網(wǎng)絡(luò)支付的護(hù)身符

電子商務(wù)的核心問題是支付，而支付的核心問題是安全。因此，安全關(guān)乎的是一個較大領(lǐng)域的整體發(fā)展問題。

去年5月16日，美國互聯(lián)網(wǎng)犯罪投訴中心指出，黑客利用各種非法手段竊取網(wǎng)上銀行客戶賬號，使越來越多的美國銀行客戶蒙受損失。2009年，美國銀行客戶因網(wǎng)上賬號被盜而遭受的經(jīng)濟(jì)損失高達(dá)5.59億美元；而2008年，這一數(shù)字為2.68億美元。該中心告誡用戶，只靠設(shè)置用戶名和密碼已不能有效防范黑客入侵。

而于三年前發(fā)生的那起“真假工行”事件，至今還讓許多受害者心有余悸。2006年4月，部分工行用戶收到郵件，稱“工行于2006年4月22日對電子銀行系統(tǒng)進(jìn)行升級，系統(tǒng)升級后，網(wǎng)上銀行的注冊用戶需自行登錄網(wǎng)上銀行一次，以便認(rèn)證您的網(wǎng)上支付資格”。細(xì)心的用戶發(fā)現(xiàn)，發(fā)件人的郵箱cwebmaster@icbc.com.cn僅比平時的工行郵箱開頭多了一個字母“c”。而釣魚網(wǎng)站mybank.icbc.com.cn引誘用戶在此登錄，通過真實的登錄信息來盜取用戶卡上的現(xiàn)金。

可以說，網(wǎng)絡(luò)正在成為人們生活的另一度空間。盡管人類互聯(lián)網(wǎng)的歷史并不長，但網(wǎng)絡(luò)安全的問題卻曾經(jīng)困擾了人們很久，黑客的陰影像幽靈般于網(wǎng)際揮之不去。當(dāng)人類已經(jīng)實現(xiàn)網(wǎng)絡(luò)購物，并大膽地在網(wǎng)上轉(zhuǎn)賬支付購買時，網(wǎng)絡(luò)支付的安全問題更成了人們的一塊心病。網(wǎng)絡(luò)購物原本只是一列普快，當(dāng)數(shù)次提速如今晉身為高鐵時，若不保證制動系統(tǒng)的靈活有效，高鐵很有可能會沖進(jìn)萬劫不復(fù)的深淵。

究竟，網(wǎng)絡(luò)支付安全領(lǐng)域目前的發(fā)展?fàn)顩r如何？它是如何工作的？又能否有效抵御外界的惡意侵犯，擔(dān)當(dāng)起保衛(wèi)人民群眾財產(chǎn)安全的重任呢？

支付安全需求

電子商務(wù)的核心問題是支付，而支付的核心問題是安全。因此，安全關(guān)乎的是一個較大領(lǐng)域的整體發(fā)展問題。然而，在電子商務(wù)的發(fā)展過程中，曾一度因支付的安全問題而遭遇到發(fā)展的瓶頸。

網(wǎng)上支付安全問題源于互聯(lián)網(wǎng)自身的開放屬性，而目前網(wǎng)絡(luò)技術(shù)發(fā)展的局限性促使這一問題仍未得到徹底解決。目前看來，網(wǎng)上支付比較常見的方式是用戶通過瀏覽器輸入必要的支付認(rèn)證信息，經(jīng)過用戶所持銀行卡的發(fā)卡行認(rèn)證授權(quán)后扣款完成在線支付。網(wǎng)絡(luò)支付安全問題就發(fā)生在這樣一個支付過程中，主要表現(xiàn)為來自外部的對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)器的攻擊，包括通過截獲IP包，更改和偽造數(shù)據(jù)、偽造鏈接，或者通過分析數(shù)據(jù)流、非法竊聽來截獲重要信息。據(jù)此，支付風(fēng)險主要體現(xiàn)在支付被無故中斷、身份難以識別、支付信息被莫名偽造、篡改、泄漏和抵賴。因此，從這樣的現(xiàn)實需求出發(fā)，網(wǎng)上支付要安全地進(jìn)行，就必須要建立起一套安全的基礎(chǔ)設(shè)施，能夠為不同的用戶帶來不同的需求。

