【正文】 屬的信息技術(shù)委員會(huì) JTC1起草了關(guān)于密鑰管理的國(guó)際標(biāo)準(zhǔn)規(guī)范 ， 包括三個(gè)部分：密鑰管理框架；采用對(duì)稱技術(shù)的機(jī)制；采用非對(duì)稱技術(shù)的機(jī)制 。 ?電子商務(wù)交易對(duì)象的不同： BtoB、 BtoC、 BtoG、 CtoG等。 ? 電子商務(wù)是各參與方之間以電子方式而不是以物理交換或直接物理接觸方式完成任何形式的業(yè)務(wù)交易。 ? 物流：物質(zhì)實(shí)體（商品或服務(wù)）的轉(zhuǎn)移過(guò)程。 三、概念的不同點(diǎn)主要有： ?技術(shù)的涵蓋面不同（均包括運(yùn)用 Inter技術(shù)） ?商務(wù)的涵蓋面不同（其中均包括交易） 電子商務(wù)概念 ： 四、表示方法： ?Microsoft:emerce ?I B M : ebusiness ?H P : eservice 一、概念的起源： ?1839年，電報(bào)出現(xiàn)，人們就開(kāi)始對(duì)運(yùn)用 電子手段進(jìn)行商務(wù)的討論 ?1969年 EDI的出現(xiàn) ?1991年萬(wàn)維網(wǎng)在 Inter上出現(xiàn) 是電子商務(wù)規(guī)模發(fā)展的標(biāo)志 ?1997年 IBM公司推出電子商務(wù)全球概念 ?1999年“政府上網(wǎng)年” ?2021年“企業(yè)上網(wǎng)年” ?2021年“小企業(yè)上網(wǎng)年” 第二節(jié) 電子商務(wù)起源 ?20世紀(jì) 60年代末， EDI產(chǎn)生于美國(guó) ?1987年，聯(lián)合國(guó)規(guī)定有關(guān)行政、商業(yè)及交通運(yùn)輸?shù)碾娮咏粨Q標(biāo)準(zhǔn) UN/EDIFACT ?90年代 INTERNET的發(fā)展對(duì) EDI產(chǎn)生促進(jìn)作用 ?EDI定義： EDI是用戶的計(jì)算機(jī)系統(tǒng)之間的對(duì)結(jié)構(gòu)化、標(biāo)準(zhǔn)化的商業(yè)信息進(jìn)行自動(dòng)傳輸和自動(dòng)處理的過(guò)程。 ? 二 、 作用： ? 限制外界對(duì)信息資源的非法訪問(wèn) ? 阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出 防火墻技術(shù) ? 三 、 設(shè)置規(guī)則： – 凡是未被允許的就是禁止的 – 凡是未被禁止的就是允許的 ? 四 、 原則： – 可適應(yīng)的安全管理模型：安全 =風(fēng)險(xiǎn)分析 +執(zhí)行策略 +系統(tǒng)實(shí)施 +漏洞檢測(cè) +實(shí)時(shí)響應(yīng) – 硬件防火 +軟件防火 ? 五 、 分類： （ 包過(guò)濾技術(shù)與代理服務(wù)技術(shù) ） – 網(wǎng)絡(luò)級(jí)防火墻 – 應(yīng)用級(jí)網(wǎng)關(guān) – 電路級(jí)網(wǎng)關(guān) – 規(guī)則檢查防火墻 第三節(jié) 加密技術(shù) ? 防火墻是一種被動(dòng)的防衛(wèi)技術(shù) ? 加密技術(shù)是一種主動(dòng)的防衛(wèi)技術(shù) ? 加密包含兩個(gè)基本要素：算法和密鑰 ? 