丹东地区中小企业电子商务安全机制框架设计

王文佳

摘要：随着中国加入WTO，朝鲜半岛形势变化，丹东地区的中小企业面临着新挑战和新的发展机遇。为此，应该注重电子商务的发展，集中精力设计完成一套适合的电子商务安全机制，为经济发展营造一个良好的商务氛围。

关键词：电子商务；安全机制；策略；身份认证

中图分类号：F127文献标识码：A

文章编号：1005-913X（2014）07-0061-02

一、引言

随着Internet和电子商务的广泛应用，丹东地区中小企业的生产和经营方式发生着深刻的改变，对网络尤其是电子商务各个领域的应用安全关注越来越高。而丹东地区中小企业的电子商务市场在近年来取得了巨大的成绩，市场理论研究和社会宣传不断深入。与其他商品交易相比，电子商务具有独特的经济功能，对社会经济发展重要的现实意义。但是，丹东地区中小企业消费者在享受电子商务带来的便捷时，同样需要面对随之产生的各种问题，例如：欺诈问题、行为问题等诸多信息不确定的问题。传统市场中，各类法律法规是市场的主要保障机制，而电子商务作为一种新生事物，本身具有互联网的匿名性、开放性等特点，在注册方式、操作方式、履约方式等方面都存在着巨大的差异，传统的法律法规很难实现对网络交易的规范、保障。[1]同时，电子商务发展面临诸多的安全问题：[2]电子商务系统硬件安全、电子商务系统软件安全、电子商务系统运行安全、电子商务安全立法、身份识别等。

因此，研究科学、合理的电子商务交易的安全机制，对于建立、完善丹东地区电子商务市场，为本地区电子商务发展营造一个较为宽松的信用环境，推动电子商务市场的健康发展有着重要的实用价值。

二、安全机制的框架结构

电子商务的交易安全机制的框架结构，从交易活动的角度可以分为交易前期、交易中期和交易后期。

在交易前期，客户通过客户端浏览器登录电子商务网站，通过防火墙的过滤和检查连接到网站后台系统服务器，进行身份认证，即对客户的身份进行识别和确认，以便授权其参与交易活动。无论是新用户还是老用户，经过认证中心(CA)身份确认后，即可得到电子商务网站授权，以某一固定角色的身份进入交易活动中，从事拍卖活动。

在交易中期，客户充当某角色的参与者进行交易活动，系统会根据其历史交易记录和当前交易数据对其行为进行分析，具体包括：对其信任度进行评估，即对参与者的信誉状况进行考察，为其交易伙伴提供交易参考依据；对其行为进行欺诈识别，即对参与者在交易时的行为进行分析，识别不端行为，为交易者提供安全、公平、公正的交易平台；对其当前交易活动进行确认，即经过认证中心(CA)认证后的不可否认业务，使参与者不能恣意毁约等。

在交易后期，客户参与的交易活动进入结尾阶段，在结束前任需对交易参与者的行为进行分析，具体包括：网上支付，即通过第三方支付网关支付货款；信任反馈评分，即交易者对交易伙伴的信誉状况进行评分，为今后的交易者提供参考依据；服务保障，即为交易者所提供安全保障措施等。

交易中所有的数据、记录会及时的存储如电子商务网站的后台数据库，以便为日后的交易提供信息参考、方便网站的管理。

三、体系结构

从电子商务的业务角度来看，网站相当于一个媒介，买方、卖方、网上银行均得通过电子商务网站这个平台进行交易。首先，无论是买方还是卖方，都需获得网站的认可，方可进行交易，交易者在登陆网站后，可以注册交易用户或过客，在得到网站所授予的权限和角色后，可以实现该权限和角色所能赋予的权利；其次，网上银行与网站之间，需要互相鉴别之后建立交易联系，其中实现鉴别、监督、管理等相关工作的中介为第三方机构；再次，交易者必须在得到网上银行的审核后，拥有自己的独立可支付账户，去完成网络交易，并受网上银行的监督、管理及保障；最后交易者在交易前，必须通过自身本地计算机加密服务提供者建立自己的公/私钥，申请CA认证并获得相关证书及权益。

一个安全的交易机制，从其体系结构来看，由于电子商务网站是基于互联网的，并且互联网具有开放性的特征，则交易安全机制必须在互联网和内部业务系统之间构建一道安全屏障，防止非法入侵者对系统数据的破坏。这道安全屏障采用防火墙技术，[3]将Internet和内部网(Intranet)分开，所有访问、交易请求必须经过防火墙，只有满足防火墙规则的请求才允许通过。防火墙是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络。[4] [5]

