第二章电子商务技术基础(3)

上节内容回顾：第一章电子商务概述,电子商务的概念1.电子商务的定义（电子和商务两个方面）。2.国际组织对电子商务的解释。电子商务的主要特点1.由Internet及相关技术决定的电子商务的特点（数字化，网络外部性）2.由电子商务系统结构决定的特点（集成性，协调性，可扩展性）3.由交易过程决定的特点（普遍性，虚拟性，交互性）4.由市场主体决定的特点（公平竞争，低成本，消费者的顾客价值高）电子商务的产生和发展电子商务分类1.按照交易主体分类（B2C，B2B，B2G）2.按照交易对象分类（有形电子商务，无形电子商务）3.按照使用网络类型分类（EDI商务，Internet商务，Intranet商务）4.按照网络接入方式分类（网站电子商务，移动电子商务，语音电子商务）电子商务的影响1.对企业影响（影响企业的运作方式、组织方式）2.对经济规则的影响（达维多定律，梅特卡夫定律等）,第二章电子商务的技术基础,第一节Web技术第二节电子商务支付技术第三节电子商务安全技术复习思考题,考核知识点,Web技术（Web、Web2.0）电子商务支付技术保障电子商务支付技术安全的协议（SSL（安全套接层）、SET（安全电子交易）等）电子支付工具（电子信用卡、电子支票、电子现金等）电子商务安全技术（加密技术、数字签名、CA认证等）,第一节Web技术,1Web技术的发展2Web1.0和web2.0的主要技术,1Web技术的发展,Web已经发展到2.0版本阶段。百度知道对Web2.0的定义：Web2.0是相对Web1.0（2003年以前的互联网模式）的新的一类互联网应用的统称。是一次从核心内容到外部应用的革命。由Web1.0单纯通过网络浏览器浏览html网页模式向内容更加丰富、联系性更强、工具性更强的Web2.0互联网模式的发展已经成为互联网新的发展趋势。（Web1.0：单纯通过浏览器浏览html静态页面。Web2.0：内容更丰富、联系性更强、工具性更强。）维基百科中：Web2.0不是一个技术标准，但它包含了技术框架和应用软件。特点：鼓励用户通过分享，让可供分享的资源更加丰富。Web2.0最具有代表性的应用就是Blog。,Web1.0和Web2.0的区别，具体说：在模式上，是单纯的由“读”向“写”、“共同建设”发展，由被动地接收互联网信息向主动创造互联网信息迈进；在基本构成单元上，是由“网页”向“发表/记录信息”发展；在工具上，是由互联网浏览器向各类浏览器、RSS阅读器等内容发展；在运行机制上，是由“ClientServer”向“WebService”转变；在作者上，由程序员等专业人士向全部普通用户发展；在应用上，有初级的“滑稽”的应用向全面大量应用发展。,web1.0与web2.0的比较（二）,2Web1.0和web2.0的主要技术,(1)Web1.0的主要技术：Web是建立在客户机模型上的，以超文本标识语言（HTML）和超文本传输协议（HTTP）为基础，能够面向用户界面的信息浏览系统。Web的基本原理是：由Web客户机上的浏览器向WWW的服务器发出HTTP的请求，服务器接到请求后，进行相应的处理。如通过中间件调动Web服务器中的数据库资料，将处理结构返回给浏览器，客户的浏览器对其进行解释并显示给下级用户。HTML是WWW的基本结构，是由一定语法结构的标识和普通文档组成的。超文本是一种含有核其他文本衔接的文本，它把各文本以非线性的形式连接起来。,动态Web可以用于完成以下电子商务：通过市场营销和广告方式进行客户管理；开发新产品；寻找和开辟更多的网上销售渠道；加强企业内部管理。目前常用的浏览器是微软的InternetExplorer（IE）和Netscape的Communicator。,(2)Web2.0的主要技术:RSS.RSS是一种信息聚合技术，采用标准的XML格式来共享内容，其全称几经变化，从“RDFSiteSummary”RDF站点摘要（RDF是“ResourceDescriptionFramework”的缩写，即是资源描述框架），到“RichSiteSummary”丰富站点摘要，最后到现在得“ReallySimpleSyndication”真正简单聚合。Trackback。Trackback是一种引用功能。网民在浏览文章后，希望将评论保留在自己博客中，一方面便于日后更新维护，另一方面作为自己的创作成果保存。Ajax。