4.6　電子商務(wù)交易的安全機(jī)制

電子商務(wù)的發(fā)展受到最大的考驗(yàn)就是在線交易的安全性。由于在線交易時(shí)必須在網(wǎng)站上輸入個(gè)人私密的資料，例如身份證號(hào)碼、信用卡卡號(hào)等，如果這些資料不慎被第三者截取，那么將造成用戶的困擾與損害。特別是在移動(dòng)設(shè)備普及后，越來(lái)越多的用戶通過(guò)智能手機(jī)或平板電腦瀏覽網(wǎng)頁(yè)，店家或個(gè)人都想借助移動(dòng)設(shè)備的便利性獲取各種便捷的應(yīng)用服務(wù)，因而移動(dòng)設(shè)備方面的安全問(wèn)題就成為近年來(lái)必須面對(duì)的課題。為了讓消費(fèi)者在線交易能得到基本的安全保障，就必須加強(qiáng)安全機(jī)制，提升用戶使用上的安全感以及信任感。

如果消費(fèi)者對(duì)于在線支付沒有安全感，就不敢輕易在網(wǎng)絡(luò)上購(gòu)買產(chǎn)品或付款了。為了打消消費(fèi)者對(duì)網(wǎng)絡(luò)購(gòu)物安全的疑慮，建立消費(fèi)者在線交易的信心，相關(guān)機(jī)構(gòu)和組織為網(wǎng)絡(luò)購(gòu)物設(shè)計(jì)了很多安全原則和建議。但是，到目前為止，仍然沒有成立一個(gè)國(guó)際標(biāo)準(zhǔn)化組織來(lái)規(guī)范出一個(gè)完整的安全機(jī)制與協(xié)議的標(biāo)準(zhǔn)，以用于所有的網(wǎng)絡(luò)交易。在這種情況下，市場(chǎng)上就形成了各個(gè)廠商自己定義的標(biāo)準(zhǔn)。在國(guó)際上，目前被商家和消費(fèi)者所接受的電子安全交易機(jī)制是SSL和SET這兩種。

4.6.1　安全套接字層協(xié)議

安全套接字層協(xié)議（Secure Socket Layer, SSL）是一種128位傳輸加密的安全機(jī)制，由網(wǎng)景（Netscape）公司于1994年提出，是目前網(wǎng)絡(luò)上十分流行的數(shù)據(jù)安全傳輸加密協(xié)議。在支持的廠商中，也有像微軟這種知名的公司，SSL的目的在于協(xié)助用戶在數(shù)據(jù)傳輸過(guò)程中保護(hù)數(shù)據(jù)的安全。SSL數(shù)字證書包含一對(duì)公鑰／私鑰以及已經(jīng)通過(guò)驗(yàn)證的識(shí)別信息，并且使用RSA算法及證書管理架構(gòu)，它在客戶端與服務(wù)器之間進(jìn)行加密與解密的過(guò)程。

目前大部分網(wǎng)頁(yè)服務(wù)器或?yàn)g覽器都能夠支持SSL安全機(jī)制，其中包含微軟的Internet Explorer和Edge瀏覽器。為了提升網(wǎng)站安全性，像百度、谷歌（Google）等知名網(wǎng)站都已陸續(xù)增添了HTTPS加密，例如防范網(wǎng)絡(luò)釣魚的首要方法就是要能分辨網(wǎng)頁(yè)是否安全，一般而言有安全機(jī)制的網(wǎng)站，它們的網(wǎng)址通信協(xié)議必須是https://，而不是http://。HTTPS組合了SSL和HTTP的通信協(xié)議。另一個(gè)識(shí)別方式是在網(wǎng)址欄中看看網(wǎng)址前面是否顯示了SSL安全保護(hù)的標(biāo)記——一把類似鎖頭的圖標(biāo)，在這個(gè)標(biāo)記上連續(xù)單擊兩次就會(huì)顯示安全認(rèn)證信息，如圖4-19所示就是在微軟的Edge瀏覽器中瀏覽百度網(wǎng)站時(shí)看到的Global Sign提供的SSL網(wǎng)站認(rèn)證。

圖片來(lái)源：https://www.baid.com/

圖4-19　采用SSL安全機(jī)制的網(wǎng)頁(yè)

使用SSL的優(yōu)點(diǎn)是，消費(fèi)者不需要申請(qǐng)數(shù)字證書就能夠直接解決數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題，缺點(diǎn)則是當(dāng)商家將數(shù)據(jù)內(nèi)容還原，并準(zhǔn)備向銀行收款時(shí)，就會(huì)知道消費(fèi)者個(gè)人的相關(guān)資料。如果商家管理不嚴(yán)格而讓這些資料外泄，或者是商家的不良員工盜用了消費(fèi)者信用卡的信息，就會(huì)出現(xiàn)消費(fèi)者的信用卡被盜刷等問(wèn)題。另外，SSL協(xié)議并無(wú)法完全保障數(shù)據(jù)在傳送的過(guò)程中不會(huì)被截獲并解密，還是可能被黑客破解經(jīng)過(guò)加密的數(shù)據(jù)。

4.6.2　安全電子交易協(xié)議

由于SSL并不是最安全的電子交易機(jī)制，為了達(dá)到更安全的標(biāo)準(zhǔn)，信用卡國(guó)際公司VISA和MasterCard于1996年共同制定并發(fā)表了“安全電子交易協(xié)議”（Secure Electronic Transaction, SET），通過(guò)系統(tǒng)持有的公鑰與用戶的私鑰進(jìn)行加解密，以保障傳遞數(shù)據(jù)的完整性與隱秘性，并陸續(xù)獲得IBM、Microsoft、HP及Compaq等軟硬件大公司的支持，加上SET安全機(jī)制采用非對(duì)稱密鑰加密和對(duì)稱密鑰加密組合的加密技術(shù)，即著名的RSA和DES加密算法，使得傳輸于網(wǎng)絡(luò)上的數(shù)據(jù)更安全，可以滿足身份確認(rèn)、隱私權(quán)保密、數(shù)據(jù)完整性和交易不可否認(rèn)性的安全交易需求。

SET機(jī)制的工作方式是消費(fèi)者和網(wǎng)絡(luò)商家無(wú)法直接在互聯(lián)網(wǎng)上單獨(dú)進(jìn)行交易，雙方在進(jìn)行交易前，必須預(yù)先向“認(rèn)證中心”（CA）取得各自的SET數(shù)字認(rèn)證證書。進(jìn)行電子交易時(shí)，持卡人和特約商店所使用的SET軟件會(huì)在電子數(shù)據(jù)交換前確認(rèn)雙方的身份。