MBA教程-电子商务 第四章电子商务的支撑技术simpl.ppt

第四章电子商务的支撑技术 企业顺利开展电子商务需要一个良好的环境 这包括企业内外的环境 需要企业本身 企业的合作伙伴 政府部门和社会的共同努力 积极采用先进技术和建立相关管理机构 以保证电子商务安全 快速 可靠 有序开展 这里涉及到电子商务的多项支撑技术 也是这一章的主要内容 Internet及Intranet技术电子商务安全及相关安全技术电子结算系统现代物流技术 见第五章 一 Internet及Intranet技术1 Internet及Intranet技术的技术基础 社会需要一个良好的Internet软硬件环境 快 好 前面的www浏览 Email通信 网上购物 网上娱乐 在线电影 音乐 等均是Internet应用保证上述Internet应用顺利进行均基于共同的技术基础 TCP IP网络通信协议 通过路由器将多个网络互联构成一个新的网络 它将位于不同地区 不同环境的网络互联成一个整体 在逻辑上它是独立的 统一的 在物理上则由不同的网络互联而成 对用户而言 它是一个统一的网络 企业内部网Intranet的构筑 企业采用Internet技术即TCP IP技术组建企业内部计算机网络 并大量采用WWW Email BBS等Internet应用 商业性网络和大量商业公司进入Internet 即把企业内部网Intranet与Internet相连 使企业借助Internet能在更广阔的范围内为更多的用户提供服务 推动Internet以空前的速度和规模向前发展 网络经济 2 TCP IP网络通信协议 也叫互联网协议 网络协议 在网络系统中 一般情况下同类型的计算机与计算机 终端与终端之间实现通信比较容易 而不同类型的计算机 终端之间的通信就相当困难 针对通信过程中的各种问题 指定一套约定 即网络系统的通信协议 TCP IP协议 是Internet采用的网络协议标准 也是全世界采用的最广泛的工业标准 它是一个协议系列 用来将各种计算机和数据通信设备组成实际的计算机网络 TCP IP能很好地连接不同厂家的不同类计算机 组成计算机网络 兼容性好 节省用户投入 补一图 A B TCP和IP是两个分开的协议 各自完成不同的功能 TCP协议 负责数据从发送方正确的传递到接受方 是端到端的数据流传送 是面向联接的 因此在传递数据之前 先要建立连接 因为数据可能在中间的网络丢失 TCP能检测数据的丢失 并重发数据 直到数据被正确的 完整的接受为止 IP协议 是Internet和Intranet最基本 最重要的协议 IP的功能是在需要通信的两台计算机之间 通过网络的路由传递数据 它提供数据包从源主机传递至目的主机 一个IP协议数据单元 数据包 是有限长的 包含一个报头和相应要传送的数据 二 电子商务安全及相关安全技术 电子商务不安全 顾客和企业就都不会接受这种EC方式 特别是顾客 保证电子商务的安全是人们最关心和最基本的要求 这是网上交易的基础 是电子商务的核心问题 也是技术上的难点 例 黑客Hacker 红客Honker 病毒 信用卡密码网上窃取等问题 这章内容内涉及 安全概述电子商务的安全问题电子商务的安全措施 1 安全概述 这里的安全是指企业的信息网络软硬件系统的安全并保证企业合法的正常的网络使用 网络访问 信息传输等等 凡企业的资产 包括知识产权 受到未授权的或非正常的访问 使用 修改或破坏 称为安全威胁 主要涉及下列四方面的内容 保密 防止未授权的数据暴露并确保数据源的可靠性 如现在每月有非法进入政府网络或网上窃取信用卡号码等 这种问题最多 中美红客黑客五一大比拼 完整 防止未授权的数据使用 修改 计算机犯罪 修改存款额 在网上非法使用材料 侵犯知识产权等 即需服务 