电子商务中的身份认证技术及安全支付研究

广西工商职业技术学院 吕玉珠

电子商务的安全问题的首要防线是身份认证技术，身份认证技术包括身份识别和身份鉴别技术。身份识别是用户向系统出示属于自己身份证明的一个过程，身份鉴别则是系统通过用户所提供的证明，核查用户身份的过程，验证用户提供的证明是否和系统存储的用户资料相符，从而来确定用户是否可以存在其他请求资源的存储权与使用权。

1 电子商务中身份认证技术方法和实现过程

目前我国采用的身份认证技术方法主要是认证中心体系，认证中心体系是将公钥签发证书给用户，用来实现证明公钥的分发与有效性。通过对认证中心体系的研究，来研究身份认证技术的方法和实现的过程。以下对认证中心体系的包含元素进行探讨。

1.1 电子商务中身份认证技术方法

(1)数字证书：依照联合国制定的电子签字示范法中的第一条规定，证书是可以证实签字人与签字生成证据有联系的其他记录或者是某一数据电文。在电子商务交易支付中，买卖双方为了证明自己的身份，是要通过第三方的认证来进行身份的识别。而数字证书就是买卖双方的身份证明，其中含有证书申请者的个人信息与公开密钥的文件。数字证书是确定买卖双方身份的工具，每一个数字证书都由证书管理中心做了独一无二代表客户身份的数字签名，任何第三方都不能够将证书中的内容进行修改。只有申请数字证书，交易者才能进入电子商务的网上交易过程。

(2)数字信封：通过私密密钥加密技术对将要发送的信息进行加密被称之为数字信封技术，又使用公开密钥加密技术对私密密钥进行加密的过程，它集合了公开密钥加密技术和私密加密密钥技术的优势，可以保证数据传输的安全性。

(3)数字时间戳：数字时间戳是对交易文件中的日期和时间采取保密处理，数字时间戳服务是可以为电子文件发表时间提供安全的保护，数字时间戳服务是一项由专门机构所提供的安全服务项目。它主要包含需要时间戳文件的摘要和数字签名，所收到文件的时间和日期。

(4)智能卡：智能卡是集存储数据和存储数据能力，对数据进行处理过程对数据加密解密功能的智能集成电路卡，它对数字签名和数字签名的验证。智能卡在电子商务系统中有着战略性的作用，减轻了客户端系统的负担，它能够承担对信息的加密解密、签名及对签名的验证等。同时，智能卡是私人密钥和数字证书的载体，能够识别持卡人是否为合法使用者的同时，还可以通过对智能卡的改动来对用户密码的改变。这些功能使智能卡成为了用户的身份识别和接入的身份认证技术。

(5)数字摘要：通过单向Hash函数对文件中的若干重要元素进行某种变换运算被称之为数字摘要，得到固定长度的摘要码，在传输信息时加入文件送给接收方，接收方以相同的方法进行变换运算，如果得到的结果和发送来的摘要码一样，就可以判断文件没有被篡改，反之亦然。

(6)数字签名：数字签名技术是运用公开密钥密码体制，使用一对不对称，却又相互匹配的密钥来实现加密和解密技术。数字签名的运用可以保证信息安全从发送方传输到接收方，中途不被不法分子更改。所以数字签名技术被电子商务交易中身份认证所采用。

(7)认证中心：认证中心是认证中心体系的核心，是进行客户身份认证的场所，主要职责是数字凭证的管理、数字凭证的申请和签发。认证中心是严格按照认证操作规定来实施服务的，它是买卖双方的中介机构。在电子商务进行交易时，交易双方可以请求认证中心对此进行认证。

1.2 电子商务中身份认证的实现过程

电子商务中身份认证的实现过程实质是用户数字签名的认证过程，用户在进行网上交易的时候，提交订单信息和个人账户信息之后会生成一个私钥和证书，认证中心就会根据订单信息和用户的个人账户信息生成的私钥和证书进行数字签名，将数字签名文件包和用户个人账号信息以及生成的证书传输给接收方。

接收方获得发送方的数字签名账号信息后，首先要到认证中心去检验该证书是否合法，从而确定接受的信息与信息发送者的身份是否具有真实性。如果是真实的信息，还要用证书中包含的公钥来检验接受的文件是否是发送方签署的。

接收方验证发送方签署的文件包后，重复类似于签名的操作步骤，不同点在于需要用证书里的公钥对于签名对象进行初始化，最后要调用verify(signature)来检验签名，这样可以便于用户对其进行扩展和重用代码.电子商务中身份认证的实现过程为电子商务网上交易的安全保驾护航，是保证电子商务快速发展的有力保证。一般认证实现过程如图1所示：

