淮陰工學院經(jīng)濟管理學院 董紹斌

1995年以來，隨著以Web技術(shù)為代表的信息發(fā)布系統(tǒng)爆炸式地成長，Internet逐漸成為我們這個信息化社會的神經(jīng)系統(tǒng)，“宅經(jīng)濟”悄然興起，電子商務時代撲面而來。

1 電子商務

基于對電子商務的不同理解，人們對電子商務的定義有所不同，但總體來說，電子商務是依托互聯(lián)網(wǎng)進行的，以數(shù)據(jù)電訊(DATAMESSAGE，包括計算機網(wǎng)絡和各種電訊方式)為交易手段，以因特網(wǎng)為運行平臺，買賣雙方在“不謀面”地情況下進行各種商貿(mào)活動的觀點已達成共識。電子商務正以高效、快捷、 便利、無國界、無時差的商務活動形式影響著我們的社會生活。

據(jù)美國著名的高科技市場研究機構(gòu)Forrester Research發(fā)布的調(diào)查報告顯示，2010年美國電子商務銷售額同比增長了12.6%，實現(xiàn)銷售額1760億美元，同時該研究機構(gòu)還預測在今后5年內(nèi)，這一銷售額年度增長率將保持在10%左右，并由此預計2015年時的美國電子商務銷售額將達到2790億美元，電子商務已成為美國國民經(jīng)濟增長的重要支點。

相對美國而言，我國電子商務起步較晚，但隨著2010年10月10日，國務院發(fā)布的《國務院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定》，尤其是由國家工信部牽頭、發(fā)改委等9部委聯(lián)合制定的《電子商務“十二五”規(guī)劃》(初稿)的出爐，我國電子商務發(fā)展馳入了快車道。

據(jù)相關(guān)機構(gòu)的調(diào)查數(shù)據(jù)顯示，2010年，我國電子商務行業(yè)的融資總額已高達10億美元，電子商務做為最富有活力和前景的新型信息服務業(yè)，正逐步向經(jīng)濟主流和商務核心方向延伸，進行電子商務的主體已由主要是IT廠商、媒體和電子商務服務商，進而轉(zhuǎn)向為電子商務企業(yè)，大批傳統(tǒng)制造業(yè)、密集型生產(chǎn)企業(yè)開始大規(guī)模進入電子商務領域，有專家預言，在未來的5～10年，中國的電子商務將遍地開花，不斷走向繁榮。

2 電子商務的安全交易問題

隨著電子商務的迅猛發(fā)展，電子商務這種新型的經(jīng)濟模式，以其全新的企業(yè)經(jīng)營理念、經(jīng)營手段、經(jīng)營環(huán)境吸引著越來越多的人通過Internet參與進來，并享受著電子商務帶來的高效、便捷和方便。

然而，隨著電子商務應用范圍的日益擴大，針對電子商務的各種犯罪活動也日益猖獗起來，信息盜用問題日益緊迫。電子商務的安全問題引起了人們的普遍關(guān)注。

2.1 身份認證帶來的交易風險

我們知道，電子商務業(yè)務系統(tǒng)架構(gòu)是在基于ca 體系的安全基礎之上的，業(yè)務系統(tǒng)主要采用對稱加密、密鑰加密的方式傳送信息，這樣，身份認證問題就是一個關(guān)鍵，因此，針對身份的犯罪手段層出不窮，大家都熟知的，發(fā)生于2010年8月7日山東農(nóng)業(yè)銀行鄆城支行的在ATM插卡口安裝盜碼裝置案件，就是一個明顯的例子，即使像美國花旗銀行這樣著名的銀行也曾蒙受因身份認證問題而導致的損失。正如Verisign執(zhí)行主席James Bidzos所言：“今天我們面臨的挑戰(zhàn)將會是不同于以往的，身份也會變得至關(guān)重要”。

