本软件成本人工成本通信成本 EDI教育培训成本 EDI组织会员成本顾问成本,电子商务起源EDI：,EDI的效益提高客户满意程度提高产品竞争力降低停工待料风险降低纸张使用成本提高工作效率节省库存费用减少错误资料处理节省人员费用,电子商务起源EDI：,EDI的首期投入很大 INTERNET的发展 1969年，DOD改善美国政府和国防研究机构之间的通信联系，DAPRAAPRAnet 1975，研究TCP/IP 1983年，NSFnet 1

10、992年，商业数据传输与浏览器的产生 1993年，NII 1995年，GII及NSFnet拆除,基于Internet的电子商务,优势费用低廉覆盖面广功能更全面使用更灵活,电子商务在中国发展的现状与问题,电子商务在中国发展的历史中国Internet的发展经历了三个阶段：第一阶段（1989-1994初）以E-mail为主要应用的国际互联网间接连接；第二阶段（1992-1994.4）与国际互联网的全功能直接连接，即国际Internet开通；第三阶段（1994.4-现在）-中国Interent建设的全面铺开。,电子商务在中国发展的现状与问题,网络基础设施资金网上结算问题商品交互问题

11、安全问题税收问题企业的信息意识、经营意识、管理水平电子商务法律问题政府的角色定位问题,电子商务产生和发展的条件,计算机的广泛应用网络的普及和成熟信用卡的普及应用安全电子交易协议的制定政府的支持和推动,企业电子商务成功的条件,整个企业社区的局域网络的建设广域网建设实现Internet和Intranet的改造和升级商业电子化和金融电子化所需基础设备的完善实现电子货币的流通第三方物流与物流配送系统,第三节电子商务的类别,商业活动的运作方式：完全电子商务和非完全电子商务。开展电子交易的范围：本地电子商务、远程国内电子商务和全球电子商务。电子商务交易对象的不同：B to

12、 B、B to C、B to C、C to C等。企业处理方案的复杂程度：网上黄页、简单的电子商务解决方案、完整的电子商务解决方案。电子商务活动的性质：电子事务处理和电子贸易处理,企业-企业,传统商务过程：需求调查材料采购生产商品销售收款货币结算商品交割电子商务过程：电子查询进行需求调查电子单证调查原材料信息确定采购方案生产电子广告促销电子货币接收电子银行货币结算商品交割,企业-企业,电子商务带来的好处：即时、准确地获取消费信息准确定货、减少库存网络促销提高效率、降低成本，获取更大利益,网上购物过程：通过INTERNET查询自己要的物品输入定货单通过电子商务服务

13、器与有关商店联系并应答：所购货物的单价、应付款数、交货等信息客户确认，电子钱包付钱加密送到相应的银行，同时销售商收到购货单，并对客户编码转送到服务器，经确认后送到信用卡公司和银行经商业银行证明有效，销售商便可送货,企业-消费者,消费者购物模型,电子支付,消费者的开户银行,商场的开户银行,消费者,商场,企业-消费者,电子商务成功案例：全球最大虚拟书店：顾客可以自己管理和跟踪的快递公司：预定外买食品：,企业-政府,相关的活动：政府采购、税收、商检、管理条例发布角色：电子商务的使用者电子商务的宏观管理者作用：引导作用,第三节电子商务在社会经济中的地位,电子商务形成了商务劳动新的生产力电

14、子商务是国民经济的发动机电子商务是经济调控的重要工具,电子商务对社会经济的影响,改变传统商务活动的方式改变人们的消费方式改变企业的生产方式对传统行业带来一场革命带来一个全新的金融业转变政府的行为影响国民经济信息化呼唤新的商务政策和法规加快社会信息化的进程,电子商务所引起的经济变革,电子商务下的消费者购物方式生活方式就业,电子商务下的企业,虚拟企业横向革命内部市场网络管理企业群体,电子商务下的产业,电子商务将支持的产业书籍、CD、VCD等以文字、图形、多媒体表现的产品在网上销售的量会增加。大宗产品、质量稳定、有明确质量标准并易于检测的商品通过网上销售的量会增加

