內容摘要:電子商務中的數字現金的安全問題是制約電子商務健康發展的瓶頸。本文分析了數字現金的安全性問題、如何防範犯罪分子利用數字現金的安全性問題進行網路犯罪以及強化某些安全問題的一些對策。
關鍵詞:數字現金 安全性 犯罪 對策
現代商務領域正在進行著巨大的變革,其中的電子商務正在成為人們關注和研究的焦點。電子商務就是利用計算機網路進行產品、服務和資訊的買賣。電子商務離不開資金的流動。如果我們是通過現代網路獲取商務資訊,而交易時卻使用傳統的銀行業務系統,即支付手段不能在網上進行,或網上支付不安全,這將會使支付成為電子商務發展的瓶頸。網上銀行及電子支付系統的建立與完善是電子商務健康發展的重要條件之一。
電子商務中的電子支付方式
電子支付相對於傳統支付來說,具有更加方便、快捷、高效、經濟等方面的優勢。這裡所說的“經濟”是指在進行電子支付時的費用低廉,例如,節省時間、減少紙張支票的處理費用。然而電子支付也同時帶來了新的風險,特別是安全問題,一直困擾電子支付發展。
電子支付的安全問題包括:完整地認證客戶,資訊完整地傳輸,無拒付的支付,有效的查帳機制,隱私權的保護,可靠的資訊服務等。雖然這些安全問題在傳統支付中也存在,但是因為電子資訊易於變更,而且交易物件也不謀面,所以電子支付使這些安全問題更加突出。
電子商務中典型的支付手段有電子信用卡、電子支票和電子現金(即數字現金)。前兩種支付手段在現今階段都可以比較安全地進行交易,數字現金的安全性和可靠性主要是依靠密碼技術來實現的,例如分割選擇技術、零知識證明、認證、盲數字簽名等(見後面詳細敘述)。但是前兩種支付手段都有一個很大的缺點,就是能給會計檢查留下蹤跡,即人們在交易後不能隱瞞將錢付給誰了,但是人們往往不願意將自己的財政事務處於別人的監督之下,希望有自己的`隱私權,即在支付完成雙方分手以後,接受的一方無法獲取支付的一方的任何身份資訊(稱之為匿名性),或是接受一方無法追蹤支付的一方(稱之為不可追蹤性),特別是在企業對消費者和企業對企業的電子商務中。數字現金能滿足人們的這一要求。數字現金是一種以數字形式存在而通過計算機網路流通的貨幣。數字現金中的“一張鈔票”實際上是一個加密的序列數。數字現金的基本流通模式如圖1所示。使用者從銀行提取電子現金;使用者向商家支付電子現金;商家將交易所得的電子現金存入銀行。
數字現金系統的安全性要求
數字現金可以被設計得具有匿名性,也可以被設計得具有不可追蹤性。它可以保證基於網路的商業隱私權和匿名權,特別是保護消費者的隱私權。
數字現金除了應滿足匿名性或不可跟蹤性的安全性要求外,還有其他的安全性要求。數字現金的不可被重複使用:數字現金被設計成一次性的,同一筆數字現金在用完後,不能再使用第二次,如果使用第二次,則這個數字現金會被檢驗出是“假鈔”,而且使用者的身份將會被暴露。
數字現金的獨立性:數字現金的工作環境是一個開放的系統平臺(因特網),在網路的任何地方、任一臺計算機中數字現金都應該是可用的而且安全的。數字現金的可傳遞性:數字現金要能夠非常容易地從一個人傳遞給另一個人(例如可以被饋贈),並且這種傳遞的資訊不能被跟蹤。
數字現金的安全儲存:數字現金能夠安全地儲存在客戶的計算機或Smart卡中,而且可以在網上方便地傳遞。
但是有效的數字現金系統的安全性要求,同時給犯罪分子提供了便利,尤其是匿名性和不可追蹤性這兩種性質在同一筆數字現金同時具有,則會給電子商務帶來極大的威脅。
