电子商务完整课件-华中科大,223页汇编

1、1、 了解电子商务的概念 2、 掌握(zhngw)电子商务的技术 3、能规划电子商务的网站4、一种电子商务解决方案电 子 商 务 概 论 要 求 共二百二十四页第一章 电子商务(din z shn w)概述本章目的商品交易模式传统(chuntng)商务与电子商务的区别源码网整理：共二百二十四页一、商品交易的发展原始社会：不存在商品交易生产力的发展，出现剩余商品，物物交换交易范围的扩大，出现货币社会化大生产及分工的日趋专业化，出现了“中介人”二、商品交易的三个阶段交易前：买卖双方和参与交易的各方在签约之前所进行的活动买方(mi fn)：获取信息卖方：发布信息第一节 商品交易模式(msh)：共二百

2、二十四页商品交易模式(msh)交易中：双方就交易细节进行谈判，最后签订贸易合同。合同洽谈单证传递合同签订交易后：双方办完各种手续后，到买方得到商品、卖方得到货币(hub)的过程。物流配送资金转移售后服务支持共二百二十四页商品交易模式(msh)三、商品交易的四个流信息流：交易双方在交易过程中所涉及到的各种信息，既包括商品信息的提供、促销行销、技术支持、售后服务等内容(nirng)，也包括诸如询价单、报价单、付款通知单、转帐通知单等商业贸易单证，还包括交易双方的支付能力、支付信誉等。商流：商品在购、销之间进行交易和商品所有权转移的运动过程。物流：物质实体（商品或服务）的转移过程。资金流：资金的转移

3、过程。共二百二十四页第二节 传统商务模式(msh)与电子商务模式(msh)的区别一、交易过程的区别交易前：传统商务：买方获取信息：新闻媒介、向卖方索取产品材料；卖方发布信息：广告宣传、印制宣传单与产品说明书、产品清单(qngdn)。电子商务：网站交易中：传统商务：面对面、信件与电话、纸质合同共二百二十四页传统(chuntng)商务模式与电子商务模式的区别电子商务：e_mail、视频会议系统、电子合同。交易后：物流：资金(zjn)转移：售后服务电子商务所具有的特点：交易虚拟化交易成本低共二百二十四页传统商务(shngw)模式与电子商务(shngw)模式的区别通信与人工成本低中介的减少广告费用降低

4、文件处理与纸张费用无库存方式提高效率、降低管理成本办公环境(hunjng)的成本交易效率高（速度）交易透明化共二百二十四页第二章 电子商务(din z shn w)概念本章(bn zhn)目的电子商务的基本概念 Internet 商务活动的主要方式 电子商务的类别 电子商务产生和发展的条件 电子商务的应用领域和发展现状共二百二十四页第一节 电子商务(din z shn w)概念一、电子商务的定义电子商务是信息流、资金流和物流（商流）的完美结合。电子商务是指对整个贸易活动实现(shxin)电子化。电子商务是通过电子方式的商务活动。 电子商务是各参与方之间以电子方式而不是以物理交换或直接物理接触方

5、式完成任何形式的业务交易。共二百二十四页电子商务(din z shn w)概念电子商务是在Internet网络上进行的重要事务，不仅仅是商业交易。电子商务是指在从售前服务到售后支持的各个环节实现电子化、自动化。电子商务是利用 Internet网络进行的商务交易。电子商务是一种支持商务交易和涉及价值交换的商业事件的处理过程。电子商务是EDI在Internet上的推广(tugung)使用。共二百二十四页电子商务是一个以Internet/Intranet网络为构架，以交易双方为主体，以银行支付和结算为手段，以客户数据库为依托的全新商业模式。E-business=Web+IT+business流行的说

6、法：电子(dinz)商务分广义和狭义，狭义的电子(dinz)商务即指电子(dinz)贸易(e-commerce)，主要是指利用Web提供的通信手段在网上进行的交易，而广义的电子商务(e-business）包括电子贸易在内的利用Web进行的全部商业活动，如市场分析、客户联系、物资调配等。电子商务(din z shn w)概念共二百二十四页电子商务(din z shn w)概念：二、概念的相同点主要表现在：都采用（或源于）同一个术语(shy)电子商务；都强调电子工具，强调在现代信息社会，利用多种多样的电子信息工具；工具作用的基本对象都为商业活动。三、概念的不同点主要有：技术的涵盖面不同（均包括运用

7、Internet技术）商务的涵盖面不同（其中均包括交易）共二百二十四页电子商务(din z shn w)概念：四、表示(biosh)方法：Microsoft:e-commerceI B M : e-businessH P : e-service共二百二十四页一、概念的起源：1839年，电报出现，人们(rn men)就开始对运用 电子手段进行商务的讨论1969年EDI的出现1991年万维网在Internet上出现 是电子商务规模发展的标志1997年IBM公司推出电子商务全球概念1999年“政府上网年”2000年“企业上网年”2001年“小企业上网年”第二节 电子商务(din z shn w)起源