15、。以前通过邮寄目录、电话、电视销售的商品很容易发展为网上销售。,电子商务下的市场,虚拟市场的形成中小企业的发展成本结构变化竞争领域扩大进入壁垒提高市场行为的规范,电子商务下的政府与宏观调控,新型政企关系的建立电子商务的发展十分有利于宏观调控的目标实现增长、稳定、高就业、低通胀。电子商务的发展，使得经济在信息产业的带动下得以高速增长；产消见面有助于供求关系的稳定；中小企业的发展增加了就业，此外，电子商务的发展对降低通胀也具有经济意义。,第四节电子商务的功能,广告宣传咨询洽谈网上订购网上支付电子帐户服务传递意见征询交易管理,电子商务的特性,普遍性方便性整体性安

16、全性协调性,第五节电子商务的系统构成,电子商务框架结构三层框架形式：网络平台、电子商务基础平台、应用平台网络平台：Intranet/Internet、Internet、商业增值网络基础平台：CA认证中心、支付网关、客户服务中心应用系统：WWW、电子邮件、股票交易等子系统：MIS、信用卡服务系统、DBS、EDI、商业翻译系统、商务认证和服务系统等。,电子商务网络,消费者(持卡人) 商家开户银行收单银行,认证中心支付网关 Internet 金融专网金卡网络,电子商务网络,第三章电子商务安全技术,概述防火墙技术加密技术认证技术病毒的防护安全协议,第一节概述,一、电

17、子商务安全现状黑客的不断增多、合法的黑客组织公开出版黑客杂志、召开黑客技术交流会等对美国国防部的攻击行动成功率为65.96% 1999.4.26，CIH病毒的爆发 163IT被攻击 2000.2.72000.2.9，美国黑客事件 yahoo，buy，ebay、CNN、Amazon，ZDNet 1999.3.311999.5.5，电子商务安全网上调查,概述,电子攻击可以分为三个层次低层威胁：局部的威胁，包括消遣性黑客、破坏公共财物等中层威胁：有组织的威胁，包括一些有组织的威胁、有组织的犯罪、工业间谍等高层威胁：国家规模上的威胁，包括对外国的政府、恐怖主义组织发起的全面信息战可植入计

18、算机系统的黑客程序,概述,二、电子商务面临的安全威胁卖方（销售者）：系统中心安全性被破坏竞争者的威胁商业机密的安全假冒的威胁信用的威胁,概述,买方（消费者）：虚假订单付款后不能收到商品机密性丧失拒绝服务攻击手段中断：攻击系统的可用性窃听：攻击系统的机密性篡改：攻击系统的完整性伪造：攻击系统的真实性,概述,三、电子商务的安全要素有效性机密性完整性可靠性/不可抵赖性/鉴别审查能力,概述,四、电子商务安全问题产生的原因开发者留下的隐患网络设备和软件本身的问题管理的漏洞,第二节防火墙技术,一、概念防火墙是指一个由软件和硬件设备组合而成，处于企业或网络群

19、体计算机与外界通道之间，用来加强因特网与内部网络之间安全防范的一个或一组系统。二、作用：限制外界对信息资源的非法访问阻止专利信息从企业的网络上被非法输出,防火墙技术,三、设置规则：凡是未被允许的就是禁止的凡是未被禁止的就是允许的四、原则：可适应的安全管理模型：安全=风险分析+执行策略+系统实施+漏洞检测+实时响应硬件防火+软件防火五、分类：（包过滤技术与代理服务技术）网络级防火墙应用级网关电路级网关规则检查防火墙,第三节加密技术,防火墙是一种被动的防卫技术加密技术是一种主动的防卫技术加密包含两个基本要素：算法和密钥加密技术主要分为两大类：对称与非对称一、对

