也談電子商務(wù)環(huán)境下身份認(rèn)證系統(tǒng)的應(yīng)用①

淮陰工學(xué)院經(jīng)濟(jì)管理學(xué)院 董紹斌

1995年以來，隨著以Web技術(shù)為代表的信息發(fā)布系統(tǒng)爆炸式地成長，Internet逐漸成為我們這個(gè)信息化社會(huì)的神經(jīng)系統(tǒng)，“宅經(jīng)濟(jì)”悄然興起，電子商務(wù)時(shí)代撲面而來。

1 電子商務(wù)

基于對(duì)電子商務(wù)的不同理解，人們對(duì)電子商務(wù)的定義有所不同，但總體來說，電子商務(wù)是依托互聯(lián)網(wǎng)進(jìn)行的，以數(shù)據(jù)電訊(DATAMESSAGE，包括計(jì)算機(jī)網(wǎng)絡(luò)和各種電訊方式)為交易手段，以因特網(wǎng)為運(yùn)行平臺(tái)，買賣雙方在“不謀面”地情況下進(jìn)行各種商貿(mào)活動(dòng)的觀點(diǎn)已達(dá)成共識(shí)。電子商務(wù)正以高效、快捷、 便利、無國界、無時(shí)差的商務(wù)活動(dòng)形式影響著我們的社會(huì)生活。

據(jù)美國著名的高科技市場(chǎng)研究機(jī)構(gòu)Forrester Research發(fā)布的調(diào)查報(bào)告顯示，2010年美國電子商務(wù)銷售額同比增長了12.6%，實(shí)現(xiàn)銷售額1760億美元，同時(shí)該研究機(jī)構(gòu)還預(yù)測(cè)在今后5年內(nèi)，這一銷售額年度增長率將保持在10%左右，并由此預(yù)計(jì)2015年時(shí)的美國電子商務(wù)銷售額將達(dá)到2790億美元，電子商務(wù)已成為美國國民經(jīng)濟(jì)增長的重要支點(diǎn)。

相對(duì)美國而言，我國電子商務(wù)起步較晚，但隨著2010年10月10日，國務(wù)院發(fā)布的《國務(wù)院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定》，尤其是由國家工信部牽頭、發(fā)改委等9部委聯(lián)合制定的《電子商務(wù)“十二五”規(guī)劃》(初稿)的出爐，我國電子商務(wù)發(fā)展馳入了快車道。

據(jù)相關(guān)機(jī)構(gòu)的調(diào)查數(shù)據(jù)顯示，2010年，我國電子商務(wù)行業(yè)的融資總額已高達(dá)10億美元，電子商務(wù)做為最富有活力和前景的新型信息服務(wù)業(yè)，正逐步向經(jīng)濟(jì)主流和商務(wù)核心方向延伸，進(jìn)行電子商務(wù)的主體已由主要是IT廠商、媒體和電子商務(wù)服務(wù)商，進(jìn)而轉(zhuǎn)向?yàn)殡娮由虅?wù)企業(yè)，大批傳統(tǒng)制造業(yè)、密集型生產(chǎn)企業(yè)開始大規(guī)模進(jìn)入電子商務(wù)領(lǐng)域，有專家預(yù)言，在未來的5～10年，中國的電子商務(wù)將遍地開花，不斷走向繁榮。

2 電子商務(wù)的安全交易問題

隨著電子商務(wù)的迅猛發(fā)展，電子商務(wù)這種新型的經(jīng)濟(jì)模式，以其全新的企業(yè)經(jīng)營理念、經(jīng)營手段、經(jīng)營環(huán)境吸引著越來越多的人通過Internet參與進(jìn)來，并享受著電子商務(wù)帶來的高效、便捷和方便。

然而，隨著電子商務(wù)應(yīng)用范圍的日益擴(kuò)大，針對(duì)電子商務(wù)的各種犯罪活動(dòng)也日益猖獗起來，信息盜用問題日益緊迫。電子商務(wù)的安全問題引起了人們的普遍關(guān)注。

2.1 身份認(rèn)證帶來的交易風(fēng)險(xiǎn)

我們知道，電子商務(wù)業(yè)務(wù)系統(tǒng)架構(gòu)是在基于ca 體系的安全基礎(chǔ)之上的，業(yè)務(wù)系統(tǒng)主要采用對(duì)稱加密、密鑰加密的方式傳送信息，這樣，身份認(rèn)證問題就是一個(gè)關(guān)鍵，因此，針對(duì)身份的犯罪手段層出不窮，大家都熟知的，發(fā)生于2010年8月7日山東農(nóng)業(yè)銀行鄆城支行的在ATM插卡口安裝盜碼裝置案件，就是一個(gè)明顯的例子，即使像美國花旗銀行這樣著名的銀行也曾蒙受因身份認(rèn)證問題而導(dǎo)致的損失。正如Verisign執(zhí)行主席James Bidzos所言：“今天我們面臨的挑戰(zhàn)將會(huì)是不同于以往的，身份也會(huì)變得至關(guān)重要”。

