免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2015年上半年 系统集成项目管理工程师 上午试卷 综合知识
  第4题      
  知识点:   电子商务   电子商务的概念   SET   安全电子交易   安全协议   电子支付
  关键词:   安全电子交易   电子商务   网络   协议   安全        章/节:   电子政务和电子商务       

 
电子商务的发展过程中,安全电子交易协议(SET:Secure Electronic Transaction)标准作为北美民间组织推行的电子支付安全协议,其针对的主要交易类型是基于(4)的网络交易。
 
 
  A.  专用电子货币
 
  B.  不记名帐号
 
  C.  虚拟货币
 
  D.  信用卡
 
 
 

 
  第4题    2016年上半年  
   38%
物流对电子商务的发展影响重大。通常认为选择物流供应商的主要因素包括(4)。
  第5题    2018年上半年  
   26%
在A公司面向传统家电制造业的网上商城技术解决方案中,重点阐述了身份认证、数字签名、防入侵方面的内容,体现了电子商务平台规范..
  第63题    2009年上半年  
   50%
电子商务系统所涉及的四种“流”中,(63)是最基本的、必不可少的。
   知识点讲解    
   · 电子商务    · 电子商务的概念    · SET    · 安全电子交易    · 安全协议    · 电子支付
 
       电子商务
               电子商务的概念
               电子商务至今尚无统一定义,根据电子商务的发展历程,其概念可分为原始电子商务和现代电子商务。
               .原始电子商务的概念
               原始电子商务指使用电子信息技术工具进行商务活动。凡使用了诸如电报、电话、广播、电视、传真以及计算机和计算机网络等手段、工具和技术进行的商务活动,都可以称之为电子商务。
               .现代电子商务的概念
               现代电子商务通常指在网络环境下,买卖双方不需见面,实现线上交易、在线支付(或货到付款)、智能配送以及相关综合服务的一切活动,是完全创新的或在一定程度上模拟传统商务流程的一种以信息化手段应用为典型特征的商业运营模式。
               电子数据交换(EDI)是连接原始电子商务和现代电子商务的纽带。
               电子商务的特征
               电子商务本质上是依靠信息技术,将贸易(交易)中涉及的信息流、资金流、物流、服务评价管理、售后管理、客户管理等整合在网络上的业务集合。电子商务应具有以下基本特征:
               .普遍性:电子商务作为一种新型的交易方式,将生产企业、流通企业、消费者以及金融企业和监管者集成到了数字化的网络环境中。
               .便利性:参与电子商务的各方不受地域、环境、交易时间的限制,能以非常简洁的方式完成传统上较为繁杂的商务活动。
               .整体性:电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,保证交易过程的规范和严谨。
               .安全性:电子商务必须采取诸如加密、身份认证、防入侵、数字签名、防病毒等技术手段来确保交易活动的安全性。
               .协调性:商务活动本身是一种磋商、协调的过程,客户与企业之间、企业与企业之间、客户与金融服务部门之间、企业与金融服务部门之间、企业与配送部门之间等需要有序协作,共同配合完成交易。
               电子商务系统结构
               电子商务的系统结构如下图所示,它不仅包括信息技术,还包括交易规则、法律法规和各种技术规范。
               
