1、Ebusiness電子商務2012年1月161電子商務中的身份認證技術及安全支付研究廣西工商職業(yè)技術學院呂玉珠摘要：本文首先介紹了身份認證技術中的常用鑒別機制，即數(shù)字證書、數(shù)字信封、數(shù)字時間戳、智能卡、認證中心等。身份認證技術在信息安全中處于相當重要的地位，是其他安全問題的前提，通過比較進一步分析了他們的安全性。然后介紹了電子商務中網(wǎng)上支付存在的一些安全隱患及解決辦法的研究，為電子商務的進一步發(fā)展提供安全護航。最后簡單地介紹了電子商務中

2、的支付安全管理問題。關鍵詞：電子商務安全問題身份認證技術安全支付中圖分類號：F724文獻標識碼：A文章編號：10055800(2012)01(a)16102電子商務的安全問題的首要防線是身份認證技術，身份認證技術包括身份識別和身份鑒別技術。身份識別是用戶向系統(tǒng)出示屬于自己身份證明的一個過程，身份鑒別則是系統(tǒng)通過用戶所提供的證明，核查用戶身份的過程，驗證用戶提供的證明是否和系統(tǒng)存儲的用戶資料相符，從而來確定用戶是否可以存在其他請求資源的存

3、儲權與使用權。1電子商務中身份認證技術方法和實現(xiàn)過程目前我國采用的身份認證技術方法主要是認證中心體系，認證中心體系是將公鑰簽發(fā)證書給用戶，用來實現(xiàn)證明公鑰的分發(fā)與有效性。通過對認證中心體系的研究，來研究身份認證技術的方法和實現(xiàn)的過程。以下對認證中心體系的包含元素進行探討。1.1電子商務中身份認證技術方法(1)數(shù)字證書：依照聯(lián)合國制定的電子簽字示范法中的第一條規(guī)定，證書是可以證實簽字人與簽字生成證據(jù)有聯(lián)系的其他記錄或者是某一數(shù)據(jù)電文。在電

4、子商務交易支付中，買賣雙方為了證明自己的身份，是要通過第三方的認證來進行身份的識別。而數(shù)字證書就是買賣雙方的身份證明，其中含有證書申請者的個人信息與公開密鑰的文件。數(shù)字證書是確定買賣雙方身份的工具，每一個數(shù)字證書都由證書管理中心做了獨一無二代表客戶身份的數(shù)字簽名，任何第三方都不能夠將證書中的內容進行修改。只有申請數(shù)字證書，交易者才能進入電子商務的網(wǎng)上交易過程。(2)數(shù)字信封：通過私密密鑰加密技術對將要發(fā)送的信息進行加密被稱之為數(shù)字信封技

5、術，又使用公開密鑰加密技術對私密密鑰進行加密的過程，它集合了公開密鑰加密技術和私密加密密鑰技術的優(yōu)勢，可以保證數(shù)據(jù)傳輸?shù)陌踩浴?3)數(shù)字時間戳：數(shù)字時間戳是對交易文件中的日期和時間采取保密處理，數(shù)字時間戳服務是可以為電子文件發(fā)表時間提供安全的保護，數(shù)字時間戳服務是一項由專門機構所提供的安全服務項目。它主要包含需要時間戳文件的摘要和數(shù)字簽名，所收到文件的時間和日期。(4)智能卡：智能卡是集存儲數(shù)據(jù)和存儲數(shù)據(jù)能力，對數(shù)據(jù)進行處理過程對數(shù)據(jù)

6、加密解密功能的智能集成電路卡，它對數(shù)字簽名和數(shù)字簽名的驗證。智能卡在電子商務系統(tǒng)中有著戰(zhàn)略性的作用，減輕了客戶端系統(tǒng)的負擔，它能夠承擔對信息的加密解密、簽名及對簽名的驗證等。同時，智能卡是私人密鑰和數(shù)字證書的載體，能夠識別持卡人是否為合法使用者的同時，還可以通過對智能卡的改動來對用戶密碼的改變。這些功能使智能卡成為了用戶的身份識別和接入的身份認證技術。(5)數(shù)字摘要：通過單向Hash函數(shù)對文件中的若干重要元素進行某種變換運算被稱之為數(shù)字

7、摘要，得到固定長度的摘要碼，在傳輸信息時加入文件送給接收方，接收方以相同的方法進行變換運算，如果得到的結果和發(fā)送來的摘要碼一樣，就可以判斷文件沒有被篡改，反之亦然。(6)數(shù)字簽名：數(shù)字簽名技術是運用公開密鑰密碼體制，使用一對不對稱，卻又相互匹配的密鑰來實現(xiàn)加密和解密技術。數(shù)字簽名的運用可以保證信息安全從發(fā)送方傳輸?shù)浇邮辗?，中途不被不法分子更改。所以?shù)字簽名技術被電子商務交易中身份認證所采用。(7)認證中心：認證中心是認證中心體系的核心，

