㈠ 电子商务支付系统存在哪些问题
目前电子商务主要存在的问题: 1、空间平台缺失。电商要发展壮大,需要空间和平台来支撑,且受物流等要素影响比较大。如,目前天台的电商企业主要以租用民房为主,与“电子商务园”模式相差较大。物流空间限制也比较严重。此外,物流企业本身也遭遇空间问题,导致发货量无法增加。 2、专业人才缺乏。电子商务需要多层次、综合型、实践型的复合型人才。如一个年销售额在2000万元左右的中等规模电子商务企业,就需运营主管、产品设计、营销策划和销售客服等多岗位人才。从引进人才的角度看,由于区域位置、生活环境、创业氛围、人才政策等原因,除客服人员相对易招之外,其他人才较难引进,即使引进来,流动性也很大;同时,人力资源部门在对外进行人才招聘时,考虑最多的还是制造业企业,电商企业人才引进尚未提升到一个新的高度。从人才培养的角度看,本地电商人才培养机制和沟通交流平台还有所欠缺,导致本地电商人才成长速度较慢,基础薄弱。 3、政策措施缺位。这几年,很多地方政府都把电子商务作为战略性新兴产业进行重点培育,但由于前期发展缺少扶持政策引导,大多数电子商务企业还处于小、散、乱、弱的状态,多数处于“一根网线+一台电脑+几个人”的初级业态。由于产品同质化严重,往往会采取模仿外观、降低品质、相互压价的恶性竞争模式,在一定程度上影响了电子商务企业的声誉。
㈡ 社区电商平台的支付问题
国内现在付款方式主要有以下几种方式:
1、第三方支付平台
现在用得比较多的有支付宝、财付通、快钱、易宝支付、百付宝、网易宝、环迅支付等等。
2、网银转账
网银转帐是指电子商务的交易通过互联网,利用银行卡进行支付的方式。消费者通过互联网向商家订货后,在网上自行操作付款给商家,完成支付(前提是要开通网上银行哦)。
3、货到付款
货到付款是指:客户订购商家的货物以后,商家直接把客户所订购的货物按照客户所给地址送货上门,客户在确认货物无误后直接把货款交纳的一种付款方式。
4、银行汇款或邮局汇款,
银行汇款或邮局汇款是一种很传统的付款方式。银行或邮局汇款是指客户把所需购买货物的金额通过邮局或银行直接给商家打款的一种支付方式。但采用此方式还必须到银行或邮局才能进行支付,比较繁琐,并不能适应电子商务的高速发展。
高达软件可以针对支付方式提供一站式服务,经验丰富,并且提供第三方支付服务,在线交易。在线支付,以及车辆监控等园区管理后台。
㈢ 电子商务常用的支付手段有哪些有哪些优缺点
1、传统支付方式
(1)现金支付。 (2)邮局汇款。 (3)银行转账。
现金支付的优点:简单易用,便捷,直观,适用于低价值的交易。
现金支付的缺点:受时间和空间的限制,大额现金携带不便,安全保管费用高。
银行汇款或邮局汇款是一种传统支付方式,也是目前为止电子商务支付方式中最常用的支付方式。邮局汇款是顾客将订单金额通过邮政部门汇到商户的一种结算支付方式。采用银行或邮局汇款,可以直接用人民币交易,避免了诸如黑客攻击、账号泄漏、密码被盗等问题,对顾客来说更安全。但采用此种支付方式的收发货周期时间长,例如卓越网的邮局汇款支付期限为14天,银行电汇为10天,而采用其他网上支付则只需1-2天。此外,顾客还必须到银行或邮局才能进行支付,支付过程比较繁琐。对于商家来说,这种交易方式也无法体现电子商务高速、交互性强、简单易用且运作成本低等优势。因此,这种支付方式并不能适应电子商务的长期高速发展。
传统支付方式的优点:符合消费者习惯,可信度高,司法环境成熟。
传统支付方式的缺点:带现金的风险,时间、地点的限制,手续烦,效率低。
2、电子支付方式
(1)电子货币支付方式。电子货币是通过计算机网络以信息传递形式实现支付功能的货币。电子货币支付方式与传统货币相比,具有简便,安全,迅速,可靠,小额支付等特征。电子货币中比较具有代表性的是电子现金。
电子现金是由Digicash公司开发的,通过它们提供的电子现金客户软件“电脑钱包”(商家和消费者都可以通过开通账户获得),消费者可以从银行提取电子现金,然后在自己的计算机上存贮电子现金。当需要购物并进行货币支付的时候,货币银行验证货币的有效性并把真实的货币与电子现金交换,商家接收消费者支付的电子现金,完成货币支付过程。消费者也可以把存贮在自己计算机上剩余的电子现金重新放回银行的电子现金库里。
