1. 消费者感知风险对电子商务发展有何影响
网上消费者感知风险的产生及分类
(一)电子商务与感知风险的产生
感知风险理论是1960年由哈佛大学的Bauer首先提出的,感知风险的定义可以概括为:消费者对消费行为中各种风险的心理感受,是对消费行为会带来损失可能性和重要性的主观预测。电子商务中的感知风险是指消费者对由于在线交易的不确定性而造成损失程度的一种预期,这种损失可能是经济上、心理上,还有可能是产品方面的。
电子商务作为一种建立在信息技术平台上的先进的商务活动形式,具有低成本、高效率和传播范围广等优势,有良好的发展前景。因此,在全球金融危机的影响下,中小企业在网上进行贸易活动,开拓新的交易领域和宣传方式,是一种有益的选择。但是据中国互联网络信息中心CNNIC的统计显示:截至2009年10月中国网民人数已经达到3.67亿,居全球第一,然而只有25%的网民使用过网上购物的功能,远远低于国外其他发达国家。出于感知风险等方面的考虑,我国众多消费者仍存在着网上购买意愿上的障碍。可见,消费者感知到的网上各类风险已经成为了电子商务中消费者网上购物的主要障碍,因此,有必要对网上消费者感知风险及其主要影响因素进行更为深入和细致的研究。
(二)网上消费者感知风险的八维模型
到目前为止,国内外许多对感知风险的研究采用的都是Stone在1993年提出的六种风险类型:财务风险、功能风险、时间风险、身体风险、社会风险和心理风险。此外,Jarvenpaa等首次提出隐私风险,井淼等提出在消费者网上购物感知风险维度中加上服务风险、隐私风险,构成了网上消费者感知风险的八维模型(见图1)。
其中,经济风险,即由于网络购物造成的经济损失而产生的风险;功能风险,即由于产品不具备消费者所期望的性能或产品使用性能差所带来的风险;隐私风险,即由于网络购物而使消费者失去对个人信息控制的可能性;社会风险,即消费者的网上购买行为不被其他社会成员接受或认同的可能性;时间风险,即个人因网络购物而损失时间的可能性;身体风险,即网络购物方式或网上购买的产品对个人身体造成伤害的可能性;服务风险,即网络购物过程中得不到客户服务的可能性;心理风险,即由于网络购物行为而使自己遭受精神压力的可能性。
网上消费者感知风险形成的影响因素
对于发展电子商务的中小企业来说,八维模型较全面的概括了网上消费者感知风险的种类,按照感知风险的内涵,可将感知风险的来源分为三大类。第一类是与消费者本人有关的风险,包括自我感觉、自身需求和宣传理解等;第二类是与产品有关的风险,包括产品性能、实际效用等;第三类是与网站有关的风险,包括账号安全、付款体系、网站欺诈等。通过上述分析,可以看出网上消费者感知风险形成的因素主要包括三大类:网站因素、产品因素和消费者因素,其中每大类又包含不同的小因素,共同影响网上消费者的感知风险(见图2)。
网站因素。网站因素主要由网站安全性、网站便捷性、网站真实性等组成,主要影响着感知风险中的财务风险、时间风险、服务风险和隐私风险。其中,网站安全性包括网站的信用体系、支付体系和安全体系等;网站便捷性是指消费者网上购物过程中的方便和快捷程度,包括浏览的快捷性、购物过程的完善性、提供服务的及时性等;网站真实性包括网站上代理商信用等级的可信程度、网站上宣传信息的真实程度、网站上产品信息的真实程度等。
产品因素。产品作为交易对象,其自身的特性同样会影响到消费者对网上购物风险的感知,主要由产品价格、产品的性能、品牌、客户服务、产品的配送、产品的特性和种类等组成,主要影响着感知风险中的功能风险和服务风险。
消费者因素。消费者是网上购物的主要参与者,其自身特点肯定会影响对网上购物风险的感知,其主要由性别、年龄、收入、职业、受教育程度等人口统计因素、网络使用经历、网络购物经验和消费者心理等组成,主要影响了感知风险中的身体风险、心理风险、社会风险等。
2. 网络安全对电子商务的重要性 继续跪求....
