在网络经济活动中,法律法规环境是不可或缺的条件,而有关电子签名(或数字签章)的法规是网络经济法规的核心。在国家主管部门的高度重视下,经过各方的不懈努力,盼望已久的《电子签名法》终于由人大审议通过并正式颁布了。近几年网上银行交易的发展,动则上千万的交易每一笔交易都需要电子签名来保障。金融行业中安全性高,单据完备、审计严格等特点决定了电子签名的重要性。所以,《电子签名法》对金融领域信息化的建设和发展有着特别重要的意义。

  认证机构的重要作用

  目前国内的电子签名应用主要运用了以非对称加密为基础的PKI技术。在整个PKI构架中,CA中心是处于核心位置的,其职责是在下发数字证书之前查实其使用者的身份。此外发证机构还要及时公布已经无效的证书,并且负责对发放的证书进行管理。CA中心是整个PKI体系信任链扩展的基础,信息传输双方就是因为信任一个权威的CA中心,从而相信持有CA中心签发证书的人的身份。

  在许多实际应用中,第三方的CA发挥着重要的作用。所谓第三方,就是指独立于交易双方当事人的任何一方。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,网上交易就根本无从谈起,而第三方是CA公证性的重要体现。在互联网这种开放、不设防、复杂的信息交互环境中,第三方CA为信息交互双方承担了网上信息安全的部分责任,对交易双方起到规避风险的作用,即在互联网部分由CA通过发放数字证书来保障信息的传输安全。在出现网银纠纷时,第三方CA为当事人双方提供相应的证明。由于种种原因,目前国内一些银行没有使用第三方CA。

  另外,第三方认证机构能够更好地证明电子签名的有效性。在《电子签名法》中规定,安全的电子签名才能与手写签名具有同等的法律效力。而第三方CA由于独立于交易双方,能很好地证明这种签名私钥的专有性,技术上也能够有很好的保障。

  当然,并不是说所有的交易都要使用第三方的CA认证机构。但是,对于应用领域和范围都很广泛的面向公众的服务来说,是应当采用第三方的认证机构的,因为这些服务要求CA机构必须有足够的公信力和权威性。

  电子签名在金融业的应用

  金融行业是电子签名应用最活跃、最广泛的领域。其中,作为金融行业统一的第三方安全认证机构,在保障网上交易安全,提供公正、可信的认证服务方面发挥了重要的作用。数字证书和电子签名在网银的应用主要有以下几个特点:

  银行审核网银用户身份的真实性。用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。

  交易额大、安全性要求高的交易必须使用数字签名。由于数字签名是一种相对复杂的计算方式,签名的过程要耗费一定的系统资源,一般是在交易金额大、安全性要求高的网银业务中使用数字签名。当然,数字签名会在更多的业务中得到应用。

  通过协议来保证第三方认证机构和银行及用户之间的权利义务关系。银行对于第三方认证机构来说有两个角色,首先银行作为第三方认证机构的证书注册审批机构RA,是第三方认证服务的一个重要环节,相当于第三方认证系统的延伸;银行的另一个角色就是作为证书的使用者。

  当发生争议时,作为第三方的认证机构有义务对数字签名的有效性进行确认。具体包括提供签发该张用户证书的CA证书;提供该张数字证书在交易发生时,在或不在发布的数字证书废止列表的证明;对数字证书、时间戳、和电子签名的真实性和有效性进行确认等。今后随着《电子签名法》的实施,类似的这种争议或纠纷就能有法可依,能更好地保障银行和用户的权益。

  以上是围绕电子签名简单地介绍了电子签名在网银中的应用特点。从应用的范围和广度讲,目前国内的网上银行业务中基本上都采用了数字签名技术。

  如何使用网银和电子签名

  用户如何获得第三方证书,用户可以通过第三方设在各商业银行分支机构的受理点办理证书申请和审核手续,具体的证书审批方式和流程由各受理机构规定。下面以深圳发展银行的网上支付业务为例来说明。

  深圳发展银行早在2002年就建立了电子商务的核心环节——“网上支付”系统,目前已经全面覆盖国内主要电子商务平台,为用户的网上支付结算提供快捷、安全的服务。

  使用网上支付系统的用户分为B2C、B2B两种。B2C是个人客户在商户网站购物、代缴水、电、燃气、学费等等支付业务进行网上结算;B2B是企业客户在商户网站购物进行网上结算。

  B2C(企业对消费者)网上支付使用银行网站支付的,客户首先通过网上或银行柜台注册成为银行网站个人用户,再到银行柜台开立数字证书,然后便可利用注册的银行卡、活期一本通账户实现无限额网上购物实时支付结算。

  对于B2B(企业对企业)网上支付,企业客户须在银行柜台注册成为银行网站企业用户,并开立数字证书,然后由企业网银管理员将结算账户的使用权分配给相应的操作员,该操作员便可使用分配的企业结算账户实现网上结算。

  可见,数字证书就是网上交易双方的电子身份证,用于验证网上银行用户的身份和对用户的网上交易等信息进行加密和数字签名,经过数字签名的交易具有不可篡改和不可否认性,因此网上银行的支付、转账等重要操作必须使用证书才有法律和安全保障。

  数字签名、CA认证正在银行等交易领域中获得广泛应用

  点评

  CA运营和PKI建设的体会和建议

  1. 在实践中寻找安全和效率的最佳结合点。

  数字签名技术的广泛应用必须和用户的实际需求相结合。处理安全和效率的矛盾时要从实际出发加以分类分级,根据重要性和风险程度,提出不同的安全要求和措施。《电子签名法》在法律上肯定了签名的有效性,推动了网上安全措施的普及和强化。随着技术的不断改善提高,使用中的技术障碍会越来越小,认证效率则越来越高。

  2. 重视标准和规范,加强对CA机构的管理

  不同PKI域的互通是必然的发展趋势,而互通的基础就是重视标准,强调统一。《电子签名法》中虽然对第三方认证机构的必备条件提出了要求,但实践中还需要相关法规和具体的实施细则,包括对CA机构准入、对CA的管理和评级、对CA运行的审计等。

  3. 推进相关的法律法规的调整和完善。

  有了《电子签名法》银行就可以制定网上电子支付规则,制作电子支票,实现网上的快速资金结算。


  阅读关于 电子签名 金融 的全部文章