第15講電子商務及安全

1、第15講 電子商務及安全,,一、電子商務基本概念,1、電子商務定義2、電子商務的分類3、電子商務功能 4、電子商務的特性,1、電子商務定義,電子商務(EC,Electronic Commerce)，其內容包含兩個方面，一是電子方式，二是商貿活動。電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。 隨著計算機和計算機網(wǎng)絡的應用普及，電子商務不斷被賦予新的含義。電子商務被認為是通過信息技術將企業(yè)、

2、用戶、供應商及其它商貿活動涉及的職能機構結合起來的應用，是完成信息流、物流和資金流轉移的一種行之有效的方法。,2、電子商務的分類（1）,最基本的方法是按電子商務的交易對象來分類：企業(yè)對消費者的電子商務（B to C）企業(yè)對企業(yè)的電子商務（B to B） 企業(yè)對政府的電子商務（B to G）消費者對消費者的電子商務（C to C）,2、電子商務的分類（2）,按照商務活動的內容分類 ：間接電子商務—有形貨物的電子訂貨和付款，它仍然

3、需要利用傳統(tǒng)渠道如郵政服務和商業(yè)快遞車送貨。是直接電子商務—無形貨物和服務，如某些計算機軟件、娛樂產(chǎn)品的聯(lián)機訂購、付款和交付，或者是全球規(guī)模的信息服務。直接和間接電子商務均提供特有的機會，同一 公司往往二者兼營。間接電子商務要依靠一些外部要素，如運輸系統(tǒng)等。直接電子商務 能使雙方越過地理界線直接進行交易，充分挖掘全球市場的潛力。,2、電子商務的分類（3）,按照使用網(wǎng)絡的類型分類EDI:EDI主要應用于企業(yè)與企業(yè)、企業(yè)與批發(fā)商、批發(fā)商

4、與零售商之間的批發(fā)業(yè)務。相對于傳統(tǒng)的訂貨和付款方式，傳統(tǒng)貿易所使用的各種單據(jù)、票證全部被計算機網(wǎng)絡的數(shù)據(jù) 交換所取代。EDI系統(tǒng)的大范圍使用，可以減少數(shù)據(jù)處理費用和數(shù)據(jù)重復錄入費用，并大 大縮短交易時間。 Internet:Internet商業(yè)是國際現(xiàn)代商業(yè)的最新形式。它以計算機、通訊、多媒體、數(shù)據(jù)庫技術為基礎，通過Internet，在網(wǎng)上實現(xiàn)營銷、購物服務。它突破了傳統(tǒng)商 業(yè)生產(chǎn)、批發(fā)、零售及進、銷、存、調的流轉程序與營銷模式，真正

5、實現(xiàn)了少投入、低 成本、零庫存、高效率、避免了商品的無效搬運，從而實現(xiàn)了社會資源的高效運轉和最大節(jié)余。消費者可以不受時間、空間、廠商的限制，廣泛瀏覽，充分比較，方便使用， 以最低的價格獲得最為滿意的商品和服務。,2、電子商務的分類（4）,按電子商務處理過程中，可將商務分為:企業(yè)內部商務 企業(yè)間商務企業(yè)與消費者之間商務,2、電子商務的分類（5）,電子商務解決方案的復雜性分類 網(wǎng)上黃頁:網(wǎng)上黃頁使用戶能在網(wǎng)上發(fā)布廣告信息，如企業(yè)的服

6、務時間、電話號碼、地址、企業(yè)所在區(qū)域的地圖和特殊服務項目等，這些信息都連接在企業(yè)的萬維網(wǎng)(Web)站點上。簡單電子商務解決方案:這類方案使得企業(yè)能夠在沒有專業(yè)的網(wǎng)絡工程師和軟件開發(fā)人員的情況下，擁有一個網(wǎng)上目錄，并能接受網(wǎng)上訂貨。簡單方案主要針對那些專業(yè)人員力量薄弱，又需提供電子商務服務的小型企業(yè).完整的電子商務解決方案:與簡單解決方案相比，完整方案不僅提供了前臺服務特性，還提供了后臺處理， 企業(yè)的網(wǎng)上目錄、訂單處理與數(shù)據(jù)庫的操作結

7、合在一起，完成交易信息的結算、統(tǒng)計分析和綜合處理。,2、電子商務的分類（6）,根據(jù)電子商務業(yè)務過程是否需要支付可以分為兩大類：非支付型業(yè)務和支付型業(yè)務。前者包括稅務申報、電子選 舉、證書發(fā)放、在線報表、安全政務等業(yè)務。后者包括各種電子銀行業(yè)務、代繳代付業(yè)務 、銀證轉賬業(yè)務、銀企轉賬業(yè)務、電子證券業(yè)務、網(wǎng)上購物業(yè)務等。,3、電子商務功能,廣告宣傳、咨詢洽談、網(wǎng)上訂購、網(wǎng)上支付服務傳遞:對于已付了款的客戶應將其訂購的貨物:盡快地傳遞到他們

8、的手中。而有些貨物在本地，有些貨物在異地，電子郵件將能在網(wǎng)絡中進行物流的調配。而最適合在網(wǎng)上直接傳遞的貨物是信息產(chǎn)品。如軟件、電子讀物、信息服務等。它能直接從電子倉庫中將貨物發(fā)到用戶端。交易管理:整個交易的管理將涉及到人、財、物多個方面，企業(yè)和企業(yè)、企業(yè)和客戶及企業(yè)內部等各方面的協(xié)調和管理。因此，交易管理是涉及商務活動全過程的管理。,4、電子商務的特性,商務性服務方便性安全性集成性(新、老技術的集成、事務處理的

