第二章电子商务的技术基础15674.pptx

《第二章电子商务的技术基础15674.pptx》由会员分享，可在线阅读，更多相关《第二章电子商务的技术基础15674.pptx（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、上节内容回顾：第一章电子商务概述 电子商务的概念 1.电子商务的定义（电子和商务两个方面）。2.国际组织对电子商务的解释。电子商务的主要特点 1.由Internet 及相关技术决定的电子商务的特点（数字化，网络外部性）2.由电子商务系统结构决定的特点（集成性，协调性，可扩展性）3.由交易过程决定的特点（普遍性，虚拟性，交互性）4.由市场主体决定的特点（公平竞争，低成本，消费者的顾客价值高）电子商务的产生和发展 电子商务分类 1.按照交易主体分类（B2C，B2B，B2G）2.按照交易对象分类（有形电子商务，无形电子商务）3.按照使用网络类型分类（EDI 商务，Internet 商务，Intran

2、et 商务）4.按照网络接入方式分类（网站电子商务，移动电子商务，语音电子商务）电子商务的影响 1.对企业影响（影响企业的运作方式、组织方式）2.对经济规则的影响（达维多定律，梅特卡夫定律等）第二章 电子商务的技术基础 第一节 Web 技术 第二节 电子商务支付技术 第三节 电子商务安全技术 复习思考题考核知识点 Web 技术（Web、Web2.0）电子商务支付技术 保障电子商务支付技术安全的协议（SSL（安全套接层）、SET（安全电子交易）等）电子支付工具（电子信用卡、电子支票、电子现金等）电子商务安全技术（加密技术、数字签名、CA 认证等）第一节 Web 技术1 Web 技术的发展 2 W

3、eb1.0 和web2.0 的主要技术1 Web 技术的发展 Web 已经发展到2.0 版本阶段。百度知道对Web2.0 的定义：Web2.0 是相对Web1.0（2003 年以前的互联网模式）的新的一类互联网应用的统称。是一次从核心内容到外部应用的革命。由Web1.0 单纯通过网络浏览器浏览html 网页模式向内容更加丰富、联系性更强、工具性更强的Web2.0 互联网模式的发展已经成为互联网新的发展趋势。（Web1.0：单纯通过浏览器浏览html 静态页面。Web2.0：内容更丰富、联系性更强、工具性更强。）维基百科中：Web2.0 不是一个技术标准，但它包含了技术框架和应用软件。特点：鼓励

4、用户通过分享，让可供分享的资源更加丰富。Web2.0 最具有代表性的应用就是Blog。Web1.0 和Web2.0 的区别，具体说：在模式上，是单纯的由“读”向“写”、“共同建设”发展，由被动地接收互联网信息向主动创造互联网信息迈进；在基本构成单元上，是由“网页”向“发表/记录信息”发展；在工具上，是由互联网浏览器向各类浏览器、RSS 阅读器等内容发展；在运行机制上，是由“Client Server”向“Web Service”转变；在作者上，由程序员等专业人士向全部普通用户发展；在应用上，有初级的“滑稽”的应用向全面大量应用发展。web1.0 与web2.0 的比较（二）2 Web1.0 和

5、web2.0 的主要技术 动态Web 可以用于完成以下电子商务：通过市场营销和广告方式进行客户管理；开发新产品；寻找和开辟更多的网上销售渠道；加强企业内部管理。目前常用的浏览器是微软的Internet Explorer（IE）和Netscape 的Communicator。(2)Web2.0 的主要技术:RSS.RSS 是一种信息聚合技术，采用标准的XML 格式来共享内容，其全称几经变化，从“RDF Site Summary”RDF 站点摘要（RDF 是“Resource Description Framework”的缩写，即是资源描述框架），到“Rich Site Summary”丰富站点摘

6、要，最后到现在得“Really Simple Syndication”真正简单聚合。Trackback。Trackback 是一种引用功能。网民在浏览文章后，希望将评论保留在自己博客中，一方面便于日后更新维护，另一方面作为自己的创作成果保存。Ajax。该技术是“Asynchronous JavaScript and XML(以及DHTML)”的缩写，是HTML、CSS、JavaScript 等已有技术的综合应用。Tag。Tag（标签）本质上是一种采用关键词的分类技术。它深化了C2B 和B2C 电子商务模式的分类方法，是一种多维度的分类方法，将信息分类从栏目的方式转向关键词的方式。Web2.0

