電子商務(wù)概論與實訓(xùn)教程教學(xué)課件第3章

1、第三章 電子商務(wù)與支付, 學(xué)習(xí)目標 能夠描述電子商務(wù)活動存在的安全問題； 能夠描述加解密的電子認證工作機制； 能夠描述常用的電子支付工具和支付方法； 能夠使用網(wǎng)上銀行和第三方支付平臺進行電子支付； 強化電子商務(wù)安全意識，培養(yǎng)良好的電子商務(wù)職業(yè)道德風尚。,案例導(dǎo)引 近10萬用戶資料可能被黑客曝光,位于美國馬薩諸塞州的沃爾瑟姆美的B是一家電子商務(wù)網(wǎng)站，該網(wǎng)站向用戶提供稀有的或者已經(jīng)絕版的書籍。上周他發(fā)現(xiàn)一個黑客自去年10月就攻破了公司的一個服務(wù)器，自此以后，該黑客曾多次光顧他的服務(wù)器。該公司發(fā)言人稱，黑客從公司網(wǎng)站上下載了用戶的資料，包括用戶姓名、地址及信用卡號碼。該公司為了查找黑客，短時間關(guān)閉整

2、個網(wǎng)站，并把用戶的信用卡信息和地址從那個服務(wù)器上移走。但公司發(fā)言人未透露是否查到了黑客。只是說已經(jīng)通知了美國聯(lián)邦調(diào)查局，請求他來協(xié)助調(diào)查此事。,第一節(jié) 電子商務(wù)安全技術(shù)概述,安全問題一直困擾著電子商務(wù)的發(fā)展。諸如計算機病毒、電腦黑客、計算機網(wǎng)絡(luò)系統(tǒng)自身脆弱性等各方面已經(jīng)對電子商務(wù)安全構(gòu)成嚴重威脅。電子商務(wù)的安全涉及方方面面，不是單純依靠哪一種安全技術(shù)就能一勞永逸的。安全問題是電子商務(wù)成功與否的關(guān)鍵所在，也是致命所在。因為電子商務(wù)的安全問題不僅關(guān)系到個人的資金安全、商家的貨物安全，甚至還關(guān)系到國家的經(jīng)濟安全、國家經(jīng)濟秩序的穩(wěn)定問題。我們無法想象一個安全得不到保障的電子商務(wù)世界會是一個什么樣的情形

3、。所以，對于電子商務(wù)的安全問題絕不可以等閑視之，必須把他提到重要的議事日程上來，只有這樣，才能保證電子商務(wù)的健康發(fā)展。電子商務(wù)安全從整體上可分為兩大部分：網(wǎng)絡(luò)安全和交易安全。,一、網(wǎng)絡(luò)安全,電子商務(wù)活動的網(wǎng)絡(luò)安全的內(nèi)容包括計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標。一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密和傳輸安全以及管理安全等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安

4、全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護的資源間建立多道嚴密的安全防線，豪大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。,二、交易安全,電子商務(wù)商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，保障電子商務(wù)過程的順利進行，即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。主要有以下幾種情況： 1竊取信息 2篡改信息 3身份仿冒 4抵賴。 5網(wǎng)絡(luò)病毒 6其他安全威脅,三、電子商務(wù)活動的安全要求,面對電子商務(wù)活動過程中的種種網(wǎng)絡(luò)安全維護和交易安全威脅，要保障電子商務(wù)活動的正常進行，必須

5、保證以下幾點： 1信息保密性需求 2信息完整性需求 3不可否認性 4交易者身份鑒別需求 5系統(tǒng)有效性 6操作合法性需求,四、電子商務(wù)活動的安全體系及安全技術(shù),針對上述電子商務(wù)交易時所面臨的風險，應(yīng)該采用較為嚴密的先進的安全防范體系。大體可以分為技術(shù)保障、法律控制、社會道德規(guī)范、完善的管理政策和制度等幾個方面。具體可以將其分為幾個層次的措施，即數(shù)據(jù)信息安全措施，軟件系統(tǒng)安全措施，通信網(wǎng)絡(luò)安全措施，硬件系統(tǒng)安全措施，物理實體安全措施，管理細則、保護措施，法律規(guī)范、道德紀律。 在電子商務(wù)的安全保護中，不斷涌現(xiàn)的各種技術(shù)保護措施就變得更加引人注目。電子商務(wù)的基本安全技術(shù)包括有加密技術(shù)、防火墻技術(shù)、認證

