1、22022/12/1摘要n本章主要探討電子資料交換(EDI)的安全需求,以及Web瀏覽器和伺服器之間通訊的安全問題,並介紹各種保護交易的安全措施,包括:Secure Socket Layer(SSL)。安全超媒體傳輸協定與私密通訊技術。32022/12/1目錄n7.1電子資料交換(電子資料交換(EDI)n7.2EDI系統的組成要素系統的組成要素n7.3EDI在產業的應用在產業的應用n7.4全球資訊網(全球資訊網(World Wide Web)n7.5Web安全簡介安全簡介n7.6安全的安全的Socket層(層(SSL)n7.7安全超媒體傳輸協定安全超媒體傳輸協定n7.8私密通訊技術私密通訊技術
2、42022/12/17.1電子資料交換(電子資料交換(EDI)n電子資料交換(Electronic Data Interchange,簡稱EDI)。nEDI所處理的是企業與企業之間正式的商業交易資料,如採購單。交貨通知單。驗收單。對帳單。付款通知單。52022/12/17.1.1交易資料處理交易資料處理傳統方式傳統方式62022/12/17.1.1交易資料處理交易資料處理傳統方式傳統方式n若依循這類方式來處理,不但耗時又浪費人力,且容易因人為的疏失,其主要缺點是:資料重複輸入容易發生錯誤,增加資料處理的成本。交易文件往來費時,常因延誤或遺失造成損失。人力與紙張的浪費,以高額的郵寄與傳真費用。7
3、2022/12/17.1.2交易資料處理交易資料處理EDI系統系統訂貨單收款明細 採購單發票 加值網路或專線EDI或直接連線傳送82022/12/17.1.2交易資料處理交易資料處理EDI系統系統n一、時間效益:可節省人力成本,縮短處理時程。降低採購及庫存成本,以提高獲益。n二、提昇服務品質:加速度對客戶的服務,提高服務品質。n三、增進合作關係:企業雙方採取共同標準化的格式,可彌補交易雙方作業的時差。n四、減少錯誤資料與資料處理成本:電腦與電腦的直接交換資料,增加資料的正確性,避免口頭叫貨或資料重複輸入所發生的錯誤。92022/12/17.2EDI系統的組成要素系統的組成要素nEDI格式標準n
4、EDI相關軟體nEDI通訊網路102022/12/17.2.1EDI的標準的標準n一、傳輸標準:EDI訊息如何利用網路在企業間傳遞,須要有統一的傳輸標準,如X.25、X.400與X.435等標準。n二、訊息標準:送方要將資料表示成何種格式,再傳送出去。收方接到訊息後,如何利用相同的訊息標準來描述各種類型的資料以解讀並轉換成自己內部的格式。112022/12/17.2.1EDI的標準的標準標準說明例子專用標準在某一企業體內所使用的私有標準。如一個大企業制訂了標準,則與該企業往來的上、下游廠商也採用此標準。美國K-Mart及其供應商間的標準。行業標準一個標準被整個行業所採用,則變成特定行業的標準。
5、若此標準的共通性夠強,而其他產業也採用相同的語法及格式,則成為跨產業的標準。倉儲業:WINS。運輸業:TDCC。汽車業:AIAG。日用品零售業:UCS。國家標準跨產業的標準若廣為其它行業接受,則漸漸發展成國家標準。美國1980年訂定的ANSI X.12標準。國際標準訂定的規則跨越國界,成為各國各種企業使用的國際標準了。聯合國1990年納入的UN/EDIFACT標準。122022/12/17.2.2EDI軟體軟體n一、轉換軟體(Mapper):將從應用系統的資料庫中,擷取資料並依照設定好的次序排列,將其轉換為翻譯軟體所能接受的通用檔(Flat File)格式;或者是反向為之。n二、翻譯軟體(Tr
6、anslator):此軟體負責將轉換好的通用檔翻譯為符合UN/EDIFACT標準語法的EDI訊息檔;或者是反向為之。n三、通訊軟體:將EDI格式的訊息透過通訊網路傳至加值網路公司之EDI資料交換中心;或在收到EDI資料後發出回應訊息給送方。132022/12/17.2.3EDI網路網路 n一、點對點直接傳遞:利用專屬網路直接連線進行電子資料的傳輸、交換作業。在企業的交易對象不多時,可利用此法。n二、EDI VAN間接傳遞:透過加值網路服務中心,間接把資料送給對方。142022/12/17.2.4EDI處理流程處理流程加值網路服務中心EDIEDI傳送傳送資料庫 轉換軟體翻譯軟體通訊軟體EDIED
7、I接收接收資料庫轉換軟體翻譯軟體通訊軟體EDI系統的資料處理流程 152022/12/17.2.5導入導入EDI面臨的問題面臨的問題n一般企業在導入EDI之前須先了解並克服下列障礙:建置成本與EDI效益的取捨。企業伙伴(上下游廠商)的配合意願,與彼此間的溝通與協調問題。公司企業與工作流程的條調整,以及人員訓練的問題。EDI相關技術的考量,避免企業內部重要的資料外洩。162022/12/17.3EDI在產業的應用在產業的應用n由於EDI能夠讓各企業體或單位之間的業務資訊,藉由共同的資料格式標準與傳遞界面來迅速傳送,故可大幅提升企業的生產力及競爭力。n如何儘快與企業伙伴建立EDI系統,已成為現代化