由于电子现金没有传统货币面额的限制,所以非常适合小额支付,例如一条网上新闻的收看,一支MP3音乐的下载,等等。小额支付如今已经变得十分流行,被更多人认可和接收。
(2)电子支票支付方式。电子支票简单的说就是携带数字签名的数据报文。它通过使用数字签名确认支付者和收款者身份、支付银行和账户。电子支票与传统支票的功能几乎相同。利用它可以使支票支付的业务以及处理过程实现电子化和自动化。因为数字签名具有很高的安全性,所以从某种意义上讲电子支票比传统支票具有更高的安全性。
从电子支票的定义和功能可以看出,它具有如下特点:方便,高效,受众面广,易于流通,适用性强,安全性高,业务自动化,省时省钱等。
支付者所填电子支票的结构和填写方式都类似于传统支票,除了必须的收款者姓名、账号、金额和日期等信息外,电子支票还隐含了安全加密信息。当支付过程开始时,支付者把电子支票通过电子信箱发送给收款者,收款者取出电子支票并用数字签名签署收到的证实信息,再通过邮箱将电子支票发送到银行;另一面,支付者把电子付款通知单发到银行,银行通过确认收款者的身份信息,再把款项转入收款者账户。
(3)银行卡支付方式。银行卡支付方式是依托银行卡来完成支付过程。主要分为:结算卡,智能卡。结算卡中比较常见的有信用卡、借记卡、和签账卡等。
信用卡是一张正面印有发卡银行名称、有效期、号码等,背面有磁条、签名条等内容的具有消费信用的卡片。现在常用的信用卡,一般单指贷记卡,即持卡人在信用额度内先消费、后还款。信用卡已经成为人们消费的主流工具,它的工作流程和特点这里不再赘述。
借记卡是先存款、后消费,没有透支功能的银行卡。它除了具有转账结算、存取现金、购物消费等功能外,还具有基金和股票买卖等理财功能。借记卡提供了大量增值服务,方便人们的生活。
准确的讲,签账卡并不算是一种银行卡,但是它在电子商务中的支付结算功能又类似于银行卡,其消费额度,发卡标准等都高于信用卡,且不循环信用,每月消费金额必须及时全数偿还。
智能卡是一种比较特殊的卡类支付方式。它是一张嵌入微处理芯片的塑料卡,用来储存,管理用户个人信息,如私有密钥、账户信息、信用卡密码等。
智能卡中具有代表性的就是万事达国际公司的Mondex卡。使用Mondex卡的商家必须安装专用刷卡器。它的工作流程是这样:持卡人将Mondex卡插入刷卡器,当商家和持卡人的身份得到验证后,商家请求结算,在持卡人的Mondex卡上验证商家的数字签名,而商家也同样验证持卡人的数字签名,当双方签名得到确认后,则从持卡人的Mondex卡上减去商品金额,同时相同金额就转到商家账号上。
智能卡的优势比较明显,首先,信息存储量比一般磁卡大100倍左右;它比信用卡更具保密性,智能卡上的信息是加密的,只有合法用户才能使用;且便于携带。但是智能卡必须有专用刷卡设备的支持,阻碍了它的发展。
(4)电子钱包。电子钱包(Electronic Wallet)作为电子支付工具其实是一种计算机软件。它的功能和传统钱包相似,可存放电子现金、电子信用卡、用户身份证书以及其他信息,而且可以进行电子安全证书的管理,完成安全的电子交易,并进行交易记录的保存。
利用电子钱包购物必须在电子钱包服务系统中进行。用户通常在银行是有账户的,且必须安装符合安全标准的电子钱包软件,一般是免费提供的。在该软件中有电子钱包管理器,用来对用户的口令及其他数据进行管理;还有电子交易记录器,用来存贮和查询用户交易记录。当需要进行交易时,选择所需的交易方式,就可以顺利完成支付过程。目前已经有VISA Cash、Mondex、MasterCard cash、Clip和Proton等电子钱包服务系统,还有eWallet以及Microsoft Wallet等应用性强的电子钱包软件。
从电子钱包的功能和使用来看,电子钱包具有安全性高,适用性广,记忆力强,管理高效,省时和支持小额支付等优点。但电子钱包仍属于一种具有特殊使用范围的支付工具,并没有通用标准,限制其广泛使用和发展。
值得一提的是,随着手机业务的不断发展,手机已经相当于个人电子钱包被人们关注和使用,通过它可以进行一些小额付费业务如话费、网费和月杂费的付费,证券信息等。可以说,随着无线网络的发展,将来会有更多方式的业务会通过手机支付来完成。
(5)一卡通和其他支付方式
㈣ .电子商务有哪些支付方式它们各自的优点和缺点是什么