6、技術(shù)、安全電子交易協(xié)議、黑客防范技術(shù)、虛擬專網(wǎng)技術(shù)和反病毒技術(shù)等。,五、計算機病毒及防范,（一）病毒及木馬概念 木馬（Trojan Horse），是從希臘神話里面的“特洛伊木馬”得名的?，F(xiàn)在所謂的特洛伊水馬正是指那些表面上是有用的軟件，實際上卻是危害計算機安全并導(dǎo)致嚴重破壞的計算機程序。他是具有欺騙性的文件（宣稱是良性的，但事實上是惡意的），是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點?，F(xiàn)在的木馬一般以竊取用戶相關(guān)信息為主要目的，比如用戶名、密碼等。兩者的區(qū)別可以簡單的說，病毒破壞用戶信息；而木馬竊取用戶信息。,五、計算機病毒及防范,（二）病毒清除軟件 計算機病毒和木馬防治主要使用

7、清除病毒軟件，國內(nèi)也稱殺毒軟件?！皻⒍拒浖笔怯蓢a(chǎn)的反病毒軟件廠商，如江民、瑞星、金山等起的名字，后來由于和世界反病毒業(yè)接軌統(tǒng)稱為“反病毒軟件（Anti-virus Software）”或“安全防護軟件（Safe-defend Software）”，近年來陸續(xù)出現(xiàn)了集成防火墻的“互聯(lián)網(wǎng)安全套裝、“全功能安全套裝”等名詞，都屬一類，是用于消除計算機病毒、特洛伊木馬和惡意軟件的一類軟件。 值得一提的是，奇虎360目前推出的殺毒軟件終身免費，在短時間占據(jù)了網(wǎng)絡(luò)殺毒軟件的很大份額。,第二節(jié) 信息加密及認證技術(shù),在電子商務(wù)中，信息加密技術(shù)是其他安全技術(shù)的基礎(chǔ)，是電子商務(wù)最基本的信息安全防范措施。其實質(zhì)

8、是對信息進行重新編碼，從而達到隱藏信息內(nèi)容，使非法用戶無法獲取真實信息的一種技術(shù)手段，確保數(shù)據(jù)的保密性。認證是防止主動攻擊的重要技術(shù)，對于開放環(huán)境中的各種信息系統(tǒng)的安全性有重要作用。認證的主要技術(shù)是：第一，驗證信息的發(fā)送者是真的，而不是冒充的，此為實體認證；第二，驗證信息的完整性，此為信息認證。,一、信息加密技術(shù),信息加密技術(shù)的應(yīng)用從根本上來說是對密碼算法的使用，電子商務(wù)活動中對各種有關(guān)系信息的加密過程也是通過各種加密算法來具體實施，根據(jù)加密算法所使用得加密密鑰和解密密鑰是否相同，能否由加密過程推導(dǎo)出解密過程，或由解密過程推導(dǎo)出加密過程，可將加密技術(shù)分為兩種：對稱加密和非對稱加密。,一、信息加

9、密技術(shù)對稱密鑰加密,利用私有密鑰進行對稱加密的過程是：發(fā)送方用自己的私有密鑰對要發(fā)送的信息進行加密；發(fā)送方將加密后的信息通過網(wǎng)絡(luò)傳送給接收方；接收方用發(fā)送方進行加密的那把私有密鑰對接收到的加密信息進行解密，得到信息明文。,一、信息加密技術(shù)非對稱密鑰加密,發(fā)送方和接收方在對文件進行加密和解密時的實際過程如下：發(fā)送方生成一個私有密鑰，并對要發(fā)送的信息用自己的私有密鑰進行加密；發(fā)送方用接收方的公開密鑰對自己的私有密鑰進行加密；發(fā)送方把加密后的信息和加密后的私有密鑰通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑唤邮辗接米约旱乃接忻荑€對發(fā)送方傳送過來的私有密鑰進行解密，得到發(fā)送方的私有密鑰；接收方用發(fā)送方的私有密鑰對接收到的加

