资源简介

(共78张PPT)
第四章 电子商务系统开发
内容概要电子商务系统规划与设计1电子商务系统部署与管理3电子商务系统开发技术24.1电子商务系统规划与设计4.1.1电子商务系统开发流程4.1.2整体设计与功能结构设计4.1.3艺术性设计与布局设计4.1电子商务系统规划与设计电子商务系统设计可以分为整体设计、功能与结构设计、艺术性设计等方面。具体而言，就是需要确定系统的结构、栏目的设置、整体风格、颜色搭配、版面布局以及文字图片的呈现方式等。只有在系统开发之前把这些都考虑到了，才能在开发过程中胸有成竹，才能较好的实现目标，满足用户的需要。4.1.1电子商务系统开发流程由于当前电子商务系统绝大部分都是B/S模式，系统一般以网站的形式存在，所以，初次接触电子商务系统开发的学生或爱好者容易陷入一个认识上的误区，把电子商务系统开发理解成网页制作，其实电子商务系统的设计与开发是一个系统工程，需要遵循一定的开发流程，紧密结合电子商务的领域特点和业务逻辑，按部就班的开展工作，这样才能设计、开发出符合要求、令人满意的电子商务系统。根据软件工程学知识和电子商务系统开发工程实践，本章将电子商务系统开发流程归纳为电子商务系统规划与设计、电子商务系统开发、电子商务系统部署与管理三个阶段，每个阶段又有一些子阶段，如表4-1所示。4.1.1电子商务系统开发流程阶段名称主要工作内容与阶段成果规划与设计系统规划电子商务系统策划书或电子商务系统建设规划需求分析电子商务系统建设目标、需求说明书、功能模块图等系统设计电子商务系统设计说明书系统开发电子商务系统（网页文件、后台代码、数据库等）部署与管理系统发布域名申请、服务器准备、文件上传与发布系统推广与维护电子商务系统推广、日常管理与维护等表4-1电子商务系统开发流程4.1.1电子商务系统开发流程实际的电子商务系统开发流程并不一定严格按照标准流程来进行，不同类型的系统可能有不同的侧重阶段。比如大型系统更注重规划与分析，更强调严格的软件生命周期管理；而中小型系统则更侧重开发与部署，一般采用敏捷开发模式。在标准的软件生命周期中，系统规划、系统分析与系统设计是在系统开发阶段之前完成的工作，对于电子商务系统开发，这些工作也是不可或缺的，分别对应的是电子商务系统规划、需求分析和设计。在系统规划阶段要对系统的可行性、经济与社会效益等进行分析与预测，撰写系统策划书或者系统建设规划。在需求分析阶段对系统的业务需求进行全面系统的分析，确定系统的建设目标和主要的功能需求，本阶段完成以后将产生系统建设目标、需求说明书和功能模块图等文档。4.1.1电子商务系统开发流程电子商务型和信息管理型系统的设计阶段非常重要，这类系统其实就是一个WEB应用系统，应该严格按照系统设计与开发的方法与步骤去完成，一般包括总体设计、数据库设计、业务逻辑设计、界面设计等环节，有兴趣的同学请参阅有关电子商务系统设计与开发方面的书籍。网络营销型系统的设计阶段更多是强调界面的设计，包括布局、色彩、logo等方面。本环节最终需要提交系统设计说明书。有了系统设计说明书，就可以着手搜集与系统开发有关的资料与素材了，有些素材可以通过网络或其他途径收集，有些素材需要自己动手来设计与制作。有了资料和素材的准备，方可进行系统的开发工作，这是一个复杂而细致的过程，需要多动手才能积累经验。4.1.1电子商务系统开发流程电子商务系统开发完成，还只能自己欣赏，如何让全世界的人都可以通过浏览器看到你的系统界面呢？这就需要将电子商务系统部署到服务器上，只有将网页文件发布到WEB服务器上，才能够让远程用户访问。在实际操作中，电子商务系统部署需要经过域名申请、服务器准备和文件上传与发布三个步骤。系统发布后，更需要经常的维护与更新，保持内容的新鲜。只有不断补充新的内容，才能吸引浏览者，而有计划有步骤的进行电子商务系统推广也是电子商务系统获得有效访问的重要手段。4.1.2整体设计与功能结构设计电子商务系统整体设计阶段需要解决的事项包括：提出系统架构建议、选择技术组合、决定项目建设方式（外包还是自建等）等。目前常见的电子商务系统（网站）一般采用前后端分离的技术架构，前端一般采用H5+CSS+JS技术构建跨屏应用，后端一般采用java、python等构建API接口来连接数据库和前端并实现相关功能逻辑。如果决定采用项目外包，合作伙伴（如软、硬件服务提供商）和合作方式的选择是需要重点考虑的内容，一般中小企业采用在公有云购买云服务器，然后将电子商务系统的建设和维护委托给专业公司来进行；而大企业则可以考虑价格较高的私有云方式，然后选择自己设计并维护电子商务系统。4.1.2整体设计与功能结构设计电子商务系统功能与结构设计的主要工作是绘制电子商务系统的功能结构图，以及系统（网站）的主要信息内容与导航的策划。图4-1所示是某网络营销型电子商务系统（网站）的功能结构图。图4-1某公司电子商务系统（网站）整体结构图4.1.3艺术性设计与布局设计（1）艺术性设计让电子商务系统（网站）有一个统一的风格与形象是很重要的。要做出美观，形象统一的电子商务系统，有意识的让网站的风格，色彩、字体、排版等保持一致是非常重要的一环，此外，电子商务系统还需要考虑系统的视觉设计与企业形象识别系统（CIS）的统一。（2）布局设计如前所述，电子商务系统大部分以网站的形式存在，网页的布局设计工作是保证电子商务系统具有统一形象的另外一环。不同类型的网页的构成基本元素是不同的。一般网页的构成元素包括导航栏、网页标志、网页banner、主内容区及页脚版权信息等，如图4-2所示。4.1.3艺术性设计与布局设计图4-2电子商务系统（网站）整体布局示意图4.1.3艺术性设计与布局设计①导航栏的设计一般从总体角度来进行，是整个系统设计中比较独立的部分。一般来说，导航在各页面中出现的位置是比较固定的，而且风格也较为一致。导航的位置一般有四种：左侧、右侧、顶部和底部。有时候在同一个页面中运用了多种导航，这样可以增强电子商务系统（网站）的可访问性。