第五章 因特网基础

因特网主要作用:丰富的信息资源（www）;便利的通信服务（E-MAIL）;快捷的电子商务（中国最早的商务平台8488）.

因特网主干网:ANSNET.

从网络设计者角度考虑,因特网是计算机互联网络.

从使用者角度考虑,因特网是信息资源网.

因特网中的通信线路归纳起来主要有两类:有线线路和无线线路.

因特网主要由通信线路,路由器,服务器和客户机,信息资源四部分组成.

所有连接在因特网上的计算机统称为主机.

服务器就是因特网服务与信息资源的提供者.客户机是因特网服务和信息资源的使用者.

TCP/IP协议就是将它们维系在一起的纽带.TCP/IP是一个协议集,它对因特网中主机的寻址方式,主机的命名机制,信息的传输规则,以及各种服务功能做了详细约定.

IP(通信规则)主要是负责为计算机之间传输的数据报寻址,并管理这些数据报的分片过程.

运行IP协议的网络层可以为其高层用户提供如下三种服务:

1. 不2. 可靠的数据投递服3. 务.

4. 面向无连接的传输服5. 务.

6. 尽最大努力投递服7. 务.

IP地址由两部分组成,1.网络号和2.主机号.只要两台主机具有相同的网络号,不论它们物理位置,都属于同一逻辑网络.

A类IP地址用于大型网络.B类IP地址用于中型网络.C类用于小规模网络,最多只能连接256台设备.D类IP用于多目的地址发送.E类则保留为今后使用.

再次划分IP地址的网络号和主机号部分用子网屏蔽码来区分.

IP数据报的格式可以分为报头区和数据区两大部分,其中数据区包括高层需要传输的数据,报头区是为了正确传输高层数据而增加的控制信息.

因特网中,需要路由选择的设备一般采用表驱动的路由选择算法.

路由表有两种基本形式:1.静态路由表.2.动态路由表.动态路由表是网络中的路由器互相自动发送路由信息而动态建立的.

TCP为应用层提供可靠的数据传输服务.TCP是一个端到端的传输协议,因为它可以提供一条从一台主机的一个应用程序到远程主机的另一个应用程序的直接连接.(虚拟连接)

端口就是TCP和UDP为了识别一个主机上的多个目标而设计的.

因特网的域名由TCP/IP协议集中的域名系统进行定义.

因特网中的这种命名结构只代表着一种逻辑的组织方法,并不代表实际的物理连接.借助于一组既独立又协作的域名服务器来完成,因特网存在着大量域名服务器，每台域名服务器保存着域中主机的名字与IP地址的对照表,这组名字服务器是解析系统的核心.

域名解析两方式:1.递归解析.2.反复解析.

因特网提供的基本服务主要有:

1. 电子邮件E-MAIL.

2. 远程登陆Telnet

3. 文件传输FTP.

4. WWW服5. 务.

电子邮件服务采用客户机/服务器工作模式.

用户发送和接收邮件需要借助于安装在客户机中的电子邮件应用程序来完成.

电子邮件应用程序应具有如下两个最为基本的功能:

1. 创建和发送电子邮件.

2. 接收,阅读,管理邮件.

电子邮件应用程序在向邮件服务器传送邮件时使用简单邮件传输协议SMTP.从邮件服务器读取时候可以使用POP3协议或IMAP协议.

当使用电子邮件应用程序访问IMAP服务器时,用户可以决定是或将邮件拷贝到客户机中,以及是或在IMAP服务器中保留邮件副本,用户可以直接在服务器中阅读和管理邮件.

电子邮件由两部分组成:邮件头和邮件体(实际传送的内容).

远程终端协议,既Telnet协议,Telnet协议是TCP/IP协议的一部分,它精确的定义了本地客户机与远程服务器之间交互过程.

因特网提供的远程登陆服务可以实现:

1. 本地用户与远程计算机上运行程序相互交互.

2. 用户登陆到远程计算机时,可以执行远程计算机上的任何应用程序,并且能屏蔽不同3. 型号计算机之间的差异.

4. 用户可以利用个人计算机去完成许多只有大型机才能完成的任务.

网络虚拟终端:提供了一种标准的键盘定义,用来屏蔽不同计算机系统对键盘输入的差异性.

因特网用户使用的FTP客户端应用程序通常有三种类型,既传统的FTP命令行,浏览器和FTP下载工具.

