电子商务交易的安全性得不到保障

1、交易的安全性得不到保障

电子商务极大地改变了传统的商务模式，Intemet可以帮助买卖双方以极低

的价格极快的速度寻找到新的合作伙伴采购到价廉物美的产品，显著地提高了效率，但Internet的开放性和共享性环境给我们带来了便利的同时也导致了网络安

全性受到严重影响。安全问题也一直成为制约电子商务发展的关键性问题。

由于Internet的开放性，网络上攻击行为几乎随处可见，任何人都可通过下

载一些软件束影响网络安全。同时，越来越多影响网络安全的行为是为了直接获取利益，诸如通过木马等工具窃取用户的银行账号和密码，通过欺骗性的电子邮件、伪造网站及欺骗性的短信进行诈骗等。交易信息传送的安全，实名认证的问题等等问题使交易的安全性得不到保障

2、交易的安全性得不到保障的原因

2.1 未授权的人利用操作系统或者安全管理的漏洞，通过一定的手

段闯入到系统内部，获取普通用户没有的权力，实现对用户信息的篡改、窃取和非法使用。早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。随着电子商务的发展，入侵者通过盗取服务器上存放有关产品、客户和交易等信息，获得巨大的经济利益已成为其主要目的。入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒束破坏其正常工作。

2．服务拒绝攻击

服务拒绝攻击(Denial of se“ice，Dos)，简单来说，是通过电子手段，以网站或者网络瘫痪为目的的袭击。由于电子商务对网站的实时性要求越柬越高，服务拒绝攻击对电子商务的威胁也就越来越大。虽然这种攻击不能使攻击者直接获得有用的信息，但是它可以大大削弱被攻击者在客户心中的可信度。常见的服务拒绝攻击有：死亡之ping(pingofdeath)、uDP洪水(UDP flood)，Land攻击、

电子邮件炸弹等。

3．身份仿冒

对用户身份进行仿冒，借此末破坏交易，损害被假冒方的信誉或者盗取其交易成果等。这是近年来对电子商务安全最具威摄力的攻击方式(“网络钓鱼”)。

4．计算机病毒

计算机病毒具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等特点，正在从传统的感染单个文件，单个系统转向网络化发展。对于利用计算机及网络进行交易的电子商务参与者来说，计算机病毒势必会成为他们巨大的技术隐患。

3、交易的安全性得不到保障的对策与建议

和大多数c2c电子商务网站一样，淘宝网采用的电子商务安全技术和手段，最大特点是提供了实名认证和数字证书，大大增强了账户和敏感数据传输的安全性，从而提高了系统的信用和安全。通过对该系统的研究分析，指出该系统安全技术和手段中还存在的一些问题：

·交易信息传送的安全

同其他c2c电子商务网站一样，淘宝网电子商务系统采用电子邮件，即时通信技术(如淘宝旺旺，雅虎通，贸易通等)以及手机短信柬通知用户的交易信息和发送订单，因此该过程的安全直接影响整个交易过程的安全。但是目前许多网站门户提供的电子邮箱安全性并不高，而淘宝网系统对用户选择的与账户绑定电子邮箱的安全性并未进行评定和限制。作为电子商务通知用户交易信息的基本方式，电子邮件很容易受到攻击。攻击者很可能通过对电子邮件的攻击窃取用户账号，

订单等交易信息。可以通过提高系统对用户选定的电子邮箱安全性的要求，比如选定能提供安全电子邮件数字证书的电子邮箱，对交易信息进行数字签名，对邮件进行在线查杀病毒检测等。针对采用即时通信和手机短信传送交易方式，加强对安全通信的要求，对传送的信息进行数字签名。

·实名认证的问题

淘宝网电子商务系统提供的实名认证相对松散。系统对用户申请实名认证中的个人信息验证要求较低，在输入错误的证件号及上传虚假身份证件后，仍然能通过系统的认证。因此加强实名认证的强度能提高实名认证的信任度和整个系统的安全性。

使用信息层认证插件基于双重数字证书的客户端安全方案

近年来电子商务平台的用户账号信息盗用的情况不断发生，带束许多安全隐患，严重影响用户对使用电子商务平台进行支付的信心。通过对淘宝网及其采用的第三方支付平台支付宝的客户端安全方案的分析，给出使用信息层认证插件的基于双重数字证书的客户端整体安全方案。该方案普遍适用于目前电子商务平台，解决客户端信息安全问题。

5．3．3．3基于双重数字证书机制的安全解决方案

根据用户端证书存储形式的不同，分为使用信息层认证插件的客户端和使用UsBKey的客户端与现有的数字证书安全方案相比，上述方案中使用双重数字证书的客户端安全方案，通过电子商务平台的客户端数字证书，保证了交易账户信息的安全，同时支付平台的客户端数字证书，保证了资金账户的安全。使用信息层认证插件的客户端安全方案具有防“钓鱼”安全、防木马代理和控制木马盗用安全、认证安全和网络传输的安全特点。

●防“钓鱼”安全

用户每次进行信息层认证登录时，直接由信息层认证插件通过基于数字证书的挑战响应的方式自动完成信息层认证，不需要再输入账号，密码，也在信息层认证这个环节上防止了“钓鱼”方式的盗用。

黑客即使通过“钓鱼”获取了用户的平台账号／密码一一此时黑客到平台进

行首次登录注册的过程，同时提交自己的硬件信息，平台判断该账号是否注册过，如果注册过，将和已有的硬件信息做比较，如果不一致则不能通过注册获取证书和私钥。从而实现防“钓”用户的平台账号，密码。黑客通过“钓鱼”获取了用户的PIN码一一并且获取了用户的证书和私钥，但是支付时，在提交签名和硬件信息时由于提交的硬件信息是黑客客户端认证插丝立窑适厶堂亟±堂位迨塞渔宝觋篮出兰塞全盥盆近班殛件提取的黑客客户端硬件信息，因此认证无法通过，也无法实现支付。从而实现防“钓”用户的PIN码。

·防木马代理和控制木马盗用安全

1．通过增设PIN码，要求用户在进行信息层消费支付时输入PIN码，此时

控制型木马无法在用户的客户端输入PIN码，从而无法实现盗用：

2．PIN码在用户端实现自认证，不会在网络传输，可以避免被黑客监听、截取的可能；

3．木马代理型的黑客，可以在黑客自己的客户端输入PIN码：

．，首先由于PIN码由用户自己设置，在信息层认证插件中PIN码也不采用明文存储，而是存储PIN码(结合自身硬件信息)的HAsH值，黑客既便获取也无法计算出PIN码的值，因此黑客不容易知道用户PIN码：

≯用户既便通过网上“钓鱼”等方式知道了用户的PIN码，并且获取了用户