防止服务延迟或拒绝服务 即在网上被非正常地延迟服务或被拒绝服务 如1999年5月中国黑客用无用信息堵塞美国白宫网站 阻碍正常用户的访问等 信息网络软硬件系统安全 防止网络系统瘫痪或运行不正常 如病毒入侵 每年的4 26CIH病毒 Iloveyou等破坏计算机系统的硬件和软件 2 电子商务的安全问题具体到电子商务 其安全问题涉及到 商务整个过程 分为如下四个方面 像 解放军的超限电子战 不对称作战 A 对客户机 用户端 的安全威胁 当用户浏览网页并执行页面上的某些活动程序时 这些程序常常下载到客户机上运行 并能读取 更改客户机的数据资源 如果这样的程序是恶意的 就会造成用户客户机上的信息泄露 如 动态页面中java小程序 ActiveX控件 如特洛伊木马程序 Cookie个人信息泄漏等 电子邮件带病毒的附件 宏病毒 Happy99 CIH等 这些常叫 隐蔽信息 即附在信息中的信息 B 对通信信道的安全威胁电子商务的通信信道其实就是连接客户和企业厂商的中间通信网络 即Internet 所以就是Internet的安全问题 目前的Internet开放性很强 自由 信息传送并无专用固定网络路径 反过来安全性就较差了 TCP IP的缺陷 信息保密性威胁 上Internet能造成用户的保密或个人隐私信息在网络传输半途能被暴露或窃取 原因是Internet技术上的固有缺陷 如网上信用卡信息泄露 口令泄露 信息完整性威胁 通过非法的主动搭线窃听 未经授权修改网络上的信息 如 改变订货名称 单价等等 电子伪装 信息服务即需性威胁 故意造成延迟服务或拒绝服务 如发冗余信息堵塞通信信道 延误正常的响应服务 如1999年对白宫网站的Ping无用连接 Internet蝓虫攻击 网上股票交易的延迟响应等 C 对企业后台服务器的安全威胁即对企业后台开展电子商务的服务器进行攻击 修改 破坏甚至瘫痪服务器 造成企业电子商务活动不能进行 对WWW服务器的安全威胁 通过internet系统的漏洞 窃取WWW服务器管理员的口令 对网站进行直接攻击 如黑客修改网站页面 信手涂鸦 转换链接等 中美黑客大战 对后台数据库服务器的安全威胁 直接通过网络非法访问与WWW服务器相连的数据库服务器 窃取信息 修改数据或秘密资料等 间谍 对其他业务或办公程序的安全威胁 运行 隐性程序 如1998年的Internet蠕虫 故意去占用服务器资源 如内存 使别的业务程序 如财务软件 办公自动化软件 因系统资源不足而无法正常运行 D 交易者身份及网络行为的不确定威胁电子商务作为一种新的商务交易方式 并借助网络进行 交易的手段与传统的商务有很多的不同 交易者可以利用当前电子商务技术和环境的不完善和不成熟造成交易对方的损失 交易者身份的不确定性 与传统商务不同 网上交易者没有面对面 也许相隔千里 骗子 黑店 等都有可能 需要方便可靠地确认对方身份 电子身份 交易行为的不确定性 一般交易达成后是不可否认的 但电子交易者对电子交易行为有可能因为商情的变化而否认 变化 修改等 这需要技术上确认电子交易通信过程的每一环节 在技术上保证电子交易协议的不可单方面变更 电子合同的传输保密 认证 3 电子商务的安全措施 保护构成电子商务系统的电子资产 对电子商务的生存是必需的 上节简述了电子商务的一些安全问题 这里将针对这些安全隐患提出电子商务的安全措施 虽然这些措施并不是万能的 即不能100 保证电子商务体系的安全 但更多更新的安全技术正不断被开发采用 以保证电子商务这一崭新的有广阔发展前景的新世纪商务形式的顺利进行和发扬光大 矛与盾的较量将是持久的 但新的有生命力的电子商务终会在世界和我国蓬勃发展起来 科学家已认识到Intenet的技术基础TCP IP协议的不足 正在加紧制定新的更安全的新一代TCP