丹東地區中小企業電子商務安全機制框架設計

王文佳

摘要：隨著中國加入WTO，朝鮮半島形勢變化，丹東地區的中小企業面臨著新挑戰和新的發展機遇。為此，應該注重電子商務的發展，集中精力設計完成一套適合的電子商務安全機制，為經濟發展營造一個良好的商務氛圍。

關鍵詞：電子商務；安全機制；策略；身份認證

中圖分類號：F127文獻標識碼：A

文章編號：1005-913X（2014）07-0061-02

一、引言

隨著Internet和電子商務的廣泛應用，丹東地區中小企業的生產和經營方式發生著深刻的改變，對網絡尤其是電子商務各個領域的應用安全關注越來越高。而丹東地區中小企業的電子商務市場在近年來取得了巨大的成績，市場理論研究和社會宣傳不斷深入。與其他商品交易相比，電子商務具有獨特的經濟功能，對社會經濟發展重要的現實意義。但是，丹東地區中小企業消費者在享受電子商務帶來的便捷時，同樣需要面對隨之產生的各種問題，例如：欺詐問題、行為問題等諸多信息不確定的問題。傳統市場中，各類法律法規是市場的主要保障機制，而電子商務作為一種新生事物，本身具有互聯網的匿名性、開放性等特點，在注冊方式、操作方式、履約方式等方面都存在著巨大的差異，傳統的法律法規很難實現對網絡交易的規范、保障。[1]同時，電子商務發展面臨諸多的安全問題：[2]電子商務系統硬件安全、電子商務系統軟件安全、電子商務系統運行安全、電子商務安全立法、身份識別等。

因此，研究科學、合理的電子商務交易的安全機制，對于建立、完善丹東地區電子商務市場，為本地區電子商務發展營造一個較為寬松的信用環境，推動電子商務市場的健康發展有著重要的實用價值。

二、安全機制的框架結構

電子商務的交易安全機制的框架結構，從交易活動的角度可以分為交易前期、交易中期和交易后期。

在交易前期，客戶通過客戶端瀏覽器登錄電子商務網站，通過防火墻的過濾和檢查連接到網站后臺系統服務器，進行身份認證，即對客戶的身份進行識別和確認，以便授權其參與交易活動。無論是新用戶還是老用戶，經過認證中心(CA)身份確認后，即可得到電子商務網站授權，以某一固定角色的身份進入交易活動中，從事拍賣活動。

在交易中期，客戶充當某角色的參與者進行交易活動，系統會根據其歷史交易記錄和當前交易數據對其行為進行分析，具體包括：對其信任度進行評估，即對參與者的信譽狀況進行考察，為其交易伙伴提供交易參考依據；對其行為進行欺詐識別，即對參與者在交易時的行為進行分析，識別不端行為，為交易者提供安全、公平、公正的交易平臺；對其當前交易活動進行確認，即經過認證中心(CA)認證后的不可否認業務，使參與者不能恣意毀約等。

在交易后期，客戶參與的交易活動進入結尾階段，在結束前任需對交易參與者的行為進行分析，具體包括：網上支付，即通過第三方支付網關支付貨款；信任反饋評分，即交易者對交易伙伴的信譽狀況進行評分，為今后的交易者提供參考依據；服務保障，即為交易者所提供安全保障措施等。

交易中所有的數據、記錄會及時的存儲如電子商務網站的后臺數據庫，以便為日后的交易提供信息參考、方便網站的管理。

三、體系結構

從電子商務的業務角度來看，網站相當于一個媒介，買方、賣方、網上銀行均得通過電子商務網站這個平臺進行交易。首先，無論是買方還是賣方，都需獲得網站的認可，方可進行交易，交易者在登陸網站后，可以注冊交易用戶或過客，在得到網站所授予的權限和角色后，可以實現該權限和角色所能賦予的權利；其次，網上銀行與網站之間，需要互相鑒別之后建立交易聯系，其中實現鑒別、監督、管理等相關工作的中介為第三方機構；再次，交易者必須在得到網上銀行的審核后，擁有自己的獨立可支付賬戶，去完成網絡交易，并受網上銀行的監督、管理及保障；最后交易者在交易前，必須通過自身本地計算機加密服務提供者建立自己的公/私鑰，申請CA認證并獲得相關證書及權益。

一個安全的交易機制，從其體系結構來看，由于電子商務網站是基于互聯網的，并且互聯網具有開放性的特征，則交易安全機制必須在互聯網和內部業務系統之間構建一道安全屏障，防止非法入侵者對系統數據的破壞。這道安全屏障采用防火墻技術，[3]將Internet和內部網(Intranet)分開，所有訪問、交易請求必須經過防火墻，只有滿足防火墻規則的請求才允許通過。防火墻是設置在用戶網絡和外界之間的一道屏障，防止不可預料的、潛在的破壞侵入用戶網絡。[4] [5]