导航的另一个功能是用于表示当前网页在网站中的位置。②标志是一个站点的象征，又称为站点logo。一个好的站点标志，跟企业商标一样，可以更好的树立站点形象。网页标志一般放在网站的左上角，访问者一眼就能看到它。其尺寸通常有三种：88×31、120×60、120×90像素。4.1.3艺术性设计与布局设计③Banner是横幅广告，可以位于网页顶部、中部或者底部，一般横向贯穿整个或者大半个页面。常见的尺寸是480×60像素，或233×30像素，一般是使用GIF、JPG格式的图像文件，也可以是FLASH动画。④页脚是放置版权信息的地方，也可以用于呈现联系方式或其它栏目。⑤内容区域可以采用传统的两栏(“厂”字型布局)、三栏模式(“国”字型布局)，也可以采用当前流行的兼容触屏的单栏模式。4.2电子商务系统开发技术4.2.1系统开发技术发展历程4.2.2前端开发技术4.2.3后端开发技术4.2.4安全技术4.2电子商务系统开发技术随着软件技术的创新发展，电子商务系统开发技术也在不断的发展，从最初的ASP、JSP、PHP，到后来.NET、J2EE等遵循三层结构或MVC模式的开发框架，再到当前的前后端分离的技术架构。目前，前端一般采用H5+CSS+JS技术构建跨屏应用，除了PC端的网站，更强调iPad、移动端APP和各类小程序的开发；后端一般采用java、python、php等构建API接口，同时分布式数据库、k-v数据库和数据中台技术正在逐步取代传统的关系型数据库；安全技术方面，传统的数字签名和数字认证技术成为基本技术，https成为标配，OAuth2认证技术成为用户认证的主流。4.2.1系统开发技术发展历程一般来说，网页分为“静态网页”和“动态网页”两类。（1）静态网页指网页的内容已预先设计好，存放在WEB服务器上，当用户使用浏览器通过互联网的HTTP协议向WEB服务器提出请求时，服务器仅仅是将原已设计好的静态HTML文档传送给用户浏览器。（2）动态网页指能够根据用户的要求和选择，进行不同的处理，并根据处理的结果，自动生成新的页面，不再需要设计者手动更新HTML文档。在网页上加上一些动画和视频并不是动态网页。4.2.1系统开发技术发展历程动态网页技术又可分为客户端动态技术和服务器端动态技术两种，客户端动态是指脚本代码在客户浏览器解释执行而实现的动态技术，目前常用的有JavaScript等。服务端动态技术是指在服务器上解释执行，然后将执行结果发送到客户端浏览器来显示的方式，服务端动态技术更加多样，最初是通过CGI和DHTML等方式来实现，然后出现了在HTML代码中嵌入动态代码并在服务器端的容器中执行的方式。曾经流行的ASP、JSP和PHP以及随后崛起的Node.js等均属于这类技术。由于代码嵌入方式无法完成企业级的应用开发和集成开发的要求，以.NET（、c#）和J2EE(Struts、Spring框架)为代表的Web应用开发平台成为第二阶段的主流技术，类似的有Python的Django框架和PHP的一些框架。同一时期，还出现了分操作系统（安卓、IOS、黑莓等）的移动APP开发技术和工具。4.2.1系统开发技术发展历程随着移动端应用的崛起，跨屏跨操作系统的前后端分离技术成为电子商务系统开发的主流，以VUE框架为代表的前端脚手架风靡一时，最常用的前端开发工具也从Dreamwear变为了HBuilder，而后端的API接口目前一般采用Java、Go、PHP、Python等语言来开发，出现了诸如Java微服务架构、python的Fastapi框架等开发工具。服务端动态技术一般还需要用到数据库技术，常见的WEB应用开发使用的数据库包括MySQL、MongoDB、Redis等。而对于系统集成，一般XML和JSON技术是系统间通信标准的首选。各种技术的发展历程如表4-2所示。表4-2电子商务系统开发技术发展历程第一阶段第二阶段第三阶段（当前）技术工具技术工具技术工具前端HTML, FLASH动画Dreamwear, Firework, FlashHTML,CSS, Node.js,APP开发Dreamwear, PS,APPMakr,MobileRoadie,DevmyAppH5, CSS3, JS,VUE框架HBuilder, PS后端ASP, JSP, PHPVisualStudio,Zend , J2EE(Struts/Spring), DjangoVisualStudio,XCODE,MyEclipsAPI接口,Java微服务, FastAPIVSCode, IDEA, Pycharm表4-2电子商务系统开发技术发展历程第一阶段第二阶段第三阶段（当前）技术工具技术工具技术工具数据库与数据传输Oracle, Access, XMLOfficeAccess, OralceDatabaseClientSQLServer,MySQL, MongoDB, XML,JSONSQLServerManagement, MongoDBCompass,SqlyogMongoDB, MySQL, Redis, ESJSONNavicat, Postman, DataGrip, AnotherRedisDesktopManager服务器与安全SSL,SETIIS6,Tomcat,PGPSSL,RESTFULIIS8,Tomcat,JBoss,ApacheSSL,OAuth2,RESTFUL,RedirectNginx, ApacheDigiCert4.2.1系统开发技术发展历程对应于各种开发技术，都有一些常用的开发工具，例如：前端最常用的是HBuilder，图片处理软件最常用的是Photoshop，后端一般根据采用的技术而使用VSCode、IDEA、Pycharm等，数据库客户端一般使用Navicat，API接口调测一般使用Postman。开发电子商务系统（网站）要根据实际情况选用不同的技术和开发工具。4.2.2前端开发技术Web 前端开发者需要用到HTML、CSS和JavaScript三种语言，因为一个H5网页的组成离不开这三样东西。