7、最具有代表性的应用就是博客（Blog）。第二节 电子商务支付技术1 电子商务网上支付概述2 电子商务支付技术的安全性3 我国电子商务支付系统现状4 电子支付工具1 电子商务网上支付概述(1)电子商务支付技术的概念：电子支付与结算技术是电子商务中必不可少的一部分，也是电子商务生存和发展的基础。电子商务支付技术是电子商务系统的重要组成部分，它是的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金（E-cash）、信用卡（Credit Card）、借记卡(Debit Card)、智能卡等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付。2 电子商

8、务支付技术的安全性 电子商务支付技术的安全包括：保密性、认证、数据完整性、交互操作性等。目前国内外使用的保障电子商务支付技术安全的协议包括：SSL（Secure Socket Layer,安全套接层）、SET（Secure Electronic Transaction,安全电子交易）。SSL 协议:它是在网络上普遍使用，能保证双方通信是数据的完整性、保密性和互操作性，在安全要求不太高时可用。它包括：握手协议。即在传送信息之前，先发送握手信息以相互确认对方的身份。确认身份后，双方共同持有一个共享密钥。消息加密协议。即双方握手后，用对方证书（RSA 公钥）加密一随即密钥，在用随机密钥加密双方的信息

9、流，实现保密性。目前的B2C 网上支付大多采用这种办法，SSL 使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家，如同使用一个安全电话连接将用户的信用卡通过电话读给商家。商家欺诈是SSL 协议所面临的最严重问题之一。因为SSL 协议只进行商家对客户的认证，缺乏客户对商家的认证。所以SSL 协议一般服务于银行对企业或企业对企业的电子商务。（1）SSL 协议(2)SET 安全电子交易协议SET 是实现在开放的网络（Internet 或者公众媒体网）上使用付款卡（信用卡、借记卡、取款卡等）支付的安全事务处理协议。交易流程为：持卡人决定购买,向商家发出购买请求；商家返回同意支付等信息

10、；持卡人验证商家身份，将订购信息和支付信息安全传送给商家，但支付信息对商家来说是不可见的（用银行公钥加密）；商家验证支付网关身份，把支付信息传给支付网关，要求验证持卡人的支付信息是否有效；支付网关验证商家身份，通过传统的银行网络到发卡行验证持卡人的支付信息是否有效，并把结果返回商家；商家返回信息给持卡人，送货；商家定期向支付网关发送要求支付信息，支付网关通知卡行划账，并把结果返回商家，交易结束。安全电子交易使用的安全技术包括加密（公开密钥加密，秘密密钥加密）、数字信封、数字签名、双重数字签名、认证等。他通过加密保证了数据的安全性，通过数字签名保证了交易各方身份认证和数据的完整性，通过使用明确的

11、交互协议和消息格式保证了互操作性。优点：保证了数据的安全性,交易各方身份认证和数据的完整性及互操作性。缺点：实现比较复杂。3 我国电子商务支付系统现状 我国电子商务支付系统现状：法律方面。目前还没有完整的电子商务的法规，数字签名的有效性也没有得到法律的认可，这对电子商务的发展很不利；金融行业方面。用卡付款代替传统的现金付款已越来越被人们接受，逐步全面开展网上支付；市场方面。由于电子商务潜在巨大的利润，商家盼望电子商务早日实现。顾客方面。电子支付为用户提供了很大的方便，得到了用户的欢迎，但由于电子支付要用户承担一定的风险，所以要顾客普遍接受电子支付还需要时间。4 电子支付工具电子支付工具：电子钱

12、夹（电子信用卡）。信用卡支付是电子支付中最常用的工具。信用卡的卡基有磁条卡发展为能够读写大量数据、更加安全可靠的智能卡，因此被称为电子信用卡或电子钱夹。电子支票。电子支票是网络银行常用的一种电子支付工具。将传统支票改变为带有数字签名的电子报文，或利用其他数字电文代替传统支票的全部信息，就是电子支票。电子现金（电子钱包）。电子现金是以电子化数字形式存在的现金货币。其他金融工具：智能卡、磁条卡、IC卡、光卡。除了上述的电子信用卡、电子现金和电子支票外，还有电子零钱、安全零钱、在线货币、数字货币等。第三节 电子商务安全技术1 电子商务的安全问题2 电子商务系统的安全技术3 电子商务交易的一般安全控制

