編者按：隨著全球經濟的信息化發展數字時代的到來，信息共享逐漸成為未來很長一段時間的發展趨勢。電子商務的發展打開了各行業的大門，使其走向整個經濟市場，開拓自己的發展道路。電子商務的快速迅速發展，在轉方式、調結構、穩增長、促就業等等方面發揮了重要的作用，目前，電子商務法已通過初審和二審，按照全國人大常委會安排，不出意外的話，今年年內或將出臺。

隨著電子商務快速發展，像App強制索權、大數據“殺熟”、用戶數據泄露、網絡病毒入侵，惡意盜卡、網絡身份盜用等問題引起了社會的普遍關注，如何有效規范電商行為、保護用戶身份安全、促進電商健康發展，成了電子商務研究者和實務者共同思考的問題。本文節選汪德嘉博士《身份危機》一書中電子商務章節，帶大家了解電子商務網上支付將會遇到哪些身份認證危機？又有哪些安全技術來做保障？

電子商務的概念及應用范圍

電子商務是科技發展的產物，它是指全球范圍內交易雙方無需見面，進行各種金融、采購等綜合交易活動的新型商業模式。以互聯網為載體基于瀏覽器和移動APP的應用方式，進行在線電子支付實現網絡購物，由于它具有快捷、方便、高效的特點，在全球范圍內廣受企業及私人個人的歡迎。電子商務涉及企業與企業之間、企業與消費者之間以及企業內部的商務往來。

（1）企業與企業之間主要完成甲乙雙方的合作關系，通過網上談判，進行網上采購、訂貨、簽約，包括后期的市場維護、交易跟蹤、商品運輸、索賠處理等事項。在整個貿易往來的過程中，基于互聯網的廣、快、準的優勢進行信息的交流和傳達，及時快捷地解決貿易中的所有問題。

（2）企業與消費者之間，做到消費者足不出戶便可通過網絡手段購買日常所需物品的目的。通過電子支付平臺和客戶售后服務達到企業盈利、消費者受用的目的。將實體店的流水服務搬上網絡平臺，為消費者提供滿意的售前、售中、售后等一條線服務。

（3）企業內網電子交易。內網的設置也是屬于電子商務的一環，通過企業內部網絡的設置，隔絕與外界網絡的聯系，提高企業內部的信息共享效率，有利于企業內部員工的自主交流與溝通，提高了維護客戶、解決客戶問題的工作效率。

電子商務網上支付危機

1、密碼設置不合理

現在網上支付渠道很多，銀行卡、微信、QQ、支付寶以及各網站獨有的支付賬號都可以完成網上支付。每一個付款渠道都需要獨有的密碼，經調查顯示，75%的人將所有密碼鎖設置為同一個密碼，而且密碼構成太過單一，簡單的密碼破譯軟件就能輕松破解。密碼多了，會導致記憶混亂，可以采取自己的方法解決。建議將密碼設置得復雜些，以免受到惡意網站的攻擊，造成不必要的財產損失。

2、網絡病毒的入侵

近年來銀行卡賬戶中的資金無故流失，或者是在自己操作的情況下被惡意劃走的現象頻頻出現，少則幾百多則百萬。導致人心惶惶，甚至對銀行的信任度直線下降。木馬如今往往會對正在操作的瀏覽器進行實時監控，并將獲得銀行卡號和密碼。

3、釣魚平臺

利用一些黑客技術在手機上發送假冒銀行身份的短信或者中獎信息，亦或是通過發送郵件的形式，誘導用戶輸入賬號，使用戶在不知不覺中掉進圈套。釣魚平臺在我國泛濫成災，在去年就處理了釣魚網站49308個，呈現出增加的趨勢。所以用戶要時刻關注銀行的提醒窗口，謹慎行事。

4、網上支付的信用問題

網絡交易付款是虛擬空間電子操作的副產品，消費者摸不著、看不到，對整個交易平臺更是不了解。企業如何操作，銀行與消費者之間的交易渠道又是如何，加之人與人之間本身存在的無形隔閡，使消費者在進行網上交易時思慮再三，阻礙了交易的正常進行。據調查顯示，電子商務平臺給人們帶來了很多便利，隨之而來的是要面臨更大的威脅。這樣的虛擬平臺，以完全看不到的形式進行交易，在決定付款時，消費者最關心的就是商家的信譽度，信譽度高的商家才能完成交易。因此，近年來入住網站的商家都在盡最大努力提升自己的信譽度，以解決電子商務的誠信問題。

