電子商務(wù)中的身份認(rèn)證技術(shù)及安全支付研究

廣西工商職業(yè)技術(shù)學(xué)院 呂玉珠

電子商務(wù)的安全問題的首要防線是身份認(rèn)證技術(shù)，身份認(rèn)證技術(shù)包括身份識(shí)別和身份鑒別技術(shù)。身份識(shí)別是用戶向系統(tǒng)出示屬于自己身份證明的一個(gè)過程，身份鑒別則是系統(tǒng)通過用戶所提供的證明，核查用戶身份的過程，驗(yàn)證用戶提供的證明是否和系統(tǒng)存儲(chǔ)的用戶資料相符，從而來確定用戶是否可以存在其他請(qǐng)求資源的存儲(chǔ)權(quán)與使用權(quán)。

1 電子商務(wù)中身份認(rèn)證技術(shù)方法和實(shí)現(xiàn)過程

目前我國采用的身份認(rèn)證技術(shù)方法主要是認(rèn)證中心體系，認(rèn)證中心體系是將公鑰簽發(fā)證書給用戶，用來實(shí)現(xiàn)證明公鑰的分發(fā)與有效性。通過對(duì)認(rèn)證中心體系的研究，來研究身份認(rèn)證技術(shù)的方法和實(shí)現(xiàn)的過程。以下對(duì)認(rèn)證中心體系的包含元素進(jìn)行探討。

1.1 電子商務(wù)中身份認(rèn)證技術(shù)方法

(1)數(shù)字證書：依照聯(lián)合國制定的電子簽字示范法中的第一條規(guī)定，證書是可以證實(shí)簽字人與簽字生成證據(jù)有聯(lián)系的其他記錄或者是某一數(shù)據(jù)電文。在電子商務(wù)交易支付中，買賣雙方為了證明自己的身份，是要通過第三方的認(rèn)證來進(jìn)行身份的識(shí)別。而數(shù)字證書就是買賣雙方的身份證明，其中含有證書申請(qǐng)者的個(gè)人信息與公開密鑰的文件。數(shù)字證書是確定買賣雙方身份的工具，每一個(gè)數(shù)字證書都由證書管理中心做了獨(dú)一無二代表客戶身份的數(shù)字簽名，任何第三方都不能夠?qū)⒆C書中的內(nèi)容進(jìn)行修改。只有申請(qǐng)數(shù)字證書，交易者才能進(jìn)入電子商務(wù)的網(wǎng)上交易過程。

(2)數(shù)字信封：通過私密密鑰加密技術(shù)對(duì)將要發(fā)送的信息進(jìn)行加密被稱之為數(shù)字信封技術(shù)，又使用公開密鑰加密技術(shù)對(duì)私密密鑰進(jìn)行加密的過程，它集合了公開密鑰加密技術(shù)和私密加密密鑰技術(shù)的優(yōu)勢，可以保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

(3)數(shù)字時(shí)間戳：數(shù)字時(shí)間戳是對(duì)交易文件中的日期和時(shí)間采取保密處理，數(shù)字時(shí)間戳服務(wù)是可以為電子文件發(fā)表時(shí)間提供安全的保護(hù)，數(shù)字時(shí)間戳服務(wù)是一項(xiàng)由專門機(jī)構(gòu)所提供的安全服務(wù)項(xiàng)目。它主要包含需要時(shí)間戳文件的摘要和數(shù)字簽名，所收到文件的時(shí)間和日期。

(4)智能卡：智能卡是集存儲(chǔ)數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)能力，對(duì)數(shù)據(jù)進(jìn)行處理過程對(duì)數(shù)據(jù)加密解密功能的智能集成電路卡，它對(duì)數(shù)字簽名和數(shù)字簽名的驗(yàn)證。智能卡在電子商務(wù)系統(tǒng)中有著戰(zhàn)略性的作用，減輕了客戶端系統(tǒng)的負(fù)擔(dān)，它能夠承擔(dān)對(duì)信息的加密解密、簽名及對(duì)簽名的驗(yàn)證等。同時(shí)，智能卡是私人密鑰和數(shù)字證書的載體，能夠識(shí)別持卡人是否為合法使用者的同時(shí)，還可以通過對(duì)智能卡的改動(dòng)來對(duì)用戶密碼的改變。這些功能使智能卡成為了用戶的身份識(shí)別和接入的身份認(rèn)證技術(shù)。