9、 規(guī)范性)可擴展性協(xié)調性（雇員、客戶、生產(chǎn)方、商務伙伴）,二、電子商務的基本要素,,1、電子商務的交易主體,1．消費者2．企業(yè)，商家3．政府，銀行,2、電子交易市場（1）,在電子商務中，對于每個交易主體來說，所面對的是一個電子交易市場（Electronic Market 簡稱EM），它必須通過EM來選擇交易的對象和內容。 EM根據(jù)交易主體的不同、交易資源、能力、規(guī)模和需要，分為不同層次的市場交易組織，如下表（不同

10、交易類型對應的EM）所示。,2、電子交易市場（2）,3、電子商務中的交易事務,交易前的準備：在電子商務營銷模式中，交易的供需信息都是通過交易雙方的網(wǎng)址和網(wǎng)絡主頁完成的，雙方信息的溝通具有快速和高效率的的特點。交易磋商：電子商務中的貿易磋商過程將紙面單證在網(wǎng)絡和系統(tǒng)的支持下變成了電 子化的記錄、文件和報文在網(wǎng)絡上的傳遞過程，并且由專門的數(shù)據(jù)交換協(xié)議保證了網(wǎng)絡 信息傳遞的正確性和安全性和快速的特點。 簽訂合同與辦理手續(xù)：電子商務環(huán)境下的

11、網(wǎng)絡協(xié)議和電子商務應用系統(tǒng)的功能保證了交 易雙方所有的貿易磋商文件的正確性和可靠性，并且在第三方授權的情況下具有法律效 應，可以作為在執(zhí)行過程中產(chǎn)生糾紛的仲裁依據(jù)。合同的履行和支付過程：電子商務中交易的資金支付采用信用卡、電子支票、電子現(xiàn)金和電子錢 包等形式以在網(wǎng)上支付的方式進行,返回本節(jié),4、電子商務中的物流、資金流和信息流,電子商務中的任何一筆交易，都包含著三種基本的“流”，即物流、資金流和信息流。信息流包括商品信息的提供、付款

12、通知單、交易方的支付能力、等等。資金流主要是指資金的轉移過程，包括付款、轉賬、匯兌等過程。物資實體的流動過程，具體指運輸、配送、保管、物流信息管理等各種活動。在電子商務的應用中，十分強調物流、資金流和信息流的整合。對于某些可以通過網(wǎng)絡傳輸?shù)纳唐泛头?，甚至可以做到“三流”同步處理?三、電子商務的結構模型,1、電子商務的一般框架2、網(wǎng)絡層3、多媒體消息/信息發(fā)布層4、一般業(yè)務服務層5、國家政策及法律、法規(guī)6、各種技術標準

13、和網(wǎng)絡協(xié)議7、電子商務的基本結構,1、電子商務的一般框架,圖2-1 電子商務一般框架,2、網(wǎng)絡層,網(wǎng)絡層是電子商務的網(wǎng)絡基礎設施，是信息傳輸系統(tǒng)。主要包括：遠程通信網(wǎng)（Telecom）:包括公用交換電話網(wǎng)、公用數(shù)據(jù)網(wǎng)、綜合業(yè)務數(shù)據(jù)網(wǎng)等有線電視網(wǎng)（Cable TV）無線通信網(wǎng)（Wireless）:包括移動通信系統(tǒng)、微波通信系統(tǒng)和衛(wèi)星通信系統(tǒng)；因特網(wǎng)（Internet）:它是計算機網(wǎng)絡，由骨干網(wǎng)、城域網(wǎng)、局域網(wǎng)等層層搭建而成。隨

14、著Internet上商貿業(yè)務的不斷增長，ISP的通信網(wǎng)絡將得到更大的發(fā)展。,3、多媒體消息/信息發(fā)布層,網(wǎng)上最流行的發(fā)布信息的方式是以HTML的形式將信息發(fā)布在WWW上。HTML將這些多媒體信息組織得易于檢索和富有表現(xiàn)力。 目前，大量的因特網(wǎng)使用者在各種終端和操作系統(tǒng)下通過HTTP使用統(tǒng)一資源定位器（URL）查找到所需要的信息。,4、一般業(yè)務服務層,為方便交易所提供的通用的業(yè)務服務，是所有企業(yè)、個人在網(wǎng)上進行貿易時都會用到的服務。它主要

15、包括：保證商業(yè)信息安全傳輸?shù)姆椒?、買賣雙方合法性的認證、電子支付工具與商品目錄服務等。目前的做法是采用信息加密技術（非對稱密鑰加密、對稱密鑰加密等）、安全認證技術（數(shù)字簽名、數(shù)字證書、CA認證等）和安全交易協(xié)議（SET、SSL等）來提供端到端的安全保障。,5、國家政策及法律、法規(guī),國家政策包括圍繞電子商務的稅收制度、信息的定價、信息訪問的收費、信息傳輸成本、隱私保護問題等，需要政府制定政策。例如，對于咨詢信息、電子書籍、軟件等無形商品

16、是否征稅，如何征稅；稅收制度是否應與國際慣例接軌，如何接軌等等。若處理得不好，將嚴重制約電子商務的發(fā)展。法律法規(guī)維系著商務活動的正常運作，違規(guī)活動必須受到法律制裁。,6、各種技術標準和網(wǎng)絡協(xié)議,技術標準定義了用戶接口、通信協(xié)議、信息發(fā)布標準、安全協(xié)議等技術細節(jié)。它是信息發(fā)布、傳遞的基礎，是網(wǎng)絡信息一致性的保證。就整個網(wǎng)絡環(huán)境來說，技術標準對于保證各種硬件設備和應用軟件的兼容性和通用性是十分重要的。目前，許多企業(yè)和廠商、國際組織都意識到技

