基于电子商务平台的可信身份管理系统建设的可行性研究报告.docx
《基于电子商务平台的可信身份管理系统建设的可行性研究报告.docx》由会员分享,可在线阅读,更多相关《基于电子商务平台的可信身份管理系统建设的可行性研究报告.docx(43页珍藏版)》请在冰豆网上搜索。
基于电子商务平台的可信身份管理系统建设的可行性研究报告
基于电子商务平台的可信身份管理系统建设的可行性研究报告
摘要:
随着电子商务魅力的日渐显露,虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批新型行业迅速崛起,但是虚假网站浑水摸鱼、病毒木马层出不穷、钓鱼网站防不胜防,在国内互联网快速发展的同时,网络欺诈和诚信缺失问题也不断凸显,成为我国电子商务繁荣和网络安全的重大障碍。
一些业内专家表示,构建可信的互联网已迫在眉睫,各方应创造条件,积极推进可信互联网生态链的形成,可信身份一次次被有关部门提上议事日程。
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在。
如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁,但是要保证用户的财产信息安全,对人员进行统一身份认证,通过获取权限保证所有身份的合法性和安全性,从而保障用户信息财产安全。
USBKey身份认证技术是与用户名加口令,是近几年发展起来的一种方便、快捷、安全的身份认证技术,它结合了现代密码学技术、智能卡技术和USB技术的一种新型身份识别技术,本文对当前电子商务平台可信身份管理分析,并对其的相关应用进行了探讨,希望能够对我们认识和了解可信身份管理有所帮助。
关键词:
风险分析;可信身份;USBKey身份管理;USBKey身份认证技术
Abstract:
Withthecharmofthegrowinge-commerceexposure,virtualenterprises,virtualbanking,onlinemarketing,onlineshopping,onlinepayment,onlineadvertising,alargenumberoftherapidriseofnewindustries,butfakeWebsitesfishintroubledwaters,virus,Trojanhorseafteranother,veryhardtodetectphishingsitesinthecountrytherapiddevelopmentofInternet,networkfraudandintegritycontinuetohighlightthelackofproblems,China'selectroniccommercetoflourishandbecomeamajorobstacletonetworksecurity.Someindustryexpertssaid,tobuildcredibilityoftheInternetisimminent,thepartiesshouldcreateconditionsfor,andactivelypromotetheformationofcredibleInternetecosystem,astimeandagainbyreliableauthoritiesontheagenda.
Withtheincreasingsizeofsoftwaresystems,systemsecurityholesor"backdoor"inevitablepresence.Suchasthecookieprogram,JAVAapplications,IEbrowserandothersoftwareprogramsthesearelikelytoposeasecuritythreattooure-commerce,buttoensuretheuser'spropertyinformationsecurity,unifiedauthenticationofpersonnel,byensuringthatallaccessprivilegeslegitimacyandidentitysecurity,inordertoprotectuserinformationandproperty.
USBKeyauthenticationtechnologywiththeusernamepluspassword,inrecentyearsdevelopedaconvenient,fastandsecureidentityauthenticationtechnology,whichcombinesthetechniquesofmoderncryptography,smartcardtechnologyandUSBtechnology,anewidentificationtechnologythispaperonthecredibilityofthecurrente-commerceplatformidentitymanagementanalysis,anditsrelatedapplicationsarediscussedinthehopeofourknowledgeandunderstandingofreliableidentitymanagementhelp.
