網(wǎng)絡(luò)支付認(rèn)證模式的易用性改進(jìn)

[摘 要] 結(jié)合短信認(rèn)證和雙因素認(rèn)證，引入分層模型，詳細(xì)描述了分層認(rèn)證模式體系結(jié)構(gòu)和實(shí)現(xiàn)過程，通過與現(xiàn)有認(rèn)證模式的分析比較，說明該模式改進(jìn)了目前網(wǎng)絡(luò)支付認(rèn)證的易用性。

[關(guān)鍵詞] 網(wǎng)絡(luò)支付 分層模式 短信認(rèn)證 易用性

一、 引言

當(dāng)前，隨著電子商務(wù)的迅猛發(fā)展，網(wǎng)上銀行業(yè)務(wù)也成倍的增長(zhǎng)，保障網(wǎng)絡(luò)支付的安全成為網(wǎng)上銀行支付系統(tǒng)的關(guān)鍵，其中設(shè)計(jì)合理的認(rèn)證模式是重中之重。目前國(guó)內(nèi)外的網(wǎng)絡(luò)支付系統(tǒng)都是基于SET協(xié)議或SSL協(xié)議的底層安全認(rèn)證協(xié)議來構(gòu)建安全的網(wǎng)絡(luò)支付認(rèn)證模式。國(guó)內(nèi)大多數(shù)商業(yè)銀行的網(wǎng)絡(luò)支付認(rèn)證模式都基于SSL協(xié)議。基本認(rèn)證模式為基于“口令+硬件加密設(shè)備”的雙因素認(rèn)證模式，這種模式安全性非常高，用戶必須擁有正確的口令以及屬于自己的USB Key才能進(jìn)行認(rèn)證及支付等相關(guān)操作。

USB Key是一種USB接口的硬件設(shè)備，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證，理論上必須取得相應(yīng)的USB硬件設(shè)備才有可能進(jìn)行交易，因此保證了用戶認(rèn)證的安全性。但這也導(dǎo)致用戶網(wǎng)上支付的復(fù)雜程度增加，用戶必須時(shí)刻攜帶USB Key，并且安裝相應(yīng)的軟件才能在不同的電腦上進(jìn)行網(wǎng)上支付，操作過程非常復(fù)雜。目前，國(guó)內(nèi)網(wǎng)上銀行發(fā)展中最迫切需要解決的就是客戶使用的易用性問題，很多客戶接受了網(wǎng)銀，但是大多數(shù)客戶畢竟不是計(jì)算機(jī)專家，對(duì)于繁瑣的操作確實(shí)望而生畏。而部分銀行等僅僅采用“口令+卡片基本信息”方式安全性又太差，根本無(wú)法讓客戶放心使用。基于這些事實(shí)及問題，本文研究了多家網(wǎng)銀的網(wǎng)絡(luò)支付認(rèn)證模式并分析其易用性，發(fā)現(xiàn)結(jié)合USB Key和短信認(rèn)證的網(wǎng)絡(luò)支付分層認(rèn)證模式，不僅具有很高的安全性同時(shí)提高了易用性。

二、 短信認(rèn)證

短信認(rèn)證是近年來比較流行的認(rèn)證方式，初期主要用于安全性較高的網(wǎng)站用戶身份驗(yàn)證，其基本原理為:網(wǎng)站服務(wù)器會(huì)隨機(jī)生成一個(gè)驗(yàn)證碼發(fā)送到用戶指定的手機(jī)中，用戶必須在規(guī)定時(shí)間內(nèi)將收到的驗(yàn)證碼輸入指定位置進(jìn)行確認(rèn)，服務(wù)器對(duì)比是否吻合，從而完成驗(yàn)證。短信認(rèn)證不易被計(jì)算機(jī)黑客所利用，安全性相對(duì)較高，同時(shí)非常方便易用，用戶一般都隨身攜帶。

最近部分銀行已經(jīng)開始嘗試?yán)檬謾C(jī)短信進(jìn)行網(wǎng)絡(luò)支付驗(yàn)證，如工商銀行的“口令+U盾+短信”的三因素網(wǎng)絡(luò)支付認(rèn)證模式，但這種方式還只是考慮了網(wǎng)絡(luò)支付的安全性，沒有充分考慮用戶的易用性。招商銀行則利用“口令+短信”的認(rèn)證模式提高了單一口令模式的安全性，同時(shí)也看到該模式的用戶操作易用性，但脫離了分層認(rèn)證模式，在大金額的網(wǎng)絡(luò)支付安全性還有欠缺。

三、分層認(rèn)證模式體系結(jié)構(gòu)