2.2 電子商務(wù)中如何規(guī)避由于身份認(rèn)證問題帶來的交易風(fēng)險(xiǎn)

我們知道，“素昧平生”的買賣雙方，在不謀面的情況下達(dá)成交易，依賴的是互聯(lián)網(wǎng)的開放性，然而，正如“成也蕭何，敗也蕭何”，身份認(rèn)證問題的出現(xiàn)也正是開放性所至。

電子商務(wù)環(huán)境下，身份認(rèn)證需包含三個(gè)基本內(nèi)容，第一個(gè)是客戶身份認(rèn)證內(nèi)容、第二個(gè)是客戶擁有的特殊認(rèn)證加強(qiáng)機(jī)制、第三個(gè)是客戶本身的惟一特征。

為保證電子商務(wù)活動(dòng)過程中系統(tǒng)的安全性，正確進(jìn)行身份認(rèn)證，人們通常是通過使用加密手段來達(dá)到該目的。

2.2.1 采用PKI技術(shù)，實(shí)現(xiàn)安全的身份認(rèn)證和數(shù)據(jù)加密功能

PKI技術(shù)主要的加密手段是基于公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)，通過第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶的身份，同時(shí)，PKI體系結(jié)構(gòu)能夠?qū)⒐€密碼和對(duì)稱密碼結(jié)合起來，在Internet網(wǎng)上實(shí)現(xiàn)對(duì)密鑰的自動(dòng)管理，以確保網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性和真實(shí)性。

PKI技術(shù)是基于公私鑰密碼體系的一種身份認(rèn)證技術(shù)，主要應(yīng)用于網(wǎng)上銀行領(lǐng)域。在電子商務(wù)中，如果我們希望在網(wǎng)上開立網(wǎng)上銀行帳戶，您會(huì)發(fā)現(xiàn)，目前網(wǎng)上銀行的網(wǎng)站都是簽定HTTPS協(xié)議，而不再是HTTP協(xié)議，后面多出的這個(gè)“S”就是代表安全的意思，該協(xié)議以PKI技術(shù)為支撐，通過為每一個(gè)用戶分配一個(gè)私鑰和一個(gè)公鑰證書，來實(shí)現(xiàn)安全的身份認(rèn)證和數(shù)據(jù)加密功能。

PKI技術(shù)目前已比較成熟，但受到成本和易用性的制約，并不是很大眾化的身份認(rèn)證問題解決的最佳方案。

2.2.2 采用雙因素身份認(rèn)證技術(shù)確保交易身價(jià)的準(zhǔn)確性

所謂“雙因素”是密碼學(xué)的一個(gè)概念，指將多種因素結(jié)合來進(jìn)行身份認(rèn)證。雙因素身份認(rèn)證由基本身份認(rèn)證和附加身份認(rèn)證組成。

(1)基本身份認(rèn)證?；旧矸菡J(rèn)證的事項(xiàng)只有兩個(gè)，即客戶在注冊(cè)時(shí)自己預(yù)先設(shè)置的用戶名及密碼。

進(jìn)行基本身份認(rèn)證往往是通過密碼確認(rèn)，這種用戶名/密碼的身份認(rèn)證方法，是基于“what you know”的驗(yàn)證手段，實(shí)際應(yīng)用中，人們往往為了便于記憶，會(huì)采用如生日之類的容易被他人猜到的有意義的字符串作為密碼，極易造成密碼泄露。同時(shí)，由于密碼是靜態(tài)的數(shù)據(jù),且在驗(yàn)證過程中，需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸,而每次驗(yàn)證過程使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此用戶名/密碼方式是一種極不安全的身份認(rèn)證方式。

(2)附加身份的認(rèn)證。附加身份的認(rèn)證內(nèi)容是客戶持有、保管并使用的可實(shí)現(xiàn)身份認(rèn)證方式的信息，如手機(jī)號(hào)碼等物理介質(zhì)或電子設(shè)備，這類信息不易被復(fù)制、修改和破解。從技術(shù)上來說，附加身份認(rèn)證包括數(shù)字證書(USB Key)、動(dòng)態(tài)密碼(令牌、密碼卡、刮刮卡)、生物認(rèn)證(虹膜、指紋等)等手段。

鑒于各類技術(shù)有應(yīng)用中的實(shí)際問題，如生物認(rèn)證手段中的虹膜和指紋的采集比對(duì)，具有較高的實(shí)施難度，因此從安全與可行的相對(duì)平衡點(diǎn)出發(fā)，采用動(dòng)態(tài)口令技術(shù)更為安全適用。

