【正文】 34 bOTCheck = FALSE。 } else { (_T( OR OptKind = 5))。 } else { } strCheck += strSql。 } strCheck += strSql。 bOTCheck = FALSE。 } else { (_T( OR OptKind = 8))。 } strCheck += strSql。 bOTCheck = FALSE。 } 32 else { (_T( OR OptKind = 6))。 } strCheck += strSql。 bOTCheck = FALSE。 bOTCheck = FALSE。 (strEndTime)。 strTime = _T()。 BOOL bCheck = TRUE。 //展開 } } return 0。 hLogUser = (_T(日志查詢 ), 5, 4, hLogNode)。 //樹節(jié)點(diǎn)默認(rèn)展開 (hKeyNode, TVE_EXPAND)。 (hKeyUser,0x02)。 if((_T(admin)) == 0) //比較用戶名 { HTREEITEM hKeyUser,hKeyNode。 } 29 附錄 3： 不同用戶進(jìn)去填充的樹也不一樣，如果操作員登陸 管理 視圖只有操作和查詢節(jié)點(diǎn)，而審計員用 戶登錄只能對操作員的操作進(jìn)行查看審計。 } } else { MessageBox(_T(請確認(rèn)輸入的用戶名是否正確，請重新輸入 !),_T(提示 ), MB_OK|MB_ICONEXCLAMATION )。 g_strLogOnUserName = m_strUserName。 (lpszSQL)。%s39。 (_T(auditor)) != 0) { MessageBox(_T(請確認(rèn)輸入的用戶名是否正確，請重新輸入 !),_T(28 提示 ), MB_OK|MB_ICONEXCLAMATION )。 ()。 //密碼置空 // 判斷輸入的用戶名是否為空 if(()) { MessageBox(_T(用戶名不能為空，請重新輸入 !),_T(提示 ), MB_OK|MB_ICONEXCLAMATION )。 //獲取控件輸入 CString lpszSQL, strPWD。 } } 函數(shù)首先判斷用戶名、密碼是否為空，若不為空，從數(shù)據(jù)庫 UserRole 表 中，根據(jù)用戶的輸入進(jìn)行查詢。 AfxEnableControlContainer()。 } return bReturn。 CString strDBPath = _T()。 在此，謹(jǐn)向 賀 老師致以誠摯的謝意和崇高的敬意。在論文的不斷修改中，我也努力做到及時積極地跟老師交流，因?yàn)槲矣X得這樣可以使得我的論文更加完善。但是在具體實(shí)施的過程中，我還是遇到了相當(dāng)多當(dāng)初沒有預(yù)料的困難，也曾經(jīng)令我迷茫和彷徨，論文最終的定稿，也沒有我當(dāng)初設(shè)想的那么完美，但是總歸是自己盡力完成的著作 。中國政法大學(xué) 。 [11] 王可一：《 USB Key 身份認(rèn)證技術(shù)》 .載 中國高新技術(shù)企業(yè) 20xx （ 10） ： 3031。 秦德智 . 電子商務(wù)中的信任風(fēng)險分析，經(jīng)濟(jì)問題探索， 20xx（ 09） 。 [4]洪國彬，電子商務(wù)安全與管理 [M]，北京：電子工業(yè)出版社， 20xx： 5459。基于電子商務(wù)平臺可信身份管理最好做法是授權(quán)可信身份，只有在可信身份環(huán)境下才能進(jìn)行操作。這將是一個綜合性的、涉及全社會的系統(tǒng)工程。我們相信 ,隨著 密碼技術(shù)、通訊技術(shù)、軟件技術(shù)、管理水平等不斷進(jìn)步發(fā)展，電子商務(wù)平臺監(jiān)督管理機(jī)制逐步建立健全，誠信體系的進(jìn)一步完善 ,建立一個有安全保障的電子商務(wù)系統(tǒng)是完全可能的。 