5、網上支付的法律問題

電子商務網絡交易的發展勢頭過于激烈，發展速度已經超過人們的想象。在這樣的發展形勢下，我國還沒有成熟有效的法律條款對其進行制約。網上交易遍布全國各大城市、各個行業，包括了售前、售中、售后以及維護等環節。存在著頻繁的跨省市交易，在整個電商行業，我國還沒有足夠的經驗和足夠的能力很好解決每個環節出現的問題。政策不明朗、法律不健全，使得消費者不能保障自身的利益。

安全認證機構的建設混亂

CA認證是對電子商務平臺的認證，是管理和發放數字證書的權威機構。認證是對入住商家資格、能力的評估認可，具有國家法律效力經營允許的證明。認證過程的公平、公正、公開、嚴禁度就成為了最關鍵的所在，而認證條件是認證結果的基礎。

CA認證過程中存在著很多漏洞，一則支付過程存在安全隱患，由CA機構頒發的電子證書本具有單獨性，不允許其他人借用，可實際卻存在著交叉混用的情況。再則身份認證系統不完善，認證作用只是保證一對一的網上交易安全可信，而不能保證多家統一聯網交易的便利。三則整個認證機構沒有合理的指導思想，更沒有對整個電商行業進行統一管理和統一規劃。行業混亂、技術雜亂，沒有合理的技術指標來規范所有商家，導致電商網絡平臺所引進的產品和設備參差不齊。

國內電子商務移動支付研究現狀

電商平臺不單只是基于瀏覽器，隨著電子商務和移動用戶群體迅速發展，移動電子商務作為一種新興的移動增值業務正孕育著巨大的商機。而移動支付是一種允許移動用戶使用其移動終端（通常是手機）對所消費的商品或服務進行賬務支付的支付方式，也稱為手機支付。手機支付是目前為止速度最快的一種支付方式，付款人可以利用手機隨時隨地完成支付活動。不僅具有與銀行卡同樣的方便性，同時又避免了在交易過程中使用多種銀行卡以及商家是否支持這些銀行卡結算的麻煩。雖然目前手機支付只適用于小金額商品的買賣，并不適用于大宗交易。然而隨著三網融合技術的逐漸成熟，手機支付將成為人們生活中必不可少的交易方式之一。因此電子商務的安全需兼顧移動端及PC端。

我國移動支付業務共經歷了三個發展階段。

第一階段是通過短信或者語言確認的小額話費支付；

第二階段是移動運營商和銀行合作的手機銀行卡業務，用戶通過使用信，語音等方式操作銀行卡賬戶進行支付；

第三階段是遠程支付和現場支付，遠程支付是用戶通過手化的交易平臺，基于移動通信網絡或者互聯網技術，利用移動終端發送數據信息，完成充值，購物，轉賬等電子商務操作?，F場支付是指面對面的交易，可以發生在人與人之間或者人與機器之間，通過移動網絡或者不通過移動網絡完成支付過程。

電子商務移動支付危機

移動支付會面臨來自互聯網和移動通信系統的雙重威脅，再加上金錢的加成作用，電子商務移動支付面臨的風險往往更多、更復雜，主要包括：

（1）竊聽：竊聽是最基礎的一種獲取網絡傳輸數據的方法，主要考驗網絡的安全性。而移動支付信息主要依托于WIFI傳輸，與傳統的有線網絡相比，WIFI顯然更容易入侵，這主要表現在：絕大多數的WIFI都是私自搭建的，沒有完善的加密措施；攻擊者很容易偽裝成合法WIFI直接行騙，等等。

（2）交易抵賴：就像現實中的交易過程一樣，移動支付也會存在欺詐行為，甚至更容易產生。用戶或是服務提供商都可能對交易本身或是交易金額進行否認，給參與交易的其他人造成損失。

（3）重傳交易信息：這種攻擊針對于先前所說的消息的新鮮性而言，攻擊者首先竊取到移動支付信息，然后再多次重傳竊取到的信息。這樣做首先有可能給交易雙發帶來損失，也會加大系統的負載。

