淮阴工学院经济管理学院 董绍斌

1995年以来，随着以Web技术为代表的信息发布系统爆炸式地成长，Internet逐渐成为我们这个信息化社会的神经系统，“宅经济”悄然兴起，电子商务时代扑面而来。

1 电子商务

基于对电子商务的不同理解，人们对电子商务的定义有所不同，但总体来说，电子商务是依托互联网进行的，以数据电讯(DATAMESSAGE，包括计算机网络和各种电讯方式)为交易手段，以因特网为运行平台，买卖双方在“不谋面”地情况下进行各种商贸活动的观点已达成共识。电子商务正以高效、快捷、 便利、无国界、无时差的商务活动形式影响着我们的社会生活。

据美国著名的高科技市场研究机构Forrester Research发布的调查报告显示，2010年美国电子商务销售额同比增长了12.6%，实现销售额1760亿美元，同时该研究机构还预测在今后5年内，这一销售额年度增长率将保持在10%左右，并由此预计2015年时的美国电子商务销售额将达到2790亿美元，电子商务已成为美国国民经济增长的重要支点。

相对美国而言，我国电子商务起步较晚，但随着2010年10月10日，国务院发布的《国务院关于加快培育和发展战略性新兴产业的决定》，尤其是由国家工信部牵头、发改委等9部委联合制定的《电子商务“十二五”规划》(初稿)的出炉，我国电子商务发展驰入了快车道。

据相关机构的调查数据显示，2010年，我国电子商务行业的融资总额已高达10亿美元，电子商务做为最富有活力和前景的新型信息服务业，正逐步向经济主流和商务核心方向延伸，进行电子商务的主体已由主要是IT厂商、媒体和电子商务服务商，进而转向为电子商务企业，大批传统制造业、密集型生产企业开始大规模进入电子商务领域，有专家预言，在未来的5～10年，中国的电子商务将遍地开花，不断走向繁荣。

2 电子商务的安全交易问题

随着电子商务的迅猛发展，电子商务这种新型的经济模式，以其全新的企业经营理念、经营手段、经营环境吸引着越来越多的人通过Internet参与进来，并享受着电子商务带来的高效、便捷和方便。

然而，随着电子商务应用范围的日益扩大，针对电子商务的各种犯罪活动也日益猖獗起来，信息盗用问题日益紧迫。电子商务的安全问题引起了人们的普遍关注。

2.1 身份认证带来的交易风险

我们知道，电子商务业务系统架构是在基于ca 体系的安全基础之上的，业务系统主要采用对称加密、密钥加密的方式传送信息，这样，身份认证问题就是一个关键，因此，针对身份的犯罪手段层出不穷，大家都熟知的，发生于2010年8月7日山东农业银行郓城支行的在ATM插卡口安装盗码装置案件，就是一个明显的例子，即使像美国花旗银行这样著名的银行也曾蒙受因身份认证问题而导致的损失。正如Verisign执行主席James Bidzos所言：“今天我们面临的挑战将会是不同于以往的，身份也会变得至关重要”。

2.2 电子商务中如何规避由于身份认证问题带来的交易风险

我们知道，“素昧平生”的买卖双方，在不谋面的情况下达成交易，依赖的是互联网的开放性，然而，正如“成也萧何，败也萧何”，身份认证问题的出现也正是开放性所至。

电子商务环境下，身份认证需包含三个基本内容，第一个是客户身份认证内容、第二个是客户拥有的特殊认证加强机制、第三个是客户本身的惟一特征。

为保证电子商务活动过程中系统的安全性，正确进行身份认证，人们通常是通过使用加密手段来达到该目的。

2.2.1 采用PKI技术，实现安全的身份认证和数据加密功能

PKI技术主要的加密手段是基于公钥基础设施(PKI)体系结构，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet网上验证用户的身份，同时，PKI体系结构能够将公钥密码和对称密码结合起来，在Internet网上实现对密钥的自动管理，以确保网上数据的机密性、完整性和真实性。

PKI技术是基于公私钥密码体系的一种身份认证技术，主要应用于网上银行领域。在电子商务中，如果我们希望在网上开立网上银行帐户，您会发现，目前网上银行的网站都是签定HTTPS协议，而不再是HTTP协议，后面多出的这个“S”就是代表安全的意思，该协议以PKI技术为支撑，通过为每一个用户分配一个私钥和一个公钥证书，来实现安全的身份认证和数据加密功能。

