第3章 电子商务系统建设-李文媛.ppt

3.7.2 网上支付安全 电子支付是电子交易的当事人，包括消费者、厂商和金融机构使用安全的、数字化的支付手段，通过网络向另一方进行货币支付或资金流转。 电子支付基于开放的因特网网络环境，随时随地可能发生。 网上支付系统的基本结构如图3-12所示。 * 3.7.2 网上支付安全 * 图3-12 网上支付系统的基本结构 3.7.2 网上支付安全 在结构图中包括以下实体： 客户：是指与商家有交易关系并存在未清偿的债权债务关系的一方。 商家：则是拥有债权的商品交易的另一方，它可以根据客户发出的支付指令向金融体系请求获取货币给付。 * 3.7.2 网上支付安全 客户开户行：是指客户在其中拥有账户的银行，客户所拥有的支付工具就是由开户行提供的，客户开户行在提供支付工具的时候也同时提供了一种银行信用即保证支付工具的兑付。 商家开户行：是商家在其中开设账户的银行其账户是整个支付过程中资金流向的地方。 * 3.7.2 网上支付安全 支付网关：是开放的Internet与金融专用网之间的接口，支付信息必须通过支付网关才能进入银行支付系统进而完成支付的授权和获取。 金融专用网：是具有高安全性的银行内部及行间进行通信的网络。包括中国国家现代化支付系统（CNAPS）、 人行电子联行系统等。 认证机构(CA)：是负责为参与的各方(客户、商家、支付网关、银行)发放数字证书，以确认各方的真实身份，保证网络支付的安全性。 * 3.7.2 网上支付安全 网上在线支付存在一些安全问题 （1）信息传递的安全问题； 网络硬件的安全缺陷，如设备可靠性差、电磁辐射、电磁泄漏等; 通信链路的安全缺陷，如链路的电磁辐射、电磁泄漏、搭线、串音等; 缺乏系统的安全标准引起的安全缺陷，虽然己经有了一些网络安全标准，但是还不完善。 * 3.7.2 网上支付安全 （2）业务系统的安全问题 系统内部威胁。根据ICSA(Iternational Computer Security Association)统计，来自计算机系统内部的安全威胁高达70%。硬、软件系统的漏洞都可以被利用，受到各种非法攻击的侵入。 非法的系统操纵。非法用户侵入系统，对业务及交易数据的非法侵占和恶意篡改；由于软件系统业务逻辑错误，造成合法用户对系统资源的非法使用等。 * 3.7.2 网上支付安全 业务数据的否认。如果缺乏必要的身份认证及信息确认技术，那么可能在交易过程中，买卖各方对已发生数据进行否认，从而破坏交易的进行。 系统拒绝服务攻击。攻击者可能向销售商的服务器发送大量的虚假定单来消耗系统资源，从而使合法用户不能得到正常的服务。 * 3.7.2 网上支付安全 （3）外部的安全威胁 病毒侵扰。它可以穿透服务器、用户的浏览器，利用系统漏洞破坏数据，造成大量数据的损坏和丢失。 恶意攻击。不法黑客利用病毒或者木马，将用户引导到由黑客控制的网站，并在用户的机器中留下远程控制程序，从而窃取交易信息及个人信息。 * 3.7.2 网上支付安全 网络钓鱼。最常见的网络钓鱼攻击方式是，攻击者以E-mail等形式模仿著名的金融机构向客户发送邮件，攻击者通常将邮件地址篡改成银行E-mail地址，用看上去相似的URL地址混淆真正银行的网站地址，骗取用户对该邮件的信任。 * 本章介绍了电子商务网站的基本架构和内容组成、开发电子商务网站的相关技术及网站建设中的安全问题。 * 2.商品信息维护 * 3.4.4 订单管理 订单的管理是管理电子商务交易过程的一个重要环节。 电子购物的过程中，形成买方与卖方完成交易的重要凭证之一就是订单。订单既表明了客户购买商品、要求进行交易的事实，又是销售方商品销售、商品出入库的凭据。 而且一个成功的交易，订单是一种买卖双方的电子契约形式，也是交易过程和结果这种商业行为的依据。 订单的管理可分为两个部分：一是客户端前台客户生成订单的管理；一是服务器后台对订单约定的购买商品进行后续处理过程的管理。 * 3.4.4 订单管理 1.客户订单生成 当客户选择完毕准备购买的商品后，就可以生成商品的订单了。订单生成的流程一般为： 从购物车提取客户已选购的商品，并对选购商品进行数量与金额的统计； 客户填写订货人信息和收货详细信息。 选择货款支付方式。 选择商品送货方式。 确认并提交订单。 客户端订单管理的流程如图3-6所示的过程进行。 * 3.4.4 订单管理 * 图3-6 客户端定单管理流程 3.4.4 订单管理 订单的状态： 未处理状态：客户提交之后，并未被管理员处理。 确认付款状态：商品货款已经支付，但尚未发货。 无效状态：无效的订单。 发货状态：管理员确认订单，安排发货。 收货状态：客户已接收到购买商品。 完成状态：完成交易的订单。 * 3.4.4 订单管理 * 3.4.4 订单