《电子商务法》或将出台，网络身份认证仍不可轻心！

编者按：随着全球经济的信息化发展数字时代的到来，信息共享逐渐成为未来很长一段时间的发展趋势。电子商务的发展打开了各行业的大门，使其走向整个经济市场，开拓自己的发展道路。电子商务的快速迅速发展，在转方式、调结构、稳增长、促就业等等方面发挥了重要的作用，目前，电子商务法已通过初审和二审，按照全国人大常委会安排，不出意外的话，今年年内或将出台。

随着电子商务快速发展，像App强制索权、大数据“杀熟”、用户数据泄露、网络病毒入侵，恶意盗卡、网络身份盗用等问题引起了社会的普遍关注，如何有效规范电商行为、保护用户身份安全、促进电商健康发展，成了电子商务研究者和实务者共同思考的问题。本文节选汪德嘉博士《身份危机》一书中电子商务章节，带大家了解电子商务网上支付将会遇到哪些身份认证危机？又有哪些安全技术来做保障？

电子商务的概念及应用范围

电子商务是科技发展的产物，它是指全球范围内交易双方无需见面，进行各种金融、采购等综合交易活动的新型商业模式。以互联网为载体基于浏览器和移动APP的应用方式，进行在线电子支付实现网络购物，由于它具有快捷、方便、高效的特点，在全球范围内广受企业及私人个人的欢迎。电子商务涉及企业与企业之间、企业与消费者之间以及企业内部的商务往来。

电子商务网上支付危机

>

>

>

>

密码设置不合理

现在网上支付渠道很多，银行卡、微信、QQ、支付宝以及各网站独有的支付账号都可以完成网上支付。每一个付款渠道都需要独有的密码，经调查显示，75%的人将所有密码锁设置为同一个密码，而且密码构成太过单一，简单的密码破译软件就能轻松破解。密码多了，会导致记忆混乱，可以采取自己的方法解决。建议将密码设置得复杂些，以免受到恶意网站的攻击，造成不必要的财产损失。

>

>

>

>

网络病毒的入侵

近年来银行卡账户中的资金无故流失，或者是在自己操作的情况下被恶意划走的现象频频出现，少则几百多则百万。导致人心惶惶，甚至对银行的信任度直线下降。木马如今往往会对正在操作的浏览器进行实时监控，并将获得银行卡号和密码。

>

>

>

>

钓鱼平台

利用一些黑客技术在手机上发送假冒银行身份的短信或者中奖信息，亦或是通过发送邮件的形式，诱导用户输入账号，使用户在不知不觉中掉进圈套。钓鱼平台在我国泛滥成灾，在去年就处理了钓鱼网站49308个，呈现出增加的趋势。所以用户要时刻关注银行的提醒窗口，谨慎行事。

>

>

>

>

网上支付的信用问题

网络交易付款是虚拟空间电子操作的副产品，消费者摸不着、看不到，对整个交易平台更是不了解。企业如何操作，银行与消费者之间的交易渠道又是如何，加之人与人之间本身存在的无形隔阂，使消费者在进行网上交易时思虑再三，阻碍了交易的正常进行。据调查显示，电子商务平台给人们带来了很多便利，随之而来的是要面临更大的威胁。这样的虚拟平台，以完全看不到的形式进行交易，在决定付款时，消费者最关心的就是商家的信誉度，信誉度高的商家才能完成交易。因此，近年来入住网站的商家都在尽最大努力提升自己的信誉度，以解决电子商务的诚信问题。

>

>

>

>

网上支付的法律问题

电子商务网络交易的发展势头过于激烈，发展速度已经超过人们的想象。在这样的发展形势下，我国还没有成熟有效的法律条款对其进行制约。网上交易遍布全国各大城市、各个行业，包括了售前、售中、售后以及维护等环节。存在着频繁的跨省市交易，在整个电商行业，我国还没有足够的经验和足够的能力很好解决每个环节出现的问题。政策不明朗、法律不健全，使得消费者不能保障自身的利益。

安全认证机构的建设混乱

CA认证是对电子商务平台的认证，是管理和发放数字证书的权威机构。认证是对入住商家资格、能力的评估认可，具有国家法律效力经营允许的证明。认证过程的公平、公正、公开、严禁度就成为了最关键的所在，而认证条件是认证结果的基础。