例如:因為數字現金容易被複制,以致於複製的數字現金可以不留任何痕跡,使用者甚至還可以自己複製或偽造非法的數字現金以欺騙商家和銀行;使用者用於支付的數字現金額超出所提取的款額,即透支;使用者假冒他人,在未經他人同意的條件下,支取他人數字現金中的款項;使用者將某一非法組織的非法貿易資金通過數字現金的方式轉移到自己的賬戶,即洗錢;使用者利用數字現金的匿名性進行非法購買,如購買drug品等;使用者利用數字現金的可傳遞性而不被跟蹤的特點賄賂收人賄賂;犯罪分子利用某非法手段,如綁架等,迫使使用者從銀行提出數字現金,以不被跟蹤的方式將資金存入自己的數字現金賬戶或進行消費,即敲詐勒索;犯罪分子矇騙或迫使銀行執行數字現金的提款協議,即盜竊銀行;犯罪分子利用數字現金中的匿名性而偷稅漏稅等等。防範數字現金網路犯罪的措施
但是有些利用數字現金的網路犯罪是可以在數字現金的製作過程中被防範的:
E-Mint(發行數字現金的銀行,他可依據客戶所存款項向客戶兌換等值的數字現金,同時也將商家所收到的數字現金兌換等值的款項)需在它所發行的數字現金上做一個戳記。客戶購買數字現金時,通過他的計算機產生一個或多個64位元(或更長)的隨機二進位制數。銀行開啟客戶加密的信封,檢查並記錄這些數,並對這些二進位制數進行數字化簽字後再發送給客戶,經過簽字的每個二進位制數表示某一款額的數字現金。客戶可用這些數字現金向任一商家購物。商家把數字現金髮送給銀行,銀行核對其順序號,如果順序號正確,商家則得到款項。這樣的數字現金戳記將被儲存為“已用”。這樣,在產生數字現金時,可以防範數字現金被複制。
數字現金是由E-Mint的祕金鑰簽字的。接收者使用E-Mint的公鑰來解密數字現金。通過這種方式,可向接收者保證數字現金是由祕金鑰的擁有者,即經授權的E-Mint簽署的。為了使接收者獲得E-Mint的公鑰,E-Mint的X.509證書應被附加在數字現金中,或者E-Mint的公鑰應被公佈以防任何形式的欺詐。
數字現金傳送的安全性可通過加密來實現,其完整性可通過計算並嵌入一個加密的訊息摘要來加以保護。通過這種方式能夠保證數字現金在傳送期間不被篡改。為了可靠地傳送資料,端—端協議應允許對丟失的資料包進行恢復。恢復以後,終端結點應該能夠重新傳送資料包,而且應該避免接收者收到兩次。TCP/IP協議中有一些可靠性方面的考慮。
為了防止數字現金檔案丟失或被盜,使用者和銀行必須有一個安全的方法來儲存數字現金。如果所有的業務都是線上進行的,則當被盜的現金在使用時,可進行跟蹤並拒絕支付。解決這一問題的另一種方法是使用者持有存著數字現金的Smart卡。
為防範同一筆數字現金被複制或多次使用,使用者的身份識別在交易時應與授權銀行同時在聯機系統中出現。在聯機的清算系統中,用於支付的數字現金會被立即傳送到發行這個數字現金的E-Mint,然後對照記錄在案的已使用過的數字現金,確定這些現金是否有效。離線系統中防止重複花費數字現金的最重要的方法是公鑰密碼技術。主要有兩種:在數字現金中嵌入使用者的身份資訊,必要時可以讀取。而身份資訊的嵌入方法是分割選擇技術,即使用者產生p個密封的貨幣,傳送給銀行,銀行開啟其中的p-1個並檢查其有效性,如果有效,銀行則為剩餘的一個未開啟的密封的數字現金簽字(即盲簽字),使用者則用這個簽過字的數字現金去購物。這樣銀行不會知道使用者將錢用於何處,商家也不會知道使用者的祕密資訊。在數字