劉春琪

(河南省信息中心,河南鄭州 450003)

電子商務(wù)支付安全問題探析

劉春琪

(河南省信息中心,河南鄭州 450003)

隨著現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展,越來越多的企業(yè)和個(gè)人用戶依賴于電子商務(wù)進(jìn)行各種商務(wù)活動(dòng),大量重要的身份信息、金融信息、交易信息都在網(wǎng)上進(jìn)行,電子商務(wù)安全支付問題成為大家共同關(guān)心的問題。同時(shí),伴隨著無線網(wǎng)絡(luò)和各種移動(dòng)終端不斷發(fā)展和完善,移動(dòng)支付帶來機(jī)遇的同時(shí),也帶來了一個(gè)重大的信息安全挑戰(zhàn)。本文對(duì)目前電子商務(wù)中存在的信息安全隱患和主流技術(shù)進(jìn)行了分析,以期能在實(shí)踐中對(duì)電子商務(wù)起到一定的借鑒意義。

電子商務(wù) 支付安全 移動(dòng)電子商務(wù)

1　引言

隨著現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，電子商務(wù)得到了越來越廣泛的應(yīng)用，越來越多的企業(yè)和個(gè)人用戶依賴于電子商務(wù)的高效和快捷而進(jìn)行著各種商務(wù)活動(dòng)。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)。電子商務(wù)是以計(jì)算機(jī)和開放的網(wǎng)絡(luò)為基礎(chǔ)載體的，大量重要的身份信息、金融信息、交易信息都需要在網(wǎng)上進(jìn)行電子的傳輸，電子商務(wù)安全支付問題成為大家共同關(guān)心的問題。伴隨著各種移動(dòng)終端和無線網(wǎng)絡(luò)的不斷發(fā)展和完善，移動(dòng)支付在不僅是一個(gè)重要的機(jī)遇，同時(shí)也帶來了一個(gè)重大的挑戰(zhàn)。

2　電子商務(wù)及信息安全現(xiàn)狀

近年來，電子商務(wù)開始了蓬勃地發(fā)展，但電子商務(wù)安全隱患嚴(yán)重地影響了電子商務(wù)的進(jìn)行。信息安全問題成為制約我國(guó)電子商務(wù)發(fā)展的重要因素還是，因此，必須從技術(shù)上為電子商務(wù)交易活動(dòng)提供機(jī)密性、完整性、真實(shí)性和抗抵賴性等安全保障。我們將從電子商務(wù)和信息安全兩個(gè)方面分別進(jìn)行討論。

2.1電子商務(wù)發(fā)展現(xiàn)狀

依據(jù)國(guó)家互聯(lián)網(wǎng)中心(CNNIC)的最新報(bào)告，2013年網(wǎng)絡(luò)購(gòu)物市場(chǎng)繼續(xù)快速向前發(fā)展，交易金額達(dá)到1.85萬億元，較2012年增長(zhǎng)40.9%。2013年網(wǎng)絡(luò)零售市場(chǎng)交易總額占社會(huì)消費(fèi)品零售總額的7.9%(如圖1)。

截至2013年12月，我國(guó)網(wǎng)絡(luò)購(gòu)物用戶規(guī)模達(dá)到3.02億，較上年增加5987萬，增長(zhǎng)率為24.7%，使用率從42.9%提升至48.9%。網(wǎng)購(gòu)用戶規(guī)模的快速擴(kuò)張為網(wǎng)購(gòu)市場(chǎng)的發(fā)展奠定良好的用戶基礎(chǔ)，釋放著巨大的市場(chǎng)潛力。

2.2信息安全現(xiàn)狀

近年來，雖然安全軟件逐漸普及、防范能力不斷加強(qiáng)，但新的病毒、詐騙手段和騷擾手段不斷涌現(xiàn)，安全軟件防范難度加大，安全事件發(fā)生概率仍然較高。整體上來講，我國(guó)信息安全環(huán)境仍不容樂觀，有74.1%的網(wǎng)民在過去半年內(nèi)遇到過安全事件，總?cè)藬?shù)達(dá)4.38億。

圖1　

電腦網(wǎng)上購(gòu)物發(fā)生安全問題的網(wǎng)民數(shù)占整體電腦上網(wǎng)人數(shù)的4.0%，影響人口達(dá)2010.6萬人。電腦網(wǎng)上購(gòu)物發(fā)生安全事故較多的是遇到欺詐信息，在網(wǎng)購(gòu)安全事故發(fā)生人群中的發(fā)生比例達(dá)75.0%;其次為假冒網(wǎng)站/詐騙網(wǎng)站，比例為60.7%;其它方面，個(gè)人信息泄露比例達(dá)42.9%、賬號(hào)密碼被盜比例達(dá)23.8%、中病毒和木馬的情況為22.6%(如圖2)。

