 |
 |
|
|
|
|
|
|
|
|
|
2005首届网上支付发展论坛--曹小青 作者:互联网实验室 文章来源:互联网实验室 发表日期:2005年9月14日
各位嘉宾,在一线工作的精英们和媒体的朋友们,先生们,女士们,下午好!受网上支付发展论坛的委托,也感谢他们提供这样一个机会跟大家交流网上认证的意见,利用15分钟的时间,简单发表一下不太成熟的意见。  首先,和大家一块探讨这样几个方面的内容的问题,一是网上支付特别重要的就是手段,想提供一些数据。第二个就是谈一下网上支付的安全,因为我们搞金融认证中心,顾名思义就是为安全论证提供服务的,所以我们谈一谈关于网上支付的安全。第三,跟大家一块探讨一下安全网上支付的认证手段目前有哪些特点?最后提一下网上支付的规范化。 因为支付安全是比较大的课题,本身内容比较宽泛,今天下午跟大家探讨只是网上应用型的部分,像物理层、规章制度都是支付安全的部分,但是今天想跟大家一块说一说,是在信息安全支付方面。 首先我想跟大家介绍一下,以银行为例,网上支付几年来飞跃发展。2001年有一个工商银行的数据,2001年的12月30日,中国工商银行网上银行交易额突破6000亿元,当时新浪网做了报道。当时的六千亿元和今天,同样有这样一组数据,看一看工商银行网上银行业务量的发展。 2005年1—6月份,网上支付企业支付额是20.7万亿,个人交易是23511亿元,交易的笔数3600多万笔,从2001年6000亿元,半年就20万亿,网上支付发展非常迅速,特别是网上银行的支付。 网上银行的支付跟电子商务的支付不太一样,网上银行支付包括网上企业的转帐,但是从同样这个数据也可以看出来,几年来网上支付的发展确实突飞猛进。因为我本人也是网上银行的用户,所以我感觉到网上支付给我们广大老百姓带来很方便的地方,你要担心,不用它不知道,一般的情况下,我了解跟我接触比较熟的人,用过以后就会离不开它。 这个卓越的发展,我想会随着电子商务蓬勃发展,不仅仅是网上银行在电子商务大家也已经看到,本身也有一个网上支付的飞跃发展。网上支付的发展的话,以网上银行为例,CFCA和央视咨询今年六七月份做了一个调查,在网上进行支付交易是网民使用网络银行重要原因。网络调查还表明,使用网银的用户是什么样的比例,一年之后打算使用网上银行是什么样的比例,一两年内不想使用网上银行是什么原因,原因是什么。我们调查是在选了十各城市,包括北京、上海、天津、广州、深圳、沈阳、成都、重庆,进行了调查,在现有的用户中只有将近20%使用网上银行,网上银行是突飞猛进的发展,现有的用户有19.4%,潜在用户是35.7%,一年之内使用网上银行,不可能的用户,一年之内不可能用网上银行。从前面的调查可以发现,在现有用户中70.18%的首先要做网上支付,65%转帐服务,乐律全书实行或者说网民或者现在使用的网络银行的网民重要的功能就是做网上支付。 看看潜在用户,一年内,40%几想使用网络银行的用户,他考虑主要因素是什么呢?91.1%的网民考虑是安全,安全是是首先要考虑的因素。我们再看一看,关于一年之内不想用网上银行用户的普通市民,最担心的问题是网络不安全,网络支付安全性得不到保障。 由此可见,网上支付安全确实是电子商务发展网上支付关键的因素。网上支付到底安全还是不安全的?我们说网上支付是安全的,也是不安全的。为什么这么说呢?说网上支付是安全的,因为理论和实践都证明了现有的技术手段完全可以保证网上支付的信息安全。理论上说,现在在网上支付中,用户用数字签名用RSA的算法以它为例,这个算法通常一个用于加密一个用于解密,但是互相之间导不出来的,从一个导出另一个,学界里讲,没有导不出来的,只是非常困难,计算上不可行。你要使用运算速度百万次的计算机,要计算的时间是一千年。在电子商务支付中RSA秘钥是1024位,后面是指数关系,不是说长度多了一倍,计算量大了一倍,这是一个天文单位,1024位破解的话,理论上可以证明,用这种算法保证网上支付的安全,破解在计算上是不可行的,巨大投入是没人做的,要把全世界的人目前破解1024位算法,也得算很长时间,有人说得天黄地老,不管怎么说,理论上可以证明,安全是有保证的。 怎么说实践上也是安全的?