【正文】 return。g_adoDatabase)。amp。 //獲取密碼 ()。 if (() == IDCANCEL) 27 { return FALSE。 AfxMessageBox(_T(數(shù)據(jù)庫連接失敗 !))。在不斷完善和修改的過程中，也讓我更加懂得 “ 一分耕耘才有一分收獲 ” 的道理。 [15] Teoh, A .B .J. A n integrated dual factor authentic ator based on the face data and tokenised random num ber . Biom etric A nalConference,ICBA , 20xx,117123. [16]Greenstein Electronic Commerce Security Risk Management and Control [M].New York McGrawHill Companies,Inc,20xx. 25 致謝 這篇論文所涉及的議題是和我的指導(dǎo)老師交流后定下的，在前期的 實(shí)習(xí) 積累經(jīng)驗(yàn)，到中期的修改和討論，及最后的反復(fù)斟酌，我希望能盡自己最大的努力，寫出一篇具有現(xiàn)實(shí)意義的論文。 [10] 李繼勇：《身份認(rèn)證技術(shù)現(xiàn)狀和發(fā)展趨勢(shì)》 . 信息網(wǎng)絡(luò)安全， 20xx(3)：2122。 [3]李中斌 :風(fēng)險(xiǎn)管理解讀 [M].北京 :石油工業(yè)出版社 ,20xx:2129。為此，我們必須加快建設(shè)有關(guān)的電子商務(wù)安全系統(tǒng)。 每個(gè)人都該為自己 所做的操作負(fù)責(zé)，所以在做完事情之后都要留下記錄，以便核查責(zé)任。將用戶的權(quán)限管理集中管理起來，能夠更好的控制和規(guī)范用戶身份的合法性。 在日志審計(jì)查詢窗口中，審計(jì)員可以查詢 USBKey 記錄所有信息。只有通過驗(yàn)證的用戶才能進(jìn)入系統(tǒng)，根據(jù)用戶權(quán)限 ，構(gòu)造了兩種不同的 主界面 =。在頭文件“ ”中，通過導(dǎo)入符號(hào)“ import”導(dǎo)入 ADO 庫文件，如下： import C:\Program Files\Common Files\System\ADO\ no_namespace rename(EOF, adoEOF) 編譯時(shí)會(huì)生成 、 兩個(gè)頭文件來定義 ADO 庫。 17 RptLog 表 用于記錄操作員的操作日志信息， 包含操作用戶、 USBKey 序列號(hào)、操作類型、操作結(jié)果、操作時(shí)間等信息， 該表的邏輯結(jié)構(gòu)如表 41 所示。后臺(tái)數(shù)據(jù)庫系統(tǒng)設(shè)計(jì)采用的是 Micorsoft 的 Access 20xx 數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫采用的是 Micorsoft 的 Access 20xx數(shù)據(jù)庫。 ：只能 在 客戶端 登錄 ； ：能夠進(jìn)行策略管理、日志審計(jì)、系統(tǒng)卸載等； ：審計(jì)操作員的操作日志。對(duì) USB Key 管理的用戶是操作員，對(duì) Key 進(jìn)行初始化，修改 用戶 PIN 碼，修改用戶名，注冊(cè)，注銷，解鎖等，都是針對(duì) USBKey 的操作。 USBKey身份認(rèn)證技術(shù)是近年來快速發(fā)展的一門身份認(rèn)證、識(shí)別技術(shù)，與傳統(tǒng)的用戶名加口令的認(rèn)證方式比較，其安全性和保障性更強(qiáng)，與生物認(rèn)證技術(shù)相比較， USBKey認(rèn)證技術(shù)操作簡單，技術(shù)成熟，推廣應(yīng)用成本低，顯示了良好的發(fā)展前景，基于可信身份權(quán)限管理則應(yīng)運(yùn)而生。不同的身份做不同的事情，相互的關(guān)聯(lián)和限制，從而大大的提高安全性。 可以信賴的身份是交易安全的保證，現(xiàn)由于用戶名和密碼方式無法應(yīng)對(duì)日益猖獗的在線欺詐犯罪行為 ,各種身份認(rèn)證技術(shù)紛紛登場 ,身份認(rèn)證技術(shù)是解決目前網(wǎng)上身份盜竊和在線欺詐的唯一有效手段。當(dāng)前，網(wǎng)絡(luò)上個(gè)人信息泄密現(xiàn)象非常嚴(yán)重，用戶隱私信息面臨威脅。 