電子商務(wù)概論與實(shí)訓(xùn)教程教學(xué)課件第3章

1、第三章 電子商務(wù)與支付, 學(xué)習(xí)目標(biāo) 能夠描述電子商務(wù)活動(dòng)存在的安全問題； 能夠描述加解密的電子認(rèn)證工作機(jī)制； 能夠描述常用的電子支付工具和支付方法； 能夠使用網(wǎng)上銀行和第三方支付平臺(tái)進(jìn)行電子支付； 強(qiáng)化電子商務(wù)安全意識(shí)，培養(yǎng)良好的電子商務(wù)職業(yè)道德風(fēng)尚。,案例導(dǎo)引 近10萬用戶資料可能被黑客曝光,位于美國馬薩諸塞州的沃爾瑟姆美的B是一家電子商務(wù)網(wǎng)站，該網(wǎng)站向用戶提供稀有的或者已經(jīng)絕版的書籍。上周他發(fā)現(xiàn)一個(gè)黑客自去年10月就攻破了公司的一個(gè)服務(wù)器，自此以后，該黑客曾多次光顧他的服務(wù)器。該公司發(fā)言人稱，黑客從公司網(wǎng)站上下載了用戶的資料，包括用戶姓名、地址及信用卡號(hào)碼。該公司為了查找黑客，短時(shí)間關(guān)閉整

2、個(gè)網(wǎng)站，并把用戶的信用卡信息和地址從那個(gè)服務(wù)器上移走。但公司發(fā)言人未透露是否查到了黑客。只是說已經(jīng)通知了美國聯(lián)邦調(diào)查局，請(qǐng)求他來協(xié)助調(diào)查此事。,第一節(jié) 電子商務(wù)安全技術(shù)概述,安全問題一直困擾著電子商務(wù)的發(fā)展。諸如計(jì)算機(jī)病毒、電腦黑客、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身脆弱性等各方面已經(jīng)對(duì)電子商務(wù)安全構(gòu)成嚴(yán)重威脅。電子商務(wù)的安全涉及方方面面，不是單純依靠哪一種安全技術(shù)就能一勞永逸的。安全問題是電子商務(wù)成功與否的關(guān)鍵所在，也是致命所在。因?yàn)殡娮由虅?wù)的安全問題不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，甚至還關(guān)系到國家的經(jīng)濟(jì)安全、國家經(jīng)濟(jì)秩序的穩(wěn)定問題。我們無法想象一個(gè)安全得不到保障的電子商務(wù)世界會(huì)是一個(gè)什么樣的情形

3、。所以，對(duì)于電子商務(wù)的安全問題絕不可以等閑視之，必須把他提到重要的議事日程上來，只有這樣，才能保證電子商務(wù)的健康發(fā)展。電子商務(wù)安全從整體上可分為兩大部分：網(wǎng)絡(luò)安全和交易安全。,一、網(wǎng)絡(luò)安全,電子商務(wù)活動(dòng)的網(wǎng)絡(luò)安全的內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密和傳輸安全以及管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安

4、全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，豪大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。,二、交易安全,電子商務(wù)商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。主要有以下幾種情況： 1竊取信息 2篡改信息 3身份仿冒 4抵賴。 5網(wǎng)絡(luò)病毒 6其他安全威脅,三、電子商務(wù)活動(dòng)的安全要求,面對(duì)電子商務(wù)活動(dòng)過程中的種種網(wǎng)絡(luò)安全維護(hù)和交易安全威脅，要保障電子商務(wù)活動(dòng)的正常進(jìn)行，必須

5、保證以下幾點(diǎn)： 1信息保密性需求 2信息完整性需求 3不可否認(rèn)性 4交易者身份鑒別需求 5系統(tǒng)有效性 6操作合法性需求,四、電子商務(wù)活動(dòng)的安全體系及安全技術(shù),針對(duì)上述電子商務(wù)交易時(shí)所面臨的風(fēng)險(xiǎn)，應(yīng)該采用較為嚴(yán)密的先進(jìn)的安全防范體系。大體可以分為技術(shù)保障、法律控制、社會(huì)道德規(guī)范、完善的管理政策和制度等幾個(gè)方面。具體可以將其分為幾個(gè)層次的措施，即數(shù)據(jù)信息安全措施，軟件系統(tǒng)安全措施，通信網(wǎng)絡(luò)安全措施，硬件系統(tǒng)安全措施，物理實(shí)體安全措施，管理細(xì)則、保護(hù)措施，法律規(guī)范、道德紀(jì)律。 在電子商務(wù)的安全保護(hù)中，不斷涌現(xiàn)的各種技術(shù)保護(hù)措施就變得更加引人注目。電子商務(wù)的基本安全技術(shù)包括有加密技術(shù)、防火墻技術(shù)、認(rèn)證