2.2 電子商務中如何規(guī)避由于身份認證問題帶來的交易風險

我們知道，“素昧平生”的買賣雙方，在不謀面的情況下達成交易，依賴的是互聯(lián)網(wǎng)的開放性，然而，正如“成也蕭何，敗也蕭何”，身份認證問題的出現(xiàn)也正是開放性所至。

電子商務環(huán)境下，身份認證需包含三個基本內(nèi)容，第一個是客戶身份認證內(nèi)容、第二個是客戶擁有的特殊認證加強機制、第三個是客戶本身的惟一特征。

為保證電子商務活動過程中系統(tǒng)的安全性，正確進行身份認證，人們通常是通過使用加密手段來達到該目的。

2.2.1 采用PKI技術(shù)，實現(xiàn)安全的身份認證和數(shù)據(jù)加密功能

PKI技術(shù)主要的加密手段是基于公鑰基礎設施(PKI)體系結(jié)構(gòu)，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，同時，PKI體系結(jié)構(gòu)能夠?qū)⒐€密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)對密鑰的自動管理，以確保網(wǎng)上數(shù)據(jù)的機密性、完整性和真實性。

PKI技術(shù)是基于公私鑰密碼體系的一種身份認證技術(shù)，主要應用于網(wǎng)上銀行領域。在電子商務中，如果我們希望在網(wǎng)上開立網(wǎng)上銀行帳戶，您會發(fā)現(xiàn)，目前網(wǎng)上銀行的網(wǎng)站都是簽定HTTPS協(xié)議，而不再是HTTP協(xié)議，后面多出的這個“S”就是代表安全的意思，該協(xié)議以PKI技術(shù)為支撐，通過為每一個用戶分配一個私鑰和一個公鑰證書，來實現(xiàn)安全的身份認證和數(shù)據(jù)加密功能。

PKI技術(shù)目前已比較成熟，但受到成本和易用性的制約，并不是很大眾化的身份認證問題解決的最佳方案。

2.2.2 采用雙因素身份認證技術(shù)確保交易身價的準確性

所謂“雙因素”是密碼學的一個概念，指將多種因素結(jié)合來進行身份認證。雙因素身份認證由基本身份認證和附加身份認證組成。

(1)基本身份認證。基本身份認證的事項只有兩個，即客戶在注冊時自己預先設置的用戶名及密碼。

進行基本身份認證往往是通過密碼確認，這種用戶名/密碼的身份認證方法，是基于“what you know”的驗證手段，實際應用中，人們往往為了便于記憶，會采用如生日之類的容易被他人猜到的有意義的字符串作為密碼，極易造成密碼泄露。同時，由于密碼是靜態(tài)的數(shù)據(jù),且在驗證過程中，需要在計算機內(nèi)存中和網(wǎng)絡中傳輸,而每次驗證過程使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。因此用戶名/密碼方式是一種極不安全的身份認證方式。

(2)附加身份的認證。附加身份的認證內(nèi)容是客戶持有、保管并使用的可實現(xiàn)身份認證方式的信息，如手機號碼等物理介質(zhì)或電子設備，這類信息不易被復制、修改和破解。從技術(shù)上來說，附加身份認證包括數(shù)字證書(USB Key)、動態(tài)密碼(令牌、密碼卡、刮刮卡)、生物認證(虹膜、指紋等)等手段。

鑒于各類技術(shù)有應用中的實際問題，如生物認證手段中的虹膜和指紋的采集比對，具有較高的實施難度，因此從安全與可行的相對平衡點出發(fā)，采用動態(tài)口令技術(shù)更為安全適用。