该技术是“AsynchronousJavaScriptandXML(以及DHTML)”的缩写，是HTML、CSS、JavaScript等已有技术的综合应用。Tag。Tag（标签）本质上是一种采用关键词的分类技术。它深化了C2B和B2C电子商务模式的分类方法，是一种多维度的分类方法，将信息分类从栏目的方式转向关键词的方式。Web2.0最具有代表性的应用就是博客（Blog）。,第二节电子商务支付技术,1电子商务网上支付概述2电子商务支付技术的安全性3我国电子商务支付系统现状4电子支付工具,1电子商务网上支付概述,(1)电子商务支付技术的概念：电子支付与结算技术是电子商务中必不可少的一部分，也是电子商务生存和发展的基础。电子商务支付技术是电子商务系统的重要组成部分，它是的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金（E-cash）、信用卡（CreditCard）、借记卡(DebitCard)、智能卡等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付。,(2)电子商务支付技术的发展情况：两大国际信用卡组织VISA和MasterCard合作制定的安全电子交易协议（SET）定义了一种电子支付过程的标准，其目的就是保护WWW上支付卡交易的每一个环节。SET是专为网上支付卡业务安全所指定的标准。此外，第三方支付解决了电子商务的瓶颈-网上支付信用与安全问题。所为第三方支付，是指为了保障电子商务的支付安全，支付通过买卖双方之间完全中立的一家企业来完成。,2电子商务支付技术的安全性,电子商务支付技术的安全包括：保密性、认证、数据完整性、交互操作性等。目前国内外使用的保障电子商务支付技术安全的协议包括：SSL（SecureSocketLayer,安全套接层）、SET（SecureElectronicTransaction,安全电子交易）。,SSL协议:它是在网络上普遍使用，能保证双方通信是数据的完整性、保密性和互操作性，在安全要求不太高时可用。它包括：握手协议。即在传送信息之前，先发送握手信息以相互确认对方的身份。确认身份后，双方共同持有一个共享密钥。消息加密协议。即双方握手后，用对方证书（RSA公钥）加密一随即密钥，在用随机密钥加密双方的信息流，实现保密性。目前的B2C网上支付大多采用这种办法，SSL使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家，如同使用一个安全电话连接将用户的信用卡通过电话读给商家。商家欺诈是SSL协议所面临的最严重问题之一。因为SSL协议只进行商家对客户的认证，缺乏客户对商家的认证。所以SSL协议一般服务于银行对企业或企业对企业的电子商务。,（1）SSL协议,(2)SET安全电子交易协议,SET是实现在开放的网络（Internet或者公众媒体网）上使用付款卡（信用卡、借记卡、取款卡等）支付的安全事务处理协议。交易流程为：持卡人决定购买,向商家发出购买请求；商家返回同意支付等信息；持卡人验证商家身份，将订购信息和支付信息安全传送给商家，但支付信息对商家来说是不可见的（用银行公钥加密）；商家验证支付网关身份，把支付信息传给支付网关，要求验证持卡人的支付信息是否有效；支付网关验证商家身份，通过传统的银行网络到发卡行验证持卡人的支付信息是否有效，并把结果返回商家；商家返回信息给持卡人，送货；商家定期向支付网关发送要求支付信息，支付网关通知卡行划账，并把结果返回商家，交易结束。,安全电子交易使用的安全技术包括加密（公开密钥加密，秘密密钥加密）、数字信封、数字签名、双重数字签名、认证等。他通过加密保证了数据的安全性，通过数字签名保证了交易各方身份认证和数据的完整性，通过使用明确的交互协议和消息格式保证了互操作性。优点：保证了数据的安全性,交易各方身份认证和数据的完整性及互操作性。缺点：实现比较复杂。,3我国电子商务支付系统现状,我国电子商务支付系统现状：法律方面。目前还没有完整的电子商务的法规，数字签名的有效性也没有得到法律的认可，这对电子商务的发展很不利；金融行业方面。用卡付款代替传统的现金付款已越来越被人们接受，逐步全面开展网上支付；市场方面。由于电子商务潜在巨大的利润，商家盼望电子商务早日实现。顾客方面。电子支付为用户提供了很大的方便，得到了用户的欢迎，但由于电子支付要用户承担一定的风险，所以要顾客普遍接受电子支付还需要时间。,4电子支付工具,电子支付工具：电子钱夹（电子信用卡）。