6、技術(shù)、安全電子交易協(xié)議、黑客防范技術(shù)、虛擬專網(wǎng)技術(shù)和反病毒技術(shù)等。,五、計(jì)算機(jī)病毒及防范,（一）病毒及木馬概念 木馬（Trojan Horse），是從希臘神話里面的“特洛伊木馬”得名的。現(xiàn)在所謂的特洛伊水馬正是指那些表面上是有用的軟件，實(shí)際上卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序。他是具有欺騙性的文件（宣稱是良性的，但事實(shí)上是惡意的），是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)?，F(xiàn)在的木馬一般以竊取用戶相關(guān)信息為主要目的，比如用戶名、密碼等。兩者的區(qū)別可以簡單的說，病毒破壞用戶信息；而木馬竊取用戶信息。,五、計(jì)算機(jī)病毒及防范,（二）病毒清除軟件 計(jì)算機(jī)病毒和木馬防治主要使用

7、清除病毒軟件，國內(nèi)也稱殺毒軟件?！皻⒍拒浖笔怯蓢a(chǎn)的反病毒軟件廠商，如江民、瑞星、金山等起的名字，后來由于和世界反病毒業(yè)接軌統(tǒng)稱為“反病毒軟件（Anti-virus Software）”或“安全防護(hù)軟件（Safe-defend Software）”，近年來陸續(xù)出現(xiàn)了集成防火墻的“互聯(lián)網(wǎng)安全套裝、“全功能安全套裝”等名詞，都屬一類，是用于消除計(jì)算機(jī)病毒、特洛伊木馬和惡意軟件的一類軟件。 值得一提的是，奇虎360目前推出的殺毒軟件終身免費(fèi)，在短時(shí)間占據(jù)了網(wǎng)絡(luò)殺毒軟件的很大份額。,第二節(jié) 信息加密及認(rèn)證技術(shù),在電子商務(wù)中，信息加密技術(shù)是其他安全技術(shù)的基礎(chǔ)，是電子商務(wù)最基本的信息安全防范措施。其實(shí)質(zhì)

8、是對(duì)信息進(jìn)行重新編碼，從而達(dá)到隱藏信息內(nèi)容，使非法用戶無法獲取真實(shí)信息的一種技術(shù)手段，確保數(shù)據(jù)的保密性。認(rèn)證是防止主動(dòng)攻擊的重要技術(shù)，對(duì)于開放環(huán)境中的各種信息系統(tǒng)的安全性有重要作用。認(rèn)證的主要技術(shù)是：第一，驗(yàn)證信息的發(fā)送者是真的，而不是冒充的，此為實(shí)體認(rèn)證；第二，驗(yàn)證信息的完整性，此為信息認(rèn)證。,一、信息加密技術(shù),信息加密技術(shù)的應(yīng)用從根本上來說是對(duì)密碼算法的使用，電子商務(wù)活動(dòng)中對(duì)各種有關(guān)系信息的加密過程也是通過各種加密算法來具體實(shí)施，根據(jù)加密算法所使用得加密密鑰和解密密鑰是否相同，能否由加密過程推導(dǎo)出解密過程，或由解密過程推導(dǎo)出加密過程，可將加密技術(shù)分為兩種：對(duì)稱加密和非對(duì)稱加密。,一、信息加

9、密技術(shù)對(duì)稱密鑰加密,利用私有密鑰進(jìn)行對(duì)稱加密的過程是：發(fā)送方用自己的私有密鑰對(duì)要發(fā)送的信息進(jìn)行加密；發(fā)送方將加密后的信息通過網(wǎng)絡(luò)傳送給接收方；接收方用發(fā)送方進(jìn)行加密的那把私有密鑰對(duì)接收到的加密信息進(jìn)行解密，得到信息明文。,一、信息加密技術(shù)非對(duì)稱密鑰加密,發(fā)送方和接收方在對(duì)文件進(jìn)行加密和解密時(shí)的實(shí)際過程如下：發(fā)送方生成一個(gè)私有密鑰，并對(duì)要發(fā)送的信息用自己的私有密鑰進(jìn)行加密；發(fā)送方用接收方的公開密鑰對(duì)自己的私有密鑰進(jìn)行加密；發(fā)送方把加密后的信息和加密后的私有密鑰通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑唤邮辗接米约旱乃接忻荑€對(duì)發(fā)送方傳送過來的私有密鑰進(jìn)行解密，得到發(fā)送方的私有密鑰；接收方用發(fā)送方的私有密鑰對(duì)接收到的加

