了解电子商务的概念掌握电子商务的技术能规划课件.ppt

1、1 1、了解电子商务的概念了解电子商务的概念 2 2、掌握电子商务的技术掌握电子商务的技术 3 3、能规划电子商务的网站、能规划电子商务的网站4 4、一种电子商务解决方案、一种电子商务解决方案电 子 商 务 概 论 要 求 第一章 电子商务概述本章目的 商品交易模式 传统商务与电子商务的区别一、商品交易的发展原始社会：不存在商品交易生产力的发展，出现剩余商品，物物交换交易范围的扩大，出现货币社会化大生产及分工的日趋专业化，出现了“中介人”二、商品交易的三个阶段交易前：买卖双方和参与交易的各方在签约之前所进行的活动买方：获取信息卖方：发布信息第一节 商品交易模式：商品交易模式 交易中：双方就交易

2、细节进行谈判，最后签订贸易合同。合同洽谈 单证传递 合同签订 交易后：双方办完各种手续后，到买方得到商品、卖方得到货币的过程。物流配送 资金转移 售后服务支持商品交易模式 三、商品交易的四个流 信息流：交易双方在交易过程中所涉及到的各种信息，既包括商品信息的提供、促销行销、技术支持、售后服务等内容，也包括诸如询价单、报价单、付款通知单、转帐通知单等商业贸易单证，还包括交易双方的支付能力、支付信誉等。商流：商品在购、销之间进行交易和商品所有权转移的运动过程。物流：物质实体（商品或服务）的转移过程。资金流：资金的转移过程。第二节 传统商务模式与电子商务模式的区别 一、交易过程的区别 交易前：传统商

3、务：买方获取信息：新闻媒介、向卖方索取产品材料；卖方发布信息：广告宣传、印制宣传单与产品说明书、产品清单。电子商务：网站 交易中：传统商务：面对面、信件与电话、纸质合同传统商务模式与电子商务模式的区别 电子商务：e_mail、视频会议系统、电子合同。交易后：物流：资金转移：售后服务 电子商务所具有的特点：交易虚拟化 交易成本低传统商务模式与电子商务模式的区别 通信与人工成本低 中介的减少 广告费用降低 文件处理与纸张费用 无库存方式 提高效率、降低管理成本 办公环境的成本 交易效率高（速度）交易透明化第二章 电子商务概念本章目的 电子商务的基本概念 Internet 商务活动的主要方式 电子商

4、务的类别 电子商务产生和发展的条件 电子商务的应用领域和发展现状第一节第一节 电子商务概念电子商务概念 一、电子商务的定义 电子商务是信息流、资金流和物流（商流）的完美结合。电子商务是指对整个贸易活动实现电子化。电子商务是通过电子方式的商务活动。电子商务是各参与方之间以电子方式而不是以物理交换或直接物理接触方式完成任何形式的业务交易。电子商务概念 电子商务是在Internet网络上进行的重要事务，不仅仅是商业交易。电子商务是指在从售前服务到售后支持的各个环节实现电子化、自动化。电子商务是利用 Internet网络进行的商务交易。电子商务是一种支持商务交易和涉及价值交换的商业事件的处理过程。电子

5、商务是EDI在Internet上的推广使用。电子商务是一个以Internet/Intranet网络为构架，以交易双方为主体，以银行支付和结算为手段，以客户数据库为依托的全新商业模式。E-business=Web+IT+business 流行的说法：电子商务分广义和狭义，狭义的电子商务即指电子贸易(e-commerce)，主要是指利用Web提供的通信手段在网上进行的交易，而广义的电子商务(e-business）包括电子贸易在内的利用Web进行的全部商业活动，如市场分析、客户联系、物资调配等。电子商务概念电子商务概念电子商务概念：二、概念的相同点主要表现在：都采用（或源于）同一个术语电子商务；都强

6、调电子工具，强调在现代信息社会，利用多种多样的电子信息工具；工具作用的基本对象都为商业活动。三、概念的不同点主要有：技术的涵盖面不同（均包括运用Internet技术）商务的涵盖面不同（其中均包括交易）电子商务概念电子商务概念：四、表示方法：四、表示方法：Microsoft:e-commerceMicrosoft:e-commerceI B M :e-businessH P :e-service一、概念的起源：18391839年，电报出现，人们就开始对运用年，电报出现，人们就开始对运用 电子手段进行商务的讨论电子手段进行商务的讨论19691969年年EDIEDI的出现的出现19911991年万维

