第2章_电子商务解决方案的技术基础

第二章电子商务解决方案的技术基础知识要点：了解WEB设计的主流技术；掌握数据库设计技术；理解电子商务的安全性；了解电子商务的支付模式。第二章电子商务解决方案的技术基础电子商务系统是一个以INTERNET、WEB、数据库、信息处理技术和商务活动为基础，集订货、发货、商检、海关、运输、保险、银行结算为一体的综合商务信息处理系统，是由电子商务活动而引出的基于互联网的一个信息系统分支。从技术构成上看，现阶段电子商务在互联网及信息处理方面主要采用WEB技术，主要以WEBB/S为系统结构，涉及HTTP协议、HTML语言、XML语言、JAVA语言、JAVASCRIPT语言、CGI编程技术、ASP动态网页技术、WEB数据库技术、数据仓库技术、信息安全和加密技术，以及图像、动画、虚拟现实等多媒体技术。2.1电子商务的网络技术2.1.1Internet基础1.Internet的发展历史2.Internet的主要服务远程登录文件传输万维网电子邮件新闻组和BBS3.Internet协议（1）TCP/IP体系结构链路层、网间层、传输层、应用层（2）TCP/IP数据传输过程2.1.2TCP相关协议1）、TCP协议2）、TCP服务模型TCP服务由发方和收方创建的套接口来实现。3）、TCP的连接管理4）、UDP协议2.1.3IP地址2.1.4DNSDNS是一个基于域的层次型命名体系，并由分布式数据系统来实现这种命名。DNS域名系统名字服务器：本地域名服务器、根域名服务器、授权域名服务器。2.2WEB技术2.2.1WEB概述1.WEB技术结构2.WEB主要特点：是一种超文本信息系统，与平台无关，分布式，动态交互。3.WEB服务器向浏览器提供服务的过程4.WEB常用的应用服务器(1)MicrosoftIIS(2)IBMWebSphere(3)OracleInternetApplicationServer(4)SybaseEnterpriseApplicationServer2.2.2HTTP协议1.HTTP概述是应用层协议，采服B/S结构，基于文本的简单协议，安全性存在问题。2.HTTP的工作原理分四个步骤：浏览器与服务器建立连接，浏览器向服务器提出请求，如果请求被接收则服务器送回响应、在响应中包括状态码和所需的文件，浏览器与服务器断开连接。3.S-HTTP与SSL2.2.3URL位址完整的URL位址由以下几个方面信息组成：协议名称、域名、通信端口、目录名称、参数。#URL的通用格式2.2.4动态网页与静态网页纯HTML网页。ASP、JSP、PHP等。动态网页中的程序分为服务器端执行和客户浏览器端执行两种。2.3XML技术2.3.1XML扩展标记语言1.XML是一种标记语言2.XML是一种语义/结构化标记语言2.3.2XML特征1.XML特点:特殊的域标记语言，数据格式，数据交换，结构化数据，严格的语法。2.XML与HTML的对照2.3.3XML的基本结构XML文件的基本构成如下：XML声明处理指示（可选）XML元素1.XML声明1）声明格式：?开始，?结束2）XML声明中要求必须指定“Version”的属性值。2.XML元素1）字符数据2）标记：大小写有所区分，要有明确的结束标记，标记要正确嵌套，标记命名要合法，有效使用属性3.CDATA4.注释5.处理指示2.3.4DTD建立DTD，DTD构成。2.3.5使用ASP文件生成XML文档2.3.6XML与EDI2.3.7J2EE1.J2EE架构简介2.采用J2EE技术的业务分析3.采用J2EE技术架构的优势2.3.8供应链集成1.系统结构2.制造商服务3.供应商服务2.4WEB数据库开发技术2.4.1WEB数据库开发一般技术用数据库管理数据的特点：数据集中统一管理，数据高度共享，数据的冗余度小，具有较高的数据独立性，统一的数据控制功能。1.数据模型：层次，网状，关系。2.关系数据库：数据结构、关系操作、关系完整性。