作者/李龍鎮(zhèn)，延邊大學(xué)工學(xué)院

B2C電子商務(wù)網(wǎng)上交易的安全性分析

作者/李龍鎮(zhèn)，延邊大學(xué)工學(xué)院

本文在分析當(dāng)前通過計算機網(wǎng)絡(luò)和移動通信網(wǎng)絡(luò)進行電子商務(wù)網(wǎng)上交易的安全性基礎(chǔ)上，分析了雙通道通信方式可以提高電子商務(wù)網(wǎng)上交易的安全性的特性，并對未來如何利用多通道通信方式提高電子商務(wù)網(wǎng)上交易的安全性提出了設(shè)想和分析。

計算機網(wǎng)絡(luò)通信；移動通信；電子商務(wù)；雙通道通信；多通道通信

引言

計算機通信網(wǎng)絡(luò)即互聯(lián)網(wǎng)自從誕生以來，受到極大的歡迎，已經(jīng)走進了千家萬戶，蔓延性極強，基本上替代了過去的信件、電報和傳真，給人們帶來了極大的便利性。而電子商務(wù)卻走了一段曲折的路程，究其原因主要有以下三點，一是物流網(wǎng)絡(luò)沒有跟上電子商務(wù)的發(fā)展，使商品早期通過郵政網(wǎng)絡(luò)傳遞，成本太高。二是電子商務(wù)的安全問題[1][2]，即計算機通信網(wǎng)絡(luò)的安全性沒有得到保障，不能給用戶和商家提供一個能夠信任的交易平臺，三是各銀行沒能給相應(yīng)的銀行卡開通網(wǎng)絡(luò)功能，導(dǎo)致支付的困難性。

隨著時代的發(fā)展，這些問題都得到了相應(yīng)的解決，現(xiàn)今的物流網(wǎng)已經(jīng)四通八達(dá)，蔓延的各個角落。各個銀行也都實現(xiàn)了網(wǎng)絡(luò)功能，網(wǎng)上支付極其方便，計算機通信網(wǎng)絡(luò)的安全性也通過使用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)[3][4]得到了保障，再加上移動通信的發(fā)展，使用戶可以利用手機進行電子商務(wù)交易，帶來了極大的方便性，結(jié)果使電子商務(wù)交易走進了千家萬戶。

本文通過分析電子商務(wù)的交易方式，即計算機網(wǎng)絡(luò)通信電子商務(wù)交易和手機通信電子商務(wù)交易，分析雙通道通信所能帶來的安全性的提高，并對未來可能采用的多通道通信的安全性進行了分析。

1.電子商務(wù)交易通信方式的安全性分析

■1.1 計算機網(wǎng)絡(luò)通信的安全性分析

為了提高計算機網(wǎng)絡(luò)通信的安全性，電子商務(wù)網(wǎng)站和銀行都采用HTTPS安全協(xié)議來保證數(shù)據(jù)傳輸?shù)陌踩?。HTTPS安全協(xié)議最初由Netscape公司提出，目前廣泛應(yīng)用于計算機數(shù)據(jù)安全通信領(lǐng)域中。所謂HTTPS協(xié)議其實就是在HTTP協(xié)議層下另外加了一個SSL（Secure Socket Layer）子層，由它來完成數(shù)據(jù)加密傳輸。具體工作原理如下，先由客戶端向服務(wù)器發(fā)出HTTPS請求，服務(wù)器收到請求后把自己的CA（Certi fi cate Authority）證書發(fā)給客戶端，客戶端收到服務(wù)器的CA證書后，隨機生成一個40位關(guān)鍵字的對稱密鑰，利用CA上的服務(wù)器公開密鑰加密后發(fā)給服務(wù)器，服務(wù)器收到后用自己的私有密鑰加以解密，得到對稱密鑰后給予客戶端一個確認(rèn)，然后雙方就利用對稱密鑰對數(shù)據(jù)加密后進行通信，保證了數(shù)據(jù)的安全性和完整性，這樣就在不可靠網(wǎng)絡(luò)上實現(xiàn)了可靠的安全的數(shù)據(jù)傳輸。