图1 认证过程结构图

2 电子商务安全支付问题及解决方案

电子商务是通过电信网络进行的商业活动，电信网络是电子商务的载体，由于网络的开放性，这就导致了电子商务网上支付的安全隐患问题。

2.1 电子商务支付的安全问题

电子商务发展的关键问题就在于安全支付问题，安全支付问题的解决可以使电子商务得到迅速发展，这是我总结的一些支付安全问题：硬件设施的安全，网络的安全，技术的安全，系统的安全。

硬件的安全可以是系统资源(主机、应用服务器、安全隔离网闸)、通信电路及其他的一些硬件设备的安全性，硬件安全是电子商务支付安全问题的首要前提。

网络安全是指电子商务交易在网络媒介中所存在的安全问题，为防止在传输过程中信息的虚假和篡改以及被窃取行为，保证电子商务交易能够顺利进行，网络系统为电子商务的支付交易提供了条件。如果网络系统得不到保障(软件错误、病毒、黑客入侵等)，就会导致电子商务系统不能进行正常工作，无法使信息准时、准确地从发送者到接受者，这会带来很大的经济损失。

技术安全是电子商务支付安全问题的核心，通过不同的网络安全技术和安全标准来保证电子商务支付安全，本文提过的数字签名技术就是一种安全技术，身份认证技术中的认证中心就是执行着一定的安全标准而实行的。还有一些协议也保证电子商务支付安全进行，例如在线支付协议。技术的安全实现了电子商务在支付时的安全保密性与真实性、完整性与不可抵赖性。

2.2 电子商务支付安全问题的解决方案

根据本文提到的一些安全问题，有以下的解决方案：在硬件安全方面，我们可以提高对硬件设施的要求，对常用于商业性的网上交易的硬件制定统一的标准；在网络安全方面，研发杀毒软件或研发反黑客侵略系统等；在技术安全方面，完善电子商务中支付安全技术，制定严格的安全协议；在系统安全方面，通过安全加固，解决管理方面的漏洞等来增强系统的安全防护能力。

无线网络的发展随着计算机和网络技术的不断更新也得到了长足进步,越来越多的用户使用笔记本电脑或膝上式计算机工作,商业用户由于经常往来于各个城市之间更需要移动办公,因而无线网络非常适合这些用户的需要。现在应用最广泛的就是基于802.11协议的无线局域网技术。然而由于其传播媒介是暴露于大气中,通过空间来传播信号,与有线网络相比更容易被黑客窃听而获得重要的信息。因此对无线局域网的安全问题研究也显得非常重要,然而常规的无线局域网安全措施如WEP等都已被证明不再安全,所以更多的安全措施也相继出台,利用VPN技术来实现无线局域网的安全保护就是其中之一。IPSec VPN是目前应用最广泛的方案,它可以采用几乎所有的加密算法,被大多数公司和组织认可。但是它也有一些难以解决的问题。IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。但是IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。所以在这种情况下，提出建立整体安全认证体系，满足对柜员身份认证、交易数据保密和抗抵赖的需求；同时，目前该行柜员身份认证还依赖于口令方式，同样存在巨大的安全隐患。因此，基于当代的先进技术构建该行安全认证系统是极为迫切的。

目前对于信息安全局域网络一般来说，要求用户接入局域网就可以访问网络上的设备或资源。但是已有的一些简单认证或者没有认证系统网络从运营和控制管理的角度可看出这种模式存在用户管理安全性问题。用户没有帐户密码，只能通过简单的捆绑MAC地址与 IP 地址来管理，这样信息安全就能够得到极大地保护。

3 电子商务中的支付安全管理问题

除了电子商务中技术、网络、硬件、系统安全问题的解决，我们还通过支付全过程的安全管理来完善电子商务支付安全系统。

要加强电子商务支付安全系统，首先要对信息进行安全建设，规划性的管理。然后建设管理单位对安全功能进行测试。最后要对系统进行运行维护，降低支付安全问题的发生。除此之外网络处在不断调整中，会不断出现新的安全隐患，要建立一个动态的、闭环的管理流程。在整体安全策略的指导下，及时了解网络支付中存在的安全隐患问题，根据网络中所存在的一些安全隐患问题，制定出相应的安全方案，将系统调制到一个相对安全的状态，这就是电子商务中支付安全问题的管理。

总而言之，本文分析了电子商务中身份认证技术的一般方式，总结了电子商务中身份认证的技术流程，通过了解电子商务中支付过程中存在的一些安全隐患，提出了相应的解决办法。通过对知识点的综合，提出了电子商务支付安全问题解决的管理方式，保证了电子商务中支付问题发生概率的减小。电子商务中安全支付问题的解决和完善，为电子商务的发展带来了很大的前进空间。

[1]高建华.电子商务安全技术分析与研究[J].计算机与数字工程,2007(2).

[2]张慧.数字签名在电子商务中的应用[J].湖北教育学院学报,2005(2).

[3]王茜,杨德礼.电子商务的安全体系结构及技术研究[J].计算机工程,2003(01).

[4]殷国宴.电子商务中的身份认证技术研究[D].西安电子科技大学,2006.