編者按：隨著全球經(jīng)濟(jì)的信息化發(fā)展數(shù)字時(shí)代的到來，信息共享逐漸成為未來很長(zhǎng)一段時(shí)間的發(fā)展趨勢(shì),。電子商務(wù)的發(fā)展打開了各行業(yè)的大門,，使其走向整個(gè)經(jīng)濟(jì)市場(chǎng)，開拓自己的發(fā)展道路,。電子商務(wù)的快速迅速發(fā)展,，在轉(zhuǎn)方式、調(diào)結(jié)構(gòu),、穩(wěn)增長(zhǎng),、促就業(yè)等等方面發(fā)揮了重要的作用，目前,，電子商務(wù)法已通過初審和二審,，按照全國(guó)人大常委會(huì)安排，不出意外的話,，今年年內(nèi)或?qū)⒊雠_(tái),。

隨著電子商務(wù)快速發(fā)展,，像App強(qiáng)制索權(quán)、大數(shù)據(jù)“殺熟”,、用戶數(shù)據(jù)泄露,、網(wǎng)絡(luò)病毒入侵，惡意盜卡,、網(wǎng)絡(luò)身份盜用等問題引起了社會(huì)的普遍關(guān)注,，如何有效規(guī)范電商行為、保護(hù)用戶身份安全,、促進(jìn)電商健康發(fā)展,，成了電子商務(wù)研究者和實(shí)務(wù)者共同思考的問題。本文節(jié)選汪德嘉博士《身份危機(jī)》一書中電子商務(wù)章節(jié),，帶大家了解電子商務(wù)網(wǎng)上支付將會(huì)遇到哪些身份認(rèn)證危機(jī),？又有哪些安全技術(shù)來做保障？

電子商務(wù)的概念及應(yīng)用范圍

電子商務(wù)是科技發(fā)展的產(chǎn)物,，它是指全球范圍內(nèi)交易雙方無(wú)需見面,，進(jìn)行各種金融、采購(gòu)等綜合交易活動(dòng)的新型商業(yè)模式,。以互聯(lián)網(wǎng)為載體基于瀏覽器和移動(dòng)APP的應(yīng)用方式,，進(jìn)行在線電子支付實(shí)現(xiàn)網(wǎng)絡(luò)購(gòu)物，由于它具有快捷,、方便,、高效的特點(diǎn)，在全球范圍內(nèi)廣受企業(yè)及私人個(gè)人的歡迎,。電子商務(wù)涉及企業(yè)與企業(yè)之間,、企業(yè)與消費(fèi)者之間以及企業(yè)內(nèi)部的商務(wù)往來。

電子商務(wù)網(wǎng)上支付危機(jī)

>

>

>

>

密碼設(shè)置不合理

現(xiàn)在網(wǎng)上支付渠道很多,，銀行卡,、微信、QQ,、支付寶以及各網(wǎng)站獨(dú)有的支付賬號(hào)都可以完成網(wǎng)上支付,。每一個(gè)付款渠道都需要獨(dú)有的密碼，經(jīng)調(diào)查顯示,，75%的人將所有密碼鎖設(shè)置為同一個(gè)密碼,，而且密碼構(gòu)成太過單一，簡(jiǎn)單的密碼破譯軟件就能輕松破解,。密碼多了,，會(huì)導(dǎo)致記憶混亂，可以采取自己的方法解決,。建議將密碼設(shè)置得復(fù)雜些,，以免受到惡意網(wǎng)站的攻擊,，造成不必要的財(cái)產(chǎn)損失,。

>

>

>

>

網(wǎng)絡(luò)病毒的入侵

近年來銀行卡賬戶中的資金無(wú)故流失,，或者是在自己操作的情況下被惡意劃走的現(xiàn)象頻頻出現(xiàn)，少則幾百多則百萬(wàn),。導(dǎo)致人心惶惶,，甚至對(duì)銀行的信任度直線下降。木馬如今往往會(huì)對(duì)正在操作的瀏覽器進(jìn)行實(shí)時(shí)監(jiān)控,，并將獲得銀行卡號(hào)和密碼,。

