网上购物安全问题探讨

网上购物安全问题探讨吴凌娇（常州信息职业技术学院信息管理系，江苏常州213164）摘要：网上购物存在风险，网络安全问题是阻碍消费者网上购物的重要因素;从有效识别真假网站、应用数字签名确保交易安全、合理运用在线支付工具、树立良好的网络安全意识四个方面探讨如何有效规避网上购物的风险。关键词：电子商务;数字签名;在线支付;网络安全中图分类号：F713.36;TP393.08文献标识码：A0引言随着互联网经济的快速发展，网上购物作为一种新的商业模式，正受到越来越多的商家和消费者的青睐。然而，没有时空限制的网上购物在给人带来快捷、方便和高效的同时，也带来了商业诚信、交易安全和物流配送等多方面的困扰。在诸多阻碍消费者网上购物的因素中，安全问题始终是一个重要话题。的确,网上购物和传统购物相比,安全是相对的，而存在风险却是绝对的。本文主要从有效识别真假网站、应用数字签名确保交易安全、合理运用在线支付工具、树立良好的网络安全意识四个方面探讨如何有效规避网上购物风险。1识别真假网站，确保交易平台安全假网站也称为钓鱼网站,它通过克隆真网站来欺骗顾客登录，从而骗取顾客的账号和密码。目前部分网站免费提供设计假网站的“钓鱼工具箱”，内含构建假网站所需的各种图片、网页编码和文字内容,利用这些工具可以在假网站上非常方便地使用正规网站的Logo、图表、新闻内容和链接，从而让使用者设计出看似合法的正规网站；一旦用户登录，很难区别哪个是正规网站、哪个是钓鱼网站,导致不知情的使用者在无意间泄露个人账户的详细信息。这类工具箱同时含有垃圾邮件软件，可以成批寄发数千封可直接连到假网站的钓鱼邮件。1.1假网站常用的欺骗手段要有效识别真假网站，首先必须了解假网站常用的欺骗手段，主要归纳如下：一是URL地址欺骗。即通过一定的技术手段构建虚假的URL地址，给用户造成错觉以为是在正确的网站上。如＜ahref=""＞W度＜/a＞，该代码的作用是使得用户在网页或邮件中看到显示的是“百度”,实际上是链接到Google的网站上。识别这类欺骗比较简单，只要将鼠标移动到链接上，就可以在状态栏中看到实际的链接地址，即使不小心误点了，也可以通过地址栏内的信息了解实际网址。二是URL地址克隆。即使用和真实网址非常相似的域名，如www.ICBC.com.CN（中国工商银行）和（该网站已被查封）,又如（中国农业银行）和（该网站已被查封）。钓鱼网站和正规网站的网址，虽然只有一个字母的差别，却存在天壤之别。三是跨站脚本。所谓的跨站脚本就是攻击者利用合法网站服务器程序上的漏洞，在站点的某些网页中插入危险的Html代码,窃取用户信息。由此可见,即使是一个比较正规的网站，也可能被人非法利用。要避免跨站脚本给自己带来的危害，需要注意不要轻易访问别人通过QQ或MSN发来的超级链接,或是电子邮件中指明的链接，禁止浏览器运行JavaScript和ActiveX代码。1.2如何识别真假网站识别真假网站其实并不需要太多的技术，关键是要有自我保护的意识，要尽量避免各种可能连入假网站的连接来源。如:若想访问某个网站,应尽量使用浏览器直接访问，输入网址前有必要确认网址的来源，通过邮件、即时通信工具如QQ、MSN中的链接连入网站的做法都是不可取的。具体识别真假网站的方法主要有以下几种：一是查看服务器证书。服务器证书是由权威机构颁发给网站用于证明网站合法性的重要凭证，所以查看服务器证书是识别真假网站最有效的办法。下面以招商银行个人网上银行为例说明。如图1所示，进入招商银行一网通个人银行登录界面后，浏览器右下角状态栏上有个黄色“挂锁”图标，这就是“服务器证书”的标识,双击点开查看即显示如图2所示信息。