网上购物安全问题探讨吴凌娇（常州信息职业技术学院信息管理系，江苏常州２１３１６４）摘要：网上购物存在风险，网络安全问题是阻碍消费者网上购物的重要因素；从有效识别真假网站、应用数字签名确保交易安全、合理运用在线支付工具、树立良好的网络安全意识四个方面探讨如何有效规避网上购物的风险。

关键词：电子商务；数字签名；在线支付；网络安全中图分类号：Ｆ７１３．３６；ＴＰ３９３．０８文献标识码：Ａ０引言随着互联网经济的快速发展，网上购物作为一种新的商业模式，正受到越来越多的商家和消费者的青睐。

然而，没有时空限制的网上购物在给人带来快捷、方便和高效的同时，也带来了商业诚信、交易安全和物流配送等多方面的困扰。

在诸多阻碍消费者网上购物的因素中，安全问题始终是一个重要话题。

的确，网上购物和传统购物相比，安全是相对的，而存在风险却是绝对的。

本文主要从有效识别真假网站、应用数字签名确保交易安全、合理运用在线支付工具、树立良好的网络安全意识四个方面探讨如何有效规避网上购物风险。

１识别真假网站，确保交易平台安全假网站也称为钓鱼网站，它通过克隆真网站来欺骗顾客登录，从而骗取顾客的账号和密码。

目前部分网站免费提供设计假网站的“钓鱼工具箱”，内含构建假网站所需的各种图片、网页编码和文字内容，利用这些工具可以在假网站上非常方便地使用正规网站的Ｌｏｇｏ、图表、新闻内容和链接，从而让使用者设计出看似合法的正规网站；一旦用户登录，很难区别哪个是正规网站、哪个是钓鱼网站，导致不知情的使用者在无意间泄露个人账户的详细信息。

这类工具箱同时含有垃圾邮件软件，可以成批寄发数千封可直接连到假网站的钓鱼邮件。

１．１假网站常用的欺骗手段要有效识别真假网站，首先必须了解假网站常用的欺骗手段，主要归纳如下：一是ＵＲＬ地址欺骗。

即通过一定的技术手段构建虚假的ＵＲＬ地址，给用户造成错觉以为是在正确的网站上。

如＜ａｈｒｅｆ＝＂ｈｔｔｐ：／／ｗｗｗ．ｇｏｏｇｌｅ．ｃｏｍ＂＞百度＜／ａ＞，该代码的作用是使得用户在网页或邮件中看到显示的是“百度”，实际上是链接到Ｇｏｏｇｌｅ的网站上。

识别这类欺骗比较简单，只要将鼠标移动到链接上，就可以在状态栏中看到实际的链接地址，即使不小心误点了，也可以通过地址栏内的信息了解实际网址。

二是ＵＲＬ地址克隆。

即使用和真实网址非常相似的域名，如ｗｗｗ．ＩＣＢＣ．ｃｏｍ．ＣＮ（中国工商银行）和收稿日期：２００６－０４－２７；修回日期：２００６－０６－２０作者简介：吴凌娇（１９７５－），女，江苏常州人，常州信息职业技术学院讲师，主要研究方向：电子商务和信息管理。

ＪＯＵＲＮＡＬＯＦＪＩＡＮＧＳＵＴＥＡＣＨＥＲＳＵＮＩＶＥＲＳＩＴＹＯＦＴＥＣＨＮＯＬＯＧＹ江苏技术师范学院学报Ａｕｇ．，Ｖｏｌ．１２，Ｎｏ．４２００６２００６年８月第１２卷第４期ｗｗｗ．１ｃｂｃ．ｃｏｍ．ｃｎ（该网站已被查封），又如ｗｗｗ．９５５９９．ｃｎ（中国农业银行）和ｗｗｗ．９５５６９．ｃｎ（该网站已被查封）。

钓鱼网站和正规网站的网址，虽然只有一个字母的差别，却存在天壤之别。

三是跨站脚本。

所谓的跨站脚本就是攻击者利用合法网站服务器程序上的漏洞，在站点的某些网页中插入危险的Ｈｔｍｌ代码，窃取用户信息。

由此可见，即使是一个比较正规的网站，也可能被人非法利用。

要避免跨站脚本给自己带来的危害，需要注意不要轻易访问别人通过ＱＱ或ＭＳＮ发来的超级链接，或是电子邮件中指明的链接，禁止浏览器运行ＪａｖａＳｃｒｉｐｔ和ＡｃｔｉｖｅＸ代码。

