第 1节 概述
电子商务(EC, Electronic Commerce ) ,是指一个具有商业活动能力的社会实体(企业、金融机构、政府组织、个人消费者等)在网络计算机环境下所进行的一切规范、有序的商业贸易活动。它是人类经济、科技、文化发展到一定阶段的产物,是信息化社会的商务模式。
一、电子商务的模式划分
1、从电子商务服务对象的范围划分
( 1)企业-企业之间(B to B)的电子商务。指在Internet上采购商与供应商谈判、订货、签约、接受发票和付款以及索赔处理、商品发送管理和运输跟踪;具体应包括供应商管理、库存管理、销售管理、信息传递及交易文档管理、支付管理等五项功能。
( 2)企业-消费者之间(B to C)的电子商务。基本上等同于网上商店或称在线零售商店;为消费者提供售前售后服务、销售、支付等三项功能。
( 3)企业内部的电子商务。可用来自动处理商务操作与工作流,增加对重要系统和关键数据的存取,共享信息、共同解决客户问题,保持组织内部的联系,并通过防火墙与企业外部Internet隔离;主要实现企业内部的信息通信、电子信息发布、以销促产、企业内部管理活动等。
2、从电子商务应用的层次划分
( 1)国际间的电子商务。是全球性的电子商务,是电子商务的最大服务范围,参加电子商务交易的各方完全通过Internet或EDI进行贸易,这就涉及到有关交易各方国家和政府机关及相关系统。
( 2)国内企业间的电子商务。
( 3)企业对消费者的电子商务。
二、电子商务涉及的应用技术
1、计算机技术
基于 Internet的电子商务要求以先进的高性能计算机为依托。在服务器端方面,要求高性能的中小型计算机为电子商务提供强大的计算能力,使从事电子商务的企业不会担心因为网络流量过大而导致联网速度下降的问题;在客户端方面,要求高性能的个人计算机为用户的使用和处理带来快捷感受。
2、Internet技术
包括 Internet、Intranet、Extranet技术等 。
3、网络通讯技术
包括网络设备、移动通讯系统、网络接入设备等涉及的技术 。
4、Web技术
包括 Web服务器硬件及软件技术、网络门户、搜索引擎、智能代理技术等。
5、数据库技术
包括数据模型、数据库管理系统、数据库系统建设及数据仓库、联机分析处理、数据挖掘技术等。
6、交易安全技术
包括防火墙技术、网络安全监控技术、信息加密技术、认证技术等。
7、电子支付技术
包括电子资金转账技术、数据自动俘获技术、银行清算系统等。
8、电子数据处理技术
主要包括电子数据交换技术(EDI技术)、条码技术等。
三、电子商务的技术标准
商务电子化已成为加快商务活动中各个环节进程、减少差错率、提高服务质量、降低成本和加速资金周转的重要手段。为了保证商务活动数据或单据能被不同国家、行业贸易伙伴的计算机识别处理,一定要有数据格式的一致约定,这就是电子商务活动中标准化所要解决的问题。
当前我国电子商务技术标准主要包含四个方面的内容:
1、EDI标准
1987年,联合国欧洲经济委员会综合了经过十多年实践的美国ANSI X.12系列标准和欧洲流行的“贸易数据交换(TDI)”标准,制定了用于行政、商业和运输的电子数据交换标准(EDI FACT)。目前,我国已等同转化为五项国家标准。
2、识别卡标准
国际标准化组织( ISO)从20世纪80年代开始制定识别卡及其相关设备的标准,至今已颁布了37项。
3、通讯网络标准
目前国际上广泛应用的有 MHS电子邮政系统(遵循OSI系列标准)和美国Internet电子邮政系统(遵循ARPA Internet系列标准)。我国现有146项网络环境国家标准,主要采用OSI标准。
4、其他相关标准
与电子商务活动有关的其他标准包括:术语、信息分类和代码、计算机设备、软件工程、安全保密等标准,约有 440项国家标准,其中采用ISO标准的有164项,占37%。这些相关标准中,许多标准仅描述我国特有的信息(如,民族代码、汉字点阵模集等),因此不能也不应该采用外国标准。
四、电子商务的技术发展趋势
1、广泛采用计算机协同工作技术、依赖协同作业体系