20、称加密技术概念：在对称加密体制中，加密所使用的密钥和解密使用的密钥相同，或者加密密钥和解密密钥虽然不同，但可以从其中一个密钥推导出另一个密钥。也称“单密钥体制”。,加密技术,对称加密技术的常用算法： DES (Data Encryption Standard) 有三个参数：密钥Key、数据Data、工作模式Mode DES将数据分成长度为64位的数据块，DES的密钥长度也为64位，其中8为奇偶校验，有效长度为56位加密过程：将明文数据进行初始置换，以一定的规则打乱明文的排列顺序分为两段，每段32位乘积变换，在密钥控制下做16次迭代逆初始变换得到密文,加密技术,加密流程：,加密技术,

21、对称加密技术存在的问题算法公开，安全性完全依赖于对密钥的保护，导致密钥更新时的传递过程中存在的安全问题；密钥数量大，导致密钥管理上的困难；不能进行信息的完整性鉴别；难以进行身份的认定二、非对称加密技术概念：在加密体制中，用于加密的密钥和用于解密的密钥是不一样的，每个参与信息交换的人都拥有一对密钥，这一对密钥是以一定的算法生成的，相互配合才能使用，用其中一个密钥加密的信息，只有用与之对应的另一个密钥才能解密，并且从其中一个密钥中无法推导出另一个密钥。,加密技术,非对称加密技术的常用算法： RSA (Rivest、Shamir、Adlernan) 利用两个很大的质数相乘所产生的乘积来加

22、密，这两个质数无论哪一个先与原文件编码进行相乘，对文件加密，均可以由另一个质数再相乘来解密，但要用一个质数来求出另一个质数，则是十分困难的。这两个质数称为密钥对(Key Pair)，在应用时，用户总是将一个密钥公开，称为公开密钥，另一个称为私有密钥,加密技术,加密流程：,源信息（明文）,加密后的信息（密文2）,Internet,加密后的信息（密文2）,解密后的信息（明文）,加密后的信息（密文1）,解密后的信息（密文1）,发送者的私有密钥（加密）,接收者的公开密钥（加密）,发送者的公开密钥（解密）,接收者的私有密钥（解密）,加密技术,非对称加密技术的优点密钥分配简单密钥的保存量少可以实现

23、身份鉴别不足信息的完整性和一致性,加密技术,三、RSA与DES的互补 RSA加密速度慢，DES加密简单，可以采取两种算法互补的方法实现。用DES对文件信息进行加密用RSA加密DES的密钥。四、密钥管理技术对称密钥技术需要的密钥很多，但是速度快，非对称密钥技术需要的密钥很少，加密密钥可以公开一个，很容易进行管理，在Internet环境下，非对称密钥技术具有先天的优势。 ISO与IEC下属的信息技术委员会JTC1起草了关于密钥管理的国际标准规范，包括三个部分：密钥管理框架；采用对称技术的机制；采用非对称技术的机制。,加密技术,对称密钥管理对称密钥是基于共同保守秘密来实现的。保证采用

24、的是相同的密钥保证彼此密钥的交换是安全可靠的设定防止密钥泄密和更改密钥的程序采用公开密钥加密技术实现对称密钥的管理。贸易方为每一次交换的信息生成唯一一把密钥，并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的贸易方。不需要对密钥进行维护和担心密钥的泄露或过期即使密钥泄露，仅影响一次交易,加密技术,公开密钥管理/数字证书使用数字证书（公开密钥证书）来交换公开密钥 ITU（国际电信联盟）制定的标准X.509（信息技术开放系统互连目录：鉴别框架）对数字证书进行了定义，该标准等同与ISO和IEC联合发布的ISO/IEC9594-8：195标准。数字

25、证书通常包括：唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期、证书的序列号等。证书的发布者成为证书的管理机构（CA）,加密技术,公开密钥基础设施PKI PKI的基本组成 PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必须的密钥和证书管理。必须具备有认证机关（CA）、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分。认证机关CA 证书是公开密钥体制的一种密钥管理媒介，它是一种权威的电子文档，用于证明某一主体的身份以及其公开密钥的合法性，必须有一个可信的机构

