王永健

【摘 要】“網(wǎng)上支付”和電子商務(wù)是密不可分的，了解電子商務(wù)是理解網(wǎng)上支付重要性的前提和基礎(chǔ)。網(wǎng)上支付是電子商務(wù)的關(guān)鍵環(huán)節(jié)，也是電子商務(wù)得以順利進行的基礎(chǔ)條件，如何實現(xiàn)完全的在線支付功能，并保證交易各方的安全、保密是實現(xiàn)電子商務(wù)關(guān)鍵的問題之一。

【關(guān)鍵詞】網(wǎng)上支付 電子商務(wù) 安全

一、網(wǎng)上支付交易出現(xiàn)的安全隱患

1.用戶的身份冒充

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法利益。攻擊者還以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

2.泄漏或丟失

是指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏，如利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，探測有用信息。信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等方式竊取敏感信息。對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容，如修改消息次序、時間，注入偽造消息等，從而使信息失去真實性和完整性。網(wǎng)上支付電費大多都是通過網(wǎng)絡(luò)銀行進行交易的，攻擊者利用對合法用戶的攻擊盜用合法用戶的用戶名及密碼進行其實操作，這樣對合法用戶造成了巨大的損失。

3.缺少嚴格的網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

4.非授權(quán)訪問

未經(jīng)許可就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息等。

二、用安全技術(shù)對支付進行有效保護

1.加密技術(shù)

（1）對稱加密

在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理，每個貿(mào)易方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

（2）非對稱加密

在非對稱加密體系中，密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易乙方使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易甲方;貿(mào)易甲方再用自己保存的另一把專用密鑰對加密后的信息進行解密。貿(mào)易甲方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。

2.密鑰管理技術(shù)

（1）對稱密鑰管理

對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣，對稱密鑰的管理和分發(fā)工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。貿(mào)易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對稱密鑰并用公開密鑰對該密鑰進行加密，然后再將加密后的密鑰和用該密鑰加密的信息(如EDI交換)一起發(fā)送給相應(yīng)的貿(mào)易方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰，因此各貿(mào)易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優(yōu)點是即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對稱密鑰的一種安全途徑。

（2）公開密鑰管理

貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。國際電信聯(lián)盟(ITU)制定的標準X.509(即信息技術(shù)——開放系統(tǒng)互連——目錄：鑒別框架)對數(shù)字證書進行了定義該標準等同于國際標準化組織(ISO)與國際電工委員會(IEC)聯(lián)合發(fā)布的ISO/IEC 9594-8:195標準。數(shù)字證書通常包含有唯一標識證書所有者(即貿(mào)易方)的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機構(gòu)(CA)，它是貿(mào)易各方都信賴的機構(gòu)。數(shù)字證書能夠起到標識貿(mào)易方的作用，是目前EC廣泛采用的技術(shù)之一。

（3）數(shù)字簽名

數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。

三、網(wǎng)上支付的防范措施

對于消費者而言，要保證網(wǎng)上交易的安全，首先你使用的計算機要安全。具體的措施包括有安裝防病毒軟件（并定期更新病毒庫）、安裝個人防火墻、給系統(tǒng)和網(wǎng)頁瀏覽器常更新安全補丁、不要隨意接受QQ等聊天工具中傳來的文件、不要輕易打開電子郵件中的附件等等。其次，保證連接的安全。進入網(wǎng)站時先確保網(wǎng)址的正確性。在提交任何關(guān)于你自己的敏感信息或私人信息，尤其是你的信用卡號之前，一定要確認數(shù)據(jù)已經(jīng)加密，并且是通過安全連接傳輸?shù)?。瀏覽器和Web站點的服務(wù)器都要支持相關(guān)協(xié)議。第三，保護自己的隱私，在設(shè)置密碼時最好以數(shù)字和字母相結(jié)合，不要使用容易破解的信息作為你的密碼。花幾分鐘閱讀一下電子商務(wù)公司的隱私保護條款，這些條款中應(yīng)該會對他們收集你的哪些信息和這些信息將被如何使用做詳細說明。盡量少暴露你的私人信息，填在線表格時要格外小心，不是必填的信息就不要主動提供。最后，不輕易運行不明真相的程序。攻擊者常把系統(tǒng)破壞程序換一個名字用電子郵件發(fā)給你，并帶有一些欺騙性主題，騙你說一些“幫我測試一下程序”之類的話。你一定要警惕了！對待這些表面上很友好、跟善意的郵件附件，我們應(yīng)該做的是立即刪除這些來歷不明的文件。除以上介紹的安全保護措施以外，最好不要在公共場所使用網(wǎng)絡(luò)銀行，比如網(wǎng)巴、公共圖書館等；每次使用完網(wǎng)絡(luò)銀行后，應(yīng)該單擊頁面中相應(yīng)的“退出登陸”按鈕正確退出。

參考文獻：

[1]高維.電子商務(wù)網(wǎng)上支付安全技術(shù)研究.電腦知識與技術(shù)，2008-04-08.

[2]高志堅.網(wǎng)上支付安全關(guān)鍵在于客戶端.科技經(jīng)濟市場，2008-10-15.

(作者單位：杭州師范大學錢江學院電氣機械系）