电子商务支付技术与安全技术23840.pptx

第二章 电子商务的技术基础第一节 Web技术 Web 1.0：美国对互联网实施私有化。：美国对互联网实施私有化。Web 2.0源于源于2004年年3月美国月美国OReilly公司与公司与MediaLive公司公司的一次头脑风暴会议。的一次头脑风暴会议。OReilly公司的副总裁公司的副总裁Dale Dougherty在会议中认为互联网正在经历一种新的变革。在分析了这些新在会议中认为互联网正在经历一种新的变革。在分析了这些新技术与新型网站的模式后，技术与新型网站的模式后，Dale Dougherty与公司总裁与公司总裁Tim OReilly创造性地提出了创造性地提出了Web 2.0的概念。的概念。一、Web的发展 Web2.0，是相对，是相对Web1.0（2003年以前的互联网模式）的年以前的互联网模式）的新的一类互联网应用的统称，是一次从核心内容到外部应用的新的一类互联网应用的统称，是一次从核心内容到外部应用的革命。由革命。由Web1.0单纯通过网络浏览器浏览单纯通过网络浏览器浏览html网页模式向内容网页模式向内容更丰富、联系性更强、工具性更强的更丰富、联系性更强、工具性更强的Web2.0互联网模式的发展互联网模式的发展已经成为互联网新的发展趋势。已经成为互联网新的发展趋势。Web1.0到到Web2.0的转变，具体的说，从模式上是单纯的的转变，具体的说，从模式上是单纯的“读读”向向“写写”、“共同建设共同建设”发展；由被动地接收互联网信息向主发展；由被动地接收互联网信息向主动创造互联网信息迈进！从基本构成单元上，是由动创造互联网信息迈进！从基本构成单元上，是由“网页网页”向向“发表发表/记录的信息记录的信息”发展；从工具上，是由互联网浏览器向各类发展；从工具上，是由互联网浏览器向各类浏览器、浏览器、RSS阅读器等内容发展；运行机制上，由阅读器等内容发展；运行机制上，由“Client Server”向向“Web Services”转变；作者由程序员等专业人士向全转变；作者由程序员等专业人士向全部普通用户发展；应用上由初级的部普通用户发展；应用上由初级的“滑稽滑稽”的应用向全面大量应的应用向全面大量应用发展。用发展。百度知道对Web2.0的定义维基百科（Wikipedia）对Web2.0的定义 Web 2.0，是一个新生的术语，它的应用可以让人了解目，是一个新生的术语，它的应用可以让人了解目前万维网正在进行的一种改变前万维网正在进行的一种改变从一系列网站到一个成熟的从一系列网站到一个成熟的为最终用户提供网络应用的服务平台。这种概念的支持者期望为最终用户提供网络应用的服务平台。这种概念的支持者期望Web 2.0服务将在很多用途上最终取代桌面计算机应用。服务将在很多用途上最终取代桌面计算机应用。Web 2.0并不是一个技术标准，不过它包含了技术架构及应用软件。并不是一个技术标准，不过它包含了技术架构及应用软件。它的特点是鼓励作为信息最终利用者通过分享，使得可供分享它的特点是鼓励作为信息最终利用者通过分享，使得可供分享的资源变得更丰盛；相反的，过去的各种网上分享方式则显得的资源变得更丰盛；相反的，过去的各种网上分享方式则显得支离破碎。支离破碎。Web 2.0是网络运用的新时代，网络成为了新的平台，内是网络运用的新时代，网络成为了新的平台，内容因为每位使用者的参与（容因为每位使用者的参与（Participation）而产生，参与所产生）而产生，参与所产生的个人化（的个人化（Personalization）内容，借由人与人（）内容，借由人与人（P2P）的分享）的分享（Share），形成了现在），形成了现在Web 2.0的世界。的世界。Web1.0和Web2.0的比较比较角度Web1.0Web2.0生产特点商家把内容、信息放到网上消费者把内容、信息放到网上内容的生产者商家为主消费者为主交互性网站对消费者为主消费者之间为主技术上商家主导更强调个性化、交互性Web2.0：多人参与Web2.0：人是灵魂Web2.0：可读可写互联网Web2.0的元素讨论：实名制让网络退回Web 1.0时代？”