1. 消費者感知風險對電子商務發展有何影響
網上消費者感知風險的產生及分類
(一)電子商務與感知風險的產生
感知風險理論是1960年由哈佛大學的Bauer首先提出的,感知風險的定義可以概括為:消費者對消費行為中各種風險的心理感受,是對消費行為會帶來損失可能性和重要性的主觀預測。電子商務中的感知風險是指消費者對由於在線交易的不確定性而造成損失程度的一種預期,這種損失可能是經濟上、心理上,還有可能是產品方面的。
電子商務作為一種建立在信息技術平台上的先進的商務活動形式,具有低成本、高效率和傳播范圍廣等優勢,有良好的發展前景。因此,在全球金融危機的影響下,中小企業在網上進行貿易活動,開拓新的交易領域和宣傳方式,是一種有益的選擇。但是據中國互聯網路信息中心CNNIC的統計顯示:截至2009年10月中國網民人數已經達到3.67億,居全球第一,然而只有25%的網民使用過網上購物的功能,遠遠低於國外其他發達國家。出於感知風險等方面的考慮,我國眾多消費者仍存在著網上購買意願上的障礙。可見,消費者感知到的網上各類風險已經成為了電子商務中消費者網上購物的主要障礙,因此,有必要對網上消費者感知風險及其主要影響因素進行更為深入和細致的研究。
(二)網上消費者感知風險的八維模型
到目前為止,國內外許多對感知風險的研究採用的都是Stone在1993年提出的六種風險類型:財務風險、功能風險、時間風險、身體風險、社會風險和心理風險。此外,Jarvenpaa等首次提出隱私風險,井淼等提出在消費者網上購物感知風險維度中加上服務風險、隱私風險,構成了網上消費者感知風險的八維模型(見圖1)。
其中,經濟風險,即由於網路購物造成的經濟損失而產生的風險;功能風險,即由於產品不具備消費者所期望的性能或產品使用性能差所帶來的風險;隱私風險,即由於網路購物而使消費者失去對個人信息控制的可能性;社會風險,即消費者的網上購買行為不被其他社會成員接受或認同的可能性;時間風險,即個人因網路購物而損失時間的可能性;身體風險,即網路購物方式或網上購買的產品對個人身體造成傷害的可能性;服務風險,即網路購物過程中得不到客戶服務的可能性;心理風險,即由於網路購物行為而使自己遭受精神壓力的可能性。
網上消費者感知風險形成的影響因素
對於發展電子商務的中小企業來說,八維模型較全面的概括了網上消費者感知風險的種類,按照感知風險的內涵,可將感知風險的來源分為三大類。第一類是與消費者本人有關的風險,包括自我感覺、自身需求和宣傳理解等;第二類是與產品有關的風險,包括產品性能、實際效用等;第三類是與網站有關的風險,包括賬號安全、付款體系、網站欺詐等。通過上述分析,可以看出網上消費者感知風險形成的因素主要包括三大類:網站因素、產品因素和消費者因素,其中每大類又包含不同的小因素,共同影響網上消費者的感知風險(見圖2)。
網站因素。網站因素主要由網站安全性、網站便捷性、網站真實性等組成,主要影響著感知風險中的財務風險、時間風險、服務風險和隱私風險。其中,網站安全性包括網站的信用體系、支付體系和安全體系等;網站便捷性是指消費者網上購物過程中的方便和快捷程度,包括瀏覽的快捷性、購物過程的完善性、提供服務的及時性等;網站真實性包括網站上代理商信用等級的可信程度、網站上宣傳信息的真實程度、網站上產品信息的真實程度等。
產品因素。產品作為交易對象,其自身的特性同樣會影響到消費者對網上購物風險的感知,主要由產品價格、產品的性能、品牌、客戶服務、產品的配送、產品的特性和種類等組成,主要影響著感知風險中的功能風險和服務風險。
消費者因素。消費者是網上購物的主要參與者,其自身特點肯定會影響對網上購物風險的感知,其主要由性別、年齡、收入、職業、受教育程度等人口統計因素、網路使用經歷、網路購物經驗和消費者心理等組成,主要影響了感知風險中的身體風險、心理風險、社會風險等。
2. 網路安全對電子商務的重要性 繼續跪求....