26、对任何一个主体的公钥进行公证，证明主题的身份以及他与公钥的匹配关系。,加密技术,证书库证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。采用支持LDAP协议的目录系统，系统必须确保证书库的完整性，防止伪造和篡改证书。密钥备份和恢复系统备份用于数据解密的密钥（脱密数据的密钥）用于数字签名的密钥不能做备份。证书作废处理系统在有效期内可能作废，策略：作废一个或多个主体的证书、作废由某一对密钥签发的所有证书、作废由某个CA签发的所有证书。,加密技术,作废证书一般通过将证书列入作废证书表(CRL)来完成。 PKI应用接口系统 PKI的价值在于使用户能够方便地

27、使用加密、数字签名等安全服务，一个完整的PKI必须提供良好的应用接口系统，使得各种应用能够以安全、一致、可信的方式与PKI交互，确保建立起来的网络环境的可信性，同时降低管理维护成本。为了向应用系统屏蔽密钥管理的细节，PKI接口系统需要实现如下的功能：完成证书的验证工作,加密技术,以安全、一致的方式与PKI的密钥备份及恢复系统交互在所有应用系统中，确保用户的签名私钥始终只在本人的控制下，阻止备份签名私钥的行为根据安全策略自动为用户更换密钥，实现密钥更换的自动、透明与一致为方便用户访问加密的历史数据，向应用提供历史密钥的安全管理服务为所有应用访问统一的公用证书库提供支持以可信、一致的

28、方式与证书作废系统交互完成交叉证书的验证工作支持多种密钥存放介质跨平台,加密技术,PKI的功能 PKI应为应用提供如下的安全支持：证书与CA 密钥备份及恢复证书、密钥对的自动更换交叉签证：每个CA只可能覆盖一定的作业范围，即CA的域，当隶属于不同的CA的用户需要交换信息时，就需要引入交叉证书和交叉验证。加密密钥和签名密钥的分隔支持对数字签名的不可抵赖密钥的历史管理,加密技术,PKI的性能要求 PKI必须具备有良好的性能，要求如下：透明性和易用性：向用户屏蔽密码服务的实现细节和复杂的安全解决方案，使其简单易用，同时便于单位、企业完全控制其信息资源；可扩展性：证书库与CRL的可

29、扩展性互操作性：针对不同应用，PKI必须建立在标准上，有加密标准、数字签名标准、HASH标准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、程序接口规范等支持多应用支持多平台,第四节认证技术,一、证书认证中心（CA中心）认证中心 CA，又称为证书授权(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数字证书的权威机构。认证中心采用一种多层次的分级结构 CA中心为每个使用公开密钥的用户发放一个数字证书，证明其合法性 CA机构的数字签名使得攻击者不能伪造和篡改证书参加电子商务

30、的主体必须获得CA颁布的电子证书,认证技术,CA解决的问题安全保障防窃听防冒充防篡改防抵赖 CA中心的功能证书的颁发证书的更新证书的查询,认证技术,证书的作废证书的归档安全解决方案的内容认证中心的建立密码体制的选择安全协议的选择认证中心的基本框架结构技术方案基础设施运作管理,认证技术,第三方CA CA中心是一个公证机构，其管理和维护工作应该由专门的机构负责，该机构应独立于电子商务业务的主题之外认证是电子商务中的一个核心问题，认证机构的建立必须考虑权威性、安全性、考虑高效、快捷，并注意投入产出比注意几个问题：身份认证、资信认证、企业税收情况成立对应的认证（

31、工商、银行、税务）行业认证中心、第三方认证中心,认证技术,中国金融认证中心CFCA CFCA，1999.8由中国人民银行牵头，12家商业银行（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生）联合共建的一个大型系统工程。原则：统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先。宗旨：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。 2000.3初步发放试验证书，主要用于商业银行的网上银行和网上购物的BtoB应用模式及SET购物的BtoC模式。,认证技术,二、数字证书概念数字证书就是在网络通讯中标志通讯各方身份信息的一系列数据，它是一个经证书授

