王文佳

摘要：隨著中國加入WTO，朝鮮半島形勢變化，丹東地區(qū)的中小企業(yè)面臨著新挑戰(zhàn)和新的發(fā)展機(jī)遇。為此，應(yīng)該注重電子商務(wù)的發(fā)展，集中精力設(shè)計完成一套適合的電子商務(wù)安全機(jī)制，為經(jīng)濟(jì)發(fā)展?fàn)I造一個良好的商務(wù)氛圍。

關(guān)鍵詞：電子商務(wù)；安全機(jī)制；策略；身份認(rèn)證

中圖分類號：F127文獻(xiàn)標(biāo)識碼：A

文章編號：1005-913X（2014）07-0061-02

一、引言

隨著Internet和電子商務(wù)的廣泛應(yīng)用，丹東地區(qū)中小企業(yè)的生產(chǎn)和經(jīng)營方式發(fā)生著深刻的改變，對網(wǎng)絡(luò)尤其是電子商務(wù)各個領(lǐng)域的應(yīng)用安全關(guān)注越來越高。而丹東地區(qū)中小企業(yè)的電子商務(wù)市場在近年來取得了巨大的成績，市場理論研究和社會宣傳不斷深入。與其他商品交易相比，電子商務(wù)具有獨特的經(jīng)濟(jì)功能，對社會經(jīng)濟(jì)發(fā)展重要的現(xiàn)實意義。但是，丹東地區(qū)中小企業(yè)消費者在享受電子商務(wù)帶來的便捷時，同樣需要面對隨之產(chǎn)生的各種問題，例如：欺詐問題、行為問題等諸多信息不確定的問題。傳統(tǒng)市場中，各類法律法規(guī)是市場的主要保障機(jī)制，而電子商務(wù)作為一種新生事物，本身具有互聯(lián)網(wǎng)的匿名性、開放性等特點，在注冊方式、操作方式、履約方式等方面都存在著巨大的差異，傳統(tǒng)的法律法規(guī)很難實現(xiàn)對網(wǎng)絡(luò)交易的規(guī)范、保障。[1]同時，電子商務(wù)發(fā)展面臨諸多的安全問題：[2]電子商務(wù)系統(tǒng)硬件安全、電子商務(wù)系統(tǒng)軟件安全、電子商務(wù)系統(tǒng)運(yùn)行安全、電子商務(wù)安全立法、身份識別等。

因此，研究科學(xué)、合理的電子商務(wù)交易的安全機(jī)制，對于建立、完善丹東地區(qū)電子商務(wù)市場，為本地區(qū)電子商務(wù)發(fā)展?fàn)I造一個較為寬松的信用環(huán)境，推動電子商務(wù)市場的健康發(fā)展有著重要的實用價值。

二、安全機(jī)制的框架結(jié)構(gòu)

電子商務(wù)的交易安全機(jī)制的框架結(jié)構(gòu)，從交易活動的角度可以分為交易前期、交易中期和交易后期。

在交易前期，客戶通過客戶端瀏覽器登錄電子商務(wù)網(wǎng)站，通過防火墻的過濾和檢查連接到網(wǎng)站后臺系統(tǒng)服務(wù)器，進(jìn)行身份認(rèn)證，即對客戶的身份進(jìn)行識別和確認(rèn)，以便授權(quán)其參與交易活動。無論是新用戶還是老用戶，經(jīng)過認(rèn)證中心(CA)身份確認(rèn)后，即可得到電子商務(wù)網(wǎng)站授權(quán)，以某一固定角色的身份進(jìn)入交易活動中，從事拍賣活動。