對於這個問題,回答起來內容可以非常多,非常長。我覺得還是給你提點思路和線索比較實在。
首先,你要對網路安全有個全面深入的了解,雖然不必當作一個專業來學(有的大學開設網路安全專業),但它至少是一門課程。當然,作為基本了解,你可以從網路文庫或網路中學習。
其次,你要對電子商務有所了解,了解它的動作原理以及基本特點。它具有一般網路應用服務的基本屬性,因此具有它們所要求的網路安全,它還是一個交易系統,因此其安全顯得更重要。
希望以上建議對你有所幫助。
3. 影響電子商務發展的因素有哪些
影響我國電子商務發展的因素有:
1.國家發展電子商務還缺乏明確的發展戰略和有力的技術經濟政策
目前我國還缺乏很多項發展電子商務專項規劃,電子商務法規框架已起草多年,至今尚未在全國范圍內容推廣開來。國家發展電子商務還缺乏明確和有力的技術經濟政策。同時現有的行政法規不適應電子商務發展之處未得到及時修訂。研究制定電子商務的相關法律法規較滯緩。美國政府在1997年7月頒布了《全球電子商務綱要》作為美國政府發展電子商務的戰略性政策框架。美國政府電子商務工作組每年報告執行情況,提出政策調整與史新戰略建議,並促進相關政策及戰略的實施。
2.企業信息化建設滯後
目前,我國從整體上講企業的信息化水平還處十落後狀態,多數企業計算機和網路基礎設施薄弱,有關專業人才缺乏。企業的管理尚未真正實現信息化。並且,我國的人多數企業只重視基礎設施的建設,而忽視了信息資源的綜合利用,因此,由於企業導入電子商務系統過程缺少對信息資源的組織、管理及這方而的應用建設做基礎,往往使此企業處於兩難的境地。
3.電子商務交易的安全性問題
據調查,擔心信用卡號被竊取已經成為影響人們通過網路進行交易中存在的最大問題。如何在網上保證交易的公正性和安全性,保證交易方身份的真實性,保證傳遞信息的完整性以及交易的不可抵賴性,已成為我國電子商務發展過程中人們最為關心的問題。
電子商務交易中的信息安全漏洞難以堵塞。一方面是由於缺乏統一的信息安全標准、密碼演算法,協議在安全與效率之間難以兩全;另一方面,則是由於大多數管理者對網路安全不甚了解。在我國電子商務的發展過程中,各產業對網路已逐步出現了高度的依賴性。一旦計算機網路受到攻擊而導致電子商務系統不能正常運作,將會對我國的經濟建設造成不可估量的損失。
4.電子商務人才缺乏。
電子商務所需的人才分為三個層次:第一,技術服務支持層;第二,一般管理人員;第三,高級管理人員層。
我國第一層次人員還比較缺乏,電子商務教育在很大程度上忽視了第二層次人員的需求,甚至基木上沒有考慮到第三層次人員的培養,對電子商務教育問題解決不好,電子商務就不可能持續高速發展。
4. 安全在電子商務中有什麼地位和作用
隨著信息技術、網路技術和Internet的飛速發展,電子商務成為越來越多的人關注的焦點。電子商務使得人們可以在網上通過建立網站樹立自己的形象,發布自己的產品信息,宣傳產品廣告,提供售後服務,甚至可以提供網上交談、電子合同簽訂、電子交易和資金結算等。但是,事物的發展都存在兩面性,一方面電子商務給我們帶來了便利,同時在進行電子商務活動時,需要在Internet上傳輸消費者和商家的一些機密信息,如用戶信用卡、商家用戶信息和訂購信息等,而這些信息一直是網路非法入侵者或黑客的攻擊目標。如何保證電子商務安全,如何對敏感信息和個人信息提供機密性保障、認證交易雙方的合法身份以及數據的完整性和交易的不可否認性,已經成為電子商務發展的瓶頸,對這些問題的擔心也是導致很多人不願意進行網上購物和支付的主要要原因。
所以在當代電子商務盛行的時代,確寶電子商務的安全是非常有必要的。
5. 電子商務中存的安全問題對消費者及電子商務的發展有什麼影響
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基於Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網路來聯系,由於距離的限制,因而建立交易雙方的安全和信任關系相當困難。電子商務交易雙方(銷售者和消費者)都面臨安全威脅。電子商務的安全要素主要體現在以下幾個方面:
1)信息有效性、真實性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關繫到個人、企業或國家的經濟利益和聲譽。
2)信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網路環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3)信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
4)信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。
技術的發展進步已為以上方面提供了可能的解決方案。例如:「數字簽名」及「信息摘要」可以證實一個信息是否被篡改;一個「數字證書」可以確認一個發送數字簽字信息的人的身份;「雙重加密」可以實行在線訂貨付款,而不讓賣方看到信用卡號。國際交易要求:數字簽名及認證應該是國際公認和通用的,而且所有國家都要掌握充分的編碼技術。
現有電子商務網上支付系統的安全體系結構一般分為三大層次如圖4-3所示:
圖4-3 電子商務網上支付系統的安全體系結構
(1)第一層:基本加密演算法。目前廣泛採用現代加密技術與以下兩種體制,兩種體制主要區別是加密解密的密鑰不同。
對稱密鑰體制(又稱單鑰密鑰體制),即對信息加解密使用的密碼是同一密碼。目前,國際上分組密碼最具代表性的是美國數據加密標准DES。DES的密鑰長度是56位。該標准主要應用於銀行業中的電子資金轉賬(EFT)領域。
非對稱密鑰體制(又稱公鑰密鑰體制),即密鑰被分解為一對,一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為專用密鑰(解密密鑰)加以保存。
(2)第二層:安全認證手段。