32、权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。一个标准的数字证书包含以下内容：证书的版本信息证书的序列号证书使用的签名算法证书的发证机构名称,认证技术,证书的有效期（采用UTC时间格式，计时范围为19502049）证书所有人的名称证书所有人的公开密钥证书发行者对证书的签名数字证书的重要性信息的保密性交易者身份的确定性不可否认性不可修改性,认证技术,数字证书的原理 RSA公钥体制数字证书的用途证实电子商务或信息交换中参加者的身份授权交易授权接入重要信息库，以替换口令或其他传统方式提供经过Internet发送信息的不可抵赖性的证据验证通过Inter

33、net交换信息的完整性。,认证技术,三、数字签名技术数字签名必须保证以下几点接收者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接收者不能伪造对报文的签名数字签名技术源于数字摘要技术，描述如下：也称为安全Hash编码法(SHA)或MD5 ，由Ron Rivest所设计。采用单向Hash函数将需要加密的明文摘要成一串128bit的密文，这一串密文也称为数字指纹，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要内容必定一致。,认证技术,发送信息（明文）,Internet,数字摘要技术流程,摘要,SHA加密,接收信息（明文）,摘要,SHA加密,

34、摘要,一致？,接受信息,Y,认证技术,数字签名采用两双重加密的方法来实现防伪、防赖，其原理为：被发送文件用SHA编码加密产生128bit的数字摘要；发送方用自己的私用密钥对摘要进行再加密，这样就形成了数字签名；将原文和加密的摘要同时传给对方；对方（接收方）用发送方的公共密钥对摘要进行解密，同时对收到的文件用SHA编码加密产生由一摘要；将解密后的摘要与收到的文件在接收方重新加密产生的摘要相互比较，如两者一致，则说明传送过程中信息没有被破坏或修改过，否则，文件可能已经被修改。,认证技术,信息,摘要,SHA加密,数字签名,Private Key加密,发送,数字签名,摘要,Public

35、Key解密,信息,摘要,SHA加密,一致？,信息确认,Y,发送方,接收方,数字签名的过程,认证技术,数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：（1）需要加时间戳的文件摘要（2）DTS收到文件的日期和时间，（3）DTS的数字签名。时间戳的产生过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。 DTS是由Bellcore创造出来的。,第五节病毒的防护,Interne

36、t的开放性增大了病毒的防治难度病毒威胁的来源：文件下载电子邮件防治办法：安装防病毒软件（病毒防火墙）原则上是网络中任何存放文件和数据以及数据通过的地方都必须安装防病毒软件,病毒的防护,网关上安装防病毒软件可能阻止任何病毒通过企业网络，但效果不好工作站是病毒进入的主要途径，在工作站上必须安装防病毒软件邮件服务器是防病毒的第二个着眼点备份服务器要注意病毒的防护服务器安装病毒防火墙,第六节安全协议,电子商务呼唤各方协调一致来保证安全一、Internet电子邮件的安全协议 PEM：是增强Internet电子邮件隐秘性的标准草案，它在Internet电子邮件的标准格式上增加了加

37、密、鉴别和密钥管理的功能，允许使用公用密钥和专用密钥的加密方式，并支持多种加密工具。可以在每个电子邮件报文的报头中规定特定的加密算法、数字签名算法和散列功能等，它是通过互连网传输安全性商务邮件的非正式标准。,安全协议,PEM的具体内容是在Internet工程任务组公布的RFC1421、RFC1422、RFC1423和RFC1424四个文件中，随着安全技术的发展，PEM可能被下面两种规范所取代。 S/MIME： Safe / Multipurpose Internet Mail Extension Protocol 安全的多功能因特网邮件扩充协议，是在RFC1521所描述的多功能因特网电子邮件