CA认证过程中存在着很多漏洞，一则支付过程存在安全隐患，由CA机构颁发的电子证书本具有单独性，不允许其他人借用，可实际却存在着交叉混用的情况。再则身份认证系统不完善，认证作用只是保证一对一的网上交易安全可信，而不能保证多家统一联网交易的便利。三则整个认证机构没有合理的指导思想，更没有对整个电商行业进行统一管理和统一规划。行业混乱、技术杂乱，没有合理的技术指标来规范所有商家，导致电商网络平台所引进的产品和设备参差不齐。

国内电子商务移动支付研究现状

电商平台不单只是基于浏览器，随着电子商务和移动用户群体迅速发展，移动电子商务作为一种新兴的移动增值业务正孕育着巨大的商机。而移动支付是一种允许移动用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的支付方式，也称为手机支付。手机支付是目前为止速度最快的一种支付方式，付款人可以利用手机随时随地完成支付活动。不仅具有与银行卡同样的方便性，同时又避免了在交易过程中使用多种银行卡以及商家是否支持这些银行卡结算的麻烦。虽然目前手机支付只适用于小金额商品的买卖，并不适用于大宗交易。然而随着三网融合技术的逐渐成熟，手机支付将成为人们生活中必不可少的交易方式之一。因此电子商务的安全需兼顾移动端及PC端。

我国移动支付业务共经历了三个发展阶段。第一阶段是通过短信或者语言确认的小额话费支付；第二阶段是移动运营商和银行合作的手机银行卡业务，用户通过使用信，语音等方式操作银行卡账户进行支付；第三阶段是远程支付和现场支付，远程支付是用户通过手化的交易平台，基于移动通信网络或者互联网技术，利用移动终端发送数据信息，完成充值，购物，转账等电子商务操作。现场支付是指面对面的交易，可以发生在人与人之间或者人与机器之间，通过移动网络或者不通过移动网络完成支付过程。

电子商务移动支付危机

移动支付会面临来自互联网和移动通信系统的双重威胁，再加上金钱的加成作用，电子商务移动支付面临的风险往往更多、更复杂，主要包括：

电子商务身份认证技术

如今随着智能手机的普及，移动支付业务也跟着一起被推广开来。因为移动用户数量每年都在高速增长，化得移动支付安全问题渐渐成为国内外学者研究的重点。国内外学者对于移动支付安全协议做了大量的研究工作，主要重点是支付过程中各方的身份认证、数据加密及不可否认性方面。

目前移动支付主要用到的基本安全技术有：加密算法、数字签名技术、口令认证、IC卡认证、生物认证等，这几种认证方式在此前发布的文章中已有详细描述，这里不在赘述。

网上电子商务数字身份认证技术

常用的电子商务身份认证解决方案是：把密码学、PKl/CA与AetiveX技术应用在B/S体系机构中，设计出一套基于数字证书的电子商务平台的身份认证解决方案。

>

>

>

>

数字认证的关键技术

1) 密码学

密码学是研究编制密码和破译密码的技术科举。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为编码学。应用于破译密码以获取通信情报的，称为破译学，它们总称密码学。密码算法和安全协议是密码学的两个基本部分。根据算法完成的功能来划分，密码算法可分为对称加密、公开密钥。数字签名及信息摘要这五种算法。协议是指两个参与者进行的为了完成某种特定任务而采取的一系列有序的步骤，这两个参与者可能是完全的相互信任的，也可能是攻击者和完全不信任的人。使用密码学完成某项特定任务并满足安全需求的协议就是安全协议，比如消息认证协议、数字签名协议等。

2)PKI/CA与数字证书

PKI(PublieKeyInfrastructure)指的是公钥基础设施。CA(CertificateAuthority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此，人们统称为“PKI/CA"。从总体构架来看，PKI/CA主要由最终用户、认证中心和注册机构来组成。

PKI/CA的工作原理是建立一套信任网络，该网络是通过发送和维护数字证书来实现的。同一信任网络中的不同的用户拥有与其身份惟一对应的数字证书，该信任网络就是通过数字证书来完整身份认证和安全处理的。可以将数字证书理解为数字版本的身份证、驾驶证等，在电子商务活动中，当系统需要客户表明身份时，客户就必须通过出示他的数字证书。一个CA是以该CA为信任源，维护一定范围的信任体系，在该信任体系中，所有的用户、服务器，都被发送一张数字证书来表明其身份证在该信任体系中是可信任的。数字证书是交易活动中，用户、服务器用来检查对方身份的凭据。

注册中心的职责是审核证书申请者的真实身份。用户的身份通过审核后，注册中心将用户信息上传到CA，CA将根据该用户信息为用户制作数字证书。证书的吊销和更新也需要由注册中心向CA提交申请。也就是说，注册中心面向最终用户，CA面向注册中心，注册中心将最终用户和CA连接起来。