IP协议体系 来提高Internet的安全 从而促进电子商务的安全 除此之外 电子商务的安全措施或技术主要有 保护知识产权措施保护客户机措施保护电子商务的通信信道措施保护电子交易的完整性措施保护电子商务的后台服务器措施 A 保护知识产权措施 数字知识产权比传统知识产权更难保护 在网上就更难保护 迄今为止 绝对可靠的保护手段和技术均不现实 都可提供一定程度的保护 但也各有不足 现有的保护手段和技术为 3种 国家立法保护 如版权法应用到Internet或其他数字媒体上 起威慑作用 如 我国正在制订Internet上的相关法律 以创建一个良好的电子商务运作环境 WPO 世界知识产权组织 一直在推进和监督国际数字化版权的问题 行政手段 数字水印 是隐蔽地嵌入在数字图象或声音文件里的数字码或数字流 也叫 信息隐蔽法 来生成数字水印 将来方便对使用者使用数字产品的追踪或控制 数字水印没有消极影响 如美国ARIS和Digimarc公司提供的数字水印保护和软件 数字信封 也叫信息认证码 即给要出售的数字信息文件外部加一把数字锁 如 SOFTLOCK公司使用SoftLock技术 作者和版权所有者可以只允许采购者打开文件 没有特定的数字钥匙就打不开 B 保护客户机措施指保护客户机 即用户端上网计算机 不受上下载的软件和数据的安全威胁 如前面的动态页面 邮件病毒 假网站等 下面为常用的一些保护客户机的措施 防止或减少 5种 数字证书 指电子邮件附件或嵌入在网页里的程序 类似于驾照或身份证上的照片 确认为合法软件开发商 通过数字证书 可以证明所提供的软件是真实的 不是伪造的 是通过专业数字证书认证中心认证过和认同的 如著名的VeriSign认证中心 新版IE浏览器和Navigator浏览器的内置保护功能 如IE采用的MicroSoft的Authenticode技术来验证所下栽程序或数据的身份 但这种技术只能对你所信任的人或网站进行判断 只防君子 Cookie控制 Cookie类似于一种记忆功能 如在上网时能记住用户这次输入的用户名和口令等 下次在这台计算机上做同样的事时就无需重新输入口令等 Cookie的问题在于它以不为人觉察的方式收集用户的个人信息 可能被人窃用 通过在IE5浏览器中设置Cookie的有效期长短或安全级别可控制Cookie问题 防病毒软件 在客户机上安装配置防病毒软件并定时更新或升级 雇佣或咨询 防止计算机犯罪专家 C 保护电子商务的通信信道措施提供电子商务通道的安全意味着保证通道保密性 消息完整性和通道可用性 这方面的安全问题最广为人知 报纸 网站 电视等媒体每天均有Internet被攻击的报道 讲述黑客通过不安全的网络通信通道进入企业的计算机系统 保证网络通信通道的措施主要就是密码技术 具体到电子商务 主要有如下几种措施 1 采用密码技术 对信息加密解密 密码技术非常重要 常专用于军事通信 在密码技术最发达的美国 由国家安全局控制加密算法的发布 有些加密算法非常重要 美国政府甚至禁止公布其细节 也禁止出口这些加密算法 巴统 高科技出口 限制原理 密码技术是保证网络 信息安全的核心技术 信息发送者对信息自然语言格式进行加密 使其变成密文后再发送 当然信息的接收者要将受到的密文进行解密后才能得到自然语言格式 现在常用加密和解密方法 实际的加密技术比上述例子复杂可靠得多 对信息进行加密时要使用密钥 即发送方将明文用密钥加密后发送 接受方再通过密钥将密文还原成明文 按密钥和相关加密程序类型可分为三类加密技术 数字摘要公开密钥加密私有密钥加密 数字摘要 DigitalDigest 也称Hash 散列 编码法 如RSA公司提出的MD5 128位 还有SHA1等 由Ron Rivest教授设计 