劉春琪

【摘 要】隨著現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，越來越多的企業(yè)和個人用戶依賴于電子商務(wù)進行各種商務(wù)活動，大量重要的身份信息、金融信息、交易信息都在網(wǎng)上進行，電子商務(wù)安全支付問題成為大家共同關(guān)心的問題。同時，伴隨著無線網(wǎng)絡(luò)和各種移動終端不斷發(fā)展和完善，移動支付帶來機遇的同時，也帶來了一個重大的信息安全挑戰(zhàn)。本文對目前電子商務(wù)中存在的信息安全隱患和主流技術(shù)進行了分析，以期能在實踐中對電子商務(wù)起到一定的借鑒意義。

【關(guān)鍵詞】電子商務(wù) 支付安全 移動電子商務(wù)

1引言

隨著現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，電子商務(wù)得到了越來越廣泛的應(yīng)用，越來越多的企業(yè)和個人用戶依賴于電子商務(wù)的高效和快捷而進行著各種商務(wù)活動。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)。電子商務(wù)是以計算機和開放的網(wǎng)絡(luò)為基礎(chǔ)載體的，大量重要的身份信息、金融信息、交易信息都需要在網(wǎng)上進行電子的傳輸，電子商務(wù)安全支付問題成為大家共同關(guān)心的問題。伴隨著各種移動終端和無線網(wǎng)絡(luò)的不斷發(fā)展和完善，移動支付在不僅是一個重要的機遇，同時也帶來了一個重大的挑戰(zhàn)。

2電子商務(wù)及信息安全現(xiàn)狀

近年來，電子商務(wù)開始了蓬勃地發(fā)展，但電子商務(wù)安全隱患嚴重地影響了電子商務(wù)的進行。信息安全問題成為制約我國電子商務(wù)發(fā)展的重要因素還是，因此，必須從技術(shù)上為電子商務(wù)交易活動提供機密性、完整性、真實性和抗抵賴性等安全保障。我們將從電子商務(wù)和信息安全兩個方面分別進行討論。

2.1 電子商務(wù)發(fā)展現(xiàn)狀

依據(jù)國家互聯(lián)網(wǎng)中心（CNNIC）的最新報告，2013年網(wǎng)絡(luò)購物市場繼續(xù)快速向前發(fā)展，交易金額達到1.85萬億元，較2012年增長40.9%。2013年網(wǎng)絡(luò)零售市場交易總額占社會消費品零售總額的7.9%。

截至2013年12月，我國網(wǎng)絡(luò)購物用戶規(guī)模達到3.02億，較上年增加5987萬，增長率為24.7%，使用率從42.9%提升至48.9%。網(wǎng)購用戶規(guī)模的快速擴張為網(wǎng)購市場的發(fā)展奠定良好的用戶基礎(chǔ)，釋放著巨大的市場潛力。

2.2 信息安全現(xiàn)狀

近年來，雖然安全軟件逐漸普及、防范能力不斷加強，但新的病毒、詐騙手段和騷擾手段不斷涌現(xiàn)，安全軟件防范難度加大，安全事件發(fā)生概率仍然較高。整體上來講，我國信息安全環(huán)境仍不容樂觀，有74.1%的網(wǎng)民在過去半年內(nèi)遇到過安全事件，總?cè)藬?shù)達4.38億。

電腦網(wǎng)上購物發(fā)生安全問題的網(wǎng)民數(shù)占整體電腦上網(wǎng)人數(shù)的4.0%，影響人口達2010.6萬人。電腦網(wǎng)上購物發(fā)生安全事故較多的是遇到欺詐信息，在網(wǎng)購安全事故發(fā)生人群中的發(fā)生比例達75.0%；其次為假冒網(wǎng)站/詐騙網(wǎng)站，比例為60.7%；其它方面，個人信息泄露比例達42.9%、賬號密碼被盜比例達23.8%、中病毒和木馬的情況為22.6%。

