【正文】 濟(jì)形式，它既存在高收益又存在高風(fēng)險(xiǎn)。 （ 四 ） 電子商務(wù)風(fēng)險(xiǎn)的規(guī)避 由于電子商務(wù)安全的重要性，所以部署一個(gè)完整有效的電子商務(wù)安全風(fēng)險(xiǎn)管理對(duì)策顯得十分迫切。由于電子商務(wù)是在網(wǎng)絡(luò)中完成 , 交易各方不見面 , 為了保證每 個(gè)參與者銀行、企業(yè)都能無誤地被識(shí)別 , 必須使用身份認(rèn)證技術(shù)。每個(gè)用戶密碼都是有自己設(shè)定的，只有用戶才知道。 認(rèn)證 基于 USBKey 的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。目前部分學(xué)者將視網(wǎng)膜識(shí)別、虹膜識(shí)別和指紋識(shí)別等歸為高級(jí)生物識(shí)別技術(shù)；將掌型識(shí)別、臉型識(shí)別、語音識(shí)別和簽名識(shí)別等歸為次級(jí)生物識(shí)別技術(shù)；將血管紋理識(shí)別、人體氣味識(shí)別、 DNA 識(shí)別等歸為“深?yuàn)W的”生物識(shí)別技術(shù)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能不中斷地提供服務(wù)。 一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。 8 三、 基于電子商務(wù)平臺(tái)可信身份的管理研究 電子 商務(wù)平臺(tái)即是一個(gè)為企業(yè)或個(gè)人提供網(wǎng)上交易洽談的平臺(tái)。與常見的用戶名 /密碼方式相比，使用可信身份認(rèn)證設(shè)備有（如 USBKey） ,還需要知道這個(gè)身份認(rèn)證設(shè)備的密碼，兩者缺一不可，這就極大的增強(qiáng)了安全性。對(duì)我國而言，如果不及時(shí)加以部署和研發(fā)，將很可能喪失在未來網(wǎng)絡(luò)中的話語權(quán)。 第四，加強(qiáng)網(wǎng)絡(luò)用戶隱私信息保護(hù)。 可信身份就一次次的提上議題，只有在可信的身份前提下才能更好的在電子商務(wù)平臺(tái)進(jìn)行一系列的 操作。 為了使基于 Inter 的電子交易與傳統(tǒng)交易一樣安全可靠，必須建立一個(gè)安全、便捷的電子商 務(wù)應(yīng)用環(huán)境，保證整個(gè)商務(wù)活動(dòng)中信息的安全性。 在這些交易前提下必11 須保證買賣雙方身份的可信性，只有在可信的身份環(huán)境下大家才能更放心的進(jìn)行交易。 USBKey是結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和 USB 技術(shù)的新一代身份認(rèn)證產(chǎn)品，是一種的秘密數(shù)據(jù)存儲(chǔ)設(shè)備。具體功能如下： 13 ,即 USBKey 初始化的過程，需要記錄 初始化 Key 時(shí)間、用戶名、設(shè)定密碼 、單位信息 等； ， 即 修改當(dāng)前設(shè)置的 USBKey 的用戶名； PIN 碼，即是修改當(dāng)前 USBKey 用戶 PIN 碼 ； ，也就是授權(quán)，操作員對(duì)使用的 USBKey 用戶設(shè)置權(quán)限， 用戶身份被確認(rèn)合法后，賦予該用戶進(jìn)行文件和數(shù)據(jù)等操作的權(quán)限 ； ，對(duì)當(dāng)前 USBKey 用戶的注銷； ，輸入 PIN 碼連續(xù) 輸入 三次失敗 則 USBKey 鎖定，輸入管理員 PIN 碼，解鎖用戶 USBKey；需要記錄解鎖時(shí)間 、 操作結(jié)果； ,即修改登錄用戶 密碼。 BCGSoft BCGControlBar 是基于 MFC 的界面擴(kuò)展類庫，它提供了豐富多彩的類庫供開發(fā)用戶界面使用。下面簡單介紹下使用該類的成員函數(shù)實(shí)現(xiàn)對(duì)列表控件和樹控件的常用操作。 