​ 马上就开始国庆长假了，在假期前最后与大家一起讨论下，供应链金融交易中如何保证交易安全。

我们先来一起看看在供应链金融交易中，会出现那些不安全的问题，带着这些问题，我们来讨论下现行的解决方案。

第一，如何保证交易的主体是真实的用户，即交易主体的身份怎么证明。

第二，如何保证交易行为是用户的真实意愿，比如其他用户冒用该用户进行操作，并非该用户的真实意愿。第三，如何保证数据在传输的过程中不被篡改。

接下来一起来看看针对以上问题的现行解决方案。

第一，如何保证交易的主体是真实的用户，即交易主体的身份怎么证明。目前，现行的解决方案是数字证书（CA）厂商提供了身份核验的产品，通过企业要素核验+随机对公打款的方式，对企业的身份信息进行有效的核验，保证在交易平台上注册的企业是真实的有效的企业用户。

第二，如何保证交易行为是用户的真实意愿，比如其他用户冒用该用户进行操作，并非该用户的真实意愿。最近，我在工作过程中遇到的一个真实情况，在产品试点的过程中客户就提出了如果账户和密码泄露，其他人用他的账户在系统上操作，这个问题系统是怎么有效规避的呢？

这个问题问的很实际，因为们是做供应链金融的平台，假设账号被盗用给企业造成的损失将是很大的。针对客户提出的问题，我们做了市场调研，采用多因素验证可以有效的解决账户被冒用的可能性，目前多因素验证有硬件和软件方案两种。多因素身份验证（MFA）是一种安全系统，是为了验证一项交易的合理性而实行多种身份验证。MFA的目的是建立一个多层次的防御，使未经授权的人访问计算机系统或网络更加困难。

（一）软件方案

阿里推出的虚拟MFA验证方案，登录时通过向手机安装的软件（阿里云/谷歌动态口令）发送6位的随机码，在前端页面输入后，后台验证通过后才可以登录系统。

阿里云虚拟MFA验证示例如下：

图1：登录阿里云

图2：获取验证码

图3：输入验证码，完成验证

（二）硬件方案

数字证书+Ukey双因素验证的方式，类似于大家日常生活中通过网银U盾登录网银一样，Ukey就是硬件的介质，类似于U盘形状，数字证书的私钥写入Ukey中，且Ukey只能写入，不能拷贝出保证了数字证书的安全性。我简单的说明下，数字证书加解密的过程。首先，企业用户输入用户名、密码后发送至后台；其次，后台向该用户发送一串随机数；再次，用Ukey中的私钥证书对随机数进行加密后再次传输至后台；最后，后台根据私钥证书对应的公钥证书进行解密，解密后验证随机数是否一致，如果一致则允许用户登录，如果验证不通过则拒绝用户登录。

第三，如何保证数据在传输的过程中不被篡改。我们可以从任何验证数据是否被篡改的角度来寻求解决办法；经过调研后，目前市面上的解决方案也是数据证书+Ukey结合的方式可以解决该问题，即通过对传输的数据通过Ukey中的私钥证书进行数据签名，传输至服务端后，由服务端根据公钥证书进行验签，如果验签通过则表示数据未被篡改，如果验签未通过则表示数据被篡改。

以上是我对供应链金融的交易过程中如何保证交易安全的理解和认识，欢迎各位小伙伴们积极留言，参与互动；最后，提前预祝大家国庆快乐。

如果想获得更多干货，请关注我的个人微信公众号，每周定时更新。