这种在文本中包含与其他文本的连接特征,形成了超文本的最大特点:无序性.

选择热字的过程,实际上就是选择某种信息链接线索的过程.

超文本传输协议HTTP是WWW客户机与WWW服务器之间的应用层传输协议.

HTTP会话过程包括以下4个步凑:

1. 连接.2.请求.3.应答.4.关闭.

URL由三部分组成:协议类型,主机名与路径及文件名。

WWW服务器所存储的页面是一种结构化的文档,采用超文本标记语言HTML书写而成.

HTML主要特点是可以包含指向其他文档的链接项,既其他页面的URL.

另一个特点是可以将声音,图象,视频等多媒体信息集合在一起。

对于机构来说,主页通常是WWW服务器的缺省页,既用户在输入URL时只需要给出WWW服务器的主机名,而不必指定具体的路径和文件名,WWW服务器会自动将其缺省页返回给用户.

搜索引擎是因特网上的一个WWW服务器,它的主要任务是在因特网中主动搜索其他WWW服务器中的信息并对其自动索引,将索引内容存储在可供查询的大型数据库中.

网络新闻组是一种利用网络进行专题讨论的国际论坛,到目前为止USENET仍是最大规模的网络新闻组.

ISP一方面为用户提供因特网接入服务,另一方面为用户提供各种类型的信息服务.

用户的计算机可以通过各种通信线路连接到ISP,但归纳起来可以划分为两类:电话线路和数据通信线路.

调制解调器在通信的一端负责将计算机输出的数字信息转换成普通电话线路能够传输的信号,在另一端将从电话线路接受的信号转化成计算机能够处理的数字信号.

通过电话线路介入因特网的费用通常由三部分组成:开户费,因特网使用费(连接费用和占用磁盘空间费用)和电话费.

　　　　　　　　第六章 网络安全技术

网络管理包括五个功能：配置管理，故障管理，性能管理，计费管理和安全管理。

代理位于被管理的设备内部，它把来自管理者的命令或信息请求转换为本设备特有的指令，完成管理者的指示，或返回它所在设备的信息。

管理者和代理之间的信息交换可以分为两种：从管理者到代理的管理操作；从代理到管理者的事件通知。

配置管理的目标是掌握和控制网络和系统的配置信息以及网络各设备的状态和连接管理。现代网络设备由硬件和设备驱动组成。

配置管理最主要的作用是可以增强网络管理者对网络配置的控制，它是通过对设备的配置数据提供快速的访问来实现的。

故障就是出现大量或严重错误需要修复的异常情况。故障管理是对计算机网络中的问题或故障进行定位的过程。

故障管理最主要的作用是通过提供网络管理者快速的检查问题并启动恢复过程的工具，使网络的可靠性得到增强。故障标签就是一个监视网络问题的前端进程。

性能管理的目标是衡量和呈现网络特性的各个方面，使网络的性能维持在一个可以接受的水平上。

性能管理包括监视和调整两大功能。

记费管理的目标是跟踪个人和团体用户对网络资源的使用情况，对其收取合理的费用。

记费管理的主要作用是网络管理者能测量和报告基于个人或团体用户的记费信息，分配资源并计算用户通过网络传输数据的费用，然后给用户开出帐单。

安全管理的目标是按照一定的方法控制对网络的访问，以保证网络不被侵害，并保证重要的信息不被未授权用户访问。

安全管理是对网络资源以及重要信息访问进行约束和控制。

在网络管理模型中，网络管理者和代理之间需要交换大量的管理信息，这一过程必须遵循统一的通信规范，我们把这个通信规范称为网络管理协议。

网络管理协议是高层网络应用协议，它建立在具体物理网络及其基础通信协议基础上，为网络管理平台服务。

目前使用的标准网络管理协议包括：简单网络管理协议SNMP，公共管理信息服务/协议CMIS/CMIP，和局域网个人管理协议LMMP等。

SNMP采用轮循监控方式。代理/管理站模式。

管理节点一般是面向工程应用的工作站级计算机，拥有很强的处理能力。代理节点可以是网络上任何类型的节点。SNMP是一个应用层协议 ，在TCP/IP网络中，它应用传输层和网络层的服务向其对等层传输信息。