16 圖 44 UserInfo 實(shí)體 ER 圖 USBKey 信息記錄關(guān)于 UEBKey 的信息，其中 ER圖如圖 45所示。 表 44 UserRole 數(shù)據(jù)表字段描述 字段 描述 類型 說明 Username 用戶名 文本 Admin 和 auditor Role 角色 文本 Password 密碼 文本 4．?dāng)?shù)據(jù)庫的 創(chuàng)建 各表設(shè)計(jì)完后就可以創(chuàng)建數(shù)據(jù)庫。實(shí)現(xiàn)代碼見附錄 1。 通過 登錄用戶名和密碼不同進(jìn)入不同的主界面，實(shí)現(xiàn) 代碼代碼見附錄 2。 圖 49 按時(shí)間查詢結(jié)果界面 21 五 、 身份認(rèn)證 USBKey 管理的實(shí)現(xiàn) 用戶只有同時(shí)取得 USBKey 和用戶 PIN 碼，才可以登錄系統(tǒng)。 在窗口設(shè)置菜單項(xiàng)中，可以對(duì)用戶登錄密碼進(jìn)行修改，根據(jù)左側(cè)管理視圖樹中葉子節(jié)點(diǎn)進(jìn)行操作。我們相信 ,隨著 密碼技術(shù)、通訊技術(shù)、軟件技術(shù)、管理水平等不斷進(jìn)步發(fā)展，電子商務(wù)平臺(tái)監(jiān)督管理機(jī)制逐步建立健全，誠信體系的進(jìn)一步完善 ,建立一個(gè)有安全保障的電子商務(wù)系統(tǒng)是完全可能的?；陔娮由虅?wù)平臺(tái)可信身份管理最好做法是授權(quán)可信身份，只有在可信身份環(huán)境下才能進(jìn)行操作。 秦德智 . 電子商務(wù)中的信任風(fēng)險(xiǎn)分析，經(jīng)濟(jì)問題探索， 20xx（ 09） 。中國政法大學(xué) 。在論文的不斷修改中，我也努力做到及時(shí)積極地跟老師交流，因?yàn)槲矣X得這樣可以使得我的論文更加完善。 CString strDBPath = _T()。 AfxEnableControlContainer()。 //獲取控件輸入 CString lpszSQL, strPWD。 ()。%s39。 g_strLogOnUserName = m_strUserName。 } 29 附錄 3： 不同用戶進(jìn)去填充的樹也不一樣，如果操作員登陸 管理 視圖只有操作和查詢節(jié)點(diǎn)，而審計(jì)員用 戶登錄只能對(duì)操作員的操作進(jìn)行查看審計(jì)。 (hKeyUser,0x02)。 hLogUser = (_T(日志查詢 ), 5, 4, hLogNode)。 BOOL bCheck = TRUE。 (strEndTime)。 bOTCheck = FALSE。 } 32 else { (_T( OR OptKind = 6))。 } strCheck += strSql。 bOTCheck = FALSE。 } else { } strCheck += strSql。 34 bOTCheck = FALSE。 } else { (_T( OR OptKind = 5))。 } strCheck += strSql。 } else { (_T( OR OptKind = 8))。 bOTCheck = FALSE。 } strCheck += strSql。 bOTCheck = FALSE。 strTime = _T()。 //展開 } } return 0。 //樹節(jié)點(diǎn)默認(rèn)展開 (hKeyNode, TVE_EXPAND)。 if((_T(admin)) == 0) //比較用戶名 { HTREEITEM hKeyUser,hKeyNode。 } } else { MessageBox(_T(請(qǐng)確認(rèn)輸入的用戶名是否正確，請(qǐng)重新輸入 !),_T(提示 ), MB_OK|MB_ICONEXCLAMATION )。 (lpszSQL)。 (_T(auditor)) != 0) { MessageBox(_T(請(qǐng)確認(rèn)輸入的用戶名是否正確，請(qǐng)重新輸入 !),_T(28 提示 ), MB_OK|MB_ICONEXCLAMATION )。 //密碼置空 // 判斷輸入的用戶名是否為空 if(()) { MessageBox(_T(用戶名不能為空，請(qǐng)重新輸入 !),_T(提示 ), MB_OK|MB_ICONEXCLAMATION )。 } } 函數(shù)首先判斷用戶名、密碼是否為空，若不為空，從數(shù)據(jù)庫 UserRole 表 中，根據(jù)用戶的輸入進(jìn)行查詢。 } return bReturn。 在此，謹(jǐn)向 賀 老師致以誠摯的謝意和崇高的敬意。但是在具體實(shí)施的過程中，我還是遇到了相當(dāng)多當(dāng)初沒有預(yù)料的困難，也曾經(jīng)令我迷茫和彷徨，論文最終的定稿，也沒有我當(dāng)初設(shè)想的那么完美，但是總歸是自己盡力完成的著作 。 [11] 王可一：《 USB Key 身份認(rèn)證技術(shù)》 .載 中國高新技術(shù)企業(yè) 20xx （ 10） ： 3031。 [4]洪國彬，電子商務(wù)安全與管理 [M]，北京：電子工業(yè)出版社， 20xx： 5459。這將是一個(gè)綜合性的、涉及全社會(huì)的系統(tǒng)工程。 不同的身份做不同的事情，這樣更有利于改善電子商務(wù)平臺(tái)可信身份的管理。 （一）系統(tǒng)演示 系統(tǒng)是通過 Visual Studio 20xx MFC 創(chuàng)建向?qū)挝臋n工程。“查詢”按鈕的響應(yīng)函數(shù)為 OnBnClickedOk ，代碼見附錄 4。主要分為兩種用戶，其一是操作員用戶，另一種是審計(jì)員用戶。為了避免與 常數(shù)沖突，將常數(shù) EOF 改成 adoEOF. 導(dǎo)入 ADO 庫后，就要對(duì)其進(jìn)行初始化。 表 41 RptLog 數(shù)據(jù)表字段描述 字段名 描述 類型 說明 OptUser 操作用戶 文本 admin SerialNum USBKey 序列號(hào) 文本 OptKind 操作類型 數(shù)字 OptDesc 操作結(jié)果 文本 OptTime 操作時(shí)間 日期 /時(shí)間 USBKey 表用于記錄 USB Key 的信息， 包含硬件廠商、產(chǎn)品型號(hào)、序列號(hào)、固件版本、軟件版本等信息， 該表的邏輯結(jié)構(gòu)如表 42所示。 2．?dāng)?shù)據(jù)庫概念設(shè)計(jì) 數(shù)據(jù)庫需要存儲(chǔ)的主要是兩方面的內(nèi)容， USBKey 的操作日志信息和用戶信息。 3．系統(tǒng)的運(yùn)行環(huán)境 系統(tǒng)可以直接在 Win9 Win20xx、 WinXP、 Win7 環(huán)境下運(yùn)行。 本系統(tǒng)需要對(duì)用戶身份進(jìn)行驗(yàn)證，驗(yàn)證通過后是操作員還是審計(jì)員，根據(jù)用戶角色判斷用戶可以使用系統(tǒng)中相應(yīng)的操作功能。日志審計(jì)是為了規(guī)范操作員的操作，對(duì)操作員的各項(xiàng)操作進(jìn)行審計(jì)，記錄，查詢功能。安全認(rèn)證主要是對(duì)這個(gè) 實(shí)體的身份進(jìn)行鑒別和確認(rèn)，以確認(rèn)當(dāng)事人是否名符其實(shí)，當(dāng)前交易是否有效?？?信身份是以制度為基礎(chǔ)的，正是通過它，在不熟悉的個(gè)體間才會(huì)產(chǎn)生信任，所以良好的可信身份對(duì)電子商務(wù)平臺(tái)的可信性有很大的影響。它是安全 系統(tǒng)中的第一道關(guān)卡 ,用戶在訪問電子商務(wù)平臺(tái)安全系統(tǒng)和支付款等操作之前 ,首先經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別。因此，有必要加強(qiáng)網(wǎng)絡(luò)空間用戶隱私保護(hù)，出臺(tái)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn) 規(guī)范，對(duì)用戶隱私信息收集、使用以及泄露應(yīng)當(dāng)承擔(dān)的法律責(zé)任等內(nèi)容予以明確和規(guī)范。