B2C电子商务网上交易的安全性分析

作者/李龙镇，延边大学工学院

B2C电子商务网上交易的安全性分析

作者/李龙镇，延边大学工学院

本文在分析当前通过计算机网络和移动通信网络进行电子商务网上交易的安全性基础上，分析了双通道通信方式可以提高电子商务网上交易的安全性的特性，并对未来如何利用多通道通信方式提高电子商务网上交易的安全性提出了设想和分析。

计算机网络通信；移动通信；电子商务；双通道通信；多通道通信

引言

计算机通信网络即互联网自从诞生以来，受到极大的欢迎，已经走进了千家万户，蔓延性极强，基本上替代了过去的信件、电报和传真，给人们带来了极大的便利性。而电子商务却走了一段曲折的路程，究其原因主要有以下三点，一是物流网络没有跟上电子商务的发展，使商品早期通过邮政网络传递，成本太高。二是电子商务的安全问题[1][2]，即计算机通信网络的安全性没有得到保障，不能给用户和商家提供一个能够信任的交易平台，三是各银行没能给相应的银行卡开通网络功能，导致支付的困难性。

随着时代的发展，这些问题都得到了相应的解决，现今的物流网已经四通八达，蔓延的各个角落。各个银行也都实现了网络功能，网上支付极其方便，计算机通信网络的安全性也通过使用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)[3][4]得到了保障，再加上移动通信的发展，使用户可以利用手机进行电子商务交易，带来了极大的方便性，结果使电子商务交易走进了千家万户。

本文通过分析电子商务的交易方式，即计算机网络通信电子商务交易和手机通信电子商务交易，分析双通道通信所能带来的安全性的提高，并对未来可能采用的多通道通信的安全性进行了分析。

1.电子商务交易通信方式的安全性分析

■1.1 计算机网络通信的安全性分析

为了提高计算机网络通信的安全性，电子商务网站和银行都采用HTTPS安全协议来保证数据传输的安全性。HTTPS安全协议最初由Netscape公司提出，目前广泛应用于计算机数据安全通信领域中。所谓HTTPS协议其实就是在HTTP协议层下另外加了一个SSL（Secure Socket Layer）子层，由它来完成数据加密传输。具体工作原理如下，先由客户端向服务器发出HTTPS请求，服务器收到请求后把自己的CA（Certi fi cate Authority）证书发给客户端，客户端收到服务器的CA证书后，随机生成一个40位关键字的对称密钥，利用CA上的服务器公开密钥加密后发给服务器，服务器收到后用自己的私有密钥加以解密，得到对称密钥后给予客户端一个确认，然后双方就利用对称密钥对数据加密后进行通信，保证了数据的安全性和完整性，这样就在不可靠网络上实现了可靠的安全的数据传输。

但由于客户端和服务器之间可能有多个路由器和子网的可能性，很方便于第三方中途截听，非对称密钥破解的可能性微乎其微，可以不予考虑，但如果客户端和服务器长时间地大量地传输数据，第三方就可能采用穷举法进行对称密钥破解，所以客户端和服务器不适合于传输大量数据或者长时间地保持通信连接，也就是说，虽然采用HTTPS协议增强了安全性，但也不能保证计算机网络通信的数据传输的绝对安全性，其解决方法可采用的双通道数据通信技术。

■1.2 移动网络通信的安全性分析

手机通信利用电磁波在空间的传播，不同于微波的定向传播，手机利用的电磁波频段具有广播特性，无论手机通信采用任何制式，在手机发送的电磁波可检测范围内，所有的电磁波接受设备都能检测到手机发送的信号，所以手机通信本身具备固有的不安全性。

手机通信的安全性是由SIM（Subscriber Identity Module）卡提供保障，SIM卡由CPU，RAM，ROM，EEPROM和I/O电路组成，是一个典型的SoC（System on one Chip）芯片。SIM卡提供用户手机通信时的用户身份鉴定和加密功能，也就是说手机通信的安全性完全依托在SIM卡上，一旦SIM卡被破解，则所有的用户保密信息将全部公开出来。由于SIM卡只有单向鉴定权限功能，即运营商可以鉴定用户身份，而用户不能鉴定运营商，这给建构伪基站提供了可能性。不法分子通过伪基站可套取用户手机的所有信息，使用户手机通信已然完全没有了安全性。并且有很多木马程序依附在别的APP程序中，在用户不知情的情况下，把用户的信息全部发送出去，这样用户利用手机进行电子商务交易的安全性就变为零，用户的权益完全得不到保障，但手机可以随身携带，给用户电子商务交易带来极大的方便性，使用户不得不使用手机来进行电子商务交易，解决问题的方法是：