7、网在年万维网在InternetInternet上出现上出现 是电子商务规模发展的标志是电子商务规模发展的标志19971997年年IBMIBM公司推出电子商务全球概念公司推出电子商务全球概念19991999年年“政府上网年政府上网年”20002000年年“企业上网年企业上网年”20012001年年“小企业上网年小企业上网年”第二节 电子商务起源20世纪60年代末，EDI产生于美国1987年，联合国规定有关行政、商业及交通运输的电子交换标准UN/EDIFACT90年代INTERNET的发展对EDI产生促进作用EDI定义：EDI是用户的计算机系统之间的对结构化、标准化的商业信息进行自动传输和自动处理

8、的过程。EDI不仅是一种用电子单据取代人工单据的方法、用电子传输取代传统传输的方式，更是一种用电子数据输入取代传统人工数据输入的方法。二、电子商务业务起源EDI：电子商务起源EDI：EDI目的：不仅是消除纸张，更主要的是消除处理的延误及数据的重复输入，减少数据出错的概率。EDI的益处 降低业务处理差错 缩短业务运转周期 降低贸易成本 改善客户服务质量电子商务起源EDI：EDI的益处 降低库存成本 加速资金流动 提高企业的竞争能力电子商务起源EDI：EDI的处理过程 用户在现有的计算机应用系统上进行信息的编辑处理，然后通过EDI转换软件(Mapper)将原始的单据格式转换为平面文件(Flat f

9、ile)，平面文件是用户原始资料格式与EDI标准格式之间的对照性文件，它符合翻译软件的输入格式，通过翻译软件（Translator）变成EDI标准格式文件，然后在文件外层加上通信信封（Interchange），通过通信软件发送到增殖服务网络或直接传送给对方用户，对方用户则进行相反的处理过程，最后成为用户系统应用能够接受的文件格式进行收阅处理。电子商务起源EDI：EDI的成本 硬件成本 软件成本 人工成本 通信成本 EDI教育培训成本 EDI组织会员成本 顾问成本电子商务起源EDI：EDI的效益 提高客户满意程度 提高产品竞争力 降低停工待料风险 降低纸张使用成本 提高工作效率 节省库存费用 减

10、少错误资料处理 节省人员费用电子商务起源EDI：EDI的首期投入很大 INTERNET的发展 1969年，DOD改善美国政府和国防研究机构之间的通信联系，DAPRAAPRAnet 1975，研究TCP/IP 1983年，NSFnet 1992年，商业数据传输与浏览器的产生 1993年，NII 1995年，GII及NSFnet拆除三、基于Internet的电子商务 优势 费用低廉 覆盖面广 功能更全面 使用更灵活四、电子商务在中国发展的现状与问题电子商务在中国发展的历史 中国Internet的发展经历了三个阶段：第一阶段（1989-1994初）以E-mail为主要应用的国际互联网间接连接；第二阶

11、段（1992-1994.4）与国际互联网的全功能直接连接，即国际Internet开通；第三阶段（1994.4-现在）-中国Interent建设的全面铺开。电子商务在中国发展中的问题 1、网络基础设施2、资金网上结算问题3、商品交互问题4、安全问题5税收问题6、企业的信息意识、经营意识、管理水平7、电子商务法律问题8、政府的角色定位问题五、电子商务产生和发展的条件 计算机的广泛应用 网络的普及和成熟 信用卡的普及应用 安全电子交易协议的制定 政府的支持和推动六、企业电子商务成功的条件六、企业电子商务成功的条件整个企业社区的局域网络的建设整个企业社区的局域网络的建设广域网建设广域网建设实现实现In

12、ternetInternet和和IntranetIntranet的改造和升级的改造和升级商业电子化和金融电子化所需基础设备的完善商业电子化和金融电子化所需基础设备的完善实现电子货币的流通实现电子货币的流通第三方物流与物流配送系统第三方物流与物流配送系统第三节第三节 电子商务的类别电子商务的类别商业活动的运作方式：完全电子商务和非完全电子商务。商业活动的运作方式：完全电子商务和非完全电子商务。开展电子交易的范围：本地电子商务、远程国内电子商务和开展电子交易的范围：本地电子商务、远程国内电子商务和全球电子商务。全球电子商务。电子商务交易对象的不同：电子商务交易对象的不同：BtoB、BtoC、Bto

13、G、CtoG等。等。企业处理方案的复杂程度：网上黄页、简单的电子商务解决企业处理方案的复杂程度：网上黄页、简单的电子商务解决方案、完整的电子商务解决方案。方案、完整的电子商务解决方案。电子商务活动的性质：电子事务处理和电子贸易处理电子商务活动的性质：电子事务处理和电子贸易处理企业企业-企业企业 传统商务过程：传统商务过程：需求调查需求调查-材料采购材料采购-生产生产-商品销售商品销售-收款收款-货币结货币结算算-商品交割商品交割 电子商务过程：电子商务过程：电子查询进行需求调查电子查询进行需求调查-电子单证调查原材料信息确定采购电子单证调查原材料信息确定采购方案方案-生产生产-电子广告促销电子

