电子商务安全与支付概述

1、第1章 电子商务安全与支付概述电子商务安全与电子支付主讲：黄向电话-mail：中国的电子商务正处于蓬勃发展期，电子商务应用已经进入企业生产与流通的各个领域。企业仍然是电子商务的主要推动者。企业的电子商务应用主要集中在信息发布及获得等方面，极少涉及到采购与结算等关键的商务环节，而且应用范围也是内贸多于外贸。相对而言，大城市及东部沿海地区企业电子商务应用及电子商务环境明显高于内陆地区。电子商务作为一种全新的商务形式，为全球客户提供了更简捷的交易方法和更低廉的交易成本。然而，安全问题仍然是阻碍其发展的最大障碍。1999年7月，当中国互联网络中心第一次对热点问题“用户认为目前

2、网上购物最大的问题”进行问卷调查时，30%的网民认为安全性是网上购物的最大问题，七年后，即2006年7月的调查显示，网民不进行网上交易的原因中，担心交易安全性得不到保障的仍然高达61.5%。很明显，网上交易的安全问题是电子商务发展中不容忽视的问题。交易安全保障是保证现代经济正常运作的重要基础和支点。现阶段电子商务之所以推广有困难，关键问题是电子支付安全问题没有得到很好地解决。电子支付风险的有效控制，将会从根本上扭转这种状况。1.1 电子商务基础1.2 电子商务的基本特征1.3 电子商务安全技术及应用1.4 电子商务的电子支付1.5 电子商务安全体系架构1.1 电子商务及其发展什么是电子商务?电

3、子商务：以电子及电子技术为手段，以商务为核心，把原来传统的销售，购物渠道移到互联网上来，打破国家与地区有形无形的壁垒，使生产企业达到全球化，网络化，无形化，个性化。通俗定义：电子商务是指利用简单、快捷、低成本的电子通信方式，买卖双方不谋面地进行的各种商业和贸易活动。电子商务的核心与基础1、核心内容：商务活动2、基础：信息网络技术的使用广义的电子商务定义为：电子工具在商务活动中的应用。广义电子工具指：电报、电话、广播、电视、传真、计算机、计算机网络、Internet等商务活动是指从泛商品的需求活动到泛商品的合理、合法的供给的所有活动商品指实物与非实物、商品与商品化的生产要素（包括劳动力、资本、科

4、技、信息）。狭义电子商务定义为：电子商务是在技术、经济高度发达的现代社会里，由掌握信息技术和商务规则的人，系统化地运用网络手段和电子工具，高效率、低成本地从事以商品交换为中心的各种活动的总称。狭义电子商务定义为，主要利用Internet从事商务或活动。 这个分析突出了电子商务的前提、中心、重点、目的和标准，指出它应达到的水平和效果，它是对电子商务更严格和体现时代要求的定义。 从宏观上讲，电子商务是计算机网络的又一次革命（不亚于蒸汽机），是通过电子手段建立一种新的经济秩序，它不仅涉及电子技术和商业交易本身，而且涉及到诸如金融、税务、教育等社会其他层面。从微观角度说，电子商务是指各种具有商业活动能

5、力的实体(生产企业、商贸企业、金融机构、政府机构、个人消费者等)利用网络和先进的数字化传媒技术进行的各项商业贸易活动。 二、电子商务的特征普遍性： 电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地；方便性： 在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商务活动，如通过网络银行能够全天侯地存取资金帐户、查询信息等，同时使得企业对客户的服务质量可以大大提高；整体性： 电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用，也可以提高系统运行的严

6、密性；安全性： 在电子商务中，安全性是一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同；协调性： 商务活动本身是一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调，在电子商务环境中，它更要求银行、配送中心、通讯部门、技术服务等多个部门的通力协作，往往电子商务的全过程是一气呵成的。 电子商务的其他特征：国际性、科技性、复杂性 与传统商务形式相比，电子商务有以下几个特点：（1）市场全球化。凡是能够上网的人，无论是在南非上网还是在北美上网，都将被包容在一个市场中，有可能

