商务概论与实训教程教学课件.ppt

第三章 电子商务安全与支付,学习目标 能够描述电子商务活动存在的安全问题；能够描述加解密的电子认证工作机制；能够描述常用的电子支付工具和支付方法；能够使用网上银行和第三方支付平台进行电子支付；强化电子商务安全意识，培养良好的电子商务职业道德风尚。,案例导引 近10万用户资料可能被黑客曝光,位于美国马萨诸塞州的沃尔瑟姆美的B是一家电子商务网站，该网站向用户提供稀有的或者已经绝版的书籍。上周他发现一个黑客自去年10月就攻破了公司的一个服务器，自此以后，该黑客曾多次光顾他的服务器。该公司发言人称，黑客从公司网站上下载了用户的资料，包括用户姓名、地址及信用卡号码。该公司为了查找黑客，短时间关闭整个网站，并把用户的信用卡信息和地址从那个服务器上移走。但公司发言人未透露是否查到了黑客。只是说已经通知了美国联邦调查局，请求他来协助调查此事。,第一节 电子商务安全技术概述,安全问题一直困扰着电子商务的发展。诸如计算机病毒、电脑黑客、计算机网络系统自身脆弱性等各方面已经对电子商务安全构成严重威胁。电子商务的安全涉及方方面面，不是单纯依靠哪一种安全技术就能一劳永逸的。安全问题是电子商务成功与否的关键所在，也是致命所在。因为电子商务的安全问题不仅关系到个人的资金安全、商家的货物安全，甚至还关系到国家的经济安全、国家经济秩序的稳定问题。我们无法想象一个安全得不到保障的电子商务世界会是一个什么样的情形。所以，对于电子商务的安全问题绝不可以等闲视之，必须把他提到重要的议事日程上来，只有这样，才能保证电子商务的健康发展。电子商务安全从整体上可分为两大部分：网络安全和交易安全。,一、网络安全,电子商务活动的网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密和传输安全以及管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，豪大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。,二、交易安全,电子商务商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。主要有以下几种情况：1窃取信息 2篡改信息 3身份仿冒 4抵赖。5网络病毒 6其他安全威胁,三、电子商务活动的安全要求,面对电子商务活动过程中的种种网络安全维护和交易安全威胁，要保障电子商务活动的正常进行，必须保证以下几点：1信息保密性需求 2信息完整性需求 3不可否认性 4交易者身份鉴别需求 5系统有效性 6操作合法性需求,四、电子商务活动的安全体系及安全技术,针对上述电子商务交易时所面临的风险，应该采用较为严密的先进的安全防范体系。大体可以分为技术保障、法律控制、社会道德规范、完善的管理政策和制度等几个方面。具体可以将其分为几个层次的措施，即数据信息安全措施，软件系统安全措施，通信网络安全措施，硬件系统安全措施，物理实体安全措施，管理细则、保护措施，法律规范、道德纪律。在电子商务的安全保护中，不断涌现的各种技术保护措施就变得更加引人注目。电子商务的基本安全技术包括有加密技术、防火墙技术、认证技术、安全电子交易协议、黑客防范技术、虚拟专网技术和反病毒技术等。,五、计算机病毒及防范,（一）病毒及木马概念 木马（Trojan Horse），是从希腊神话里面的“特洛伊木马”得名的。现在所谓的特洛伊水马正是指那些表面上是有用的软件，实际上却是危害计算机安全并导致严重破坏的计算机程序。他是具有欺骗性的文件（宣称是良性的，但事实上是恶意的），是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。现在的木马一般以窃取用户相关信息为主要目的，比如用户名、密码等。两者的区别可以简单的说，病毒破坏用户信息；而木马窃取用户信息。,五、计算机病毒及防范,（二）病毒清除软件 计算机病毒和木马防治主要使用清除病毒软件，国内也称杀毒软件。“杀毒软件”是由国产的反病毒软件厂商，如江民、瑞星、金山等起的名字，后来由于和世界反病毒业接轨统称为“反病毒软件（Anti-virus Software）”或“安全防护软件（Safe-defend Software）”，近年来陆续出现了集成防火墙的“互联网安全套装、“全功能安全套装”等名词，都属一类，是用于消除计算机病毒、特洛伊木马和恶意软件的一类软件。值得一提的是，奇虎360目前推出的杀毒软件终身免费，在短时间占据了网络杀毒软件的很大份额。,第二节 信息加密及认证技术,在电子商务中，信息加密技术是其他安全技术的基础，是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取真实信息的一种技术手段，确保数据的保密性。认证是防止主动攻击的重要技术，对于开放环境中的各种信息系统的安全性有重要作用。认证的主要技术是：第一，验证信息的发送者是真的，而不是冒充的，此为实体认证；第二，验证信息的完整性，此为信息认证。