14、广告促销-电子货币接收电子货币接收-电子银行电子银行货币结算货币结算-商品交割商品交割企业企业-企业企业 电子商务带来的好处：电子商务带来的好处：-即时、准确地获取消费信息即时、准确地获取消费信息 -准确定货、减少库存准确定货、减少库存 -网络促销网络促销 -提高效率、降低成本，获取更大利益提高效率、降低成本，获取更大利益 网上购物过程：网上购物过程：-通过通过INTERNETINTERNET查询自己要的物品查询自己要的物品 -输入定货单输入定货单 -通过电子商务服务器与有关商店联系并应答通过电子商务服务器与有关商店联系并应答：所购货物的单价、应付款数、交货等信息：所购货物的单价、应付款数、交

15、货等信息 -客户确认，电子钱包付钱客户确认，电子钱包付钱 -加密送到相应的银行，同时销售商收到购货加密送到相应的银行，同时销售商收到购货单，并对客户编码转送到服务器，经确认后送到信单，并对客户编码转送到服务器，经确认后送到信用卡公司和银行用卡公司和银行 -经商业银行证明有效，销售商便可付货经商业银行证明有效，销售商便可付货企业-消费者消费者购物模型消费者购物模型电子支付消费者的开户银行消费者的开户银行消费者商 场企业-消费者 电子商务成功案例：电子商务成功案例：全球最大虚拟书店：全球最大虚拟书店： 顾客可以自己管理和跟踪的快递公司：顾客可以自己管理和跟踪的快递公司： 预定外买食品：预定外买食品

16、： 企业企业-政府政府 -相关的活动：政府采购、税收、商相关的活动：政府采购、税收、商检、管理条例发布检、管理条例发布 -角色：角色：电子商务的使用者电子商务的使用者 电子商务的宏观管理者电子商务的宏观管理者 -作用：引导作用作用：引导作用第三节 电子商务在社会经济中的地位 电子商务形成了商务劳动新的生产力 电子商务是国民经济的发动机 电子商务是经济调控的重要工具电子商务对社会经济的影响 改变传统商务活动的方式 改变人们的消费方式 改变企业的生产方式 对传统行业带来一场革命 带来一个全新的金融业 转变政府的行为 影响国民经济信息化 呼唤新的商务政策和法规 加快社会信息化的进程 电子商务所引起的

17、经济变革电子商务下的消费者1、购物方式2、生活方式3、就业电子商务下的企业1、虚拟企业 2、横向革命3、内部市场4、网络管理5、企业群体电子商务下的产业 1、电子商务将支持的产业（）书籍、CD、VCD等以文字、图形、多媒体表现的产品在网上销售的量会增加。（）大宗产品、质量稳定、有明确质量标准并易于检测的商品通过网上销售的量会增加。（）以前通过邮寄目录、电话、电视销售的商品很容易发展为网上销售。电子商务下的市场 1、虚拟市场的形成2、中小企业的发展3、成本结构变化4、竞争领域扩大5、进入壁垒提高6、市场行为的规范电子商务下的政府与宏观调控 1、新型政企关系的建立 2、电子商务的发展十分有利于宏观

18、调控的目标实现 增长、稳定、高就业、低通胀。电子商务的发展，使得经济在信息产业的带动下得以高速增长；产消见面有助于供求关系的稳定；中小企业的发展增加了就业，此外，电子商务的发展对降低通胀也具有经济意义。第四节 电子商务的功能 广告宣传 咨询洽谈 网上订购 网上支付 电子帐户 服务传递 意见征询 交易管理电子商务的特性 普遍性 方便性 整体性 安全性 协调性第五节 电子商务的系统构成 电子商务框架结构 三层框架形式：网络平台、电子商务基础平台、应用平台 网络平台：Intranet/Internet、Internet、商业增值网络 基础平台：CA认证中心、支付网关、客户服务中心 应用系统：WWW、

19、电子邮件、股票交易等 子系统：MIS、信用卡服务系统、DBS、EDI、商业翻译系统、商务认证和服务系统等。电子商务网络电子商务网络消费者消费者(持卡人持卡人)商家商家开户银行开户银行收单银行收单银行认证中心认证中心支付网关支付网关Internet金融专网金融专网金卡网络金卡网络电子商务网络电子商务网络消费者消费者商家商家认证中心认证中心银行银行（开户行）（开户行）银行银行（收单行）（收单行）支付网关支付网关第三章 电子商务安全技术 概述概述 防火墙技术防火墙技术 加密技术加密技术 认证技术认证技术 病毒的防护病毒的防护 安全协议安全协议第一节第一节 概述概述 一、电子商务安全现状一、电子商务安

