王文佳

摘要：隨著中國加入WTO，朝鮮半島形勢變化，丹東地區(qū)的中小企業(yè)面臨著新挑戰(zhàn)和新的發(fā)展機遇。為此，應該注重電子商務(wù)的發(fā)展，集中精力設(shè)計完成一套適合的電子商務(wù)安全機制，為經(jīng)濟發(fā)展營造一個良好的商務(wù)氛圍。

關(guān)鍵詞：電子商務(wù)；安全機制；策略；身份認證

中圖分類號：F127文獻標識碼：A

文章編號：1005-913X（2014）07-0061-02

一、引言

隨著Internet和電子商務(wù)的廣泛應用，丹東地區(qū)中小企業(yè)的生產(chǎn)和經(jīng)營方式發(fā)生著深刻的改變，對網(wǎng)絡(luò)尤其是電子商務(wù)各個領(lǐng)域的應用安全關(guān)注越來越高。而丹東地區(qū)中小企業(yè)的電子商務(wù)市場在近年來取得了巨大的成績，市場理論研究和社會宣傳不斷深入。與其他商品交易相比，電子商務(wù)具有獨特的經(jīng)濟功能，對社會經(jīng)濟發(fā)展重要的現(xiàn)實意義。但是，丹東地區(qū)中小企業(yè)消費者在享受電子商務(wù)帶來的便捷時，同樣需要面對隨之產(chǎn)生的各種問題，例如：欺詐問題、行為問題等諸多信息不確定的問題。傳統(tǒng)市場中，各類法律法規(guī)是市場的主要保障機制，而電子商務(wù)作為一種新生事物，本身具有互聯(lián)網(wǎng)的匿名性、開放性等特點，在注冊方式、操作方式、履約方式等方面都存在著巨大的差異，傳統(tǒng)的法律法規(guī)很難實現(xiàn)對網(wǎng)絡(luò)交易的規(guī)范、保障。[1]同時，電子商務(wù)發(fā)展面臨諸多的安全問題：[2]電子商務(wù)系統(tǒng)硬件安全、電子商務(wù)系統(tǒng)軟件安全、電子商務(wù)系統(tǒng)運行安全、電子商務(wù)安全立法、身份識別等。

因此，研究科學、合理的電子商務(wù)交易的安全機制，對于建立、完善丹東地區(qū)電子商務(wù)市場，為本地區(qū)電子商務(wù)發(fā)展營造一個較為寬松的信用環(huán)境，推動電子商務(wù)市場的健康發(fā)展有著重要的實用價值。

二、安全機制的框架結(jié)構(gòu)

電子商務(wù)的交易安全機制的框架結(jié)構(gòu)，從交易活動的角度可以分為交易前期、交易中期和交易后期。

在交易前期，客戶通過客戶端瀏覽器登錄電子商務(wù)網(wǎng)站，通過防火墻的過濾和檢查連接到網(wǎng)站后臺系統(tǒng)服務(wù)器，進行身份認證，即對客戶的身份進行識別和確認，以便授權(quán)其參與交易活動。無論是新用戶還是老用戶，經(jīng)過認證中心(CA)身份確認后，即可得到電子商務(wù)網(wǎng)站授權(quán)，以某一固定角色的身份進入交易活動中，從事拍賣活動。

在交易中期，客戶充當某角色的參與者進行交易活動，系統(tǒng)會根據(jù)其歷史交易記錄和當前交易數(shù)據(jù)對其行為進行分析，具體包括：對其信任度進行評估，即對參與者的信譽狀況進行考察，為其交易伙伴提供交易參考依據(jù)；對其行為進行欺詐識別，即對參與者在交易時的行為進行分析，識別不端行為，為交易者提供安全、公平、公正的交易平臺；對其當前交易活動進行確認，即經(jīng)過認證中心(CA)認證后的不可否認業(yè)務(wù)，使參與者不能恣意毀約等。

在交易后期，客戶參與的交易活動進入結(jié)尾階段，在結(jié)束前任需對交易參與者的行為進行分析，具體包括：網(wǎng)上支付，即通過第三方支付網(wǎng)關(guān)支付貨款；信任反饋評分，即交易者對交易伙伴的信譽狀況進行評分，為今后的交易者提供參考依據(jù)；服務(wù)保障，即為交易者所提供安全保障措施等。

交易中所有的數(shù)據(jù)、記錄會及時的存儲如電子商務(wù)網(wǎng)站的后臺數(shù)據(jù)庫，以便為日后的交易提供信息參考、方便網(wǎng)站的管理。

