【正文】 大的改變了人們的工作和生活方式，帶來了無限的商機(jī)。 身份認(rèn)證是系統(tǒng)應(yīng)用安全的起點(diǎn)，通過硬件 USBKey 和口令認(rèn)證登錄系統(tǒng)，保證進(jìn)入 系統(tǒng) 用戶身份的合法性；對(duì)登錄用戶權(quán)限進(jìn)行合法性檢查，保證用戶權(quán)限的合規(guī)性。 網(wǎng)絡(luò)安全機(jī)制的基本要素包括 :身份認(rèn)證、訪問控制授權(quán)、完整性檢測(cè)、防否認(rèn)機(jī)制、可靠性保護(hù)。電子商務(wù)就是利用電子數(shù)據(jù)交換、電子郵件、電子資金轉(zhuǎn)帳及 Inter 的主要技術(shù)在個(gè)人間、企業(yè)間和國(guó)家間進(jìn)行無紙化的業(yè)務(wù)信息的交換。在信息技術(shù)飛速發(fā)展的今天，面對(duì)不斷出現(xiàn)的安全威脅，信息安全技術(shù)也要進(jìn)行不斷更新。信息風(fēng)險(xiǎn)的直接表現(xiàn)是網(wǎng)絡(luò)欺詐，不僅使廠商和消費(fèi)者在經(jīng)濟(jì)上蒙受重大損失，更重要的是它可能會(huì)使人們對(duì)電子商務(wù)這種新的經(jīng)濟(jì)形式失去信心。另一方面，信息存取方面：無論是在信息的存儲(chǔ)、傳輸還是信息的取回過程中，我國(guó)企業(yè)都面臨著重重風(fēng)險(xiǎn)。電子商務(wù)信用風(fēng)險(xiǎn)是指電子商務(wù)活動(dòng)中或虛擬市場(chǎng)中信用狀態(tài)的不確定性，于是造成電子商務(wù)信用風(fēng)險(xiǎn)。在傳統(tǒng)市場(chǎng)交易時(shí)，由于交易雙方直接面對(duì)面進(jìn)行商品交易，這種信用風(fēng)險(xiǎn)的控制往往靠經(jīng)驗(yàn)和法制來保證，進(jìn)行電子商務(wù)交易后，由于交易環(huán)境發(fā)生改變，物流和資金流在時(shí)間和空間上是相互分離的，交易雙方常?；ゲ灰娒妫?只有數(shù)字化交往，用電子方式談判、簽合同、結(jié)賬，當(dāng)貿(mào)易一方發(fā)現(xiàn)新的情況出現(xiàn)后原先的交易對(duì)自己不利時(shí)，可能就會(huì)企圖否認(rèn)已做出的電子交易行為。 4 事實(shí)上，產(chǎn)生電子商務(wù)交易風(fēng)險(xiǎn)的因素是多方面的，電子商務(wù)交易的威脅來自于互聯(lián)網(wǎng)上的安全入侵、隱私入侵、聲望的毀壞、身份的盜用、知識(shí)產(chǎn)權(quán)的侵犯等多個(gè)方面。因此，電子商務(wù)交易風(fēng)險(xiǎn)涉及到策略、領(lǐng)導(dǎo)、聲譽(yù)、文化、安全、隱私和技術(shù)等多個(gè)方面。 電子商務(wù)的風(fēng)險(xiǎn)具有復(fù)雜性、多樣性和隱蔽性等特點(diǎn)，電子 商務(wù)交易風(fēng)險(xiǎn)管理研究涉及信息技術(shù)、市場(chǎng)營(yíng)銷與運(yùn)作管理等方面，是一個(gè)新的涵蓋范圍較為寬泛的風(fēng)險(xiǎn)研究領(lǐng)域。為了將私有網(wǎng)絡(luò)從公共網(wǎng)絡(luò)中分離出來并保護(hù)起來 , 主要可以采用如下幾種形式的防火墻網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻動(dòng)態(tài)防火墻。授權(quán)一個(gè)安全身份從而大大減小電子商務(wù)面臨的不安全因素，安全的身份目的在于消除潛在的威脅和安全漏洞，從而降低電子商務(wù)系統(tǒng)環(huán)境所面臨的風(fēng)險(xiǎn)。 首先 ， 我們來介紹身份認(rèn)證的三要素，他們分別是： 需要使用者記憶的身份證內(nèi)容，例如密碼和身份證號(hào)碼等； 使用者擁有的特殊認(rèn)證機(jī)制，例如 USBKey 認(rèn)證， IC 卡等； 使 用者 擁有的唯一特征，例如指紋，瞳孔，聲音等等。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼記在紙上放在自認(rèn)為安全的地方，這樣很容易造成密碼泄露。 智6 能卡認(rèn)證是通過智能卡硬件不可復(fù)制來保證用戶身份不會(huì)被仿冒。 