17、術標準的重要性，正致力于聯(lián)合起來開發(fā)統(tǒng)一的國際技術標準，比如：EDI標準、TCP/IP協(xié)議、HTTP協(xié)議、SSL協(xié)議、SET協(xié)議等等。,電子商務的基本結構（備注說明）,,7、電子商務的基本結構,8、電子商務的中介服務機構,市場中介機構與電子商務服務業(yè)電子商務的物流服務業(yè)電子商務的金融服務業(yè)電子商務的信息服務業(yè),四、電子商務模式,,1、B to C 模式,基本上等同于商業(yè)電子化的零售商務。實體產(chǎn)品書、鮮花、服裝食品、汽車數(shù)

18、字化產(chǎn)品新聞、錄音、錄象、軟件等各類服務安排旅游、在線醫(yī)療、遠程教育等,特點交易量大總交易額大商品品種繁多客戶廣泛結算支付復雜依賴客戶程度低,1、B2C基本運作流程,1、B TO C 交易過程,選擇店家注冊用戶并登錄瀏覽或查找商品填寫并提交訂單品名數(shù)量送貨時間支付方式（貨到付款／郵匯／信用卡劃帳）預付款查詢訂單狀態(tài)或訂單變更,B TO C 演示,1、B to C電子商務系統(tǒng)主要組成,前臺電子商廈：

19、網(wǎng)上虛擬商場、訂單處理、訂單查詢、支付處理、貨運管理、組合檢索及購物藍功能后臺管理系統(tǒng)：用戶管理、商品管理、訂單管理、供應商管理、退換貨管理、物流管理、折扣管理應用軟件：電子郵件系統(tǒng)、BBS、廣告管理,1、B2C的電子商務模式,實際產(chǎn)品的電子商務模式(電腦產(chǎn)品、書籍、CD盤、旅游、 娛樂、 服飾、 食品飲料、禮品鮮花）一種是在網(wǎng)上設立獨立的虛擬店鋪；一種是參與并成為網(wǎng)上在線購物中心的一部分。無形產(chǎn)品和勞務的電子商務模式(

20、如信息、計算機軟件、視聽娛樂產(chǎn)品等)網(wǎng)上訂閱模式付費瀏覽模式廣告支持模式網(wǎng)上贈與模式,1、網(wǎng)上訂閱模式,在線服務在線出版網(wǎng)絡報刊主要有以下幾種模式：第一種，網(wǎng)上報刊完全是紙質母報的翻版。第二種，網(wǎng)上報刊的內容不完全相同于紙質母報。第三種，內上報刊的內容大大超過紙質母報的容量第四種，眾多報刊聯(lián)合經(jīng)營創(chuàng)建大型新聞網(wǎng)站第五種，數(shù)家報刊或出版部門與網(wǎng)絡服務商聯(lián)合，形成專業(yè)性信息服務網(wǎng)站。 在線娛樂,1、付費瀏覽模式,付費

21、瀏覽模式（the Pay-per-View Model）指的是企業(yè)通過網(wǎng)頁安排向消費者提供計次收費性網(wǎng)上信息測覽和信息下載的電子商務模式。付費例覽模式讓消費者根據(jù)自己的需要，在網(wǎng)址上有選擇性地購買想要的東西。在數(shù)據(jù)庫里查詢的內容也可付費獲取。另外一次性付費參與游戲會是很流行的付費瀏覽方式之一。,1、廣告支持模式,廣告支持模式是指在線服務商免費向消費者或用戶提供信息在線服務，而營業(yè)活動全部用廣告收入支持。此模式是目前最成功的電子商務模

22、式之一。大致有以下幾種計費方法第一，按被看到的次數(shù)計費第二，按用戶錄入的關鍵字計費第三，按擊取廣告圖標計費,1、網(wǎng)上贈與模式,網(wǎng)上贈與模式是一種非傳統(tǒng)的商業(yè)運作模式。它指的是企業(yè)借助于國際互聯(lián)網(wǎng)全球廣泛性的優(yōu)勢，向互聯(lián)網(wǎng)上的用戶贈送軟件產(chǎn)品，擴大知名度和市場份額。通過讓消費者使用該產(chǎn)品，從而讓消費者下載一個新版本的軟件或購買另外一個相關的軟件。適宜采用網(wǎng)上贈與模式的企業(yè)主要有兩類：軟件公司和出版商。,1、B2C業(yè)務分析,北京

23、賽迪網(wǎng)信息技術有限公司和蓋洛普咨詢有限公司聯(lián)合發(fā)布了中國互聯(lián)網(wǎng)用戶行為和態(tài)度研究（CIUA 2000）。 CIUA 2000主要是從“中國互聯(lián)網(wǎng)應用現(xiàn)狀”、“網(wǎng)民對互聯(lián)網(wǎng)的態(tài)度”、 “網(wǎng)絡潛在用戶和非用戶行為分析”以及“網(wǎng)民群體特征與潛在上網(wǎng)者特征變化趨勢” 等幾方面進行研究的。 研究目的是深入了解網(wǎng)民的互聯(lián)網(wǎng)行為及其對互聯(lián)網(wǎng)的態(tài)度，CIUA 2000的調查結果顯示，僅有5％左右的網(wǎng)民將“網(wǎng)上購物”作

24、為上網(wǎng)的主要目的。 由此可見，盡管互聯(lián)網(wǎng)在人們生活中的地位日益顯著，但是目前中國網(wǎng)民仍然相當漠視互聯(lián)網(wǎng)的交易功能。,2、B to B 模式,使企業(yè)可以使用Internet或其他網(wǎng)絡向供應商定貨、接受發(fā)票和使用電子資金轉移、信用證、銀行托收等進行付款，以及在商貿過程中發(fā)生的其他問題，如：索賠、商品發(fā)送管理和運輸跟蹤等。不過硬件較復雜、投入高、但發(fā)展最快,特點交易量少交易額大商品品種簡單客戶集中，業(yè)務穩(wěn)定有助于