其中HTML 定义网页的内容，控制着一个网页的框架结构；CSS 规定网页的布局，控制着网页的样式；JavaScript 对网页行为进行编程，控制着网页的交互逻辑。随着前端技术的发展，上述三种技术也有许多变化，如Vue框架通过<template>、<script>、<style lang='scss' >标签将三者合并到一个.vue文档中，而微信小程序的一个页面则包含同名的.js、.wxml（类似HTML）、.wxss（类似CSS）、.json四个文件，4.2.2前端开发技术1）HTMLHTML是超文本标记语言（HyperText Markup Language）的缩写，HTML文件（即网页的源文件）是一个放置了标记的纯文本（ASCII码）文件，通常的扩展名为.html或.htm。自1990年以来HTML就一直被用作WEB的信息表示语言，用于描述网页的格式设计和它与WEB上其它网页的连结信息。一个HTML文档是由一系列的元素和标签组成，这些标签均由"<"和">"符号以及一个字符串组成，不区分大小写。使用HTML语言描述的文件，需要通过WEB浏览器显示出效果，浏览器的功能是对标记进行解释，显示出文字、图像、动画、播放声音。4.2.2前端开发技术HTML5是HTML语言的最新版本，由W3C 与 WHATWG 合作开发，目标是成为 HTML、XHTML 以及 HTML DOM 的新标准，减少对外部插件的需求（比如 Flash），大部分现代浏览器（如Safari、Chrome、Firefox、Opera、Edge等）已经具备了某些 HTML5 新特性的支持，如用于绘画的canvas元素、新的特殊内容元素nav。广义论及HTML5时，实际指的是包括HTML、CSS和JavaScript在内的一套技术组合。用H5搭建的站点与应用可以兼容PC端与移动端、Windows与Linux、安卓与IOS，它可以轻易地移植到各种不同的开放平台、应用平台上。4.2.2前端开发技术下面是一个最基本的html文档的代码:<HTML> -----------------------------------------开始标签<HEAD> ----------------------------------------头标签<TITLE>电子商务概论</TITLE> --------------------定义标题</HEAD>---------------------------------------头标签结束<BODY> ---------------------------------------体标签开始<div>欢迎访问本网站</div>---------------插入块元素和文字<img src = "./images/smile.jpg">---------------插入图片<p>想查看本书教案,<a href="http://www.docin.com/p-12184177.html">点击这里</a>---插入超链接</p></BODY> --------------------------------------体标签结束</HTML> ----------------------------------------结尾标签4.2.2前端开发技术2）CSSCSS是英文Cascading Style Sheets的缩写，是一种样式表语言，用于控制网页的样式和布局,一般中译为级联样式表或层叠样式表，是能够实现网页表现与内容分离的一种样式设计语言，有较强的易读性。相对于传统HTML，CSS能够对网页中对象的位置排版进行像素级的精确控制，拥有对网页对象和模型样式编辑的能力，并能够进行初步交互设计，是目前基于文本展示最优秀的表现设计语言。CSS通过盒子模型对网页上的块元素（如DIV）进行布局，有浮动布局和定位布局两种方式，与传统中通过表格（Table）布局定位的方式不同，它可以实现网页页面内容与表现相分离。4.2.2前端开发技术CSS 是开放网络的核心语言之一，由 W3C 规范 实现跨浏览器的标准化，样式可以通过定义保存在外部.css文件中，同时控制多个网页的布局，这意味着开发者不必经历在所有网页上编辑布局的麻烦，节省了大量的工作。CSS3 是最新的 CSS 标准，由W3C对其规范进行开发，CSS3 被划分为可以独立更新的多个模块，其中最重要的 CSS3 模块包括：选择器、框模型、背景和边框、文本效果、2D/3D 转换、动画、多列布局、用户界面等。CSS3 完全向后兼容，因此您不必改变现有的设计，您可以理解为CSS3与CSS2相比只是多了一些样式而已，如圆角（border-radius属性）、边框阴影（box-shadow属性）。CSS3 完全向后兼容，因此您不必改变现有的设计，最新的浏览器已经实现了相当多的 CSS3 属性，若浏览器如果不兼容CSS3的话，就会以传统CSS样式的方式显示。4.2.2前端开发技术任何一种文本编辑工具都可用来编写CSS，如：Windows下的写字本、记事本；或其他专门用于编辑网页文本的工具，如：IntelliJ IDEA、Eclipse、MyEclipse、sublime text、VS Code；此外还有专门针对前端开发的软件，如：HBuilder。4.2.2前端开发技术3）JavaScriptJavaScript(JS)是一种具有函数优先的轻量级，解释型或即时编译型的编程语言。是世界上最流行的脚本语言，因为你在电脑、手机、平板上浏览的所有的网页，以及无数基于HTML5的手机App，交互逻辑都是由JavaScript驱动的。简单地说，JavaScript是一种运行在浏览器中的解释型的编程语言。JavaScript 简称JS，是一种具有函数优先的轻量级，解释型或即时编译型的编程语言。