(5)數(shù)字摘要：通過單向Hash函數(shù)對(duì)文件中的若干重要元素進(jìn)行某種變換運(yùn)算被稱之為數(shù)字摘要，得到固定長度的摘要碼，在傳輸信息時(shí)加入文件送給接收方，接收方以相同的方法進(jìn)行變換運(yùn)算，如果得到的結(jié)果和發(fā)送來的摘要碼一樣，就可以判斷文件沒有被篡改，反之亦然。

(6)數(shù)字簽名：數(shù)字簽名技術(shù)是運(yùn)用公開密鑰密碼體制，使用一對(duì)不對(duì)稱，卻又相互匹配的密鑰來實(shí)現(xiàn)加密和解密技術(shù)。數(shù)字簽名的運(yùn)用可以保證信息安全從發(fā)送方傳輸?shù)浇邮辗剑型静槐徊环ǚ肿痈摹Ｋ詳?shù)字簽名技術(shù)被電子商務(wù)交易中身份認(rèn)證所采用。

(7)認(rèn)證中心：認(rèn)證中心是認(rèn)證中心體系的核心，是進(jìn)行客戶身份認(rèn)證的場所，主要職責(zé)是數(shù)字憑證的管理、數(shù)字憑證的申請(qǐng)和簽發(fā)。認(rèn)證中心是嚴(yán)格按照認(rèn)證操作規(guī)定來實(shí)施服務(wù)的，它是買賣雙方的中介機(jī)構(gòu)。在電子商務(wù)進(jìn)行交易時(shí)，交易雙方可以請(qǐng)求認(rèn)證中心對(duì)此進(jìn)行認(rèn)證。

1.2 電子商務(wù)中身份認(rèn)證的實(shí)現(xiàn)過程

電子商務(wù)中身份認(rèn)證的實(shí)現(xiàn)過程實(shí)質(zhì)是用戶數(shù)字簽名的認(rèn)證過程，用戶在進(jìn)行網(wǎng)上交易的時(shí)候，提交訂單信息和個(gè)人賬戶信息之后會(huì)生成一個(gè)私鑰和證書，認(rèn)證中心就會(huì)根據(jù)訂單信息和用戶的個(gè)人賬戶信息生成的私鑰和證書進(jìn)行數(shù)字簽名，將數(shù)字簽名文件包和用戶個(gè)人賬號(hào)信息以及生成的證書傳輸給接收方。

接收方獲得發(fā)送方的數(shù)字簽名賬號(hào)信息后，首先要到認(rèn)證中心去檢驗(yàn)該證書是否合法，從而確定接受的信息與信息發(fā)送者的身份是否具有真實(shí)性。如果是真實(shí)的信息，還要用證書中包含的公鑰來檢驗(yàn)接受的文件是否是發(fā)送方簽署的。

接收方驗(yàn)證發(fā)送方簽署的文件包后，重復(fù)類似于簽名的操作步驟，不同點(diǎn)在于需要用證書里的公鑰對(duì)于簽名對(duì)象進(jìn)行初始化，最后要調(diào)用verify(signature)來檢驗(yàn)簽名，這樣可以便于用戶對(duì)其進(jìn)行擴(kuò)展和重用代碼.電子商務(wù)中身份認(rèn)證的實(shí)現(xiàn)過程為電子商務(wù)網(wǎng)上交易的安全保駕護(hù)航，是保證電子商務(wù)快速發(fā)展的有力保證。一般認(rèn)證實(shí)現(xiàn)過程如圖1所示：

