丹東地區(qū)中小企業(yè)電子商務(wù)安全機(jī)制框架設(shè)計(jì)

王文佳

摘要：隨著中國(guó)加入WTO，朝鮮半島形勢(shì)變化，丹東地區(qū)的中小企業(yè)面臨著新挑戰(zhàn)和新的發(fā)展機(jī)遇。為此，應(yīng)該注重電子商務(wù)的發(fā)展，集中精力設(shè)計(jì)完成一套適合的電子商務(wù)安全機(jī)制，為經(jīng)濟(jì)發(fā)展?fàn)I造一個(gè)良好的商務(wù)氛圍。

關(guān)鍵詞：電子商務(wù)；安全機(jī)制；策略；身份認(rèn)證

中圖分類號(hào)：F127文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1005-913X（2014）07-0061-02

一、引言

隨著Internet和電子商務(wù)的廣泛應(yīng)用，丹東地區(qū)中小企業(yè)的生產(chǎn)和經(jīng)營(yíng)方式發(fā)生著深刻的改變，對(duì)網(wǎng)絡(luò)尤其是電子商務(wù)各個(gè)領(lǐng)域的應(yīng)用安全關(guān)注越來(lái)越高。而丹東地區(qū)中小企業(yè)的電子商務(wù)市場(chǎng)在近年來(lái)取得了巨大的成績(jī)，市場(chǎng)理論研究和社會(huì)宣傳不斷深入。與其他商品交易相比，電子商務(wù)具有獨(dú)特的經(jīng)濟(jì)功能，對(duì)社會(huì)經(jīng)濟(jì)發(fā)展重要的現(xiàn)實(shí)意義。但是，丹東地區(qū)中小企業(yè)消費(fèi)者在享受電子商務(wù)帶來(lái)的便捷時(shí)，同樣需要面對(duì)隨之產(chǎn)生的各種問(wèn)題，例如：欺詐問(wèn)題、行為問(wèn)題等諸多信息不確定的問(wèn)題。傳統(tǒng)市場(chǎng)中，各類法律法規(guī)是市場(chǎng)的主要保障機(jī)制，而電子商務(wù)作為一種新生事物，本身具有互聯(lián)網(wǎng)的匿名性、開(kāi)放性等特點(diǎn)，在注冊(cè)方式、操作方式、履約方式等方面都存在著巨大的差異，傳統(tǒng)的法律法規(guī)很難實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)交易的規(guī)范、保障。[1]同時(shí)，電子商務(wù)發(fā)展面臨諸多的安全問(wèn)題：[2]電子商務(wù)系統(tǒng)硬件安全、電子商務(wù)系統(tǒng)軟件安全、電子商務(wù)系統(tǒng)運(yùn)行安全、電子商務(wù)安全立法、身份識(shí)別等。

因此，研究科學(xué)、合理的電子商務(wù)交易的安全機(jī)制，對(duì)于建立、完善丹東地區(qū)電子商務(wù)市場(chǎng)，為本地區(qū)電子商務(wù)發(fā)展?fàn)I造一個(gè)較為寬松的信用環(huán)境，推動(dòng)電子商務(wù)市場(chǎng)的健康發(fā)展有著重要的實(shí)用價(jià)值。

二、安全機(jī)制的框架結(jié)構(gòu)

電子商務(wù)的交易安全機(jī)制的框架結(jié)構(gòu)，從交易活動(dòng)的角度可以分為交易前期、交易中期和交易后期。

在交易前期，客戶通過(guò)客戶端瀏覽器登錄電子商務(wù)網(wǎng)站，通過(guò)防火墻的過(guò)濾和檢查連接到網(wǎng)站后臺(tái)系統(tǒng)服務(wù)器，進(jìn)行身份認(rèn)證，即對(duì)客戶的身份進(jìn)行識(shí)別和確認(rèn)，以便授權(quán)其參與交易活動(dòng)。無(wú)論是新用戶還是老用戶，經(jīng)過(guò)認(rèn)證中心(CA)身份確認(rèn)后，即可得到電子商務(wù)網(wǎng)站授權(quán)，以某一固定角色的身份進(jìn)入交易活動(dòng)中，從事拍賣(mài)活動(dòng)。

