電子商取引の核となる問題は決済であり、決済の核となる問題はセキュリティです。したがって、セキュリティはより大きな分野での全体的な発展の問題です。米国インターネット犯罪苦情センターは、ハッカーがさまざまな違法手段を使ってオンライン・バンキングの顧客口座を盗み、米国の銀行顧客が損失を被るケースが増えていると指摘しています。
インターネットは人々の生活の別次元になりつつあると言えます。インターネットの歴史はそれほど長くはありませんが、ネットワークセキュリティの問題は長い間人々を悩ませ、ハッカーの影は幽霊のようにインターネットに残っています。人類がオンラインショッピングを実現し、大胆にお金を振り込んでオンラインで買い物の支払いをするようになったとき、オンライン決済のセキュリティは人々の心の一部となりました。オンラインショッピングはもともとただの電車で、何度かスピードアップして高速鉄道になった時、ブレーキシステムの柔軟性と有効性を確保しなければ、高速鉄道は破滅と憂鬱の奈落の底に突入する可能性が高いです。
オンライン決済セキュリティの現状は?その仕組みは?また、外部からの悪質な侵害に効果的に対抗し、国民の財産安全を守るという重要な任務を担うことができるのでしょうか?
支払いセキュリティ要件
電子商取引の核となる問題は決済であり、決済の核となる問題はセキュリティです。したがって、セキュリティはより大きな分野での総合的な発展の問題です。しかし、電子商取引が発展していく過程で、決済のセキュリティが開発のボトルネックになったことがありました。
オンライン決済のセキュリティの問題は、インターネット自体がオープンであることに起因しており、現在のネットワーク技術の発展の限界もあって、この問題はまだ完全には解決されていません。現在、オンライン決済の一般的な方法は、利用者がブラウザを通じて決済に必要な認証情報を入力し、利用者が保有する銀行カードの発行銀行の認証と認可を経て、引き落としによりオンライン決済が完了するというものだと思われます。オンライン決済のセキュリティ問題は、このような決済プロセスにおいて、主にIPパケットの傍受、データの改ざんや偽造、リンクの偽造、データストリームの分析、重要な情報を傍受する不正な盗聴など、外部からのネットワークやウェブサーバーへの攻撃という形で発生します。したがって、決済リスクは主に、明白な理由なく決済が中断されること、本人確認が困難なこと、不可解な決済情報の偽造、改ざん、漏洩、拒否に反映されます。したがって、このような現実的な要求から、オンライン決済が安全に行われるためには、ユーザーごとに異なるニーズをもたらすことができる一連の安全なインフラを確立する必要があります。
安全」という言葉にふさわしいオンライン決済環境とはどのようなものでしょうか。
現実の世界では、IDカード、軍人証、学生証などが個人の身元を確認できるツールです。オンライン取引の場合、取引の両当事者が直接会うことができないため、両当事者が互いの身元を確認できることがさらに必要となり、確認が成功すると取引が開始されます。つまり、認証とは、ユーザー、マシン、ノードなど、主張されたIDや役割が本物かどうかを確認するプロセスです。したがって、セキュリティが最初に備えるべきは「本人認証」です。
銀行口座情報などのオンライン取引データは、取引の両当事者にとって非常に重要です。データを保護することは、ユーザーのお金を保護することと同じです。現在、銀行カードのような機密情報には暗号化が使用されており、データを傍受されたり盗まれたりしても、実際の内容は脅威から守られています。したがって、データの機密性はセキュリティの中核をなす要素です。
支払の過程で「Aへ1000元振込」と書かれた手形を途中で横取りされ、「Bへ1000元振込」と情報を書き換えられて銀行に行き、銀行がそれを特定できなければ、Aに支払われるはずの1000元がBの口座に流れ込んでしまいます。これは情報の不完全性が原因です。これは情報の不完全性に起因するもので、オープンな公衆ネットワーク上で決済情報が改ざんされると、情報の完全性・正当性が損なわれます。
否認防止を保証することは、オンライン決済のセキュリティにとって重要な要件です。電子化時代には、手書きの署名や印鑑による証言の歴史は、次第に歴史の舞台から退場することになるでしょう。むしろ、取引情報の伝送中に取引に関与する個人と企業に信頼できる識別を提供し、決済情報の内容と伝送、および情報の主体を否認不能にすることが必要です。
支払いセキュリティ
インターネット・ユーザーの決済セキュリティのために、裏方のヒーローとして活躍しているのはいったい誰なのでしょうか?主な技術メンバーは暗号と認証です。
暗号化とは、情報を暗号化する技術のことで、オンライン決済で採用されている主なセキュリティ技術です。基本的な考え方は、本当のコンテンツDを平文Cに置き換えるなど、本当のコンテンツを偽装された平文に置き換えることです。しかし、復号化には、ユーザが鍵を保持し、元のデータを復元する必要があります。通常、暗号方式には共通鍵方式と公開鍵方式があります。共通鍵暗号方式とは、暗号化鍵と復号鍵が同じか異なるが、一方が他方から容易に導出できるアルゴリズムを指します。公開鍵暗号方式とは、暗号化鍵と復号鍵を秘密通信に使用できる方式。暗号化キーと復号キーは異なり、暗号化キーは公開され、復号キーは復号者のみが知っています。暗号技術は、潜在的に安全でない環境における通信と保存データのセキュリティを確保し、情報漏洩を回避し、認証技術の基礎となり、情報セキュリティの中核技術となります。
公開鍵技術により、認証、データの完全性、データの機密性、否認防止といったニーズを満たすことが可能になりました。しかし、完全性の保護なしに公開鍵を配布すると、これらのセキュリティ・サービスが弱くなるため、公開鍵や公開鍵に関連するその他の情報が密かに改ざんされないことを保証する仕組みを提供する必要があり、デジタル証明書が登場しました。デジタル証明書の技術には、メッセージダイジェスト、デジタル署名技術、デジタルタイムスタンプなどがあります。このうち、電子署名は、ネットワークの仮想環境において、利用者の身元を確認することができ、現実の「手書きの署名」を完全に置き換えることができ、法的な保証をすることができます。デジタル署名技術は、現在でも主にデジタル証明書やトランザクションの通信プロセスで使用されています。
セキュリティ保証として登場し、存在する認証技術の最も重要な枝の1つは、CA認証、すなわち認証局(認証センターを意味します)です。オンラインショッピングでは、デジタル証明書の発行やデジタルタイムスタンプサービスであるかどうかにかかわらず、権限と公平性を持つ第三者が完了する必要があるためです。 CAは、通常、独自の登録監査システムを介して、証明書アプリケーションのユーザーの身元およびすべての関連情報を確認する企業運営であるため、オンライン取引のユーザー属性の客観的な信頼性と証明書の信憑性は一貫しています。
暗号と認証のレイヤーが整ったら、標準を標準化するために業界で認められたプロトコルが必要です。現在、安全なオンライン決済に広く採用されているプロトコルは、SSL(Secure Socket Layer)プロトコルとSET(Secure Electronic Transaction)プロトコルの2つです。SSLはNetscape社が導入したもので、クレジットカードや個人情報を強力に保護します。一方、SETはMasterCardやVISAをはじめとする大手ベンダーが導入したもので、公共ネットワーク上でのカード取引のセキュリティを確保します。一方、公開鍵基盤(Public Key Infrastructure)は、公開鍵暗号化と電子署名のサービスを提供し、鍵を保有するユーザーの身元を確認するための統合システムです。
距離のあるCFCA