如果在网络上要实名注册才能发表言论，那谁还会自由自在地在各种坛子里游荡？谁还敢说真话？“这是网民们对于网络实名制的最直接的反应，也反应了人们对于网络实名制的担忧。诸多争议认为，网络实名制的实施，会让习惯穿着马甲游泳的网民们不敢发言，从而使网络退回到没有交互的Web1.0时代，甚至从根本上影响网络文化和互联网企业的发展。然而，事实真的会如此吗？实名制真的会让网络退回到Web1.0时代吗？二、Web技术1.Web1.0的主要技术2.Web2.0的主要技术(1)RSS。RSS是一种信息聚合技术。用户可以使用是一种信息聚合技术。用户可以使用RSS阅读器软阅读器软件将感兴趣的内容聚合在一起，不登陆网站便可实时掌握内容的件将感兴趣的内容聚合在一起，不登陆网站便可实时掌握内容的更新情况，并可以批量下载所选内容，实现更新情况，并可以批量下载所选内容，实现“一站式一站式”信息浏览；信息浏览；对内容提供者来说，对内容提供者来说，RSS技术提供了一个实时、高效、安全、低技术提供了一个实时、高效、安全、低成本的信息发布渠道，能让别人更容易发现你的站点及信息，并成本的信息发布渠道，能让别人更容易发现你的站点及信息，并追踪阅读；网站之间也可以更方便地共享彼此的内容。追踪阅读；网站之间也可以更方便地共享彼此的内容。(2)Trackback。Trackback是一种引用功能。网民在浏览文章后，是一种引用功能。网民在浏览文章后，希望将评论保留在自己博客中，一方面便于日后更新维护，另一希望将评论保留在自己博客中，一方面便于日后更新维护，另一方面作为自己的创作成果保存。方面作为自己的创作成果保存。(3)Ajax。Ajax是是HTML、CSS、JavaScript等已有技术的综合应等已有技术的综合应用。直观一点的说用。直观一点的说Ajax能够实现不刷新浏览器窗口（当然更不用能够实现不刷新浏览器窗口（当然更不用安装额外的插件）而满足用户的操作。安装额外的插件）而满足用户的操作。(4)Tag（标签）。（标签）。Tag本质上是一种采用关键词的分类技术。本质上是一种采用关键词的分类技术。第二节 电子商务支付技术一、电子商务网上支付概述 电子商务支付技术指的是消费者、商家和金融机构之电子商务支付技术指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金（包括电子现金（E-cash）、信用卡（）、信用卡（Credit Card）、借记卡）、借记卡（Debit Card）、智能卡等的支付信息通过网络安全传送到）、智能卡等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付。银行或相应的处理机构，来实现电子支付。二、电子商务支付技术的安全性 电子商务支付技术的安全要求包括保密性、认证、数电子商务支付技术的安全要求包括保密性、认证、数据完整性、交互操作性等。目前，国内外使用的保障电子据完整性、交互操作性等。目前，国内外使用的保障电子商务支付技术安全的协议包括商务支付技术安全的协议包括SSL（Secure Socket Layer，安全套接层）、安全套接层）、SET（Secure Electronic Transaction）等协）等协议标准。议标准。(1)握手协议握手协议(2)消息加密协议消息加密协议 1.SSL协议三、我国的电子商务支付系统(1)法律方面法律方面(2)金融业方面金融业方面(3)市场方面市场方面(4)顾客要求方面顾客要求方面 四、电子支付工具1.电子信用卡（电子钱夹）信用卡支付是电子支付中最常用的工具。信用卡支付是电子支付中最常用的工具。电子信用卡（电子钱夹）的卡基：能读写大量数据、电子信用卡（电子钱夹）的卡基：能读写大量数据、更加安全可靠的智能卡。更加安全可靠的智能卡。