一個怎樣的網(wǎng)上支付環(huán)境可以當(dāng)“安全”二字而無愧呢？

現(xiàn)實生活中，身份證、軍人證、學(xué)生證等都是可以確保個人身份的工具。而網(wǎng)上交易，交易雙方無法碰面，更加需要交易雙方能夠確認(rèn)對方的身份，確認(rèn)一旦成功，交易才會展開。簡而言之，認(rèn)證就是證實一個聲稱的身份或角色，如用戶、機(jī)器、節(jié)點等是否真實的過程。因此，安全首先應(yīng)當(dāng)具備的是“身份的可認(rèn)證性”。

網(wǎng)上交易數(shù)據(jù)，如銀行賬戶信息等對交易雙方至關(guān)重要。保護(hù)數(shù)據(jù)就等于保護(hù)用戶的金錢。目前對于類銀行卡數(shù)據(jù)這樣的敏感信息采取的是加密的手段，即便數(shù)據(jù)被截獲或竊取，真實內(nèi)容仍會被保護(hù)起來，不受威脅。因此，數(shù)據(jù)的機(jī)密性是安全的核心內(nèi)容。

在支付的過程中，一筆寫有“劃入A 1000元”的單子被途中截獲，信息篡改成“劃入B1000”后走到銀行，銀行若對此無法識別，本應(yīng)支付給A的1000元便會流入B的賬戶中。這是信息的不完整性造成的，在開放的公網(wǎng)上支付信息遭遇被篡改，信息的完整性和有效性被破壞。

保證不可抵賴性是網(wǎng)上支付安全的一個重要需求。電子化時代，手寫簽名和印章作證的歷史將逐步退出歷史舞臺。而是必須要在交易信息的傳輸過程中為參與交易的個人、企業(yè)提供可靠的標(biāo)識，使得對支付信息的內(nèi)容及傳輸，信息主體不可抵賴。

支付安全正解

面對來自各方面的安全威脅，手無寸鐵的互聯(lián)網(wǎng)網(wǎng)民是不是就該束手待斃，望網(wǎng)購而興嘆呢？當(dāng)然不是，目前，國內(nèi)外部分廠商和專家已給出了相應(yīng)的解決辦法，并基本上滿足了人們的互聯(lián)網(wǎng)支付需求。這十多年來電子商務(wù)逐年看漲、形勢大好就是明證。

究竟是誰在充當(dāng)著幕后英雄，為網(wǎng)民的支付安全盡職盡責(zé)呢？主要的技術(shù)成員有密碼技術(shù)和認(rèn)證技術(shù)。

密碼技術(shù)指的是給信息進(jìn)行加密的技術(shù)，它是網(wǎng)上支付活動中采取的主要安全技術(shù)手段。其基本思想是用偽裝明文替換真實內(nèi)容，如用明文C替換真實內(nèi)容D，這種替換的操作過程即為加密。然而解密需要用戶持有密鑰才可以完成，及恢復(fù)數(shù)據(jù)原貌。通常密碼體制由對稱密鑰體制和公開密鑰體制兩大類組成。對稱密碼體制指的是加密密鑰和解密密鑰相同，或者雖不同，但很容易由其中一個推出另一個的算法。公鑰密碼體制指的是加密密鑰和解密密鑰可進(jìn)行保密通信。加密密鑰與解密密鑰不同，加密密鑰公之于眾；解密密鑰只有解密人自己知道。密碼技術(shù)因其可以在潛在的不安全環(huán)境中保證通信及存儲數(shù)據(jù)的安全，避免信息泄漏而成為認(rèn)證技術(shù)的基礎(chǔ)，亦是信息安全的核心技術(shù)。

公鑰技術(shù)使得身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可否認(rèn)性的需求得以實現(xiàn)。然而，沒有完整性保護(hù)措施就分發(fā)公鑰會削弱這些安全服務(wù)，因此必須提供一種機(jī)制來保證公鑰以及與公鑰相關(guān)的其他信息不被偷偷篡改，因此數(shù)字證書就有了用武之地。數(shù)字證書技術(shù)包括消息摘要、數(shù)字簽名技術(shù)、數(shù)字時間戳。其中，數(shù)字簽名可以使得用戶在網(wǎng)絡(luò)的虛擬環(huán)境中可以確認(rèn)身份，可以完全替代現(xiàn)實生活中的“親筆簽名”，且在法律上有保證。數(shù)字簽名技術(shù)主要還是應(yīng)用在數(shù)字證書和交易通信過程中。

