【正文】 屬的信息技術委員會 JTC1起草了關于密鑰管理的國際標準規(guī)范 ， 包括三個部分：密鑰管理框架；采用對稱技術的機制；采用非對稱技術的機制 。 ?電子商務交易對象的不同： BtoB、 BtoC、 BtoG、 CtoG等。 ? 電子商務是各參與方之間以電子方式而不是以物理交換或直接物理接觸方式完成任何形式的業(yè)務交易。 ? 物流：物質(zhì)實體（商品或服務）的轉(zhuǎn)移過程。 三、概念的不同點主要有： ?技術的涵蓋面不同（均包括運用 Inter技術） ?商務的涵蓋面不同（其中均包括交易） 電子商務概念 ： 四、表示方法： ?Microsoft:emerce ?I B M : ebusiness ?H P : eservice 一、概念的起源： ?1839年，電報出現(xiàn)，人們就開始對運用 電子手段進行商務的討論 ?1969年 EDI的出現(xiàn) ?1991年萬維網(wǎng)在 Inter上出現(xiàn) 是電子商務規(guī)模發(fā)展的標志 ?1997年 IBM公司推出電子商務全球概念 ?1999年“政府上網(wǎng)年” ?2021年“企業(yè)上網(wǎng)年” ?2021年“小企業(yè)上網(wǎng)年” 第二節(jié) 電子商務起源 ?20世紀 60年代末， EDI產(chǎn)生于美國 ?1987年，聯(lián)合國規(guī)定有關行政、商業(yè)及交通運輸?shù)碾娮咏粨Q標準 UN/EDIFACT ?90年代 INTERNET的發(fā)展對 EDI產(chǎn)生促進作用 ?EDI定義： EDI是用戶的計算機系統(tǒng)之間的對結(jié)構化、標準化的商業(yè)信息進行自動傳輸和自動處理的過程。 ? 二 、 作用： ? 限制外界對信息資源的非法訪問 ? 阻止專利信息從企業(yè)的網(wǎng)絡上被非法輸出 防火墻技術 ? 三 、 設置規(guī)則： – 凡是未被允許的就是禁止的 – 凡是未被禁止的就是允許的 ? 四 、 原則： – 可適應的安全管理模型：安全 =風險分析 +執(zhí)行策略 +系統(tǒng)實施 +漏洞檢測 +實時響應 – 硬件防火 +軟件防火 ? 五 、 分類： （ 包過濾技術與代理服務技術 ） – 網(wǎng)絡級防火墻 – 應用級網(wǎng)關 – 電路級網(wǎng)關 – 規(guī)則檢查防火墻 第三節(jié) 加密技術 ? 防火墻是一種被動的防衛(wèi)技術 ? 加密技術是一種主動的防衛(wèi)技術 ? 加密包含兩個基本要素：算法和密鑰 ? 加密技術主要分為兩大類：對稱與非對稱 ? 一 、 對稱加密技術 – 概念：在對稱加密體制中 ， 加密所使用的密鑰和解密使用的密鑰相同 ， 或者加密密鑰和解密密鑰雖然不同 ， 但可以從其中一個密鑰推導出另一個密鑰 。 加密技術 –證書庫 ? 證書的集中存放地 ， 是網(wǎng)上的一種公共信息庫 ，用戶可以從此處獲得其他用戶的證書和公鑰 。 認證技術 發(fā)送信息 （明文） Inter 數(shù)字摘要技術流程 摘 要 SHA加密 接收信息 （明文） 摘 要 SHA加密 摘 要 一致？ 接受 信息 Y 認證技術 – 數(shù)字簽名采用兩雙重加密的方法來實現(xiàn)防偽 、防賴 ， 其原理為： ? 被發(fā)送文件用 SHA編碼加密產(chǎn)生 128bit的數(shù)字摘要； ? 發(fā)送方用自己的私用密鑰對摘要進行再加密 ， 這樣就形成了數(shù)字簽名； ? 將原文和加密的摘要同時傳給對方； ? 對方 （ 接收方 ） 用發(fā)送方的公共密鑰對摘要進行解密 ，同時對收到的文件用 SHA編碼加密產(chǎn)生由一摘要； ? 將解密后的摘要與收到的文件在接收方重新加密產(chǎn)生的摘要相互比較，如兩者一致，則說明傳送過程中信息沒有被破壞或修改過，否則，文件可能已經(jīng)被修改 。 – STT ? 安全交易技術協(xié)議 ? 由 Microsoft公司提出 ? STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。 安全協(xié)議 ? SET規(guī)范涉及的范圍 – 加密算法的應用 – 證書信息和對象格式 – 購買信息和對象格式 – 認可信息和對象格式 – 劃帳信息和對象格式 ? SET中的角色 – 持卡人 – 發(fā)卡機構 – 商家 – 銀行 – 支付網(wǎng)關 安全協(xié)議 – SET的購物流程 ? 持卡人進入商店 ? 持卡人選擇要購買的商品 ? 持卡人填寫定單 ? 