電子商務(wù)的核心問(wèn)題是支付，而支付的核心問(wèn)題是安全。因此，安全關(guān)乎的是一個(gè)較大領(lǐng)域的整體發(fā)展問(wèn)題。美國(guó)互聯(lián)網(wǎng)犯罪投訴中心指出，黑客利用各種非法手段竊取網(wǎng)上銀行客戶(hù)賬號(hào)，使越來(lái)越多的美國(guó)銀行客戶(hù)蒙受損失。

可以說(shuō)，網(wǎng)絡(luò)正在成為人們生活的另一度空間。盡管人類(lèi)互聯(lián)網(wǎng)的歷史并不長(zhǎng)，但網(wǎng)絡(luò)安全的問(wèn)題卻曾經(jīng)困擾了人們很久，黑客的陰影像幽靈般于網(wǎng)際揮之不去。當(dāng)人類(lèi)已經(jīng)實(shí)現(xiàn)網(wǎng)絡(luò)購(gòu)物，并大膽地在網(wǎng)上轉(zhuǎn)賬支付購(gòu)買(mǎi)時(shí)，網(wǎng)絡(luò)支付的安全問(wèn)題更成了人們的一塊心病。網(wǎng)絡(luò)購(gòu)物原本只是一列普快，當(dāng)數(shù)次提速如今晉身為高鐵時(shí)，若不保證制動(dòng)系統(tǒng)的靈活有效，高鐵很有可能會(huì)沖進(jìn)萬(wàn)劫不復(fù)的深淵。

究竟，網(wǎng)絡(luò)支付安全領(lǐng)域目前的發(fā)展?fàn)顩r如何?它是如何工作的?又能否有效抵御外界的惡意侵犯，擔(dān)當(dāng)起保衛(wèi)人民群眾財(cái)產(chǎn)安全的重任呢?

支付安全需求

電子商務(wù)的核心問(wèn)題是支付，而支付的核心問(wèn)題是安全。因此，安全關(guān)乎的是一個(gè)較大領(lǐng)域的整體發(fā)展問(wèn)題。然而，在電子商務(wù)的發(fā)展過(guò)程中，曾一度因支付的安全問(wèn)題而遭遇到發(fā)展的瓶頸。

網(wǎng)上支付安全問(wèn)題源于互聯(lián)網(wǎng)自身的開(kāi)放屬性，而目前網(wǎng)絡(luò)技術(shù)發(fā)展的局限性促使這一問(wèn)題仍未得到徹底解決。目前看來(lái)，網(wǎng)上支付比較常見(jiàn)的方式是用戶(hù)通過(guò)瀏覽器輸入必要的支付認(rèn)證信息，經(jīng)過(guò)用戶(hù)所持銀行卡的發(fā)卡行認(rèn)證授權(quán)后扣款完成在線支付。網(wǎng)絡(luò)支付安全問(wèn)題就發(fā)生在這樣一個(gè)支付過(guò)程中，主要表現(xiàn)為來(lái)自外部的對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)器的攻擊，包括通過(guò)截獲IP包，更改和偽造數(shù)據(jù)、偽造鏈接，或者通過(guò)分析數(shù)據(jù)流、非法竊聽(tīng)來(lái)截獲重要信息。據(jù)此，支付風(fēng)險(xiǎn)主要體現(xiàn)在支付被無(wú)故中斷、身份難以識(shí)別、支付信息被莫名偽造、篡改、泄漏和抵賴(lài)。因此，從這樣的現(xiàn)實(shí)需求出發(fā)，網(wǎng)上支付要安全地進(jìn)行，就必須要建立起一套安全的基礎(chǔ)設(shè)施，能夠?yàn)椴煌挠脩?hù)帶來(lái)不同的需求。

一個(gè)怎樣的網(wǎng)上支付環(huán)境可以當(dāng)“安全”二字而無(wú)愧呢?

現(xiàn)實(shí)生活中，身份證、軍人證、學(xué)生證等都是可以確保個(gè)人身份的工具。而網(wǎng)上交易，交易雙方無(wú)法碰面，更加需要交易雙方能夠確認(rèn)對(duì)方的身份，確認(rèn)一旦成功，交易才會(huì)展開(kāi)。簡(jiǎn)而言之，認(rèn)證就是證實(shí)一個(gè)聲稱(chēng)的身份或角色，如用戶(hù)、機(jī)器、節(jié)點(diǎn)等是否真實(shí)的過(guò)程。因此，安全首先應(yīng)當(dāng)具備的是“身份的可認(rèn)證性”。

網(wǎng)上交易數(shù)據(jù)，如銀行賬戶(hù)信息等對(duì)交易雙方至關(guān)重要。保護(hù)數(shù)據(jù)就等于保護(hù)用戶(hù)的金錢(qián)。目前對(duì)于類(lèi)銀行卡數(shù)據(jù)這樣的敏感信息采取的是加密的手段，即便數(shù)據(jù)被截獲或竊取，真實(shí)內(nèi)容仍會(huì)被保護(hù)起來(lái)，不受威脅。因此，數(shù)據(jù)的機(jī)密性是安全的核心內(nèi)容。