13、结构客户发订单ISP客户订单客户开户行 商店开户行仓库送货上门打印出货单Web服务器在线商店Internet支付网络典型的电子商务交易过程从技术角度来看，在电子商务中有从技术角度来看，在电子商务中有33个关键的薄弱点：个关键的薄弱点：客户、服务器及通信信道客户、服务器及通信信道服务器端ISP商家银行仓库线路窃听搭线和窃听信息篡改盗窃和诈骗DOS 攻击黑客攻击恶意代码攻击盗窃和诈骗线路窃听故意破坏恶意代码攻击线路窃听机器丢失图5-2 电子商务环境下的安全威胁对ISP 的窃听窃听Internet 主干网Web 服务器在线商店窃听Web 服务器进入商店数据库安全风险Internet 通信服务器端IS

14、P商家银行客户端企业家庭1、恶意代码 病毒：宏病毒、文件感染型病毒、脚本病毒 蠕虫：蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。特洛伊木马“恶意程序”2 2、黑客行为与网络破坏活动、黑客行为与网络破坏活动黑客 黑客 企图在未经授权的情况下进入计算机系统的人，有 企图在未经授权的情况下进入计算机系统的人，有白帽黑客、黑帽黑客、灰帽黑客之分。白帽黑客、黑帽黑客、灰帽黑客之分。1983 1983 年，凯文 年，凯文 米特尼克因擅自进入今日互联网的前身 米特尼克因擅自进入今日互联网的前身ARPA ARPA

15、网，并通过该网进入了美国五角大楼的电脑，而被 网，并通过该网进入了美国五角大楼的电脑，而被判在加州的青年管教所管教了 判在加州的青年管教所管教了6 6 个月。个月。1988 1988 年，凯文 年，凯文 米特尼克被 米特尼克被DEC DEC 指控他从公司网络上盗取 指控他从公司网络上盗取了价值 了价值100 100 万美元的软件，并造成了 万美元的软件，并造成了400 400 万美元损失。万美元损失。1993 1993 年，自称为 年，自称为“骗局大师 骗局大师”的组织成功入侵美国国家安 的组织成功入侵美国国家安全局和美立坚银行，他们建立了一个能绕过长途电话呼叫 全局和美立坚银行，他们建立了一

16、个能绕过长途电话呼叫系统而侵入专线的系统。系统而侵入专线的系统。1995 1995 年，俄罗斯黑客弗拉季米尔 年，俄罗斯黑客弗拉季米尔 列宁成为历史上第一个 列宁成为历史上第一个通过入侵银行电脑系统来获利的黑客，他侵入美国花旗银 通过入侵银行电脑系统来获利的黑客，他侵入美国花旗银行并盗走一千万，后在英国被国际刑警逮捕，已把帐户里 行并盗走一千万，后在英国被国际刑警逮捕，已把帐户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。1999 1999 年，梅利莎病毒 年，梅利莎病毒（Melissa Melissa）使世界上）使世界上300 300 多家公司

17、 多家公司的电脑系统崩溃，该病毒造成的损失接近 的电脑系统崩溃，该病毒造成的损失接近4 4 亿美金，它是 亿美金，它是首个具有全球破坏力的病毒，该病毒的编写者戴维 首个具有全球破坏力的病毒，该病毒的编写者戴维 斯密 斯密斯在编写此病毒的时候年仅 斯在编写此病毒的时候年仅30 30 岁。戴维 岁。戴维 斯密斯被判处 斯密斯被判处5 5年徒刑。年徒刑。2000 2000 年，年仅 年，年仅15 15 岁，绰号黑手党男孩的黑客在 岁，绰号黑手党男孩的黑客在2000 2000 年 年2 2 月 月6 6 日到 日到2 2 月 月14 14 日情人节期间成功侵入包括雅虎、日情人节期间成功侵入包括雅虎、e

18、Bay eBay 和 和Amazon Amazon 在内的大型网站服务器，他成功阻止服务器向用 在内的大型网站服务器，他成功阻止服务器向用户提供服务。户提供服务。2006 2006 年 年10 10 月 月16 16 日，中国骇客（李俊）发布熊猫烧香病毒，日，中国骇客（李俊）发布熊猫烧香病毒，并在短短时间内，致使中国数百万用户受到感染，并波 并在短短时间内，致使中国数百万用户受到感染，并波及到周边国家，比如日本。他于 及到周边国家，比如日本。他于2007 2007 年 年2 2 月 月12 12 日被捕。日被捕。2007 2007 年，中国一名网名为 年，中国一名网名为The Silents(

19、The Silents(折羽鸿鹄 折羽鸿鹄)的黑客在 的黑客在6 6 月至 月至11 11 月成功侵入包括 月成功侵入包括CCTV CCTV、163 163、TOM TOM 等中国大型门户服务器。等中国大型门户服务器。2008 2008 年，一个全球性的黑客组织，利用 年，一个全球性的黑客组织，利用ATM ATM 欺诈程序在一夜 欺诈程序在一夜之间从世界 之间从世界49 49 个城市的银行中盗走了 个城市的银行中盗走了900 900 万美元。黑客们攻破 万美元。黑客们攻破的是一种银行系统，用各种技巧取得了数据库内的银行卡信息，的是一种银行系统，用各种技巧取得了数据库内的银行卡信息，并在 并在1