加密技術(shù)主要分為兩大類：對(duì)稱與非對(duì)稱 ? 一 、 對(duì)稱加密技術(shù) – 概念：在對(duì)稱加密體制中 ， 加密所使用的密鑰和解密使用的密鑰相同 ， 或者加密密鑰和解密密鑰雖然不同 ， 但可以從其中一個(gè)密鑰推導(dǎo)出另一個(gè)密鑰 。 加密技術(shù) –證書(shū)庫(kù) ? 證書(shū)的集中存放地 ， 是網(wǎng)上的一種公共信息庫(kù) ，用戶可以從此處獲得其他用戶的證書(shū)和公鑰 。 認(rèn)證技術(shù) 發(fā)送信息 （明文） Inter 數(shù)字摘要技術(shù)流程 摘 要 SHA加密 接收信息 （明文） 摘 要 SHA加密 摘 要 一致？ 接受 信息 Y 認(rèn)證技術(shù) – 數(shù)字簽名采用兩雙重加密的方法來(lái)實(shí)現(xiàn)防偽 、防賴 ， 其原理為： ? 被發(fā)送文件用 SHA編碼加密產(chǎn)生 128bit的數(shù)字摘要； ? 發(fā)送方用自己的私用密鑰對(duì)摘要進(jìn)行再加密 ， 這樣就形成了數(shù)字簽名； ? 將原文和加密的摘要同時(shí)傳給對(duì)方； ? 對(duì)方 （ 接收方 ） 用發(fā)送方的公共密鑰對(duì)摘要進(jìn)行解密 ，同時(shí)對(duì)收到的文件用 SHA編碼加密產(chǎn)生由一摘要； ? 將解密后的摘要與收到的文件在接收方重新加密產(chǎn)生的摘要相互比較，如兩者一致，則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或修改過(guò)，否則，文件可能已經(jīng)被修改 。 – STT ? 安全交易技術(shù)協(xié)議 ? 由 Microsoft公司提出 ? STT將認(rèn)證和解密在瀏覽器中分離開(kāi)，用以提高安全控制能力。 安全協(xié)議 ? SET規(guī)范涉及的范圍 – 加密算法的應(yīng)用 – 證書(shū)信息和對(duì)象格式 – 購(gòu)買(mǎi)信息和對(duì)象格式 – 認(rèn)可信息和對(duì)象格式 – 劃帳信息和對(duì)象格式 ? SET中的角色 – 持卡人 – 發(fā)卡機(jī)構(gòu) – 商家 – 銀行 – 支付網(wǎng)關(guān) 安全協(xié)議 – SET的購(gòu)物流程 ? 持卡人進(jìn)入商店 ? 持卡人選擇要購(gòu)買(mǎi)的商品 ? 持卡人填寫(xiě)定單 ? 持卡人選擇付款方式 ? 持卡人發(fā)給商家一個(gè)完整的定單及要求付款的指令 ? 商家接受定單后，向持卡人的金融機(jī)構(gòu)請(qǐng)求支付認(rèn)可 ? 商家發(fā)送定單確認(rèn)信息給顧客 ? 完成訂購(gòu)服務(wù) ? 商家從持卡人的金融機(jī)構(gòu)請(qǐng)求支付 安全協(xié)議 客 戶 商 家 支付網(wǎng)關(guān) 金融機(jī)構(gòu) ① 初始化請(qǐng)求 ② 商家網(wǎng)關(guān)證書(shū) 初始化響應(yīng) ④ 購(gòu)買(mǎi)響應(yīng) ③ 訂單及支付命令（購(gòu)買(mǎi)請(qǐng)求） ⑤ 客戶支付命令及授權(quán)請(qǐng)求 ⑦ 授權(quán)響應(yīng)及 付款標(biāo)志 ⑩ 付款響應(yīng) ⑧ 付款請(qǐng)求 ⑥ 授權(quán)請(qǐng)求 ⑨ 付款請(qǐng)求 安全協(xié)議 – SET的加密技術(shù) ? 