25、加強供應鏈管理結算支付方便降低成本依賴客戶,,2、B to B電子商務系統(tǒng)主要組成,進出口管理,BTOB電子交易平臺,貨運管理,監(jiān)控系統(tǒng),交易中心,,,,,,,,送貨、配貨,全程跟蹤,,,,出口委托單,海關委托單,,,,進倉、配貨出倉,庫存管理,供應商管理,,,供應鏈管理,,,,采購分析和業(yè)務監(jiān)控,物資信息管理,采購單管理,內部采購系統(tǒng),,,供求管理,交易管理,供求留言版,尋價單,傳統(tǒng)交易,主動撮合,,,,,決策中心,支付管理,,

26、2、B2B 交易過程,交易前的準備制定訂購計劃選擇合作對象：供貨商／往來銀行／進出口代理商交易談判與簽定合同數(shù)字簽名辦理交易前的手續(xù)通知合作對象：往來銀行／進出口代理商交易合同的履行和索賠支付貨物運輸與跟蹤違約索賠,B TO B 演示,2、企業(yè)對企業(yè)的電子商務模式,EDI——企業(yè)對企業(yè)電子商務的技術結構 以國際互聯(lián)網(wǎng)為基礎的EDI,優(yōu) 點節(jié)省投資和運營成本 電子商務參與形式多樣化 接入靈活方便，速度快,缺

27、點安全問題 網(wǎng)絡運營的可靠性 第三方認證問題,2、從策略上看中國B2B的經(jīng)營模式,2、B TO B的電子商務模式,在線商店模式 內聯(lián)網(wǎng)模式 （內聯(lián)網(wǎng)模式指的是企業(yè)將內聯(lián)網(wǎng)絡有限度地對商業(yè)伙伴開放）中介模式 （指的是一家中介機構在網(wǎng)上將銷售商或采購商匯集一起）專業(yè)服務模式（網(wǎng)上機構通過標準化的網(wǎng)上服務為企業(yè)內部管理提供專業(yè)化的解決方案）,,3、C TO C模式,新業(yè)務、由C2C供應商（IT業(yè)）提供二手物品業(yè)務為主客戶廣泛

28、信用不好控制交易范圍不好掌握,,4、G TO B,網(wǎng)絡交易的使用者和宏觀管理者，涵蓋政府與企業(yè)之間的各項事務：政府采購稅收商檢管理條令,5、G TO C,電子采購與招標電子稅務電子證照辦理信息咨詢服務中小企業(yè)電子服務,五、電子商務支付系統(tǒng),1、電子商務支付系統(tǒng)2、電子支付系統(tǒng)的社會基礎3、網(wǎng)上支付系統(tǒng)的基本構成4、網(wǎng)上支付系統(tǒng)的種類5、電子商務支付系統(tǒng)的功能,1、電子商務支付系統(tǒng),指的是消費者、商家和金融機構

29、之間使用安全電子手段交換商品或服務，即把新型支付手段包括電子現(xiàn)金（E-CASH）、信用卡(CREDIT CARD)、借記卡(DEBIT CARD)、智能卡(SMART CARD)等的支付信息通過網(wǎng)絡安全傳送到銀行或相應的處理機構，來實現(xiàn)電子支付；是融購物流程、支付工具、安全技術、認證體系、信用體系以及現(xiàn)在的金融體系為一體的綜合系統(tǒng)。,2、電子支付系統(tǒng)的社會基礎,信用卡公司銀行：給顧客信用并進行清算向信用卡加盟店提供認證和收款業(yè)務的第

30、三方處理公司如同Visa的網(wǎng)絡，將進行收款的處理業(yè)務和銀行聯(lián)系在一起。ATM網(wǎng)絡自動清算公司（ACH）中國在建的“中國國家現(xiàn)代化支付系統(tǒng)”（CNAPS），行內建立了電子匯兌系統(tǒng)和銀行卡授權系統(tǒng)銀聯(lián)系統(tǒng)建立發(fā)卡行的行內授權系統(tǒng)，為跨行交易創(chuàng)造了條件。,3、網(wǎng)上支付系統(tǒng)的基本構成,,網(wǎng)上支付體系的基本構成,4、網(wǎng)上支付系統(tǒng)的種類,（1）信用卡支付系統(tǒng)的特點是：每張卡對應著一個賬戶，資金的支付最終是通過轉賬實現(xiàn)的，對信用卡賬戶的處理

31、是后于貨款支付的。（2）電子轉賬支付系統(tǒng)的特點是：是一種“即時付款”的支付辦法。（3）電子現(xiàn)金支付系統(tǒng)的特點則是：是一種“預先付款”的支付系統(tǒng)。,返回本節(jié),5、電子商務支付系統(tǒng)的功能,使用數(shù)字簽名和數(shù)字證書實現(xiàn)對各方的認證使用加密技術對業(yè)務進行加密使用消息摘要算法以確認業(yè)務的完整性當交易雙方出現(xiàn)糾紛時，保證對業(yè)務的不可否認性能處理貿易業(yè)務的多邊支付問題。（由于網(wǎng)上貿易的支付牽涉到客戶、商家和銀行等多方，其中傳送的購貨信息與

