電子商務(wù)中的身份認(rèn)證技術(shù)及安全支付研究

1、Ebusiness電子商務(wù)2012年1月161電子商務(wù)中的身份認(rèn)證技術(shù)及安全支付研究廣西工商職業(yè)技術(shù)學(xué)院呂玉珠摘要：本文首先介紹了身份認(rèn)證技術(shù)中的常用鑒別機(jī)制，即數(shù)字證書(shū)、數(shù)字信封、數(shù)字時(shí)間戳、智能卡、認(rèn)證中心等。身份認(rèn)證技術(shù)在信息安全中處于相當(dāng)重要的地位，是其他安全問(wèn)題的前提，通過(guò)比較進(jìn)一步分析了他們的安全性。然后介紹了電子商務(wù)中網(wǎng)上支付存在的一些安全隱患及解決辦法的研究，為電子商務(wù)的進(jìn)一步發(fā)展提供安全護(hù)航。最后簡(jiǎn)單地介紹了電子商務(wù)中

2、的支付安全管理問(wèn)題。關(guān)鍵詞：電子商務(wù)安全問(wèn)題身份認(rèn)證技術(shù)安全支付中圖分類號(hào)：F724文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：10055800(2012)01(a)16102電子商務(wù)的安全問(wèn)題的首要防線是身份認(rèn)證技術(shù)，身份認(rèn)證技術(shù)包括身份識(shí)別和身份鑒別技術(shù)。身份識(shí)別是用戶向系統(tǒng)出示屬于自己身份證明的一個(gè)過(guò)程，身份鑒別則是系統(tǒng)通過(guò)用戶所提供的證明，核查用戶身份的過(guò)程，驗(yàn)證用戶提供的證明是否和系統(tǒng)存儲(chǔ)的用戶資料相符，從而來(lái)確定用戶是否可以存在其他請(qǐng)求資源的存

3、儲(chǔ)權(quán)與使用權(quán)。1電子商務(wù)中身份認(rèn)證技術(shù)方法和實(shí)現(xiàn)過(guò)程目前我國(guó)采用的身份認(rèn)證技術(shù)方法主要是認(rèn)證中心體系，認(rèn)證中心體系是將公鑰簽發(fā)證書(shū)給用戶，用來(lái)實(shí)現(xiàn)證明公鑰的分發(fā)與有效性。通過(guò)對(duì)認(rèn)證中心體系的研究，來(lái)研究身份認(rèn)證技術(shù)的方法和實(shí)現(xiàn)的過(guò)程。以下對(duì)認(rèn)證中心體系的包含元素進(jìn)行探討。1.1電子商務(wù)中身份認(rèn)證技術(shù)方法(1)數(shù)字證書(shū)：依照聯(lián)合國(guó)制定的電子簽字示范法中的第一條規(guī)定，證書(shū)是可以證實(shí)簽字人與簽字生成證據(jù)有聯(lián)系的其他記錄或者是某一數(shù)據(jù)電文。在電

4、子商務(wù)交易支付中，買賣雙方為了證明自己的身份，是要通過(guò)第三方的認(rèn)證來(lái)進(jìn)行身份的識(shí)別。而數(shù)字證書(shū)就是買賣雙方的身份證明，其中含有證書(shū)申請(qǐng)者的個(gè)人信息與公開(kāi)密鑰的文件。數(shù)字證書(shū)是確定買賣雙方身份的工具，每一個(gè)數(shù)字證書(shū)都由證書(shū)管理中心做了獨(dú)一無(wú)二代表客戶身份的數(shù)字簽名，任何第三方都不能夠?qū)⒆C書(shū)中的內(nèi)容進(jìn)行修改。只有申請(qǐng)數(shù)字證書(shū)，交易者才能進(jìn)入電子商務(wù)的網(wǎng)上交易過(guò)程。(2)數(shù)字信封：通過(guò)私密密鑰加密技術(shù)對(duì)將要發(fā)送的信息進(jìn)行加密被稱之為數(shù)字信封技