第三方支付網關是指與產品所在國家以及國外各大銀行簽約、并具備一定實力和信譽保障的第三方獨立機構提供的交易支持平臺。在該交易中，賣方選購商品后，使用第三方支付網關提供的賬戶進行貨款支付，由第三方通知賣家貨款到達進行打貨，買方檢驗物品后，就可以通知付款給賣家，第三方再將貨款項專職賣家賬戶。

四、交易安全策略

由于電子商務交易涉及到許多敏感數據，必須加以保護，同時要防止惡意入侵者對網站資源的破壞、對正當交易的破壞、對參與者合法權益的破壞，防止參與者商業信息的泄漏。交易用戶通過客戶端瀏覽器登陸電子商務網站，首先通過防火墻的檢測、過濾，接下來進入安全策略中的重要環節即服務器的安全控制過程，最終得到數據存儲。

只有電子商務網站的交易安全機制具備了完整安全策略，并真正執行于交易中，才能為交易營造一個安全的環境。真正的交易安全不但要依靠先進的技術、理論，還需嚴格管理和安全教育。先進的網絡安全技術是交易的根本保證，特別是為了保證交易的安全進行所提供的一系列技術，包括防火墻技術、SSL、身份認證技術、數據完整性和數字簽名技術等。

所以，在丹東地區中小企業電子商務交易安全機制設計時，應該考慮網站和交易的安全性即安全策略，具體包括：身份認證、信任評估、欺詐識別、不可否認業務、信譽反饋和服務保障。

（一）身份認證

身份欺詐是網上欺詐的主要形式，為后期交易的其他欺詐埋下了禍根。因為在交易的開始階段，對交易者身份的錯誤識別，后期無論加入如何優越的信任機制也徒勞無益。因此，要為交易者創造一個安全環境，首先需要建一個能對網絡交易雙方身份進行驗證、對網絡傳遞信息給予證實的策略，即身份認證。

身份認證[6]的實現方法很多，比如ID號、數字證書、指紋圖像、DNA以及電子簽名等。對一些安全強度不高的系統，可以使簡單的身份認證方法，例如通過ID號及密碼來檢查身份的合法性，不需要很大的代價；而對一些安全強度高的、需要復雜的認證系統，代價很大，使用起來具有局限性。根據計算機技術、網絡技術的發展，結合電子商務的交易機制需求，數字證書是比較適合的身份認證手段，本身在電子商務系統的開銷、可操作性、安全強度各方面均符合需求，實施也比較方便，易于推廣。

電子簽名[6]是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。通俗點說，電子簽名就是通過密碼技術對電子文檔的電子形式的簽名，并非是書面簽名的數字圖像化，類似于手寫簽名或印章，也可以稱為電子印章。電子簽名并非是書面簽名的數字圖像化，而是一種電子代碼，利用電子簽名，收件人便能在網上輕松驗證發件人的身份和簽名，還能驗證出文件的原文在傳輸過程中有無變動。如果有人想通過網絡把一份重要文件發送給外地的人，收件人和發件人都需要首先向一個許可證授權機構(CA)申請一份電子許可證。這份加密的證書包括了申請者在網上的公共鑰匙即“公共電腦密碼”，用于文件驗證。

（二）認證中心(CA)

身份認證中所使用的數字證書必須是由可信賴的機構頒發的，擔任此功能的機構一般稱為認證中心(CA)。CA[7]執行證書服務功能，接收證書的請求，根據CA的策略驗證申請者的信息，并使用期私鑰將其數字簽名應用于證書。然后CA將證書頒發給證書受領人，用作公鑰基礎結構(PKI)內的安全憑證。同時，CA機構還負責吊銷證書并發布證書吊銷列表(CRL)。

在電子商務的交易中，由系統中的分枝系統充當CA，理由為：電子商務的交易具有其獨特的交易方式和需要，專業的CA并不完全適合業務，嵌入交易后，需要做很大調整，這樣會造成不必要的資源浪費；電子商務系統是賣方、買方、網上銀行等多用戶的平臺，管理業務方便、快捷。

為了管理和維護證書申請、頒發的證書等資源，CA機構還需具備數據的存儲功能。CA使用數據可存儲的信息包括：由CA頒發的證書；由CA吊銷的證書；CA接收的證書申請；CA拒絕的證書申請；被CA擱置的證書申請。同時，為了防止數據丟失，采取備份和日志的功能。日志保留了涉及證書數據庫每一項事務的記錄。證書數據庫日志可用于從備份中還原CA。

