随着网上银行日益流行,电子支付逐渐成为全球银行业的重点业务之一,然而其安全问题始终是用户心中的隐忧,Unisys大中华区金融事业群产品行销总监彭文华表示,支持双重身份认证的公钥基础设施(PKI)技术将是较好可行的解决途径,而这方面的最新发展是使用“软硬兼施”的软件智能卡技术:
随着网上银行日益流行,电子支付逐渐成为全球银行业的重点业务之一,然而其安全问题始终是用户心中的隐忧,Unisys大中华区金融事业群产品行销总监彭文华表示,支持双重身份认证的公钥基础设施(PKI)技术将是较好可行的解决途径,而这方面的最新发展是使用“软硬兼施”的软件智能卡技术:
问: 安全对金融行业当然十分重要,为什么这对电子支付业务越发重要?
彭文华: 假如支付业务出现安全漏洞,会导致金融单位及其客户蒙受直接经济损失,而更严重的是客户对银行不满、同时市场对其服务失去信心,根据行业统计,银行有40%的收入是来自支付业务,堪称是其的命脉。
在另一方面,网上银行令安全战线大幅度加长,便利与危险是互联网的共生物,身份盗窃、网络钓鱼及冒名诈骗等网络骗术早已不是新鲜事物,问题是此等骗术的手法日益高明,令银行及其客户带来很大的挑战。
在中国金融认证中心发表的一份报告也指出,有60%的网民基于安全顾虑而不通过网上银行进行大笔交易。中国银行业监督管理委员会在今年6月公布一份名为《关于做好网上银行风险管理和服务的通知》,其中对各银监局、各政策性银行、国有商业银行、股份制商业银行及邮储银行提出的最一项要求便是“加强用户身份验证管理…各商业银行最迟于2007年12月31日前应对所有网上银行高风险帐户操作统一使用双重身份认证,双重身份认证由基本身份认证和附加身份认证组成…”。
问: 解决电子支付的安全问题有何良策?
彭文华: 最原始的方法是单一身份验证,也就是预先注册在银行的用户名及口令或密码,这种方法的缺点是安全系数不高。
双重身份认证是在基本身份认证方法的基础上,要求用户增添使用附加身份认证,这是指网上银行用户持有、保管并使用可实现其它身份认证方式的信息(物理介质或电子设备等)。
更进一步者是使用三重身份认证明,这是在双重身份认证的基础上加上生物科技身份鉴别,例如视网膜扫描技术等,但其缺点是在互联网上大批量应用的成本将十分高昂。
有鉴于此,电子支付使用双重身份认证是恰到好处的选择。
问: 能否介绍Unisys在双重身份认证方面的技术优势?
彭文华: 目前最常用的数字身份证书是软件证书和基于硬件的身份令牌,软件数字证书使用比较方便及成本较低,但其安全性容易被攻破。硬件身份令牌是USB 钥匙,用户在使用网上银行服务时必需在电脑插入这块令牌作身份确认,其安全性比一般软件证书高,但使用时不便利(例如令牌没有随身携带,被窃或出现故障),成本也较高。另外大多数的网银用户通常在多家银行都有账户,常被迫必须要带好几个USB 钥匙在身上,相当的麻烦。
有鉴于此,兼具“软硬优势”的将软件级智能卡(Software Smart Card)是较理想的解决途径。软件级智能卡可以安装在个人电脑上,或是放进随身碟携带、储存于PDA、或使用者在无法使用个人电脑时,能透过安全的遥控存取装置下载。软件级智能卡拥有虚拟无限扩充性、非平行使用简易性、和极低潜在变动性,能在不影响附属程式或系统效能的同时,将数以万计的使用者升级至此强力认证。
就以Unisys提供的双重身份认证方案,远优于传统的数字证书,它采用了PKI为基础的软件级智能卡,拥有下列优点:
(一) 防范交易中的恶意攻击(Man-in-the-middle attack)
软件级智能卡能预防交易时遭到有心人恶意攻击,并能远端存取、远离网络钓鱼威胁。软件级智能卡辨识能在动态密码锁(On-time password)与Grid Pads无法发挥效用时保障使用者。
(二) 无形部署公共钥匙基础结构强化认证(PKI-strength authentication)
同时保有如同仅使用单一密码的方便性使用者将不会察觉已升级至公共钥匙基础结构强化认证。他们将能保有原先的登入帐号及密码,而软件级智能卡会低调地执行PKI安装运作,也没有任何客户端软件需要下载或安装。
(三) 保护原有的基础设备投资
软件级智能卡整合原有的存取管理系统、PKI基础建设、和其它防护产品。减少因为强化此认证,而升级其它系统的需要。
(四) 降低所有权的支出
软件级智能卡提供完整的双重认证软件,能同时降低所有权的支出与简化管理程序,这些均是其它硬件选择无法提供的。
(五) 符合法规要求
软件级智能卡符合项政府及业界针对强力认证所订的标准,包括FFIEC,SOX,HIPAA,SAFE和IdenTrust。
(六) 可延展性扩充应用
我们所采用的软件智能卡,功能远胜于传统的SSL数位证书。由于使用PKI为基础,同一张卡可以运用于未来加解密电子帐单,数字签名等运用,可以说是一举数得。