三、體系結(jié)構(gòu)

從電子商務(wù)的業(yè)務(wù)角度來看，網(wǎng)站相當于一個媒介，買方、賣方、網(wǎng)上銀行均得通過電子商務(wù)網(wǎng)站這個平臺進行交易。首先，無論是買方還是賣方，都需獲得網(wǎng)站的認可，方可進行交易，交易者在登陸網(wǎng)站后，可以注冊交易用戶或過客，在得到網(wǎng)站所授予的權(quán)限和角色后，可以實現(xiàn)該權(quán)限和角色所能賦予的權(quán)利；其次，網(wǎng)上銀行與網(wǎng)站之間，需要互相鑒別之后建立交易聯(lián)系，其中實現(xiàn)鑒別、監(jiān)督、管理等相關(guān)工作的中介為第三方機構(gòu)；再次，交易者必須在得到網(wǎng)上銀行的審核后，擁有自己的獨立可支付賬戶，去完成網(wǎng)絡(luò)交易，并受網(wǎng)上銀行的監(jiān)督、管理及保障；最后交易者在交易前，必須通過自身本地計算機加密服務(wù)提供者建立自己的公/私鑰，申請CA認證并獲得相關(guān)證書及權(quán)益。

一個安全的交易機制，從其體系結(jié)構(gòu)來看，由于電子商務(wù)網(wǎng)站是基于互聯(lián)網(wǎng)的，并且互聯(lián)網(wǎng)具有開放性的特征，則交易安全機制必須在互聯(lián)網(wǎng)和內(nèi)部業(yè)務(wù)系統(tǒng)之間構(gòu)建一道安全屏障，防止非法入侵者對系統(tǒng)數(shù)據(jù)的破壞。這道安全屏障采用防火墻技術(shù)，[3]將Internet和內(nèi)部網(wǎng)(Intranet)分開，所有訪問、交易請求必須經(jīng)過防火墻，只有滿足防火墻規(guī)則的請求才允許通過。防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預料的、潛在的破壞侵入用戶網(wǎng)絡(luò)。[4] [5]

第三方支付網(wǎng)關(guān)是指與產(chǎn)品所在國家以及國外各大銀行簽約、并具備一定實力和信譽保障的第三方獨立機構(gòu)提供的交易支持平臺。在該交易中，賣方選購商品后，使用第三方支付網(wǎng)關(guān)提供的賬戶進行貨款支付，由第三方通知賣家貨款到達進行打貨，買方檢驗物品后，就可以通知付款給賣家，第三方再將貨款項專職賣家賬戶。

四、交易安全策略

由于電子商務(wù)交易涉及到許多敏感數(shù)據(jù)，必須加以保護，同時要防止惡意入侵者對網(wǎng)站資源的破壞、對正當交易的破壞、對參與者合法權(quán)益的破壞，防止參與者商業(yè)信息的泄漏。交易用戶通過客戶端瀏覽器登陸電子商務(wù)網(wǎng)站，首先通過防火墻的檢測、過濾，接下來進入安全策略中的重要環(huán)節(jié)即服務(wù)器的安全控制過程，最終得到數(shù)據(jù)存儲。

只有電子商務(wù)網(wǎng)站的交易安全機制具備了完整安全策略，并真正執(zhí)行于交易中，才能為交易營造一個安全的環(huán)境。真正的交易安全不但要依靠先進的技術(shù)、理論，還需嚴格管理和安全教育。先進的網(wǎng)絡(luò)安全技術(shù)是交易的根本保證，特別是為了保證交易的安全進行所提供的一系列技術(shù)，包括防火墻技術(shù)、SSL、身份認證技術(shù)、數(shù)據(jù)完整性和數(shù)字簽名技術(shù)等。

所以，在丹東地區(qū)中小企業(yè)電子商務(wù)交易安全機制設(shè)計時，應該考慮網(wǎng)站和交易的安全性即安全策略，具體包括：身份認證、信任評估、欺詐識別、不可否認業(yè)務(wù)、信譽反饋和服務(wù)保障。

（一）身份認證

身份欺詐是網(wǎng)上欺詐的主要形式，為后期交易的其他欺詐埋下了禍根。因為在交易的開始階段，對交易者身份的錯誤識別，后期無論加入如何優(yōu)越的信任機制也徒勞無益。因此，要為交易者創(chuàng)造一個安全環(huán)境，首先需要建一個能對網(wǎng)絡(luò)交易雙方身份進行驗證、對網(wǎng)絡(luò)傳遞信息給予證實的策略，即身份認證。