20、1 11 月 月8 8 日午夜，利用团伙作案从世界 日午夜，利用团伙作案从世界49 49 个城市总计超过 个城市总计超过130 130台 台ATM ATM 机上提取了 机上提取了900 900 万美元。最关键的是，目前 万美元。最关键的是，目前FBI FBI 还没破 还没破案，甚至据说连一个嫌疑人都没找到。案，甚至据说连一个嫌疑人都没找到。2009 2009 年 年7 7 月 月7 7 日，韩国遭受有史以来最猛烈的一次攻击。韩国总 日，韩国遭受有史以来最猛烈的一次攻击。韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体 统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企

21、业网站进行了攻击。和防火墙企业网站进行了攻击。9 9 日韩国国家情报院和国民银 日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的 行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开！这是韩国遭遇的有史以来最强的一次黑客 网站一度无法打开！这是韩国遭遇的有史以来最强的一次黑客攻击。攻击。3、信用卡诈骗 2006年12月，美国超市集团TJX发现两个电脑系统被黑客入侵，至少有4560万信用卡号码被盗，遂向警方报了案。TJX在加拿大、美国和欧洲经营着2500余家超市。这些信用卡资料中，至少有45万个包括名字、地址和个人身份证号码（包括社会保险号），这些

22、额外的信息大大方便了黑客制作克隆卡，因而极大地加剧了风险。经过四个国家警方历时三年的努力，此案终于告破。这11名黑客团伙的作案对象主要是零售商，其中，TJX是最大的受害者。除了TJX，还包括BJs Wholesale Club、OfficeMax、Barnes&Noble和the Sports Authority等。根据美国法庭2010年3月25日判处美信用卡大盗Albert Gonzalez入狱20年，创下了美国历史上对网络黑客判罚最严厉的案例记录。4、电子欺骗 用虚假的电子邮件地址的方法来虚构自己的身份或伪装成其他人把网站伪装成指定的地址，从而把网络连接重新定向到非指定的其他地址威胁完整性

23、、真实性5、拒绝服务攻击向网站大量发送无用的通信流量来淹没网络并使网络瘫痪 IP欺骗DOS攻击6、网络窃听 电子邮件窃听1 电子商务的安全问题（1）电子商务的安全隐患：对合法用户身份的仿冒；网络传输数据的保密性；网络传输数据的完整性；利用网络数据恶意攻击网络硬件和软件，从而导致商务信息传递的丢失、破坏；商业欺诈和故意抵赖。1 电子商务的安全问题（2）电子商务安全要素：有效性。对网络故障和病毒等所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、地点是有效的；保密性。电子商务系统应及时对传输信息进行加密处理，防止交易中信息被非法截获或读取；完整性。防止对交易信息的随意改动、丢失和重复，并保

24、证信息传递次序的统一；可靠性、不可抵赖性和可鉴别性。电子商务系统应提供交易双方的身份鉴别机制，确保交易双方的身份信息是可靠和合法的，保证交易各方对已作出交易无法抵赖。2 电子商务系统的安全技术加密技术：加密技术是电子商务最基本的安全措施。分为对称加密和非对称加密两类。加密技术就是采用数学方法对原始信息进行再组织，使得在网上公开传输的内容对于非法接收者来说成为毫无意义的文字，对于合法接收者经过解密可以得到原始信息。对称加密也叫单钥，这种方法的加密钥匙和解密钥匙是相同的，常用的对称加密算法有DES、PCR、IDEA、3DES 等，其中DES 使用最普遍。非对称加密的密钥被分解为公开密钥和私有密钥。

25、密钥生成后，公开密钥以非保密方式对外公开，只对应生成该密钥的发布者，私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都快使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与公开密钥相对应的私有密钥进行解密，常用的非对称加密为RSA 算法。什么是加密？u u加密加密：用基于数学方法的程序和保密的密钥对信：用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把以理解的字符串，也就是把明文明文变成变成密文密文。u u解密解密：加密的逆过程。：加密的逆过程。u u包括四部分包括四部分：