不同的身份做不同的事情，這樣更有利于改善電子商務(wù)平臺可信身份的管理。 在窗口設(shè)置菜單項中，可以對用戶登錄密碼進(jìn)行修改，根據(jù)左側(cè)管理視圖樹中葉子節(jié)點(diǎn)進(jìn)行操作。 （一）系統(tǒng)演示 系統(tǒng)是通過 Visual Studio 20xx MFC 創(chuàng)建向?qū)挝臋n工程。 圖 49 按時間查詢結(jié)果界面 21 五 、 身份認(rèn)證 USBKey 管理的實(shí)現(xiàn) 用戶只有同時取得 USBKey 和用戶 PIN 碼，才可以登錄系統(tǒng)?！安樵儭卑粹o的響應(yīng)函數(shù)為 OnBnClickedOk ，代碼見附錄 4。 通過 登錄用戶名和密碼不同進(jìn)入不同的主界面，實(shí)現(xiàn) 代碼代碼見附錄 2。主要分為兩種用戶，其一是操作員用戶，另一種是審計員用戶。實(shí)現(xiàn)代碼見附錄 1。為了避免與 常數(shù)沖突，將常數(shù) EOF 改成 adoEOF. 導(dǎo)入 ADO 庫后，就要對其進(jìn)行初始化。 表 44 UserRole 數(shù)據(jù)表字段描述 字段 描述 類型 說明 Username 用戶名 文本 Admin 和 auditor Role 角色 文本 Password 密碼 文本 4．?dāng)?shù)據(jù)庫的 創(chuàng)建 各表設(shè)計完后就可以創(chuàng)建數(shù)據(jù)庫。 表 41 RptLog 數(shù)據(jù)表字段描述 字段名 描述 類型 說明 OptUser 操作用戶 文本 admin SerialNum USBKey 序列號 文本 OptKind 操作類型 數(shù)字 OptDesc 操作結(jié)果 文本 OptTime 操作時間 日期 /時間 USBKey 表用于記錄 USB Key 的信息， 包含硬件廠商、產(chǎn)品型號、序列號、固件版本、軟件版本等信息， 該表的邏輯結(jié)構(gòu)如表 42所示。 16 圖 44 UserInfo 實(shí)體 ER 圖 USBKey 信息記錄關(guān)于 UEBKey 的信息，其中 ER圖如圖 45所示。 2．?dāng)?shù)據(jù)庫概念設(shè)計 數(shù)據(jù)庫需要存儲的主要是兩方面的內(nèi)容， USBKey 的操作日志信息和用戶信息。下面簡單介紹下使用該類的成員函數(shù)實(shí)現(xiàn)對列表控件和樹控件的常用操作。 3．系統(tǒng)的運(yùn)行環(huán)境 系統(tǒng)可以直接在 Win9 Win20xx、 WinXP、 Win7 環(huán)境下運(yùn)行。 BCGSoft BCGControlBar 是基于 MFC 的界面擴(kuò)展類庫，它提供了豐富多彩的類庫供開發(fā)用戶界面使用。 本系統(tǒng)需要對用戶身份進(jìn)行驗(yàn)證，驗(yàn)證通過后是操作員還是審計員，根據(jù)用戶角色判斷用戶可以使用系統(tǒng)中相應(yīng)的操作功能。具體功能如下： 13 ,即 USBKey 初始化的過程，需要記錄 初始化 Key 時間、用戶名、設(shè)定密碼 、單位信息 等； ， 即 修改當(dāng)前設(shè)置的 USBKey 的用戶名； PIN 碼，即是修改當(dāng)前 USBKey 用戶 PIN 碼 ； ，也就是授權(quán)，操作員對使用的 USBKey 用戶設(shè)置權(quán)限， 用戶身份被確認(rèn)合法后，賦予該用戶進(jìn)行文件和數(shù)據(jù)等操作的權(quán)限 ； ，對當(dāng)前 USBKey 用戶的注銷； ，輸入 PIN 碼連續(xù) 輸入 三次失敗 則 USBKey 鎖定，輸入管理員 PIN 碼，解鎖用戶 USBKey；需要記錄解鎖時間 、 操作結(jié)果； ,即修改登錄用戶 密碼。