電子商務(wù)物流安全

1、電子商務(wù)物流安全模塊一電子商務(wù)物流安全基礎(chǔ)認(rèn)知模塊二電子商務(wù)物流安全技術(shù)模塊三電子商務(wù)物流安全協(xié)議模塊四與電子商務(wù)物流安全有關(guān)的其他技術(shù)知識目標(biāo)掌握電子商務(wù)物流安全的含義； 掌握電子商務(wù)物流常用的加密、數(shù)字簽名等安全技術(shù)； 了解SSL、SET的流程和工作原理及應(yīng)用； 掌握網(wǎng)絡(luò)安全的內(nèi)涵和電子商務(wù)物流認(rèn)證體系及其應(yīng)用； 熟悉常用的物流條碼識別設(shè)備； 了解電子商務(wù)物流安全的重要性。電子商務(wù)物流安全能力目標(biāo)能區(qū)分各種網(wǎng)絡(luò)和信息安全設(shè)備，能區(qū)分各種信息管理工作中的隱患類型； 能安裝信息安全系統(tǒng)，能讓數(shù)據(jù)處于遠(yuǎn)離危險(xiǎn)、免于威脅的狀態(tài)； 能正確認(rèn)識網(wǎng)絡(luò)安全的目標(biāo)； 能運(yùn)用相關(guān)知識為電子商務(wù)企業(yè)制定合理的安

2、全策略。電子商務(wù)物流安全知識結(jié)構(gòu)圖電子商務(wù)物流安全職業(yè)標(biāo)準(zhǔn)與崗位要求電子商務(wù)物流安全隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，信息的處理和傳遞突破了時空與地域的界限，電子商務(wù)物流已成為一個不可抗拒的世界性的潮流。電子商務(wù)物流是利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)全面實(shí)現(xiàn)在線交易電子化物流的過程。物流公司已經(jīng)向電子商務(wù)方向發(fā)展，企業(yè)對各種信息的處理基本上都在網(wǎng)上進(jìn)行，網(wǎng)絡(luò)和信息的安全顯得越來越重要。為保證電子商務(wù)物流的安全，企業(yè)需要全面排查信息管理工作中的隱患，建立信息安全管理制度，重新構(gòu)建信息安全體系，明確物流信息安全涉及的范圍，熟悉保護(hù)信息安全的各項(xiàng)技術(shù)，熟悉安全體系建設(shè)的內(nèi)容和要求。電子商務(wù)物流安全模塊一 電子商務(wù)物流安全基

3、礎(chǔ)認(rèn)知 電子商務(wù)安全的現(xiàn)狀一、電子商務(wù)是一種新的商務(wù)活動形式，其在建設(shè)過程中遇到了很多未能解決的問題，甚至有些是事先不能預(yù)料的理論和實(shí)踐中的問題。電子商務(wù)安全問題已成為信息時代商務(wù)活動面臨的主要挑戰(zhàn)，國內(nèi)的電子商務(wù)安全問題也日益突出。電子商務(wù)安全面臨的主要問題有： （1） 黑客的攻擊。由于缺乏針對網(wǎng)絡(luò)犯罪的有效的反擊和跟蹤手段，黑客的攻擊不僅殺傷力強(qiáng)，而且隱蔽性好。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（2） 網(wǎng)絡(luò)病毒的泛濫。自計(jì)算機(jī)病毒問世以來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。隨著信息網(wǎng)絡(luò)的發(fā)展，病毒（如網(wǎng)絡(luò)蠕蟲、木馬等）借助網(wǎng)絡(luò)傳播得更快，動輒就會造成數(shù)

4、百億美元的經(jīng)濟(jì)損失。 （3） 網(wǎng)絡(luò)缺陷和管理欠缺。網(wǎng)絡(luò)的共享性和開放性使得網(wǎng)上的信息存在先天不足，同時很多企業(yè)和用戶都疏于對網(wǎng)站或系統(tǒng)進(jìn)行安全管理，因而帶來了嚴(yán)重的后果。網(wǎng)絡(luò)的安全問題制約了電子商務(wù)的發(fā)展，如何保障電子商務(wù)交易所依賴的網(wǎng)絡(luò)安全變得非常重要。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知 電子商務(wù)交易安全的內(nèi)容二、雖然電子商務(wù)的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務(wù)交易過程中最核心和最關(guān)鍵的問題仍是交易的安全性。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知電子商務(wù)交易存在的安全隱患1.（1） 竊取信息。由于未采取加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文的形式進(jìn)行傳送，入侵者就可以在

5、數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上截獲傳送的信息。入侵者通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄露。 （2） 篡改信息。當(dāng)入侵者掌握了信息的規(guī)律和格式后，可以通過各種技術(shù)手段和方法將網(wǎng)絡(luò)上傳送的數(shù)據(jù)信息在中途修改，然后發(fā)向目的地。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（3） 假冒。由于掌握了數(shù)據(jù)信息的格式，并且可以篡改其內(nèi)容，因而攻擊者可以冒充合法用戶發(fā)送假冒的信息或主動獲取信息，而遠(yuǎn)端用戶通常很難分辨真?zhèn)巍?（4） 惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，可對網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，因而其后果是非常嚴(yán)重的。模塊一 電子商務(wù)物

6、流安全基礎(chǔ)認(rèn)知電子商務(wù)安全交易的主要保證2.（1） 信息保密性。交易中的商務(wù)信息均有保密的要求。例如，信用卡的賬號和用戶名等不能被他人知悉，因此信息在傳播過程中一般均有加密的要求。 （2） 交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生，相隔千里。但要交易成功，首先需要彼此確認(rèn)對方的身份，商家要考慮客戶端不能是騙子，而客戶也會擔(dān)心網(wǎng)上的商店是不是一個玩弄欺詐的黑店。因此能方便、可靠地確認(rèn)對方身份是交易的前提。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（3） 不可否認(rèn)性。商情千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的，否則必然會損害一方的利益。因此，電子交易通信過程的各個環(huán)節(jié)都必須是不可否認(rèn)的。 （4） 不可

7、修改性。交易的文件是不可被修改的，否則必然會損害一方的商業(yè)利益。因此，電子交易文件也要做到不可修改，以保障商務(wù)交易的嚴(yán)肅和公正。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知 電子商務(wù)安全的重要性和基本需求三、不論公司是在Internet上做生意還是面對面地開展業(yè)務(wù)，安全都是很重要的問題。消費(fèi)類電子商務(wù)中的消費(fèi)者和企業(yè)間電子商務(wù)中的企業(yè)都需要采取一定的措施來保障交易過程不被他人窺探，交易數(shù)據(jù)不被他人更改。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（一）電子商務(wù)安全的重要性電子商務(wù)的安全問題是制約電子商務(wù)發(fā)展的主要因素。由于Internet的迅速流行，電子商務(wù)引起了人們廣泛的注意，被公認(rèn)為是未來IT業(yè)最有潛力的新的增長

8、點(diǎn)。然而在開放的網(wǎng)絡(luò)上處理交易，如何保證傳輸數(shù)據(jù)的安全就成了電子商務(wù)交易能否成功、能否普及的關(guān)鍵因素之一。 在網(wǎng)絡(luò)交易過程中，電子支付的快捷、方便、可靠與安全是電子商務(wù)活動被廣泛接受并順利完成的根本保證。而這種資金流動既是交易雙方都需要保證安全的內(nèi)容，也是最容易出現(xiàn)問題的地方，因而保證電子商務(wù)的安全是銀行、商家，特別是客戶關(guān)心的焦點(diǎn)。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知電子商務(wù)以其高效、快捷的特性在各種商務(wù)交易形式中脫穎而出，具有強(qiáng)大的生命力。而這種高效、快捷的交易工具必須以安全為前提，它不僅需要技術(shù)上的安全措施，而且離不開法律上的安全規(guī)范。譬如，電子商務(wù)法確認(rèn)強(qiáng)化（安全）數(shù)字簽名的標(biāo)準(zhǔn)，規(guī)定認(rèn)證