>

>

>

>

釣魚平臺(tái)

利用一些黑客技術(shù)在手機(jī)上發(fā)送假冒銀行身份的短信或者中獎(jiǎng)信息，亦或是通過發(fā)送郵件的形式,，誘導(dǎo)用戶輸入賬號(hào),，使用戶在不知不覺中掉進(jìn)圈套。釣魚平臺(tái)在我國(guó)泛濫成災(zāi),，在去年就處理了釣魚網(wǎng)站49308個(gè),，呈現(xiàn)出增加的趨勢(shì)。所以用戶要時(shí)刻關(guān)注銀行的提醒窗口,，謹(jǐn)慎行事,。

>

>

>

>

網(wǎng)上支付的信用問題

網(wǎng)絡(luò)交易付款是虛擬空間電子操作的副產(chǎn)品，消費(fèi)者摸不著,、看不到,，對(duì)整個(gè)交易平臺(tái)更是不了解。企業(yè)如何操作,，銀行與消費(fèi)者之間的交易渠道又是如何,，加之人與人之間本身存在的無(wú)形隔閡，使消費(fèi)者在進(jìn)行網(wǎng)上交易時(shí)思慮再三,，阻礙了交易的正常進(jìn)行,。據(jù)調(diào)查顯示，電子商務(wù)平臺(tái)給人們帶來了很多便利,，隨之而來的是要面臨更大的威脅,。這樣的虛擬平臺(tái)，以完全看不到的形式進(jìn)行交易,，在決定付款時(shí),，消費(fèi)者最關(guān)心的就是商家的信譽(yù)度，信譽(yù)度高的商家才能完成交易,。因此,，近年來入住網(wǎng)站的商家都在盡最大努力提升自己的信譽(yù)度，以解決電子商務(wù)的誠(chéng)信問題,。

>

>

>

>

網(wǎng)上支付的法律問題

電子商務(wù)網(wǎng)絡(luò)交易的發(fā)展勢(shì)頭過于激烈,，發(fā)展速度已經(jīng)超過人們的想象,。在這樣的發(fā)展形勢(shì)下，我國(guó)還沒有成熟有效的法律條款對(duì)其進(jìn)行制約,。網(wǎng)上交易遍布全國(guó)各大城市,、各個(gè)行業(yè)，包括了售前,、售中,、售后以及維護(hù)等環(huán)節(jié)。存在著頻繁的跨省市交易,，在整個(gè)電商行業(yè),，我國(guó)還沒有足夠的經(jīng)驗(yàn)和足夠的能力很好解決每個(gè)環(huán)節(jié)出現(xiàn)的問題。政策不明朗,、法律不健全,，使得消費(fèi)者不能保障自身的利益。

安全認(rèn)證機(jī)構(gòu)的建設(shè)混亂

CA認(rèn)證是對(duì)電子商務(wù)平臺(tái)的認(rèn)證,，是管理和發(fā)放數(shù)字證書的權(quán)威機(jī)構(gòu),。認(rèn)證是對(duì)入住商家資格、能力的評(píng)估認(rèn)可,，具有國(guó)家法律效力經(jīng)營(yíng)允許的證明,。認(rèn)證過程的公平、公正,、公開,、嚴(yán)禁度就成為了最關(guān)鍵的所在，而認(rèn)證條件是認(rèn)證結(jié)果的基礎(chǔ),。

CA認(rèn)證過程中存在著很多漏洞,，一則支付過程存在安全隱患，由CA機(jī)構(gòu)頒發(fā)的電子證書本具有單獨(dú)性,，不允許其他人借用,，可實(shí)際卻存在著交叉混用的情況。再則身份認(rèn)證系統(tǒng)不完善,，認(rèn)證作用只是保證一對(duì)一的網(wǎng)上交易安全可信,，而不能保證多家統(tǒng)一聯(lián)網(wǎng)交易的便利。三則整個(gè)認(rèn)證機(jī)構(gòu)沒有合理的指導(dǎo)思想,，更沒有對(duì)整個(gè)電商行業(yè)進(jìn)行統(tǒng)一管理和統(tǒng)一規(guī)劃,。行業(yè)混亂、技術(shù)雜亂,，沒有合理的技術(shù)指標(biāo)來規(guī)范所有商家,，導(dǎo)致電商網(wǎng)絡(luò)平臺(tái)所引進(jìn)的產(chǎn)品和設(shè)備參差不齊。