信用卡支付是电子支付中最常用的工具。信用卡的卡基有磁条卡发展为能够读写大量数据、更加安全可靠的智能卡，因此被称为电子信用卡或电子钱夹。电子支票。电子支票是网络银行常用的一种电子支付工具。将传统支票改变为带有数字签名的电子报文，或利用其他数字电文代替传统支票的全部信息，就是电子支票。电子现金（电子钱包）。电子现金是以电子化数字形式存在的现金货币。其他金融工具：智能卡、磁条卡、IC卡、光卡。除了上述的电子信用卡、电子现金和电子支票外，还有电子零钱、安全零钱、在线货币、数字货币等。,第三节电子商务安全技术,1电子商务的安全问题2电子商务系统的安全技术3电子商务交易的一般安全控制结构,从技术角度来看，在电子商务中有3个关键的薄弱点：客户、服务器及通信信道,服务器端ISP商家银行,仓库,1、恶意代码病毒：宏病毒、文件感染型病毒、脚本病毒蠕虫：蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。特洛伊木马“恶意程序”,2、黑客行为与网络破坏活动黑客企图在未经授权的情况下进入计算机系统的人，有白帽黑客、黑帽黑客、灰帽黑客之分。1983年，凯文米特尼克因擅自进入今日互联网的前身ARPA网，并通过该网进入了美国五角大楼的电脑，而被判在加州的青年管教所管教了6个月。1988年，凯文米特尼克被DEC指控他从公司网络上盗取了价值100万美元的软件，并造成了400万美元损失。1993年，自称为“骗局大师”的组织成功入侵美国国家安全局和美立坚银行，他们建立了一个能绕过长途电话呼叫系统而侵入专线的系统。1995年，俄罗斯黑客弗拉季米尔列宁成为历史上第一个通过入侵银行电脑系统来获利的黑客，他侵入美国花旗银行并盗走一千万，后在英国被国际刑警逮捕，已把帐户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。,1999年，梅利莎病毒（Melissa）使世界上300多家公司的电脑系统崩溃，该病毒造成的损失接近4亿美金，它是首个具有全球破坏力的病毒，该病毒的编写者戴维斯密斯在编写此病毒的时候年仅30岁。戴维斯密斯被判处5年徒刑。2000年，年仅15岁，绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器，他成功阻止服务器向用户提供服务。2006年10月16日，中国骇客（李俊）发布熊猫烧香病毒，并在短短时间内，致使中国数百万用户受到感染，并波及到周边国家，比如日本。他于2007年2月12日被捕。,2007年，中国一名网名为TheSilents(折羽鸿鹄)的黑客在6月至11月成功侵入包括CCTV、163、TOM等中国大型门户服务器。2008年，一个全球性的黑客组织，利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。黑客们攻破的是一种银行系统，用各种技巧取得了数据库内的银行卡信息，并在11月8日午夜，利用团伙作案从世界49个城市总计超过130台ATM机上提取了900万美元。最关键的是，目前FBI还没破案，甚至据说连一个嫌疑人都没找到。2009年7月7日，韩国遭受有史以来最猛烈的一次攻击。韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站进行了攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开！这是韩国遭遇的有史以来最强的一次黑客攻击。,3、信用卡诈骗,2006年12月，美国超市集团TJX发现两个电脑系统被黑客入侵，至少有4560万信用卡号码被盗，遂向警方报了案。TJX在加拿大、美国和欧洲经营着2500余家超市。这些信用卡资料中，至少有45万个包括名字、地址和个人身份证号码（包括社会保险号），这些额外的信息大大方便了黑客制作克隆卡，因而极大地加剧了风险。经过四个国家警方历时三年的努力，此案终于告破。这11名黑客团伙的作案对象主要是零售商，其中，TJX是最大的受害者。除了TJX，还包括BJsWholesaleClub、OfficeMax、Barnes&Noble和theSportsAuthority等。根据美国法庭2010年3月25日判处美信用卡大盗AlbertGonzalez入狱20年，创下了美国历史上对网络黑客判罚最严厉的案例记录。