电子商务原理与技术

第1章

电子商务概述

本章要点：明确电子商务的基本概念，认识电子商务的核心；理解电子商务模式的含义，掌握主要电子商务模式；掌握电子商务框架层次中的含义及功能；理解电子商务应用体系结构的构成；理解EDI工作原理；领会电子商务研究的发展现状和趋势

1.1电子商务剖析1.1.1国际化组织对电子商务的定义国际标准化组织全球信息基础设施委员会（GIIC）电子商务工作委员会联合国国际贸易法律委员会（UNITRAL）世界贸易组织（WTO）1.1电子商务剖析1.1.2企业对电子商务的定义IBM公司通用电气公司（GE）HP公司Intel公司1.1电子商务剖析1.1.3电子商务的概念探讨从宏观与微观两个方面来考察从宏观上讲，电子商务是计算机网络的又一次革命，旨在通过电子手段建立一种新的经济秩序，它不仅涉及电子技术和商业交易本身，而且涉及诸如金融、税务、教育等社会其他层面，是继工业革命后的又一次革命；从微观角度说，电子商务是指各种具有商业活动能力的实体（生产企业、商贸企业、金融机构、政府机构、个人消费者等）利用网络和先进的数字化传媒技术进行的各项商业贸易活动。1.1电子商务剖析1.1.3电子商务的概念探讨电子商务有广义与狭义之分广义的电子商务是指各行各业（包括政府机构和企业、事业单位）、各种业务的电子化、网络化，可称为电子业务，包括电子商务、电子政务、电子军务、电子医务、电子教务、电子公务、电子事物、电子家务等。狭义的电子商务是指人们利用电子化手段进行以商品交换为中心的各种商务活动，是公司、厂家、商业企业、工业企业与消费者个人之间的交易，是双方或各方利用计算机网络进行的商务活动，也可称为电子交易，包括电子商情、电子广告、电子合同签订、电子购物、电子交易、电子支付、电子转账、电子结算、电子商场、电子银行等不同层次、不同程度的电子商务活动。1.1电子商务剖析1.1.3电子商务的概念探讨电子商务基于Internet/Intranet或局域网、广域网，包括从销售、市场到商业信息管理的全过程。在这一过程中，任何能加速商务处理过程、减少商业成本、创造商业价值、创新商业机会的活动都应该归入电子商务的范畴1.2电子商务模式1.2.1电子商务模式概述PaulTimmers的观点AllanAfuah和ChristopherL.Tucci的观点PeterWeill的观点MichaelRappa的观点商务模式的本质:企业获取利润的方式。电子商务模式则是关于企业如何利用计算机来获取利润的问题1.2电子商务模式1.2.2B2B电子商务模式B2B电子商务模式的含义企业对企业的电子商务模式（Business-to-Business），简称B2B模式，即BtoB模式。企业对企业的电子商务反映的是企业与企业之间通过专用网络或Internet进行数据信息传递，开展商务活动的运行模式。它包括企业与其供应商之间的采购；企业与仓储、物流公司的业务协调；物料管理人员销售部门与其产品批发商、零售商之间的协调等。1.2电子商务模式B2B电子商务模式的主要参与者1.2电子商务模式B2B电子商务的模式买方集中模式卖方集中模式中立的网上交易市场模式1.2电子商务模式1.2电子商务模式B2B电子商务模式的基本流程1.2电子商务模式1.2.3B2C电子商务模式B2C电子商务模式的含义企业对消费者的电子商务模式（Business-to-Consumer），简称B2C模式，即B

to

C模式。这种类型的电子商务，“它是以Internet为手段，实现公众消费及提供服务，并保证与其相关的付款方式的电子化。它是随着WWW的出现而迅速发展的，可以将其看做是一种电子化的零售”。1.2电子商务模式B2C电子商务模式的主要参与者网上商场：主要扮演销售者个人消费者：消费群体物流中心：运输服务提供者网上银行：负责账号之间资金的转移业务CA认证中心：主要负责个人消费者的身份验证1.2电子商务模式B2C电子商务的模式无形商品和服务的电子商务模式网上订阅模式:在线出版、在线服务、在线娱乐广告支持模式:在线服务商免费向消费者提供在线信息服务，其营业收入完全靠网站上的广告来获得。这种模式虽然不直接向消费者收费，但却是目前最成功的电子商务模式之一。网上赠予模式:它指的是企业借助于国际互联网全球广泛性的优势，向互联网上的用户赠送软件产品，扩大知名度和市场份额。有形商品和服务的电子商务模式有形商品是指传统的实物商品，采用这种模式，有形商品和服务的查询、订购、付款等活动在网上进行，但最终的交付不能通过网络实现，还是用传统的方法完成。这种电子商务模式也叫在线销售。1.2电子商务模式B2C电子商务模式的基本流程1.2电子商务模式1.2.4新兴的电子商务模式C2C电子商务模式顾客对顾客的电子商务（Consumer-to-Consumer）模式

，简称C2C模式，即C

to

C模式。它是消费者对消费者的交易模式，C2C电子商务平台就是通过为买卖双方提供一个在线交易平台，使卖方可以主动提供商品上网拍卖，而买方可以自行选择商品进行竞价。典型代表：易趣、淘宝1.2电子商务模式P2P电子商务模式P2P是一种技术，但更多的是一种思想，P2P是peer-to-peer的缩写，peer在英语里有“（地位、能力等）同等者”、“同事”和“伙伴”等意义。P2P也就可以理解为“伙伴对伙伴”的意思，或称为对等联网。简单地说，P2P直接将人们联系起来，让人们通过互联网直接交互。从目前的应用来看，P2P的作用主要体现在大范围的共享、搜索的优势上，在这方面更好的解决网络上四大类型的应用：对等计算、协同工作、搜索引擎、文件交换1.2电子商务模式移动商务模式移动商务是指对通过移动通信网络进行数据传输并且利用移动终端开展各种商业经营活动的一种新电子商务模式。内容提供商模式移动商业门户模式WAP网关提供商模式服务提供商模式1.3电子商务的运作体系框架1.3电子商务的运作体系框架1.3.1电子商务的基础设施网络基础设施层互联网（Internet）、内部网（Intranet）、增值网（VAN）、远程通信网（Telecom）、有线电视网（CableTV）和无线通信网（Wireless）多媒体内容和网络出版层解决电子商务系统内部信息的发布问题1.3电子商务的运作体系框架消息/信息发布与传输层消息/信息发布与传输层主要提供传播信息的工具和方式一般业务服务层实现标准的网上商务活动服务，以方便网上交易1.3电子商务的运作体系框架1.3.2电子商务的应用支柱社会人文支柱—公共政策、法律、隐私权问题自然科技支柱—技术标准1.4电子商务的应用体系结构1.4.1电子商务系统的网络框架企业内部网企业内部网由Web服务器、电子邮件服务器、数据库服务器以及电子商务服务器和客户端的PC组成企业外部网电子商务应用系统售前部分售中服务售后服务1.4电子商务的应用体系结构1.4.2电子商务的应用体系结构