持卡人選擇付款方式 ? 持卡人發(fā)給商家一個完整的定單及要求付款的指令 ? 商家接受定單后，向持卡人的金融機構請求支付認可 ? 商家發(fā)送定單確認信息給顧客 ? 完成訂購服務 ? 商家從持卡人的金融機構請求支付 安全協(xié)議 客 戶 商 家 支付網(wǎng)關 金融機構 ① 初始化請求 ② 商家網(wǎng)關證書 初始化響應 ④ 購買響應 ③ 訂單及支付命令（購買請求） ⑤ 客戶支付命令及授權請求 ⑦ 授權響應及 付款標志 ⑩ 付款響應 ⑧ 付款請求 ⑥ 授權請求 ⑨ 付款請求 安全協(xié)議 – SET的加密技術 ? 對稱密鑰系統(tǒng) ? 公鑰系統(tǒng) ? 數(shù)字信封 ? 數(shù)字簽名 ? 數(shù)字摘要 ? 雙重簽名 安全協(xié)議 ? 五、 SSL與 SET的區(qū)別 – 功能 ? SSL是基于傳輸層的通用安全協(xié)議，不具備商務性、服務性、協(xié)調(diào)性和集成性； SET位于應用層，對網(wǎng)絡的其它層也有所涉及，具備以上特性。 網(wǎng)上支付的有關內(nèi)容 – 電子錢包購物過程： ? 瀏覽查詢 ? 輸入訂貨單 ? 通過電子商務服務器查詢價格 、 款項 、 交貨信息 ? 使用電子錢包付款 ? 電子商務服務器到銀行進行驗證授權 ? 銀行授權并表示可以付款 ? 商家發(fā)貨 網(wǎng)上支付的有關內(nèi)容 ? 四 、 電子柜員機： – 電子商務系統(tǒng)通常采用客戶服務器系統(tǒng)的工作方式 ， 在服務器一端用來響應客戶請求的服務器軟件稱為電子支付系統(tǒng) ， 或電子柜員機系統(tǒng) – 是電子商務系統(tǒng)中提供支付型電子商務服務的服務提供者的支付服務器 ， 它處理用戶的申請并和銀行 （ 通過支付網(wǎng)關 ） 進行通信 、 發(fā)送和接收加密的支付信息 、 存儲簽名密鑰和數(shù)據(jù)交換 （ 加密密鑰 ） 、 申請和接受認證 、 與數(shù)據(jù)庫進行通信以便存儲和填寫交易記錄等 。 – 電子支付平臺主要有 PSTN， 公用 /專用數(shù)據(jù)網(wǎng) 、 EDI、Inter等 ， PSTN、 、 、 、 – 典型的基于 SET的 Inter支付解決方案： ? CommercePOINT(CommercePOINTWallet 、 CommercePOINTeTill、 CommercePOINTGateway) ? HP/VeriFone(vGATE、 vPOS、 vWALLET) 第四節(jié) 招商銀行的網(wǎng)上支付 ? 一 、 招商銀行網(wǎng)上個人銀行 – 方便： 自動享有 、 7*24服務 – 安全： VERISIGN認證 、 加密 、 客戶機不存儲信息 – 功能齊備： ? 一卡通和存折的綜合理財業(yè)務 ? 網(wǎng)上繳費 ? 網(wǎng)上支付卡申請 ? 支付卡理財 ? 按揭貸款月供計算 – 獨特的財務分析系統(tǒng) 招商銀行的網(wǎng)上支付 ? 二 、 招商銀行網(wǎng)上支付系統(tǒng) – 使用一卡通進行網(wǎng)上支付 – 申請方法： ? 到營業(yè)點辦理 ? 網(wǎng)上辦理 – 使用前準備： 轉(zhuǎn)帳 、 登錄 、 選擇 、 輸入金額和密碼 – 網(wǎng)上銷售平臺： 通用 ? 操作方便 ? 功能強大 ? 成本低廉 招商銀行的網(wǎng)上支付 ? 三 、 招商銀行網(wǎng)上企業(yè)銀行 – 特點： ? 跨越時空 ， 省時省力 ? 帳務查詢 ， 方便快捷 ? 資金調(diào)撥 ， 及時靈活 ? 金融資訊 ， 豐富多彩 ? 資金管理 ， 運籌帷幄 ? 可靠的安全性 –傳輸安全性 、 病毒防范 、 交易安全性 招商銀行的網(wǎng)上支付 – 網(wǎng)上企業(yè)銀行提供的銀行服務： ? 帳務信息查詢 ? 內(nèi)部轉(zhuǎn)帳 ? 對外支付 ? 金融信息查詢 ? 銀行信息通知 ? 子公司帳務查詢 ? 集團公司對子公司收付兩條線的管理 第五節(jié) 中國銀行的網(wǎng)上支付 ? 一 、 概述 – 使用中國銀行 CA認證 – 申請電子安全證書 ? 了解有關協(xié)議規(guī)定 ， 明確自己的權益與法律責任 ? 安裝電子錢包 ? 打開電子錢包 ， “ 轉(zhuǎn)至認證中心 Web站點 ” ， 在線申請電子安全證書 ? 可以使用同一借記卡申請三張安全證書 ? 可以在中國銀行的網(wǎng)上特約商戶處進行交易 ? 