前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的签名在线设计主题范文,仅供参考,欢迎阅读并收藏。
关键词:电子支付;SET协议;协议流程;双重签名
随着互联网的普及,基于互联网的电子商务得到了长足的发展,电子商务是一种新的商务模式,促进了商业流通的发展。同时安全威胁是电子商务的达摩克利斯之剑,是电子商务应用的主要障碍,是电子商务发展不得不面对的棘手问题。
SET(Secure Electronic Transaction,安全电子交易)是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。用来保证公共网络上银行卡支付交易的安全性,成为Internet上进行在线交易的电子付款系统规范协议。SET是一个通过使用X.509v3证书,为交易各方提供安全信道协议集,本身不是一个支付系统。它采用公钥密码体制和X.509数字证书标准,主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,也是一个基于可信的第三方认证中心的典型方案
SET协议是电子商务安全交易的重要协议,应予以重点讲解。该内容是在学生基本掌握《信息安全技术》《密码学》(尤其是学习了对称密码学、公钥密码学等内容)的后继学习内容。本部分内容学习的主要目标:(1)初步了解电子商务安全协议及安全系统的基本背景知识,主要包括信息安全基础设施、电子商务安全管理、电子商务业务流程以及安全交易系统部分内容。(2)理解将电子商务安全逻辑付诸密码技术实现的核心思想与方法,包括电子商务安全体系框架、主体间的安全关系、信息流的保护、密码技术的使用及实现的功能。(3)具有初步的电子商务安全技术实现、安全分析能力。
一、SET协议的原理
本部分内容的学习目标:(1)通过电子商务安全的背景介绍,理解电子商务安全协议(SET)的设计目标;(2)思考电子商务中主要角色(银行、商家、用户等)的各自安全目标,深入掌握SET协议的流程与安全模块的功能。
SET协议的主要目标:(1)交易信息在Internet上的传输时,保证网上传输的数据不被他人窃听。(2)SET协议使用了一种双签名技术,将订单信息和个人账号信息隔离,使商家只能看到订货信息,看不到消费者的账户信息。(3)解决多方认证问题。不仅对客户的信用卡认证,而且要对在线商家认证,实现客户、商家和银行间的相互认证。(4)提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能。可在不同的软硬件平台上执行并被全球广泛接受。
哪些数据内容他人无法窃听?为什么商家看不到账务信息?如何实现双向认证?它们使用了哪些技术?针对这几个问题展开讲解,有助于深入理解SET协议安全模块的功能实现。
SET协议中的角色:(1)持卡人:即消费者,通过计算机与商家交流,持卡人通过由发卡机构颁发的付款卡(例如,信用卡、借记卡)进行支付。SET协议可保证持卡人的个人账号信息不被商家读取。(2)商家:提供商品或服务。接受卡支付的商家必须和银行有通信,以实现转账功能。(3)发卡机构:它是一个金融机构(如,银行),为每一个建立了账户的顾客颁发付款卡。(4)收单银行:支持在线交易,商家在银行开设账号,银行为商家处理(认证)支付信息并实现银行间(消费者发卡行与商家银行)转账。(5)支付网关:银行端的支付业务处理系统,处理商家提交的支付信息及消费者的支付指令。
基于SET的网上购物流程:①客户通过网络浏览器浏览在线商家的商品目录,选择要购买的商品。②填写订单,包括欲购商品名称、规格、数量及交货信息等,订单通过因特网发送给商家;商家进行应答,并告知货物单价、应付款数额和交货方式。③消费者选择付款方式,此时SET开始运行。④消费者发送给商家一个完整的订单及其要求付款的指令。订单和付款指令由消费者进行数字签名;同时使用双重签名(Dual Signature)技术,确保商家看不到消费者的账号信息。⑤商家接受订单后,把支付信息传送到收单银行,收单银行可以解密信用卡号,并通过认证验证签名;收单银行向客户开户银行(发卡银行)请求支付;发卡银行认可并签证该笔交易,按合同将款项划给收单银行,并返回确认信息,经收单银行通过支付网关将该信息发给在线商家。⑥在线商家发送订单确认信息给客户,客户端记录交易日志,以备日后查考;在线商家发送商品或提供服务。
二、SET协议的功能
SET协议中采用的加密技术及实现的功能:
(1)数字信封。SET依靠密码系统保证消息的安全传输。使用DES算法加密数据,然后将此对称密钥用接收者的公钥加密,形成消息的“数字信封”,将其和数据一起送给接收者,接收者先用他的私钥解密数字信封,得到对称密钥,然后使用对称密钥解开数据。(2)数字签名。数字签名用于确定消息的来源,保证发送者对所发信息不能抵赖。(3)消息摘要。在SET协议中,原文通过SHA-1算法生成消息的文摘。(4)双重签名。使用双重签名技术,保证消费者的账号等重要信息对商家隐蔽,这是数字签名在SET协议中的新应用。
通过本部分的学习,可进一步深入地理解密码算法,尤其是加密、签名算法在数据保密、认证性、防抵赖以及完整性方面的联合应用。
本文从教学实践出发总结了SET协议的内容讲解过程,并尝试首先讲解SET的协议流程,然后讲解SET协议每个模块的功能,以及实现这些功能所用的算法,并进一步比较不同算法间的实现差异。这样有助于增强学生对抽象的安全协议以及具体的密码算法两方面的理解与掌握。
参考文献:
[1]易久.电子商务安全.北京邮电大学出版社,2011-11.
[2]蒋融融,熊丽荣.网络安全协议的综合教学实践研究.计算机时代,2007(6):68-69.
保险理赔浮出“网”面
记者近日获悉,泰康人寿完成了国内第一例网上保险理赔案,家住上海的凌先生成为泰康旅游救援保障E计划中第一任出险并获得理赔的客户。据了解此次事故发生的实际费用为190 .31元,在扣除100元的免赔额后,凌先生实际能得到的保险理赔额仅为90.31元。但是来京出差的凌先生在接受记者采访时说到,钱是其次的,重要的是此次出险时的救援服务及出险后的理赔服务让他深感满意。
凌先生向记者介绍了他网上投保的全过程。在一次外出旅行时,他无意中看到了有关“泰康在线”的新闻报道,得知在泰康在线可以网上投保旅游险。今年8月,凌先生一家五口打算去旅游,出游前,凌先生在网上为全家每个人购买了一份期限从8 月11日至8月20日,总保额为15万元的“旅游救援保障计划”。凌先生在网上投保后,收到了泰康在线通过电子邮件发给他的电子保单和电子签名。8月16日,凌父在烟台旅游时突发急病,凌先生马上拨打了“旅游救援保障计划”上的救援电话。救援中心在接到报案后,马上为凌先生的父亲安排了当地医院进行治疗,使其转危为安。在他回到上海后,通过泰康上海分公司获得了医疗保险金理赔。凌先生表示,自己之所以会选择泰康的旅游保险,最重要的原因是,这种保险可以通过网上投保和支付保费,非常方便。
从去年开始,泰康在线把在线下销售一年多的旅游险改头换面搬到了网上,起名为旅游救援保障E计划,它是由旅游意外伤害险和旅游救援险打包组合而成的。该计划的投保、核保、承保、支付以及出单等所有环节实现了全程在线服务。凌先生理赔时,所依据的正是这种电子保单。据了解,泰康已经在网上销售了上万份保单。
首次理赔的顺利完成,无疑增添了泰康在线的信誉,在与泰康在线总经理蔡翌的交谈中,他透露说,泰康已与联想方面达成协议,准备推出“家庭E计划”,该计划中包括医疗、意外伤害等险种,客户可以“一揽子”在网上购买。当提及网上保险为何敢逆流而行时,蔡翌指出,主要是因为保险具有适于在网上经营的特点。
保险“e”化时机成熟
面临入世压力的中国保险业,在传统业务方面并不具备明显优势,电子商务的出现,使之可以借助技术手段缩短与国际保险公司的差距,为之提供了一个追赶国际保险业的机会。
保险e化应该是指在网上解决保险的全过程,不仅仅局限于网上投保的一个环节,而是将整个业务流程进行在线运作,以实现包括保险信息咨询、保险计划书设计、投保、核保、缴费、承保、保单信息查询、保全变更、续期缴费、理赔和给付等保险全过程的网络化。蔡翌指出,保险市场的状况和保险产品自身的特点,使其天生适于网上进行经营。
