電子商務(wù)中的身份認(rèn)證技術(shù)及安全支付研究

廣西工商職業(yè)技術(shù)學(xué)院 呂玉珠

電子商務(wù)的安全問題的首要防線是身份認(rèn)證技術(shù)，身份認(rèn)證技術(shù)包括身份識別和身份鑒別技術(shù)。身份識別是用戶向系統(tǒng)出示屬于自己身份證明的一個過程，身份鑒別則是系統(tǒng)通過用戶所提供的證明，核查用戶身份的過程，驗證用戶提供的證明是否和系統(tǒng)存儲的用戶資料相符，從而來確定用戶是否可以存在其他請求資源的存儲權(quán)與使用權(quán)。

1 電子商務(wù)中身份認(rèn)證技術(shù)方法和實現(xiàn)過程

目前我國采用的身份認(rèn)證技術(shù)方法主要是認(rèn)證中心體系，認(rèn)證中心體系是將公鑰簽發(fā)證書給用戶，用來實現(xiàn)證明公鑰的分發(fā)與有效性。通過對認(rèn)證中心體系的研究，來研究身份認(rèn)證技術(shù)的方法和實現(xiàn)的過程。以下對認(rèn)證中心體系的包含元素進行探討。

1.1 電子商務(wù)中身份認(rèn)證技術(shù)方法

(1)數(shù)字證書：依照聯(lián)合國制定的電子簽字示范法中的第一條規(guī)定，證書是可以證實簽字人與簽字生成證據(jù)有聯(lián)系的其他記錄或者是某一數(shù)據(jù)電文。在電子商務(wù)交易支付中，買賣雙方為了證明自己的身份，是要通過第三方的認(rèn)證來進行身份的識別。而數(shù)字證書就是買賣雙方的身份證明，其中含有證書申請者的個人信息與公開密鑰的文件。數(shù)字證書是確定買賣雙方身份的工具，每一個數(shù)字證書都由證書管理中心做了獨一無二代表客戶身份的數(shù)字簽名，任何第三方都不能夠?qū)⒆C書中的內(nèi)容進行修改。只有申請數(shù)字證書，交易者才能進入電子商務(wù)的網(wǎng)上交易過程。

(2)數(shù)字信封：通過私密密鑰加密技術(shù)對將要發(fā)送的信息進行加密被稱之為數(shù)字信封技術(shù)，又使用公開密鑰加密技術(shù)對私密密鑰進行加密的過程，它集合了公開密鑰加密技術(shù)和私密加密密鑰技術(shù)的優(yōu)勢，可以保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

(3)數(shù)字時間戳：數(shù)字時間戳是對交易文件中的日期和時間采取保密處理，數(shù)字時間戳服務(wù)是可以為電子文件發(fā)表時間提供安全的保護，數(shù)字時間戳服務(wù)是一項由專門機構(gòu)所提供的安全服務(wù)項目。它主要包含需要時間戳文件的摘要和數(shù)字簽名，所收到文件的時間和日期。

(4)智能卡：智能卡是集存儲數(shù)據(jù)和存儲數(shù)據(jù)能力，對數(shù)據(jù)進行處理過程對數(shù)據(jù)加密解密功能的智能集成電路卡，它對數(shù)字簽名和數(shù)字簽名的驗證。智能卡在電子商務(wù)系統(tǒng)中有著戰(zhàn)略性的作用，減輕了客戶端系統(tǒng)的負(fù)擔(dān)，它能夠承擔(dān)對信息的加密解密、簽名及對簽名的驗證等。同時，智能卡是私人密鑰和數(shù)字證書的載體，能夠識別持卡人是否為合法使用者的同時，還可以通過對智能卡的改動來對用戶密碼的改變。這些功能使智能卡成為了用戶的身份識別和接入的身份認(rèn)證技術(shù)。

(5)數(shù)字摘要：通過單向Hash函數(shù)對文件中的若干重要元素進行某種變換運算被稱之為數(shù)字摘要，得到固定長度的摘要碼，在傳輸信息時加入文件送給接收方，接收方以相同的方法進行變換運算，如果得到的結(jié)果和發(fā)送來的摘要碼一樣，就可以判斷文件沒有被篡改，反之亦然。

(6)數(shù)字簽名：數(shù)字簽名技術(shù)是運用公開密鑰密碼體制，使用一對不對稱，卻又相互匹配的密鑰來實現(xiàn)加密和解密技術(shù)。數(shù)字簽名的運用可以保證信息安全從發(fā)送方傳輸?shù)浇邮辗剑型静槐徊环ǚ肿痈?。所以?shù)字簽名技術(shù)被電子商務(wù)交易中身份認(rèn)證所采用。

