电子商务
电子商务可以通过多种电子通讯方式来完成。简单的,比如你通过打电话或发传真的方式来与客户进行商贸活动,似乎也可以称作为电子商务;但是,现在人们所探讨的电子商务主要是以EDI(电子数据交换)和INTERNET来完成的。尤其是随着INTERNET技术的日益成熟,电子商务真正的发展将是建立在INTERNET技术上的。所以也有人把电子商务简称为IC(INTERNET COMMERCE)。
从贸易活动的角度分析,电子商务可以在多个环节实现,由此也可以将电子商务分为两个层次,较低层次的电子商务如电子商情、电子贸易、电子合同等;最完整的也是最高级的电子商务应该是利用INTENET网络能够进行全部的贸易活动,即在网上将信息流、商流、资金流和部分的物流完整地实现,也就是说,你可以从寻找客户开始,一直到洽谈、订货、在线付(收)款、开据电子发票以至到电子报关、电子纳税等通过INTERNET一气呵成。 要实现完整的电子商务还会涉及到很多方面,除了买家、卖家外,还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的,因此整个电子商务过程并不是物理世界商务活动的翻版,网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用。 电子商务有哪些特性 普遍性:电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地;
方便性:在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商务活动,如通过网络银行能够全天侯地存取资金帐户、查询信息等,同时使得企业对客户的服务质量可以大大提高;
整体性:电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用,也可以提高系统运行的严密性;
安全性:在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同; 协调性:商务活动本身是一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调,在电子商务环境中,它更要求银行、配送中心、通讯部门、技术服务等多个部门的通力协作,往往电子商务的全过程是一气呵成的。 电子商务是如何产生和发展的 (1)电子商务产生和发展的条件
电子商务最早产生于60年代,发展于90年代,其产生和发展的重要条件主要是:
计算机的广泛应用:近30年来,计算机的处理速度越来越快,处理能力越来越强,价格越来越低,应用越来越广泛,这为电子商务的应用提供了基础;
网络的普及和成熟:由于INTERNET逐渐成为全球通信与交易的媒体,全球上网用户呈级数增长趋势,快捷、安全、低成本的特点为电子商务的发展提供了应用条件;
信用卡的普及应用:信用卡以其方便、快捷、安全等优点而成为人们消费支付的重要手段,并由此形成了完善的全球性信用卡计算机网络支付与结算系统,使“一卡在手、走遍全球”成为可能,同时也为电子商务中的网上支付提供的重要的手段;
电子安全交易协议的制定:1997年5月31日,由美国VISA和Mastercard国际组织等联合指定的SET(Secure Electronic Transfer Protocol)即电子安全交易协议的出台,以及该协议得到大多数厂商的认可和支持,为在开发网络上的电子商务提供了一个关键的安全环境;
政府的支持与推动:自1997年欧盟发布了欧洲电子商务协议,美国随后发布“全球电子商务纲要”以后,电子商务受到世界各国政府的重视,许多国家的政府开始尝试“网上采购”,这为电子商务的发展提供了有利的支持;
(2)电子商务发展的两个阶段
60年代—90年代:基于EDI 的电子商务
从技术的角度来看,人类利用电子通讯的方式进行贸易活动已有几十年的历史了。早在本世纪60年代,人们就开始了用电报报文发送商务文件的工作;70年代人们又普遍采用方便、快捷的传真机来替代电报,但是由于传真文件是通过纸面打印来传递和管理信息的,不能将信息直接转入到信息系统中,因此人们开始采用EDI(电子数据交换)作为企业间电子商务的应用技术,这也就是电子商务的雏形。
EDI在60年代末期产生于美国,当时的贸易商们在使用计算机处理各类商务文件的时候发现,由人工输入到一台计算机中的数据70%是来源于另一台计算机输出的文件,由于过多的人为因素,影响了数据的准确性和工作效率的提高,人们开始尝试在贸易伙伴之间的计算机上使数据能够自动交换,EDI应运而生。
EDI(Electronic Data Interchange):是将业务文件按一个公认的标准从一台计算机传输到另一台计算机上去的电子传输方法。由于EDI大大减少了纸张票据,因此,人们也形象地称之为“无纸贸易”或“无纸交易”。
从技术上讲,EDI包括硬件与软件两大部分。硬件主要是计算机网络,软件包括计算机软件和EDI标准。