但由于客戶端和服務(wù)器之間可能有多個路由器和子網(wǎng)的可能性，很方便于第三方中途截聽，非對稱密鑰破解的可能性微乎其微，可以不予考慮，但如果客戶端和服務(wù)器長時間地大量地傳輸數(shù)據(jù)，第三方就可能采用窮舉法進行對稱密鑰破解，所以客戶端和服務(wù)器不適合于傳輸大量數(shù)據(jù)或者長時間地保持通信連接，也就是說，雖然采用HTTPS協(xié)議增強了安全性，但也不能保證計算機網(wǎng)絡(luò)通信的數(shù)據(jù)傳輸?shù)慕^對安全性，其解決方法可采用的雙通道數(shù)據(jù)通信技術(shù)。

■1.2 移動網(wǎng)絡(luò)通信的安全性分析

手機通信利用電磁波在空間的傳播，不同于微波的定向傳播，手機利用的電磁波頻段具有廣播特性，無論手機通信采用任何制式，在手機發(fā)送的電磁波可檢測范圍內(nèi)，所有的電磁波接受設(shè)備都能檢測到手機發(fā)送的信號，所以手機通信本身具備固有的不安全性。

手機通信的安全性是由SIM（Subscriber Identity Module）卡提供保障，SIM卡由CPU，RAM，ROM，EEPROM和I/O電路組成，是一個典型的SoC（System on one Chip）芯片。SIM卡提供用戶手機通信時的用戶身份鑒定和加密功能，也就是說手機通信的安全性完全依托在SIM卡上，一旦SIM卡被破解，則所有的用戶保密信息將全部公開出來。由于SIM卡只有單向鑒定權(quán)限功能，即運營商可以鑒定用戶身份，而用戶不能鑒定運營商，這給建構(gòu)偽基站提供了可能性。不法分子通過偽基站可套取用戶手機的所有信息，使用戶手機通信已然完全沒有了安全性。并且有很多木馬程序依附在別的APP程序中，在用戶不知情的情況下，把用戶的信息全部發(fā)送出去，這樣用戶利用手機進行電子商務(wù)交易的安全性就變?yōu)榱悖脩舻臋?quán)益完全得不到保障，但手機可以隨身攜帶，給用戶電子商務(wù)交易帶來極大的方便性，使用戶不得不使用手機來進行電子商務(wù)交易，解決問題的方法是：

（1）無論使用支付寶、微信等任何支付系統(tǒng)，一定要綁定小額金額的銀行卡，把可能帶來的損失程度限制到最小。

（2）除了必須使用已被官方認(rèn)證的APP外，盡量不要安裝第三方的APP，不要給木馬程序任何侵入機會。

（3）對來源不確定的短信盡量避免回信，以免泄露手機信息。

（4）進行電子商務(wù)交易時，盡量采用雙通道數(shù)據(jù)通信技術(shù)。

■1.3 雙通道數(shù)據(jù)通信技術(shù)的安全性分析

綜上所述，無論是計算機通信網(wǎng)絡(luò)還是移動通信網(wǎng)絡(luò)，在安全性方面都有自己的缺陷和漏洞，解決這個問題的方法是把兩者結(jié)合起來，通信過程中兩種通信方式都加以利用，具體工作原理如圖1所示，圖中實線表示互聯(lián)網(wǎng)，虛線表示移動通信網(wǎng)絡(luò)。用戶端和電子商務(wù)網(wǎng)站利用HTTPS協(xié)議在互聯(lián)網(wǎng)上相互通信，待到支付環(huán)節(jié)用戶向電子商務(wù)網(wǎng)站提供銀行卡時，電子商務(wù)網(wǎng)站通過互聯(lián)網(wǎng)和相應(yīng)的銀行網(wǎng)關(guān)通信，此時通信轉(zhuǎn)換成銀行網(wǎng)站與用戶的通信。以下以交通銀行為例，銀行通過互聯(lián)網(wǎng)確認(rèn)用戶名和密碼后，為了進一步保障安全性，通過移動通信給用戶手機發(fā)送6位動態(tài)密碼，動態(tài)密碼有26個大小寫英文字母和10個數(shù)碼組成，總共有626個即56800235584種可能性，密碼1分鐘內(nèi)有效，從根本上杜絕了利用窮舉法來破解密碼的可能性，偶然猜對密碼的可能性也僅僅是1.76×10-11,幾乎為零，不會造成任何安全問題。