在我国电子商务发展的过程中,B2C、C2C电子商务产生了多种支付方式,包括汇款、货到付款、网上支付、电话支付、手机短信支付等方式,并且这些方式同时并存。据2005年CNNT统计,消费者常采用多种支付方式,其中汇款用户占总用户数量的43.2%、网上支付占41.9%、货到付款支付占34.7%、手机支付占1.7%。 2.1 汇款 银行汇款或邮局汇款是一种传统支付方式,也是目前为止电子商务支付方式中最常用的支付方式。邮局汇款是顾客将订单金额通过邮政部门汇到商户的一种结算支付方式。采用银行或邮局汇款,可以直接用人民币交易,避免了诸如黑客攻击、账号泄漏、密码被盗等问题,对顾客来说更安全。但采用此种支付方式的收发货周期时间长,例如卓越网的邮局汇款支付期限为14天,银行电汇为10天,而采用其他网上支付则只需1-2天。此外,顾客还必须到银行或邮局才能进行支付,支付过程比较繁琐。对于商家来说,这种交易方式也无法体现电子商务高速、交互性强、简单易用且运作成本低等优势。因此,这种支付方式并不能适应电子商务的长期高速发展。 2.2 货到付款 货到付款又称送货上门,指按照客户提交的订单内容,在承诺配送时限内送达顾客指定交货地点后,双方当场验收商品,当场交纳货款的一种结算支付方式。目前,很多购物网站都提供这种支付方式。这是一个充满中国特色的B2C电子商务支付方式、物流方式,既解决了中国网上零售行业的支付和物流两大问题,又培养了客户对网络的信任。货到付款仍然是中国用户最喜欢的支付方式之一。但是,将支付与物流结合在一起存在很多问题。首先,付款方式采用现金付费,因此只局限在小额支付上,例如卓越网的订单金额不可高于15 000元,对于商家的大额交易则无法实现。其次,由于送货上门受到地区的局限,而EMS费用又较高,所以顾客选择最多的还是普通邮寄,这就会带来必然的时间损耗,给用户造成不便。比如当当书店送货上门服务,送到北京市内读者手中需1-2天,而送到其他城市则需3-7天,普通邮寄则是更需1-2周,这还不包括边远地区。送货上门单张订单购物金额满30元免5元平邮费用,单张订单购物金额满200元免加急费用,这个费用对于小额购物的顾客来说是无法接受的。 2.3 网上支付 所谓网上支付,是以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以二进制数据形式存储,并通过计算机网络系统以电子信息传递形式实现的流通和支付。 2006年网上支付在整个电子支付市场规模中所占的比例为97%,网上支付仍是电子支付形式中的绝对主力,国内目前采用网上支付业务的网上书店总数已超过10万家。网上支付的方式主要有:银行卡支付方式、电子支票支付方式和电子货币支付方式。其中比较成熟的是银行卡支付方式,银行卡支付方式是目前在国内网上购物实现在线支付的最主要的手段。 2.3.1 网上银行卡转帐支付 网上银行卡转帐支付指的是电子商务的交易通过网络,利用银行卡进行支付的方式。客户通过Internet向商家订货后,在网上将银行卡卡号和密码加密发送到银行,直接要求转移资金到商家银行账户中,完成支付。银行卡的卡类可以包括信用卡、借记卡和智能卡等。 我国目前网上银行卡转账支付可以分为有数字证书和无数字证书两种方式。一般的用户如果不去银行申请启用有数字证书保护的网上支付功能,就只能使用无数字证书保护的网上支付。不启用数字证书保护的网上支付在功能上会有一定的限制,例如只能进行账户查询或只能进行小额支付。而启用数字证书保护的网上支付不仅拥有更高的安全性,而且能享受网上银行所提供的全部服务,支付的金额不受限制。 银行卡网上直接转账支付存在着安全性和方便性方面的矛盾,例如要起用数字证书保护,付款人必须经过向银行申请安装数字证书,下载指定软件等多道手续,对有些对电脑操作不熟悉的顾客而言就很难实现了。另外,因客户直接将货款转移到商家的帐户上,如果出现交易失败的情况,那么讨回货款的过程就可能变得非常繁琐和困难。 2.3.2 第三方支付平台结算支付 第三方结算支付是指客户和商家都首先在第三方支付平台处开立账户;并将各自的银行账户信息提供给支付平台的账户中,第三方支付平台通知商家已经收到货款,商家发货;客户收到并检验商品后,通知第三方支付平台可以付款给商家,第三方支付平台再将款项划转到商家的账户中。