26、明文、密文、算法、密钥。：明文、密文、算法、密钥。明 文：How are you 密 文：LSA EVI CSY加密算法：两个序列的同一个字母相差4 个位置。密钥：4（1）对称加密u概念：加密所使用的密钥和解密所使用的密钥相同或相对。对称密钥的算法是公开的，交换信息的双方不必须交换加密算法，而是采用相同的加密算法，但需要交换加密密钥。u过程：u 特点：加解密速度快；由于算法公开，其安全性完全依赖于对密钥的保护；若贸易伙伴多，则密钥数量多且保管困难；难以进行身份认证。u 代表算法-DES算法 Data Encryption Standard（2）非对称加密 概念：通常也称为双钥密码体制或公开密码

27、体制，概念：通常也称为双钥密码体制或公开密码体制，需要采用两个在数学上相关的密钥对需要采用两个在数学上相关的密钥对公开密钥公开密钥和私有密钥来对信息进行加解密。和私有密钥来对信息进行加解密。过程：过程：u 特点：密钥分配简单；密钥的保管量少；可以实现身份认证；加解密速度慢。代表算法：RSA算法 小结：对称与非对称加密体制对比2 电子商务系统的安全技术安全认证技术。认证的实现包括智能卡、数字签名和数字证书技术等。（1）智能卡：它是一种智能集成电路卡，不但提供读写数据和存储数据的能力，而且还具有对数据进行处理的能力，可以实现对数据的加密和解密，能进行数字签名和验证数字签名。（2）数字签名：它是非对

28、称机密技术中的一种技术，其主要方式为报文发送方从报文文本中生成一个128 位的散列值，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名。（3）数字凭证：它又称为数字证书，是用电子手段来证实一个用户的身份和限定对网络资源访问的权限。数字证书的使用涉及数字认证中心CA（Certificate Authority）。数字证书是数字认证中心CA 签发的。数字签名数字签名 文件的数字签名技术实际上是通过 文件的数字签名技术实际上是通过数字摘要 数字摘要和 和非对称密钥加密 非对称密钥加密体制两者结合来实现的。体制两者结合来实现的。采用数字签名，对传输数据实现了两种保护：1）完整性 2）真实性

29、信息 摘要 数字签名 信息 摘要 数字签名摘要 对比签名过程传输过程接收、验证过程一起发送Hash加密加密发送方 接收方解密Hash加密（4）CA认证：在电子商务系统中CA 是具有权威性、公正性、可信任的第三方，它负责为用户签发证书，提供身份认证服务，是整个系统的安全核心。（5）数字信封混合加密技术：数字信封技术综合了私密密钥加密技术和公开密钥加密技术的优点，它使用私密密钥对信息进行加密，是用接收方提供的公开密钥对私密密钥进行加密，接收方收到信息后，首先利用自己的私钥对对方的私密密钥进行解密，再用解密后的发送方私密密钥对密文进行解密。简单地说，数字信封技术是用私密密钥加密技术对要发送的信息进行

30、加密、使用公开密钥加密技术对私钥进行加密的一种加密技术，它较好的保证了数据传输的安全性。（6）数字时间戳：它是一个经过加密后形成的凭证文档，包括三部分：需加时间戳的文件的摘要；DTS（数字时间戳服务）收到文件的日期和时间；DTS的数字签名。数字信封混合加密技术发送方秘密密钥发送方秘密密钥发送方秘密密钥发送方秘密密钥数字时间戳（digital time-stamp）是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。数字时间戳的使用3 电子商务交易的一般安全控制结构互联网是电子商务交易的基本平台，必须具备基本的杀毒和防火墙软件。防火墙是指一个有

31、软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护屏障。安全认证机构，在电子商务交易中，客户和商家的交易不可能靠双方来完成，而需要有一个具有权威性和公正性的第三方来完成，即电子商务认证机构（CA）。CA 发放的证书有SSL 和SET 两种。SSL 安全协议主要用于提高应用程序之间数据的安全系数。但有利于商家而不利于客户。因为SSL 协议只进行商家对客户的认证，缺乏客户对商家的认证。所以SSL 协议一般服务于银行对企业或企业对企业的电子商务。SET 协议位于应用层，它是由MasterCard 和VISA 以及IBM、微软等公司开发，用来保证互联网上银行卡支付交易安全性，所以SET 一般服务于持卡消费、网上购物的电子商务。电子商务交易的一般安全控制结构图复习思考题一、概念Web Web2.0 SSL 协议 SET 协议 电子信用卡 电子支票 电子现金 加密技术 数字签名 CA认证二、简答题1 简述web1.0 与web2.0 区别。2 简述web1.0 与web2.0 的主要技术。3 简述Tag 技术及其应用。4 简述电子商务交易的一般安全控制结构。