8、企業營運刻不容緩的重要課題。172022/12/17.3.1EDI現況現況n除了歐美等先進國家之外,澳洲亞洲地區,也都積極地推廣EDI應用。nEDI應用已然是世界企業發展之趨勢,EDI的普及率也將成為各國經濟競爭能力的另一項重要指標。182022/12/17.3.2國內國內EDI發展現況發展現況n一、通關相關產業:貿易商、製造商、倉儲業、運輸業等。n二、製造業EDI:汽車業、電子相關產業業、家電業、自行車業及其它製造業體系。n三、金融EDI(Financial EDI,簡稱FEDI):銀行與企業之間的EDI。n四、物流業EDI:國內流通體系的EDI。如經濟部商業司的商業自動化。n五、圖書出版業
9、EDI:圖書供應商與經銷商間的EDI。192022/12/17.3.3EDI發展新趨勢發展新趨勢n自1996年開始,網際網路逐漸導入企業資訊應用後,Extranet逐漸盛行,企業間的EDI運作逐漸轉型為Web EDI。n開發Web應用程式與EDI格式轉換軟體就可建置Web EDI系統,所以Web模式的EDI系統,將是未來EDI發展的新趨勢。202022/12/17.4全球資訊網(全球資訊網(World Wide Web)n全球資訊網(World Wide Web,簡稱WWW或Web)是指一群相互連結的主機,透過提供友善且容易操作的使用者介面,讓用戶或大眾可方便地存取主機上的資訊。nHTTP(H
10、yperText Transform Protocol)協定。nURL是一種網路資源定位的方式 一、通訊協定 二、網域名稱 三、檔案路徑與名稱212022/12/17.4全球資訊網(全球資訊網(World Wide Web)網際網路Web伺服器Web瀏灠器HTTPTCP/IPHTTPTCP/IPTCP/IP連通HTTP連通資料庫HTML文件(網頁)222022/12/17.5Web安全簡介安全簡介使用者(瀏覽器)Internet不安全的通訊環境安全儲存Web伺服器 安全通道安全儲存:密鑰、通行碼等加密(Encryption)鑑別(Authentication)真確性(Integrity)232
11、022/12/17.5.1安全儲存(安全儲存(Secure Storage)n安全服務的私密資料 存取控制的通行碼。加解密金鑰。鑑別資訊等。n通常瀏覽器端可採用不可變造(Tamper Free)的設備如IC卡,來存放建立安全連結的相關資料。242022/12/17.5.2安全安全Web交易交易n一、安全的Socket層(Secure Socket Layer,簡稱SSL),可支援任何Socket層應用的安全。n n二、安全的HTTP協定(Secure HTTP,簡稱SHTTP),特別設計來加強HTTP安全的協定。n三、私密通訊技術(Private Communication Technolog
12、y,簡稱PCT)。n四、使用通用安全服務應用程式介面(Generic Security Service Application Program Interface,簡稱GSSAPI)。252022/12/17.5.2安全安全Web交易交易TCP(傳輸層)IP(網際層)網路介面層Secure Sockets Layer(SSL)TELNET、FTP、其它服務HTTPSHTTP安全付款協定電子商務應用其它應用應用層Web安全架構 262022/12/17.6安全的安全的Socket層(層(SSL)n一、SSL交握協定 第一階段:問候階段(Hello Phase)第二階段:金鑰交換(Key Exch
13、ange)第三階段:製造交談金鑰(Session Key Production)第四階段:伺服器驗證(Server Verify)第五階段:用戶鑑別(Client Authentication)第六階段:完成階段(Finished Phase)n二、SSL記錄協定用來規範傳送或接收資料的包裝格式 272022/12/17.7安全超媒體傳輸協定安全超媒體傳輸協定nS-HTTP可提供通訊保密、身份識別、可信賴的資料傳輸服務、及數位簽名等。nS-HTTP與現有的HTTP相容,故支援S-HTTP的Web伺服器也接受一般的HTTP客戶端瀏覽。nS-HTTP是位於應用層,而SSL是建置於Socket層,因此可將此兩種技術合併使用。282022/12/17.8私密通訊技術私密通訊技術nPCT(Private Communication Technology)是Benaloh在1995年所定義的一個網際網路草案。nPCT的步驟及訊息構造較SSL的簡潔,且PCT具有允許雙方協調更多加密演算法的特性。