7、成为上网企业的客户。（2）交易的快捷化。电子商务能在世界各地瞬间完成传递与计算机自动处理，而且无须人员干预，加快了交易速度。（3）交易虚拟化。通过以互联网为代表的计算机互联网络进行的贸易，双方从开始洽谈、签约到订货、支付等，无须当面进行，均通过计算机互联网络完成，整个交易完全虚拟化。（4）成本低廉化。由于通过网络进行商务活动，信息成本低，足不出户，可节省交通费，且减少了中介费用，因此整个活动成本大大降低。（5）交易透明化。电子商务中的双方的洽谈、签约，以及货款的支付、交货的通知等整个交易过程都在电子屏幕上显示，因此显得比较透明。（6）交易标准化。电子商务的操作要求按统一的标准进行。（7）交易连

8、续化。国际互联网的网页，可以实现24小时的服务。任何人都可以在任何时候向网上企业查询信息，寻找问题的答案。企业的网址成为永久性的地址，为全球的用户提供不间断的信息源。三、电子商务的交易模式电子商务交易是指在网络平台上直接进行的在线交易，利用数字化技术将企业与企业、企业与消费者或消费者之间有机连接起来，实现从浏览、洽谈、签约、付款到交货等全部或部分业务的自动化处理。根据参与交易的对象将电子商务交易模式分为以下类型： 企业对企业、企业对消费者、消费者对消费者、政府对企业等C2CB2CC2GB2GB2M消费者政府企业销售者B2BM2C 电子商务按照交易参与主体的标准可以分为下列模式：企业对企业(Bu

9、siness to Business，B2B)企业对消费者(Business to Customer，B2C) 企业对政府(Business to Government，B2G) 消费者对政府(Customer to Government，C2G) 消费者对消费者(Customer to Customer，C2C)企业对销售者(Business to Manager ,B2M)销售者对消费者(Manager to Customer，M2C)(1) B2B(Business to Business) 有时写作B to B，但为了简便干脆用其谐音B2B(2即to)。即企业与企业之间通过互联网进行产

10、品、服务及信息的交换，发布供求信息，订货及确认订货，货款支付及票据的签发、传送和接收，确定配送方案并监控配送商务交易的过程。国内B2B类电子商务的典型：阿里巴巴（传统型）、慧聪（传统型）、金银岛（纯电子商务模式）、买麦网（后起新秀，声称融合了阿里巴巴和慧聪的模式）、中国制造网等。 (2) B2C(Business to Customer)B2C模式是我国最早产生的电子商务模式，以8848网上商城正式运营为标志。B2C即企业通过互联网为消费者提供一个新型的购物环境网上商店，消费者通过网络在网上购物、在网上支付。由于这种模式节省了客户和企业的时间和空间，大大提高了交易效率，特别对于工作忙碌的上班族

11、，这种模式可以为其节省宝贵的时间。 (3) C2C(Consumer To Consumer)C2C同B2B、B2C一样，都是电子商务的几种模式之一。不同的是C2C是用户对用户的模式，C2C商务平台就是通过为买卖双方提供一个在线交易平台，使卖方可以主动提供商品上网拍卖，而买方可以自行选择商品进行竞价。 国内C2C的典型代表：易趣、eBay、淘宝、一拍等。(4) B2M (Business to Manager)B2M是相对于B2B、B2C、C2C的电子商务模式而言，是一种全新的电子商务模式。而这种电子商务相对于以上三种有着本质的不同，其根本的区别在于目标客户群的性质不同，前三者的目标客户群都是

12、作为一种消费者的身份出现，而B2M所针对的客户群是该企业或者该产品的销售者或者为其工作者，而不是最终消费者。企业通过网络平台发布该企业的产品或者服务，职业经理人通过网络获取该企业的产品或者服务信息，并且为该企业提供产品销售或者提供企业服务，企业通过经理人的服务达到销售产品或者获得服务的目的。职业经理人通过为企业提供服务而获取佣金。 (5) B2G (Business to Government)包括政府采购、税收、商检、管理规则发布等在内的、政府与企业之间的各项事务都可以涵盖在其中。例如，政府的采购清单可以通过互联网发布，公司以电子的方式回应。政府在这里有两重角色：既是电子商务的使用者，进行购