(7)認(rèn)證中心：認(rèn)證中心是認(rèn)證中心體系的核心，是進行客戶身份認(rèn)證的場所，主要職責(zé)是數(shù)字憑證的管理、數(shù)字憑證的申請和簽發(fā)。認(rèn)證中心是嚴(yán)格按照認(rèn)證操作規(guī)定來實施服務(wù)的，它是買賣雙方的中介機構(gòu)。在電子商務(wù)進行交易時，交易雙方可以請求認(rèn)證中心對此進行認(rèn)證。

1.2 電子商務(wù)中身份認(rèn)證的實現(xiàn)過程

電子商務(wù)中身份認(rèn)證的實現(xiàn)過程實質(zhì)是用戶數(shù)字簽名的認(rèn)證過程，用戶在進行網(wǎng)上交易的時候，提交訂單信息和個人賬戶信息之后會生成一個私鑰和證書，認(rèn)證中心就會根據(jù)訂單信息和用戶的個人賬戶信息生成的私鑰和證書進行數(shù)字簽名，將數(shù)字簽名文件包和用戶個人賬號信息以及生成的證書傳輸給接收方。

接收方獲得發(fā)送方的數(shù)字簽名賬號信息后，首先要到認(rèn)證中心去檢驗該證書是否合法，從而確定接受的信息與信息發(fā)送者的身份是否具有真實性。如果是真實的信息，還要用證書中包含的公鑰來檢驗接受的文件是否是發(fā)送方簽署的。

接收方驗證發(fā)送方簽署的文件包后，重復(fù)類似于簽名的操作步驟，不同點在于需要用證書里的公鑰對于簽名對象進行初始化，最后要調(diào)用verify(signature)來檢驗簽名，這樣可以便于用戶對其進行擴展和重用代碼.電子商務(wù)中身份認(rèn)證的實現(xiàn)過程為電子商務(wù)網(wǎng)上交易的安全保駕護航，是保證電子商務(wù)快速發(fā)展的有力保證。一般認(rèn)證實現(xiàn)過程如圖1所示：

圖1 認(rèn)證過程結(jié)構(gòu)圖

2 電子商務(wù)安全支付問題及解決方案

電子商務(wù)是通過電信網(wǎng)絡(luò)進行的商業(yè)活動，電信網(wǎng)絡(luò)是電子商務(wù)的載體，由于網(wǎng)絡(luò)的開放性，這就導(dǎo)致了電子商務(wù)網(wǎng)上支付的安全隱患問題。

2.1 電子商務(wù)支付的安全問題

電子商務(wù)發(fā)展的關(guān)鍵問題就在于安全支付問題，安全支付問題的解決可以使電子商務(wù)得到迅速發(fā)展，這是我總結(jié)的一些支付安全問題：硬件設(shè)施的安全，網(wǎng)絡(luò)的安全，技術(shù)的安全，系統(tǒng)的安全。

硬件的安全可以是系統(tǒng)資源(主機、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘)、通信電路及其他的一些硬件設(shè)備的安全性，硬件安全是電子商務(wù)支付安全問題的首要前提。

網(wǎng)絡(luò)安全是指電子商務(wù)交易在網(wǎng)絡(luò)媒介中所存在的安全問題，為防止在傳輸過程中信息的虛假和篡改以及被竊取行為，保證電子商務(wù)交易能夠順利進行，網(wǎng)絡(luò)系統(tǒng)為電子商務(wù)的支付交易提供了條件。如果網(wǎng)絡(luò)系統(tǒng)得不到保障(軟件錯誤、病毒、黑客入侵等)，就會導(dǎo)致電子商務(wù)系統(tǒng)不能進行正常工作，無法使信息準(zhǔn)時、準(zhǔn)確地從發(fā)送者到接受者，這會帶來很大的經(jīng)濟損失。

技術(shù)安全是電子商務(wù)支付安全問題的核心，通過不同的網(wǎng)絡(luò)安全技術(shù)和安全標(biāo)準(zhǔn)來保證電子商務(wù)支付安全，本文提過的數(shù)字簽名技術(shù)就是一種安全技術(shù)，身份認(rèn)證技術(shù)中的認(rèn)證中心就是執(zhí)行著一定的安全標(biāo)準(zhǔn)而實行的。還有一些協(xié)議也保證電子商務(wù)支付安全進行，例如在線支付協(xié)議。技術(shù)的安全實現(xiàn)了電子商務(wù)在支付時的安全保密性與真實性、完整性與不可抵賴性。

2.2 電子商務(wù)支付安全問題的解決方案

根據(jù)本文提到的一些安全問題，有以下的解決方案：在硬件安全方面，我們可以提高對硬件設(shè)施的要求，對常用于商業(yè)性的網(wǎng)上交易的硬件制定統(tǒng)一的標(biāo)準(zhǔn)；在網(wǎng)絡(luò)安全方面，研發(fā)殺毒軟件或研發(fā)反黑客侵略系統(tǒng)等；在技術(shù)安全方面，完善電子商務(wù)中支付安全技術(shù)，制定嚴(yán)格的安全協(xié)議；在系統(tǒng)安全方面，通過安全加固，解決管理方面的漏洞等來增強系統(tǒng)的安全防護能力。

