基于自適應(yīng)n因素認證的在線支付認證體系設(shè)計

車力軍 王必毅

1(中國電信云南公司 云南 昆明 650011)2(中國聯(lián)通云南分公司 云南 昆明 650000)

0 引 言

隨著移動互聯(lián)網(wǎng)和在線支付產(chǎn)業(yè)的迅猛發(fā)展，近年來國內(nèi)外支付業(yè)務(wù)都發(fā)生過金融安全事件，造成嚴重的經(jīng)濟損失及用戶信息泄露。騰訊2016年支付安全報告顯示，全國每年被支付類病毒感染的用戶高達2 500多萬。360也指出，目前移動支付安全狀況堪憂，釣魚網(wǎng)站、惡意程序?qū)室苿又Ц?，正嚴重威脅廣大用戶財產(chǎn)安全[1]。支付安全風險已成為廣泛的社會安全問題，嚴重影響在線支付的信譽和發(fā)展。

在線支付安全的關(guān)鍵是安全的認證模式。單因素認證是不太安全的認證模式，從管理策略，我們可組合使用多種身份驗證措施，來提高在線支付平臺的安全[2-3]。目前在線支付系統(tǒng)除支付密碼外，U盾、數(shù)字簽名、證書等逐步也作為身份認證因素?？茖W組配這些因素，將使認證體系更加安全[4]。但是雙因素或多因素認證在用戶體驗和造價上，又會帶來一些操作不便及成本門檻，這方面如何靈活處置的研究對策并不多見。同時，現(xiàn)有文獻也未見到將單/雙、多因素認證科學組合，形成有效體系化安全認證流程的研究。本文的目標，就是完善支付安全認證的業(yè)務(wù)流程，設(shè)計一種自適應(yīng)適配不同客戶群體的n因素認證流程和安全認證體系。

1 支付認證技術(shù)存在的問題與思考

1.1 傳統(tǒng)身份認證的問題

早期身份認證采用用戶密碼的單因素認證形式，該方式存在諸多弊端，黑客能通過猜解工具、盜取數(shù)據(jù)庫、撞庫等方法竊取或猜出密碼[5]。一次性動態(tài)驗證碼雖比靜態(tài)密碼安全一些，但也有被黑客用技術(shù)手段竊取的可能。因此，單因素認證是很脆弱的身份認證模式。

基于以上弊端，業(yè)界有了雙因素認證，該認證方式通常在用戶“密碼”登錄后，還會在線生成一個動態(tài)驗證碼。用戶注冊或進入系統(tǒng)時，綁定的手機收到驗證碼短信，正確輸入驗證碼才能通過認證，完成登錄。例如電信運營商的翼支付業(yè)務(wù)就是采用該方式。

盡管雙因素認證在技術(shù)上有所改善，但它仍然不是完全可靠。舉例來說，中間人攻擊方式采用誘騙用戶訪問釣魚網(wǎng)站，黑客將用戶信息在合法的網(wǎng)站上輸入，真正的網(wǎng)站會給黑客返回一個驗證碼，黑客立即同步發(fā)送給用戶，用戶自然會在釣魚網(wǎng)站輸入該驗證碼，而攻擊者也在真網(wǎng)站上進行輸入，于是黑客通過了認證，進而盜取相關(guān)利益[6-7]。所以，雙因素認證需要完善，或盡快引入多因素認證。

1.2 國內(nèi)主流支付方式的認證情況

目前業(yè)界支付方式中支付寶、微信是主流，其次才是銀聯(lián)和各家銀行、Apple pay[8]。

支付寶的二維碼/條碼支付非常便捷，但其與銀行的快捷支付一樣，基本屬于單因素認證。在2014年支付寶曾因安全問題被央行緊急叫停過。主要原因一是有較多的安全漏洞風險。二是被不法分子利用，把病毒附著在商家的二維碼上，或者不法分子制造釣魚網(wǎng)站行騙。另一種情況是如用戶手機遺失不及時凍結(jié)銀行賬戶，支付寶因認證方面的弱勢將面臨極高的盜刷風險[9]。而微信支付在安全方面的情況與支付寶類似。