網(wǎng)購(gòu)時(shí)發(fā)生這些安全事件，不僅給購(gòu)物者造成損失，同時(shí)也影響電子商務(wù)的健康發(fā)展。

3　電子支付安全

在電子商務(wù)的交易完成后，如何保證交易的任何一方無法否認(rèn)已發(fā)生的交易。這些安全問題將在很大程度上限制電子商務(wù)的進(jìn)一步發(fā)展，因此如何保證Internet網(wǎng)上信息傳輸?shù)陌踩殉蔀榘l(fā)展電子商務(wù)的重要環(huán)節(jié)。電子支付涉及到大量資金流的轉(zhuǎn)移以及個(gè)人隱私或商業(yè)機(jī)密，而這種支付是發(fā)生在開放性程度非常高的互聯(lián)網(wǎng)上，必須從技術(shù)上為電子商務(wù)交易活動(dòng)提供機(jī)密性、完整性、真實(shí)性和抗抵賴性等安全保降。因此，要對(duì)網(wǎng)上安全電子支付提出以下的要求:

(1)交易數(shù)據(jù)的保密性。保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。即，防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。電子支付過程主要處理與金融數(shù)據(jù)有關(guān)的信息，數(shù)據(jù)處理量大，且每筆數(shù)據(jù)都會(huì)影響到一定的經(jīng)濟(jì)利益，因此，交易過程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴(yán)格保密，除交易雙方以及被授權(quán)第三方外，必須保護(hù)支付交易的私密性，同時(shí)要防止信息被越權(quán)訪問。

(2)交易數(shù)據(jù)的完整性。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。交易數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中的完整性和有效性，即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的、未經(jīng)更改的。

(3)交易數(shù)據(jù)的不可抵賴性。不可抵賴性也稱作不可否認(rèn)性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實(shí)同一性。即，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。

電子商務(wù)交易過程是雙方或者是多方的，其中一方抵賴自己的交易都會(huì)給另一方帶來利益損失，因此必須保證交易雙方在交易后都無法否認(rèn)和抵賴。

4　電子商務(wù)支付安全中主流技術(shù)

電子支付中交易信息的安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善，電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)范圍比較廣，主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類。

4.1數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施，交易雙方可根據(jù)需要在信息交換階段使用。在一個(gè)加密過程中有兩個(gè)基本元素:算法和密鑰。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合，從而產(chǎn)生不可理解的密文的過程，主要加密技術(shù)是對(duì)稱密文加密和非對(duì)稱加密。

(1)對(duì)稱密文加密。對(duì)稱密鑰加密又稱為秘密密鑰加密，即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密，對(duì)稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快，適合于進(jìn)行大量數(shù)據(jù)加密，但也存在密鑰管理、發(fā)布困難以及無法進(jìn)行身份鑒別的缺點(diǎn)。

(2)非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也稱為公開密鑰加密，每個(gè)用戶有一對(duì)密鑰:一個(gè)用于加密，一個(gè)用于解密，兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)，加解密過程。其中，加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器、報(bào)刊等場(chǎng)合公開，而解密密鑰(私鑰)則屬用戶的私有密鑰，由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的。與對(duì)稱密鑰加密相比，采用非對(duì)稱密鑰加密方式密鑰管理較方便，且保密性比較強(qiáng)，但加解密實(shí)現(xiàn)速度比較慢，不適用于通信負(fù)荷較重的應(yīng)用。

數(shù)據(jù)加密技術(shù)是信息安全的基礎(chǔ)，加密的主要目的是防止信息的非授權(quán)泄露、保證交易信息的保密性、完整性和不可抵賴性的要求。

4.2主流身份認(rèn)證方式

身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)。

(1)用戶名口令。針對(duì)盜取密碼的惡意軟件越來越多。

(2)動(dòng)態(tài)口令。動(dòng)態(tài)口令也稱動(dòng)態(tài)密碼，是根據(jù)專門的算法每隔一定時(shí)間生成一個(gè)與時(shí)間相關(guān)的隨機(jī)密碼。用戶進(jìn)行認(rèn)證時(shí)候，除輸入賬號(hào)和靜態(tài)口令之外，必須要求輸入動(dòng)態(tài)口令。通過“動(dòng)態(tài)密碼”登錄的用戶沒有電子簽名，這樣也就沒有具有法律效力的認(rèn)證材料。因此，“動(dòng)態(tài)密碼”它只適用于金額小的交易，對(duì)于金額大、使用頻繁的用戶，其安全性存在一定的風(fēng)險(xiǎn)。

(3)數(shù)字證書。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)(即CA中心)簽發(fā)的證書。它的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性。為解決這些Internet的安全問題，世界各國(guó)對(duì)其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的PKI技術(shù)(PublicKeyInfrastructure-公鑰基礎(chǔ)設(shè)施)。公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。采用基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密，保證信息傳輸?shù)谋Ｃ苄?、完整性，簽名保證身份的真實(shí)性和抗抵賴。