38、扩充报文基础上添加数字签名和加密技术的一种协议。,安全协议,MIME是正式的因特网电子邮件扩充标准格式，但它未提供任何安全服务功能。S/MIME的目的是在MIME上定义任何安全服务的实施方式，S/MIME已经成为了产业界广泛认可的协议，如Microsoft、NetScape、Novell、IBM、Lotus等公司都支持该协议。 MOSS（PEM-MIME） MIME对象安全服务，是将PEM和MIME两者的特性进行了结合。,安全协议,二、常见安全技术标准 S-HTTP 安全的超文本传输协议，是对HTTP扩充安全特性、增加了报文的安全性。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等

39、安全措施。基于SSL 依靠对密钥的加密，保证Web站点间的交换信息传输的安全性。,安全协议,UN/EDIFACT EDI是国际上广泛采用的自动交换和处理商业信息和管理信息的技术，UN/EDIFACT报文是唯一的国际通用的EDI标准。 STT 安全交易技术协议由Microsoft公司提出 STT将认证和解密在浏览器中分离开，用以提高安全控制能力。,安全协议,三、SSL 安全套接层协议，Secure Sockets Layer Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接协议。向基于TCP/IP的C/S应用程序提供了客户端和服务器

40、的鉴别、数据完整性及信息机密性等安全措施。 Socket只是一个编程界面，并不提供任何安全措施，而SSL则不仅提供编程界面，而且还向上层应用提供安全服务。,安全协议,SSL3.0通过数字签名和数字证书可实现浏览器和Web服务器双方的身份认证。特点：部分或全部信息加密、采用对称和非对称的加密技术、通过数字证书验证身份、采用防止伪造的数字签名过程：SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明地加载任何高层应用协议，如HTTP、FTP、TELNET等，以保证应用层数据传输的安全性。,安全协议,握手流程：服务器认证：在服务

41、器认证过程中，客户端首先向服务器发送一个“Hello”信息，以便开始一个新的会话连接；然后，服务器根据客户的信息确认是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需要的信息；客户根据收到的服务器的响应信息，产生一个主密钥，并用服务器的公开密钥加密后传送给服务器；服务器恢复该主密钥，并返回给客户一个用主密钥确认的信息，让客户认证服务器。用户认证：服务器发送一个提问给客户，客户则返回经过数字签名后的提问和其公开密钥，从而向服务器提供认证。,安全协议,SSL支持各种加密算法，在握手过程中，使用RSA公开密钥系统，密钥交换后，使用一系列密码，包括RC2、RC

42、4、IDEA、DES及MD5信息摘要算法等。 SSL协议实现简单，独立于应用层协议，且被大部分的浏览器和Web服务器所内置，便于在电子交易中应用。国际著名的电子货币CyberCash信用卡支付系统就支持这种简单加密模式，IBM等公司也提供这种简单加密模式的支付系统。但是，SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL并不能协调各方间的安全传输和信任关系，因此，为了实现更加完善的电子交易，MasterCard和Visa以及其他一些IT业界厂商制定并发布了SET协议。,安全协议,四、SET 1、SET概述安全电子交易协议Secure Elect

43、ronic Transaction 向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。是针对开放网络上安全、有效的银行卡交易，由Master Card和Visa联合研制的一个能保证通过开放网络进行安全资金支付的技术标准。参与的公司：Microsoft、IBM、Netscape、RSA等组成：SET业务描述、SET程序员指南、SET协议描述。,安全协议,SET的主要目标信息在Internet上安全传输，保证网上传输的数据不被黑客窃取定单信息和个人帐号信息隔离，在将包括持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐户信息持卡人和商家相互认证，以确定通信

44、双方的身份要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。,安全协议,SET规范涉及的范围加密算法的应用证书信息和对象格式购买信息和对象格式认可信息和对象格式划帐信息和对象格式 SET中的角色持卡人发卡机构商家银行支付网关,安全协议,2、SET的购物流程持卡人进入商店持卡人选择要购买的商品持卡人填写定单持卡人选择付款方式持卡人发给商家一个完整的定单及要求付款的指令商家接受定单后，向持卡人的金融机构请求支付认可商家发送定单确认信息给顾客完成订购服务商家从持卡人的金融机构请求支付,安全协议

