用支付寶買件衣服、用微信轉個帳，在網絡理財平臺投資……如今人們已越來越離不開網絡支付。

　　數據顯示，截至2016年12月，我國使用網上支付的用戶規模達到4.75億，我國網民使用網上支付的比例從60.5%提升至64.9%。但與此同時，網絡支付也成為網絡安全事件頻發的“重災區”。

　　因此，經常使用網絡支付的公眾、企業難免會產生這些疑問：網絡支付存在哪些安全隱患？如何讓網絡支付更安全？如因網絡支付造成損失，是否可獲得賠償？

　　網絡支付安全隱患多

　　支付身份難認定：在網上支付，雙方互不見面，很容易留給假冒、詐騙等違法活動可乘之機。例如，不進行身份認證，用戶無法判斷支付頁面是否是黑客設計的釣魚網站，而商戶也無法驗證發出支付指令的客戶是否是合法用戶。

　　支付信息的泄露和篡改：例如支付帳號、密碼等隱私信息在網絡傳輸過程中很可能被攻擊者竊取，之后攻擊者即可冒充他人進行網絡支付。同時，金額、支付單位等信息也可能因泄露遭篡改、偽造。例如，用戶向網上銀行發出了支付A商戶500元的操作指令，如指令在傳輸中被攻擊者截獲并將A商戶篡改為B商戶，那網上銀行收到的指令就變成了支付給B商戶500元。

　　支付行為遭抵賴：在線下，合同、契約、單據這些“白紙黑字”確保了支付行為具有法律約束力，不可隨意抵賴，但網絡上支付行為的認定脫離了這些紙質文件，導致可能出現支付行為在完成后，發送方否認付款信息或接收方否認收款信息等情況。

　　數字證書讓網絡支付更安全

　　綜上所述，網絡支付的主要安全需求可以歸納為：保證網絡資金結算雙方身份的認定；保證支付信息數據的私密性；保證支付結算數據的完整性及不可篡改性；保證網絡資金支付結算行為發生及發生內容的不可抵賴性，即建立一種信任機制，確保網絡支付在真實、可靠、安全的環境下進行，同時合法合規。

　　而數字證書恰是可以構建起這種信任機制、滿足網絡支付安全需求的一種產品。

個人數字證書

　　數字證書之所以可以保護網絡支付安全，主要基于它的如下特性：

　　合法性：由具有合法性的第三方CA頒發的數字證書可以獲得網絡支付各方的信任和使用。在我國，CA的合法性由工信部頒發的《電子認證服務許可證》和國家密碼管理局頒發的《電子認證服務使用密碼許可證》這兩項資質確立。

　　唯一性：每張數字證書中都包含DN （即唯一甄別名，Distinguished Name）、證書序列號及其對應的密鑰，這些信息或數據均具有唯一性。如果是受信任的權威CA，他們會先對證書申請人進行身份審核，這樣就防止了冒名頂替，可以用于確保網絡支付各方身份和支付網頁的真實性。

　　保密性：數字證書采用PKI-CA體系，在加解密中使用非對稱算法。用戶持有一把私鑰，用它進行解密和簽名；同時持有一把公鑰，并由本人公開給一組用戶共享，用于加密。當發送保密數據時，發送方使用公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣數據就可以安全傳送，即使在傳送途中被攻擊者截取，攻擊者也會因沒有私鑰而無法解密數據。

　　防篡改性：每張數字證書中都包含了對整個證書進行指定哈希算法（如SM3、SHA-256等）計算出的哈希值。接收方收到數據后，也使用相同的哈希算法計算，如果數據內容有修改，哈希值就會改變，對比原數值即可被發現。這就保證任何支付參與方對支付信息的任何篡改都會被發現。

　　抗抵賴性：發送方在使用證書公鑰對支付信息加密時，使用證書私鑰對信息簽名，由于私鑰僅為本人所有，該簽名難以被偽造，保證了支付信息是由發送者本人簽名發送的。此類簽名即數字簽名，它是電子簽名的一種實現形式。不過數字簽名要對網絡支付行為形成法律約束力，起到“白紙黑字”的效果，還需符合《電子簽名法》中對可靠電子簽名的要求：

　　這其中的關鍵是電子簽名人對電子簽名的專有?？?，自建CA由于能自行修改數據庫，可在一定程度上代替用戶控制證書，故不完全符合這一規定。

　　合法的第三方CA獨立于支付行為之外，使用其頒發的數字證書進行數字簽名符合《電子簽名法》規定。所以無論是哪一方，在支付行為完成后，均因該簽名而不可否認付款或收款的金額、時間等信息。如在日后出現糾紛，該數字簽名還可作為司法證據使用。