PKI技术目前已比较成熟，但受到成本和易用性的制约，并不是很大众化的身份认证问题解决的最佳方案。

2.2.2 采用双因素身份认证技术确保交易身价的准确性

所谓“双因素”是密码学的一个概念，指将多种因素结合来进行身份认证。双因素身份认证由基本身份认证和附加身份认证组成。

(1)基本身份认证。基本身份认证的事项只有两个，即客户在注册时自己预先设置的用户名及密码。

进行基本身份认证往往是通过密码确认，这种用户名/密码的身份认证方法，是基于“what you know”的验证手段，实际应用中，人们往往为了便于记忆，会采用如生日之类的容易被他人猜到的有意义的字符串作为密码，极易造成密码泄露。同时，由于密码是静态的数据,且在验证过程中，需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。

(2)附加身份的认证。附加身份的认证内容是客户持有、保管并使用的可实现身份认证方式的信息，如手机号码等物理介质或电子设备，这类信息不易被复制、修改和破解。从技术上来说，附加身份认证包括数字证书(USB Key)、动态密码(令牌、密码卡、刮刮卡)、生物认证(虹膜、指纹等)等手段。

鉴于各类技术有应用中的实际问题，如生物认证手段中的虹膜和指纹的采集比对，具有较高的实施难度，因此从安全与可行的相对平衡点出发，采用动态口令技术更为安全适用。

动态口令技术是相对传统的静态口令技术而言的，我们知道单纯的静态密码作为对客户的身份认证方式，已不足以防止身份密码的丢失，甚至成为犯罪分子成功盗取客户资金的一把钥匙，因此，动态口令技术应运而生。动态口令技术其基本思路是把用户记忆的口令变成用户持有的设备生成的口令，并且不断变化。以避免由于如木马病毒等恶意程序引发的密码丢失问题。但是，由于用户在交易过程中每次使用的密码必须由动态令牌来产生,因此必须依赖于收发口令的硬件设施，如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就必然出现合法用户也无法登录的问题，所以，具有易用、低成本和便携性的手机软件动态口令，应该是身份认证的一个发展方向。

数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限，并据此进行相关交易操作，以确保交易双方身份的真实性。数字证书的发放是由具有权威性和公正性的第三方来完成的。认证中心是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构，因此，交易双方不必担心双方身份的真伪。

2.3 采用一次性密码卡技术确保交易帐户的安全

一次性密码卡技术是将一些随机的数字密码预先印刷在一张卡片上，用户登录时拿出一个来使用，然后这个密码就失效了，再次登录时再使用另外一个密码，直到一张卡上的密码全部使用完毕，再换新卡。

这种技术可以符合密码学里“一次一密”的思想，可以说是最完美的，遗憾的是这种方式用户需要经常去换卡，最大的问题就是麻烦。

2.4 采用数字签名方式，确保交易安全

数字签名技术是实现交易安全的核心技术之一，它实现的基础就是加密技术，实践中有多种实现数字签名的方法，但采用较多的是公开密钥算法。

公开密钥算法是用户在提交定单和个人账号信息的同时，生成一个私钥和证书，即可以对传递的重要数据需要签署的信息进行数字签名，然后把该账号连同生成的证书和对该文件的签名文件作为一个签名文件包传输给接受方。接受方获得发送方的签名账号信息后，要求首先到某个可以信任的ca中心“公钥初始化签名对象”去验证该证书的合法性，以确定发送方所宣称的身份是否可信。如果确认为可信，则可以用证书中所包含的公钥来验证传输来的文件是否为发送方所签署的，即调用verify(signature)来验签。同时，也有人采用消息摘要的方法进行加密，所谓信息摘要，也称Hash编码法或MDS编码法。它是由Ron Rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用，生成一串128bit的密文，这一串密文又被称为“数字指纹”(Digital Fingerprint)。所谓单向是指不能被解密，不同的明文摘要成密文，其结果是绝不会相同的，而同样的明文其摘要必定是一致的，因此，这串摘要成为了验证明文是否是“真身”的数字“指纹”了。这种加密系统，是今后可能大规模普及的下一代互联网身份认证技术之一。

总之，电子商务因将传统的交易流程电子化、数据化，使商务活动突破了时间和空间的限制，因而获得了远大的发展前景而充满活力，也正因如此，电子商务交易也随时面临着巨大的交易风险。“莫道浮云能蔽日”，只要我们掌握正确的加密手段，交易风险是完全可以避免的。

[1]高建华.电子商务安全技术分析与研究[J].计算机与数字工程,2007(02).

[2]兰丽娜,刘辛越.电子商务安全体系研究[J].学术研究,2007(04).

[3]谢红燕.电子商务的安全问题及对策研究[J].哈尔滨商业大学学报(自然科学版).2007(06).

[4]张慧.数字签名在电子商务中的应用[J].湖北教育学院学报,2005(02).