CMIP的优点是安全性高，功能强大，不仅可用于传输管理数据，还可以执行一定的任务。

信息安全包括5个基本要素：机密性，完整性，可用性，可控性与可审查性。

3 D1级。D1级计算机系统标准规定对用户没有验证。例如DOS。WINDOS3。X及WINDOW 95（不在工作组方式中）。Apple的System7。X。

4 C1级提供自主式安全保护，它通过将用户和数据分离，满足自主需求。

C1级又称为选择安全保护系统，它描述了一种典型的用在Unix系统上的安全级别。

C1级要求硬件有一定的安全级别，用户在使用前必须登陆到系统。

C1级的防护的不足之处在与用户直接访问操作系统的根。

9 C2级提供比C1级系统更细微的自主式访问控制。为处理敏感信息所需要的最底安全级别。C2级别还包含有受控访问环境，该环境具有进一步限制用户执行一些命令或访问某些文件的权限，而且还加入了身份验证级别。例如UNIX系统。XENIX。Novell 3。0或更高版本。WINDOWS NT。

10 B1级称为标记安全防护，B1级支持多级安全。标记是指网上的一个对象在安全保护计划中是可识别且受保护的。B1级是第一种需要大量访问控制支持的级别。安全级别存在保密，绝密级别。

11 B2又称为结构化保护，他要求计算机系统中的所有对象都要加上标签，而且给设备分配安全级别。B2级系统的关键安全硬件/软件部件必须建立在一个形式的安全方法模式上。

12 B3级又叫安全域，要求用户工作站或终端通过可信任途径连接到网络系统。而且这一级采用硬件来保护安全系统的存储区。

B3级系统的关键安全部件必须理解所有客体到主体的访问，必须是防窜扰的，而且必须足够小以便分析与测试。

30 A1 最高安全级别，表明系统提供了最全面的安全，又叫做验证设计。所有来自构成系统的部件来源必须有安全保证，以此保证系统的完善和安全，安全措施还必须担保在销售过程中，系统部件不受伤害。

网络安全从本质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性，完整性，可用性，真实性和可控性的相关技术和理论都是网络安全的研究领域。

安全策约是在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。安全策约模型包括了建立安全环境的三个重要组成部分：威严的法律，先进的技术和严格的管理。

网络安全是网络系统的硬件，软件以及系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏，更改，泄露，系统能连续，可靠和正常的运行，网络服务不中断。

保证安全性的所有机制包括以下两部分：

1 对被传送的信息进行与安全相关的转换。

2 两个主体共享不希望对手得知的保密信息。

安全威胁是某个人，物，事或概念对某个资源的机密性，完整性，可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。

安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。

中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。

截取是未授权的实体得到了资源的访问权。这是对保密性的攻击。

修改是未授权的实体不仅得到了访问权，而且还篡改了资源。这是对完整性的攻击。

捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。

被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有：泄露信息内容和通信量分析等。

主动攻击涉及修改数据流或创建错误的数据流，它包括假冒，重放，修改信息和拒绝服务等。

假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新发送，以产生未经授权的效果。

修改消息意味着改变了真实消息的部分内容，或将消息延迟或重新排序，导致未授权的操作。

拒绝服务的禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断，这可以通过使网络失效而实现，或通过消息过载使网络性能降低。

防止主动攻击的做法是对攻击进行检测，并从它引起的中断或延迟中恢复过来。

从网络高层协议角度看，攻击方法可以概括为：服务攻击与非服务攻击。

服务攻击是针对某种特定网络服务的攻击。

非服务攻击不针对某项具体应用服务，而是基于网络层等低层协议进行的。

非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的，是一种更有效的攻击手段。

网络安全的基本目标是实现信息的机密性，完整性，可用性和合法性。

主要的可实现威胁：

3 渗入威胁：假冒，旁路控制，授权侵犯。

4 植入威胁：特洛伊木马，陷门。

病毒是能够通过修改其他程序而感染它们的一种程序，修改后的程序里面包含了病毒程序的一个副本，这样它们就能继续感染其他程序。

网络反病毒技术包括预防病毒，检测病毒和消毒三种技术。

1 预防病毒技术。

它通过自身长驻系统内存，优先获得系统的控制权，监视和判断系统中是或有病毒存在，进而阻止计算机病毒进入计算机系统对系统进行破坏。这类技术有：加密可执行程序，引导区保护，系统监控与读写控制。