32、支付指令必須連接在一起，因為商家只有確認了支付指令后才會繼續(xù)交易，銀行也只有確認了支付指令后才會提供支付。但商家不能讀取客戶的支付指令，銀行不能讀取商家的購貨信息，這種多邊支付的關系可通過雙重簽名等技術來實現(xiàn)。）,6、網(wǎng)上銀行,網(wǎng)上銀行的定義：網(wǎng)上銀行利用Internet和Intranet技術，為客戶提供綜合、統(tǒng)一、安全、實時的銀行服務，包括提供對私、對公的各種零售和批發(fā)的全方位銀行業(yè)務，還可以為客戶提供跨國的支付與清算等其他的貿易、非

33、貿易的銀行業(yè)務服務。,,網(wǎng)上銀行的主要特征依托迅猛發(fā)展的計算機和計算機網(wǎng)絡與通信技術，利用滲透到全球每個角落的因特網(wǎng)。突破了銀行傳統(tǒng)業(yè)務操作模式，把銀行的業(yè)務直接在因特網(wǎng)上推出?？梢酝ㄟ^網(wǎng)絡自動定期交納各種社會服務項目的費用，進行網(wǎng)上購物。企業(yè)集團用戶不僅可以查詢本公司和集團子公司賬戶的余額、匯款、交易信息，并且能夠在網(wǎng)上進行電子貿易。網(wǎng)上銀行服務還提供網(wǎng)上支票報失、查詢服務，維護金融秩序，最大限度減少國家、企業(yè)的經(jīng)濟損失。

34、網(wǎng)上銀行服務采用了多種先進技術來保證交易的安全，商業(yè)罪犯將更難以找到可乘之機。,,網(wǎng)上銀行在電子商務中的作用銀行作為電子化支付和結算的最終執(zhí)行者，起著連接買賣雙方的紐帶作用。網(wǎng)上銀行所提供的電子支付服務是電子商務中最關鍵的因素，直接關系到電子商務的發(fā)展前景。隨著電子商務的發(fā)展，網(wǎng)上銀行的發(fā)展亦是必然趨勢。,,網(wǎng)上銀行的功能銀行業(yè)務項目：個人銀行服務、網(wǎng)上信用卡業(yè)務 、對公業(yè)務、其他付款方式、國際業(yè)務、信貸、特色服務。 商務服務：投

35、資理財、資本市場、政府服務。信息發(fā)布：國際市場外匯行情、兌換利率、儲蓄利率、匯率、國際金融信息、證券行情、銀行信息等。,,網(wǎng)上銀行模式：從網(wǎng)上銀行的運行機制上講有兩種模式。一種是完全依賴于Internet網(wǎng)發(fā)展起來的全新電子銀行。另一種模式是指傳統(tǒng)商業(yè)銀行運用公共Internet開展傳統(tǒng)的銀行業(yè)務，通過其發(fā)展家庭銀行、企業(yè)銀行等服務。從網(wǎng)上銀行的業(yè)務看有三種模式：第一種模式，把網(wǎng)上銀行所針對的客戶群設定為零售客戶，把網(wǎng)上銀行作為銀

36、行零售業(yè)務柜臺的延伸，達到24小時不間斷服務的效果，并節(jié)省銀行的成本。第二種模式，網(wǎng)上銀行以批發(fā)業(yè)務為主，即在網(wǎng)上處理銀行間的交易和銀行間的資金往來；第三種模式，是前兩種的結合，即網(wǎng)上銀行包括零售和批發(fā)兩個方面的業(yè)務。,,網(wǎng)上銀行的經(jīng)營風險信息在Internet上擴散得很快，信息的迅速傳播擴散會直接影響到網(wǎng)上銀行的運行。Internet讓客戶可以更快地訪問他們的賬戶。對網(wǎng)上銀行方便快捷的訪問和信息通過Internet可以快速擴散，

37、也使得網(wǎng)上銀行的運行更容易受到外界因素的影響。安全是基于Internet的網(wǎng)上銀行最大的問題。傳統(tǒng)的商業(yè)銀行如果出現(xiàn)危機，國家一般要對其進行一定的干預。在Internet 上人們不一定需要使用真名和真實的通信地址，網(wǎng)上消費者和網(wǎng)上銀行之間的高度匿名性增加了銀行和儲戶之間相互監(jiān)督的困難。,,網(wǎng)上銀行管理的問題：對于許多類型的跨國界金融服務，現(xiàn)在還不清楚用哪個國家的管理規(guī)定。不同國家對網(wǎng)上銀行的管理規(guī)定松緊程度差別很大。網(wǎng)上銀行管

38、理的策略：由于Internet具有國際性，因此網(wǎng)上銀行也具有國際性，但它的國際性與傳統(tǒng)的跨國銀行的國際性不同。美國對外國銀行機構進行管理時，實行與美國銀行同等對侍的“國民侍遇”，而歐洲委員會則實行“本地國原則”。網(wǎng)上銀行與跨國銀行還有一個重要的區(qū)別：網(wǎng)上銀行并不建立分支機構，因此對網(wǎng)上銀行的管理各國也會面臨不同的問題。,六、電子商務的安全需求,1、隱私性2、機密性3、有效性4、完整性5、不可否認性6、審查能力,1、隱私性,交

39、易必須保持其不可侵犯性，經(jīng)由網(wǎng)絡送出及接收的信息是不能被任何闖入者讀取、修改或攔截的。一個交易者，特別是大公司性質的交易者，決不希望交易的金額等信息被他人所知。,2、機密性,EC作為貿易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。EC是建立在一個較為開放的網(wǎng)絡環(huán)境上的（尤其Internet是更為開放的網(wǎng)絡），維護商業(yè)機密是EC全面推廣應

40、用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。,3、有效性,EC以電子形式取代了紙張，那么如何保證這種電子形式的貿易信息的有效性則是開展EC的前提。EC作為貿易的一種形式，其信息的有效性將直接關系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此，要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防，以保證貿易數(shù)據(jù)在確定的時刻、確定的地點是有效的。,4、完整性,EC簡化了貿