JS是世界上最流行的脚本语言，它灵活轻巧，兼顾函数式编程和面向对象编程，是 Web 前端开发的唯一选择，在PC、手机、平板上浏览的所有的网页，以及无数基于HTML5的手机App，其交互逻辑都是由JavaScript驱动的。4.2.2前端开发技术JavaScript 有很多框架（函数库），比如 jQuery、AngularJS、React 等，jQuery 库是最常用的与数据交互有关的库，包含以下特性：HTML 元素选取、HTML 元素操作、CSS 操作、HTML 事件函数、JavaScript 特效和动画、HTML DOM 遍历和修改、AJAX、Utilities。可以通过下面的标记把 jQuery 添加到网页中：<head><script type="text/javascript" src="jquery.js"></script></head>4.2.2前端开发技术4）VueVue 是一套用于构建用户界面的渐进式框架。与其它大型框架不同的是，Vue 被设计为可以自底向上逐层应用。Vue 的核心库只关注视图层，不仅易于上手，还便于与第三方库或既有项目整合。另一方面，当与现代化的工具链以及各种支持类库结合使用时，Vue 也完全能够为复杂的单页应用提供驱动。Vue所关注的核心是MVC模式中的视图层,同时,它能方便地获取数据更新,并通过组件内部特定的方法实现视图与模型的交互。 通俗的来讲,vue就是一个已经搭建好的空屋,与单纯使用jQuery这种库比,可以更好地实现代码复用,减少工作量。4.2.2前端开发技术理论上说，使用原生JS或jQuery能满足大部分的前端开发需求，而开发大型系统，使用Vue框架能极大的提高开发效率，但近年来，各种Vue的变种、第三方库和各种脚手架的涌现，使得基于Vue的前端加基于RESTFUL的接口的前后端分离方式的电商系统开发方式成为几乎“唯一”选项。4.2.3后端开发技术1）API接口技术API（Application Programming Interface，应用程序接口）是一些预先定义的接口（如函数、HTTP接口），或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问源码，或理解内部工作机制的细节。API架构已经成为目前互联网产品开发中常见的软件架构模式，并且诞生很多专门API服务的公司，如：全查查（https:///）、百度APIStore（http://apistore./）4.2.3后端开发技术当前API接口一般指的是RESTFUL风格的接口。RESTFUL是一种网络应用程序的设计风格和开发方式，基于HTTP，可以使用XML格式定义或JSON格式定义。RESTFUL适用于移动互联网厂商作为业务接口的场景，实现第三方OTT调用移动网络资源的功能，动作类型为新增、变更、删除所调用资源。RESTFUL的每一个URI代表1种资源，客户端与服务端之间的交互在请求之间是无状态的，从客户端到服务端的每个请求都必须包含理解请求所必需的信息。RESTFUL客户端使用GET、POST、PUT、DELETE4个表示操作方式的动词对服务端资源进行操作：GET用来获取资源，POST用来新建资源（也可以用于更新资源），PUT用来更新资源，DELETE用来删除资源。对应的接口类型也就有四种，一般常见的是GET和POST两种类型的接口。4.2.3后端开发技术2）Java微服务传统的web开发模式：所有的功能打包在一个包里，基本没有外部依赖（除了容器），部署在一个JEE容器（Tomcat，JBoss，WebLogic）里，包含了 DO/DAO，Service，UI等所有逻辑。这种方式比较适合需求明确的项目或小型项目，开发集中简单，方便管理。但是对于需求复杂或不够明确的项目来是说，系统的稳定性，扩展度，灵活性都差强人意。所以就需要分布式开发，也就是微服务架构了。 微服务的目的是有效的拆分应用，实现敏捷开发和部署 。随着微服务理念的兴起，Java微服务架构如雨后春笋般的出现，如Spring Boot、Swagger、Helidon、Eclipse MicroProfile、Cricket、Jersey等。4.2.3后端开发技术Spring Boot是Spring的一个特定版本，是java微服务的入门级框架，它通过对配置细节的处理，使微服务构建更加简便，一般是具有Java基因的程序员的首选。Swagger是一个规范和完整的框架，用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。如其说Swagger是一种java微服务架构，不如说她是一个api生态系统，核心是OpenAPI规范，它不局限于Java，比如python的Fastapi就内嵌了swagger。4.2.3后端开发技术3）数据库数据库技术是电子商务系统建设的核心技术之一。数据库是以一定的组织方式存储在一起的相关数据的结合，它能以最佳的方式、最少的数据冗余为多种应用服务，程序和数据具有较高的独立性。在电子商务系统中，产品资料管理、数据资料管理、客户资料管理和分析、物流配送管理等都离不开数据库的支持，按照数据库管理系统的类型可分为关系型数据库和非关系型数据库。关系型数据库最重要的特点是使用结构化查询语言（Structured Query Language, SQL），SQL的理论于1974年被提出，由于它具有功能丰富、使用方式灵活、语言简洁易学等优点，很快得以推广。它的功能包括查询、操纵、定义和控制四个方面，是一个综合、通用、功能强大的关系数据库语言。4.2.3后端开发技术具有一体化、灵活和高度非过程化等突出优点。目前常用的关系型数据库有SQL Server、Oracle和MySQL等。随着互联网web2.0网站的兴起，传统的关系数据库在应付web2.0网站，特别是超大规模和高并发的SNS类型的web2.0纯动态网站已经显得力不从心，暴露了很多难以克服的问题，而非关系型数据库则由于其本身的特点得到了非常迅速的发展。