功能：功能：(1)显示余额；显示余额；(2)划拨资金；划拨资金；(3)无线通信。无线通信。A、信用卡卡号、信用卡卡号：16位凸印的数字代表您的招商银行信用卡卡号。B、起用月、起用月/年（年（MM/YY）：卡片开始使用时间（前面为月份，后面为年份后两位）。C、有效月、有效月/年（年（MM/YY）：卡片使用的有效时间（前面为月份，后面为年份后两位），亦是续卡换发时间，如逾期您未收到换发的新卡，请立即与我行联系。D、您的英文姓名、您的英文姓名：您在填写申请书时填写的英文姓名，建议使用您护照上的英文姓名（一般情况下与您的汉语拼音姓名相同），以避免使用上的不便。E、信用卡种类的标识、信用卡种类的标识：您持有的信用卡种类。根据标识，您的信用卡可在有相应标识的特约商店消费，在有相应标志的ATM机上预借现金。例：信用卡型电子货币F、卡片磁条、卡片磁条磁条上录有您的重要资料，请避免刮伤或与磁性物品放置在一起，以免磁条受损。G、个人签名栏、个人签名栏拿到卡片后，请您立即签上您惯用的签名式样（建议使用油性签字笔或圆珠笔），日后用卡交易时也请签上相同式样的签名。H、客户服务热线、客户服务热线您在使用卡片过程中有任何的疑问，请拨打我们全年365天、每天24小时客户服务热线800-820-5555（提醒您，它可是免费的喔），手机用户及未开通800业务的地区则请拨打021-38784800。I、海外服务热线、海外服务热线您在国外使用卡片过程中有任何的疑问，请拨打86-21-38784800致电我行的24小时客户服务热线咨询。J、卡号末四位号码、卡号末四位号码您的信用卡卡号的末四位号码，与正面凸印的卡号末四位号码一致，以防止您的卡片被不法分子伪冒。K、CVV2码（威士卡）码（威士卡）在信用卡背面的签名栏上，紧跟在卡号末四位号码的后面印有3位保安数字，即CVV2码（威士卡），当您使用信用卡进行电视、电话购物和网上交易时，特约商户会根据需要要求您输入此号码以核实您的身份。2.电子支票 电子支票是网络银行常用的一种电子支付工具。将传电子支票是网络银行常用的一种电子支付工具。将传统支票改变为带有数字签名的电子报文，或利用其他数字统支票改变为带有数字签名的电子报文，或利用其他数字电文代替传统支票的全部信息，就是电子支票。电子支票电文代替传统支票的全部信息，就是电子支票。电子支票包含三个实体：购买方、销售方以及金融机构。包含三个实体：购买方、销售方以及金融机构。3.电子现金 电子现金是以电子化数字形式的现金货币。电子现金电子现金是以电子化数字形式的现金货币。电子现金的发行方式包括存储性质的预付卡（即电子钱包）和纯电的发行方式包括存储性质的预付卡（即电子钱包）和纯电子系统形式的用户号码数据文件等形式。纯电子数字化现子系统形式的用户号码数据文件等形式。纯电子数字化现金没有明确的物理形式。实际的数字化现金的传输过程通金没有明确的物理形式。实际的数字化现金的传输过程通常经过公钥和私钥加密系统，以保证只有真正的卖方才可常经过公钥和私钥加密系统，以保证只有真正的卖方才可以使用这笔现金。以使用这笔现金。第三节 电子商务安全技术“谁掌握了信息，控制了网络，谁就拥有整个世界。”美国著名未来学家阿尔温托夫勒第三次浪潮作者2000年2月，互联网最为严重的黑客事件 “电子珍珠港”事件2月月7日，美国雅虎网站（日，美国雅虎网站（Yahoo）遭到攻击，大部分网络服）遭到攻击，大部分网络服务陷于瘫痪。务陷于瘫痪。2月月8日，电子商务网站遭到攻击。当天股市的网络销售公日，电子商务网站遭到攻击。当天股市的网络销售公司购买网站死机，随后世界最著名的网络拍卖行网站司购买网站死机，随后世界最著名的网络拍卖行网站（eBay）、著名电子商务网站亚马逊（）、著名电子商务网站亚马逊（Amazon）也被迫关）也被迫关闭多个小时。闭多个小时。2月月9日，电子商务网站再度遭殃，电子交易网站遭到攻击，日，电子商务网站再度遭殃，电子交易网站遭到攻击，科技新闻网站科技新闻网站ZDnet中断中断2个小时。个小时。