電子簽名與認證：網(wǎng)商應(yīng)用知多少?

“周末還在逛商場購物嗎？還在為商場的高昂價格而煩惱嗎？你OUT了！網(wǎng)購的全民浪潮撲面而來，作為新時代的你，怎么還甘于人后，跟著姐一起來淘寶吧！”——這是在天涯社區(qū)上的一篇關(guān)于網(wǎng)購的帖子，先不管此“姐”是真姐還是偽娘，或是水軍貼，這樣一條其實很普通的帖子，在短時間內(nèi)就引起了很多人的響應(yīng)，跟帖無數(shù)。

目前，網(wǎng)購已經(jīng)成為如今最時尚也最省錢的新消費模式，更迎合了當下“宅男”、“宅女”們的生活狀態(tài)。專家預(yù)測，2011年，中國在線產(chǎn)品交易額將達到6000億元，增速超過全球平均20%〜30%的速率。阿里巴巴集團董事局主席馬云曾公開表示，2010年淘寶網(wǎng)交易額將超過4000億元！

電子商務(wù)需電子認證服務(wù)

根據(jù)CNNIC的統(tǒng)計，截至2010年6 月底，中國網(wǎng)民規(guī)模達4.2億人，網(wǎng)上購物、網(wǎng)上支付和網(wǎng)上銀行的使用率分別達到了33.8%、30.5%和29.1%，用戶規(guī)模分別達到1.42億、1.28億、1.22億，半年用戶規(guī)模增幅分別為31.4%，36.2%和 29.9%，增速在各類網(wǎng)絡(luò)應(yīng)用中排名前三。

盡管如此，電子商務(wù)應(yīng)用仍然受到各種安全因素的困擾。CNNIC調(diào)查發(fā)現(xiàn)，僅2010年上半年，就有59.2%的網(wǎng)民在使用互聯(lián)網(wǎng)過程中遇到過病毒或木馬攻擊；30.9%的網(wǎng)民賬號或密碼被盜過；電子商務(wù)網(wǎng)站訪問者中89.2%的人擔心假冒網(wǎng)站，其中，86.9%的人表示如果無法獲得該網(wǎng)站進一步的確認信息，將會選擇退出交易。

在網(wǎng)上交易中，賬戶的安全如何保障？如何保證交易的不可抵賴性、不可篡改性?交易及支付過程中的欺詐行為如何溯源？這些都成為人們最關(guān)心的問題，也成為制約電子商務(wù)發(fā)展的重要瓶頸。在互聯(lián)網(wǎng)中建立并維持一種令人信任的環(huán)境和機制成為擴展電子交易規(guī)模的關(guān)鍵。其實不僅是我們所熟知的B2C、C2C、B2B網(wǎng)購，企業(yè)在網(wǎng)上簽訂各種電子合同、驗證電子保單等方式，都需要有效的安全手段來保障。

眾所周知，目前包括淘寶、當當網(wǎng)在內(nèi)的所有主要 的B2C、C2C電子商務(wù)網(wǎng)站，其支付方式無非是采取第三方擔保（如支付寶）、信用卡支付以及貨到付款的方式。無論其中任何一種，對消費者和電子商務(wù)網(wǎng)站來說，都需要冒一定的安全風險。

比如信用卡支付，消費者在選擇了信用卡支付方式后，一般會轉(zhuǎn)到相應(yīng)的銀行網(wǎng)站，輸入自己的信用卡賬號和由數(shù)字、字母組成的傳統(tǒng)密碼，來完成金額支付。這其實是一種簡單的“用戶名+密碼”的方式，它很容易被鍵盤側(cè)錄程序記錄后被黑客截獲；同時它不能認證交易雙方用戶的身份、也不能在交易憑證上簽章，不具備法律效率。一旦發(fā)生資金失竊，用戶很難提出證據(jù)證明該交易不是出自自己之手。正因為這些缺陷，很多用戶在信用卡、支付寶等支付形式中，采取了限定資金量的方式，比如招商銀行信用卡在網(wǎng)銀中可讓用戶設(shè)定最高資金限額，一旦發(fā)生資金丟失，用戶最多只損失有限的資金。因此，上述的電子商務(wù)支付模式，大多應(yīng)用在小額支付中。

