1、 能力知识点1 电子商务系统的安全 【案例引入】电子签名也称作“数字签名”,是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。2003年,广东省率先实施了类似的相关管理条例广东省电子交易条例,同时,为了配合该条例的实施,先后建立了广东省数字证书认证中心和广东省电子政务认证中心。2005年4月1日,电子认证服务管理办法正式实施,政府、企业和公民在今后的工作和生活中采取电子签名必须遵守该法,同时也受到法律的保护。至此,被称为“网络身份证”的电子签名有了法律依据。一、电子商务系统面临的主要安全威协1信息泄露电子交易双方的商业机密文件在
2、传输时,除了关心所发送的数据能否按时被对方收到,更关心的是数据在传输过程中是否被第三方窃取或被使用。2信息篡改电子商务的信息在传输过程中被第三方窃取或遭到非法入侵者的入侵,进行恶意篡改、伪造和破坏,使交易双方的商业信息失去真实性和完整性。3信息破坏计算机系统网络硬件或软件出现故障或被病毒程序侵害,会造成电子商务信息丢失和信息遭到破坏,病毒一直是计算机系统最直接的安全威胁。4抵赖行为交易对象的虚假身份及虚假订单和贸易对象的抵赖(如拒绝承认双方商定的协议内容),如何来保证信息的不可否认性。二、电子商务系统的安全要求 1信息传输的保密性 2交易文件的完整性 3信息的不可否认性 4交易者身份的真实性
3、三、电子商务系统的安全技术 1加密技术 所谓信息加密技术,就是采用数学方法对原始信息(通常称为“明文”)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)。加 密解 密明文密文明文加密密码解密密码加 密解 密明文密文明文加密密码解密密码 2安全认证 所谓身份认证,就是在交易过程中判明和确认贸易双方的真实身份,这是目前在网络交易过程中最薄弱的环节。认证中心(Certificate Authority,简称CA),作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。认证中心的核心功能:1)接收验
4、证最终用户数字证书的申请。2)确定是否接受最终用户数字证书的申请 证书的审批。3)向申请者颁发、拒绝颁发数字证书 证书的发放。4)接收、处理最终用户的数字证书更新请求 证书的更新。5)接收最终用户数字证书的查询、撤销。6)产生和发布证书废止列表(CRL)。7)数字证书的归档。8)密钥归档。9)历史数据归档。10)CA内部管理。3数字证书 数字证书又称为数字标识(Digital ID),它提供了一种在Internet上验证身份的方式,是用来标志和证明网络通信双方身份的数字信息文件。数字证书采用公开密钥体制,把身份与电子密钥绑定,该密钥可以对信息进行加密和签名。数字证书实质上就是一系列密钥,用于签
5、名和加密数字信息。数字证书的内容包括:用户的公钥、用户名、公钥的有效期、CA颁发者(颁发数字证书的CA)、数字证书的序列号和颁发者的数字签名。数字证书的作用包括:信息除发送方和接受方外不被其他人窃取。信息在传输过程中不被篡改。接收方能够通过数字证书来确认发送方的身份。发送方对于自己发送的信息不能抵赖。数字证书的分类:(1)个人数字证书:为某个用户提供凭证,一般安装在客户浏览器上,以帮助其在网上进行安全交易。(2)企业数字证书:是为网上的某个企业Web服务器提供凭证,企业利用数字证书可以在网上进行安全的电子交易,可以使用安全电子协议,在用户和服务器之间的数据传送加密的形式进行交易。(3)软件数字
6、证书:是为软件开发者提供凭证,证明该软件的合法性。4安全电子交易协议 安全电子交易协议(Secure Electronic Transaction Protocol,简称SET)在1997年6月正式发布,是目前国际上通用的网上支付标准,是VISA和Master card两家国际上最大的信用卡公司连同一些计算机厂商,包括IBM、Microsoft等信息产业巨头共同制订的。制定安全电子协议的目的:保证信息的机密性。保证支付信息的完整性。基于SET协议的电子商务结构 SET协议的目标:1)保证信息在Internet上的安全传输,防止数据被黑客或内部人员窃取。2)保证电子商务参与者信息的相互隔离,使商