在交易中期，客戶充當(dāng)某角色的參與者進(jìn)行交易活動(dòng)，系統(tǒng)會(huì)根據(jù)其歷史交易記錄和當(dāng)前交易數(shù)據(jù)對(duì)其行為進(jìn)行分析，具體包括：對(duì)其信任度進(jìn)行評(píng)估，即對(duì)參與者的信譽(yù)狀況進(jìn)行考察，為其交易伙伴提供交易參考依據(jù)；對(duì)其行為進(jìn)行欺詐識(shí)別，即對(duì)參與者在交易時(shí)的行為進(jìn)行分析，識(shí)別不端行為，為交易者提供安全、公平、公正的交易平臺(tái)；對(duì)其當(dāng)前交易活動(dòng)進(jìn)行確認(rèn)，即經(jīng)過(guò)認(rèn)證中心(CA)認(rèn)證后的不可否認(rèn)業(yè)務(wù)，使參與者不能恣意毀約等。

在交易后期，客戶參與的交易活動(dòng)進(jìn)入結(jié)尾階段，在結(jié)束前任需對(duì)交易參與者的行為進(jìn)行分析，具體包括：網(wǎng)上支付，即通過(guò)第三方支付網(wǎng)關(guān)支付貨款；信任反饋評(píng)分，即交易者對(duì)交易伙伴的信譽(yù)狀況進(jìn)行評(píng)分，為今后的交易者提供參考依據(jù)；服務(wù)保障，即為交易者所提供安全保障措施等。

交易中所有的數(shù)據(jù)、記錄會(huì)及時(shí)的存儲(chǔ)如電子商務(wù)網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)，以便為日后的交易提供信息參考、方便網(wǎng)站的管理。

三、體系結(jié)構(gòu)

從電子商務(wù)的業(yè)務(wù)角度來(lái)看，網(wǎng)站相當(dāng)于一個(gè)媒介，買(mǎi)方、賣(mài)方、網(wǎng)上銀行均得通過(guò)電子商務(wù)網(wǎng)站這個(gè)平臺(tái)進(jìn)行交易。首先，無(wú)論是買(mǎi)方還是賣(mài)方，都需獲得網(wǎng)站的認(rèn)可，方可進(jìn)行交易，交易者在登陸網(wǎng)站后，可以注冊(cè)交易用戶或過(guò)客，在得到網(wǎng)站所授予的權(quán)限和角色后，可以實(shí)現(xiàn)該權(quán)限和角色所能賦予的權(quán)利；其次，網(wǎng)上銀行與網(wǎng)站之間，需要互相鑒別之后建立交易聯(lián)系，其中實(shí)現(xiàn)鑒別、監(jiān)督、管理等相關(guān)工作的中介為第三方機(jī)構(gòu)；再次，交易者必須在得到網(wǎng)上銀行的審核后，擁有自己的獨(dú)立可支付賬戶，去完成網(wǎng)絡(luò)交易，并受網(wǎng)上銀行的監(jiān)督、管理及保障；最后交易者在交易前，必須通過(guò)自身本地計(jì)算機(jī)加密服務(wù)提供者建立自己的公/私鑰，申請(qǐng)CA認(rèn)證并獲得相關(guān)證書(shū)及權(quán)益。

一個(gè)安全的交易機(jī)制，從其體系結(jié)構(gòu)來(lái)看，由于電子商務(wù)網(wǎng)站是基于互聯(lián)網(wǎng)的，并且互聯(lián)網(wǎng)具有開(kāi)放性的特征，則交易安全機(jī)制必須在互聯(lián)網(wǎng)和內(nèi)部業(yè)務(wù)系統(tǒng)之間構(gòu)建一道安全屏障，防止非法入侵者對(duì)系統(tǒng)數(shù)據(jù)的破壞。這道安全屏障采用防火墻技術(shù)，[3]將Internet和內(nèi)部網(wǎng)(Intranet)分開(kāi)，所有訪問(wèn)、交易請(qǐng)求必須經(jīng)過(guò)防火墻，只有滿足防火墻規(guī)則的請(qǐng)求才允許通過(guò)。防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)。[4] [5]

第三方支付網(wǎng)關(guān)是指與產(chǎn)品所在國(guó)家以及國(guó)外各大銀行簽約、并具備一定實(shí)力和信譽(yù)保障的第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺(tái)。在該交易中，賣(mài)方選購(gòu)商品后，使用第三方支付網(wǎng)關(guān)提供的賬戶進(jìn)行貨款支付，由第三方通知賣(mài)家貨款到達(dá)進(jìn)行打貨，買(mǎi)方檢驗(yàn)物品后，就可以通知付款給賣(mài)家，第三方再將貨款項(xiàng)專職賣(mài)家賬戶。

