試論網上購物貨幣結算系統的安全問題

【摘 要】貨幣結算系統的信息泄露是網上購物不安全的主要因素，而且制約了網上購物電子商務的發展。本文簡述了網上購物的終端貨幣結算的主要特征，并對貨幣結算的安全要素進行了分析，詳細介紹了運行這種電子商務模式的關鍵安全控制技術：數據傳輸的安全技術、密鑰管理技術、確保用戶身份可靠性的技術、CA認證技術，SSL、SET協議等。

【關鍵詞】網上購物；貨幣結算；電子商務；安全

隨著互聯網的全面普及，基于互聯網的電子商務(“EC”)也應運而生，電子商務作為一種嶄新的貿易方式，縮小了生產與消費之間的距離。作為一種全新的商務模式，有著巨大的發展潛力，如何建立一個安全、便捷的網上購物應用環境，對信息提供足夠的保護，是網上購物領域十分關注的話題。本文將對網上購物的終端貨幣結算問題作一個基本的探討。

1.網上購物貨幣結算的主要條件

現代電子商務技術已經集中于網上購物的建立和運作。網上購物和真實商店在部門結構和功能上沒有區別，不同點在于其實現這些功能和結構的方法以及商務運作的方式。 網上購物從前臺看是一種特殊的WEB服務器。這也就構成網上購物軟件的三大支柱：商品目錄、顧客購物車和付款臺。好的商品目錄可以使顧客通過最簡單的方式找到其需要的商品，并可以通過文字說明、圖像顯示、客戶評論等充分了解產品各種信息；顧客運用某種電子貨幣和商店進行交易必須對顧客和商店都是安全可靠的。因此，網上購物收取信用卡必須具備三個條件：

1.1建立商業賬戶

需要在某個商業銀行中建立一個商業賬戶。這個賬戶使你可以進行接收信用卡支付和處理信用卡業務，最終獲得資金。

1.2提供加密站點

必須為直接商品購買者提供一個符合SSL規范的加密站點用于他們安全地提交自己的信用卡資料，在保證他們提交的信息準確可靠的同時，還必須保證這些資料不被第三方竊取。

1.3提供支付網關

購買者提供的信用卡資料將直接被送到專門提供信用卡服務的專業公司（支付網關）進行處理，他們將進行信用卡的驗證、轉賬、最終將資金轉入商業賬戶。通過提供必要的個人信用卡資料，商店就可以通過銀行計算機網絡與顧客進行結算。這也是建立網上購物的必要條件。

2.如何安全可靠地進行網上購物貨幣結算

2.1要有一個良好的網絡環境

電子商務是在電信網絡上發展起來的。因此，先進的計算機網絡基礎設施和寬松的電信政策就成為發展電子商務的前提。近年來因特網迅猛發展，電信政策不適應形勢的矛盾日益突出。

2.2要有一個公共電子商品導購平臺

公共電子商品導購平臺是保證網上電子商務活動順利完成的物理保證。這需要各國家、各部門統一信息存儲、通訊、處理的標準和協議，具有一個協調一致的導購平臺。

2.3要有安全認證體系

開展電子商務最突出的問題是要解決網上購物、交易和結算中的安全問題，其中建立安全認證體系是關鍵。

2.4要有安全支付結算體系

銀行業務的電子化，使得電子貨幣正在逐步取代傳統紙幣，發揮越來越重要的作用。我國的電子商務的普及，首先要解決網絡的安全問題。在金融專網和因特網之間設置支付網關，作為支付結算的安全屏障。

2.5要完善電子商務立法的法律法規

立足本國，并與國際慣例接軌。電子商務是依托Internet的迅猛發展和普及而興起的一種新型貿易方式，因此，在電子商務的立法中，既要注意國際慣例與國際合作，更要立足本國的現實。

3.網上購物安全問題及安全要素

3.1網上購物的安全問題

由于網上購物是以計算機網絡為基礎的，因此它不可避免面臨著一系列的安全問題。 它主要表現在：

3.1.1信息泄漏

在電子商務中表現為商業機密的泄漏，主要包括兩個方面：交易雙方進行交易的內容被第三方竊取；交易一方提供給另一方使用的文件被第三方非法使用。

3.1.2篡改

在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網絡上傳輸的過程中，可能被他人非法修改、刪除或重改，這樣就使信息失去了真實性和完整性。