Keywords:
Riskanalysis;credibleidentity;USBKeyidentitymanagement;USBKeyauthenticationtechnology
引论1
(一)开发背景12
(二)系统分析12
引论
随着互联网的发展和普及,信息化的时代已经来临。
互联网深刻地影响和改变着人们生活的方方面面,电子商务无疑是网络时代的新生事物之一。
网上购物、网上支付等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。
从发展趋势来看,电子商务正在形成全球性的发展潮流。
现在,各个企业已经敏锐地意识到电子商务的重要性,书店、商店以及各类营销型企业纷纷建立电子商务网站,将电子商务作为了主要的营销手段之一。
开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大的改变了人们的工作和生活方式,带来了无限的商机。
然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。
黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务平台下身份的不确定性,可信身份管理和身份认证制约电子商务的发展,因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务面临可信身份控制的方法。
为了保证交易的安全性可以从登录身份进行认证。
身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录系统,保证进入系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。
如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。
而身份识别为这种责任提供了重要的保证。
网络安全机制的基本要素包括:
身份认证、访问控制授权、完整性检测、防否认机制、可靠性保护。
其中,身份认证在安全中的地位极其重要,是最基本的安全服务,其它的安全服务都依赖于它。
身份认证是安全的重点,是解决目前网上在线欺诈的唯一有效手段。
一、电子商务风险分析
随着Internet热潮席卷全球,电子商务日益成为当下时髦的词汇之一。
电子商务就是利用电子数据交换、电子邮件、电子资金转帐及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。
从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中,如何保持电子化的贸易方式与传统方式一样安全可靠则是人们关注的焦点,同时也是电子商务全面应用的关键问题之一。
电子商务已经深入社会生活,其优势不仅被商家所青睐,更深受广大客户的好评。
然而,这种高速方便的交易环境却存在着不少安全隐患。
在信息技术飞速发展的今天,面对不断出现的安全威胁,信息安全技术也要进行不断更新。
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。
一般来说,电子商务普遍存在着以下几个安全风险:
(一)信息风险
信息风险是指信息虚假、信息滞后、信息不完善、信息过滥、信息垄断等有可能带来的损失。
在信息传递过程中,如果市场行为主体不能及时得到完备的信息,就无法对信息进行正确的分析和判断,无法做出符合理性的决策。
信息风险的直接表现是网络欺诈,不仅使厂商和消费者在经济上蒙受重大损失,更重要的是它可能会使人们对电子商务这种新的经济形式失去信心。
信息技术风险的存在不仅会给社会信息化带来负面影响,而且会给抗风险能力弱的企业的经营管理带来直接损失,因此必须加以重视。
在开展电子商务环境下,企业信息技术方面面临的问题也是日渐暴露,主要体现在以下两个方面:
一方面,网络环境方面:
在实践中,我国很多企业的网络系统都有被黑客攻击的经历,个别网络中的信息系统受到攻击后无法恢复正常运行。
黑客攻击者非法用它们的网上资源,以它们的计算机系统作为工作平台,转而攻击第三人的系统或网络,而让企业代为承担责任,而使之遭受损失。
另一方面,信息存取方面:
无论是在信息的存储、传输还是信息的取回过程中,我国企业都面临着重重风险。
另外,各种外界的物理性干扰,如通信线路质量差、地理位置复杂、自然灾害等,都有可能影响到数据的真实性和完整性。
(二)信用风险
由于网络具有虚拟性等特点,电子商务环境下的商业信用有了新的内容和要求,电子商务使社会信用问题更加突出,欺骗、欺诈、抵赖等行为时有发生,社会信用环境岌岌可危,制约了电子商务的发展。
电子商务信用是指电子商务交易中由买方、卖方、电子商务平台提供方、物流企业、银行和中介机构等多方构成的互动信任关系。
电子商务信用风险是指电子商务活动中或虚拟市场中信用状态的不确定性,于是造成电子商务信用风险。
电子商务交易时的信用风险有以下三个方面:
首先,卖方信用风险,这里主要指卖方不能按时、按质、按量交割消费者所购的货物,或者不能完全履行与企业购买者签订的购买合同,给货物购买方的风险。
其次,买方信用风险,主要指消费者个人由于花钱无度和恶意透支,可能在网上使用了没有存款的信用卡进行消费,或是犯罪分子使用非法伪造的信用卡骗取卖方的货物;对于企业购买者来说,还存在收到货物后,拖延货款等诚信问题,卖方需要为此承担一定的风险。
最后,交易抵赖风险,买卖双方都有可能存在交易抵赖的可能性。
在传统市场交易时,由于交易双方直接面对面进行商品交易,这种信用风险的控制往往靠经验和法制来保证,进行电子商务交易后,由于交易环境发生改变,物流和资金流在时间和空间上是相互分离的,交易双方常常互不见面,只有数字化交往,用电子方式谈判、签合同、结账,当贸易一方发现新的情况出现后原先的交易对自己不利时,可能就会企图否认已做出的电子交易行为。