该编码法采用单向Hash函数将需加密的明文 摘要 成一串128bit的密文 这一串密文亦称 数字指纹 它有固定的长度 而且不同的明文摘要成密文 其结果总是不同的 而同样的明文其摘要必定一致 这样根据这种原理 数字摘要便成为验证明文是否是 真身 的 数字指纹 了 mouse见图 私有密钥加密也称作对称加密 其加密和解密使用同样的密钥 也就是说只用一个密钥 如 1234566 Mouse见图 信息发送者和接收者都必须知道密钥 对信息加密和解密均很快 效率高 需细心保存密钥 一旦泄露 以前的所有信息都失去保密性 主要应用在类似国防系统等专业部门 不太适应Internet这种大环境 不固定用户的要求 否则需要为每对用户产生一个密钥 这样密钥的组合与数量是天文数字 应用最广的私有密钥加密系统 DES 数据加密标准 DataEncryptStandard 这种加密算法经常采用 是美国政府用来加密敏感或商业信息的标准 但美国政府规定某些加密算法只能在美国国境内使用 而把有些功能教差的加密算法可在国外使用 其中DES算法 DES为数据加密标准 DataEncryptStandard 这种加密算法经常被采用 由IBM公司开发出来的 如美国军用DES为128位 民用则为64位 不过DES至今仍被广泛使用 公开密钥加密公开密钥加密又称不对称加密 它用两个数学相关的密钥对信息进行编码 是1977年等由Ronald Rivest等三位麻省教授发明的 称为RSA公开密钥加密系统 这是一种敏感信息交换方式上的革命 RSA工作原理 在加密和解密过程中要使用一对 两个 密钥 其中一个密钥叫公开密钥 可随意发给期望同密钥持有者进行安全通信的人 公开密钥用于加密 第二个密钥是私有密钥 属于密钥持有者 不公开 仔细秘密保存 密钥持有者用私有密钥对收到的信息进行解密 例 比如TOM想给ANMY发信息 有如下操作步骤 TOM通过公开渠道取得ANMY的公开密钥X TOM用ANMY的公开密钥X对自己要发的信息加密 借助网络发送把密文给ANMY 这时的密文只能用ANMY对应的私有密钥Y才能解密 连ANMY的公开密钥X也无法解密 ANMY收到TOM发来的密文后用自己的私有密钥Y解密 能确认是发给自己的 反之亦然 可以看出密钥X与Y只能互相加 解密 Mouse见图 公开密钥加密特点 信息发送者和接收者知道不同的密钥 对信息加密和解密较慢 只需细心保存个人的私有密钥 而另一把公开密钥可在合法机构上公布 可以应用在类似Internet等这样大众化 大范围的网络上 如开展电子商务 需要的密钥总对数不多 密钥的发布不成问题 如果需要 可在大众传媒发表个人的公开密钥 这种加密方法可实现数字签名 防抵赖 电子商务必需 公开密钥加密系统并不是要取代前面的私有密钥加密系统 二者相互补充 公开密钥加密系统除RSA算法外还有ECC等 2 IE等浏览器上的内置安全保密措施实质也借用前面的密码技术 使信息交互加密进行 安全套接层协议 即SSL协议 由NetScape公司提出应用了前面的公开密钥和私有密钥两种加密方法 支持Internet上WWW会话过程中信息的安全传输 透明地加密与解密 SSL支持支持两台计算机之间的安全连接 实现SSL的协议的一个是HTTP协议的安全版 即Https协议 比如是安全连接 但SSL也可以为Ftp Telnet等会话提供安全保护 SSL有两个安全级别 48位和128位密钥 但美国政府不允许128位密钥技术的出口 安全超文本传输协议 即S HTTP 或安全HTTP协议 实现的协议就是Https协议 主要用来安全传输WWW信息 由CommerceNet公司提出 应用这些安全协议请注意浏览器的参数设置 D 保护电子交易完整性措施电子交易完整性含义 电子商务最终要涉及客户机浏览器向商务服务器发出结算信息 