在交易中期，客戶充當(dāng)某角色的參與者進(jìn)行交易活動，系統(tǒng)會根據(jù)其歷史交易記錄和當(dāng)前交易數(shù)據(jù)對其行為進(jìn)行分析，具體包括：對其信任度進(jìn)行評估，即對參與者的信譽(yù)狀況進(jìn)行考察，為其交易伙伴提供交易參考依據(jù)；對其行為進(jìn)行欺詐識別，即對參與者在交易時的行為進(jìn)行分析，識別不端行為，為交易者提供安全、公平、公正的交易平臺；對其當(dāng)前交易活動進(jìn)行確認(rèn)，即經(jīng)過認(rèn)證中心(CA)認(rèn)證后的不可否認(rèn)業(yè)務(wù)，使參與者不能恣意毀約等。

在交易后期，客戶參與的交易活動進(jìn)入結(jié)尾階段，在結(jié)束前任需對交易參與者的行為進(jìn)行分析，具體包括：網(wǎng)上支付，即通過第三方支付網(wǎng)關(guān)支付貨款；信任反饋評分，即交易者對交易伙伴的信譽(yù)狀況進(jìn)行評分，為今后的交易者提供參考依據(jù)；服務(wù)保障，即為交易者所提供安全保障措施等。

交易中所有的數(shù)據(jù)、記錄會及時的存儲如電子商務(wù)網(wǎng)站的后臺數(shù)據(jù)庫，以便為日后的交易提供信息參考、方便網(wǎng)站的管理。

三、體系結(jié)構(gòu)

從電子商務(wù)的業(yè)務(wù)角度來看，網(wǎng)站相當(dāng)于一個媒介，買方、賣方、網(wǎng)上銀行均得通過電子商務(wù)網(wǎng)站這個平臺進(jìn)行交易。首先，無論是買方還是賣方，都需獲得網(wǎng)站的認(rèn)可，方可進(jìn)行交易，交易者在登陸網(wǎng)站后，可以注冊交易用戶或過客，在得到網(wǎng)站所授予的權(quán)限和角色后，可以實現(xiàn)該權(quán)限和角色所能賦予的權(quán)利；其次，網(wǎng)上銀行與網(wǎng)站之間，需要互相鑒別之后建立交易聯(lián)系，其中實現(xiàn)鑒別、監(jiān)督、管理等相關(guān)工作的中介為第三方機(jī)構(gòu)；再次，交易者必須在得到網(wǎng)上銀行的審核后，擁有自己的獨立可支付賬戶，去完成網(wǎng)絡(luò)交易，并受網(wǎng)上銀行的監(jiān)督、管理及保障；最后交易者在交易前，必須通過自身本地計算機(jī)加密服務(wù)提供者建立自己的公/私鑰，申請CA認(rèn)證并獲得相關(guān)證書及權(quán)益。

一個安全的交易機(jī)制，從其體系結(jié)構(gòu)來看，由于電子商務(wù)網(wǎng)站是基于互聯(lián)網(wǎng)的，并且互聯(lián)網(wǎng)具有開放性的特征，則交易安全機(jī)制必須在互聯(lián)網(wǎng)和內(nèi)部業(yè)務(wù)系統(tǒng)之間構(gòu)建一道安全屏障，防止非法入侵者對系統(tǒng)數(shù)據(jù)的破壞。這道安全屏障采用防火墻技術(shù)，[3]將Internet和內(nèi)部網(wǎng)(Intranet)分開，所有訪問、交易請求必須經(jīng)過防火墻，只有滿足防火墻規(guī)則的請求才允許通過。防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)。[4] [5]

第三方支付網(wǎng)關(guān)是指與產(chǎn)品所在國家以及國外各大銀行簽約、并具備一定實力和信譽(yù)保障的第三方獨立機(jī)構(gòu)提供的交易支持平臺。在該交易中，賣方選購商品后，使用第三方支付網(wǎng)關(guān)提供的賬戶進(jìn)行貨款支付，由第三方通知賣家貨款到達(dá)進(jìn)行打貨，買方檢驗物品后，就可以通知付款給賣家，第三方再將貨款項專職賣家賬戶。