10、密信息進行解密，得到信息的明文。,二、數(shù)字簽名及認證技術(shù)數(shù)字簽名技術(shù),數(shù)字簽名主要是采用非對稱加密算法，先采用單向Hash函數(shù)，將待發(fā)送的數(shù)據(jù)（電子商務(wù)有關(guān)信息）生成消息摘要MD_1，發(fā)送方使用自己的私鑰對消息摘要加密生成數(shù)字簽名，將數(shù)字簽名附著在原文上一起發(fā)送。接收方收到消息以后，先用發(fā)送方的公鑰將簽名解密，得到消息摘要。然后利用接收的原數(shù)據(jù)進行單向Hash函數(shù)的計算，得到消息摘要MD_2進行驗證，如果MD_1=MD_2，說明簽名成功。,二、數(shù)字簽名及認證技術(shù)認證技術(shù),CA認證體系由以下幾個部門組成：一是CA，負責產(chǎn)生和確定用戶實體的數(shù)字證書。一是審核授權(quán)部門（RA），他負責對證書的申請者進

11、行資格審查，并決定是否同意給申請者發(fā)放證書。同時，承擔因?qū)徍隋e誤而引起的、為不滿足資格的入發(fā)放了證書而引起的一切后果，他應(yīng)由能夠承擔這些責任的機構(gòu)擔任。三是證書操作部門（CP），他為已被授權(quán)的申請者制作、發(fā)放和管理證書，并承擔因操作運營錯誤所產(chǎn)生的一切后果，包括失密和為沒有獲得授權(quán)的人發(fā)放了證書等，他可由RA自己擔任，也可委托給第三方擔任。四是密鑰管理部門（KM），負責產(chǎn)生實體的加密密鑰對，并對其解密私鑰提供托管服務(wù)。五是證書存儲地（Dir），包括網(wǎng)上所有的證書目錄。,第三節(jié) 電子商務(wù)安全協(xié)議及安全管理,所謂安全協(xié)議是指應(yīng)用在電子商務(wù)活動中的安全協(xié)議。其中包括身份驗證協(xié)議、電子支付協(xié)議和加解密

12、協(xié)議等，其中電子支付協(xié)議是電子商務(wù)安全協(xié)議的關(guān)鍵部分。目前電子商務(wù)中有多種安全體制可以保證電子商務(wù)交易的安全性，其中SSL（Secure Sockets Layer）和SET是電子商務(wù)安全中兩個最重要的協(xié)議；管理是保障電子商務(wù)安全的重要環(huán)節(jié)。電子商務(wù)安全管理及電子商務(wù)安全規(guī)劃、電子商務(wù)安全管理機構(gòu)、電子商務(wù)安全管理制度等,一、安全套接層（SSL）協(xié)議,安全套接層（SSL）協(xié)議最初由Netscape Communication公司設(shè)計開發(fā)，是指通信雙方在通信前約定使用的一種協(xié)議方法，該方法能夠在雙方計算機之間建立一個秘密信道，凡是一些不希望被他人知道的機密數(shù)據(jù)都可以通過公開的通路傳輸，不用擔心數(shù)

13、據(jù)會被別人偷竊。SSL安全協(xié)議能夠?qū)CP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)流加密。SSL協(xié)議只負責端到端的安全鏈接，只保證信息傳輸過程中不被竊取、篡改，但不提供其他安全保證，因而SSL實質(zhì)上僅僅提供對瀏覽器和服務(wù)器的鑒別，不能細化到對商家和客戶的身份認證，這個缺陷會導(dǎo)致交易的假冒欺詐行為出現(xiàn)。,二、安全電子交易（SET）協(xié)議,安全電子交易（SET，Secure Electronic Transaction）協(xié)議由Mastercard、Visa、IBM以及微軟等公司開發(fā)，是為了在互聯(lián)網(wǎng)上進行在線交易時保證信用卡支付的安全而設(shè)立的一個開放的規(guī)范。SET協(xié)議提供了強大的驗證功能，凡與交易有關(guān)的各方必須待