,一、信息加密技术,信息加密技术的应用从根本上来说是对密码算法的使用，电子商务活动中对各种有关系信息的加密过程也是通过各种加密算法来具体实施，根据加密算法所使用得加密密钥和解密密钥是否相同，能否由加密过程推导出解密过程，或由解密过程推导出加密过程，可将加密技术分为两种：对称加密和非对称加密。,一、信息加密技术对称密钥加密,利用私有密钥进行对称加密的过程是：发送方用自己的私有密钥对要发送的信息进行加密；发送方将加密后的信息通过网络传送给接收方；接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文。,一、信息加密技术非对称密钥加密,发送方和接收方在对文件进行加密和解密时的实际过程如下：发送方生成一个私有密钥，并对要发送的信息用自己的私有密钥进行加密；发送方用接收方的公开密钥对自己的私有密钥进行加密；发送方把加密后的信息和加密后的私有密钥通过网络传输到接收方；接收方用自己的私有密钥对发送方传送过来的私有密钥进行解密，得到发送方的私有密钥；接收方用发送方的私有密钥对接收到的加密信息进行解密，得到信息的明文。,二、数字签名及认证技术数字签名技术,数字签名主要是采用非对称加密算法，先采用单向Hash函数，将待发送的数据（电子商务有关信息）生成消息摘要MD_1，发送方使用自己的私钥对消息摘要加密生成数字签名，将数字签名附着在原文上一起发送。接收方收到消息以后，先用发送方的公钥将签名解密，得到消息摘要。然后利用接收的原数据进行单向Hash函数的计算，得到消息摘要MD_2进行验证，如果MD_1=MD_2，说明签名成功。,二、数字签名及认证技术认证技术,CA认证体系由以下几个部门组成：一是CA，负责产生和确定用户实体的数字证书。一是审核授权部门（RA），他负责对证书的申请者进行资格审查，并决定是否同意给申请者发放证书。同时，承担因审核错误而引起的、为不满足资格的入发放了证书而引起的一切后果，他应由能够承担这些责任的机构担任。三是证书操作部门（CP），他为已被授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有获得授权的人发放了证书等，他可由RA自己担任，也可委托给第三方担任。四是密钥管理部门（KM），负责产生实体的加密密钥对，并对其解密私钥提供托管服务。五是证书存储地（Dir），包括网上所有的证书目录。,第三节 电子商务安全协议及安全管理,所谓安全协议是指应用在电子商务活动中的安全协议。其中包括身份验证协议、电子支付协议和加解密协议等，其中电子支付协议是电子商务安全协议的关键部分。目前电子商务中有多种安全体制可以保证电子商务交易的安全性，其中SSL（Secure Sockets Layer）和SET是电子商务安全中两个最重要的协议；管理是保障电子商务安全的重要环节。电子商务安全管理及电子商务安全规划、电子商务安全管理机构、电子商务安全管理制度等,一、安全套接层（SSL）协议,安全套接层（SSL）协议最初由Netscape Communication公司设计开发，是指通信双方在通信前约定使用的一种协议方法，该方法能够在双方计算机之间建立一个秘密信道，凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输，不用担心数据会被别人偷窃。SSL安全协议能够对TCP/IP以上的网络应用协议数据流加密。SSL协议只负责端到端的安全链接，只保证信息传输过程中不被窃取、篡改，但不提供其他安全保证，因而SSL实质上仅仅提供对浏览器和服务器的鉴别，不能细化到对商家和客户的身份认证，这个缺陷会导致交易的假冒欺诈行为出现。,二、安全电子交易（SET）协议,安全电子交易（SET，Secure Electronic Transaction）协议由Mastercard、Visa、IBM以及微软等公司开发，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SET协议提供了强大的验证功能，凡与交易有关的各方必须待有合法证书机构发放的有效证书，SET不仅具有加密机制，更重要的是通过数字签名、数字信封等实现身份鉴别和不可否认性，最大限度地降低了电子商务交易可能遭受的欺诈风险。但是由于SET是基于信用卡进行电子交易的，因此中间环节增加了CA与银行、用户与银行之间的认证，从而提高了软硬件的环境要求，也增加了交易成本。,三、电子商务安全管理,管理是保障电子商务安全的重要环节。电子商务安全管理涉及电子商务安全规划、电子商务安全管理机构、电子商务安全管理制度等。（一）安全规划（二）安全管理机构的设置（三）安全管理制度,第四节 电子支付概述,电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。随着电子商务的发之展，参与电子交易的用户对电子支付的相关服务需求也日益强烈。如何提供更加丰富、适于电子商务用户的相关服务是非常重的。电子支付在一定程度上满足了电子商务用户对支付的需求。,一、电子支付的发展,支付是为了清偿商务伙伴间由于商品交换和劳务活动引起的债权、债务关系，由银行所提供的金融服务业务。支付活动随着商品经济的发展而发展。1物物交换的支付方式 2货币支付结算方式 3银行转账支付方式 通过银行转账支付是目前国际上最主要的资金支付方式，其类型主要可以归纳为五类，即：信用卡支付结算、资金汇兑、支票支付结算、自动清算所支付和电子资金转账。