5、術(shù)，又使用公開(kāi)密鑰加密技術(shù)對(duì)私密密鑰進(jìn)行加密的過(guò)程，它集合了公開(kāi)密鑰加密技術(shù)和私密加密密鑰技術(shù)的優(yōu)勢(shì)，可以保證數(shù)據(jù)傳輸?shù)陌踩浴?3)數(shù)字時(shí)間戳：數(shù)字時(shí)間戳是對(duì)交易文件中的日期和時(shí)間采取保密處理，數(shù)字時(shí)間戳服務(wù)是可以為電子文件發(fā)表時(shí)間提供安全的保護(hù)，數(shù)字時(shí)間戳服務(wù)是一項(xiàng)由專門(mén)機(jī)構(gòu)所提供的安全服務(wù)項(xiàng)目。它主要包含需要時(shí)間戳文件的摘要和數(shù)字簽名，所收到文件的時(shí)間和日期。(4)智能卡：智能卡是集存儲(chǔ)數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)能力，對(duì)數(shù)據(jù)進(jìn)行處理過(guò)程對(duì)數(shù)據(jù)

6、加密解密功能的智能集成電路卡，它對(duì)數(shù)字簽名和數(shù)字簽名的驗(yàn)證。智能卡在電子商務(wù)系統(tǒng)中有著戰(zhàn)略性的作用，減輕了客戶端系統(tǒng)的負(fù)擔(dān)，它能夠承擔(dān)對(duì)信息的加密解密、簽名及對(duì)簽名的驗(yàn)證等。同時(shí)，智能卡是私人密鑰和數(shù)字證書(shū)的載體，能夠識(shí)別持卡人是否為合法使用者的同時(shí)，還可以通過(guò)對(duì)智能卡的改動(dòng)來(lái)對(duì)用戶密碼的改變。這些功能使智能卡成為了用戶的身份識(shí)別和接入的身份認(rèn)證技術(shù)。(5)數(shù)字摘要：通過(guò)單向Hash函數(shù)對(duì)文件中的若干重要元素進(jìn)行某種變換運(yùn)算被稱之為數(shù)字

7、摘要，得到固定長(zhǎng)度的摘要碼，在傳輸信息時(shí)加入文件送給接收方，接收方以相同的方法進(jìn)行變換運(yùn)算，如果得到的結(jié)果和發(fā)送來(lái)的摘要碼一樣，就可以判斷文件沒(méi)有被篡改，反之亦然。(6)數(shù)字簽名：數(shù)字簽名技術(shù)是運(yùn)用公開(kāi)密鑰密碼體制，使用一對(duì)不對(duì)稱，卻又相互匹配的密鑰來(lái)實(shí)現(xiàn)加密和解密技術(shù)。數(shù)字簽名的運(yùn)用可以保證信息安全從發(fā)送方傳輸?shù)浇邮辗?，中途不被不法分子更改。所以?shù)字簽名技術(shù)被電子商務(wù)交易中身份認(rèn)證所采用。(7)認(rèn)證中心：認(rèn)證中心是認(rèn)證中心體系的核心，

8、是進(jìn)行客戶身份認(rèn)證的場(chǎng)所，主要職責(zé)是數(shù)字憑證的管理、數(shù)字憑證的申請(qǐng)和簽發(fā)。認(rèn)證中心是嚴(yán)格按照認(rèn)證操作規(guī)定來(lái)實(shí)施服務(wù)的，它是買賣雙方的中介機(jī)構(gòu)。在電子商務(wù)進(jìn)行交易時(shí)，交易雙方可以請(qǐng)求認(rèn)證中心對(duì)此進(jìn)行認(rèn)證。1.2電子商務(wù)中身份認(rèn)證的實(shí)現(xiàn)過(guò)程電子商務(wù)中身份認(rèn)證的實(shí)現(xiàn)過(guò)程實(shí)質(zhì)是用戶數(shù)字簽名的認(rèn)證過(guò)程，用戶在進(jìn)行網(wǎng)上交易的時(shí)候，提交訂單信息和個(gè)人賬戶信息之后會(huì)生成一個(gè)私鑰和證書(shū)，認(rèn)證中心就會(huì)根據(jù)訂單信息和用戶的個(gè)人賬戶信息生成的私鑰和證書(shū)進(jìn)行數(shù)字