电子商务的应用体系结构模型客户端客户端提供用户交互界面，为存取和显示内容提供一个图形使用界面，其主要作用就是将产生的结果信息显示给用户Web应用服务器Web应用服务器是存储文件或其他内容的软/硬件的组合外部服务连接器将中间层内新增的业务逻辑连接到企业已有的应用和数据，从而将互联网的请求/响应无缝地连接到企业中来1.4电子商务的应用体系结构电子商务的应用体系结构构成要素1.4电子商务的应用体系结构客户通常为“瘦客户”，也就是说在客户端执行的应用逻辑很少或没有，只需要在客户端安装很小的软件（如Web浏览器）网络基础设施网络基础设施提供了如目录、安全等服务，这些服务的能力可通过开放且标准的接口和协议来存取应用服务器软件应用服务器软件位于企业服务器之上，连接装有浏览器的“瘦”客户机与后端数据库。应用服务器负责处理应用中的业务逻辑（businesslogic）并将业务逻辑作为整个分布式系统的一个有机部分来对待。1.4电子商务的应用体系结构应用集成应用集成将基于各种不同平台，用不同方案建立的异构应用集成，使得异构应用系统间能够相互通信，使Web能存取现有数据和访问现有或遗留应用系统Web应用编程环境Web应用编程环境基于JavaServlets、JavaServerPages（JSP）、EnterpriseJavaServices和EnterpriseJavaBean组件模型，为创建在Web应用服务器上的动态和健壮的商务应用提供了编程环境。1.4电子商务的应用体系结构电子商务应用服务电子商务应用服务为方便电子商务解决方案的创建提供了高层应用的特定功能。该部分包括的是面向高层应用的组件。系统管理系统管理用来满足网络计算的管理需求，系统中的元素包括用户、应用、服务、基础构架和硬件。开发工具开发工具用来创建、组装、部署和管理应用系统1.5EDI电子商务系统1.5.1什么是电子数据交换EDI是Electronic

Data

Interchange的缩写，即电子数据交换，又称“无纸贸易”，它是一种新颖的电子化贸易工具，是计算机、通信和现代管理技术相结合的产物。EDI是将贸易伙伴之间的单证、票据等商业文件，用一种国际公认的标准格式，通过计算机通信网络实现数据交换与处理的电子化手段。。1.5EDI电子商务系统1.5.2手工方式与EDI方式的比较1.5EDI电子商务系统1.5.3EDI的工作步骤1.5EDI电子商务系统1.5.4EDI标准EDI标准建立的原因EDI标准实际上就是报文在国际网络各系统之间传递的标准协议。制定这个标准的主要目的是消除各国语言、商务规定以及表达与理解上的歧义性，为国际贸易商务操作中的各种单证数据交换搭起一座电子通信的桥梁。EDI标准国际上最广泛使用的标准是UN/EDIFACT1.5EDI电子商务系统EDI标准组成数据元目录EDED复合数据元目录代码目录EDCL段目录EDSD标准报文格式UNSM应用语法规则（ISO9735）语法应用指南报文设计指南贸易数据交换格式构成总览UNCID1.5EDI电子商务系统标准报文格式1.5EDI电子商务系统1.5.5EDI的发展趋势XMLXML/EDI1.6电子商务的发展现状和趋势1.6.1电子商务的发展现状发展综述电子商务实际应用方式的改变主机名数量的迅猛增长企业网站的安全性提高1.6电子商务的发展现状和趋势北美与欧洲2005年，欧洲联盟（简称欧盟，EuropeanUnion）电子商务呈现出以下3个特点。（1）信息通信技术基础加强。17%的企业在市场支持和销售过程中使用信息通信技术。（2）企业上网销售的比例随公司的规模而增长。2004年，下订单的大企业占29%，相比之下中型企业占19%，小企业占12%。（3）在世界企业电子商务应用中，欧盟国家，如芬兰、瑞典、德国、挪威、比利时、奥地利等国，基本上都排在前列。美国作为全球最大的电子商务市场，2003年销售额继续增长。制造业的电子商务最为突出，电子商务交易额（含互联网和其他网络）达到8