8、共二百二十四页20世纪60年代末，EDI产生于美国1987年，联合国规定有关行政、商业及交通运输的电子交换标准UN/EDIFACT90年代INTERNET的发展对EDI产生促进作用EDI定义：EDI是用户的计算机系统之间的对结构化、标准化的商业信息进行自动传输和自动处理的过程。EDI不仅是一种用电子单据取代人工单据的方法(fngf)、用电子传输取代传统传输的方式，更是一种用电子数据输入取代传统人工数据输入的方法(fngf)。二、电子商务(din z shn w)业务起源EDI：共二百二十四页电子商务(din z shn w)起源EDI：EDI目的：不仅是消除纸张，更主要的是消除处理的延误及数据

9、的重复输入，减少数据出错的概率。EDI的益处降低业务处理差错缩短业务运转周期降低贸易成本改善(gishn)客户服务质量共二百二十四页电子商务(din z shn w)起源EDI：EDI的益处降低库存成本加速资金(zjn)流动提高企业的竞争能力共二百二十四页电子商务(din z shn w)起源EDI：EDI的处理过程用户在现有(xin yu)的计算机应用系统上进行信息的编辑处理，然后通过EDI转换软件(Mapper)将原始的单据格式转换为平面文件(Flat file)，平面文件是用户原始资料格式与EDI标准格式之间的对照性文件，它符合翻译软件的输入格式，通过翻译软件（Translator）变成

10、EDI标准格式文件，然后在文件外层加上通信信封（Interchange），通过通信软件发送到增殖服务网络或直接传送给对方用户，对方用户则进行相反的处理过程，最后成为用户系统应用能够接受的文件格式进行收阅处理。共二百二十四页电子商务(din z shn w)起源EDI：EDI的成本硬件(yn jin)成本软件成本人工成本通信成本EDI教育培训成本EDI组织会员成本顾问成本共二百二十四页电子商务(din z shn w)起源EDI：EDI的效益提高客户(k h)满意程度提高产品竞争力降低停工待料风险降低纸张使用成本提高工作效率节省库存费用减少错误资料处理节省人员费用共二百二十四页电子商务(din

11、z shn w)起源EDI：EDI的首期投入很大INTERNET的发展(fzhn)1969年，DOD改善美国政府和国防研究机构之间的通信联系，DAPRAAPRAnet1975，研究TCP/IP1983年，NSFnet1992年，商业数据传输与浏览器的产生1993年，NII1995年，GII及NSFnet拆除共二百二十四页三、基于(jy)Internet的电子商务优势费用低廉覆盖面广功能更全面使用(shyng)更灵活共二百二十四页四、电子商务在中国发展的现状与问题电子商务在中国发展的历史 中国Internet的发展经历了三个阶段：第一阶段（1989-1994初）以E-mail为主要应用的国际互联

12、网间接连接；第二阶段（1992-1994.4）与国际互联网的全功能直接连接，即国际Internet开通；第三阶段（1994.4-现在(xinzi)）-中国Interent建设的全面铺开。共二百二十四页电子商务在中国发展中的问题 1、网络(wnglu)基础设施2、资金网上结算问题3、商品交互问题4、安全问题5税收问题6、企业的信息意识、经营意识、管理水平7、电子商务法律问题8、政府的角色定位问题共二百二十四页五、电子商务产生和发展(fzhn)的条件计算机的广泛应用网络的普及和成熟信用卡的普及应用安全电子(dinz)交易协议的制定政府的支持和推动共二百二十四页六、企业电子商务成功(chnggng)

13、的条件整个(zhngg)企业社区的局域网络的建设广域网建设实现Internet和Intranet的改造和升级商业电子化和金融电子化所需基础设备的完善实现电子货币的流通第三方物流与物流配送系统共二百二十四页第三节 电子商务(din z shn w)的类别商业活动的运作方式：完全电子商务和非完全电子商务。开展电子交易的范围：本地电子商务、远程国内电子商务和全球电子商务。电子商务交易对象的不同：BtoB、BtoC、BtoG、CtoG等。企业处理方案的复杂程度：网上黄页(hun y)、简单的电子商务解决方案、完整的电子商务解决方案。电子商务活动的性质：电子事务处理和电子贸易处理共二百二十四页企业(qy

14、)-企业 传统商务过程：需求调查-材料采购-生产-商品销售-收款-货币(hub)结算-商品交割 电子商务过程：电子查询进行需求调查-电子单证调查原材料信息确定采购方案-生产-电子广告促销-电子货币接收-电子银行货币结算-商品交割共二百二十四页企业(qy)-企业 电子商务带来的好处： - 即时、准确地获取消费(xiofi)信息 - 准确定货、减少库存 - 网络促销 - 提高效率、降低成本，获取更大利益共二百二十四页 网上购物过程： - 通过INTERNET查询自己要的物品 - 输入定货单 - 通过电子商务(din z shn w)服务器与有关商店联系并应答：所购货物的单价、应付款数、交货等信息

15、- 客户确认，电子钱包付钱 - 加密送到相应的银行，同时销售商收到购货单，并对客户编码转送到服务器，经确认后送到信用卡公司和银行 - 经商业银行证明有效，销售商便可付货企业(qy)-消费者共二百二十四页消费者购物(u w)模型电子(dinz)支付消费者的开户银行消费者的开户银行消费者商 场共二百二十四页企业(qy)-消费者电子商务成功(chnggng)案例： 全球最大虚拟书店： 顾客可以自己管理和跟踪的快递公司：预定外买食品： 共二百二十四页企业(qy)-政府 - 相关的活动：政府采购、税收、商检、管理条例发布(fb) - 角色： 电子商务的使用者 电子商务的宏观管理者 - 作用：引导作用共二