NoSQL(Not Only SQL )，意即“不仅仅是SQL”，是一项全新的数据库革命性运动，随着Hadoop等分布式文件系统和Spark等大规模并行处理架构的渐趋成熟，近年来处于快速发展时期。常见的非关系型数据库有Redis、Memcache、MongoDb、Neo4j、ES、Milvus等,以MongoDB为永久存储，以Redis为应用缓存已经成为当前流行网站的标配。4.2.4安全技术由于互联网的开放性，以互联网为基础的电子商务所带来的安全问题远比传统商务安全问题复杂得多。随着信息化进程的加快，病毒泛滥、黑客破坏、信息窃取、信息篡改、身份假冒、交易抵赖、交易欺诈等电子商务安全问题也日益严重起来。在考虑电子商务安全需求时，除了要考虑计算机系统与网络通信系统的安全，还要考虑商务系统所特有的交易安全需求，一般来说，电子商务中必须重视的问题还包括如何确保交易过程的安全，如何保证电商活动中隐私数据的安全等。4.2.4安全技术中国互联网络信息中心（CNNIC）在2021年8月发布的第48次《中国互联网络发展状况统计报告》显示：“截至 2021 年 6 月，61.4%的网民表示过去半年在上网过程中未遭遇过网络安全问题，遭遇个人信息泄露的网民比例最高为22.8%；遭遇网络诈骗的网民比例为 17.2%；通过对遭遇网络诈骗网民的进一步调查发现，虚拟中奖信息诈骗仍是网民最常遭遇的网络诈骗类型，占比为 40.8%，遭遇网络购物诈骗的比例为31.7%，遭遇钓鱼网站诈骗的比例为21.8%”。这说明电子商务安全状况仍不容乐观，防止网络诈骗与个人信息泄露等成为亟需解决的问题。4.2.4安全技术1）电子商务安全的要素电子商务安全是一个复杂的系统问题，在开展电子商务的过程中会涉及以下几个安全性方面的要素：可靠性、真实性、机密性、完整性、不可否认性。电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放,以确保信息的顺序完整性和内容完整性。4.2.4安全技术交易的真实性是指商务活动中交易者身份是真实有效的，也就是要确定交易双方是真实存在的，网上交易的双方可能素昧平生、相隔千里，要进行成功交易的前提条件是要能确认对方的身份是否真实可信，真实性通常采用电子签名、数字证书等技术来实现，而近年来基于人脸识别等AI技术的应用，使得实人认证成为可能，大量的在线政务或商务服务依赖于这一技术的普及。4.2.4安全技术信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密，电子商务是建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广应用的重要障碍，因此必须要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。交易的不可否认性是指保证发送方不能否认自己发送了信息，同时接收方也不能否认自己接收到信息，在电子商务的应用环境中，通过手写签名与印章进行鉴别已不可能，就需要用其他方法实现交易的不可抵赖。4.2.4安全技术2）加密与数字签名信息加密就是采用数学方法与一串数字（密钥）对原始信息（明文）进行编码，产生密文的一系列步骤。通过数据加密技术可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。对信息进行加密解决了信息安全传送的问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，就需要电子签名（也称数字签名）技术。一个数据加密系统包括加密算法、明文、密文以及密钥。将明文转成密文的程序称作加密程序，使得加密后在网络上公开传输的内容对于非法接收者成为无法理解的符号（密文）。合法的接收方运用其掌握的密钥，对密文进行解密得到原始信息，所用的程序称为解密程序，是加密的逆过程。4.2.4安全技术数据加密算法有很多种，密码算法标准化是信息化社会发展的必然趋势，是世界各国保密通信领域的一个重要课题。按照发展进程来分，经历了古典密码、对称密钥密码和公开密钥密码阶段。古典密码算法有替代加密、置换加密；对称加密算法包括DES和AES；非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal D_H等。目前在数据通信中使用最普遍的算法有DES算法和RSA算法等。对称加密又称为单钥加密或私钥加密，即收发信双方同用一个密钥去加密和解密数据，常见的对称加密算法为DES（data encrypt standard）和IDEA等算法,目前广泛使用的是3DES。对称加密方法对信息编码和解码的速度很快，效率也很高，但也存在如下问题：首先密钥需要细心保存，如果密钥泄露，以前的所有信息都失去了保密性，致使以后发送者和接收者进行通讯时必须使用新的密钥。4.2.4安全技术非对称加密又称为公开密钥加密或双钥加密，1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了 RSA公开密钥密码系统，它是最常用的一种不对称加密算法。RSA公开密钥密码系统使用一对不同的密钥，给别人用的就叫公钥，给自己用的就叫私钥。这两个可以互相并且只有为对方加密或解密，用公钥加密后的密文，只有私钥能解。电子签名技术采用电子签名来模拟手写签名，解决了电子商务中不可否认的安全需求。电子签名可以保证接收者能够核实发送者对电子文件的签名，发送者事后不能抵赖对文件的签名，接收者不能伪造对电子文件的签名。它能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可否认性，起到与手写签名或者盖章同等作用。电子签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。