13、买活动，属商业行为人。又是电子商务的宏观管理者，对电子商务起着扶持和规范的作用。在发达国家，发展电子商务往往主要依靠私营企业的参与和投资，政府只起引导作用。与发达国家相比，发展中国家企业规模偏小，信息技术落后，债务偿还能力低，政府的参与有助于引进技术、扩大企业规模和提高企业偿还债务的能力。 B2B电子商务模式 B2B电子商务模式，是企业与企业之间的电子商务。目前应用较为广泛的模式主要有：电子交易市场、电子分销商、B2B服务提供商以及信息中介等。电子交易市场分为综合性（水平型）电子交易市场和垂直型电子交易市场。综合性电子交易市场又称水平市场，主要针对较大范围的企业来进行销售产品和服务。如：慧聪网

14、、买卖网、阿里巴巴垂直型电子交易市场 主要针对待定的行业，如钢铁、汽车、化学或者物流配送等，这些行业多为生产资料性行业，成交量大、专业性强。如：中国纺织网、中国化工网B2B商业模式特点业务流程 交易过程1：买方（客户方）向卖方（供货方）提出商品报价请示，即发出购买的商品信息2：卖方向买方提供商品的报价，即发出该商品的报价信息3：买方向卖方提出商品订购单，说明初步购买的商品信息4：卖方对买方提出的商品订购应答、说明商品有无及规格型号、品种、质量等信息5：买方根据应答提出是否对订购单有变更请示，说明最后确定的购买的商品信息6：买方向卖方提出商品运输说明、发出运输工具、交货地点等信息7：买方向卖方发

15、回收货通知，报告收货信息8：买卖双方收发汇款通知，买方发出汇款通知，卖方报告收款信息。9：卖方收到货款向买方出具电子发票，买方收到商品，完成全部交易B2C电子商务模式B2C电子商务模式，是企业通过网络针对个体消费者，实现价值创造的商业模式，是目前电子商务发展最为成熟的商业模式之一。 B2C商业模式特点业务流程 C2C电子商务模式 C2C商业模式特点：（1）较低的交易成本: C2C电子商务采用了基于开放式的标准上的互联网通信通道,与传统的商务活动的通信方式相比,大大降低了通信费用.（2）经营规模不受限制: C2C电子商务利用互联网提供的虚拟经营环境,可以轻易地通过增加网页来扩大其经营规模.（3）

16、便捷的信息搜集: C2C电子商务应用基于互联网的电子信息技术,使得买卖双方很容易获知对方信息.（4）加大的销售范围和销售力度: C2C电子商务是基于互联网的商业模式,所面对的客户遍布全国,甚至整个世界,扩大了销售范围.C2C模式即消费者通过网络与消费者之间进行相互的个人交易，如个人拍卖。它为买卖双方提供了一个在线交易平台。业务流程卖家流程买家流程四、电子商务交易流程交易前的准备协商和签订合同结算付款和索赔总结电子商务的交易过程 第一个阶段是信息交流阶段： 对于商家来说，此阶段为发布信息阶段。主要是选择自己的优秀商品，精心组织自己的商品信息，建立自己的网页，然后加入名气较大、影响力较强、点击率较

17、高的著名网站中，让尽可能多的人们了解你认识你。对于买方来说，此阶段是去网上寻找商品以及商品信息的阶段。主要是根据自己的需要，上网查找自己所需的信息和商品，并选择信誉好服务好价格低廉的商家。第二阶段是签定商品合同阶段： 作为B2B（商家对商家）来说，这一阶段是签定合同、完成必需的商贸票据的交换过程。要注意的是：数据的准确性、可靠性、不可更改性等复杂的问题。作为B2C（商家对个人客户）来说，这一阶段是完成购物过程的定单签定过程，顾客要将你选好的商品、自己的联系信息、送货的方式、付款的方法等在网上签好后提交给商家，商家在收到定单后应发来邮件或电话核实上述内容。第三阶段是按照合同进行商品交接、资金结算