16、百二十四页第三节 电子商务在社会经济(jngj)中的地位电子商务(din z shn w)形成了商务劳动新的生产力电子商务是国民经济的发动机电子商务是经济调控的重要工具共二百二十四页电子商务(din z shn w)对社会经济的影响改变传统商务活动的方式改变人们的消费方式改变企业的生产方式对传统行业带来一场革命带来一个全新的金融业转变政府的行为影响国民经济(gumnjngj)信息化呼唤新的商务政策和法规加快社会信息化的进程共二百二十四页 电子商务所引起的经济变革电子商务下的消费者1、购物方式(fngsh)2、生活方式3、就业共二百二十四页电子商务下的企业1、虚拟企业 2、横向(hn xin)革

17、命3、内部市场4、网络管理5、企业群体共二百二十四页电子商务下的产业 1、电子商务将支持的产业（）书籍、CD、VCD等以文字、图形、多媒体表现的产品在网上销售的量会增加。 （）大宗产品、质量稳定、有明确质量标准并易于检测的商品通过网上销售的量会增加。 （）以前(yqin)通过邮寄目录、电话、电视销售的商品很容易发展为网上销售。共二百二十四页电子商务下的市场 1、虚拟市场的形成2、中小企业的发展3、成本结构变化4、竞争领域扩大5、进入壁垒提高(t go)6、市场行为的规范共二百二十四页电子商务下的政府与宏观调控 1、新型政企关系的建立 2、电子商务的发展十分有利于宏观调控的目标实现 增长(zng

18、zhng)、稳定、高就业、低通胀。电子商务的发展，使得经济在信息产业的带动下得以高速增长(zngzhng)；产消见面有助于供求关系的稳定；中小企业的发展增加了就业，此外，电子商务的发展对降低通胀也具有经济意义。共二百二十四页第四节 电子商务(din z shn w)的功能广告宣传咨询洽谈网上订购网上支付电子帐户服务传递意见(y jin)征询交易管理共二百二十四页电子商务(din z shn w)的特性普遍性方便性整体性安全性协调性共二百二十四页第五节 电子商务(din z shn w)的系统构成电子商务框架结构三层框架形式：网络平台、电子商务基础平台、应用平台网络平台：Intranet/Int

19、ernet、Internet、商业(shngy)增值网络基础平台：CA认证中心、支付网关、客户服务中心应用系统：WWW、电子邮件、股票交易等子系统：MIS、信用卡服务系统、DBS、EDI、商业翻译系统、商务认证和服务系统等。共二百二十四页电子商务(din z shn w)网络消费者(持卡人)商家(shn ji)开户银行收单银行认证中心支付网关Internet金融专网金卡网络共二百二十四页电子商务(din z shn w)网络消费者商家(shn ji)认证中心银行（开户行）银行（收单行）支付网关共二百二十四页第三章 电子商务安全(nqun)技术概述防火墙技术加密技术认证技术病毒的防护安全(nqu

20、n)协议共二百二十四页第一节 概述(i sh)一、电子商务安全现状黑客的不断(bdun)增多、合法的黑客组织公开出版黑客杂志、召开黑客技术交流会等对美国国防部的攻击行动成功率为65.96%1999.4.26，CIH病毒的爆发163IT被攻击2000.2.72000.2.9，美国黑客事件yahoo，buy，ebay、CNN、Amazon，ZDNet1999.3.311999.5.5，电子商务安全网上调查共二百二十四页概述(i sh)电子攻击可以分为三个层次低层威胁：局部(jb)的威胁，包括消遣性黑客、破坏公共财物等中层威胁：有组织的威胁，包括一些有组织的威胁、有组织的犯罪、工业间谍等高层威胁：国

21、家规模上的威胁，包括对外国的政府、恐怖主义组织发起的全面信息战可植入计算机系统的黑客程序共二百二十四页概述(i sh)二、电子商务面临的安全威胁卖方（销售者）：系统中心安全性被破坏(phui)竞争者的威胁商业机密的安全假冒的威胁信用的威胁共二百二十四页概述(i sh)买方（消费者）：虚假订单付款后不能收到商品机密性丧失拒绝服务攻击(gngj)手段中断：攻击系统的可用性窃听：攻击系统的机密性篡改：攻击系统的完整性伪造：攻击系统的真实性共二百二十四页概述(i sh)三、电子商务的安全要素有效性机密性完整性可靠性/不可(bk)抵赖性/鉴别审查能力共二百二十四页概述(i sh)四、电子商务(din z

22、 shn w)安全问题产生的原因开发者留下的隐患网络设备和软件本身的问题管理的漏洞共二百二十四页第二节 防火墙技术(jsh)一、概念防火墙是指一个由软件和硬件设备组合而成，处于企业或网络(wnglu)群体计算机与外界通道之间，用来加强因特网与内部网络(wnglu)之间安全防范的一个或一组系统。二、作用：限制外界对信息资源的非法访问阻止专利信息从企业的网络上被非法输出共二百二十四页防火墙技术(jsh)三、设置规则：凡是未被允许的就是禁止的凡是未被禁止的就是允许的四、原则：可适应的安全管理模型：安全=风险分析+执行策略+系统实施+漏洞检测+实时响应硬件防火+软件防火五、分类：（包过滤技术与代理服务