動態(tài)口令技術(shù)是相對傳統(tǒng)的靜態(tài)口令技術(shù)而言的，我們知道單純的靜態(tài)密碼作為對客戶的身份認證方式，已不足以防止身份密碼的丟失，甚至成為犯罪分子成功盜取客戶資金的一把鑰匙，因此，動態(tài)口令技術(shù)應運而生。動態(tài)口令技術(shù)其基本思路是把用戶記憶的口令變成用戶持有的設備生成的口令，并且不斷變化。以避免由于如木馬病毒等惡意程序引發(fā)的密碼丟失問題。但是，由于用戶在交易過程中每次使用的密碼必須由動態(tài)令牌來產(chǎn)生,因此必須依賴于收發(fā)口令的硬件設施，如果客戶端硬件與服務器端程序的時間或次數(shù)不能保持良好的同步，就必然出現(xiàn)合法用戶也無法登錄的問題，所以，具有易用、低成本和便攜性的手機軟件動態(tài)口令，應該是身份認證的一個發(fā)展方向。

數(shù)字證書是用電子手段來證實一個用戶的身份及他對網(wǎng)絡資源的訪問權(quán)限，并據(jù)此進行相關(guān)交易操作，以確保交易雙方身份的真實性。數(shù)字證書的發(fā)放是由具有權(quán)威性和公正性的第三方來完成的。認證中心是承擔網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書并確認用戶身份的服務機構(gòu)，因此，交易雙方不必擔心雙方身份的真?zhèn)巍?/p>

2.3 采用一次性密碼卡技術(shù)確保交易帳戶的安全

一次性密碼卡技術(shù)是將一些隨機的數(shù)字密碼預先印刷在一張卡片上，用戶登錄時拿出一個來使用，然后這個密碼就失效了，再次登錄時再使用另外一個密碼，直到一張卡上的密碼全部使用完畢，再換新卡。

這種技術(shù)可以符合密碼學里“一次一密”的思想，可以說是最完美的，遺憾的是這種方式用戶需要經(jīng)常去換卡，最大的問題就是麻煩。

2.4 采用數(shù)字簽名方式，確保交易安全

數(shù)字簽名技術(shù)是實現(xiàn)交易安全的核心技術(shù)之一，它實現(xiàn)的基礎就是加密技術(shù)，實踐中有多種實現(xiàn)數(shù)字簽名的方法，但采用較多的是公開密鑰算法。

公開密鑰算法是用戶在提交定單和個人賬號信息的同時，生成一個私鑰和證書，即可以對傳遞的重要數(shù)據(jù)需要簽署的信息進行數(shù)字簽名，然后把該賬號連同生成的證書和對該文件的簽名文件作為一個簽名文件包傳輸給接受方。接受方獲得發(fā)送方的簽名賬號信息后，要求首先到某個可以信任的ca中心“公鑰初始化簽名對象”去驗證該證書的合法性，以確定發(fā)送方所宣稱的身份是否可信。如果確認為可信，則可以用證書中所包含的公鑰來驗證傳輸來的文件是否為發(fā)送方所簽署的，即調(diào)用verify(signature)來驗簽。同時，也有人采用消息摘要的方法進行加密，所謂信息摘要，也稱Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數(shù)字指紋”(Digital Fingerprint)。所謂單向是指不能被解密，不同的明文摘要成密文，其結(jié)果是絕不會相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗證明文是否是“真身”的數(shù)字“指紋”了。這種加密系統(tǒng)，是今后可能大規(guī)模普及的下一代互聯(lián)網(wǎng)身份認證技術(shù)之一。

總之，電子商務因?qū)鹘y(tǒng)的交易流程電子化、數(shù)據(jù)化，使商務活動突破了時間和空間的限制，因而獲得了遠大的發(fā)展前景而充滿活力，也正因如此，電子商務交易也隨時面臨著巨大的交易風險。“莫道浮云能蔽日”，只要我們掌握正確的加密手段，交易風險是完全可以避免的。

[1]高建華.電子商務安全技術(shù)分析與研究[J].計算機與數(shù)字工程,2007(02).

[2]蘭麗娜,劉辛越.電子商務安全體系研究[J].學術(shù)研究,2007(04).

[3]謝紅燕.電子商務的安全問題及對策研究[J].哈爾濱商業(yè)大學學報(自然科學版).2007(06).

[4]張慧.數(shù)字簽名在電子商務中的應用[J].湖北教育學院學報,2005(02).