9、機(jī)構(gòu)的資格及其職責(zé)等具體的制度，都是為了在電子商務(wù)條件下形成一個較為安全的環(huán)境，至少其安全程度應(yīng)與傳統(tǒng)紙面形式相同。電子商務(wù)法通過對數(shù)據(jù)電文效力的承認(rèn)來消除電子商務(wù)運(yùn)行方式在法律上的不確定性，根據(jù)電子商務(wù)活動中現(xiàn)代電子技術(shù)方案應(yīng)用的成熟經(jīng)驗(yàn)，建立起反映其特點(diǎn)的操作性規(guī)范，這其中都貫穿了安全原則和理念。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（二）電子商務(wù)安全的基本需求模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知交易的認(rèn)證性1.交易的認(rèn)證性指在交易開始之前，買賣雙方能夠認(rèn)證對方的身份，即可以識別對方的身份是否真實(shí)。由于電子商務(wù)是在網(wǎng)絡(luò)上進(jìn)行的電子交易，在這種情況下，非法用戶可以偽造、假冒商戶網(wǎng)站和買家身份，因而登錄

10、到商戶網(wǎng)站的用戶無法知道他們所登錄的網(wǎng)站是否是可信的商戶網(wǎng)站，商戶網(wǎng)站也無法驗(yàn)證登錄到網(wǎng)站上的買家是否是經(jīng)過認(rèn)證的合法用戶。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知現(xiàn)實(shí)社會中無法避免詐騙，網(wǎng)絡(luò)中交易的雙方互不見面，可能相距千里，甚至在不同的國家，他們不直接見面，雙方只能通過數(shù)據(jù)、符號、信號等進(jìn)行判斷和選擇，具體的商業(yè)行為也只能依靠電子信號和數(shù)據(jù)進(jìn)行交流，交易的當(dāng)事人再也無法用傳統(tǒng)商務(wù)中的方法來保障交易的安全。所以，對個人或企業(yè)實(shí)體進(jìn)行身份確認(rèn)成了電子商務(wù)中很重要的一環(huán)。 常用的處理技術(shù)是身份認(rèn)證，即通過第三方認(rèn)證機(jī)構(gòu)（certification authority，CA）來驗(yàn)證雙方的身份，如采取數(shù)字證

11、書，或某些硬件（如IC卡、USBKey等）進(jìn)行驗(yàn)證。1997年5月，由Visa、MasterCard等聯(lián)合推出，并得到IBM、Netscape、Microsoft、Oracle等公司支持的安全電子交易（SET）規(guī)范為在Internet上進(jìn)行安全的電子商務(wù)提供了一個開放的標(biāo)準(zhǔn)。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知信息的機(jī)密性2.交易的機(jī)密性也稱為交易的隱私性，指交易雙方的信息在網(wǎng)絡(luò)傳輸或存儲中不被他人竊取。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。在傳統(tǒng)的商務(wù)貿(mào)易中，敏感的數(shù)據(jù)（如商務(wù)合同、信用卡號碼等）可通過封裝的信函或其他可靠的通信渠道來傳遞，以達(dá)到保守機(jī)密的目的。

12、電子商務(wù)交易是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境（尤其Internet是更為開放的網(wǎng)絡(luò)）上，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要防止未授權(quán)的訪問和信息在傳輸過程中被非法竊取。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知一般通過密碼技術(shù)對傳輸?shù)男畔⑦M(jìn)行加密，如采用數(shù)據(jù)加密標(biāo)準(zhǔn)（data encryption standard，DES）、RSA（Rivest-Shamir-Adleman）等加密方法來實(shí)現(xiàn)。數(shù)據(jù)傳輸?shù)陌踩砸蕾囉谒褂玫乃惴ê兔荑€的長度。同時還需要保證交易的不可跟蹤性，這在數(shù)字現(xiàn)金方面尤其重要，一般用強(qiáng)盲簽名、有限的匿名等方式來保證。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知交易的完整性3.

13、交易的完整性指交易數(shù)據(jù)在傳輸過程中不被惡意或意外地改變和篡改。保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。電子商務(wù)簡化了貿(mào)易過程，減少了人為干預(yù)，同時也帶來了維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息出現(xiàn)差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知完整性對交易中的敏感數(shù)據(jù)是非常重要的，如交易中的付款過程需要在雙方賬戶上進(jìn)行，如果交易不完整將難以實(shí)施，或?qū)е戮薮蟮慕?jīng)濟(jì)損失，并將影響交易各方的交易和經(jīng)營策略。保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，企業(yè)要

14、預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。完整性一般可通過散列算法提取信息消息摘要的方式來獲得。散列算法對不同的數(shù)據(jù)產(chǎn)生相同的散列值的概率極小。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知交易的不可抵賴性4.交易的不可抵賴性是指交易的雙方不能否認(rèn)彼此的交易過程。電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方，這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過交易合同、契約或貿(mào)易單據(jù)等書面文件上的手寫簽名或印章來鑒別貿(mào)易伙伴的身份，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。對信

15、息發(fā)布、交易談判、交易合同簽署、交易平臺的信息提供關(guān)鍵交易步驟，一旦有一方予以否認(rèn)，另一方可以提供已簽名的記錄作為仲裁的依據(jù)。不可抵賴性可通過對發(fā)送的消息進(jìn)行數(shù)字簽名來獲取。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知交易的有效性5.電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此，需要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點(diǎn)是有效的。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知軟件資源

16、或網(wǎng)站的安全6.為避免電子商務(wù)網(wǎng)站遭受病毒的侵害與黑客的攻擊，需要采用一定的技術(shù)對其進(jìn)行保護(hù)。例如，使用防火墻技術(shù)，只允許用戶訪問網(wǎng)站的Web服務(wù)，過濾掉對網(wǎng)站服務(wù)器其他服務(wù)的訪問。同時，還需要注意防護(hù)代碼漏洞安全問題、后臺管理程序文件的安全問題及數(shù)據(jù)庫安全問題。 模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知 電子商務(wù)安全措施四、電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)范圍比較廣，其中一個重要的技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。沒有計(jì)算機(jī)網(wǎng)絡(luò)安全作

17、為基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談起。沒有商務(wù)交易安全作為保障，即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全，仍然無法達(dá)到電子商務(wù)所特有的安全要求。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知計(jì)算機(jī)網(wǎng)絡(luò)安全1.計(jì)算機(jī)網(wǎng)絡(luò)安全包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)庫安全等。其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性。 網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，一個完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。在攻擊者與受保護(hù)的資源間建立多道嚴(yán)密的安全防線，可以增加惡意攻擊的難度，增加審核信息的數(shù)量，并且可以利用這些審核信息跟蹤攻擊者。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知

18、在實(shí)施網(wǎng)絡(luò)安全防范措施時應(yīng)注意以下幾點(diǎn)： （1） 加強(qiáng)主機(jī)本身的安全，做好安全配置，及時安裝安全補(bǔ)丁程序，減少漏洞。 （2） 用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患并及時加以修補(bǔ)。 （3） 從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證。 模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（4） 利用數(shù)據(jù)存儲技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施。 （5） 對敏感的設(shè)備和數(shù)據(jù)建立必要的物理或邏輯隔離措施。 （6） 對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⑦M(jìn)行高強(qiáng)度的數(shù)據(jù)加密。 （7） 安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施。 （8） 建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤

19、入侵攻擊等。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知商務(wù)交易安全2.商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上保障電子商務(wù)過程的順利進(jìn)行。各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實(shí)現(xiàn)的，主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)安全協(xié)議等。 對于一個電子商務(wù)企業(yè)而言，商務(wù)交易過程和信息的安全尤為重要。電子商務(wù)的交易雙方都面臨著一些安全威脅。信息間諜通過技術(shù)手段竊取商業(yè)秘密；黑客入侵并攻擊服務(wù)器，產(chǎn)生大量虛假訂單擠占系統(tǒng)資源，令其無法響應(yīng)正常的業(yè)務(wù)操作。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知買方面臨的安全威脅有：用戶身份證明信息被攔截竊用，以致被要求付賬或返還商品；域名信

20、息被監(jiān)聽和擴(kuò)散，被迫接收許多無用信息甚至個人隱私被泄露；發(fā)送的商務(wù)信息不完整或被篡改，用戶無法收到商品；受虛假廣告信息誤導(dǎo)購買假冒偽劣商品或被騙錢財(cái)；遭黑客破壞，計(jì)算機(jī)設(shè)備發(fā)生故障而導(dǎo)致信息丟失。 因此，電子商務(wù)交易中的普通消費(fèi)者要防止網(wǎng)上交易受騙，在交易過程中尤其需要注意以下細(xì)節(jié)：模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（1） 檢查資質(zhì)(包括商家的營業(yè)執(zhí)照、網(wǎng)站詳細(xì)的經(jīng)營地址、電話及網(wǎng)站是否是實(shí)名注冊)。 （2） 檢查付款方式，慎重對待不經(jīng)過郵局或網(wǎng)上銀行的個人銀行卡轉(zhuǎn)賬。 （3） 查看該網(wǎng)站是否有消費(fèi)者的反饋留言。 （4） 交易之前檢查賣家的信譽(yù)度，保留交易記錄作為交易憑證。 （5） 高額交易可選

21、擇第三方托收服務(wù)。 （6） 最好采取中間方交易。 （7） 交易完成之后，盡量索取售貨憑證（如發(fā)票）。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知隨著電子商務(wù)的發(fā)展，電子交易手段更加多樣化，其安全問題變得更加重要和突出。電子商務(wù)對計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)安全的雙重要求，使得電子商務(wù)安全的復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)更高，因此，電子商務(wù)安全應(yīng)作為系統(tǒng)工程而不是解決方案來實(shí)施。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知 電子商務(wù)的法律保障五、隨著網(wǎng)絡(luò)應(yīng)用的日益普及，網(wǎng)絡(luò)安全事件不斷出現(xiàn)，電子商務(wù)的安全問題日益突出，這些安全問題都暴露出法律監(jiān)管不到位，網(wǎng)絡(luò)運(yùn)營商對網(wǎng)店經(jīng)營者管理不到位、責(zé)任不明確。因此，需要從國家相關(guān)法律建設(shè)的大

22、環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施，都明確電子商務(wù)運(yùn)營商、網(wǎng)店經(jīng)營者和網(wǎng)絡(luò)監(jiān)管部門的責(zé)、權(quán)、利，并進(jìn)行有效監(jiān)管，才能有效保證電子商務(wù)的正常應(yīng)用與發(fā)展。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（一）全球電子商務(wù)立法發(fā)展概況 電子商務(wù)立法是近幾年世界商事立法的重點(diǎn)。電子商務(wù)立法主要圍繞著數(shù)字簽名、電子合同和電子記錄的法律效力展開。從1995年美國猶他州頒布數(shù)字簽名法至今，已有幾十個國家、組織和地區(qū)頒布了與電子商務(wù)相關(guān)的立法。國際屬性與國家安全、互聯(lián)網(wǎng)技術(shù)的全球性必然要求電子商務(wù)的全球化，這決定了電子商務(wù)活動的國際性特征，因此，調(diào)整電子商務(wù)的法律規(guī)范電子商務(wù)法必須順應(yīng)這種特性而制定，即在

23、全球范圍內(nèi)建立統(tǒng)一的電子商務(wù)規(guī)則。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知圖8-1 全球電子商務(wù)立法發(fā)展概況模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（二）各國的電子商務(wù)立法情況國際電子商務(wù)立法主要是指有關(guān)的國際電子商務(wù)條約、國際電子商務(wù)慣例及重要國際組織的決議、指南和示范法，其內(nèi)容主要涉及規(guī)范國際電子商務(wù)交易性內(nèi)容的商事法律規(guī)范和對國際電子商務(wù)進(jìn)行管理的管理法律規(guī)范。其中，規(guī)范國際電子商務(wù)交易性內(nèi)容的商事法律規(guī)范是其核心組成部分，國際電子商務(wù)立法主要包括市場準(zhǔn)入、稅收、電子商務(wù)合同的成立、安全與保密、知識產(chǎn)權(quán)、隱私權(quán)保護(hù)、電子支付等內(nèi)容。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知電子商務(wù)活動是典型的商事活動，電子商務(wù)法

24、的基本原則既要遵循傳統(tǒng)商事法律的基本原則，又要根據(jù)電子商務(wù)有別于傳統(tǒng)商務(wù)活動的特性確立其特有的基本原則。國際電子商務(wù)立法的原則有中立原則和自治原則。中立原則包括技術(shù)中立、媒介中立、實(shí)施中立和功能等同（functional-equivalent）原則。自治原則允許當(dāng)事人以協(xié)議方式訂立其間的交易規(guī)則，這是交易法的基本屬性。因此，在電子商務(wù)法的立法與司法過程中，都要以自治原則為指導(dǎo)，為當(dāng)事人全面表達(dá)與實(shí)現(xiàn)自己的意愿，預(yù)留充分的空間并提供切實(shí)的保障。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知在亞洲，馬來西亞于1997年制定了數(shù)字簽名法；同年，韓國頒布了電子商務(wù)基本法；新加坡于1998年正式頒布了電子交易法；印度

25、于1998年頒布了電子商務(wù)支持法；菲律賓也于2000年制定了電子商務(wù)法；日本的電子簽名與認(rèn)證服務(wù)法于2001年4月生效。 總體來看，各國的電子商務(wù)立法有以下三個共同特征：模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（1） 迅速。從1995年至今，已有幾十個國家、組織和地區(qū)制定了電子商務(wù)的相關(guān)法律或草案，無論是美國、德國等發(fā)達(dá)國家，還是馬來西亞等發(fā)展中國家，對其反應(yīng)都極為迅速。尤其是聯(lián)合國國際貿(mào)易法委員會，更起到了先鋒與表率的作用，及時引導(dǎo)了世界各國的電子商務(wù)立法。這種高效的立法，在世界立法史上是罕見的。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（2） 兼容。在電子商務(wù)高速發(fā)展并逐步打破國界的大趨勢下，電子商務(wù)立法中

26、任何的閉門造車不僅是畫地為牢，更會嚴(yán)重阻礙電子商務(wù)和相關(guān)產(chǎn)業(yè)的發(fā)展，所以各國在進(jìn)行電子商務(wù)立法時，兼容性是其首先考慮的指標(biāo)之一，也正是這種兼容性的要求造就了電子商務(wù)立法中先有國際條約后有國內(nèi)法的奇特現(xiàn)象。聯(lián)合國國際貿(mào)易法委員會在數(shù)字簽名統(tǒng)一規(guī)則指南中就曾指出：“電子商務(wù)內(nèi)在的國際性要求建立統(tǒng)一的法律體系，而目前各國分別立法的現(xiàn)狀可能會產(chǎn)生阻礙其發(fā)展的危險(xiǎn)?！?（3） 法律的制定及時有力地推動了電子商務(wù)、信息化和相關(guān)產(chǎn)業(yè)的發(fā)展。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（三）我國的電子商務(wù)安全法規(guī)我國現(xiàn)行刑法只針對非法“侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)”的犯罪做了規(guī)定：可處三年以下