426.7亿美元，占总销售额的21.1%；随后为批发贸易，电子商务交易额达到3

869.2亿美元，占总销售额的13.1%。亚洲和太平洋地区1.6电子商务的发展现状和趋势1.6电子商务的发展现状和趋势1.6.2电子商务的发展阶段电子零售（E-Commerce，B2C）阶段（1）人们对电子商务的认知停留在初始层面；（2）注重的是网络技术所带来的信息容量的无限性和超时空的优势；（3）这一优势的直接商业价值是：有效地减少卖方的中间环节，从而降低经营成本；（4）以卖方为核心。典型代表如A.1.6电子商务的发展现状和趋势电子贸易（E-Business，B2B）阶段（1）买方开始积极介入营销过程；（2）通过信息比较、反向拍卖等形式追求采购成本的降低与优化；（3）各行业性的电子贸易社区开始引领潮流。典型代表有VerticalNet等。1.6电子商务的发展现状和趋势电子集市（eMarketPlace，联盟式的B2B模式）阶段（1）它是一个由多个买方和卖方，把供应链的上下游，甚至同级的企业构成的企业联盟；（2）构成全球EC基础设施，提供开放、端到端、交互操作的解决方案平台，统一管理Internet上的会员公司购买，建立网络市场，向供应商提供买方上网连接和集合；（3）集成性，把买方、商品供应商、B2B电子市场、商业服务提供商（BSP）的内部和外部商业流程集成在一起；（4）这种B2B电子集市战略管理，为参加的买方及供应商创造更大的效益、规模经济和竞争优势；（5）进入它的每个企业必须有一套合格的电子化商务管理系统，能实现与外部信息流无缝对接，实现企业生产、采购、销售全过程的综合信息化；（6）每个成员都拥有自己的交易引擎，以做到信息到交易的一体化转换；（7）新的生产经营形态的雏形，在电子零售、电子贸易的基础上，将信息服务、交易服务、支付服务、物流服务等各类要素加以丰富、整合，为买卖双方提供高度创新的价值。1.6电子商务的发展现状和趋势1.6.3中国电子商务发展中的问题电子商务的搜索功能问题电子商务的安全性问题电子商务管理的问题电子商务的税务问题电子商务的标准问题物流配送问题电子商务的合同法律问题1.6电子商务的发展现状和趋势1.6.4中国电子商务的发展趋势未来B2B电子商务发展将呈现以下特点业务国际化服务外延化行业纵深化市场集中化资本紧密化1.6电子商务的发展现状和趋势网上购物正在成为一种新的消费趋势，B2C电子商务将迎来发展高峰更多B2C厂商将进入垂直细分市场B2C运营网站将以用户体验为卖点支付创新为B2C注入新活力C2C有望后来居上，将迎来新一轮快速发展高潮，成为电子商务市场的“领头羊”移动商务趋势不可逆转，市场前景最佳本章小结从技术角度讲，电子商务是一种多技术的集成，技术是电子商务产生、发展的基础和前提。本章介绍了电子商务的含义；分析了电子商务的模式，其中重点阐述了B2B、B2C两种模式；阐释了电子商务的运作体系框架和应用体系结构；介绍了EDI电子商务系统，其中包括EDI的概念、与手工方式的比较、工作原理、标准及发展趋势；在此基础上分析了电子商务的发展现状和趋势。习题1．什么是电子商务？你认为电子商务主要是帮助企业省钱还是赚钱？2．简述电子商务的主要模式。3．分析电子商务的运作体系框架。4．电子商务系统的网络框架是由哪些部分组成的？B2B、B2C结构有何异同？5．简述实施EDI的基本步骤。6．电子商务的开展和应用需要一定的环境和前提。你认为中国开展电子商务的时机如何？是过于超前、落后还是适当？第2章

电子商务网站开发实用技术本章要点本章首先介绍了目前最常用的动态网站开发技术ASP、ASP.NET、JSP和PHP的发展历程，然后，从快捷、实用的角度，对ASP技术在动态网站开发中的具体方法进行了详尽的介绍，尤其是对ASP中包含的开发者可利用的内置对象的应用进行了深入细致的剖析，并附加了相应的应用实例，同时，还对与其相关的Web数据库技术进行了详尽的叙述。然后，对ASP.NET技术的开发运行环境和基本语法进行了介绍，最后，对JSP和PHP技术进行了概要性的介绍。2.1电子商务网站开发技术动态网站的页面是指基于ASP、ASP.NET、JSP、PHP等技术并以ASP、ASP.NET、JSP、PHP文件形式存储在Web服务器上的网页文件。它可以包含以下几个方面的内容：

文本、图片和多媒体素材：

HTML标记：实现页面风格，页面进行排版。

动态脚本：动态脚本是一系列的命令和指令。2.2ASP技术1ASP概述2ASP的内建对象和应用组件3Request对象4Response对象5Session对象6Cookie的应用7Application对象8Server对象9ASP程序设计举例ASP（ActiveServerPages，活动服务器网页）是一种运行于服务器端的Web应用程序开发技术，它既不是一种语言，也不是一种开发工具，而是一种服务器端的脚本语言环境。本节将介绍ASP技术的特点及工作原理，并通过实例详细介绍ASP中的5个常用对象的属性、方法和事件，使读者学会利用ASP技术开发Web应用程序

2.2.1ASP技术简介ASP的特点ASPActiveServerPages，活动服务器网页)

ASP的特点全嵌入HTML，与HTML、Script语言完美结合无须手动编译（Compling）或链接程序面向对象（ObjectOriented），并可扩展ActiveXServer组件功能存取数据库轻松容易（使用ADO组件）存取数据库轻松容易（使用ADO组件）可使用任何语言编写自己的ActivXServer组件无浏览器兼容问题程序代码隐蔽，在客户端仅可看到由ASP输出的动态HTML文件ASP的工作原理

ASP技术通过后缀名为.asp的文件来实现当浏览器向Web服务器请求调用ASP文件时，就启动了ASPWeb服务器响应该HTTP请求，调用ASP引擎，解释被申请的文件ASP的脚本程序是在服务器端执行

2.2.2ASP开发工具简介1通用的文本编辑器2专门针对编程的文本代码编辑器3具有集成开发环境的开发工具4ASP程序全自动生成器2.2.3构建ASP开发运行环境

安装IIS信息服务器操作步骤如下:

启动“添加/删除程序”应用程序，出现“添加/删除程序”对话框单击“添加/删除Windows组件”按钮单击“下一步”按钮，系统开始安装安装完成后，单击“完成”按钮，即可结束IIS的安装过程ASP的运行环境设置Web站点

设置虚拟目录

在“Internet信息服务”窗口，右击“默认Web站点”，选择“新建”“虚拟目录”，出现“虚拟目录创建向导”对话框单击“下一步”按钮，在“虚拟目录创建向导”对话框中，输入虚拟目录名book单击“下一步”按钮，通过“浏览”下拉列表选择要设置为虚拟目录的文件夹（放置ASP文件的文件夹）单击“下一步”按钮，设置虚拟目录的访问权限单击“下一步”按钮，完成虚拟目录的设置ASP文件的结构一个ASPWeb页面可以包含以下4个部分

普通HTML文件，用普通Web页面编程。客户端脚本程序代码，通常用<script>和</script>定界符括起来。服务器端ASP程序代码，用<%和%>定界符括起来。Server_SideInclude语句，使用#include语句在Web页面中嵌入其他Web页面，其中，<%和%>是标准的ASP程序定界符，而<script>和</script>是客户端脚本或服务器端脚本定界符2.2.4ASP语法简介