１．２如何识别真假网站识别真假网站其实并不需要太多的技术，关键是要有自我保护的意识，要尽量避免各种可能连入假网站的连接来源。

如：若想访问某个网站，应尽量使用浏览器直接访问，输入网址前有必要确认网址的来源，通过邮件、即时通信工具如ＱＱ、ＭＳＮ中的链接连入网站的做法都是不可取的。

具体识别真假网站的方法主要有以下几种：一是查看服务器证书。

服务器证书是由权威机构颁发给网站用于证明网站合法性的重要凭证，所以查看服务器证书是识别真假网站最有效的办法。

下面以招商银行个人网上银行为例说明。

如图１所示，进入招商银行一网通个人银行登录界面后，浏览器右下角状态栏上有个黄色“挂锁”图标，这就是“服务器证书”的标识，双击点开查看即显示如图２所示信息。

如招商银行个人网上银行页面上的服务器证书中写的是“颁发给：ｐｂｓｚ．ｅｂａｎｋ．ｃｍｂｃｈｉｎａ．ｃｏｍ”，颁发者是全球著名证书中心Ｖｅｒｉｓｉｇｎ公司，将这个地址与页面地址栏中的网址对照，即可识别真假网站。

另外，还要检查证书是否仍在有效期内。

二是查询网页所在服务器地址。

通过查询网页对应的ＩＰ地址可以定位网页所在服务器地址。

查询服务器地址最简单的办法是通过ｈｔｔｐ：／／ｗｗｗ．ｉｐ１３８．ｃｏｍ／查询［１］，如想查询新浪网首页所在网站的ＩＰ地址及物理地址，只需在该网站首页的“ＩＰ地址或者域名”后输入“ｓｉｎａ．ｃｏｍ．ｃｎ”，并单击“查询”按钮即可，如图３所示。

查询时要注意查询结果中物理地址是否与网页所注联系地址一致，特别要注意那些物理地址在国外的网站。

还有些小方法可帮助我们有效防止恶意窃取账号密码，如先输入错误的密码，真网站会给出明确的“密码错误”的提示，而克隆网站只能跳出一些模棱两可的信息，比如“系统忙”、“服务器出错”等等。

图１服务器数字证书标识Ｆｉｇ．１ＳｉｇｎｏｆｔｈｅＷｅｂｓｅｒｖｅｒ＇ｓｄｉｇｉｔａｌＩＤ图２查看服务器证书Ｆｉｇ．２ＣｈｅｃｋｔｈｅＷｅｂｓｅｒｖｅｒ＇ｓｄｉｇｉｔａｌＩＤ吴凌娇：网上购物安全问题探讨第４期６９２应用数字签名，确保交易信息安全２．１数字签名技术概述在每一笔网上交易中，都会涉及到一些敏感信息；为了确保这些信息的安全，一方面需要技术保障，另一方面需要法律支持。

目前，在网上交易中，普遍采用数字签名技术确保交易信息的完整性、保密性和不可否认性。

数字签名技术是基于公开密钥体制的一种电子交易安全技术，目前已被广泛应用于各类电子商务活动中。

例如，可以用数字签名证书证明网站的合法身份，签订电子合同时加上数字签名可以对抗交易抵赖，网上支付时利用数字签名可以有效防止账号被他人盗用。

《中华人民共和国电子签名法》已于２００５年４月１日正式实施，明确了数字签名与手写签名或盖章具有同等法律效力［２］。

２．２数字签名技术的具体运用在网上交易中，一般通过数字证书实现数字签名和身份认证。

数字证书是网络通信中标识个人、计算机系统或组织的身份和密钥所有权的电子文档，它采用公开密钥体制，由交易各方共同信任的第三方权威机构发行，交易伙伴之间可以使用数字证书来交换公钥［３］。

数字证书的颁发，一般不是依靠交易双方自己来完成的，而是需要一个权威的第三方机构，通常称为ＣＡ（ＣｅｒｔｉｆｉｃａｔｅＡｕｔｈｏｒｉｔｙ）。

ＣＡ认证系统一般采用ＰＫＩ（ＰｕｂｌｉｃＫｅｙＩｎｆｒａｓｔｒｕｃｔｕｒｅ，公钥体系结构）框架来管理密钥和证书。

ＰＫＩ是一种遵循既定标准的密钥管理平台，是利用公钥理论和技术建立的提供网络安全服务的基础设施。

例如：网上购物时，如果想通过网上银行在线支付结算货款，比较安全的做法就是采用商业银行颁发的数字证书进行身份认证。

从存储形式来看，主要有文件数字证书和移动数字证书两种：前者是以文件形式存储在硬盘、软盘或Ｕ盘中，如图４所示；后者是专门存储在外观类似Ｕ盘的加密狗ＵＳＢＫｅｙ中，如图５所示。