27、有期徒刑或者拘役?，F(xiàn)行刑法只針對三類“黑客”犯罪行為，適用范圍很窄，不能覆蓋其他大量的網(wǎng)絡(luò)“黑客”犯罪?，F(xiàn)行刑法的局限也使司法機(jī)關(guān)在打擊“黑客”犯罪時面臨法律困擾。研究網(wǎng)絡(luò)犯罪的專家提出：“一些不法分子利用技術(shù)手段非法侵入法律規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)，竊取他人賬號、密碼等信息，或?qū)Υ蠓秶乃擞?jì)算機(jī)實(shí)施非法控制，嚴(yán)重危及網(wǎng)絡(luò)安全，對這類嚴(yán)重違法行為也應(yīng)當(dāng)追究刑事責(zé)任?！?模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知我國的電子商務(wù)起步較晚，1994年頒布的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中存在難以適用于網(wǎng)絡(luò)的一些問題。1999年，我國修改后的中華人民共和國合同法承認(rèn)了數(shù)據(jù)電文，包括傳真、電子郵件的法律效力，但由于

28、沒有規(guī)定數(shù)字簽名的法律效力，因而當(dāng)發(fā)生糾紛時，法院仍無法將這些傳真、電子郵件作為證據(jù)，數(shù)據(jù)電文合同的雙方承擔(dān)著巨大的法律風(fēng)險(xiǎn)。2000年9月20日，國務(wù)院第31次常務(wù)會議通過了互聯(lián)網(wǎng)信息服務(wù)管理辦法；中國人民銀行于2001年7月9日發(fā)布了網(wǎng)上銀行業(yè)務(wù)管理暫行辦法。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知我國各省市也出臺了一些地方性的法規(guī)。北京市于2006年制定了北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定。上海市人大常委會在2008年年底表決通過了上海市促進(jìn)電子商務(wù)發(fā)展規(guī)定，這是國內(nèi)第一部促進(jìn)電子商務(wù)發(fā)展的地方性法規(guī)，明確定義了電子商務(wù)是通過互聯(lián)網(wǎng)進(jìn)行銷售商品、提供服務(wù)等的經(jīng)營活動，還規(guī)定了從事電子商務(wù)的

29、企業(yè)應(yīng)當(dāng)根據(jù)國家有關(guān)規(guī)定取得相關(guān)證照。該規(guī)定于2009年3月1日起實(shí)施，重點(diǎn)監(jiān)管B2B和B2C形式的網(wǎng)站經(jīng)營者。中國臺灣于1999年年底起草了數(shù)字簽名條例（草案），中國香港于2000年1月制定了電子交易條例。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知2005年1月，國務(wù)院辦公廳出臺了關(guān)于加快電子商務(wù)發(fā)展的若干意見，以對我國電子商務(wù)信息化進(jìn)行積極的引導(dǎo)和推進(jìn)，這是我國第一個關(guān)于電子商務(wù)的政策性文件。其主要內(nèi)容有： （1） 關(guān)于加快電子商務(wù)發(fā)展的指導(dǎo)思想和基本原則的建議。按照科學(xué)發(fā)展觀的要求，緊緊圍繞經(jīng)濟(jì)增長方式、提高綜合競爭力的中心任務(wù)，實(shí)行體制創(chuàng)新，著力營造電子商務(wù)發(fā)展的良好環(huán)境，積極推進(jìn)企業(yè)信息化建設(shè)

30、，推廣電子商務(wù)應(yīng)用，加速國民經(jīng)濟(jì)和社會信息化進(jìn)程，實(shí)施跨越式發(fā)展戰(zhàn)略，走中國特色的電子商務(wù)發(fā)展道路。堅(jiān)持政府推動與企業(yè)主導(dǎo)相結(jié)合，營造環(huán)境與推廣應(yīng)用相結(jié)合，網(wǎng)絡(luò)經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)相結(jié)合，重點(diǎn)推進(jìn)與協(xié)調(diào)發(fā)展相結(jié)合。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（2） 關(guān)于完善政策法規(guī)環(huán)境，規(guī)范電子商務(wù)發(fā)展的措施。加強(qiáng)統(tǒng)籌規(guī)劃和協(xié)調(diào)配合，推動電子商務(wù)法律法規(guī)建設(shè)。抓緊研究電子交易、信用管理、安全認(rèn)證、在線支付、稅收、市場準(zhǔn)入、隱私權(quán)保護(hù)、信息資源管理等方面的法律法規(guī)問題，盡快提出制定相關(guān)法律法規(guī)的意見；根據(jù)電子商務(wù)健康有序發(fā)展的要求，抓緊研究并及時修訂相關(guān)法律法規(guī)；加快制定在網(wǎng)上開展相關(guān)業(yè)務(wù)的管理辦法；推動網(wǎng)絡(luò)仲裁

31、、網(wǎng)絡(luò)公證等法律服務(wù)與保障體系建設(shè)；打擊電子商務(wù)領(lǐng)域的非法經(jīng)營和違法犯罪活動，保障電子商務(wù)的正常秩序；研究制定鼓勵電子商務(wù)發(fā)展的財(cái)稅政策，完善電子商務(wù)投融資機(jī)制。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（3） 關(guān)于加快信用、認(rèn)證、標(biāo)準(zhǔn)、支付和現(xiàn)代物流建設(shè)的措施。 加快信用體系建設(shè)。建立科學(xué)、合理、權(quán)威、公正的信用服務(wù)機(jī)構(gòu)；建立健全相關(guān)部門間信用信息資源的共享機(jī)制；嚴(yán)格信用監(jiān)督和失信懲戒機(jī)制，逐步形成既符合中國國情又與國際接軌的信用服務(wù)體系。 建立健全安全認(rèn)證體系。按照有關(guān)法律的規(guī)定，制定電子商務(wù)安全認(rèn)證管理辦法，進(jìn)一步規(guī)范密鑰、證書、認(rèn)證機(jī)構(gòu)的管理，注重責(zé)任體系建設(shè)，完善安全認(rèn)證基礎(chǔ)設(shè)施，建立布局合理

32、的安全認(rèn)證體系，實(shí)現(xiàn)行業(yè)、地方等安全認(rèn)證機(jī)構(gòu)的交叉認(rèn)證，為社會提供可靠的電子商務(wù)安全認(rèn)證服務(wù)。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知 建立并完善電子商務(wù)國家標(biāo)準(zhǔn)體系。提高標(biāo)準(zhǔn)化意識，充分調(diào)動各方面積極性，抓緊完善電子商務(wù)的國家標(biāo)準(zhǔn)體系；以企業(yè)為主體，聯(lián)合高校和科研機(jī)構(gòu)研究制定電子商務(wù)關(guān)鍵技術(shù)標(biāo)準(zhǔn)和規(guī)范，參與國際標(biāo)準(zhǔn)的制定和修正，積極推進(jìn)電子商務(wù)標(biāo)準(zhǔn)化進(jìn)程。 推進(jìn)在線支付體系建設(shè)。加緊制定在線支付業(yè)務(wù)規(guī)范和技術(shù)標(biāo)準(zhǔn)，研究風(fēng)險(xiǎn)防范措施，加強(qiáng)業(yè)務(wù)監(jiān)督和風(fēng)險(xiǎn)控制；積極研究第三方支付服務(wù)的相關(guān)法規(guī)，引導(dǎo)商業(yè)銀行、中國銀聯(lián)等機(jī)構(gòu)建設(shè)安全、快捷、方便的在線支付平臺，大力推廣使用銀行卡、網(wǎng)上銀行等在線支付工具；進(jìn)一