Request对象

Request对象的主要功能是从客户端取得信息，包括获取浏览器种类、表单中的数据、Cookies中的数据和客户端认证等,语法如下：Request[.数据集合|属性|方法](变量)内部对象Request拥有以下5个数据集合：Form 取得客户端表格元素中所填入的信息。QueryString 取回URL请求字符串。ServerVariables 取得服务器端环境变量的值。ClientCertificate 从客户端取得身份验证的信息。Cookies 取得客户端浏览器的Cookies值Form数据集合表单是标准HTML文件的一部分，它允许用户利用表单中的文本框、复选框、单选按钮、列表框等控件为服务器端的应用提供初始数据，用户通过单击表单中的命令按钮提交他们的输入数据，其使用语法如下：Request.Form(String参数)[（索引.计数）]QueryString数据集合QueryString数据集合可以利用QueryString环境变量来获取客户请求字符串。一般来讲，这个HTTP查询字符串变量直接定义在超链接的URL中，即跟在“?”字符之后，其语法如下：Request.QueryString(变量名称)[（索引.计数）]ClientCertificate数据集合ClientCertificate数据集合从Web浏览器发布的请求中获取验证字段其使用语法如下：Request.ClientCertificate(Key[SubField])Cookies数据集合Cookies数据集合用来记录客户端信息，它允许用户检索在HTTP请求中发送的Cookie值，其使用语法如下：Request.Cookies(String)[(key)|.attribute]TotalBytes属性

此属性为只读属性，可取回客户端响应数据的字节数。其使用语法如下：Counter=Request.TotalBytesBinaryRead方法此方法用二进制代码方式读取客户端POST数据。其使用语法如下：Variant=Request.BinaryRead(Counter)

Response对象

Response对象的功能与Request对象的功能正好相反，它用于将服务器端的信息发送到客户浏览器，包括将服务器端的数据用超文本格式发送到浏览器上，或重定向浏览器到另一个URL，或设置Cookie的值Response对象的语法如下：

Response.数据集合|属性|方法

Response对象的方法

Write方法Write方法是Response对象中最常用的一个方法，它可以把信息从服务器端直接送到客户端，语法如下：Response.WriteStringRedirect方法

Redirect方法引导客户端浏览器立即重定向到程序指定的URL位置，也就是进入另一个Web页面，它类似于HTML中的超链接，语法如下：Response.RedirectStringClear方法

Clear方法可以清除WebServer缓冲区中的内容，但不能清除HTTP首部。其使用语法如下：Response.ClearEnd方法该方法的功能是通知服务器立即停止处理ASP程序，在调用End方法之后出现的所有代码都不会被执行，包括纯HTML代码的显示,语法如下：Response.EndFlush方法使用Flush方法，系统立即把缓存在服务器端的Response输出信息送客户端显示，语法如下：Response.FlushResponse对象的属性

Buffer属性

Buffer属性用来设置是否把Web页面输出到缓冲区语法如下：Response.Buffer=BooleanValue(布尔值)Expires属性可以用Response对象的Expires属性来控制这个页面在缓存中的有效时间，语法如下：Response.Expires=IntnumExpiresAbsolute属性与Expires属性不同的ExpiresAbsolute属性指定缓存于浏览器中的页面的确切到期日期和时间，语法如下：Response.ExpiresAbsolute[=[日期][时间]]

Response对象的数据集合

Cookies是Response对象中惟一的数据集合使用Cookies可以设置客户端浏览器内的Cookie值

Cookie的使用语法如下：Response.Cookies(var)[(key)|.attribute]=cookie值

下面这段代码用来设置Cookie值，其中的关键字分别为name和password。<%response.cookies("user")("name")="admini"response.cookies("user")("password")="12345"%>Session对象Session是前端浏览器与服务器每一次会话的标识变量，它附在每次会话的所有网页数据中，在一段时间内有效Session对象的使用语法如下：Session.属性|方法|事件

其属性、方法、事件包括SessionID属性返回用户的会话验证TimeOut属性 应用程序会话状态的超时时限，以min为单位Abandon方法 用于删除所有存储在Session对象中的变量Session_OnStart事件 该事件在服务器创建新的会话时发生Session_OnEnd事件 该事件在会话被放弃或超时时发生Session对象的属性

SessionID属性

语法如下：Session.SessionIDTimeout属性

对于一个特定的会话，如果想设置一个与默认超时值不同的值，可以设置Timeout属性，语法如下：Session.Timeout[=Minutes]Session对象的方法

Session对象只有一个方法，就是Abandon方法该方法用于释放Web服务器用于保存某个用户会话信息的存储空间Abandon方法的使用语法如下：Session.AbandonSession对象的事件

Session_OnStart事件Session_OnEnd事件Cookie的应用

将Cookie写入浏览器中将Cookie写入浏览器中，可使用Response.Cookies从浏览器获取Cookie的值

设置Cookie路径Cookie与Session的比较用Response对象可以建立Cookie文件，以记录来访客户的各种信息

Application对象

我们可以使用Application对象，使同一个应用内的多个用户共享信息，并在服务器运行期间持久地保存数据，语法如下：Application.属性|方法|事件Application对象没有内置属性，但用户可以设置自己的属性。Application对象的方法和事件如下：Lock方法 用于锁定Application对象，禁止其他用户修改Application对象的值Unlock方法 解除锁定，允许其他用户修改Application对象的值Application_OnStart事件 第一个用户访问该站点时发生Application_OnEnd事件 关闭Web服务器时发生Application对象的属性

虽然Application对象没有内置属性，但用户可以创建自己的属性，又称为Application变量。其语法如下：Application(“属性|集合名称”)=属性值Application对象的方法Lock方法用于锁定对象，禁止其他用户修改Application属性，语法如下：Application.LockUnlock方法与Lock方法相反，它用于解除对Application对象的锁定，语法如下：Application.UnlockApplication对象的事件

Application_OnStart事件

Application_OnStart事件仅在第1个用户请求时发生，并且只被每个应用触发一次Application_OnStart事件的语法如下：

<ScriptLanguage=VBScriptRUNAT=Server>SubApplication_OnStart…EndSub</Script>Application_OnEnd事件Application_OnEnd事件在退出应用或Web服务器被关闭时，于Session_OnEnd事件之后发生Application_OnEnd事件的语法如下：<ScriptLanguage=VBScriptRUNAT=Server>SubApplication_OnEnd…EndSub</Script>Server对象

Server对象是ASP中非常重要的一个内部对象。利用它提供的一些方法，可以实现许多高级功能Server对象的使用语法如下：Server.属性|方法Server对象的属性和方法包括：ScriptTimeout属性 规定了一个脚本文件执行的最长时间。CreateObject方法 用于创建已经注册到服务器上的ActiveX组件实例。MapPath方法 转换相对路径或虚拟路径。HTMLEncode方法 对ASP文件中特定的字符串进行HTML编码。URLEncode方法 根据URL规则对字符串进行编码Server对象的属性