國(guó)內(nèi)電子商務(wù)移動(dòng)支付研究現(xiàn)狀

電商平臺(tái)不單只是基于瀏覽器,，隨著電子商務(wù)和移動(dòng)用戶群體迅速發(fā)展,，移動(dòng)電子商務(wù)作為一種新興的移動(dòng)增值業(yè)務(wù)正孕育著巨大的商機(jī),。而移動(dòng)支付是一種允許移動(dòng)用戶使用其移動(dòng)終端（通常是手機(jī)）對(duì)所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的支付方式，也稱為手機(jī)支付,。手機(jī)支付是目前為止速度最快的一種支付方式,，付款人可以利用手機(jī)隨時(shí)隨地完成支付活動(dòng)。不僅具有與銀行卡同樣的方便性,，同時(shí)又避免了在交易過程中使用多種銀行卡以及商家是否支持這些銀行卡結(jié)算的麻煩,。雖然目前手機(jī)支付只適用于小金額商品的買賣,，并不適用于大宗交易,。然而隨著三網(wǎng)融合技術(shù)的逐漸成熟，手機(jī)支付將成為人們生活中必不可少的交易方式之一,。因此電子商務(wù)的安全需兼顧移動(dòng)端及PC端,。

我國(guó)移動(dòng)支付業(yè)務(wù)共經(jīng)歷了三個(gè)發(fā)展階段。第一階段是通過短信或者語(yǔ)言確認(rèn)的小額話費(fèi)支付,；第二階段是移動(dòng)運(yùn)營(yíng)商和銀行合作的手機(jī)銀行卡業(yè)務(wù),，用戶通過使用信，語(yǔ)音等方式操作銀行卡賬戶進(jìn)行支付,；第三階段是遠(yuǎn)程支付和現(xiàn)場(chǎng)支付,，遠(yuǎn)程支付是用戶通過手化的交易平臺(tái)，基于移動(dòng)通信網(wǎng)絡(luò)或者互聯(lián)網(wǎng)技術(shù),，利用移動(dòng)終端發(fā)送數(shù)據(jù)信息,，完成充值，購(gòu)物,，轉(zhuǎn)賬等電子商務(wù)操作?，F(xiàn)場(chǎng)支付是指面對(duì)面的交易，可以發(fā)生在人與人之間或者人與機(jī)器之間,，通過移動(dòng)網(wǎng)絡(luò)或者不通過移動(dòng)網(wǎng)絡(luò)完成支付過程,。

電子商務(wù)移動(dòng)支付危機(jī)

移動(dòng)支付會(huì)面臨來自互聯(lián)網(wǎng)和移動(dòng)通信系統(tǒng)的雙重威脅，再加上金錢的加成作用,，電子商務(wù)移動(dòng)支付面臨的風(fēng)險(xiǎn)往往更多,、更復(fù)雜，主要包括：

電子商務(wù)身份認(rèn)證技術(shù)

如今隨著智能手機(jī)的普及,，移動(dòng)支付業(yè)務(wù)也跟著一起被推廣開來,。因?yàn)橐苿?dòng)用戶數(shù)量每年都在高速增長(zhǎng)，化得移動(dòng)支付安全問題漸漸成為國(guó)內(nèi)外學(xué)者研究的重點(diǎn),。國(guó)內(nèi)外學(xué)者對(duì)于移動(dòng)支付安全協(xié)議做了大量的研究工作,，主要重點(diǎn)是支付過程中各方的身份認(rèn)證、數(shù)據(jù)加密及不可否認(rèn)性方面,。