無線網(wǎng)絡(luò)的發(fā)展隨著計算機和網(wǎng)絡(luò)技術(shù)的不斷更新也得到了長足進步,越來越多的用戶使用筆記本電腦或膝上式計算機工作,商業(yè)用戶由于經(jīng)常往來于各個城市之間更需要移動辦公,因而無線網(wǎng)絡(luò)非常適合這些用戶的需要?，F(xiàn)在應(yīng)用最廣泛的就是基于802.11協(xié)議的無線局域網(wǎng)技術(shù)。然而由于其傳播媒介是暴露于大氣中,通過空間來傳播信號,與有線網(wǎng)絡(luò)相比更容易被黑客竊聽而獲得重要的信息。因此對無線局域網(wǎng)的安全問題研究也顯得非常重要,然而常規(guī)的無線局域網(wǎng)安全措施如WEP等都已被證明不再安全,所以更多的安全措施也相繼出臺,利用VPN技術(shù)來實現(xiàn)無線局域網(wǎng)的安全保護就是其中之一。IPSec VPN是目前應(yīng)用最廣泛的方案,它可以采用幾乎所有的加密算法,被大多數(shù)公司和組織認(rèn)可。但是它也有一些難以解決的問題。IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的安全性。可問題在于，部署IPSec需要對基礎(chǔ)設(shè)施進行重大改造，以便遠(yuǎn)程訪問。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運行和長期維護兩個方面。但是IPSec VPN最大的難點在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。所以在這種情況下，提出建立整體安全認(rèn)證體系，滿足對柜員身份認(rèn)證、交易數(shù)據(jù)保密和抗抵賴的需求；同時，目前該行柜員身份認(rèn)證還依賴于口令方式，同樣存在巨大的安全隱患。因此，基于當(dāng)代的先進技術(shù)構(gòu)建該行安全認(rèn)證系統(tǒng)是極為迫切的。

目前對于信息安全局域網(wǎng)絡(luò)一般來說，要求用戶接入局域網(wǎng)就可以訪問網(wǎng)絡(luò)上的設(shè)備或資源。但是已有的一些簡單認(rèn)證或者沒有認(rèn)證系統(tǒng)網(wǎng)絡(luò)從運營和控制管理的角度可看出這種模式存在用戶管理安全性問題。用戶沒有帳戶密碼，只能通過簡單的捆綁MAC地址與 IP 地址來管理，這樣信息安全就能夠得到極大地保護。

3 電子商務(wù)中的支付安全管理問題

除了電子商務(wù)中技術(shù)、網(wǎng)絡(luò)、硬件、系統(tǒng)安全問題的解決，我們還通過支付全過程的安全管理來完善電子商務(wù)支付安全系統(tǒng)。

要加強電子商務(wù)支付安全系統(tǒng)，首先要對信息進行安全建設(shè)，規(guī)劃性的管理。然后建設(shè)管理單位對安全功能進行測試。最后要對系統(tǒng)進行運行維護，降低支付安全問題的發(fā)生。除此之外網(wǎng)絡(luò)處在不斷調(diào)整中，會不斷出現(xiàn)新的安全隱患，要建立一個動態(tài)的、閉環(huán)的管理流程。在整體安全策略的指導(dǎo)下，及時了解網(wǎng)絡(luò)支付中存在的安全隱患問題，根據(jù)網(wǎng)絡(luò)中所存在的一些安全隱患問題，制定出相應(yīng)的安全方案，將系統(tǒng)調(diào)制到一個相對安全的狀態(tài)，這就是電子商務(wù)中支付安全問題的管理。

總而言之，本文分析了電子商務(wù)中身份認(rèn)證技術(shù)的一般方式，總結(jié)了電子商務(wù)中身份認(rèn)證的技術(shù)流程，通過了解電子商務(wù)中支付過程中存在的一些安全隱患，提出了相應(yīng)的解決辦法。通過對知識點的綜合，提出了電子商務(wù)支付安全問題解決的管理方式，保證了電子商務(wù)中支付問題發(fā)生概率的減小。電子商務(wù)中安全支付問題的解決和完善，為電子商務(wù)的發(fā)展帶來了很大的前進空間。

[1]高建華.電子商務(wù)安全技術(shù)分析與研究[J].計算機與數(shù)字工程,2007(2).

[2]張慧.數(shù)字簽名在電子商務(wù)中的應(yīng)用[J].湖北教育學(xué)院學(xué)報,2005(2).

[3]王茜,楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究[J].計算機工程,2003(01).

[4]殷國宴.電子商務(wù)中的身份認(rèn)證技術(shù)研究[D].西安電子科技大學(xué),2006.