B2C電子商務網上交易的安全性分析

作者/李龍鎮，延邊大學工學院

B2C電子商務網上交易的安全性分析

作者/李龍鎮，延邊大學工學院

本文在分析當前通過計算機網絡和移動通信網絡進行電子商務網上交易的安全性基礎上，分析了雙通道通信方式可以提高電子商務網上交易的安全性的特性，并對未來如何利用多通道通信方式提高電子商務網上交易的安全性提出了設想和分析。

計算機網絡通信；移動通信；電子商務；雙通道通信；多通道通信

引言

計算機通信網絡即互聯網自從誕生以來，受到極大的歡迎，已經走進了千家萬戶，蔓延性極強，基本上替代了過去的信件、電報和傳真，給人們帶來了極大的便利性。而電子商務卻走了一段曲折的路程，究其原因主要有以下三點，一是物流網絡沒有跟上電子商務的發展，使商品早期通過郵政網絡傳遞，成本太高。二是電子商務的安全問題[1][2]，即計算機通信網絡的安全性沒有得到保障，不能給用戶和商家提供一個能夠信任的交易平臺，三是各銀行沒能給相應的銀行卡開通網絡功能，導致支付的困難性。

隨著時代的發展，這些問題都得到了相應的解決，現今的物流網已經四通八達，蔓延的各個角落。各個銀行也都實現了網絡功能，網上支付極其方便，計算機通信網絡的安全性也通過使用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)[3][4]得到了保障，再加上移動通信的發展，使用戶可以利用手機進行電子商務交易，帶來了極大的方便性，結果使電子商務交易走進了千家萬戶。

本文通過分析電子商務的交易方式，即計算機網絡通信電子商務交易和手機通信電子商務交易，分析雙通道通信所能帶來的安全性的提高，并對未來可能采用的多通道通信的安全性進行了分析。

1.電子商務交易通信方式的安全性分析

■1.1 計算機網絡通信的安全性分析

為了提高計算機網絡通信的安全性，電子商務網站和銀行都采用HTTPS安全協議來保證數據傳輸的安全性。HTTPS安全協議最初由Netscape公司提出，目前廣泛應用于計算機數據安全通信領域中。所謂HTTPS協議其實就是在HTTP協議層下另外加了一個SSL（Secure Socket Layer）子層，由它來完成數據加密傳輸。具體工作原理如下，先由客戶端向服務器發出HTTPS請求，服務器收到請求后把自己的CA（Certi fi cate Authority）證書發給客戶端，客戶端收到服務器的CA證書后，隨機生成一個40位關鍵字的對稱密鑰，利用CA上的服務器公開密鑰加密后發給服務器，服務器收到后用自己的私有密鑰加以解密，得到對稱密鑰后給予客戶端一個確認，然后雙方就利用對稱密鑰對數據加密后進行通信，保證了數據的安全性和完整性，這樣就在不可靠網絡上實現了可靠的安全的數據傳輸。

但由于客戶端和服務器之間可能有多個路由器和子網的可能性，很方便于第三方中途截聽，非對稱密鑰破解的可能性微乎其微，可以不予考慮，但如果客戶端和服務器長時間地大量地傳輸數據，第三方就可能采用窮舉法進行對稱密鑰破解，所以客戶端和服務器不適合于傳輸大量數據或者長時間地保持通信連接，也就是說，雖然采用HTTPS協議增強了安全性，但也不能保證計算機網絡通信的數據傳輸的絕對安全性，其解決方法可采用的雙通道數據通信技術。

■1.2 移動網絡通信的安全性分析

手機通信利用電磁波在空間的傳播，不同于微波的定向傳播，手機利用的電磁波頻段具有廣播特性，無論手機通信采用任何制式，在手機發送的電磁波可檢測范圍內，所有的電磁波接受設備都能檢測到手機發送的信號，所以手機通信本身具備固有的不安全性。

手機通信的安全性是由SIM（Subscriber Identity Module）卡提供保障，SIM卡由CPU，RAM，ROM，EEPROM和I/O電路組成，是一個典型的SoC（System on one Chip）芯片。SIM卡提供用戶手機通信時的用戶身份鑒定和加密功能，也就是說手機通信的安全性完全依托在SIM卡上，一旦SIM卡被破解，則所有的用戶保密信息將全部公開出來。由于SIM卡只有單向鑒定權限功能，即運營商可以鑒定用戶身份，而用戶不能鑒定運營商，這給建構偽基站提供了可能性。不法分子通過偽基站可套取用戶手機的所有信息，使用戶手機通信已然完全沒有了安全性。并且有很多木馬程序依附在別的APP程序中，在用戶不知情的情況下，把用戶的信息全部發送出去，這樣用戶利用手機進行電子商務交易的安全性就變為零，用戶的權益完全得不到保障，但手機可以隨身攜帶，給用戶電子商務交易帶來極大的方便性，使用戶不得不使用手機來進行電子商務交易，解決問題的方法是：