四、交易安全策略

由于電子商務(wù)交易涉及到許多敏感數(shù)據(jù)，必須加以保護(hù)，同時要防止惡意入侵者對網(wǎng)站資源的破壞、對正當(dāng)交易的破壞、對參與者合法權(quán)益的破壞，防止參與者商業(yè)信息的泄漏。交易用戶通過客戶端瀏覽器登陸電子商務(wù)網(wǎng)站，首先通過防火墻的檢測、過濾，接下來進(jìn)入安全策略中的重要環(huán)節(jié)即服務(wù)器的安全控制過程，最終得到數(shù)據(jù)存儲。

只有電子商務(wù)網(wǎng)站的交易安全機(jī)制具備了完整安全策略，并真正執(zhí)行于交易中，才能為交易營造一個安全的環(huán)境。真正的交易安全不但要依靠先進(jìn)的技術(shù)、理論，還需嚴(yán)格管理和安全教育。先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是交易的根本保證，特別是為了保證交易的安全進(jìn)行所提供的一系列技術(shù)，包括防火墻技術(shù)、SSL、身份認(rèn)證技術(shù)、數(shù)據(jù)完整性和數(shù)字簽名技術(shù)等。

所以，在丹東地區(qū)中小企業(yè)電子商務(wù)交易安全機(jī)制設(shè)計時，應(yīng)該考慮網(wǎng)站和交易的安全性即安全策略，具體包括：身份認(rèn)證、信任評估、欺詐識別、不可否認(rèn)業(yè)務(wù)、信譽(yù)反饋和服務(wù)保障。

（一）身份認(rèn)證

身份欺詐是網(wǎng)上欺詐的主要形式，為后期交易的其他欺詐埋下了禍根。因為在交易的開始階段，對交易者身份的錯誤識別，后期無論加入如何優(yōu)越的信任機(jī)制也徒勞無益。因此，要為交易者創(chuàng)造一個安全環(huán)境，首先需要建一個能對網(wǎng)絡(luò)交易雙方身份進(jìn)行驗證、對網(wǎng)絡(luò)傳遞信息給予證實的策略，即身份認(rèn)證。

身份認(rèn)證[6]的實現(xiàn)方法很多，比如ID號、數(shù)字證書、指紋圖像、DNA以及電子簽名等。對一些安全強(qiáng)度不高的系統(tǒng)，可以使簡單的身份認(rèn)證方法，例如通過ID號及密碼來檢查身份的合法性，不需要很大的代價；而對一些安全強(qiáng)度高的、需要復(fù)雜的認(rèn)證系統(tǒng)，代價很大，使用起來具有局限性。根據(jù)計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，結(jié)合電子商務(wù)的交易機(jī)制需求，數(shù)字證書是比較適合的身份認(rèn)證手段，本身在電子商務(wù)系統(tǒng)的開銷、可操作性、安全強(qiáng)度各方面均符合需求，實施也比較方便，易于推廣。

電子簽名[6]是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。通俗點說，電子簽名就是通過密碼技術(shù)對電子文檔的電子形式的簽名，并非是書面簽名的數(shù)字圖像化，類似于手寫簽名或印章，也可以稱為電子印章。電子簽名并非是書面簽名的數(shù)字圖像化，而是一種電子代碼，利用電子簽名，收件人便能在網(wǎng)上輕松驗證發(fā)件人的身份和簽名，還能驗證出文件的原文在傳輸過程中有無變動。如果有人想通過網(wǎng)絡(luò)把一份重要文件發(fā)送給外地的人，收件人和發(fā)件人都需要首先向一個許可證授權(quán)機(jī)構(gòu)(CA)申請一份電子許可證。這份加密的證書包括了申請者在網(wǎng)上的公共鑰匙即“公共電腦密碼”，用于文件驗證。

（二）認(rèn)證中心(CA)

