浅析网上购物安全
潘秋瑜
(广西工商职业技术学院经贸系530003)
I摘要1网上购物作为电子商务中的重要组成部分,正以一个惊人的速度发展着。但是,正是由于网上购物形式的特定性,必然导致它在交易安全的保证上存在着一定的漏洞。因此,想要更好的解析网上购物以使其更加顺利地发展,必须对网上购物的安全性做一个透彻的剖析。本文从应用数字证书确保交易安全、合理运用在线支付工具、树立良好的网络安全意识三个方面探讨如何有效规避网上购物的风险。
【关键词】网上购物;数字证书;网络安全意识在电子商务网站上购物需要涉及到很多安全性问题(例如:密码、信用卡号码及个人信息等)。如何将这些问题处理得当是十分必要的。从国外的发展情况来看,有许多公司或机构能够提供安全认证(如:邓L证书)。通过这样的认证过程,可以使顾客认为比较敏感的的信息得到保护。但经过比较长期的实际运作,国外的 网站对于安全问题已经基本达成一个良性的共识,安全已经不再是困扰网站发展的瓶颈。
1.如何应用数字证书确保交易安全
1.1数字证书的概念以及作用
数字证书又称为数字标识,是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲,数字证书就是个人或单位在互联网的身份证。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决”我是谁“的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。数字 证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
1.1.1数字证书的身份认证
身份认证即身份识别与鉴别,就是确认实体即为自己所声明的实体,鉴别身份的真伪。如甲乙双方的认证,甲首先要验证乙的证书的真伪,当乙在网上将证书传送给甲时,甲首先要用权威机构cA的公钥解开证书上cA的数字签名,如签名通过验证,证明乙持有的证书是真的;接着甲还要验证乙身份的真伪,乙可以将自己的口令用自己的私钥进行数字签名传送给甲,甲已经从乙的证书中或从证书库中查得了乙的公钥,甲就可以用乙的公钥来验证乙用自己独有的私钥进行的数字签名。如果该签名通过验证,乙在网上的身份就确凿无疑。
1.1.2数字证书的数据完整性
数据完整性就是确认数据没有被修改,即数据无论是在传输或是在存储过程中经过检查确认没有被修改。数据完整性服务的实现主要方法是数字签名技术,它既可以提供实体认证,又可以保障被签名数据的完整性。这是因为密码哈希算法和签名算法提供的保证,哈希算法的特点是输人数据的任何变化都会引起输出数据的不可预测的极大变化;签名是用自己的私钥将该哈希值进行加密,和数据一起传送给接受方。如果敏感数据在传输和处理过程中被篡改,接受方就不会收到完整的数据签名,验证就会失败。反之,如果签名通过了验证,就证明接收方收到的是没经修改的完整性数据。
1.1.3数字证书的数据保密性
数据保密性就是确保数据的秘密,除了指定的实体外,其他没经授权的人不能读出或看懂该数据。PKI的保密性服务采用了”数字信封’‘机制,即发送方先产生一个对称密钥,并用
该对称密钥加密敏感数据。同时,发送方还用接收方的公钥加密对称密钥,像装人一个”数字信封”里。然后,将被加密的对称密钥(”数字信封”和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开”数字信封”,得到对称密钥,用对称密钥解开被加密的敏感数据。其他没经授权的人,因为没有拆开”数字信封”的私钥,看不见或读不懂原数据,起到了数据保密性的作用。图三也说明了数据保密性过程。
1.1.4数字证书的不可否认性
不可否认性服务是指从技术上实现保证实体对他们的行为的诚实性,即用数字签名的方法防止其对行为的否认。其中,人们更关注的是数据来源的不可否认性和接收的不可否认性,即用户不能否认敏感信息和文件不是来源于他;以及接收后的不可否认性,即用户不能否认他已接收到了敏感信息和文件。此外还有其他类型的不可否认性,传输的不可否认性、创建的不可否认性和同意的不可否认性等。
1.2数字证书的安全性
数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥〔私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。·当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全 无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。
l.3数字证书的应用领域
1.3.1网上银行
国内商业银行的网上银行近几年有很大发展,其中工行、招行、建行比较突出。但是网上银行也出现了一些安全问题,例如假造银行通知、网上’钓鱼”、病毒程序、黑客们利用这些手段,直接窃取客户口令和账号。去年的所谓”网银大盗”事件,就是部分黑客将特洛伊木马程序置于某银行网银,窃取了近800万客户的密码及账号,其目的就是进行网上欺诈。
1.32电子商务