23、技术）网络(wnglu)级防火墙应用级网关电路级网关规则检查防火墙共二百二十四页第三节 加密技术防火墙是一种被动的防卫技术加密技术是一种主动的防卫技术加密(ji m)包含两个基本要素：算法和密钥加密技术主要分为两大类：对称与非对称一、对称加密技术概念：在对称加密体制中，加密所使用的密钥和解密使用的密钥相同，或者加密密钥和解密密钥虽然不同，但可以从其中一个密钥推导出另一个密钥。也称“单密钥体制”。共二百二十四页加密技术对称加密技术的常用算法：DESData Encryption Standard有三个参数：密钥Key、数据Data、工作模式ModeDES将数据分成(fn chn)长度为64位的数

24、据块，DES的密钥长度也为64位，其中8为奇偶校验，有效长度为56位加密过程：将明文数据进行初始置换，以一定的规则打乱明文的排列顺序分为两段，每段32位乘积变换，在密钥控制下做16次迭代逆初始变换得到密文共二百二十四页加密技术加密(ji m)流程：源信息(xnx)（明文）加密后的信息（密文）密钥（加密）Internet加密后的信息（密文）解密后的信息（明文）密钥（解密）共二百二十四页加密技术对称加密技术存在的问题算法公开，安全性完全依赖于对密钥的保护，导致密钥更新时的传递(chund)过程中存在的安全问题；密钥数量大，导致密钥管理上的困难；不能进行信息的完整性鉴别；难以进行身份的认定二、非对称

25、加密技术概念：在加密体制中，用于加密的密钥和用于解密的密钥是不一样的，每个参与信息交换的人都拥有一对密钥，这一对密钥是以一定的算法生成的，相互配合才能使用，用其中一个密钥加密的信息，只有用与之对应的另一个密钥才能解密，并且从其中一个密钥中无法推导出另一个密钥。共二百二十四页加密技术非对称加密技术的常用算法：RSARivest、Shamir、Adlernan利用两个很大的质数相乘所产生(chnshng)的乘积来加密，这两个质数无论哪一个先与原文件编码进行相乘，对文件加密，均可以由另一个质数再相乘来解密，但要用一个质数来求出另一个质数，则是十分困难的。这两个质数称为密钥对(Key Pair)，在应

26、用时，用户总是将一个密钥公开，称为公开密钥，另一个称为私有密钥共二百二十四页加密技术加密(ji m)流程：源信息(xnx)（明文）加密后的信息（密文2）Internet加密后的信息（密文2）解密后的信息（明文）加密后的信息（密文1）解密后的信息（密文1）发送者的私有密钥（加密）接收者的公开密钥（加密）发送者的公开密钥（解密）接收者的私有密钥（解密）共二百二十四页加密技术非对称加密技术的优点密钥分配简单密钥的保存量少可以实现身份(shn fen)鉴别不足信息的完整性和一致性源码网整理：共二百二十四页加密技术三、RSA与DES的互补RSA加密速度慢，DES加密简单，可以采取两种算法互补的方法实现。

27、用DES对文件信息进行加密用RSA加密DES的密钥。四、密钥管理技术对称密钥技术需要的密钥很多，但是速度(sd)快，非对称密钥技术需要的密钥很少，加密密钥可以公开一个，很容易进行管理，在Internet环境下，非对称密钥技术具有先天的优势。ISO与IEC下属的信息技术委员会JTC1起草了关于密钥管理的国际标准规范，包括三个部分：密钥管理框架；采用对称技术的机制；采用非对称技术的机制。共二百二十四页加密技术(1) 对称密钥管理对称密钥是基于共同保守秘密来实现的。保证采用的是相同的密钥保证彼此密钥的交换是安全可靠的设定防止密钥泄密和更改密钥的程序采用公开密钥加密技术实现对称密钥的管理。贸易方为每一

28、次交换的信息生成唯一一把密钥，并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的贸易方。不需要对密钥进行维护和担心密钥的泄露或过期即使密钥泄露，仅影响(yngxing)一次交易共二百二十四页加密技术(2) 公开密钥管理/数字证书使用数字证书（公开密钥证书）来交换公开密钥ITU（国际电信联盟）制定的标准X.509（信息技术 开放系统互连目录：鉴别框架）对数字证书进行了定义，该标准等同与ISO和IEC联合发布的ISO/IEC9594-8：195标准。数字证书通常包括(boku)：唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者

29、的数字签名、证书的有效期、证书的序列号等。证书的发布者成为证书的管理机构（CA）共二百二十四页加密技术(3) 公开密钥基础设施PKIPKI的基本组成PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必须的密钥和证书管理。必须具备(jbi)有认证机关（CA）、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分。认证机关CA证书是公开密钥体制的一种密钥管理媒介，它是一种权威的电子文档，用于证明某一主体的身份以及其公开密钥的合法性，必须有一个可信的机构对任何一个主体的公钥进行公证，证明主题的身份以及他与公钥的匹配关系。共二百二十四

