第13章电子商务与网络安全2.ppt

第13章电子商务概述 学习目标了解电子商务的概念 特点 发展历史 电子商务的类别认识电子商务的安全问题理解电子商务的功能及对社会经济的影响学习重点与难点电子商务的概念 特点 框架结构 安全问题 13 1电子商务基本概念 特点 电子商务的定义狭义定义 对整个贸易活动实现电子化工具 互联网 内联网 外联网 业务系统过程 整个贸易过程对象 消费者 销售商 供货商 企业雇员 银行 金融机构以及政府或个人目的 实现企业乃至全社会的高效率 低成本的贸易活动 电子商务的特点 数字化直接化全球化虚拟化透明化 贸易活动包括 提供电子商情电子购物电子数据交换 EDI 事务处理 支付 物流 客户管理 库存管理等 电子商务的业务模式 BtoBBtoCCtoC网上检索 导购 促销 磋商网上财物 供应链管理 传统交易与电子商务的差异 获取信息查看物品订购交款取货 验货售后服务 电子商务产生和发展 电子商务的发展阶段基于电子数据交换 EDI 技术的电子商务阶段基于INTERNET的电子商务阶段 我国上网用户总数1 03亿人 我国大陆网站数量也达到创纪录的67 75万个 网上内容不断丰富 电子政务 信息服务 网络购物等网络应用十分普及 网上购物人数2000万人半年内累计购物金额达到100亿元 第十六次中国互联网络发展状况统计报告 2005 6 30 电子商务的一般框架体系 电子商务的框架是由政策法律框架 应用框架 技术框架构成 电子商务是以这三个框架为基础 由企业 消费者 政府参与的商务活动 技术应用框架 客户端设备区域连接服务中介全球信息网络 政策法律框架 政策框架 包括围绕电子商务的税收制度 信息的定价 信息访问的收费 信息传输成本 隐私问题等美国政府制定 全球电子商务政策框架 全球商业联盟 AGB 电子商务全球行动计划 我国电子商务发展总体框架文件 法律框架 关于跨境交易的关税和税收 电子支付系统 与网上商务有关的 统一商业法律 关于知识产权保护问题 关于著作权 版权 问题 关于专利权问题 关于商标保护问题 关于个人隐私保护 关于安全保密问题 技术标准框架 安全标准 安全算法 数字签名算法 CA认证体系 电子商务安全应用协议等 技术标准 用户接口 传播协议 信息发布标准 安全协议等技术细节 业务标准 业务数据的语义 语法 交换格式和业务过程 年 月 日 为规范电子支付业务 防范支付风险 中国人民银行制定并颁布实施 电子支付指引 第一号 标志着中国人民银行在电子支付规则制定方面取得了新的进展 基本法律体系框架 中华人民共和国电子签名法 电子认证服务管理办法 年 月 日颁布实施了 电子支付指引 第一号 指引 共 章 条 主要包括 电子支付的概念 类型和业务原则 电子支付业务申请的条件 程序和内容 电子支付指令的发起和接收 电子支付的风险防范与安全控制 电子支付差错处理的原则和要求 13 2电子商务的功能 电子商务的功能 广告宣传 交易的咨询洽谈 网上订购 网上支付 电子帐户 销售前后的服务传递 客户的意见征询 对交易过程的管理 网上支付 数字化电子现金系统DIGICASH NETCASH MONDEX电子信用卡CYBERCAH FIRSTCIRTUALHOLDING电子资金传输 电子支票系统E CHECK NETBILL 案例 中国国际电子商务网 中国国际电子商务网标准体系 中国国际电子商务网标准体系 13 3安全电子交易技术 13 3 1SSL协议基于RSA和保密密钥用于浏览器和Web服务器之间的安全连接 启动TCP IP连接的安全性 信号交换 通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证 在双方的身份验证后 双方就可以用保密密钥进行安全的会话了 SSL协议分为两层 SSL握手协议 SSL记录协议 SSL协议与TCP IP协议间的关系图 协商消息包括 协议版本 随机参数 会话ID 交换密钥算法 对称加密算法 压缩算法等 服务器方应发送服务器证书 包含了服务器的公钥等 和会话密钥 客户方发送Certificate消息 产生会话密钥 用服务器的公钥加密 封装在ClientKeyExchange消息中 客户方发送一个ChangeCipherSpec消息 通知安全参数加密 最后再发送一个加密后的Finished消息 13 3 2SET协议 SET协议是针对网上银行卡交易 由Visa和Mastercard联合研制的 为Internet上卡支付交易提供高层的安全和反欺诈保证SET协议保证了电子交易的机密性 数据完整性 身份的合法性和抗否认性 一 安全电子交易规范 SET 1 SET的作用SET主要目的是解决信用卡电子付款的安全保障性问题 保证信息的机密性 保证信息安全传输 不能被窃听 只有收件人才能得到和解密信息 保证支付信息的完整性 保证传输数据完整地接收 在中途不被篡改 认证商家和客户 验证公共网络上进行交易活动的商家 持卡人及交易活动的合法性 广泛的互操作性 保证采用的通讯协议 信息格式和标准具有公共适应性 从而可在公共互连网络上集成不同厂商的产品 2 SET的应用流程 电子商务的工作流程与实际的购物流程非常接近 从顾客通过浏览器进入在线商店开始 一直到所定货物送货上门或所定服务完成 然后帐户上的资金转移 所有这些都是通过Internet完成的 其具体流程为 持卡人在商家的WEB主页上查看在线商品目录浏览商品 持卡人选择要购买的商品 持卡人填写定单 定单通过信息流从商家传过来 持卡人选择付款方式 此时SET开始介入 在SET中 定单和付款指令由持卡人进行数字签名 同时利用双重签名技术保证商家看不到持卡人的帐号信息 商家接受定单后 向持卡人的金融机构请求支付认可 通过Gateway到银行 再到发卡机构确认 批准交易 然后返回确认信息给商家 商家发送定单确认信息给顾客 顾客端软件可记录交易日志 以备将来查询 商家给顾客装运货物 或完成订购的服务 到此为止 一个购买过程已经结束 商家可以立即请求银行将货款从购物者的帐号转移到商家帐号 也可以等到某一时间 请求成批划帐处理 商家从持卡人的金融机构请求支付 在认证操作和支付操作中间一般会有一个时间间隔 持卡人 商家 网关都通过CA来验证通信主体的身份 以确认对方身份 13 3 3PKI协议 公开密钥基础设施 PKI PublicKeyInfrastructure 是一种以公钥加密技术为基础技术手段实现安全性的技术 PKI由认证机构 证书库 密钥生成和管理系统 证书管理系统 PKI应用接口系统等基本成分组成 公开密钥基础设施的优点 透明性和易用性 可广展性 可操作性强 支持多