日志審計是為了規(guī)范操作員的操作，對操作員的各項操作進(jìn)行審計，記錄，查詢功能。 USBKey是結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和 USB 技術(shù)的新一代身份認(rèn)證產(chǎn)品，是一種的秘密數(shù)據(jù)存儲設(shè)備。安全認(rèn)證主要是對這個 實(shí)體的身份進(jìn)行鑒別和確認(rèn)，以確認(rèn)當(dāng)事人是否名符其實(shí)，當(dāng)前交易是否有效。 在這些交易前提下必11 須保證買賣雙方身份的可信性，只有在可信的身份環(huán)境下大家才能更放心的進(jìn)行交易?？?信身份是以制度為基礎(chǔ)的，正是通過它，在不熟悉的個體間才會產(chǎn)生信任，所以良好的可信身份對電子商務(wù)平臺的可信性有很大的影響。 為了使基于 Inter 的電子交易與傳統(tǒng)交易一樣安全可靠，必須建立一個安全、便捷的電子商 務(wù)應(yīng)用環(huán)境，保證整個商務(wù)活動中信息的安全性。它是安全 系統(tǒng)中的第一道關(guān)卡 ,用戶在訪問電子商務(wù)平臺安全系統(tǒng)和支付款等操作之前 ,首先經(jīng)過身份認(rèn)證系統(tǒng)識別。 可信身份就一次次的提上議題，只有在可信的身份前提下才能更好的在電子商務(wù)平臺進(jìn)行一系列的 操作。因此，有必要加強(qiáng)網(wǎng)絡(luò)空間用戶隱私保護(hù)，出臺相關(guān)的法律法規(guī)和標(biāo)準(zhǔn) 規(guī)范，對用戶隱私信息收集、使用以及泄露應(yīng)當(dāng)承擔(dān)的法律責(zé)任等內(nèi)容予以明確和規(guī)范。 第四，加強(qiáng)網(wǎng)絡(luò)用戶隱私信息保護(hù)。鑒于身份管理的基礎(chǔ)性和重要性，建議政府通過科技支撐計劃等，支持研究機(jī)構(gòu)、企業(yè)等開展相關(guān)技術(shù)研究和產(chǎn)品研發(fā)，支持建設(shè)應(yīng)用示范系統(tǒng)，著 力推進(jìn)在電子政務(wù)、電子商務(wù)等方面的應(yīng)用示范，探討解決不同身份管理系統(tǒng)之間互聯(lián)互通問題，在技術(shù)成熟時可以建立國家性身份管理平臺，確保關(guān)系國家民生的關(guān)鍵身份信息把握在國家而不是國外企業(yè)手中。對我國而言，如果不及時加以部署和研發(fā)，將很可能喪失在未來網(wǎng)絡(luò)中的話語權(quán)。美國 NSTIC（《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》） 的出臺，對我國網(wǎng)絡(luò)安全工作具有諸多啟示。與常見的用戶名 /密碼方式相比，使用可信身份認(rèn)證設(shè)備有（如 USBKey） ,還需要知道這個身份認(rèn)證設(shè)備的密碼，兩者缺一不可，這就極大的增強(qiáng)了安全性。 隨著互聯(lián)網(wǎng)的發(fā)展，無數(shù)的網(wǎng)絡(luò)應(yīng)用如雨后春筍般的涌現(xiàn)，尤其是網(wǎng)上購物、在線支付等應(yīng)用，極大的方便了大家日常生活，然而這些應(yīng)用對安全性的要求都非常高，所以對于可信身份的的需求也非常大。 8 三、 基于電子商務(wù)平臺可信身份的管理研究 電子 商務(wù)平臺即是一個為企業(yè)或個人提供網(wǎng)上交易洽談的平臺。 通過身份認(rèn)證，可以有效防止黑客入侵。 一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。 （三）身份認(rèn)證的重要性 用 戶必須提供他是誰的證明，這種證實(shí)客戶的真實(shí)身份與其所聲稱的身份 否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。對于電子商務(wù)而言，其高效性已經(jīng)得到了人們充分的認(rèn)可。目前部分學(xué)者將視網(wǎng)膜識別、虹膜識別和指紋識別等歸為高級生物識別技術(shù)；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術(shù)；將血管紋理識別、人體氣味識別、 DNA 識別等歸為“深奧的”生物識別技術(shù)。 主要是指通過可測量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。 認(rèn)證 基于 USBKey 的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。 卡（智能卡） 一種內(nèi)置集成 電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。每個用戶密碼都是有自己設(shè)定的，只有用戶才知道。這三種方式中，恐怕只有生物識別技術(shù)的安全系數(shù)是比較高的，其他方式都容易被他人仿冒。由于電子商務(wù)是在網(wǎng)絡(luò)中完成 , 交易各方不見面 , 為了保證每 個參與者銀行、企業(yè)都能無誤地被識別 , 必須使用身份認(rèn)證技術(shù)。防火墻的目的是提供安全保護(hù)、控制和鑒別出人站點(diǎn)的各種訪問。 （ 四 ） 電子商務(wù)風(fēng)險的規(guī)避 由于電子商務(wù)安全的重要性，所以部署一個完整有效的電子商務(wù)安全風(fēng)險管理對策顯得十分迫切。類似于傳統(tǒng)的交易活動，也有難以確定利潤、缺少策略、不當(dāng)?shù)念I(lǐng)導(dǎo)和殘酷的競爭等風(fēng)險 的存在。 電子商務(wù)交易所涉及的交易各方不是當(dāng)面交換或直接面談，而是在網(wǎng)絡(luò)平臺上以電子交易方式進(jìn)行的，它可以減少消費(fèi)環(huán)節(jié)和交易費(fèi)用，節(jié)約時間，跨越空間，作為一種新的經(jīng)濟(jì)形式，它既存在高收益又存在高風(fēng)險。其次，買方信用風(fēng)險，主要指消費(fèi)者個人由于花錢無度和惡意透支，可能在網(wǎng)上使用了沒有存款的信用卡進(jìn)行消費(fèi)，或是犯罪分子使用非法偽造的信用卡騙取賣方的貨物；對于企業(yè)購買者來說，還存在收到貨物后，拖延貨款等誠信問題，賣方需要為此承擔(dān)一定的風(fēng)險。 3 （二） 信用風(fēng)險 由于網(wǎng)絡(luò)具有虛擬性等特點(diǎn)，電子商務(wù)環(huán)境下的商業(yè)信用有 了新的內(nèi)容和要求，電子商務(wù)使社會信用問題更加突出，欺騙、欺詐、抵賴等行為時有發(fā)生，社會信用環(huán)境岌岌可危，制約了電子商務(wù)的發(fā)展。在開展電子商務(wù)環(huán)境下，企業(yè)信息技術(shù)方面面臨的問題也是日漸暴露，主要體現(xiàn)在以下兩個方面：一方面，網(wǎng)絡(luò)環(huán)境 方面：在實(shí)踐中，我國很多企業(yè)的網(wǎng)絡(luò)系統(tǒng)都有被黑客攻擊的經(jīng)歷，個別網(wǎng)絡(luò)中的信息系統(tǒng)受到攻擊后無法恢復(fù)正常運(yùn)行。一般來說，電子商務(wù)普遍存在著以下幾個安全風(fēng)險： （一）信息風(fēng)險 信息風(fēng)險是指信息虛假、信息滯后、信息不 完善、信息過濫、信息壟斷等有可能帶來的損失。 電子商務(wù)已經(jīng)深入社會生活，其優(yōu)勢不僅被商家所青睞，更深受廣大客戶的好評。身份認(rèn)證是安全的重點(diǎn)， 是 解決