- 相關推薦
刷卡消費中身份識別新方法探討
內容摘要:驗證身份與鑒別簽名是日常生活中經常會遇到的,鑒別假身份證、鑒別假簽名是一項技術要求非常高的工作。由于互聯網的出現、信息安全技術的不斷完善,例如RSA技術、PKI公鑰基礎設施、CA認證機構等,為簡化鑒別手段、鑒別方法以及鑒別過程提供了有力保證! £P鍵詞 :數字身份 數字簽名 RSA PKI CA
日常生活中人們到商場購物,付款方式一般有兩種:采用現金結算或采用銀行卡結算。2006年1月4日和1月5日某媒體連續刊登了兩篇報道,題目分別為《刷卡簽名商家有責辨真偽》、《銀行卡被盜刷商家沒過錯》。這兩篇報道代表兩個完全對立的觀點,但是闡述的內容都具有相當的說服力。這就提出兩個問題,第一,當銀行卡被盜刷的情況下,由此產生的損失到底應該由“卡”的所有者承擔,還是應該由收款的商家承擔?第二,能否避免這種損失的發生?筆者對兩個問題的回答是:在現有的法制環境、技術手段下,無法準確的判斷損失、無法準確的分清責任,也就無法準確的判罰;采用新的安全技術能夠避免這種損失,一旦出現被盜刷的情況,可以依法判罰。
傳統身份識別、簽名識別存在的缺陷
在現有金融支付平臺上使用銀行卡時,支付過程如下:在銀行提供的聯網POS機上刷卡,由客戶輸入密碼,密碼驗證通過后POS機打印銀行轉賬單據,客戶在轉賬單據上簽名,客戶出示有效身份證明(如身份證),收款員驗證客戶簽名及身份證明,收款員打印銷售發票,至此整個支付過程結束。其中收款員驗證客戶簽名及身份證明是非常關鍵的一個環節,本文所提出的問題就是針對這個環節。
該媒體兩篇報道中支持卡所有者的觀點認為,使用手寫簽名是銀行卡不被盜刷的基本保障。這樣可以鑒別刷卡人是否為卡的所有者。在中國銀聯頒發的《收單規范》中要求收單商戶必須仔細核對簽名,以防銀行卡被盜刷。因此從卡的所有者角度出發,收單商戶有責任對刷卡人的真實身份進行確認,對簽名的真偽進行鑒別。如果收單商戶不對刷卡人的手寫簽名進行鑒別,將意味著銀行卡所有者的安全大門完全失去了最基本的設防。這種情況是任何合法交易對象,無論是收單商戶、還是合法卡的所有者所不愿意看到的,將導致擁有銀行卡的用戶不再敢使用刷卡的方式消費,也意味著商戶將失去一部份客戶。
而站在收單商戶的立場認為,銀行卡被盜刷商家沒有過錯。商家無權干涉持卡者的消費方式,涉及的銀行與銀聯也沒有義務對POS機操作員進行培訓,重要的是法院則認為刷卡過程中是否應該對簽名進行鑒別、核對,相關法律法規沒有做出特別規定,也就是說沒有法律依據。所以據此,如果客戶的銀行卡丟失后沒有及時掛失造成的損失,收單商戶沒有責任。
刷卡是一種非常方便的支付方式,但是要得到人們的認可、在生活中得以推廣,必須有一個安全的支付環境和支付工具,使得卡的所有者、收單商戶、銀行三方的利益都得到充分的保護。
筆者認為,在目前的技術條件下,要求POS機操作員僅僅依靠身份證來識別刷卡人的真實身份,同時要鑒別刷卡人簽名時的筆跡是一項非常困難的工作。因為,一方面現在使用的身份證技術含量低,容易偽造;另一方面鑒別簽名筆跡是一項技術性非常強的工作,一般人無法勝任,只有行業內的專家才能準確的鑒別,然而在實際工作中不可能為每一臺POS機配備一名這樣的技術專家。
那么是否能夠找到一種在身份鑒別、簽名鑒別上都非常方便、快捷、安全、實用的技術,這一問題就是本文論述的核心: RSA非對稱加密解密技術應用模型。
RSA加密解密算法論述