订单信息与结算指令以及商务服务器返回的订单确认信息等 如果某一方或闯入者改变了这些商务信息 或随意抵赖已确认的交易 将严重破坏交易的完整性 带来灾难性后果 也就是说要在网上严肃认真地安全交易 保护电子交易完整性的主要措施为 常常结合在一起使用 数字签名数字时间戳数字证书权威认证中心 数字签名 DigitalSignature 数字签名含义 又称电子签名 它是一个仅能由发送方才能产生的标记 其他人只能简单的识别该标记是属于谁的 数字签名是同真实签名有相同效果的一种技术 和真实书面签名一样 数字签名能确认以下两点 信息是有签名者发送的 WHO 信息自签发后到收到为止未曾作过任何修改 TRUE 用途及特点 数字签名可以用来防止电子信息因易被修改而有人作伪 或冒用别人名义发送信息 或发出 收到 信件后有加以否认等 数字签名并非用 手书签名 之类的图形标志 他采用了双重加密的方法来实现 防伪 防抵赖 它是使用前面的 公开密钥加密方法 和 数字摘要 Hash编码法 两种技术合作来完成的 数字签名技术原理和操作过程为 下页图示 发送方Tom将被发送文件用SHA散列编码加密产生128bit的该文件的数字 摘要A 发送方Tom用自己的私用密码对 摘要A 再加密 这就形成了 数字签名 发送方Tom将加密的摘要 即刚形成的 数字签名 和原文同时发送给接受方Anmy 接受方Anmy用发送方的公开密钥对收到的加密摘要 数字签名 解密 得到 摘要A 这里能解密得到 摘要A 就能唯一确认是发送方Tom发来的文件 who 不可抵赖 数字签名作用一 接受方Anmy同时对收到的原文用SHA编码加密又产生另一新的数字 摘要B 接受方Anmy将 摘要A 和 摘要B 相互对比 如两者一致 则说明传送过程中文件信息没有被破坏或篡改过 否则就有问题 到这里就能 防伪 true 数字签名作用二 数字签名的过程示意图为 数字时间戳DTS Digitaltime stamp 数字时间戳服务DTS主要用来提供电子文件发表时间的安全保护 交易文件中 时间是很重要的信息 可以防止文件被伪造和修改 在电子交易中同样需要对交易文件的时间和日期信息采取安全措施 DTS产生过程 略 DTS是是一个经加密后形成的凭证文挡 内容含文件摘要 DTS收到文件的日期和时间 DTS的数字签名 DTS是网上的一个安全服务项目 由专门的认证机构提供 DTS也可用于科学家发明文献时间的认证 数字证书 Digitalcertificate DigitalID 或叫数字凭证 是用电子手段来证实一个用户的合法身份和对网络资源访问的权限 在网上电子交易中 若交易双方出示了各自的数字证书 并用它来进行交易操作 则双方都可不必为对方的身份的真伪担心 数字证书的内容格式由CCITTX 509国际标准所规定 包含有数字证书拥有者A的姓名 A的公共密钥及有效期 颁发证书的单位及其数字签名 证书序列号 数字证书有三种类型 个人数字证书 安装在个人浏览器内 企业服务器证书 有证书的Web服务器会自动地将其与客户端浏览器通信的信息加密 软件证书 通常为Internet中被下载的软件提供凭证 由第三方专业权威认证中心提供数字证书 权威认证中心 CA CertificationAuthority 认证中心CA主要承担网上安全电子交易的系列认证服务 数字凭证签发 数字凭证的管理 是企业性的具有权威性和公正性的第三方服务机构 服务涉及数字时间戳DTS 数字证书 为电子商务双方服务 CA必须依据认证操作规定 CPS CertificationPracticsStatement 来实施服务操作 目前全球处于领导地位的认证中心是美国的VeriSign公司 1995年成立 该公司提供的数字认证服务已全世界近100个国家 