8、是進行客戶身份認證的場所，主要職責是數(shù)字憑證的管理、數(shù)字憑證的申請和簽發(fā)。認證中心是嚴格按照認證操作規(guī)定來實施服務的，它是買賣雙方的中介機構。在電子商務進行交易時，交易雙方可以請求認證中心對此進行認證。1.2電子商務中身份認證的實現(xiàn)過程電子商務中身份認證的實現(xiàn)過程實質是用戶數(shù)字簽名的認證過程，用戶在進行網(wǎng)上交易的時候，提交訂單信息和個人賬戶信息之后會生成一個私鑰和證書，認證中心就會根據(jù)訂單信息和用戶的個人賬戶信息生成的私鑰和證書進行數(shù)字

9、簽名，將數(shù)字簽名文件包和用戶個人賬號信息以及生成的證書傳輸給接收方。接收方獲得發(fā)送方的數(shù)字簽名賬號信息后，首先要到認證中心去檢驗該證書是否合法，從而確定接受的信息與信息發(fā)送者的身份是否具有真實性。如果是真實的信息，還要用證書中包含的公鑰來檢驗接受的文件是否是發(fā)送方簽署的。接收方驗證發(fā)送方簽署的文件包后，重復類似于簽名的操作步驟，不同點在于需要用證書里的公鑰對于簽名對象進行初始化，最后要調用verify(signature)來檢驗簽名，這

10、樣可以便于用戶對其進行擴展和重用代碼.電子商務中身份認證的實現(xiàn)過程為電子商務網(wǎng)上交易的安全保駕護航，是保證電子商務快速發(fā)展的有力保證。一般認證實現(xiàn)過程如圖1所示：圖1認證過程結構圖Ebusiness電子商務1622012年1月2電子商務安全支付問題及解決方案電子商務是通過電信網(wǎng)絡進行的商業(yè)活動，電信網(wǎng)絡是電子商務的載體，由于網(wǎng)絡的開放性，這就導致了電子商務網(wǎng)上支付的安全隱患問題。2.1電子商務支付的安全問題電子商務發(fā)展的關鍵問題就在于安

11、全支付問題，安全支付問題的解決可以使電子商務得到迅速發(fā)展，這是我總結的一些支付安全問題：硬件設施的安全，網(wǎng)絡的安全，技術的安全，系統(tǒng)的安全。硬件的安全可以是系統(tǒng)資源(主機、應用服務器、安全隔離網(wǎng)閘)、通信電路及其他的一些硬件設備的安全性，硬件安全是電子商務支付安全問題的首要前提。網(wǎng)絡安全是指電子商務交易在網(wǎng)絡媒介中所存在的安全問題，為防止在傳輸過程中信息的虛假和篡改以及被竊取行為，保證電子商務交易能夠順利進行，網(wǎng)絡系統(tǒng)為電子商務的支付交

12、易提供了條件。如果網(wǎng)絡系統(tǒng)得不到保障(軟件錯誤、病毒、黑客入侵等)，就會導致電子商務系統(tǒng)不能進行正常工作，無法使信息準時、準確地從發(fā)送者到接受者，這會帶來很大的經(jīng)濟損失。技術安全是電子商務支付安全問題的核心，通過不同的網(wǎng)絡安全技術和安全標準來保證電子商務支付安全，本文提過的數(shù)字簽名技術就是一種安全技術，身份認證技術中的認證中心就是執(zhí)行著一定的安全標準而實行的。還有一些協(xié)議也保證電子商務支付安全進行，例如在線支付協(xié)議。技術的安全實現(xiàn)了電子

13、商務在支付時的安全保密性與真實性、完整性與不可抵賴性。2.2電子商務支付安全問題的解決方案根據(jù)本文提到的一些安全問題，有以下的解決方案：在硬件安全方面，我們可以提高對硬件設施的要求，對常用于商業(yè)性的網(wǎng)上交易的硬件制定統(tǒng)一的標準；在網(wǎng)絡安全方面，研發(fā)殺毒軟件或研發(fā)反黑客侵略系統(tǒng)等；在技術安全方面，完善電子商務中支付安全技術，制定嚴格的安全協(xié)議；在系統(tǒng)安全方面，通過安全加固，解決管理方面的漏洞等來增強系統(tǒng)的安全防護能力。無線網(wǎng)絡的發(fā)展隨著計

14、算機和網(wǎng)絡技術的不斷更新也得到了長足進步越來越多的用戶使用筆記本電腦或膝上式計算機工作商業(yè)用戶由于經(jīng)常往來于各個城市之間更需要移動辦公因而無線網(wǎng)絡非常適合這些用戶的需要。現(xiàn)在應用最廣泛的就是基于802.11協(xié)議的無線局域網(wǎng)技術。然而由于其傳播媒介是暴露于大氣中通過空間來傳播信號與有線網(wǎng)絡相比更容易被黑客竊聽而獲得重要的信息。因此對無線局域網(wǎng)的安全問題研究也顯得非常重要然而常規(guī)的無線局域網(wǎng)安全措施如WEP等都已被證明不再安全所以更多的安全