2．检测病毒技术。

通过对计算机病毒的特征来进行判断的技术。如自身效验，关键字，文件长度的变化等。

3．消毒技术。

通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原元件的软件。

网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测，在工作站上用防病毒芯片和对网络目录以及文件设置访问权限等。

网络信息系统安全管理三个原则：

1 多人负责原则。

2 任期有限原则。

3 职责分离原则。

保密学是研究密码系统或通信安全的科学，它包含两个分支：密码学和密码分析学。

需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程叫组解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的，加密算法所采用的密钥成为加密密钥，解密算法所使用的密钥叫做解密密钥。

密码系统通常从3个独立的方面进行分类：

1 按将明文转化为密文的操作类型分为：置换密码和易位密码。

　　所有加密算法都是建立在两个通用原则之上：置换和易位。

2 按明文的处理方法可分为：分组密码（块密码）和序列密码（流密码）。

3 按密钥的使用个数分为：对称密码体制和非对称密码体制。

如果发送方使用的加密密钥和接受方使用的解密密钥相同，或从其中一个密钥易于的出另一个密钥，这样的系统叫做对称的，但密钥或常规加密系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统就叫做不对称的，双密钥或公钥加密系统。

分组密码的加密方式是首先将明文序列以固定长度进行分组，每一组明文用相同的密钥和加密函数进行运算。

分组密码设计的核心上构造既具有可逆性又有很强的线性的算法。

序列密码的加密过程是将报文，话音，图象，数据等原始信息转化成明文数据序列，然后将它同密钥序列进行异或运算。生成密文序列发送给接受者。

数据加密技术可以分为3类：对称型加密，不对称型加密和不可逆加密。

对称加密使用单个密钥对数据进行加密或解密。

不对称加密算法也称为公开加密算法，其特点是有两个密钥，只有两者搭配使用才能完成加密和解密的全过程。

不对称加密的另一用法称为“数字签名”，既数据源使用其私有密钥对数据的效验和或其他与数据内容有关的变量进行加密，而数据接受方则用相应的公用密钥解读“数字签名”，并将解读结果用于对数据完整性的检验。

不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。

加密技术应用于网络安全通常有两种形式，既面向网络和面向应用程序服务。

面向网络服务的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送，认证网络路由及其其他网络协议所需的信息，从而保证网络的连通性和可用性不受侵害。

面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。

从通信网络的传输方面，数据加密技术可以分为3类：链路加密方式，节点到节点方式和端到端方式。

链路加密方式是一般网络通信安全主要采用的方式。

节点到节点加密方式是为了解决在节点中数据是明文的缺点，在中间节点里装有加，解密的保护装置，由这个装置来完成一个密钥向另一个密钥的变换。

在端到端机密方式中，由发送方加密的数据在没有到达最终目的节点之前是不被解密的。

试图发现明文或密钥的过程叫做密码分析。

算法实际进行的置换和转换由保密密钥决定。

密文由保密密钥和明文决定。

对称加密有两个安全要求：

1 需要强大的加密算法。

2 发送方和接受方必须用安全的方式来获得保密密钥的副本。

常规机密的安全性取决于密钥的保密性，而不是算法的保密性。

IDEA算法被认为是当今最好最安全的分组密码算法。

公开密钥加密又叫做非对称加密。

公钥密码体制有两个基本的模型，一种是加密模型，一种是认证模型。

通常公钥加密时候使用一个密钥，在解密时使用不同但相关的密钥。

常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。

RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。

密钥的生存周期是指授权使用该密钥的周期。

在实际中，存储密钥最安全的方法就是将其放在物理上安全的地方。

密钥登记包括将产生的密钥与特定的应用绑定在一起。

密钥管理的重要内容就是解决密钥的分发问题。

密钥销毁包括清除一个密钥的所有踪迹。

密钥分发技术是将密钥发送到数据交换的两方，而其他人无法看到的地方。

数字证书是一条数字签名的消息，它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构，具有一种公共的格式，它将某一个成员的识别符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。