14、有合法證書機構(gòu)發(fā)放的有效證書，SET不僅具有加密機制，更重要的是通過數(shù)字簽名、數(shù)字信封等實現(xiàn)身份鑒別和不可否認性，最大限度地降低了電子商務(wù)交易可能遭受的欺詐風險。但是由于SET是基于信用卡進行電子交易的，因此中間環(huán)節(jié)增加了CA與銀行、用戶與銀行之間的認證，從而提高了軟硬件的環(huán)境要求，也增加了交易成本。,三、電子商務(wù)安全管理,管理是保障電子商務(wù)安全的重要環(huán)節(jié)。電子商務(wù)安全管理涉及電子商務(wù)安全規(guī)劃、電子商務(wù)安全管理機構(gòu)、電子商務(wù)安全管理制度等。 （一）安全規(guī)劃 （二）安全管理機構(gòu)的設(shè)置 （三）安全管理制度,第四節(jié) 電子支付概述,電子支付是指單位、個人直接或授權(quán)他人通過電子終端發(fā)出支付指令，實現(xiàn)貨幣

15、支付與資金轉(zhuǎn)移的行為。隨著電子商務(wù)的發(fā)之展，參與電子交易的用戶對電子支付的相關(guān)服務(wù)需求也日益強烈。如何提供更加豐富、適于電子商務(wù)用戶的相關(guān)服務(wù)是非常重的。電子支付在一定程度上滿足了電子商務(wù)用戶對支付的需求。,一、電子支付的發(fā)展,支付是為了清償商務(wù)伙伴間由于商品交換和勞務(wù)活動引起的債權(quán)、債務(wù)關(guān)系，由銀行所提供的金融服務(wù)業(yè)務(wù)。支付活動隨著商品經(jīng)濟的發(fā)展而發(fā)展。 1物物交換的支付方式 2貨幣支付結(jié)算方式 3銀行轉(zhuǎn)賬支付方式 通過銀行轉(zhuǎn)賬支付是目前國際上最主要的資金支付方式，其類型主要可以歸納為五類，即：信用卡支付結(jié)算、資金匯兌、支票支付結(jié)算、自動清算所支付和電子資金轉(zhuǎn)賬。,二、電子支付的特點,與傳統(tǒng)

16、的支付方式相比，電子支付具有以下特征： 1電子支付采用現(xiàn)代技術(shù)通過數(shù)字流轉(zhuǎn)來完成支付信息傳輸，支付手段均是數(shù)字信息；而傳統(tǒng)的方式則是通過現(xiàn)金的流轉(zhuǎn)、票據(jù)的轉(zhuǎn)讓以及銀行的轉(zhuǎn)賬等實體形式的變化實現(xiàn)的。 2電子支付是基于開放的系統(tǒng)平臺（即互聯(lián)網(wǎng)）的；而傳統(tǒng)支付則在較為封閉的環(huán)境中進行。 3電子支付使用最先進的通信手段，因此對軟硬件要求很高；傳統(tǒng)支付對于技術(shù)要求不如電子支付高，且多為局域網(wǎng)絡(luò)，不須聯(lián)入互聯(lián)網(wǎng)。 4電子支付可以完全突破時間和空間的限制，可以滿足24/7（每周7天，每天24小時）的工作模式，其效率之高是傳統(tǒng)支付望塵莫及的。,三、電子支付的類型,電子支付從基本形態(tài)上看是電子數(shù)據(jù)的流動，他以金

