电子商务教程推荐

电子商务教程推荐内容摘要：

连接后，企业已经为建立一个好的电子商务系统打下良好基础，在这个基础上，在增加电子商务应用系统， 就可以进行电子商务了。 一般来讲，电子商务应用系统主要以应用软件形式实现，它运行在已经建立的企业内部网 （ Intra）之上。 电子商务应用系统分为两部分，一部分是完成企业内部的业务处理和向企业外部用户提供服务，比如用户可以通过互联网查看产品目录、产品资料等；另一部分是极其安全的电子支付系统，电子支付系统使得用户可以通过互联网在网上购物、支付等，真正实现电子商务。 三章 电子商务安全问题 电子商 务主要的安全要素 电子商务采用的主要安全技术及其标准规范 电子商务主要的安全要素 （ 1）有效性 EC以电子形式取代了纸张 ,那么如何保证这种电子形式的贸易信息的有效性则是开展 E的前提。 EC作为贸易的一种形式 ,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。 因此 ,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防 ,以保证贸易 数据在确定的时刻、确定的地点是有效的。 （ 2）机密性 EC 作为贸易的一种手段 ,其信息直接代表着个人、企业或国家的商业机密。 传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。 EC是建立在一个较为开放的网络环境上的 (尤其 Inter 是更为开放的网络 ),维护商业机密是EC 全面推广应用的重要保障。 因此 ,要预防非法的信息存取和信息在传输过程中被非法窃取。 （ 3）完整性 EC 简化了贸易过程 ,减少了人为的干预 ,同时也带来维护贸易各方商业信息的完整、统一的问题。 由于数据输入时的 意外差错或欺诈行为 ,可能导致贸易各方信息的差异。 此外 ,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。 贸易各方信息的完整性将影响到贸易各方的交易和经营策略 ,保持贸易各方信息的完整性是 EC 应用的基础。 因此 ,要预防对信息的随意生成、修改和删除 ,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。 （ 4）可靠性 /不可抵赖性 /鉴别 EC 可能直接关系到贸易双方的商业交易 ,如何确定要进行交易的贸易方正是进行交易所期U8 办公资源网 范本，范文，模板，办公工具， 培训资料 免费下载 望的贸易方这一问题则是保证 EC 顺利进行的关键。 在传统的纸面 贸易中 ,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴 ,确定合同、契约、单据的可靠性并预防抵赖行为的发生。 这也就是人们常说的 白纸黑字。 在无纸化的 EC 方式下 ,通过手写签名和印章进行贸易方的鉴别已是不可能的。 因此 ,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 （ 5）审查能力 根据机密性和完整性的要求 ,应对数据审查的结果进行记录。 电子商务采用的主要安全技术及其标准规范 考虑到安全服务各方面要求的技术方案已经研究出来了 ,安全服务可在网络上任何 一处加以实施。 但是 ,在两个贸易伙伴间进行的 EC,安全服务通常是以 端到端 形式实施的 (即不考虑通信网络及其节点上所实施的安全措施 )。 所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。 这里将介绍 EC 应用过程中主要采用的几种安全技术及其相关标准规范。 （ 1）加密技术 加密技术是 EC 采取的主要安全措施 ,贸易方可根据需要在信息交换的阶段使用。 目前 ,加密技术分为两类 ,即对称加密和非对称加密。 ① 对称加密 /对称密钥加密 /专用密钥加密 在对称加密方法中 ,对信息的加密和解密都 使用相同的密钥。 也就是说 ,一把钥匙开一把锁。 使用对称加密方法将简化加密的处理 ,每个贸易方都不必彼此研究和交换专用的加密算法 ,而是采用相同的加密算法并只交换共享的专用密钥。 如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露 ,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。 对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。 此外 ,当某一贸易方有 n个贸易关系 ,那么他就要维护 n个专用密钥 (即每把密钥对应一贸易方 )。 对称加密方式存在的另一 个问题是无法鉴别贸易发起方或贸易最终方。 因为贸易双方共享同一把专用密钥 ,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。 数据加密标准 (DES)由美国国家标准局提出 ,是目前广泛采用的对称加密方式之一 ,主要应用于银行业中的电子资金转帐 (EFT)领域。 DES的密钥长度为 56 位。 三重 DES 是 DES 的一种变形。 这种方法使用两个独立的 56位密钥对交换的信息 (如 EDI 数据 )进行 3 次加密 ,从而使其有效密钥长度达到 112位。 RC2 和 RC4 方法是 RSA数据安全公司的对称加密专利算法。 RC2 和 RC4 不同于 DES,它们采用 可变密钥长度的算法。 通过规定不同的密钥长度 ,RC2 和RC4 能够提高或降低安全的程度。 一些电子邮件产品 (如 Lotus Notes 和 Apple 的 Opn Collaboration Environment)已采用了这些算法。 ② 非对称加密 /公开密钥加密 在非对称加密体系中 ,密钥被分解为一对 (即一把公开密钥或加密密钥和一把专用密钥或解密密钥 )。 这对密钥中的任何一把都可作为公开密钥 (加密密钥 )通过非保密方式向他人公开 ,而另一把则作为专用密钥 (解密密钥 )加以保存。 公开密钥用于对机密性的加密 ,专用密钥则用于对加密信息的解 密。 专用密钥只能由生成密钥对的贸易方掌握 ,公开密钥可广泛发布 ,但它只对应于生成该密钥的贸易方。 贸易方利用该方案实现机密信息交换的基本过程是 :贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开。 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲。 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。 贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。 RSA(即 Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法 ,但是它存在的主要问题是 算法的运算速度较慢。 因此 ,在实际的应用中通常不采用这一算法对信息U8 办公资源网 范本，范文，模板，办公工具， 培训资料 免费下载 量大的信息 (如大的 EDI 交易 )进行加密。 对于加密量大的应用 ,公开密钥加密算法通常用于对称加密方法密钥的加密。 （ 2）密钥管理技术 ① 对称密钥管理 对称加密是基于共同保守秘密来实现的。 采用对称加密技术的贸易双方必须要保证采用的是相同的密钥 ,要保证彼此密钥的交换是安全可靠的 ,同时还要设定防止密钥泄密和更改密钥的程序。 这样 ,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。 通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全 ,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。 贸易方可以为每次交换的信息 (如每次的 EDI交换 )生成唯一一把对称密钥并用公开密钥对该密钥进行加密 ,然后再将加密后的密钥和用该密钥加密的信息 (如 EDI 交换 )一起发送给相应的贸易方。 由于对每次信息交换都对应生成了唯一一把密钥 ,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。 这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易 ,而不会影响到贸易双方之间所有的交易关系。 这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。 ② 公开密钥管理 /数字证书 贸易伙伴间可以使用数字证书 (公开密钥证书 )来交换公开密钥。 国际电信联盟 (ITU)制定的标准 (即信息技术 开放系统互连 目录 :鉴别框架 )对数字证书进行了定义该标准等同于国际标准化组织 (ISO)与国际电工委员会 (IEC)联合发布的 ISO/IEC 95948:195 标准。 数字证书通常包含有唯一标识证书所有者 (即贸易方 )的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。 证书发布者一般称为证书管理机构 (CA),它是贸易各方都信赖的机 构。 数字证书能够起到标识贸易方的作用 ,是目前 EC 广泛采用的技术之一。 微软公司的 InterExplorer 和网景公司的 Navigator 都提供了数字证书的功能来作为身份鉴别的手段。 ③ 密钥管理相关的标准规范 目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。 ISO 与 IEC下属的信息技术委员会 (JTC1)已起草了关于密钥管理的国际标准规范。 该规范主要由 3 部分组成 :第 1部分是密钥管理框架。 第 2 部分是采用对称技术的机制。 第 3 部分是采用非对称技术的机制。 该规范现已进入到国际标准草案表 决阶段 ,并将很快成为正式的国际标准。 （ 3）数字签名 数字签名是公开密钥加密技术的另一类应用。 它的主要方式是 :报文的发送方从报文文本中生成一个 128位的散列值 (或报文摘要 )。 发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。 然后 ,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。 报文的接收方首先从接收到的原始报文中计算出 128 位的散列值 (或报文摘要 ),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。 如果两个散列值相同 ,那么接收方就能确认该数字签名是发送方的。 通过数字签名能够 实现对原始报文的鉴别和不可抵赖性。 ISO/IEC JTC1 已在起草有关的国际标准规范。 该标准的初步题目是 信息技术 安全技术带附件的数字签名方案 ,它由概述和基于身份的机制两部分构成。 （ 4） Inter 电子邮件的安全协议 电子邮件是 Inter 上主要的信息传输手段 ,也是 EC应用的主要途径之一。 但它并不具备很强的安全防范措施。 Inter 工程任务组 (IEFT)为扩充电子邮件的安全性能已起草了相关的规范。 ① PEM PEM 是增强 Inter 电子邮件隐秘性的标准草案 ,它在 Inte。