对于这个问题,回答起来内容可以非常多,非常长。我觉得还是给你提点思路和线索比较实在。
首先,你要对网络安全有个全面深入的了解,虽然不必当作一个专业来学(有的大学开设网络安全专业),但它至少是一门课程。当然,作为基本了解,你可以从网络文库或网络中学习。
其次,你要对电子商务有所了解,了解它的动作原理以及基本特点。它具有一般网络应用服务的基本属性,因此具有它们所要求的网络安全,它还是一个交易系统,因此其安全显得更重要。
希望以上建议对你有所帮助。
3. 影响电子商务发展的因素有哪些
影响我国电子商务发展的因素有:
1.国家发展电子商务还缺乏明确的发展战略和有力的技术经济政策
目前我国还缺乏很多项发展电子商务专项规划,电子商务法规框架已起草多年,至今尚未在全国范围内容推广开来。国家发展电子商务还缺乏明确和有力的技术经济政策。同时现有的行政法规不适应电子商务发展之处未得到及时修订。研究制定电子商务的相关法律法规较滞缓。美国政府在1997年7月颁布了《全球电子商务纲要》作为美国政府发展电子商务的战略性政策框架。美国政府电子商务工作组每年报告执行情况,提出政策调整与史新战略建议,并促进相关政策及战略的实施。
2.企业信息化建设滞后
目前,我国从整体上讲企业的信息化水平还处十落后状态,多数企业计算机和网络基础设施薄弱,有关专业人才缺乏。企业的管理尚未真正实现信息化。并且,我国的人多数企业只重视基础设施的建设,而忽视了信息资源的综合利用,因此,由于企业导入电子商务系统过程缺少对信息资源的组织、管理及这方而的应用建设做基础,往往使此企业处于两难的境地。
3.电子商务交易的安全性问题
据调查,担心信用卡号被窃取已经成为影响人们通过网络进行交易中存在的最大问题。如何在网上保证交易的公正性和安全性,保证交易方身份的真实性,保证传递信息的完整性以及交易的不可抵赖性,已成为我国电子商务发展过程中人们最为关心的问题。
电子商务交易中的信息安全漏洞难以堵塞。一方面是由于缺乏统一的信息安全标准、密码算法,协议在安全与效率之间难以两全;另一方面,则是由于大多数管理者对网络安全不甚了解。在我国电子商务的发展过程中,各产业对网络已逐步出现了高度的依赖性。一旦计算机网络受到攻击而导致电子商务系统不能正常运作,将会对我国的经济建设造成不可估量的损失。
4.电子商务人才缺乏。
电子商务所需的人才分为三个层次:第一,技术服务支持层;第二,一般管理人员;第三,高级管理人员层。
我国第一层次人员还比较缺乏,电子商务教育在很大程度上忽视了第二层次人员的需求,甚至基木上没有考虑到第三层次人员的培养,对电子商务教育问题解决不好,电子商务就不可能持续高速发展。
4. 安全在电子商务中有什么地位和作用
随着信息技术、网络技术和Internet的飞速发展,电子商务成为越来越多的人关注的焦点。电子商务使得人们可以在网上通过建立网站树立自己的形象,发布自己的产品信息,宣传产品广告,提供售后服务,甚至可以提供网上交谈、电子合同签订、电子交易和资金结算等。但是,事物的发展都存在两面性,一方面电子商务给我们带来了便利,同时在进行电子商务活动时,需要在Internet上传输消费者和商家的一些机密信息,如用户信用卡、商家用户信息和订购信息等,而这些信息一直是网络非法入侵者或黑客的攻击目标。如何保证电子商务安全,如何对敏感信息和个人信息提供机密性保障、认证交易双方的合法身份以及数据的完整性和交易的不可否认性,已经成为电子商务发展的瓶颈,对这些问题的担心也是导致很多人不愿意进行网上购物和支付的主要要原因。
所以在当代电子商务盛行的时代,确宝电子商务的安全是非常有必要的。
5. 电子商务中存的安全问题对消费者及电子商务的发展有什么影响
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的安全要素主要体现在以下几个方面:
1)信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2)信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3)信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4)信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
技术的发展进步已为以上方面提供了可能的解决方案。例如:“数字签名”及“信息摘要”可以证实一个信息是否被篡改;一个“数字证书”可以确认一个发送数字签字信息的人的身份;“双重加密”可以实行在线订货付款,而不让卖方看到信用卡号。国际交易要求:数字签名及认证应该是国际公认和通用的,而且所有国家都要掌握充分的编码技术。
现有电子商务网上支付系统的安全体系结构一般分为三大层次如图4-3所示:
图4-3 电子商务网上支付系统的安全体系结构
(1)第一层:基本加密算法。目前广泛采用现代加密技术与以下两种体制,两种体制主要区别是加密解密的密钥不同。
对称密钥体制(又称单钥密钥体制),即对信息加解密使用的密码是同一密码。目前,国际上分组密码最具代表性的是美国数据加密标准DES。DES的密钥长度是56位。该标准主要应用于银行业中的电子资金转账(EFT)领域。
非对称密钥体制(又称公钥密钥体制),即密钥被分解为一对,一把公开密钥或加密密钥和一把专用密钥或解密密钥。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为专用密钥(解密密钥)加以保存。