33、步完善在線資金清算體系，推動在線支付業(yè)務(wù)規(guī)范化、標(biāo)準(zhǔn)化并與國際接軌。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知 發(fā)展現(xiàn)代物流體系。充分利用鐵道、交通、民航、郵政、倉儲、商業(yè)網(wǎng)點(diǎn)等現(xiàn)有物流資源，完善物流基礎(chǔ)設(shè)施建設(shè)；廣泛采用先進(jìn)的物流技術(shù)與裝備，優(yōu)化業(yè)務(wù)流程，提升物流業(yè)信息化水平，提高現(xiàn)代物流基礎(chǔ)設(shè)施與裝備的使用效率和經(jīng)濟(jì)效益；發(fā)揮電子商務(wù)與現(xiàn)代物流的整合優(yōu)勢，大力發(fā)展第三方物流，有效支撐電子商務(wù)的廣泛應(yīng)用。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（4） 其他措施。其他措施包括發(fā)揮企業(yè)的主體作用，大力推進(jìn)電子商務(wù)應(yīng)用；提升電子商務(wù)技術(shù)和服務(wù)水平，推動相關(guān)產(chǎn)業(yè)發(fā)展；加強(qiáng)宣傳教育工作，提高公民電子商務(wù)應(yīng)用意識；加強(qiáng)交

34、流合作，參與國際競爭。 現(xiàn)有的電子商務(wù)法律、法規(guī)解決了電子商務(wù)發(fā)展所面臨的一些關(guān)鍵性的法律問題和亟待解決的安全問題，為我國今后的電子商務(wù)立法奠定了堅(jiān)實(shí)的基礎(chǔ)。這對消除電子商務(wù)發(fā)展的法律障礙，維護(hù)電子交易各方的合法權(quán)益，保障電子交易安全，為電子商務(wù)和電子政務(wù)發(fā)展創(chuàng)造有利的法律環(huán)境，對電子商務(wù)和電子政務(wù)的建設(shè)與發(fā)展具有重要而深遠(yuǎn)的意義。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（四）電子商務(wù)法律框架的基本內(nèi)容電子商務(wù)交易是在虛擬的市場環(huán)境下實(shí)施的，要建立社會的信譽(yù)和規(guī)范的秩序，就要靠法律和法規(guī)的約束。因此，電子商務(wù)法律對電子商務(wù)的發(fā)展具有重要的意義。 這些法律和法規(guī)的建立是電子商務(wù)正常、健康發(fā)展的基本保證，

35、是建立電子商務(wù)信任機(jī)制的基礎(chǔ)。在電子商務(wù)建設(shè)之初，在這種經(jīng)濟(jì)活動還未被全社會接受時，出現(xiàn)的任何經(jīng)濟(jì)損失由誰來仲裁、誰來賠償，又由誰來保證其實(shí)施和執(zhí)行這一切都要靠法律來加以保障，這就是建立規(guī)范秩序和制度的基礎(chǔ)。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知由于電子商務(wù)建設(shè)涉及的問題很多，待解決的理論和實(shí)踐問題層出不窮，因而，為了保證其健康正常的發(fā)展，應(yīng)按照以下步驟逐步實(shí)施： （1） 以法規(guī)帶法律建設(shè)。在一些法律地位還不明確的地方，為慎重起見，先制定相應(yīng)的法規(guī)，待法規(guī)成熟時再制定相應(yīng)的法律。 （2） 以地方法規(guī)建設(shè)為先導(dǎo)，促進(jìn)地方相應(yīng)法律的建設(shè)。對于條件成熟和發(fā)達(dá)的地區(qū)可先行試點(diǎn)，制定地方法規(guī)，然后逐步進(jìn)行地方

36、立法，求得實(shí)施中的經(jīng)驗(yàn)。模塊一 電子商務(wù)物流安全基礎(chǔ)認(rèn)知（3） 建立重要的行業(yè)和部門法規(guī)，以加快電子商務(wù)的法律地位保障。例如，有關(guān)網(wǎng)上安全和電子媒介方面的部門性的全國法規(guī)可以先行頒布執(zhí)行。 （4） 數(shù)字簽名和認(rèn)證的法律地位保障應(yīng)盡快頒布實(shí)施，以找出電子商務(wù)具體實(shí)施發(fā)展中的障礙。 （5） 盡快建立電子商務(wù)仲裁和小額經(jīng)濟(jì)損失的賠償機(jī)制，以利于全社會層面上的電子商務(wù)發(fā)展。模塊二 電子商務(wù)物流安全技術(shù)電子商務(wù)的交易安全就是對交易中涉及的各種數(shù)據(jù)的可靠性、完整性和可用性進(jìn)行保護(hù)。為了滿足這些需求，提高電子商務(wù)的安全性，網(wǎng)絡(luò)和管理技術(shù)人員研究、開發(fā)了多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議，這些技術(shù)和協(xié)議各自有一定的使用范

37、圍，可以為電子商務(wù)交易活動提供不同程度的安全保障。 電子商務(wù)在功能上要求實(shí)現(xiàn)實(shí)時賬戶信息查詢，這就使得電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)有連接。這對電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求，必須保證外部網(wǎng)絡(luò)(Internet)用戶不能對生產(chǎn)系統(tǒng)構(gòu)成威脅。為此，需要有效綜合各項(xiàng)安全技術(shù)，全方位地制定系統(tǒng)的安全策略。模塊二 電子商務(wù)物流安全技術(shù) 加密技術(shù)一、（一）加密技術(shù)概述加密的主要目的是防止信息的非授權(quán)泄露，可用于傳輸信息和存儲信息。采用加密技術(shù)對信息進(jìn)行加密，是最常用的安全交易手段和防范措施。加密技術(shù)作為一項(xiàng)基本技術(shù)，是電子商務(wù)安全的基石，其實(shí)質(zhì)是利用信息變換規(guī)則對信息進(jìn)行重新編碼，使非法用

38、戶無法獲取真實(shí)信息的內(nèi)容，其中的變換規(guī)則稱為密碼算法。變換前的信息稱為明文，變換后的信息稱為密文，算法中的可變參數(shù)是密鑰；密鑰不同，明文與密文的對應(yīng)關(guān)系就不同。模塊二 電子商務(wù)物流安全技術(shù)數(shù)據(jù)信息若在未采用加密措施的情況下，以明文的形式在網(wǎng)絡(luò)上傳送，攻擊者就可能在傳輸信道上對數(shù)據(jù)進(jìn)行非法截獲、監(jiān)聽，獲取通信中的敏感信息，造成網(wǎng)上傳輸信息的泄露。接收者可利用同樣的算法和傳遞來的密鑰對數(shù)據(jù)進(jìn)行解密，獲取敏感信息，從而達(dá)到保護(hù)數(shù)據(jù)內(nèi)容機(jī)密性的目的。 如果攻擊者在網(wǎng)絡(luò)中得到的是經(jīng)過加密的信息（密文），則很難辨認(rèn)原文，這樣就可以有效對抗截收、非法訪問數(shù)據(jù)庫竊取信息等威脅。數(shù)據(jù)加密在電子商務(wù)交易數(shù)據(jù)的傳輸