圖1 認(rèn)證過程結(jié)構(gòu)圖

2 電子商務(wù)安全支付問題及解決方案

電子商務(wù)是通過電信網(wǎng)絡(luò)進(jìn)行的商業(yè)活動(dòng)，電信網(wǎng)絡(luò)是電子商務(wù)的載體，由于網(wǎng)絡(luò)的開放性，這就導(dǎo)致了電子商務(wù)網(wǎng)上支付的安全隱患問題。

2.1 電子商務(wù)支付的安全問題

電子商務(wù)發(fā)展的關(guān)鍵問題就在于安全支付問題，安全支付問題的解決可以使電子商務(wù)得到迅速發(fā)展，這是我總結(jié)的一些支付安全問題：硬件設(shè)施的安全，網(wǎng)絡(luò)的安全，技術(shù)的安全，系統(tǒng)的安全。

硬件的安全可以是系統(tǒng)資源(主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘)、通信電路及其他的一些硬件設(shè)備的安全性，硬件安全是電子商務(wù)支付安全問題的首要前提。

網(wǎng)絡(luò)安全是指電子商務(wù)交易在網(wǎng)絡(luò)媒介中所存在的安全問題，為防止在傳輸過程中信息的虛假和篡改以及被竊取行為，保證電子商務(wù)交易能夠順利進(jìn)行，網(wǎng)絡(luò)系統(tǒng)為電子商務(wù)的支付交易提供了條件。如果網(wǎng)絡(luò)系統(tǒng)得不到保障(軟件錯(cuò)誤、病毒、黑客入侵等)，就會(huì)導(dǎo)致電子商務(wù)系統(tǒng)不能進(jìn)行正常工作，無法使信息準(zhǔn)時(shí)、準(zhǔn)確地從發(fā)送者到接受者，這會(huì)帶來很大的經(jīng)濟(jì)損失。

技術(shù)安全是電子商務(wù)支付安全問題的核心，通過不同的網(wǎng)絡(luò)安全技術(shù)和安全標(biāo)準(zhǔn)來保證電子商務(wù)支付安全，本文提過的數(shù)字簽名技術(shù)就是一種安全技術(shù)，身份認(rèn)證技術(shù)中的認(rèn)證中心就是執(zhí)行著一定的安全標(biāo)準(zhǔn)而實(shí)行的。還有一些協(xié)議也保證電子商務(wù)支付安全進(jìn)行，例如在線支付協(xié)議。技術(shù)的安全實(shí)現(xiàn)了電子商務(wù)在支付時(shí)的安全保密性與真實(shí)性、完整性與不可抵賴性。

2.2 電子商務(wù)支付安全問題的解決方案

根據(jù)本文提到的一些安全問題，有以下的解決方案：在硬件安全方面，我們可以提高對(duì)硬件設(shè)施的要求，對(duì)常用于商業(yè)性的網(wǎng)上交易的硬件制定統(tǒng)一的標(biāo)準(zhǔn)；在網(wǎng)絡(luò)安全方面，研發(fā)殺毒軟件或研發(fā)反黑客侵略系統(tǒng)等；在技術(shù)安全方面，完善電子商務(wù)中支付安全技術(shù)，制定嚴(yán)格的安全協(xié)議；在系統(tǒng)安全方面，通過安全加固，解決管理方面的漏洞等來增強(qiáng)系統(tǒng)的安全防護(hù)能力。

