电子支付的ca认证在国内的前景

电子支付的 CA 认证在国内的前景 关键词电子支付 ca 认证安全认证 随着互联网的迅速普及，电子商务在全球取得了快速的发展。电子商务的核心由三部分组 成：一是电子交易平台，二是电子支付体系，三是物流配送体系。而其核心环节是电子支 付，电子支付的实现必须建立一个第三方的安全认证机构cacertificateauthority，以作为消 费者、电子商场和银行身份认证的权威中介。它是电子商务和网上银行交易的权威、可信 赖及公正的第三方机构；它为电子商务环境中各个实体颁发电子证书，以证明各实体身份 的真实性，并负责在交易中检验和管理证书。 一、ca 认证过程简介 ca 是通过对持卡人核对数字签名的方法进行认证的，其具体过程为：首先，持卡人向发卡 银行提出书面申请，发卡银行会对持卡人的资信进行调查；如果符合银行要求的条件，则 发卡银行将持卡人的账户信息（pan）根据传统方式（如信函）发送给 ca 认证机构；然后， ca 认证机构用私人密钥（privatekey）对 pan 进行加密，生成持卡人的数字签名，该数字签 名即是为保证接受方能够对公正的第三方证明其收到的报文的真实性和发送源的真实性而 采取的一种安全措施；最后持卡人获得属于他的数字签名，同时电子商场也需要获得相应 的电子许可证 id 号，以作为鉴别身份的唯一标识，从而成为网络成员。 通过 ca 系统进行交易时，ca 系统将同时检验交易各方的 ca 认证，认证购买者是否为有购 买能力且经过认证的有相应消费能力的消费者；认证销售商是否为 ca 认证的可信任的销售 组织，是否为通过 ca 认证的可信任的销售商；认证银行是否是通过 ca 认证可以承担网上 安全支付的银行。如果三方验证无误，ca 系统将通过交易请求。简单的理解就是交易的各 方必须通过 ca 这个公正的第三方机构来领取一个可以通过验证的身份识别标识，也就是 ca 的电子证书，这样才能进行电子商务交易并进行网上支付费用。消费者在网上进行购物时 必须持有此证书，在交易前进行认证，认证后确认交易生效。 二、ca 认证在我国的发展现状 我国 ca 系统的起步始自 1999 年年初经过市场调研和一系列可行性研究，由中国人民银行 牵头，联合 12 家全国性商业银行共同建立国家级金融认证机构中国金融认证中心 （cfca） 。该机构于 2000 年 6 月建设完毕并开始运营，成为我国第一家支持网上金融业务 权威而公正的第三方认证机构。目前中国金融 ca 系统主要由 setca 和 nonsetca 两部分构 成。setca 是为了在网上购物时使用特定的银行卡来进行结算类型的业务建立，这种业务安 全性及可靠性高。nonset 对于业务应用的范围没有严格的定义，结合电子商务具体的、 实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书（即个 人/普通证书和高级/企业证书） 。nonset 对于用户认证的要求比起 set 系统来要低一些，同 时也灵活一些。 cfca 的成立可以说是中国 ca 认证工作的奠基石，目前证书的使用对象主要是网上银行，已 有相当数量银行使用证书进行网上支付和转账，如建设银行、中信实业银行、光大银行、 华夏银行等都已开始使用 cfca 证书，而自 2002 年起证券业也开始使用 ca 证书进行网上交 易。 目前全国 ca 认证系统的建设资金已超过 5 亿元，从事 ca 运营人员已达 2000 人，但是 2002 年全国证书发放量不超过 30 万张（包含测试证书） ，业务总收入不超过 1500 万元。目前 ca 认证市场主要由各大行业或地方政府部门组成的认证机构构成，如中国电信 ca 安全认证 体系（ctca） 、上海电子商务 ca 认证中心（sheca） 、广东省电子商务认证中心（cnca）等。 由此看来，中国的 ca 市场还没有形成，还处于市场培育阶段。 三、当前存在转自 http:/www.Z 的问转自 http:/www.Z 题 转自 http:/www.Z 中国 ca 市场从零到起步，也是一个需要逐步实践与规范的过程，只有正视当前存在的问题， 脚踏实地做工作，ca 认证市场才能取得健康快速发展。 1.安全问题。一是支付的技术安全问题：许多做 ca 产品的厂商目前讲的安全基本上是指解 决了加密和签名的问题，其实 ca 涉及的安全远不止这些。因为 ca 跟密码不一样，它不是 放在一个台上面独立的屋子里面就能运行的，而是处于动态运行和实时运行的一种环境。 特别是大部分计算机硬件设备主要依靠从国外进口，许多国产的安全产品其核心技术也是 外国的，这些都成为网上支付安全的隐患。二是支付的信用安全问题：各 ca 颁发的电子证 书各自为政、交叉混乱的情况仍然存在，身份认证系统不完善不统一，认证作用只是保证 一对一的网上交易安全可信，而不能保证多家统一联网交易的便利，所以各网上银行彼此 授信建立互联网络仍需加强。 2.缺乏协调统一的规划设计和没有行业技术标准。各个认证中心都是独立构建的，引进的 技术和产品各有不同，也没有共同的标准，在这样的情况下，要实现互通确实面临很大困 难。认证中心的理想状态是全国建立一个统一认证体系，由若干个机构来颁发证书。要实 现全国统一认证需满足以下条件：构建统一的认证体系、执行共同的证书认证标准和统一 的实施策略、建立配套的法律法规环境等。另外，不同行业认证需求也不同，有些行业除 了要求网上身份鉴别的基本需求外，还要求在证书中包含有行业信息，如银行目前使用的 set 协议就只是面对银行应用的协议。在这个协议中规定了证书中某一个字段对应银行卡的 卡号，所以只能在银行业使用，不适合其他行业。从目前来看，只有网上身份认证可以实 现互联互通。从技术的角度来讲，国家可以建一个统一的根 ca（如美国的邮政 ca） ，其他 各地各行业的 ca 设置在这个根 ca 之下，信任链可以通过根 ca 交汇在一起，从而实现互通。 3.相关行业法规的建立健全问题。电子商务这一全新的商务模式发展迅猛，使得世界各国 原有的法律体系出现了漏洞和空白点，所以用法律手段规范电子商务支付结算中的基本关 系是当务之急。尽管中国金融 ca 在建立的同时也制定了“证书运作管理规范” （cps） ，在 中国目前电子商务法律环境尚不健全的情况下，cps 实际上就是认证中心的法规，但机构 级别的规范毕竟不能代替行业法规，一旦发生电子商务引起的大额经济纠纷，法律缺失情 况下的认定方式必将引起一系列的连锁反应，对电子商务及相关行业的发展可能产生不同 程度的消极影响。 四、发展方向 从长远来看，我国的 ca 认证市场最需要的还是改变经营体制和理念，即 ca 认证机构急需 引进商业化运作模式。虽然金融业、证券公司等领域已成功进行了大量的、可靠的网上交 易，为 ca 认证的进一步发展积累了丰富的经验，但从总体上来说仍处于探索阶段；相关的 法律、法规尚未配套，而且经营亏损现象比较普遍。随着中国互联网的发展日益完善，电 子商务的应用将逐步展开并走向成熟， “以应用促 ca，以 ca 助应用”已成为中国 ca 市场发 展的一种共识。遵循着这条