10、密信息進(jìn)行解密，得到信息的明文。,二、數(shù)字簽名及認(rèn)證技術(shù)數(shù)字簽名技術(shù),數(shù)字簽名主要是采用非對(duì)稱加密算法，先采用單向Hash函數(shù)，將待發(fā)送的數(shù)據(jù)（電子商務(wù)有關(guān)信息）生成消息摘要MD_1，發(fā)送方使用自己的私鑰對(duì)消息摘要加密生成數(shù)字簽名，將數(shù)字簽名附著在原文上一起發(fā)送。接收方收到消息以后，先用發(fā)送方的公鑰將簽名解密，得到消息摘要。然后利用接收的原數(shù)據(jù)進(jìn)行單向Hash函數(shù)的計(jì)算，得到消息摘要MD_2進(jìn)行驗(yàn)證，如果MD_1=MD_2，說明簽名成功。,二、數(shù)字簽名及認(rèn)證技術(shù)認(rèn)證技術(shù),CA認(rèn)證體系由以下幾個(gè)部門組成：一是CA，負(fù)責(zé)產(chǎn)生和確定用戶實(shí)體的數(shù)字證書。一是審核授權(quán)部門（RA），他負(fù)責(zé)對(duì)證書的申請(qǐng)者進(jìn)

11、行資格審查，并決定是否同意給申請(qǐng)者發(fā)放證書。同時(shí)，承擔(dān)因?qū)徍隋e(cuò)誤而引起的、為不滿足資格的入發(fā)放了證書而引起的一切后果，他應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任。三是證書操作部門（CP），他為已被授權(quán)的申請(qǐng)者制作、發(fā)放和管理證書，并承擔(dān)因操作運(yùn)營錯(cuò)誤所產(chǎn)生的一切后果，包括失密和為沒有獲得授權(quán)的人發(fā)放了證書等，他可由RA自己擔(dān)任，也可委托給第三方擔(dān)任。四是密鑰管理部門（KM），負(fù)責(zé)產(chǎn)生實(shí)體的加密密鑰對(duì)，并對(duì)其解密私鑰提供托管服務(wù)。五是證書存儲(chǔ)地（Dir），包括網(wǎng)上所有的證書目錄。,第三節(jié) 電子商務(wù)安全協(xié)議及安全管理,所謂安全協(xié)議是指應(yīng)用在電子商務(wù)活動(dòng)中的安全協(xié)議。其中包括身份驗(yàn)證協(xié)議、電子支付協(xié)議和加解密

12、協(xié)議等，其中電子支付協(xié)議是電子商務(wù)安全協(xié)議的關(guān)鍵部分。目前電子商務(wù)中有多種安全體制可以保證電子商務(wù)交易的安全性，其中SSL（Secure Sockets Layer）和SET是電子商務(wù)安全中兩個(gè)最重要的協(xié)議；管理是保障電子商務(wù)安全的重要環(huán)節(jié)。電子商務(wù)安全管理及電子商務(wù)安全規(guī)劃、電子商務(wù)安全管理機(jī)構(gòu)、電子商務(wù)安全管理制度等,一、安全套接層（SSL）協(xié)議,安全套接層（SSL）協(xié)議最初由Netscape Communication公司設(shè)計(jì)開發(fā)，是指通信雙方在通信前約定使用的一種協(xié)議方法，該方法能夠在雙方計(jì)算機(jī)之間建立一個(gè)秘密信道，凡是一些不希望被他人知道的機(jī)密數(shù)據(jù)都可以通過公開的通路傳輸，不用擔(dān)心數(shù)