39、中是很重要的，需要采用有效的加密技術(shù)對敏感數(shù)據(jù)進(jìn)行保護(hù)，以防非法信息被存取和信息在傳輸中被非法竊取。模塊二 電子商務(wù)物流安全技術(shù)（二）加密技術(shù)的分類根據(jù)密鑰性質(zhì)的不同，加密技術(shù)可分為對稱加密和非對稱加密兩類。模塊二 電子商務(wù)物流安全技術(shù)對稱加密 1.對稱加密又稱為私鑰加密，即數(shù)據(jù)的加密和解密使用的是同一個密鑰，它要求信息的發(fā)送方和接收方在進(jìn)行安全通信之前商定一個密鑰，然后用這個密鑰對傳輸?shù)臄?shù)據(jù)進(jìn)行加密和解密。對稱算法的安全性依賴于密鑰，密鑰泄漏就意味著任何人都能對消息進(jìn)行加密或解密，因此要保證通信的機(jī)密性，密鑰就必須保密。模塊二 電子商務(wù)物流安全技術(shù)對稱密碼體制是從傳統(tǒng)的簡單換位代替密碼發(fā)展而

40、來的。對稱密碼體制在加密模式上可分為序列密碼和分組密碼兩大類。目前常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。 其中，DES是迄今為止應(yīng)用最廣泛的一種算法，也是一種最具代表性的分組加密體制。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法，數(shù)據(jù)分組長度為64 bit，密文分組長度也是64 bit，密鑰長度為64 bit，其中8 bit為奇偶校驗(yàn)，有效密鑰長度為56 bit。加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式（代替和移位）。DES的加密體制是公開的，系統(tǒng)的安全性全靠密鑰的保密，到目前為止，除窮舉搜索法能成功破解DES加密外，尚未發(fā)現(xiàn)更有效的方法。模塊二 電子商務(wù)

41、物流安全技術(shù)對稱加密的突出特點(diǎn)是加/解密速度快、效率高，適合于對大量數(shù)據(jù)進(jìn)行加/解密；缺點(diǎn)是密鑰管理困難，密鑰的傳輸與交換面臨安全問題，且若和大量用戶通信，則難以安全管理大量密鑰。例如，在網(wǎng)上購物環(huán)境中，商戶需要與成千上萬的購物者進(jìn)行交易，若采用簡單的對稱加密技術(shù)，則商戶需要管理成千上萬的密鑰與不同的對象通信，除存儲開銷外，密鑰管理是一個不可能解決的問題。此外，雙方如何交換密鑰也是一個難題，無論是通過傳統(tǒng)手段，還是通過因特網(wǎng)，都會遇到密鑰傳送的安全性問題。此外，在現(xiàn)實(shí)環(huán)境中，密鑰經(jīng)常會更換，更為極端的是，每次傳送都使用不同的密鑰，而對稱加密技術(shù)的密鑰管理和發(fā)布遠(yuǎn)遠(yuǎn)無法滿足這樣的使用要求。模塊二

42、 電子商務(wù)物流安全技術(shù)非對稱加密2.非對稱加密又稱為公鑰加密，需要使用一對密鑰來分別完成加密和解密操作，其中一個公開發(fā)布（公鑰，public key），另一個由用戶自己保存（私鑰，private key）。通信雙方無須事先交換密鑰就可進(jìn)行保密通信。私鑰不能根據(jù)公鑰計(jì)算出來（至少在合理假定的長時間內(nèi)），算法的加密強(qiáng)度主要取決于選定的密鑰長度。 非對稱加密體制的出現(xiàn)是密碼學(xué)史上劃時代的事件，為解決計(jì)算機(jī)信息網(wǎng)絡(luò)安全提供了新的理論技術(shù)基礎(chǔ)，常用的算法有RSA、ElGamal等。模塊二 電子商務(wù)物流安全技術(shù)其中，RSA算法是最著名且應(yīng)用最廣泛的非對稱加密算法。RSA的安全性基于“大數(shù)實(shí)現(xiàn)質(zhì)因數(shù)分解”十

43、分困難的假設(shè)，利用兩個很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來加密。這兩個質(zhì)數(shù)無論哪一個先與原文件編碼相乘，對文件進(jìn)行加密，均可由另一個質(zhì)數(shù)相乘來解密；但若要用一個質(zhì)數(shù)來求出另一個質(zhì)數(shù)，則是十分困難的。模塊二 電子商務(wù)物流安全技術(shù)模塊二 電子商務(wù)物流安全技術(shù) 數(shù)字簽名二、在日常的工作和生活中，許多事務(wù)的處理都需要當(dāng)事人簽名。簽名起到認(rèn)證、審核的作用。在傳統(tǒng)的以書面文件為基礎(chǔ)的事務(wù)處理中，認(rèn)證通常采用書面簽名的形式，如手簽、印章、指印等。在以計(jì)算機(jī)文件為基礎(chǔ)的事務(wù)處理中，則采用電子形式的簽名，即數(shù)字簽名。數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加/解密算法體制來實(shí)現(xiàn)對報(bào)文的數(shù)字簽名。 模塊二 電

44、子商務(wù)物流安全技術(shù)（一）數(shù)字簽名的分類按照數(shù)學(xué)難題的理論分類1.按照數(shù)學(xué)難題的理論分類，數(shù)字簽名方案可分為基于離散對數(shù)問題的簽名方案和基于素因子分解問題的簽名方案。FlGamal和DSA數(shù)字簽名基于離散對數(shù)問題，RSA數(shù)字簽名基于大素?cái)?shù)分解問題。因此，數(shù)字簽名具有較高的安全性。模塊二 電子商務(wù)物流安全技術(shù)按照簽名用戶的數(shù)量分類2.按照簽名用戶的數(shù)量分類，數(shù)字簽名方案可分為單個用戶簽名方案和多個用戶簽名方案。 一般的數(shù)字簽名屬單個用戶簽名方案。多個用戶簽名方案也稱為多重?cái)?shù)字簽名方案。根據(jù)簽名過程的不同，多重?cái)?shù)字簽名方案又可分為有序多重簽名方案和廣播多重簽名方案。模塊二 電子商務(wù)物流安全技術(shù)按照數(shù)

45、字簽名的特性分類3.按照數(shù)字簽名的特性分類，數(shù)字簽名可分為不具有消息自動恢復(fù)特性的數(shù)字簽名和具有消息自動恢復(fù)特性的數(shù)字簽名。 一般的數(shù)字簽名不具有消息自動恢復(fù)特性。1994年，出現(xiàn)了第一個基于離散對數(shù)問題的具有消息自動恢復(fù)特性的數(shù)字簽名方案。模塊二 電子商務(wù)物流安全技術(shù)按照數(shù)字簽名的實(shí)現(xiàn)途徑分類4.按照數(shù)字簽名的實(shí)現(xiàn)途徑分類，數(shù)字簽名可分為直接數(shù)字簽名和需仲裁的數(shù)字簽名。模塊二 電子商務(wù)物流安全技術(shù)（二）數(shù)字簽名的功能及算法1.數(shù)字簽名的功能（1） 收方能夠證實(shí)發(fā)送方的真實(shí)身份。 （2） 發(fā)送方事后不能否認(rèn)所發(fā)送過的報(bào)文。 （3） 收方或非法者不能偽造、篡改報(bào)文。模塊二 電子商務(wù)物流安全技術(shù)數(shù)

46、字簽名的算法2.目前已有大量的數(shù)字簽名算法，如RSA數(shù)字簽名算法、ElGamal數(shù)字簽名算法、Fiat-Shamir數(shù)字簽名算法、Guillou-Quisquarter數(shù)字簽名算法、Schnorr數(shù)字簽名算法、美國的數(shù)字簽名標(biāo)準(zhǔn)/算法（DSS/DSA）、橢圓曲線數(shù)字簽名算法，以及一些不可否認(rèn)的簽名算法、群數(shù)字簽名算法、盲數(shù)字簽名算法、具有報(bào)文恢復(fù)的數(shù)字簽名算法等。模塊二 電子商務(wù)物流安全技術(shù)（三）數(shù)字簽名與傳統(tǒng)簽名的區(qū)別在功能上，數(shù)字簽名與傳統(tǒng)簽名有相同之處，但兩者的差異也是比較明顯的，為了能夠全面地把握數(shù)字簽名，有必要分析兩者間存在的差異。 （1） 數(shù)字簽名是通過計(jì)算機(jī)網(wǎng)絡(luò)在線簽署的，不可能