四、交易安全策略

由于電子商務(wù)交易涉及到許多敏感數(shù)據(jù)，必須加以保護(hù)，同時(shí)要防止惡意入侵者對(duì)網(wǎng)站資源的破壞、對(duì)正當(dāng)交易的破壞、對(duì)參與者合法權(quán)益的破壞，防止參與者商業(yè)信息的泄漏。交易用戶通過(guò)客戶端瀏覽器登陸電子商務(wù)網(wǎng)站，首先通過(guò)防火墻的檢測(cè)、過(guò)濾，接下來(lái)進(jìn)入安全策略中的重要環(huán)節(jié)即服務(wù)器的安全控制過(guò)程，最終得到數(shù)據(jù)存儲(chǔ)。

只有電子商務(wù)網(wǎng)站的交易安全機(jī)制具備了完整安全策略，并真正執(zhí)行于交易中，才能為交易營(yíng)造一個(gè)安全的環(huán)境。真正的交易安全不但要依靠先進(jìn)的技術(shù)、理論，還需嚴(yán)格管理和安全教育。先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是交易的根本保證，特別是為了保證交易的安全進(jìn)行所提供的一系列技術(shù)，包括防火墻技術(shù)、SSL、身份認(rèn)證技術(shù)、數(shù)據(jù)完整性和數(shù)字簽名技術(shù)等。

所以，在丹東地區(qū)中小企業(yè)電子商務(wù)交易安全機(jī)制設(shè)計(jì)時(shí)，應(yīng)該考慮網(wǎng)站和交易的安全性即安全策略，具體包括：身份認(rèn)證、信任評(píng)估、欺詐識(shí)別、不可否認(rèn)業(yè)務(wù)、信譽(yù)反饋和服務(wù)保障。

（一）身份認(rèn)證

身份欺詐是網(wǎng)上欺詐的主要形式，為后期交易的其他欺詐埋下了禍根。因?yàn)樵诮灰椎拈_(kāi)始階段，對(duì)交易者身份的錯(cuò)誤識(shí)別，后期無(wú)論加入如何優(yōu)越的信任機(jī)制也徒勞無(wú)益。因此，要為交易者創(chuàng)造一個(gè)安全環(huán)境，首先需要建一個(gè)能對(duì)網(wǎng)絡(luò)交易雙方身份進(jìn)行驗(yàn)證、對(duì)網(wǎng)絡(luò)傳遞信息給予證實(shí)的策略，即身份認(rèn)證。

身份認(rèn)證[6]的實(shí)現(xiàn)方法很多，比如ID號(hào)、數(shù)字證書(shū)、指紋圖像、DNA以及電子簽名等。對(duì)一些安全強(qiáng)度不高的系統(tǒng)，可以使簡(jiǎn)單的身份認(rèn)證方法，例如通過(guò)ID號(hào)及密碼來(lái)檢查身份的合法性，不需要很大的代價(jià)；而對(duì)一些安全強(qiáng)度高的、需要復(fù)雜的認(rèn)證系統(tǒng)，代價(jià)很大，使用起來(lái)具有局限性。根據(jù)計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，結(jié)合電子商務(wù)的交易機(jī)制需求，數(shù)字證書(shū)是比較適合的身份認(rèn)證手段，本身在電子商務(wù)系統(tǒng)的開(kāi)銷(xiāo)、可操作性、安全強(qiáng)度各方面均符合需求，實(shí)施也比較方便，易于推廣。

電子簽名[6]是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。通俗點(diǎn)說(shuō)，電子簽名就是通過(guò)密碼技術(shù)對(duì)電子文檔的電子形式的簽名，并非是書(shū)面簽名的數(shù)字圖像化，類似于手寫(xiě)簽名或印章，也可以稱為電子印章。電子簽名并非是書(shū)面簽名的數(shù)字圖像化，而是一種電子代碼，利用電子簽名，收件人便能在網(wǎng)上輕松驗(yàn)證發(fā)件人的身份和簽名，還能驗(yàn)證出文件的原文在傳輸過(guò)程中有無(wú)變動(dòng)。如果有人想通過(guò)網(wǎng)絡(luò)把一份重要文件發(fā)送給外地的人，收件人和發(fā)件人都需要首先向一個(gè)許可證授權(quán)機(jī)構(gòu)(CA)申請(qǐng)一份電子許可證。這份加密的證書(shū)包括了申請(qǐng)者在網(wǎng)上的公共鑰匙即“公共電腦密碼”，用于文件驗(yàn)證。

（二）認(rèn)證中心(CA)