30、页加密技术证书库证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。采用支持LDAP协议的目录系统，系统必须确保证书库的完整性，防止(fngzh)伪造和篡改证书。密钥备份和恢复系统备份用于数据解密的密钥（脱密数据的密钥）用于数字签名的密钥不能做备份。证书作废处理系统在有效期内可能作废，策略：作废一个或多个主体的证书、作废由某一对密钥签发的所有证书、作废由某个CA签发的所有证书。共二百二十四页加密技术作废证书一般通过将证书列入作废证书表(CRL)来完成。PKI应用接口系统PKI的价值在于使用户能够方便地使用加密、数字签名等安全(nqun)服务，一个完整的PKI必须提

31、供良好的应用接口系统，使得各种应用能够以安全、一致、可信的方式与PKI交互，确保建立起来的网络环境的可信性，同时降低管理维护成本。为了向应用系统屏蔽密钥管理的细节，PKI接口系统需要实现如下的功能：完成证书的验证工作共二百二十四页加密技术以安全、一致的方式与PKI的密钥备份及恢复系统交互在所有应用系统中，确保用户的签名私钥始终只在本人的控制下，阻止备份签名私钥的行为根据安全策略自动为用户更换密钥，实现密钥更换的自动、透明与一致为方便用户访问加密的历史数据，向应用提供历史密钥的安全管理服务为所有应用访问统一的公用证书库提供支持(zhch)以可信、一致的方式与证书作废系统交互完成交叉证书的验证工作

32、支持多种密钥存放介质跨平台共二百二十四页加密技术PKI的功能PKI应为应用提供如下的安全支持：证书与CA密钥备份及恢复证书、密钥对的自动更换交叉签证：每个CA只可能(knng)覆盖一定的作业范围，即CA的域，当隶属于不同的CA的用户需要交换信息时，就需要引入交叉证书和交叉验证。加密密钥和签名密钥的分隔支持对数字签名的不可抵赖密钥的历史管理共二百二十四页加密技术PKI的性能要求PKI必须具备有良好的性能，要求如下：透明性和易用性：向用户屏蔽密码服务的实现细节和复杂的安全解决方案，使其简单易用，同时便于单位、企业完全控制其信息资源；可扩展性：证书库与CRL的可扩展性互操作性：针对不同(b tn)应

33、用，PKI必须建立在标准上，有加密标准、数字签名标准、HASH标准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、程序接口规范等支持多应用支持多平台共二百二十四页第四节 认证(rnzhng)技术一、证书认证中心（CA中心）认证中心CA，又称为证书授权(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放(ffng)和管理数字证书的权威机构。认证中心采用一种多层次的分级结构CA中心为每个使用公开密钥的用户发放一个数字证书，证明其合法性CA机构的数字签名使得攻击者不能伪造和篡改证书参加电子商务的主体

34、必须获得CA颁布的电子证书共二百二十四页认证(rnzhng)技术CA解决的问题安全保障防窃听防冒充防篡改防抵赖CA中心的功能(gngnng)证书的颁发证书的更新证书的查询共二百二十四页认证(rnzhng)技术证书(zhngsh)的作废证书的归档安全解决方案的内容认证中心的建立密码体制的选择安全协议的选择认证中心的基本框架结构技术方案基础设施运作管理共二百二十四页认证(rnzhng)技术第三方CACA中心是一个公证机构，其管理和维护工作(gngzu)应该由专门的机构负责，该机构应独立于电子商务业务的主题之外认证是电子商务中的一个核心问题，认证机构的建立必须考虑权威性、安全性、考虑高效、快捷，并注

35、意投入产出比注意几个问题：身份认证、资信认证、企业税收情况成立对应的认证（工商、银行、税务）行业认证中心、第三方认证中心共二百二十四页认证(rnzhng)技术中国金融认证中心CFCACFCA，1999.8由中国人民银行牵头，12家商业银行（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生）联合共建的一个大型系统工程。原则：统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先。宗旨：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。2000.3初步发放试验证书，主要用于商业银行的网上银行和网上购物(u w)的BtoB应用模式及SET购物的BtoC模式。共二百

36、二十四页认证(rnzhng)技术二、数字证书概念数字证书就是在网络通讯中标志通讯各方身份信息的一系列数据，它是一个经证书授权中心数字签名的包含(bohn)公开密钥拥有者信息以及公开密钥的文件。一个标准的数字证书包含以下内容：证书的版本信息证书的序列号证书使用的签名算法证书的发证机构名称共二百二十四页认证(rnzhng)技术证书的有效期（采用(ciyng)UTC时间格式，计时范围为19502049）证书所有人的名称证书所有人的公开密钥证书发行者对证书的签名数字证书的重要性信息的保密性交易者身份的确定性不可否认性不可修改性共二百二十四页认证(rnzhng)技术数字证书的原理RSA公钥体制数字证书的