47、像傳統(tǒng)簽名那樣由簽名人到交易現(xiàn)場，因而是一種遠(yuǎn)距離的認(rèn)證方式。人們要運(yùn)用數(shù)字簽名進(jìn)行網(wǎng)絡(luò)交易，就必須熟知網(wǎng)絡(luò)交易跨越時空的特點(diǎn)。模塊二 電子商務(wù)物流安全技術(shù)（2） 數(shù)字簽名基于它的實(shí)質(zhì)是一種數(shù)據(jù)，因而無法像傳統(tǒng)的紙面簽名一樣，可以作為證據(jù)向法庭提交。 （3） 多個數(shù)字簽名可以被一個人同時擁有，使用一個信息系統(tǒng)，就可以配發(fā)一個；而傳統(tǒng)簽名即使會有變化，通常也只能是一種形式。 （4） 數(shù)字簽名是一組數(shù)據(jù)，因而存在被遺忘的可能；而傳統(tǒng)簽名幾乎沒有被簽名者遺忘的可能。 （5） 數(shù)字簽名需要運(yùn)用計(jì)算機(jī)系統(tǒng)進(jìn)行辨別，而傳統(tǒng)的簽名只需視覺就可直接進(jìn)行比較。模塊二 電子商務(wù)物流安全技術(shù) 認(rèn)證技術(shù) 三、認(rèn)證技術(shù)

48、是信息安全理論與技術(shù)的一個重要方面，也是電子商務(wù)安全的主要實(shí)現(xiàn)技術(shù)。采用認(rèn)證技術(shù)可以直接滿足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項(xiàng)網(wǎng)上交易的安全需求，較好地避免網(wǎng)上交易面臨的假冒、篡改、抵賴、偽造等種種威脅。模塊二 電子商務(wù)物流安全技術(shù)（一）身份認(rèn)證身份認(rèn)證用于鑒別用戶身份。身份認(rèn)證是信息認(rèn)證技術(shù)中一個十分重要的內(nèi)容，它一般涉及兩個方面的內(nèi)容：一是識別，二是驗(yàn)證。識別，就是明確用戶是誰？這就要求對每個合法的用戶都有識別能力。為了保證識別的有效性，需要保證任意兩個不同的用戶具有不同的識別符。驗(yàn)證，就是在用戶聲稱自己的身份后，認(rèn)證方還要對它所聲稱的身份進(jìn)行驗(yàn)證，以防假冒。 一般來說，用戶身

49、份認(rèn)證可通過以下三種基本方式或其組合方式來實(shí)現(xiàn)： 模塊二 電子商務(wù)物流安全技術(shù)（1） 用戶所知道的某種秘密信息，如用戶知道自己的口令。 （2） 用戶所持有的某種秘密信息（硬件），用戶必須持有合法的隨身攜帶的物理介質(zhì)，如智能卡中存儲用戶的個人化參數(shù)，訪問系統(tǒng)資源時必須有智能卡。 （3） 用戶所具有的某些生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等。模塊二 電子商務(wù)物流安全技術(shù)（二）報(bào)文認(rèn)證報(bào)文認(rèn)證用于保證通信雙方的不可抵賴性和信息的完整性，它是指通信雙方之間建立通信聯(lián)系后，每個通信者對收到的信息進(jìn)行驗(yàn)證，以保證所收到的信息是真實(shí)的過程。驗(yàn)證的內(nèi)容包括：報(bào)文是由指定的發(fā)送方產(chǎn)生的，報(bào)文的內(nèi)容

50、沒有被修改過（證實(shí)報(bào)文的完整性），報(bào)文的序號和時間是正確的。模塊二 電子商務(wù)物流安全技術(shù)在某些情況下，信息認(rèn)證顯得比信息保密更為重要。例如，在很多情況下用戶并不要求購物信息保密，而只需要確認(rèn)網(wǎng)上商店不是假冒的（身份認(rèn)證），確保自己與網(wǎng)上商店交換的信息未被第三方修改或偽造，并且網(wǎng)上商家不能賴賬（報(bào)文認(rèn)證）；商家也是如此。 從概念上講，信息的保密與信息的認(rèn)證是有區(qū)別的。加密保護(hù)只能防止被動攻擊，而認(rèn)證保護(hù)可以防止主動攻擊。被動攻擊的主要方法是截收信息；主動攻擊的最大特點(diǎn)是對信息進(jìn)行有意的修改，使其推翻原來的意義。主動攻擊比被動攻擊更復(fù)雜，手段也更多。主動攻擊比被動攻擊的危害更大，后果也更嚴(yán)重。模塊

51、二 電子商務(wù)物流安全技術(shù)（三）認(rèn)證體系為了全面解決在Internet上開展電子商務(wù)時遇到的安全問題，建立一套完善的電子商務(wù)安全認(rèn)證體系是非常必要的。電子商務(wù)安全認(rèn)證體系是一套融合了各種先進(jìn)加密技術(shù)和認(rèn)證技術(shù)的安全體系，它主要定義和建立自身認(rèn)證及授權(quán)規(guī)則，然后分發(fā)、交換這些規(guī)則，并在網(wǎng)絡(luò)之間解釋和管理這些規(guī)則。模塊二 電子商務(wù)物流安全技術(shù)認(rèn)證中心作為一個權(quán)威、公正、可信的第三方機(jī)構(gòu)，它的建設(shè)是電子商務(wù)最重要的基礎(chǔ)建設(shè)，也是電子商務(wù)大規(guī)模發(fā)展的根本保證。最早的CA認(rèn)證中心采用的是由SETCo公司建立的、以SET協(xié)議為基礎(chǔ)的SET CA體系，這種體系只能服務(wù)于B2C（企業(yè)對消費(fèi)者）電子商務(wù)模式中的卡

52、支付應(yīng)用。由于B2B（企業(yè)對企業(yè)）電子商務(wù)模式的發(fā)展，要求CA的支付接口能夠兼容支持B2B和B2C的模式，即同時支持網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上交易與供應(yīng)鏈管理等職能，要求安全認(rèn)證協(xié)議透明、簡單、成熟（標(biāo)準(zhǔn)化），這樣就產(chǎn)生了以通用公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）為技術(shù)基礎(chǔ)的non-SET CA體系，即通用PKICA體系。目前，國內(nèi)外新建設(shè)的認(rèn)證中心一般既能支持SET CA體系，又能支持non-SET CA體系，以支持電子商務(wù)的多種應(yīng)用形式。模塊二 電子商務(wù)物流安全技術(shù) 數(shù)字證書 四、在現(xiàn)實(shí)生活中，人們所從事的活動主體憑證一般有當(dāng)事人本身、有效證件或親筆簽名

53、等。這些憑證的共有特點(diǎn)是實(shí)物性，可以得到確認(rèn)和追訴。而在網(wǎng)絡(luò)世界里，人們所面對和處理的都是數(shù)字化的信息或數(shù)據(jù)，對在網(wǎng)絡(luò)中所發(fā)生的某個動作行為或交易如何得到確認(rèn)及追訴，需要用一種統(tǒng)一的技術(shù)和方式。數(shù)字證書就是為解決上述問題而提出的。 數(shù)字證書（digital certificate）是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，即用電子手段來證實(shí)一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。數(shù)字證書是由權(quán)威機(jī)構(gòu)(CA)采用數(shù)字簽名技術(shù)，頒發(fā)給用戶，用于在數(shù)字領(lǐng)域中證實(shí)用戶身份的一種數(shù)字憑證。模塊二 電子商務(wù)物流安全技術(shù)（一）數(shù)字證書的特點(diǎn)安全性1.數(shù)字證書是一種數(shù)字標(biāo)識，也可以說是網(wǎng)絡(luò)上的安全護(hù)照，它