序列号：由证书颁发者分配的本证书的唯一标示符。

认证是防止主动攻击的重要技术，它对于开放环境中的各种信息系统的安全有重要作用。

认证是验证一个最终用户或设备的声明身份的过程。

主要目的为：

4 验证信息的发送者是真正的，而不是冒充的，这称为信源识别。

5 验证信息的完整性，保证信息在传送过程中未被窜改，重放或延迟等。

认证过程通常涉及加密和密钥交换。

帐户名和口令认证方式是最常用的一种认证方式。

授权是把访问权授予某一个用户，用户组或指定系统的过程。

访问控制是限制系统中的信息只能流到网络中的授权个人或系统。

有关认证使用的技术主要有：消息认证，身份认证和数字签名。

消息认证的内容包括为：

1 证实消息的信源和信宿。

2 消息内容是或曾受到偶然或有意的篡改。

3 消息的序号和时间性。

消息认证的一般方法为：产生一个附件。

身份认证大致分为3类：

1 个人知道的某种事物。

2 个人持证

3 个人特征。

口令或个人识别码机制是被广泛研究和使用的一种身份验证方法，也是最实用的认证系统所依赖的一种机制。

为了使口令更加安全，可以通过加密口令或修改加密方法来提供更强健的方法，这就是一次性口令方案，常见的有S/KEY和令牌口令认证方案。

持证为个人持有物。

数字签名的两种格式：

2 经过密码变换的被签名信息整体。

3 附加在被签消息之后或某个特定位置上的一段签名图样。

对与一个连接来说，维持认证的唯一办法是同时使用连接完整性服务。

防火墙总体上分为包过滤，应用级网关和代理服务等几大类型。

数据包过滤技术是在网络层对数据包进行选择。

应用级网关是在网络应用层上建立协议过滤和转发功能。

代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关一类。

防火墙是设置在不同网络或网络安全域之间的一系列不见的组合。它可以通过检测，限制，更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的消息，结构和运行情况，以此来实现网络的安全保护。

防火墙的设计目标是：

1 进出内部网的通信量必须通过防火墙。

2 只有那些在内部网安全策约中定义了的合法的通信量才能进出防火墙。

3 防火墙自身应该防止渗透。

防火墙能有效的防止外来的入侵，它在网络系统中的作用是：

1 控制进出网络的信息流向和信息包。

2 提供使用和流量的日志和审记。

3 隐藏内部IP以及网络结构细节。

4 提供虚拟专用网功能。

通常有两种设计策约：允许所有服务除非被明确禁止；禁止所有服务除非被明确允许。

防火墙实现站点安全策约的技术：

3 服务控制。确定在围墙外面和里面可以访问的INTERNET服务类型。

4 方向控制。启动特定的服务请求并允许它通过防火墙，这些操作具有方向性。

5 用户控制。根据请求访问的用户来确定是或提供该服务。

6 行为控制。控制如何使用某种特定的服务。

影响防火墙系统设计，安装和使用的网络策约可以分为两级：

高级的网络策约定义允许和禁止的服务以及如何使用服务。

低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。

　　　　　　　　第七章 网络应用：电子商务

电子商务是已开放的因特网环境为基础，在计算机系统支持下进行的商务行动。它基于浏览器/服务器应用方式，是实现网上购物，网上交易和在线支付的一种新型商业运营模式。

从广义上讲，电子商务的概念为：以计算机与通信网络为基础平台，利用电子工具实现的在线商业交换和行政作业活动的全过程。

电子商务的好处：

1 以最小的费用制作最大的广告。

2 丰富的网络资源有利于企业了解市场的变化，作出理性的决策。

3 展示产品而不需要占用店面，小企业可以和大企业获得几乎同等的商业机会。

4 提高服务质量，及时获得顾客的反馈消息。

5 在线交易方便，快捷，可靠。

使用户了解自己的企业和产品只是电子商务的第一步。

在线交易是电子商务的高级阶段和最终目的。

它是买卖双方以计算机网络为平台，进行在线的销售与购买。

在线交易需要较为复杂的网络环境和先进的计算机技术来保证交易的安全性和可靠性，同时，需要有完善的法律法规降低在线交易的风险。

电子商务的应用范围：

2 企业与企业之间的应用。电子数据交换EDI是企业与企业之间电子商务最典型，最基本的应用。

3 企业与消费者之间的应用

4 企业与政府之间的应用。

电子数据交换EDI是按照协议对具有一定结构特征的标准信息，经数据通信网络，在计算机系统之间进行交换和自动处理，既EDI用户根据国际通用的标准格式编制报文，已机器可读的方式将结构化的消息。按照协议将标准化的文件通过计算机网络传送。