Server对象只有一个ScriptTimeOut属性ScriptTimeOut属性的使用语法如下：Server.ScriptTimeOut=nServer对象的方法HTMLEncode方法CreateObject方法MapPath方法URLEncode方法2.2.5ASP程序设计示例2.2.6WEB数据库程序设计

1Web数据库访问技术2ODBC接口3数据库语言SQL4使用ADO访问数据库

5用Connection对象连接数据库6用Command对象执行数据库操作7用RecordSet对象控制数据数据库应用系统在现有计算机软件中占有很大的比例本章将着重介绍一种有效的Web数据库访问方案，即利用ASP服务器端的组件ActiveXDataObjects（ADO）实现对数据库的操作

Web数据库系统不能仅依赖某个DBMS来实现整个应用系统，它是通过其他Web应用程序，用标准的HTML语言及其某些特定的扩展功能开发的、以特殊形式访问数据库的应用程序系统Web应用系统一般采用Browser/WebServer/ApplicationServer模式实现Web访问数据库的关键是与数据库服务器间的接口概述CGICGI（CommonGatewayInterface，公关网关接口）是一种接口标准，它使静态的Web页变为交互式的媒体成为可能ODBC

ODBC（OpenDatabaseConnectivity，开放式数据库连接）是一个数据库编程接口，由微软公司建议并开发

JDBCJDBC是较早的Web开发平台，在Web应用中，嵌于网页（HTML文件）中的Javaapplets利用JDBC来访问数据库

ADOADO（ActiveXDataObjects）是微软公司Web服务器端的内置组件，ADO允许程序员在编写程序时，通过一个OLEDB（数据库对象链接嵌入技术）提供者，如MicrosoftSQLServer，MicrosoftAccess系统等，访问并操纵数据库服务器中的数据ODBC接口ODBC接口概述ODBC是微软公司建议并开发的数据库API标准，ODBC为异种数据库提供了统一的访问接口，它使应用程序能用结构化的查询语言SQL访问数据库，从而对操作数据库的应用程序屏蔽了不同数据库管理系统的访问差异，也使数据库系统的开发不仅仅局限于某个DBMS

ODBC接口ODBC主要定义如下5方面的内容:ODBC函数库，它为应用程序提供连接DBMS、执行SQL语句、提取访问结果的程序接口SQL语法，它遵循X/OpenandSQLAccessGroupCallLevelInterfaceSpecification标准错误代码连接、登录DBMS数据类型ODBC的应用一个ODBC应用的建立应涵盖以下主要内容:建立需要操作数据库的应用程序，该程序通过调用ODBC函数提交SQL语句提供运行环境，该环境应包含数据库驱动程序，它负责处理ODBC函数调用，向数据源提交SQL请求，向应用程序返回结果，必要时将SQL语法翻译成符合DBMS语法规定的格式具有由用户数据库、DBMS等构成的可供应用程序访问的数据源

ODBC的应用通过ODBC访问数据库的基本步骤如下：创立并配置数据源；建立一个与数据源的对话连接；向数据源发出SQL请求；定义一个缓冲区和数据格式用于存储访问结果；提取结果；处理各种错误；向用户报告结果；关闭与数据源的连接

创建并配置数据源用户可通过如下两种方式创建或配置数据源：ODBC数据源管理程序或系统函数调用配置一个Access数据源的过程如下：在Windows系统下进入控制面板，打开ODBC数据源，若是Windows2000平台，则打开管理程序下的数据源ODBC，屏幕上将出现如图6-5所示的“ODBC数据源管理器”对话框“ODBC数据源管理器”对话框创建并配置数据源选择所使用的数据库驱动程序，如选择MicrosoftAccessDriver(*.mdb)，单击“完成”按钮，出现如图6-7所示的对话框创建并配置数据源选择“系统DSN”标签，即选择“系统数据源”。要使系统上的所有应用程序都可以使用它，必须选用系统DSN，这是建立Web站点的需要。单击“添加”按钮，进入“创建新数据源”对话框，如图6-6所示创建并配置数据源在“数据源名”输入框中键入数据源名，单击“选择”按钮为该数据源指定一个已创建好的Access数据库（*.mdb），该数据库应该是在Web应用程序中即将访问的数据库。单击“确定”按钮，回到图6-6“创建新数据源”对话框。单击“确定”按钮直到关闭ODBC数据管理器，此时完成一个数据源的建立过程。若要修改该数据源的配置，可在图6-5“ODBC数据源管理器”对话框中选定要更改的数据源，再单击“配置”按钮

使用ADO访问数据库概述ADO（ActiveXDataObjects，ActiveX数据对象）技术是一种良好的Web数据库访问解决方案ADO是一个ASP内置的服务器组件，它是一座连接Web应用程序和OLEDB的桥梁ADO几乎兼容所有的数据库系统ADO支持多种程序设计语言ADO的对象类和对象模型ADO技术是通过ADO对象的属性、方法来完成相应的数据库访问的。ADO共有以下7种独立对象类Connection——连接对象，表示与数据源的连接关系Command——命令对象，用于定义一些特定的命令语法，以执行相应的动作RecordSet——记录集对象，用于表示来自数据库表或命令执行结果的记录Property——属性对象，用于描述对象的属性，每个ADO对象都有一组惟一的属性来描述或控制对象的行为ADO的对象类和对象模型Error——错误对象，用于描述Connection对象在连接数据库时发生的错误Field——域（字段）对象，用来表示RecordSet对象的字段，一个记录行包含一个或多个域（字段）Parameter——参数对象，用来描述Command对象的命令参数，是命令所需要的变量部分图6-8ADO对象模型用Connection对象连接数据库Connection对象的常用属性和方法Connection对象的常用属性：Mode 用于设置数据的可用权限，其属性值是系统定义的一些常量，只 能在关闭Connection对象时设置。State 指明Connection对象的当前状态，包括关闭、打开、正在连接、正在执行命令等。ConnectionTimeout 设置对象建立连接操作失败时的等待时间。DefaultDatabase 设置连接数据源的默认数据库。ConnectionString 设置连接数据源的一些信息