               电子商务系统结构
               电子商务应用建立在各种基础设施之上,这些基础设施包括:网络基础设施、多媒体内容和网络出版的基础设施、报文和信息传播的基础设施以及商业服务的基础设施。同时,技术标准、政策、法律法规等是电子商务的重要保障和应用环境。
               电子商务的类型模式
               电子商务按照依托网络类型来划分,可分为:
               .EDI(电子数据交换)商务。
               .Internet(互联网)商务。
               .Intranet(企业内部网)商务。
               .Extranet(企业外部网)商务。
               电子商务按照交易的内容来划分,可分为:
               .直接电子商务:向客户提供无形商品和各种服务,如电子书、软件等,这些产品和服务可以直接通过网络向客户交付。
               .间接电子商务:向客户提供实体商品及有关服务。由于要求在广泛地域和严格时限内送达,一般会将商品和服务交由现代物流配送公司和专业服务机构去完成配送工作。
               按照交易对象,电子商务模式包括:
               .B2B(Business to Business)模式:企业和企业之间通过互联网进行产品、服务及信息的交换,其发展经过了电子数据交换(EDI)、基本的电子商务(Basic e-commerce)、电子交易集市和协同商务4个阶段。阿里巴巴是典型的B2B企业。
               .B2C(Business to Customer)模式:企业和消费者个人之间的电子商务,一般以零售业为主。京东、当当等是典型的B2C企业。
               .C2C(Customer to Customer)模式:消费者和消费者之间通过电子商务交易平台进行交易的一种商务模式。淘宝、易趣等是典型的C2C企业。
               区别于以上三种传统电子商务模式的一种电子商务模式为O2O模式。
               O2O(Online to Offline)模式:电子商务和线下实体店有机结合向消费者提供商品和服务的模式,是线上购买线下的产品和服务,实体店提货或者享受服务。O2O平台在网上把线下实体店的团购、优惠信息推送给互联网用户,从而将这些用户转换为实体店的线下客户。借助O2O,企业能够迅速促进门店的销售,特别适合餐饮、院线、会所等服务类连锁企业,并且通过网络能迅速掌握消费者的最新反馈,进行个性化服务和获取高粘度重复消费。
               电子商务对国民经济和社会发展的意义和作用
               电子商务对国民经济和社会发展有重要意义和积极作用,具体表现在:
               .推动国民经济增长方式转变。
               .迎接经济全球化的机遇和挑战。
               .促进社会主义市场经济体制走向完善。
               加快电子商务发展的指导思想和基本原则
               加快电子商务发展的指导思想为:按照科学发展观的要求,紧紧围绕转变经济增长方式、提高综合竞争力的中心任务,实行体制创新,着力营造电子商务发展的良好环境,积极推进企业信息化建设,推广电子商务应用,加速国民经济和社会信息化进程,实施跨越式发展战略,走中国特色的电子商务发展道路。
               加快电子商务发展的基本原则包括:
               .企业主体,政府推动。
               .统筹兼顾,虚实结合。
               .着力创新,注重实效。
               .规范发展,保障安全。
               电子商务发展的支撑保障体系
               建立和完善电子商务发展的支撑保障体系包括:
               .法律法规体系。
               .标准规范体系。
               .安全认证体系。
               .信用体系。
               .在线支付体系。
               .现代物流体系。
               .技术装备体系。
               .服务体系。
               .运行监控体系。
 
       电子商务的概念
        电子商务至今尚无统一定义,根据电子商务的发展历程,其概念可分为原始电子商务和现代电子商务。
        .原始电子商务的概念
        原始电子商务指使用电子信息技术工具进行商务活动。凡使用了诸如电报、电话、广播、电视、传真以及计算机和计算机网络等手段、工具和技术进行的商务活动,都可以称之为电子商务。
        .现代电子商务的概念
        现代电子商务通常指在网络环境下,买卖双方不需见面,实现线上交易、在线支付(或货到付款)、智能配送以及相关综合服务的一切活动,是完全创新的或在一定程度上模拟传统商务流程的一种以信息化手段应用为典型特征的商业运营模式。
        电子数据交换(EDI)是连接原始电子商务和现代电子商务的纽带。
 
       SET
        SET(Secure Electronic Transaction,安全电子交易)协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和MasterCard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。
        SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
        SET协议的工作流程如下:
        (1)消费者利用自己的PC机通过Internet选定所要购买的物品,并在计算机上输入订货单,订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
        (2)通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。
        (3)消费者选择付款方式,确认订单签发付款指令。此时SET开始介入。
        (4)在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的账号信息。
        (5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。
        (6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。
        (7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行结一天的账。
        前两步与SET无关,从第(3)步开始SET起作用,一直到第(6)步,在处理过程中通信协议、请求信息的格式、数据类型的定义等SET都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA来验证通信主体身份,以确保通信的对方不是冒名顶替,所以,也可以简单地认为SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。
 
       安全电子交易
        安全电子交易(Secure Electronic Transaction, SET)用于电子商务的行业规范,是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的就是为了保证网络交易的安全。
        SET主要使用"电子认证"技术作为保密电子交易安全进行的基础,其认证过程使用RSA和DES算法。
 