规范化的目的：保证数据库中每一分量都不可分，消除冗余存储，消除插入异常和删除异常。3.SQL结构化查询语言4.数据库系统的一般设计方法需求分析、系统设计、系统实现、系统测试及系统维护等阶段。其中最重要的是设计、建立高效的数据库和设计、建立数据库管理系统。5.WEB与数据库存储管理各种商务数据，基于数据库的商务应用系统，决策支持。对数据库的操作可以有两种方式实现：一是通过数据库自身提供的专用驱动接口来进行，二是通过公用数据操作接口进行。2.4.2NTWEB平台的数据库处理技术1、WEB数据库的技术回顾2、数据库技术是电子商务的基础3、数据库技术的WEB站点实例2.5WEB应用系统设计技术2.5.1ASP特点：简单易学。安装使用方便。开发工具强大而多样。对机器要求不高。弱点：安全性和健壮性不足。处理能力受到制约。目前只能运行在MS平台上。2.5.2PHPPHP最初是为了实现在多种操作系统下快速设计一个小型WEB应用系统的目的而提出的。PHP在GNU中找到了一个理想的伙伴----APACHEWEB服务器。优点：易于学习、跨平台、有良好的数据库交互处理能力。与APACHE及其扩展库紧密结合。良好的安全性。弱点：数据库访问接口不统一。安装复杂。缺少企业级的支持。缺少正规的商业支持。2.5.3JSPJSP是由SUN公司倡导许多公司参与一起建立的一种动态网页技术标准。实际上JSP就是JAVA，只不过加入了一个特殊的引擎。特点：平台无关性。程序执行效率高。具有JAVA优势。支持服务器端组件。支持数据库访问。弱点：需要更多的内存和额外的硬盘空间。在简单易学方面存在不足。2.5.4ASP与JSP的比较：(1)平台和服务器的独立性(2)开发过程的开放程度(3)组件技术的使用2.6电子商务网络体系结构2.6.1电子商务服务要求1.高可用性2.伸缩性3.安全性2.6.2电子商务网络构建模块1.地理负载平衡器2.边界路由器3.内容缓存4.多层交换机5.服务器负载平衡器6.WEB服务器7.状态判断防火墙8.数据库服务器2.6.3电子商务体系结构1.单站点电子商务体系结构2.多站点电子商务体系结构3.实验室环境下实施的Cisco和Microsoft商务(1)CiscoDistributedDirector(2)CiscoIOS高性能边界路由器(3)Cisco缓存引擎(4)CiscoCatalyst多层交换机(5)CiscoLocalDirector(6)MicrosoftWindows2000AdvancedServer(7)MicrosoftInternetInformationServices5.0(8)CiscoSecurePIX防火墙(9)MicorsoftSQLServer72.6.4电子商务网络安全解决方案网络安全解决方案主要由安全管理子系统、安全网关子系统、网络设备子系统和用户接入管理4部分组成。2.7电子商务解决方案的安全技术2.7.1电子商务解决方案存在的安全隐患1.商用软件解决方案本身的安全漏洞：WINDOWS的系统漏洞。UNIX/LINUX的系统漏洞。其他商用软件的漏洞。2.硬件设备本身的漏洞3.自行开发的电子商务软件存在的安全漏洞4.参与系统设计与建设的技术人员带来的安全隐患5.网络黑客等违法分子造成的安全隐患2.7.2黑客手段对电子商务系统的危害与对策1.黑客攻击的主要方法：拒绝服务攻击与分布式拒绝服务攻击。缓冲区溢出攻击。网络监听攻击。2.黑客手段对电子商务系统的危害篡改网页内容。窃取商业数据和个人账户资料。恶意破坏网站。窃取程序文件侵犯知识产权。打击竞争对手。3.防御黑客入侵的措施授权认证。数据加密和信息传输加密。防火墙。2.7.3防火墙技术及产品的选择1.防火墙的几种类型：包过滤型防火墙。代理服务型防火墙。复合型防火墙。2.防火墙产品的选择规划防火墙建设方案的主要原则有：禁止一切未明确允许的服务。只要适当修改规则就可以适应新的服务和需求。包过滤模块的语言要灵活，易于编程。对于需要的服务要加相应的代理服务。