身份認(rèn)證中所使用的數(shù)字證書必須是由可信賴的機(jī)構(gòu)頒發(fā)的，擔(dān)任此功能的機(jī)構(gòu)一般稱為認(rèn)證中心(CA)。CA[7]執(zhí)行證書服務(wù)功能，接收證書的請求，根據(jù)CA的策略驗證申請者的信息，并使用期私鑰將其數(shù)字簽名應(yīng)用于證書。然后CA將證書頒發(fā)給證書受領(lǐng)人，用作公鑰基礎(chǔ)結(jié)構(gòu)(PKI)內(nèi)的安全憑證。同時，CA機(jī)構(gòu)還負(fù)責(zé)吊銷證書并發(fā)布證書吊銷列表(CRL)。

在電子商務(wù)的交易中，由系統(tǒng)中的分枝系統(tǒng)充當(dāng)CA，理由為：電子商務(wù)的交易具有其獨特的交易方式和需要，專業(yè)的CA并不完全適合業(yè)務(wù)，嵌入交易后，需要做很大調(diào)整，這樣會造成不必要的資源浪費；電子商務(wù)系統(tǒng)是賣方、買方、網(wǎng)上銀行等多用戶的平臺，管理業(yè)務(wù)方便、快捷。

為了管理和維護(hù)證書申請、頒發(fā)的證書等資源，CA機(jī)構(gòu)還需具備數(shù)據(jù)的存儲功能。CA使用數(shù)據(jù)可存儲的信息包括：由CA頒發(fā)的證書；由CA吊銷的證書；CA接收的證書申請；CA拒絕的證書申請；被CA擱置的證書申請。同時，為了防止數(shù)據(jù)丟失，采取備份和日志的功能。日志保留了涉及證書數(shù)據(jù)庫每一項事務(wù)的記錄。證書數(shù)據(jù)庫日志可用于從備份中還原CA。

（三）信譽(yù)反饋

信譽(yù)反饋是安全機(jī)制中必不可少的一個環(huán)節(jié)，目的在于收集、分發(fā)、集成了參與者過去交易行為的反饋，防止不誠實者參與交易，提高了信任水平，并提高了交易效益，信譽(yù)能夠大大影響交易價格。信譽(yù)反饋對買賣雙方都具有重大的戰(zhàn)略作用。交易者根據(jù)反饋標(biāo)準(zhǔn)向信譽(yù)反饋中心提交關(guān)于交易伙伴的信譽(yù)反饋評分；信譽(yù)反饋中心將交易者所提交的信譽(yù)反饋生成信譽(yù)反饋信息存儲在數(shù)據(jù)庫中；交易者在后繼的交易活動中，可查看歷史反饋信息，為其做決策時提供參考依據(jù)。

信譽(yù)反饋實施后，所起作用具體如下：一是對交易者產(chǎn)生約束力，減少各種不當(dāng)行為，鼓勵誠信行為，降低交易風(fēng)險；二是為交易者去了解其無法面對面接觸的交易伙伴提供決策依據(jù)，輔助其進(jìn)行決策，提高網(wǎng)上交易成功率；三是在一定程度上可以降低交易成本，如廣告、宣傳等費用；四是信譽(yù)反饋不僅可以體現(xiàn)交易者的信譽(yù)狀況，也可側(cè)面反映出產(chǎn)品的質(zhì)量、價格、送貨時間等信息，起到監(jiān)督、管理作用；五是可作為電子商務(wù)網(wǎng)站質(zhì)量的標(biāo)準(zhǔn)之一，好的網(wǎng)站會擁有一個可信度高的反饋評分系統(tǒng)。因此，一個性能良好的信譽(yù)系統(tǒng)必須滿足以下條件：為交易者提供區(qū)別誠信交易者和非誠信交易者的條件；激勵交易者成為誠信交易者；懲罰欺詐交易者的拍賣行為。

（四）服務(wù)保障

對電子商務(wù)交易而言，網(wǎng)站運(yùn)營者通常會制定一些政策與規(guī)范包括服務(wù)條款、隱私政策、安全聲明、收費規(guī)則、注冊規(guī)則等，而個體也會要求制定保證服務(wù)政策、退款政策等。