13、據(jù)會(huì)被別人偷竊。SSL安全協(xié)議能夠?qū)CP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)流加密。SSL協(xié)議只負(fù)責(zé)端到端的安全鏈接，只保證信息傳輸過程中不被竊取、篡改，但不提供其他安全保證，因而SSL實(shí)質(zhì)上僅僅提供對(duì)瀏覽器和服務(wù)器的鑒別，不能細(xì)化到對(duì)商家和客戶的身份認(rèn)證，這個(gè)缺陷會(huì)導(dǎo)致交易的假冒欺詐行為出現(xiàn)。,二、安全電子交易（SET）協(xié)議,安全電子交易（SET，Secure Electronic Transaction）協(xié)議由Mastercard、Visa、IBM以及微軟等公司開發(fā)，是為了在互聯(lián)網(wǎng)上進(jìn)行在線交易時(shí)保證信用卡支付的安全而設(shè)立的一個(gè)開放的規(guī)范。SET協(xié)議提供了強(qiáng)大的驗(yàn)證功能，凡與交易有關(guān)的各方必須待

14、有合法證書機(jī)構(gòu)發(fā)放的有效證書，SET不僅具有加密機(jī)制，更重要的是通過數(shù)字簽名、數(shù)字信封等實(shí)現(xiàn)身份鑒別和不可否認(rèn)性，最大限度地降低了電子商務(wù)交易可能遭受的欺詐風(fēng)險(xiǎn)。但是由于SET是基于信用卡進(jìn)行電子交易的，因此中間環(huán)節(jié)增加了CA與銀行、用戶與銀行之間的認(rèn)證，從而提高了軟硬件的環(huán)境要求，也增加了交易成本。,三、電子商務(wù)安全管理,管理是保障電子商務(wù)安全的重要環(huán)節(jié)。電子商務(wù)安全管理涉及電子商務(wù)安全規(guī)劃、電子商務(wù)安全管理機(jī)構(gòu)、電子商務(wù)安全管理制度等。 （一）安全規(guī)劃 （二）安全管理機(jī)構(gòu)的設(shè)置 （三）安全管理制度,第四節(jié) 電子支付概述,電子支付是指單位、個(gè)人直接或授權(quán)他人通過電子終端發(fā)出支付指令，實(shí)現(xiàn)貨幣

15、支付與資金轉(zhuǎn)移的行為。隨著電子商務(wù)的發(fā)之展，參與電子交易的用戶對(duì)電子支付的相關(guān)服務(wù)需求也日益強(qiáng)烈。如何提供更加豐富、適于電子商務(wù)用戶的相關(guān)服務(wù)是非常重的。電子支付在一定程度上滿足了電子商務(wù)用戶對(duì)支付的需求。,一、電子支付的發(fā)展,支付是為了清償商務(wù)伙伴間由于商品交換和勞務(wù)活動(dòng)引起的債權(quán)、債務(wù)關(guān)系，由銀行所提供的金融服務(wù)業(yè)務(wù)。支付活動(dòng)隨著商品經(jīng)濟(jì)的發(fā)展而發(fā)展。 1物物交換的支付方式 2貨幣支付結(jié)算方式 3銀行轉(zhuǎn)賬支付方式 通過銀行轉(zhuǎn)賬支付是目前國際上最主要的資金支付方式，其類型主要可以歸納為五類，即：信用卡支付結(jié)算、資金匯兌、支票支付結(jié)算、自動(dòng)清算所支付和電子資金轉(zhuǎn)賬。,二、電子支付的特點(diǎn),與傳統(tǒng)

16、的支付方式相比，電子支付具有以下特征： 1電子支付采用現(xiàn)代技術(shù)通過數(shù)字流轉(zhuǎn)來完成支付信息傳輸，支付手段均是數(shù)字信息；而傳統(tǒng)的方式則是通過現(xiàn)金的流轉(zhuǎn)、票據(jù)的轉(zhuǎn)讓以及銀行的轉(zhuǎn)賬等實(shí)體形式的變化實(shí)現(xiàn)的。 2電子支付是基于開放的系統(tǒng)平臺(tái)（即互聯(lián)網(wǎng)）的；而傳統(tǒng)支付則在較為封閉的環(huán)境中進(jìn)行。 3電子支付使用最先進(jìn)的通信手段，因此對(duì)軟硬件要求很高；傳統(tǒng)支付對(duì)于技術(shù)要求不如電子支付高，且多為局域網(wǎng)絡(luò)，不須聯(lián)入互聯(lián)網(wǎng)。 4電子支付可以完全突破時(shí)間和空間的限制，可以滿足24/7（每周7天，每天24小時(shí)）的工作模式，其效率之高是傳統(tǒng)支付望塵莫及的。,三、電子支付的類型,電子支付從基本形態(tài)上看是電子數(shù)據(jù)的流動(dòng)，他以金