淘寶網(wǎng)店寶蓮飛的店主告訴記者，她沒有采取什么硬性的安全保障措施，也就是根據(jù)淘寶網(wǎng)上的提示安裝一系列的安全控件，其中包括軟性證書等，她估計大多數(shù)淘寶店主都像她一樣?！捌鋵嵤且驗榻?jīng)營這么長時間以來從沒出現(xiàn)過賬戶被盜或者別的安全問題，所以不會去考慮那么多，而且我們這種金額量不大的交易，支付寶里頂多也就只有幾千塊錢，只要自己別放那么多錢在里面也就安全了”。她的這種說法，記者在采訪中也從其他的淘寶店主那里得到了驗證。

但在B2B的電子商務(wù)模式中，或者一些交易資金數(shù)量巨大的C2C、B2C交易中，或者企業(yè)在簽訂網(wǎng)上合同中，采用上述小額支付的模式就面臨著很大的安全風險。

工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武表示，電子簽名技術(shù)目前是保障電子交易安全的最安全的技術(shù)。首先，其采用的加密技術(shù)極難破解，無法偽造，因而黑客很難破譯，即便黑客知道了你的網(wǎng)絡(luò)銀行賬號，也沒辦法從你的賬戶取走一分錢。其次，《電子簽名法》已經(jīng)明確，確定有效的電子簽名具有法律效力，一旦發(fā)生交易糾紛，用戶將有法可依。

因此我們可以說，電子簽名與認證目前被普遍認為是保障電子商務(wù)交易安全的安全系數(shù)最高的一種技術(shù)。

此外，在企業(yè)的對外貿(mào)易和對外簽署合同的過程中，如果能采用電子簽名與認證服務(wù)，則不僅能極大地提高企業(yè)的效率，也能根據(jù)《電子簽名法》的條款，保證電子合同的法律效果。

“電子簽名最大的效率還是體現(xiàn)在認證電子合同上，交易雙方不用面對面就可以產(chǎn)生一個互相都認可、并具備法律效應(yīng)的電子文件，提高了企業(yè)的做事效率，這才是電子簽名最本質(zhì)的地方，從電子認證服務(wù)本質(zhì)上來講，這也是其最大價值所在。”北京天威誠信電子商務(wù)服務(wù)有限公司高級副總裁李延昭介紹。

以聯(lián)想集團為例，該公司在ERP系統(tǒng)建設(shè)完畢后，采用了天威誠信的電子簽名和認證服務(wù)，平均每年處理電子合同30萬〜40萬份，占訂單總量的90%。合同平均處理時間從過去的13天縮短到半個小時，其中85%是在一分鐘內(nèi)完成的。就此一項，聯(lián)想每年直接節(jié)省140萬元左右的交易成本，同時降低了訂單處理的壓力。也加快了聯(lián)想整個PC的交貨過程，有效降低了成品庫存和生產(chǎn)部件的庫存。

在保險行業(yè)，平安人壽保險、合眾人壽保險、中國人民保險、中意財產(chǎn)保險、新光海航人壽保險等保險企業(yè)提供電子保單也采用了北京數(shù)字證書認證中心有限公司（BJCA）的電子簽名和認證服務(wù)，使得保險憑證實現(xiàn)無紙化，保險行業(yè)走入低碳化的發(fā)展模式。

電子認證商務(wù)應(yīng)用不盡人意

然而，目前的情況是，中國的B2C、C2C電子商務(wù)模式發(fā)展順利，B2B發(fā)展則不理想。有數(shù)據(jù)顯示， 2011年，中國在線產(chǎn)品交易額將達到6000億元，其中，僅淘寶網(wǎng)一家的交易額就超過4000億元。淘寶是典型的C2C電子商務(wù)模式，那么其他的電子商務(wù)模式僅占1/3。而國際上公認的“商業(yè)之間的網(wǎng)絡(luò)交易（B2B方式）”應(yīng)占電子商務(wù)總交易量80%以上的經(jīng)濟指標。就這一數(shù)字來說，國際國內(nèi)相差甚遠！

