对我国网上银行安全认证问题的思考,本文主要内容关键词为:网上银行论文,安全认证论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
在很短的时间里,互联网迅猛发展,快速地改变了整个人类社会的生产生活方式,极大地推动了生产力的发展。为了在网络经济环境中取得竞争优势,各国银行业纷纷进行金融创新,推出网上银行服务。
但随着网上银行服务的开展,信息安全问题也随之而来。传统方式的交易支付信息是在银行的内部网络中传输的,内部网络和外部网络采取了相当的安全隔离措施,因此内部网的安全性是比较高的。网上银行则不同,它以互联网为依托,于是开放网络下的身份确认问题、访问控制、数字签名、数据保密等一系列安全问题暴露出来。当前,信息安全正成为网上银行服务开展中的核心问题。
为了有效防范安全风险,各国都致力于信息安全技术的开发。和信息技术的迅速发展相对应,信息安全机制经历了不同的发展阶段,从较为简单的口令(ID)、VLAN发展到了以电子商务、电子政务为保护对象的PKI、PMI等基础设施性安全机制。相比较而言,PKI(注:PKI——公钥基础设施,PKI作为安全服务基础平台,其核心功能是在公钥加密技术基础上实现证书的产生、管理、存档、发放以及作废等功能。)/CA(注:CA——谁机构。)技术是目前能为各方所接受的成熟安全技术,特别是在第三方信任问题上提出了较好的解决方案。
为了确保网上银行信息安全,我国包括四大国有银行在内的全部全国性商业银行网上银行都采用了安全认证技术。但由于PKI/CA技术在网上银行应用的时间还比较短,包括PKI厂商、银行自身、证书客户、政府监管部门在内的各方对安全认证技术的应用和管理都还属于探索阶段,目前我国网上银行安全认证建设在认证体系规划、认证技术标准统一、认证机构管理、相关法律制定上都存在着较大的不足,而其中最为突出的一个问题是目前我国各网银安全认证机构仍相互孤立,无法实现跨行认证和跨行交易。本文拟对此问题提出建立我国网上银行统一安全认证平台的建议,并就三种具体的架构设想进行比较和分析。
一、我国网上银行安全认证的发展现状
与国外发达国家相比,我国网上银行的发展略晚一些,但发展迅猛,现已粗具规模。截至2002年,我国已有20多家银行的200多个分支机构拥有网址和主页,其中开展实质性网上银行业务的分支机构达50多家,包括中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、招商银行等全部全国性商业银行都开通了网上银行业务,网上银行客户超过40万(注:孙玉.中外网上银行业务发展比较与借鉴[M].金融电子化.2002(10).)。
目前,我国几乎所有开展实质性金融业务的网上银行都采用了安全认证技术来确保交易信息的保密性、完整性、可用性和不可否认性。以下就我国网上银行安全认证的发展现状作一分析。
国内全国性商业银行共有14家,它们的认证服务主要有两种方式实现:
第一种是自建CA为自己的网上银行客户提供认证服务;目前,中国工商银行、中国农业银行、中国银行、中国建设银行、招商银行、交通银行、浦东发展银行建有自己的CA,只为自己的网上银行客户提供认证服务。其中除了中国建设银行、交通银行CA只为自己的B2C客户提供认证服务外,其他几家CA都为自己的所有网银客户提供认证服务(包括B2B和B2C业务)。
认证机构
证书服务对象
中信实业银行、华夏银行、光大银行、
民生银行、兴业银行、
中国金融认证中心CFCA 广东发展银行、深圳发展银行
中国建设银行B2B网银业务、交通银行
B2B网银业务深圳市商业银行
中国工商银行CA
中国工商银行
中国银行CA
中国银行
中日建设银行CA
中国建设银行B2C网银业务
中国农业银行CA
中国农业银行
招商银行CA
招商银行
交通银行CA
交通银行B2C网银业务
浦东发展银行CA
浦东发展银行
注:上表中如未特别指出,证书服务对象包括该网银的所有业务(包括B2B、B2C4业务)第二种是采用了中国金融认证中心颁发的证书。目前,中信实业银行、华夏银行、光大银行、民生银行、兴业银行、广东发展银行、深圳发展银行的所有网上银行业务采用了CFCA(注:CFCA——中国金融认证中心1999年,由中国人民银行牵头,组织中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、深圳发展银行、招商银行、广东发展银行、中国民生银行、福建兴业银行等13家商业银行联合共建了CFCA,意在为金融行业提供统一的认证服务。)的证书。交通银行和中国建设银行的B2B业务也采用了CFCA签发的证书。
总结以上情况,可以看出我国网银认证呈现以下特点:14家全国性商业银行网银的安全认证服务全部由行业性CA提供,其中7家商业银行自建了CA为自己的网银客户提供认证服务,CFCA则为其余的多家商业银行提供认证服务,其中存在的一种特殊情况是中国建设银行和交通银行的网银由两家CA提供认证服务(CFCA和自建的CA)。
二、我国网上银行安全认证建设中存在的问题