3)ActiveX控件

电子商务系统中进行浏览器端安全控件的开发时，常选用AetiveX组件技术。该组件主要完成这些功能：对客户端要发送数据进行数字信封方式的封装，使用Des对称加密算法对发来的信息进行加密和数字签名；验证服务器数字证书的合法性。

AetiveX控件在电子商务系统中的具体实现过程如下：客户端向电子商务服务器发送请求，服务器向客户端回传内嵌有ActiveX控件的页面，由浏览器对ActiveX控件进行解释。浏览器根据页面中表明的ActiveX控件的ID值，在客户端计算机的注册表中进行查询，如果该ID也存在于注册表中，说明客户端计算了已经安装了ActiveX控件，否则客户端就要根据页面中的路径信息，到服务器端下载ActivcX控件并自动安装注册。这样，ActiveX控件就可以使用了。

>

>

>

>

电子商务中数字认证流程

该系统框架图（见图11-1）描述了电子商务系统中数字认证的详细工作流程：客户端通过浏览器访问电子商务系统服务器，服务器确认客户端安装了用于安全支付的ActiveX控件，客户端填写支付的相关信息，客户端ActiveX控件对客户填写的信息进行加密和数字签名，使用PKCS7标准封装成数字信封，并发送给服务器端，服务器端收到数字信封，调用具有同样加解密、签名算法的COM组件进行解封装、解密、验证数字签名，并访问CRL验证数字证书的合法性等工作，服务器返回确认信息给客户端，完成数字认证过程。

图11-1 电子商务数字认证流程

>

>

>

>

安全支付的解决方案

安全支付是电子商务系统中和身份认证同样重要的安全性问题，只有保证支付的可靠性，才能使买卖双方的交易活动顺利进行。因此，安全支付问题的研究对于电子商务系统，具有十分重要的意义。

纵观目前各大电子商务网站和网上支付系统，主要有两种支付方式，来确保支付的安全性：口令、USBKEY。口令即银行颁发给客户的用户名和密码，在进行网上支付时，确认支付金额等信息后，支付系统需要用户提供其网上支付口令信息，这些信息是经过加密的，在确认口令信息正确后，支付系统才允许支付行为的合法性。USBKEY是一种物理方式的安全保证系统。用户在注册网上银行时，银行颁发经过加密的与用户信息相符合的数字签名，并将此数字签名存储在USBKEY中。在进行网上支付时，支付系统需要确认客户端连接USBKEY。并且该USBKEY的数字签名是与用户信息相符合的，这样支付系统才运行支付行为的进行。对于两种安全支付方式，口令方式具有操作的简易性的优点，USBKEY操作相对复杂，并且需要客户端安装USBKey驱动等软件，但是它具有更高的安全性，因此建议对安全性要求高的客户，选用USBKEY安全支付方式。

>

>

>

>

支付安全的容错性设计

尽管采取了各种设计方案来确保支付的安全性。交易过程中，仍然会出现人为的或者不确定性因素造成的错误支付行为，因此，有必要采取相应措施，提高支付系统的容错性。目前，普遍采用的容错性方案是：支付行为结束后，并不是马上将交易货款划入卖方的账户，而是将这笔货款暂存在电子商务提供商或者银行里，等买方确认交易活动的成功进行后，才将货款划入买方账户。买方在支付货款后，如果发现交易活动有误，可以取消该交易，这样已经支付的货款就会返回到买方的账户。这种容错性设计方案，大大提高了支付的安全性。

结束：中国的电子商务特别是中国的网络零售业发展迅猛，成为全世界最大的网上零售市场，网上零售已占到中国销售品零售总额的13%以上。而电子商务领域的消费者权益保障问题，要从电子商务的立法理念以及保护消费者权益的立法对策等方面进行考量。对于网络上的交易责任，我国的新《消费者权益保护法》对此的规定是，平台先行赔付，而此次的《电子商务法》也延续了这种思路，这个条款进一步保障了消费者的权益，使得在发生纠纷的时候，消费者不会诉求无门。

《电子商务法》的出台必将为消费者们的生活带来更大的便利，同时也意味着，平台和企业在消费者权益保护过程中应当承担更大的责任。

互联网金融是借助于互联网技术、移动通信技术来实现资金融通、支付和信息中介等业务的一种新兴金融模式。毫无疑问，互联网金融正以其独特的运行方式和价值创造模式，影响着传统金融业务，逐步成为整个金融生态体系中不可忽视的一部分。接下来的章节中将为大家分享互联网金融面临的风险以及互联网金融人脸识别的运用，敬请期待！