Apple Pay其線上線下模式都基于Touch ID 指紋驗證完成認證。雖然其采用Tokenization 等技術(shù)提高了其安全性，但就認證環(huán)節(jié)來說，仍屬于單因素或雙因素認證，一旦用戶丟失手機或Apple Pay 綁定銀行卡失敗，可能會讓不法分子獲得信用卡信息，進而存在被盜刷的風險。實際案例在國內(nèi)外都有相關(guān)報道[10]。此外，在各類在線支付安全事件中，賬戶中資金較多的中高端客戶一旦出事，損失都較為慘重。

1.3 n因素認證的引入

當前，自適應(yīng)n因素安全認證的應(yīng)用并不多見，但是生物特征越來越多應(yīng)用于密碼學，例如：指紋、指靜脈、面相、虹膜、聲音、動作、DNA等具有唯一、不可復(fù)制等良好特性，能為用戶提供更可靠，更安全的保護[11]。這些生物特征可作為n因素認證待用的因素，其中指紋又是成本較低、操作最便捷的因素。

然而近年在指紋認證實踐中，曾多次出現(xiàn)不良商家協(xié)助制作指紋膜進行簽到作弊的情況，一些傳統(tǒng)指紋認證已形同虛設(shè)。因此指紋識別必須技術(shù)升級。鑒于此，有三類解決方案：1) 在指紋認證中集成溫濕度傳感，使指紋傳感器能判別是否為真實皮膚；2) 3D指紋識別，深入到真皮層采集和識別3D立體指紋，這種3D指紋技術(shù)抗仿冒程度較高[12]；3) 指靜脈生物認證，據(jù)人體血紅素吸收紅外光的特質(zhì)進行身份認證，將紅外相機對靠近紅外照射的手指拍照，即可采集到手指內(nèi)部唯一的血管脈絡(luò)圖，獲得反映人體靜脈拓撲結(jié)構(gòu)的特征。這種識別只有活體條件才能采集，因此防仿冒能力更強，同時采用非接觸成像技術(shù)，接受度更好。

2 新型認證體系流程和基于n因素的模塊設(shè)計

2.1 自適應(yīng)n因素新型認證流程設(shè)計

在線支付多因素認證可大大提高安全保障能力，但又帶來操作繁瑣和成本提升的問題。因此，認證流程及多因素認證本身需要通過調(diào)研篩選、合理設(shè)計，從技術(shù)、安全性評估、成本和操作便利容忍度等方面達成一種平衡。

借鑒銀行對客戶群的白金、金、銀卡劃分設(shè)計思路，將在線支付用戶按資金交易額度和資金存量分為高中低檔，高中端用戶更多注重賬戶的安全和隱私的保護，低端用戶(包括小額交易用戶)在乎的是業(yè)務(wù)便利性。本文設(shè)計的新型在線支付認證流程將自適應(yīng)判斷客戶類別，根據(jù)客戶群不同選擇不同的認證模式，以便在保障客戶資金安全和操作便利性等方面形成最優(yōu)適配。同時，考慮安全形勢嚴峻，黑客猖獗的現(xiàn)實，在流程中加入釣魚網(wǎng)站反向驗證環(huán)節(jié)，防止客戶掉入黑客的陷阱。

在線支付n因素認證新流程體系如圖1所示。

圖1 新型安全認證流程體系框架圖

2.2 多因素認證模塊設(shè)計

在新認證流程中，單因素和雙因素模塊可調(diào)用現(xiàn)有認證技術(shù)。對多因素認證模塊，本設(shè)計采用了口令、指靜脈認證、動態(tài)驗證碼組合的三因素認證組合。目前指靜脈特征在技術(shù)防欺騙性、認證唯一性和穩(wěn)定性等方面都非常出色，認假率(FAR)達0.000 1%，同時國家已制定相關(guān)標準，在打破日韓技術(shù)壟斷和產(chǎn)品微型化方面已取得重大突破[13]，故本認證模式采用了指靜脈識別模塊。

當用戶注冊時，采錄的用戶指靜脈信息將被存入特征庫中。而當用戶登錄平臺時，將從登錄掃描的指靜脈中抽取特征信息，與特征庫中的信息比對，若二者的相似性超過預(yù)定的門限值，則身份認證成功(圖2)。

