论文部分内容阅读
[摘 要] 结合短信认证和双因素认证,引入分层模型,详细描述了分层认证模式体系结构和实现过程,通过与现有认证模式的分析比较,说明该模式改进了目前网络支付认证的易用性。
[关键词] 网络支付 分层模式 短信认证 易用性
一、 引言
当前,随着电子商务的迅猛发展,网上银行业务也成倍的增长,保障网络支付的安全成为网上银行支付系统的关键,其中设计合理的认证模式是重中之重。目前国内外的网络支付系统都是基于SET协议或SSL协议的底层安全认证协议来构建安全的网络支付认证模式。国内大多数商业银行的网络支付认证模式都基于SSL协议。基本认证模式为基于“口令+硬件加密设备”的双因素认证模式,这种模式安全性非常高,用户必须拥有正确的口令以及属于自己的USB Key才能进行认证及支付等相关操作。
USB Key是一种USB接口的硬件设备,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证,理论上必须取得相应的USB硬件设备才有可能进行交易,因此保证了用户认证的安全性。但这也导致用户网上支付的复杂程度增加,用户必须时刻携带USB Key,并且安装相应的软件才能在不同的电脑上进行网上支付,操作过程非常复杂。目前,国内网上银行发展中最迫切需要解决的就是客户使用的易用性问题,很多客户接受了网银,但是大多数客户毕竟不是计算机专家,对于繁琐的操作确实望而生畏。而部分银行等仅仅采用“口令+卡片基本信息”方式安全性又太差,根本无法让客户放心使用。基于這些事实及问题,本文研究了多家网银的网络支付认证模式并分析其易用性,发现结合USB Key和短信认证的网络支付分层认证模式,不仅具有很高的安全性同时提高了易用性。
二、 短信认证
短信认证是近年来比较流行的认证方式,初期主要用于安全性较高的网站用户身份验证,其基本原理为:网站服务器会随机生成一个验证码发送到用户指定的手机中,用户必须在规定时间内将收到的验证码输入指定位置进行确认,服务器对比是否吻合,从而完成验证。短信认证不易被计算机黑客所利用,安全性相对较高,同时非常方便易用,用户一般都随身携带。
最近部分银行已经开始尝试利用手机短信进行网络支付验证,如工商银行的“口令+U盾+短信”的三因素网络支付认证模式,但这种方式还只是考虑了网络支付的安全性,没有充分考虑用户的易用性。招商银行则利用“口令+短信”的认证模式提高了单一口令模式的安全性,同时也看到该模式的用户操作易用性,但脱离了分层认证模式,在大金额的网络支付安全性还有欠缺。
三、分层认证模式体系结构
据调查,人们日常生活中90%的情况下使用小额支付,而且额度越大使用频率越低。分层认证模式正是利用这一特性,把网络支付划分为多层次,根据客户自身情况,可以设置不同金额的安全性级别。体系结构如图1所示,网络支付分层认证模型包括网上支付的设置和支付两个阶段。
1.符号描述和定义
2.支付设置阶段
用户通过输入Pc进入网上银行的网络支付设置页面,设置支付策略,包括分层额度、手机号码。主要分三层安全性,分别对应不同的消费层次。
(1)第一消费层:Pc验证,单日累积支付金额,小额支付如不超过100元。
(2)第二消费层:Pc+Mc验证,单日累积支付金额,一般支付如100-5000元。
(3)第三消费层:Pc+Mc+Uk验证,单日累积支付金额,大额支付如5000元以上。
根据不同的用户人群每一层次设置的金额也不一样,学生觉得1000元以上是大额支付,要求安全性最高,而高薪阶层则认为数万元以上才算是大额支付,该模式适用各种人群的需求。之后设置接收短信的手机号码,到此基本设置结束,有需要的用户可进一步选择高级设置,包括支付时间、支付地区等设置选项,缩小黑客攻击范围和时间。最后提交策略更新需要插入Uk进行验证,保证设置的安全性,由于设置改动频率很少,一般这时可把Uk保存好,待日后需要进行设置的改动或者大额支付时使用。
3.网络支付阶段
有了前期的支付策略设置,用户在进行网络支付,系统根据Cc、Cd和支付策略来选择验证方式,验证通过即付费。
(1)Cc+Cd (2)L1 (3)Cc+Cd>L2属于第三消费层,选择Pc+Mc+Uk验证。
四、安全性和易用性比较
表2从用户使用角度来分析比较分层认证模式与目前多数网银使用的认证模式在易用性和安全性上面的差别。
M1和M2两者安全性都很高,但每一次网络支付都需USB Key,并安装软件,这些导致用户使用的极大不方便,并且遗矢USB Key的几率增大。M3没有使用USB Key,在大额支付情况下安全性不能保证。M4利用分层方式,不但保证了很高的安全性,同时解决USB Key经常使用带来的不便。
五、小结
目前,电子商务的快速发展迫切要求解决网络支付中用户使用易用性的问题,如何即保证网络支付安全性又能提高用户易用性已经成为研究重点。本文在研究了现有支付模式的基础上,引入分层认证模式结合短信认证,并对分层认证模式体系结构的具体说明及与其它模式的安全性和易用性的比较,保证网络支付的高安全性,同时提高用户使用的易用性。
参考文献:
[1]段 红:技术手段与提高易用性并重[J].计算机安全,2007,9期
[2]程 亮 刘 辉:一种基于三因素认证的网络支付安全认证模式[J].计算机应用,2008,7期