9、簽名，將數(shù)字簽名文件包和用戶個(gè)人賬號(hào)信息以及生成的證書(shū)傳輸給接收方。接收方獲得發(fā)送方的數(shù)字簽名賬號(hào)信息后，首先要到認(rèn)證中心去檢驗(yàn)該證書(shū)是否合法，從而確定接受的信息與信息發(fā)送者的身份是否具有真實(shí)性。如果是真實(shí)的信息，還要用證書(shū)中包含的公鑰來(lái)檢驗(yàn)接受的文件是否是發(fā)送方簽署的。接收方驗(yàn)證發(fā)送方簽署的文件包后，重復(fù)類似于簽名的操作步驟，不同點(diǎn)在于需要用證書(shū)里的公鑰對(duì)于簽名對(duì)象進(jìn)行初始化，最后要調(diào)用verify(signature)來(lái)檢驗(yàn)簽名，這

10、樣可以便于用戶對(duì)其進(jìn)行擴(kuò)展和重用代碼.電子商務(wù)中身份認(rèn)證的實(shí)現(xiàn)過(guò)程為電子商務(wù)網(wǎng)上交易的安全保駕護(hù)航，是保證電子商務(wù)快速發(fā)展的有力保證。一般認(rèn)證實(shí)現(xiàn)過(guò)程如圖1所示：圖1認(rèn)證過(guò)程結(jié)構(gòu)圖Ebusiness電子商務(wù)1622012年1月2電子商務(wù)安全支付問(wèn)題及解決方案電子商務(wù)是通過(guò)電信網(wǎng)絡(luò)進(jìn)行的商業(yè)活動(dòng)，電信網(wǎng)絡(luò)是電子商務(wù)的載體，由于網(wǎng)絡(luò)的開(kāi)放性，這就導(dǎo)致了電子商務(wù)網(wǎng)上支付的安全隱患問(wèn)題。2.1電子商務(wù)支付的安全問(wèn)題電子商務(wù)發(fā)展的關(guān)鍵問(wèn)題就在于安

11、全支付問(wèn)題，安全支付問(wèn)題的解決可以使電子商務(wù)得到迅速發(fā)展，這是我總結(jié)的一些支付安全問(wèn)題：硬件設(shè)施的安全，網(wǎng)絡(luò)的安全，技術(shù)的安全，系統(tǒng)的安全。硬件的安全可以是系統(tǒng)資源(主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘)、通信電路及其他的一些硬件設(shè)備的安全性，硬件安全是電子商務(wù)支付安全問(wèn)題的首要前提。網(wǎng)絡(luò)安全是指電子商務(wù)交易在網(wǎng)絡(luò)媒介中所存在的安全問(wèn)題，為防止在傳輸過(guò)程中信息的虛假和篡改以及被竊取行為，保證電子商務(wù)交易能夠順利進(jìn)行，網(wǎng)絡(luò)系統(tǒng)為電子商務(wù)的支付交

12、易提供了條件。如果網(wǎng)絡(luò)系統(tǒng)得不到保障(軟件錯(cuò)誤、病毒、黑客入侵等)，就會(huì)導(dǎo)致電子商務(wù)系統(tǒng)不能進(jìn)行正常工作，無(wú)法使信息準(zhǔn)時(shí)、準(zhǔn)確地從發(fā)送者到接受者，這會(huì)帶來(lái)很大的經(jīng)濟(jì)損失。技術(shù)安全是電子商務(wù)支付安全問(wèn)題的核心，通過(guò)不同的網(wǎng)絡(luò)安全技術(shù)和安全標(biāo)準(zhǔn)來(lái)保證電子商務(wù)支付安全，本文提過(guò)的數(shù)字簽名技術(shù)就是一種安全技術(shù)，身份認(rèn)證技術(shù)中的認(rèn)證中心就是執(zhí)行著一定的安全標(biāo)準(zhǔn)而實(shí)行的。還有一些協(xié)議也保證電子商務(wù)支付安全進(jìn)行，例如在線支付協(xié)議。技術(shù)的安全實(shí)現(xiàn)了電子