(4)生物特征識(shí)別。生物識(shí)別技術(shù)主要是指通過人類生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。由于人的生物特征具有唯一性和穩(wěn)定性的特點(diǎn)，并且可隨身攜帶、不易被盜、不易被偽造、不易丟失，所以生物特征識(shí)別成為目前最安全的身份認(rèn)證技術(shù)。但是，生物特征識(shí)別通常需要昂貴的專用設(shè)備、受使用環(huán)境限制等缺點(diǎn)，在電子支付中較少采用。

每一種身份認(rèn)證方式都有其優(yōu)勢(shì)也存在一定的局限性。動(dòng)態(tài)密碼以方便便捷且與平臺(tái)無關(guān)性，通過電腦、手機(jī)、IPAD都可以使用等優(yōu)點(diǎn)在網(wǎng)銀、網(wǎng)游、電信領(lǐng)域成為電子支付重要的身份認(rèn)證方式，主流產(chǎn)生形式有手機(jī)短信、硬件令牌、手機(jī)令牌等?；跀?shù)字證書的身份認(rèn)證是電子支付中最安全解決方案。但是，需要專用的硬件和客戶支持，使用不如動(dòng)態(tài)密碼方便快捷，一般用于大額電子交易。

5　電子商務(wù)發(fā)展趨勢(shì)

圖2　

圖3　

依據(jù)CNNIC報(bào)告，2014年電子商務(wù)類應(yīng)用整體行業(yè)發(fā)展態(tài)勢(shì)良好，手機(jī)支付是亮點(diǎn)。隨著線上與線下渠道的打通及多類移動(dòng)應(yīng)用的服務(wù)帶動(dòng)，手機(jī)支付呈現(xiàn)爆發(fā)式增長(zhǎng)，手機(jī)網(wǎng)上支付、手機(jī)網(wǎng)絡(luò)購(gòu)物、手機(jī)網(wǎng)上銀行和手機(jī)網(wǎng)上預(yù)訂應(yīng)用網(wǎng)民規(guī)模年增長(zhǎng)速度均超過100%。手機(jī)網(wǎng)絡(luò)購(gòu)物在移動(dòng)端商務(wù)市場(chǎng)發(fā)展迅速，用戶規(guī)模達(dá)到1.44億，使用率從13.2%提升到28.9%(如圖3)。

截至2014年6月，我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)5.27億，較2013年底增加2699萬人，網(wǎng)民中使用手機(jī)上網(wǎng)的人群占比進(jìn)一步提升，由2013年的81.0%提升至83.4%，手機(jī)網(wǎng)民規(guī)模首次超越傳統(tǒng)PC網(wǎng)民規(guī)模。

隨著移動(dòng)電子商務(wù)的普及和發(fā)展，移動(dòng)支付業(yè)務(wù)受到了越來越多的關(guān)注，而其安全性更是成為大眾關(guān)注的焦點(diǎn)。由于移動(dòng)終端種類繁雜、使用環(huán)境也更為復(fù)雜、基于數(shù)字證書的身份認(rèn)證和數(shù)字簽名技術(shù)兼容性和成熟度遠(yuǎn)不及PC平臺(tái)，并且移動(dòng)終端本身的安全性問題也給動(dòng)態(tài)口令等身份認(rèn)證方式帶來了新的安全問題和挑戰(zhàn)。

6　結(jié)語

電子商務(wù)將成為中國(guó)互聯(lián)網(wǎng)行業(yè)的發(fā)展新趨勢(shì)。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)。隨著移動(dòng)電子商務(wù)的發(fā)展，由于移動(dòng)電子商務(wù)的環(huán)節(jié)更為復(fù)雜，因此移動(dòng)網(wǎng)絡(luò)存在更多的安全威脅，影響范圍也較為廣泛。

[1]劉曉軍.移動(dòng)電子商務(wù)的應(yīng)用分析[D].北京:中國(guó)海洋大學(xué),2008.

[2]楊利國(guó).移動(dòng)電子商務(wù)商業(yè)模式研究[D].北京:華北電力大學(xué), 2012.

[3]劉宗祥.創(chuàng)新與發(fā)展[J].移動(dòng)通信,2013,(19):18-20.

[4]代文鋒.淺談移動(dòng)電子商務(wù)[J].甘肅科技,2005,(10):77-78.

[5]王晨,呂廷杰.移動(dòng)商務(wù)行業(yè)應(yīng)用分析[D].北京:北京郵電大學(xué), 2012.

[6]蘭靜.移動(dòng)電子商務(wù)的運(yùn)營(yíng)模式及其應(yīng)用[J].河南科技大學(xué)學(xué)報(bào), 2010,28(4):68-70.