       安全协议
        电子商务安全交易协议是一种安全机制保障。目前,电子商务安全机制正在走向成熟,并形成了一些国际规范,比较有代表性的是SSL协议(安全套接层协议)和SET协议(安全电子交易协议)。
               SSL协议
                      SSL协议概述
                      安全套接层(Secure Sockets Layer,SSL)协议,是由美国网景(Netscape)公司研究制定的安全协议,主要用于解决TCP/IP协议难以确定用户身份的问题,为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。
                      SSL协议通过在应用程序进行数据交换前交换初始握手信息实现有关安全特性的审查。握手信息中采用了DES、MD5等加密技术实现机密性和数据完整性,并采用X.509格式数字证书实现鉴别。
                      SSL协议适用于点对点之间的信息传输,通常在浏览器和WWW服务器之间建立一条安全通道实现文件保密传输。SSL协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
                      SSL协议层次结构
                      SSL协议在TCP/IP网络分层结构中位于应用层和TCP层之间,由SSL记录协议(Record Protocol)和SSL握手协议(Handshake Protocol)组成,如下图所示。
                      
                      SSL协议在TCP/IP网络分层结构模型中的位置
                      SSL记录协议定义数据传送的格式,包括记录头和记录数据格式的规定等。SSL握手协议描述建立安全连接的过程,在客户机和服务器传送应用数据之前,允许服务器和客户机相互验证身份(客户机端可选),协商加密算法、确定会话密钥等。
                      SSL协议基本安全服务功能
                      (1)信息机密性。SSL协议应用对称和非对称密钥等多种加密算法,客户机和服务器在建立的安全通道中传输的所有信息都经过加密处理,防止非法窃听,实现信息的机密性。
                      (2)信息完整性。SSL协议利用公开密钥加密算法和数字摘要技术,对信息的完整性进行检验,保证信息在传输过程中不被篡改。
                      (3)认证性。SSL协议利用数字证书技术,实现对服务器和客户机的认证。为了验证数字证书持有者是合法用户,SSL要求证书持有者在握手时,双方可通过交换数字证书,验证对方身份的合法性,确保数据发往正确的客户机和服务器。
                      SSL协议的通信过程
                      (1)接通阶段。客户机呼叫服务器,服务器回应客户。
                      (2)认证阶段。服务器向客户机发送服务器证书和公钥,以便客户机认证服务器身份;如果服务器需要双方认证,还要向客户机提出认证请求,客户机向服务器发送客户端证书。
                      (3)确立会话密钥。客户机和服务器之间协商确立会话密钥。
                      (4)会话阶段。客户机与服务器使用会话密钥加密交换会话信息。
                      (5)结束阶段。客户机与服务器交换结束信息,通信结束。
                      SSL协议分析
                      SSL协议开发成本小,能够提供机密性、完整性和认证服务。目前主流浏览器及许多服务器都支持SSL协议,但在电子商务交易应用过程中,也存在一些安全问题。
                      应用SSL协议的电子交易过程如下:
                      (1)客户将购物信息发往商家。
                      (2)商家将信息转发银行。
                      (3)银行验证客户信息的合法性后,通知客户和商家付款成功。
                      (4)商家通知客户购买成功,并将商品交给客户。
                      分析以上交易过程,可以看到客户的购物信息(含支付信息,如银行资料)首先发往商家,若是商家不可靠,客户银行资料的信息安全性就得不到保证。此外,SSL协议只是提供了信息传递的安全通道,没有提供数字签名功能,存在抵赖和用户身份被冒充的可能性。这些问题在SET协议中得到了解决。
               SET协议
                      SET协议概述
                      安全电子交易(Secure Electronic Transaction,SET)协议,是由VISA、Mastercard两大国际信用卡组织会同一些计算机供应商共同开发的网上安全交易协议,是为银行卡在Internet上安全地进行交易提出的一整套完整的安全解决方案。1997年5月正式推出SET协议1.0版。