如招商银行个人网上银行页面上的服务器证书中写的是“颁发给:”，颁发者是全球著名证书中心Verisign公司,将这个地址与页面地址栏中的网址对照,即可识别真假网站。另外，还要检查证书是否仍在有效期内。二是查询网页所在服务器地址。通过查询网页对应的IP地址可以定位网页所在服务器地址。查询服务器地址最简单的办法是通过查询［1］,如想查询新浪网首页所在网站的IP地址及物理地址,只需在该网站首页的“IP地址或者域名”后输入“”,并单击“查询”按钮即可，如图3所示。查询时要注意查询结果中物理地址是否与网页所注联系地址一致，特别要注意那些物理地址在国外的网站。还有些小方法可帮助我们有效防止恶意窃取账号密码,如先输入错误的密码,真网站会给出明确的“密码错误”的提示而克隆网站只能跳出一些模棱两可的信息，比如“系统忙”“、服务器出错”等等。图1服务器数字证书标识Fig.1SignoftheWebserver'sdigitalID图2查看服务器证书Fig.2ChecktheWebserver'sdigitalID2.1数字签名技术概述在每一笔网上交易中，都会涉及到一些敏感信息;为了确保这些信息的安全，一方面需要技术保障，另一方面需要法律支持。目前，在网上交易中,普遍采用数字签名技术确保交易信息的完整性、保密性和不可否认性。数字签名技术是基于公开密钥体制的一种电子交易安全技术,目前已被广泛应用于各类电子商务活动中。例如，可以用数字签名证书证明网站的合法身份,签订电子合同时加上数字签名可以对抗交易抵赖，网上支付时利用数字签名可以有效防止账号被他人盗用。《中华人民共和国电子签名法》已于2005年4月1日正式实施，明确了数字签名与手写签名或盖章具有同等法律效力［2］。2.2数字签名技术的具体运用在网上交易中，一般通过数字证书实现数字签名和身份认证。数字证书是网络通信中标识个人、计算机系统或组织的身份和密钥所有权的电子文档，它采用公开密钥体制,由交易各方共同信任的第三方权威机构发行，交易伙伴之间可以使用数字证书来交换公钥［3］。数字证书的颁发，一般不是依靠交易双方自己来完成的，而是需要一个权威的第三方机构，通常称为CA(CertificateAuthority)。CA认证系统一般采用PK(IPublicKeyInfrastructure,公钥体系结构)框架来管理密钥和证书。PKI是一种遵循既定标准的密钥管理平台，是利用公钥理论和技术建立的提供网络安全服务的基础设施。例如:网上购物时，如果想通过网上银行在线支付结算货款，比较安全的做法就是采用商业银行颁发的数字证书进行身份认证。从存储形式来看•，主要有文件数字证书和移动数字证书两种:前者是以文件形式存储在硬盘、软盘或U盘中，如图4所示;后者是专门存储在外观类似U盘的加密狗USBKey中，如图5所示。USBKey是将传统的智能卡和读卡图3查询网页所在服务器地址Fig.3SearchtheIPaddressoftheWebserver图4文件数字证书Fig.4Document'sdigitalID图5移动数字证书Fig.5PortabledigitalID智能卡处理器和USB电路控制器被嵌入一个小的外壳中，不再需要专门的读卡器设备。USBKey虽然外观与U盘很像，但两者有很大的区别:U盘只是有USB接口的即插即用的存储工具，存在U盘中的文件可以被随意地复制或删除;而USBKey有专门用来存储数字证书的智能芯片,有自己的处理器和操作系统，具有运算功能,存储在其中的数字证书不能被复制、导出，并具有口令保护功能一旦USBKey的密码被输超过规定次数即被锁死。目前USBKey被广泛地应用于网上银行、网上税务等领域。