電子商務的核心問題是支付，而支付的核心問題是安全。因此，安全關乎的是一個較大領域的整體發展問題。美國互聯網犯罪投訴中心指出，黑客利用各種非法手段竊取網上銀行客戶賬號，使越來越多的美國銀行客戶蒙受損失。

可以說，網絡正在成為人們生活的另一度空間。盡管人類互聯網的歷史并不長，但網絡安全的問題卻曾經困擾了人們很久，黑客的陰影像幽靈般于網際揮之不去。當人類已經實現網絡購物，并大膽地在網上轉賬支付購買時，網絡支付的安全問題更成了人們的一塊心病。網絡購物原本只是一列普快，當數次提速如今晉身為高鐵時，若不保證制動系統的靈活有效，高鐵很有可能會沖進萬劫不復的深淵。

究竟，網絡支付安全領域目前的發展狀況如何?它是如何工作的?又能否有效抵御外界的惡意侵犯，擔當起保衛人民群眾財產安全的重任呢?

支付安全需求

電子商務的核心問題是支付，而支付的核心問題是安全。因此，安全關乎的是一個較大領域的整體發展問題。然而，在電子商務的發展過程中，曾一度因支付的安全問題而遭遇到發展的瓶頸。

網上支付安全問題源于互聯網自身的開放屬性，而目前網絡技術發展的局限性促使這一問題仍未得到徹底解決。目前看來，網上支付比較常見的方式是用戶通過瀏覽器輸入必要的支付認證信息，經過用戶所持銀行卡的發卡行認證授權后扣款完成在線支付。網絡支付安全問題就發生在這樣一個支付過程中，主要表現為來自外部的對網絡和網絡服務器的攻擊，包括通過截獲IP包，更改和偽造數據、偽造鏈接，或者通過分析數據流、非法竊聽來截獲重要信息。據此，支付風險主要體現在支付被無故中斷、身份難以識別、支付信息被莫名偽造、篡改、泄漏和抵賴。因此，從這樣的現實需求出發，網上支付要安全地進行，就必須要建立起一套安全的基礎設施，能夠為不同的用戶帶來不同的需求。

一個怎樣的網上支付環境可以當“安全”二字而無愧呢?

現實生活中，身份證、軍人證、學生證等都是可以確保個人身份的工具。而網上交易，交易雙方無法碰面，更加需要交易雙方能夠確認對方的身份，確認一旦成功，交易才會展開。簡而言之，認證就是證實一個聲稱的身份或角色，如用戶、機器、節點等是否真實的過程。因此，安全首先應當具備的是“身份的可認證性”。

網上交易數據，如銀行賬戶信息等對交易雙方至關重要。保護數據就等于保護用戶的金錢。目前對于類銀行卡數據這樣的敏感信息采取的是加密的手段，即便數據被截獲或竊取，真實內容仍會被保護起來，不受威脅。因此，數據的機密性是安全的核心內容。

在支付的過程中，一筆寫有“劃入A 1000元”的單子被途中截獲，信息篡改成“劃入B1000”后走到銀行，銀行若對此無法識別，本應支付給A的1000元便會流入B的賬戶中。這是信息的不完整性造成的，在開放的公網上支付信息遭遇被篡改，信息的完整性和有效性被破壞。

保證不可抵賴性是網上支付安全的一個重要需求。電子化時代，手寫簽名和印章作證的歷史將逐步退出歷史舞臺。而是必須要在交易信息的傳輸過程中為參與交易的個人、企業提供可靠的標識，使得對支付信息的內容及傳輸，信息主體不可抵賴。

支付安全正解

面對來自各方面的安全威脅，手無寸鐵的互聯網網民是不是就該束手待斃，望網購而興嘆呢?當然不是，目前，國內外部分廠商和專家已給出了相應的解決辦法，并基本上滿足了人們的互聯網支付需求。這十多年來電子商務逐年看漲、形勢大好就是明證。

究竟是誰在充當著幕后英雄，為網民的支付安全盡職盡責呢?主要的技術成員有密碼技術和認證技術。

密碼技術指的是給信息進行加密的技術，它是網上支付活動中采取的主要安全技術手段。其基本思想是用偽裝明文替換真實內容，如用明文C替換真實內容D，這種替換的操作過程即為加密。然而解密需要用戶持有密鑰才可以完成，及恢復數據原貌。通常密碼體制由對稱密鑰體制和公開密鑰體制兩大類組成。對稱密碼體制指的是加密密鑰和解密密鑰相同，或者雖不同，但很容易由其中一個推出另一個的算法。公鑰密碼體制指的是加密密鑰和解密密鑰可進行保密通信。加密密鑰與解密密鑰不同，加密密鑰公之于眾;解密密鑰只有解密人自己知道。密碼技術因其可以在潛在的不安全環境中保證通信及存儲數據的安全，避免信息泄漏而成為認證技術的基礎，亦是信息安全的核心技術。