从硬件方面讲,90年代之前的大多数EDI都不通过INTERNET,而是通过租用的电脑线在专用网络上实现,这类专用的网络被称为VAN(Value-Addle Network,增值网),这样做的目的主要是考虑到安全问题。但随着INTERNET安全性的日益提高,作为一个费用更低、覆盖面更广、服务更好的系统,其已表现出替代VAN而成为EDI的硬件载体的趋势,因此有人把通过INTERNET实现的EDI直接叫做INTERNET EDI。
从软件方面看,EDI所需要的软件主要是将用户数据库系统中的信息,翻译成EDI的标准格式以供传输交换。由于不同行业的企业是根据自己的业务特点来规定数据库的信息格式的,因此,当需要发送EDI文件时,从企业专有数据库中提取的信息,必须把它翻译成EDI的标准格式才能进行传输,这时就需要相关的EDI软件来帮忙了。
EDI软件主要有以下几种:
1)转换软件(Mapper)
转换软件可以帮助用户将原有计算机系统的文件,转换成翻译软件能够理解的平面文件(Flat file),或是将从翻译软件接收来的平面文件,转换成原计算机系统中的文件。
2)翻译软件(Translator)
将平面文件翻译成EDI标准格式,或将接收到的EDI标准格式翻译成平面文件。
3)通信软件
将EDI标准格式的文件外层加上通信信封(Envelope),再送到EDI系统交换中心的邮箱(Mailbox),或由EDI系统交换中心内将接收到的文件取回。
EDI软件中除了计算机软件外还包括EDI标准。美国国家标准局曾制订了一个称为X12的标准,用于美国国内。1987年联合国主持制订了一个有关行政、商业及交通运输的电子数据交换标准,即国际标准--UN/EDIFACT(UN/EDI For Administration、Commerce and Transportation)。1997年,X12被吸收到EDIFACT,使国际间用统一的标准进行电子数据交换成为了现实。
2 90年代以来:基于国际互联网的电子商务
由于使用VAN的费用很高,仅大型企业才会使用,因此限制了基于EDI的电子商务应用范围的扩大。20世纪90年代中期后,国际互联网(INTERNET)迅速走向普及化,逐步地从大学、科研机构走向企业和百姓家庭,其功能也已从信息共享演变为一种大众化的信息传播工具。从1991年起,一直排斥在互联网之外的商业贸易活动正式进入到这个王国,因此而使电子商务成为互联网应用的最大热点。以直接面对消费者的网络直销模式而闻名的美国戴尔(Dell)公司1998年5月的在线销售额高达500万美元,该公司期望2000年在线收入能占总收入的一半。另一个网络新贵亚马逊(Amazon.com)网上书店的营业收入从1996年的1580万美元猛增到1998年的4亿美元。三年前开办的eBay公司是互联网上最大的个人对个人的拍卖网站,这个跳蚤市场1998年第一季度的销售额就达1亿美元。象这样的营业性网站已从1995年的2000个急升为1998年的42.4万个。面对电子商务如此迅猛的发展趋势,弗雷斯特(Forrester)公司不得不将它对于2002年电子商务的预测由原来的3270亿美元改为8427亿美元。
(3)为什么基于互联网的电子商务对企业具有更大的吸引力
互联网已成为全球最大的互联网络,已经覆盖150多个国家和地区,连接了1.5万多个网络,220万台主机。5年前,被誉为“英特尔之父”的Vint Cerf曾预测,到2003年全球将会有1亿英特网用户,然而,因特网的发展事实让他跌破眼镜。目前,全球预计已有1.5亿英特网用户,是两年前的3倍。据业界一些专家预计,到2005年,全世界上网的人数将达10亿。
据CNNIC1999年1月15日发布的最新统计报告显示,截止1998年12月31日,我国互联网用户数已达到210万,CN下注册的域名数已达18396个,WWW站点数约5300个。
为什么基于互联网的电子商务对企业具有如此大的吸引力呢?这是因为它比基于EDI的电子商务具有以下一些明显的优势:
1)费用低廉:由于互联网是国际的开放性网络,使用费用很便宜,一般来说,其费用不到VAN的四分之一,这一优势使得许多企业尤其是中小企业对其非常感兴趣;
2)覆盖面广:互联网几乎遍及全球的各个角落,用户通过普通电话线就可以方便地与贸易伙伴传递商业信息和文件;
3)功能更全面:互联网可以全面支持不同类型的用户实现不同层次的商务目标,如发布电子商情、在线洽谈、建立虚拟商场或网上银行等; 4)使用更灵活:基于互联网的电子商务可以不受特殊数据交换协议的限制,任何商业文件或单证可以直接通过填写与现行的纸面单证格式一致的屏幕单证来完成,不需要再进行翻译,任何人都能看懂或直接使用。 电子商务对社会经济会产生哪些影响 随着电子商务魅力的日渐显露,虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同,这些词汇同时也从另一个侧面反映了电子商务正在对社会和经济产生的影响。