我国目前的网银安全认证由于建设时间很短,加之安全认证问题涉及众多部门,存在着诸多问题,目前亟待解决的现状是:
1、网银安全认证无权威管理部门,网银认证机构建设呈现无序状态
从整个国家的现状看,我国CA建设目前缺乏国家统一指导,管理较为混乱,同样的问题也存在于网银认证机构的建设上。出于统一规划的目的,1999年,由中国人民银行牵头,组织中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行等13家商业银行联合共建了CFCA,意在为金融行业提供统一的认证服务。但出于管理等各种原因,在CFCA建成的同时,四大国有银行、交通银行、浦东发展银行和以电子业务见长的招商银行仍然自建了自己的CA,并为自己的网银客户服务。所以,目前有多家CA为全国14家全国性商业银行提供安全认证服务。
2、网银安全认证标准不统一,无法跨行认证
网银安全认证标准不统一是认证机构管理缺位、无统一规划的直接产物。目前,各家认证机构采用的技术标准和管理规范存在差异,CA间缺乏信任机制,无法互通。具体表现在目前国内各网银认证中心签发的证书,无法实现跨行认证和跨行交易。如工商银行网银客户如持工商银行CA证书是无法享受到中国建设银行的网银服务的,结果是客户如要享受多少家网银的服务,就必须持有多少家网银的证书,安装多少家网银的客户端软件,给客户带来了诸多不便。
三、对建立我国网上银行安全认证体系的设想
针对目前我国网银安全认证无法跨行认证和跨行交易的现状,应对之策在于对网银认证机构的建设进行统一规划,建立结构清晰的认证体系,以实现证书的跨行认证。
2002年,国务院信息化工作办公室委托组织专家组进行了国家PKI体系的研究,该研究组研究报告《国家PKI体系总体框架》(2002年7月完成)提出了建立国家公共PKI体系和国家级桥CA的设想,认为国家公共PKI体系应该服务于各种公众网上业务,如网上金融业务、网上购物、政府面向公众服务的电子政务业务等,笔者认为我国网上银行安全认证体系应该属于国家公共PKI的一部分。基于这种考虑,笔者提出以下三种网上银行安全认证体系的建设方案:
方案一:桥接方案
该方案的具体内容是:建立银行业桥CA,为全国性商业银行提供认证服务的CA(如CFCA、四大国有银行CA、招商银行CA、浦东发展银行CA)均和银行业桥CA实行交叉认证,以实现互操。
图2、桥接方案
桥接互通模式具有良好的扩展性,既能充分尊重和利用现有的认证机构建设现状,又可为将来更多的网银认证机构的加入留有余地。目前CFCA、国有银行CA、招商银行CA、浦东发展银行CA都基本上以银行业为服务对象,认证技术标准和认证策略相似,接入银行业桥CA有利于策略映射的建立,可以提高网银认证的互操作效率。
针对我国网银安全认证的现状,桥接方案应该讲是一种比较好的方案。从技术角度讲,该方案对现有各CA的改造不会太大。其真正的难度在于投资成本和协调问题上,由于桥cA的建立涉及到多家银行,牵扯到各家利益,若没有权威部门的管理和协调,桥接方案的实现将存在困难。
方案二:交叉认证
该方案的具体内容是,为全国性商业银行提供认证服务的8家CA进行交叉认证交叉认证。方案的优点在于投资小,不必像桥接方案那样需要另外建立一个桥CA,同时该方案容易实施,不需要对现有CA系统作大的改动,仅需在现有CA中装入其它家CA的根证书即可。
但与此同时,交叉认证方案扩展性差的缺点也很明显,在CA家数少的情况实施较为可行,但CA数量一旦增多,交叉认证数量易急剧膨胀。目前,我国为全国性商业银行提供认证服务的CA有8家,如果各家之间均交叉认证的话,相互签发的证书将是=56张,已经有相当复杂度。故本方案实施的前提是国家对网银CA建设进行严格的准入控制,不再允许银行(包括地方性商业银行)再建CA。
图2交叉认证方案(本图仅为示意)
笔者认为,如果国家能强化网银CA准入管理,交叉认证方案具有一定的可行性。
方案三:建立网银根CA
本种方案结构简单明了,即建立银行业统一的根CA,所有的商业银行cA均建立在统一根下,大家是一个可信的PKI域,方便地实现跨行认证和跨行交易。
其中根CA负责用来创建整个银行业PKI系统的方针策略,为下属政策PCA签发公钥证书;政策PCA负责制定根CA的具体政策,为下属商业银行CA签发公钥证书。
根CA
政策PCA
商业银行CA 商业银行CA 商业银行CA
该种方案在我国银行业CA建设之初已经有人提出,应该承认其优点是非常明显的,但该方案仅比较适合于自上而下的建设模式,先有根CA再进行下属CA的建设比较容易。针对目前我国网银CA林立的情况,该方案实施难度很大,如果再建立统一根CA,需要对现有网银CA作大的改造,似乎不利于整个网银认证市场的发展。
目前,我国网银安全认证建设时间尚不长,问题的存在在所难免,但从长远的角度看,互联互通是大势所趋,建立银行业统一的安全认证平台是跨行交易的必要前提。唯有如此,“一证在手,走遍神州”才能成为现实。
标签:中国建设银行论文; 商业银行论文; 交通银行网上银行论文; 网上银行业务论文; 信息安全论文; 网银支付论文; 银行业论文; pki论文;