3.1.3身份識別

如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等，進行身份識別后，交易雙方就可防止“相互猜疑”的情況。

3.1.4電腦病毒問題

電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑，還有眾多病毒借助干網絡傳播得更快，動輒造成數百億美元的經濟損失。

3.1.5黑客問題

安全問題更是應用電子商務最擔心的問題，而如何保障電子商務活動的安全，將一直是電子商務的核心研究領域。作為一個安全的電子商務系統，首先必須具有一個安全、可靠的通信網絡，以保證交易信息安全、迅速地傳遞；其次必須保證數據庫服務器絕對安全，防止黑客闖入網絡盜取信息。

3.2網上購物的安全要素

3.2.1有效性

對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

3.2.2機密性

EC作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。

3.2.3完整性

要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。

3.2.4可靠性

EC可能直接關系到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證EC順利進行的關鍵。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

3.2.5即需性

即需性是防止延遲或拒絕服務，即需安全威脅的目的就在于破壞正常的計算機處理或完全拒絕服務。在電子商務中，延遲一個消息或消除它會帶來災難性的后果。

3.2.6身份認證

身份認證指交易雙方可以相互確認彼此的真實身份，確認對方就是本次交易中所稱的真正交易方。這一過程為授權和審計所必需，也是實現授權、審計的訪問控制過程運行的前提，是計算機網絡安全系統不可缺少的組成部分。

3.2.7審查能力根據機密性和完整性的要求，應對數據審查的結果進行記錄。審查能力是指每個經授權的用戶的活動的唯一標識和監控的，以便對其所使用的操作內容進行審計和跟蹤。

4.電子商務主要采用的幾種安全技術

4.1數據傳輸的安全技術——數據加密技術

由于數據在傳輸過程中有可能遭到入侵者的入侵并竊聽、竊取有關信息，所以當企業在傳送涉及商業機密的數據時，一定要用密文傳送，也就是利用技術手段把重要的數據變為亂碼(加密)傳送，到達目的地后再還原(解密)，這種技術手段就是加密技術。加密技術常見的有兩類：對稱加密和非對稱加密。

4.2密鑰管理

對于密鑰系統的大多攻擊都發生在密鑰管理上，而不取決于對算法的保密。在計算機網絡的環境中，必須加強對密鑰產生、存儲、分配、更換、銷毀的管理。

4.3確保用戶身份可靠性的技術——數字簽名

對文件加密只解決了數據傳輸的保密性而對防止他人對傳輸中的數據進行破壞，以及如何確定發送人的身份就需要數字簽名，數字簽名是公鑰加密技術與數字摘要的一種綜合運用。數字簽名可檢驗文件本身的真偽，并確定簽名的身份，保證了發送者對所發信息不能抵賴。利用數字簽名技術，可較好地保證電子商務交易和支付的安全。

4.4認證技術——CA認證(數字證書)

在網上進行每筆交易時，都要鑒別對方身份。通過檢驗對方數字證書的有效性，就可識別對方身份的真偽，從而建立雙方的信任關系。通過數字證書，還可方便地獲得對方的公開密鑰，便于對數據進行解密。RA是證書的登記機構(Register Authority)，分散在各個網上銀行的地區中心。RA與網銀中心有機結合，接受客戶申請并審批申請，把證書正式請求通過銀行企業內部網發送給CA認證中心。RA與CA雙方的通信報文通過RSA進行加密。

4.5 SSL協議、SET協議

SSL和SET這兩種協議主要是用于保護機密信息，同時也可防止非法用戶侵入自己的主機。SSL協議，也稱“安全套接層協議”，是美國Netscape公司最早開發的，SSL協議主要提供三方面的服務：用戶和服務器的合法性認證、加密數據以隱藏被傳送的數據、維護數據的完整性。

綜上所述，電子商務安全技術應該完全有辦法來解決網絡貨幣結算系統的安全問題。網上購物的終端貨幣結算的安全問題，隨著EC技術的不斷創新和發展，將會在和諧社會的發展大潮中得到完美的解決。