网络购物中隐私安全机制的技术分析
王洪艳 孙文旭
大连财经学院 辽宁大连 116622
教育部立项项目:基于应用型人才培养的管理类专业计算机教学模式探索 2014教育部高等学校文科计算机基础教学指导分委员会文科大学计算机教学改革项目 项目编号:2014-B001
摘要:随着电子商务的迅速发展,网络购物已逐渐融入人们的日常生活中,它在给人们带来便利的同时,也存在着严重的安全隐患与风险。本文在分析当前网络购物环境的基础上,阐述了网络购物中存在的隐私泄露风险,并提出了保护用户隐私的安全防护对策。
关键词:网络购物;隐私权;隐私泄露;防护技术
一、引言
在电子商务飞速发展的今天,各种便捷的移动支付渠道,客观上为消费者进行网络购物提供了可能。网络购物作为一种新兴的购物方式,凭借着网络技术的优点倍受消费者的青睐,逐渐成为中国消费者购物的首选,足不出户即可包罗万象,极大地方便了人们的生活。
但是,网络购物是一把双刃剑,它在给消费者提供便利的同时,也带来一些亟待解决的安全问题。在电子商务飞速发展的今天,其暴露出来的隐私保护问题也愈发明显, 消费者隐私信息被公开、个人数据资料未经授权被利用等违法行为屡禁不止,使人们在网络购物的过程中,与传统购物相比,地域性、虚拟性等原因,使彼此少了面对面的交流,一些人便利用信息技术制作木马病毒,在他人进行网络交易时,盗取个人隐私,获取利益,使得网购存在很大的安全隐患,同时也让消费者对网络购物产生信任危机。如何维护消费者隐私权益、尽可能降低网络购物对社会和个人安全造成的隐患和风险,是本文要探讨的主要问题。
二、泄露用户隐私的主要渠道
(一)浏览网站时泄露隐私信息
用户打开浏览器,输入相关网络购物网址,便进入一个既真实又虚幻的世界,在城市最繁华的地方,玲琅满目的商品映入眼帘:品牌店、个性小店,服装、化妆品、家用电器、食品保健品等生活日用品装饰着商场,更不断以眼花療乱的宣传图片吸引着消费者。当用户抵挡不住诱惑,对心仪商品的图片按下鼠标键准备进行详细了解的同时,个人信息己经被经营者记录下来,商家会通过消费者的兴趣、爱好来分析用户的职业特性、生活习惯等等,然后对该用户进行骚扰,很大程度上给消费者带来困扰。
(二)申请会员时泄露隐私信息
在网上浏览商品时,若看中心仪物品,通过简单操作就可以轻松下单,货品送上门前。但是,前提是用户必须为该网站会员,才可进行下一步的操作。由于注册会员是免费的,所以为了日后购物方便,大多数消费者很愿意成为会员。申请成为会员的程序简易,但却陷阱重重,在同意签署协议后,消费者还需要账户验证,通常需要填写电话号码或邮箱地址,而且消费者提供的资料必须是真实的。就这样,消费者无形中已经与网站绑定了相互关系,每一次登录网站进行购物消费,网站经营者可以利用消费者账号记录信息收集数据,默默地吞噬用户的隐私信息,不定期的通过联系方式给消费者发促销信息,增加了垃圾邮件、垃圾短信的数量,给消费者带来困扰,严重影响了消费者的日常生活。
(三)订单生成时泄露隐私信息
浏览网络商品的每一位用户,都会被色彩斑斓的图片所吸引,忍不住按下购买按钮。当完成用户登录、商品确认、支付等环节后,还会进入确认订单页面。在此页面中,需要确认收货人姓名、联系电话、配送地址等信息,以保证商品安全送到用户手上。这看似便捷的配送方式,实际上也是泄露用户隐私的一个细节。用户为了收到货品,不得不填写真实的个人信息、地址及可以联络电话号码,卖家或者网站经营者便可利用消费者提供的信息,形成信息库, 运用高端的网络技术,进行有目的开发利用,甚至将用户的动态信息有偿提供给商业公司,从中谋取非法利益,使消费者的隐私权受到侵害。
(四)物流配送时泄露隐私信息
当消费者在网上完成购物,坐等货品送上门的时候,往往忽略了货品配送时泄露个人隐私的细节。如今,如雨后春梦般涌现的物流快递公司,如EMS特快专递、韵达快递、顺丰速运等物流企业都会与购物网站建立合作关系。当消费者完成网上支付后,必须使用网站所指定的物流公司,而且还需要留下真实的联系方式,这又迫使消费者不得不再一次把个人信息主动送上。由于物流快递企业的流动性强, 岗前培训实行难度大,从业人员多且复杂,造成了个别派送人员缺乏职业道德。一旦他们将那些涉及到个人不便公开的隐私不慎泄露,就会给用户带来负面影响,甚至涉及到财产安全或人身安全等问题。
三. 保护网购用户隐私的技术分析
为了保护消费者隐私权,保障经济利益,在网络购物环境中安全行使消费行为,赢得网络世界对隐私数据的尊重,消费者迫切需要全社会共同做好隐私安全防护工作。隐私安全,不是只有网络消费者才能享受到的权利,而且关乎每一位公民应该拥有的权利。因此掌握必要的安全技术,构建有效的防护体系至关重要。目前,我国釆用的技术防护措施有:P3P协议、k-匿名技术、虚拟专用网VPN、SSL加密技术 、PKI技术、GIS跟踪技术等技术。
(一)P3P协议