7、家不能看到客户的账户和密码。3)解决多方认证,不仅对消费者的信用卡进行认证,而且要对在线商家进行认证,同时还要进行客户、商家银行间的相互认证。4)保证网上交易的实时性,使所有的支付过程都是实时在线的。5)规范协议和消息格式,促进不同厂家开发的软件具有兼容性和可操作性,且可运行在不同的硬件和操作系统平台上。SET协议涉及的对象:(1)消费者:包括个人消费者和团体消费者。(2)在线商店:提供商品或服务并具备相应电子货币使用条件的在线商店。(3)收单银行:通过支付网关处理消费者和在线商店之间的交易付款问题。(4)电子货币发行机构:负责处理支付卡的审核和支付工作。(5)认证中心(CA):负责对交易双方
8、的身份进行确认,对在线商店的信用度和消费者支付手段进行认证。SET协议的工作流程:1)客户通过网络选定欲购的商品,并在计算机上下电子订单,包括在线商家,欲购商品的名称、价格、数量、交货时间及地点等信息。2)通过与在线商家联系,商家进行应答,并告知货物单价、应付款数额和交货方式。3)客户选择付款方式、确定订单、签发付款指令(此时SET介入)。4)客户通过SET对订单和付款指令进行数字签名,SET协议通过处理使商家看不到客户的账号信息。5)在线商家接受订单后,向客户开户银行请求支付,此信息通过支付网关送达收单银行,并进一步提交发卡银行确认。确认批准后,发卡银行返回确认信息,经收单银行通过支付网关发
9、给在线商家。6)在线商家发送订单确认信息给客户,客户端记录交易日志,以备日后查考。7)在线商家发送商品或提供服务,并通知收单银行将货款从客户账号转移到商家账号,或通知发卡银行请求支付。【综合训练】1电子商务系统面临哪些方面的安全威胁?2电子商务系统的安全需求包括哪些内容?解决这些需求的措施是什么?3什么是认证中心?它在电子商务交易活动中起什么作用?4什么是数字证书?它有什么作用?5简述SET协议下网络交易的流程。【活动建议】1利用网络完成本实验过程,进行实验数据和结果的分析 2在http:/ 安装foxmail CA证书的步骤如下。1)安装试用CA证书链:只有安装了试用CA证书链的计算机,才能
10、完成后面的申请证书和正常使用数字证书。2)申请您的证书。证书能向对方表明您的身份,您可以免费向我们(广州市博大互联网技术有限公司)申请电子认证服务。3)下载并安装您的证书。如果您已经提出了证书申请,并获得了通过E-mail发来的受理信息,请在这里下载并安装您的证书。4)撤销您的证书。当您发现自已的证书因私钥泄密或其他原因引起不可信时,可以将证书撤消。请注意撤消的证书是不可恢复的。5)下载证书废止列表。证书废止列表(CRL)记录了所有我们的CA服务用户中被废止的证书的相关信息,系统可能会自动查找证书废止列表并下载,如果需要,您可以手动下载CRL文件,选中该文件右击可进行CRL的安装。3利用申请的
11、免费数字证书,完成一个加密电子邮件的发送。能力知识点2 电子商务系统的支付【案例引入】中信公司电子交易系统是一种基于互联网的全新的交易系统,支持企业间(B to B)的交易模式。该系统通过构建一个第三方的交易平台,让交易双方(卖方与买方)直接进行交易。整个交易过程采取双向驱动的方法来建立买卖双方的初次联系,既可以是采购方进行目录收索找到潜在销售方,也可以是销售方通过目录收索找到潜在采购方。在建立联系后,双方就产品的条款进行多次磋商,包括产品价格、数量、运货方式和支付方式等。达成一致后,系统生成正式的电子合同,交易双方确认后,该交易就获得法律效力。在支持传统支付方式的同时,系统提供安全、高效的在
12、线支付/结算方式,系统提供支付网关,与多家网上银行接口,提供多种形式的在线支付方式(如中国银行、招商银行等),方便交易双方进行合适的结算方式。最后,该系统支持在线物流管理,实现无缝连接。现金支付方式 传统支付方式 票据支付方式 银行卡支付方式 电子商务支付方式 电子货币支付方式 电子支付方式 银行卡(一网通)支付方式 电子支票支付方式 一、传统支付方式 1现金支付方式 现金是由国家组织或政府授权的银行发行的,作为流通手段的货币其最大的特点就是在整个交易过程中可以是匿名进行的,而现金本身的价值不是由卖方认同的,它是由发行机构加以保证的。2票据支付方式 票据支付方式是一种以银行存款作为支付手段的非
13、现金结算方式,也称为转账支付方式,多用于企业与企业之间的商贸活动。3银行卡支付方式 目前,银行卡已成为一种普遍采用的支付方式,它逐步取代了现金支付方式和票据支付方式。金融机构发行的银行卡,主要有信用卡、借记卡、现金卡、电子货币和电子支票等,主要为磁卡和智能卡。二、电子支付的概念 所谓电子支付,是指进行电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。1电子支付系统 电子商务的网上支付系统应该是集购物流程、支付工具、安全认证技术、信用体系以及现代金融体系为一体的综合系统。网上支付的参与对象 客户:支付工具商家:服务器Internet支付网关支