(1) 电子商务将改变商务活动的方式。传统的商务活动最典型的情景就是“推销员满天飞”“采购员遍地跑”,“说破了嘴、跑断了腿”;消费者在商场中筋疲力尽地寻找自己所需要的商品。现在,通过互联网只要动动手就可以了,人们可以进入网上商场浏览、采购各类产品,而且还能得到在线服务;商家们可以在网上与客户联系,利用网络进行货款结算服务;政府还可以方便地进行电子招标、政府采购等;
(2) 电子商务将改变人们的消费方式。网上购物的最大特征是消费者的主导性,购物意愿掌握在消费者手中;同时消费者还能以一种轻松自由的自我服务的方式来完成交易,消费者主权可以在网络购物中充分体现出来;
(3) 电子商务将改变企业的生产方式。由于电子商务一种快捷、方便的购物手段,消费者的个性化、特殊化需要可以完全通过网络展示在生产厂商面前,为了取悦顾客,突出产品的设计风格,制造业中的许多企业纷纷发展和普及电子商务,如美国福特汽车公司在1998年的3月份将分布在全世界的12万个电脑工作站与公司的内部网连接起来,并将全世界的1.5万个经销商纳入内部网。福特公司的最终目的是实现能够按照用户的不同要求,做到按需供应汽车。
(4) 电子商务将对传统行业带来一场革命。电子商务是在商务活动的全过程中,通过人与电子通讯方式的结合,极大地提高商务活动的效率,减少不必要的中间环节,传统的制造业籍此进入小批量、多品种的时代,“零库存”成为可能;传统的零售业和批发业开创了“无店铺”“网上营销”的新模式;各种线上服务为传统服务业提供了全新的服务方式。
(5) 电子商务将带来一个全新的金融业。由于在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件,随着电子商务在电子交易环节上的突破,网上银行、银行卡支付网络、银行电子支付系统以及网上接服务、电子支票、电子现金等服务,将传统的金融业带入一个全新的领域。1995年10月,全球第一家网上银行“安全第一网络银行”(Security First Network Bank)在美国诞生,这家银行没有建筑物,没有地址,营业厅就是首页画面,员工只有10人,与总资产超过2000亿美元的美国花旗银行相比,“安全第一网络银行”简直是微不足道,但与花旗银行不同的是,该银行所有交易都透过互联网进行,1996年存款金额达到1400万美元,预计到1999年将达到4亿美元。
(6)电子商务将转变政府的行为。政府承担着大量的社会、经济、文化的管理和服务的功能,尤其作为“看得见的手”,在调节市场经济运行,防止市场失灵带来的不足方面有着很大的作用。在电子商务时代,当企业应用电子商务进行生产经营,银行是金融电子化,以及消费者实现网上消费的同时,将同样对政府管理行为提出新的要求,电子政府或称网上政府,将随着电子商务发展而成为一个重要的社会角色。 总而言之,作为一种商务活动过程,电子商务将带来一场史无前例的革命。其对社会经济的影响会远远超过商务的本身,除了上述这些影响外,它还将对就业、法律制度以及文化教育等带来巨大的影响。电子商务会将人类真正带入信息社会。 电子商务的应用:电子商务有哪些应用功能※ 售前服务
INTERNET作为一个新媒体,具有"即时互动、跨越时空和多媒体展示"等特性,它强调了互动性,而且广告资料更新较快,比传统媒体的广告费用低廉。企业可利用网上主页(Homepage)和电子邮件(E-mail)在全球范围内作广告宣传;客户可借助网上检索工具(Search)迅速地找到所需要的商品信息。
※ 售中服务
网上售中服务主要是帮助企业完成与客户之间的咨询洽谈、网上订购、网上支付等商务过程,对于销售无形产品的公司来说,INTERNET上的售中服务为网上的客户提供了直接试用产品的机会,例如音像制品的试听、试看以及软件的试用等。
※ 售后服务 网上售后服务的内容主要包括帮助客户解决产品使用中的问题,排除技术故障,提供技术支持,传递产品改进或升级的信息以吸引客户对产品与服务的反馈信息。电子商务能十分方便地采用网页上的"选择"、"填空"等格式文件来收集用户对销售服务的反馈意见。这样使企业的市场营销能形成一个封闭的回路。网上售后服务不仅响应快、质量高、费用低,而且可以大大减低服务人员的工作强度。 电子商务应用的三种类型 (1)企业内部电子商务
即企业内部之间,通过企业内部网(Intranet)的方式处理与交换商贸信息。
企业内部网(Intranet)是一种有效的商务工具,通过防火墙,企业将自己的内部网与Internet隔离,它可以用来自动处理商务操作及工作流,增强对重要系统和关键数据的存取,共享经验,共同解决客户问题,并保持组织间的联系。
通过企业内部的电子商务,可以给企业带来如下好处:增加商务活动处理的敏捷性,对市场状况能更快的作出反应,能更好地为客户提供服务。
(2) 企业间的电子商务(简称为B-B模式)
即企业与企业(Business-Business)之间,通过INTERNET或专用网方式进行电子商务活动。