對(duì)稱密鑰系統(tǒng) ? 公鑰系統(tǒng) ? 數(shù)字信封 ? 數(shù)字簽名 ? 數(shù)字摘要 ? 雙重簽名 安全協(xié)議 ? 五、 SSL與 SET的區(qū)別 – 功能 ? SSL是基于傳輸層的通用安全協(xié)議，不具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性； SET位于應(yīng)用層，對(duì)網(wǎng)絡(luò)的其它層也有所涉及，具備以上特性。 網(wǎng)上支付的有關(guān)內(nèi)容 – 電子錢(qián)包購(gòu)物過(guò)程： ? 瀏覽查詢 ? 輸入訂貨單 ? 通過(guò)電子商務(wù)服務(wù)器查詢價(jià)格 、 款項(xiàng) 、 交貨信息 ? 使用電子錢(qián)包付款 ? 電子商務(wù)服務(wù)器到銀行進(jìn)行驗(yàn)證授權(quán) ? 銀行授權(quán)并表示可以付款 ? 商家發(fā)貨 網(wǎng)上支付的有關(guān)內(nèi)容 ? 四 、 電子柜員機(jī)： – 電子商務(wù)系統(tǒng)通常采用客戶服務(wù)器系統(tǒng)的工作方式 ， 在服務(wù)器一端用來(lái)響應(yīng)客戶請(qǐng)求的服務(wù)器軟件稱為電子支付系統(tǒng) ， 或電子柜員機(jī)系統(tǒng) – 是電子商務(wù)系統(tǒng)中提供支付型電子商務(wù)服務(wù)的服務(wù)提供者的支付服務(wù)器 ， 它處理用戶的申請(qǐng)并和銀行 （ 通過(guò)支付網(wǎng)關(guān) ） 進(jìn)行通信 、 發(fā)送和接收加密的支付信息 、 存儲(chǔ)簽名密鑰和數(shù)據(jù)交換 （ 加密密鑰 ） 、 申請(qǐng)和接受認(rèn)證 、 與數(shù)據(jù)庫(kù)進(jìn)行通信以便存儲(chǔ)和填寫(xiě)交易記錄等 。 – 電子支付平臺(tái)主要有 PSTN， 公用 /專用數(shù)據(jù)網(wǎng) 、 EDI、Inter等 ， PSTN、 、 、 、 – 典型的基于 SET的 Inter支付解決方案： ? CommercePOINT(CommercePOINTWallet 、 CommercePOINTeTill、 CommercePOINTGateway) ? HP/VeriFone(vGATE、 vPOS、 vWALLET) 第四節(jié) 招商銀行的網(wǎng)上支付 ? 一 、 招商銀行網(wǎng)上個(gè)人銀行 – 方便： 自動(dòng)享有 、 7*24服務(wù) – 安全： VERISIGN認(rèn)證 、 加密 、 客戶機(jī)不存儲(chǔ)信息 – 功能齊備： ? 一卡通和存折的綜合理財(cái)業(yè)務(wù) ? 網(wǎng)上繳費(fèi) ? 網(wǎng)上支付卡申請(qǐng) ? 支付卡理財(cái) ? 按揭貸款月供計(jì)算 – 獨(dú)特的財(cái)務(wù)分析系統(tǒng) 招商銀行的網(wǎng)上支付 ? 二 、 招商銀行網(wǎng)上支付系統(tǒng) – 使用一卡通進(jìn)行網(wǎng)上支付 – 申請(qǐng)方法： ? 到營(yíng)業(yè)點(diǎn)辦理 ? 網(wǎng)上辦理 – 使用前準(zhǔn)備： 轉(zhuǎn)帳 、 登錄 、 選擇 、 輸入金額和密碼 – 網(wǎng)上銷售平臺(tái)： 通用 ? 操作方便 ? 功能強(qiáng)大 ? 成本低廉 招商銀行的網(wǎng)上支付 ? 