EDI系统三个特点：

1 EDI是两个或多个计算机应用系统之间的通信。所谓的计算机系统是于EDI通信网络系统相连接的电子数据处理系统EDP。

2 计算机之间传输的消息遵循一定的语法规则与国际标准。

3 数据自动的投递和传输处理不需要人工介入，应用程序对它自动响应。

总之，计算机通信网是EDI应用的基础，计算机系统应用是EDI的前提条件，而数据信息标准化是EDI的关键。

EDI的工作流程：

1 发送方计算机应用系统生成原始用户数据。

2 发送报文的数据影射与翻译。影射程序将用户格式的原始数据报文展开为平面文件，以便使翻译程序能够识别。翻译程序将平面文件翻译为标准的EDI格式文件。平面文件是用户格式文件和EDI标准格式文件之间的中间接口文件。

3 发送标准的EDI文件。

4 贸易伙伴获取标准的EDI文件。

5 接受方应用系统处理翻译后的文件。

与电子邮件等应用系统不同，EDI电子数据交换系统在网络中传输的是经过翻译软件翻译的标准格式报文。

电子数据处理系统EDP是实现EDI的基础和必要条件。EDP主要是企业内部自身业务的自动化。

在EDI应用系统中，目前使用最多的是通过专门网络服务商提供的EDI网络平台，建立用户之间的数据交换关系。

EDI平台的数据接入主要有以下几种：

4 具有单一计算机应用系统的用户接入方式：拥有单一计算机应用系统的企业规模一般不大，这类用户可以利用电话交换网，通过调制解调器直接接入EDI中心。

5 具有多个计算机应用系统的用户接入方式：对于规模较大的企业，多个应用系统都需要与EDI中心进行数据交换。为了减小企业的通信费用和方便网络管理，一般是采用连网方式将各个应用系统首先接入负责与EDI中心交换信息的服务器中，再由该服务器接入EDI交换平台。

6 普通用户接入方式： 该类用户通常没有自己的计算机系统，当必须使用EDI与其贸易伙伴进行业务数据传递时，他们通常采用通过因特网或电话网以拨号的方式接入EDI网络交换平台。

EDI是电子商务的先驱。网络安全技术的开放和研究依然是网络发展的主要课题之一。

电子商务的体系结构可以分为：1。网络基础平台。2。安全结构。3。支付体系。4。业务系统4个层次。

电子商务是以计算机网络为基础的，计算机网络是电子商务的运行平台。

电子商务活动分为支付型业务和非支付型业务。

电子商务业务包括支付型业务和非支付型业务。支付型业务通常涉及资金的转移。支付型业务建立在支付体系之上，根据业务的需要使用相应的支付体系。而非支付型业务则直接建立在安全基础结构之上，使用安全基础层提供的各种认证手段和安全技术保证安全的电子商务服务。

通过CA安全认证系统发放的证书确认对方的身份是电子商务中最常用的方法之一。

证书是一个经证书授权中心签名的，它包括证书拥有者的基本信息和公用密钥。

证书的作用归纳为两个方面：

3 证书是由CA安全认证中心发放的，具有权威机构的签名，所以它可以用来向系统中的其他实体证明自己的身份。

4 每分证书都携带着证书持有者的公用密钥，所以它可以向接受者证实某个实体对公用密钥的拥有，同时起着分发公用密钥的作用。

安全是电子商务的命脉。电子商务的安全是通过加密手段来达到的。公用密钥加密技术是电子商务系统中使用的主要加密技术之一。

证书按照用户和应用范围可以分为个人证书，企业证书，服务器证书和业务受理点证书等等。

支付网关处于公共因特网与银行内部网络之间，主要完成通信，协议转换和数据加密解密功能和保护银行内部网络。

每一个业务应用系统对应于一个特定的业务应用。

支付型的业务应用系统必须配备具有支付服务功能的支付服务器，该服务器通过支付服务软件系统接入因特网，并通过支付网关系统与银行进行信息交换。

人们进行电子商务活动最常用的终端是计算机终端。

一个完整的电子商务系统需要CA安全认证中心，支付网关系统，业务应用系统及用户终端系统的配合与协作。

电子商务的安全要求包括4个方面：

1 数据传输的安全性。

2 数据的完整性。

3 身份安全。

4 交易的不可抵赖。交易的不可抵赖技术是通过数字签名技术和数字证书技术来实现。

私有密钥加密技术，公用密钥加密技术以及数字指纹技术是保证电子商务系统安全运行的最基本，最关键的技术。

数字信封技术用来保证数据数据在传输过程中的安全。私有密钥加密算法运算效率高，但密钥不易传递。而公用密钥加密算法密钥传递简单，但运算效率低，而且要求被加密的信息块长度要小于密钥的长度。

