第六章电子商务技术方案.ppt

第六章电子商务技术方案,6.1计算机网络6.2无线通信网络6.3安全技术6.4数据仓库,Internet与互联网,互联网是网络与网络相互链接形成的更大的网络。而Internet是世界上最大的互联网。Internet是一个公共的、全球通信网络，为任何遵循ISP（Internetserviceprotocol）协议的用户实现直接互联。,网络协议是为了使在计算机网络中的通信双方能顺利进行信息交换而双方预先共同约定并共同遵循的规程和规则。TCP/IP是不同类型计算机网络之间的互相连接协议。,TCP（transfercontrolprotocol，传输控制协议）是传输层协议，处于应用层和网络层之间。它实现了端到端（peer-to-peer）的通信。IP（Internetprotocol，网际协议）是网络层协议，支持在网络上实现点到点之间可靠通信的最重要的网络协议之一，具有良好的网络互连功能。,Intranet与Extranet,内联网（Intranet）是指采用Internet技术构建的企业内部的局域网。它是基于TCP/IP、Web技术和设备构造的可提供Web信息服务以及数据库访问等服务的企业内联网。外联网（Extranet）是使用Internet/Intranet技术使企业与其客户和其它企业相连来完成其共同目标的合作网络。,计算机网络：内联网与外联网,7,因特网,IP地址,IP协议提供的一种统一的地址格式因特网上的每一个网格和每一台主机分配一个逻辑地址（Internet上电脑的一个编号）,IPv4当前版本的互联网协议，采用32位地址长度，由4组数字组成，每位数字取0255。大约43亿个地址，目前IP地址已枯竭,IPv6下一版本的互联网协议，采用128位地址长度。可让地球上的每一粒沙子都拥有一个IP地址,222.195.8.206,8,因特网,域名,符号化的地址方案，代替数字型的IP地址DNS把IP地址转化为域名的系统,222.195.8.206,网络的传输介质与互联设备,1）双绞线2）同轴电缆3）光导纤维（光纤）4）微波5）卫星通信,中继器（Repeater）（也称重发器）,连接两个(或多个)网段，对信号起中继放大作用。中继器工作于OSI模型的物理层，因此只能连接具有相同物理层协议的网络。当网络负载较重，网段间使用不同的访问方式，或需要数据过滤时，不能使用中继器。,集线器（Hub）,Hub是计算机网络中连接多个计算机或其他设备的连接设备，是对网络进行集中管理的最小单元。英文Hub就是中心的意思，像树的主干一样，它是各分支的汇集点。Hub是一个共享设备，主要提供信号放大和中转的功能，它把一个端口接收的所有信号向所有端口分发出去。一些集线器在分发之前将弱信号加强后重新发出，一些集线器则排列信号的时序以提供所有端口间的同步数据通信。,网桥（Bridge）,网桥也称桥接器，是连接两个局域网的存储转发设备，用它可以完成具有相同或相似体系结构网络系统的连接。,路由器（Router）,路由器是开放系统互连（OSI）协议模型的网络层中的分组交换设备（或网络层中继设备）。路由器可互连局域网和广域网，并且当网络上两端点间存在好几条通路时，路由器还可提供交通控制和筛选功能选择通路。,网关（Gateway）（也称协议转换器）,网关又称信关，当异种网（指异种网络操作系统）互连，或局域网与大型机相连，以及局域网与广域网互连时，需要配置网关。网关具备路由器的全部功能，但主要是完成由于操作系统差异而引起的不同通信协议之间的转换。网关是在传输层及以上各层实现网络的互连。,15,6.1计算机网络6.2无线通信网络6.3安全技术6.4数据仓库,移动通信网络,移动通信（mobilecommunication）：通信双方有一方或两方处于运动中的通信。1G（模拟信号，频分多址FDMA，FrequencyDivisionMultipleAccess）：把频带分成若干信道，相邻小区使用不同的频率，相距较远的小区就采用相同的频率。2G（数字信号，时分多址TDMA）：允许多个用户在不同的时间片(时隙)来使用相同的频率。3G（多媒体数字信号，码分多址CDMA）：不同用户传输信息所用的信号不是依据频率不同或时隙不同来区分，而是用各自不同的编码序列来区分。,3G技术标准：美国标准CDMA2000，中国电信采纳；欧洲标准WCDMA（WidebandCDMA），中国联通采纳；中国标准TD-SCDMA（TimeDivision-SynchronousCDMA，时分同步CDMA），中国移动采纳。