RSA是一個非對稱加密解密算法,由加密解密算法、公共參數、一對存在數學關系的公鑰和私鑰構成,其中算法、公共參數、公鑰是可以公開的,私鑰必須秘密保存。RSA的核心在于,加密時使用私鑰,而解密時則使用公鑰。
例如:用戶甲擁有公共參數PN=14803,公鑰PK=151,私鑰SK=8871,F有明文PM=1234。
用戶甲使用私鑰SK對明文PM進行加密得到密文SM。
SM=PMSKMOD(PN)=12348871MDO(14803)=13960用戶甲將自己的公共參數PN,公鑰PK,以及密文SM發送給用戶乙。用戶乙進行解密計算得到明文PM。
PM=SMPKMOD(PN)=13960151MDO(14803)=1234
RSA用作數字簽名
作為簽名必須具備兩個特性:防篡改,除簽名者以外的其他人對簽過名的內容做的任何改動都將被發現;抗抵賴,簽名者無法抵賴自己簽名的內容。
每一個RSA的用戶都將擁有一對公鑰和私鑰。使用私鑰對明文進行加密的過程可以被看作是簽名的過程,形成的密文可以被看作是簽名。當密文被改動以后就無法使用公鑰恢復出明文,這一點體現出作為簽名的防篡改特性;使用公鑰對密文進行解密的過程可以被看作是驗證簽名的過程,使用公鑰對密文進行解密恢復出明文,因為公鑰來自于簽名的一方(即用私鑰加密生成密文的一方)。因此,簽名一方無法否認自己的公鑰,抵賴使用自己公鑰解密后恢復出的明文,這一點體現出作為簽名的抗抵賴特性。
RSA用作數字身份
身份是一個人的社會屬性,用于證明擁有者存在的真實性,例如身份證、駕駛證、軍官證、護照等。作為身份證明,它必須是一個不會被偽造的,如果被偽造則能夠通過鑒別來發現。
將RSA技術應用于身份證明。當一個人獲得一對密鑰后,為了使利用私鑰進行的簽名具有法律效力,為了使自己公開的公鑰、公共參數能夠作為身份被鑒別,一般通過第三方認證來實現。用戶要將自己的公鑰、公共參數提交給認證中心,申請并注冊公鑰證書,如果使用過程中有人對用戶的公鑰證書產生質疑,需要驗證持有者身份,可以向認證中心提出認證請求,以確認公鑰證書持有者身份的真實性以及公鑰證書的有效性。因此,可以把這個公鑰證書看作持有者的一個數字身份證。
數字身份、數字簽名在線鑒別模型
公鑰證書在使用過程中可能會涉及到兩個主體,擁有者與持有者。擁有者是公鑰證書真正的所有者,而持有者則可能是一個公鑰證書及私鑰的盜用者。目前,認證機構的認證平臺一般是建立在PKI公鑰基礎設施之上。當收到對某一個公鑰證書的認證請求時,認證完成后出具的認證結果僅能夠證明公鑰證書本身的真實性、與之相關的數字簽名的不可抵賴性,卻無法證明持有者就是擁有者。RSA的使用則要求私鑰必須秘密保存,一旦泄露只能及時掛失,如果在掛失之前被盜用,所產生的損失只能由擁有者自己承擔,這種情況與銀行卡被盜刷是相同的。盡管數字身份、數字簽名、數字認證都是非常新的技術手段,但是就目前的認證方式、認證過程以及認證結果來看,依然沒有解決公鑰證書和私鑰被盜用的問題。
本文針對公鑰證書、私鑰被盜用的問題設計出“數字身份、數字簽名在線鑒別”模型。
傳統的數字認證過程中,被認證的公鑰證書與持有公鑰證書的實體即證書的持有者之間沒有任何關聯,即使被認證的公鑰證書是真實的、有效的,也不能證明持有者就是擁有者,這樣就為盜用者提供了可乘之機。因此,必須對鑒別模型重新設計。
傳統的RSA應用模型