在支付的過(guò)程中，一筆寫(xiě)有“劃入A 1000元”的單子被途中截獲，信息篡改成“劃入B1000”后走到銀行，銀行若對(duì)此無(wú)法識(shí)別，本應(yīng)支付給A的1000元便會(huì)流入B的賬戶(hù)中。這是信息的不完整性造成的，在開(kāi)放的公網(wǎng)上支付信息遭遇被篡改，信息的完整性和有效性被破壞。

保證不可抵賴(lài)性是網(wǎng)上支付安全的一個(gè)重要需求。電子化時(shí)代，手寫(xiě)簽名和印章作證的歷史將逐步退出歷史舞臺(tái)。而是必須要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)提供可靠的標(biāo)識(shí)，使得對(duì)支付信息的內(nèi)容及傳輸，信息主體不可抵賴(lài)。

支付安全正解

面對(duì)來(lái)自各方面的安全威脅，手無(wú)寸鐵的互聯(lián)網(wǎng)網(wǎng)民是不是就該束手待斃，望網(wǎng)購(gòu)而興嘆呢?當(dāng)然不是，目前，國(guó)內(nèi)外部分廠商和專(zhuān)家已給出了相應(yīng)的解決辦法，并基本上滿(mǎn)足了人們的互聯(lián)網(wǎng)支付需求。這十多年來(lái)電子商務(wù)逐年看漲、形勢(shì)大好就是明證。

究竟是誰(shuí)在充當(dāng)著幕后英雄，為網(wǎng)民的支付安全盡職盡責(zé)呢?主要的技術(shù)成員有密碼技術(shù)和認(rèn)證技術(shù)。

密碼技術(shù)指的是給信息進(jìn)行加密的技術(shù)，它是網(wǎng)上支付活動(dòng)中采取的主要安全技術(shù)手段。其基本思想是用偽裝明文替換真實(shí)內(nèi)容，如用明文C替換真實(shí)內(nèi)容D，這種替換的操作過(guò)程即為加密。然而解密需要用戶(hù)持有密鑰才可以完成，及恢復(fù)數(shù)據(jù)原貌。通常密碼體制由對(duì)稱(chēng)密鑰體制和公開(kāi)密鑰體制兩大類(lèi)組成。對(duì)稱(chēng)密碼體制指的是加密密鑰和解密密鑰相同，或者雖不同，但很容易由其中一個(gè)推出另一個(gè)的算法。公鑰密碼體制指的是加密密鑰和解密密鑰可進(jìn)行保密通信。加密密鑰與解密密鑰不同，加密密鑰公之于眾;解密密鑰只有解密人自己知道。密碼技術(shù)因其可以在潛在的不安全環(huán)境中保證通信及存儲(chǔ)數(shù)據(jù)的安全，避免信息泄漏而成為認(rèn)證技術(shù)的基礎(chǔ)，亦是信息安全的核心技術(shù)。

公鑰技術(shù)使得身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可否認(rèn)性的需求得以實(shí)現(xiàn)。然而，沒(méi)有完整性保護(hù)措施就分發(fā)公鑰會(huì)削弱這些安全服務(wù)，因此必須提供一種機(jī)制來(lái)保證公鑰以及與公鑰相關(guān)的其他信息不被偷偷篡改，因此數(shù)字證書(shū)就有了用武之地。數(shù)字證書(shū)技術(shù)包括消息摘要、數(shù)字簽名技術(shù)、數(shù)字時(shí)間戳。其中，數(shù)字簽名可以使得用戶(hù)在網(wǎng)絡(luò)的虛擬環(huán)境中可以確認(rèn)身份，可以完全替代現(xiàn)實(shí)生活中的“親筆簽名”，且在法律上有保證。數(shù)字簽名技術(shù)主要還是應(yīng)用在數(shù)字證書(shū)和交易通信過(guò)程中。

認(rèn)證技術(shù)作為安全保障而出現(xiàn)和存在，其重要的一個(gè)分支就是CA認(rèn)證。CA即Certification Authority，意為認(rèn)證中心。因?yàn)樵诰W(wǎng)上展開(kāi)購(gòu)物時(shí)，無(wú)論是數(shù)字證書(shū)的發(fā)放還是數(shù)字時(shí)間戳的服務(wù)，都需要有一個(gè)具有權(quán)威性和公正性的第三方來(lái)完成。 CA通常是企業(yè)化運(yùn)作，通過(guò)自身的注冊(cè)審核體系，核實(shí)證書(shū)申請(qǐng)的用戶(hù)身份和各項(xiàng)相關(guān)信息，使網(wǎng)上交易用戶(hù)屬性的客觀真實(shí)性與證書(shū)的真實(shí)性一致。CA中心對(duì)網(wǎng)上交易活動(dòng)中的數(shù)據(jù)加密、數(shù)據(jù)簽名、數(shù)據(jù)完整性所需的密鑰和認(rèn)證實(shí)施統(tǒng)一集中管理。