Connection对象的常用属性和方法Connection对象的常用方法：Open 用于建立到数据源的物理连接。Execute 用于执行指定的查询、SQL语句、存储过程或特定的文本。Cancel 用于取消用异步方式执行的Execute或Open方法的调用。Close 用于关闭一个连接。在对Connection对象操作结束时，使用Close方法释放所有与之关联的系统资源打开和关闭数据库连接打开Connection对象打开Connection对象的Open方法的语法格式如下：Open(ConnectionString,[UserID,]Password[,Options])关闭Connection对象关闭Connection对象的Close方法的语法格式如下：对象实例名.Close通过Connection对象执行SQL语句打开Connection对象后，可以通过对象的Execute方法实现SQL语句的执行过程。Execute方法的语法格式如下：Execute(CommandText,RecordsAffected,Option)Connection对象的事务处理本例是进行事务处理的一段代码

<%SetConn=Server.CreateObject("ADODB.Connection")Conn.Open"MyData"Conn.BeginTrans '事务开始'在CreditCard表中记录交易的信用卡号Conn.Execute"INSERTINTOCreditCard(CreNo)VALUES('5555-446780190')"'在Shipping表中使被购买商品的次数增1Conn.Execute"UPDATEShippingSETSalesCount=SalesCount+1WHEREID='100020'"Conn.CommitTrans '事务提交（结束）Conn.Close%>用Command对象执行数据库操作Command对象的常用属性和方法执行SQL语句可以用打开的Connection对象，也可以用ADO的Command（命令）对象达到同样的目的。Command对象的常用属性和方法如下：ActiveConnection属性 指定与Command对象关联的已打开的连接对象。Name属性 指定Command对象的名字。CommandText属性 定义一个可执行的命令串。CommandType属性 指定命令的类型。Execute方法 执行命令用Command对象执行SQL语句【例】用Command对象的Execute方法从sales表中检索出所有记录。源程序如下：<%SetConn=Server.CreateObject("ADODB.Connection")'创建一个命令对象SetMyComm=Server.CreateObject("ADODB.Command")Conn.Open"MyData"SetMyComm.ActiveConnection=ConnMyComm.CommandText="SELECT*FROMsales"MyComm.CommandType=adCMDTextSetRS=MyComm.Execute()Conn.Close%>用Command对象调用存储过程

在Web数据库程序设计中使用SQL存储过程有下列好处：执行SQL存储过程比执行SQL命令快得多。当一个SQL语句包含在存储过程中时，服务器不必每次执行它时都要分析和编译它。在多个网页中可以调用同一个存储过程，使站点易于维护。一个存储过程可以包含多个SQL语句，这意味着可用存储过程建立复杂的查询。存储过程可以接收和返回参数，这是实现复杂数据库访问功能的必要基础。用RecordSet对象控制数据RecordSet对象简介RecordSet对象可以实现以下功能：指定可以检查的记录。移动记录。添加、更改和删除记录。通过更改记录更新数据源。管理RecordSet的总体状态

RecordSet对象的创建和数据读取RecordSet对象的创建使用Server.CreateObject(“ADODB.RecordSet”)创建RecordSet对象，然后通过打开RecordSet对象创建一个与某个数据库表相关联的RecordSet对象实例可以采用Connection和Command对象的Execute方法，当用Execute方法从一个数据库返回查询结果时，将自动创建一个RecordSet对象

RecordSet对象的创建和数据读取RecordSet对象数据的读取【例】在Web页面上显示表sales的所有记录数据，读取字段值时利用字段顺序号。源程序如下<HEAD><TITLE>ShowTablesales</TITLE></HEAD><BODY><% SetConn=Server.CreateObject("ADODB.Connection") Conn.Open"MyData"'将通过执行SELECT语句创建一个记录集SetRS=Conn.Execute("SELECT*FROMsales")%>…………记录集记录间的移动方法和记录集游标移动方法包括：MoveNumRecords 在记录集中向前或向后移动指 定条记录MoveFirst 移动至记录集中的第一条记录MoveLast 移动至记录集中的最后一条记 录MovePrevious 移动至当前记录的上一条记录MoveNext 移动至当前记录的下一条记录记录集记录间的移动方法和记录集游标游标的类型有以下4种：adOpenFowardOnly 前向游标，只能在记录集中向前移动。adOpenKeyset 可在记录集中向前或向后移动。若另一用户删除或改变一条记录，记录集将反映这种变化，但若增加一条新记录，新记录不会出现在记录集中。adOpenDynamic 可在记录集中向前或向后移动。其他用户造成的任何改变都会动态反映在记录集中。adOpenStatic 可在记录集中向前或向后移动。不在记录集中反映其他用户对记录集造 成的任何改变记录集记录的修改和记录锁定

使用RecordSet对象的一组方法对记录集中的记录进行增、删、改操作

AddNew[Fields,Values]方法Delete[AffectRecords]方法Update[Fields,Values]方法CancelUpdate方法UpdateBatch方法CancelBatch方法