18、、索赔阶段： 这一阶段是整个商品交易很关键的阶段，不仅要涉及到资金在网上的正确、安全到位，同时也要涉及到商品配送的准确、按时到位。在这个阶段有银行业、配送系统的介入，在技术上、法律上、标准上等等方面有更高的要求。网上交易的成功与否就在这个阶段。 为保证交易过程中的安全，需要有一个认证机构对参与网络交易的各方进行认证，以确认他们的真实身份。第二节 电子商务安全威胁和需求技术威胁信息的截获和窃取 信息的篡改 信息假冒 信息的中断网络安全面临的威胁病毒 木马黑客一、电子商务存在的安全威胁信息的截获和窃取 如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装

19、截收装置或在数据包通过的网关和路由器时截获数据等方式，获取输的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行帐号、密码以及企业的商业机密等。 信息的篡改 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面： (1)篡改-改变信息流的次序，更改信息的内容，如购买商品的出货地址；(2)删除-删除某个消息或消息的某些部分；(3)插入-在消息中插入一些信息，让收方读不懂或接收错误的信息。 信息假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用

20、户或发送假冒信息来欺骗其他用户，主要有两种方式： （1）伪造电子邮件：虚开网站和商店，给用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。 （2）假冒他人身份：如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。交易抵赖 交易抵赖包括多个方面： (1)发信者事后否认曾经发送过某条消息或内容； (2)收信者事后否认曾

21、经收到过某条消息或内容； (3)购买者做了订货单不承认； (4)商家卖出的商品因价格差而不承认原有的交易。 1物理实体引发的安全问题（1）设备的功能失常。（2）电源故障。（3）由于电磁泄漏引起的信息失密。（4）搭线窃听。2自然灾害的威胁网络安全面临的威胁计算机网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁软件的后门、漏洞蠕虫病毒蠕虫病毒蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。黑客攻击网页篡改耐克网站被黑客篡改黑客攻击僵尸网络僵尸网络也称为BotNet。Bo

22、t是robot的简写，通常是指可以自动地执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。网络仿冒真招行： 域名： 1. Cookie 2. CGI（运行在服务器上一段程序）3. Java4. 自由软件5. 电子邮件6. 微软7. 认证和授权8. Linux9. ICP（网络内容服务商 ）10. 网络管理员网络安全的十大不稳定因素互联网存在的六大问题无主管的自由王国 （有害信息、非法联络、违规行为）不设防的网络空间 （国家安全、企业利益、个人隐私）法律约束脆弱 （黑客犯罪、知识侵权、避税）跨国协调困难 （过境信息控制、跨国黑客打击、关税）民族化和国际化的冲突 （文化传统、价值观

23、、语言文字）网络资源紧缺（IP地址、域名、带宽）中国电子商务面临的安全威胁 国内几乎所有的计算机主机、网络交换机、路由器和网络操作系统都来自国外。 进入我国的电子商务和网络安全产品均只能提供较短密钥长度的弱加密算法。先天原因网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。后天原因管理美国90%的IT企业对黑客的攻击准备不足。人黑客攻击技术软件漏洞、后门触发电子商务安全问题的原因a. 授权合法性:安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。b不可抵赖性:信息的发送方不能抵赖曾经发送的信息、不能否认自己的行为。c保密

24、性:信息发送和接收是在安全的通道进行，保证通信双方的信息保密。交易的参与方在信息交换过程中没有被窃听的危险。非参与方不能获取交易的信息。d身份的真实性:交易方的身份不能被假冒或伪装、可以有效鉴别确定交易方的身份。e信息的完整性:信息接收方可以验证收到的信息是否完整一致,是否被人篡改。f. 信息安全性:存储在介质上的信息的正确性应当得到保证 电子商务对安全的基本要求 电子商务系统既不是单纯的商务系统，也不是简简单单的计算机网络系统，而是建立在计算机网络系统之上的商务系统。 既然电子商务系统是建立在计算机系统之上的商务系统，从逻辑上看可以分成底层的物理系统和上层的业务逻辑系统，那么，电子商务系统的

