列印機版本

網絡犯罪 – 真假網站（二）

探討網上交易保安技術

現時，運用在網上交易的保安技術主要有兩種，分別為保密插口層 （Secured Socket Layer, SSL）和安全電子交易 （Secure Electronic Transaction, SET）。事實上，當今絕大部分提供網上交易的網站，至少都已經採用了SSL這種保安技術。而雖然SET配合了電子證書認證的環節，在保安程度上亦比SSL優勝，但由於使用上的複雜性，SET 至現今還未被用戶廣泛接受。此外，最近推出“Visa 驗證”（Verified by VISA）服務也開始引起業界的注意。

· 甚麼是“保密插口層”（Secured Socket Layer, SSL）?

SSL是一種由Netscape首先發表的安全通訊協定。透過這個協定，網絡上的數據傳輸會按照認證的種類（40位元、128位元、1024位元）進行不同程度的加密，更會檢查資料的完整性，以防止資料被截取及竄改過。以澳門電訊提供的寬頻網頁電郵 為例，由於該網站採用了SSL安全通訊協定，在登入後，用戶即可瀏覽器的右下角發現一個『金鎖』的圖案。圖示如下:

注意: 用戶必須啟用狀態列，才能看到『金鎖』的圖案。要啟用狀態列，先要按一下 Internet Explorer工具列的 [檢視]，再剔選 [狀態列]。

點擊該『金鎖』的圖案兩次，就可以檢視到有關的資訊。圖示如下:

從技術層面來說，該技術應用了一種所謂『金鑰』的加密技術。當網上交易進行時，伺服器會將一個私人金鑰 （Private Key） 傳送到用戶端的瀏覽器，而瀏覽器也會將自己的公開金鑰（Public Key）傳送給伺服器。伺服器會將用該公開金鑰把傳輸給瀏覽器的資料加密，而用戶端的瀏覽器則會用私人金鑰把接收到的資料解密。所以，即使這些加密了資料在傳輸過程中被竊取，由於沒有金鑰來解碼，就不能取到資料真正內容。『金鑰』的位元數愈長則愈難被破解，安全程度亦愈高。

但是，SSL 亦不是一個十全十美的解決方案，因為它根本不能判斷用戶的身分，例如不少透過信用咭交易的網上商店，只要求用戶輸入正確的信用咭號碼、地址等資料即可，但由於使用複雜性低，SSL 仍最為網上商店及網上銀行所採用。

· 甚麼是“安全電子交易” （Secure Electronic Transaction, SET）?

SET 是由VISA和MasterCard兩大信用卡公司於1997 年5 月聯合制訂的標準，主要是為了解決用戶、商家和銀行之間，通過信用卡支付的交易而設計，用以保證支付信息的保密性、支付過程的完整性、商戶及持卡人身份的合法性、以及可操作性。和 SSL 不同，它不僅加密了伺服器和瀏覽器間的對話，還會對認證三方間的多個訊息進行加密。SET中的核心技術主要有公開密匙加密、電子數位簽章、電子信封和電子安全證書等。

· 甚麼是“VISA 驗證” （Verified by VISA）?

它是一個由VISA公司提供，用於網上交易的服務，憑藉由用戶所提供的識別資料及密碼，核實VISA信用卡持有人身份，藉此減少假冒VISA持咭人的網上購物事件，增強用戶使用信用卡進行網上購物信心，從而降低他們對網上購物的恐懼。
該項服務採用了全球互通付款的“３D安全協定”（3-Domain Secure Protocol），持卡人在使用前首先要完成一個簡單的註冊手續以取得個人密碼，其後，用戶跟參與了該服務的網上商店購物時，應用界面便會主動要求該持卡人輸入密碼，當密碼一經核實，發卡銀行才會授權進行網上交易，整個過程僅需數秒鐘而己。在整個交易過程中，持卡人個人數據的傳輸也受到嚴密保護。中國建設銀行、中國銀行和招商銀行都已率先在中國國內推出了“VISA 驗證”的服務。點擊這裡可以取得更多關於“VISA 驗證”的資訊。