20、全现状 黑 客 的 不 断 增 多、合 法 的 黑 客 组 织黑 客 的 不 断 增 多、合 法 的 黑 客 组 织公开出版黑客杂志、召开黑客技术交流会等公开出版黑客杂志、召开黑客技术交流会等 对美国国防部的攻击行动成功率为对美国国防部的攻击行动成功率为65.96%1999.4.26，CIH病毒的爆发病毒的爆发 163IT被攻击被攻击 2000.2.72000.2.9，美 国 黑 客 事 件，美 国 黑 客 事 件yahoo，buy，ebay、CNN、Amazon，ZDNet 1999.3.311999.5.5，电子商务安全网上调查，电子商务安全网上调查概述概述 电子攻击可以分为三个层次电子攻

21、击可以分为三个层次 低层威胁：局部的威胁，包括消遣性黑客、破坏公共低层威胁：局部的威胁，包括消遣性黑客、破坏公共财物等财物等 中层威胁：有组织的威胁，包括一些有组织的威胁、中层威胁：有组织的威胁，包括一些有组织的威胁、有组织的犯罪、工业间谍等有组织的犯罪、工业间谍等 高层威胁：国家规模上的威胁，包括对外国的政府、高层威胁：国家规模上的威胁，包括对外国的政府、恐怖主义组织发起的全面信息战恐怖主义组织发起的全面信息战 可植入计算机系统的黑客程序可植入计算机系统的黑客程序概述 二、电子商务面临的安全威胁 卖方（销售者）：系统中心安全性被破坏 竞争者的威胁 商业机密的安全 假冒的威胁 信用的威胁概述

22、买方（消费者）：虚假订单 付款后不能收到商品 机密性丧失 拒绝服务 攻击手段 中断：攻击系统的可用性 窃听：攻击系统的机密性 篡改：攻击系统的完整性 伪造：攻击系统的真实性概述 三、电子商务的安全要素 有效性 机密性 完整性 可靠性/不可抵赖性/鉴别 审查能力概述 四、电子商务安全问题产生的原因 开发者留下的隐患 网络设备和软件本身的问题 管理的漏洞第二节第二节 防火墙技术防火墙技术 一、概念一、概念 防火墙是指一个由软件和硬件设备组合而成，防火墙是指一个由软件和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，处于企业或网络群体计算机与外界通道之间，用来加强因特网与内部网络之间安全防

23、范的一用来加强因特网与内部网络之间安全防范的一个或一组系统。个或一组系统。二、作用：二、作用：限制外界对信息资源的非法访问限制外界对信息资源的非法访问 阻止专利信息从企业的网络上被非法输出阻止专利信息从企业的网络上被非法输出防火墙技术防火墙技术 三、设置规则：三、设置规则：凡是未被允许的就是禁止的凡是未被允许的就是禁止的 凡是未被禁止的就是允许的凡是未被禁止的就是允许的 四、原则：四、原则：可适应的安全管理模型：安全可适应的安全管理模型：安全=风险分析风险分析+执行策略执行策略+系系统实施统实施+漏洞检测漏洞检测+实时响应实时响应 硬件防火硬件防火+软件防火软件防火 五、分类：（包过滤技术与代

24、理服务技术）五、分类：（包过滤技术与代理服务技术）网络级防火墙网络级防火墙 应用级网关应用级网关 电路级网关电路级网关 规则检查防火墙规则检查防火墙第三节第三节 加密技术加密技术 防火墙是一种被动的防卫技术防火墙是一种被动的防卫技术 加密技术是一种主动的防卫技术加密技术是一种主动的防卫技术 加密包含两个基本要素：算法和密钥加密包含两个基本要素：算法和密钥 加密技术主要分为两大类：对称与非对称加密技术主要分为两大类：对称与非对称 一、对称加密技术一、对称加密技术 概念：在对称加密体制中，加密所使用的密钥概念：在对称加密体制中，加密所使用的密钥和解密使用的密钥相同，或者加密密钥和解密和解密使用的密

25、钥相同，或者加密密钥和解密密钥虽然不同，但可以从其中一个密钥推导出密钥虽然不同，但可以从其中一个密钥推导出另一个密钥。也称另一个密钥。也称“单密钥体制单密钥体制”。加密技术加密技术 对 称 加 密 技 术 的 常 用 算 法：对 称 加 密 技 术 的 常 用 算 法：D E SData Encryption Standard 有三个参数：有三个参数：密钥密钥Key、数据、数据Data、工作模式、工作模式Mode DES将数据分成长度为将数据分成长度为64位的数据块，位的数据块，DES的密钥长的密钥长度也为度也为64位，其中位，其中8为奇偶校验，有效长度为为奇偶校验，有效长度为56位位 加密过