37、用途证实电子商务或信息交换中参加者的身份(shn fen)授权交易授权接入重要信息库，以替换口令或其他传统方式提供经过Internet发送信息的不可抵赖性的证据验证通过Internet交换信息的完整性。共二百二十四页认证(rnzhng)技术三、数字签名技术数字签名必须保证以下几点接收者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接收者不能伪造对报文的签名数字签名技术源于数字摘要技术，描述如下：也称为安全Hash编码法(SHA)或MD5 ，由Ron Rivest所设计。采用单向Hash函数将需要加密的明文摘要成一串128bit的密文，这一串密文也称为数字指纹，它有固定的长度，且不同的

38、明文摘要成密文，其结果(ji gu)总是不同的，而同样的明文其摘要内容必定一致。共二百二十四页认证(rnzhng)技术发送信息（明文(mngwn)）Internet 数字摘要技术流程摘要SHA加密接收信息（明文）摘要SHA加密摘要一致？接受信息Y共二百二十四页认证(rnzhng)技术数字签名采用两双重加密的方法来实现防伪、防赖，其原理为：被发送文件用SHA编码加密产生128bit的数字摘要；发送方用自己的私用密钥对摘要进行再加密，这样就形成了数字签名；将原文和加密的摘要同时传给对方；对方（接收(jishu)方）用发送方的公共密钥对摘要进行解密，同时对收到的文件用SHA编码加密产生由一摘要；将解

39、密后的摘要与收到的文件在接收方重新加密产生的摘要相互比较，如两者一致，则说明传送过程中信息没有被破坏或修改过，否则，文件可能已经被修改。共二百二十四页认证(rnzhng)技术信息摘要(zhiyo)SHA加密数字签名Private Key加密发送数字签名摘要Public Key解密信息摘要SHA加密一致？信息确认Y发送方接收方数字签名的过程共二百二十四页认证(rnzhng)技术数字时间戳服务(DTS)是网上安全(nqun)服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：（1）需要加时间戳的文件摘要（2）DTS收到文件的日期和时间，（3）DT

40、S的数字签名。时间戳的产生过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。DTS是由Bellcore创造出来的。共二百二十四页第五节 病毒(bngd)的防护Internet的开放性增大了病毒的防治难度病毒威胁的来源：文件下载电子邮件防治办法：安装防病毒软件（病毒防火墙）原则上是网络中任何存放文件和数据以及数据通过的地方(dfng)都必须安装防病毒软件共二百二十四页病毒(bngd)的防护网关上安装防病毒软件可能阻止任何病毒通过(tnggu)企业网络，但效果不好工作站是病

41、毒进入的主要途径，在工作站上必须安装防病毒软件邮件服务器是防病毒的第二个着眼点备份服务器要注意病毒的防护服务器安装病毒防火墙共二百二十四页第六节 安全(nqun)协议电子商务呼唤各方协调一致来保证安全一、Internet电子邮件的安全协议PEM：是增强Internet电子邮件隐秘性的标准草案，它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公用密钥和专用密钥的加密方式，并支持多种加密工具。可以(ky)在每个电子邮件报文的报头中规定特定的加密算法、数字签名算法和散列功能等，它是通过互连网传输安全性商务邮件的非正式标准。共二百二十四页安全(nqun)协议PEM的具

42、体内容是在Internet工程(gngchng)任务组公布的RFC1421、RFC1422、RFC1423和RFC1424四个文件中，随着安全技术的发展，PEM可能被下面两种规范所取代。S/MIME：Safe / Multipurpose Internet Mail Extension Protocol 安全的多功能因特网邮件扩充协议，是在RFC1521所描述的多功能因特网电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。共二百二十四页安全(nqun)协议MIME是正式的因特网电子邮件扩充标准格式，但它未提供任何安全服务功能。S/MIME的目的是在MIME上定义任何安全服务的实施方式，S

43、/MIME已经成为了产业界广泛(gungfn)认可的协议，如Microsoft、NetScape、Novell、IBM、Lotus等公司都支持该协议。MOSS（PEM-MIME）MIME对象安全服务，是将PEM和MIME两者的特性进行了结合。共二百二十四页安全(nqun)协议二、常见安全技术标准S-HTTP安全的超文本传输协议，是对HTTP扩充安全特性、增加了报文的安全性。该协议向WWW的应用提供(tgng)完整性、鉴别、不可抵赖性及机密性等安全措施。基于SSL依靠对密钥的加密，保证Web站点间的交换信息传输的安全性。共二百二十四页安全(nqun)协议UN/EDIFACTEDI是国际上广泛采用

44、的自动交换和处理商业信息和管理信息的技术，UN/EDIFACT报文是唯一的国际通用的EDI标准。STT安全交易技术协议(xiy)由Microsoft公司提出STT将认证和解密在浏览器中分离开，用以提高安全控制能力。共二百二十四页安全(nqun)协议三、SSL安全套接层协议，Secure Sockets LayerNetscape公司(n s)在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接协议。向基于TCP/IP的C/S应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。Socket只是一个编程界面，并不提供任何安全措施，而SSL则不仅提

45、供编程界面，而且还向上层应用提供安全服务。共二百二十四页安全(nqun)协议SSL3.0通过数字签名和数字证书可实现浏览器和Web服务器双方的身份认证。特点：部分或全部信息加密、采用(ciyng)对称和非对称的加密技术、通过数字证书验证身份、采用(ciyng)防止伪造的数字签名过程：SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明地加载任何高层应用协议，如HTTP、FTP、TELNET等，以保证应用层数据传输的安全性。共二百二十四页安全(nqun)协议握手流程：服务器认证：在服务器认证过程中，客户端首先向服务器发送一个“He