企业间的电子商务是电子商务三种模式中最值得关注和探讨的,因为它最具有发展的潜力。据IDG公司1997年9月的统计,1997年全球在INTERNET网上进行的电子商务金额为100亿美元,其中企业间的商务活动占其中的79%。Forrester研究公司预计企业间的商务活动将以三倍于企业-个人间电子商务的速度发展。这是因为,在现实物理世界中,企业间的商务贸易额是消费者直接购买的10倍。
(3) 企业与消费者之间的电子商务(简称为B-C模式) 即企业通过INTERNET为消费者提供一个新型的购物环境--网上商店,消费者通过网络在网上购物、在网上支付。由于这种模式节省了客户和企业双方的时间和空间,大大提高了交易效率,节省了不必要的开支,因此网上购物将成为电子商务的一个最热闹的话题。 电子商务应用系统的构成 从技术角度看,电子商务的应用系统由三部分组成:
※ 企业内部网 (Intranet)
※ 企业内部网 (Intranet)与INTERNET的连接
※ 电子商务应用系统
(1) 企业内部网 (Intranet)
企业内部网(Intranet)由Web服务器、电子邮件服务器、数据库服务器以及电子商务服务器和客户端的PC机组成。所有这些服务器和PC机都通过先进的网络设备集线器HUB或交换器SWITCH连接在一起。
WEB服务器-最直接的功能是可以向企业内部提供一个WWW站点,借此可以完成企业内部日常的信息访问;
邮件服务器为企业内部提供电子邮件的发送和接收;
电子商务服务器和数据库服务器通过WEB服务器和由自己对企业内部和外部提供电子商务处理服务;
协作服务器主要保障企业内部某项工作能协同工作,例如,在一个软件企业,企业内部的开发人员可以通过协作服务器共同开发一个软件;
帐户服务器提供企业内部网络访问者的身份验证,不同的身份对各种服务器的访问权限将不同;
客户端PC机上要安装有INTERNET浏览器,如Microsoft Internet Explorer 或Netscape Navigator,借此访问WEB服务器。
在企业内部网中,每种服务器的数量随企业的情况不同而不同,例如,如果企业内访问网络的用户比较多,可以放置一台企业WEB服务器和几台部门级WEB服务器,如果企业的电子商务种类比较多样性或者电子商务业务量比较重,可以放置几台电子商务服务器。
(2)企业内部网 (Intranet)与互联网连接
为了实现企业与企业之间、企业与用户之间的连接,企业内部网(Intranet)必须与互联网进行连接,但连接后,会产生安全性问题。所以在企业内部网 (Intranet)与互联网连接时,必须采用一些安全措施或具有安全功能的设备,这就是所谓的防火墙。
为了进一步提高安全性,企业往往还会在防火墙外建立独立的Web服务器和邮件服务器供企业外部访问用,同时在防火墙与企业内部网 (Intranet)之间,一般会有一台代理服务器,代理服务器的功能有两个,一是安全功能,即通过代理服务器,可以屏蔽企业内部网内服务器或PC,当一台PC访问互联网时,它先访问代理服务器,然后代理服务器再访问互联网;二是缓冲功能,代理服务器可以保存经常访问的互联网上的信息,当PC即访问互联网时,如果被访问的信息存放在代理服务器中,那么代理服务器将把信息直接送到PC机上,省去对互联网的再一次访问,可以节省费用。
(3)电子商务应用系统
在建立了完善的企业内部网 (Intranet)和实现了与互联网之间的安全连接后,企业已经为建立一个好的电子商务系统打下良好基础,在这个基础上,在增加电子商务应用系统,就可以进行电子商务了。
一般来讲,电子商务应用系统主要以应用软件形式实现,它运行在已经建立的企业内部网 (Intranet)之上。 电子商务应用系统分为两部分,一部分是完成企业内部的业务处理和向企业外部用户提供服务,比如用户可以通过互联网查看产品目录、产品资料等;另一部分是极其安全的电子支付系统,电子支付系统使得用户可以通过互联网在网上购物、支付等,真正实现电子商务。 电子商务的安全问题:电子商务主要的安全要素 (1)有效性
EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
(2)机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(3)完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可靠性/不可抵赖性/鉴别
EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
(5)审查能力 根据机密性和完整性的要求,应对数据审查的结果进行记录。 电子商务采用的主要安全技术及其标准规范 考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以"端到端"形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。