15、措施也相繼出臺利用VPN技術來實現(xiàn)無線局域網(wǎng)的安全保護就是其中之一。IPSecVPN是目前應用最廣泛的方案它可以采用幾乎所有的加密算法被大多數(shù)公司和組織認可。但是它也有一些難以解決的問題。IPSecVPN是一種基礎設施性質的安全技術。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的安全性。可問題在于，部署IPSec需要對基礎設施進行重大改造，以便遠程訪問。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術支持，包括

16、在運行和長期維護兩個方面。但是IPSecVPN最大的難點在于客戶端需要安裝復雜的軟件，而且當用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。所以在這種情況下，提出建立整體安全認證體系，滿足對柜員身份認證、交易數(shù)據(jù)保密和抗抵賴的需求；同時，目前該行柜員身份認證還依賴于口令方式，同樣存在巨大的安全隱患。因此，基于當代的先進技術構建該行安全認證系統(tǒng)是極為迫切的。目前對于信息安全局域網(wǎng)絡一般來說，要求用戶接入局域網(wǎng)就可以訪問網(wǎng)

17、絡上的設備或資源。但是已有的一些簡單認證或者沒有認證系統(tǒng)網(wǎng)絡從運營和控制管理的角度可看出這種模式存在用戶管理安全性問題。用戶沒有帳戶密碼，只能通過簡單的捆綁MAC地址與IP地址來管理，這樣信息安全就能夠得到極大地保護。3電子商務中的支付安全管理問題除了電子商務中技術、網(wǎng)絡、硬件、系統(tǒng)安全問題的解決，我們還通過支付全過程的安全管理來完善電子商務支付安全系統(tǒng)。要加強電子商務支付安全系統(tǒng)，首先要對信息進行安全建設，規(guī)劃性的管理。然后建設管理單

18、位對安全功能進行測試。最后要對系統(tǒng)進行運行維護，降低支付安全問題的發(fā)生。除此之外網(wǎng)絡處在不斷調整中，會不斷出現(xiàn)新的安全隱患，要建立一個動態(tài)的、閉環(huán)的管理流程。在整體安全策略的指導下，及時了解網(wǎng)絡支付中存在的安全隱患問題，根據(jù)網(wǎng)絡中所存在的一些安全隱患問題，制定出相應的安全方案，將系統(tǒng)調制到一個相對安全的狀態(tài)，這就是電子商務中支付安全問題的管理?？偠灾?，本文分析了電子商務中身份認證技術的一般方式，總結了電子商務中身份認證的技術流程，通過

19、了解電子商務中支付過程中存在的一些安全隱患，提出了相應的解決辦法。通過對知識點的綜合，提出了電子商務支付安全問題解決的管理方式，保證了電子商務中支付問題發(fā)生概率的減小。電子商務中安全支付問題的解決和完善，為電子商務的發(fā)展帶來了很大的前進空間。參考文獻[1]高建華.電子商務安全技術分析與研究[J].計算機與數(shù)字工程2007(2).[2]張慧.數(shù)字簽名在電子商務中的應用[J].湖北教育學院學報2005(2).[3]王茜楊德禮.電子商務的安全

20、體系結構及技術研究[J].計算機工程2003(01).[4]殷國宴.電子商務中的身份認證技術研究[D].西安電子科技大學2006.發(fā)展的需求，對知識產(chǎn)權法律進行修訂是我們必須盡快著手的內容。同時，由于全球經(jīng)濟一體化的開展，參與國際知識產(chǎn)權保護條約，維護我國電子商務在國際上的利益也必不可少。我國已經(jīng)參與了伯爾尼公約和日內瓦公約，于1994年簽署TRIPS協(xié)議并與美國等多個國家達成了關于貿(mào)易發(fā)展的雙邊或多邊協(xié)議。我國立法機關在進行著作權法的

21、相關修訂時清醒地認識到了國際知識產(chǎn)權保護的發(fā)展趨勢，密切注視電子商務等技術的新發(fā)展，并在立法中予以體現(xiàn)。我們希望依據(jù)電子商務發(fā)展的現(xiàn)實狀況，在著作權法等的具體修訂中著重加入一些內容，包括數(shù)據(jù)信息在電子作品中的復制權，表演者公開再現(xiàn)表演和通過網(wǎng)絡等進行聲音或者表演傳送行為或作品的知識產(chǎn)權保護。參考文獻[1]鄧宏光.商標法的理論基礎[M].北京:法律出版社2008(2).[2]王遷.知識產(chǎn)權法教程[M].北京:中國人民大學出版社2007.(