电子商务的核心问题是支付,而支付的核心问题是安全。因此,安全关乎的是一个较大领域的整体发展问题。美国互联网犯罪投诉中心指出,黑客利用各种非法手段窃取网上银行客户账号,使越来越多的美国银行客户蒙受损失。
可以说,网络正在成为人们生活的另一度空间。尽管人类互联网的历史并不长,但网络安全的问题却曾经困扰了人们很久,黑客的阴影像幽灵般于网际挥之不去。当人类已经实现网络购物,并大胆地在网上转账支付购买时,网络支付的安全问题更成了人们的一块心病。网络购物原本只是一列普快,当数次提速如今晋身为高铁时,若不保证制动系统的灵活有效,高铁很有可能会冲进万劫不复的深渊。
究竟,网络支付安全领域目前的发展状况如何?它是如何工作的?又能否有效抵御外界的恶意侵犯,担当起保卫人民群众财产安全的重任呢?
支付安全需求
电子商务的核心问题是支付,而支付的核心问题是安全。因此,安全关乎的是一个较大领域的整体发展问题。然而,在电子商务的发展过程中,曾一度因支付的安全问题而遭遇到发展的瓶颈。
网上支付安全问题源于互联网自身的开放属性,而目前网络技术发展的局限性促使这一问题仍未得到彻底解决。目前看来,网上支付比较常见的方式是用户通过浏览器输入必要的支付认证信息,经过用户所持银行卡的发卡行认证授权后扣款完成在线支付。网络支付安全问题就发生在这样一个支付过程中,主要表现为来自外部的对网络和网络服务器的攻击,包括通过截获IP包,更改和伪造数据、伪造链接,或者通过分析数据流、非法窃听来截获重要信息。据此,支付风险主要体现在支付被无故中断、身份难以识别、支付信息被莫名伪造、篡改、泄漏和抵赖。因此,从这样的现实需求出发,网上支付要安全地进行,就必须要建立起一套安全的基础设施,能够为不同的用户带来不同的需求。
一个怎样的网上支付环境可以当“安全”二字而无愧呢?
现实生活中,身份证、军人证、学生证等都是可以确保个人身份的工具。而网上交易,交易双方无法碰面,更加需要交易双方能够确认对方的身份,确认一旦成功,交易才会展开。简而言之,认证就是证实一个声称的身份或角色,如用户、机器、节点等是否真实的过程。因此,安全首先应当具备的是“身份的可认证性”。
网上交易数据,如银行账户信息等对交易双方至关重要。保护数据就等于保护用户的金钱。目前对于类银行卡数据这样的敏感信息采取的是加密的手段,即便数据被截获或窃取,真实内容仍会被保护起来,不受威胁。因此,数据的机密性是安全的核心内容。
在支付的过程中,一笔写有“划入A 1000元”的单子被途中截获,信息篡改成“划入B1000”后走到银行,银行若对此无法识别,本应支付给A的1000元便会流入B的账户中。这是信息的不完整性造成的,在开放的公网上支付信息遭遇被篡改,信息的完整性和有效性被破坏。
保证不可抵赖性是网上支付安全的一个重要需求。电子化时代,手写签名和印章作证的历史将逐步退出历史舞台。而是必须要在交易信息的传输过程中为参与交易的个人、企业提供可靠的标识,使得对支付信息的内容及传输,信息主体不可抵赖。
支付安全正解
面对来自各方面的安全威胁,手无寸铁的互联网网民是不是就该束手待毙,望网购而兴叹呢?当然不是,目前,国内外部分厂商和专家已给出了相应的解决办法,并基本上满足了人们的互联网支付需求。这十多年来电子商务逐年看涨、形势大好就是明证。
究竟是谁在充当着幕后英雄,为网民的支付安全尽职尽责呢?主要的技术成员有密码技术和认证技术。
密码技术指的是给信息进行加密的技术,它是网上支付活动中采取的主要安全技术手段。其基本思想是用伪装明文替换真实内容,如用明文C替换真实内容D,这种替换的操作过程即为加密。然而解密需要用户持有密钥才可以完成,及恢复数据原貌。通常密码体制由对称密钥体制和公开密钥体制两大类组成。对称密码体制指的是加密密钥和解密密钥相同,或者虽不同,但很容易由其中一个推出另一个的算法。公钥密码体制指的是加密密钥和解密密钥可进行保密通信。加密密钥与解密密钥不同,加密密钥公之于众;解密密钥只有解密人自己知道。密码技术因其可以在潜在的不安全环境中保证通信及存储数据的安全,避免信息泄漏而成为认证技术的基础,亦是信息安全的核心技术。
