电子商务的发展现状、难题及对策分析_其他论文
发布时间:
2015-04-14
来源:
人大经济论坛
随着因特网的飞速发展,电子商务正得到越来越广泛的应用。从而引发人们对电子商务安全性问题、电子商务的法律、网上交易与结算和电子商务的进一步发展的考虑。因此电子商务的安全形势影响其成败的一个关键因素。本文首先讨论了电子商务应用中所存在的问题,继而对电子商务的安全性技术进行了分析。最后,对中国电子商务未来进行了探讨并提出了一些建议。
关键词:电子商务 在线支付 电子交易协议
重要性
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的运动力。电子商务是Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全面发展方向。为什么电子商务对企业具有如此大的吸引力呢?这是因为它具有以下一些明显的优势:
(1) 费用低廉 (2) 覆盖面广 (3) 功能全面 (4) 使用更灵活
1 电子商务中存在的安全性问题
Internet的爆发式增长,使得通过为一大群顾客和供应商提供一个通用通讯环境的方法可以发挥电子商务的独一无二的潜力。今天,网上有数以千计的面向消费者和面向交易的商务站点,并且这个数目正在快速增长。
然而,电子商务成为世界新热点,但其安全性也随着信息化的深入也随之要求愈高了。快速和不受控制的增长产生了组织和技术方面的问题。市场依旧是封闭的,并且常常没有完全符合顾客和提供者的需求。今天的电子商务系统在私人拥有的平台上运行,因此安全性和支付系统仍然不成熟。
未来的电子商务系统的主要安全性问题是它们必须通过复杂的组件技术和信托关系在一个动态并开放的不受控制的环境中操作。多数电子商务使用的电子支付系统必须很容易使用的,也必须透明的提供鉴定、完整性保护、机密性保护性认可。另外,客户和提供者之间的通讯连接必须保持数据的机密性和完整性,首先保护客户的隐私,其次是确保客户购买的服务不能被篡改。要建立一个安全的电子商务交易环境,我们就要不断的发现问题,从而解决问题。但目前电子商务的发展中还存在许多主要的问题是:
1.1安全协议问题没有一种电子商务安全的完整解决方案和完整模型与体系结构。对安全协议没有全球性的标准和规范,相对制约了国际性的商务活动。
1.2安全管理问题在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
1.3电子商务没有真正深入商务领域而仅仅局限于信息领域。
①所有方案和产品都仅考虑了在线销售,但很少考虑多方交易问题(如拍卖)和公文交换问题(如签合同,可证实电子邮件)。
②大多数系统都将销售的服务器和消费者的浏览器间的关系假设为主从关系,这种非对称关系限制了在这些系统中执行复杂的协议,而且不允许用户直接交易。
1.4技术人才短缺问题电子商务是近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少。尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。因而难以开发出真正实用的、安全性的产品。
1.5法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
1.6税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
2 对电子商务安全问题的应对措施
安全性技术是保证电子商务监看有序发展的关键因素,也是目前大家十分关注的问题。虽然INTERNET的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都订制了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
电子商务的安全性研究从整体上可为两大部分:计算机网络安全和商务交易安全。
2.1安全可靠的网络是实现电子商务的基础
(1)常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。
(2)单纯依靠这些方法保护网络的安全性是不够的,所以还必须与其他安全措施综合使用才能为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术。
(3)电子商务的另一类关键问题是保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
2.2 SSL协议是Netscape公司在网络传输层与因应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身分验证,数字证书是从认证机构(Certificate Authority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书的双方的身分验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
SSL协议握手流程有两个阶段组成:服务认证和用户认证。
(1)服务认证
客户端向服务器发送一个“Hello”消息,一百年开始一个新的会话连接;服务器根据客户的消息确定客户是否需要生成新的主密钥,如需要则服务器在相应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该密钥,并返回给用户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
(2)用户认证
SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,只能提供交易中客户与服务器的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系,为此,Mastercard和Visa共同在网络应用层开发了SET协议。
2.3 SET协议
SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括,对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。
SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家互相认证,确定通信双方身份,一般由认证中心为双方提供信用担保。
整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品,他拥有支持网关交换密钥的私人密钥,可以发送初始化请求给商家;商家受到客户的初始化请求后,为请求报文分配一个唯一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化的响应报文与商家和支付网关的证书一起传给客户;客户收到该初始响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名;然后,客户产生订单信息(Ordering Information)和支付命令(Paymant Instruction),用私人密钥对订单信息和支付命令进行双重签名;并产生一个随机的对称密钥,用它对双重签名的支付命令加密,然后再用支付网关交换密钥的公开密钥(public key-exchange key) 对客户账号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的;然后,商家处理订单信息请求,将致支付命令传给支付网关并请求授权,,同时还产生一个包括商家的签名证书和指明客户的订单以被接受等信息的购买响应报文,并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存受到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。
SET定义了一个完备的电子交易流程,较好的解决了电子交易中各方面复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现相互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。
2.4商务交易安全更加复杂
从安全和信任关系来看,在传统交易过程中买卖双方是面对面的,因此很容易确保交易过程的安全性和建立信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远隔千山万水,由于因特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销费者和消费者)都面临不同的安全威胁。
(1)对销费者而言,主要威胁有:
① 中央系统安全性被破坏:入侵者假冒成合法拥护来改变用户数据(如商品送达地方)、解除用户定单或生成虚假定单。
② 竞争者检索商品递送情况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况及货物和库存情况。
③ 客户资料被竞争者获悉。
④ 被他人假冒而损害公司的信誉:不城实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。
⑤ 消费者提交定单后不付款。
⑥ 虚假定单
⑦ 获取他人的机密数据:比如,某人想要了解另一个人在销售商处的信誉时,他以另一个人的名字向销售商订购昂贵的商品,从而观察销售商的行动。假如销售商认可该定单,则说明被观察的信誉高,否则,则说明被观察者的信誉不高。
(2)对消费者而言,它面临的安全威胁主要有:
① 虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被邀却付款或返还商品。
② 付款后不能收到商品:在客户要求付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。
③ 机密性丧失:客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发给冒充销售的机构,这些信息也可能会在传递过程中被窃听。
面对这些问题,一些专家人员又推出了私密加密;公共加密电子数据签名;电子信封;电子证书等一系列技术。尽管如此,现在电子商务网络里面出现的害人骗人事件还是曾出不穷。
2.5 电子商务的发展应用
① 提高服务的安全性。电子商务飞快的发展速度,致使其安全技术和安全管理都跟不上,这已成为越来越突出的问题,但不能因为安全问题而制约了电子商务的发展,使安全成为发展的瓶颈,发展是首位的,没有发展安全就无从谈起。
② 加快网络基础设施建设和网络普及程度。发展电子商务的目的在于降低交易成本,提高交易效率,因此应积极发展高速宽带通信信道,重点建设光缆和卫星通信,同时积极利用现有通信线路发展ISDN和ADSL接入,利用有线电视线路,实验发展HFC接入网。
③ 尽快完善有关网络安全等方面的法律。我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力,对推广电子商务有很大的促进作用,但是在诸多方面还需顺应网络技术的发展而不断完善。
④ 加快银行、税务以及邮政等物流环节的信息化建设步伐,建立企业到企业(BtoB)、企业到客户(BtoC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节的流通困难。
⑤ 转变人们面对面交易的消费习惯。
目前电子商务应用还有很多方面都不断完善,并且,我国和发达国家之间还有一定差距,这就要求密切关注电子商务的动向,探讨电子商务中存在的技术问题,加大推广力度,以把握住网络时代这一良好的发展时机。
参考文献
[1] 蒋旭平《电子商务与网络营销》北京清华大学出版社1999
[2] 钱世得等《电子商贸入门》北京科学出版社1998
[3] 陆首群首都电子商城首都信息化2000(3)