據(jù)調(diào)查，人們?nèi)粘Ｉ钪?0%的情況下使用小額支付，而且額度越大使用頻率越低。分層認(rèn)證模式正是利用這一特性，把網(wǎng)絡(luò)支付劃分為多層次，根據(jù)客戶自身情況，可以設(shè)置不同金額的安全性級(jí)別。體系結(jié)構(gòu)如圖1所示，網(wǎng)絡(luò)支付分層認(rèn)證模型包括網(wǎng)上支付的設(shè)置和支付兩個(gè)階段。

1.符號(hào)描述和定義

2.支付設(shè)置階段

用戶通過輸入Pc進(jìn)入網(wǎng)上銀行的網(wǎng)絡(luò)支付設(shè)置頁(yè)面，設(shè)置支付策略，包括分層額度、手機(jī)號(hào)碼。主要分三層安全性，分別對(duì)應(yīng)不同的消費(fèi)層次。

(1)第一消費(fèi)層:Pc驗(yàn)證，單日累積支付金額，小額支付如不超過100元。

(2)第二消費(fèi)層:Pc+Mc驗(yàn)證，單日累積支付金額，一般支付如100-5000元。

(3)第三消費(fèi)層:Pc+Mc+Uk驗(yàn)證，單日累積支付金額，大額支付如5000元以上。

根據(jù)不同的用戶人群每一層次設(shè)置的金額也不一樣，學(xué)生覺得1000元以上是大額支付，要求安全性最高，而高薪階層則認(rèn)為數(shù)萬(wàn)元以上才算是大額支付，該模式適用各種人群的需求。之后設(shè)置接收短信的手機(jī)號(hào)碼，到此基本設(shè)置結(jié)束，有需要的用戶可進(jìn)一步選擇高級(jí)設(shè)置，包括支付時(shí)間、支付地區(qū)等設(shè)置選項(xiàng)，縮小黑客攻擊范圍和時(shí)間。最后提交策略更新需要插入U(xiǎn)k進(jìn)行驗(yàn)證，保證設(shè)置的安全性，由于設(shè)置改動(dòng)頻率很少，一般這時(shí)可把Uk保存好，待日后需要進(jìn)行設(shè)置的改動(dòng)或者大額支付時(shí)使用。

3.網(wǎng)絡(luò)支付階段

有了前期的支付策略設(shè)置，用戶在進(jìn)行網(wǎng)絡(luò)支付，系統(tǒng)根據(jù)Cc、Cd和支付策略來選擇驗(yàn)證方式，驗(yàn)證通過即付費(fèi)。

(1)Cc+Cd

(2)L1

(3)Cc+Cd>L2屬于第三消費(fèi)層，選擇Pc+Mc+Uk驗(yàn)證。

四、安全性和易用性比較

表2從用戶使用角度來分析比較分層認(rèn)證模式與目前多數(shù)網(wǎng)銀使用的認(rèn)證模式在易用性和安全性上面的差別。

M1和M2兩者安全性都很高，但每一次網(wǎng)絡(luò)支付都需USB Key，并安裝軟件，這些導(dǎo)致用戶使用的極大不方便，并且遺矢USB Key的幾率增大。M3沒有使用USB Key，在大額支付情況下安全性不能保證。M4利用分層方式，不但保證了很高的安全性，同時(shí)解決USB Key經(jīng)常使用帶來的不便。

五、小結(jié)

目前，電子商務(wù)的快速發(fā)展迫切要求解決網(wǎng)絡(luò)支付中用戶使用易用性的問題，如何即保證網(wǎng)絡(luò)支付安全性又能提高用戶易用性已經(jīng)成為研究重點(diǎn)。本文在研究了現(xiàn)有支付模式的基礎(chǔ)上，引入分層認(rèn)證模式結(jié)合短信認(rèn)證，并對(duì)分層認(rèn)證模式體系結(jié)構(gòu)的具體說明及與其它模式的安全性和易用性的比較，保證網(wǎng)絡(luò)支付的高安全性，同時(shí)提高用戶使用的易用性。

參考文獻(xiàn):

[1]段 紅:技術(shù)手段與提高易用性并重[J].計(jì)算機(jī)安全，2007，9期

[2]程 亮 劉 輝:一種基于三因素認(rèn)證的網(wǎng)絡(luò)支付安全認(rèn)證模式[J].計(jì)算機(jī)應(yīng)用，2008，7期

[3]楊 麗 張 丹 杜 巍:網(wǎng)絡(luò)支付安全協(xié)議SSL和SET的比較[J].商場(chǎng)現(xiàn)代化，2008，16期