计算机协同工作将计算机技术、网络通信技术、多媒体技术以及各种社会科学紧密结合起来,提供一种全新的交流方式,包括工商、税务、银行、运输、商检、海关、外汇、保险、电信、认证等部门,以及商城、商户、企业客户等单位按一定的规范与程序相互配合、相互衔接、协同工作,共同完成有关的电子商务活动。
2、将开发面向中小用户的解决方案
3、将出现移动嵌入式可自动生成的电子商务技术
采用这种技术,可以在各个企业、部门和个人的计算机系统中自动生成可嵌入的电子商务小型系统。
4、将出现可定制的柔性电子商务系统
采用这种技术,用户可以对电子商务的应用提出具体的要求,运用该系统可生成符合用户要求的可伸缩的柔性电子商务系统。
第 2节 电子商务中的在线电子支付系统在电子商务活动中,主要的三个要素是信息流、资金流和物质流。当客户完成在线选购商品后,必须支付相应的费用,然后由商家按时将货物送达客户手中,完成交易过程。因此,在线电子支付是电子商务发展的重心所在,是完成网上交易的关键步骤。
一、 电子支付与 在线电子支付
在线电子支付不等同于电子支付。因为在电子商务出现之前,以信用卡为代表的电子支付手段早已实现,信用卡可在商场、饭店等许多场所使用,可采用刷卡记账、 POS终端结账、ATM机提取现金等方式进行支付。而在线电子支付,又可称为网上支付、电子货币支付,从广义上来说,是指交易双方在网上发生的一种资金交换;它是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据(二进制数据)形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现的流通和支付。电子支付系统是实现在线支付的基础,而在线支付则是电子支付系统发展的更高形式,它使得电子支付可随时随地通过Internet进行直接的转账、结算,形成电子商务环境。
在线电子支付系统多种多样,主要有网上银行卡支付系统、电子现金支付系统、电子钱包支付系统、电子支票支付系统等几种形式。
二、常见的在线电子支付系统
在线电子支付功能是网上购物的关键问题,既要使消费者感到方便快捷,又要保证交易各方的安全保密,这就需要一个比较完善的电子交易系统。目前,常用的几种在线电子支付系统为:
1、 网上银行卡支付系统
包括网上信用卡、智能卡( IC卡)支付系统等。它们是按照SET协议标准建立起来的一整套购物及支付系统。其具体方式是:用户在网上发送银行卡号和密码,加密发送到银行进行支付;而在支付过程中要进行用户、商家及付款要求的合法性验证。目前,国内多家银行都设立了这种用于在线支付的银行卡,如中国银行的“长城电子借记卡”、中国建设银行的“龙卡”、中国工商银行的“牡丹信用卡”、招商银行的“一卡通”等,都具有安全、方便的特性,是一种理想的在线支付工具,也 是目前在国内网上购物实现在线支付的主要手段。
基于银行卡的支付有以下四种模型:
( 1)支付系统无安全措施的模型:
其特点:商家完全掌握用户的银行卡信息,银行卡信息的传递无安全保障。
( 2)通过第三方经纪人支付的模型:
其特点:银行卡信息不在开放的网络中传送,支付是通过用户、商家双方均信任的第三方(经纪人)来完成的。
( 3)简单加密支付系统模型:
其特点: 使用加密技术对银行卡等关键信息进行加密,以数字签名确认信息的真实性,需要业务服务器和服务软件的支持。
( 4)SET(security electronic transaction)模型:
“安全电子交易”,简称 SET,是一个在开放的互联网上实现安全电子交易的国际协议和标准。(注:在第4节中将详细介绍相关概念)
特点: SET提供对交易参与者的认证,确保交易数据的安全性、完整性和交易的不可抵赖性,特别是确保不会将持卡人的账户信息泄露给商家,保证了SET协议的安全性。
这种系统比较适合 B to C 的交易模式。它采用记名消费的方式,在加强了系统安全性的同时,却丧失了匿名性的特征,不能很好地保护消费者的隐私。
2、 电子现金( Electronic_cash)网上支付系统
电子现金是一种以数据形式流通的货币,是以电子方式存在的现金货币;它是将现金的数值转换为一系列加密序列数,然后用这些序列来表示各种金额的币值。
其支付模型为:
其特点:银行和商家之间有协议和授权关系,身份验证由电子现金本身完成,电子现金可以存、取、转让,适用于小额交易。
电子现金支付系统同时拥有现金和电子化两者的优点,主要表现为:
·匿名性;
·不可跟踪性;
·节省交易费用;
·节省传输费用;
·持有风险小;
·支付灵活方便;
·防伪造及防重复性。
由于电子现金具有“现金”的特性,符合中国普通用户购买小额商品时的支付习惯,因此,很有可能会成为未来我国在线支付的重要手段,但目前我国尚未开始正式使用。国外已有多家公司可提供电子现金市场,如 DigiCash提供的无条件匿名电子现金市场 ( http://www.digicash.com ) 、Netcash提供的可记录匿名电子现金市场 ( http://www.isi.edu ) 等。
3、 电子钱包( E_purse)网上支付系统
使用电子钱包购物的用户,首先需要在某用户银行设立一个个人帐户并打入一定的款额;然后从相应的电子钱包服务系统中免费下载并安装一个电子钱包软件;再登录相应网站来在线申请并获取持卡人“电子安全证书”。那么,用户购物后,只需直接点击“电子钱包”图标,并按要求输入自己的卡号、密码等相应信息即可由电子钱包来完成后续的支付工作。如国外 Modex公司提供的以智能卡为电子钱包的在线支付系统 (http://www.modex.com)
电子钱包属于小额零星交易的支付工具,总是与银行卡配合使用来帮助用户完成整个购物流程。
4、 电子支票( E_check)网上支付系统
电子支票借鉴纸质支票转移支付的优点,利用数字传递将钱款从一个帐户转移到另一个帐户。这种电子支票的支付是在商家与银行相联的网上以密码方式传递的,多数使用公用关键字加密签名或个人身份证号码代替手写签名,从而保证此支付方式的安全。
电子支票兑现过程如下图所示:
电子支票系统目前一般是专用网络系统,国际金融机构通过自己的专用网络、 设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而保证安全性。系统今后将逐步过渡到在公共 Internet上进行传输。
这种支付方式主要用于 B to B交易模式的支付需要。
第 3节 电子商务中的安全技术(一)电子商务系统是一个计算机系统,其安全性是一个系统的概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关。它包括电子商务系统的硬件安全、软件安全、运行安全、电子商务安全立法。
一、电子商务的安全要素
在电子商务的使用过程中,涉及以下六个方面有关安全的因素:
1、 信息的保密性
指信息在传输或存储过程中不被他人窃取。
在利用网络进行的交易中,必须保证发送者和接收者之间交换的信息的保密性。电子商务作为一种贸易的手段,其信息直接代表着个人、企业或国家的商业机密;而电子商务系统是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防信息大量传输过程中被非法窃取,必须确保只有合法用户才能看到数据,防止信息被窃看。
2、 信息的完整性
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;此外,数据传输过程中的信息丢失、信息重复或信息传送顺序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略。
包括:
(1) 数据传输的完整性:
在网络传输所使用的协议中,应具有信息投递的确认与通知功能,具有查错、纠错的功能,以保证数据传送无误,即数据的完整性。
(2) 完整性检查(上下文检查):
对接收的电子商务报文数据进行扫描,按电子商务所规定的语法规则进行上下文检查,不符合语法规则的非法字符将从数据流中移走。
3、 信息的有效性
电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉,交易的有效性在其价格、期限、数量作为协议的一部分时尤为重要。信息接收方可以证实所接收的数据是原发方发出的,而原发方也可以证实只有指定的接收方才能接收。