接受该公司的电子商务服务器数字证书和个人数字证书各达到20万和2000万个 正扩充 数字凭证的具体申请操作 略 见介绍 E 保护电子商务的后台服务器措施 企业的后台服务器是保证企业电子商务顺利开展的核心 由若干软件构成 典型的电子商务后台服务器 其实都是一些软件 主要有WWW服务器 相应顾客的WWW请求 FTP服务器 支持软件产品的顾客送达 EMAIL服务器 公司的邮件收发 TELNET服务器 支持现场员工远程登录到公司总部的计算机上完成各种任务 和主机网络操作系统 支持上述后台服务器软件的正确运行 主要的后台服务器安全保护措施有以下3种服务器的访问控制和认证措施服务器操作系统本身安全控制措施防火墙保护措施 1 服务器的访问控制和认证措施 服务器的访问控制和认证是指采取措施控制访问服务器的人和访问的内容 并验证期望访问服务器的用户的身份 这方面主要的技术措施有 采用用户的 数字证书 验证 用户身份 证书有效期等 采用传统的 用户名 口令 控制访问方法 采取建立后台专门的用户名 口令文件或数据库 并以明文保存用户名 以加密方式来保存口令 UNIX系统采用的方法 设置服务器文件的访问控制表 如设置文件的可见 读 写 修改和运行等权限级别 分别按需求分配给不同的用户 以达到服务器资源的合理控制和利用 2 服务器操作系统本身安全控制措施运行的操作系统基本都有 用户名 口令 的自身用户认证系统 这为在其上运行的电子商务服务器提供了安全子结构 如UNIX WINDOWS2000Server等的C2级安全管理 3 防火墙 FireWall 保护措施 防火墙是一种在需要保护的网络同可能带来安全威胁的Internet或其他网络之间建立的一层保护措施 可以是一个或一组硬软件系统 防火墙实质上是把公司网 安全网 与外部网 非安全网 进行安全隔离 世界上代表了企业网络的访问原则 见下页防火墙应用示意图 防火墙是具有下列特征的计算机 特征略讲 通常是内部网络安全的第一层防护 要保护的网络如企业内部网Intranet放在防火墙内 称为安全网络 其他网络如Internet则处在防火墙外面 称为非安全网络 由内到外和由外到内的所有访问都要经过防火墙 只允许特定的信息流入和流出被保护的网络 相当于过滤设备 双向控制 只有本地安全策略所定义的合法访问才被允许通过它 防火墙的应用示意图为 防火墙的种类按照防护工作方式的不同 常见的防火墙种类有如下3种 a 包过滤防火墙 包过滤 PacketFilter 就是对网络上的传来的数据包实施有选择的通过 基于IP网络层的安全机制 利用制定的包过滤规则 即安全访问控制表 进行安全控制 如检查信息包的源IP地址 目标IP地址及入网的TCP端口等 根据预先设定的规则拒绝或允许这些包进入企业内部网络 特点 可以是把软件直接做在路由器里面的 过滤路由器 也可以是纯 包过滤器 软件 安装在路由器上或充当路由器的PC机上 目前已安装防火墙80 都是这种方式 灵活 方便升级和便宜 外部网内部网 b 应用网关防火墙 与包过滤防火墙工作原理类似 但过滤的原则是根据所请求的网络应用服务 即在网络协议的应用层来过滤请求和登录 如限制象Telnet Ftp Http等应用的访问 又如 一个网关级的安全策略可允许内向的FTP请求 但不允许外向的FTP请求 这样可防止内部员工从外部网下载有病毒的软件 特点 提供用户级别和应用协议层的访问控制 安全性较高 还要干网络协议转换这个网关的本行 c 代理服务防火墙 代理服务 ProxyService 防火墙使用了和包过滤不同的方法 代理服务就是将外来的对企业内部网服务器的访问 由代理服务防火墙先接收下来 经过安全处理后 再传给相应的服务器 这样能使众多的企业网内部应用服务器对外隐藏起来对外 