圖2 用戶登錄時指靜脈認證示意圖

該認證體系由Web服務(wù)器、用戶終端、U盾和認證服務(wù)器等模塊組成(圖3)。

圖3 基于多因素的新型認證體系系統(tǒng)圖

各個模塊功能如下：

(1) U盾(USBKEY) 掃描讀取指靜脈信息，形成時間關(guān)聯(lián)的隨機數(shù)，存儲用戶的私鑰和證書。

(2) 認證服務(wù)器 進行密鑰的生成、備份和更新，執(zhí)行證書的發(fā)放、更新、存儲和刪除，經(jīng)與指靜脈特征庫的信息對比，驗證并確認用戶身份；完成認證審計等。

(3) 用戶管理服務(wù)器及數(shù)據(jù)庫 對注冊用戶進行信息存儲及管理，對U盾發(fā)放進行管理。

(4) Web應(yīng)用服務(wù)器 提供用戶擬使用的應(yīng)用服務(wù)，對用戶的交易請求進行反饋響應(yīng)，向認證中心發(fā)出請求指令，更新、管理數(shù)據(jù)庫等等。

(5) 用戶終端 對登錄命令、支付命令進行加密，向認證中心發(fā)出請求指令，對接收的反饋信息輸入密碼等操作，對動態(tài)密碼或圖像認證進行反饋輸入。

本文提出的新型認證體系業(yè)務(wù)流程包括注冊、登錄及身份認證和支付認證階段。

(1) 注冊階段，用戶若想成為某支付業(yè)務(wù)合法用戶，須先在Web網(wǎng)站注冊。之后，Web服務(wù)器即裝有認證中心頒發(fā)的證書、公鑰，認證中心也存有證明服務(wù)器身份的信息和數(shù)字簽名，以及Web服務(wù)器端的公鑰。

(2) 登錄及身份認證階段，系統(tǒng)配備指靜脈U盾，當用戶在終端登錄，輸入用戶名和密碼，然后插入U盾驗證信息，此時指靜脈信息與U盾上存儲的信息進行比對。比對吻合則用戶終端將獲取信息，并將信息存入U盾。U盾用公鑰加密后向認證服務(wù)器發(fā)送本次認證請求，認證服務(wù)器收到終端請求后，先用私鑰解密本次請求，將解密信息在用戶特征庫以該用戶名進行查詢，若搜索到用戶為已注冊用戶，調(diào)用數(shù)據(jù)庫該注冊用戶的公鑰，驗證用戶的數(shù)字簽名。身份確認后，認證服務(wù)器反饋同意用戶請求。用戶終端在收到認證服務(wù)器的應(yīng)答后，先進行解密，然后確認服務(wù)器的身份，再確認服務(wù)器發(fā)來的信息與數(shù)據(jù)庫中存儲的是否相同，隨后終端向認證服務(wù)器發(fā)送指令，請求架接Web服務(wù)器與用戶終端的通道，經(jīng)認證確認即建立支付交易通道。本階段業(yè)務(wù)流程示意見圖4。

圖4 登錄及身份認證階段業(yè)務(wù)流程圖

(3) 支付認證階段，建立通道后，客戶賬號、支付密碼、貨品、錢款等信息用會話密鑰發(fā)送給Web服務(wù)器，Web服務(wù)器驗證數(shù)據(jù)庫中是否有用戶所需商品，生成支付命令，返回給終端。用戶終端收到后，通過U盾生成驗證碼，并在用戶端提示用戶首先驗證指靜脈，再輸入驗證碼，匹配通過，即可進行支付交易。