目前移動(dòng)支付主要用到的基本安全技術(shù)有：加密算法,、數(shù)字簽名技術(shù),、口令認(rèn)證、IC卡認(rèn)證,、生物認(rèn)證等,，這幾種認(rèn)證方式在此前發(fā)布的文章中已有詳細(xì)描述，這里不在贅述,。

網(wǎng)上電子商務(wù)數(shù)字身份認(rèn)證技術(shù)

常用的電子商務(wù)身份認(rèn)證解決方案是：把密碼學(xué),、PKl/CA與AetiveX技術(shù)應(yīng)用在B/S體系機(jī)構(gòu)中，設(shè)計(jì)出一套基于數(shù)字證書的電子商務(wù)平臺(tái)的身份認(rèn)證解決方案,。

>

>

>

>

數(shù)字認(rèn)證的關(guān)鍵技術(shù)

1) 密碼學(xué)

密碼學(xué)是研究編制密碼和破譯密碼的技術(shù)科舉,。研究密碼變化的客觀規(guī)律，應(yīng)用于編制密碼以保守通信秘密的,，稱為編碼學(xué),。應(yīng)用于破譯密碼以獲取通信情報(bào)的，稱為破譯學(xué),，它們總稱密碼學(xué),。密碼算法和安全協(xié)議是密碼學(xué)的兩個(gè)基本部分。根據(jù)算法完成的功能來劃分,，密碼算法可分為對(duì)稱加密,、公開密鑰。數(shù)字簽名及信息摘要這五種算法,。協(xié)議是指兩個(gè)參與者進(jìn)行的為了完成某種特定任務(wù)而采取的一系列有序的步驟,，這兩個(gè)參與者可能是完全的相互信任的，也可能是攻擊者和完全不信任的人,。使用密碼學(xué)完成某項(xiàng)特定任務(wù)并滿足安全需求的協(xié)議就是安全協(xié)議,，比如消息認(rèn)證協(xié)議、數(shù)字簽名協(xié)議等,。

2)PKI/CA與數(shù)字證書

PKI(PublieKeyInfrastructure)指的是公鑰基礎(chǔ)設(shè)施,。CA(CertificateAuthority)指的是認(rèn)證中心。PKI從技術(shù)上解決了網(wǎng)絡(luò)通信安全的種種障礙,。CA從運(yùn)營(yíng),、管理、規(guī)范,、法律,、人員等多個(gè)角度來解決了網(wǎng)絡(luò)信任問題。由此,，人們統(tǒng)稱為“PKI/CA",。從總體構(gòu)架來看，PKI/CA主要由最終用戶、認(rèn)證中心和注冊(cè)機(jī)構(gòu)來組成,。

PKI/CA的工作原理是建立一套信任網(wǎng)絡(luò),，該網(wǎng)絡(luò)是通過發(fā)送和維護(hù)數(shù)字證書來實(shí)現(xiàn)的。同一信任網(wǎng)絡(luò)中的不同的用戶擁有與其身份惟一對(duì)應(yīng)的數(shù)字證書,，該信任網(wǎng)絡(luò)就是通過數(shù)字證書來完整身份認(rèn)證和安全處理的,。可以將數(shù)字證書理解為數(shù)字版本的身份證,、駕駛證等,，在電子商務(wù)活動(dòng)中，當(dāng)系統(tǒng)需要客戶表明身份時(shí),，客戶就必須通過出示他的數(shù)字證書,。一個(gè)CA是以該CA為信任源，維護(hù)一定范圍的信任體系,，在該信任體系中,，所有的用戶,、服務(wù)器,，都被發(fā)送一張數(shù)字證書來表明其身份證在該信任體系中是可信任的。數(shù)字證書是交易活動(dòng)中,，用戶,、服務(wù)器用來檢查對(duì)方身份的憑據(jù)。

注冊(cè)中心的職責(zé)是審核證書申請(qǐng)者的真實(shí)身份,。用戶的身份通過審核后,，注冊(cè)中心將用戶信息上傳到CA，CA將根據(jù)該用戶信息為用戶制作數(shù)字證書,。證書的吊銷和更新也需要由注冊(cè)中心向CA提交申請(qǐng),。也就是說，注冊(cè)中心面向最終用戶,，CA面向注冊(cè)中心,，注冊(cè)中心將最終用戶和CA連接起來。

