Internet从它诞生以来一直为广大用户提供一个公共的、廉价的、快速的信息传送手段。随着Web
技术的成熟,基于Web的商业应用由于继承了Internet的固有优点,深受厂商和用户的欢迎。网上商店是电子商务在Internet上最重要的体现商业价值的形式之一。用户可以通过网上商店将传统EDI应用的成本大大降低,可以为客户提供更好的服务,降低自己的运作成本。商家通过推广网上商店的概念进一步扩大市场,获得更多的商业机会。因此,网上商店给商家带来全新的机会,同时也使商家面临新的挑战。网上商店对应用的安全性、可扩展性和可靠性的要求都达到了新的层次。从技术角度讲,目前实现网上商店所需的技术保障都已经具备。
一、网上商店的流程
网上商店的运作流程如图1所示。
图1
1.客户通过浏览器访问儿童用品销售公司站点,可以查看在线儿童商品。
2.客户通过浏览器选择要购买的儿童商品,然后把选定要购买的商品放入“购物车中”。
3.当挑选完需要购买的商品之后,需要进行结算。当进行结算时,商家通过电子化方式下传商品定单给客户(可能包含:商户名、定单号、商品名、单价、总价、货币汇率、客户基本信息、商品寄送方式[EMS、航空挂号等]、付款方式[邮局汇款、银行汇款、网上转帐等]等信息)。
4.客户填写完电子定单之后,提交给商家;商家接收后,再次返回已填好的定单让用户确认;当用户最终确认后,将进入付款结算。
5.客户最终确认定单之后付款结算,通过鉴定支付网关把定单中的金额、帐号等信息传递给各银行,银行的业务系统完成扣款,并把交易结果信息返回给支付网关。支付网关通知商家,付款操作完成。
6.商家在接收到支付网关的付款确认信息之后,根据定单中的客户基本信息和寄送方式交付商品。
二、网上商店的结构
网上商店的结构如图2所示。整个系统涉及到客户、儿童用品超市、服务提供者、银行、CA认证中心等五部分。“客户”是整个系统的使用主体,通过PC上的浏览器,客户可以进行电子购物;“儿童用品超市”是商品的提供者,通过其电子超市软件可以为客户提供“电子化的商品”,也就是说,客户通过访问超市的Web
Site,可以浏览挑选自己需要的商品,这实际上是通过Web技术实现了一个虚拟超市。“服务提供者”为客户和超市提供服务,为客户提供安全的网上电子付款服务,当用户在电子超市中选购完自己的商品之后,需要付款才能够得到自己所需的商品,在进行付款时客户需要提供自己的帐号或卡号。为了保证安全,在客户同服务提供者之间必须提供安全保证。在付款处理时还需要超市把定单中的一部分信息(比如说金额信息)提交给服务提供者,当客户确认付款信息之后,服务提供者会把相应的付款数据传递给银行的业务系统,由银行的业务系统代收,根据银行处理的结果,服务提供者需要把信息返回给儿童用品超市,然后超市决定是否发货。“银行”负责完成客户和超市的电子转帐。CA认证中心通过为电子商务中涉及的实体签发证书,为他们提供身份证明。本系统中的“服务提供者”可以由自己建立或委托国内ISP建立;CA认证中心可
图2
向国家权威机构申请,或暂时由服务提供者兼做。
三、儿童用品超市和服务提供者的配置方案
本系统的配置如图3所示。
图3
1.配置方案说明
(1) 系统平台的配置
儿童用品超市为电子购物的消费者提供“电子超市”,消费者通过电子超市浏览和挑选商品。为了实现电子超市,需要系统平台的支撑,通过开发相应的应用系统来实现。这里的系统平台包括数据库服务器、Web服务器和应用服务器。数据库服务器用来存储和管理电子超市中所涉及到的信息(比如商品信息、定单信息等)。ASE
12是SYBASE公司的数据库服务器产品,可以出色地完成信息的存储和管理。
Web服务器提供Web 服务,用户通过浏览器访问商家是通过商家的Web Server实现的。Browser通过URL向Web
Server请求电子超市的主页,Web Server 用HTTP协议把响应的HTML页面传递给浏览器。
应用服务器扩展了Web服务器的功能,可以把存储在超市数据库中的信息发布到Internet中去;应用服务器也可以为基于Internet上的交易提供保证。EA