17、融專用網(wǎng)絡(luò)為基礎(chǔ)，通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)傳輸電子信息來實(shí)現(xiàn)支付。電子支付的類型按電子支付指令發(fā)起方式分為網(wǎng)上支付、電話支付、移動(dòng)支付、銷售點(diǎn)終端交易、自動(dòng)柜員機(jī)器交易和其他電子支付；按照支付指令的傳輸渠道，電子支付可以分為卡基支付、網(wǎng)上支付和移動(dòng)支付。,第五節(jié) 常用的電子支付工具,在了解電子支付的一些基礎(chǔ)知識(shí)后，本節(jié)主要介紹電子支付的幾個(gè)工具，如：電子現(xiàn)金、電子錢包、電子信用卡、智能卡和電子支票。敘述每種工具的應(yīng)用技術(shù)和電子支付的業(yè)務(wù)流程等。,一、電子現(xiàn)金,所謂電子現(xiàn)金，又稱數(shù)字現(xiàn)金，英文大多數(shù)描述為E-Cash，是一種以電子數(shù)據(jù)形式流通的、能被客戶和商家普遍接受的、通過Internet購買商品或

18、服務(wù)時(shí)使用的貨幣。電子現(xiàn)金是一種隱形貨幣，變現(xiàn)為現(xiàn)金數(shù)值轉(zhuǎn)換而來的是一系列電子加密序列數(shù)，通過這些加密序列數(shù)來表示現(xiàn)實(shí)中各種金額的幣值。,二、電子錢包,所謂電子錢包，英文大多描述為E-Wallet或E-Purse，他是一個(gè)客戶用來進(jìn)行安全網(wǎng)絡(luò)交易，特別是安全網(wǎng)絡(luò)支付并且儲(chǔ)存交易記錄的特殊計(jì)算機(jī)軟件或硬件設(shè)備，就像生活中隨身攜帶的錢包一樣，能夠存放客戶的電子現(xiàn)金、信用卡號(hào)、電子零錢、個(gè)人信息等，經(jīng)過授權(quán)后又可方便地有選擇地取出使用的新式網(wǎng)絡(luò)支付工具，可以說是“虛擬錢包”。,三、電子信用卡,從廣義上說，凡是能夠?yàn)槌挚ㄈ颂峁┬庞米C明、持卡人可以憑卡購物消費(fèi)或享受特定服務(wù)的特制卡均可稱為信用卡。廣義上

19、的信用卡包括貸記卡、準(zhǔn)貸記卡、借記卡、儲(chǔ)蓄卡、提款卡（ATM卡）、支票卡及賒賬卡等。 從狹義上說，國外的信用卡主要是指由銀行或其他財(cái)務(wù)機(jī)構(gòu)發(fā)行的貸記卡，即無需預(yù)先存款就可貸款消費(fèi)的信用卡，是先消費(fèi)后還款的信用卡。狹義信用卡是真正的憑借持卡人信用而獲取銀行資金支持進(jìn)行消費(fèi)的銀行卡，因此稱為Credit Card 。國內(nèi)的信用卡主要是指低貸記卡或準(zhǔn)貸記卡（允許小額、善意透支的信用卡）。,四、智能卡,所謂智能卡，英文描述為IC卡（集成電路，Integrated Circuit），就是外形上類似信用卡大小、形狀，但卡上不是磁條，而是計(jì)算機(jī)集成電路芯片（如微型CPU與存儲(chǔ)器RAM等），用來存儲(chǔ)用戶個(gè)人信息及電子貨幣信息，且可具有進(jìn)行支付與結(jié)算等功能的消費(fèi)卡。由于IC卡是在IC芯片上將消費(fèi)者信息和電子貨幣存儲(chǔ)起來。因此不但存儲(chǔ)信息量大，還可用來支付購買的產(chǎn)品、服務(wù)和存儲(chǔ)信息等，具有多功能性。,五、電子支票,在電子商務(wù)交易過程中，以信用卡電子支付方式為代表的小額支付結(jié)算方式已經(jīng)基本上滿足了電子商務(wù)中B2C網(wǎng)絡(luò)支付的發(fā)展要求。但是對(duì)于企業(yè)間的電子商務(wù)活動(dòng)，信用卡是不合適的。目前企業(yè)間最主要的電子商務(wù)結(jié)算手段的電子支票很好地滿足B2B電子商務(wù)加速發(fā)展的需要。,五、電子支票,第六節(jié) 第三方支付平臺(tái),網(wǎng)上支付平臺(tái)也就是第三方就是在這種需求下逐步誕生。在通過第三方支付平臺(tái)的交易中，買方選