由于移动数字证书采用专用的签名密钥，该密钥在USBKey内生成，不能被读到USBKey外,也不能由外部生成写入USBKey内，登录时验证的是USBKey硬件信息,所以比文件数字证书更安全。商业银行数字证书的申请和启用流程极为严格,如下图6所示就是申请招商银行个人网上银行文件数字证书的流程。2.3国内数字签名技术的应用现状随着我国《电子签名法》的出台，人们对CA的认识已经得到普遍提高;尤其是在电子支付领域，账号加密码的直接支付模式将逐步被数字证书取代，从而大大缓解钓鱼网站和木马病毒所带来的网络交易安全威胁。然而，我国的CA市场目前尚处于起步阶段，虽然政策上已推出CA机构注册资金3000万元的门槛［4］，但整个CA市场行业规范仍未成熟。例如，虽然我国在《电子签名法》中明确推荐使用第三方证书，但目前国内商业银行的数字证书无一不是银行自己发行的，且在各银行之间无法通用。基于数字证书便民的宗旨，各CA机构的证书互通是必要的，就像现在的用户可以在每家银行提供的ATM终端上支取现金一样，数字签名也应该在全国各地都有相同的权威效力。事实上,目前各CA机构的证书之所以没有实现互通，其中原因并不在于技术，而在于市场和用户;或许，当每个人手里都有五六张不同的数字证书时，就会像现在人们手里拿着五六张银行卡一样觉得烦，那就是互通到来的时候了。目前，数字证书尤其是个人数字证书的应用还没有得到全面推广，互通可能只会增加CA机构的运营成本。3合理运用支付工具，确保资金结算安全3.1电子支付工具概述随着电子支付技术的不断发展,消费者在网上购物时可选择的电子支付工具已越来越多,目前用得比较多的是电子现金在线支付和银行卡在线支付。很多网站都推出了联机存储式的电子现金，用户只要在该网站注册一个有效账号，就可以使用各种方式往该账号中充值并消费，如腾讯公司推出的Q币就属于此类应用。这种支付方式主要适合于小额交易，它的优点是使用灵活方便,支付时不用再通过银行转账，缺点是通常只适用于在某些网站上使用，流携带本人有效身份证件和招商银行卡到招商银行营业网点填写《招商银行网上个人银行证书申请表》，申请文件数字证书，获得授权码，用于证书启用。进入个人网上银行专业版网页，启用文件数字证书（需提供授权码）。约60分钟后，在同一台电脑上登录即可获得文件数字证书，并可以在网上开始办理各项银行业务。建议第一次登录后先备份证书。图6招商银行文件数字证书申请和启用的基本流程Fig.6Procedureofapplicationandusingofthedocument'sdigitalIDissuedbyCMB第4期吴凌娇：网上购物安全问题探讨71江苏技术师范学院学报第12卷通性较差。电子现金的未来发展趋势应该是由人民银行统一发行，从而解决在网络上的流通问题。银行卡在线支付方式，是在Internet环境下，借助SSL协议或SET协议通过浏览器直接支付，这是目前电子商务中应用最广泛的网上支付方式。SSL协议是基于传输层的安全协议,早已被广泛应用于Internet/Intranet的服务器产品和客户端产品中;该协议利用系统随机生成的128位密钥对信息进行加密和解密,且密钥一般不会重复使用,因此被破译的可能性几乎为零。SET协议是基于应用层的安全电子交易协议，是由VISA和MASTER联合Microsoft、NetScape.IBM共同制定的电子交易协议标准，它综合运用了对称加密、非对称加密、信息摘要、数字签名、数字信封、双重签名和数字认证等多种电子商务安全技术,主要解决信用卡在线交易安全问题［5］。除上述两种在线支付方式以外,消费者可选择的离线电子支付工具也越来越多，如电话支付方式。电话支付是指消费者使用固定电话、手机或小灵通通过电话银行系统直接完成付款的方式。