目前美歐在身份管理技術(shù)和產(chǎn)品研發(fā)方面具有優(yōu)勢(shì)，我國在此方面還處于跟隨階段，缺乏相關(guān)的實(shí)施和嘗試。歐美等發(fā)達(dá)國家對(duì)網(wǎng)絡(luò)空間身份管理高度重視，各國都希望充分發(fā)揮自己在此領(lǐng)域的主導(dǎo)作用。目前電子商務(wù)工程正在全國迅速發(fā)展，實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過程中系統(tǒng)的安全性。而身份識(shí)別為這種責(zé)任提供了重要的保證。黑客的攻擊、病毒的肆虐等等都使得電子商務(wù)業(yè)務(wù)很難安全順利地開展；此外，電子商務(wù)的發(fā)展還面臨著嚴(yán)峻的內(nèi)部風(fēng)險(xiǎn)，電子商務(wù)企業(yè)內(nèi)部對(duì)安全問題的盲目和安全意識(shí)的淡薄，高層領(lǐng)導(dǎo)對(duì)電子商務(wù)的運(yùn)作和安全管理重視程度不足，使得企業(yè)實(shí)施電子商務(wù)不可避免地會(huì)遇到這樣或那樣的風(fēng)險(xiǎn)。電子商務(wù)的存在與發(fā)展也必須滿足這兩個(gè)要求。目前運(yùn)用在電子 商務(wù)、 政務(wù)、網(wǎng)上銀行 ， 此種技術(shù)是目前最常用的認(rèn)證技術(shù)之一。因此用戶名 /密碼方式是一種極不安全的身份認(rèn)證方式。 （一）目前常用身份認(rèn)證方式分析 如何通過技術(shù)手段保證物理身份與數(shù)字身份相對(duì)應(yīng)呢？在真實(shí)世界中，驗(yàn)證一個(gè)人的身份主要通過三種方式：一是根據(jù)你所知道的信息來證明身份，假設(shè)某些信息只有某人知道，比如暗號(hào)等，通過詢問這個(gè)信息就 可以確認(rèn)此人的身份；二是根據(jù)你所擁有的物品來證明身份，假設(shè)某一物品只有某人才有，比如印章等，通過出示該物品也可以確認(rèn)個(gè)人的身份；三是直接根據(jù)你獨(dú)一無二的身體特征來證明身份，比如指紋、虹膜等生物識(shí)別技術(shù)。 充分利用有關(guān)技術(shù)規(guī)避風(fēng)險(xiǎn) ： 。電子商務(wù)交易是一種全球范圍內(nèi)的活動(dòng)，它還涉及到不同的文化、法規(guī)和貨幣的流通。 電子商務(wù)交易時(shí)的信用風(fēng)險(xiǎn)有以下三個(gè)方面：首先，賣方信用風(fēng)險(xiǎn)，這里主要指賣方不能按時(shí)、按質(zhì)、按量交割消費(fèi)者所購的貨物，或者不能完全履行與企業(yè)購買者簽訂的購買合同，給 貨物購買方的風(fēng)險(xiǎn)。 信息技術(shù)風(fēng)險(xiǎn)的存在不僅會(huì)給社會(huì)信息化帶來負(fù)面影響，而且會(huì)給抗風(fēng)險(xiǎn)能力弱的企業(yè)的經(jīng)營管理帶來直接損失，因此必須加以重視。從傳統(tǒng)的基于紙張的貿(mào)易方式向電子化的貿(mào)易方 式轉(zhuǎn)變的過程中 ,如何保持電子化的貿(mào)易方式與傳統(tǒng)方式一樣安全可靠則是人們關(guān)注的焦點(diǎn) ,同時(shí)也是電子商務(wù)全面應(yīng)用的關(guān)鍵問題之一。 如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易方的身份，以破壞交易、敗壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。網(wǎng)上購物、網(wǎng)上支付等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式，越來越多的人開始使用電子商務(wù)網(wǎng)站來傳遞各種信息 , 并進(jìn)行各種交易。 USBKey 身份認(rèn)證技 術(shù)是與用戶名加口令， 是近幾年發(fā)展起來的一種方便、快捷、安全的身份認(rèn)證技術(shù) ,它結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和 USB 技術(shù)的一種新型身份識(shí)別技術(shù)，本文對(duì)當(dāng)前電子商務(wù)平臺(tái)可信身份管理分析 ,并對(duì)其的相關(guān)應(yīng)用進(jìn)行了探討 ,希望能夠?qū)ξ覀冋J(rèn)識(shí)和了解可信身份管理有所幫助。