,二、电子支付的特点,与传统的支付方式相比，电子支付具有以下特征：1电子支付采用现代技术通过数字流转来完成支付信息传输，支付手段均是数字信息；而传统的方式则是通过现金的流转、票据的转让以及银行的转账等实体形式的变化实现的。2电子支付是基于开放的系统平台（即互联网）的；而传统支付则在较为封闭的环境中进行。3电子支付使用最先进的通信手段，因此对软硬件要求很高；传统支付对于技术要求不如电子支付高，且多为局域网络，不须联入互联网。4电子支付可以完全突破时间和空间的限制，可以满足24/7（每周7天，每天24小时）的工作模式，其效率之高是传统支付望尘莫及的。,三、电子支付的类型,电子支付从基本形态上看是电子数据的流动，他以金融专用网络为基础，通过计算机网络系统传输电子信息来实现支付。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机器交易和其他电子支付；按照支付指令的传输渠道，电子支付可以分为卡基支付、网上支付和移动支付。,第五节 常用的电子支付工具,在了解电子支付的一些基础知识后，本节主要介绍电子支付的几个工具，如：电子现金、电子钱包、电子信用卡、智能卡和电子支票。叙述每种工具的应用技术和电子支付的业务流程等。,一、电子现金,所谓电子现金，又称数字现金，英文大多数描述为E-Cash，是一种以电子数据形式流通的、能被客户和商家普遍接受的、通过Internet购买商品或服务时使用的货币。电子现金是一种隐形货币，变现为现金数值转换而来的是一系列电子加密序列数，通过这些加密序列数来表示现实中各种金额的币值。,二、电子钱包,所谓电子钱包，英文大多描述为E-Wallet或E-Purse，他是一个客户用来进行安全网络交易，特别是安全网络支付并且储存交易记录的特殊计算机软件或硬件设备，就像生活中随身携带的钱包一样，能够存放客户的电子现金、信用卡号、电子零钱、个人信息等，经过授权后又可方便地有选择地取出使用的新式网络支付工具，可以说是“虚拟钱包”。,三、电子信用卡,从广义上说，凡是能够为持卡人提供信用证明、持卡人可以凭卡购物消费或享受特定服务的特制卡均可称为信用卡。广义上的信用卡包括贷记卡、准贷记卡、借记卡、储蓄卡、提款卡（ATM卡）、支票卡及赊账卡等。从狭义上说，国外的信用卡主要是指由银行或其他财务机构发行的贷记卡，即无需预先存款就可贷款消费的信用卡，是先消费后还款的信用卡。狭义信用卡是真正的凭借持卡人信用而获取银行资金支持进行消费的银行卡，因此称为Credit Card。国内的信用卡主要是指低贷记卡或准贷记卡（允许小额、善意透支的信用卡）。,四、智能卡,所谓智能卡，英文描述为IC卡（集成电路，Integrated Circuit），就是外形上类似信用卡大小、形状，但卡上不是磁条，而是计算机集成电路芯片（如微型CPU与存储器RAM等），用来存储用户个人信息及电子货币信息，且可具有进行支付与结算等功能的消费卡。由于IC卡是在IC芯片上将消费者信息和电子货币存储起来。因此不但存储信息量大，还可用来支付购买的产品、服务和存储信息等，具有多功能性。,五、电子支票,在电子商务交易过程中，以信用卡电子支付方式为代表的小额支付结算方式已经基本上满足了电子商务中B2C网络支付的发展要求。但是对于企业间的电子商务活动，信用卡是不合适的。目前企业间最主要的电子商务结算手段的电子支票很好地满足B2B电子商务加速发展的需要。,五、电子支票,第六节 第三方支付平台,网上支付平台也就是第三方就是在这种需求下逐步诞生。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。由于电子商务活动中买卖双方的交易依托网上虚拟平台，支付过程中会产生信任问题，那么寻求双方都信任的“中间人”是必要的而且关键的。该“中间人”就是第三方支付平台。,一、第三方支付平台概述,第三方支付平台是除了银行以外的具有良好信誉和技术支持能力的某个机构时，支付也通过第三方在持卡人或者客户和银行之间进行。持卡人首先和第三方以替代银行账号的某种电子数据的形式（例如邮件）传递账户信息，避免了持卡人将银行信息直接透露给商家，另外也可以不必登录不同的网上银行界面，而取而代之的是每次登录时，都能看到相对熟悉和简单的第三方机构的界面。第三方机构与各个主要银行之间又签订有关协议，使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。这样第三方机构就能实现在持卡人或消费者与各个银行，以及最终的收款人或者是商家之间建立一个支付的流程。第三方支付使商家看不到客户的信用卡信息，同时又避免了信用卡信息在网络多次公开传输而导致的信用卡被窃事件。,二、主流的第三方支付平台,三、电子支付的类型,电子支付从基本形态上看是电子数据的流动，他以金融专用网络为基础，通过计算机网络系统传输电子信息来实现支付。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机器交易和其他电子支付；按照支付指令的传输渠道，电子支付可以分为卡基支付、网上支付和移动支付。,