[3]杨 丽 张 丹 杜 巍:网络支付安全协议SSL和SET的比较[J].商场现代化,2008,16期
[关键词] 网络支付 分层模式 短信认证 易用性
一、 引言
当前,随着电子商务的迅猛发展,网上银行业务也成倍的增长,保障网络支付的安全成为网上银行支付系统的关键,其中设计合理的认证模式是重中之重。目前国内外的网络支付系统都是基于SET协议或SSL协议的底层安全认证协议来构建安全的网络支付认证模式。国内大多数商业银行的网络支付认证模式都基于SSL协议。基本认证模式为基于“口令+硬件加密设备”的双因素认证模式,这种模式安全性非常高,用户必须拥有正确的口令以及属于自己的USB Key才能进行认证及支付等相关操作。
USB Key是一种USB接口的硬件设备,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证,理论上必须取得相应的USB硬件设备才有可能进行交易,因此保证了用户认证的安全性。但这也导致用户网上支付的复杂程度增加,用户必须时刻携带USB Key,并且安装相应的软件才能在不同的电脑上进行网上支付,操作过程非常复杂。目前,国内网上银行发展中最迫切需要解决的就是客户使用的易用性问题,很多客户接受了网银,但是大多数客户毕竟不是计算机专家,对于繁琐的操作确实望而生畏。而部分银行等仅仅采用“口令+卡片基本信息”方式安全性又太差,根本无法让客户放心使用。基于這些事实及问题,本文研究了多家网银的网络支付认证模式并分析其易用性,发现结合USB Key和短信认证的网络支付分层认证模式,不仅具有很高的安全性同时提高了易用性。
二、 短信认证
短信认证是近年来比较流行的认证方式,初期主要用于安全性较高的网站用户身份验证,其基本原理为:网站服务器会随机生成一个验证码发送到用户指定的手机中,用户必须在规定时间内将收到的验证码输入指定位置进行确认,服务器对比是否吻合,从而完成验证。短信认证不易被计算机黑客所利用,安全性相对较高,同时非常方便易用,用户一般都随身携带。
最近部分银行已经开始尝试利用手机短信进行网络支付验证,如工商银行的“口令+U盾+短信”的三因素网络支付认证模式,但这种方式还只是考虑了网络支付的安全性,没有充分考虑用户的易用性。招商银行则利用“口令+短信”的认证模式提高了单一口令模式的安全性,同时也看到该模式的用户操作易用性,但脱离了分层认证模式,在大金额的网络支付安全性还有欠缺。
三、分层认证模式体系结构
据调查,人们日常生活中90%的情况下使用小额支付,而且额度越大使用频率越低。分层认证模式正是利用这一特性,把网络支付划分为多层次,根据客户自身情况,可以设置不同金额的安全性级别。体系结构如图1所示,网络支付分层认证模型包括网上支付的设置和支付两个阶段。
1.符号描述和定义
2.支付设置阶段
用户通过输入Pc进入网上银行的网络支付设置页面,设置支付策略,包括分层额度、手机号码。主要分三层安全性,分别对应不同的消费层次。
(1)第一消费层:Pc验证,单日累积支付金额,小额支付如不超过100元。
(2)第二消费层:Pc+Mc验证,单日累积支付金额,一般支付如100-5000元。
(3)第三消费层:Pc+Mc+Uk验证,单日累积支付金额,大额支付如5000元以上。
根据不同的用户人群每一层次设置的金额也不一样,学生觉得1000元以上是大额支付,要求安全性最高,而高薪阶层则认为数万元以上才算是大额支付,该模式适用各种人群的需求。之后设置接收短信的手机号码,到此基本设置结束,有需要的用户可进一步选择高级设置,包括支付时间、支付地区等设置选项,缩小黑客攻击范围和时间。最后提交策略更新需要插入Uk进行验证,保证设置的安全性,由于设置改动频率很少,一般这时可把Uk保存好,待日后需要进行设置的改动或者大额支付时使用。
3.网络支付阶段
有了前期的支付策略设置,用户在进行网络支付,系统根据Cc、Cd和支付策略来选择验证方式,验证通过即付费。
(1)Cc+Cd
四、安全性和易用性比较
表2从用户使用角度来分析比较分层认证模式与目前多数网银使用的认证模式在易用性和安全性上面的差别。
M1和M2两者安全性都很高,但每一次网络支付都需USB Key,并安装软件,这些导致用户使用的极大不方便,并且遗矢USB Key的几率增大。M3没有使用USB Key,在大额支付情况下安全性不能保证。M4利用分层方式,不但保证了很高的安全性,同时解决USB Key经常使用带来的不便。
五、小结
目前,电子商务的快速发展迫切要求解决网络支付中用户使用易用性的问题,如何即保证网络支付安全性又能提高用户易用性已经成为研究重点。本文在研究了现有支付模式的基础上,引入分层认证模式结合短信认证,并对分层认证模式体系结构的具体说明及与其它模式的安全性和易用性的比较,保证网络支付的高安全性,同时提高用户使用的易用性。
参考文献:
[1]段 红:技术手段与提高易用性并重[J].计算机安全,2007,9期
[2]程 亮 刘 辉:一种基于三因素认证的网络支付安全认证模式[J].计算机应用,2008,7期
[3]杨 丽 张 丹 杜 巍:网络支付安全协议SSL和SET的比较[J].商场现代化,2008,16期