不可见 而免遭攻击 代理服务防火墙特点 最终用户需要学习和特定培训才能使用代理服务 不太方便 透明性差 需要网络管理员协助多 也是灵活和更安全的代价 会使网络性能明显下降 如速度慢等 相当多的防火墙不能处理高负载的网络通信 如263免费Web邮件 有时用代理就登录不成功 防火墙技术的评价和发展趋势发展趋势 从包过滤和代理服务的分析可以看出 这两种模式均有一定的缺陷 因此防火墙技术在继续发展 发展目标 具有高度安全性 高透明性 高网络性能的防火墙防火墙技术安全防护评价 目前流行 较可靠的保护企业内部网的措施 上述 高度安全性 高透明性 高网络性能 这3个因素本来是相互制约 相互影响的 同时追求3项高指标难度极大 目前企业应根据自己的需要 寻找一个平衡点 来兼顾这些 网络安全的辨证总结 企业网络安全性越高 同时也意味着用户和员工对网络使用的不便或透明性不高或网络性能降低 所以企业在考虑网络安全时 必须根据自己的实际情况尽可能兼顾 三 电子商务的电子结算系统 电子结算系统需求背景及特点 随着Internet不仅仅是一个寻找信息 发Email和聊天的工具 而被逐渐被看作是企业开展电子商务的主要平台 就必然有一个网上支付的问题 具备一个方便 安全 快捷的网上支付手段正成为企业 个人在电子商务活动中日益壮大的需求 电子结算系统正是满足电子商务这种需求的解决措施 同纸币或纸制发票相比 电子结算方式要便宜得多 也有利于环境保护 对企业 顾客和社会都有好处 电子结算系统的顺利实施也借助于上节描述的系列网络安全策略 电子商务电子结算系统的范围 主要涉及到如下两种电子商务方式 企业到消费者 BtoC 的电子结算方式企业到企业 BtoB 的电子结算方式 1 企业到消费者 BtoC 的电子结算方式 这种电子商务方式 BTOC 的电子支付问题比较新 比较麻烦 是我们讨论的重点 而企业间电子商务BTOB方式电子结算已经比较好的方法了 如采用EDI 电子数据交换 企业到消费者 BTOC 电子商务方式的电子结算系统主要有如下几种方式 信用卡智能卡电子钱包电子现金电子支票及其他 a 信用卡CreditCard 含签帐卡 结算 信用卡是目前社会上个人最常用的电子结算方式 顾客网上购物也大部分采用信用卡来结算 因此是目前电子结算最常用的方式 在电子商务发达和信用卡普及的美国 Internet购物80 以上都采用信用卡来结算 信用卡的电子结算特点 信用卡结算的一系列操作对消费者是透明的 信用卡结算过程涉及 商家及其银行 顾客及其银行 和发行顾客信用卡的公司 Internet购物 对有形商品 一般只有在货物送给顾客后才能在你的信用卡上取费 但对无形货物如软件等 商家则可立即取费 对网上预订 缺货 退货等电子结算问题 可协商 信用卡的电子结算步骤 顾客在商家网页上选购商品后 在支付方式上选择信用卡结算 顾客在信用卡结算页面上填写响应信用卡的个人私有信息 如卡类型 卡号 密码等 在线发送给商家网站 商家收到顾客的信用卡部分信息 如密码不可见 后 验证信用卡的有效性 如查卡号 保证不是偷来的卡 商家和发卡单位验证信用卡上是否有足够的资金 并根据本次交易额冻结相应的资金 不马上划拨 在所购商品送达顾客后 响应的资金通过双方的银行系统转帐到商家的帐户上 交易完成 如下页图示 信用卡电子结算的安全问题 一种新的典型的的安全电子交易协议 SET协议万事达和VISA国际组织在Microsoft IBM HP GTE等公司支持下联合设计了安全电子交易SET协议 SecureElectronicTransaction 为信用卡信息在商家网站和处理银行之间传输提供安全保证 这是一个为了在因特网上进行在线交易而设立的一个开放的以电子货币为基础的电子付款系统规范 已成为事实上的工业标准 