刷卡消費身份驗證研究

前言：本站為你精心整理了刷卡消費身份驗證研究范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

編者按：本論文主要從傳統(tǒng)身份識別、簽名識別存在的缺陷；RSA加密解密算法論述等進行講述，包括了刷卡是一種非常方便的支付方式，但是要得到人們的認可、在生活中得以推廣、公鑰證書在使用過程中可能會涉及到兩個主體、用戶甲可以自己生成非對稱密鑰對，也可以選擇由認證中心生成等，具體資料請見：

內容摘要：驗證身份與鑒別簽名是日常生活中經(jīng)常會遇到的，鑒別假身份證、鑒別假簽名是一項技術要求非常高的工作。由于互聯(lián)網(wǎng)的出現(xiàn)、信息安全技術的不斷完善，例如RSA技術、PKI公鑰基礎設施、CA認證機構等，為簡化鑒別手段、鑒別方法以及鑒別過程提供了有力保證。

關鍵詞：數(shù)字身份數(shù)字簽名RSAPKICA

日常生活中人們到商場購物，付款方式一般有兩種：采用現(xiàn)金結算或采用銀行卡結算。2006年1月4日和1月5日某媒體連續(xù)刊登了兩篇報道，題目分別為《刷卡簽名商家有責辨真?zhèn)巍贰ⅰ躲y行卡被盜刷商家沒過錯》。這兩篇報道代表兩個完全對立的觀點，但是闡述的內容都具有相當?shù)恼f服力。這就提出兩個問題，第一，當銀行卡被盜刷的情況下，由此產(chǎn)生的損失到底應該由“卡”的所有者承擔，還是應該由收款的商家承擔？第二，能否避免這種損失的發(fā)生？筆者對兩個問題的回答是：在現(xiàn)有的法制環(huán)境、技術手段下，無法準確的判斷損失、無法準確的分清責任，也就無法準確的判罰；采用新的安全技術能夠避免這種損失，一旦出現(xiàn)被盜刷的情況，可以依法判罰。

傳統(tǒng)身份識別、簽名識別存在的缺陷

在現(xiàn)有金融支付平臺上使用銀行卡時，支付過程如下：在銀行提供的聯(lián)網(wǎng)POS機上刷卡，由客戶輸入密碼，密碼驗證通過后POS機打印銀行轉賬單據(jù)，客戶在轉賬單據(jù)上簽名，客戶出示有效身份證明（如身份證），收款員驗證客戶簽名及身份證明，收款員打印銷售發(fā)票，至此整個支付過程結束。其中收款員驗證客戶簽名及身份證明是非常關鍵的一個環(huán)節(jié)，本文所提出的問題就是針對這個環(huán)節(jié)。

該媒體兩篇報道中支持卡所有者的觀點認為，使用手寫簽名是銀行卡不被盜刷的基本保障。這樣可以鑒別刷卡人是否為卡的所有者。在中國銀聯(lián)頒發(fā)的《收單規(guī)范》中要求收單商戶必須仔細核對簽名，以防銀行卡被盜刷。因此從卡的所有者角度出發(fā)，收單商戶有責任對刷卡人的真實身份進行確認，對簽名的真?zhèn)芜M行鑒別。如果收單商戶不對刷卡人的手寫簽名進行鑒別，將意味著銀行卡所有者的安全大門完全失去了最基本的設防。這種情況是任何合法交易對象，無論是收單商戶、還是合法卡的所有者所不愿意看到的，將導致?lián)碛秀y行卡的用戶不再敢使用刷卡的方式消費，也意味著商戶將失去一部份客戶。

而站在收單商戶的立場認為，銀行卡被盜刷商家沒有過錯。商家無權干涉持卡者的消費方式，涉及的銀行與銀聯(lián)也沒有義務對POS機操作員進行培訓，重要的是法院則認為刷卡過程中是否應該對簽名進行鑒別、核對，相關法律法規(guī)沒有做出特別規(guī)定，也就是說沒有法律依據(jù)。所以據(jù)此，如果客戶的銀行卡丟失后沒有及時掛失造成的損失，收單商戶沒有責任。

刷卡是一種非常方便的支付方式，但是要得到人們的認可、在生活中得以推廣，必須有一個安全的支付環(huán)境和支付工具，使得卡的所有者、收單商戶、銀行三方的利益都得到充分的保護。