数字信封技术首先使用私有密钥加密技术对要发送的数据信息进行加密，然后，利用公用加密加密算法对私有密钥加密技术中使用的私有密钥进行解密。

数字信封技术使用两层加密体制，在内层，利用私有密钥加密技术，每次传送信息都可以重新生成新的私有密钥，保证信息的安全性。在外层，利用公用密钥加密技术加密私有密钥，保证私有密钥传递的安全性。

签名是保证文件或资料真实性的一种方法。利用公用密钥加密算法进行数字签名中最常用的方法。

利用数字签名可以实现以下功能：

3 保证信息传输过程中的完整性：安全单向散列函数的特性保证如果两条信息的信息摘要相同，那么它们信息内容也相同。

4 发送者的身份认证：数字签名技术使用公用密钥加密算法，发送者使用自己的私有对发送的信息进行加密。

5 防止交易中的抵赖发生：当交易中的抵赖行为发生时，接受者可以将接收到的密文呈现给第三方。

数字信封保证安全性。数字签名保证信息的完整信息。安全的数据传输必须将数字信封技术和数字签名技术结合起来。

电子付款就是网上进行买卖双方的金融交换，这种交换通常是由银行等金融机构中介的。

电子现金也叫数字现金。电子现金具有用途广，使用灵活，匿名性，简捷简单，无需直接与银行连接便可使用等特点。

买方使用自己的计算机通过网络访问银行的电子现金生成器，将部分或全部现金取出，以加密文件形式存入计算机硬盘。这样，该计算机硬盘中的现金文件就形成了一个电子钱包。尤其适用与金额较小的业务支付。

所谓电子支票就是传统支票以因特网为基础，进行信息传递，完成资金转移。

电子支票的交换主要通过银行等金融单位的专用网络进行。

安全电子交易SET是由VISA和MASTERCARD所开发的开放式支付规范，是为了保证信用卡在公共因特网上支付的安全而设立的。

安全电子交易SET要达到的最主要目的是：

3 信息在公共因特网上安全传输，保证网上传输的数据不被黑客窃取。

4 订单信息和个人帐号信息隔离。

5 持卡人和商家相互认证，以确保交易各方的真实身份。

6 要求软件遵循相同的协议和信息格式，使不同厂家开发的软件具有兼容性和互操作性，并且可以在不同的硬件的操作系统平台上。

SET协议涉及的当事人包括持卡人，发卡机构，商家，银行以及支付网关。

SET协议是针对用卡支付的网上交易而设计的支付规范，对不用卡支付的交易方式，则与SET协议无关。

私有密钥加密技术和公用密钥加密技术是两种最基本的加密技术。订单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立。

安全通道使用安全套接层技术。

保证电子邮件安全的手段是使用数字证书。

WEB站点的访问控制的级别。

1 IP地址限制。

2 用户验证。

3 WEB权限。

4 NTFS权限。如果WEB站点的内容位于NTFS分区，可以借助于NTFS的目录和文件权限来限制用户对站点内容的访问。

网站内容是网民了解站点拥有者的关键和窗口。网站的内容关系到站点建设的成败。

网站的管理有两个方面，一方面，需要对网络的链路，服务器等硬件设备进行管理。另一方面，需要对网站的内容，网站的创意，网民的咨询等软对象进行管理。

保持网站内容的长变长新就是网站管理者面对的重要课题。

利用传统方式进行网站的推广与营销是最基础，最有效的方法。

电子邮件具有速度快，效率高的特点，利用电子邮件进行网站营销也是可以考虑的办法之一。

网上购物是电子商务系统的一种重要应用。

消费者利用因特网浏览器进行网上购物步骤：

1 在线浏览与选择商品。

2 填写订购单。

3 选择支付方式。

在我国传统的现金支付方式仍然是最重要的支付方式。

网上直接划付是另一种支付方式。