                      SET协议采用对称加密技术和非对称加密技术提供数据加密、数字签名、数字信封等功能,保证了信息在网络中传输的机密性,数据的完整性和一致性,防止交易抵赖行为的发生。SET协议采用数字证书验证交易过程中参与各方的身份,一般由第三方CA机构负责为在线的通信双方提供信用担保与认证,对参与其中的支付网关也要进行认证,以防假冒,具有多方认证性。SET协议通过双重数字签名技术实现了客户订单信息和支付信息(信用卡账号、密码等)的隔离,保证商家只能看到客户的购买信息,看不到客户的支付信息;而银行只能看到客户的支付信息,看不到客户的购买信息。SET协议规定了交易中各方进行安全交易的具体流程。参与各方在交易流程中均遵循严格的标准,体现在要求软件遵循相同的协议和消息格式,加密算法的应用协商,数字证书信息和对象格式,订货信息和对象格式,认可信息和对象格式,资金划账信息和对象格式,对话实体之间消息的传输协议等。
                      SET协议的参与对象
                      基于SET协议的网络支付过程涉及多个参与方,包括客户、商家、银行(发卡银行、收单银行)、支付网关、CA认证中心。
                      (1)客户。通常是持有信用卡的用户。SET协议机制中,持卡客户通常要到发卡银行申请并在自己的客户端安装一套SET交易专用的客户端软件(电子钱包软件),并向CA认证中心申请数字证书。
                      (2)商家。客户在网上购物,网上商家通过商家服务器软件提供服务。与客户类似,商家必须先到收单银行申请设立账户,并向CA认证中心申请商家服务器的数字证书。
                      (3)发卡银行。发卡银行是指客户的开户银行。通常持卡客户的客户端软件从发卡银行获得,持卡客户申请数字证书,必须由发卡银行审核批准,才能从CA认证中心得到,因为持卡客户是利用银行的信誉消费。
                      (4)收单银行。收单银行是指商家的开户银行。支付网关接收商家转来的持卡客户支付请求后,要将支付请求转交给收单银行,通过银行间金融专用网络,传送到持卡客户的发卡行,进行相应的授权和扣款。收单银行与发卡银行可以是同一银行。
                      (5)支付网关。支付网关是Internet与银行内部专用网之间的一个专用系统,使得银行金融专用网不直接与非安全的公开网络连接,从而保护银行内部专用网的安全。通常,商家收到客户的购物请求后,要将客户的账号等支付信息传递给收单银行,因此支付网关一般由收单银行担任。银行可委托第三方担任网上交易的支付网关。与客户和商家一样,支付网关也必须通过CA认证中心申请数字证书,才能参与SET交易活动。
                      (6)CA认证中心。SET协议规定,参与SET交易的各方(包括客户、商家、支付网关)必须申请并安装数字证书,以证实自己的真实身份。CA认证中心作为发放和管理数字证书的机构,起着非常重要的核心作用。
                      应用SET协议的交易流程
                      (1)持卡人(客户)在商家(网上商店)浏览商品;
                      (2)持卡人选择要购买的商品,并填写订单;
                      (3)持卡人选择在线支付方式。当选择支持SET协议的支付方式进行支付时,SET协议开始起作用;
                      (4)持卡人发送订单和支付指令给商家。订单和支付指令由持卡人进行数字签名,同时利用双重数字签名技术保证商家看不到持卡人的支付信息(账号等);
                      (5)商家收到订单后,向持卡人所在银行发出支付请求。支付信息通过支付网关到收单银行,再到发卡银行。支付请求获得发卡银行的授权后,返回授权指令给商家;
                      (6)商家将订单确认信息通知持卡人,为客户发货或完成订购服务。
                      至此,应用SET协议的交易流程结束。商家可以请求收单银行将此笔交易的款项从持卡人账户转到商家账户。以上流程中,SET从持卡人选择支付方式后开始介入,每一步操作,持卡人、商家和支付网关都会通过CA验证通信主体的身份,以确保通信主体的真实性。
                      SET协议中的双重数字签名技术
                      电子商务交易过程中,客户发送订购信息和对应的支付信息是相关联的,如何使信息传输过程中,商家看不到客户的支付信息,银行看不到客户的购买信息,SET协议通过双重数字签名技术加以解决。
                      发送者A将发送给接收者B和C的信息分别应用算法生成各自的数字摘要,再将两个数字摘要连在一起,应用算法生成新的数字摘要(双重数字摘要),将双重数字摘要用发送者的私钥加密,生成双重数字签名。
                      下面以客户发送信息给银行为例说明双重数字签名的生成与验证过程,如下图所示。
                      