用数字证书网上交易,无论在国际还是在国内,到目前为止,没有发生过一例因为安全机制问题造成交易争议或者交易损失的。我们虽然在网上经常看到关于网上支付安全的种种案例或者说关于网上支付不安全的报道,但是这些报道使用安全机制不同,没有采用安全的手段,所以我刚才讲了某一个银行年交易额是几十万亿,半年就是三十万亿,交易笔数是三千多万,到现在为止 企业网民还是个人网民因为转帐,没有因为问题造成争议。有些问题发生过,一个客户领的数字证书它的帐户里的钱被别人取走了,证书没有用的时候就被人取走了,通过银行在网点办证书的摄像,这个人进银行,提出办网上银行,发现三个人一直在他旁边,左边一个,右边一个,后边一个,领材料、输米头都在左边一个、右边一个、后边一个,这个证书在银行申领的时候国家还没有下载,别人就下载了,这里有什么样的环节呢?在确认密码的时候给人家看到了,我还没用,钱怎么就没了。 这种现象发生过,但是不是因为安全机制本身造成的。而是因为执行安全机制的过程中,有些管理环节的问题。实践上讲使用这种安全机制,无论电子商务也好还是网上银行保证支付交易的安全性。 国际上银行间的清算法,SWIFT网从2002年开始把2.5改成IP网,在全网使用,国际结算,各国银行间国际结算全部走互联网,这个网全部使用绿色机制,网上支付是安全的,你只要采用有安全技术手段,肯定是安全的。为什么也是不安全的,网上安全支付没有用非常强的安全手段,各类事件时有发生,我们国家也很多很多,几乎每个方面有这方面的报道,有些是有凭有据,有些不一定有根据的,没有采用安全手段的时候,确实会有问题。但是使用安全的手段,会给我们的网上支付带来一定的开销,会给我们的用户方便程度带来的一定的影响。根据网上支付的情况选择比较好的平衡点,随着技术的发展,保障网上应该会有更好的技术手段。 网上支付环节很多,一个客户从客户段开始,商务网站到支付平台一直到各银行的网民,从现在问题出现比较多,还是客户端和商户网站。现在很多的商户网站通过支付平台直接有纯定向的方式从客户端做完电子商务之后,直接跟网民联系起来,在这种情况下,客户端和网民建立安全的通道,我个人感觉在这个环节中,通过支付平台应该是比较安全的方式,使客户支付和发起直接通过平台支付,通过直接或者不统一的平台进行支付。国外也是这么做的,国内银联也在做这方面的事情。 在这个环节里面,可能发生问题比较多还是用户的身份认证。网上支付认证手段分析表明,身份确认是信息安全的薄弱环节,银行的数据表明支付否认是发生交易争议主要的原因。这里主要讲一下认证手段,通常来看有几种,一是用户名和密码,用户名和密码是不完全的,特别是在网上,目前木马等,只用用户名和密码非常容易出安全故障的。另外动态密码,一种有源动态密码,本身在客户手里随机动态产生获得身份认证码或者叫交易授权,有一种无源动态码,动态密码只是一种认证的辅助手段,没有丝毫身份信息,同时动态密码,有源动态密码价格比较昂贵,一般个人用得很少,无源动态密码现在越来越多地开始用起来,在电子商务网站或者游戏网站都用的。无源动态密码最早是在欧洲开始用的,欧洲银行用得比较多,有一个文章专门就讲,无源动态密码TAN叫个人身份码或者交易授权码,这种机构对钓鱼攻击是没有防范能力的。第三,多因子的论证。第四,证书认证。最安全是证书认证,证书认证是很方便的。 网上支付的规范化。通过规范化解决网上支付的实际问题。我们很多商户做网支付的时候自己要做很多或者支付平台连很多的银行,采用银联的方式,实际上起源是3D。凡是用万事达卡的用户,商户里面端只要放一个插件,别管哪个银行的万事达卡支付全解决,这是支付规范化给电子商务网站带来的便利,不用一个个地方联。银联现在也是这样的,通过银联统一的支付网关也有这样的机制,你用一个插件有可能把银联卡所有支付问题都解决了,这种规范化和标准化的工作,我希望在有关政府的牵头下尽快实现。一是便于我们商户,第二便于支付,第三便于安全管理和用户认证等。 认证业务规则的规范化。 交易信息的标准化。有了规范化和标准化的工作,我相信网上支付工作会有更大的发展。 感谢主办人给我机会跟大家交流,有不对的地方,希望大家多提意见。
【上一篇文章】方家平:让电信价格战来得更猛烈些吧 【下一篇文章】2005首届网上支付发展论坛--汪旭 |
|
|||||||