用戶甲可以自己生成非對稱密鑰對,也可以選擇由認證中心生成;向認證機構提交公鑰和公共參數申請并注冊公鑰證書;用戶甲使用私鑰對明文進行加密,形成具有簽名效用的密文,通常要采用HASH函數進行壓縮;用戶甲將公鑰證書以及經過數字簽名的密文發送給用戶乙;用戶乙使用用戶甲的公鑰鑒別密文的數字簽名;如果用戶乙對用戶甲的公鑰證書產生質疑,可以提交用戶甲的公鑰證書給認證中心進行認證,認證中心對提交的公鑰證書的真實性、有效性進行認證,并將認證結果返回用戶乙。 由于數字身份與數字簽名的特殊性,提供認證服務的機構不應該是一個商業化的機構,而應該是具有政府職能的部門,例如:頒發身份證的公安局、頒發駕照的交管局、頒發護照的外交部等。在筆者設計的模型中,公安局替代傳統的認證中心;針對被認證的公鑰證書與持有者缺乏直接的關聯,在認證結果的信息中,筆者設計增加所有者的詳細信息資料,從而可以通過認證結果來鑒別持有者的真實身份。
改造后的RSA應用模型
由公安局為用戶甲頒發一個公鑰;用戶甲自己選擇公共參數,并生成私鑰;用戶甲將公鑰、公共參數及個人的詳細資料(居住地址、傳統身份證號、聯系電話、照片、指紋等)提交給公安局,申請并注冊數字身份證(即公鑰證書),數字身份證的鑒別編號由公鑰和公共參數組合而成;用戶甲使用私鑰對明文進行加密,形成具有簽名效用的密文;用戶甲將簽字密文、數字身份證發送給用戶乙;用戶乙使用用戶甲的公鑰鑒別密文的數字簽名,并恢復密文為明文;如果用戶乙對用戶甲的公鑰證書產生質疑,可以提交用戶甲的公鑰證書給認證中心進行認證,認證中心可以根據不同認證的級別返回不同的認證結果。
在新的模型中,認證將分為三級認證。一級認證,返回所有者的身份證號、住址、聯系電話;二級認證,在一級認證基礎之上附加返回所有者的照片;三級認證,在二級認證基礎之上附加返回所有者的指紋。
具體選擇哪一種級別認證,取決于應用的性質。如果是簽署網絡協議可以采用一級認證,如果是在線支付可以選擇二級或三級認證。這樣可以通過認證的結果(聯系電話、照片、指紋)來鑒別持有者與所有者身份是否相符。
RSA在刷卡中的應用
目前,在我國網絡技術、通訊技術已經非常發達,接入互聯網也已經非常普及,可以充分利用這些技術優化、改造現有的銀行卡刷卡流程,解決銀行卡被盜以后,在刷卡時對持有者的身份進行有效的鑒別。
傳統的刷卡流程中,用戶必須在POS機上輸入口令,出示身份證,在轉賬單據上手寫簽名。在新的刷卡流程中要求收款機必須與互聯網相連,在輸入口令環節可以改成輸入私鑰,對付款數據進行加密(數字簽名),在身份驗證環節可以增加數字身份的驗證,客戶提交公鑰證書,收款員在聯網計算機上將客戶的公鑰證書提交給公安局的認證服務器,在得到認證結果以后對持卡人的身份進行鑒別,然后再對數字簽名進行鑒別。
要采用新的刷卡支付流程必須增加新的設備,對現有的支付環境進行改造,以此防止銀行卡被盜刷,如果銀行卡被盜刷。由于我國已于2005年4月1日正式頒布并開始執行《中華人民共和國電子簽名法》,因此,可以依據此法進行判罰。
參考文獻:
1. Bruce Schneier著.吳世忠等譯. 應用密碼學.機械工業出版社,2000
2.關振勝編著.公鑰基礎設施PKI.電子工業出版社,2002
3.陸永寧編著.IC卡應用系統.東南大學出版社,2000
【刷卡消費中身份識別新方法探討】相關文章:
消費稅收籌劃的具體探討03-20
圖像中圓形物體的信息識別11-22
對建筑工程項目管理的創新方法探討11-23
淺談亂世流離中的身份錯位03-01
模糊模式識別在植被和遙感圖像識別中的應用11-22
探討營銷角度的休閑消費市場開發03-18
關于啟動農村家電消費市場的探討03-18