CPK：开阔认证新视野.docVIP

CPK：开阔认证新视野 很多人曾误读银行，把银行业理解为做账的行业，但随着我国银行业逐渐与世界接轨，我们逐步认识到商业银行是在为客户提供一种服务，并且在为客户提供服务、帮助客户提升其价值的同时，从中获得自己应得的回报。在网络普及的今天，怎样把服务延伸至网络并且使网络服务更加安全可靠呢？前不久，在本报举办的“2007金融行业网络信息安全高峰论坛”上，有专家结合中国民生银行正在尝试的CPK标识认证技术给我们带来了全新的理念。 什么是CPK标识认证 简单的说，CPK（CombinedPublicKey)认证和我们传统的认证是一样的。而标识是对人身份的一个量化的代号，比如我们看见的一个人，外表是什么样我们能够肯定，但是在虚拟世界里这就很难确定了。所以要把一个人的信息通过技术将其数字化，最后得到这个人在虚拟世界里的标识。但是，一个人在现实世界中就是多角色的，要想在虚拟世界中建立一个人的标识，必须在最开始，从现实到虚拟之间做第一次映射时就要确保准确。 传统认证将认证分为了两个部分。第一是信任等级划分。在传统认证中，甲和乙在虚拟世界中互不相识，但是他们同时信任第三方丙，由此建立了甲乙之间的信任关系。但是在现实世界中，这种信任关系并不像逻辑世界中那么简单。举几个大家都熟悉的人物，关羽信任刘备，刘备信任诸葛亮，那关羽是不是信任诸葛亮？反过来，诸葛亮是不是信任关羽？这种信任关系显然不是绝对双向的、相互的，是有一定模糊性的。因此，给这种不确定的信任关系，应该有一个度量的方式——将信任分等级。 第二是分级信任的作用域。信任不是无条件的，它也有其固定的作用域，超出了这个范围，信任关系就不存在了。比如说，我们可能有一些做基金的伙伴，我们在这方面建立了信任关系，但是这个伙伴可能下面还有一个经营饮料公司，不过在卖饮料的时候，超出了我们信任范围这种信任关系就不存在了。 传统认证在规定的作用域，在规定的等级之内它是完全成立的，并且是现在认证系统应用的主体。但是有没有另外的一种认证方式对它进行补充呢？比如在一种特定的环境下，出现在你面前的一个人，他可能没有太多理???来解释他为什么是这个人，但是我们会接受更直接的解释——身份证的认证，当他出示身份证我们只要鉴别身份证的真伪就可以认证这个人的真伪，身份证就是CPK的标识，这种认证是不需要第三方的。可见，在一定环境中，客户存在可以自我认证、自主认证的可能时，是可以使用CPK标识认证作为一种辅助认证手段的。 CPK标识认证的优势在于，不需要第三方认证就能鉴别认证客体的性质，可以让客户完成脱机认证。常规情况下，需要第三方认证要有一个渠道（互联网、电话等）作为认证的载体，将信息传送给对方，并且在得到答复后才可以完成认证。如果不需要第三方认证，客户完全可以利用双方的证书，直接去完成认证，这种便捷性和安全性更加适合在金融产品中应用。 CPK标识认证的应用 中国民生银行科技开发部总经理助理穆新宇认为，CPK是一种新的技术，民生银行希望通过这种新技术的优势来完成现在其他技术不能做到的一些事情。 例如，电子票据业务。电子票据业务是民生银行今年正式开展的，由银行承诺票号的网上票据业务。这项业务同样也存在着安全性、完整性、不可否认性的问题，同时要对它的行为负责。因此，需要采用认证、加密方式才能完成交易。如果说仅考虑完成交易，可以采用PKI的方式完成，即，给客户发一个证书，当他成为网上银行客户的时候，他所生成的虚拟票据产品被认证就可以了。如果银行可以接受这样的票据，那这就是具有可操作性的。但是，票据有其自身的特点，它是双方流动的，它可能从A客户到B客户，那么中间还可能会通过银行，这两个客户有可能同时在线，也有可能不是同一个时间在线，还有可能限于客户的操作水平，他也许没有得到一个在线的数据，最终是通过银行的客户经理，把网上客户的虚拟产品变成一个实体的渠道，传送到客户那里。 怎样让网上客户相信他是否确实收到了汇票？是否真的拿到了银行的抵押资金呢？这就产生了一个脱机验证的问题，恰好可以利用CPK脱机认证的特点，完成上述工作。网上银行大多数都是联机交易，但是也有一些是脱机操作的。越是比较大众化的操作，它越有可能是联机的，越是一些高风险的资金业务，也就是为高级客户提供的服务，它越有可能是脱机的，这个现象是存在的。因为对这样的客户，它是银行非常重要的利润提供者，对这样的利润提供者，提供尽可能多的服务手段，将有助于提升银行与这部分高级客户之间的合作价值。所以在做一些非常高级的对公业务时，脱机交易是完全可能存在的。 又例如，交易双方之间没有用互联网，而是通过另外的渠道（传真、电话等）去做这项业务。那么在这样的渠道上，有没有可能通过客户自主认证的方式去完成对客户的一个识别，由于产生了对客户的识别，引发对客户的信任，并且确定最终双方的交易行为，这都是我们一直在