圖1 雙通道數(shù)據(jù)通信示意圖

采用雙通道數(shù)據(jù)通信技術(shù)，可有效防范黑客和不法分子的網(wǎng)絡(luò)攻擊，因為即使是他們破解了用戶的賬號和密碼，但由于不知道動態(tài)密碼，所以用戶的金錢還是處于安全狀態(tài)，反過來如果他們復(fù)制了用戶的手機SIM卡，但由于不知道用戶的賬號和密碼，用戶的金錢還是處于安全狀態(tài)。即如果要想破解雙通道數(shù)據(jù)通信方式，需要同時破解用戶的賬號和密碼以及手機上的SIM卡，難度非常高。假設(shè)手機SIM卡破解概率為一萬分之一，互聯(lián)網(wǎng)的賬號和密碼破解概率為十萬分之一，則同時破解手機SIM卡和互聯(lián)網(wǎng)的賬號和密碼的概率為十億分之一，已經(jīng)達(dá)到非常高的安全程度。

■1.4 未來發(fā)展方向

從雙通道數(shù)據(jù)通信技術(shù)的安全性分析可以看出，雙通道通信技術(shù)之所以能夠提高電子商務(wù)交易的安全性其關(guān)鍵原因在于利用了兩個物理通道來傳輸數(shù)據(jù)，這樣給破解帶來了難度，由此可以把雙通道數(shù)據(jù)通信技術(shù)擴展為多通道數(shù)據(jù)通信技術(shù)，如圖2所示。圖2中除了已有的互聯(lián)網(wǎng)和移動通信通道外，再添加廣播電視通信網(wǎng)絡(luò)以及即將誕生的物聯(lián)網(wǎng)通信網(wǎng)絡(luò)，這樣數(shù)據(jù)通信和用戶確認(rèn)可分多個通道進行傳輸，給黑客和不法分子的破解帶來極大的障礙，無法破解多通道數(shù)據(jù)傳輸，從根本上提供了數(shù)據(jù)通信的安全性，保障了電子商務(wù)交易的安全性。

圖2 多通道數(shù)據(jù)通信示意圖

2.結(jié)論

通過本文對電子商務(wù)交易的安全性分析可以看出，利用手機進行電子商務(wù)交易安全性最低，手機電子商務(wù)交易的安全性完全取決于SIM卡的安全性，而SIM卡可在任何移動通信營業(yè)點補辦，雖然也有二代身份證的檢驗，但因為不是執(zhí)法部門，必將帶來一定的隱患，所以手機上綁定的銀行卡只適合于少量的儲蓄。互聯(lián)網(wǎng)電子商務(wù)交易雖然相對來說安全性稍好，但不適應(yīng)于大量的長時間的數(shù)據(jù)交換，以免被窮舉法破解，且每隔一段時間需要用戶更換密碼以保證交易的安全性。雙通道數(shù)據(jù)通信技術(shù)目前來說安全性最高，所以用戶應(yīng)盡量采用這種電子商務(wù)交易方式，期待多通道數(shù)據(jù)通信技術(shù)盡早面世，給用戶一個完全放心的電子商務(wù)交易環(huán)境。

* [1]郭濤，李之棠，吳世忠等.電子商務(wù)安全支付系統(tǒng)綜述[J].計算機應(yīng)用研究，2003(1)：1-4．

* [2]葉敏，謝啟燕.基于計算機互聯(lián)網(wǎng)中的電子商務(wù)安全問題的探討[J].價值工程，2016(31)：204-205.

* [3]吳維元，肖柳林，李榮輝.Web 服務(wù)數(shù)據(jù)傳輸通道的安全性分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008 (2): 85-86.

* [4]鄧曉軍，沈浩.HTTPS中客戶端認(rèn)證問題的分析[J].計算機與數(shù)字工程，2008(5):118-119.