身份認(rèn)證中所使用的數(shù)字證書(shū)必須是由可信賴的機(jī)構(gòu)頒發(fā)的，擔(dān)任此功能的機(jī)構(gòu)一般稱為認(rèn)證中心(CA)。CA[7]執(zhí)行證書(shū)服務(wù)功能，接收證書(shū)的請(qǐng)求，根據(jù)CA的策略驗(yàn)證申請(qǐng)者的信息，并使用期私鑰將其數(shù)字簽名應(yīng)用于證書(shū)。然后CA將證書(shū)頒發(fā)給證書(shū)受領(lǐng)人，用作公鑰基礎(chǔ)結(jié)構(gòu)(PKI)內(nèi)的安全憑證。同時(shí)，CA機(jī)構(gòu)還負(fù)責(zé)吊銷(xiāo)證書(shū)并發(fā)布證書(shū)吊銷(xiāo)列表(CRL)。

在電子商務(wù)的交易中，由系統(tǒng)中的分枝系統(tǒng)充當(dāng)CA，理由為：電子商務(wù)的交易具有其獨(dú)特的交易方式和需要，專業(yè)的CA并不完全適合業(yè)務(wù)，嵌入交易后，需要做很大調(diào)整，這樣會(huì)造成不必要的資源浪費(fèi)；電子商務(wù)系統(tǒng)是賣(mài)方、買(mǎi)方、網(wǎng)上銀行等多用戶的平臺(tái)，管理業(yè)務(wù)方便、快捷。

為了管理和維護(hù)證書(shū)申請(qǐng)、頒發(fā)的證書(shū)等資源，CA機(jī)構(gòu)還需具備數(shù)據(jù)的存儲(chǔ)功能。CA使用數(shù)據(jù)可存儲(chǔ)的信息包括：由CA頒發(fā)的證書(shū)；由CA吊銷(xiāo)的證書(shū)；CA接收的證書(shū)申請(qǐng)；CA拒絕的證書(shū)申請(qǐng)；被CA擱置的證書(shū)申請(qǐng)。同時(shí)，為了防止數(shù)據(jù)丟失，采取備份和日志的功能。日志保留了涉及證書(shū)數(shù)據(jù)庫(kù)每一項(xiàng)事務(wù)的記錄。證書(shū)數(shù)據(jù)庫(kù)日志可用于從備份中還原CA。

（三）信譽(yù)反饋

信譽(yù)反饋是安全機(jī)制中必不可少的一個(gè)環(huán)節(jié)，目的在于收集、分發(fā)、集成了參與者過(guò)去交易行為的反饋，防止不誠(chéng)實(shí)者參與交易，提高了信任水平，并提高了交易效益，信譽(yù)能夠大大影響交易價(jià)格。信譽(yù)反饋對(duì)買(mǎi)賣(mài)雙方都具有重大的戰(zhàn)略作用。交易者根據(jù)反饋標(biāo)準(zhǔn)向信譽(yù)反饋中心提交關(guān)于交易伙伴的信譽(yù)反饋評(píng)分；信譽(yù)反饋中心將交易者所提交的信譽(yù)反饋生成信譽(yù)反饋信息存儲(chǔ)在數(shù)據(jù)庫(kù)中；交易者在后繼的交易活動(dòng)中，可查看歷史反饋信息，為其做決策時(shí)提供參考依據(jù)。

信譽(yù)反饋實(shí)施后，所起作用具體如下：一是對(duì)交易者產(chǎn)生約束力，減少各種不當(dāng)行為，鼓勵(lì)誠(chéng)信行為，降低交易風(fēng)險(xiǎn)；二是為交易者去了解其無(wú)法面對(duì)面接觸的交易伙伴提供決策依據(jù)，輔助其進(jìn)行決策，提高網(wǎng)上交易成功率；三是在一定程度上可以降低交易成本，如廣告、宣傳等費(fèi)用；四是信譽(yù)反饋不僅可以體現(xiàn)交易者的信譽(yù)狀況，也可側(cè)面反映出產(chǎn)品的質(zhì)量、價(jià)格、送貨時(shí)間等信息，起到監(jiān)督、管理作用；五是可作為電子商務(wù)網(wǎng)站質(zhì)量的標(biāo)準(zhǔn)之一，好的網(wǎng)站會(huì)擁有一個(gè)可信度高的反饋評(píng)分系統(tǒng)。因此，一個(gè)性能良好的信譽(yù)系統(tǒng)必須滿足以下條件：為交易者提供區(qū)別誠(chéng)信交易者和非誠(chéng)信交易者的條件；激勵(lì)交易者成為誠(chéng)信交易者；懲罰欺詐交易者的拍賣(mài)行為。

（四）服務(wù)保障

對(duì)電子商務(wù)交易而言，網(wǎng)站運(yùn)營(yíng)者通常會(huì)制定一些政策與規(guī)范包括服務(wù)條款、隱私政策、安全聲明、收費(fèi)規(guī)則、注冊(cè)規(guī)則等，而個(gè)體也會(huì)要求制定保證服務(wù)政策、退款政策等。