公钥技术使得身份认证、数据完整性、数据保密性、不可否认性的需求得以实现。然而,没有完整性保护措施就分发公钥会削弱这些安全服务,因此必须提供一种机制来保证公钥以及与公钥相关的其他信息不被偷偷篡改,因此数字证书就有了用武之地。数字证书技术包括消息摘要、数字签名技术、数字时间戳。其中,数字签名可以使得用户在网络的虚拟环境中可以确认身份,可以完全替代现实生活中的“亲笔签名”,且在法律上有保证。数字签名技术主要还是应用在数字证书和交易通信过程中。
认证技术作为安全保障而出现和存在,其重要的一个分支就是CA认证。CA即Certification Authority,意为认证中心。因为在网上展开购物时,无论是数字证书的发放还是数字时间戳的服务,都需要有一个具有权威性和公正性的第三方来完成。 CA通常是企业化运作,通过自身的注册审核体系,核实证书申请的用户身份和各项相关信息,使网上交易用户属性的客观真实性与证书的真实性一致。CA中心对网上交易活动中的数据加密、数据签名、数据完整性所需的密钥和认证实施统一集中管理。
密码技术层和认证技术层搭建好了以后,尚需要一份业界都认可的协议,来统一标准。目前,有两种安全在线支付协议被广泛采用,即安全套接层 (Secure Sockets Layer,SSL)协议和安全电子交易(Secure Electronic Transaction,SET)协议。二者均较成熟与使用。SSL协议由网景(Netscape)公司推出,对信用卡和个人信息提供较强保护。SET协议是由MasterCard和VISA及其他主流厂商推出,用来保证在公共网络上银行卡交易支付的安全性。而公钥基础设施(Public Key Infrastructure,PKI)则提供公钥加密和数字签名的服务,是一种验证持有密钥的用户身份的综合系统。
远虑的CFCA
我国的CA历史最早可追溯到1997年底,中国电信开始在长沙进行电子商务试点工作,这其中便涉及到CA的职能。1998年9月,为解决中国电子商务网上交易和网上支付的安全问题,由中国人民银行牵头组织全国12家商业银行联合建立我国金融行业统一的第三方安全认证机构——中国金融认证中心 (China Financial Certification Authority,简称CFCA)。1999年8月,中国电信CTCA获批面世,成为首家在公网上运营的CA安全认证系统。2000年6月29日 CFCA(中国金融认证中心)在京正式挂牌成立。旗下业务有两大块儿内容:SET CA和Non-SET CA。两套系统均于2000年通过了国家密码管理委员会和人民银行支付科技司联合主持的密码产品本地化工作的安全检查并开始对社会各界提供证书服务。 2004年宣布正式对接市场的CFCA坚持把眼界放宽、把心量放大、把姿态放低,勤恳于市场的耕作,专门为各类用户提供包括电子商务、网上银行、网上证券交易、支付系统和管理信息系统在内的金融认证服务,为参与网上交易的各方提供安全基础,建立信任。始于2004年12月由CFCA牵头十多家商业银行发起的“放心安全用网银联合宣传年”活动积极推动了网上银行的发展。据2006年7月的数据统计,CFCA数字证书发放突破100万张。去年3月,CFCA处传来喜讯,其“统一的电子商务安全网上支付平台”项目通过中国人民银行验收。这也意味着CFCA将向纵深化、专业化目标迈出了坚实的一步。
然而目前,我国的网上支付安全市场仍然存在着严峻的问题。从用户的角度来看,国民普遍对网上支付安全以及数字证书认证机构丝毫不知,市场缺了用户这一大块儿的信任与支持。从银行的角度来看,包括国内最大的商业银行中国工商银行在内的数十家银行自行制定支付安全认证证书,既当裁判员又当运动员,这样的游戏只有用户输的份儿。从支付安全企业来看,其与国际接轨、为世界所认可尚需时日。