17、融專用網(wǎng)絡(luò)為基礎(chǔ)，通過計算機網(wǎng)絡(luò)系統(tǒng)傳輸電子信息來實現(xiàn)支付。電子支付的類型按電子支付指令發(fā)起方式分為網(wǎng)上支付、電話支付、移動支付、銷售點終端交易、自動柜員機器交易和其他電子支付；按照支付指令的傳輸渠道，電子支付可以分為卡基支付、網(wǎng)上支付和移動支付。,第五節(jié) 常用的電子支付工具,在了解電子支付的一些基礎(chǔ)知識后，本節(jié)主要介紹電子支付的幾個工具，如：電子現(xiàn)金、電子錢包、電子信用卡、智能卡和電子支票。敘述每種工具的應(yīng)用技術(shù)和電子支付的業(yè)務(wù)流程等。,一、電子現(xiàn)金,所謂電子現(xiàn)金，又稱數(shù)字現(xiàn)金，英文大多數(shù)描述為E-Cash，是一種以電子數(shù)據(jù)形式流通的、能被客戶和商家普遍接受的、通過Internet購買商品或

18、服務(wù)時使用的貨幣。電子現(xiàn)金是一種隱形貨幣，變現(xiàn)為現(xiàn)金數(shù)值轉(zhuǎn)換而來的是一系列電子加密序列數(shù)，通過這些加密序列數(shù)來表示現(xiàn)實中各種金額的幣值。,二、電子錢包,所謂電子錢包，英文大多描述為E-Wallet或E-Purse，他是一個客戶用來進行安全網(wǎng)絡(luò)交易，特別是安全網(wǎng)絡(luò)支付并且儲存交易記錄的特殊計算機軟件或硬件設(shè)備，就像生活中隨身攜帶的錢包一樣，能夠存放客戶的電子現(xiàn)金、信用卡號、電子零錢、個人信息等，經(jīng)過授權(quán)后又可方便地有選擇地取出使用的新式網(wǎng)絡(luò)支付工具，可以說是“虛擬錢包”。,三、電子信用卡,從廣義上說，凡是能夠為持卡人提供信用證明、持卡人可以憑卡購物消費或享受特定服務(wù)的特制卡均可稱為信用卡。廣義上

19、的信用卡包括貸記卡、準貸記卡、借記卡、儲蓄卡、提款卡（ATM卡）、支票卡及賒賬卡等。 從狹義上說，國外的信用卡主要是指由銀行或其他財務(wù)機構(gòu)發(fā)行的貸記卡，即無需預(yù)先存款就可貸款消費的信用卡，是先消費后還款的信用卡。狹義信用卡是真正的憑借持卡人信用而獲取銀行資金支持進行消費的銀行卡，因此稱為Credit Card 。國內(nèi)的信用卡主要是指低貸記卡或準貸記卡（允許小額、善意透支的信用卡）。,四、智能卡,所謂智能卡，英文描述為IC卡（集成電路，Integrated Circuit），就是外形上類似信用卡大小、形狀，但卡上不是磁條，而是計算機集成電路芯片（如微型CPU與存儲器RAM等），用來存儲用戶個人信息及電子貨幣信息，且可具有進行支付與結(jié)算等功能的消費卡。由于IC卡是在IC芯片上將消費者信息和電子貨幣存儲起來。因此不但存儲信息量大，還可用來支付購買的產(chǎn)品、服務(wù)和存儲信息等，具有多功能性。,五、電子支票,在電子商務(wù)交易過程中，以信用卡電子支付方式為代表的小額支付結(jié)算方式已經(jīng)基本上滿足了電子商務(wù)中B2C網(wǎng)絡(luò)支付的發(fā)展要求。但是對于企業(yè)間的電子商務(wù)活動，信用卡是不合適的。目前企業(yè)間最主要的電子商務(wù)結(jié)算手段的電子支票很好地滿足B2B電子商務(wù)加速發(fā)展的需要。,五、電子支票,第六節(jié) 第三方支付平臺,網(wǎng)上支付平臺也就是第三方就是在這種需求下逐步誕生。在通過第三方支付平臺的交易中，買方選