第三方支付网关是指与产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在该交易中，卖方选购商品后，使用第三方支付网关提供的账户进行货款支付，由第三方通知卖家货款到达进行打货，买方检验物品后，就可以通知付款给卖家，第三方再将货款项专职卖家账户。

四、交易安全策略

由于电子商务交易涉及到许多敏感数据，必须加以保护，同时要防止恶意入侵者对网站资源的破坏、对正当交易的破坏、对参与者合法权益的破坏，防止参与者商业信息的泄漏。交易用户通过客户端浏览器登陆电子商务网站，首先通过防火墙的检测、过滤，接下来进入安全策略中的重要环节即服务器的安全控制过程，最终得到数据存储。

只有电子商务网站的交易安全机制具备了完整安全策略，并真正执行于交易中，才能为交易营造一个安全的环境。真正的交易安全不但要依靠先进的技术、理论，还需严格管理和安全教育。先进的网络安全技术是交易的根本保证，特别是为了保证交易的安全进行所提供的一系列技术，包括防火墙技术、SSL、身份认证技术、数据完整性和数字签名技术等。

所以，在丹东地区中小企业电子商务交易安全机制设计时，应该考虑网站和交易的安全性即安全策略，具体包括：身份认证、信任评估、欺诈识别、不可否认业务、信誉反馈和服务保障。

（一）身份认证

身份欺诈是网上欺诈的主要形式，为后期交易的其他欺诈埋下了祸根。因为在交易的开始阶段，对交易者身份的错误识别，后期无论加入如何优越的信任机制也徒劳无益。因此，要为交易者创造一个安全环境，首先需要建一个能对网络交易双方身份进行验证、对网络传递信息给予证实的策略，即身份认证。

身份认证[6]的实现方法很多，比如ID号、数字证书、指纹图像、DNA以及电子签名等。对一些安全强度不高的系统，可以使简单的身份认证方法，例如通过ID号及密码来检查身份的合法性，不需要很大的代价；而对一些安全强度高的、需要复杂的认证系统，代价很大，使用起来具有局限性。根据计算机技术、网络技术的发展，结合电子商务的交易机制需求，数字证书是比较适合的身份认证手段，本身在电子商务系统的开销、可操作性、安全强度各方面均符合需求，实施也比较方便，易于推广。

电子签名[6]是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，类似于手写签名或印章，也可以称为电子印章。电子签名并非是书面签名的数字图像化，而是一种电子代码，利用电子签名，收件人便能在网上轻松验证发件人的身份和签名，还能验证出文件的原文在传输过程中有无变动。如果有人想通过网络把一份重要文件发送给外地的人，收件人和发件人都需要首先向一个许可证授权机构(CA)申请一份电子许可证。这份加密的证书包括了申请者在网上的公共钥匙即“公共电脑密码”，用于文件验证。

（二）认证中心(CA)

身份认证中所使用的数字证书必须是由可信赖的机构颁发的，担任此功能的机构一般称为认证中心(CA)。CA[7]执行证书服务功能，接收证书的请求，根据CA的策略验证申请者的信息，并使用期私钥将其数字签名应用于证书。然后CA将证书颁发给证书受领人，用作公钥基础结构(PKI)内的安全凭证。同时，CA机构还负责吊销证书并发布证书吊销列表(CRL)。

在电子商务的交易中，由系统中的分枝系统充当CA，理由为：电子商务的交易具有其独特的交易方式和需要，专业的CA并不完全适合业务，嵌入交易后，需要做很大调整，这样会造成不必要的资源浪费；电子商务系统是卖方、买方、网上银行等多用户的平台，管理业务方便、快捷。

为了管理和维护证书申请、颁发的证书等资源，CA机构还需具备数据的存储功能。CA使用数据可存储的信息包括：由CA颁发的证书；由CA吊销的证书；CA接收的证书申请；CA拒绝的证书申请；被CA搁置的证书申请。同时，为了防止数据丢失，采取备份和日志的功能。日志保留了涉及证书数据库每一项事务的记录。证书数据库日志可用于从备份中还原CA。