鑒于身份管理的基礎(chǔ)性和重要性，建議政府通過科技支撐計(jì)劃等，支持研究機(jī)構(gòu)、企業(yè)等開展相關(guān)技術(shù)研究和產(chǎn)品研發(fā)，支持建設(shè)應(yīng)用示范系統(tǒng)，著 力推進(jìn)在電子政務(wù)、電子商務(wù)等方面的應(yīng)用示范，探討解決不同身份管理系統(tǒng)之間互聯(lián)互通問題，在技術(shù)成熟時(shí)可以建立國家性身份管理平臺(tái)，確保關(guān)系國家民生的關(guān)鍵身份信息把握在國家而不是國外企業(yè)手中。美國 NSTIC（《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》） 的出臺(tái)，對(duì)我國網(wǎng)絡(luò)安全工作具有諸多啟示。 隨著互聯(lián)網(wǎng)的發(fā)展，無數(shù)的網(wǎng)絡(luò)應(yīng)用如雨后春筍般的涌現(xiàn)，尤其是網(wǎng)上購物、在線支付等應(yīng)用，極大的方便了大家日常生活，然而這些應(yīng)用對(duì)安全性的要求都非常高，所以對(duì)于可信身份的的需求也非常大。 通過身份認(rèn)證，可以有效防止黑客入侵。 （三）身份認(rèn)證的重要性 用 戶必須提供他是誰的證明，這種證實(shí)客戶的真實(shí)身份與其所聲稱的身份 否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制的基礎(chǔ)。對(duì)于電子商務(wù)而言，其高效性已經(jīng)得到了人們充分的認(rèn)可。 主要是指通過可測量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。 卡（智能卡） 一種內(nèi)置集成 電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。這三種方式中，恐怕只有生物識(shí)別技術(shù)的安全系數(shù)是比較高的，其他方式都容易被他人仿冒。防火墻的目的是提供安全保護(hù)、控制和鑒別出人站點(diǎn)的各種訪問。類似于傳統(tǒng)的交易活動(dòng)，也有難以確定利潤、缺少策略、不當(dāng)?shù)念I(lǐng)導(dǎo)和殘酷的競爭等風(fēng)險(xiǎn) 的存在。其次，買方信用風(fēng)險(xiǎn)，主要指消費(fèi)者個(gè)人由于花錢無度和惡意透支，可能在網(wǎng)上使用了沒有存款的信用卡進(jìn)行消費(fèi)，或是犯罪分子使用非法偽造的信用卡騙取賣方的貨物；對(duì)于企業(yè)購買者來說，還存在收到貨物后，拖延貨款等誠信問題，賣方需要為此承擔(dān)一定的風(fēng)險(xiǎn)。在開展電子商務(wù)環(huán)境下，企業(yè)信息技術(shù)方面面臨的問題也是日漸暴露，主要體現(xiàn)在以下兩個(gè)方面：一方面，網(wǎng)絡(luò)環(huán)境 方面：在實(shí)踐中，我國很多企業(yè)的網(wǎng)絡(luò)系統(tǒng)都有被黑客攻擊的經(jīng)歷，個(gè)別網(wǎng)絡(luò)中的信息系統(tǒng)受到攻擊后無法恢復(fù)正常運(yùn)行。 電子商務(wù)已經(jīng)深入社會(huì)生活，其優(yōu)勢(shì)不僅被商家所青睞，更深受廣大客戶的好評(píng)。交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。從發(fā)展趨勢(shì)來看 ,電子商務(wù) 正在形成全球性的發(fā)展潮流。 關(guān)鍵詞： 風(fēng)險(xiǎn)分析 ； 可信身份； USBKey 身份管理； USBKey 身份認(rèn)證技術(shù) Abstract： With the charm of the growing emerce exposure, virtual enterprises, virtual banking, online marketing, online shopping,