25、安全措施也相应地分成两个层次，一个是保障底层的物理系统，也就是计算机网络系统的安全；另一个是保障上层业务逻辑系统的安全，也就是保证商务活动在网上的顺利开展。二、电子商务安全体系结构电子交易安全计算机网络安全 电子商务是通过网络实现的，计算机网络系统中的实体也就是各种各样的计算机和连接它们的通信设备。 (1)Internet应用服务的服务器(2)客户机(3)通信连接设备 除了实体安全之外，数据安全也至关重要。 在计算机网络系统中，数据的安全一方面是存储安全，另一方面也包括数据在传输过程中的安全，即通信安全。三、计算机网络系统的安全性信息的保密性：这是指信息在存储、传输和处理过程中，不被他人窃取。

26、这需要对交换的信息实施加密保护，使得第三者无法读懂电文。信息的完整性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。四、电子交易的安全性信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。 在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。第三节 电子商务安全技术及应用一

27、、基本安全技术概述1、网络安全技术虚拟专用网（VPN）通过总部网络防火墙和远程用户的计算机或分公司的网络防火墙两边进行了设置，两者之间以隧道协议加密的方式通过Internet来传递数据，好象是在Internet上建立了一个安全的隧道，我们称之为虚拟专用网（VPN）。 VPN示意图 远程工作者远程办公室Internet防火墙公司总部加密的基本概念加密与解密所谓加密就是通过密码算术对数据（明文）进行转化，使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。解密是加密的逆过程。2、加密技术算法和密钥 算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的

28、结合，产生不可理解的密文的步骤，密钥是用来控制对数据进行编码和解码方法的参数。 加密的类型对称加密非对称加密对称密钥加密对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。 非对称加密体制非对称加密体制又称为双钥密钥体制或公开密钥体制。在该体制中，加密密钥（又称公开密钥）PK是对外公开的，加密算法E和解密算法D也是公开的，但解密密钥（又称秘密密钥）SK是保密的。虽然SK是由PK决定的，但却不能根据PK计算出SK。公开密钥算法具有以下特点用加密密钥PK对明文X加密后，再用解密密钥SK解密即得明文；加密密钥不能用来解密；在计算机上可以容易地产生成对的

29、PK和SK，但从已知的PK不可能推导出SK。3、公钥基础设施PKI 公钥基础设施PKI是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，以实现电子交易安全的技术和规范。 PKI是由加拿大的Entrust公司开发的，支持SET协议、SSL协议、电子证书和数字签名等。PKI协议的组成（1）认证机构 CA证书的签发机构，是PKI的核心。（2）证书库 证书的集中存放地，是网上的一种公共信息库。（3）密钥生成和管理系统（4）证书管理系统 负责证书的获取、证书的鉴别、证书的有效性检查、证书的撤销作废等。（5）PKI应用接口系统 PKI应用接口应

30、该是跨平台的。PKI协议的功能和运用 公钥的两种用途：验证数字签名（签名密钥对）、加密信息（加密密钥对）。（1）签名密钥对（私钥加密、公钥解密） 签名密钥对在使用时，接收者接收到数据后，使用私钥对其签名并通过网络传输给发送者，发送者使用公钥解开签名，由于私钥具有唯一性，可以证实此签名信息确实是由接收者发出的。（2）加密密钥对（公钥加密、私钥解密） 加密密钥对在使用时，发送者欲将加密数据发送给接收者，首先要获得接收者的公开密钥，并用此密钥加密要发送的数据，即可发送，接收者在收到数据后，只需用自己的私钥就可将数据解密。二、电子商务的相关安全标准安全超文本传输协议（S-HTTP）安全套接层协议（SS