USBKey 是一種 USB 接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用 USBKey 內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。生物特征分為身體特征和行為特征兩類。安全與效率，是一切經(jīng)濟(jì)交易必須考慮 的兩個(gè)問題。如何在網(wǎng)絡(luò)環(huán)境下，構(gòu)建與傳統(tǒng)法律價(jià)值接近的規(guī)則體系，已經(jīng)越來越為人們所關(guān)注。 電子商務(wù)發(fā)展所依托的平臺(tái) — 互聯(lián)網(wǎng)絡(luò)卻充滿了巨大、復(fù)雜的安全風(fēng)險(xiǎn)。身份認(rèn)證技術(shù)應(yīng)運(yùn)而生了，通過身份認(rèn)證技術(shù)，可以識(shí)別人的真正身份，從而保護(hù)客戶以及員工的重要電子信息。 交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。身份認(rèn)證在安全中的地位極其重要 ,是最基本的安全服務(wù) ,其它的安全服務(wù)都依賴于它。 利用簡(jiǎn)單、 快捷、低成本的電子通訊方式，買賣雙方不見面地進(jìn)行各種商貿(mào)活動(dòng)。 通過信任的傳遞保障整個(gè)信息系統(tǒng)的可信，因此可信 身份在 體系結(jié)構(gòu)應(yīng)該與信息系統(tǒng)的構(gòu)建方式緊密相關(guān)，應(yīng)該是一種層層疊加的體結(jié)構(gòu)，保證每次疊加后得到的新實(shí)體可信。 身份 管理關(guān)系到未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施，同時(shí)涉及到技術(shù)、社會(huì)、法律、國(guó)家政策等多方面因素。 隨著我國(guó)經(jīng)濟(jì)社會(huì)活動(dòng)對(duì)網(wǎng)絡(luò)依賴性增強(qiáng)，各行業(yè)對(duì)網(wǎng)絡(luò)空間可信身份都提出了需求，如網(wǎng)上購(gòu)物、網(wǎng)上銀行、網(wǎng)上社保等，身份管理成為確保網(wǎng)絡(luò)空間繁榮和健康發(fā)展的關(guān)鍵。 9 第二，支持網(wǎng)絡(luò)空間身份管理技術(shù)研發(fā)和應(yīng)用示范。 身份管理關(guān)系到未來網(wǎng)絡(luò)架構(gòu)，美國(guó)、歐盟等發(fā)達(dá)國(guó)家和地區(qū)都在爭(zhēng)奪技術(shù)、標(biāo)準(zhǔn)方面話語權(quán)，目前有大量組織也在對(duì)身份管理標(biāo)準(zhǔn)進(jìn)行研究，如自由聯(lián)盟、 OpenID、 OASIS、 W3C、 ITUT、 ETSI、3GPP、 ATIS 和 IETF 等，但還沒有形成統(tǒng)一標(biāo)準(zhǔn)。這些問題直接涉及到廣大用戶的個(gè)人權(quán)益。 在互聯(lián)網(wǎng)世界中，身份認(rèn)證也有個(gè)廣泛的應(yīng)用，如登錄論壇、在線購(gòu)物、網(wǎng)銀轉(zhuǎn)賬等等。 電子商務(wù)平臺(tái)可信身份的管理監(jiān)控是為了更好的保障消費(fèi)者用戶財(cái)產(chǎn)、信息、身份的安全，讓擁有可信的身份下條件才能訪問和使用電子商務(wù)平臺(tái)。目前，電子商務(wù)已成為各行各業(yè)擴(kuò)展業(yè)務(wù)的有力方式，且發(fā)展前景十分誘人。 可信身份在當(dāng)今體現(xiàn)電子化飛速發(fā)展社會(huì)的尤為重要，操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，身份認(rèn)證就是為了解決這個(gè)問題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，可信身份認(rèn)證有著舉足輕重的作用。電子商務(wù)信任問題之所以顯得重要，是因?yàn)殡娮由虅?wù)自身所具有的特征決定了其面臨的不確定性和風(fēng)險(xiǎn)性與傳統(tǒng)商務(wù)相比，表現(xiàn)為程度更高、范圍更廣、情況更復(fù)雜。 12 四、 身份認(rèn)證 USBKey 管理的設(shè)計(jì) 安全認(rèn)證的目的有兩個(gè)：一是驗(yàn)證信息發(fā)送者的真實(shí)性，即不是冒充的；二是驗(yàn)證信息的完整性，即驗(yàn)證信息在傳送或存儲(chǔ)過程中未被竄改、重放等。