(2)第二层:安全认证手段。
①数字摘要(Digital Digest)。采用中一向Hash函数,将需要加密的信急原文通过特定的变换,将其“摘要”成一串128位的密文。这串密文又称数字指纹,它是有固定长度的段代码,且对于不同的信息原文,将它摘要成密文之后的结果总是不同的,而同样的信息原文所形成的摘要必定是一致的。这样利用这段摘要,就可以验证通过网络传输收到的文件是否是初始,未被非法修改的文件原文了。
②数字信封(Data Envelop)。采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。在数字信封中,信息发送方使用密码对信急进行加密,在利用RSA算法对该密码进行加密,则被RSA算法加密的密码部分称之为数字信封。它保证了在网上传输文件信息的保密性和安全性,即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行加密。
③数字签名( Digital Signature)。只有信息发送者才能产生的别人无法伪造的一段数据串。这段数据串同时也是对发送者发送了信息的真实性的一个证明。在书面文件上签名是确认文件的一种手段。作用有两点第一点因为自己的签名难以否认,从而确认了文件己签署这一事实;第二点因为签名不易冒犯,从而确认了文件是真实这一事实。
④数字时间戳(Digital Timestamp)。数字时间戳服务是网上安全服务项目,由专门的机构提供。数字时间戳是一个经加密后形成的凭证文档,它包括二个部分:需加时间戳文件的摘要、数字时间戳机构收到文件的数字时间和数字时间戳机构的数字签名。
⑤数字证书和数字凭证(Digital Critical & Digital ID)。用电子手段来证实一个用户的身份和对网络资源的访问和权限。在网上的电子交易中,如果双方出示了各自的数字证书,并用它进行交易操作,那么双方就可以不必为双方身份的真实性担心了。
⑥认证中心(CA)。无论是数字时间戳还是数字证书的发证都不是靠交易双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成。CA认证中心就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。CA的主要任务是受理数字凭证的申清签发数字证书及对证书进行管理。
(3)第三层:安全认证协议。
①安全文本传输协议(S-HTTP:Secure HTTP)是对HTTP协议的扩展,保障WEB站点间交易的机密性、可靠性、完整性。它并不依赖于特定的密钥证明系统,目前支持RSA ,带内和带外以及Kerberos密钥交换。
②安全套接层协议(SSL)是一种利用公开密钥技术的工业标准。它提供一个终端对终端的加密了的通信会话。它嵌套在传送层与应用层之间,由两个协议组成。其中SSL,记录协议在传输层之上,用来密封各种较高层的协议。SSL握手协议的操作在SSL记录层之上。在应用程序协议接收或传送数据之前,它允许客户和服务器彼此验证和协商一个数据加密法则和加密密钥。
③安全电子交易协议(SET)是1997年5月由Visa、MasterCard信用卡组织、Verifone等联合推出的用于电子商务网上支付的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,一个用以保护电子交易的隐私和保证交易的真实性的开放标准。它采用公钥密码体制和X.509数字证书标准,目的就是为了保证网络交易的安全。
(4)支付网关。支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。即支付网关主要完成通信、协议转换和数据解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能。
总的来看,解决电子商务网上支付系统的安全问题,目前主要采取访问控制、授权、身份认证、防火墙、加密存储及传达、内容控制、数据备份等措施。通过访问控制,建立系统内部与外部、系统内部不同信息源之间的隔离机制;通过授权,对不同用户实行不同层次的访问许可,并监控用户的活动,使其不越权使用;通过身份认证辨别用户的身份真伪和信用程度,通常采用公共密钥、私用密钥或用户指纹、声音等特征,实现单因素或多因素认证;加密则是使用最广泛,也是最有效的手段之一,被应用于系统的各个环节,以保障信息在存储和传输过程中的一致性(不被非法篡改)、隐秘性(不被非法查看),还可使接受者无法否认曾经收到信息的事实;控制功能则使系统一以出了问题,能够做到问题再现、数据复查、责任追查等。
6. 电子商务安全给企业带来的影响和启示
电子商务是国民经济和社会信息化的重要组成部分。发展电子商务是以信息化带动工业化,转变经济增长方式,提高国民经济运行质量和效率,走新型工业化道路的重大举措,对实现全面建设小康社会的宏伟目标具有十分重要的意义。近年来,随着信息技术的发展和普及,我国电子商务快速发展,应用初见成效,促进了国民经济信息化的发展。但是,与发达国家相比,我国电子商务仍处在起步阶段,还存在着应用范围不广、水平不高等问题,促进电子商务发展的政策环境急需完善。为贯彻落实党的十六大提出的信息化发展战略和十六届三中全会关于加快发展电子商务的要求。
7. 电子商务安全技术的发展状况
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;