動(dòng)態(tài)口令技術(shù)是相對(duì)傳統(tǒng)的靜態(tài)口令技術(shù)而言的，我們知道單純的靜態(tài)密碼作為對(duì)客戶的身份認(rèn)證方式，已不足以防止身份密碼的丟失，甚至成為犯罪分子成功盜取客戶資金的一把鑰匙，因此，動(dòng)態(tài)口令技術(shù)應(yīng)運(yùn)而生。動(dòng)態(tài)口令技術(shù)其基本思路是把用戶記憶的口令變成用戶持有的設(shè)備生成的口令，并且不斷變化。以避免由于如木馬病毒等惡意程序引發(fā)的密碼丟失問題。但是，由于用戶在交易過程中每次使用的密碼必須由動(dòng)態(tài)令牌來產(chǎn)生,因此必須依賴于收發(fā)口令的硬件設(shè)施，如果客戶端硬件與服務(wù)器端程序的時(shí)間或次數(shù)不能保持良好的同步，就必然出現(xiàn)合法用戶也無法登錄的問題，所以，具有易用、低成本和便攜性的手機(jī)軟件動(dòng)態(tài)口令，應(yīng)該是身份認(rèn)證的一個(gè)發(fā)展方向。

數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份及他對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限，并據(jù)此進(jìn)行相關(guān)交易操作，以確保交易雙方身份的真實(shí)性。數(shù)字證書的發(fā)放是由具有權(quán)威性和公正性的第三方來完成的。認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)，因此，交易雙方不必?fù)?dān)心雙方身份的真?zhèn)巍?/p>

2.3 采用一次性密碼卡技術(shù)確保交易帳戶的安全

一次性密碼卡技術(shù)是將一些隨機(jī)的數(shù)字密碼預(yù)先印刷在一張卡片上，用戶登錄時(shí)拿出一個(gè)來使用，然后這個(gè)密碼就失效了，再次登錄時(shí)再使用另外一個(gè)密碼，直到一張卡上的密碼全部使用完畢，再換新卡。

這種技術(shù)可以符合密碼學(xué)里“一次一密”的思想，可以說是最完美的，遺憾的是這種方式用戶需要經(jīng)常去換卡，最大的問題就是麻煩。

2.4 采用數(shù)字簽名方式，確保交易安全

數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一，它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)，實(shí)踐中有多種實(shí)現(xiàn)數(shù)字簽名的方法，但采用較多的是公開密鑰算法。

公開密鑰算法是用戶在提交定單和個(gè)人賬號(hào)信息的同時(shí)，生成一個(gè)私鑰和證書，即可以對(duì)傳遞的重要數(shù)據(jù)需要簽署的信息進(jìn)行數(shù)字簽名，然后把該賬號(hào)連同生成的證書和對(duì)該文件的簽名文件作為一個(gè)簽名文件包傳輸給接受方。接受方獲得發(fā)送方的簽名賬號(hào)信息后，要求首先到某個(gè)可以信任的ca中心“公鑰初始化簽名對(duì)象”去驗(yàn)證該證書的合法性，以確定發(fā)送方所宣稱的身份是否可信。如果確認(rèn)為可信，則可以用證書中所包含的公鑰來驗(yàn)證傳輸來的文件是否為發(fā)送方所簽署的，即調(diào)用verify(signature)來驗(yàn)簽。同時(shí)，也有人采用消息摘要的方法進(jìn)行加密，所謂信息摘要，也稱Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值。它由單向Hash加密算法對(duì)所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數(shù)字指紋”(Digital Fingerprint)。所謂單向是指不能被解密，不同的明文摘要成密文，其結(jié)果是絕不會(huì)相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了。這種加密系統(tǒng)，是今后可能大規(guī)模普及的下一代互聯(lián)網(wǎng)身份認(rèn)證技術(shù)之一。

總之，電子商務(wù)因?qū)鹘y(tǒng)的交易流程電子化、數(shù)據(jù)化，使商務(wù)活動(dòng)突破了時(shí)間和空間的限制，因而獲得了遠(yuǎn)大的發(fā)展前景而充滿活力，也正因如此，電子商務(wù)交易也隨時(shí)面臨著巨大的交易風(fēng)險(xiǎn)?！澳栏≡颇鼙稳铡?，只要我們掌握正確的加密手段，交易風(fēng)險(xiǎn)是完全可以避免的。

[1]高建華.電子商務(wù)安全技術(shù)分析與研究[J].計(jì)算機(jī)與數(shù)字工程,2007(02).

[2]蘭麗娜,劉辛越.電子商務(wù)安全體系研究[J].學(xué)術(shù)研究,2007(04).

[3]謝紅燕.電子商務(wù)的安全問題及對(duì)策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版).2007(06).

[4]張慧.數(shù)字簽名在電子商務(wù)中的應(yīng)用[J].湖北教育學(xué)院學(xué)報(bào),2005(02).