這種方法具有明顯缺陷：一是難以記憶；二是容易被黑客破譯。 （二）系統(tǒng)分析 1．需求分析 對(duì) USBKey 的管理，目前最主要的需求有兩個(gè)部分，一是 USB Key 管理，另一個(gè)就是日志審計(jì)。 2．功能分析 為了保證數(shù)據(jù)系統(tǒng)的安全性和準(zhǔn)確性，設(shè)置了三種用戶角色：普通用戶； 操作員用戶；審計(jì)員用戶。 注冊(cè)過的 USBKey 才能在單機(jī)客戶端使用；使用管理工具的角色分為兩種：admin 是操作員，默認(rèn)密碼 1234567a，密碼可更改，用來管理 USBKey； auditor是審計(jì)員，默認(rèn)密碼 1234567a，密碼可 更改，用來審計(jì) admin 的所有操作 是否合乎規(guī)范 。系統(tǒng)流程圖如 41和 42所示： 圖 41 USBKey 授權(quán) 管理工具流程圖 14 圖 42 單機(jī)版 系統(tǒng)流程圖 2． 開發(fā)工具和開發(fā)技術(shù)的選擇 本系統(tǒng)的設(shè) 計(jì)是在 Windows XP 中文版操作系統(tǒng)環(huán)境下，使用 Visual Studio 20xx 英文版和 BCGControlBar 類庫(kù)下用 MFC 界面的單文檔向?qū)?開發(fā)成功的。應(yīng)用程序向?qū)Э梢宰?其 生成類似 Visual Studio .NET 開發(fā)環(huán)境、 Visio 或 MsOffice20xx、Office 及 20xxOffice XP 風(fēng)格的界面。 4． 系統(tǒng)開發(fā)的難點(diǎn)和技巧 15 系統(tǒng)中，數(shù)據(jù)顯示和操作主要運(yùn)用到列表控件、樹空間。 （四）數(shù)據(jù)庫(kù)分析與設(shè)計(jì) 1．?dāng)?shù)據(jù)庫(kù)分析 USBKey 授權(quán)管理工具主要就是對(duì)權(quán)限進(jìn)行分配，不同的權(quán)限可以做不同的事情，其系統(tǒng)就是對(duì)身份的認(rèn)證，授權(quán)可信身份，且為單機(jī)使用。 用戶操作日志信息實(shí)體記錄了管理員 操作的信息，其 ER 圖如圖 43 所示。 圖 46 登錄用戶實(shí)體 ER 圖 3．?dāng)?shù)據(jù)庫(kù)邏輯結(jié)構(gòu)設(shè)計(jì) 根據(jù) 前面設(shè)計(jì)的 ER圖， 可以創(chuàng)建的相關(guān)的邏輯結(jié)構(gòu)，本系統(tǒng)數(shù)據(jù)庫(kù)創(chuàng)建了4 個(gè)表，下面分別介紹 數(shù)據(jù)庫(kù)各表的結(jié)構(gòu) 。 18 表 43 UserInfo 數(shù)據(jù) 表 字段描述 字段 描述 類型 說明 Company 用戶單位 文本 SerialNum 序列號(hào) 文本 USBKey 唯一標(biāo)識(shí) UserName 用戶名 文本 AuthManager 授權(quán)管理員 文本 Telephone 電話 文本 Purpose 用途 文本 Post 職位 文本 Department 部門 文本 UserRole 表用于記錄系統(tǒng)用戶信息，包含用戶名、角色、密碼。 圖 47 在 Access 中創(chuàng)建數(shù)據(jù)庫(kù)表 19 5． ADO 連接數(shù)據(jù)庫(kù)設(shè)計(jì) ADO 是一組動(dòng)態(tài)鏈接庫(kù)，因此在使用之前必須導(dǎo)入 ADO 并初始化。初始化過程很簡(jiǎn)單只需要調(diào)用初始化函數(shù)即可。 1．登錄模塊設(shè)計(jì) 系統(tǒng)啟動(dòng)時(shí)，首先彈出登錄對(duì)話框，用戶需要輸入用戶名和密碼等信息。登陸對(duì)話框相關(guān)的對(duì)話框類 CDlgLogon,實(shí)現(xiàn)登陸對(duì)話框?qū)ο蟮臉?gòu)造與調(diào)用， 代碼見附錄 2。 20 admin 用戶的查詢功能是為了統(tǒng)計(jì)注冊(cè) USB Key 的多少， auditor 用戶的查詢是對(duì) admin用戶的 操作進(jìn)行審計(jì)。以時(shí)間查詢?yōu)槔?dāng)用戶選擇查詢時(shí)，系統(tǒng)就會(huì)彈出如圖 48的對(duì)話框，供用戶選擇。