电子商务基础2

七、 电子商务的主要功能是什么电子商务可提供网上交易和管理全过程交易，因此它具有广告宣传、业务洽谈、网上支付、网上订购、电子账户、服务传递、意见征询、交易管理等各项功能。（1）广告宣传　　电子商务可凭借企业的Web服务器和客户的浏览，在Internet上发播各类商业信息。客户可借助网上的检索工具（Search）迅速地找到所需商品信息，而商家可利用网上主页(HomePage)和电子邮件(E-mail)在全球范围内作广告宣传。与以往的各类广告相比，网上的广告成本最为低廉，而给顾客的信息量却最为丰富。　　（2）咨询洽谈　　　电子商务可借助非实时的电子邮件(E-mail)，新闻组（NewsGroup）和实时的讨论组(chat)来了解市场和商品信息、洽谈交易事务，如有进一步的需求，还可用网上的白板会议(WhiteboardConference)来交流即时的图形信息。网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种方便的异地交谈形式。　　（3）网上订购　　电子商务可借助Web中的邮件交互传送实现网上的订购。网上的订购通常都是在产品介绍的页面上提供十分友好的订购提示信息和订购交互格式框。当客户填完订购单后，通常系统会回复确认信息单来保证订购信息的收悉。订购信息也可采用加密的方式使客户和商家的商业信息不会泄漏。　　（4）网上支付　　电子商务要成为一个完整的过程。网上支付是重要的环节。客户和商家之间可采用信用卡帐号进行支付。在网上直接采用电子支付手段将可省略交易中很多人员的开销。网上支付将需要更为可靠的信息传输安全性控制以防止欺骗、窃听、冒用等非法行为。　　（5）电子帐户　　　网上的支付必需要有电子金融来支持，即银行或信用卡公司及保险公司等金融单位要为金融服务提供网上操作的服务。而电子帐户管理是其基本的组成部分。　　（6）服务传递　　对于已付了款的客户应将其订购的货物尽快地传递到他们的手中。而有些货物在本地，有些货物在异地，电子邮件将能在网络中进行物流的调配。而最适合在网上直接传递的货物是信息产品　　（7）意见征询　　电子商务能十分方便地采用网页上的“选择”、“填空”等格式文件来收集用户对销售服务的反馈意见。这样使企业的市场运营能形成一个封闭的回路。客户的反馈意见不仅能提高售后服务的水平，更使企业获得改进产品、发现市场的商业机会。　　（8）交易管理整个交易的管理将涉及到人、财、物多个方面，企业和企业、企业和客户及企业内部等各方面的协调和管理。因此，交易管理是涉及商务活动全过程的管理。八、 电子商务安全协议处理分析：SSL(安全套接层协议)：安全套接层协议，英文全称为Secure Socket Layer 为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络　　上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全　　标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。　　当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。　　SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。　　SSL协议提供的服务主要有：　　1）认证用户和服务器，确保数据发送到正确的客户机和服务器；　　2）加密数据以防止数据中途被窃取；　　3）维护数据的完整性，确保数据在传输过程中不被改变。　　SSL协议的工作流程：　　服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。　　用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。　　从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。　　https介绍HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议　　它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。。https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。　　它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。　　限制　　它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.　　一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。　商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。SET(安全电子交易协议):安全电子交易协议 (Secure Electronic Transaction,简称SET协议)　　安全电子交易协议SET（Secure ElectronicTransaction）是基于信用卡在线支付的电于商务安全协议，它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET通过制定标准和采用各种密码技术手段，解决了当时困扰电子商务发展的安全问题。目前它已经获得IETF标准的认可，已经成为事实上的工业标准。　　SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。　　目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。　　SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。　　SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。　　SET协议采用公钥密码体制和X。509数字证书标准，提供了消费者，商家和银行之间的认证，确保了交易数据的机密性，真实性，完整性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。　　SET要达到的最主要目标是:　　(1)信息在公共因特网上安全传输　　(2)订单信息和个人账号信息隔离　　(3)持卡人和商家相互认证　　SET协议涉及的当事人包括持卡人，发卡机构，商家，银行以及支付网关。　　SET协议的购物流程：　　(1)持卡人通过浏览器从商家网站选择要购买的商品，填写订单。选择付款方式，此时SET开始介入。持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在SET中，订单和付款指令由持卡人进行数字签名，同时，利用双重签名技术保证商家看不到持卡人的账号信息。　　(2)商家接受订单，通过支付网关向持卡人的金融机构请求支付认可。　　(3)在银行和发卡机构确认和批准交易后，支付网关给商家返回确认信息。　　(4)商家通过网络给顾客发送订单确认信息，为顾客配送货物，完成订购服务。客户端软件可记录交易日志，以备将来查询。　　(5)商家请求银行将钱从购物者的账号转移到商家账号。　　SET交易的安全性：　　(1) 信息的机密性:SET系统中，敏感信息(如持卡人的帐户和支付信息)是加密传送的，不会被未经许可的一方访问。　　(2) 数据的完整性:通过数字签名，保证在传送者和接收者传送消息期间，消息的内容不会被修改。　　(3) 身份的验证:通过使用证书和数字签名，可为交易各方提供认证对方身份的依据，即保证信息的真实性。　　(4) 交易的不可否认性:通过使用数字签名，可以防止交易中的一方抵赖已发生的交易。　　(5) 互操作性:通过使用特定的协议和消息格式，SET系统可提供在不同的软硬件平台操作的同等能力。