26、程：加密过程：将明文数据进行初始置换，以一定的规则打乱明将明文数据进行初始置换，以一定的规则打乱明文的排列顺序文的排列顺序 分为两段，每段分为两段，每段32位位 乘积变换，在密钥控制下做乘积变换，在密钥控制下做16次迭代次迭代 逆初始变换得到密文逆初始变换得到密文加密技术加密技术 加密流程：加密流程：源信息（明文）加密后的信息（密文）密钥（加密）Internet加密后的信息（密文）解密后的信息（明文）密钥（解密）加密技术加密技术 对称加密技术存在的问题对称加密技术存在的问题 算法公开，安全性完全依赖于对密钥的保护，导致密算法公开，安全性完全依赖于对密钥的保护，导致密钥更新时的传递过程中存在的安

27、全问题；钥更新时的传递过程中存在的安全问题；密钥数量大，导致密钥管理上的困难；密钥数量大，导致密钥管理上的困难；不能进行信息的完整性鉴别；不能进行信息的完整性鉴别；难以进行身份的认定难以进行身份的认定 二、非对称加密技术二、非对称加密技术 概念：在加密体制中，用于加密的密钥和用于解密的密概念：在加密体制中，用于加密的密钥和用于解密的密钥是不一样的，每个参与信息交换的人都拥有一对密钥，钥是不一样的，每个参与信息交换的人都拥有一对密钥，这一对密钥是以一定的算法生成的，相互配合才能使用，这一对密钥是以一定的算法生成的，相互配合才能使用，用其中一个密钥加密的信息，只有用与之对应的另一个用其中一个密钥加

28、密的信息，只有用与之对应的另一个密钥才能解密，并且从其中一个密钥中无法推导出另一密钥才能解密，并且从其中一个密钥中无法推导出另一个密钥。个密钥。加密技术加密技术 非 对 称 加 密 技 术 的 常 用 算 法：非 对 称 加 密 技 术 的 常 用 算 法：R S ARivest、Shamir、Adlernan 利用两个很大的质数相乘所产生的乘积来加密，这两利用两个很大的质数相乘所产生的乘积来加密，这两个质数无论哪一个先与原文件编码进行相乘，对文件个质数无论哪一个先与原文件编码进行相乘，对文件加密，均可以由另一个质数再相乘来解密，但要用一加密，均可以由另一个质数再相乘来解密，但要用一个质数来求

29、出另一个质数，则是十分困难的。这两个个质数来求出另一个质数，则是十分困难的。这两个质数称为密钥对质数称为密钥对(Key Pair)，在应用时，用户总是将，在应用时，用户总是将一个密钥公开，称为公开密钥，另一个称为私有密钥一个密钥公开，称为公开密钥，另一个称为私有密钥加密技术加密技术 加密流程：加密流程：源信息（明文）加密后的信息（密文2）Internet加密后的信息（密文2）解密后的信息（明文）加密后的信息（密文1）解密后的信息（密文1）发送者的私有密钥（加密）接收者的公开密钥（加密）发送者的公开密钥（解密）接收者的私有密钥（解密）加密技术加密技术 非对称加密技术的优点非对称加密技术的优点 密

30、钥分配简单密钥分配简单 密钥的保存量少密钥的保存量少 可以实现身份鉴别可以实现身份鉴别 不足不足 信息的完整性和一致性信息的完整性和一致性 源码网整理：加密技术加密技术 三、三、RSA与与DES的互补的互补 RSA加密速度慢，加密速度慢，DES加密简单，可以采取两种算法互加密简单，可以采取两种算法互补的方法实现。补的方法实现。用用DES对文件信息进行加密对文件信息进行加密 用用RSA加密加密DES的密钥。的密钥。四、密钥管理技术四、密钥管理技术 对称密钥技术需要的密钥很多，但是速度快，非对称密对称密钥技术需要的密钥很多，但是速度快，非对称密钥技术需要的密钥很少，加密密钥可以公开一个，很容钥技术

31、需要的密钥很少，加密密钥可以公开一个，很容易进行管理，在易进行管理，在Internet环境下，非对称密钥技术具有环境下，非对称密钥技术具有先天的优势。先天的优势。ISO与与IEC下属的信息技术委员会下属的信息技术委员会JTC1起草了关于密钥起草了关于密钥管理的国际标准规范，包括三个部分：密钥管理框架；管理的国际标准规范，包括三个部分：密钥管理框架；采用对称技术的机制；采用非对称技术的机制。采用对称技术的机制；采用非对称技术的机制。加密技术加密技术(1)对称密钥管理对称密钥管理 对称密钥是基于共同保守秘密来实现的。对称密钥是基于共同保守秘密来实现的。保证采用的是相同的密钥保证采用的是相同的密钥