(三)交易风险
交易风险包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
电子商务交易所涉及的交易各方不是当面交换或直接面谈,而是在网络平台上以电子交易方式进行的,它可以减少消费环节和交易费用,节约时间,跨越空间,作为一种新的经济形式,它既存在高收益又存在高风险。
到目前为止,对电子商务交易的风险还没有一个明确的范围划分,但研究中普遍地把信息安全作为电子商务交易风险的一个方面,用“计算机的风险”来定义与电子商务交易有关的风险,包括网上页面的破坏、操纵和非授权访问用户记录,互联网欺骗和长途通信偷窃,版权的侵害和访问拒绝等。
事实上,产生电子商务交易风险的因素是多方面的,电子商务交易的威胁来自于互联网上的安全入侵、隐私入侵、声望的毁坏、身份的盗用、知识产权的侵犯等多个方面。
电子商务交易是一种全球范围内的活动,它还涉及到不同的文化、法规和货币的流通。
类似于传统的交易活动,也有难以确定利润、缺少策略、不当的领导和残酷的竞争等风险的存在。
此外,电子商务交易风险的存在还在于过多地依靠卖方或其他第三方,缺少技术上的可靠性和没有有效专家意见。
因此,电子商务交易风险涉及到策略、领导、声誉、文化、安全、隐私和技术等多个方面。
它不仅是技术领域的风险问题,它也是社会科学领域的风险问题。
(四)电子商务风险的规避
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。
制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
电子商务的风险具有复杂性、多样性和隐蔽性等特点,电子商务交易风险管理研究涉及信息技术、市场营销与运作管理等方面,是一个新的涵盖范围较为宽泛的风险研究领域。
充分利用有关技术规避风险:
1.利用防火墙技术保证电子商务系统的安全。
防火墙的目的是提供安全保护、控制和鉴别出人站点的各种访问。
它建立起网络通信的控制过滤机制从而有效保证交易的安全。
为了将私有网络从公共网络中分离出来并保护起来,主要可以采用如下几种形式的防火墙网络层防火墙应用层防火墙动态防火墙。
2.用身份认证技术保证电子商务系统的安全。
由于电子商务是在网络中完成,交易各方不见面,为了保证每个参与者银行、企业都能无误地被识别,必须使用身份认证技术。
二、电子商务的身份安全研究
由于电子商务安全的重要性,所以一个安全的身份显得十分重要。
授权一个安全身份从而大大减小电子商务面临的不安全因素,安全的身份目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
(一)目前常用身份认证方式分析
如何通过技术手段保证物理身份与数字身份相对应呢?
在真实世界中,验证一个人的身份主要通过三种方式:
一是根据你所知道的信息来证明身份,假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份,假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明身份,比如指纹、虹膜等生物识别技术。
这三种方式中,恐怕只有生物识别技术的安全系数是比较高的,其他方式都容易被他人仿冒。
不过应用生物识别技术的企业可谓凤毛麟角,或者并没有用到保护数据上。
首先,我们来介绍身份认证的三要素,他们分别是:
需要使用者记忆的身份证内容,例如密码和身份证号码等;使用者拥有的特殊认证机制,例如USBKey认证,IC卡等;使用者拥有的唯一特征,例如指纹,瞳孔,声音等等。
其次,现在计算机及网络中常用的身份认证方式有:
1.用户名/密码方式
用户名/密码是最简单也是最常用的身份认证方法。
每个用户密码都是有自己设定的,只有用户才知道。
只要能够输入正确的密码,计算机就会认为操作者就是合法用户。
实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码记在纸上放在自认为安全的地方,这样很容易造成密码泄露。
因此用户名/密码方式是一种极不安全的身份认证方式。
2.IC卡(智能卡)
一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。
智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。
然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
3.USBKey认证
基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。
它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
目前运用在电子商务、政务、网上银行,此种技术是目前最常用的认证技术之一。
4.生物识别技术
主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。
生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。
生物特征分为身体特征和行为特征两类。
身体特征包括:
指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:
签名、语音、行走步态等。
目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。
(二)造成环境不安全性
电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律,否则,电子商务是无法发展的。
安全与效率,是一切经济交易必须考虑的两个问题。
电子商务的存在与发展也必须满足这两个要求。
对于电子商务而言,其高效性已经得到了人们充分的认可。
但是,安全性呢?