41、易過程，減少了人為的干預，同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經(jīng)營策略，保持貿易各方信息的完整性是EC應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。,5、不

42、可否認性,不論是買家或是商家在網(wǎng)上進行交易后，任何一方都不能反悔，否認進行過交易。EC可能直接關系到貿易雙方的商業(yè)交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證EC順利進行的關鍵。在傳統(tǒng)的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據(jù)等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。這也就是人們常說的"白紙黑字"。在無紙化的EC方式下，通過手寫

43、簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。,6、審查能力,根據(jù)機密性和完整性的要求，應對數(shù)據(jù)審查的結果進行記錄。,七、電子商務的安全技術體系,1、電子商務安全問題2、VPN與電子商務3、SSL與電子商務 4、電子郵件的安全協(xié)議與電子商務 5、電子商務安全體系結構,1、電子商務安全問題,安全問題是電子商務推廣過程中最大的障礙。目前，電子商務過程中主要采用的安全

44、技術有加密技術、數(shù)字簽名技術、認證技術、密鑰管理、安全認證協(xié)議等。這些技術的組合應用構成了電子商務的安全技術體系。,2、VPN與電子商務,VPN可以用于在公眾網(wǎng)上建立一個安全的傳輸通道。參照9.2.2的支付型電子商務系統(tǒng)功能模型，電子柜員機和支付網(wǎng)關之間、證書授權中心和支付網(wǎng)關之間、電子柜員機和證書授權中心之間的通信都要穿越公眾網(wǎng)，若要進行安全通信，VPN是一個不錯的選擇。,3、SSL與電子商務,SSL在傳輸層提供了安全通信功能，主要用

45、于用戶瀏覽器和Web網(wǎng)站之間的安全。商家建立服務網(wǎng)站，用戶登錄網(wǎng)站后進行各種商務活動，例如填寫表單、輸入信用卡賬號密碼等。SSL協(xié)議已成為事實上的工業(yè)標準,并被廣泛應用于Internet和Intranet的服務器產(chǎn)品和客戶端產(chǎn)品中。如Netscape公司、微軟公司、IBM公司等領導Internet/Intrnet網(wǎng)絡產(chǎn)品的公司已在使用該協(xié)議。,4、電子郵件的安全協(xié)議與電子商務,電子郵件是Internet上主要的信息傳輸手段，也是EC應用

46、的主要途徑之一。但它并不具備很強的安全防范措施。Internet工程任務組(IEFT)為擴充電子郵件的安全性能已起草了相關的規(guī)范：1 PEM PEM是增強Internet電子郵件隱秘性的標準草案，它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法、散列功能等安全措施。PEM是通過In

47、ternet傳輸安全性商務郵件的非正式標準。有關它的詳細內容可參閱Internet工程任務組公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4個文件。PEM有可能被S/MIME和PEM-MIME規(guī)范所取代。2 S/MIME的目的是在MIME上定義安全服務措施的實施方式。S/MIME已成為產(chǎn)界業(yè)廣泛認可的協(xié)議，如微軟公司、Netscape公司、Novll公司、Lotus公司等都支持該協(xié)議。3 PEM-MIM

48、E(MOSS) MOSS(MIME對象安全服務)是將PEM和MIME兩者的特性進行了結合。,5、電子商務安全體系結構,,電子商務應用系統(tǒng),網(wǎng)上商務活動,應用系統(tǒng)的支持系統(tǒng),網(wǎng)絡平臺,6、電子商務與安全電子支付,支付是電子商務核心流程之一支付的安全問題是電子商務安全問題的主要方面,六、安全微支付技術,1、微支付的概念2、微支付的特點3、微支付模型 4、基于票據(jù)的微支付機制 5、基于hash鏈的微支付機制 6、微支付的應用和發(fā)展

49、,1、微支付的概念,由于信息產(chǎn)品本身的特點，收取的費用面額一般都非常小，如查看一條新聞收費一分等。這種支付機制有著特殊的系統(tǒng)要求，在滿足一定安全性的前提下，要求有盡量少的信息傳輸、較低的管理和存儲需求，即速度和效率要求比較高。這種支付形式就稱為微支付或小額支付。 目前常用的微支付機制有Millicent、MicroMint、SubScrip、PayWord、Paytree等，它們在交易憑據(jù)、憑據(jù)產(chǎn)生主體、采用的密碼技術等方面都各有不同

50、。,2、微支付的特點,1 交易額。微支付的交易額非常小，每一筆交易在幾分（甚至更?。┑綆自g。 一般還會有單位時間消費限制。2 安全性。由于微支付每一筆的交易額小，即使被截獲或竊取，對交易方的損失也不大。所以，微支付很少或不采用公鑰加密，而采用對稱加密和hash運算，其安全性在很大程度上是通過審計或管理策略來保證的。3 效率。由于微支付交易頻繁，所以要求較高的處理效率，如存儲盡量少的信息、處理速度盡量快和通信量盡可能少等。在實際應

51、用中，可在安全性和效率之間尋求平衡。4 應用。由于微支付的特點，其應用也具有特殊性，如信息產(chǎn)品支付（新聞、信息查詢和檢索、廣告點擊付費等）、移動計費和認證，以及分布式環(huán)境下的認證等。微支付一般不適合于實物交易中的電子支付。,3、微支付模型,,4、基于票據(jù)的微支付機制,票據(jù)（Scrip）是微支付中最為常見的支付形式之一，它是一種面值很小的電子貨幣，一般由M或B代理產(chǎn)生（也可以由B獨立產(chǎn)生），在不需要第三方參與的情況下，可以由M在線驗證貨