P3P (Platform for Privacy Preferences),是万维网联盟(W3C)公布的一项隐私保护策略,主要为网络使用者提供个人信息保护的技术手段, P3P软件的主动权属于消费者,消费者有权查看该网站的隐私报告,自行决定是否接受Cookies或是否进入该网站浏览,降低网络使用者对于信息被收集而引发侵权事件的担忧,从而提高消费者对于网络购物行为的信任度,搭建消费者与企业之间的良好互信桥梁。
(二)k-匿名技术2
k-匿名技术,要求技术对发布的数据在数量上有一定要求(至少为k),这里的参数k是指用户可承受的最大信息泄露风险的程度,并且在准标识符上的记录是不可区分的,当消费者在浏览网页、查看图片时,运用k-匿名技术,全域泛化地保护隐私,攻击者便很难判别出消费者购物隐私信息的具体属性,从而保护了个人隐私不被窃取和破坏,这在一定程度上,对隐私保护提供了有力的保障。
(三)虚拟专用网VPN
VPN (Virtual Private Network)是以身份认证、数据加密和密钥交换技术为基础,在公共的网络基础之上建立起来的安全专用隧道网络3。通过采用加解密技术、隧道技术、密钥管理技术和身份认证技术来提供防火墙、加密、认证和隧道化功能,保证那些经常上网购物的会员用户个人信息不被侵犯、盗用,从而大大提高了消费者隐私安全防护水平。VPN具有服务质量保证、可扩充性、安全保障和可管理性、灵活性四个技术特点,大大提高了消费者对网络购物的可信度。使用虚拟专用网VPN,可为经营者降低运营成本,提高经济效益;也可为消费者消除隐私侵犯忧虑,从而增强隐私保护信心。
(四)SSL加密技术
SSL (Security Socket Layer),是在网络环境下避免交易信息在通信过程中被栏截、窃取、伪造及破坏,为交易双方提供最基本的点对点通信安全协议。如今,SSL加密技术主要用于鉴别网站和浏览者身份,以及购物订单生成时的准确认证。在浏览器及服务器之间进行加密通讯,以电子商务类大型网上交易系统为例,普遍采用SSL加密认证的方式,在服务器端通常采用支持SSL认证的服务器,而终端用户则釆用支持SSL认证的浏览器来实现安全通信,避免通信信息的非法利用。
(五)PKI技术
PKI ( Public Key Infrastructure),是在公钥密码技术和理论的基础上发展起来的一种综合性安全平台,能够为所有网络应用提供透明的数字加密和签名等密码服务所必需的密钥管理,从而保证在订单生成时传递信息的安全、完整、真实和不可抵赖性。PKI技术有利于在虚拟的互联网中营造一个安全可信的世界,使各方利益都能够相互确认身份及交换信息,使消费者能安心体验畅享服务的乐趣,经营者也能提高顾客忠诚度以及诱人的经济利润。PKI技术发展前景可佳,其积极作用也还有待开发。
(六) GIS跟踪技术
GIS(Geographical Information System,地理信息系统)主要用于商品运输车辆的自定位、跟踪调度,利用GIS强大的地理数据功能来完善物流分析技术,解决物流配送路线优化问题[4]。由于现代物流具有信息量极大及复杂性的特点, 个人隐私泄密、篡改、非法贩卖等问题屡禁不止,用户的身份也容易被侵犯、盗用,因此利用GIS强大的数据处理能力和空间分析功能来提高配送决策的效率。完善的GIS物流配送分析系统,基于Web-GIS的可视化物流配送信息平台技术已经得到应用5,将WebGIS应用于商品物流配送管理,可建立一套集库存监控、货物分类配载、运输路径安排、车辆实时监控等功能于一体,为不同客户提供相关查询、浏览、分析等功能的可视化物流配送信息平台,在保护个人信息不被侵犯的过程中起到了有效的防范作用。
虽然我国采用的技术策略还在摸索中前行, 基本处于起步阶段,但我国关于物联网个人隐私保护措施的各方面技术在隐私保护方面起到了积极作用。为保护用户隐私,适应时代潮流, 制定多条有利政策, 开启新的保护模式,以符合用户需求,体现了我国致力保护网络消费者隐私的坚决态度与实际行动。
四.结语
一个国家的发展水平,不仅看重于经济层面,也要关注人民日常生活层面。尽管一些密码技术在流程上受到国家有关政策的管控,但作为信息安全技术,需要公开透明信息安全和研究才能提升密码强度的保护力度。然而,由于我国电子商务正处于发展阶段,网络购物中的隐私保护问题已对消费者乃至全社会构成了严重威胁,因此,网络隐私权的保护成为社会发展的迫切需要,必须引起高度重视,这关乎消费者的隐私权益问题,关乎网络世界的和谐安稳,更与国家经济建设、道德建设发展问题密不可分。
参考文献
[1]徐嘉靖.电子商务中用户隐私保护策略研究.广东工业大学硕士学位论文.2014
[2]刘坚.K-匿名隐私保护问题的研究[D];东华大学,2010.
[3]贾铁军.《网络安全使用技术》[M],北京:清华大学出版社,2013