在电子商务交易中,安全是第一位的,交易各方必须使用数字证书,如交易中心、在线支付平台、银行、商家、客户等都必须使用数字证书,以达到交易各方身份的真实性及交易的不可否认性。电子商务的交易模式分BZB、BZC、BZG等等。以BZB电子商务为例,中国目前BZB电子商务涉及了许多行业,大多数是以卖方主导型,或电子市场交易型为主。
1.33手机移动支付
手机移动支付较安全的方式是手机、银行和商户都使用数字证书机制进行身份确认和加密
1.3.4网上证券
以网上炒股为例,网上炒股是股民和证券公司之间发生的两方交易,必须确认身份和交易的不可否认。网上转账是指股民通过Internet将资金在银行股民账户和证券公司账户之间划人或划出,是涉及到股民、证券公司、银行的三方交易。除了上述领域,在专用网、互联网或无线网上的数字证书的应用也很广泛。目前最有发展前途的还有卫生医疗系统的电子病历 管理,应大力推广数字证书的应用。因为电子病历是将病人的病历、病史检查、治疗等信息,通过一个电子病历的平台,存储起来,达到信息共享的目的。还有各医疗单位的化验单、检查单、报告单要统一标准,达到资源共享,提供医疗服务。其中数字证书的应用必不可少,因为医院、医生对自己的诊断、处方要负法律责任,所以必须在电子病历中进行数字签名。 2合理运用在线支付工具
2.1如何选择在线支付工具
大多数人对于网上支付只知道支付宝、贝宝、Q币等,但是,如同信用卡有中国银行发的,也有民生银行、建设银行、工商银行等发行的,为了支付的方便,许多时尚消费一族也会同时拥有几张信用卡。在网络上也是一样,由于淘宝网只支持支付宝进行在线交易,易趣也只使用自己的支付平台交易,所以当网友想在其它网站消费,如在联众世界、京东商城、广发商旅或者国美等网站购买游戏点卡、数码产品、机票、家电,那就得拥有一种”万付皆通”的支付手段。据统计,中国经常进行网上购物的人数已达3创洲)万人,全国大约有20家支付企业在激烈角逐这个市场。主要支付方式划分为三种:
第一种,是由五大商业银行主宰的网关支付服务,比如银联,金融背景与业务熟悉是这类支付平台的最大优势;第二种,依托大型BZC、CZC网站的支付工具,比如贝宝、支付宝就属于这种非独立性的寄生形式;第三种,以”有E住以11就可以收付钱”的快钱为代表,构成独立第三方支付平台,由于这种支付方式具有网上支付、电话支付、移动支付等多种支付手段的特点,成长的速度非常快。快钱是目前国内领先的独立第三方支付企业,最早推出基于Err砚11和手机号码的综合电子支付服务,几乎囊括了电子客票、网上阅读、网上收视、在线交易等所有在线生活内容,其客户主要集中在零售店、电影、音乐、游戏、软件、汽车、体彩等行业,合作伙伴包括soHU、百度、网易、sALALA鲜花网、ENET商城、当当网、金山在线、瑞星、中国万网、足彩、联众、湖南体彩网等,囊括中国门户网和最主流的网上商城,同时还支持数以百计以区域城市为主的当地网商。
3.如何增强网上购物安全意识
3.1网上购物一般面临两方面的风险
1。购物网站的信用风险一一即该网站是否真实经营?是否有欺骗性质?其将不能保证其交货义务的履行。
2。购物网站的经营性风险一一即该网站是真实诚信经营,但该网站经营不善,随者网络泡沫一起破灭。对购物本身并无影响,但对在其购买需保修的电器等产品的售后保修服务等,将无法进行,或其承诺的积分制,购物券等将无法实行。
32网上购物的提醒、忠告
1、选择历史较长的网站购物,如五年前电子商务刚兴起时就创建的一批网站,经历网络泡沫后,一直健康发展下来的网站,其信用服务一般都较好,信用及服务水平普遍高于传统购物;有欺骗性的网站,一般才建立2一3个月,3一4个月到半年,不会长久。一一一一历史越长,可信度越高。
2、选择访问量较高的网站购物,现有许多新网站,产品也较多,页面也较美观,看上去很像样,但一看他的访问量,就会发现,按其访问量,一天内可能都不会卖出一件商品,如何正常经营呢?一一一访问量越高,可信度越高。
3、在自销售式的购物网站购物,一些出租柜台式的购物网站,信用一般没问题,但其自己不销售,收取人住费、广告费,所以一般价格较高,且服务不能整齐划一;另一种拍卖网站,主要提供给个人销售旧货,拍卖网站一般信用没问题,但售货的是个人,其信用风险很大,要特别谨慎。
4、选择口碑好的网站购物,信用服务好的网站,一般都会在网民心中有较好口碑。
5、选择可货到付款的网站购物,全国范围货到付款需要一定的实力规模,所以只有一定规模的正规网站才做得到,同时避免先付款的风险。
6、欺骗性网站相对集中的特征:
(l)销售手机、电器【香港货,走私货]偷拍器材的网站,该范围也有很多信用很好的网站,不能一盖而论。
(2)个人购物网站,从其联系方法就可看出。列如:24小时电话,正规公司不会24小时工作;联系电话是手机,QQ联系,正规公司不会用个人的手机作为公司电话,该范围也有很多信
用很好的
网站,不能一盖而论。
(3)个人拍卖网站,产品多,价格特低,什么都有,正规商店是不可能什么都卖的,20元就可买劳力士手表,在此拍卖网站受骗,网站一般都不负责,该范围也有很多信用很好的网站,不能一盖而论。
(4)网站很漂亮,但根本没真实的产品供应,对销售的产品不具专业知识,访问量很小,(如您向其购买,可能就是唯一上当的)如很多熟悉网络技术的个人,很快做个网站,但他们根本没有产品,更不具供货、发货能力。