31、L）安全电子交易协议（SET）1）S-HTTP安全协议 HTTPS是以安全为目标的HTTP通道，是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http体系。用于安全的HTTP数据传输。 2）安全套接层协议SSL 安全套接层协议（Secure Sockets Layer），是由网景公司设计开发的，主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议。功能：采用公开密钥技术，为两台计算机提供安全通信信道，对整个会话进行加密。 （1

32、）鉴别客户端和服务器； （2）鉴别数据完整性和保密性； （3）通信记录私密性确认性可靠性 实现SSL协议的是HTTP的安全版，名为HTTPS。建立SSL安全连接的过程 在eCoin上在登陆（Login）用户名时即进入SSL安全连接。这时浏览器发出安全警报，开始建立安全连接。同时验证安全证书，用户单击“确定”键即进入安全连接。 浏览器开始建立安全连接 浏览器验证服务器安全证书在eCoin上的安全连接已经建立，浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。 当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。离开交换敏感信息的页面，浏览器自

33、动断开安全连接SSL协议的缺点：客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。 3）安全电子交易协议SET 为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易协议。双重签名支付网关数字证书主要用来支持BtoC双重签名在网上购物过程中，客户需要发送订购信息给商户，发送支付信息给银行，这两条信息是相关联的，说明该项支付仅为该订单付款。

34、出于保密的需要，商户不需要知道客户的银行卡号码，银行不需要知道客户的订单细节。则客户用银行的公开密钥加密银行卡号码，用商户的公开密钥加密订购信息。支付网关支付网关是互联网和金融专用网（银行卡支付网络）之间的接口，也是金融专用网的安全屏障。支付网关的基本功能：交易管理；证书管理；密钥管理；加密服务；翻译服务；应用管理。第四节 电子商务中的电子支付在电子商务活动中，电子支付是必不可少的组成部分。所谓电子支付，是指电子交易的当事人，包括消费者、商家和金融机构以商业电子化设备和各类交易卡为媒介，以计算机和通信技术为手段，以二进制0、1为存储形式，通过计算机网络系统进行的货币支付或资金流转。与传统的支付

35、方式相比，电子支付具有以下特征： 电子支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的；而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体是流转来完成款项支付的。 电子支付的工作环境是基于一个开放的系统平台（即因特网）之中；而传统支付则是在较为封闭的系统中运作。 电子支付使用的是最先进的通信手段，如因特网、Extranet；而传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其它一些配套设施；而传统支付则没有这么高的要求。 电子支付具有方便、快捷、高效、经济的优势。用户只要拥

36、有一台上网的PC机，便可足不出户，在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。 电子支付的业务类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。1、网上支付网上支付是电子支付的一种形式。广义地讲，网上支付是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此电子商务服务和其它服务提供金融支持。电子支付类型2、电话支付电话支付是电子支付的一种线下实现形式，是指消费者使用电话（固定

37、电话、手机、小灵通）或其他类似电话的终端设备，通过银行系统就能从个人银行账户里直接完成付款的方式。 3、移动支付移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等。 第五节 电子商务安全体系架构三种因素人过程技术四个环节保护监控响应恢复电子商务安全涉及的三种因素：人问题：员工泄漏系统密码、员工人为对系统的恶意攻击。过程问题：不规范行为的发生技术问题：安全漏洞、“后门”电子商务安全架构可以概括为一句话“一个中心，四个基本点”。一个中心就是以安全管理为中心，四个基本点是保护、监控、响应和恢复。 1. 安全管理 安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督，安全策略的制定、实施、评估和修改，以及对人员的安全意识的培训、教育等。 2. 保护 保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。 这种保护可以称作静态保护，它通常是指一些基本防护，不具有实时性。 如在制定的安全策略中有一条，不允许外部网用户访问内部网的Web服务器，因此我们就可以在防火墙的规则中加入一条，禁止所有从外部网用户到内部网Web服务器的连接请求，这样一旦这