4.2.4安全技术PGP是广泛应用于文件加密、电子邮件加密、电子签名、可信WEB等领域的一款软件，PGP加密由一系列散列、数据压缩、对称密钥加密，以及公钥加密的算法组合而成，其每个公钥均绑定唯一的用户名和/或者E-mail地址，通过一个自动密钥管理服务器来进行密钥的可靠存放，但最新的Windows版本（如win10）对PGP的兼容性存在较大的问题，正在被各类云可信服务解决方案取代。4.2.4安全技术图4-3 PGP主界面与安全电子邮件设置选项4.2.4安全技术3）数字证书与认证机构数字证书又称为数字凭证或数字标识(Digital Certificate，Digital ID)，也被称作CA证书，实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在计算机硬盘或IC卡中。数字证书一般是由CA认证中心签发的，证明证书主体(证书申请者获得CA认证中心签发的证书后即成为证书主体)与证书中所包含的公钥的唯一对应关系。它提供了一种在互联网上验证身份的方式，是用来标识和证明网络通信双方身份的数字信息文件。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或组织在互联网的身份证。4.2.4安全技术CA (Certification Authority)是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书(用数学方法在证书上签字)，以防证书被伪造或篡改。认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。理想化的状态是，上网的每一个企业或者个人都要有一个自己的网络身份证作为唯一的识别。而这些网络身份证的发放、管理和认证就是一个复杂的过程，也就是所谓的CA认证。4.2.4安全技术DigiCert公司是一家高保证数字证书提供商,为新兴物联网市场提供值得信赖的 SSL、私有和托管 PKI 部署以及设备证书，许多一线互联网公司都使用其服务。而Let's Encrypt是一家新兴的免费的数字证书认证机构，旨在以自动化流程消除手动创建和安装证书的复杂流程，并推广使万维网服务器的加密连接无所不在，为安全网站提供免费的SSL/TLS证书。该机构由互联网安全研究小组（缩写ISRG）提供服务,2015年与Linux基金会合作发布了用以实现新的数字证书认证机构的协议，被称为自动证书管理环境（ACME），并提供了可免费生成证书的acme.sh实现。4.2.4安全技术电子商务系统的数字证书一般可向阿里云或腾讯云申请，也可使用类似acme.sh（https:///acmesh-official/acme.sh/）的国外免费服务来获取。以阿里云（https://www.aliyun.com/product/cas）为例，提供的SSL证书（SSL Certificates）为网站和移动应用（APP）及小程序提供数据HTTPS加密协议访问，保障数据的安全，装载SSL证书产品后自动激活浏览器中显示“锁”型安全标志，地址栏以“https”开头，阿里云提供SSL证书（服务端和客户端），且均支持ECC、RSA 或 SM（国密） 三种加密方式。图4-4为 阿里云免费SSL证书申请页面，其数字证书由DigiCert公司提供。4.2.4安全技术图4-4 阿里云免费SSL证书申请页面截图4.3电子商务系统部署与管理4.3.1云服务器4.3.2云服务器部署4.3.3Web环境部署4.3.4域名申请与解析4.3.5电子商务安全协议4.3.1云服务器云计算是指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。“云”是一个计算资源池，通常为一些大型服务器集群，包括计算服务器、存储服务器、带宽资源等等。 “云计算”将所有的计算资源集中起来，通过网络提供给用户。这使得应用提供者无需为繁琐的细节而烦恼，能够更加专注于自己的业务，有利于创新和降低成本。云服务器（又称云计算服务器或云主机），是云计算在基础设施应用上的重要组成部分，它整合了互联网应用三大核心资源：计算、存储与网络，面向用户提供公用化的互联网基础设施服务，能提供基于云计算模式的按需使用和按需付费的服务器租用服务，用户可以通过web界面或APP的自助服务平台，部署所需的服务器环境。4.3.1云服务器云服务器与传统的虚拟主机不同，是新一代的主机租用服务，在一组集群主机上虚拟出多个类似独立主机的部分，有效提高了虚拟主机的安全稳定性；并整合了高性能服务器与优质网络带宽，有效解决了传统主机租用价格偏高、服务品质参差不齐等缺点。云服务器可较好的满足用户对主机租用服务低成本，高可靠，易管理的需求，使用云服务器就像使用水、电、煤气等资源一样便捷、高效，无需提前采购硬件设备，而是根据业务需要，随时购买，可以有效帮助用户降低IT成本，提升运维效率，近年来已经成为主流电子商务系统部署的首选方式。4.3.2云服务器部署目前国内外云服务器运营商主要有AWS，阿里云、腾讯云等，一般的云服务器部署流程包括服务商选择、硬件选择、操作系统选择等。（1）服务器硬件的选择目前各家云服务商都支持根据自身情况自主配置选型，以阿里云ECS云服务器为例，支持线路（服务器地点），CPU核心数目，硬盘大小，内存大小等的配置。阿里云的个人用户配置包括入门型、基础型、通用型、进阶型等，入门型建议配置1核CPU、1 GB内存（，搭配40 GB高效云盘和1 Mbps公网带宽，适用于访问量较小的个人网站初级阶段；通用型建议配置2核CPU、4 GB内存，搭配40 GB高效云盘和2 Mbps公网带宽，能满足90%云计算初级用户的需求，适用于企业运营活动、并行计算应用、普通数据处理。4.3.2云服务器部署针对企业级的用户，阿里云提供了以下应用场景下的实例配置建议：均衡性能、高网络收发包应用、高性能计算、高性能端游、手游与页游、视频转发、直播弹幕、关系型数据库、分布式缓存、NoSQL数据库、Elastic Search、Hadoop、Spark、Kafka、机器学习、视频编码、渲染等。