52、幣的真?zhèn)?。在票?jù)形式的微支付中一般不采用公鑰技術，而使用對稱密鑰技術和hash函數(shù)。常見的票據(jù)形式的微支付機制包括Millicent、Subscrip和MicroMint等。,5、基于hash鏈的微支付機制,hash鏈就是這樣一種方式，它的思想最初由Lamport提出，以用于口令認證，后來被應用到微支付機制中，其具體方法就是由用戶選擇一隨機數(shù)，并對其進行多次hash計算，把每次hash的結果組成一個序列，序列中的每一個值代表一個支付單元

53、。 基于hash鏈的微支付機制比較普遍，并發(fā)展了多種改進和變形。Hash鏈一般由C產(chǎn)生，而簽署支付承諾的證書由B頒發(fā)。在進行支付時，C把自己的證書、支付承諾和hash鏈（以hash鏈生成相反的順序）提交給M，一定時間以后，M會集中把hash鏈和支付承諾提交給B進行兌現(xiàn)。由于采用了支付承諾的方式，一個hash鏈一般都針對特定M?；趆ash鏈的典型微支付機制比較多，如PayWord、Pedersen提出的小額支付、NetCard和Pa

54、ytree等。,6、微支付的應用和發(fā)展,目前，對微支付的研究開發(fā)也出現(xiàn)了很多新的方向，如移動微支付、微支付的公平性研究、具有認證功能的分布式微支付研究和采用新的安全技術的微支付機制等,附、移動電子商務安全,,移動商務安全分析－安全威脅,無線鏈路威脅非授權訪問數(shù)據(jù) 完整性威脅 拒絕服務攻擊服務網(wǎng)絡威脅非授權訪問數(shù)據(jù) 完整性威脅 拒絕服務攻擊 否認 非授權訪問服務終端威脅鑒權和訪問控制 數(shù)據(jù)完整性 數(shù)據(jù)機密性 復制SIM卡 手

55、機病毒,移動商務安全分析－安全需求,交易：對交易方和交易數(shù)據(jù)提供一定安全保護信息：保護敏感和有價值的用戶信息基礎設施：保護承載網(wǎng)絡不被攻擊,移動商務安全分析－安全需求,根據(jù)ISO 10181關于開放系統(tǒng)安全服務框架數(shù)據(jù)機密性需求信息的完整性需求信息的可認證性（可鑒別性）需求防抵賴性需求用戶身份隱密需求用戶身份隱藏 用戶位置隱藏 用戶的不可跟蹤,移動商務安全分析－安全機制,數(shù)據(jù)機密性：加密技術和安全信道信息的完整性：消息

56、摘要技術、加密技術、數(shù)字簽名技術 信息的可認證性（可鑒別性）：身份認證技術防抵賴性：數(shù)字簽名技術（可輔以公開密鑰加密技術）用戶身份隱密:臨時身份來隱藏或通過加密了的永久身份,安全實現(xiàn)模型－通信安全模型,點到點模型優(yōu)點：易操作缺點：在中間節(jié)點間數(shù)據(jù)易被暴露,安全實現(xiàn)模型－通信安全模型,端到端安全模型優(yōu)點：保密級別更高缺點：密鑰管理復雜 可以進行系統(tǒng)流量分析 離線加密,安全實現(xiàn)模型－移動商務,需要考慮的因素：承載

57、系統(tǒng)和技術：短消息和WAP業(yè)務環(huán)境復雜網(wǎng)絡環(huán)境復雜不同的安全需求,安全實現(xiàn)模型－移動商務,結論一：基于短消息的移動商務業(yè)務適合采用端到端的安全實現(xiàn)模型結論二：基于WAP的移動商務安全實現(xiàn)模型將采用端到端的安全模型,短消息系統(tǒng)（1/5）,短消息系統(tǒng)結構,短消息系統(tǒng)（2/5）,各節(jié)點之間通信使用的協(xié)議,短消息系統(tǒng)（3/5 ）,從系統(tǒng)角度分析安全接入安全：無線鏈路上的以明文形式傳送的短消息數(shù)據(jù)包短信中心安全：安全威脅在于有線網(wǎng)絡以

58、及對人員的管理短信業(yè)務實體安全：安全威脅在于有線網(wǎng)絡,短消息中心結構圖,,短消息系統(tǒng)（4/5 ）,從攻擊的角度分析安全欺騙偷聽和修改拒絕服務,短消息系統(tǒng)（5/5 ）,結論： 從系統(tǒng)和攻擊兩方面的安全分析來看，目前的短消息系統(tǒng)沒有采取任何安全措施，在各個環(huán)節(jié)都存在安全漏洞。,短消息安全解決方案（1/9）,系統(tǒng)原理圖,短消息安全解決方案（2/9 ）,安全平臺系統(tǒng)模塊,短消息安全解決方案（3/9 ）,服務器端模塊層

59、次結構和數(shù)據(jù)流程,短消息安全解決方案（4/9 ）,組網(wǎng)方案,短消息安全解決方案（5/9 ）,認證流程：正常情況,短消息安全解決方案（6/9 ）,認證流程：失步情況,短消息安全解決方案（7/9 ）,對短消息負載問題的處理用于加密和認證的開銷約為20個字節(jié)，限制待加密的業(yè)務數(shù)據(jù)不超過120個字節(jié)。若業(yè)務數(shù)據(jù)較長，則采取將一次交易的業(yè)務數(shù)據(jù)拆分為若干條短消息，由安全平臺服務器將多條短消息進行重新組合的策略。,短消息安全解決方案（8/9 ）