（1）无论使用支付宝、微信等任何支付系统，一定要绑定小额金额的银行卡，把可能带来的损失程度限制到最小。

（2）除了必须使用已被官方认证的APP外，尽量不要安装第三方的APP，不要给木马程序任何侵入机会。

（3）对来源不确定的短信尽量避免回信，以免泄露手机信息。

（4）进行电子商务交易时，尽量采用双通道数据通信技术。

■1.3 双通道数据通信技术的安全性分析

综上所述，无论是计算机通信网络还是移动通信网络，在安全性方面都有自己的缺陷和漏洞，解决这个问题的方法是把两者结合起来，通信过程中两种通信方式都加以利用，具体工作原理如图1所示，图中实线表示互联网，虚线表示移动通信网络。用户端和电子商务网站利用HTTPS协议在互联网上相互通信，待到支付环节用户向电子商务网站提供银行卡时，电子商务网站通过互联网和相应的银行网关通信，此时通信转换成银行网站与用户的通信。以下以交通银行为例，银行通过互联网确认用户名和密码后，为了进一步保障安全性，通过移动通信给用户手机发送6位动态密码，动态密码有26个大小写英文字母和10个数码组成，总共有626个即56800235584种可能性，密码1分钟内有效，从根本上杜绝了利用穷举法来破解密码的可能性，偶然猜对密码的可能性也仅仅是1.76×10-11,几乎为零，不会造成任何安全问题。

图1 双通道数据通信示意图

采用双通道数据通信技术，可有效防范黑客和不法分子的网络攻击，因为即使是他们破解了用户的账号和密码，但由于不知道动态密码，所以用户的金钱还是处于安全状态，反过来如果他们复制了用户的手机SIM卡，但由于不知道用户的账号和密码，用户的金钱还是处于安全状态。即如果要想破解双通道数据通信方式，需要同时破解用户的账号和密码以及手机上的SIM卡，难度非常高。假设手机SIM卡破解概率为一万分之一，互联网的账号和密码破解概率为十万分之一，则同时破解手机SIM卡和互联网的账号和密码的概率为十亿分之一，已经达到非常高的安全程度。

■1.4 未来发展方向

从双通道数据通信技术的安全性分析可以看出，双通道通信技术之所以能够提高电子商务交易的安全性其关键原因在于利用了两个物理通道来传输数据，这样给破解带来了难度，由此可以把双通道数据通信技术扩展为多通道数据通信技术，如图2所示。图2中除了已有的互联网和移动通信通道外，再添加广播电视通信网络以及即将诞生的物联网通信网络，这样数据通信和用户确认可分多个通道进行传输，给黑客和不法分子的破解带来极大的障碍，无法破解多通道数据传输，从根本上提供了数据通信的安全性，保障了电子商务交易的安全性。

图2 多通道数据通信示意图

2.结论

通过本文对电子商务交易的安全性分析可以看出，利用手机进行电子商务交易安全性最低，手机电子商务交易的安全性完全取决于SIM卡的安全性，而SIM卡可在任何移动通信营业点补办，虽然也有二代身份证的检验，但因为不是执法部门，必将带来一定的隐患，所以手机上绑定的银行卡只适合于少量的储蓄。互联网电子商务交易虽然相对来说安全性稍好，但不适应于大量的长时间的数据交换，以免被穷举法破解，且每隔一段时间需要用户更换密码以保证交易的安全性。双通道数据通信技术目前来说安全性最高，所以用户应尽量采用这种电子商务交易方式，期待多通道数据通信技术尽早面世，给用户一个完全放心的电子商务交易环境。

* [1]郭涛，李之棠，吴世忠等.电子商务安全支付系统综述[J].计算机应用研究，2003(1)：1-4．

* [2]叶敏，谢启燕.基于计算机互联网中的电子商务安全问题的探讨[J].价值工程，2016(31)：204-205.

* [3]吴维元，肖柳林，李荣辉.Web 服务数据传输通道的安全性分析[J].网络安全技术与应用，2008 (2): 85-86.

* [4]邓晓军，沈浩.HTTPS中客户端认证问题的分析[J].计算机与数字工程，2008(5):118-119.