①數字摘要(Digital Digest)。採用中一向Hash函數,將需要加密的信急原文通過特定的變換,將其「摘要」成一串128位的密文。這串密文又稱數字指紋,它是有固定長度的段代碼,且對於不同的信息原文,將它摘要成密文之後的結果總是不同的,而同樣的信息原文所形成的摘要必定是一致的。這樣利用這段摘要,就可以驗證通過網路傳輸收到的文件是否是初始,未被非法修改的文件原文了。
②數字信封(Data Envelop)。採用密碼技術的手段保證只有規定的收信人才能閱讀信的內容的一種安全認證手段。在數字信封中,信息發送方使用密碼對信急進行加密,在利用RSA演算法對該密碼進行加密,則被RSA演算法加密的密碼部分稱之為數字信封。它保證了在網上傳輸文件信息的保密性和安全性,即便加密文件被他人非法截獲,因為截獲者無法得到發送方的通信密鑰,不可能對文件進行加密。
③數字簽名( Digital Signature)。只有信息發送者才能產生的別人無法偽造的一段數據串。這段數據串同時也是對發送者發送了信息的真實性的一個證明。在書面文件上簽名是確認文件的一種手段。作用有兩點第一點因為自己的簽名難以否認,從而確認了文件己簽署這一事實;第二點因為簽名不易冒犯,從而確認了文件是真實這一事實。
④數字時間戳(Digital Timestamp)。數字時間戳服務是網上安全服務項目,由專門的機構提供。數字時間戳是一個經加密後形成的憑證文檔,它包括二個部分:需加時間戳文件的摘要、數字時間戳機構收到文件的數字時間和數字時間戳機構的數字簽名。
⑤數字證書和數字憑證(Digital Critical & Digital ID)。用電子手段來證實一個用戶的身份和對網路資源的訪問和許可權。在網上的電子交易中,如果雙方出示了各自的數字證書,並用它進行交易操作,那麼雙方就可以不必為雙方身份的真實性擔心了。
⑥認證中心(CA)。無論是數字時間戳還是數字證書的發證都不是靠交易雙方自己來完成的,而需要有一個具有權威性和公正性的第三方來完成。CA認證中心就是承擔網上安全電子交易認證服務,能簽發數字證書並能確認用戶身份的服務機構。CA的主要任務是受理數字憑證的申清簽發數字證書及對證書進行管理。
(3)第三層:安全認證協議。
①安全文本傳輸協議(S-HTTP:Secure HTTP)是對HTTP協議的擴展,保障WEB站點間交易的機密性、可靠性、完整性。它並不依賴於特定的密鑰證明系統,目前支持RSA ,帶內和帶外以及Kerberos密鑰交換。
②安全套接層協議(SSL)是一種利用公開密鑰技術的工業標准。它提供一個終端對終端的加密了的通信會話。它嵌套在傳送層與應用層之間,由兩個協議組成。其中SSL,記錄協議在傳輸層之上,用來密封各種較高層的協議。SSL握手協議的操作在SSL記錄層之上。在應用程序協議接收或傳送數據之前,它允許客戶和伺服器彼此驗證和協商一個數據加密法則和加密密鑰。
③安全電子交易協議(SET)是1997年5月由Visa、MasterCard信用卡組織、Verifone等聯合推出的用於電子商務網上支付的行業規范,其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范,一個用以保護電子交易的隱私和保證交易的真實性的開放標准。它採用公鑰密碼體制和X.509數字證書標准,目的就是為了保證網路交易的安全。
(4)支付網關。支付網關與支付型電子商務業務相關,位於公網和傳統的銀行網路之間,其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密。即支付網關主要完成通信、協議轉換和數據解密功能,並且可以保護銀行內部網路。此外,支付網關還具有密鑰保護和證書管理等其它功能。
總的來看,解決電子商務網上支付系統的安全問題,目前主要採取訪問控制、授權、身份認證、防火牆、加密存儲及傳達、內容控制、數據備份等措施。通過訪問控制,建立系統內部與外部、系統內部不同信息源之間的隔離機制;通過授權,對不同用戶實行不同層次的訪問許可,並監控用戶的活動,使其不越權使用;通過身份認證辨別用戶的身份真偽和信用程度,通常採用公共密鑰、私用密鑰或用戶指紋、聲音等特徵,實現單因素或多因素認證;加密則是使用最廣泛,也是最有效的手段之一,被應用於系統的各個環節,以保障信息在存儲和傳輸過程中的一致性(不被非法篡改)、隱秘性(不被非法查看),還可使接受者無法否認曾經收到信息的事實;控制功能則使系統一以出了問題,能夠做到問題再現、數據復查、責任追查等。
6. 電子商務安全給企業帶來的影響和啟示
電子商務是國民經濟和社會信息化的重要組成部分。發展電子商務是以信息化帶動工業化,轉變經濟增長方式,提高國民經濟運行質量和效率,走新型工業化道路的重大舉措,對實現全面建設小康社會的宏偉目標具有十分重要的意義。近年來,隨著信息技術的發展和普及,我國電子商務快速發展,應用初見成效,促進了國民經濟信息化的發展。但是,與發達國家相比,我國電子商務仍處在起步階段,還存在著應用范圍不廣、水平不高等問題,促進電子商務發展的政策環境急需完善。為貫徹落實黨的十六大提出的信息化發展戰略和十六屆三中全會關於加快發展電子商務的要求。
7. 電子商務安全技術的發展狀況
1、電子商務的安全控制要求概述
電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
1.1信息保密性
交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
1.2交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家而言要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。
1.3不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改動文件內容,那麼交易本身便是不可靠的,客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正。
