B2C電子商務(wù)網(wǎng)上交易的安全性分析

作者/李龍鎮(zhèn)，延邊大學(xué)工學(xué)院

B2C電子商務(wù)網(wǎng)上交易的安全性分析

作者/李龍鎮(zhèn)，延邊大學(xué)工學(xué)院

本文在分析當(dāng)前通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)進(jìn)行電子商務(wù)網(wǎng)上交易的安全性基礎(chǔ)上，分析了雙通道通信方式可以提高電子商務(wù)網(wǎng)上交易的安全性的特性，并對(duì)未來(lái)如何利用多通道通信方式提高電子商務(wù)網(wǎng)上交易的安全性提出了設(shè)想和分析。

計(jì)算機(jī)網(wǎng)絡(luò)通信；移動(dòng)通信；電子商務(wù)；雙通道通信；多通道通信

引言

計(jì)算機(jī)通信網(wǎng)絡(luò)即互聯(lián)網(wǎng)自從誕生以來(lái)，受到極大的歡迎，已經(jīng)走進(jìn)了千家萬(wàn)戶，蔓延性極強(qiáng)，基本上替代了過(guò)去的信件、電報(bào)和傳真，給人們帶來(lái)了極大的便利性。而電子商務(wù)卻走了一段曲折的路程，究其原因主要有以下三點(diǎn)，一是物流網(wǎng)絡(luò)沒(méi)有跟上電子商務(wù)的發(fā)展，使商品早期通過(guò)郵政網(wǎng)絡(luò)傳遞，成本太高。二是電子商務(wù)的安全問(wèn)題[1][2]，即計(jì)算機(jī)通信網(wǎng)絡(luò)的安全性沒(méi)有得到保障，不能給用戶和商家提供一個(gè)能夠信任的交易平臺(tái)，三是各銀行沒(méi)能給相應(yīng)的銀行卡開(kāi)通網(wǎng)絡(luò)功能，導(dǎo)致支付的困難性。

隨著時(shí)代的發(fā)展，這些問(wèn)題都得到了相應(yīng)的解決，現(xiàn)今的物流網(wǎng)已經(jīng)四通八達(dá)，蔓延的各個(gè)角落。各個(gè)銀行也都實(shí)現(xiàn)了網(wǎng)絡(luò)功能，網(wǎng)上支付極其方便，計(jì)算機(jī)通信網(wǎng)絡(luò)的安全性也通過(guò)使用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)[3][4]得到了保障，再加上移動(dòng)通信的發(fā)展，使用戶可以利用手機(jī)進(jìn)行電子商務(wù)交易，帶來(lái)了極大的方便性，結(jié)果使電子商務(wù)交易走進(jìn)了千家萬(wàn)戶。

本文通過(guò)分析電子商務(wù)的交易方式，即計(jì)算機(jī)網(wǎng)絡(luò)通信電子商務(wù)交易和手機(jī)通信電子商務(wù)交易，分析雙通道通信所能帶來(lái)的安全性的提高，并對(duì)未來(lái)可能采用的多通道通信的安全性進(jìn)行了分析。

1.電子商務(wù)交易通信方式的安全性分析

■1.1 計(jì)算機(jī)網(wǎng)絡(luò)通信的安全性分析

為了提高計(jì)算機(jī)網(wǎng)絡(luò)通信的安全性，電子商務(wù)網(wǎng)站和銀行都采用HTTPS安全協(xié)議來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?。HTTPS安全協(xié)議最初由Netscape公司提出，目前廣泛應(yīng)用于計(jì)算機(jī)數(shù)據(jù)安全通信領(lǐng)域中。所謂HTTPS協(xié)議其實(shí)就是在HTTP協(xié)議層下另外加了一個(gè)SSL（Secure Socket Layer）子層，由它來(lái)完成數(shù)據(jù)加密傳輸。具體工作原理如下，先由客戶端向服務(wù)器發(fā)出HTTPS請(qǐng)求，服務(wù)器收到請(qǐng)求后把自己的CA（Certi fi cate Authority）證書發(fā)給客戶端，客戶端收到服務(wù)器的CA證書后，隨機(jī)生成一個(gè)40位關(guān)鍵字的對(duì)稱密鑰，利用CA上的服務(wù)器公開(kāi)密鑰加密后發(fā)給服務(wù)器，服務(wù)器收到后用自己的私有密鑰加以解密，得到對(duì)稱密鑰后給予客戶端一個(gè)確認(rèn)，然后雙方就利用對(duì)稱密鑰對(duì)數(shù)據(jù)加密后進(jìn)行通信，保證了數(shù)據(jù)的安全性和完整性，這樣就在不可靠網(wǎng)絡(luò)上實(shí)現(xiàn)了可靠的安全的數(shù)據(jù)傳輸。