蔡翌认为,保险作为一种特殊的商品,与一般意义上物化的商品有着显著的区别:(1)保险是一种承诺,属于诺成性合同,同时也是一种格式合同。保险商品的表现形式为契约。(2 )保险是一种无形产品。它不存在实物形式,唯一的有形物可能只是一纸合同。(3)保险是一种服务商品。保险服务是保险企业为顾客提供的从承保到理赔的全部过程,主要是一种咨询性的服务。保险产品本身具有的上述特点,恰恰使它天生适于在网上进行经营。首先,网上保险条款内容,并做出详细的、互动的解释,将避免因极少数人销售时夸大保险责任,简略除外责任而导致的理赔纠纷,有利于维护良好的行业形象。其次,保险服务的内容主要是一些无形服务,所以也使保险适合在网上进行。
互联网的优势与保险业这些特征的结合,使网络保险很快成为了保险行业发展的新生力量。
网络棋盘“险”象环生
据预测,到2005年,个人险种的5%-10%将通过网络完成,寿险的16%-19%将通过网络销售,到2010年,个人险种的37%、企业险种的31%将通过网络完成。由此可见,网络保险将在保险销售和服务市场上占有重要地位。但由于相关环境还有所欠缺,使得保险在网络棋盘上面临着许多难关。上海保监办主任周延礼曾指出这些难关主要表现在以下三个方面:
第一是网上支付系统不完善,被视为保险电子商务发展的瓶颈。目前,在线保险交易中,客户必须在与所投保的保险公司签订了支付合作协议的指定银行建立账户,以便进行在线交易实时扣款。如果客户不具备上述条件,由于目前银行间资料交换不完善,尚不具备实时跨行转账交易能力,因此不能进行在线实时交易结算。网上交易条件的局限无疑限制了客户源。
第二是网上安全认证问题可靠程度不高。在线保险交易过程涉及到保险标的风险状况等商业机密、人身隐私和有关支付方面诸如银行账号、客户密码等敏感信息,一旦泄漏,后果不堪设想。目前在保险电子商务开展过程中,对于B2C (企业对消费者)模式,大多数公司以客户在银行开办本人账户时所预留的签名作为确认客户签名的依据,可靠程度较差;对于B2B(企业对企业)模式,在识别客户时存在不少问题,缺乏一个政府设立的具有公众信誉的认证机构(CA )来负责验证或识别网上交易活动的各个主体的身份,包括持卡消费者、商家、收单银行的支付网等。这些问题阻碍了保险电子商务的顺畅运行。根据权威调查显示,被调查人群中66 %最关心投保后支付保费的转账安全性。可见客户对网上保险安全机制的关注。
关键词 :数字身份 数字签名 RSA PKI CA
日常生活中人们到商场购物,付款方式一般有两种:采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道,题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点,但是阐述的内容都具有相当的说服力。这就提出两个问题,第一,当银行卡被盗刷的情况下,由此产生的损失到底应该由“卡”的所有者承担,还是应该由收款的商家承担?第二,能否避免这种损失的发生?笔者对两个问题的回答是:在现有的法制环境、技术手段下,无法准确的判断损失、无法准确的分清责任,也就无法准确的判罚;采用新的安全技术能够避免这种损失,一旦出现被盗刷的情况,可以依法判罚。
传统身份识别、签名识别存在的缺陷
在现有金融支付平台上使用银行卡时,支付过程如下:在银行提供的联网POS机上刷卡,由客户输入密码,密码验证通过后POS机打印银行转账单据,客户在转账单据上签名,客户出示有效身份证明(如身份证),收款员验证客户签名及身份证明,收款员打印销售发票,至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节,本文所提出的问题就是针对这个环节。
该媒体两篇报道中支持卡所有者的观点认为,使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名,以防银行卡被盗刷。因此从卡的所有者角度出发,收单商户有责任对刷卡人的真实身份进行确认,对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别,将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象,无论是收单商户、还是合法卡的所有者所不愿意看到的,将导致拥有银行卡的用户不再敢使用刷卡的方式消费,也意味着商户将失去一部份客户。
而站在收单商户的立场认为,银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式,涉及的银行与银联也没有义务对POS机操作员进行培训,重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对,相关法律法规没有做出特别规定,也就是说没有法律依据。所以据此,如果客户的银行卡丢失后没有及时挂失造成的损失,收单商户没有责任。
刷卡是一种非常方便的支付方式,但是要得到人们的认可、在生活中得以推广,必须有一个安全的支付环境和支付工具,使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。
笔者认为,在目前的技术条件下,要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份,同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为,一方面现在使用的身份证技术含量低,容易伪造;另一方面鉴别签名笔迹是一项技术性非常强的工作,一般人无法胜任,只有行业内的专家才能准确的鉴别,然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。
那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术,这一问题就是本文论述的核心: RSA非对称加密解密技术应用模型。
RSA加密解密算法论述
RSA是一个非对称加密解密算法,由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成,其中算法、公共参数、公钥是可以公开的,私钥必须秘密保存。RSA的核心在于,加密时使用私钥,而解密时则使用公钥。
例如:用户甲拥有公共参数PN=14803,公钥PK=151,私钥SK=8871。现有明文PM=1234。
用户甲使用私钥SK对明文PM进行加密得到密文SM。
SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN,公钥PK,以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。
PM=SMPKMOD(PN)=13960151MDO(14803)=1234
RSA用作数字签名
作为签名必须具备两个特性:防篡改,除签名者以外的其他人对签过名的内容做的任何改动都将被发现;抗抵赖,签名者无法抵赖自己签名的内容。
每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程,形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文,这一点体现出作为签名的防篡改特性;使用公钥对密文进行解密的过程可以被看作是验证签名的过程,使用公钥对密文进行解密恢复出明文,因为公钥来自于签名的一方(即用私钥加密生成密文的一方)。因此,签名一方无法否认自己的公钥,抵赖使用自己公钥解密后恢复出的明文,这一点体现出作为签名的抗抵赖特性。
RSA用作数字身份
身份是一个人的社会属性,用于证明拥有者存在的真实性,例如身份证、驾驶证、军官证、护照等。作为身份证明,它必须是一个不会被伪造的,如果被伪造则能够通过鉴别来发现。
将RSA技术应用于身份证明。当一个人获得一对密钥后,为了使利用私钥进行的签名具有法律效力,为了使自己公开的公钥、公共参数能够作为身份被鉴别,一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心,申请并注册公钥证书,如果使用过程中有人对用户的公钥证书产生质疑,需要验证持有者身份,可以向认证中心提出认证请求,以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此,可以把这个公钥证书看作持有者的一个数字身份证。
数字身份、数字签名在线鉴别模型