一般来说，企业级服务器的通用建议配置至少为8核CPU，32G内存，100G系统盘，加挂500G数据云盘，内网带宽20 Gbps。再根据具体需求调整配置以适应各种类型和规模的企业级应用，如计算集群/依赖内存的数据处理一般增加内存到128G或更高，数据分析和计算类应用一般需要购买GPU，而用于生产环境的中小型数据库系统/缓存/搜索集群则建议购买相应的专业服务器，此外如果有海量图像、视频、文本的存储需求的则建议购买对象存储。4.3.2云服务器部署（2）操作系统的选择操作系统是网站服务器软件系统的基础平台，目前市场上服务器操作系统主要有Windows系列和Linux系列两大类，企业要根据自己的需要和技术能力进行科学的选择。Windows系列最新版为Windows Server 2022，但常用的版本为Windows Server 2012 R2。Linux系列目前常用的有CentOS和Ubuntu，目前CentOS最新版本为8.4，Ubuntu最新版本为21.04，一般服务器常用的版本有CentOS 6.8、CentOS 8.2、Ubuntu 18.04、Ubuntu 20.04等，云服务商一般会提供常用的操作系统镜像供安装使用，也有镜像市场以满足特定场景需要。WEB环境部署与所选择的硬件环境和操作系统环境密切相关，也与期望实现的功能密切相关。部署内容包括WEB服务器配置、数据库服务配置、相应的应用框架的搭建、网站发布、FTP服务配置与文件上传等，常见的环境类型有： Windows WEB服务器环境（含数据库部署）、Nginx服务（Linux系统）、各类数据库服务、API接口服务等，近年来，在Linux系统中使用Docker来部署服务已渐渐成为主流，Windows目前也开始提供docker版本，但应用较少。Web服务器是负责以HTTP或HTTPS协议与客户浏览器端进行交互的软件，它接受来自浏览器端客户的服务请求，将网站处理的结果以Web网页的形式发送回客户浏览器来响应。Web服务器和操作系统之间有密切的关系。Linux系列的操作系统常用Nginx或Apache来部署WEB服务；Windows系列的操作系统一般使用Internet Information services（IIS）来部署。4.3.3 WEB环境部署 不过随着Windows对Docker的支持和Web服务对SSL认证、重定向等技术的新要求，当前的Web服务安装与配置技术有倾向于统一采用Docker来部署Nginx或Apache来实现的趋势。
由于IIS专为Windows进行了优化，是Windows 操作系统下的首选Web服务器。通过WEB服务器提供的配置对话框或配置文件，可以设置缺省网站目录和缺省首页文件等。以Windows Server 2012 R2服务器上IIS的安装与配置为例。选择“开始”菜单中的“服务器管理器”命令，打开服务器管理器。单击“2 添加角色和功能”选项，打开“添加角色和功能向导”窗口，按照提示安装“Web服务器（IIS）”。安装完成后在服务器管理器主界面选择“工具”>“Internet信息服务（IIS）管理器”选项，即可打开IIS管理器，界面如图4-5所示。在“Internet信息服务（IIS）管理器”中单击左侧窗格的“网站”选项，在展开的列表中右击默认站点“Default Web Site”，在弹出的快捷菜单中选择“管理网站”>“浏览”菜单项，系统会启动浏览器并打开本地站点。
4.3.3 WEB环境部署
4.3.3 WEB环境部署图4-5 Internet信息服务管理器界面4.3.4域名申请与解析（1）域名与域名策略域名（Domain Name），是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在互联网上识别和定位计算机。它像品牌、商标一样具有重要的识别作用，是企业的一种无形资产，一个良好的域名可以大大提升企业的知名度。①定义域名要讲究艺术性，既要符合企业的特点又要简洁。②域名要与企业的名称、商标、产品或核心业务相关。如单位名称的中英文缩写、企业产品的注册商标、产品名称等。③可以为同一个网站申请多个域名。互联网络允许多个域名指向同一个IP地址。而访问者只要知道其中任何一个就行了，这无疑会大大增加网站同公众接触的概率。对一个知名企业的网站来说，这一点更加重要，最好能把相关的域名都注册下来，以防他人抢注域名或冒充你企业的网站。4.3.4域名申请与解析④域名要好记，尽量使用短小的词或容易理解的缩写作为域名，域名太长容易使人记错。⑤利用汉语同数字的谐音作为域名，往往可以达到意想不到的效果。如www. 5i5j.com，www.。⑥不要让你的域名和其他企业的域名相似，以免混淆。造成域名混淆的原因有几种情况，一是域名的几个部分使用连字符“-”、“_”。二是其二级域名.或者cn分属不同的企业。如www.与www.二个域名就很容易造成混淆。4.3.4域名申请与解析（2）域名申请域名申请是为保证每个网站的域名或访问地址是独一无二的，需要向统一管理域名的机构或组织注册或备案的一种行为。也就是说，为了保证网络安全和有序性，网站建立后为其绑定一个全球独一无二的域名或访问地址，必须向全球统一管理域名的机构或组织去注册或者备案方可使用的一种行为。国际域名管理机构是采取“先申请，先注册，先使用”的方式，而网域名称只需要缴交金额不高的注册年费，只要持续注册就可以持有域名的使用权。①国际域名申请国际域名可直接登陆到国际互联网域名注册管理机构（www.internic.net）查询想申请的域名是否已经被他人注册，如果没有，则填表申请并通过信用卡交纳一定的费用即可。商业企业一般选择www.或www.xxxx.biz。4.3.4域名申请与解析②国内域名申请根据《中国互联网络域名管理办法》的规定，中国互联网信息管理中心（nic.）