                      客户发送信息给银行双重数字签名的生成与验证过程
                      (1)客户对购买信息和支付信息分别生成购买信息的数字摘要E1和支付信息的数字摘要E2;
                      (2)将E1和E2连接起来生成双重数字摘要E3;
                      (3)客户用自己的私钥加密E3生成双重数字签名K;
                      (4)客户把双重数字签名K,支付信息和购买信息的数字摘要E1一起发送给银行;
                      (5)银行对信息进行验证。将支付信息用对应的同样算法生成支付信息的数字摘要E2′,并将E2′同收到的购买信息的数字摘要E1连接在一起,用对应的同样算法生成双重数字摘要E3′;
                      (6)银行用客户的公钥解密收到的双重数字签名K,得到双重数字摘要E3,将E3与E3′比较,如果相同,则银行验证了支付信息是由该客户发出的,且在传输过程中没有被篡改。
                      同理,客户将双重数字签名K,购买信息和支付信息数字摘要E2发送给商家完成订货信息的传递、签名与验证。通过使用双重数字签名技术,银行和商家只能看到同一条购物信息中自己所需要的那一部分信息,更好地保护了客户的隐私权和电子商务交易活动的安全性。
               SSL协议与SET协议比较
               在支持技术上,SSL协议与SET协议可以说是一致的,都采用了对称密钥加密、非对称密钥加密、数字摘要与数字证书等加密和认证技术;对信息传输的机密性来说,两者的功能是相同的,且都能保证信息在传输过程中的保密性及完整性,但两者在实现目标、实现机制、安全性等方面有所不同。
               SSL协议提供在Internet上的安全通信服务,是在客户机和服务器之间建立一个安全通道,保证数据传输机密性;SET协议是为保证银行卡在Internet上进行安全交易提出的一套完整的安全解决方案。SSL协议面向连接,SET协议则允许各方之间非实时交换报文。
               SSL协议只是简单地在双方之间建立安全连接,SET协议则是一个多方报文协议,它定义了银行、商家、持卡人之间必须遵循的报文规范;建立在SSL协议之上的卡支付系统只能与Web浏览器捆绑在一起,SET报文则能够在银行内部网或其他网络上传输。
               SSL协议与SET协议在网络中的层次也不一样。SSL协议是基于传输层的协议,SET协议是基于应用层的协议。SSL协议在建立双方安全通信通道后,所有的传输信息都被加密,SET协议则会有选择地加密一部分敏感信息。
               从安全性来讲,SSL协议中,信息首先发往商家,商家能看到客户的信用卡账户等支付信息。SET协议则通过双重数字签名技术,保证商家看不到客户的支付信息,银行也看不到客户的购买信息,更好地保护了客户的安全和隐私。
 
       电子支付
        利用电子商务进行交易必然会涉及到支付,电子支付是电子商务发展的一个重点。在电子支付的法律关系中,需要着重解决的问题有:在电子支付中当事人需要共同遵守的规则;为保证电子支付的顺利进行所制定的相关法律和法规;电子支付当事人的权利、义务和责任;电子货币的法律地位;支付中的争议解决办法;支付的风险和责任划分;分担制度的规定等。
        网络电子支付方面的立法也应对电子支付本身易引发的风险进行防范。如软件开发和设计风险,系统奔溃风险、操作不规范风险、黑客侵入风险、计算机病毒危害风险等。电子商务立法也需从法律上确认风险承担,严惩违法侵入者,配合技术发展,增强电子支付当事人的自我防护能力。
        我国电子商务法中也对电子支付进行了相关规定,主要体现在对电子支付服务提供者的义务进行逐项规定,以更好的保护消费者权益;但是同时也要求用户应核对支付指令,妥善保管交易密码等安全工具、发现盗用及时通知服务提供者等义务;同时明确了当发现因使用电子支付而造成损失时用户和电子支付服务者责任的界定原则。
        综上所述,电子商务立法涉及面广、内容复杂。国际上还没有形成一个统一的、各国均适用的电子商务法律体系。由于电子商务本身具有超越国界的特征,要求电子商务法律不仅要适合自己国家的发展情况和需求,还要与国际普遍接受的原则和法律规范相协调。而且,在电子商务法律建设中需注意留有余地,不宜过分严格和具体琐细,要在保护合法经营、保障合法权益、打击违法犯罪行为的同时,给企业创新留下发展的自由空间。同时,也应更多的依靠行业自律、鼓励企业自我约束、自我发展,使这一科技手段能为消费者带来更多的福利与便利。此外,在电子商务法律建设中,既要通过制定新的法规来完善立法,也要考虑电子商务中的新问题,对传统立法做出必要的调整,构建符合现实需要的电子商务法律体系。
   题号导航      2015年上半年 系统集成项目管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第4题    在手机中做本题