公钥证书在使用过程中可能会涉及到两个主体,拥有者与持有者。拥有者是公钥证书真正的所有者,而持有者则可能是一个公钥证书及私钥的盗用者。目前,认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时,认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性,却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存,一旦泄露只能及时挂失,如果在挂失之前被盗用,所产生的损失只能由拥有者自己承担,这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段,但是就目前的认证方式、认证过程以及认证结果来看,依然没有解决公钥证书和私钥被盗用的问题。
本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。
传统的数字认证过程中,被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联,即使被认证的公钥证书是真实的、有效的,也不能证明持有者就是拥有者,这样就为盗用者提供了可乘之机。因此,必须对鉴别模型重新设计。
传统的RSA应用模型
用户甲可以自己生成非对称密钥对,也可以选择由认证中心生成;向认证机构提交公钥和公共参数申请并注册公钥证书;用户甲使用私钥对明文进行加密,形成具有签名效用的密文,通常要采用HASH函数进行压缩;用户甲将公钥证书以及经过数字签名的密文发送给用户乙;用户乙使用用户甲的公钥鉴别密文的数字签名;如果用户乙对用户甲的公钥证书产生质疑,可以提交用户甲的公钥证书给认证中心进行认证,认证中心对提交的公钥证书的真实性、有效性进行认证,并将认证结果返回用户乙。
由于数字身份与数字签名的特殊性,提供认证服务的机构不应该是一个商业化的机构,而应该是具有政府职能的部门,例如:颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中,公安局替代传统的认证中心;针对被认证的公钥证书与持有者缺乏直接的关联,在认证结果的信息中,笔者设计增加所有者的详细信息资料,从而可以通过认证结果来鉴别持有者的真实身份。
改造后的RSA应用模型
由公安局为用户甲颁发一个公钥;用户甲自己选择公共参数,并生成私钥;用户甲将公钥、公共参数及个人的详细资料(居住地址、传统身份证号、联系电话、照片、指纹等)提交给公安局,申请并注册数字身份证(即公钥证书),数字身份证的鉴别编号由公钥和公共参数组合而成;用户甲使用私钥对明文进行加密,形成具有签名效用的密文;用户甲将签字密文、数字身份证发送给用户乙;用户乙使用用户甲的公钥鉴别密文的数字签名,并恢复密文为明文;如果用户乙对用户甲的公钥证书产生质疑,可以提交用户甲的公钥证书给认证中心进行认证,认证中心可以根据不同认证的级别返回不同的认证结果。
在新的模型中,认证将分为三级认证。一级认证,返回所有者的身份证号、住址、联系电话;二级认证,在一级认证基础之上附加返回所有者的照片;三级认证,在二级认证基础之上附加返回所有者的指纹。
具体选择哪一种级别认证,取决于应用的性质。如果是签署网络协议可以采用一级认证,如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果(联系电话、照片、指纹)来鉴别持有者与所有者身份是否相符。
RSA在刷卡中的应用
目前,在我国网络技术、通讯技术已经非常发达,接入互联网也已经非常普及,可以充分利用这些技术优化、改造现有的银行卡刷卡流程,解决银行卡被盗以后,在刷卡时对持有者的身份进行有效的鉴别。
传统的刷卡流程中,用户必须在POS机上输入口令,出示身份证,在转账单据上手写签名。在新的刷卡流程中要求收款机必须与互联网相连,在输入口令环节可以改成输入私钥,对付款数据进行加密(数字签名),在身份验证环节可以增加数字身份的验证,客户提交公钥证书,收款员在联网计算机上将客户的公钥证书提交给公安局的认证服务器,在得到认证结果以后对持卡人的身份进行鉴别,然后再对数字签名进行鉴别。
要采用新的刷卡支付流程必须增加新的设备,对现有的支付环境进行改造,以此防止银行卡被盗刷,如果银行卡被盗刷。由于我国已于2005年4月1日正式颁布并开始执行《中华人共和国电子签名法》,因此,可以依据此法进行判罚。
参考文献:
1. Bruce Schneier著.吴世忠等译. 应用密码学.机械工业出版社,2000
【关键词】 基础数据库 在线评审系统 电子监察系统 信用评价系统
一、引言
近年来,在国家的大力支持下,科技发展取得了骄人的成绩。科技的发展是依靠一系列优秀的科研项目立项和实施完成的,科研项目在立项前首先要进行项目评审,利用互联网实现在线评审是提高评审效率和质量、确保评审的公平和公正、节约评审经费的重要手段。然而,目前的科研项目在线评审还存在诸多问题,具体表现在以下五个方面:
1.1 评审材料问题
科研项目的分类较多,根据申报主题可分为专项类、企业类、人才类、知识产权类,各类科研项目的申报书缺乏相对统一和规范的标准,专家在审阅材料时难以快速锁定项目的关键内容和重点。在无纸化方面,主要是项目申报书实现了电子化,科研机构和科研人员的论文、专利、成果等佐证材料缺乏电子化。评审材料一般以WORD、PDF等格式存在,无法在线阅读、留痕,涉及科技机构的身份信息、联系方式未能有效屏蔽,影响了项目评审的公正性。
1.2 评审专家问题
专家数据库的结构缺乏统一标准,国家级专家数据库与各地方专家数据之间的数据结构不统一,无法实现专家数据库跨区域、跨部门共享,形成了信息孤岛。专家数据库的运营缺乏有效的机制,导致专家数据库的信息不完整,专家的科研活动、取得的成就未能及时更新。缺乏用于专家信用评价体系,无法对专家的信用级别进行分级,缺乏对专家的激励和认可机制。
1.3 评审方法问题
虽然网上评审具有高效、公平公开和节约评审成本的优点,但目前没有相关政策和法规约束项目评审工作必须通过网络进行在线评审,所以,虽然部分项目实现了在线评审,而部分项目仍以会评、函评的方式进行。对于实现网评的项目,评审体系不够灵活,科研项目的评审指标不能像政府采购项目一样采取统一模式,不同计划类型的项目在评审指标方面存在较大的差异,评审结果可能是定性的投票机制,也可能是定量的打分机制,以统一的评审指标评价不同的项目缺乏客观性和科学性。
1.4 评审过程问题
在项目评审过程中,由于项目数据库、专家数据库在学科、技术领域等关键信息未按国家标准进行统一分类,且缺乏对申报单位、推荐单位、项目受理、审核单位进行统一的培训,导致项目主管部门在项目分类、专家抽取时存在困难,且人工分配专家到项目工作量大。专家抽取、分配和评审过程中缺乏综合性的互动方式,缺乏电话、手机短信、微信和电子邮件相结合的方式。专家在项目评审过程中,无法通过有效的手段对项目评审材料进行标注,对有疑问的佐证材料进行综合查询。
1.5 评审结果问题
评审结果未能实现专家的电子签名,评审结果缺乏个性化的统计功能和报表功能,对异常的评审结果缺乏电子监察机制进行约束,缺乏对专家评审绩效、评审质量和信用级别的认定制度。
二、科研项目在线评审体系设计
为了解决科研项目在线评审中的问题,必须从基础数据库、项目管理系统的完善,电子监察体系、信用评价体系的建设,第三方数据库资源的共享几个方面对科研项目在线评审体系进行设计,如图1所示。
2.1 云计算网络
云计算网络采用IAAS架构,具有超强的运算能力、存储能力、安全性和可靠性,是科研项目在线评审系统的基础性支撑条件,是使科研项目在线评审系统、电子监察系统、信用评审系统及其相关的数据库稳定运行的航母。
2.2 基础数据库
科研项目在线评审系统由项目库和专家库两个基本的数据库够成,项目库需要根据计划体系的特点形成几个标准的子库,在此基础上完善科研机构数据库、科研人员数据和项目的佐证材料库。为了便于专家在项目评审过程中查阅与项目相关的论文、专利和成果,还需开辟访问科技文献、科技查新和科技成果等第三方数据库的通道,并实现检索结果的汇总,作为项目评审结果的依据。
2.3 在线评审系统
科研项目在线评审系统与科技项目管理系统有着密切的联系,科技项目评审是整个科技项目管理过程中的一个重要环节,具有相对独立的流程。科研项目在线评审系统的流程包括项目分组、专家抽取、专家分配、专家网评、评审结果汇总五个基本过程。
在项目分组阶段,项目主管人员根据项目的所属学科和技术领域进行分组,在系统中输入分组关键词时,能够通过精确和模糊两种匹配方式筛选出待定专业组的备选项目,在经过主管人员确认后提交到相应的专业组内。项目提交的方式分为单个项目提交和批量提交两种方式,分组完毕后能够导出分组清单核查表,以确保分组的正确性和合理性。