4、 信息的不可抵赖性
在无纸化的电子商务方式下,通过手写签名或印章进行贸易各方的鉴别已经不可能了。因此,要求在交易信息的传递过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方在发送数据后不能抵赖、接收方在接收数据后也不能抵赖。
5、 交易身份的真实性
指交易各方确实存在,不是假冒、虚拟的。
网上交易的各方相隔很远、互不了解,要使交易成功,必须互相信任、确认对方是真实的,对商家要考虑客户是不是骗子,对客户要考虑商店是不是黑店、是否有信誉。
6、 系统的可靠性
电子商务系统是计算机系统,其可靠性是指:防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。
二、信息与网络安全――三维安全保障体系
电子商务的一个重要特征是:利用信息技术来传送和处理商业交易信息;因此,电子商务的安全从大体上可分为两大部分:即计算机网络本身的安全和商务交易信息的安全。
计算机网络安全的主要内容包括计算机网络设备的安全、计算机网络系统的安全和数据库的安全等;商务交易信息的安全则是围绕着传统上的商务活动在互联网络上应用时所产生的各种安全问题。
由于电子商务对计算机网络安全与商务安全有双重的要求,这就使得电子商务安全的复杂程度比大多数的计算机网络系统的要求更高。
如何保证商务信息在网络中安全而又畅通地流动,即如何保证信息与 网络的安全 是 保障电子商务系统正常运行的前提条件,是 电子商务系统中要考虑的首要问题 。
为此,提出了三维“动态、纵深防御”安全保障体系。
1、 三维安全保障体系模型框架结构
2、 三维安全保障体系设计原则
(1) 分布性:安全部件分层次、全方位、立体防御;
(2) 主动性:采用安全漏洞扫描、入侵检测等主动防御技术;
(3) 动态性:动态控制、动态调整,漏洞数据库、病毒特征库等能动态升级;
(4) 实时性:实时检测、实时响应、实时恢复;
(5) 协同性:同类安全组件之间协同联动;不同安全组件之间的协同;安全体系之 间的协同;
(6) 可管理性:通过统一界面可随时掌握组件状态、攻击行为;
(7) 开放性:可扩展、可集成。
3、三维安全体系涉及的五个方面
( 1)信息保护:信源加密、信道加密、密级管理、数字签名、密钥管理等;
( 2)网络保护:访问控制、身份认证、访问代理、地址过滤、地址转换、状态检测等;
( 3)系统层次(控制点分层):物理级、网络级、系统级、平台级、应用级、数据级和管理级;
( 4)时间域(动态性):入侵检测、风险分析、应急响应等;
( 5)空域(按空间划分安全域):如保密信息域、专有信息域、公用信息域等,各域又可分为网络与基础设施保护、安全域边界保护、计算环境保护等。
三、电子商务安全策略
由于引起电子商务安全问题的因素很多,所以解决安全问题也应从不同方面来考虑,提供不同的应对策略。
1、安全技术策略
为了确保通信的安全性,必须加以必要的措施加以防范。
在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络( VPN)等技术;
在鉴别和认证方面,可以采取加密和认证技术。
将在第 4节课中详细介绍。
2、法律保障
由于电子商务各项活动首先是一种商品的交易,因此安全问题应当通过相关法律加以保护,必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。
3、 社会道德的规范
由于电子商务中交易双方不是直接面对面的特点,传统交易过程中屡屡出现的欺诈行为势必会对电子商务产生安全方面的影响。所以,电子商务的健康发展有赖于社会道德规范的建立和完善。
4、 完善的管理策略
由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于提高管理人员敬业爱业的精神。
第 4节 电子商务中的安全技术(二)