14、付网关客户开户行:商家开户行:银行网络认证中心客户:支付工具商家:服务器Internet支付网关支付网关客户开户行:商家开户行:银行网络认证中心 2电子支付方式的工作流程 1)消费者通过Internet在商务网站上选定所要购买的商品,并在计算机上输入定货单,定货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。2)通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。3)消费者选择付款方式,确认订单,签发付款指令。此时,SET开始介入。4)在SET中,消费者必须对订单和付款指令进行数字签名。同时,利
15、用双重签名技术保证商家看不到消费者的账号信息。5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子支付工具发行公司确认。批准交易后,返回确认信息给在线商店。6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。7)在线商店发送货物或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。三、电子支付方式与传统支付方式的区别 1信息传递渠道不同 传统支付方式使用的是银行系统专用网络,安全性高;电子支付使用Internet,因此必须在Internet与银行专用网络之间设置支付网关以保障银行网以及交易的安全性。
16、2支付地点不同 传统支付方式在商场或在POS机上进行付款;电子支付方式可以使用PC机在家庭或办公室完成购物和付款。3身份确认不同 传统支付方式在使用银行卡购物时使用身份证或其他身份证明来确认身份;电子支付方式在使用网络上CA(电子认证中心)中心提供的数字证书来验证身份。四、电子支付工具 所谓电子支付工具,即货币支付工具的电子化,是指在电子交易过程中,以网络连接为基础、以数字化为特征代替现金及其他纸质金融票据等传统支付工具,用于传递支付命令,实现电子交易实时支付功能的金融支付工具。1电子银行卡(Electronic Card)电子银行卡是银行卡类型的电子货币,它是以银行卡为基础实现电子支付,银行
17、卡类型的电子货币在网上应用较为成熟,是目前Internet上支付工具中使用积极性最高、发展最迅速的一种。2电子支票(Electronic Check)电子支票是一个经付款人私钥加密的写有相关信息的电子文件。在电子支票系统中,客户开户行的授权证明文件应是电子支票的重要内容。需要有一个专门的验证机构来对此作出认证,鉴定电子支票及电子支票使用者的真伪。电子支票支付示意图 支付网关商 家客 户客户开户行商家开户行CA认证票据交易所Internet银行专用网支付网关商 家客 户客户开户行商家开户行CA认证票据交易所Internet银行专用网 电子支票交易的过程:1)消费者和商家达成购销协议并选择用电子支
18、票支付。2)消费者将填好的、带有本人数字签名并加密后的电子支票通过Internet以E-mail发送给商家,同时给自己的开户银行发出付款通知单。3)商家收到电子支票后,通过验证中心对电子支票进行验证,验证无误后将电子支票送交银行索付。4)银行在商家索付时通过验证中心(票据交易所)对电子支票进行验证,验证无误后即向商家兑付或转账。3电子货币(Electronic Currency)电子货币是指模拟现金进行交易的电子支付手段,目前主要有电子现金和电子钱包等。(1)电子现金(Electronic Cash):电子现金又称为数字现金,是纸币现金的数字化,即是以数据形式流通的货币,它把用户账户中的现金数
19、值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额。(2)电子钱包:电子钱包是一个可以由持卡人用来进行安全电子交易和储存交易记录的软件,就像生活中随身携带的钱包一样。五、电子支付存在的问题 1安全问题 安全问题存在于任何一种支付方式中,但是作为电子商务使用的电子化货币其安全问题更突出,一直是困扰电子支付发展的关键性问题。2速度问题 现阶段,电子商务的发展面临着如何提高访问速度、解决安全防范等问题。3支付的条件问题 消费者所选用的电子支付工具必须满足多个条件才能执行。【综合训练】1传统的支付方式有哪些?2什么是电子支付?它具有哪些基本特征?3简述电子支付的流程。4电子支付工具有哪几种类型?5什么是电子货币?主要包括哪几种电子货币?谢谢 谢谢