比刷脸更安全？看数字证书如何守护网络支付

曾经的出门四件套——“身手钥钱”，现在很多人让“钱”退居二线。归根结底，得益于网络支付的高度普及，“手”把“钱”的活儿也干了。

但是，经常使用网络支付的人也难免产生这些疑问：网络支付存在哪些安全隐患？如何让网络支付更安全？

网络支付存在哪些安全隐患？

支付身份难认定

网上支付，双方互不见面，给钓鱼诈骗等违法活动留下了生存空间。例如，不进行身份认证，用户无法判断支付页面是否是黑客伪造的钓鱼网站。

支付信息的泄露和篡改

支付账号、密码等隐私信息在网络传输过程中就可能被攻击者窃取，之后攻击者可冒充他人进行网络支付。金额、支付单位等信息也可能因泄露遭到篡改、伪造。

支付行为遭抵赖

纸质合同、契约、单据确保了支付行为具有法律约束力，不可随意抵赖，但网络支付行为的认定脱离了纸质文件，可能出现支付行为完成后发送方否认付款或接收方否认收款等情况。

网络支付需要解决哪些安全需求？

综上所述，网络支付的主要安全需求可以归纳为

保证网络资金结算双方身份的认定；

保证支付信息数据的私密性；

保证支付结算数据的完整性及不可篡改性；

保证网络资金支付结算行为发生及发生内容的不可抵赖性，即建立一种信任机制，确保网络支付在真实、可靠、安全的环境下进行，同时合法合规。

如何让网络支付更安全？

数字证书正是可以构建信任机制、满足网络支付安全需求的一种产品。

数字证书之所以可以保护网络支付安全，主要基于如下特性：

合法性

由合法的第三方CA（即电子认证服务机构，Certificate Authority）颁发的数字证书可通过技术手段建立网络支付各方的信任关系。在我国，CA的合法性由工信部颁发的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》这两项资质确立。

唯一性

每张数字证书中都包含证书序列号及其对应的密钥，这些信息或数据均具有唯一性。受信任的权威CA会先对证书申请人进行身份审核，防止冒名顶替，可以用于确保网络支付各方身份和支付网页的真实性。

保密性

数字证书采用PKI技术体系，在加解密中使用非对称算法。用户持有一把私钥，用它进行解密和签名；同时持有一把公钥，并由本人公开给一组用户共享，用于加密。公钥做加密，仅能使用对应的私钥进行解密。当发送保密数据时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样数据就可以安全传送，即使在传送途中被攻击者截取，攻击者也会因没有私钥而无法解密数据。

防篡改

使用数字证书对数据进行电子签名后，如果数据内容有修改，电子签名即会失效，通过电子签名验证即可发现数据篡改。这就保证任何支付参与方对支付信息的任何篡改都会被发现。

抗抵赖

发送方使用自己持有的证书私钥对信息签名，由于私钥仅为本人所有，该签名难以被伪造，保证了支付信息是由发送者本人签名发送的。此类签名即数字签名，它是电子签名的一种实现形式。不过数字签名要对网络支付行为形成法律约束力，起到“白纸黑字”的效果，还需符合《电子签名法》中对可靠电子签名的要求：“专有专控防篡改”

其中的关键是电子签名人对电子签名的专有专控。合法的第三方CA独立于支付行为之外，使用其颁发的数字证书进行数字签名符合《电子签名法》规定。所以无论是哪一方，在支付行为完成后，均因该签名而不可否认所签名的付款或收款的金额、时间等信息。如在日后出现纠纷，该数字签名还可作为司法证据使用。

数字证书和生物识别，谁是网络支付安全最优解法？

数字证书的特性使它成为创建真实可信、安全合法的网络环境的一项重要手段，因此被广泛应用于网络支付。

得益于生物识别技术的发展，刷脸支付、指纹支付等便捷的网络支付技术在当下颇为流行，但这些技术的精确度、安全性仍需进一步提升。

综合安全性、可靠性、精准性、便利性后，数字证书仍是目前保障网络支付安全的最佳选择。而将数字证书与FIDO等生物识别技术相结合形成的安全解决方案，也将可提供更坚实、便捷的网络支付安全保障。