(1)加密技术
加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
①对称加密/对称密钥加密/专用密钥加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有"n"个贸易关系,那么他就要维护"n"个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
数据加密标准(DES)由美国国家标准局提出,是目前广泛采用的对称加密方式之一,主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如Lotus Notes和Apple的Opn Collaboration Environment)已采用了这些算法。
②非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
RSA(即Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
(2)密钥管理技术
①对称密钥管理
对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。
贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。
②公开密钥管理/数字证书
贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的InternetExplorer 3.0和网景公司的Navigator 3.0都提供了数字证书的功能来作为身份鉴别的手段。
③密钥管理相关的标准规范
目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。
(3)数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是"信息技术安全技术带附件的数字签名方案",它由概述和基于身份的机制两部分构成。
(4) Internet电子邮件的安全协议
电子邮件是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。
①PEM
PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。
② S/MIME
S/MIME(安全的多功能Internet电子邮件扩充)是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议,如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。
③PEM-MIME(MOSS)
MOSS(MIME对象安全服务)是将PEM和MIME两者的特性进行了结合。
(5) Internet主要的安全协议
① SSL
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intrnet 网络产品的公司已在使用该协议。
此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。
②S-HTTP
S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。目前,该协议正由Internet工程任务组起草RFC草案。
(6)UN/EDIFACT的安全
EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。
在ISO将要发布的ISO 9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则;第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的安全规则。
UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性;
而分离式途径则是通过发送3种特殊的 UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。
(7)安全电子交易规范(SET) SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版已经公布并可应用于任何银行支付服务。 发展我国电子商务需迫切解决的问题 电子商务的发展前景无疑是非常远大的,但是鉴于我国起步较晚,信息化和网络化程度不高等原因,要在全国顺利普及,还有很多问题需要解决。
1.网络基础设施建设问题