網(wǎng)購時發(fā)生這些安全事件，不僅給購物者造成損失，同時也影響電子商務(wù)的健康發(fā)展。

3電子支付安全

在電子商務(wù)的交易完成后，如何保證交易的任何一方無法否認已發(fā)生的交易。這些安全問題將在很大程度上限制電子商務(wù)的進一步發(fā)展，因此如何保證Internet 網(wǎng)上信息傳輸?shù)陌踩?，已成為發(fā)展電子商務(wù)的重要環(huán)節(jié)。電子支付涉及到大量資金流的轉(zhuǎn)移以及個人隱私或商業(yè)機密，而這種支付是發(fā)生在開放性程度非常高的互聯(lián)網(wǎng)上，必須從技術(shù)上為電子商務(wù)交易活動提供機密性、完整性、真實性和抗抵賴性等安全保降。因此，要對網(wǎng)上安全電子支付提出以下的要求：

（1）交易數(shù)據(jù)的保密性。保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。電子支付過程主要處理與金融數(shù)據(jù)有關(guān)的信息， 數(shù)據(jù)處理量大，且每筆數(shù)據(jù)都會影響到一定的經(jīng)濟利益，因此，交易過程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴格保密， 除交易雙方以及被授權(quán)第三方外，必須保護支付交易的私密性，同時要防止信息被越權(quán)訪問。

（2）交易數(shù)據(jù)的完整性。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。交易數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中的完整性和有效性，即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的、未經(jīng)更改的。

（3）交易數(shù)據(jù)的不可抵賴性。不可抵賴性也稱作不可否認性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實地否認已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認已經(jīng)接收的信息。

電子商務(wù)交易過程是雙方或者是多方的，其中一方抵賴自己的交易都會給另一方帶來利益損失，因此必須保證交易雙方在交易后都無法否認和抵賴。

4電子商務(wù)支付安全中主流技術(shù)

電子支付中交易信息的安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善，電子商務(wù)安全是信息安全的上層應(yīng)用， 它包括的技術(shù)范圍比較廣， 主要分為數(shù)據(jù)加密技術(shù)和身份認證技術(shù)兩大類。

4.1數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施， 交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素： 算法和密鑰。加密過程就是根據(jù)一定的算法， 將可理解的數(shù)據(jù)（明文） 與一串?dāng)?shù)字（ 密鑰） 相結(jié)合， 從而產(chǎn)生不可理解的密文的過程， 主要加密技術(shù)是對稱密文加密和非對稱加密

（1）對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密， 即收發(fā)雙方采用相同的密鑰來進行加密和解密， 對稱密鑰加密的最大優(yōu)點是加解密速度快， 適合于進行大量數(shù)據(jù)加密， 但也存在密鑰管理、發(fā)布困難以及無法進行身份鑒別的缺點。

（2）非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密， 每個用戶有一對密鑰：一個用于加密， 一個用于解密， 兩把密鑰實際上是兩個很大的質(zhì)數(shù)， 加解密過程。其中， 加密密鑰（公鑰） 可以在網(wǎng)絡(luò)服務(wù)器、報刊等場合公開， 而解密密鑰（私鑰） 則屬用戶的私有密鑰， 由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實現(xiàn)的。與對稱密鑰加密相比， 采用非對稱密鑰加密方式密鑰管理較方便， 且保密性比較強， 但加解密實現(xiàn)速度比較慢， 不適用于通信負荷較重的應(yīng)用。

數(shù)據(jù)加密技術(shù)是信息安全的基礎(chǔ)，加密的主要目的是防止信息的非授權(quán)泄露、保證交易信息的保密性、完整性和不可抵賴性的要求。

4.2主流身份認證方式

身份認證技術(shù)是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程所應(yīng)用的技術(shù)手段。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)。

（1）用戶名口令。針對盜取密碼的惡意軟件越來越多

（2）動態(tài)口令。動態(tài)口令也稱動態(tài)密碼，是根據(jù)專門的算法每隔一定時間生成一個與時間相關(guān)的隨機密碼。用戶進行認證時候，除輸入賬號和靜態(tài)口令之外，必須要求輸入動態(tài)口令。通過“動態(tài)密碼”登錄的用戶沒有電子簽名，這樣也就沒有具有法律效力的認證材料。因此，“動態(tài)密碼”它只適用于金額小的交易，對于金額大、使用頻繁的用戶，其安全性存在一定的風(fēng)險。