如 cookie 程序、 JAVA 應(yīng)用程序、 IE 瀏覽器等這些軟件與程序都有可能給我們開展電子商務(wù)帶來安全威脅，但是要保證用戶的財(cái)產(chǎn)信息安全，對(duì)人員進(jìn)行統(tǒng)一身份認(rèn)證，通過 獲取權(quán)限 保證所有身份的 合法性和安全性，從而保障用戶信息財(cái)產(chǎn)安全。互聯(lián)網(wǎng)深刻地影響和改變著人們生活的方方面面，電子商務(wù)無疑是網(wǎng)絡(luò)時(shí)代的新生事物之一。 身份認(rèn)證是系統(tǒng)應(yīng)用安全的起點(diǎn)，通過硬件 USBKey 和口令認(rèn)證登錄系統(tǒng)，保證進(jìn)入 系統(tǒng) 用戶身份的合法性；對(duì)登錄用戶權(quán)限進(jìn)行合法性檢查，保證用戶權(quán)限的合規(guī)性。電子商務(wù)就是利用電子數(shù)據(jù)交換、電子郵件、電子資金轉(zhuǎn)帳及 Inter 的主要技術(shù)在個(gè)人間、企業(yè)間和國家間進(jìn)行無紙化的業(yè)務(wù)信息的交換。信息風(fēng)險(xiǎn)的直接表現(xiàn)是網(wǎng)絡(luò)欺詐，不僅使廠商和消費(fèi)者在經(jīng)濟(jì)上蒙受重大損失，更重要的是它可能會(huì)使人們對(duì)電子商務(wù)這種新的經(jīng)濟(jì)形式失去信心。電子商務(wù)信用風(fēng)險(xiǎn)是指電子商務(wù)活動(dòng)中或虛擬市場中信用狀態(tài)的不確定性，于是造成電子商務(wù)信用風(fēng)險(xiǎn)。 4 事實(shí)上，產(chǎn)生電子商務(wù)交易風(fēng)險(xiǎn)的因素是多方面的，電子商務(wù)交易的威脅來自于互聯(lián)網(wǎng)上的安全入侵、隱私入侵、聲望的毀壞、身份的盜用、知識(shí)產(chǎn)權(quán)的侵犯等多個(gè)方面。 電子商務(wù)的風(fēng)險(xiǎn)具有復(fù)雜性、多樣性和隱蔽性等特點(diǎn)，電子 商務(wù)交易風(fēng)險(xiǎn)管理研究涉及信息技術(shù)、市場營銷與運(yùn)作管理等方面，是一個(gè)新的涵蓋范圍較為寬泛的風(fēng)險(xiǎn)研究領(lǐng)域。授權(quán)一個(gè)安全身份從而大大減小電子商務(wù)面臨的不安全因素，安全的身份目的在于消除潛在的威脅和安全漏洞，從而降低電子商務(wù)系統(tǒng)環(huán)境所面臨的風(fēng)險(xiǎn)。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測的字符串作為密碼，或者把密碼記在紙上放在自認(rèn)為安全的地方，這樣很容易造成密碼泄露。 USBKey 是一種 USB 接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用 USBKey 內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。安全與效率，是一切經(jīng)濟(jì)交易必須考慮 的兩個(gè)問題。 電子商務(wù)發(fā)展所依托的平臺(tái) — 互聯(lián)網(wǎng)絡(luò)卻充滿了巨大、復(fù)雜的安全風(fēng)險(xiǎn)。 交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。 利用簡單、 快捷、低成本的電子通訊方式，買賣雙方不見面地進(jìn)行各種商貿(mào)活動(dòng)。 身份 管理關(guān)系到未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施，同時(shí)涉及到技術(shù)、社會(huì)、法律、國家政策等多方面因素。 9 第二，支持網(wǎng)絡(luò)空間身份管理技術(shù)研發(fā)和應(yīng)用示范。這些問題直接涉及到廣大用戶的個(gè)人權(quán)益。 電子商務(wù)平臺(tái)可信身份的管理監(jiān)控是為了更好的保障消費(fèi)者用戶財(cái)產(chǎn)、信息、身份的安全，讓擁有可信的身份下條件才能訪問和使用電子商務(wù)平臺(tái)。 可信身份在當(dāng)今體現(xiàn)電子化飛速發(fā)展社會(huì)的尤為重要，操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，身份認(rèn)證就是為了解決這個(gè)問題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，可信身份認(rèn)證有著舉足輕重的作用。 