32、保证彼此密钥的交换是安全可靠的保证彼此密钥的交换是安全可靠的 设定防止密钥泄密和更改密钥的程序设定防止密钥泄密和更改密钥的程序 采用公开密钥加密技术实现对称密钥的管理。采用公开密钥加密技术实现对称密钥的管理。贸易方为每一次交换的信息生成唯一一把密钥，并用贸易方为每一次交换的信息生成唯一一把密钥，并用公开密钥对该密钥进行加密，然后再将加密后的密钥公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的贸易方。和用该密钥加密的信息一起发送给相应的贸易方。不需要对密钥进行维护和担心密钥的泄露或过期不需要对密钥进行维护和担心密钥的泄露或过期 即使密钥泄露，仅影响一次交易即使密

33、钥泄露，仅影响一次交易加密技术加密技术(2)公开公开密钥管理密钥管理/数字证书数字证书 使用数字证书（公开密钥证书）来交换公开密钥使用数字证书（公开密钥证书）来交换公开密钥 ITU（国际电信联盟）制定的标准（国际电信联盟）制定的标准X.509（信息技（信息技术术 开放系统互连开放系统互连目录：鉴别框架）对数字目录：鉴别框架）对数字证书进行了定义，该标准等同与证书进行了定义，该标准等同与ISO和和IEC联合发布联合发布的的ISO/IEC9594-8：195标准。标准。数字证书通常包括：唯一标识证书所有者的名称、唯数字证书通常包括：唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公

34、开密钥、一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期、证书的序列证书发布者的数字签名、证书的有效期、证书的序列号等。号等。证书的发布者成为证书的管理机构（证书的发布者成为证书的管理机构（CA）加密技术加密技术(3)公开密钥基础设施公开密钥基础设施PKI PKI的基本组成的基本组成 PKI是一种遵循标准的密钥管理平台，它能够为是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等所有网络应用透明地提供采用加密和数字签名等密码服务所必须的密钥和证书管理。必须具备有密码服务所必须的密钥和证书管理。必须具备有认证机关（认证机关（CA）、）、

35、证书库、密钥备份及恢复系统、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本证书作废处理系统、客户端证书处理系统等基本成分。成分。认证机关认证机关CA 证书是公开密钥体制的一种密钥管理媒介，它证书是公开密钥体制的一种密钥管理媒介，它是一种权威的电子文档，用于证明某一主体的是一种权威的电子文档，用于证明某一主体的身份以及其公开密钥的合法性，必须有一个可身份以及其公开密钥的合法性，必须有一个可信的机构对任何一个主体的公钥进行公证，证信的机构对任何一个主体的公钥进行公证，证明主题的身份以及他与公钥的匹配关系。明主题的身份以及他与公钥的匹配关系。加密技术加密技术 证书库证书库 证

36、书的集中存放地，是网上的一种公共信息库，证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。用户可以从此处获得其他用户的证书和公钥。采用支持采用支持LDAP协议的目录系统，系统必须确协议的目录系统，系统必须确保证书库的完整性，防止伪造和篡改证书。保证书库的完整性，防止伪造和篡改证书。密钥备份和恢复系统密钥备份和恢复系统 备份用于数据解密的密钥（脱密数据的密钥）备份用于数据解密的密钥（脱密数据的密钥）用于数字签名的密钥不能做备份。用于数字签名的密钥不能做备份。证书作废处理系统证书作废处理系统 在有效期内可能作废，策略：作废一个或多个在有效期内可能作废，策略：作废一个

37、或多个主体的证书、作废由某一对密钥签发的所有证主体的证书、作废由某一对密钥签发的所有证书、作废由某个书、作废由某个CA签发的所有证书。签发的所有证书。加密技术加密技术 作废证书一般通过将证书列入作废证书表作废证书一般通过将证书列入作废证书表(CRL)来完成。来完成。PKI应用接口系统应用接口系统 PKI的价值在于使用户能够方便地使用加密、的价值在于使用户能够方便地使用加密、数字签名等安全服务，一个完整的数字签名等安全服务，一个完整的PKI必须提必须提供良好的应用接口系统，使得各种应用能够以供良好的应用接口系统，使得各种应用能够以安全、一致、可信的方式与安全、一致、可信的方式与PKI交互，确保建