電子商務(wù)市場的服務(wù)條款是面向電子商務(wù)市場的交易者，在電子商務(wù)市場上進(jìn)行交易，均需簽署交易服務(wù)條款。收費規(guī)則主要面向網(wǎng)絡(luò)市場的交易方，注冊規(guī)則對交易者在交易平臺上的注冊要求、注冊程序進(jìn)行說明。

服務(wù)保障是保證交易者在電子商務(wù)市場合法權(quán)益的基礎(chǔ)，基礎(chǔ)的好壞關(guān)系著交易參與者的數(shù)量、活動的質(zhì)量等。

電子商務(wù)交易中，交易者在遭受欺詐行為后：可以選擇向交易安全保障中心提出申訴，保障中心在核實交易屬實的情況下，向欺詐方提出懲罰要求后，賠償被欺詐方；也可以放棄申訴，選擇繼續(xù)交易或者喪失信息退出電子商務(wù)市場。而欺詐交易者在實施欺詐后，如果收到保障中心的懲罰要求，可以選擇賠償被欺詐方后繼續(xù)交易，也可以選擇拒絕賠償后推出交易市場。

五、總結(jié)

本文是針對丹東地區(qū)中小企業(yè)電子商務(wù)交易安全機(jī)制的框架展開研究。

首先，從電子商務(wù)交易活動所處階段構(gòu)造一個電子商務(wù)交易安全機(jī)制的框架，將交易活動劃分為交易前期、交易中期和交易后期，在交易活動的每個階段設(shè)計不同的安全機(jī)制，輔助電子商務(wù)網(wǎng)站進(jìn)行交易活動。其次，從電子商務(wù)的體系結(jié)構(gòu)來分析其在業(yè)務(wù)關(guān)系和體系結(jié)構(gòu)關(guān)系兩方面的具體內(nèi)容，為電子商務(wù)交易設(shè)計一個安全、合理的交易安全策略。最后，在交易安全策略中，首先采用身份認(rèn)證模式為電子商務(wù)交易設(shè)置的第一道安全關(guān)口；在完成身份認(rèn)證后，根據(jù)交易用戶全進(jìn)進(jìn)行交易，在交易的過程中，采用不可否認(rèn)業(yè)務(wù)策略，對交易者的交易行為進(jìn)行控制、監(jiān)督；交易結(jié)束后，進(jìn)入信譽(yù)反饋策略階段，對交易行為進(jìn)行評價，為后續(xù)的交易活動提供參考依據(jù)；同時，進(jìn)入服務(wù)保障策略階段，即為欺詐交易后被欺詐方提供一個保障、權(quán)利維護(hù)的過程。通過以上內(nèi)容，完善和彌補(bǔ)安全機(jī)制中的不足，為電子商務(wù)交易安全機(jī)制的設(shè)計提供一個理論、技術(shù)上實施的條件。

參考文獻(xiàn)：

[1] 張巍.網(wǎng)上拍賣中的信任模型研究[M].北京：中國財政經(jīng)濟(jì)出版社，2009.

[2] 張明光，魏琦.電子商務(wù)安全體系的探討[J].計算機(jī)工程與設(shè)計，2005，26(2):394-396.

[3] Gouda MG,Liu AX.Structured firewall design[J].Computer Networks, 2007,51(4):1106-1120.

[4] Kamara S, Fahmy S,Schultz E, Kerschbaum F,Frantzen M.Analysis of vulnerabilities in Internet firewalls[J].Computers & Security, 2003,22(3):214-232.

[5] Kanungo S.Identity authentication in heterogeneous computing environments: a comparative study for an integrated framework[J].Computers & Security, 1994,13(3):231-253.

[6]Chen H, Shen X, Lv Y. A New Digital Signature Algorithm Similar to ELGamal Type[J].Journal of Software,2010,5(3):320-327.

[7]Spalding M. Deciding Whether or not to use a Third Party Certificate Authority[J].Network Security,2000,6(1):7-8.

［責(zé)任編輯：譚志遠(yuǎn)］