但由于客戶端和服務(wù)器之間可能有多個(gè)路由器和子網(wǎng)的可能性，很方便于第三方中途截聽(tīng)，非對(duì)稱密鑰破解的可能性微乎其微，可以不予考慮，但如果客戶端和服務(wù)器長(zhǎng)時(shí)間地大量地傳輸數(shù)據(jù)，第三方就可能采用窮舉法進(jìn)行對(duì)稱密鑰破解，所以客戶端和服務(wù)器不適合于傳輸大量數(shù)據(jù)或者長(zhǎng)時(shí)間地保持通信連接，也就是說(shuō)，雖然采用HTTPS協(xié)議增強(qiáng)了安全性，但也不能保證計(jì)算機(jī)網(wǎng)絡(luò)通信的數(shù)據(jù)傳輸?shù)慕^對(duì)安全性，其解決方法可采用的雙通道數(shù)據(jù)通信技術(shù)。

■1.2 移動(dòng)網(wǎng)絡(luò)通信的安全性分析

手機(jī)通信利用電磁波在空間的傳播，不同于微波的定向傳播，手機(jī)利用的電磁波頻段具有廣播特性，無(wú)論手機(jī)通信采用任何制式，在手機(jī)發(fā)送的電磁波可檢測(cè)范圍內(nèi)，所有的電磁波接受設(shè)備都能檢測(cè)到手機(jī)發(fā)送的信號(hào)，所以手機(jī)通信本身具備固有的不安全性。

手機(jī)通信的安全性是由SIM（Subscriber Identity Module）卡提供保障，SIM卡由CPU，RAM，ROM，EEPROM和I/O電路組成，是一個(gè)典型的SoC（System on one Chip）芯片。SIM卡提供用戶手機(jī)通信時(shí)的用戶身份鑒定和加密功能，也就是說(shuō)手機(jī)通信的安全性完全依托在SIM卡上，一旦SIM卡被破解，則所有的用戶保密信息將全部公開(kāi)出來(lái)。由于SIM卡只有單向鑒定權(quán)限功能，即運(yùn)營(yíng)商可以鑒定用戶身份，而用戶不能鑒定運(yùn)營(yíng)商，這給建構(gòu)偽基站提供了可能性。不法分子通過(guò)偽基站可套取用戶手機(jī)的所有信息，使用戶手機(jī)通信已然完全沒(méi)有了安全性。并且有很多木馬程序依附在別的APP程序中，在用戶不知情的情況下，把用戶的信息全部發(fā)送出去，這樣用戶利用手機(jī)進(jìn)行電子商務(wù)交易的安全性就變?yōu)榱?，用戶的?quán)益完全得不到保障，但手機(jī)可以隨身攜帶，給用戶電子商務(wù)交易帶來(lái)極大的方便性，使用戶不得不使用手機(jī)來(lái)進(jìn)行電子商務(wù)交易，解決問(wèn)題的方法是：

（1）無(wú)論使用支付寶、微信等任何支付系統(tǒng)，一定要綁定小額金額的銀行卡，把可能帶來(lái)的損失程度限制到最小。

（2）除了必須使用已被官方認(rèn)證的APP外，盡量不要安裝第三方的APP，不要給木馬程序任何侵入機(jī)會(huì)。

（3）對(duì)來(lái)源不確定的短信盡量避免回信，以免泄露手機(jī)信息。

（4）進(jìn)行電子商務(wù)交易時(shí)，盡量采用雙通道數(shù)據(jù)通信技術(shù)。

■1.3 雙通道數(shù)據(jù)通信技術(shù)的安全性分析

綜上所述，無(wú)論是計(jì)算機(jī)通信網(wǎng)絡(luò)還是移動(dòng)通信網(wǎng)絡(luò)，在安全性方面都有自己的缺陷和漏洞，解決這個(gè)問(wèn)題的方法是把兩者結(jié)合起來(lái)，通信過(guò)程中兩種通信方式都加以利用，具體工作原理如圖1所示，圖中實(shí)線表示互聯(lián)網(wǎng)，虛線表示移動(dòng)通信網(wǎng)絡(luò)。用戶端和電子商務(wù)網(wǎng)站利用HTTPS協(xié)議在互聯(lián)網(wǎng)上相互通信，待到支付環(huán)節(jié)用戶向電子商務(wù)網(wǎng)站提供銀行卡時(shí)，電子商務(wù)網(wǎng)站通過(guò)互聯(lián)網(wǎng)和相應(yīng)的銀行網(wǎng)關(guān)通信，此時(shí)通信轉(zhuǎn)換成銀行網(wǎng)站與用戶的通信。以下以交通銀行為例，銀行通過(guò)互聯(lián)網(wǎng)確認(rèn)用戶名和密碼后，為了進(jìn)一步保障安全性，通過(guò)移動(dòng)通信給用戶手機(jī)發(fā)送6位動(dòng)態(tài)密碼，動(dòng)態(tài)密碼有26個(gè)大小寫英文字母和10個(gè)數(shù)碼組成，總共有626個(gè)即56800235584種可能性，密碼1分鐘內(nèi)有效，從根本上杜絕了利用窮舉法來(lái)破解密碼的可能性，偶然猜對(duì)密碼的可能性也僅僅是1.76×10-11,幾乎為零，不會(huì)造成任何安全問(wèn)題。