（三）信譽反饋

信譽反饋是安全機制中必不可少的一個環節，目的在于收集、分發、集成了參與者過去交易行為的反饋，防止不誠實者參與交易，提高了信任水平，并提高了交易效益，信譽能夠大大影響交易價格。信譽反饋對買賣雙方都具有重大的戰略作用。交易者根據反饋標準向信譽反饋中心提交關于交易伙伴的信譽反饋評分；信譽反饋中心將交易者所提交的信譽反饋生成信譽反饋信息存儲在數據庫中；交易者在后繼的交易活動中，可查看歷史反饋信息，為其做決策時提供參考依據。

信譽反饋實施后，所起作用具體如下：一是對交易者產生約束力，減少各種不當行為，鼓勵誠信行為，降低交易風險；二是為交易者去了解其無法面對面接觸的交易伙伴提供決策依據，輔助其進行決策，提高網上交易成功率；三是在一定程度上可以降低交易成本，如廣告、宣傳等費用；四是信譽反饋不僅可以體現交易者的信譽狀況，也可側面反映出產品的質量、價格、送貨時間等信息，起到監督、管理作用；五是可作為電子商務網站質量的標準之一，好的網站會擁有一個可信度高的反饋評分系統。因此，一個性能良好的信譽系統必須滿足以下條件：為交易者提供區別誠信交易者和非誠信交易者的條件；激勵交易者成為誠信交易者；懲罰欺詐交易者的拍賣行為。

（四）服務保障

對電子商務交易而言，網站運營者通常會制定一些政策與規范包括服務條款、隱私政策、安全聲明、收費規則、注冊規則等，而個體也會要求制定保證服務政策、退款政策等。

電子商務市場的服務條款是面向電子商務市場的交易者，在電子商務市場上進行交易，均需簽署交易服務條款。收費規則主要面向網絡市場的交易方，注冊規則對交易者在交易平臺上的注冊要求、注冊程序進行說明。

服務保障是保證交易者在電子商務市場合法權益的基礎，基礎的好壞關系著交易參與者的數量、活動的質量等。

電子商務交易中，交易者在遭受欺詐行為后：可以選擇向交易安全保障中心提出申訴，保障中心在核實交易屬實的情況下，向欺詐方提出懲罰要求后，賠償被欺詐方；也可以放棄申訴，選擇繼續交易或者喪失信息退出電子商務市場。而欺詐交易者在實施欺詐后，如果收到保障中心的懲罰要求，可以選擇賠償被欺詐方后繼續交易，也可以選擇拒絕賠償后推出交易市場。

五、總結

本文是針對丹東地區中小企業電子商務交易安全機制的框架展開研究。

首先，從電子商務交易活動所處階段構造一個電子商務交易安全機制的框架，將交易活動劃分為交易前期、交易中期和交易后期，在交易活動的每個階段設計不同的安全機制，輔助電子商務網站進行交易活動。其次，從電子商務的體系結構來分析其在業務關系和體系結構關系兩方面的具體內容，為電子商務交易設計一個安全、合理的交易安全策略。最后，在交易安全策略中，首先采用身份認證模式為電子商務交易設置的第一道安全關口；在完成身份認證后，根據交易用戶全進進行交易，在交易的過程中，采用不可否認業務策略，對交易者的交易行為進行控制、監督；交易結束后，進入信譽反饋策略階段，對交易行為進行評價，為后續的交易活動提供參考依據；同時，進入服務保障策略階段，即為欺詐交易后被欺詐方提供一個保障、權利維護的過程。通過以上內容，完善和彌補安全機制中的不足，為電子商務交易安全機制的設計提供一個理論、技術上實施的條件。

參考文獻：

[1] 張巍.網上拍賣中的信任模型研究[M].北京：中國財政經濟出版社，2009.

[2] 張明光，魏琦.電子商務安全體系的探討[J].計算機工程與設計，2005，26(2):394-396.

[3] Gouda MG,Liu AX.Structured firewall design[J].Computer Networks, 2007,51(4):1106-1120.

[4] Kamara S, Fahmy S,Schultz E, Kerschbaum F,Frantzen M.Analysis of vulnerabilities in Internet firewalls[J].Computers & Security, 2003,22(3):214-232.

[5] Kanungo S.Identity authentication in heterogeneous computing environments: a comparative study for an integrated framework[J].Computers & Security, 1994,13(3):231-253.

[6]Chen H, Shen X, Lv Y. A New Digital Signature Algorithm Similar to ELGamal Type[J].Journal of Software,2010,5(3):320-327.

[7]Spalding M. Deciding Whether or not to use a Third Party Certificate Authority[J].Network Security,2000,6(1):7-8.

［責任編輯：譚志遠］