ＵＳＢＫｅｙ是将传统的智能卡和读卡图３查询网页所在服务器地址Ｆｉｇ．３ＳｅａｒｃｈｔｈｅＩＰａｄｄｒｅｓｓｏｆｔｈｅＷｅｂｓｅｒｖｅｒ图４文件数字证书Ｆｉｇ．４Ｄｏｃｕｍｅｎｔ＇ｓｄｉｇｉｔａｌＩＤ图５移动数字证书Ｆｉｇ．５ＰｏｒｔａｂｌｅｄｉｇｉｔａｌＩＤ江苏技术师范学院学报７０第１２卷器用“智能钥匙”代替，微型智能卡处理器和ＵＳＢ电路控制器被嵌入一个小的外壳中，不再需要专门的读卡器设备。

ＵＳＢＫｅｙ虽然外观与Ｕ盘很像，但两者有很大的区别：Ｕ盘只是有ＵＳＢ接口的即插即用的存储工具，存在Ｕ盘中的文件可以被随意地复制或删除；而ＵＳＢＫｅｙ有专门用来存储数字证书的智能芯片，有自己的处理器和操作系统，具有运算功能，存储在其中的数字证书不能被复制、导出，并具有口令保护功能———一旦ＵＳＢＫｅｙ的密码被输超过规定次数即被锁死。

目前ＵＳＢＫｅｙ被广泛地应用于网上银行、网上税务等领域。

由于移动数字证书采用专用的签名密钥，该密钥在ＵＳＢＫｅｙ内生成，不能被读到ＵＳＢＫｅｙ外，也不能由外部生成写入ＵＳＢＫｅｙ内，登录时验证的是ＵＳＢＫｅｙ硬件信息，所以比文件数字证书更安全。

商业银行数字证书的申请和启用流程极为严格，如下图６所示就是申请招商银行个人网上银行文件数字证书的流程。

２．３国内数字签名技术的应用现状随着我国《电子签名法》的出台，人们对ＣＡ的认识已经得到普遍提高；尤其是在电子支付领域，账号加密码的直接支付模式将逐步被数字证书取代，从而大大缓解钓鱼网站和木马病毒所带来的网络交易安全威胁。

然而，我国的ＣＡ市场目前尚处于起步阶段，虽然政策上已推出ＣＡ机构注册资金３０００万元的门槛［４］，但整个ＣＡ市场行业规范仍未成熟。

例如，虽然我国在《电子签名法》中明确推荐使用第三方证书，但目前国内商业银行的数字证书无一不是银行自己发行的，且在各银行之间无法通用。

基于数字证书便民的宗旨，各ＣＡ机构的证书互通是必要的，就像现在的用户可以在每家银行提供的ＡＴＭ终端上支取现金一样，数字签名也应该在全国各地都有相同的权威效力。

事实上，目前各ＣＡ机构的证书之所以没有实现互通，其中原因并不在于技术，而在于市场和用户；或许，当每个人手里都有五六张不同的数字证书时，就会像现在人们手里拿着五六张银行卡一样觉得烦，那就是互通到来的时候了。

目前，数字证书尤其是个人数字证书的应用还没有得到全面推广，互通可能只会增加ＣＡ机构的运营成本。

３合理运用支付工具，确保资金结算安全３．１电子支付工具概述随着电子支付技术的不断发展，消费者在网上购物时可选择的电子支付工具已越来越多，目前用得比较多的是电子现金在线支付和银行卡在线支付。

很多网站都推出了联机存储式的电子现金，用户只要在该网站注册一个有效账号，就可以使用各种方式往该账号中充值并消费，如腾讯公司推出的Ｑ币就属于此类应用。

这种支付方式主要适合于小额交易，它的优点是使用灵活方便，支付时不用再通过银行转账，缺点是通常只适用于在某些网站上使用，流携带本人有效身份证件和招商银行卡到招商银行营业网点填写《招商银行网上个人银行证书申请表》，申请文件数字证书，获得授权码，用于证书启用。

进入个人网上银行专业版网页，启用文件数字证书（需提供授权码）。

约６０分钟后，在同一台电脑上登录即可获得文件数字证书，并可以在网上开始办理各项银行业务。