13、商務(wù)在支付時(shí)的安全保密性與真實(shí)性、完整性與不可抵賴性。2.2電子商務(wù)支付安全問(wèn)題的解決方案根據(jù)本文提到的一些安全問(wèn)題，有以下的解決方案：在硬件安全方面，我們可以提高對(duì)硬件設(shè)施的要求，對(duì)常用于商業(yè)性的網(wǎng)上交易的硬件制定統(tǒng)一的標(biāo)準(zhǔn)；在網(wǎng)絡(luò)安全方面，研發(fā)殺毒軟件或研發(fā)反黑客侵略系統(tǒng)等；在技術(shù)安全方面，完善電子商務(wù)中支付安全技術(shù)，制定嚴(yán)格的安全協(xié)議；在系統(tǒng)安全方面，通過(guò)安全加固，解決管理方面的漏洞等來(lái)增強(qiáng)系統(tǒng)的安全防護(hù)能力。無(wú)線網(wǎng)絡(luò)的發(fā)展隨著計(jì)

14、算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷更新也得到了長(zhǎng)足進(jìn)步越來(lái)越多的用戶使用筆記本電腦或膝上式計(jì)算機(jī)工作商業(yè)用戶由于經(jīng)常往來(lái)于各個(gè)城市之間更需要移動(dòng)辦公因而無(wú)線網(wǎng)絡(luò)非常適合這些用戶的需要。現(xiàn)在應(yīng)用最廣泛的就是基于802.11協(xié)議的無(wú)線局域網(wǎng)技術(shù)。然而由于其傳播媒介是暴露于大氣中通過(guò)空間來(lái)傳播信號(hào)與有線網(wǎng)絡(luò)相比更容易被黑客竊聽(tīng)而獲得重要的信息。因此對(duì)無(wú)線局域網(wǎng)的安全問(wèn)題研究也顯得非常重要然而常規(guī)的無(wú)線局域網(wǎng)安全措施如WEP等都已被證明不再安全所以更多的安全

15、措施也相繼出臺(tái)利用VPN技術(shù)來(lái)實(shí)現(xiàn)無(wú)線局域網(wǎng)的安全保護(hù)就是其中之一。IPSecVPN是目前應(yīng)用最廣泛的方案它可以采用幾乎所有的加密算法被大多數(shù)公司和組織認(rèn)可。但是它也有一些難以解決的問(wèn)題。IPSecVPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價(jià)值在于，它們盡量提高IP環(huán)境的安全性?？蓡?wèn)題在于，部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問(wèn)。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括

16、在運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面。但是IPSecVPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。所以在這種情況下，提出建立整體安全認(rèn)證體系，滿足對(duì)柜員身份認(rèn)證、交易數(shù)據(jù)保密和抗抵賴的需求；同時(shí)，目前該行柜員身份認(rèn)證還依賴于口令方式，同樣存在巨大的安全隱患。因此，基于當(dāng)代的先進(jìn)技術(shù)構(gòu)建該行安全認(rèn)證系統(tǒng)是極為迫切的。目前對(duì)于信息安全局域網(wǎng)絡(luò)一般來(lái)說(shuō)，要求用戶接入局域網(wǎng)就可以訪問(wèn)網(wǎng)

17、絡(luò)上的設(shè)備或資源。但是已有的一些簡(jiǎn)單認(rèn)證或者沒(méi)有認(rèn)證系統(tǒng)網(wǎng)絡(luò)從運(yùn)營(yíng)和控制管理的角度可看出這種模式存在用戶管理安全性問(wèn)題。用戶沒(méi)有帳戶密碼，只能通過(guò)簡(jiǎn)單的捆綁MAC地址與IP地址來(lái)管理，這樣信息安全就能夠得到極大地保護(hù)。3電子商務(wù)中的支付安全管理問(wèn)題除了電子商務(wù)中技術(shù)、網(wǎng)絡(luò)、硬件、系統(tǒng)安全問(wèn)題的解決，我們還通過(guò)支付全過(guò)程的安全管理來(lái)完善電子商務(wù)支付安全系統(tǒng)。要加強(qiáng)電子商務(wù)支付安全系統(tǒng)，首先要對(duì)信息進(jìn)行安全建設(shè)，規(guī)劃性的管理。然后建設(shè)管理單