三 、 招商銀行網(wǎng)上企業(yè)銀行 – 特點(diǎn)： ? 跨越時(shí)空 ， 省時(shí)省力 ? 帳務(wù)查詢 ， 方便快捷 ? 資金調(diào)撥 ， 及時(shí)靈活 ? 金融資訊 ， 豐富多彩 ? 資金管理 ， 運(yùn)籌帷幄 ? 可靠的安全性 –傳輸安全性 、 病毒防范 、 交易安全性 招商銀行的網(wǎng)上支付 – 網(wǎng)上企業(yè)銀行提供的銀行服務(wù)： ? 帳務(wù)信息查詢 ? 內(nèi)部轉(zhuǎn)帳 ? 對(duì)外支付 ? 金融信息查詢 ? 銀行信息通知 ? 子公司帳務(wù)查詢 ? 集團(tuán)公司對(duì)子公司收付兩條線的管理 第五節(jié) 中國(guó)銀行的網(wǎng)上支付 ? 一 、 概述 – 使用中國(guó)銀行 CA認(rèn)證 – 申請(qǐng)電子安全證書(shū) ? 了解有關(guān)協(xié)議規(guī)定 ， 明確自己的權(quán)益與法律責(zé)任 ? 安裝電子錢(qián)包 ? 打開(kāi)電子錢(qián)包 ， “ 轉(zhuǎn)至認(rèn)證中心 Web站點(diǎn) ” ， 在線申請(qǐng)電子安全證書(shū) ? 可以使用同一借記卡申請(qǐng)三張安全證書(shū) ? 可以在中國(guó)銀行的網(wǎng)上特約商戶處進(jìn)行交易 ? 如被拒絕 ， 需重新申請(qǐng) 中國(guó)銀行的網(wǎng)上支付 – 成功申請(qǐng)標(biāo)志 ? 證書(shū)有四種狀態(tài)：有效 、 尚未生效 、 沒(méi)有申請(qǐng) 、 拒絕 ? 打開(kāi)電子錢(qián)包 ， 已經(jīng)登記的信用卡號(hào)旁會(huì)顯示狀態(tài) ? 有效：已經(jīng)成功申請(qǐng) ? 尚未生效：可能由于機(jī)器系統(tǒng)時(shí)間被修改等原因 ? 沒(méi)有申請(qǐng)：需要?jiǎng)h除信用卡號(hào) ， 再重新添加信用卡號(hào)再進(jìn)行申請(qǐng) ? 拒絕：由于多種原因使你不能申請(qǐng)證書(shū) ， 如信用卡已經(jīng)失效 、 申請(qǐng)證書(shū)數(shù)量已經(jīng)超過(guò)三張等 。 第四章 電子商務(wù)的網(wǎng)上支付 ? 支付工具與支付系統(tǒng) ? 網(wǎng)上支付的有關(guān)內(nèi)容 ? 招商銀行的網(wǎng)上支付 ? 中國(guó)銀行的網(wǎng)上支付 ? 中國(guó)建設(shè)銀行的網(wǎng)上支付 第一節(jié) 支付工具與支付系統(tǒng) ? 一 、 支付工具的演變 – 面對(duì)面交易：貨幣 （ 現(xiàn)金 ） – 手工處理的支票 、 信用卡等 （ 紙張化 ） – 電子計(jì)算機(jī)出現(xiàn) ， 支付工具呈現(xiàn)了電子化的特征 ， 電子聯(lián)行和信用卡實(shí)時(shí)授權(quán) – 支付工具電子化 – 基于 Inter的電子支付工具和應(yīng)用系統(tǒng)出現(xiàn) 支付工具與支付系統(tǒng) ? 二 、 銀行在電子商務(wù)中的地位 – 支付中介 – 電子商務(wù)強(qiáng)調(diào)支付過(guò)程和支付手段的電子化 –電子化支付和結(jié)算的最終執(zhí)行者 –聯(lián)結(jié)買(mǎi)賣(mài)雙方的紐帶作用 –最關(guān)鍵要素和最高層次 支付工具與支付系統(tǒng) ? 