这样客户和商家的银行帐户信息只需提供给第三方支付平台,比较安全,且支付通过第三方支付平台完成,如果客户未收到商品或商品有问题则可以通知第三方支付平台拒绝划转货款到商家。而商家则可以在货款有保障的情况下放心发货,有效地降低了交易风险。第三方平台结算支付是当前国内服务数量最多的支付模式。国内当前从事网上支付的企业已经从2004年的10多家增加到现在的50多家,2005年我国第三方支付平台规模增长到161亿元。来自赛迪顾问的调查表明,2007年我国第三方支付平台规模已达到215亿元。国内目前第三方支付公司中,比较知名的有阿里巴巴的支付宝、易趣的安付通、贝宝、腾讯的财付通、易宝、网银在线、银联电子支付、环讯的IPS、云网等等。 由于第三方支付平台的介入,解决了电子商务支付过程中的一系列问题。如安全问题、信用问题、成本问题。与此同时,中国现有的第三方支付平台也存在一定的问题。 (1)中国法律规定只有金融机构才有权吸纳代理用户的钱,其他企业机构不得从事类似活动,支付平台的法律地位也受到一部分人的质疑。 (2)货款在第三方支付平台中滞留的时间内将产生一定的利息,这部分利息如何分配目前也缺乏明确的规范和严格的监督。 (3)支付平台解决的电子商务支付过程中的安全性问题只限于客户和厂商之间,其他安全性问题如客户在支付平台填写银行资料时信息的保密性、有效性和完整性问题还有待进一步解决。 (4)操作还不够简便,客户在使用支付平台时都必须进行一系列繁琐的申请。 (5)贷款会在第三方支付平台的账号中滞留一段时间,非实时性支付带来存款风险,如第三方支付企业不能完全保证货款安全,将大大损害客户和商家的利益。 (6)第三方支付平台可能会被利用,通过捏造虚假交易从信用卡套现,甚至存在可能被利用来进行洗钱的风险。
㈤ 关于电子商务支付方面的疑问
前面二问楼上的朋友都回答了,我就说第三个,仅供参考,呵呵
电子商务第三方支付有多家平台,每个公司的银行接口和费用也是不一样,现在收费低和质量测试最稳的这两者结合来说 易宝支付 的比较好一点,就像大众说得“性价比不错”,(顶级域名,网站所有权是自己的)不是在淘宝平台上可以选也可以不选支付宝的接口,因为顾客都是用网银付费的多,不排除有人用支付宝用户(这个现在公认度比较好,口碑快赶上银行卡,呵呵),你主要看你的客户是用什么支付,再选择适当的接口,现在除了支付宝,还有许多第三方支付平台,价格比支付宝要低一些,速度也快一些,快钱,易宝支付(这些和支付宝都是拿到“牌照”的,放心使用,国家也承认的)等也不错,你和这些第三方支付平台联系做个接口很方便的,测试下看这几家哪个速度快,掉单最少,收费较合理,就用哪一家,呵呵,个人意见,仅供参考。
㈥ 如何解决国际电子商务的支付问题
无论任何支付问题的本质,就是信任问题。
没有一个相互信任的依托和机制,回就无法完成一个支付过程答和条件。
所以,解决国际电子商务的支付根本,就是先找一个可信任的大树作为依靠;然后再把汇率波动和变化考虑在内,成立一个可控的风险机制就OK了。
㈦ 电子商务各种支付方式的优缺点
支付宝,是第三方,你购买东西你把钱给支付宝,交易没问题后,你通内知支付宝可以把钱转容给卖方,如果有争议,你可以收到货后不付款,跟卖家解决之后,再通知支付宝付款。
网银,就是直接把钱给卖家了,如果出现争议对消费者不利,因为钱已经支付,而网上购物又往往相距很远。
支付宝是保护消费者的手段。
㈧ 电子商务的支付特点是什么
电子现金从产生到投入应用,具备下列属性特点。1、货币价值。电子现金必须有银行的认证、信用与资金支持,才有公信价值。2、可分性。电子现金不仅能作为整体使用,还应能被分为更小的部分多次使用,只要各部分的面额之和与原电子现金面额相等。3、可交换性。电子现金可以与纸币、商品与服务、银行账户存储金额、支票等进行互换,体现了等价物性质。4、不可重复性。同一个客户在已用某个电子现金后,就不能再用第二次,也不能够随意复制使用。所以发行银行有巨大的数据库记录存储电子现金序列号,应用相应的技术与管理机制防复制。5、可存储性。电子现金能够安全地存储在客户的计算机硬盘、智能卡或电子钱包等特殊用途的设备中,取出时需要严格的身份认证。
㈨ 电子商务的安全支付问题
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;