在专家抽取阶段,系统应能提供一个专家所从事专业与项目分组自动匹配的功能,在匹配成功的专家列表中,可根据专家的学历、职称、职务、年龄、信用评价级别等附件条件对专家信息进行二次筛选,以确保专家与项目分组匹配的准确性。在专家分组完成后,通过手机短信向专家发出项目评审邀请,同时结合微信、电子邮件三种方式向专家推送项目评审的时间、操作手册和注意事项。
在项目评审阶段,专家以身份证号作为登录账号,发送预先规定的指令到特定的短信号获取随机密码,专家在获得随机密码后登录系统评审项目。在项目评审的过程中,专家可以在线的方式浏览项目的申报书,可以对项目申报书中的内容进行标注、留痕。对论文、专利、科技成果等佐证材料可通过第三方数据进行综合查询,然后填写评审表并在提交汇总结果时实现电子签名。
在评审结果汇总阶段,项目主管部门可按分组导出项目的评审清单,也可导出待定专家的项目评审结果,系统同时还提供图表分析工具对项目评审的综合结果进行展示。
2.4 电子监察系统
为确保整个项目评审与管理过程的公平性和公正性,通过电子监察系统确保项目在线评审过程的所有操作行为进行记录,以确保能够对所有的事件进行跟踪。此外,电子监察部门可随时了解项目的进展、项目评审的结果,并为专家提供项目评审过程中的政策解答。
2.5 信用评价系统
为了确保专家在项目评审的过程中遵守相关的规程,能够按时、按照规定的要求完成项目的评审,建立一个信用评价系统用于专家信用的评价。对于承诺参与项目评审的专家,逾期未完成项目评审并未事先与项目主管部门沟通的,将给予差评;对于未仔细阅读项目材料,未认真填写项目评审表的专家,给予黄牌警示;对于与项目有利害关系应该回避而不主动提出的,给予红牌警示。对于评审效率高、评审质量高的专家,应给予其“良好”级别的信用评价,并通过其他的激励机制给予奖励。
三、科研项目在线评审体系应用
在构建好科研项目评审体系后,贵州省在科研项目的管理过程中明确了相关制度,规范了项目在线评审的过程,建设了科研项目的信用评价系统和电子监察系统,使科研项目的在线评审率得到了较大的提高,保证了项目评审的公平性和公正性,提高了项目评审的效率和质量,节约了项目评审的经费。在系统建设和运营过程中的一些经验分享如下:
3.1 明确管理流程与制度
针对原理项目管理流程不清晰、项目在线评审流程不规范的情况,由科技厅计划处拟订了项目管理的流程和项目在线评审流程,明确了各流程涉及的用户角色和权限;由监察处制订了项目管理和评审过程的电子监察的制度和信用评价制度,并在项目管理和在线评审过程中进行执行。
3.2 采用Office中间件
虽然FlashPaper、FlexPaper等插件可以将WORD转换在Flash格式以实现在线浏览,但无法实现留痕。为了解决项目申报书在线浏览、留痕和电子签名的需求,引入Office中间件,目前世面上流程的Office中间件较大,但对浏览器兼容性较好的Office中间件较少,PageOffice是兼容性较好的Office中间件,且支持WPS和Office,可由用户根据向导进行安装,无需对浏览器的安全性进行设置。
3.3 引入项目初查机制
对于一些有必要进行科研项目、专利检索和科技查新的项目,由政府购买服务,委托中介机构进行科技项目的、专利检索和科技查新,科技项目是避免重复立项、重复建设的重要措施之一,目前缺乏行之有效的方法,采用Hadoop框架实现海量数据的快速挖掘有利于实现项目相似度的计算;专利检索和科技查新主要是通过科技文献数据库检索相同或相似专利的情况。对项目初查的结果形成初查报告,供专家在评审过程中参考。
四、结束语
关键词:电子商务;C2C;信用体系
中图分类号:F724.6 文献标识码:A 文章编号:1674-7712 (2013) 02-0062-01
由于网络、通信和信息技术迅速的发展,全球已进入信息化时代。随着广阔的应用空间逐步被开发后,传统的商务模式已被电子商务替取。但是,深藏的消费信用问题已在迅速发展的C2C市场中逐渐凸显,这将必然严重影响了产业的发展。
一、我国C2C电子商务信用模式
所谓C2C就是Customer to Customer,它不需要企业的参与,而是直接消费者对消费者进行的直接交易模式,C2C商务第三方平台在在整个交易过程中只为买卖双方提供一个在线交易平台,卖方在此平台上可以自由发售图片信息,而买方在此平台上可以随意挑选自己所需的商品,买卖双方直接在线沟通达成协议后,买方拍下付款给第三方平台作保或是以竞价方式在线完成交易支付。
目前主要有四种信用模式在我国电子商务界普遍运用,即网站经营模式、担保人模式、委托授权模式和中介人模式。
我国C2C网站多采用的是第三方中介人信用模式,最具代表性的是淘宝网。当网站内商家与网上消费者达成交易意向后,由消费者首先付款至网站采用的第三方货款支付管理平台“支付宝”账户中暂存,支付宝系统即时通知商家发货。待商家发货后,消费者接收时,如果货物不存在质量问题,消费者可签单收货,确认付款给支付宝,再由支付宝付款给卖家。
二、我国C2C电子商务信用体系平台的构建策略
(一)与银行联合实行数字签名认证,完善网站征信系统
如果每个网站拥有自己数字签名认证系统,这样不但耗资大而且用户也会因为负担加重而减少使用。这种毫无必要的做法肯定会造成资源的浪费。反之,网站可以实现银企合作来联合银行。利用监控系统,收集信用卡的使用情况,以获得大量的个人信用信息,建立数据库,成立全国联网,实现“数字认证”。共享数字证书,即:强制性要求卖家将数字签名(如工行用户往电脑的USB口插入U盾)一并同个人资料提交,然后利用数字签名认证系统认证该用户。这样,网上交易支付的安全以及客户身份认证的级别都提高了,且均有法律效力。
(二)加强C2C第三方平台的认证、担保和评级系统建设
1.第三方认证系统
目前,想比国外成熟的第三方认证形式我国C2C电子商务的第三方认证仍存在诸多待完善之处。对于这种情况,我国在运用工商联等行业协会、人民日报等一些比较权威的组织开展这方面的认证外还可以引入国外先进的具有多年实际操作经验和知名度附加值的电子商务认证机构。比如、Escrow Service(e如和),以及信用卡担保商(如Visa Card和Master Card)等。
2.第三方担保系统
据《2008年中国网上购物状况调查报告》显示,在网购用户中使用电子支付手段的用户已突破71.3%。其次是货到付款。如表1。
目前,我国C2C电子商务市场通行的淘宝网的“支付宝”和易趣网的“安付通”都属此类。在培养中国C2C电子商务信用体系中一些政府机构起到了举足轻重的作用。
3.第三方信用评级系统
电子商务交易中主要是通过第三方信用评级系统和本文所提及第三方担保系统来保护第三方,又称为第三方保护的“双壁”,从比重上来看,二者共同占据13.78%的绝对优势。根据所有的理论计算方法以及采用层次分析法共同证实了分析结果的正确性,由此看来,声誉反馈严重影响着用户对商家的信任的程度。电子商务交易的信任关系的建立主要途径是声誉传递和信息共享。在交易进行过程中,智能网络平台系统为中转站转发交易过程数据到在线信用评估及管理系统中,跟踪评估交易流程,然后根据其结果,实时修改个人交易者的信用等级,并在系统中提供征信服务。
(三)推进我国C2C信用系统的一体化设计与建设
1.网站系统与第三方系统的结合
通过C2C网上交易市场进行交易,买卖双方均是在网络这个平台上得以实现的。卖家可以通过在网站上建立自己的摊位,把自己所要交易出去的产品信息公布在网站,例如产品的样式、价格及交易时间等信息。买家可以利用搜索引擎查找自己所想要购买产品的种类、品牌、价格,搜索出来的各个买家所建立的网上商店后,在各个网上商店中对同一产品进行比较,选择自己认为最合适的产品,最后与所选中的产品的卖家完成交易。在C2C电子商务一体化信用平台还没有建立的时候,C2C网上交易市场就是一个单纯的虚拟交易平台,其结构如图1所示。
2.社会公共信用信息系统与电子商务交易信用信息系统结合
社会公共信用信息系统与电子商务交易信用信息系统的结合主要从两个方面着手,一方面要大力支持信用中介机构加强自身信用数据库的建立和完善;另一方面政府相关部门要加大行业或部门的信用数据库的建设脚步,并将其建立数据库中的各种数据信息提供给信用中介机构或者与信用中介机构共享,能够给信用行业的快速健康的发展提供全面的支持与推进。政府可以通过建立能够共享的信用信息数据库,建设信用信息公示制度,在社会公共信用信息系统中定期公布企业的信用状况,让社会来监督企业的发展,要做奖罚并存的社会公共信用信息监督管理机制。
参考文献:
[1]马刚,李洪心,杨兴凯.客户关系管理[M].大连:东北财经大学出版社,2005.