4G是真正意义的高速移动通信系统，用户速率上行50MBPS，下行100MBPS。4G支持交互多媒体业务，高质量影像，3D动画和宽带互联网接入，是宽带大容量的高速蜂窝系统。目前4G有5种标准，其中LTE（LongTermEvolution，长期演进）技术是目前的主导技术。,随着物联网（TheInternetofThings,IoT）技术的广泛应用，用于传输物体识别信息的短距离无线通信技术得到迅速发展。物联网是指通过信息传感设备，按照约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪监控和管理的一种网络，是在互联网基础上延伸和扩展的网络。物联网主要实现物品到物品，人到物品，人到人之间的互联。支持物联网运作的主要信息通信技术包括物体感知与识别技术、短距离无线通信网络、远距离通信网络等。,国际电信联盟于2005年的报告曾描绘“物联网”时代的图景：当司机出现操作失误时汽车会自动报警；衣服会“告诉”洗衣机对颜色和水温的要求等等；公文包会提醒主人忘带了什么东西。物联网在物流领域内的应用：一家物流公司应用了物联网系统的货车，当装载超重时，汽车会自动告诉你超载了，并且超载多少，但空间还有剩余，告诉你轻重货怎样搭配；当搬运人员野蛮卸货时，一只货物包装可能会大叫“你扔疼我了”；当搬运人员遗忘某件货物时，该货物包装可能会大叫“别丢下我”。,20,6.1计算机网络6.2无线通信网络6.3安全技术6.4数据仓库,电子商务安全问题,电子商务安全可划分为计算机物理安全、计算机网络安全和商务交易安全等。计算机物理安全包括计算机的异常损毁、被盗、非法使用等，常用的安全技术有系统备份、系统加密等。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。常用的安全措施有防火墙、防病毒软件、入侵检测等。商务交易安全则是指传统商务在互联网络上应用时产生的各种安全问题，主要有交易信息的机密性、真实性、可控性、可用性。商务交易安全的主要安全技术是加密和认证。交易安全是建立在计算机网络安全基础之上的。,电子商务系统的安全要求,安全问题主要是对方是否是真实存在的，购买过程中一些隐私性的数据（例如个人信用卡密码等）是否存在泄漏的风险，企业的服务器是否会受到攻击而瘫痪等等。,22,与电子商务安全相关的问题包括,交易的真实性交易的保密性交易的完整性不可抵赖性,交易开始前，买卖双方能够辨别对方身份的真实性。,交易双方的信息在网络传输或存储过程中不被他人窃取。,交易数据在存储过程中不被恶意或意外地改变、毁坏。,交易双方不能否认彼此之间的信息交流。,23,电子商务系统的安全威胁与防范技术,电子商务系统的安全威胁,（1）计算机网络的安全威胁1）针对计算机系统网络层的攻击和入侵2）针对计算机系统层的攻击和入侵3）针对计算机系统数据库层的攻击和入侵4）针对计算机系统应用层的攻击和入侵,（2）商务交易的安全威胁1）信息窃取2）信息篡改3）身份假冒4）交易的否认,24,安全防范技术,加密技术密钥管理技术数字签名技术入侵检测与防范技术风险评估技术身份认证技术病毒防治技术,25,ISO的安全体系结构与电子商务系统的安全体系,OSI安全体系结构国际标准化组织（ISO）制定的OSI安全体系结构是研究设计计算机网络系统以及评估和改进现有系统的理论依据。OSI安全体系结构定义了安全服务、安全机制、安全管理的功能，并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。,26,OSI规定了5种标准的安全服务对象认证安全服务访问控制服务数据保密服务数据完整性服务防抵赖安全服务,通信双方对各自通信对象的合法性、真实性进行确认，以防假冒。,防止非授权用户非法使用系统资源。,防止信息被截获或被非法存取而泄密。,阻止非法实体对交换数据的修改、插入、删除及防止数据丢失。,证实已发生过的操作，防止对发生的行为进行抵赖。,27,OSI的安全机制和安全服务,28,电子商务系统的安全体系,电子商务系统的安全是各个层次的综合；根据不同的要求，可以在不同层次上加强。,29,安全技术与电子商务系统的安全要求,30,电子商务安全技术,保障电子商务安全主要两大策略：一是加强安全管理，包括安全规章制度的建立、教育、培训等。二是使用安全技术，包括安装必要的杀毒软件、构建网络安全保障体系和信息安全保障体系。