無線網(wǎng)絡(luò)的發(fā)展隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷更新也得到了長足進(jìn)步,越來越多的用戶使用筆記本電腦或膝上式計(jì)算機(jī)工作,商業(yè)用戶由于經(jīng)常往來于各個(gè)城市之間更需要移動(dòng)辦公,因而無線網(wǎng)絡(luò)非常適合這些用戶的需要。現(xiàn)在應(yīng)用最廣泛的就是基于802.11協(xié)議的無線局域網(wǎng)技術(shù)。然而由于其傳播媒介是暴露于大氣中,通過空間來傳播信號(hào),與有線網(wǎng)絡(luò)相比更容易被黑客竊聽而獲得重要的信息。因此對(duì)無線局域網(wǎng)的安全問題研究也顯得非常重要,然而常規(guī)的無線局域網(wǎng)安全措施如WEP等都已被證明不再安全,所以更多的安全措施也相繼出臺(tái),利用VPN技術(shù)來實(shí)現(xiàn)無線局域網(wǎng)的安全保護(hù)就是其中之一。IPSec VPN是目前應(yīng)用最廣泛的方案,它可以采用幾乎所有的加密算法,被大多數(shù)公司和組織認(rèn)可。但是它也有一些難以解決的問題。IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價(jià)值在于，它們盡量提高IP環(huán)境的安全性。可問題在于，部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運(yùn)行和長期維護(hù)兩個(gè)方面。但是IPSec VPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長。所以在這種情況下，提出建立整體安全認(rèn)證體系，滿足對(duì)柜員身份認(rèn)證、交易數(shù)據(jù)保密和抗抵賴的需求；同時(shí)，目前該行柜員身份認(rèn)證還依賴于口令方式，同樣存在巨大的安全隱患。因此，基于當(dāng)代的先進(jìn)技術(shù)構(gòu)建該行安全認(rèn)證系統(tǒng)是極為迫切的。

目前對(duì)于信息安全局域網(wǎng)絡(luò)一般來說，要求用戶接入局域網(wǎng)就可以訪問網(wǎng)絡(luò)上的設(shè)備或資源。但是已有的一些簡單認(rèn)證或者沒有認(rèn)證系統(tǒng)網(wǎng)絡(luò)從運(yùn)營和控制管理的角度可看出這種模式存在用戶管理安全性問題。用戶沒有帳戶密碼，只能通過簡單的捆綁MAC地址與 IP 地址來管理，這樣信息安全就能夠得到極大地保護(hù)。

3 電子商務(wù)中的支付安全管理問題

除了電子商務(wù)中技術(shù)、網(wǎng)絡(luò)、硬件、系統(tǒng)安全問題的解決，我們還通過支付全過程的安全管理來完善電子商務(wù)支付安全系統(tǒng)。

要加強(qiáng)電子商務(wù)支付安全系統(tǒng)，首先要對(duì)信息進(jìn)行安全建設(shè)，規(guī)劃性的管理。然后建設(shè)管理單位對(duì)安全功能進(jìn)行測試。最后要對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)，降低支付安全問題的發(fā)生。除此之外網(wǎng)絡(luò)處在不斷調(diào)整中，會(huì)不斷出現(xiàn)新的安全隱患，要建立一個(gè)動(dòng)態(tài)的、閉環(huán)的管理流程。在整體安全策略的指導(dǎo)下，及時(shí)了解網(wǎng)絡(luò)支付中存在的安全隱患問題，根據(jù)網(wǎng)絡(luò)中所存在的一些安全隱患問題，制定出相應(yīng)的安全方案，將系統(tǒng)調(diào)制到一個(gè)相對(duì)安全的狀態(tài)，這就是電子商務(wù)中支付安全問題的管理。

總而言之，本文分析了電子商務(wù)中身份認(rèn)證技術(shù)的一般方式，總結(jié)了電子商務(wù)中身份認(rèn)證的技術(shù)流程，通過了解電子商務(wù)中支付過程中存在的一些安全隱患，提出了相應(yīng)的解決辦法。通過對(duì)知識(shí)點(diǎn)的綜合，提出了電子商務(wù)支付安全問題解決的管理方式，保證了電子商務(wù)中支付問題發(fā)生概率的減小。電子商務(wù)中安全支付問題的解決和完善，為電子商務(wù)的發(fā)展帶來了很大的前進(jìn)空間。

[1]高建華.電子商務(wù)安全技術(shù)分析與研究[J].計(jì)算機(jī)與數(shù)字工程,2007(2).

[2]張慧.數(shù)字簽名在電子商務(wù)中的應(yīng)用[J].湖北教育學(xué)院學(xué)報(bào),2005(2).

[3]王茜,楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究[J].計(jì)算機(jī)工程,2003(01).

[4]殷國宴.電子商務(wù)中的身份認(rèn)證技術(shù)研究[D].西安電子科技大學(xué),2006.