相关的数据和统计一、电子商务的安全问题 对合法用户身份的防冒。对合法用户身份的防冒。网络传输数据的保密性。网络传输数据的保密性。网络传输数据的完整性。网络传输数据的完整性。利用网络数据恶意攻击网络硬件和软件，从而导致商务利用网络数据恶意攻击网络硬件和软件，从而导致商务信息传递的丢失、破坏。信息传递的丢失、破坏。商业欺诈和故意抵赖。商业欺诈和故意抵赖。1.电子商务的安全隐患 有效性。有效性。保密性。保密性。完整性。完整性。可靠性、不可抵赖性和可鉴别性。可靠性、不可抵赖性和可鉴别性。2.电子商务的安全要素二、电子商务系统的安全技术1.加密技术 加密技术是电子商务最基本的安全措施，是采用数学方法加密技术是电子商务最基本的安全措施，是采用数学方法对原始信息进行再组织，使得在网上公开传输的内容对于非法对原始信息进行再组织，使得在网上公开传输的内容对于非法接收者来说成为毫无意义的文字，对于合法接收者经过解密可接收者来说成为毫无意义的文字，对于合法接收者经过解密可以得到原始信息。以得到原始信息。加密技术可分为：加密技术可分为：对称加密：加密密钥和解密密钥是相同的。常用算法：对称加密：加密密钥和解密密钥是相同的。常用算法：DES等。等。非对称加密：密钥被分解为公开密钥和私有密钥。密非对称加密：密钥被分解为公开密钥和私有密钥。密钥生成后，公开密钥以非保密方式对外公开，只对应于生钥生成后，公开密钥以非保密方式对外公开，只对应于生成该密钥的发布者，私有密钥则保存在密钥发布方手中。成该密钥的发布者，私有密钥则保存在密钥发布方手中。任何得到公开密钥的用户都可使用该密钥加密信息发送给任何得到公开密钥的用户都可使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与该公开密钥的发布者，而发布者得到加密信息后，使用与公开密钥相对应的私有密钥进行解密。常用算法：公开密钥相对应的私有密钥进行解密。常用算法：RSA。2.安全认证技术(1)智能卡。是一种智能集成电路卡，不但提供读写数据和智能卡。是一种智能集成电路卡，不但提供读写数据和存储数据的能力，而且还具有对数据进行处理的能力，可存储数据的能力，而且还具有对数据进行处理的能力，可以实现对数据的加密和解密，能进行数字签名和验证数字以实现对数据的加密和解密，能进行数字签名和验证数字签名。签名。(2)数字签名。数字签名。(3)数字凭证。又称为数字证书，是用电子手段来证实一个数字凭证。又称为数字证书，是用电子手段来证实一个用户的身份和限定对网络资源访问的权限。用户的身份和限定对网络资源访问的权限。(4)CA认证。在电子商务系统中认证。在电子商务系统中CA是具有权威性、公正性、是具有权威性、公正性、可信任性的第三方，它负责为用户签发证书，提供身份认可信任性的第三方，它负责为用户签发证书，提供身份认证服务，是整个系统的安全核心。证服务，是整个系统的安全核心。(5)数字信封。是使用私密密钥加密技术对要发送的信息进数字信封。是使用私密密钥加密技术对要发送的信息进行加密、使用公开密钥加密技术对私钥进行加密的一种加行加密、使用公开密钥加密技术对私钥进行加密的一种加密技术，它较好地保证了数据传输的安全性。密技术，它较好地保证了数据传输的安全性。(6)数字时间戳。时间戳是一个经加密后形成的凭证文档，数字时间戳。时间戳是一个经加密后形成的凭证文档，包括三个部分：需加时间戳的文件的摘要；包括三个部分：需加时间戳的文件的摘要；DTS收到文件收到文件的日期和时间；的日期和时间；DTS的数字签名。时间戳产生的过程为，的数字签名。时间戳产生的过程为，用户首先将需要加时间戳的文件用用户首先将需要加时间戳的文件用HASH编码加密形成摘编码加密形成摘要，然后将该摘要发送到要，然后将该摘要发送到DTS，DTS在加入了收到文件摘在加入了收到文件摘要的日期和时间信息后再对该文件加密，然后送回用户。要的日期和时间信息后再对该文件加密，然后送回用户。三、电子商务交易的一般安全控制结构演讲完毕，谢谢观看！