身份認證[6]的實現(xiàn)方法很多，比如ID號、數(shù)字證書、指紋圖像、DNA以及電子簽名等。對一些安全強度不高的系統(tǒng)，可以使簡單的身份認證方法，例如通過ID號及密碼來檢查身份的合法性，不需要很大的代價；而對一些安全強度高的、需要復雜的認證系統(tǒng)，代價很大，使用起來具有局限性。根據(jù)計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，結(jié)合電子商務(wù)的交易機制需求，數(shù)字證書是比較適合的身份認證手段，本身在電子商務(wù)系統(tǒng)的開銷、可操作性、安全強度各方面均符合需求，實施也比較方便，易于推廣。

電子簽名[6]是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。通俗點說，電子簽名就是通過密碼技術(shù)對電子文檔的電子形式的簽名，并非是書面簽名的數(shù)字圖像化，類似于手寫簽名或印章，也可以稱為電子印章。電子簽名并非是書面簽名的數(shù)字圖像化，而是一種電子代碼，利用電子簽名，收件人便能在網(wǎng)上輕松驗證發(fā)件人的身份和簽名，還能驗證出文件的原文在傳輸過程中有無變動。如果有人想通過網(wǎng)絡(luò)把一份重要文件發(fā)送給外地的人，收件人和發(fā)件人都需要首先向一個許可證授權(quán)機構(gòu)(CA)申請一份電子許可證。這份加密的證書包括了申請者在網(wǎng)上的公共鑰匙即“公共電腦密碼”，用于文件驗證。

（二）認證中心(CA)

身份認證中所使用的數(shù)字證書必須是由可信賴的機構(gòu)頒發(fā)的，擔任此功能的機構(gòu)一般稱為認證中心(CA)。CA[7]執(zhí)行證書服務(wù)功能，接收證書的請求，根據(jù)CA的策略驗證申請者的信息，并使用期私鑰將其數(shù)字簽名應用于證書。然后CA將證書頒發(fā)給證書受領(lǐng)人，用作公鑰基礎(chǔ)結(jié)構(gòu)(PKI)內(nèi)的安全憑證。同時，CA機構(gòu)還負責吊銷證書并發(fā)布證書吊銷列表(CRL)。

在電子商務(wù)的交易中，由系統(tǒng)中的分枝系統(tǒng)充當CA，理由為：電子商務(wù)的交易具有其獨特的交易方式和需要，專業(yè)的CA并不完全適合業(yè)務(wù)，嵌入交易后，需要做很大調(diào)整，這樣會造成不必要的資源浪費；電子商務(wù)系統(tǒng)是賣方、買方、網(wǎng)上銀行等多用戶的平臺，管理業(yè)務(wù)方便、快捷。

為了管理和維護證書申請、頒發(fā)的證書等資源，CA機構(gòu)還需具備數(shù)據(jù)的存儲功能。CA使用數(shù)據(jù)可存儲的信息包括：由CA頒發(fā)的證書；由CA吊銷的證書；CA接收的證書申請；CA拒絕的證書申請；被CA擱置的證書申請。同時，為了防止數(shù)據(jù)丟失，采取備份和日志的功能。日志保留了涉及證書數(shù)據(jù)庫每一項事務(wù)的記錄。證書數(shù)據(jù)庫日志可用于從備份中還原CA。

（三）信譽反饋

信譽反饋是安全機制中必不可少的一個環(huán)節(jié)，目的在于收集、分發(fā)、集成了參與者過去交易行為的反饋，防止不誠實者參與交易，提高了信任水平，并提高了交易效益，信譽能夠大大影響交易價格。信譽反饋對買賣雙方都具有重大的戰(zhàn)略作用。交易者根據(jù)反饋標準向信譽反饋中心提交關(guān)于交易伙伴的信譽反饋評分；信譽反饋中心將交易者所提交的信譽反饋生成信譽反饋信息存儲在數(shù)據(jù)庫中；交易者在后繼的交易活動中，可查看歷史反饋信息，為其做決策時提供參考依據(jù)。

