网上购物的安全保障技术 2000年 第9期 #1  一、确认商家的合法性   在现实生活中,我们常常掏出身份证来证实自己的身份。在网络购物时,我们也可以要求商家提供“身份证”,只不过这种身份证是数字形式的,称为“数字证书”。   数字证书通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是交易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前电子商务中广泛采用的技术之一。   由中国人民银行牵头,我国已经建立自己的CA认证中心。商家只要向该中心提交认证申请,该中心随即对申请者的合法性进行调查。对那些合法的商家,由CA颁发能够识别商家身份的数字证书。除了商家,个人也可以申请数字证书。   这样,网上购物时,你可以要求查看商家的数字证书,从而证明商家的身份是否合法。 #1  二、SSL构筑你和商家之间的安全通道   网上购物最让人担心的是信用卡号被盗用。当你输入信用卡号时,在网络的某处可能有心怀不轨之徒正在窥视你的账号。这就要求你和商家之间有一条加密通道,用于传递信用卡或者其他保密信息。   通常,你和商家是通过SSL(Secure Sockets Layer,安全套接层)协议建立起安全通道的。SSL是网景公司发明的。它的运行过程是这样的:   1.商家的服务器出示“数字证书”给你的浏览器,这个数字证书包含了商家的一把公开钥匙,它可以打开商家服务器用私有钥匙加密的任何信息;   2.你的浏览器自动传递一条用商家的公用钥匙加密的一段信息,要求商家证明它确实可以用它的私有钥匙解密;   3.商家的服务器用它的私有钥匙解密出源信息;   4.你的浏览器认可商家是证书的持有人,SSL安全通道建立完成;   5.这时你可以输入信用卡号等保密信息,这些信息被浏览器用商家的公用钥匙加密后传递到商家的服务器;   6.商家的服务器解密,得到你的信用卡号等保密信息。   从这个过程可以看出,只要建立安全通道,即使有人截获到你的保密信息,由于他没有商家的私有钥匙,所以解不开加密后的信息,这样保密信息就得到了保护。 #1  三、电子合同的有效性和完整性   合同是商业交往中具有法律约束力的协议文本,它规定了交易双方的责任和义务,是商业事务中的一个重要组成部分。经过九届人大二次会议审议、并于1999年10月1日起施行的《中华人民共和国合同法》根据现实生活中出现的新情况,增添了一部分新的内容,其中明确规定:电报、电传、传真、电子数据交换和电子邮件在内的数据电文都属于合同的书面形式。从法律上认定了以电子媒体为载体的合同具有法律约束力,这对于使经济生活适应信息社会的特点和积极推广电子商务都有很大的促进作用。   当你在网上购物时,最后生成订单,完成支付,就自动形成了一种格式化的电子合同。怎么保证这个合同的有效性呢?在传统的面对面交易中,交易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,这就是“数字证书”。通过传递数字证书,商家和消费者都不能抵赖交易的存在和合法性。   电子合同在传输的过程中是否可以改变呢?不能。通过将传递的信息简单地求一个HASH(哈希函数)的和,并把这个和加密后和原来信息一起传输。这样,当信息到达目的地,对源信息再次求HASH和,并将它和解密后的HASH和比较,如果不等,信息在传输过程中可能被破坏,可以要求重新传输。这样就避免了信息在传输途中被窜改的可能,保证了电子合同的完整性。 #1  四、电子商务须严防黑客   对于普通的因特网站站点,黑客侵入无非是更改站点的内容而已,并无大碍;而对于电子商务站点,黑客侵入就可能盗用商业数据,包括信用卡号、用户注册信息和交易历史等,甚至破坏这些重要的交易数据,给商家和消费者带来不可估量的损失。因此,在电子商务中要严防黑客的入侵。   目前,在网上采用了网络安全监控系统、防火墙、安全工具包等安全技术来防范黑客的入侵。