物流信息系统应用课件作者范新辉_第四单元综合知识模块三.ppt

能力知识点1 电子商务系统的安全 【案例引入】电子签名也称作“数字签名”，是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章，用于鉴定签名人的身份以及对一项数据电文内容信息的认可。2003年，广东省率先实施了类似的相关管理条例——《广东省电子交易条例》，同时，为了配合该条例的实施，先后建立了广东省数字证书认证中心和广东省电子政务认证中心。2005年4月1日，《电子认证服务管理办法》正式实施，政府、企业和公民在今后的工作和生活中采取电子签名必须遵守该法，同时也受到法律的保护。至此，被称为“网络身份证”的电子签名有了法律依据。 一、电子商务系统面临的主要安全威协 1．信息泄露 电子交易双方的商业机密文件在传输时，除了关心所发送的数据能否按时被对方收到，更关心的是数据在传输过程中是否被第三方窃取或被使用。 2．信息篡改 电子商务的信息在传输过程中被第三方窃取或遭到非法入侵者的入侵，进行恶意篡改、伪造和破坏，使交易双方的商业信息失去真实性和完整性。 3．信息破坏 计算机系统网络硬件或软件出现故障或被病毒程序侵害，会造成电子商务信息丢失和信息遭到破坏，病毒一直是计算机系统最直接的安全威胁。 4．抵赖行为 交易对象的虚假身份及虚假订单和贸易对象的抵赖（如拒绝承认双方商定的协议内容），如何来保证信息的不可否认性。 二、电子商务系统的安全要求 1．信息传输的保密性 2．交易文件的完整性 3．信息的不可否认性 4．交易者身份的真实性 三、电子商务系统的安全技术 1．加密技术 所谓信息加密技术，就是采用数学方法对原始信息（通常称为“明文”）进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字（加密后的信息通常称为“密文”）。 2．安全认证 所谓身份认证，就是在交易过程中判明和确认贸易双方的真实身份，这是目前在网络交易过程中最薄弱的环节。 认证中心（Certificate Authority，简称CA），作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。 认证中心的核心功能： 1）接收验证最终用户数字证书的申请。 2）确定是否接受最终用户数字证书的申请—— 证书的审批。 3）向申请者颁发、拒绝颁发数字证书—— 证书的发放。 4）接收、处理最终用户的数字证书更新请求—— 证书的更新。 5）接收最终用户数字证书的查询、撤销。 6）产生和发布证书废止列表（CRL）。 7）数字证书的归档。 8）密钥归档。 9）历史数据归档。 10）CA内部管理。 3．数字证书 数字证书又称为数字标识（Digital ID），它提供了一种在Internet上验证身份的方式，是用来标志和证明网络通信双方身份的数字信息文件。 数字证书采用公开密钥体制，把身份与电子密钥绑定，该密钥可以对信息进行加密和签名。 数字证书实质上就是一系列密钥，用于签名和加密数字信息。 数字证书的内容包括：用户的公钥、用户名、公钥的有效期、CA颁发者（颁发数字证书的CA）、数字证书的序列号和颁发者的数字签名。 数字证书的作用包括：① 信息除发送方和接受方外不被其他人窃取。② 信息在传输过程中不被篡改。③ 接收方能够通过数字证书来确认发送方的身份。④ 发送方对于自己发送的信息不能抵赖。 数字证书的分类： （1）个人数字证书：为某个用户提供凭证，一般安装在客户浏览器上，以帮助其在网上进行安全交易。 （2）企业数字证书：是为网上的某个企业Web服务器提供凭证，企业利用数字证书可以在网上进行安全的电子交易，可以使用安全电子协议，在用户和服务器之间的数据传送加密的形式进行交易。 （3）软件数字证书：是为软件开发者提供凭证，证明该软件的合法性。 4．安全电子交易协议 安全电子交易协议（Secure Electronic Transaction Protocol，简称SET）在1997年6月正式发布，是目前国际上通用的网上支付标准，是VISA和Master card两家国际上最大的信用卡公司连同一些计算机厂商，包括IBM、Microsoft等信息产业巨头共同制订的。 制定安全电子协议的目的：① 保证信息的机密性。② 保证支付信息的完整性。 基于SET协议的电子商务结构 SET协议的目标 ： 1）保证信息在Internet上的安全传输，防止数据被黑客或内部人员窃取。 2）保证电子商务参与者信息的相互隔离，使商家不能看到客户的账户和密码。 3）解决多方认证，不仅对消费者的信用卡进行认证，而且要对在线商家进行认证，同时还要进行客户、商家银行间的相互认证。 4）保证网上交易的实时性，使所有的支付过程都是实时在线的。 5）规范协议和消息格式，促进不同厂家开发的软件具有兼容性和可操作性，且可运行在不同的硬件和操作系统平台上。