38、交互，确保建立起来的网络环境的可信性，同时降低管理维立起来的网络环境的可信性，同时降低管理维护成本。护成本。为了向应用系统屏蔽密钥管理的细节，为了向应用系统屏蔽密钥管理的细节，PKI接接口系统需要实现如下的功能：口系统需要实现如下的功能：完成证书的验证工作完成证书的验证工作加密技术加密技术 以安全、一致的方式与以安全、一致的方式与PKI的密钥备份及恢复的密钥备份及恢复系统交互系统交互 在所有应用系统中，确保用户的签名私钥始终在所有应用系统中，确保用户的签名私钥始终只在本人的控制下，阻止备份签名私钥的行为只在本人的控制下，阻止备份签名私钥的行为 根据安全策略自动为用户更换密钥，实现密钥根据安全策

39、略自动为用户更换密钥，实现密钥更换的自动、透明与一致更换的自动、透明与一致 为方便用户访问加密的历史数据，向应用提供为方便用户访问加密的历史数据，向应用提供历史密钥的安全管理服务历史密钥的安全管理服务 为所有应用访问统一的公用证书库提供支持为所有应用访问统一的公用证书库提供支持 以可信、一致的方式与证书作废系统交互以可信、一致的方式与证书作废系统交互 完成交叉证书的验证工作完成交叉证书的验证工作 支持多种密钥存放介质支持多种密钥存放介质 跨平台跨平台加密技术加密技术 PKI的功能的功能 PKI应为应用提供如下的安全支持：应为应用提供如下的安全支持：证书与证书与CA 密钥备份及恢复证书、密钥对的

40、自动更换密钥备份及恢复证书、密钥对的自动更换 交叉签证：每个交叉签证：每个CA只可能覆盖一定的作业范只可能覆盖一定的作业范围，即围，即CA的域，当隶属于不同的的域，当隶属于不同的CA的用户需的用户需要交换信息时，就需要引入交叉证书和交叉验要交换信息时，就需要引入交叉证书和交叉验证。证。加密密钥和签名密钥的分隔加密密钥和签名密钥的分隔 支持对数字签名的不可抵赖支持对数字签名的不可抵赖 密钥的历史管理密钥的历史管理加密技术加密技术 PKI的性能要求的性能要求 PKI必须具备有良好的性能，要求如下：必须具备有良好的性能，要求如下：透明性和易用性：向用户屏蔽密码服务的实现透明性和易用性：向用户屏蔽密码

41、服务的实现细节和复杂的安全解决方案，使其简单易用，细节和复杂的安全解决方案，使其简单易用，同时便于单位、企业完全控制其信息资源；同时便于单位、企业完全控制其信息资源；可扩展性：证书库与可扩展性：证书库与CRL的可扩展性的可扩展性 互操作性：针对不同应用，互操作性：针对不同应用，PKI必须建立在标必须建立在标准上，有加密标准、数字签名标准、准上，有加密标准、数字签名标准、HASH标标准、密钥管理标准、证书格式、目录标准、文准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、程序接口规范等件信封格式、安全会话格式、程序接口规范等 支持多应用支持多应用 支持多平台支持多平台第四节第四节

42、 认证技术认证技术 一、证书认证中心（一、证书认证中心（CA中心）中心）认证中心认证中心 CA，又称为证书授权，又称为证书授权(Certificate Authority)中心，中心，作为电子商务交易中受信任的第三方，承担公钥体系作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理中公钥的合法性检验的责任，是一个负责发放和管理数字证书的权威机构。数字证书的权威机构。认证中心采用一种多层次的分级结构认证中心采用一种多层次的分级结构 CA中心为每个使用公开密钥的用户发放一个数字证中心为每个使用公开密钥的用户发放一个数字证书，证明其合法性书，证明其合法性 CA

43、机构的数字签名使得攻击者不能伪造和篡改证书机构的数字签名使得攻击者不能伪造和篡改证书 参加电子商务的主体必须获得参加电子商务的主体必须获得CA颁布的电子证书颁布的电子证书认证技术认证技术 CA解决的问题解决的问题 安全保障安全保障 防窃听防窃听 防冒充防冒充 防篡改防篡改 防抵赖防抵赖 CA中心的功能中心的功能 证书的颁发证书的颁发 证书的更新证书的更新 证书的查询证书的查询认证技术认证技术 证书的作废证书的作废 证书的归档证书的归档 安全解决方案的内容安全解决方案的内容 认证中心的建立认证中心的建立 密码体制的选择密码体制的选择 安全协议的选择安全协议的选择 认证中心的基本框架结构认证中心的