　　合規使用數字證書方可確保安全

　　數字證書的特性使它成為創建真實可信、安全合法的網絡環境的一項重要手段，因此被廣泛應用于電子合同簽約、網上銀行、網上開戶、無紙化辦公、網站安全認證等領域，也越來越多地被應用于網絡支付。

　　但在目前，數字證書在網絡支付等領域的使用存在很多問題，也使其效果大打折扣。

　　第一類情況：一些支付平臺給用戶頒發的證書都是其自建CA簽發的（頒發者是平臺自己），如果這些證書是供其員工用于辦公等內部用途是沒問題的，但讓用戶使用此類證書卻不太合適。

　　因為他們雖然在為用戶提供數字證書服務，卻未獲得《電子認證服務許可證》、《電子認證服務使用密碼許可證》，缺乏獲得網絡支付各方信任的基礎，即合法性；亦不能保障電子簽名人對電子簽名的專有?？?，即抗抵賴性。

　　例如一旦用戶與他們因支付業務發生司法糾紛，電子證據也是從自建的CA系統中調?。ǘ仟毩?、合法的第三方CA），存在既當運動員又當裁判員的嫌疑。

　　第二類情況，有些支付平臺的數字證書仍在使用SHA-1算法，該算法在數年前就被證明不夠安全。不久前，Google還公開了一個SHA-1碰撞實例，進一步向人們提示了采用SHA-1算法的數字證書存在被偽造的風險。雖然這種風險在近期不會集中爆發，但仍應盡快用SHA-256算法證書替換SHA-1證書。

　　除此以外，不當使用數字證書情況還有很多，例如有大量證書存在算法落伍、審核不嚴謹、亂填DN信息、錯發亂發等問題，導致證書不僅不能保護用戶安全，反而存在被冒用、利用的風險。

　　問題的根源是這些證書并不是由具備合法資質的CA頒發，簽發這些證書的機構缺乏電子認證服務的專業性，未能建立完善的風控體系和電子認證業務規則（CPS）。

　　因此，建議需要為大量社會公眾、企業提供數字證書的機構引入合法的第三方CA專業合規的電子認證服務，在提高安全等級的同時，還能獲得CA賠償機制的保障。

　　CA的數字證書賠償機制

　　在網絡支付過程中，如因數字證書的原因遭受損失，證書持有者有權向頒發證書的CA索賠，這一點體現在《電子簽名法》第二十八條：

　　電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。

　　依據這一條款，各大CA建立了自己的賠償機制，以更好地維護用戶權益。例如目前國內規模最大的CA中國金融認證中心（CFCA），作為我國重要的金融信息安全基礎設施和權威的安全認證機構，其通過數字證書注冊機構（簡稱RA）向網上用戶（簡稱訂戶）發放數字證書，為訂戶網上交易提供信息安全保障。在《CFCA數字證書服務協議》中，其賠償機制描述如下：

　　例如，網絡支付機構如在其業務中使用CFCA簽發的數字證書，并且支付機構按照CFCA的CPS及國家相關法律法規、技術標準使用CFCA數字證書進行交易而遭受損失時，CFCA將對其進行賠償。如支付機構用戶也使用了CFCA數字證書，并且因CFCA電子認證服務遭受損失，CFCA同樣將對支付機構用戶進行賠償。但不可抗力、用戶個人原因（如丟失私鑰、未及時更新證書等）等因素造成的損失不在賠償之列。

　　因此，對于需要使用數字證書的用戶，特別是個人用戶來說，應向提供金融級安全保障與合理賠償機制的第三方合法、權威CA申請證書，這樣不僅能降低風險，萬一遇上問題，也可避免或減少損失。

　　得益于生物識別技術的發展，刷臉支付、指紋支付等便捷的網絡支付技術在當下頗為流行，但這些技術的精確度、安全性仍需進一步提升，例如今年的央視315晚會就展示了人臉識別系統的漏洞。

　　與這些時髦的安全支付技術相比，數字證書雖然顯得不太“有趣”，但綜合安全性、可靠性、精準性、便利性后，其仍是目前保障網絡支付安全的最佳選擇。而將數字證書與FIDO等生物識別技術或銀行卡、身份證認證手段相結合形成的“FIDO+”、“網絡身份認證平臺”等解決方案也將在未來提供給我們更為堅實、便捷的網絡支付保障。

　　如您希望深入了解數字證書的更多信息，請致電010-59798680或登錄www.cfca.com.cn進行查詢?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