新闻动态
新闻动态
用支付宝买件衣服、用微信转个帐,在网络理财平台投资……如今人们已越来越离不开网络支付。
数据显示,截至2016年12月,我国使用网上支付的用户规模达到4.75亿,我国网民使用网上支付的比例从60.5%提升至64.9%。但与此同时,网络支付也成为网络安全事件频发的“重灾区”。
因此,经常使用网络支付的公众、企业难免会产生这些疑问:网络支付存在哪些安全隐患?如何让网络支付更安全?如因网络支付造成损失,是否可获得赔偿?
网络支付安全隐患多
支付身份难认定:在网上支付,双方互不见面,很容易留给假冒、诈骗等违法活动可乘之机。例如,不进行身份认证,用户无法判断支付页面是否是黑客设计的钓鱼网站,而商户也无法验证发出支付指令的客户是否是合法用户。
支付信息的泄露和篡改:例如支付帐号、密码等隐私信息在网络传输过程中很可能被攻击者窃取,之后攻击者即可冒充他人进行网络支付。同时,金额、支付单位等信息也可能因泄露遭篡改、伪造。例如,用户向网上银行发出了支付A商户500元的操作指令,如指令在传输中被攻击者截获并将A商户篡改为B商户,那网上银行收到的指令就变成了支付给B商户500元。
支付行为遭抵赖:在线下,合同、契约、单据这些“白纸黑字”确保了支付行为具有法律约束力,不可随意抵赖,但网络上支付行为的认定脱离了这些纸质文件,导致可能出现支付行为在完成后,发送方否认付款信息或接收方否认收款信息等情况。
数字证书让网络支付更安全
综上所述,网络支付的主要安全需求可以归纳为:保证网络资金结算双方身份的认定;保证支付信息数据的私密性;保证支付结算数据的完整性及不可篡改性;保证网络资金支付结算行为发生及发生内容的不可抵赖性,即建立一种信任机制,确保网络支付在真实、可靠、安全的环境下进行,同时合法合规。
而数字证书恰是可以构建起这种信任机制、满足网络支付安全需求的一种产品。
个人数字证书
数字证书之所以可以保护网络支付安全,主要基于它的如下特性:
合法性:由具有合法性的第三方CA颁发的数字证书可以获得网络支付各方的信任和使用。在我国,CA的合法性由工信部颁发的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》这两项资质确立。
唯一性:每张数字证书中都包含DN (即唯一甄别名,Distinguished Name)、证书序列号及其对应的密钥,这些信息或数据均具有唯一性。如果是受信任的权威CA,他们会先对证书申请人进行身份审核,这样就防止了冒名顶替,可以用于确保网络支付各方身份和支付网页的真实性。
保密性:数字证书采用PKI-CA体系,在加解密中使用非对称算法。用户持有一把私钥,用它进行解密和签名;同时持有一把公钥,并由本人公开给一组用户共享,用于加密。当发送保密数据时,发送方使用公钥对数据加密,而接收方则使用自己的私钥解密,这样数据就可以安全传送,即使在传送途中被攻击者截取,攻击者也会因没有私钥而无法解密数据。
防篡改性:每张数字证书中都包含了对整个证书进行指定哈希算法(如SM3、SHA-256等)计算出的哈希值。接收方收到数据后,也使用相同的哈希算法计算,如果数据内容有修改,哈希值就会改变,对比原数值即可被发现。这就保证任何支付参与方对支付信息的任何篡改都会被发现。
抗抵赖性:发送方在使用证书公钥对支付信息加密时,使用证书私钥对信息签名,由于私钥仅为本人所有,该签名难以被伪造,保证了支付信息是由发送者本人签名发送的。此类签名即数字签名,它是电子签名的一种实现形式。不过数字签名要对网络支付行为形成法律约束力,起到“白纸黑字”的效果,还需符合《电子签名法》中对可靠电子签名的要求:
这其中的关键是电子签名人对电子签名的专有专控,自建CA由于能自行修改数据库,可在一定程度上代替用户控制证书,故不完全符合这一规定。
合法的第三方CA独立于支付行为之外,使用其颁发的数字证书进行数字签名符合《电子签名法》规定。所以无论是哪一方,在支付行为完成后,均因该签名而不可否认付款或收款的金额、时间等信息。如在日后出现纠纷,该数字签名还可作为司法证据使用。