從而最大的保護(hù)了合法用戶的權(quán)利。 在程序啟動(dòng)后，首先彈出如圖 51 所示的“用戶登錄”對(duì)話框，只有輸入正確的用戶名和密碼后，根據(jù)用戶的權(quán)限不同進(jìn)入的主界面也不一樣的，才能進(jìn)入如圖 52 和 53 所示的系統(tǒng)主界面。 若是 auditor 審計(jì)員用戶登錄系統(tǒng)，可以對(duì)操作員對(duì) USBKey 操作進(jìn)行審計(jì)核對(duì)是否違規(guī)。本文提出的基于電子商務(wù)平臺(tái)可信身份管理研究，不僅為國(guó)內(nèi)研究提供了依據(jù)，而且有助于企業(yè)對(duì)電子商務(wù)平臺(tái)的了解，進(jìn)而促進(jìn)電子商務(wù)的發(fā)展。這已經(jīng)成為影響我國(guó)電子商務(wù)發(fā)展的一個(gè)障礙。而且，針對(duì)電子商務(wù)無國(guó)界的特點(diǎn)，我們還應(yīng)該加強(qiáng)國(guó)際合作，使電子商務(wù)真正發(fā)揮其應(yīng)有的作用。 [2]梅紹祖 ， 呂殿平 ： 電子商務(wù)基礎(chǔ) [M].清華大學(xué)出版社 ,20xx:3034。 [6]陳仕鴻 . 淺談發(fā)展電子商務(wù)的風(fēng)險(xiǎn)及防范方法 [J]廣東財(cái)經(jīng)職業(yè)學(xué)院學(xué)報(bào) , 20xx, (01)。 [9] 王琨月：《身份只屬于少數(shù)人》 . 每周電腦報(bào)， 20xx（ 6）： 1015。 [13]張冀明 。 [14] 施國(guó)軍 ,李強(qiáng) .基于雙因子認(rèn)證技術(shù)的網(wǎng)絡(luò)身份識(shí)別 .信息安全與通信保密 .～ 95。首先要衷心地感謝我的指導(dǎo) 老師 ── 老賀 ，您嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度，開闊的思維，循循善誘的指導(dǎo)一直給我很大的幫助。論文的最終完成，也是一波三折。 26 附錄 附錄 1： 通過記錄集連接 SCMKey..mdb 數(shù)據(jù)庫(kù)，并對(duì)其加密。 //數(shù)據(jù)庫(kù)加密 } catch (...) { bReturn = FALSE。在主窗口創(chuàng)建之間，首先創(chuàng)建登陸對(duì)話框（ Clogon） ,只有在登陸對(duì)話框中單擊“確定”按鈕，函數(shù)才會(huì)執(zhí)行，否則退出系統(tǒng)。 } //登錄對(duì)話框 CDlgLogon dlg。如果輸入用戶名、密碼不正確則彈出“提示”窗口。 //獲取用戶名 GetDlgItemText(IDC_EDIT_PW,m_strPW)。 return。 } //admin 空格進(jìn)去之后無法找到節(jié)點(diǎn)排樹，比較輸入的用戶名是否為 admin 與auditor if ((_T(admin)) != 0 amp。 } CWBAdoRecordset RsRptLog。 //查詢 庫(kù)中的 UserRole 表中 Usename (amp。 //獲取密碼 ()。 ()。 return。 (hRoot, TVIS_BOLD, TVIS_BOLD)。 (hKeyNode,0x01)。 (hKeyUser,0x04)。 hLogNode = (_T(日志審計(jì) ), 1, 1, hRoot)。 (hRoot, TVE_EXPAND)。具體實(shí)現(xiàn)代碼如下： void CLogSearch::OnBnClickedOk() { UpdateData(true)。 //or strCheck = _T()。 (_T(SELECT * FROM RptLog))。 bCheck = FALSE。 } else { } strCheck += strSql。 } else { (_T( OR OptKind = 5))。 bOTCheck = FALSE。 } strCheck += strSql。 } else { (_T( OR OptKind = 7))。 bOTCheck = FALSE。 } strCheck += strSql。 33 } else { (_T( OR OptKind = 9))。 bOTCheck = FALSE。 bOTCheck = FALSE。 } strCheck += strS