認(rèn)證技術(shù)作為安全保障而出現(xiàn)和存在，其重要的一個分支就是CA認(rèn)證。CA即CertificationAuthority，意為認(rèn)證中心。因為在網(wǎng)上展開購物時，無論是數(shù)字證書的發(fā)放還是數(shù)字時間戳的服務(wù)，都需要有一個具有權(quán)威性和公正性的第三方來完成。CA通常是企業(yè)化運(yùn)作，通過自身的注冊審核體系，核實證書申請的用戶身份和各項相關(guān)信息，使網(wǎng)上交易用戶屬性的客觀真實性與證書的真實性一致。CA中心對網(wǎng)上交易活動中的數(shù)據(jù)加密、數(shù)據(jù)簽名、數(shù)據(jù)完整性所需的密鑰和認(rèn)證實施統(tǒng)一集中管理。

密碼技術(shù)層和認(rèn)證技術(shù)層搭建好了以后，尚需要一份業(yè)界都認(rèn)可的協(xié)議，來統(tǒng)一標(biāo)準(zhǔn)。目前，有兩種安全在線支付協(xié)議被廣泛采用，即安全套接層（Secure Sockets Layer，SSL）協(xié)議和安全電子交易（Secure Electronic Transaction，SET）協(xié)議。二者均較成熟與使用。SSL協(xié)議由網(wǎng)景（Netscape）公司推出，對信用卡和個人信息提供較強(qiáng)保護(hù)。SET協(xié)議是由MasterCard和VISA及其他主流廠商推出，用來保證在公共網(wǎng)絡(luò)上銀行卡交易支付的安全性。而公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)則提供公鑰加密和數(shù)字簽名的服務(wù)，是一種驗證持有密鑰的用戶身份的綜合系統(tǒng)。

遠(yuǎn)慮的CFCA

我國的CA歷史最早可追溯到1997年底，中國電信開始在長沙進(jìn)行電子商務(wù)試點工作，這其中便涉及到CA的職能。1998年9月，為解決中國電子商務(wù)網(wǎng)上交易和網(wǎng)上支付的安全問題，由中國人民銀行牽頭組織全國12家商業(yè)銀行聯(lián)合建立我國金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機(jī)構(gòu)——中國金融認(rèn)證中心（China Financial Certification Authority，簡稱CFCA）。1999年8月，中國電信CTCA獲批面世，成為首家在公網(wǎng)上運(yùn)營的CA安全認(rèn)證系統(tǒng)。2000年6月29日CFCA（中國金融認(rèn)證中心）在京正式掛牌成立。旗下業(yè)務(wù)有兩大塊兒內(nèi)容：SET CA和Non-SET CA。兩套系統(tǒng)均于2000年通過了國家密碼管理委員會和人民銀行支付科技司聯(lián)合主持的密碼產(chǎn)品本地化工作的安全檢查并開始對社會各界提供證書服務(wù)。2004年宣布正式對接市場的CFCA堅持把眼界放寬、把心量放大、把姿態(tài)放低，勤懇于市場的耕作，專門為各類用戶提供包括電子商務(wù)、網(wǎng)上銀行、網(wǎng)上證券交易、支付系統(tǒng)和管理信息系統(tǒng)在內(nèi)的金融認(rèn)證服務(wù)，為參與網(wǎng)上交易的各方提供安全基礎(chǔ)，建立信任。始于2004年12月由CFCA牽頭十多家商業(yè)銀行發(fā)起的“放心安全用網(wǎng)銀聯(lián)合宣傳年”活動積極推動了網(wǎng)上銀行的發(fā)展。據(jù)2006年7月的數(shù)據(jù)統(tǒng)計，CFCA數(shù)字證書發(fā)放突破100萬張。去年3月，CFCA處傳來喜訊，其“統(tǒng)一的電子商務(wù)安全網(wǎng)上支付平臺”項目通過中國人民銀行驗收。這也意味著CFCA將向縱深化、專業(yè)化目標(biāo)邁出了堅實的一步。

然而目前，我國的網(wǎng)上支付安全市場仍然存在著嚴(yán)峻的問題。從用戶的角度來看，國民普遍對網(wǎng)上支付安全以及數(shù)字證書認(rèn)證機(jī)構(gòu)絲毫不知，市場缺了用戶這一大塊兒的信任與支持。從銀行的角度來看，包括國內(nèi)最大的商業(yè)銀行中國工商銀行在內(nèi)的數(shù)十家銀行自行制定支付安全認(rèn)證證書，既當(dāng)裁判員又當(dāng)運(yùn)動員，這樣的游戲只有用戶輸?shù)姆輧骸闹Ц栋踩髽I(yè)來看，其與國際接軌、為世界所認(rèn)可尚需時日。

由此看來，國內(nèi)網(wǎng)上支付安全企業(yè)還有很長的路要走。