12 四、 身份認(rèn)證 USBKey 管理的設(shè)計(jì) 安全認(rèn)證的目的有兩個(gè)：一是驗(yàn)證信息發(fā)送者的真實(shí)性，即不是冒充的；二是驗(yàn)證信息的完整性，即驗(yàn)證信息在傳送或存儲(chǔ)過程中未被竄改、重放等。 （二）系統(tǒng)分析 1．需求分析 對(duì) USBKey 的管理，目前最主要的需求有兩個(gè)部分，一是 USB Key 管理，另一個(gè)就是日志審計(jì)。 注冊(cè)過的 USBKey 才能在單機(jī)客戶端使用；使用管理工具的角色分為兩種：admin 是操作員，默認(rèn)密碼 1234567a，密碼可更改，用來管理 USBKey； auditor是審計(jì)員，默認(rèn)密碼 1234567a，密碼可 更改，用來審計(jì) admin 的所有操作 是否合乎規(guī)范 。應(yīng)用程序向?qū)Э梢宰?其 生成類似 Visual Studio .NET 開發(fā)環(huán)境、 Visio 或 MsOffice20xx、Office 及 20xxOffice XP 風(fēng)格的界面。 （四）數(shù)據(jù)庫分析與設(shè)計(jì) 1．?dāng)?shù)據(jù)庫分析 USBKey 授權(quán)管理工具主要就是對(duì)權(quán)限進(jìn)行分配，不同的權(quán)限可以做不同的事情，其系統(tǒng)就是對(duì)身份的認(rèn)證，授權(quán)可信身份，且為單機(jī)使用。 圖 46 登錄用戶實(shí)體 ER 圖 3．?dāng)?shù)據(jù)庫邏輯結(jié)構(gòu)設(shè)計(jì) 根據(jù) 前面設(shè)計(jì)的 ER圖， 可以創(chuàng)建的相關(guān)的邏輯結(jié)構(gòu)，本系統(tǒng)數(shù)據(jù)庫創(chuàng)建了4 個(gè)表，下面分別介紹 數(shù)據(jù)庫各表的結(jié)構(gòu) 。 圖 47 在 Access 中創(chuàng)建數(shù)據(jù)庫表 19 5． ADO 連接數(shù)據(jù)庫設(shè)計(jì) ADO 是一組動(dòng)態(tài)鏈接庫，因此在使用之前必須導(dǎo)入 ADO 并初始化。 1．登錄模塊設(shè)計(jì) 系統(tǒng)啟動(dòng)時(shí)，首先彈出登錄對(duì)話框，用戶需要輸入用戶名和密碼等信息。 20 admin 用戶的查詢功能是為了統(tǒng)計(jì)注冊(cè) USB Key 的多少， auditor 用戶的查詢是對(duì) admin用戶的 操作進(jìn)行審計(jì)。從而最大的保護(hù)了合法用戶的權(quán)利。 若是 auditor 審計(jì)員用戶登錄系統(tǒng)，可以對(duì)操作員對(duì) USBKey 操作進(jìn)行審計(jì)核對(duì)是否違規(guī)。這已經(jīng)成為影響我國電子商務(wù)發(fā)展的一個(gè)障礙。 [2]梅紹祖 ， 呂殿平 ： 電子商務(wù)基礎(chǔ) [M].清華大學(xué)出版社 ,20xx:3034。 [9] 王琨月：《身份只屬于少數(shù)人》 . 每周電腦報(bào)， 20xx（ 6）： 1015。 [14] 施國軍 ,李強(qiáng) .基于雙因子認(rèn)證技術(shù)的網(wǎng)絡(luò)身份識(shí)別 .信息安全與通信保密 .～ 95。論文的最終完成，也是一波三折。 //數(shù)據(jù)庫加密 } catch (...) { bReturn = FALSE。 } //登錄對(duì)話框 CDlgLogon dlg。 //獲取用戶名 GetDlgItemText(IDC_EDIT_PW,m_strPW)。 } //admin 空格進(jìn)去之后無法找到節(jié)點(diǎn)排樹，比較輸入的用戶名是否為 admin 與auditor if ((_T(admin)) != 0 amp。 //查詢 庫中的 UserRole 表中 Usename (amp。 ()。 (hRoot, TVIS_BOLD, TVIS_BOLD)。 (hKeyUser,0x04)。 (hRoot, TVE_EXPAND)。 //or strCheck = _T()。 bCheck = FALSE。 } else { (_T( OR OptKind = 5))。 } strCheck += strSql。 bOTCheck = FALSE。 33 } else { (_T( OR OptKind = 9))。 bOTCheck = FAL