公鑰技術使得身份認證、數據完整性、數據保密性、不可否認性的需求得以實現。然而，沒有完整性保護措施就分發公鑰會削弱這些安全服務，因此必須提供一種機制來保證公鑰以及與公鑰相關的其他信息不被偷偷篡改，因此數字證書就有了用武之地。數字證書技術包括消息摘要、數字簽名技術、數字時間戳。其中，數字簽名可以使得用戶在網絡的虛擬環境中可以確認身份，可以完全替代現實生活中的“親筆簽名”，且在法律上有保證。數字簽名技術主要還是應用在數字證書和交易通信過程中。

認證技術作為安全保障而出現和存在，其重要的一個分支就是CA認證。CA即Certification Authority，意為認證中心。因為在網上展開購物時，無論是數字證書的發放還是數字時間戳的服務，都需要有一個具有權威性和公正性的第三方來完成。 CA通常是企業化運作，通過自身的注冊審核體系，核實證書申請的用戶身份和各項相關信息，使網上交易用戶屬性的客觀真實性與證書的真實性一致。CA中心對網上交易活動中的數據加密、數據簽名、數據完整性所需的密鑰和認證實施統一集中管理。

密碼技術層和認證技術層搭建好了以后，尚需要一份業界都認可的協議，來統一標準。目前，有兩種安全在線支付協議被廣泛采用，即安全套接層 (Secure Sockets Layer,SSL)協議和安全電子交易(Secure Electronic Transaction,SET)協議。二者均較成熟與使用。SSL協議由網景(Netscape)公司推出，對信用卡和個人信息提供較強保護。SET協議是由MasterCard和VISA及其他主流廠商推出，用來保證在公共網絡上銀行卡交易支付的安全性。而公鑰基礎設施(Public Key Infrastructure,PKI)則提供公鑰加密和數字簽名的服務，是一種驗證持有密鑰的用戶身份的綜合系統。

遠慮的CFCA

我國的CA歷史最早可追溯到1997年底，中國電信開始在長沙進行電子商務試點工作，這其中便涉及到CA的職能。1998年9月，為解決中國電子商務網上交易和網上支付的安全問題，由中國人民銀行牽頭組織全國12家商業銀行聯合建立我國金融行業統一的第三方安全認證機構——中國金融認證中心 (China Financial Certification Authority，簡稱CFCA)。1999年8月，中國電信CTCA獲批面世，成為首家在公網上運營的CA安全認證系統。2000年6月29日 CFCA(中國金融認證中心)在京正式掛牌成立。旗下業務有兩大塊兒內容：SET CA和Non-SET CA。兩套系統均于2000年通過了國家密碼管理委員會和人民銀行支付科技司聯合主持的密碼產品本地化工作的安全檢查并開始對社會各界提供證書服務。 2004年宣布正式對接市場的CFCA堅持把眼界放寬、把心量放大、把姿態放低，勤懇于市場的耕作，專門為各類用戶提供包括電子商務、網上銀行、網上證券交易、支付系統和管理信息系統在內的金融認證服務，為參與網上交易的各方提供安全基礎，建立信任。始于2004年12月由CFCA牽頭十多家商業銀行發起的“放心安全用網銀聯合宣傳年”活動積極推動了網上銀行的發展。據2006年7月的數據統計，CFCA數字證書發放突破100萬張。去年3月，CFCA處傳來喜訊，其“統一的電子商務安全網上支付平臺”項目通過中國人民銀行驗收。這也意味著CFCA將向縱深化、專業化目標邁出了堅實的一步。

然而目前，我國的網上支付安全市場仍然存在著嚴峻的問題。從用戶的角度來看，國民普遍對網上支付安全以及數字證書認證機構絲毫不知，市場缺了用戶這一大塊兒的信任與支持。從銀行的角度來看，包括國內最大的商業銀行中國工商銀行在內的數十家銀行自行制定支付安全認證證書，既當裁判員又當運動員，這樣的游戲只有用戶輸的份兒。從支付安全企業來看，其與國際接軌、為世界所認可尚需時日。