那么，是什么原因造成了國內(nèi)B2B交易量不理想呢？

目前，在中國的大額網(wǎng)絡(luò)交易中，沒有建立完善的安全可信的身份識別體系，這是在網(wǎng)絡(luò)交易中，造成商家和消費者心理上同時缺乏信任感和安全感、電子商務(wù)進程不快的最主要原因?！睔W陽武認為，“電子簽名與認證服務(wù)已經(jīng)在電子政務(wù)、網(wǎng)銀等領(lǐng)域獲得了廣泛應(yīng)用，但在電子商務(wù)領(lǐng)域的應(yīng)用不盡如人意。”

《電子簽名法》已經(jīng)頒布實施了5周年，為什么電子簽名技術(shù)在電子商務(wù)交易中并沒有廣泛應(yīng)用呢？

“首先原因在于，很多電子商務(wù)網(wǎng)站對電子簽名技術(shù)還缺乏綜合的認識，目前許多電子商務(wù)網(wǎng)站更關(guān)注系統(tǒng)的功能和性能，對于信息安全的重視程度沒有提升到必須的層次。就像買保險，很多人都是問題出現(xiàn)了才想到需要一份保險來降低風險，所以要提高電子商務(wù)領(lǐng)域人們對電子簽名技術(shù)的認識，這還需要很長一段時間的知識普及過程。其次，電子簽名技術(shù)需要同業(yè)務(wù)系統(tǒng)做深度的整合，對接到應(yīng)用系統(tǒng)中才能夠做到真正意義的責任認定，而很多電子認證服務(wù)機構(gòu)由于許多原因，比如技術(shù)不過關(guān)、或者服務(wù)不到位、或者不了解應(yīng)用系統(tǒng)等，還沒有做到這種程度，因此，電子簽名與認證服務(wù)系統(tǒng)還沒有有效對接到應(yīng)用系統(tǒng)中，造成了電子商務(wù)提供商不愿意采用電子簽名技術(shù)?！北本?shù)字證書認證中心有限公司（BJCA）市場部的工作人員解釋電子簽名應(yīng)用到電子商務(wù)所遇到的問題時這樣說。

李延昭對電子簽名技術(shù)在電子商務(wù)領(lǐng)域的應(yīng)用情況有自己的看法，“從市場需求來看，電子簽名技術(shù)及服務(wù)在電子商務(wù)領(lǐng)域有很大的拓展空間，電子認證服務(wù)商要把握這樣的機會實際上要解決一個很簡單卻很核心的問題——用戶體驗問題。用戶的需求是多樣化的，一種安全技術(shù)不能解決所有的問題，需要多種技術(shù)來適應(yīng)，現(xiàn)在中國市場上推廣使用證書已經(jīng)取得了一些成效，但是這個行業(yè)里面做技術(shù)的人太多，做用戶感受的人太少，以至于抓不住更多的電子商務(wù)客戶。”

朱女士是淘寶商鋪美美阿布的店主，專門經(jīng)營各種布藝，她告訴記者，自己對各種安全支付的方式了解不多，但是通過前期的體驗，她覺得目前各種安全支付的方式都似乎比較繁瑣。

支付寶風險管理部李秋石在接受《計算機世界》報記者采訪時表示：“目前，支付寶中的一些高端用戶已經(jīng)采用了第三方電子簽名與認證服務(wù)技術(shù)來保障高端人群的資金安全。按道理，數(shù)字證書的適用對象是所有擁有支付寶賬戶的用戶，但由于需要用戶支付一定的證書費用，因此支付寶會對需要更高等級安全保障的用戶進行提醒，推薦使用數(shù)字證書等安全技術(shù)提升賬戶安全等級。很多用戶暫不考慮使用數(shù)字證書的原因主要有兩個方面，一方面用戶對賬戶的安全意識不強，僅有少部分用戶會主動了解并且安裝數(shù)字證書等安全產(chǎn)品；另一方面，除數(shù)字證書之外還有其他保障賬戶安全的手段，像支付寶還提供手機動態(tài)口令、寶令(動態(tài)令牌)等安全產(chǎn)品，用戶有時會選擇這些安全保障方式?！?