筆者認為，在目前的技術條件下，要求POS機操作員僅僅依靠身份證來識別刷卡人的真實身份，同時要鑒別刷卡人簽名時的筆跡是一項非常困難的工作。因為，一方面現(xiàn)在使用的身份證技術含量低，容易偽造；另一方面鑒別簽名筆跡是一項技術性非常強的工作，一般人無法勝任，只有行業(yè)內的專家才能準確的鑒別，然而在實際工作中不可能為每一臺POS機配備一名這樣的技術專家。

那么是否能夠找到一種在身份鑒別、簽名鑒別上都非常方便、快捷、安全、實用的技術，這一問題就是本文論述的核心：RSA非對稱加密解密技術應用模型。

RSA加密解密算法論述

RSA是一個非對稱加密解密算法，由加密解密算法、公共參數(shù)、一對存在數(shù)學關系的公鑰和私鑰構成，其中算法、公共參數(shù)、公鑰是可以公開的，私鑰必須秘密保存。RSA的核心在于，加密時使用私鑰，而解密時則使用公鑰。

例如：用戶甲擁有公共參數(shù)PN=14803，公鑰PK=151，私鑰SK=8871。現(xiàn)有明文PM=1234。

用戶甲使用私鑰SK對明文PM進行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用戶甲將自己的公共參數(shù)PN，公鑰PK，以及密文SM發(fā)送給用戶乙。用戶乙進行解密計算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作數(shù)字簽名

作為簽名必須具備兩個特性：防篡改，除簽名者以外的其他人對簽過名的內容做的任何改動都將被發(fā)現(xiàn)；抗抵賴，簽名者無法抵賴自己簽名的內容。

每一個RSA的用戶都將擁有一對公鑰和私鑰。使用私鑰對明文進行加密的過程可以被看作是簽名的過程，形成的密文可以被看作是簽名。當密文被改動以后就無法使用公鑰恢復出明文，這一點體現(xiàn)出作為簽名的防篡改特性；使用公鑰對密文進行解密的過程可以被看作是驗證簽名的過程，使用公鑰對密文進行解密恢復出明文，因為公鑰來自于簽名的一方（即用私鑰加密生成密文的一方）。因此，簽名一方無法否認自己的公鑰，抵賴使用自己公鑰解密后恢復出的明文，這一點體現(xiàn)出作為簽名的抗抵賴特性。

RSA用作數(shù)字身份

身份是一個人的社會屬性，用于證明擁有者存在的真實性，例如身份證、駕駛證、軍官證、護照等。作為身份證明，它必須是一個不會被偽造的，如果被偽造則能夠通過鑒別來發(fā)現(xiàn)。

將RSA技術應用于身份證明。當一個人獲得一對密鑰后，為了使利用私鑰進行的簽名具有法律效力，為了使自己公開的公鑰、公共參數(shù)能夠作為身份被鑒別，一般通過第三方認證來實現(xiàn)。用戶要將自己的公鑰、公共參數(shù)提交給認證中心，申請并注冊公鑰證書，如果使用過程中有人對用戶的公鑰證書產(chǎn)生質疑，需要驗證持有者身份，可以向認證中心提出認證請求，以確認公鑰證書持有者身份的真實性以及公鑰證書的有效性。因此，可以把這個公鑰證書看作持有者的一個數(shù)字身份證。

數(shù)字身份、數(shù)字簽名在線鑒別模型

公鑰證書在使用過程中可能會涉及到兩個主體，擁有者與持有者。擁有者是公鑰證書真正的所有者，而持有者則可能是一個公鑰證書及私鑰的盜用者。目前，認證機構的認證平臺一般是建立在PKI公鑰基礎設施之上。當收到對某一個公鑰證書的認證請求時，認證完成后出具的認證結果僅能夠證明公鑰證書本身的真實性、與之相關的數(shù)字簽名的不可抵賴性，卻無法證明持有者就是擁有者。RSA的使用則要求私鑰必須秘密保存，一旦泄露只能及時掛失，如果在掛失之前被盜用，所產(chǎn)生的損失只能由擁有者自己承擔，這種情況與銀行卡被盜刷是相同的。盡管數(shù)字身份、數(shù)字簽名、數(shù)字認證都是非常新的技術手段，但是就目前的認證方式、認證過程以及認證結果來看，依然沒有解決公鑰證書和私鑰被盜用的問題。

本文針對公鑰證書、私鑰被盜用的問題設計出“數(shù)字身份、數(shù)字簽名在線鑒別”模型。

傳統(tǒng)的數(shù)字認證過程中，被認證的公鑰證書與持有公鑰證書的實體即證書的持有者之間沒有任何關聯(lián)，即使被認證的公鑰證書是真實的、有效的，也不能證明持有者就是擁有者，這樣就為盜用者提供了可乘之機。因此，必須對鑒別模型重新設計。

