网上银行移动证书当道

随着网上银行的发展，安全问题越来越成为头等大事。   

   　　从4月底开始，招商银行网上银行的用户可以发现，个人银行专业版4.2版已经隆重推出。在招商银行的网站上告诉消费者，4.2版和之前的4.0版3.6版的最大区别在于———4.2版增加了USBKEY作为用户证书的载体，具有强大的安全性。       　　一些使用过移动证书的用户也许已经发现，早在去年10月，中国工商银行的个人网上银行已经推出了此类功能。   

   　　记者了解到，中国网上银行个人银行业务上，推出USBKEY移动证书的目前是工商银行和招商银行，但在企业网上银行业务中，移动证书的使用已经有5年的时间了。   

   　　网上银行危机   

   　　“五一”长假期间，媒体积极提醒广大消费者假期交易量增加，网上银行防盗不容忽视。由于网上银行使用的程度越来越广泛，所以如何安全地使用网上银行已经成为了当今的热点话题。   

   　　那么什么是USBKEY移动证书？它对于网上银行的安全到底又具有怎样的意义呢？它真能够有效地保证网上银行的安全吗？   

   　　USBKEY移动证书其实是数字签名卡的一种，而数字签名卡也是智能卡的一种。   

   　　在网络世界中，通过公开密钥进行加密的信息保证了只有特定的收件人才能读取，而此收件人只有通过使用相应的私有密钥才能完成对此信息的解密，信息的私密性则可通过PKI（一种框架体系）的特定程序来实行保护。PKI技术和智能卡之间的关系在于私有密钥的存储和第三方认证机构所颁发的数字证书的存储可以在极为安全的智能卡上实现。   

   　　虽然现在有很多人都把私有密钥和数字证书存储在计算机的硬盘当中，但出于安全的考虑，将私有密钥和数字证书存储在智能卡上则会更好。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥，伪装成为合法用户的身份在网络上进行诈骗和非法交易。   

   　　USBKEY也就担当了私有密钥的数字证书的存储器，所以也被称为是移动证书。   

   　　移动证书“当道”   

   　　在专业卡公司捷德公司的业务发展中可以看到，除了工行、招行用USBKEY作为面对个人用户的移动证书，交通银行等也已经使用该产品为企业用户服务。据透露。近期已经进行采购该产品的还有顺德信用社。   

   　　捷德公司产品经理闫岩告诉记者，早在1999年移动证书的B2B业务就已经展开，个人网上银行的移动证书业务开始的时间相对比较晚。但闫岩认为，与企业网上银行相比，2004年个人网上银行的移动证书市场必然将有很快的增长。   

   　　当然除了捷德公司，记者还了解到，中国工商银行网上银行的移动证书采购三家不同厂家的产品，当然价格有有所差异，消费者可以自行选择。   

   　　闫岩还告诉记者，实际上，绝大多数银行在自己的后台系统中已经建设了相关的加密系统等，所以对于网上银行要增加移动证书业务是不需要费太大精力的事情，对原有系统的改造比较少。具体来说，只需要每笔交易的流程作出相应的改变，软件程序作出改变就可以了，其它方面的成本还包括一定的硬件成本和人员培训的成本。而硬件的成本基本上都由消费者来消化了。   

   　　据了解，捷德公司现在出货的USBKEY产品容量均在32M。那么，这个外形跟闪存非常相似的USBKEY有没有可能开发像闪存一样的存储功能呢？闫岩向记者解释到，一方面USBKEY32M中多余的空间已经非常有限，另一方面考虑到产品的安全性能，目前在USBKEY中不太可能存储其它内容。   

   　　目前消费者购买一个USBKEY需要100元左右，记者问到，当市场需求量越来越大时，产品价格有没有继续下降的空间，闫岩认为，由于移动证书已经拥有了一个比较大的市场，所以降价的空间也不是特别大。   

   　　虽然存在着成本问题，但是专家还是建议将数字证书存放在智能卡当中，这比存放在计算机中安全得多。如果将证书存放在计算机中，遇到机器瘫痪、员工更换计算机或者几个人共用一台计算机时都会带来复杂的安全问题。   

   　　应用空间广泛   

   　　2000年，由中国人民银行牵头，13家商业银行共同出资成立了中国最具权威的CA机构———中国金融认证中心（CFCA）。CFCA的建成成为中国PKI技术发展的推动力，大量的商业银行和银联组织，以及其他金融机构将在CFCA的PKI基础框架下实施电子商务和网络金融业务。   

   　　在此背景之下，中国的智能卡发展应该有非常广阔的前景。   

   　　专业人士认为，智能卡除了在网上银行，在证券交易中也有很多的应用。如今，电话委托、网上委托等新的股票交易方式给广大股民带来方便快捷的同时，交易风险也随时增大。目前，在证券交易过程中屡屡发生股票盗卖问题，因此必须摒弃“用户名+密码”的身份验证方式。这种方式操作简单、技术上易于实现，因此应用广泛。但其安全性越来越受到挑战，密码易泄漏、被窃听、被猜测等等都会导致股票盗卖的问题。   

   　　基于此，一些智能卡公司也为网络证券的应用可提供基于PKI和智能卡或KEY的安全交易解决方案。具有数字签名、数据传输加密和访问控制等功能。确保网上证券交易商在证券网上交易的安全性，同时为广大的股民的交易安全提供保障。   

   　　寻求法律保障   

   　　数字证书是网络世界的身份证，在网络环境下，实现电子交易时客户身份要靠数字签名来验证。目前已经有多个国家制定了数字签名法，认定数字签名和书面签名拥有等同的法律效力。中国的相关法律也已经在积极探索中。   

   　　国务院总理温家宝3月24日主持召开国务院常务会议，讨论并原则通过《中华人民共和国电子签名法(草案)》。会议认为，为了适应电子商务、电子政务发展的需要，保障电子商务交易安全，维护有关各方的合法权益，制定《中华人民共和国电子签名法》是十分必要的。会议决定，《中华人民共和国电子签名法(草案)》经进一步修改后，由国务院提请全国人大常委会审议。   

   　　在4月6日结束的十届全国人大常委会第八次会议上，《电子签名法(草案)》首次被提请审议。尽管社会各界对“电子签名法”出台的呼声都非常高，但是在十届全国人大常委会第八次会议分组讨论中，依然有委员提出，应从保证国家信息安全和保护消费者权益的角度，进一步完善此部法律。在电子签名的技术安全如何保障；确定电子签名认证服务机构的法律责任和如何规范其行为；以及如何保护消费者的权益这三方面的问题上，委员认为还需要积极探索。