对于拔入用户集中管理。几款主要的防火墙：CISCO系列防火墙。INTEL的VPNGATEWAY。NAI的防火墙。2.7.4电子商务的安全认证技术1.安全认证电子商务安全要求包括四个方面：数据传输的安全性。数据的完整性。身份验证。交易的不可抵赖性。2.安全技术电子商务采用以下几种技术来解决应用中遇到的各种问题：采用数字信封技术保证数据的传输安全。采用数字签名和双重数字签名技术进行身份认证并同时保证数据的完整性、完成交易防抵赖。采用口令字技术或公开密钥技术进行身份认证。3.身份认证技术身份认证是指对电子商务业务参与者的认证。分为两类：一类是口令认证方式，另一类是数字签名认证方式和挑战响应认证方式。（1）加密：秘密密钥加密，公开密钥加密，密钥的分发，密钥的保护。（2）安全的单向散列函数4、CTCA证书CTCA证书是中国电信CA体系为安全保障，由中国电信CA中心分发并签名的电子商务证书。CTCA证书是进行网上电子商务活动的安全保障。中国电信CA安全认证系统按全国CA中心、省（区、市）RA中心、地（市）证书业务受理点三级结构设置。CTCA认证系统特点：采用国际密码管理委员会认可的加密设备和算法。遵循多项国际标准。可以签发多种不同证书。支持不同形式的证书。CA的功能模块：接受用户证书申请的证书受理者（RS）、证书发放的审核部门（RA）、证书发放的操作部门（CP）。CA的层次结构：由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成，上一级CA负责一下级CA数字证书的申请、签发与管理工作。电子商务平台的电子商务证书分为服务器证书、企业证书、个人证书等三类。证书从业务上分为两大类：系统证书和用户证书。CTCA证书从安全角度分为四级：一级证书即系统证书，二级证书是由RA中心受理并审核和发放的证书。三级证书是由业务受理点审核和发放的证书，主要是企业和个人用户证书。四级证书是测试证书。2.8电子商务解决方案的网上支付技术2.8.1网上支付的概念对于网上支付，网上支付体系必须借助银行的支付工具、支付系统以及金融专用网才能最终得以实现。支付环节包括支付网关、收单行、发卡行以及金融专用网络完成。2.8.2网上支付系统的构成网上支付系统该包括网上银行系统、支付网关、CA机构等环节。支付网关是公用网和金融网之间的接口。金融专用网是银行内部及银行之间的通信网络，在我国包括国家支付系统(CNAPS)、银行电子银行系统、商行电子汇兑系统、银行卡授权系统等。认证机构则为参与的各方发放数字证书，以确认各方身份，保证网上支付的安全。信用卡支付系统采用SET协议，适合于B-C模式。电子转账系统采用FSTC协议，适合于B-B模式。2.8.3网上支付系统的功能1、使用数字签名和数字证书来实现对各方的认证2、使用加密技术对业务进行加密3、使用消息摘要算法以确认业务的完整性4、当交易双方出现岐义、纠纷时，保证业务的不可否认性5、能够处理贸易业务的多边支付问题2.8.4SET与电子商务SET是由Visa和MasterCard公司牵头，联合多家机构共同推出的基于INTERNET的卡基支付系统，是为INTERNET上进行在线交易时保证用卡支付的安全方面设立的一个开放的规范，现在已成为一个事实上的工业标准。1.SET系统的功能：信息保密性。数据的完整性。对持卡者的认证。对商家的认证。互操作性。2、SET购物流程3、与SET结合使用的加密技术：数字信封。数字签名。消息摘要。双重签名。2.8.5网上支付模式1.单纯的SSL模式：持卡人与商家之间通过SSL连接来进行通信，持卡人将订单及信用卡支付信息发送给商家。安全性不高。2.面向商家的SET模式（MOSET）面向商家的SET模式，持卡人与商家的服务器之间的通信是通过标准SSL连接进行。MOSET与SET最大的不同在于证书。优点是持卡人不必向CA申请持卡证书。不可实现不可否认。3.完全SET：所有SET成员都可以互操作，各方（包括支