如被拒絕 ， 需重新申請 中國銀行的網(wǎng)上支付 – 成功申請標志 ? 證書有四種狀態(tài)：有效 、 尚未生效 、 沒有申請 、 拒絕 ? 打開電子錢包 ， 已經(jīng)登記的信用卡號旁會顯示狀態(tài) ? 有效：已經(jīng)成功申請 ? 尚未生效：可能由于機器系統(tǒng)時間被修改等原因 ? 沒有申請：需要刪除信用卡號 ， 再重新添加信用卡號再進行申請 ? 拒絕：由于多種原因使你不能申請證書 ， 如信用卡已經(jīng)失效 、 申請證書數(shù)量已經(jīng)超過三張等 。 第四章 電子商務的網(wǎng)上支付 ? 支付工具與支付系統(tǒng) ? 網(wǎng)上支付的有關內(nèi)容 ? 招商銀行的網(wǎng)上支付 ? 中國銀行的網(wǎng)上支付 ? 中國建設銀行的網(wǎng)上支付 第一節(jié) 支付工具與支付系統(tǒng) ? 一 、 支付工具的演變 – 面對面交易：貨幣 （ 現(xiàn)金 ） – 手工處理的支票 、 信用卡等 （ 紙張化 ） – 電子計算機出現(xiàn) ， 支付工具呈現(xiàn)了電子化的特征 ， 電子聯(lián)行和信用卡實時授權 – 支付工具電子化 – 基于 Inter的電子支付工具和應用系統(tǒng)出現(xiàn) 支付工具與支付系統(tǒng) ? 二 、 銀行在電子商務中的地位 – 支付中介 – 電子商務強調(diào)支付過程和支付手段的電子化 –電子化支付和結(jié)算的最終執(zhí)行者 –聯(lián)結(jié)買賣雙方的紐帶作用 –最關鍵要素和最高層次 支付工具與支付系統(tǒng) ? 三 、 國外最新支付工具及應用系統(tǒng) – Digicach ? ， 電子現(xiàn)金系統(tǒng) –Cybercash ? DanLynch開發(fā)用于信用卡安全傳遞的軟件 ， 使用的實際上是信用卡 –Mondex ? 英國西敏寺銀行開發(fā)的電子錢包 ， 基于智能卡 支付工具與支付系統(tǒng) –Cybercharge ? 微軟開發(fā)的在 Web上銷售商品的電子商務軟件 –Firstvirtual ? 商家和客戶使用虛擬代碼，真實信息存儲在第一虛擬的安全的計算機中。 ? 向 基于 TCP/IP的 C/S應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。 時間戳 (timestamp)是一個經(jīng)加密后形成的憑證文檔 ， 它包括三個部分： ? （ 1） 需要加時間戳的文件摘要 ? （ 2） DTS收到文件的日期和時間 ， ? （ 3） DTS的數(shù)字簽名 。 –密鑰備份和恢復系統(tǒng) ? 備份用于數(shù)據(jù)解密的密鑰 （ 脫密數(shù)據(jù)的密鑰 ） ? 用于數(shù)字簽名的密鑰不能做備份 。 加密技術 – 對 稱 加 密 技 術 的 常 用 算 法 ： DES Data Encryption Standard ? 有三個參數(shù)： 密鑰 Key、 數(shù)據(jù) Data、 工作模式 Mode ? DES將數(shù)據(jù)分成長度為 64位的數(shù)據(jù)塊 ， DES的密鑰長度也為 64位 ， 其中 8為奇偶校驗 ， 有效長度為 56位 ? 加密過程： –將明文數(shù)據(jù)進行初始置換 ， 以一定的規(guī)則打亂明文的排列順序 –分為兩段 ， 每段 32位 –乘積變換 ， 在密鑰控制下做 16次迭代 –逆初始變換得到密文 加密技術 – 加密流程： 源信息（明文） 加密后的信息（密文） 密鑰（加密） Inter 加密后的信息（密文） 解密后的信息（明文） 密鑰（解密） 加密技術 – 對稱加密技術存在的問題 ? 算法公開 ， 安全性完全依賴于對密鑰的保護 ， 導致密鑰更新時的傳遞過程中存在的安全問題； ? 密鑰數(shù)量大 ， 導致密鑰管理上的困難； ? 不能進行信息的完整性鑒別； ? 難以進行身份的認定 ? 二 、 非對稱加密技術 – 概念：在加密體制中 ， 用于加密的密鑰和用于解密的密鑰是不一樣的 ， 每個參與信息交換的人都擁有一對密鑰 ，這一對密鑰是以一定的算法生成的 ， 相互配合才能使用 ，用其中一個密鑰加密的信息 ， 只有用與之對應的另一個密鑰才能解密 ， 并且從其中一個密鑰中無法推導出另一個密鑰 。 二、電子商務業(yè)務起源 EDI： 電子商務起源 EDI： ? EDI目的：不僅是消除紙張，更主要的是消除處理的延誤及數(shù)據(jù)的重復輸入，減少數(shù)據(jù)出錯的概率。 第二節(jié)