RecordSet对象的其他重要操作

指定记录集的最大容量

记录集对象的MaxRecords属性可以限制记录集中存放的记录数记录集中记录的分页处理与分页相关的属性包括：

PageSize 指定一页的记录数，它是分页的关键。 AbsolutePage 表示当前记录所在页的页号。 AbsolutePosition 表示当前记录相对于第一条记录的位 置，当前记录是第一条记录时，其值为 1 PageCount RecordSet对象总的页数。 RecordCount RecordSet对象总的记录数2.3.1ASP.NET技术⑴.NET简介.NET技术是一项革命性的技术。它是微软公司推出的新一代互联网软件和服务战略，是一种面向网络、支持各种用户终端的开发平台环境。它包含了分布式计算、XML、组件技术、即时编译技术等多种功能集成的环境。.NET环境使用统一的Internet标准（如XML）将不同的系统对接，并采用高度分布式应用服务架构，而且使用了一个综合的管理程序。2.3.1ASP.NET技术⑵ASP.NET技术简介ASP.NET是微软公司继ASP之后推出的用于创建、管理和部署Web应用程序的新的理想平台。它使用.NET框架所提供的编程类库构建而成。使ASP.NET创建、管理和部署Web应用程序变得非常容易。2.3.2构建ASP.NET开发运行环境⑴安装.NETFrameworkSDK软件包这个软件包可以从Internet上下载到本地服务器上进行安装。在微软网站上可以找到最新的版本，读者可以关注一下/download。⑵IIS的安装2.3.3ASP.NET语法简介控件⑴HTML服务器控件ASP.NET改进了HTML，将HTML普通控件封装为服务器控件。这些控件位于System.Web.UI.HTMLControls命名空间中，从HTMLControl基类中直接或间接派生出来。在Server端，控件被解释成HTML代码，然后再发送到客户端。服务器控件，是在普通控件的标注中加上runat=server的属性项，在客户端形成的页面上多了一些内部的代码。HTML服务器控件是在HTML普通控件和Web服务器控件之间的折衷，它们使用熟悉的HTML元素，提供有限的对象。控件⑵Web服务器控件Web服务器控件位于System.Web.UI.WebControls命名空间中，从WebControl基类中直接或间接派生出来。Web服务器控件更超越了HTML服务器控件，形式上的区别是在控件的名称前加上”ASP：”标注，加上runat=server的属性项，也就是在客户端形成的页面上多了一些内部的代码。它们提供了更加丰富的用户界面，如一个DataGrid这样的WEB服务器控件，在最终页面里将呈现数十个HTML元素，会自动地加上所需要的标记。如果开始一个新项目，或者需要采用更多的事件处理，增加页面的功能，Web服务器控件是最好的选择。控件⑶自定义控件ASP.NET最出色的特性之一就是开发人员可以创建自己的控件，甚至可以用文本编辑器创建它，然后将它们集成到ASP.NET应用程序中。用户即使没有这方面的知识，也可以很方便地应用这些高级的第三方控件，因为ASP.NET自定义控件在各个方面都与Web控件的行为相同。有了自定义控件，用户想做的事就没有限制，不管是添加一个新属性还是调整所提交的HTML输出。自定义控件已经被视为.NET平台上发展最快的领域之一。ASP.NET对象ASP.NET提供了许多内置对象，ASP.NET对象向开发者提供基本的请求、响应、会话等相当多的处理功能。例如，可以在两个网页之间传递变量、输出数据，以及记录变量值等。这些对象在ASP时代已经存在，到了ASP.NET环境下，这些功能仍然可以使用。而且，它们的种类更多，功能也更强大。ASP.NET内置对象是由IIS控制台初始化的ActiveXDLL组件。因为IIS可以初始化这些内置组件用于ASP.NET中，所以用户也可以直接引用这些组件来实现自己的编程，即可以在应用程序中，通过引用这些组件来实现访问ASP.NET内置对象的功能。ASP.NET对象ASP.NET内置的对象主要有七个。①Page对象②Response对象③Request对象④Application对象⑤Session对象⑥Server对象⑦Cookie对象ADO.NETADO.NET（ActiveXDataObject.NET）的是功能强大的数据访问接口，它是为了广泛的数据控制而设计。ADO.NET的主角是数据集对象DataSet，它是一个内存数据库，每个表由数据列（DataColumn）和数据行（DataRow）组成，一个DataSet就是一个内存数据库。创建一个DataSet后，就可将代表数据表的多个DataTable对象添加到DataSet中。而DataTable一般通过SqlDataAdapter或OleDbDataAdapter对象来创建。通过DataRelation对象可以定义DataSet中表与表之间的关系，而通过DataView则可实现DataTable的数据过滤和排序。2.4其它实用技术2.4.1PHP技术及开发工具简介2.4.2JSP技术及开发工具简介本章小结ASP是目前最常用的基础动态网站开发技术，它是一种运行于服务器端的Web应用程序开发技术，它既不是一种语言，也不是一种开发工具，而是一种服务器端的脚本语言环境。本章以ASP技术为主线，对动态网站开发技术的应用进行介绍，并通过实例详细地介绍ASP中常用对象的属性、方法和事件，还对与其相关的Web数据库技术进行了深入细致的剖析，使读者学会利用ASP技术及Web数据库技术开发动态网站的应用程序。最后对其它几中常用的开发技术做了概述性介绍。

第3章

电子商务安全技术

本章要点：主要掌握电子商务安全的五大威胁、基本概念以及电子商务安全的五种主要的技术，数据加密技术、密钥管理技术等。理解互联网安全技术以及移动电子商务安全解决方案；了解电子商务安全的一些先进技术；熟练掌握数据加密、认证技术、数字签名技术。3.1电子商务安全初识3.1.1电子商务安全威胁中断（Interruption）如图3-1（b）；截取（Interception）如图3-1（c）；篡改（Modification）如图3-1（d）；伪造（Fabrication）如图3-1（e）；重放（Replay）如图3-1（f）。图3-1安全性攻击主要形式3.1.2电子商务安全概念机密性；完整性；可鉴别性；访问控制性；不可抵赖性；不可拒绝性。3.1.3电子商务安全体系结构电子商务安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构；它为电子商务贸易双方安全可靠的交易提供了一个平台。电子商务安全体系结构如图3-2所示。图3-2电子商务安全体系结构3.1.3电子商务安全体系结(续)从图3-2中可以看出，下层是上层的基础，为上层提供了技术支持；上层是下层的扩展与递进。各层之间相互依赖、相互关联，构成统一整体。计算机网络安全和商务交易安全是密不可分的，两者相辅相成、缺一不可。3.1.3电子商务安全体系结构(续)1．网络安全主要包括计算机网络的物理安全、计算机网络系统安全和数据库安全等。各种技术介绍如下：（1）防火墙技术防火墙是一种常用的网络安全装置，安放在内部网络与外部网络的连接处；它既可以防止外部人员对内部网络的恶意攻击，又可以防止内部人员非法访问外部网络；但是，由于内部人员访问内部网络时不需要经过防火墙，它防止不了内部人员的攻击；有多种实现防火墙的技术，如包过滤、代理服务器、屏蔽子网网关等。3.1.3电子商务安全体系结构(续)（2）加密技术：可以用来保护网络系统中包括用户数据在内的所有数据流。（3）漏洞扫描技术：是自动检测远端或本地主机安全漏洞的技术。（4）入侵检测技术：是指网络安全管理员通过获取网络上的所有报文，从而发现异常，以便能够及时采取行动阻止可能的攻击。（5）反病毒技术：计算机病毒将使计算机系统瘫痪，程序和数据遭受严重破坏，使网络传输的效率大大降低，许多功能无法使用或不敢使用。（6）安全审计技术：不仅能够识别是谁访问了系统，还能指出系统正被怎样地使用。3.1.3电子商务安全体系结构(续)2．交易安全交易安全框架为传统商务在因特网上实现所产生的各种安全问题设计的一套安全技术结构。目的是在计算机网络安全的基础上确保电子商务交易过程的顺利进行。（1）加密技术层加密技术是电子商务最基本的安全措施。近代密码学中所出现的密码体制可分为两大类：对称加密体制和非对称加密体制。3.1.3电子商务安全体系结构(续)（2）安全认证层仅有加密技术层提供的加密技术不足以保证电子商务中的交易安全，认证技术是保证电子商务安全的又一重要技术手段。认证可以通过报文摘要技术、数字证书技术等实现。①报文摘要