18、位對(duì)安全功能進(jìn)行測(cè)試。最后要對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)，降低支付安全問(wèn)題的發(fā)生。除此之外網(wǎng)絡(luò)處在不斷調(diào)整中，會(huì)不斷出現(xiàn)新的安全隱患，要建立一個(gè)動(dòng)態(tài)的、閉環(huán)的管理流程。在整體安全策略的指導(dǎo)下，及時(shí)了解網(wǎng)絡(luò)支付中存在的安全隱患問(wèn)題，根據(jù)網(wǎng)絡(luò)中所存在的一些安全隱患問(wèn)題，制定出相應(yīng)的安全方案，將系統(tǒng)調(diào)制到一個(gè)相對(duì)安全的狀態(tài)，這就是電子商務(wù)中支付安全問(wèn)題的管理。總而言之，本文分析了電子商務(wù)中身份認(rèn)證技術(shù)的一般方式，總結(jié)了電子商務(wù)中身份認(rèn)證的技術(shù)流程，通過(guò)

19、了解電子商務(wù)中支付過(guò)程中存在的一些安全隱患，提出了相應(yīng)的解決辦法。通過(guò)對(duì)知識(shí)點(diǎn)的綜合，提出了電子商務(wù)支付安全問(wèn)題解決的管理方式，保證了電子商務(wù)中支付問(wèn)題發(fā)生概率的減小。電子商務(wù)中安全支付問(wèn)題的解決和完善，為電子商務(wù)的發(fā)展帶來(lái)了很大的前進(jìn)空間。參考文獻(xiàn)[1]高建華.電子商務(wù)安全技術(shù)分析與研究[J].計(jì)算機(jī)與數(shù)字工程2007(2).[2]張慧.數(shù)字簽名在電子商務(wù)中的應(yīng)用[J].湖北教育學(xué)院學(xué)報(bào)2005(2).[3]王茜楊德禮.電子商務(wù)的安全

20、體系結(jié)構(gòu)及技術(shù)研究[J].計(jì)算機(jī)工程2003(01).[4]殷國(guó)宴.電子商務(wù)中的身份認(rèn)證技術(shù)研究[D].西安電子科技大學(xué)2006.發(fā)展的需求，對(duì)知識(shí)產(chǎn)權(quán)法律進(jìn)行修訂是我們必須盡快著手的內(nèi)容。同時(shí)，由于全球經(jīng)濟(jì)一體化的開(kāi)展，參與國(guó)際知識(shí)產(chǎn)權(quán)保護(hù)條約，維護(hù)我國(guó)電子商務(wù)在國(guó)際上的利益也必不可少。我國(guó)已經(jīng)參與了伯爾尼公約和日內(nèi)瓦公約，于1994年簽署TRIPS協(xié)議并與美國(guó)等多個(gè)國(guó)家達(dá)成了關(guān)于貿(mào)易發(fā)展的雙邊或多邊協(xié)議。我國(guó)立法機(jī)關(guān)在進(jìn)行著作權(quán)法的

21、相關(guān)修訂時(shí)清醒地認(rèn)識(shí)到了國(guó)際知識(shí)產(chǎn)權(quán)保護(hù)的發(fā)展趨勢(shì)，密切注視電子商務(wù)等技術(shù)的新發(fā)展，并在立法中予以體現(xiàn)。我們希望依據(jù)電子商務(wù)發(fā)展的現(xiàn)實(shí)狀況，在著作權(quán)法等的具體修訂中著重加入一些內(nèi)容，包括數(shù)據(jù)信息在電子作品中的復(fù)制權(quán)，表演者公開(kāi)再現(xiàn)表演和通過(guò)網(wǎng)絡(luò)等進(jìn)行聲音或者表演傳送行為或作品的知識(shí)產(chǎn)權(quán)保護(hù)。參考文獻(xiàn)[1]鄧宏光.商標(biāo)法的理論基礎(chǔ)[M].北京:法律出版社2008(2).[2]王遷.知識(shí)產(chǎn)權(quán)法教程[M].北京:中國(guó)人民大學(xué)出版社2007.(