（三）信誉反馈

信誉反馈是安全机制中必不可少的一个环节，目的在于收集、分发、集成了参与者过去交易行为的反馈，防止不诚实者参与交易，提高了信任水平，并提高了交易效益，信誉能够大大影响交易价格。信誉反馈对买卖双方都具有重大的战略作用。交易者根据反馈标准向信誉反馈中心提交关于交易伙伴的信誉反馈评分；信誉反馈中心将交易者所提交的信誉反馈生成信誉反馈信息存储在数据库中；交易者在后继的交易活动中，可查看历史反馈信息，为其做决策时提供参考依据。

信誉反馈实施后，所起作用具体如下：一是对交易者产生约束力，减少各种不当行为，鼓励诚信行为，降低交易风险；二是为交易者去了解其无法面对面接触的交易伙伴提供决策依据，辅助其进行决策，提高网上交易成功率；三是在一定程度上可以降低交易成本，如广告、宣传等费用；四是信誉反馈不仅可以体现交易者的信誉状况，也可侧面反映出产品的质量、价格、送货时间等信息，起到监督、管理作用；五是可作为电子商务网站质量的标准之一，好的网站会拥有一个可信度高的反馈评分系统。因此，一个性能良好的信誉系统必须满足以下条件：为交易者提供区别诚信交易者和非诚信交易者的条件；激励交易者成为诚信交易者；惩罚欺诈交易者的拍卖行为。

（四）服务保障

对电子商务交易而言，网站运营者通常会制定一些政策与规范包括服务条款、隐私政策、安全声明、收费规则、注册规则等，而个体也会要求制定保证服务政策、退款政策等。

电子商务市场的服务条款是面向电子商务市场的交易者，在电子商务市场上进行交易，均需签署交易服务条款。收费规则主要面向网络市场的交易方，注册规则对交易者在交易平台上的注册要求、注册程序进行说明。

服务保障是保证交易者在电子商务市场合法权益的基础，基础的好坏关系着交易参与者的数量、活动的质量等。

电子商务交易中，交易者在遭受欺诈行为后：可以选择向交易安全保障中心提出申诉，保障中心在核实交易属实的情况下，向欺诈方提出惩罚要求后，赔偿被欺诈方；也可以放弃申诉，选择继续交易或者丧失信息退出电子商务市场。而欺诈交易者在实施欺诈后，如果收到保障中心的惩罚要求，可以选择赔偿被欺诈方后继续交易，也可以选择拒绝赔偿后推出交易市场。

五、总结

本文是针对丹东地区中小企业电子商务交易安全机制的框架展开研究。

首先，从电子商务交易活动所处阶段构造一个电子商务交易安全机制的框架，将交易活动划分为交易前期、交易中期和交易后期，在交易活动的每个阶段设计不同的安全机制，辅助电子商务网站进行交易活动。其次，从电子商务的体系结构来分析其在业务关系和体系结构关系两方面的具体内容，为电子商务交易设计一个安全、合理的交易安全策略。最后，在交易安全策略中，首先采用身份认证模式为电子商务交易设置的第一道安全关口；在完成身份认证后，根据交易用户全进进行交易，在交易的过程中，采用不可否认业务策略，对交易者的交易行为进行控制、监督；交易结束后，进入信誉反馈策略阶段，对交易行为进行评价，为后续的交易活动提供参考依据；同时，进入服务保障策略阶段，即为欺诈交易后被欺诈方提供一个保障、权利维护的过程。通过以上内容，完善和弥补安全机制中的不足，为电子商务交易安全机制的设计提供一个理论、技术上实施的条件。

参考文献：

[1] 张巍.网上拍卖中的信任模型研究[M].北京：中国财政经济出版社，2009.

[2] 张明光，魏琦.电子商务安全体系的探讨[J].计算机工程与设计，2005，26(2):394-396.

[3] Gouda MG,Liu AX.Structured firewall design[J].Computer Networks, 2007,51(4):1106-1120.

[4] Kamara S, Fahmy S,Schultz E, Kerschbaum F,Frantzen M.Analysis of vulnerabilities in Internet firewalls[J].Computers & Security, 2003,22(3):214-232.

[5] Kanungo S.Identity authentication in heterogeneous computing environments: a comparative study for an integrated framework[J].Computers & Security, 1994,13(3):231-253.

[6]Chen H, Shen X, Lv Y. A New Digital Signature Algorithm Similar to ELGamal Type[J].Journal of Software,2010,5(3):320-327.

[7]Spalding M. Deciding Whether or not to use a Third Party Certificate Authority[J].Network Security,2000,6(1):7-8.

［责任编辑：谭志远］