46、llo”信息，以便开始一个新的会话连接；然后，服务器根据客户的信息确认是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需要的信息；客户根据收到的服务器的响应信息，产生一个主密钥，并用服务器的公开密钥加密后传送给服务器；服务器恢复该主密钥，并返回给客户一个用主密钥确认的信息，让客户认证服务器。用户认证：服务器发送一个提问给客户，客户则返回经过数字签名后的提问和其公开密钥，从而(cng r)向服务器提供认证。共二百二十四页安全(nqun)协议SSL支持各种加密算法，在握手过程中，使用RSA公开密钥系统，密钥交换后，使用一系列密码，包括RC2、RC4、IDEA

47、、DES及MD5信息摘要算法等。SSL协议实现简单，独立于应用层协议，且被大部分的浏览器和Web服务器所内置，便于在电子交易中应用。国际著名的电子货币CyberCash信用卡支付系统就支持这种简单加密模式，IBM等公司也提供这种简单加密模式的支付系统。但是，SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL并不能协调各方间的安全传输和信任关系(gun x)，因此，为了实现更加完善的电子交易，MasterCard和Visa以及其他一些IT业界厂商制定并发布了SET协议。共二百二十四页安全(nqun)协议四、SET1、SET概述安全电子(dinz)交

48、易协议Secure Electronic Transaction向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。是针对开放网络上安全、有效的银行卡交易，由Master Card和Visa联合研制的一个能保证通过开放网络进行安全资金支付的技术标准。参与的公司：Microsoft、IBM、Netscape、RSA等组成：SET业务描述、SET程序员指南、SET协议描述。共二百二十四页安全(nqun)协议SET的主要目标信息在Internet上安全传输，保证网上传输的数据不被黑客窃取定单信息和个人帐号信息隔离，在将包括持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐

49、户信息持卡人和商家相互认证，以确定(qudng)通信双方的身份要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。共二百二十四页安全(nqun)协议SET规范涉及的范围(fnwi)加密算法的应用证书信息和对象格式购买信息和对象格式认可信息和对象格式划帐信息和对象格式SET中的角色持卡人发卡机构商家银行支付网关共二百二十四页安全(nqun)协议2、SET的购物流程持卡人进入商店持卡人选择(xunz)要购买的商品持卡人填写定单持卡人选择付款方式持卡人发给商家一个完整的定单及要求付款的指令商家接受定单后，向持卡人的金融机构请求支付认可

50、商家发送定单确认信息给顾客完成订购服务商家从持卡人的金融机构请求支付共二百二十四页安全(nqun)协议客户商家支付(zhf)网关金融机构初始化请求商家网关证书初始化响应购买响应订单及支付命令（购买请求）客户支付命令及授权请求授权响应及付款标志付款响应付款请求授权请求付款请求共二百二十四页安全(nqun)协议3、SET的加密技术对称密钥系统公钥系统数字信封数字签名数字摘要双重(shungchng)签名共二百二十四页安全(nqun)协议五、SSL与SET的区别功能SSL是基于传输层的通用安全协议，不具备商务性、服务性、协调性和集成性；SET位于应用层，对网络的其它层也有所涉及(shj)，具备以上特

51、性。安全SET具有机密性、可鉴别性和信息一致性；SSL不具备可鉴别性SSL对信用卡信息的管理必须信任商家共二百二十四页安全(nqun)协议加密机制SSL全部加密；SET选择加密攻击手段：SSL有明文攻击(ClearText Attack)、重复攻击(Replay Attack)、Man in the middle、Hand shake负载能力验证(ynzhng)和公钥加密量大平台开放性SSL受到广泛支持，SET由于低效率、高系统要求，其支持度低。共二百二十四页第四章 电子商务(din z shn w)的网上支付支付工具与支付系统网上支付的有关内容(nirng)招商银行的网上支付中国银行的网上支

52、付中国建设银行的网上支付共二百二十四页第一节 支付工具(gngj)与支付系统一、支付工具的演变面对面交易：货币（现金）手工处理的支票、信用卡等（纸张化）电子(dinz)计算机出现，支付工具呈现了电子(dinz)化的特征，电子(dinz)联行和信用卡实时授权支付工具电子化基于Internet的电子支付工具和应用系统出现共二百二十四页支付工具(gngj)与支付系统二、银行在电子商务中的地位支付中介电子商务强调支付过程和支付手段的电子化电子化支付和结算的最终(zu zhn)执行者联结买卖双方的纽带作用最关键要素和最高层次共二百二十四页支付(zhf)工具与支付(zhf)系统三、国外最新支付(zhf)工

53、具及应用系统Digicach1994.5阿姆斯特丹，电子现金系统Cybercash1994.8BillMelton和DanLynch开发用于信用卡安全传递的软件，使用的实际上是信用卡Mondex英国西敏寺银行开发的电子钱包，基于智能卡共二百二十四页支付工具(gngj)与支付系统Cybercharge微软开发的在Web上销售商品的电子商务软件(run jin)Firstvirtual商家和客户使用虚拟代码，真实信息存储在第一虚拟的安全的计算机中。共二百二十四页支付(zhf)工具与支付(zhf)系统四、我国支付系统的建设我国支付系统的发展自20世纪80年代以来，中国人民银行颁布了一系列法律规章制度

