刷卡消费中身份识别新方法探讨
内容摘要:验证身份与鉴别签名是日常生活中经常会遇到的,鉴别假身份证、鉴别假签名是一项技术要求非常高的工作。由于互联网的出现、信息安全技术的不断完善,例如RSA技术、PKI公钥基础设施、CA认证机构等,为简化鉴别手段、鉴别方法以及鉴别过程提供了有力保证。 关键词 :数字身份 数字签名 RSA PKI CA
日常生活中人们到商场购物,付款方式一般有两种:采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道,题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点,但是阐述的内容都具有相当的说服力。这就提出两个问题,第一,当银行卡被盗刷的情况下,由此产生的损失到底应该由“卡”的所有者承担,还是应该由收款的商家承担?第二,能否避免这种损失的发生?笔者对两个问题的回答是:在现有的法制环境、技术手段下,无法准确的判断损失、无法准确的分清责任,也就无法准确的判罚;采用新的安全技术能够避免这种损失,一旦出现被盗刷的情况,可以依法判罚。
传统身份识别、签名识别存在的缺陷
在现有金融支付平台上使用银行卡时,支付过程如下:在银行提供的联网POS机上刷卡,由客户输入密码,密码验证通过后POS机打印银行转账单据,客户在转账单据上签名,客户出示有效身份证明(如身份证),收款员验证客户签名及身份证明,收款员打印销售发票,至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节,本文所提出的问题就是针对这个环节。
该媒体两篇报道中支持卡所有者的观点认为,使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名,以防银行卡被盗刷。因此从卡的所有者角度出发,收单商户有责任对刷卡人的真实身份进行确认,对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别,将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象,无论是收单商户、还是合法卡的所有者所不愿意看到的,将导致拥有银行卡的用户不再敢使用刷卡的方式消费,也意味着商户将失去一部份客户。
而站在收单商户的立场认为,银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式,涉及的银行与银联也没有义务对POS机操作员进行培训,重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对,相关法律法规没有做出特别规定,也就是说没有法律依据。所以据此,如果客户的银行卡丢失后没有及时挂失造成的损失,收单商户没有责任。
刷卡是一种非常方便的支付方式,但是要得到人们的认可、在生活中得以推广,必须有一个安全的支付环境和支付工具,使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。
笔者认为,在目前的技术条件下,要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份,同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为,一方面现在使用的身份证技术含量低,容易伪造;另一方面鉴别签名笔迹是一项技术性非常强的工作,一般人无法胜任,只有行业内的专家才能准确的鉴别,然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。
那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术,这一问题就是本文论述的核心: RSA非对称加密解密技术应用模型。
RSA加密解密算法论述
RSA是一个非对称加密解密算法,由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成,其中算法、公共参数、公钥是可以公开的,私钥必须秘密保存。RSA的核心在于,加密时使用私钥,而解密时则使用公钥。