合规使用数字证书方可确保安全
数字证书的特性使它成为创建真实可信、安全合法的网络环境的一项重要手段,因此被广泛应用于电子合同签约、网上银行、网上开户、无纸化办公、网站安全认证等领域,也越来越多地被应用于网络支付。
但在目前,数字证书在网络支付等领域的使用存在很多问题,也使其效果大打折扣。
第一类情况:一些支付平台给用户颁发的证书都是其自建CA签发的(颁发者是平台自己),如果这些证书是供其员工用于办公等内部用途是没问题的,但让用户使用此类证书却不太合适。
因为他们虽然在为用户提供数字证书服务,却未获得《电子认证服务许可证》、《电子认证服务使用密码许可证》,缺乏获得网络支付各方信任的基础,即合法性;亦不能保障电子签名人对电子签名的专有专控,即抗抵赖性。
例如一旦用户与他们因支付业务发生司法纠纷,电子证据也是从自建的CA系统中调取(而非独立、合法的第三方CA),存在既当运动员又当裁判员的嫌疑。
第二类情况,有些支付平台的数字证书仍在使用SHA-1算法,该算法在数年前就被证明不够安全。不久前,Google还公开了一个SHA-1碰撞实例,进一步向人们提示了采用SHA-1算法的数字证书存在被伪造的风险。虽然这种风险在近期不会集中爆发,但仍应尽快用SHA-256算法证书替换SHA-1证书。
除此以外,不当使用数字证书情况还有很多,例如有大量证书存在算法落伍、审核不严谨、乱填DN信息、错发乱发等问题,导致证书不仅不能保护用户安全,反而存在被冒用、利用的风险。
问题的根源是这些证书并不是由具备合法资质的CA颁发,签发这些证书的机构缺乏电子认证服务的专业性,未能建立完善的风控体系和电子认证业务规则(CPS)。
因此,建议需要为大量社会公众、企业提供数字证书的机构引入合法的第三方CA专业合规的电子认证服务,在提高安全等级的同时,还能获得CA赔偿机制的保障。
CA的数字证书赔偿机制
在网络支付过程中,如因数字证书的原因遭受损失,证书持有者有权向颁发证书的CA索赔,这一点体现在《电子签名法》第二十八条:
电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
依据这一条款,各大CA建立了自己的赔偿机制,以更好地维护用户权益。例如目前国内规模最大的CA中国金融认证中心(CFCA),作为我国重要的金融信息安全基础设施和权威的安全认证机构,其通过数字证书注册机构(简称RA)向网上用户(简称订户)发放数字证书,为订户网上交易提供信息安全保障。在《CFCA数字证书服务协议》中,其赔偿机制描述如下:
例如,网络支付机构如在其业务中使用CFCA签发的数字证书,并且支付机构按照CFCA的CPS及国家相关法律法规、技术标准使用CFCA数字证书进行交易而遭受损失时,CFCA将对其进行赔偿。如支付机构用户也使用了CFCA数字证书,并且因CFCA电子认证服务遭受损失,CFCA同样将对支付机构用户进行赔偿。但不可抗力、用户个人原因(如丢失私钥、未及时更新证书等)等因素造成的损失不在赔偿之列。
因此,对于需要使用数字证书的用户,特别是个人用户来说,应向提供金融级安全保障与合理赔偿机制的第三方合法、权威CA申请证书,这样不仅能降低风险,万一遇上问题,也可避免或减少损失。
得益于生物识别技术的发展,刷脸支付、指纹支付等便捷的网络支付技术在当下颇为流行,但这些技术的精确度、安全性仍需进一步提升,例如今年的央视315晚会就展示了人脸识别系统的漏洞。
与这些时髦的安全支付技术相比,数字证书虽然显得不太“有趣”,但综合安全性、可靠性、精准性、便利性后,其仍是目前保障网络支付安全的最佳选择。而将数字证书与FIDO等生物识别技术或银行卡、身份证认证手段相结合形成的“FIDO+”、“网络身份认证平台”等解决方案也将在未来提供给我们更为坚实、便捷的网络支付保障。
扫描二维码分享到微信