电话支付的基本流程是:第一步，通过电话、互联网或短信等方式订购商家的产品和服务;第二步，选择电话支付方式，商家自动将用户订单提交到用户指定的电话支付平台;第三步，用户用身边的电话拨打电话银行号码（如95588、95555等）,根据提示音操作就可以完成付款过程［6］。3.2如何确保在线支付的安全尽管进入21世纪以来,网上银行的用户也像互联网用户一样成几何级数增长,但还是有很多用户宁可牺牲在线支付的便利和快捷,在网上购物时倾向于选择货到付款。分析其中的原因,无非是两种情况,一是担心网上支付信息提交过程的安全，二是担心商家的信誉。对于第一个问题,目前可用的解决方案包括账号+密码方式、文件数字证书方式、双因素认证方式和生理特征认证方式（如指纹认证）。不同的安全解决方案，其安全级别和所付出的安全成本是相对应的。由于木马病毒和钓鱼网站防不胜防，单靠账号+密码方式已不能有效保障在线交易信息的安全，而生理特征认证方式对大部分个人用户而言显然成本过高。因而,目前比较可行的解决方案就是利用数字证书确保交易安全，尤其是USBKey数字证书采用了双因素认证方式,即IC卡硬件+密钥，对在线交易信息提供了足够的安全保护。目前USBKey个人用户数字证书的使用成本并不高，年费不到10元，加上申请时一次性交纳的存储介质USBKey的成本费也不过80元左右［5］。USBKey数字证书认证方式未得到很好普及的主要原因还在于用户已固化于账号+密码这种直接支付使用习惯。第二个问题主要出现在买卖双方互不信任的时候,买方会担心付钱拿不到货，卖方则会担心发货拿不到钱。为解决这个交易诚信问题，通常引入交易双方共同信任的第三方支付机构提供信用保障买方可以先付款到第三方支付机构,在买方确认收到商品前由第三方支付机构替买卖双方暂时保管货款等买方收到商品后再通知第三方支付机构将货款打到卖方账上，从而有效地解决了买卖双方互不信任的问题。国内阿里巴巴旗下的支付宝公司（就是非常知名的第三方支付机构。4树立网络安全意识，杜绝潜在安全隐患从众多曝光的网上购物安全事件来看，导致账号泄密等安全问题在多数情况下其实并非发生在信息提交的过程中，而是客户端存储信息时发生了问题［7］。互联网世界充斥着病毒程序和黑客程序，使客户储存的信息随时受到安全威胁。但是，如果平时注意培养网络安全意识，很多问题还是可以避免的，一些良好的操作习惯就可以帮助我们杜绝许多潜在的安全隐患。例如:不在网吧或其他公共场合的计算机上使用银行卡在线支付;不轻易告知他人自己的银行账号和身份证号码;不使用生日或电话号码等易被猜中的数字组合作为密码；不轻易打开陌生的电子邮件;尽量不通过超级链接直接访问购物网站和银行网站；尽量不在无名小网站上下载免费软件或声音视频文件，以免被种木马程序;一定要安装杀毒软件和防火墙，并做到每天定时杀毒和更新。的商务模式逐步为社会各界所接受并应用，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，将会成为人们越来越关注的焦点。本文主要结合笔者在实际交易中的体会从上述四个方面阐述了网上购物过程中所涉及的主要安全问题。笔者相信，只要妥善运用这些安全技术手段，培养良好的网络安全意识，就一定可以切实保障网上交易的安全。参考文献：［1］李明浩.我的安全我做主［J］.电子商务世界,2006（2/3）:96-97.［2］方美琪，刘鲁川.电子商务设计师教程［M］.北京:清华大学出版社,2005.闵敏.电子商务实用基础[M].北京:清华大学出版社,2005.李少尉.CA认证刚上路[J].电子商务世界,2006(5):32-37.柯新生.网络支付与结算[M].北京:电子工业出版社,2004.夏友平.电话支付雾里看花[J].电子商务世界,