第 2节所述的几种在线支付系统已经普遍被顾客(购买者)、商家(销售者)及银行三方所接受。但由于支付是在公开的网上进行的,支付信息很容易遭到网上黑客的袭击,那么如何确保在线支付信息的安全机密(信息存取及在传输过程中是否被非法窃取)?如何确认交易双方的身份真实程度?如何确认电子支票的真伪?如何确保交易信息的不可否认性及交易文件的不可修改性?并且如何保证银行支付网站本身的安全呢?计算机网络的安全与商务活动过程的安全均要依靠安全技术来完成。
一、安全技术分级要求
安全技术主要包括:安全管理、防火墙、包过滤路由器、安全审计、防病毒、加密、安全操作系统、安全数据库管理系统、认证鉴别、物理安全、入侵检测、脆弱性分析、应急响应、备份与恢复等。各种安全技术的安全等级均可分为 3级(其中第三级的安全保障级别最高),其分级要求见下表:
分 级
技 术
第一级( SPL1)
第二级( SPL2) 第三级( SPL3) 安全管理 用户自主保护级系统审计保护级
安全标记保护级
防火墙 代理服务器 路由器 包过滤、防火墙屏蔽主机
屏蔽子网
安全审计 用户自主选择 生成实时报警信息 实时报警、进程终止、取消当前服务 防病毒系统 先杀毒、后使用; 病毒扫描、拦截;使用合格防病毒产品
在第一级基础上进行整体防御 在第二级基础上进行防管结合、多层防御 加密系统 一级密码配置; 密码支持系统 二级密码配置 三级密码配置 认证鉴别系统 同步标识、同步鉴别、同步失败处理、用户-主体绑定 动作前标识、鉴别 在第二级基础上进行基本数据鉴别、不可伪造鉴别、一次使用鉴别 物理安全 a.环境安全 b.设备安全 符合机房场地 GB2887-2000标准C级 符合机房场地 GB2887-2000标准B级 符合机房场地 GB2887-2000标准A级 设备部件标记、 机房防盗报警、 安全可用、 故障恢复能力 在第一级基础上加强机房外部网络安全、 故障容错能力 在第二级基础上支持不间断运行 入侵检测 用户自主选择应急响应、潜在侵害分析、升级
自动升级、简单攻击探测 脆弱性分析 用户自主选择 定期进行潜在侵害分析 基于异常检测进行简单攻击探测 应急响应 用户自主选择 具有各种安全措施、备份机制、被动响应系统 具有安全管理机制、主动响应系统 备份恢复 自我备份、 手动恢复 设备备份、 手动恢复 热备份、自动备份(服务中断)二、电子商务中的主要安全技术
1、防火墙(Firewall)技术
防火墙是指一个由软件系统和硬件设备组合而成的、在企业内部网( Intranet)与外部网(Internet)之间的界面上构成的保护屏障,以此进行检查和连接。只有被授权的信息才能通过此保护层,从而使内部网与外部网在一定意义下隔离,防止非法入侵、非法使用系统资源,执行安全管制措施、记录所有可疑事件。
( 1)防火墙安全策略:
·没有被列为允许访问的服务都是被禁止的:这就意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他未列入的服务排斥在外、禁止访问;
·没有被列为禁止访问的服务都是被允许的:这意味着首先确定那些被禁止的、不安全的服务,以禁止他们来访问,而其他服务则被认为是安全的、允许访问。
( 2)防火墙的组成,如下图所示:
( 3)实现防火墙的主要技术:
包过滤( Packet Filter)技术 是在 OSI分层协议的网络层对通过的数据包进行过滤的一种技术。当它收到数据包后,先检查该数据包的包头,查找其中某些域中的值,再利用系统内事先设置好的过滤规则(或称逻辑),把所有满足过滤规则的数据包都发送到相应的目标地址端口,而把不满足过滤规则的数据包从数据流中剔除。这些被检查的域包括:数据包的类型(TCP或UDP等)、源IP地址、目标IP地址、目标TCP/IP端口等。
·应用网关( Application Gateway)
是建立在应用层上的协议过滤技术。它在内部网络和外部网络之间设置一个代理主机,并针对特定的网络应用服务协议采取特定的数据过滤规则或逻辑,同时还对数据包进行统计分析,形成相关的报告。在实际应用中,应用网关一般由专用的工作站系统来完成。
·代理服务( Proxy Server)技术
利用一个应用层网关作为代理服务器,可以防止Internet上的非法用户直接获取Intranet中的有关信息。所有来自Internet的应用连接请求均被送到代理服务器中,由代理服务器进行安全检查后,再与Intranet中的应用服务器建立连接。代理服务器可以实施较强的数据流监控、过滤、记录和报告等功能,而其中的代理服务技术则由专用计算机来承担。