3)ActiveX控件

電子商務(wù)系統(tǒng)中進(jìn)行瀏覽器端安全控件的開發(fā)時(shí),，常選用AetiveX組件技術(shù),。該組件主要完成這些功能：對(duì)客戶端要發(fā)送數(shù)據(jù)進(jìn)行數(shù)字信封方式的封裝，使用Des對(duì)稱加密算法對(duì)發(fā)來的信息進(jìn)行加密和數(shù)字簽名,；驗(yàn)證服務(wù)器數(shù)字證書的合法性,。

AetiveX控件在電子商務(wù)系統(tǒng)中的具體實(shí)現(xiàn)過程如下：客戶端向電子商務(wù)服務(wù)器發(fā)送請(qǐng)求，服務(wù)器向客戶端回傳內(nèi)嵌有ActiveX控件的頁(yè)面,，由瀏覽器對(duì)ActiveX控件進(jìn)行解釋,。瀏覽器根據(jù)頁(yè)面中表明的ActiveX控件的ID值，在客戶端計(jì)算機(jī)的注冊(cè)表中進(jìn)行查詢,，如果該ID也存在于注冊(cè)表中,，說明客戶端計(jì)算了已經(jīng)安裝了ActiveX控件,，否則客戶端就要根據(jù)頁(yè)面中的路徑信息，到服務(wù)器端下載ActivcX控件并自動(dòng)安裝注冊(cè),。這樣,，ActiveX控件就可以使用了。

>

>

>

>

電子商務(wù)中數(shù)字認(rèn)證流程

該系統(tǒng)框架圖（見圖11-1）描述了電子商務(wù)系統(tǒng)中數(shù)字認(rèn)證的詳細(xì)工作流程：客戶端通過瀏覽器訪問電子商務(wù)系統(tǒng)服務(wù)器,，服務(wù)器確認(rèn)客戶端安裝了用于安全支付的ActiveX控件,，客戶端填寫支付的相關(guān)信息，客戶端ActiveX控件對(duì)客戶填寫的信息進(jìn)行加密和數(shù)字簽名,，使用PKCS7標(biāo)準(zhǔn)封裝成數(shù)字信封,，并發(fā)送給服務(wù)器端，服務(wù)器端收到數(shù)字信封,，調(diào)用具有同樣加解密,、簽名算法的COM組件進(jìn)行解封裝、解密,、驗(yàn)證數(shù)字簽名,，并訪問CRL驗(yàn)證數(shù)字證書的合法性等工作，服務(wù)器返回確認(rèn)信息給客戶端,，完成數(shù)字認(rèn)證過程,。

圖11-1 電子商務(wù)數(shù)字認(rèn)證流程

>

>

>

>

安全支付的解決方案

安全支付是電子商務(wù)系統(tǒng)中和身份認(rèn)證同樣重要的安全性問題，只有保證支付的可靠性,，才能使買賣雙方的交易活動(dòng)順利進(jìn)行,。因此，安全支付問題的研究對(duì)于電子商務(wù)系統(tǒng),，具有十分重要的意義,。

縱觀目前各大電子商務(wù)網(wǎng)站和網(wǎng)上支付系統(tǒng)，主要有兩種支付方式,，來確保支付的安全性：口令,、USBKEY?？诹罴淬y行頒發(fā)給客戶的用戶名和密碼,，在進(jìn)行網(wǎng)上支付時(shí)，確認(rèn)支付金額等信息后,，支付系統(tǒng)需要用戶提供其網(wǎng)上支付口令信息,，這些信息是經(jīng)過加密的，在確認(rèn)口令信息正確后,，支付系統(tǒng)才允許支付行為的合法性,。USBKEY是一種物理方式的安全保證系統(tǒng)。用戶在注冊(cè)網(wǎng)上銀行時(shí)，銀行頒發(fā)經(jīng)過加密的與用戶信息相符合的數(shù)字簽名,，并將此數(shù)字簽名存儲(chǔ)在USBKEY中,。在進(jìn)行網(wǎng)上支付時(shí)，支付系統(tǒng)需要確認(rèn)客戶端連接USBKEY,。并且該USBKEY的數(shù)字簽名是與用戶信息相符合的,，這樣支付系統(tǒng)才運(yùn)行支付行為的進(jìn)行。對(duì)于兩種安全支付方式,，口令方式具有操作的簡(jiǎn)易性的優(yōu)點(diǎn),，USBKEY操作相對(duì)復(fù)雜，并且需要客戶端安裝USBKey驅(qū)動(dòng)等軟件,，但是它具有更高的安全性,，因此建議對(duì)安全性要求高的客戶，選用USBKEY安全支付方式,。