3 新型認證設(shè)計架構(gòu)的相關(guān)分析

3.1 可行性

本文新型認證流程的多因素認證模塊架構(gòu)的軟件協(xié)議只是比傳統(tǒng)雙因素認證模式在業(yè)務(wù)復(fù)雜性和計算量稍高。根據(jù)筆者前期研究的性能計算分析，設(shè)單位計算量為Tc，傳統(tǒng)雙因素認證總計算量約10Tc，而三因素認證約為15Tc[14]。隨著當前IT技術(shù)的飛速發(fā)展，計算機、通信集成電路的體積日益縮小，可識別指靜脈的U盾造價將日益低廉和微型，其技術(shù)和運算速度也日益完善，既可在PC環(huán)境使用，也能在移動終端等存儲和計算能力受限的環(huán)境使用。本設(shè)計配套U盾通過USB口連接電腦或用數(shù)據(jù)線連接手機，實現(xiàn)網(wǎng)絡(luò)和移動支付應(yīng)用。綜上說明本設(shè)計架構(gòu)實施具有可行性，并在電信集團年度網(wǎng)絡(luò)安全創(chuàng)新大賽中奪得獎項。

3.2 安全性

新型認證流程的多因素認證模塊不僅可以防止雙因素認證可能存在的字典攻擊、拒絕服務(wù)攻擊和口令字猜測等攻擊，更具特色的是有幾項單/雙因素認證無法具備的安全性：

(1) 雙向認證：在第2階段的登錄及身份認證過程中，認證服務(wù)器將對用戶終端進行認證，而在第3階段的支付認證中，經(jīng)驗證認證服務(wù)器發(fā)來的數(shù)據(jù)，用戶端即確認了服務(wù)器的身份，從而實現(xiàn)了認證服務(wù)器和客戶之間的雙向認證。同理，本模式在認證服務(wù)器與Web服務(wù)器，用戶終端與Web服務(wù)器的認證過程中也進行了雙向身份認證，這有效規(guī)避了釣魚網(wǎng)站的侵害。

(2) 抗U盾丟失攻擊：假設(shè)攻擊者竊取了用戶的USBKEY，則攻擊者能取出U盾存儲在智能卡中的信息，但是因黑客沒有密鑰，得不到用戶口令，此外攻擊者更難通過指靜脈認證。因此攻擊者既不能變更用戶密碼，更不能通過U盾的指靜脈認證而進入系統(tǒng)服務(wù)器。此外，從機制上系統(tǒng)注冊中心不掌握用戶口令信息，因此本模式還能防御內(nèi)部攻擊。

(3) 仿冒攻擊：在支付認證過程中，U盾會提示用戶進行指靜脈認證，同時在短時內(nèi)通過傳統(tǒng)識別技術(shù)獲取驗證碼難度很大，所以黑客將不可能對U盾和指靜脈進行仿冒操作。

(4) 重放攻擊：當用戶向認證服務(wù)器發(fā)送請求時，也會將每次的信息同時發(fā)送給另一方，而他們的數(shù)據(jù)庫都會保存這條信息。如果黑客選擇重放攻擊，假冒用戶向認證服務(wù)器發(fā)送請求，接收方可以將數(shù)據(jù)庫中的原有信息進行對比，如果與任一條原有存儲信息相同，則證明本次請求為重放攻擊，接收方將拒絕服務(wù)。

4 結(jié) 語

包含互聯(lián)網(wǎng)安全在內(nèi)的工商業(yè)信息安全已成為國家安全體系的一部分。加快體系建設(shè)、提升技術(shù)實力已成當務(wù)之急[15]。身份認證是支付安全的第一道屏障，本文提出的新型認證模式一是進行了支付認證流程創(chuàng)新，通過自適應(yīng)n因素認證適配兼顧高中低客戶群的支付場景，具有普適性特點，同時在流程中增加了釣魚網(wǎng)站等反向檢測環(huán)節(jié)，大大提高安全能力；二是在支付應(yīng)用中引入多因素認證模塊，能有效防止各類攻擊侵害，在支付終端遺失場景也能從容應(yīng)對，極大提高系統(tǒng)的安全性，這至少在電信運營商支付業(yè)務(wù)中尚屬首例。因此，本新型認證模式具有顯著的現(xiàn)實意義和實施可行性。當然，本模式從算法和實際產(chǎn)業(yè)化還需進一步優(yōu)化完善，例如優(yōu)化黑客竊取或偽造用戶信息的甄別等難題，也期望指靜脈識別早日集成到手機內(nèi)部。本文新型認證體系的實現(xiàn)將改善現(xiàn)有在線支付安全環(huán)境，對推進在線支付的健康發(fā)展起到積極作用。