（4）中間人攻擊：中間人是指信息在用戶與服務商之間的中轉人。當攻擊者成為中間人時，他就獲取了該筆交易最大的可操縱性，可以結束、修改、重傳這筆交易，從而牟利。

（5）終端竊取與假冒：該種風險主要來源于移動通信系統，攻擊者可以通過SIM卡以及冒充移動終端來偽裝成合法用戶進行移動支付行為，從而給交易的參與者造成直接的損失。

電子商務身份認證技術

如今隨著智能手機的普及，移動支付業務也跟著一起被推廣開來。因為移動用戶數量每年都在高速增長，化得移動支付安全問題漸漸成為國內外學者研究的重點。國內外學者對于移動支付安全協議做了大量的研究工作，主要重點是支付過程中各方的身份認證、數據加密及不可否認性方面。

目前移動支付主要用到的基本安全技術有：加密算法、數字簽名技術、口令認證、IC卡認證、生物認證等，這幾種認證方式在此前發布的文章中已有詳細描述，這里不在贅述。

網上電子商務數字身份認證技術

常用的電子商務身份認證解決方案是：把密碼學、PKl/CA與AetiveX技術應用在B/S體系機構中，設計出一套基于數字證書的電子商務平臺的身份認證解決方案。

1、數字認證的關鍵技術

1)  密碼學

密碼學是研究編制密碼和破譯密碼的技術科舉。研究密碼變化的客觀規律，應用于編制密碼以保守通信秘密的，稱為編碼學。應用于破譯密碼以獲取通信情報的，稱為破譯學，它們總稱密碼學。密碼算法和安全協議是密碼學的兩個基本部分。根據算法完成的功能來劃分，密碼算法可分為對稱加密、公開密鑰。數字簽名及信息摘要這五種算法。協議是指兩個參與者進行的為了完成某種特定任務而采取的一系列有序的步驟，這兩個參與者可能是完全的相互信任的，也可能是攻擊者和完全不信任的人。使用密碼學完成某項特定任務并滿足安全需求的協議就是安全協議，比如消息認證協議、數字簽名協議等。

2)PKI/CA與數字證書

PKI(PublieKeyInfrastructure)指的是公鑰基礎設施。CA(CertificateAuthority)指的是認證中心。PKI從技術上解決了網絡通信安全的種種障礙。CA從運營、管理、規范、法律、人員等多個角度來解決了網絡信任問題。由此，人們統稱為“PKI/CA"。從總體構架來看，PKI/CA主要由最終用戶、認證中心和注冊機構來組成。

PKI/CA的工作原理是建立一套信任網絡，該網絡是通過發送和維護數字證書來實現的。同一信任網絡中的不同的用戶擁有與其身份惟一對應的數字證書，該信任網絡就是通過數字證書來完整身份認證和安全處理的?？梢詫底肿C書理解為數字版本的身份證、駕駛證等，在電子商務活動中，當系統需要客戶表明身份時，客戶就必須通過出示他的數字證書。一個CA是以該CA為信任源，維護一定范圍的信任體系，在該信任體系中，所有的用戶、服務器，都被發送一張數字證書來表明其身份證在該信任體系中是可信任的。數字證書是交易活動中，用戶、服務器用來檢查對方身份的憑據。

注冊中心的職責是審核證書申請者的真實身份。用戶的身份通過審核后，注冊中心將用戶信息上傳到CA，CA將根據該用戶信息為用戶制作數字證書。證書的吊銷和更新也需要由注冊中心向CA提交申請。也就是說，注冊中心面向最終用戶，CA面向注冊中心，注冊中心將最終用戶和CA連接起來。

3)ActiveX控件

電子商務系統中進行瀏覽器端安全控件的開發時，常選用AetiveX組件技術。該組件主要完成這些功能：對客戶端要發送數據進行數字信封方式的封裝，使用Des對稱加密算法對發來的信息進行加密和數字簽名；驗證服務器數字證書的合法性。