>

>

>

>

支付安全的容錯(cuò)性設(shè)計(jì)

盡管采取了各種設(shè)計(jì)方案來確保支付的安全性,。交易過程中，仍然會(huì)出現(xiàn)人為的或者不確定性因素造成的錯(cuò)誤支付行為,，因此,，有必要采取相應(yīng)措施，提高支付系統(tǒng)的容錯(cuò)性,。目前,，普遍采用的容錯(cuò)性方案是：支付行為結(jié)束后，并不是馬上將交易貨款劃入賣方的賬戶,，而是將這筆貨款暫存在電子商務(wù)提供商或者銀行里，等買方確認(rèn)交易活動(dòng)的成功進(jìn)行后,，才將貨款劃入買方賬戶,。買方在支付貨款后，如果發(fā)現(xiàn)交易活動(dòng)有誤,，可以取消該交易,，這樣已經(jīng)支付的貨款就會(huì)返回到買方的賬戶。這種容錯(cuò)性設(shè)計(jì)方案,，大大提高了支付的安全性,。

結(jié)束：中國(guó)的電子商務(wù)特別是中國(guó)的網(wǎng)絡(luò)零售業(yè)發(fā)展迅猛，成為全世界最大的網(wǎng)上零售市場(chǎng),，網(wǎng)上零售已占到中國(guó)銷售品零售總額的13%以上,。而電子商務(wù)領(lǐng)域的消費(fèi)者權(quán)益保障問題，要從電子商務(wù)的立法理念以及保護(hù)消費(fèi)者權(quán)益的立法對(duì)策等方面進(jìn)行考量,。對(duì)于網(wǎng)絡(luò)上的交易責(zé)任,，我國(guó)的新《消費(fèi)者權(quán)益保護(hù)法》對(duì)此的規(guī)定是，平臺(tái)先行賠付，而此次的《電子商務(wù)法》也延續(xù)了這種思路,，這個(gè)條款進(jìn)一步保障了消費(fèi)者的權(quán)益,，使得在發(fā)生糾紛的時(shí)候，消費(fèi)者不會(huì)訴求無(wú)門,。

《電子商務(wù)法》的出臺(tái)必將為消費(fèi)者們的生活帶來更大的便利,，同時(shí)也意味著，平臺(tái)和企業(yè)在消費(fèi)者權(quán)益保護(hù)過程中應(yīng)當(dāng)承擔(dān)更大的責(zé)任,。

互聯(lián)網(wǎng)金融是借助于互聯(lián)網(wǎng)技術(shù),、移動(dòng)通信技術(shù)來實(shí)現(xiàn)資金融通、支付和信息中介等業(yè)務(wù)的一種新興金融模式,。毫無(wú)疑問,，互聯(lián)網(wǎng)金融正以其獨(dú)特的運(yùn)行方式和價(jià)值創(chuàng)造模式，影響著傳統(tǒng)金融業(yè)務(wù),，逐步成為整個(gè)金融生態(tài)體系中不可忽視的一部分,。接下來的章節(jié)中將為大家分享互聯(lián)網(wǎng)金融面臨的風(fēng)險(xiǎn)以及互聯(lián)網(wǎng)金融人臉識(shí)別的運(yùn)用，敬請(qǐng)期待,！