关键词:保险公司,网上保险,计算机互联网,电子商务
一、网上保险概述
网络是信息时代高度发展的产物,它的应用已涉及到社会各个领域。计算机互联网不仅能够及时快速地提供大量信息来满足人们强烈地求知欲,而且能够为用户提供一个进行各种交流活动的自由场所。保险作为一个需要多种专业部门协同工作、通信时效要求比较高的行业,更应在现有的基础上加强网络建设。
网络(电子商务)应用于保险业,便赋予了保险新的形式,从而产生了网上保险。从狭义上讲,网上保险是指保险企业通过网络开展电子商务,如通过Internet买卖保险产品和提供服务;从广义上讲,网上保险还包括保险企业的内部、保险企业之间、保险企业与非保险企业之间以及与保监委税务部门等政府相关机构之间的信息交流和活动。
因此,网上保险是指保险企业采用网络来开展一切活动的经营方式,它包括在保户、政府及其他参与方式之间通过电子工具来共享结构化和非结构化的信息,并完成商务活动、管理活动和消费活动。
网上保险的最终目标是实现电子交易,即通过网络实现投保、核保、理赔、给付。客户通过公司网站提供的产品和服务项目的详细内容,选择适合自己的险种、费率等投保内容;依照网上设计表格依次输入个人资料,确定后通过电子邮件传人保险公司;经保险公司签发后的保单将由专人送达投保人,客户正式签名,合同成立;客户交纳现金,或者通过网络银行转账系统的信用卡方式,保费自动转入保险公司,保单正式生效。
与传统的保险企业经营方式相比,利用互联网开展保险业务具有四大优势;
(一)扩大知名度,提高竞争力。
迄今为止,发达国家的大部分保险公司已经通过设立主页、介绍保险知识、提供咨询、推销保险商品来抢占市场。
(二)简化保险商品交易手续,提高效率,降低成本。
在Internet网上开展保险业务缩短了销售渠道,大大降低费用,从而能获得更高的利润。通过网上保险业务的开展,投保人只要简单的输入一些情况,保险公司就可以接收到这些信息,并作出相应的反应,从而节省双方当事人之间进行联系以及商谈的大量时间,提高效率,同时降低了公司的经营成本。电子化的发展大大简化了商品交易的手续。申请者除了不能
通过Internet在投保单上签名盖章外,其他有关事宜均可在Internet上完成。甚至保费也可以通过Internet来缴纳。
(三)方便快捷,不受时空限制。
应用互联网,保险消费者可以在一天24小时内随时方便地上网比较保险产品,并向保险公司直接投保。这对于那些相对简单的险种尤为适用。
(四)为客户创造和提供更加高质量的服务。
互联网能够加快信息传递速度的优势可使保险服务质量得以大大提升。很多在线下不能获得或不易获得服务,在互联网上变得轻而易举。比如保险消费者可以在投保前毫无销售压力的情况下从容选择适合自己的产品和保险,获得投保方案,而无须不厌其烦地去和每家保险公司、保险打交道;在投保后轻松获得在线保单变更、报案、查询理赔状况、保单验真、续保、管理保单的服务,从而避免了繁琐的手续、舟车劳顿、长时间等待等不利因素。例如目前易保网上就能够提供保险方案匿名竞标,按照消费者的要求搜索人、保险需求自测等服务。
二、我国网上保险的现状
在西方发达国家,随着互联网的高速发展,近几年来网络保险逐渐被人们接受。美国由于在网络用户数量、普及率等方面有着明显的优势,成为发展网络保险的先驱者。美国国民第一证券银行首创通过互联网销售保险单,营业仅一个月就销售了上千亿美元的保单。现在美国几乎所有的保险公司都已上网经营。早在1998年美国就有86%的保险公司在网上产品资料信息,有6196个保险站点提供商地址咨询,并有43%的保险公司已把发展互联网业务作为战略规划的重要组成部分。欧洲各国的网络保险发展势头也相当可观,美国独立保险人协会的“21世纪保险动向与预测”报告显示:今后10年内,在世界保险业务中,将有31%的商业险种交易和37%的个人险种交易将通过全球互联网进行。
与西方发达国家相比我国的网上保险起步比较晚,它的应用可以追溯到1997年由中国保险学会牵头开办的中国保险信息网的正式开通,该网涉及保险业的培训、咨询、销售、投诉等内容。在信息网开通的当天,中国内地第一份由网络促成的保单在新华人寿保险公司诞生。随后各商业性保险公司纷纷推出了自己的网站来介绍产品、介绍公司的背景,并与客户进行网上交流,宣传扩大影响。
在中国,网络上进行保险销售可以说尚处于初级阶段,而且是低水平的。多数保险公司对于网络保险的认识处于摸索阶段。中国保险业在5年前才与IT业完成嫁接。2001年3月,太平洋保险北京分公司与网络开始合作,开通了“网神”,推出了30余个险种,开始了真正意义上的保险网上营销。该公司当月保费达到99万元,让业界看到了保险业网上营销的巨大魅力。不过,由于国内在对实现网上交易至关重要的货币结算和网上签名等方面还没有满意的解决方案,出现完全意义上的网上保险还需假以时日。
真正意义上的网上保险意味着实现电子交易,即通过网络实现投保、核保、理赔、给付。但现在虽然各保险公司都推出了自己的网站,主要内容却大都局限于介绍产品、介绍公司的背景,并与客户进行网上交流,宣传自己,用于扩大影响。几年来国内保险公司中在这一领域走在前列的是泰康人寿和平安保险。平安保险的“PAl8新概念”和泰康保险的“泰康在线”两个电子商务平台投资都是上千万元的项目,他们已经具备了网上保险的基本功能,初步实现了在线保险电子商务,并且已经具有很强的竞争能力。在他们看来,网上保险并不是简单地将传统保险产品嫁接到网上,而是要根据上网保险人群的需求以及在线的特点设计产品结构。保险公司的电子商务平台不是企业从传统到网络的一次简单移植,而是为客户提供了产品、渠道和服务上的更多选择。
三、我国网上保险的发展趋势
虽然保险业内部网络化建设在近几年有一定的发展,但由于相关环境及网上保险技术还有所欠缺,使得保险在网络棋盘上面临着许多难关:
第一是网上支付系统不完善,这被视为网上保险发展的瓶颈。
目前,在线保险交易中,客户必须在与所投保的保险公司签订了支付合作协议的指定银行建立账户,以便进行在线交易实时扣款。如果客户不具备上述条件,由于目前银行间资料交换不完善,尚不具备实时跨行转账交易能力,因此不能进行在线实时交易结算。网上交易条件的局限无疑限制了客户源。
第二是网上安全认证问题可靠程度不高。
在线保险交易过程涉及到保险标的风险状况等商业机密、人身隐私和有关支付方面诸如银行账号、客户密码等敏感信息,一旦泄漏,后果不堪设想。然而目前网上保险对客户身份的认证技术水平很低。这些问题阻碍了网上保险的顺畅运行。根据权威调查,被调查人群中66%最关心在网上投保后支付保费的转账安全性。可见客户对网上保险安全机制的关注。
第三是电子商务相关法律法规不健全。
目前中国已经颁布了不少有关互,联网的法律法规,但是有关电子商务的立法还比较滞后,没有一个比较完整的电子商务法律框架,如被视为电子商务基础法律的《数字签名法》等都还没有出台。网上交易的法律效力及电子商务过程中诸如网上安全:客户隐私保护、电子签名的有效性等法律问题无法解决,形成“无法可依”的局面,限制了网上保险的长足发展。
中国保险企业在建设电子商务、发展网上保险时,要逐步将公司网站作为销售渠道,以获得保费收人为主要目的,并从降低成本,完善服务的角度来定位网站。不能再将网站单一地作为一种宣传工具。在中国网上保险发展实施的过程中,中国保险企业具体应做到以下三个整合:
一是网络营销中顾客概念的整合。
网络营销所面对的顾客与传统保险营销所面对的顾客并没有什么太大的不同。企业开展网络营销应进行全方位的、战略性的市场细分和目标定位。
二是网络营销中保险渠道的整合。
中国保险公司早期的业务拓展以门店为主,等待顾客上门。在引进个人营销机制后,推销力度加大了。但营运成本急剧上升,而且服务有脱节现象。而互联网主页推出后,服务在时间和空间上均趋于无限发展,投保限制的约束力减弱,具备客户咨询、保费查询、投诉交流等服务功能,保证顾客得到亲切、周到、专业的售前、售中和售后服务,是客户接受保险服务的新通道,异地投保、跨国投保、全天候的网络服务正逐渐变为现实。
三是网络营销与保险企业组织的整合。
保险公司实现网络化推进了行业的发展,必然使公司的管理模式也作出调整,形成企业内外部沟通与经营管理均离不开网络作为主要渠道和信息源的局面。而且,人员的减少、公司组织层级减少和扁平化管理,使保险公司营业网点数量减少,沟通渠道缩短,虚拟保险市场、虚拟部门等内外组织盛行,经纪公司等中介机构业务发生变化,促使保险企业对于组织进行再造调整。
笔者认为我国网上保险在日后的发展中,会逐步攻克以上的难关,在依靠自身力量、自主开发电子商务应用系统的同时引进一些国外先进的网上保险技术,如美国Netscape公司开发研制的在Internet上的SSL信用卡收费系统,及由IBM公司开发的用来帮助保险公司探测欺诈和滥用管理系统的软件:DiscoverySeriesforTelecommunications等。且在以后的发展中,中国保险企业会逐步转变观念,将公司网站作为销售渠道,以获得保费收人为主要目的,并从降低成本,完善服务的角度来定位网站。逐步完成网络营销中顾客概念、保险渠道及网络营销与保险企业组织的整合。
关键词 签名板;LCD;手写;线圈
中图分类号:TN873 文献标识码:A 文章编号:1671-7597(2013)22-0032-02
1 技术领域简介
随着科技的发展,办公信息化也在与时俱进,许多原本复杂的工作,都能够通过网络完成。“无纸化办公”理念的提出,使电子产品供应商都发动脑筋想办法设计可代替纸张功能的电子器械。本文中介绍的带液晶屏的签名板就是在这样的大形势下,研发设计出来的。本文主要是对一款3.7寸的签名板硬件技术及软件进行说明和介绍。
2 此款电子签名板的功能及优点