54、提供的是網(wǎng)絡(luò)上的身份證明，比傳統(tǒng)的“賬戶號密碼”更具保障性。數(shù)字證書的擁有者通過提供證書可證實(shí)其合法身份，并且與對方建立加密的、可信的通信。模塊二 電子商務(wù)物流安全技術(shù)唯一性2.模塊二 電子商務(wù)物流安全技術(shù)方便性3.數(shù)字證書的方便性體現(xiàn)在很多方面，如即時申請、即時開通、即時使用；并可量身定制多種方式來維護(hù)數(shù)字證書，如通過短信、安全問題等；也不需要使用者掌握任何數(shù)字證書的相關(guān)知識，就可輕松使用。模塊二 電子商務(wù)物流安全技術(shù)（二）數(shù)字證書使用案例支付寶（）是目前使用非常廣泛的第三方支付，為增強(qiáng)用戶賬戶中資金的安全性，支付寶推出了數(shù)字證書?，F(xiàn)給出相關(guān)的應(yīng)用操作案例，以支付寶要求為依據(jù)。 申請支付寶數(shù)

55、字證書的步驟如下：模塊二 電子商務(wù)物流安全技術(shù)（1） 綁定手機(jī)（見圖8-2）。圖8-2 綁定手機(jī)模塊二 電子商務(wù)物流安全技術(shù)（2） 進(jìn)行短信驗(yàn)證（見圖8-3）。圖8-3 短信驗(yàn)證模塊二 電子商務(wù)物流安全技術(shù)（3） 申請證書。用戶可在支付寶賬戶的“安全管家”界面中申請。單擊“數(shù)字證書”旁邊的“申請”按鈕（見圖8-4）。圖8-4 申請證書模塊二 電子商務(wù)物流安全技術(shù)（4） 進(jìn)行安全校驗(yàn)。個人賬戶的校驗(yàn)一般使用認(rèn)證時的身份證號碼（見圖8-5）。 圖8-5 個人賬戶的安全校驗(yàn)?zāi)K二 電子商務(wù)物流安全技術(shù)公司賬戶的校驗(yàn)需要營業(yè)執(zhí)照的注冊號碼（見圖8-6）。圖8-6 公司賬戶的安全校驗(yàn)?zāi)K二 電子商務(wù)物流

56、安全技術(shù)（5） 管理數(shù)字證書（見圖8-7）。圖8-7 管理數(shù)字證書模塊二 電子商務(wù)物流安全技術(shù)（6） 設(shè)置證書的使用地點(diǎn)（見圖8-8）。圖8-8 設(shè)置證書的使用地點(diǎn)模塊二 電子商務(wù)物流安全技術(shù)（7） 確認(rèn)申請信息（見圖8-9）。圖8-9 確認(rèn)申請信息模塊二 電子商務(wù)物流安全技術(shù)（8） 安裝及備份證書（見圖8-10）。圖8-10 安裝及備份證書模塊二 電子商務(wù)物流安全技術(shù)申請了數(shù)字證書之后，需要安裝才能使用，如果需要在多臺計(jì)算機(jī)上使用，或以防重裝系統(tǒng)后不能使用，可以選擇備份。 如果不想繼續(xù)使用已有的證書，可以對數(shù)字證書進(jìn)行取消（見圖8-11）。取消數(shù)字證書成功后，登錄支付寶賬戶時就不需要進(jìn)行相關(guān)

57、驗(yàn)證，但賬戶也同時失去了證書的保護(hù)。模塊二 電子商務(wù)物流安全技術(shù)圖8-11 取消數(shù)字證書模塊三 電子商務(wù)物流安全協(xié)議協(xié)議是指對各種操作預(yù)先規(guī)定和約定的集合，包括如何進(jìn)行數(shù)據(jù)傳輸，如何進(jìn)行身份認(rèn)證等。圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時產(chǎn)生的各種安全問題，保障電子商務(wù)交易過程安全、順利地進(jìn)行，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上設(shè)計(jì)了相關(guān)協(xié)議，目前比較成熟的協(xié)議有安全電子交易（secure electronic transaction，SET）協(xié)議、安全套接層（security socket layer，SSL）協(xié)議等。 模塊三 電子商務(wù)物流安全協(xié)議 SET協(xié)議一、SET協(xié)議是為保護(hù)即時電子支付安全性設(shè)計(jì)的新型電子

58、支付模型，是B2C上基于信用卡支付模式而設(shè)計(jì)的。SET協(xié)議是一個基于可信的第三方認(rèn)證中心的方案，其保證了開放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購物的安全性。SET協(xié)議主要是為了解決用戶、商家、銀行之間通過信用卡進(jìn)行交易而設(shè)計(jì)的，是目前公認(rèn)的信用卡網(wǎng)上交易的國際標(biāo)準(zhǔn)。 SET協(xié)議可實(shí)現(xiàn)的主要目標(biāo)是： 保障付款安全，確保應(yīng)用的互通性，達(dá)到全球市場的接受性。 模塊三 電子商務(wù)物流安全協(xié)議（一）SET協(xié)議的安全優(yōu)勢SET協(xié)議為電子交易提供了許多保證安全的措施，保證了電子交易的機(jī)密性、數(shù)據(jù)的完整性、交易行為的不可否認(rèn)性和身份的合法性。 （1） 保證客戶交易信息的保密性和完整性。SET協(xié)議采用雙重簽名技術(shù)對SET交

59、易過程中消費(fèi)者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收到用戶的訂單信息；而金融機(jī)構(gòu)看不到交易內(nèi)容，只能接收到用戶的支付信息和賬戶信息，從而充分保證了消費(fèi)者賬戶和定購信息的安全性。模塊三 電子商務(wù)物流安全協(xié)議（2） 確保商家和客戶交易行為的不可否認(rèn)性。SET協(xié)議的重點(diǎn)是確保商家和客戶的身份認(rèn)證和交易行為的不可否認(rèn)性。其理論基礎(chǔ)是不可否認(rèn)機(jī)制，其采用的核心技術(shù)包括X.509電子證書標(biāo)準(zhǔn)、數(shù)字簽名、報(bào)文摘要、雙重簽名等技術(shù)。 （3） 確保商家和客戶的合法性。SET協(xié)議使用數(shù)字證書對交易各方的合法性進(jìn)行驗(yàn)證。通過數(shù)字證書的驗(yàn)證，可以確保交易中的商家和客戶都是合法的、可信賴的。模塊

60、三 電子商務(wù)物流安全協(xié)議（二）SET支付系統(tǒng)的組成SET支付系統(tǒng)主要由持卡人（card holder）、商家（merchant）、發(fā)卡行（issuing bank）、收單行（acquiring bank）、支付網(wǎng)關(guān)（payment gateway）和認(rèn)證中心（CA）六個部分組成。對應(yīng)地，基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少應(yīng)包括電子錢包軟件、商家軟件、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。模塊三 電子商務(wù)物流安全協(xié)議（三）SET的交易流程SET的核心技術(shù)主要采用公開密鑰體制加密、數(shù)字簽名、電子證書等。其交易分為三個階段（見圖8-12）： （1） 購買請求階段。持卡人與商家確定所用支付方式的細(xì)節(jié)。 （2） 支