（1）無論使用支付寶、微信等任何支付系統，一定要綁定小額金額的銀行卡，把可能帶來的損失程度限制到最小。

（2）除了必須使用已被官方認證的APP外，盡量不要安裝第三方的APP，不要給木馬程序任何侵入機會。

（3）對來源不確定的短信盡量避免回信，以免泄露手機信息。

（4）進行電子商務交易時，盡量采用雙通道數據通信技術。

■1.3 雙通道數據通信技術的安全性分析

綜上所述，無論是計算機通信網絡還是移動通信網絡，在安全性方面都有自己的缺陷和漏洞，解決這個問題的方法是把兩者結合起來，通信過程中兩種通信方式都加以利用，具體工作原理如圖1所示，圖中實線表示互聯網，虛線表示移動通信網絡。用戶端和電子商務網站利用HTTPS協議在互聯網上相互通信，待到支付環節用戶向電子商務網站提供銀行卡時，電子商務網站通過互聯網和相應的銀行網關通信，此時通信轉換成銀行網站與用戶的通信。以下以交通銀行為例，銀行通過互聯網確認用戶名和密碼后，為了進一步保障安全性，通過移動通信給用戶手機發送6位動態密碼，動態密碼有26個大小寫英文字母和10個數碼組成，總共有626個即56800235584種可能性，密碼1分鐘內有效，從根本上杜絕了利用窮舉法來破解密碼的可能性，偶然猜對密碼的可能性也僅僅是1.76×10-11,幾乎為零，不會造成任何安全問題。

圖1 雙通道數據通信示意圖

采用雙通道數據通信技術，可有效防范黑客和不法分子的網絡攻擊，因為即使是他們破解了用戶的賬號和密碼，但由于不知道動態密碼，所以用戶的金錢還是處于安全狀態，反過來如果他們復制了用戶的手機SIM卡，但由于不知道用戶的賬號和密碼，用戶的金錢還是處于安全狀態。即如果要想破解雙通道數據通信方式，需要同時破解用戶的賬號和密碼以及手機上的SIM卡，難度非常高。假設手機SIM卡破解概率為一萬分之一，互聯網的賬號和密碼破解概率為十萬分之一，則同時破解手機SIM卡和互聯網的賬號和密碼的概率為十億分之一，已經達到非常高的安全程度。

■1.4 未來發展方向

從雙通道數據通信技術的安全性分析可以看出，雙通道通信技術之所以能夠提高電子商務交易的安全性其關鍵原因在于利用了兩個物理通道來傳輸數據，這樣給破解帶來了難度，由此可以把雙通道數據通信技術擴展為多通道數據通信技術，如圖2所示。圖2中除了已有的互聯網和移動通信通道外，再添加廣播電視通信網絡以及即將誕生的物聯網通信網絡，這樣數據通信和用戶確認可分多個通道進行傳輸，給黑客和不法分子的破解帶來極大的障礙，無法破解多通道數據傳輸，從根本上提供了數據通信的安全性，保障了電子商務交易的安全性。

圖2 多通道數據通信示意圖

2.結論

通過本文對電子商務交易的安全性分析可以看出，利用手機進行電子商務交易安全性最低，手機電子商務交易的安全性完全取決于SIM卡的安全性，而SIM卡可在任何移動通信營業點補辦，雖然也有二代身份證的檢驗，但因為不是執法部門，必將帶來一定的隱患，所以手機上綁定的銀行卡只適合于少量的儲蓄。互聯網電子商務交易雖然相對來說安全性稍好，但不適應于大量的長時間的數據交換，以免被窮舉法破解，且每隔一段時間需要用戶更換密碼以保證交易的安全性。雙通道數據通信技術目前來說安全性最高，所以用戶應盡量采用這種電子商務交易方式，期待多通道數據通信技術盡早面世，給用戶一個完全放心的電子商務交易環境。

* [1]郭濤，李之棠，吳世忠等.電子商務安全支付系統綜述[J].計算機應用研究，2003(1)：1-4．

* [2]葉敏，謝啟燕.基于計算機互聯網中的電子商務安全問題的探討[J].價值工程，2016(31)：204-205.

* [3]吳維元，肖柳林，李榮輝.Web 服務數據傳輸通道的安全性分析[J].網絡安全技術與應用，2008 (2): 85-86.

* [4]鄧曉軍，沈浩.HTTPS中客戶端認證問題的分析[J].計算機與數字工程，2008(5):118-119.