②数字签名

③数字证书

④认证中心（CertificationAuthority，CA）3.1.3电子商务安全体系结构(续)（3）交易协议层电子商务的运行还需要一套完整的安全协议。目前，比较成熟的协议有安全套接层协议、安全电子交易协议、Netbill协议等。①安全套接层协议安全套接层（SecureSocketLayer，SSL）协议是网景（Netscape）公司于1996年推出的安全协议。它处于传输层和应用层之间，由SSL记录协议（SSLRecordProtocol）、SSL握手协议（SSLHandshakeProtocol）、修改加密约定协议（ChangeCipherSpecProtocol）和报警协议（AlertProtocol）组成。3.1.3电子商务安全体系结构(续)SSL握手协议用来在客户与服务器间传输数据之前建立安全机制。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行压缩、加密，计算报文验证码（MessageAuthenticationCode，MAC），然后经过网络传输层发送给对方。报警协议用来在客户和服务器之间传递SSL出错信息。3.1.3电子商务安全体系结构(续)②安全电子交易协议安全电子交易（SecureElectronicTransactions，SET）协议是由VISA和MasterCard两大信用卡组织制定的标准。SET用于划分与界定电子商务活动中消费者、网上商家、银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标淮。SET主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。电子商务安全不是一朝一夕就能解决的问题，它需要长期的努力和探索。没有一劳永逸的安全，也没有一蹴而就的安全。电子商务安全问题不仅仅是技术性问题，更重要的是管理问题，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。3.1.3电子商务安全体系结构(续)3.2互联网安全技术3.2.1网络安全概述这些安全威胁包括以下内容：1．端口扫描端口扫描是攻击者在攻击网络系统前进行信息收集的一种简单方法。2．假冒假冒即一个实体冒充另一个合法的实体。3．窃听窃听指攻击者通过截获通信数据，对截获的数据进行综合分析以获得敏感信息（如用户名/口令）或者在截获的信息中写入他自己的信息。4．欺骗欺骗是指一个攻击者在网络的另一端以不真实的身份与你交互。3.2互联网安全技术（续）5．拒绝服务拒绝服务是指由于网络部件的物理损坏或攻击者利用了网络协议本身缺陷攻击系统，而导致一个授权实体不能获得对网络资源的访问。6．软件漏洞当前一些常见的网络软件和网络服务存在着安全漏洞，如Finger漏洞。7．破坏消息的机密性和完整性在公共网络中，攻击者可以在消息的发送节点、目的节点以及任何中间节点通过窃听或假冒等手段截取网络上传输的信息，然后通过对这些信息的分析来推断出信息特征，进而破坏消息的机密性和完整性。8．CookieCookie是一些数据文件，可以为Web应用程序保存用户相关信息，但是Cookie也存在着安全隐患。

3.2互联网安全技术（续）9．网站漏洞的威胁Web服务器存在着许多漏洞，攻击者可以利用这些漏洞对网站实施攻击10．动态可执行代码动态可执行代码指可动态下载的可自动运行的程序。这些程序通过网络传播，一旦被下载到目标主机就会自动运行。攻击者利用这种技术使得目标主机感染病毒。3.2互联网安全技术（续）3.2.2防火墙技术根据防火墙所采用的技术，防火墙可以包括包过滤防火墙和应用代理防火墙。1．包过滤防火墙即根据系统内设置的过滤规则以及每个数据包头内的标志来确定是否允许该数据包通过防火墙；不能根据数据包的数据部分进行过滤处理；包过滤防火墙是一种最为简单的防火墙；要实现复杂的过滤，需要管理人员设置相当详细的过滤规则；无法检查到分布在多个数据包中的攻击信号。另外一种防火墙技术—状态检测（StatefulInspection）防火墙。

3.2互联网安全技术（续）2．应用代理防火墙代理服务（ProxyService）也称链路级网关或TCP通道（CircuitLevelGatewaysorTCPTunnels），也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段，如图3-3所示。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。图3-3应用代理防火墙3.2互联网安全技术（续）3.2.3VPN技术虚拟专用网络（VirtualPrivateNetwork，VPN）是一种利用公共网络来构建的私人专用网络技术，数据可以通过建立的虚拟安全通道在公共网络中传播。

3.2互联网安全技术（续）1．VPN主要技术目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。隧道指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。

3.2互联网安全技术（续）按照国际标准化组织（ISO）制定的开放系统互连（OSI）参考模型分类，当前主要有以下3种类型的隧道协议。（1）第二层的隧道协议。（2）第三层隧道协议（3）介于第二层和第三层之间的隧道协议，如MPLS隧道协议。3.2互联网安全技术（续）2．VPN工作原理隧道的建立有两种方式：客户发起方式（Client—Initiated）或客户透明方式（Client—Transparent）。对于客户发起方式，隧道一般是由用户或客户端计算机主动请求创建的。对于客户透明方式，隧道不是由用户发起的而是由支持VPN的设备请求创建的。隧道一旦建立，数据就可以通过隧道发送。图3-4所示为VPN的工作原理。图3-4VPN工作原理3.2互联网安全技术（续）3．应用领域目前VPN主要有以下3种应用领域。（1）远程访问虚拟网（AccessVPN）（2）企业内部虚拟网（IntranetVPN）（3）企业扩展虚拟网（ExtranetVPN）3.2互联网安全技术（续）入侵检测系统（IntrusionDetectionSystem，IDS）是一种主动保护网络免受攻击的网络安全系统。它可以实时监视、分析用户及系统的活动，并识别出由内部人员或外部攻击者进行的不正常活动，并对此做出相应的反应。图3-5所示为入侵检测系统组件之间的关系。在该模型中，管理员负责设置系统的安全策略，并根据这些安全策略部署和配置IDS。安全策略不仅定义了在受监控的网络中允许哪些服务，而且也定义了从外部网络可以访问哪些主机。图3-5入侵检测系统组件1．入侵检测系统的分类根据入侵检测系统的输入数据来源，可以把入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的IDS主要用于保护单个主机，它根据主机系统提供的系统日志和审计记录识别针对该主机的恶意或可疑事件。基于网络的入侵检测系统使用原始网络数据包作为分析的数据源，