信譽反饋實施后，所起作用具體如下：一是對交易者產(chǎn)生約束力，減少各種不當行為，鼓勵誠信行為，降低交易風險；二是為交易者去了解其無法面對面接觸的交易伙伴提供決策依據(jù)，輔助其進行決策，提高網(wǎng)上交易成功率；三是在一定程度上可以降低交易成本，如廣告、宣傳等費用；四是信譽反饋不僅可以體現(xiàn)交易者的信譽狀況，也可側(cè)面反映出產(chǎn)品的質(zhì)量、價格、送貨時間等信息，起到監(jiān)督、管理作用；五是可作為電子商務(wù)網(wǎng)站質(zhì)量的標準之一，好的網(wǎng)站會擁有一個可信度高的反饋評分系統(tǒng)。因此，一個性能良好的信譽系統(tǒng)必須滿足以下條件：為交易者提供區(qū)別誠信交易者和非誠信交易者的條件；激勵交易者成為誠信交易者；懲罰欺詐交易者的拍賣行為。

（四）服務(wù)保障

對電子商務(wù)交易而言，網(wǎng)站運營者通常會制定一些政策與規(guī)范包括服務(wù)條款、隱私政策、安全聲明、收費規(guī)則、注冊規(guī)則等，而個體也會要求制定保證服務(wù)政策、退款政策等。

電子商務(wù)市場的服務(wù)條款是面向電子商務(wù)市場的交易者，在電子商務(wù)市場上進行交易，均需簽署交易服務(wù)條款。收費規(guī)則主要面向網(wǎng)絡(luò)市場的交易方，注冊規(guī)則對交易者在交易平臺上的注冊要求、注冊程序進行說明。

服務(wù)保障是保證交易者在電子商務(wù)市場合法權(quán)益的基礎(chǔ)，基礎(chǔ)的好壞關(guān)系著交易參與者的數(shù)量、活動的質(zhì)量等。

電子商務(wù)交易中，交易者在遭受欺詐行為后：可以選擇向交易安全保障中心提出申訴，保障中心在核實交易屬實的情況下，向欺詐方提出懲罰要求后，賠償被欺詐方；也可以放棄申訴，選擇繼續(xù)交易或者喪失信息退出電子商務(wù)市場。而欺詐交易者在實施欺詐后，如果收到保障中心的懲罰要求，可以選擇賠償被欺詐方后繼續(xù)交易，也可以選擇拒絕賠償后推出交易市場。

五、總結(jié)

本文是針對丹東地區(qū)中小企業(yè)電子商務(wù)交易安全機制的框架展開研究。

首先，從電子商務(wù)交易活動所處階段構(gòu)造一個電子商務(wù)交易安全機制的框架，將交易活動劃分為交易前期、交易中期和交易后期，在交易活動的每個階段設(shè)計不同的安全機制，輔助電子商務(wù)網(wǎng)站進行交易活動。其次，從電子商務(wù)的體系結(jié)構(gòu)來分析其在業(yè)務(wù)關(guān)系和體系結(jié)構(gòu)關(guān)系兩方面的具體內(nèi)容，為電子商務(wù)交易設(shè)計一個安全、合理的交易安全策略。最后，在交易安全策略中，首先采用身份認證模式為電子商務(wù)交易設(shè)置的第一道安全關(guān)口；在完成身份認證后，根據(jù)交易用戶全進進行交易，在交易的過程中，采用不可否認業(yè)務(wù)策略，對交易者的交易行為進行控制、監(jiān)督；交易結(jié)束后，進入信譽反饋策略階段，對交易行為進行評價，為后續(xù)的交易活動提供參考依據(jù)；同時，進入服務(wù)保障策略階段，即為欺詐交易后被欺詐方提供一個保障、權(quán)利維護的過程。通過以上內(nèi)容，完善和彌補安全機制中的不足，為電子商務(wù)交易安全機制的設(shè)計提供一個理論、技術(shù)上實施的條件。

參考文獻：

[1] 張巍.網(wǎng)上拍賣中的信任模型研究[M].北京：中國財政經(jīng)濟出版社，2009.

[2] 張明光，魏琦.電子商務(wù)安全體系的探討[J].計算機工程與設(shè)計，2005，26(2):394-396.

[3] Gouda MG,Liu AX.Structured firewall design[J].Computer Networks, 2007,51(4):1106-1120.

[4] Kamara S, Fahmy S,Schultz E, Kerschbaum F,Frantzen M.Analysis of vulnerabilities in Internet firewalls[J].Computers & Security, 2003,22(3):214-232.

[5] Kanungo S.Identity authentication in heterogeneous computing environments: a comparative study for an integrated framework[J].Computers & Security, 1994,13(3):231-253.

[6]Chen H, Shen X, Lv Y. A New Digital Signature Algorithm Similar to ELGamal Type[J].Journal of Software,2010,5(3):320-327.

[7]Spalding M. Deciding Whether or not to use a Third Party Certificate Authority[J].Network Security,2000,6(1):7-8.

［責任編輯：譚志遠］