1)简单易用:在签批板上直接签字的方式代替了原来的密码输入或其他的验证方法,简单不用学习即可使用。
2)安全性高:DEMO软件可获取到手写笔迹,通过一系列的参数界定,每个人的手写笔迹、手写压力都不相同,可以实现很高的安全保密性。
3)灵活度高:系统提供了高度的灵活性和可扩展性。签字板把驱动程序可以直接嵌入到其作为签名获取设备运行所需的任何应用程序中。
4)直观性:在签批板上写的文字,在液晶屏上面显示的形式就是在电脑屏幕上显示内容,所见即所得。
5)保持性:第一可以提前录入签字的模板,第二可以在签批的同时记录上一次的签写记录。
3 电子签批板的硬件
本文介绍一款使用3.7寸黑白液晶屏的电子签批板。此电子签批板的硬件部分包括:手写板、手写驱动单元、微处理单元、液晶屏四个部分组成。
3.1 手写板
手写板从工作原理上来分有电阻压力式、光学感应式、超声波定位、电磁感应式几种类型。本手写板使用电磁感应式手写板,优点:1)定位精度高,能够检测使用者用笔的压力大小。2)具有一定的感应高度,从而有可能放在液晶屏的背面,而不阻碍液晶屏的显示。
磁感应式手写模块细分为有线电磁式、无线有源式、无线无源式三种原理,本签批板使用的是无线无源式,即使用的手写笔,不需要电池也不需要与签字板连接。笔里包含有LC电路,能够感应板上的发射电路产生的信号,经过感应后的信号再被板上的接收电路接收,从而得到笔在板上的相对位置及手写笔的压力。
工作原理:在线路板上布有多组平行排列的线圈组作为发射和接收天线,线圈组分X方向和Y方向呈90度排列形成手写线圈,与这些线圈相连,给线圈发送控制信号和接收线圈反应信号的为手写驱动单元。如图1和图2所示。
图1 X方向线圈示意图(发射线圈组)
图2 Y方向线圈示意图(接收线圈组)
3.2 手写驱动单元
手写驱动单元是接收和处理线圈传来的数据信号。手写驱动单元包括自动增益控制电路,主要作用是补偿笔距离手写板远近造成的信号幅值的变化,避免信号产生饱和。其中的信号处理电路,作用是将接收的正弦信号的负向周期的部分变为正向,同时切除对定位有害的成分。然后信号发生装置,产生所需要的激励脉冲,同时为信号处理电路提供同步信号,再把信号传给积分电路,得到稳定的电压值,通过A/D将这个电压值变为数字信号输入到处理器。
电路图如图3,硬件实物图如图4。
3.3 微处理单元
微处理单元采用24M 的8位MCU,主要功能为:1)与电脑主机通过USB总线进行通讯。2)接收手写驱动出来的数据信号,通过串行总线进行通讯。3)点亮、控制液晶屏。电路图如图5所示。
图4 硬件实物图
3.4 液晶屏
采用3.7寸黑白FSTN液晶屏,用电量低,无需电池,易于操控,低电压低功耗,为设计和使用提供极大的便捷和效率。具体参数如表1。
表1 液晶屏参数
内容 参数 单位
液晶屏类型 FSTN --
液晶屏占空比数 1/120 --
液晶屏偏压比 1/12 --
接口 16-bit
可视方向 6 O’clock
像素 240×120 Dots
控制芯片 UC1698U
4 软件实现
连接USB线,即可开机,开机界面可以自己定义图片,分辨率为240×120,如图6所示。测试软件界面如图7所示。
图6 开机界面图
图7 测试软件界面
软件功能简介:
目前可以实现全屏签批界面和部分签名界面,如图7所示。
ATOP 按钮:点击后可以切换成部分签名模式;
PTOA 按钮:点击后可以切换成全屏签名模式;
CLEA 按钮:点击后可以清楚所写内容;
ATTR 按钮:目前无作用,预留后续扩展功能使用;
GetAttr按钮:获取手写板相关信息。
5 结论
电子签名板增加了液晶屏,实现了所见即所得、简单直观的特征。并且通过手写技术和软件的结合,使签名板本身又具有唯一性,具有传输加密的特殊功能,更加适用于电子签名等对安全要求较高的环境。
参考文献
[1]周旭.现代电子设备设计制造手册[M].电子工业出版社,2008.
[2]刘午萍,刘建清,等.液晶彩色显示器易修精要[M].人民邮电出版社,2008.
[3]谭浩强.C程序设计(第二版)[M].清华大学出版社,1999.
[4]王成儒,李英伟.USB2.0院里与工程开发[M].国防出版社.
[关键词]电子商务 传统制造业 风险控制
电子商务(Electronic Commerce)是在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。
一、电子商务对我国传统制造业的影响
传统制造业指没有上信息化,也没有走上精益,就传统车间式、工序段式的生产,包括消费品制造业和资本品制造业、轻型制造业和重型制造业、一般制造业和装备制造业。随着信息技术的发展,世界制造业发生了重大变化,向集群化、信息化、网络化的方向发展。
据国家商务部公布的数据显示,2007年我国B2B电子商务交易增长超过25%,交易规模达到12500亿元人民币,其中传统制造业是这个大蛋糕里面的生力军。从数据中可以发现,我国传统制造业借助电子商务发展自身已成为趋势。
笔者认为,电子商务对我国传统制造业的影响主要有四方面。首先,应用电子商务可以大大降低交易成本。其次,通过电子商务运作能够降低企业库存。第三,利用网络平台,可以快速了解市场需求和客户反馈,从而及时调整产品。最重要的是电子商务网络技术能够将设计、生产、销售、服务一体化,从而真正实现“敏捷制造”。
当然,由于认识、基础建设、技术安全等各种因素,我国传统制造业在开展电子商务的过程中仍然存在的不少风险和问题。因此,分析研究传统制造业应用电子商务的风险,从而进一步提高传统制造业对开展电子商务的认识,并根据自身特点、选择适当的方式参与电子商务,就显得十分必要。
二、我国传统制造业开展电子商务可能面临的风险
1.企业认识不足的风险
不少传统制造企业认为,电子商务就是单纯的在网络上买卖,更有些企业认为电子商务只是建设企业网站,甚至还有不少企业怀疑电子商务的优越性,不愿开展电子商务。这些观念意识都为开展电子商务带来了巨大障碍。
2.基础设施建设风险
开展电子商务,必须有一个比较完善的网络平台。而网络平台的基础设施建设需要大量资金,许多传统制造企业都无法承担这样数额巨大的资金,因此如何加大基础设施建设的力度,提高投资效益,改变网络通信方面的落后面貌,应是促进电子商务应用普及的重要问题。
3.电子商务安全技术风险
在我国,电子商务起步较晚,发展还不成熟,相关电子商务安全技术还没有得到完全解决,包括交易安全、认证安全和数据加密等,由此容易导致安全风险。而安全是商务活动所必须具备的环境,因此完善电子商务安全系统成为了急待解决的问题。
电子商务的安全技术涉及到网络安全、服务器安全、用户安全、应用程序和服务安全、数据安全等各个方面。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。
4.信用风险
由于电子商务的身份认证难以展,使得人们在进行交易时由于自身的安全而互不信任。交易对象的盲目性和交易信息的虚拟性,在很大程度上制约了电子商务发展。
5.法律法规的风险
我国电子商务法律法规的滞后严重,电子商务立法不成熟,电子合同执行与监督难,电子商务交易的合法性与公正性难以得到保证。传统制造企业在这样的环境下无法放心的进行电子商务。
三、传统制造业开展电子商务的风险控制措施
1.解放思想,转变观念
电子商务首先带来的应是企业观念的创新和转变。要确立知识是关键生产要素的观念,充分理解知识是生产和经济增长的内在因素,即知识可以提高投资的回报,而高回报又可对知识积累产生正反馈放大效应。要确立经营管理的人性化观念,随着大规模生产逐渐被灵活的网络所代替,以知识为核心、以信息化为结构体系的生产经营管理更加强调团队文化和文化人的参与。
2.加强企业信息化硬件建设
电子商务是基于信息网络的商务活动,需要建设必要的信息基础设施和手段,包括各种信息传输网络的建设、信息传输设备的研制、信息技术的开发等,电子商务的发展必须奠定在坚实的环境建设基础上。
企业要开展电子商务,离不开企业内部的信息化建设,即:(1)企业自身内部管理的现代化和计算机化,以及业务操作的电子化。(2)企业的计算机网络基础设施和开展电子商务所依赖的连接网络。(3)企业要建立开展电子商务业务的应用系统。系统必须实现数据的集中存储和集中备份;具备在线扩展能力;考虑数据业务的安全问题等。
3.建立电子商务诚信机制
在技术上,建立电子签名和安全认证制度,确保交易主体的真实性与可靠性。电子签名是指附加于数据电讯中的或与之有逻辑联系的电子数据。电子签名可用来证明数据电讯签署者的身份,并表明签署者同意数据电讯所包含的信息内容。建立电子签名制度目的就在于赋予数据电文的法律效力和证据效力,从而使司法机关正确解决电子商务纠纷。电子签名安全认证制度。电子签名安全认证简称为“电子认证”或“安全认证”,是以特定机构对电子签名者的真实性进行验证的具有法律效力的行为。电子签名制度注重数据信息本身的安全,电子签名安全认证则强调交易关系的信用安全、保证交易人的真实与可靠。
对电子商务活动中的失信行为要依法追究法律责任。对于在电子商务活动中严重违反诚实信用原则构成犯罪的,司法机关应当依据刑法的有关规定追究其刑事责任。这样,通过提高电子商务主体的失信成本,使他们诚实守信,不敢以身试法。
四、结束语
随着全球经济信息化的迅速发展,电子商务将成为今后信息交流的热点,成为各国争先发展,各个产业部门最为关注的领域。我国传统制造业开展电子商务虽然还处在初始阶段,面临着体制、技术、管理等诸多问题,但是已迈出可喜的一步。我们只有具备战略性和前瞻性的眼光,适应全球经济一体化的趋势,努力发展适合我国传统制造业的电子商务,才能立于不败之地。
参考文献:
[1]宋玲,王小延.电子商务战略[J].中国金融出版社,2000,(3).