傳統(tǒng)的RSA應用模型

用戶甲可以自己生成非對稱密鑰對，也可以選擇由認證中心生成；向認證機構提交公鑰和公共參數(shù)申請并注冊公鑰證書；用戶甲使用私鑰對明文進行加密，形成具有簽名效用的密文，通常要采用HASH函數(shù)進行壓縮；用戶甲將公鑰證書以及經(jīng)過數(shù)字簽名的密文發(fā)送給用戶乙；用戶乙使用用戶甲的公鑰鑒別密文的數(shù)字簽名；如果用戶乙對用戶甲的公鑰證書產(chǎn)生質疑，可以提交用戶甲的公鑰證書給認證中心進行認證，認證中心對提交的公鑰證書的真實性、有效性進行認證，并將認證結果返回用戶乙。由于數(shù)字身份與數(shù)字簽名的特殊性，提供認證服務的機構不應該是一個商業(yè)化的機構，而應該是具有政府職能的部門，例如：頒發(fā)身份證的公安局、頒發(fā)駕照的交管局、頒發(fā)護照的外交部等。在筆者設計的模型中，公安局替代傳統(tǒng)的認證中心；針對被認證的公鑰證書與持有者缺乏直接的關聯(lián)，在認證結果的信息中，筆者設計增加所有者的詳細信息資料，從而可以通過認證結果來鑒別持有者的真實身份。

改造后的RSA應用模型

由公安局為用戶甲頒發(fā)一個公鑰；用戶甲自己選擇公共參數(shù)，并生成私鑰；用戶甲將公鑰、公共參數(shù)及個人的詳細資料（居住地址、傳統(tǒng)身份證號、聯(lián)系電話、照片、指紋等）提交給公安局，申請并注冊數(shù)字身份證（即公鑰證書），數(shù)字身份證的鑒別編號由公鑰和公共參數(shù)組合而成；用戶甲使用私鑰對明文進行加密，形成具有簽名效用的密文；用戶甲將簽字密文、數(shù)字身份證發(fā)送給用戶乙；用戶乙使用用戶甲的公鑰鑒別密文的數(shù)字簽名，并恢復密文為明文；如果用戶乙對用戶甲的公鑰證書產(chǎn)生質疑，可以提交用戶甲的公鑰證書給認證中心進行認證，認證中心可以根據(jù)不同認證的級別返回不同的認證結果。

在新的模型中，認證將分為三級認證。一級認證，返回所有者的身份證號、住址、聯(lián)系電話；二級認證，在一級認證基礎之上附加返回所有者的照片；三級認證，在二級認證基礎之上附加返回所有者的指紋。

具體選擇哪一種級別認證，取決于應用的性質。如果是簽署網(wǎng)絡協(xié)議可以采用一級認證，如果是在線支付可以選擇二級或三級認證。這樣可以通過認證的結果（聯(lián)系電話、照片、指紋）來鑒別持有者與所有者身份是否相符。

RSA在刷卡中的應用

目前，在我國網(wǎng)絡技術、通訊技術已經(jīng)非常發(fā)達，接入互聯(lián)網(wǎng)也已經(jīng)非常普及，可以充分利用這些技術優(yōu)化、改造現(xiàn)有的銀行卡刷卡流程，解決銀行卡被盜以后，在刷卡時對持有者的身份進行有效的鑒別。

傳統(tǒng)的刷卡流程中，用戶必須在POS機上輸入口令，出示身份證，在轉賬單據(jù)上手寫簽名。在新的刷卡流程中要求收款機必須與互聯(lián)網(wǎng)相連，在輸入口令環(huán)節(jié)可以改成輸入私鑰，對付款數(shù)據(jù)進行加密（數(shù)字簽名），在身份驗證環(huán)節(jié)可以增加數(shù)字身份的驗證，客戶提交公鑰證書，收款員在聯(lián)網(wǎng)計算機上將客戶的公鑰證書提交給公安局的認證服務器，在得到認證結果以后對持卡人的身份進行鑒別，然后再對數(shù)字簽名進行鑒別。

要采用新的刷卡支付流程必須增加新的設備，對現(xiàn)有的支付環(huán)境進行改造，以此防止銀行卡被盜刷，如果銀行卡被盜刷。由于我國已于2005年4月1日正式頒布并開始執(zhí)行《中華人共和國電子簽名法》，因此，可以依據(jù)此法進行判罰。