Server是SYBASE提供的应用服务器,除了实现上述的功能之外,还可支持组件技术。
(2)开发工具的配置
为了实现电子超市,仅有系统平台的支持还不能建立起电子超市,需要通过相应的开发工具编写相应的应用系统来实现,本方案中配置了所需的各种开发和设计工具。Power
Site可以用来设计HTML页面,还可以编写可以存取数据库的脚本。Power Builder 可以开发管理和维护程序,也可以开发电子超市中的后台处理程序。Power
J可以开发运行在Browser中的Java Applet 。Power Designer用来进行数据库的设计。
(3)“服务提供者”的配置
“服务提供者”和超市的配置基本上相同,他们的区别主要是提供的服务不同。“服务提供者”主要是为消费者提供电子付款服务,而超市主要提供商品服务。
2. 本系统的网络安全解决方法
对于电子商店应用来说,保证数据的安全是非常重要的。就本系统来说,客户和超市之间,客户和服务提供者之间都需要传输数据。由于TCP/IP协议在设计时没有考虑到数据传输的安全性问题,因此传输数据时是以明文方式传递的。当消费者使用本系统时,必须提供数据安全保障,使得用户的重要信息不会被他人窃取和篡改。
(1)使用SSL、HTTPS协议
建议本系统采用SSL(Secure Socket Layer)和HTTPS协议来实现数据安全保障。HTTPS是建立在SSL基础之上的。现在流行的浏览器,如:IE、Netscape
Communicator都支持SSL和HTTPS协议,但由于美国政府把加密软件当做军火对待,对加密软件的出口严格加以限制。在出口到我国的含有SSL功能的Web服务器和浏览器中,加密算法的产品强度很低,如对称加密算法的密钥长度只有40位,极易被“穷举攻击法”所破解。
据此,本方案提供了两种选择。一种是采用40位的SSL和HTTPS,因为大多数Browser和Web Server都支持,因此无需其他产品。另外一种方式是采用128位的SSL和HTTPS。目前国内有一些公司已经自主开发出128位的SSL,比如北京诺方信息有限公司。我们建议在“客户”和“服务提供者”之间进行电子支付时,为了保证客户的帐号(卡号)、口令、金额等关键信息的安全,应采用高强度的128位的SSL。
由于SSL协议需要对传输的所有信息加密,因此会有比较大的开销,对系统的性能会有影响。我们建议在消费者和电子超市之间仍然采用HTTP协议,而在消费者同“服务提供者”进行电子结算时采用HTTPS。(根据情况选择40位或128位的SSL)这样可以使整个系统有比较好的性能,又能够保护消费者信息传输的安全。
(2)变通的付款方式
上面介绍的方法是采用了计算机软件技术来保证数据的安全。对于广大消费者来说,通过电子付款方式扣除自己在银行信用卡中的金额,在心理上总会觉得不踏实。在这里我们推荐一种做法,可以尽量消除用户的这种不安全感。
对于本系统来说,采用电子付款方式的用户应当拥有银行信用卡。如果在进行付款时不是针对信用卡中的钱,而是针对另外的“帐户”,这样用户可能就会大大的消除那种不安全的感觉。在具体实现时,可以有多种操作方式。比如某商业银行为使用本系统的用户专门发行一种卡,用于电子购物时的付款结算。消费者在结算之前先把适量的钱从信用卡中转到该卡里,然后再进行结算。这样万一出现问题,也可以使用户的损失减少到最小。如果发行专用卡可能会给商业银行带来不便,那可以通过另外的方式去操作。比如可以采用计算机技术,为客户提供开设“虚拟帐户”来实现上面的方式。但是一定要注意,在开设帐户及转帐处理时一定要采用HTTPS来保证数据的安全。
通过上面介绍的两种方法(一种是通过采用HTTPS技术保证数据安全的前提下,直接从信用卡中付款;另外一种是通过采用HTTPS技术保证数据安全的前提下,从“专用帐户”中付款),可以较好地解决电子购物中的数据安全和支付结算的安全性,并且这两种方法无论从技术上,还是从操作上都相对简单。