電子商務(wù)市場(chǎng)的服務(wù)條款是面向電子商務(wù)市場(chǎng)的交易者，在電子商務(wù)市場(chǎng)上進(jìn)行交易，均需簽署交易服務(wù)條款。收費(fèi)規(guī)則主要面向網(wǎng)絡(luò)市場(chǎng)的交易方，注冊(cè)規(guī)則對(duì)交易者在交易平臺(tái)上的注冊(cè)要求、注冊(cè)程序進(jìn)行說(shuō)明。

服務(wù)保障是保證交易者在電子商務(wù)市場(chǎng)合法權(quán)益的基礎(chǔ)，基礎(chǔ)的好壞關(guān)系著交易參與者的數(shù)量、活動(dòng)的質(zhì)量等。

電子商務(wù)交易中，交易者在遭受欺詐行為后：可以選擇向交易安全保障中心提出申訴，保障中心在核實(shí)交易屬實(shí)的情況下，向欺詐方提出懲罰要求后，賠償被欺詐方；也可以放棄申訴，選擇繼續(xù)交易或者喪失信息退出電子商務(wù)市場(chǎng)。而欺詐交易者在實(shí)施欺詐后，如果收到保障中心的懲罰要求，可以選擇賠償被欺詐方后繼續(xù)交易，也可以選擇拒絕賠償后推出交易市場(chǎng)。

五、總結(jié)

本文是針對(duì)丹東地區(qū)中小企業(yè)電子商務(wù)交易安全機(jī)制的框架展開(kāi)研究。

首先，從電子商務(wù)交易活動(dòng)所處階段構(gòu)造一個(gè)電子商務(wù)交易安全機(jī)制的框架，將交易活動(dòng)劃分為交易前期、交易中期和交易后期，在交易活動(dòng)的每個(gè)階段設(shè)計(jì)不同的安全機(jī)制，輔助電子商務(wù)網(wǎng)站進(jìn)行交易活動(dòng)。其次，從電子商務(wù)的體系結(jié)構(gòu)來(lái)分析其在業(yè)務(wù)關(guān)系和體系結(jié)構(gòu)關(guān)系兩方面的具體內(nèi)容，為電子商務(wù)交易設(shè)計(jì)一個(gè)安全、合理的交易安全策略。最后，在交易安全策略中，首先采用身份認(rèn)證模式為電子商務(wù)交易設(shè)置的第一道安全關(guān)口；在完成身份認(rèn)證后，根據(jù)交易用戶全進(jìn)進(jìn)行交易，在交易的過(guò)程中，采用不可否認(rèn)業(yè)務(wù)策略，對(duì)交易者的交易行為進(jìn)行控制、監(jiān)督；交易結(jié)束后，進(jìn)入信譽(yù)反饋策略階段，對(duì)交易行為進(jìn)行評(píng)價(jià)，為后續(xù)的交易活動(dòng)提供參考依據(jù)；同時(shí)，進(jìn)入服務(wù)保障策略階段，即為欺詐交易后被欺詐方提供一個(gè)保障、權(quán)利維護(hù)的過(guò)程。通過(guò)以上內(nèi)容，完善和彌補(bǔ)安全機(jī)制中的不足，為電子商務(wù)交易安全機(jī)制的設(shè)計(jì)提供一個(gè)理論、技術(shù)上實(shí)施的條件。

參考文獻(xiàn)：

[1] 張巍.網(wǎng)上拍賣(mài)中的信任模型研究[M].北京：中國(guó)財(cái)政經(jīng)濟(jì)出版社，2009.

[2] 張明光，魏琦.電子商務(wù)安全體系的探討[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005，26(2):394-396.

[3] Gouda MG,Liu AX.Structured firewall design[J].Computer Networks, 2007,51(4):1106-1120.

[4] Kamara S, Fahmy S,Schultz E, Kerschbaum F,Frantzen M.Analysis of vulnerabilities in Internet firewalls[J].Computers & Security, 2003,22(3):214-232.

[5] Kanungo S.Identity authentication in heterogeneous computing environments: a comparative study for an integrated framework[J].Computers & Security, 1994,13(3):231-253.

[6]Chen H, Shen X, Lv Y. A New Digital Signature Algorithm Similar to ELGamal Type[J].Journal of Software,2010,5(3):320-327.

[7]Spalding M. Deciding Whether or not to use a Third Party Certificate Authority[J].Network Security,2000,6(1):7-8.

［責(zé)任編輯：譚志遠(yuǎn)］