要想实现真正实时的网上交易,要求网络有非常快的响应速度和较高的带宽,这必须由硬件提供对高速网络的支持。而我国由于经济实力和技术方面的原因等,网络的基础设施建设还比较缓慢和滞后,已建成的网络其质量离电子商务的要求相距甚远。另一方面,上网用户少,网络利用率低,致使网络资源大量闲置和浪费,投资效益低,严重制约着网络的进一步发展。同时,与银行、税务等十几个部门的联网尚未实现。因此,如何加大基础设施建设的力度,提高投资效益,改变网络通信方面的落后面貌,应是促进电子商务应用普及的首要问题。
2.政府的角色定位问题
Internet是一个跨国界的网络,建立在其上的电子商务活动必然也具有同样的特点。如果各个国家按照自己的交易方式运作电子贸易,必然一事无成。所以必须建立一个全球性的标准和规则,以保证电子商务的顺利实施。同时,政府对电子商务活动不应过多地干涉,而应遵循电子商务的国际准则,尽量放权于企业。政府在其中起的作用应是扶持和服务,而不是控制和干预。当然,当交易中出现侵犯知识产权等现象时,政府应有及时、准确的行动。在我国,目前的电子商务应用普及面临的社会环境是:政企不分,信用制度不完整,流通秩序比较混乱,地方利益和部门利益纵横交错而滋生出形形色色的保护主义,面对如此境况,政府如何管理才能化消极因素为积极因素,推进电子商务应用普及,值得好好思忖。
3.安全问题
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。对于中国来说,网络产品几乎都是"舶来品",本身就隐藏着不安全隐患,加之受技术、人为等因素的影响,不安全因素更显突出。目前,电子签名和认证是网上比较成熟的安全手段,而在我国大多尚处在对SSL协议的应用上,在SET协议上的应用试验刚刚成功,而要完全实现SET协议安全支付,就必须有一个CA认证中心,而目前在我国CA认证权的归属问题尚未确定,在信息安全保密体制上究竟谁来管理?怎么管理?采取什么有序的管理办法?这些问题亟待解决。
4.网上支付问题
电子商务的核心内容是信息的互相沟通和交流,交易双方通过Internet进行交流,洽谈确认,最后才能发生交易。这时对于通过电子商务手段完成交易的双方来说,银行等金融机构的介入是必须的,银行所起的作用主要是支持和服务,属于商业行为。但从整个电子商务网络的发展来看,将来要在网络上直接进行交易,就需要通过银行的信用卡等各种方式来完成交易,以及在国际贸易中通过与金融网络的连接来支付和收费。而目前我国各个国有专业银行网络选用的通信平台不统一,不利于各银行间跨行业务的互联、互通和中央银行的金融监管以及宏观调控政策的实施。另外,各行信用卡标准不一样,不能通用,尚不能用信用卡实现网上支付。
5.电子商务法律问题
作生意就避免不了发生纠纷,而网上纠纷又有其独特性。Internet是一个缺乏"警察"的信息公路,它缺少协作和管理,信息的跨地区和跨国界的传输又难以公证和仲裁,而如果没有一个成熟的、统一的法律系统进行仲裁,纠纷就不可能解决。那么,这个法律系统究竟应该如何制定,由谁来制定,应遵循什么样的原则,其效力如何保证? 这些都是现在制定法律时应该考虑的问题。
6.企业计算机应用水平落后、网络意识淡薄
目前我国绝大部分企业正忙于解决吃饭问题,信息部门设在总工程师办公室,大部分企业缺乏计算机,少数企业拥有计算机也主要应用于文字处理和计算,产、供、销、人、财、物等重要资源的管理,大多未实现电子化。信息加工和处理手段落后,信息处理能力仅是世界平均水平的2.1%,且仍以提供单纯的技术产品信息为主,不擅长动态信息的跟踪和获取。企业对电子商务的需求非常淡薄,12亿人中仅有210万网络用户,除去免费用户外,真正交费上网者很少,企业用户还没大量出现。企业的信息化只是在理论界、信息产业界热度很高,而在企业中热度并不高,从而造成经营决策的被动局面。
7.企业管理水平落后、经营方式陈旧
我国许多企业的管理处于主观、随意的经验管理阶段,而管理程序化、科学化是实现电子商务的基本要求。目前的不规范管理,只能使计算机简单模拟原来手工操作流程,从而加大系统实现的难度,增加投资成本,降低电子商务的投资收益率。电子商务的应用也会因公司的不同而五花八门,不仅不能提高工作效率,相反还会降低原来工作效率。同时,几千年来留下的传统的手工作业的商业模式在人们头脑中根深蒂固,要在现阶段改造这样的商业环境,以适应电子商务产生的新的市场竞争格局,是相当艰巨的。
8.商家信誉问题
电子商务的应用领域分两类:企业间交易和个人消费者与企业之间的交易。就其发展过程来看,它又必然经历一个从简单的商情查询到网上购物和实现交易的阶段。据调查,1997年消费者用于购买网上服务和产品的总价值为32亿美元,但上网寻找产品信息后再进行离线购物的达42亿美元,这说明建立通畅快速的购物网络并不困难,但建立成熟可靠的消费体系和互相信任的市场运作方式,绝不是一蹴而就的事。当传统的购物方式引发的各种纠分还在"3.15"消费者权益日频频曝光的环境下,消费者如何信任互不照面的网上交易?在这方面我们与国外的差距,技术手段上的原因是次要的,而人的基本素质却是根本的。