網(wǎng)絡支付認證模式的易用性改進

[摘 要] 結(jié)合短信認證和雙因素認證，引入分層模型，詳細描述了分層認證模式體系結(jié)構(gòu)和實現(xiàn)過程，通過與現(xiàn)有認證模式的分析比較，說明該模式改進了目前網(wǎng)絡支付認證的易用性。

[關鍵詞] 網(wǎng)絡支付 分層模式 短信認證 易用性

一、 引言

當前，隨著電子商務的迅猛發(fā)展，網(wǎng)上銀行業(yè)務也成倍的增長，保障網(wǎng)絡支付的安全成為網(wǎng)上銀行支付系統(tǒng)的關鍵，其中設計合理的認證模式是重中之重。目前國內(nèi)外的網(wǎng)絡支付系統(tǒng)都是基于SET協(xié)議或SSL協(xié)議的底層安全認證協(xié)議來構(gòu)建安全的網(wǎng)絡支付認證模式。國內(nèi)大多數(shù)商業(yè)銀行的網(wǎng)絡支付認證模式都基于SSL協(xié)議?；菊J證模式為基于“口令+硬件加密設備”的雙因素認證模式，這種模式安全性非常高，用戶必須擁有正確的口令以及屬于自己的USB Key才能進行認證及支付等相關操作。

USB Key是一種USB接口的硬件設備，可以存儲用戶的私鑰以及數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證，理論上必須取得相應的USB硬件設備才有可能進行交易，因此保證了用戶認證的安全性。但這也導致用戶網(wǎng)上支付的復雜程度增加，用戶必須時刻攜帶USB Key，并且安裝相應的軟件才能在不同的電腦上進行網(wǎng)上支付，操作過程非常復雜。目前，國內(nèi)網(wǎng)上銀行發(fā)展中最迫切需要解決的就是客戶使用的易用性問題，很多客戶接受了網(wǎng)銀，但是大多數(shù)客戶畢竟不是計算機專家，對于繁瑣的操作確實望而生畏。而部分銀行等僅僅采用“口令+卡片基本信息”方式安全性又太差，根本無法讓客戶放心使用?；谶@些事實及問題，本文研究了多家網(wǎng)銀的網(wǎng)絡支付認證模式并分析其易用性，發(fā)現(xiàn)結(jié)合USB Key和短信認證的網(wǎng)絡支付分層認證模式，不僅具有很高的安全性同時提高了易用性。

二、 短信認證

短信認證是近年來比較流行的認證方式，初期主要用于安全性較高的網(wǎng)站用戶身份驗證，其基本原理為:網(wǎng)站服務器會隨機生成一個驗證碼發(fā)送到用戶指定的手機中，用戶必須在規(guī)定時間內(nèi)將收到的驗證碼輸入指定位置進行確認，服務器對比是否吻合，從而完成驗證。短信認證不易被計算機黑客所利用，安全性相對較高，同時非常方便易用，用戶一般都隨身攜帶。

最近部分銀行已經(jīng)開始嘗試利用手機短信進行網(wǎng)絡支付驗證，如工商銀行的“口令+U盾+短信”的三因素網(wǎng)絡支付認證模式，但這種方式還只是考慮了網(wǎng)絡支付的安全性，沒有充分考慮用戶的易用性。招商銀行則利用“口令+短信”的認證模式提高了單一口令模式的安全性，同時也看到該模式的用戶操作易用性，但脫離了分層認證模式，在大金額的網(wǎng)絡支付安全性還有欠缺。

三、分層認證模式體系結(jié)構(gòu)

據(jù)調(diào)查，人們?nèi)粘Ｉ钪?0%的情況下使用小額支付，而且額度越大使用頻率越低。分層認證模式正是利用這一特性，把網(wǎng)絡支付劃分為多層次，根據(jù)客戶自身情況，可以設置不同金額的安全性級別。體系結(jié)構(gòu)如圖1所示，網(wǎng)絡支付分層認證模型包括網(wǎng)上支付的設置和支付兩個階段。

1.符號描述和定義

2.支付設置階段

用戶通過輸入Pc進入網(wǎng)上銀行的網(wǎng)絡支付設置頁面，設置支付策略，包括分層額度、手機號碼。主要分三層安全性，分別對應不同的消費層次。

(1)第一消費層:Pc驗證，單日累積支付金額，小額支付如不超過100元。

(2)第二消費層:Pc+Mc驗證，單日累積支付金額，一般支付如100-5000元。

(3)第三消費層:Pc+Mc+Uk驗證，單日累積支付金額，大額支付如5000元以上。

根據(jù)不同的用戶人群每一層次設置的金額也不一樣，學生覺得1000元以上是大額支付，要求安全性最高，而高薪階層則認為數(shù)萬元以上才算是大額支付，該模式適用各種人群的需求。之后設置接收短信的手機號碼，到此基本設置結(jié)束，有需要的用戶可進一步選擇高級設置，包括支付時間、支付地區(qū)等設置選項，縮小黑客攻擊范圍和時間。最后提交策略更新需要插入Uk進行驗證，保證設置的安全性，由于設置改動頻率很少，一般這時可把Uk保存好，待日后需要進行設置的改動或者大額支付時使用。

3.網(wǎng)絡支付階段

有了前期的支付策略設置，用戶在進行網(wǎng)絡支付，系統(tǒng)根據(jù)Cc、Cd和支付策略來選擇驗證方式，驗證通過即付費。

(1)Cc+Cd

(2)L1

(3)Cc+Cd>L2屬于第三消費層，選擇Pc+Mc+Uk驗證。

四、安全性和易用性比較

表2從用戶使用角度來分析比較分層認證模式與目前多數(shù)網(wǎng)銀使用的認證模式在易用性和安全性上面的差別。

M1和M2兩者安全性都很高，但每一次網(wǎng)絡支付都需USB Key，并安裝軟件，這些導致用戶使用的極大不方便，并且遺矢USB Key的幾率增大。M3沒有使用USB Key，在大額支付情況下安全性不能保證。M4利用分層方式，不但保證了很高的安全性，同時解決USB Key經(jīng)常使用帶來的不便。

五、小結(jié)

目前，電子商務的快速發(fā)展迫切要求解決網(wǎng)絡支付中用戶使用易用性的問題，如何即保證網(wǎng)絡支付安全性又能提高用戶易用性已經(jīng)成為研究重點。本文在研究了現(xiàn)有支付模式的基礎上，引入分層認證模式結(jié)合短信認證，并對分層認證模式體系結(jié)構(gòu)的具體說明及與其它模式的安全性和易用性的比較，保證網(wǎng)絡支付的高安全性，同時提高用戶使用的易用性。

參考文獻:

[1]段 紅:技術手段與提高易用性并重[J].計算機安全，2007，9期

[2]程 亮 劉 輝:一種基于三因素認證的網(wǎng)絡支付安全認證模式[J].計算機應用，2008，7期

[3]楊 麗 張 丹 杜 巍:網(wǎng)絡支付安全協(xié)議SSL和SET的比較[J].商場現(xiàn)代化，2008，16期