目前 它已获得IETF标准的认可 SET协议其实就是采用RSA公开密钥体系对通信双方进行认证 利用DES RC4或任何标准对称加密方法进行信息的加密传输 并用HASH算法来鉴别消息真伪 有无篡 特别提供了保密 数据完整 用户和商家身份认证横 顾客不可否认等功能 在SET体系中有一个关键的认证机构 CA CA根据X 509标准发布和管理证书 b 智能卡结算 IC卡 智能卡含义 即在塑料卡上安装嵌入式微型控制器芯片的IC卡 由摩托罗拉和BuIIHN公司共同于1997年研制成功 在中国IC卡还未真正应用于电子商务活动 但前景和优势却十分明显 在智能卡芯片里可以存储个人的大量信息 如个人的身份证信息 财务数据 帐户信息 私有加密密钥 信用卡号码及保险信息等 信息容量比信用卡大得多 智能卡特点 容量大 借用微处理芯片技术 能把原来的个人信用卡 驾驶执照 保险卡 身份证 工作证等都集成到一张智能卡上 让用户使用和携带更方便 智能卡比传统信用卡更能防止滥用 卡上的价值受用户的个人识别码 PIN 保护 因为智能卡上的信息是加密的 例如传统的信用卡上印有卡号 即你的帐户号码 智能卡需要智能卡刷卡器才能使用技术较新 在日本 欧洲等非常普及 智能卡刷卡器到处都是 已用于交纳电话费 电视费 水费等 美国也正在使劲推广 而国内通信网络的不完善使得智能卡这种电子支付方式比较适合中国的国情 因此 于1993年起在全国范围内开展了 金卡工程 用于电子商务结算的Mondex智能卡Mondex智能卡是能存储电子现金的智能卡 万事达公司1990年开发的产品 采用Mondex智能卡结算 必须与专用的刷卡器实际接触 Internet用户用Mondex智能卡在网上结算 必须在PC机上连接一个刷卡器 并立即支付 这点对普及有点麻烦 Mondex智能卡可以直接从银行或别的卡上接收电子现金 它以电子形式储备真正的现金 怕丢 被别人捡去用了前途未卜 美国消极 Mondex智能卡用于电子商务结算的步骤为 网络消费者将Mondex智能卡插入刷卡器 交易双方彼此验证 商家终端检查消费者刚提交的数字签名来进行认证 如果消费者的数字签名有效 商家终端便把自己的数字签名传给网络消费者Mondex卡 商家终端在线请求结算 同时传输商家的数字签名 消费者Mondex卡检查商家的数字签名 如果签名有效 便从消费者Mondex卡上减去交易额 一旦电子现金从消费者卡上减去 同样金额的资金便转到商家的电子现金帐号上 c 电子钱包结算E Purse 电子钱包含义 随着消费者网上购物次数变多 他们开始厌倦每次采购都要输入送货地址 信用卡信息 个人身份信息等 如果只需在网页上点击一个个人的 钱包图标 就能把这些每次重复的个人商务信息都安全发送给商家网站 加快购物过程 提高购物效率 这就是电子钱包的作用 与实际钱包 智能卡类似 电子钱包把有关方便网上购物信息 如信用卡信息 电子现金 钱包所有者身份证 所有者地址及其他信息等集成在一个数据结构里 以后整体调用 是在小额购物或购买小商品时常用的新式虚拟钱包 电子钱包解决方案应用现状 网上购物使用电子钱包 需要在电子钱包服务系统中进行 目前世界上有VisaCash和Mondex两大电子钱包服务系统 有CyberCash开发的AgileWallet Launchpad开发的eWallet Microsoft的MicrosoftWallet等电子钱包软件 目前还没有统一的电子钱包标准解决方案 因此商家网站支持也不一样 这限制了电子钱包的大规模应用 WWW共同体 W3C 正在制定一个小额支付电子钱包标准 ECML 电子商务模型语言 技术正在发展 有望协助建立统一的电子钱包标准 电子现金含义 电子现金是 E Cash 一种以数据形式流通的货币 它把