,安全技术1：防火墙技术,防火墙是访问控制技术的一种，其目的是通过控制网络资源的存取权限，保障计算机网络、计算机主机和数据的合法访问。,“防火墙的目的是在内部网络和外部网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制”。,防火墙示意图,33,防火墙的功能包过滤网络地址翻译身份认证构造虚拟专用网（VPN）,防火墙的分类包过滤型防火墙应用级代理混合型防火墙,可根据IP地址、协议或端口等拦截有关数据包。,将内部主机的IP地址转换为外部网络的IP，达到隐藏内部主机TCP/IP层次信息的目的，降低内部网络受到攻击的风险。,识别来自外部网用户的身份，决定是否允许访问。,在不安全的公网上建设一个相对安全的、接近于专用网络的通讯环境。,根据源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。,检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。,34,安全技术2：虚拟专用网技术,虚拟专用网(virtualprivatenetwork，VPN)是指使用公共网络传递信息，但通过加密、认证和访问控制等安全措施以维持信息的保密性、完整性和访问限制。“虚拟”的概念是相对传统私有专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用网络服务提供商所提供的公共网络来实现远程的广域连接。,安全技术3：加密技术,加密技术是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始信息，从而确保信息的保密性。,根据加密和解密密钥间的关系，加密技术分为：对称密钥加密体制，又称为私钥加密体制，这种加密体制信息的发送方和接收方用同一个密钥去加密和解密数据。非对称密钥加密体制，又称为公钥加密体制或双钥加密体制。这种加密体制使用两个不同的密钥：一个用来加密信息，称为加密密钥；另一个用来解密信息，称为解密密钥。,安全技术4：数字签名技术,对信息进行加密只解决了信息的保密问题，而要防止他人破坏传输的数据，确定发送信息人的身份，就需要借助数字签名技术。数字签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。,数字签名技术,安全技术5：认证技术,使用公钥加密体制面临两个问题：虽然公钥/私钥提供了一种认证用户的方法，但它并不保证公钥实际上属于所声称的拥有者。在哪里能够找到对方的公钥？解决这两个问题就需要有一个可信的第三方认证机构认证中心(certificateauthority，CA)。,安全技术6：PKI,公钥基础设施(PublicKeyInfrastructure，PKI)是以公钥加密技术为基本技术手段实现安全性的技术。PKI技术中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。给出了在开放的网络环境下提供公钥加密和数字签名服务的统一的技术框架。PKI的功能包括很多方面，主要有签发数字证书、作废证书、签发与发布证书作废表、存储与检索证书和证书作废表、密钥生成、密钥备份和恢复、密钥作废与更新、密钥归档、时间戳、基于策略的证书校验等。,基于PKI体系的电子商务安全系统的认证处理流程,42,43,6.1计算机网络6.2无线通信网络6.3安全技术6.4数据仓库技术,数据仓库,数据仓库（DataWarehouse，DW）是为企业所有级别的决策制定过程提供支持的所有类型数据的战略集合。它是单个数据存储，出于分析性报告和决策支持的目的而创建。为企业提供需要业务智能来指导业务流程改进和监视时间、成本、质量和控制。,44,1、面向主题操作型数据库的数据组织面向事务处理任务，各个业务系统之间各自分离，而数据仓库中的数据是按照一定的主题域进行组织的。2、集成的数据仓库中的数据是在对原有分散的数据库数据抽取、清理的基础上经过系统加工、汇总和整理得到的，必须消除源数据中的不一致性，以保证数据仓库内的信息是关于整个企业的一致的全局信息。3、相对稳定的数据仓库的数据主要供企业决策分析之用，所涉及的数据操作主要是数据查询，一旦某个数据进入数据仓库以后，一般情况下将被长期保留，也就是数据仓库中一般有大量的查询操作，但修改和删除操作很少，通常只需要定期的加载、刷新。,数据仓库的特点,45,4、反映历史变化数据仓库中的数据通常包含历史信息，系