據(jù)李延昭介紹，在目前國內(nèi)的眾多從事電子商務(wù)的企業(yè)中，真正運用到電子簽名技術(shù)的實際比例很小。除了上述的原因外，另一個重要原因是電子商務(wù)環(huán)境并不成熟。首先，電子商務(wù)企業(yè)內(nèi)的信息化程度還沒達到一定的規(guī)模層次，這是電子商務(wù)發(fā)展的基本要求，也是電子簽名賴以生存的企業(yè)硬件條件之一。試想若一個企業(yè)使用了電子簽名，那么相對應(yīng)的供應(yīng)商、客戶也必須達到同等的安全水平才能形成互動，一些企業(yè)特別是中小企業(yè)、民營企業(yè)，信息化的程度還比較低，不能夠為電子簽名帶來基本的保障平臺，這也制約了電子簽名技術(shù)的應(yīng)用。其次，對于企業(yè)而言，大大小小的各種認證機構(gòu)很多，到底哪些才具有權(quán)威性？這也成為很多電子商務(wù)企業(yè)感到困惑的原因之一。

用戶體驗有待提高

對于企業(yè)來說，電子簽名最實在的應(yīng)用就是直觀地看到生產(chǎn)成本的降低和工作效率的提高，而對于個人用戶而言，到底需要的是一種什么樣的用戶體驗才使他們“習慣”使用這樣一種技術(shù)呢？

“其實用戶需要的就是方便、全面的安全保障。‘方便’是指能夠兼容各種支付方法，隨時隨地能帶來流暢的支付體驗?！妗侵笜藴驶?、全方位的安全保障。做到這兩點，用戶就會很自然地接受并使用這樣的產(chǎn)品。”李秋石說。

“很多用戶希望只用一個Key、用一個證書就能解決所有的安全問題，這就是易用性的需求。在很多情況下，用戶是將數(shù)字證書放在不同的PC上、不同的應(yīng)用系統(tǒng)中去用的，很多的問題都發(fā)生在使用過程中，各個電子認證服務(wù)商對證書的安裝很多是不兼容的，所以我覺得，從電子簽名認證服務(wù)這個角度來說，也需要一個逐漸的發(fā)展過程。十年前，我們剛開始用銀行卡時，銀行卡也不兼容，在商場刷卡時，拿著中國銀行的卡就不能到工商銀行的POS機上去消費，后來銀聯(lián)出現(xiàn)，一臺POS機能夠刷所有銀行的卡?，F(xiàn)在，電子認證也在經(jīng)歷這么一個發(fā)展的過程。解決易用性和兼容性問題是電子簽名與認證業(yè)務(wù)未來在電子商務(wù)領(lǐng)域長遠發(fā)展的基石?！崩钛诱颜J為，“此外，用戶存在的使用習慣的問題，我覺得這勢必需要一個接受的過程，就跟我們接受淘寶，大家在網(wǎng)上買東西一樣，經(jīng)過了一個接受階段，最近才變得越來越流行起來，電子簽名與認證技術(shù)在電子商務(wù)中的應(yīng)用需要一個階段性的過程。”

也有不愿意透露姓名的淘寶店主向記者表示，可能是因為沒有什么強制的手段去推行電子簽名技術(shù)的使用來保障他們的交易安全，所以像他這樣的電子商務(wù)經(jīng)營者容易忽略電子簽名的作用。而且他們并不知道這樣的技術(shù)到底能給自己帶來什么效果？因此在證書技術(shù)的了解上幾乎可以說是空白。

而對于這樣的情況，李延昭也表示，政府既然已經(jīng)立了法，就證明了這種技術(shù)在現(xiàn)階段是可行的，那么就應(yīng)該實行一些必要的政策推動。中國政府的推動力是非常強的，政府的影響力也是非常強的，政府的推動不失為真正推動電子簽名與認證行業(yè)發(fā)展的有效方式。