60、,安全功能加密、短消息校驗、認證、防止重傳攻擊、系統(tǒng)自恢復、日志功能、用戶管理功能 其他功能網(wǎng)絡配置功能、OTA方式更新業(yè)務、向SP提供服務接口、統(tǒng)計功能、備份功能,短消息安全解決方案（9/9 ）,總結：采用高強度的加密算法 一次性身份認證端到端認證防篡改攻擊雙向認證防重傳攻擊,數(shù)字版權管理(Digital Rights Management),下一代互聯(lián)網(wǎng)的應用、3G和4G無線移動通信網(wǎng)絡, 也正逐步走向大范圍的部

61、署, 用戶能夠在任意時間、任何地點訪問所需的數(shù)字資源，體驗數(shù)字服務。 數(shù)字內容（電子書、圖像、音視頻媒體、移動應用軟件等）具有無損復制、易于網(wǎng)絡傳播等重要特性。數(shù)字侵權非法拷貝、惡意分發(fā)、非授權訪問、隨意分享。支持DRM的數(shù)字內容價值鏈（DRM Ecosystem），是DRM技術研究的基本場景。DRM Ecosystem通過安全技術抵抗侵權行為，通過數(shù)字內容運營，定義不同的使用權限和價格，實現(xiàn)用戶依據(jù)所授數(shù)字權利，受控、

62、有償消費有價的數(shù)字內容（資產(chǎn)）。,DRM技術背景（續(xù)）,區(qū)分DRM系統(tǒng)中的正常用戶和惡意用戶是非常困難的, 普通用戶通常被看作是潛在的攻擊者或非法使用者。因此 , 近年來內容提供商采用不斷增強的安全策略/機制來應付惡劣的盜版行為。由于一般用途的用戶終端，如PC、Server等設備，他們存在固有的安全性缺陷和開放性，使得這些用戶終端并不具有可信性。 DRM研究包括安全、信任、風險管理等主要部分，數(shù)字內容獲取與數(shù)字內容分享構成了DRM兩

63、個關鍵應用場景。,DRM研究場景,存在的問題,迄今，DRM技術研究主要從內容提供商和數(shù)字權利/服務提供商的角度進行。DRM Ecosystem 中的終端用戶是否需要考慮？各方之間由于各自的利益并不存在完全的信任，安全技術成為構建多方信任的途徑，這是否合理？ 注意到，從用戶的角度，不斷增強的安全策略與機制（如可信計算），也造成了DRM系統(tǒng)互操作性與可用性的顯著降低，并且?guī)砹烁甙踩杀竞烷_銷（如可信計算終端設備的選用），如何解決？

64、歸結起來，DRM Ecosystem多方信任如何構建？在DRM安全性與多方效用（收益）之間如何尋找折中？,可作的工作,試圖建立DRM內容價值鏈體系的多方信任，以安全技術為基礎、以各方效用（收益）為中心。效用的最優(yōu)化及均衡成為安全策略選取的關鍵。從DRM Ecosystem 系統(tǒng)的角度，尋找一種DRM系統(tǒng)安全與多方效用的分析與評估方法。針對不同安全組合的DRM安全策略，面向一般的DRM應用場景，指導內容/服務提供商理性地有效選

65、取和部署安全策略，從而建立以安全性為基礎，以多方效用為中心的DRM環(huán)境。,意義,通過建立的較為系統(tǒng)、完整的DRM安全策略分析框架，以及面向安全組件（服務）及其組合策略的形式化效用分析方法，對于實現(xiàn)安全策略理性決策將具有重要的理論意義。所提出的可信計算支持的DRM增強安全策略及數(shù)字權利分享機制，將有利于提供DRM系統(tǒng)的安全性，可信性和可用性等。DRM Ecosystem中多方安全策略的博弈論分析，為數(shù)字內容/服務提供商理性地、有效

66、地選取和部署安全策略，提供了理論基礎，對數(shù)字內容產(chǎn)業(yè)也將具有較好的應用價值。,DRM基本安全需求,數(shù)字內容通常采用密碼學技術進行加密保護, 用戶通過推模式（Push）/拉模式（Pull）獲得加密的數(shù)字內容。DRM應用需要內容使用控制機制，包括細粒度的權利定義、表達和解釋執(zhí)行等。許可的執(zhí)行需要一個封閉或安全的終端環(huán)境。在一般DRM系統(tǒng)中, 內容提供商和數(shù)字權利/服務提供商通常分別提供數(shù)字內容和相應的使用許可, 因此兩者之間必須確保內容

67、加密密鑰的安全傳輸。通常采用數(shù)字水印技術將一段數(shù)據(jù)隱藏嵌入到數(shù)字內容中，用于實現(xiàn)版權追查和盜版起訴。數(shù)字內容的安全性對開放終端設備的安全性有這同樣重要的影響。,DRM基本信任需求,內容提供商需要信任購買者只有獲得數(shù)字內容的加密密鑰才能訪問數(shù)字內容; 用戶需要信任內容是安全、可靠的。數(shù)字權利/服務提供方必須確保/信任使用許可在用戶終端設備上可靠執(zhí)行, 即用戶端存在一個可信的終端環(huán)境。在DRM系統(tǒng)中，內容提供商和數(shù)字權利提供方之

68、間需要一種信任關系，基于這種信任關系可以實現(xiàn)他們和用戶間使用許可的協(xié)商。,DRM技術路線,安全技術相關兩個研究路線：預防性對策：基于密碼學理論、權利描述語言(REL)、使用控制（UCON）、用于設備間內容共享的授權域等。反應性對策：基于數(shù)字水印技術、叛逆者追蹤的侵權追查。近期，DRM系統(tǒng)信任問題的研究：OMA 提出了DRM信任模型， CMLA對此提出了一個面向DRM的 PKI 體系，用于實現(xiàn)大規(guī)模的數(shù)字內容可信分發(fā)。Arna