2、電子商務安全交易的有關標准和實施方法
2.1安全交易的雛形
在電子商務實施初期,曾採用過一些簡易的安全措施,這些措施包括:
(1) 部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
(2) 另行確認(Order Confirmation):即當在網上傳輸交易信息之後,再用電子郵件對交易作確認,才認為有效。
(3) 在線服務(Online Service):為了保證信息傳輸的安全,用企業提供的內部網來提供聯機服務。
以上所述的種種方法,均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
2.2安全交易標準的制定
近年來,IT業界與金融行業一起,推出不少更有效的安全交易標准。主要有:
(1) 安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
(2) 安全套接層協議(SSL協議:Secure Socket Layer)是由網景(Netscape)公司推出的一種安全通信協議,是對計算機之間整個會話進行加密的協議,提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,用以完成需要的安全交易操作。在SSL中,採用了公開密鑰和私有密鑰兩種加密方法。
(3) 安全交易技術協議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。
(4) 安全電子交易協議(SET:Secure Electronic Transaction):SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准,其交易形態將成為未來「電子商務」的規范。
支付系統是電子商務的關鍵,但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協議,每一種都提供了通過Internet進行支付的手段。但是,兩者之中誰將領導未來呢?SET將立刻替換SSL嗎?SET會因其復雜性而消亡嗎?SSL真的能完全滿足電子商務的需要嗎?我們可以從以下幾點對比作管中一窺:
SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展,但如果想要電子商務得以成功地廣泛開展的話,必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置,比較容易被應用。
SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。
SET是一種基於消息流的協議,它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布,用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗,但大多數在Internet上購的消費者並沒有真正使用SET。
SET是一個非常復雜的協議,因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上,SET遠遠不止是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。
3、目前安全電子交易的手段
在近年來發表的多個安全電子交易協議或標准中,均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種:
3.1密碼技術
採用密碼技術對信息加密,是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種:
(1)公共密鑰和私用密鑰(public key and private key)
這一加密方法亦稱為RSA編碼法,是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘,對文件加密,均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數,則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時,某個用戶總是將一個密鑰公開,讓需發信的人員將信息用其公共密鑰加密後發給該用戶,而一旦信息加密後,只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到,亦可在請對方發信息時主動將公共密鑰傳給對方,這樣保證在Internet上傳輸信息的保密和安全。
(2)數字摘要(digital digest)
這一加密方法亦稱安全Hash編碼法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文,這一串密文亦稱為數字指紋(Finger Print),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。
上述兩種方法可結合起來使用,數字簽名就是上述兩法結合使用的實例。
3.2數字簽名(digital signature)
在書面文件上簽名是確認文件的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處,採用數字簽名,也能確認以下兩點:
a. 信息是由簽名者發送的。
b. 信息在傳輸過程中未曾作過任何修改。
這樣數字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發送信息;或發出(收到)信件後又加以否認等情況發生。
數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為:
(1) 被發送文件用SHA編碼加密產生128bit的數字摘要(見上節)。
(2) 發送方用自己的私用密鑰對摘要再加密,這就形成了數字簽名。
(3) 將原文和加密的摘要同時傳給對方。
(4) 對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要。
(5) 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致,則說明傳送過程中信息沒有被破壞或篡改過。否則不然。
3.3數字時間戳(digital time-stamp)
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。
在電子交易中,同樣需對交易文件的日期和時間信息採取安全措施,而數字時間戳服務(DTS:digital time-stamp service)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密後形成的憑證文檔,它包括三個部分:1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間,3)DTS的數字簽名。
時間戳產生的過程為:用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要,然後將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密(數字簽名),然後送回用戶。由Bellcore創造的DTS採用如下的過程:加密時將摘要信息歸並到二叉樹的數據結構;再將二叉樹的根值發表在報紙上,這樣更有效地為文件發表時間提供了佐證。注意,書面簽署文件的時間是由簽署人自己寫上的,而數字時間戳則不然,它是由認證單位DTS來加的,以DTS收到文件的時間為依據。因此,時間戳也可作為科學家的科學發明文獻的時間認證。
3.4數字憑證(digital certificate, digital ID)
數字憑證又稱為數字證書,是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中,如雙方出示了各自的數字憑證,並用它來進行交易操作,那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。
數字憑證的內部格式是由CCITT X.509國際標准所規定的,它包含了以下幾點:
(1) 憑證擁有者的姓名,
(2) 憑證擁有者的公共密鑰,
(3) 公共密鑰的有效期,
(4) 頒發數字憑證的單位,
(5) 數字憑證的序列號(Serial number),
(6) 頒發數字憑證單位的數字簽名。
數字憑證有三種類型:
(1) 個人憑證(Personal Digital ID):它僅僅為某一個用戶提供憑證,以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件(S/MIME)來進行交易操作。
(2) 企業(伺服器)憑證(Server ID):它通常為網上的某個Web伺服器提供憑證,擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。
(3) 軟體(開發者)憑證(Developer ID):它通常為Internet中被下載的軟體提供憑證,該憑證用於和微軟公司Authenticode技術(合法化軟體)結合的軟體,以使用戶在下載軟體時能獲得所需的信息。
上述三類憑證中前二類是常用的憑證,第三類則用於較特殊的場合,大部分認證中心提供前兩類憑證,能提供各類憑證的認證中心並不普遍。
3.5認證中心(CA:Certification Authority)
在電子交易中,無論是數字時間戳服務(DTS)還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心(CA)就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS:Certification Practice Statement)來實施服務操作。
上述五個方面介紹了安全電子交易的常用手段,各種手段常常是結合在一起使用的,從而構成比較全面的安全電子交易體系。
4、應用動態
根據最新報道,我國第一個安全電子商務系統:「網上訂票與支付系統」經過半年試運行後,於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。
系統結構採用網上訂票與支付系統由四個子系統組成:商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。
商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為:www.cea.online.sh.cn;它是中國安全電子商務第一網站。
客戶子系統是安裝於PC機上的電子錢包軟體,是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後,方可進行網上消費。
支付網關子系統通常是指由收款銀行運行的一套設備,用來處理商戶的付款信息以及持卡人發出的付款指令。
數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。
其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點:
1) 遵循SET國際標准、具有SET標准規定的安全機制,是目前國際互聯網上運行的比較安全的電子商務系統;
2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點,具有一定的中國特色;
3) 具有開放特性,可與經SETCO國際組織認證的任何電子商務系統進行互操作;