圖1 雙通道數(shù)據(jù)通信示意圖

采用雙通道數(shù)據(jù)通信技術(shù)，可有效防范黑客和不法分子的網(wǎng)絡(luò)攻擊，因?yàn)榧词故撬麄兤平饬擞脩舻馁~號(hào)和密碼，但由于不知道動(dòng)態(tài)密碼，所以用戶的金錢還是處于安全狀態(tài)，反過(guò)來(lái)如果他們復(fù)制了用戶的手機(jī)SIM卡，但由于不知道用戶的賬號(hào)和密碼，用戶的金錢還是處于安全狀態(tài)。即如果要想破解雙通道數(shù)據(jù)通信方式，需要同時(shí)破解用戶的賬號(hào)和密碼以及手機(jī)上的SIM卡，難度非常高。假設(shè)手機(jī)SIM卡破解概率為一萬(wàn)分之一，互聯(lián)網(wǎng)的賬號(hào)和密碼破解概率為十萬(wàn)分之一，則同時(shí)破解手機(jī)SIM卡和互聯(lián)網(wǎng)的賬號(hào)和密碼的概率為十億分之一，已經(jīng)達(dá)到非常高的安全程度。

■1.4 未來(lái)發(fā)展方向

從雙通道數(shù)據(jù)通信技術(shù)的安全性分析可以看出，雙通道通信技術(shù)之所以能夠提高電子商務(wù)交易的安全性其關(guān)鍵原因在于利用了兩個(gè)物理通道來(lái)傳輸數(shù)據(jù)，這樣給破解帶來(lái)了難度，由此可以把雙通道數(shù)據(jù)通信技術(shù)擴(kuò)展為多通道數(shù)據(jù)通信技術(shù)，如圖2所示。圖2中除了已有的互聯(lián)網(wǎng)和移動(dòng)通信通道外，再添加廣播電視通信網(wǎng)絡(luò)以及即將誕生的物聯(lián)網(wǎng)通信網(wǎng)絡(luò)，這樣數(shù)據(jù)通信和用戶確認(rèn)可分多個(gè)通道進(jìn)行傳輸，給黑客和不法分子的破解帶來(lái)極大的障礙，無(wú)法破解多通道數(shù)據(jù)傳輸，從根本上提供了數(shù)據(jù)通信的安全性，保障了電子商務(wù)交易的安全性。

圖2 多通道數(shù)據(jù)通信示意圖

2.結(jié)論

通過(guò)本文對(duì)電子商務(wù)交易的安全性分析可以看出，利用手機(jī)進(jìn)行電子商務(wù)交易安全性最低，手機(jī)電子商務(wù)交易的安全性完全取決于SIM卡的安全性，而SIM卡可在任何移動(dòng)通信營(yíng)業(yè)點(diǎn)補(bǔ)辦，雖然也有二代身份證的檢驗(yàn)，但因?yàn)椴皇菆?zhí)法部門，必將帶來(lái)一定的隱患，所以手機(jī)上綁定的銀行卡只適合于少量的儲(chǔ)蓄?；ヂ?lián)網(wǎng)電子商務(wù)交易雖然相對(duì)來(lái)說(shuō)安全性稍好，但不適應(yīng)于大量的長(zhǎng)時(shí)間的數(shù)據(jù)交換，以免被窮舉法破解，且每隔一段時(shí)間需要用戶更換密碼以保證交易的安全性。雙通道數(shù)據(jù)通信技術(shù)目前來(lái)說(shuō)安全性最高，所以用戶應(yīng)盡量采用這種電子商務(wù)交易方式，期待多通道數(shù)據(jù)通信技術(shù)盡早面世，給用戶一個(gè)完全放心的電子商務(wù)交易環(huán)境。

* [1]郭濤，李之棠，吳世忠等.電子商務(wù)安全支付系統(tǒng)綜述[J].計(jì)算機(jī)應(yīng)用研究，2003(1)：1-4．

* [2]葉敏，謝啟燕.基于計(jì)算機(jī)互聯(lián)網(wǎng)中的電子商務(wù)安全問(wèn)題的探討[J].價(jià)值工程，2016(31)：204-205.

* [3]吳維元，肖柳林，李榮輝.Web 服務(wù)數(shù)據(jù)傳輸通道的安全性分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008 (2): 85-86.

* [4]鄧曉軍，沈浩.HTTPS中客戶端認(rèn)證問(wèn)題的分析[J].計(jì)算機(jī)與數(shù)字工程，2008(5):118-119.