AetiveX控件在電子商務系統中的具體實現過程如下：客戶端向電子商務服務器發送請求，服務器向客戶端回傳內嵌有ActiveX控件的頁面，由瀏覽器對ActiveX控件進行解釋。瀏覽器根據頁面中表明的ActiveX控件的ID值，在客戶端計算機的注冊表中進行查詢，如果該ID也存在于注冊表中，說明客戶端計算了已經安裝了ActiveX控件，否則客戶端就要根據頁面中的路徑信息，到服務器端下載ActivcX控件并自動安裝注冊。這樣，ActiveX控件就可以使用了。

2、電子商務中數字認證流程

該系統框架圖（見圖11-1）描述了電子商務系統中數字認證的詳細工作流程：客戶端通過瀏覽器訪問電子商務系統服務器，服務器確認客戶端安裝了用于安全支付的ActiveX控件，客戶端填寫支付的相關信息，客戶端ActiveX控件對客戶填寫的信息進行加密和數字簽名，使用PKCS7標準封裝成數字信封，并發送給服務器端，服務器端收到數字信封，調用具有同樣加解密、簽名算法的COM組件進行解封裝、解密、驗證數字簽名，并訪問CRL驗證數字證書的合法性等工作，服務器返回確認信息給客戶端，完成數字認證過程。

圖11-1 電子商務數字認證流程

3、安全支付的解決方案

安全支付是電子商務系統中和身份認證同樣重要的安全性問題，只有保證支付的可靠性，才能使買賣雙方的交易活動順利進行。因此，安全支付問題的研究對于電子商務系統，具有十分重要的意義。

縱觀目前各大電子商務網站和網上支付系統，主要有兩種支付方式，來確保支付的安全性：口令、USBKEY。口令即銀行頒發給客戶的用戶名和密碼，在進行網上支付時，確認支付金額等信息后，支付系統需要用戶提供其網上支付口令信息，這些信息是經過加密的，在確認口令信息正確后，支付系統才允許支付行為的合法性。USBKEY是一種物理方式的安全保證系統。用戶在注冊網上銀行時，銀行頒發經過加密的與用戶信息相符合的數字簽名，并將此數字簽名存儲在USBKEY中。在進行網上支付時，支付系統需要確認客戶端連接USBKEY。并且該USBKEY的數字簽名是與用戶信息相符合的，這樣支付系統才運行支付行為的進行。對于兩種安全支付方式，口令方式具有操作的簡易性的優點，USBKEY操作相對復雜，并且需要客戶端安裝USBKey驅動等軟件，但是它具有更高的安全性，因此建議對安全性要求高的客戶，選用USBKEY安全支付方式。

4、支付安全的容錯性設計

盡管采取了各種設計方案來確保支付的安全性。交易過程中，仍然會出現人為的或者不確定性因素造成的錯誤支付行為，因此，有必要采取相應措施，提高支付系統的容錯性。目前，普遍采用的容錯性方案是：支付行為結束后，并不是馬上將交易貨款劃入賣方的賬戶，而是將這筆貨款暫存在電子商務提供商或者銀行里，等買方確認交易活動的成功進行后，才將貨款劃入買方賬戶。買方在支付貨款后，如果發現交易活動有誤，可以取消該交易，這樣已經支付的貨款就會返回到買方的賬戶。這種容錯性設計方案，大大提高了支付的安全性。

結束：中國的電子商務特別是中國的網絡零售業發展迅猛，成為全世界最大的網上零售市場，網上零售已占到中國銷售品零售總額的13%以上。而電子商務領域的消費者權益保障問題，要從電子商務的立法理念以及保護消費者權益的立法對策等方面進行考量。對于網絡上的交易責任，我國的新《消費者權益保護法》對此的規定是，平臺先行賠付，而此次的《電子商務法》也延續了這種思路，這個條款進一步保障了消費者的權益，使得在發生糾紛的時候，消費者不會訴求無門。

《電子商務法》的出臺必將為消費者們的生活帶來更大的便利，同時也意味著，平臺和企業在消費者權益保護過程中應當承擔更大的責任。

互聯網金融是借助于互聯網技術、移動通信技術來實現資金融通、支付和信息中介等業務的一種新興金融模式。毫無疑問，互聯網金融正以其獨特的運行方式和價值創造模式，影響著傳統金融業務，逐步成為整個金融生態體系中不可忽視的一部分。接下來的章節中將為大家分享互聯網金融面臨的風險以及互聯網金融人臉識別的運用，敬請期待！