·其他:
2 域名服务:保证内网域名与外网隔离;
2 E_mail处理:保证内外网函件交换必须经过防火墙;
2 防病毒网关、内容过滤、支持 VPN等。
现实中的防火墙通常是基于上述的前三种防火墙技术来建立的。
2、加密技术
加密技术是实现信息保密性的一种重要手段,目的是为了防止合法接收者之外的人获取信息系统中的机密信息。
( 1)所谓信息加密技术,就是采用数字方法对原始信息(通常称为“明文”)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为毫无意义的文字(加密后的信息通常称为“密文”),而对于合法的接收者,因为其掌握了正确的密钥,可以通过解密过程得到原始数据(即“明文”)。一条信息的加密传递过程如下图所示:
由此可见,尽管在网上传递的信息有可能被非法接收者捕获,但仍然比较安全,因为在没有密钥和解密算法的前提下,想恢复明文或读懂密文是非常困难的。
( 2 )根据密钥产生和使用的方式不同,可以将加密技术分为“私钥加密法”和“公钥加密法”:
· 私钥加密法:又称“单钥或对称加密法”,是指在对信息的加密和解密过程中使用相同的密钥,即一把钥匙开一把锁。其典型代表是美国的数据加密标准 DES ( Data Encryption Standard )。其优点是具有很高的保密强度,但它的密钥必须按照安全途径传递,密钥管理成为影响系统安全的关键性因素,难以满足开放式计算机网络的需求。
· 公钥加密法:又称“双钥或非对称加密法”。在这种系统中,密钥被分解为一对(一把公用密钥作为加密密钥,一把专用密钥作为解密密钥),公用密钥通过非保密方式向他人公开,而另一把作为私人密钥加以保存。公钥加密法的关键在于人们不能从公用密钥来推导得出私人密钥,也不能从私人密钥推导得出公用密钥,因此其保密性比较好,消除了最终用户交换密钥的需要,但加密和解密花费时间较长。
3、认证技术
( 1 )信息认证是安全性的一个很重要的方面,其目的有两个:
·确认信息发送者的身份;
·验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
( 2)认证是为了防止他人对系统进行主动攻击的一种重要技术。与认证有关的技术包括数字签名技术、身份识别技术、信息完整性效验技术等。
其中,数字签名( digital signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者;接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务中,完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前可以验证真伪的能力。应用广泛的数字签名算法有:RSA签名、DES签名、Hash签名。
( 3)认证中心(Certificate Authorities,简称CA):
在电子交易中,为了保证交易的安全性、公开性,身份认证等工作不是靠交易的双方自己来完成的,而是由一个第三方机构来实现,认证中心即充当这样一个角色。
在交易双方发生利益冲突时,若其中一方企图否认自己的公共密钥和数字签名,则必须由认证中心来为交易双方担任公共密钥的认证工作。因此,使用者在生成自己的私钥后,需要直接将公共密钥和身份信息送至认证中心去认证;通过认证后,认证中心必须将签核过的凭证放入凭证数据库中,供他人查询和下载,这样,交易双方都能在认证中心取得对方的凭证,证明主体的身份以及他与公钥的匹配关系。
认证中心主要有下面几项职能:
? 颁发证书
? 更新证书
? 查询证书
? 撤消证书
? 证书的归档
4、安全协议
安全协议的建立和完善是电子商务系统走上规范化、标准化道路的基本因素。
目前, Internet上有几种加密协议在使用,对应OSI七层网络模型的每一层都已提出了相应的协议。对应用层有SET协议,对会话层有SSL协议,在所有的协议中,SSL、SET协议与电子商务的关系最为密切。