（3）數(shù)字證書。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)（即CA中心）簽發(fā)的證書。它的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性。為解決這些Internet 的安全問題，世界各國對其進行了多年的研究，初步形成了一套完 整的Internet 安全解決方案，即被廣泛采用的PKI 技術(shù)（Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施）。公鑰基礎(chǔ)設(shè)施PKI是一種遵循標準的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。采用基于PKI 結(jié)構(gòu)結(jié)合數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密，保證信息傳輸?shù)谋Ｃ苄浴⑼暾?，簽名保證身份的真實性和抗抵賴。

（4）生物特征識別。生物識別技術(shù)主要是指通過人類生物特征進行身份認證的一種技術(shù)。由于人的生物特征具有唯一性和穩(wěn)定性的特點，并且可隨身攜帶、不易被盜、不易被偽造、不易丟失，所以生物特征識別成為目前最安全的身份認證技術(shù)。但是，生物特征識別通常需要昂貴的專用設(shè)備、受使用環(huán)境限制等缺點，在電子支付中較少采用。

每一種身份認證方式都有其優(yōu)勢也存在一定的局限性。動態(tài)密碼以方便便捷且與平臺無關(guān)性，通過電腦、手機、IPAD都可以使用等優(yōu)點在網(wǎng)銀、網(wǎng)游、電信領(lǐng)域成為電子支付重要的身份認證方式，主流產(chǎn)生形式有手機短信、硬件令牌、手機令牌等。基于數(shù)字證書的身份認證是電子支付中最安全解決方案。但是，需要專用的硬件和客戶支持，使用不如動態(tài)密碼方便快捷，一般用于大額電子交易。

5電子商務(wù)發(fā)展趨勢

依據(jù)CNNIC報告，2014年電子商務(wù)類應(yīng)用整體行業(yè)發(fā)展態(tài)勢良好，手機支付是亮點。隨著線上與線下渠道的打通及多類移動應(yīng)用的服務(wù)帶動，手機支付呈現(xiàn)爆發(fā)式增長，手機網(wǎng)上支付、手機網(wǎng)絡(luò)購物、手機網(wǎng)上銀行和手機網(wǎng)上預(yù)訂應(yīng)用網(wǎng)民規(guī)模年增長速度均超過100%。手機網(wǎng)絡(luò)購物在移動端商務(wù)市場發(fā)展迅速，用戶規(guī)模達到1.44億，使用率從13.2%提升到28.9%。

截至2014年6月，我國手機網(wǎng)民規(guī)模達5.27億，較2013年底增加2699萬人，網(wǎng)民中使用手機上網(wǎng)的人群占比進一步提升，由2013年的81.0%提升至83.4%，手機網(wǎng)民規(guī)模首次超越傳統(tǒng)PC網(wǎng)民規(guī)模。

隨著移動電子商務(wù)的普及和發(fā)展，移動支付業(yè)務(wù)受到了越來越多的關(guān)注，而其安全性更是成為大眾關(guān)注的焦點。由于移動終端種類繁雜、使用環(huán)境也更為復(fù)雜、基于數(shù)字證書的身份認證和數(shù)字簽名技術(shù)兼容性和成熟度遠不及PC平臺，并且移動終端本身的安全性問題也給動態(tài)口令等身份認證方式帶來了新的安全問題和挑戰(zhàn)。

6結(jié)語

電子商務(wù)將成為中國互聯(lián)網(wǎng)行業(yè)的發(fā)展新趨勢。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)。 隨著移動電子商務(wù)的發(fā)展，由于移動電子商務(wù)的環(huán)節(jié)更為復(fù)雜，因此移動網(wǎng)絡(luò)存在更多的安全威脅，影響范圍也較為廣泛。

參考文獻：

[1]劉曉軍.移動電子商務(wù)的應(yīng)用分析[D].北京：中國海洋大學(xué)，2008.

[2]楊利國.移動電子商務(wù)商業(yè)模式研究[D].北京：華北電力大學(xué)，2012.

[3]劉宗祥.創(chuàng)新與發(fā)展[J]. 移動通信，2013，（19）：18-20.

[4]代文鋒.淺談移動電子商務(wù)[J]. 甘肅科技，2005，（10）：77-78.

[5]王晨，呂廷杰. 移動商務(wù)行業(yè)應(yīng)用分析[D].北京：北京郵電大學(xué)， 2012.

[6]蘭靜.移動電子商務(wù)的運營模式及其應(yīng)用[J].河南科技大學(xué)學(xué)報，2010，28（4）： 68-70.