【关键词】密钥,数据加密技术,DES,RSA,电子商务,SET
一、引言
随着当今计算机网络的飞速发展,计算机安全已经成为社会各界关注的焦点。本文讨论了数据加密的两种分类,并选取两种典型的方法加以讲述。然后在此基础上讨论电子商务的一些安全技术和SET协议。
二、数据加密
设计一种密度强的密码算法有两种方法,一是研究用于密码分析的所有可能性解法,然后设计一套规则以挫败这些解法中的任何一种算法,于是便能构造一种能够抗拒这些解法的算法,二是构造这样的一些算法,使得要破解它就必须解一些问题,而这些问题被认为是不可解的。本文将要介绍的DES算法属于第一种,而RSA则属于第二种。
加密技术按照密钥的公开与否可以分为两种体系,第一是对称密钥体系,这里加密密钥匙和解密密钥是相同的。为了安全性,密钥要定期的改变。对称算法速度快,所以在处理大量数据的时候被广泛使用,其关键是保证密钥的安全。典型的算法有DES及其各种变形(如Triple DES),IDEA,RC4、RC5以及古典密码(如代换密码和转轮密码)等。在众多的对称密码中影响最大的是DES密码。第二是公开密钥体系,分别存在一个公钥和私钥,公钥公开,私钥保密。公钥和私钥具有一一对应的关系,用公钥加密的数据只有用私钥才能解开,其效率低于对称密钥体系,典型的算法有RSA、背包密码,Elliptic Curve、ElGamal算法等等。最有影响的公钥加密算法是RSA,足够位数的RSA能够抵抗到目前为止已知的所有密码攻击。下面选取两体系中各最具有代表性最有影响的算法DES和RSA进行讨论。
1.RSA算法
RSA算取自于它的创始人的名字:Rivest,Shamir,Adelman,该算法于1978年最早提出,至今仍没有发现严重的安全漏洞。RSA基于数学难题,即具有大素数因子的合数分解,以最新的计算方法也还是计算上不可行的。数论经验表明,这个问题是难解的。
RSA使用两个密钥,一个是公钥(public key,以下用PK表示),一个是私钥(private key,以下用SK表示) 加密时把明文分成块,块的大小可变,但不超过密钥的长度。RSA把明文块转化为与密钥长度相同的密文。其算法如下:
首先选择两个秘密的相异质数p,q,计算n=pq,取r是与(p-1)(q-1)互质的数,这里r便是SK。接着找一数m,使得rm==1mod(p-1)(q-1),根据欧几里得算法(a=bn+c,则a与b的gcd就等于b与c的gcd),这样的m一定可以找到。这里m和n便是公钥PK。在编码时,假设资料为A,将其分成等长数据N块, 每块为a
对于p,q的选择,一般来说是足够大的素数, 对于大,并没有一个确定的界限,因为随着计算机技术的发展,破解能力正在逐步增强(根据摩尔定理计算能力18个月就翻一番)。一般来说,安全等级高的,则密钥选取大的,安全等级低些,则选取相对小些的数。RSA的安全性依赖于大数分解,然而值得注意的是,是否等同于大数分解一直未得到理论上的证明,并没有证明要破解RSA就一定得进行大数分解。
2.DES
DES采用传统的换位和置换的方法进行加密,在56比特密钥的控制下,将64比特明文块变换为64比特密文块,加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位)。首先是处理原密钥,产生16个48位子密钥K(i),i=1,2…16,接着处理64位数据块,过程可以用下图表示:
其中置换和g 函数的选择都按特定的规则进行,g函数操作是先将R(I)扩充成48位后与K(I+1)异或运算,接着将所得的48位数分成8个6位数,记为B[I],I=1,2…8,选取8个S密箱,将B[I]的第一位和第六位串联成一个数记位m,取出B[I]的第二至五位串联成一个四位数记位n,用S密箱中的第n行第m列的数替换B[I],替换完全部的B[I]后,将B[1]至B[8]串联成一个32位数,再经过换位,至此g函数操作全部结束。将所得结果与L[I]异或后,得到R[I+1]。进行下一轮的加密,直到用完K(16),再经过逆初始置换,全部加密过程结束。而脱密时只需要将密钥顺序倒过来,即第一轮用K(16),第二轮用K(15),以次类推。
于是DES加密算法又可以简单地用下式表示:
Ek(m) = N(IP)*T16*T15……T1*IP(m)
其中IP为初始置换,N( X)是X的逆,Ti,i = 1,2,…16是一系列的变换。Ek(m)表示明文m在密钥k的作用下产生的密文
解密算法: N(Ek) = N(IP)*T1*T2……T16*IP[Ek(m)]
在应用时一般是将DES和RSA综合起来使用。DES加密效率高,但是要解决密钥的存储问题,因为只要传输就难以保证密钥不被泄露。这时可以采用如下策略:假如A要向B发送密文(DES)和密钥SK,可以用B公布的公开密钥对Sk进行RSA加密,将其结果和密文一起发送给B,B接受数据首先用自己的私钥对SK进行解密,得到A的密钥SK。再用SK解密密文。这样就解决了密钥的传输问题。因为没有人知道B的私钥,也就没有办法获得SK。
三、安全电子交易
电子商务的关键是要保证商业活动的安全性,象传统方法一样安全可靠。而数据加密技术则构成了电子商务安全的基础,可以说,没有数据加密技术,就没有电子商务的安全。电子商务主要有下面一些安全控制要求:第一,确定贸易伙伴身份的真实性;第二,确保信息的保密性,如怎样保证用户的信用卡号不被窃取,如何保证货源定单等信息不被竞争对手获悉;第三,保证电子定单等信息的真实性(未被冒充)以及在传输过程中未被篡改;第四,保证电子定单等信息的不可否认性,即交易的任何一方在未经对方同意的情况下都不能出尔反尔;第五,在交易双方发生纠纷时能得到合理的仲裁和解决。
由VISA和MASTCARD所开发SET(Secure Electronic Transaction)协议便能满足以上的要求,它是在开放的网络环境中卡支付安全协议,获得了诸如microsoft,IBM等许多大公司的支持。
1.SET协议中交易的参与方
SET支付系统的参与放主要方有:
持卡人,即消费者,他们通过web浏览器或客户端软件购物;
商家,提供在线商店或商品光盘给消费者;
发卡人,它是一金融机构,为持卡人开帐户,并且发放支付卡;
受款银行,它为商家建立帐户,并且处理支付卡的认证和支付事宜
支付网关,是由受款银行或指定的第三方操纵的设备,它处理商家的支付信息,同时也包括来自消费者的支付指令
SET支付系统还涉及到认证机构(CA),但是它不参与SET的支付流程,它给各参与方颁发证书,各参与方可以通过查看对方的证书,来确定对方是否准确而不是冒充的。要建立安全的电子商务系统,首先必须有一个健全可信的CA。
2.SET所采用的安全措施
SET采用的安全措施,几乎全部以数据加密技术为基础,可以说没有加密技术,就没有安全电子交易。SET协议把对称密钥体制和公开密钥体制完美的结合了起来,充分利用了DES效率高速度快,RSA安全性高,密钥管理简便的优点。下面以数据加密技术为基础,讨论SET所采用的安全措施。