45、,客户,商家,支付网关,金融机构,初始化请求,商家网关证书,初始化响应,购买响应,订单及支付命令（购买请求）,客户支付命令及授权请求,授权响应及付款标志,付款响应,付款请求,授权请求,付款请求,安全协议,3、SET的加密技术对称密钥系统公钥系统数字信封数字签名数字摘要双重签名,安全协议,五、SSL与SET的区别功能 SSL是基于传输层的通用安全协议，不具备商务性、服务性、协调性和集成性；SET位于应用层，对网络的其它层也有所涉及，具备以上特性。安全 SET具有机密性、可鉴别性和信息一致性；SSL不具备可鉴别性 SSL对信用卡信息的管理必须信任商家,安全协议,加密机制 SSL全

46、部加密；SET选择加密攻击手段：SSL有明文攻击(ClearText Attack)、重复攻击(Replay Attack)、Man in the middle、Hand shake 负载能力验证和公钥加密量大平台开放性 SSL受到广泛支持，SET由于低效率、高系统要求，其支持度低。,第四章电子商务的网上支付,支付工具与支付系统网上支付的有关内容招商银行的网上支付中国银行的网上支付中国建设银行的网上支付,第一节支付工具与支付系统,一、支付工具的演变面对面交易：货币（现金）手工处理的支票、信用卡等（纸张化）电子计算机出现，支付工具呈现了电子化的特征，电子联行和信用卡实时授

47、权支付工具电子化基于Internet的电子支付工具和应用系统出现,支付工具与支付系统,二、银行在电子商务中的地位支付中介电子商务强调支付过程和支付手段的电子化电子化支付和结算的最终执行者联结买卖双方的纽带作用最关键要素和最高层次,支付工具与支付系统,三、国外最新支付工具及应用系统 Digicach 1994.5阿姆斯特丹，电子现金系统 Cybercash 1994.8BillMelton和DanLynch开发用于信用卡安全传递的软件，使用的实际上是信用卡 Mondex 英国西敏寺银行开发的电子钱包，基于智能卡,支付工具与支付系统,Cybercharge 微软开发的在Web上销售商

48、品的电子商务软件 Firstvirtual 商家和客户使用虚拟代码，真实信息存储在第一虚拟的安全的计算机中。,支付工具与支付系统,四、我国支付系统的建设我国支付系统的发展自20世纪80年代以来，中国人民银行颁布了一系列法律规章制度，实施了一大批系统工程来建设和改造我国的支付系统 1988年，中国人民银行提出将“三票一卡”（本票、支票、汇票、信用卡）作为主要结算方式，大力推广信用卡，为个人消费者提供了新的支付工具 1985年中国银行发行第一张信用卡 1997年信用卡达到5500万张,支付工具与支付系统,人行建设了电子联行系统、同城票据清算系统、金卡工程、国家外汇交易系统、国债交易系统和中国国

49、家现代化支付系统CNAPS CNAPS采用中央银行和商业银行两层结构模式，包括商业银行和用户之间的下层支付服务，商业银行之间、商业银行与中央银行之间的上层支付资金清算服务我国支付系统建设过程中应该注意的问题网络的建设信用卡处理的统一化安全问题企业应用系统开发的问题,第二节电子货币,一、概念：电子货币是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。电子货币是采用电子技术和通信手段在信用卡市场上流通的以法定货币单位反应商品价值的信用货币，是一种以电子脉冲代替纸币进行资金传输和存储的信用货币。,电子货币,二、特点：以计算机技术为依托，进行储存、支付和流通应用广泛集储蓄、信贷和非现金结算等多种功能为一体使用简便、安全、迅速、可靠通常以银行卡为媒体三、基本功能：转帐结算功能储蓄功能兑现功能消费贷款功能,

展开阅读全文