密碼技術(shù)層和認(rèn)證技術(shù)層搭建好了以后，尚需要一份業(yè)界都認(rèn)可的協(xié)議，來(lái)統(tǒng)一標(biāo)準(zhǔn)。目前，有兩種安全在線支付協(xié)議被廣泛采用，即安全套接層 (Secure Sockets Layer,SSL)協(xié)議和安全電子交易(Secure Electronic Transaction,SET)協(xié)議。二者均較成熟與使用。SSL協(xié)議由網(wǎng)景(Netscape)公司推出，對(duì)信用卡和個(gè)人信息提供較強(qiáng)保護(hù)。SET協(xié)議是由MasterCard和VISA及其他主流廠商推出，用來(lái)保證在公共網(wǎng)絡(luò)上銀行卡交易支付的安全性。而公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)則提供公鑰加密和數(shù)字簽名的服務(wù)，是一種驗(yàn)證持有密鑰的用戶(hù)身份的綜合系統(tǒng)。

遠(yuǎn)慮的CFCA

我國(guó)的CA歷史最早可追溯到1997年底，中國(guó)電信開(kāi)始在長(zhǎng)沙進(jìn)行電子商務(wù)試點(diǎn)工作，這其中便涉及到CA的職能。1998年9月，為解決中國(guó)電子商務(wù)網(wǎng)上交易和網(wǎng)上支付的安全問(wèn)題，由中國(guó)人民銀行牽頭組織全國(guó)12家商業(yè)銀行聯(lián)合建立我國(guó)金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機(jī)構(gòu)——中國(guó)金融認(rèn)證中心 (China Financial Certification Authority，簡(jiǎn)稱(chēng)CFCA)。1999年8月，中國(guó)電信CTCA獲批面世，成為首家在公網(wǎng)上運(yùn)營(yíng)的CA安全認(rèn)證系統(tǒng)。2000年6月29日 CFCA(中國(guó)金融認(rèn)證中心)在京正式掛牌成立。旗下業(yè)務(wù)有兩大塊兒內(nèi)容：SET CA和Non-SET CA。兩套系統(tǒng)均于2000年通過(guò)了國(guó)家密碼管理委員會(huì)和人民銀行支付科技司聯(lián)合主持的密碼產(chǎn)品本地化工作的安全檢查并開(kāi)始對(duì)社會(huì)各界提供證書(shū)服務(wù)。 2004年宣布正式對(duì)接市場(chǎng)的CFCA堅(jiān)持把眼界放寬、把心量放大、把姿態(tài)放低，勤懇于市場(chǎng)的耕作，專(zhuān)門(mén)為各類(lèi)用戶(hù)提供包括電子商務(wù)、網(wǎng)上銀行、網(wǎng)上證券交易、支付系統(tǒng)和管理信息系統(tǒng)在內(nèi)的金融認(rèn)證服務(wù)，為參與網(wǎng)上交易的各方提供安全基礎(chǔ)，建立信任。始于2004年12月由CFCA牽頭十多家商業(yè)銀行發(fā)起的“放心安全用網(wǎng)銀聯(lián)合宣傳年”活動(dòng)積極推動(dòng)了網(wǎng)上銀行的發(fā)展。據(jù)2006年7月的數(shù)據(jù)統(tǒng)計(jì)，CFCA數(shù)字證書(shū)發(fā)放突破100萬(wàn)張。去年3月，CFCA處傳來(lái)喜訊，其“統(tǒng)一的電子商務(wù)安全網(wǎng)上支付平臺(tái)”項(xiàng)目通過(guò)中國(guó)人民銀行驗(yàn)收。這也意味著CFCA將向縱深化、專(zhuān)業(yè)化目標(biāo)邁出了堅(jiān)實(shí)的一步。

然而目前，我國(guó)的網(wǎng)上支付安全市場(chǎng)仍然存在著嚴(yán)峻的問(wèn)題。從用戶(hù)的角度來(lái)看，國(guó)民普遍對(duì)網(wǎng)上支付安全以及數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)絲毫不知，市場(chǎng)缺了用戶(hù)這一大塊兒的信任與支持。從銀行的角度來(lái)看，包括國(guó)內(nèi)最大的商業(yè)銀行中國(guó)工商銀行在內(nèi)的數(shù)十家銀行自行制定支付安全認(rèn)證證書(shū)，既當(dāng)裁判員又當(dāng)運(yùn)動(dòng)員，這樣的游戲只有用戶(hù)輸?shù)姆輧?。從支付安全企業(yè)來(lái)看，其與國(guó)際接軌、為世界所認(rèn)可尚需時(shí)日。