1数字签名
数字签名采用RSA算法,数据发送方采用自己的私钥加密数据,接受方用发送方的公钥解密,由于私钥和公钥之间的严格对应性,使用其中一个只能用另一个来解,保证了发送方不能抵赖发送过数据,完全模拟了现在生活中的签名。
2数字信封
发送方将消息用DES加密,并将DES对称密钥用接受方的公钥加密,称为消息的“数字信封”,将数字信封与DES加密后的消息一起发给接受方。接受者收到消息后,先用其密钥打开数字信封,得到发送方的DES对称密钥,再用此对称密钥去解开数据。只有用接受方的RSA密钥才能够打开此数字信封,确保了接受者的身份。
3双重签名
数字签名在SET协议中一个重要的应用就是双重签名。在交易中持卡人发往银行的支付指令是通过商家转发的,为了避免在交易的过程中商家窃取持卡人的信用卡信息,以及避免银行跟踪持卡人的行为,侵犯消费者隐私,但同时又不能影响商家和银行对持卡人所发信息的合理的验证,只有当商家同意持卡人的购买请求后,才会让银行给商家负费,SET协议采用双重签名来解决这一问题。
假设持卡人C(customer)从商家M(mechant)购买商品,他不希望商家看到他的信用卡信息,也不希望银行B(bank)看到他有关商品的信息,于是他采用双重签名,流程如图并说明如下:
首先C产生发往M的订购信息OI和发往B的支付指令PI,并分别产生OI,PI的摘要H(OI),H(PI)。其中摘要由一个单向HASH函数作用于消息产生,它是一个唯一对应此消息的值,其它任何消息用HASH函数作用都不能产生此值,因此用消息摘要可以检查消息在中途是否被篡改。连接H(OI)和H(PI)得到OP,再生成OP的摘要H(OP),用C的RSA私钥签名H(OP),得sign[H(OP)],称为双重签名。C将消息{OI,H(PI),sign[H(OP)]}发给M,将{PI,H(OI),sign[H(OP)]}发给B。在验证双重签名时,接受者分别创建消息摘要,M生成H(OI),B生成H(PI),再分别将H(OI)/H(PI)与另一接受到的摘要H(PI)/H(OI)连接,生成OP及其摘要H(OP)’,接受者M/B用C的RSA公钥解开sign[H(OP)],得到H(OP),比较H(OP)’与H(OP)是否相同,如果相同,则表示数据完整且未被篡改,如果不同,则丢弃数据。
3.SET交易流程
持卡人向商家发初始请求,商家产生初始应答。
持卡人浏览商家的商品,这可以通过使用网上商店或者商家提供的CD-ROM来实现。选好商品后要求在线支付,激发支付软件,向商家发送初始请求。初始请求指定了交易环境,包括持卡人所使用的语言,交易ID,使用的是何种交易卡等。商家接受初始请求,产生初始应答,对初始应答生成消息摘要,对此消息摘要进行数字签名,将商家证书,网关证书,初始应答, 消息摘要的数字签名等,发送给持卡人。由于初始应答未被加密,所以它不应包含机密信息。
持卡人接受并检查商家的初始应答,如无误,发出购物请求。
持卡人接受初始应答,检查商家证书和网关证书。接着用商家公钥解开消息摘要的数字签名,用HASH算法产生初始应答的摘要,将两者比较,如果相同则表示数据在途中未被篡改,否则丢弃。
持卡人发出购物请求,它包含了真正的交易行为。购物请求是协议中最复杂的信息,它包括两个部分:发网商家的定单指令OI和通过商家转发往网关的支付指令PI,通过双重签名将PI和OI结合起来(双重签名见上文说明),生成 sign[H(OP)]。持卡人生成对称密钥,对支付指令PI加密,再用网关的公钥对此对称密钥和持卡人帐号加密,形成数字信封。最后将持卡人证书,OI,PI密文,数字信封,sign[H(OP)],PI和OI各自的消息摘要等发给商家,其中有消息是通过商家转发给支付网关的。
商家接受并检查持卡人的购物请求,如无误,发出支付请求。
商家接受持卡人的购物请求,认证持卡人的证书。接着验证双重签名,看数据在传输过程中是否被篡改。如数据完整,则处理定单信息,产生支付请求。
将支付请求用HASH算法生成摘要,并签名,网关收到后用商家公钥解密,并确认支付请求是此商家所发在且在途中未被篡改。生成对称密钥对支付请求加密,并用网关公钥加密形成数字信封。最后将商家证书,支付请求密文,商家数字签名,数字信封和持卡人通过商家转发的:sign[H(OP)],OI摘要,PI密文,持卡人数字信封,持卡人证书等发往支付网关。
支付网关接受并检查支付请求,如无误,发扣款请求。
支付网关分别检查确认商家发来的数据和持卡人发来的数据。网关首先认证商家证书,然后用私钥打开商家数字信封,获取商家对称密钥, 解开支付请求密文。用HASH算法作用于支付请求,形成摘要,与商家发来的支付请求摘要(解开数字签名所得)相比较,如果相同则表示数据完整,否则丢弃数据。
网关检查持卡人证书,然后用私钥打开持卡人数字信封,得到他的帐号和对称密钥。用此对称密钥解开PI密文,得到PI,接着验证双重签名,生成PI的摘要,与OI摘要相连接,再次生成摘要,其结果与H(OP)(解双重签名所得)相比较,如果相同则数据完整,如果不同则丢弃。网关将信息发送往银行。
银行向网关发送扣款应答,网关向商家发送支付应答。
在支付网关和银行之间是通过金融专用网向连,其间的业务,SET并不作规定。
网关在接受银行的扣款应答后,生成支付应答,同样产生摘要,对其进行数字签名,生成对称密钥,对支付应答加密,并且将对称密钥装入数字信封。将网关证书,数字签名,数字信封,支付应答密文一起发往商家。
商家接受并检查网关的支付应答,如无误,向持卡人发送购物应答。
商家认证网关的证书,用私钥打开数字信封,得到网关对称密钥,用此密钥解开支付应答,产生摘要。用网关公钥解开其数字签名,得到支付原始支付应答摘要,并与新产生的摘要比较,如果相同,则数据完整,如果不同则丢弃。
商家产生购物应答,对购物应答生成摘要,并签名,将商家证书,购物应答,数字签名一起发往持卡人。如果交易成功,则发货。
持卡人接受购物应答,验证商家证书。对购去应答产生摘要,用商家公钥解开数字签名,得到原始摘要,将之与新产生的摘要比较,相同则表示数据完整,不同则丢弃。至此,交易流程结束。
以上简要地讨论了SET协议的主要的交易流程及其中的数据流向的问题。若要深刻的了解出错处理以及各种消息的格式,可以参照参考数目[3]。
四.结束语
本文了讨论了数据加密技术,介绍了当今使用最为广泛的DES和RSA算法。DES效率高,但是密钥保存难,RSA安全性高,但是效率低,在实际应用中经常把两者结合起来使用。保证安全性是电子商务的核心环节,SET协议充分地予以考虑,并在交易流程中充分地体现了这一点。它使用的主要技术有,数字签名,数字信封,双重签名等,而这些无不以数据加密技术为基础。
参考资料 :
卢起骏等译,计算机网络保密系统设计与实现指南,科学技术文献出版社重庆分社,1987
SET Secure Electronic Transaction Specification :Business Description, May,31,1997