( 1)SSL协议(Secure Sockets Layer):安全套接层协议。
由网景公司(Netscape)研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端及服务器的鉴别、数据完整性及信息机密性等安全措施,目的是为用户提供Internet和Intranet之间的安全通信服务。
SSL协议是较早出现且应用很广的一个安全性协议,该协议具有简单、易于实现等优点;SSL对在客户与服务器之间传输的所有数据都进行加密,而实际应用中需要加密的信息仅是很少一部分的关键性数据,因此,采用SSL协议影响了加密的效率;另外,SSL协议除了数据传输过程外、不能提供其它任何方面的安全保证。
( 2)SET协议(Secure electronic transactions):安全电子交易协议。
由维萨( Visa)和万事达(MasterCard)国际组织共同制定的、保证使用银行卡实现安全在线支付的协议。
SET协议保密性好,融入了CA的SET协议(SET-CA)更是一套严密、完整的认证体系,规定了严格而细致的交易过程和条件,提供了网上信息传递的高度安全、完整性。但SET协议非常复杂,对消费者、商户、银行三方面的要求都很高;且只适合银行卡的支付;并且不同SET协议版本间不具备很好的互操作性;因此,推行起来会遇到很大的阻力。
那么,两者之中谁将领导未来呢? SET协议会因其复杂性而消亡吗?SSL协议真的能完全满足电子商务的需要吗?事实上,SET协议是目前我国唯一真正实现了在线支付的协议,其复杂性代价换来的是风险的降低和全球银行卡支付协议的统一,由此带来的方便是不可估量的。
三、基于 SET协议的 购物流程
下面从一个完整的购物流程来看 SET协议是如何起作用的,如下图所示:
( 1)持卡人使用浏览器在商家的WEB主页上查看并选购所需商品,放入虚拟的购物车;
( 2)选购完毕后,持卡人详细填写订购信息;
( 3)持卡人选择支付方式(例,使用电子钱包支付:启动电子钱包软件,输入自己的密码;在钱包中选取一种银行卡来付款),此时SET协议开始介入;
( 4)持卡人在验证了商家的真实身份以后,向该商家发送一个完整的包含订购信息和支付信息的定单;同时利用双重签名技术保证账号、密码等信息对商家透明;
( 5)商家接受定单后,验证持卡人的身份,同时向持卡人使用的银行卡所属金融机构请求支付认可(通过支付网关到银行,再到发卡机构确认、批准交易,然后返回确认信息给商家);此时,持卡人购物的金额已从所持银行卡中扣除;
( 6)商家发送定单确认信息给持卡人,以备持卡人存档、查询;
( 7)商家按定单发货。此时,“交易”环节已全部完成。
( 8)最后,商家向持卡人的银行卡所属银行请求支付,则该银行确认支付信息后把钱划拨到商家的账户中,完成电子商务的“支付结算”环节。
分析:在第( 3)-(8)步的处理过程中,SET协议对通信协议、请求信息的格式、数据类型的定义等都作出了明确的规定;对持卡人、商家、支付网关三方都通过CA认证来验证通信主体的身份以确保交易各方的身份真实性;并且,持卡人的信息是分开走的:银行只能看见持卡人的银行卡信息而不能看见定单信息,商户则与之相反,从而确保整个交易过程信息的完整、保密、安全。
由于全国的金融电子化尚未形成,我国的电子商务还缺乏方便、安全、快捷的支付手段。目前电子商务的在线支付手段主要还是银行卡,虽然方便、快捷,但各银行的银行卡不能通用,还不能一卡走天下,真正能实现在线支付的也很少。在线支付不应是各银行的孤立行为,跨行支付才是未来的发展方向。
在发展电子商务中, B To C会带来交易量,而B To B会带来更大的交易额和效益;但目前我国缺乏成熟与权威的、支持B To B交易方式的安全协议;因此,除了银行卡支付外,其它形式的在线支付尚难开展。以上这些问题都迫切需要我们积极开展在线支付工具的研究、推动在线支付的应用、参与国际交流与合作、跟踪国际先进技术,总结和制定出符合我国国情的支付标准和规范 。
文章来源于领测软件测试网 https://www.ltesting.net/