在2002年12月变革域名管理服务模式，作为CN域名注册管理机构，不再直接面对最终用户提供CN域名注册相关服务，域名注册服务将转由CNNIC认证的域名注册服务机构提供。可以在CNNIC的网站进行WHOIS查询和域名注册服务机构查询。③通过域名注册服务机构申请无论在国内还是国际，有许多互联网服务商也提供域名申请代理业务，如万网（https://wanwang.aliyun.com/）、中国频道（http://www.china-/）等。4.3.4域名申请与解析（3）域名解析域名注册完毕后，需要通过网站或手机客户端进行设置，将域名解析到系统所在的云服务器。域名解析是指在系统中通过域名服务器完成IP地址与域名的双向映射的过程。域名服务器接受一个域名，将它翻译成IP地址，再将这个IP地址返回提出域名请求的计算机；或者接受一个IP地址，将IP地址翻译成域名后返回给提出IP地址请求的计算机，这个过程称为域名解析。4.3.5电子商务安全协议电子商务应用的核心和关键问题是交易的安全性。由于互联网本身的开放性，使得网上交易面临着各种危险，由此提出了相应的安全控制要求。最近几年，信息技术行业与金融行业联合制定了几种安全交易标准，它们主要包括SSL标准和SET标准等。1）安全套接层协议安全套接层(Secure Sockets Layer，SSL)是一种传输层技术，由Netscape开发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，确保数据在网络上之传输过程中不会被截取及窃听，可以实现浏览器和服务器(通常是Web服务器)之间的安全通信。4.3.5电子商务安全协议SSL协议位于TCP/IP协议与各种应用层协议之间，为信息传输提供安全支持，是目前购物网站中经常使用的一种安全协议。简单地说，所谓SSL就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。SSL为快速架设商业网站提供了比较可靠的安全保障，并且成本低廉，容易架设。绝大多数的浏览器都支持SSL，很多Web服务器也支持SSL。SSL使用的是RSA电子签名算法，可以支持X.509证书和多种保密密钥加密算法。4.3.5电子商务安全协议由于SSL处在互联网协议集中TCP/IP层的上面，实现SSL的协议是HTTP的安全版，名为HTTPS。在URL前用HTTPS协议就意味着要和服务器之间建立一个安全的连接。例如，输入的 URL为 https：//www. amazon.com，就会同amazon.com建立安全的连接，这时浏览器状态栏会显示出一个锁表示已建立安全连接。SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中，双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。如果客户机没有证书也没关系，因为客户机是发送敏感信息的一方。而客户机正与之交易的服务器应有一个有效的证书，否则客户机就无法确认这个商务网站是否与其声称的身份相符。4.3.5电子商务安全协议图4-6 HTTPS协议的使用4.3.5电子商务安全协议确认完成后，SSL对在这两台计算机之间传输的信息进行加密和解密，这将意味着对HTTP请求和响应都进行加密，所加密的信息包括客户机所请求的URL、用户所填的各种表（如信用卡号）和HTTP访问授权数据（如用户名和口令）等，简而言之，SSL支持的客户机和服务器间的所有通讯都加密了。在SSL对所有通讯都加密后，窃听者得到的是无法识别的信息。SSL有两种安全级别：40位和128位。这是指每个加密交易所生成的私有会话密钥的长度。可根据互联网 Explorer和 Netscape浏览器状态条上锁头的开关来判别浏览器是否进入了SSL会话。如果未进入，则锁头处于打开状态。一旦会话结束，会话密钥将被永远抛弃，以后的会话也不再使用。4.3.5电子商务安全协议SSL安全协议的缺点主要有：不能自动更新证书，认证机构编码困难，浏览器的口令具有随意性，不能自动检测证书撤销表，用户的密钥信息在服务器上是以明文方式存储的。另外，SSL虽然提供了信息传递过程中的安全性保障，但是信用卡的相关数据应该是银行才能看到，然而这些数据到了商店端都被解密，客户的数据都完全暴露在商家的面前。SSL安全协议虽然存在着弱点，但由于它操作容易，成本低，而且又在不断改进，所以在商业网站上的应用是较广泛的。4.3.5电子商务安全协议2）安全电子交易协议电子支付涉及到资金、账户、信用卡、银行等一系列对货币最敏感的部门，因此对安全有非常高的要求。安全电子交易协议（Secure Electronic Transaction，SET)于1996年由Visa与MasterCard两家信用卡组织联合Microsoft、Netscape、RSA等众多IT公司共同推出。SET协议在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是事关重大的。由于设计合理，SET协议得到了IBM、Microsoft等许多大公司的支持，已成为事实上的工业标准。4.3.5电子商务安全协议SET是一种以信用卡为基础的、在互联网上交易的付款协议书，是授权业务信息传输安全的标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数来鉴别信息的完整性。在SET的交易中，成员主要有持卡人（消费者）、网上商家、收单银行、支付网关、发卡银行、认证中心CA。SET系统的动作是通过4个软件来完成的，包括电子钱包、商店服务器、支付网关和认证中心软件，这4个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中，相互运作来完成整个SET交易服务。谢谢聆听！

展开更多......

收起↑