44、基本框架结构 技术方案技术方案 基础设施基础设施 运作管理运作管理认证技术认证技术 第三方第三方CA CA中心是一个公证机构，其管理和维护工作应该由中心是一个公证机构，其管理和维护工作应该由专门的机构负责，该机构应独立于电子商务业务的主专门的机构负责，该机构应独立于电子商务业务的主题之外题之外 认证是电子商务中的一个核心问题，认证机构的建立认证是电子商务中的一个核心问题，认证机构的建立必须考虑权威性、安全性、考虑高效、快捷，并注意必须考虑权威性、安全性、考虑高效、快捷，并注意投入产出比投入产出比 注意几个问题：身份认证、资信认证、企业税收情况注意几个问题：身份认证、资信认证、企业税收情况 成立

45、对应的认证（工商、银行、税务）成立对应的认证（工商、银行、税务）行业认证中心、第三方认证中心行业认证中心、第三方认证中心认证技术认证技术 中国金融认证中心中国金融认证中心CFCA CFCA，1999.8由中国人民银行牵头，由中国人民银行牵头，12家商业银行家商业银行（工、农、中、建、交、中信、光大、华夏、招商、（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生）联合共建的一个大型系统工程。广发、深发、民生）联合共建的一个大型系统工程。原则：统一规划联合共建，先作试点逐步发展，技术原则：统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先。先进功能全面，落实应用快字

46、当先。宗旨：为中国的电子商务服务，兼顾网上银行和信息宗旨：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。安全管理提供服务。2000.3初步发放试验证书，主要用于商业银行的网上初步发放试验证书，主要用于商业银行的网上银行和网上购物的银行和网上购物的BtoB应用模式及应用模式及SET购物的购物的BtoC模式。模式。认证技术认证技术 二、数字证书二、数字证书 概念概念 数字证书就是在网络通讯中标志通讯各方身份信息的数字证书就是在网络通讯中标志通讯各方身份信息的一系列数据，它是一个经证书授权中心数字签名的包一系列数据，它是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件

47、。含公开密钥拥有者信息以及公开密钥的文件。一个标准的数字证书包含以下内容：一个标准的数字证书包含以下内容：证书的版本信息证书的版本信息 证书的序列号证书的序列号 证书使用的签名算法证书使用的签名算法 证书的发证机构名称证书的发证机构名称认证技术认证技术 证书的有效期（采用证书的有效期（采用UTC时间格式，计时范围为时间格式，计时范围为19502049）证书所有人的名称证书所有人的名称 证书所有人的公开密钥证书所有人的公开密钥 证书发行者对证书的签名证书发行者对证书的签名 数字证书的重要性数字证书的重要性 信息的保密性信息的保密性 交易者身份的确定性交易者身份的确定性 不可否认性不可否认性 不可

48、修改性不可修改性认证技术认证技术 数字证书的原理数字证书的原理 RSA公钥体制公钥体制 数字证书的用途数字证书的用途 证实电子商务或信息交换中参加者的身份证实电子商务或信息交换中参加者的身份 授权交易授权交易 授权接入重要信息库，以替换口令或其他传统方式授权接入重要信息库，以替换口令或其他传统方式 提供经过提供经过Internet发送信息的不可抵赖性的证据发送信息的不可抵赖性的证据 验证通过验证通过Internet交换信息的完整性。交换信息的完整性。认证技术认证技术 三、数字签名技术三、数字签名技术 数字签名必须保证以下几点数字签名必须保证以下几点 接收者能够核实发送者对报文的签名接收者能够核

49、实发送者对报文的签名 发送者事后不能抵赖对报文的签名发送者事后不能抵赖对报文的签名 接收者不能伪造对报文的签名接收者不能伪造对报文的签名 数字签名技术源于数字摘要技术，描述如下：也称为安数字签名技术源于数字摘要技术，描述如下：也称为安全全Hash编码法编码法(SHA)或或MD5，由，由Ron Rivest所设计。采所设计。采用单向用单向Hash函数将需要加密的明文摘要成一串函数将需要加密的明文摘要成一串128bit的的密文，这一串密文也称为数字指纹，它有固定的长度，密文，这一串密文也称为数字指纹，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样且不同的明文摘要成密文，其结果总是

50、不同的，而同样的明文其摘要内容必定一致。的明文其摘要内容必定一致。认证技术认证技术发送信息（明文）Internet 数字摘要技术流程摘要SHA加密接收信息（明文）摘要SHA加密摘要一致？接受信息Y认证技术认证技术 数字签名采用两双重加密的方法来实现防伪、数字签名采用两双重加密的方法来实现防伪、防赖，其原理为：防赖，其原理为：被发送文件用被发送文件用SHA编码加密产生编码加密产生128bit的数字摘要；的数字摘要；发送方用自己的私用密钥对摘要进行再加密，这样就发送方用自己的私用密钥对摘要进行再加密，这样就形成了数字签名；形成了数字签名；将原文和加密的摘要同时传给对方；将原文和加密的摘要同时传给对