,4、电子欺骗用虚假的电子邮件地址的方法来虚构自己的身份或伪装成其他人把网站伪装成指定的地址，从而把网络连接重新定向到非指定的其他地址威胁完整性、真实性,5、拒绝服务攻击向网站大量发送无用的通信流量来淹没网络并使网络瘫痪IP欺骗DOS攻击6、网络窃听电子邮件窃听,1电子商务的安全问题,（1）电子商务的安全隐患：对合法用户身份的仿冒；网络传输数据的保密性；网络传输数据的完整性；利用网络数据恶意攻击网络硬件和软件，从而导致商务信息传递的丢失、破坏；商业欺诈和故意抵赖。,1电子商务的安全问题,（2）电子商务安全要素：有效性。对网络故障和病毒等所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、地点是有效的；保密性。电子商务系统应及时对传输信息进行加密处理，防止交易中信息被非法截获或读取；完整性。防止对交易信息的随意改动、丢失和重复，并保证信息传递次序的统一；可靠性、不可抵赖性和可鉴别性。电子商务系统应提供交易双方的身份鉴别机制，确保交易双方的身份信息是可靠和合法的，保证交易各方对已作出交易无法抵赖。,2电子商务系统的安全技术,加密技术：加密技术是电子商务最基本的安全措施。分为对称加密和非对称加密两类。加密技术就是采用数学方法对原始信息进行再组织，使得在网上公开传输的内容对于非法接收者来说成为毫无意义的文字，对于合法接收者经过解密可以得到原始信息。对称加密也叫单钥，这种方法的加密钥匙和解密钥匙是相同的，常用的对称加密算法有DES、PCR、IDEA、3DES等，其中DES使用最普遍。非对称加密的密钥被分解为公开密钥和私有密钥。密钥生成后，公开密钥以非保密方式对外公开，只对应生成该密钥的发布者，私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都快使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与公开密钥相对应的私有密钥进行解密，常用的非对称加密为RSA算法。,什么是加密？,加密：用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。解密：加密的逆过程。包括四部分：明文、密文、算法、密钥。,明文：Howareyou密文：LSAEVICSY,加密算法：两个序列的同一个字母相差4个位置。密钥：4,（1）对称加密概念：加密所使用的密钥和解密所使用的密钥相同或相对。对称密钥的算法是公开的，交换信息的双方不必须交换加密算法，而是采用相同的加密算法，但需要交换加密密钥。过程：,特点：加解密速度快；由于算法公开，其安全性完全依赖于对密钥的保护；若贸易伙伴多，则密钥数量多且保管困难；难以进行身份认证。代表算法-DES算法DataEncryptionStandard,（2）非对称加密概念：通常也称为双钥密码体制或公开密码体制，需要采用两个在数学上相关的密钥对公开密钥和私有密钥来对信息进行加解密。过程：,特点：密钥分配简单；密钥的保管量少；可以实现身份认证；加解密速度慢。代表算法：RSA算法,小结：对称与非对称加密体制对比,2电子商务系统的安全技术,安全认证技术。认证的实现包括智能卡、数字签名和数字证书技术等。（1）智能卡：它是一种智能集成电路卡，不但提供读写数据和存储数据的能力，而且还具有对数据进行处理的能力，可以实现对数据的加密和解密，能进行数字签名和验证数字签名。（2）数字签名：它是非对称机密技术中的一种技术，其主要方式为报文发送方从报文文本中生成一个128位的散列值，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名。（3）数字凭证：它又称为数字证书，是用电子手段来证实一个用户的身份和限定对网络资源访问的权限。数字证书的使用涉及数字认证中心CA（CertificateAuthority）。数字证书是数字认证中心CA签发的。,数字签名文件的数字签名技术实际上是通过数字摘要和非对称密钥加密体制两者结合来实现的。采用数字签名，对传输数据实现了两种保护：1）完整性2）真实性,（4）CA认证：在电子商务系统中CA是具有权威性、公正性、可信任的第三方，它负责为用户签发证书，提供身份认证服务，是整个系统的安全核心。（5）数字信封混合加密技术：数字信封技术综合了私密密钥加密技术和公开密钥加密技术的优点，它使用私密密钥对信息进行加密，是用接收方提供的公开密钥对私密密钥进行加密，接收方收到信息后，