三 、 國(guó)外最新支付工具及應(yīng)用系統(tǒng) – Digicach ? ， 電子現(xiàn)金系統(tǒng) –Cybercash ? DanLynch開(kāi)發(fā)用于信用卡安全傳遞的軟件 ， 使用的實(shí)際上是信用卡 –Mondex ? 英國(guó)西敏寺銀行開(kāi)發(fā)的電子錢(qián)包 ， 基于智能卡 支付工具與支付系統(tǒng) –Cybercharge ? 微軟開(kāi)發(fā)的在 Web上銷售商品的電子商務(wù)軟件 –Firstvirtual ? 商家和客戶使用虛擬代碼，真實(shí)信息存儲(chǔ)在第一虛擬的安全的計(jì)算機(jī)中。 ? 向 基于 TCP/IP的 C/S應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。 時(shí)間戳 (timestamp)是一個(gè)經(jīng)加密后形成的憑證文檔 ， 它包括三個(gè)部分： ? （ 1） 需要加時(shí)間戳的文件摘要 ? （ 2） DTS收到文件的日期和時(shí)間 ， ? （ 3） DTS的數(shù)字簽名 。 –密鑰備份和恢復(fù)系統(tǒng) ? 備份用于數(shù)據(jù)解密的密鑰 （ 脫密數(shù)據(jù)的密鑰 ） ? 用于數(shù)字簽名的密鑰不能做備份 。 加密技術(shù) – 對(duì) 稱 加 密 技 術(shù) 的 常 用 算 法 ： DES Data Encryption Standard ? 有三個(gè)參數(shù)： 密鑰 Key、 數(shù)據(jù) Data、 工作模式 Mode ? DES將數(shù)據(jù)分成長(zhǎng)度為 64位的數(shù)據(jù)塊 ， DES的密鑰長(zhǎng)度也為 64位 ， 其中 8為奇偶校驗(yàn) ， 有效長(zhǎng)度為 56位 ? 加密過(guò)程： –將明文數(shù)據(jù)進(jìn)行初始置換 ， 以一定的規(guī)則打亂明文的排列順序 –分為兩段 ， 每段 32位 –乘積變換 ， 在密鑰控制下做 16次迭代 –逆初始變換得到密文 加密技術(shù) – 加密流程： 源信息（明文） 加密后的信息（密文） 密鑰（加密） Inter 加密后的信息（密文） 解密后的信息（明文） 密鑰（解密） 加密技術(shù) – 對(duì)稱加密技術(shù)存在的問(wèn)題 ? 算法公開(kāi) ， 安全性完全依賴于對(duì)密鑰的保護(hù) ， 導(dǎo)致密鑰更新時(shí)的傳遞過(guò)程中存在的安全問(wèn)題； ? 密鑰數(shù)量大 ， 導(dǎo)致密鑰管理上的困難； ? 不能進(jìn)行信息的完整性鑒別； ? 難以進(jìn)行身份的認(rèn)定 ? 二 、 非對(duì)稱加密技術(shù) – 概念：在加密體制中 ， 用于加密的密鑰和用于解密的密鑰是不一樣的 ， 每個(gè)參與信息交換的人都擁有一對(duì)密鑰 ，這一對(duì)密鑰是以一定的算法生成的 ， 相互配合才能使用 ，用其中一個(gè)密鑰加密的信息 ， 只有用與之對(duì)應(yīng)的另一個(gè)密鑰才能解密 ， 并且從其中一個(gè)密鑰中無(wú)法推導(dǎo)出另一個(gè)密鑰 。 二、電子商務(wù)業(yè)務(wù)起源 EDI： 電子商務(wù)起源 EDI： ? EDI目的：不僅是消除紙張，更主要的是消除處理的延誤及數(shù)據(jù)的重復(fù)輸入，減少數(shù)據(jù)出錯(cuò)的概率。 第二節(jié)