54、，实施了一大批系统工程来建设和改造我国的支付系统1988年，中国人民银行提出将“三票一卡”（本票、支票(zhbio)、汇票、信用卡）作为主要结算方式，大力推广信用卡，为个人消费者提供了新的支付工具1985年中国银行发行第一张信用卡1997年信用卡达到5500万张共二百二十四页支付(zhf)工具与支付(zhf)系统人行建设了电子联行系统、同城票据清算系统、金卡工程、国家外汇交易系统、国债交易系统和中国国家现代化支付系统CNAPSCNAPS采用中央银行和商业银行两层结构模式，包括商业银行和用户(yngh)之间的下层支付服务，商业银行之间、商业银行与中央银行之间的上层支付资金清算服务我国支付系统建设

55、过程中应该注意的问题网络的建设信用卡处理的统一化安全问题企业应用系统开发的问题共二百二十四页第二节 电子货币(din z hu b)一、概念：电子货币是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。电子货币是采用电子技术和通信手段在信用卡市场上流通的以法定(fdng)货币单位反应商品价值的信用货币，是一种以电子脉冲代替纸币进行资金传输和存储的信用货币。共二百二十四页电子货币(din z hu b)二、特点：以计算机技术为依托，进行储存

56、、支付和流通应用广泛集储蓄、信贷和非现金结算等多种功能为一体使用简便、安全、迅速、可靠通常以银行卡为媒体三、基本功能：转帐结算(ji sun)功能储蓄功能兑现功能消费贷款功能共二百二十四页电子货币(din z hu b)四、电子货币与传统(chuntng)货币的区别及联系：电子货币在传统货币的基础上发展起来本质、职能及作用方面基本相同形态：电子脉冲纸张，没有大小、重量、印记流通：转帐，速度快发行：银行或信用卡公司，引导使用共二百二十四页电子货币(din z hu b)五、电子货币的优势：筹集信贷资金，支持商品生产和流通。(内部流通）加快资金周转，提高资金使用效率，促进商品经济发展。（流通速度快

57、）减少印刷开支，节约流通费用，节省社会劳动，增加营业收入，增加其他行业劳动力，促进经济全面(qunmin)发展。（减少纸张费用）可以为客户提供更多的金融服务。（7*24）通用性（不受金额、对象、区域限制）安全性（流通过程中对风险的排斥）可控性（控制流量和流向）依附性（对科技进步和经济发展的依附关系）高起点（经济基础、科技水平和理论起点高）共二百二十四页电子货币(din z hu b)六、电子货币形态(xngti)基本形态ABB（电子货币发行者）（电子货币使用者）（电子货币使用者）现金或存款流数据流共二百二十四页电子货币(din z hu b)有中介机构介入(jir)的电子货币的体系Aa银行b银

58、行（电子货币发行者）（电子货币使用者）（电子货币使用者）现金或存款流数据流BB共二百二十四页电子货币(din z hu b)七、电子货币的分类(fn li)智能卡信用卡电子支票数字现金共二百二十四页电子货币(din z hu b)1、智能卡(Smart Card、IC)70年代中期(zhngq)，法国Roland Moreno公司安装嵌入式存储器芯片1997年，摩托罗拉、Bull、HP公司安装嵌入式微型控制器芯片配备OS共二百二十四页电子货币(din z hu b)2、信用卡（1）支付(zhf)系统无安全措施模型用 户商 家银 行电话、传真合法性Internet等检查共二百二十四页电子货币(d

59、in z hu b)（2）通过第三方经纪人支付(zhf)的模型经纪人银 行用 户商 家开立账户支付确认购物账户账户支付确认信用卡信息共二百二十四页电子货币(din z hu b)（3）简单加密支付系统(xtng)模型发卡行用 户商家银行商家服务器业务服务器商 家开户交 易信用卡加密信息交易情况加密信息认证信息解密信息认证信息共二百二十四页电子货币(din z hu b)（4）SET模型(mxng)发卡行商家银行用 户商 家认证机构（CA）开户认证信用卡认证认证SET协议SET协议定单、支付指令（数字签名、加密）共二百二十四页买 方银 行卖 方1注册(zhc)申请2支票(zhbio)3定单和支票

60、4审核5确认6确认7定期将电子支票存入账户电子货币3、电子支票共二百二十四页电子货币(din z hu b)电子支票的特点与传统支票方式相同易于流通适用于各种市场，可以容易与EDI结合给第三方金融机构带来了收益电子支票技术将公共网络连入金融(jnrng)支付和银行清算网络EFT共二百二十四页8确认(qurn)用户银行1请求开设数字(shz)现金账户2账 号3购买数字现金请求4银行数字现金签名的随机数商 家5订单及加密的数字现金6加密的数字现金9确认信息7核对数字现金库电子货币4、数字现金共二百二十四页电子货币(din z hu b)优点：匿名性、不可追踪性、投资小缺点：数据的维护特点银行与商家