电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。
如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。
网络安全是电子商务的基础。
为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。
任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。
黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。
(三)身份认证的重要性
用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础。
如何识别某人的真实身份,进而赋予其相应的权限,从而允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。
身份认证技术应运而生了,通过身份认证技术,可以识别人的真正身份,从而保护客户以及员工的重要电子信息。
建立信息安全体系的目的应该是保证系统中的数据只能被有权限的人访问,XX的人则无法访问到数据。
一旦身份认证系统被攻破,系统的所有安全措施将形同虚设,黑客攻击的目标往往就是身份认证系统。
如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。
而身份识别为这种责任提供了重要的保证。
通过身份认证,可以有效防止黑客入侵。
即使计算平台终端存在黑客软件,它也只能访问特定范围内的数据,将破坏降低到最少,并且它所有的违规操作都被审计系统记录下来,终端平台管理员可以根据审计的违规记录对其进行追踪。
身份认证在安全中的地位极其重要,是最基本的安全服务,其它的安全服务都依赖于它。
身份认证是安全的重点,是解决目前网上在线欺诈的唯一有效手段。
三、基于电子商务平台可信身份的管理研究
电子商务平台即是一个为企业或个人提供网上交易洽谈的平台。
然后要在这个平台上对可信身份进行管理是当前电子商务界争议最热的议题。
利用简单、快捷、低成本的电子通讯方式,买卖双方不见面地进行各种商贸活动。
目前电子商务工程正在全国迅速发展,实现电子商务的关键是要保证商务活动过程中系统的安全性。
随着互联网的发展,无数的网络应用如雨后春笋般的涌现,尤其是网上购物、在线支付等应用,极大的方便了大家日常生活,然而这些应用对安全性的要求都非常高,所以对于可信身份的的需求也非常大。
(一)可信身份及应用
所谓可信身份,顾名思义,就是可以信赖的身份。
通过信任的传递保障整个信息系统的可信,因此可信身份在体系结构应该与信息系统的构建方式紧密相关,应该是一种层层叠加的体结构,保证每次叠加后得到的新实体可信。
可信身份认证主要是利用以智能卡为核心的装置,以数字证书作为验证的依据进行用户身份鉴别的一种手段。
与常见的用户名/密码方式相比,使用可信身份认证设备有(如USBKey),还需要知道这个身份认证设备的密码,两者缺一不可,这就极大的增强了安全性。
可信身份认证是随着网络的发展而逐渐发展起来的,主要解决单纯的用户名/密码认证方式的不安全因素。
身份管理关系到未来网络基础设施,同时涉及到技术、社会、法律、国家政策等多方面因素。
欧美等发达国家对网络空间身份管理高度重视,各国都希望充分发挥自己在此领域的主导作用。
美国NSTIC(《网络空间可信身份国家战略》)的出台,对我国网络安全工作具有诸多启示。
第一,尽快制定我国网络空间可信身份国家政策。
随着我国经济社会活动对网络依赖性增强,各行业对网络空间可信身份都提出了需求,如网上购物、网上银行、网上社保等,身份管理成为确保网络空间繁荣和健康发展的关键。
未来身份管理将更加重要,美国、欧盟等都在加强身份管理技术研发和部署,已经形成较强的技术优势。
对我国而言,如果不及时加以部署和研发,将很可能丧失在未来网络中的话语权。
为此,必须将可信身份上升到国家战略高度,出台相关政策措施,整合各类资源,建立政府主导、市场主体的推动机制,促进网络空间身份管理的发展。
第二,支持网络空间身份管理技术研发和应用示范。
目前美欧在身份管理技术和产品研发方面具有优势,我国在此方面还处于跟随阶段,缺乏相关的实施和尝试。
鉴于身份管理的基础性和重要性,建议政府通过科技支撑计划等,支持研究机构、企业等开展相关技术研究和产品研发,支持建设应用示范系统,着力推进在电子政务、电子商务等方面的应用示范,探讨解决不同身份管理系统之间互联互通问题,在技术成熟时可以建立国家性身份管理平台,确保关系国家民生的关键身份信息把握在国家而不是国外企业手中。
第三,积极参与国际标准制定,掌握话语权。
身份管理关系到未来网络架构,美国、欧盟等发达国家和地区都在争夺技术、标准方面话语权,目前有大量组织也在对身份管理标准进行研究,如自由联盟、OpenID、OASIS、W3C、ITU-T、ETSI、3GPP、ATIS和IETF等,但还没有形成统一标准。
建议我国统筹协调研究、产业等各方面资源,有计划开展身份管理系列标准研究工作,同时组织国内力量积极向国际组织提交议案,争取设立由我国主导的研究议题,增强我国在身份管理标准化工作中的话语权与主导权。
第四,加强网络用户隐私信息保护。
网络空间用户相关信息被收集,会产生一系列问题,包括这些信息应该存储在哪里,所有权应当归属于谁,谁有权利控制使用这些信息,谁应当对用户信息的使用承担责任等等。
这些问题直接涉及到广大用户的个人权益。
当前,网络上个人信息泄密现象非常严重,用户隐私信息面临威胁。
因此,有必要加强网络空间用户隐私保护,出台相关的法律法规和标准规范,对用户隐私信息收集、使用以及泄露应当承担的法律责任等内容予以明确和规范。
(二)电子商务平台可信身份——开门之匙
每个人在生活中都会接触到身份认证,最常见的就是用钥匙开门。
在互联网世界中,身份认证也有个广泛的应用,如登录论坛、在线购物
升级会员 