2017年3月31日，備受關注的非銀行支付機構網絡支付清算平臺（下稱“網聯”）啟動試運行，并于6月30日完成市場主要大中型支付機構和銀行的接入，新版業務規則發布以及生產壓測等準備工作，正式開始業務切量?！熬W聯”建設的重要意義在于切斷第三方支付機構與銀行的直聯，回歸支付和清算相獨立的合規合理模式，助力監管機構有效監控第三方支付的資金流向，完善支付清算體系，防范金融風險。

　　過去，支付機構直聯銀行的模式存在多種隱患，其中包括支付信息過于分散、消費者個人支付的敏感數據易泄露等信息安全問題。而“網聯”作為行業交易數據的轉接樞紐，將按照金融等保四級標準搭建完善安全體系，確保支付數據安全。特別是當大量支付信息等敏感數據都以“網聯”作為中心節點進行傳輸時，如何從技術上保障這些數據在傳輸中的機密性、完整性、真實性及抗抵賴性就成為“網聯”必須解決的問題。為此，“網聯”與第三方電子認證機構中國金融認證中心（CFCA）開展合作，使用了基于數字認證技術的安全方案。

　　該方案基于CA/RA總體架構，在本方案中，所有接入“網聯”的銀行、支付機構都需要一張類似身份證那樣的身份證明來證明自己的身份，這一證明就是數字證書。接入平臺的機構向部署在“網聯”平臺的RA（證書頒發系統）提出證書申請、提交身份資料，RA將審核通過的申請發送至與其直聯的CA（即CFCA），之后CA頒發企業數字證書并通過RA發放。

　　企業數字證書包含企業機構信息，用于認證銀行、支付機構身份，并結合簽名驗簽服務器，完成私鑰簽名、公鑰驗簽的業務流程。例如當某支付機構向“網聯”傳輸支付數據時，系統會使用哈希函數對報文數據生成摘要，并用支付機構的私鑰對摘要進行數字簽名，生成簽名數據，再把原始支付數據報文和簽名數據發送給“網聯”?！熬W聯”收到數據報文和簽名數據后，首先使用相同的哈希函數對數據報文生成一個摘要，再用支付機構的數字證書公鑰對簽名數據進行驗證并得出一個摘要，最后比對原始數據摘要和簽名數據摘要的內容是否相同。如相同，“網聯”即可確認發送方的身份，且數據內容在傳輸過程中未經篡改。這一過程保證了支付數據的完整性、一致性、防篡改性，確保支付數據簽名符合《電子簽名法》，具備法律效力，任何一方均不可抵賴。

　　通過數字證書的簽發及簽名驗簽，“網聯”得以保障支付數據的真實性、機密性、完整性及抗抵賴性?？紤]到平臺對數據傳輸安全性和系統易用性的高要求，“網聯”與CFCA對該方案進行了優化，使其具備以下特點：

　　部署自建RA：“網聯”采用了自建RA，與托管RA等部署模式相比，具備自主可控、集成方式靈活、網絡穩定性好等優勢?？梢造`活應對未來數字證書發證量的發展變化，并支持API接口集成，應用方式多樣，同時證書申請的證書信息及用戶信息自動同步至平臺業務系統，方便查驗和管理。

　　支持國密算法及高級加密標準：根據國務院辦公廳《金融領域密碼應用指導意見》的要求，我國到2020年要實現國產密碼在金融領域中的全面應用。而該方案中涉及的產品系統均支持SM2、SM3、SM4國密算法，并具備運算效率高、數字簽名后的運算結果值小、節約存儲資源等優勢，同時產品系統也能兼容RSA2048等國際算法并支持AES256高級加密標準。AES256是目前安全等級最高的對稱加密算法，在業務場景需對大量內容進行加密時，AES256可以發揮高效加密的優勢。

　　國產SSL證書傳輸層加密：CFCA為與“網聯”連接的各大機構頒發SSL數字證書（亦稱服務器證書）。SSL證書是加密保護傳輸中支付數據的關鍵，其通過在服務器間建立加密傳輸層，讓HTTP明文傳輸升級為HTTPS密文傳輸，并驗證服務器真實身份，使數據傳輸連接僅在可信服務器間建立。CFCA國產SSL證書的頒發嚴格遵循全球統一的身份驗證標準，在產品性能、平臺適用性等方面可比肩國外頂級SSL證書?！熬W聯”、銀行、支付機構采用CFCA國產SSL證書，不僅能避免金融信息外泄風險，亦可滿足不同平臺用戶的加密需求。

　　數字信封加密：“網聯”與各銀行、支付機構之間的通信報文，都是先對敏感內容（如個人銀行賬戶名稱、個人支付賬戶編號等）進行數字信封加密再進行傳輸。普通信封在法律的約束下保證只有收信人才能閱讀信件內容，但我們知道這并不能完全避免有人私拆。

數字信封工作過程

　　數字信封通過采用對稱加密與非對稱加密技術保證了只有規定的接收人才能閱讀信息內容，第三方無法窺探。這種先用數字信封加密內容、再通過HTTPS加密傳輸的模式為支付數據上了“雙保險”，即使傳輸層被攻破，攻擊者也會因沒有私鑰而“打不開”信封。

　　經過“網聯”與CFCA的共同努力，這一數據安全傳輸控制方案已成功實施，成為確保銀行、支付機構以標準化、規范化接入“網聯”平臺的重要一環。2017年3月14日，“網聯”專線成功接入CFCA系統，完成第一筆數字證書申請業務。試運行三個月來，“網聯”平臺運行穩定，各項工作都在按計劃逐步推進，越來越多的銀行、支付機構陸續接入“網聯”，該方案的作用也在逐步體現，使更多傳輸中的支付數據得到加密保護和真實性認證，成為保護平臺數據傳輸安全的基石，協助“網聯”這一重要的金融基礎設施促進互聯網支付市場的穩定發展，為支付用戶的資金、信息安全提供有力保障。

責任編輯：韓希宇