基于自適應n因素認證的在線支付認證體系設計

車力軍 王必毅

1(中國電信云南公司 云南 昆明 650011)2(中國聯通云南分公司 云南 昆明 650000)

0 引 言

隨著移動互聯網和在線支付產業的迅猛發展，近年來國內外支付業務都發生過金融安全事件，造成嚴重的經濟損失及用戶信息泄露。騰訊2016年支付安全報告顯示，全國每年被支付類病毒感染的用戶高達2 500多萬。360也指出，目前移動支付安全狀況堪憂，釣魚網站、惡意程序對準移動支付，正嚴重威脅廣大用戶財產安全[1]。支付安全風險已成為廣泛的社會安全問題，嚴重影響在線支付的信譽和發展。

在線支付安全的關鍵是安全的認證模式。單因素認證是不太安全的認證模式，從管理策略，我們可組合使用多種身份驗證措施，來提高在線支付平臺的安全[2-3]。目前在線支付系統除支付密碼外，U盾、數字簽名、證書等逐步也作為身份認證因素。科學組配這些因素，將使認證體系更加安全[4]。但是雙因素或多因素認證在用戶體驗和造價上，又會帶來一些操作不便及成本門檻，這方面如何靈活處置的研究對策并不多見。同時，現有文獻也未見到將單/雙、多因素認證科學組合，形成有效體系化安全認證流程的研究。本文的目標，就是完善支付安全認證的業務流程，設計一種自適應適配不同客戶群體的n因素認證流程和安全認證體系。

1 支付認證技術存在的問題與思考

1.1 傳統身份認證的問題

早期身份認證采用用戶密碼的單因素認證形式，該方式存在諸多弊端，黑客能通過猜解工具、盜取數據庫、撞庫等方法竊取或猜出密碼[5]。一次性動態驗證碼雖比靜態密碼安全一些，但也有被黑客用技術手段竊取的可能。因此，單因素認證是很脆弱的身份認證模式。

基于以上弊端，業界有了雙因素認證，該認證方式通常在用戶“密碼”登錄后，還會在線生成一個動態驗證碼。用戶注冊或進入系統時，綁定的手機收到驗證碼短信，正確輸入驗證碼才能通過認證，完成登錄。例如電信運營商的翼支付業務就是采用該方式。

盡管雙因素認證在技術上有所改善，但它仍然不是完全可靠。舉例來說，中間人攻擊方式采用誘騙用戶訪問釣魚網站，黑客將用戶信息在合法的網站上輸入，真正的網站會給黑客返回一個驗證碼，黑客立即同步發送給用戶，用戶自然會在釣魚網站輸入該驗證碼，而攻擊者也在真網站上進行輸入，于是黑客通過了認證，進而盜取相關利益[6-7]。所以，雙因素認證需要完善，或盡快引入多因素認證。

1.2 國內主流支付方式的認證情況

目前業界支付方式中支付寶、微信是主流，其次才是銀聯和各家銀行、Apple pay[8]。

支付寶的二維碼/條碼支付非常便捷，但其與銀行的快捷支付一樣，基本屬于單因素認證。在2014年支付寶曾因安全問題被央行緊急叫停過。主要原因一是有較多的安全漏洞風險。二是被不法分子利用，把病毒附著在商家的二維碼上，或者不法分子制造釣魚網站行騙。另一種情況是如用戶手機遺失不及時凍結銀行賬戶，支付寶因認證方面的弱勢將面臨極高的盜刷風險[9]。而微信支付在安全方面的情況與支付寶類似。

Apple Pay其線上線下模式都基于Touch ID 指紋驗證完成認證。雖然其采用Tokenization 等技術提高了其安全性，但就認證環節來說，仍屬于單因素或雙因素認證，一旦用戶丟失手機或Apple Pay 綁定銀行卡失敗，可能會讓不法分子獲得信用卡信息，進而存在被盜刷的風險。實際案例在國內外都有相關報道[10]。此外，在各類在線支付安全事件中，賬戶中資金較多的中高端客戶一旦出事，損失都較為慘重。

1.3 n因素認證的引入

當前，自適應n因素安全認證的應用并不多見，但是生物特征越來越多應用于密碼學，例如：指紋、指靜脈、面相、虹膜、聲音、動作、DNA等具有唯一、不可復制等良好特性，能為用戶提供更可靠，更安全的保護[11]。這些生物特征可作為n因素認證待用的因素，其中指紋又是成本較低、操作最便捷的因素。

然而近年在指紋認證實踐中，曾多次出現不良商家協助制作指紋膜進行簽到作弊的情況，一些傳統指紋認證已形同虛設。因此指紋識別必須技術升級。鑒于此，有三類解決方案：1) 在指紋認證中集成溫濕度傳感，使指紋傳感器能判別是否為真實皮膚；2) 3D指紋識別，深入到真皮層采集和識別3D立體指紋，這種3D指紋技術抗仿冒程度較高[12]；3) 指靜脈生物認證，據人體血紅素吸收紅外光的特質進行身份認證，將紅外相機對靠近紅外照射的手指拍照，即可采集到手指內部唯一的血管脈絡圖，獲得反映人體靜脈拓撲結構的特征。這種識別只有活體條件才能采集，因此防仿冒能力更強，同時采用非接觸成像技術，接受度更好。

2 新型認證體系流程和基于n因素的模塊設計

2.1 自適應n因素新型認證流程設計

在線支付多因素認證可大大提高安全保障能力，但又帶來操作繁瑣和成本提升的問題。因此，認證流程及多因素認證本身需要通過調研篩選、合理設計，從技術、安全性評估、成本和操作便利容忍度等方面達成一種平衡。

借鑒銀行對客戶群的白金、金、銀卡劃分設計思路，將在線支付用戶按資金交易額度和資金存量分為高中低檔，高中端用戶更多注重賬戶的安全和隱私的保護，低端用戶(包括小額交易用戶)在乎的是業務便利性。本文設計的新型在線支付認證流程將自適應判斷客戶類別，根據客戶群不同選擇不同的認證模式，以便在保障客戶資金安全和操作便利性等方面形成最優適配。同時，考慮安全形勢嚴峻，黑客猖獗的現實，在流程中加入釣魚網站反向驗證環節，防止客戶掉入黑客的陷阱。

在線支付n因素認證新流程體系如圖1所示。

圖1 新型安全認證流程體系框架圖

2.2 多因素認證模塊設計

在新認證流程中，單因素和雙因素模塊可調用現有認證技術。對多因素認證模塊，本設計采用了口令、指靜脈認證、動態驗證碼組合的三因素認證組合。目前指靜脈特征在技術防欺騙性、認證唯一性和穩定性等方面都非常出色，認假率(FAR)達0.000 1%，同時國家已制定相關標準，在打破日韓技術壟斷和產品微型化方面已取得重大突破[13]，故本認證模式采用了指靜脈識別模塊。

當用戶注冊時，采錄的用戶指靜脈信息將被存入特征庫中。而當用戶登錄平臺時，將從登錄掃描的指靜脈中抽取特征信息，與特征庫中的信息比對，若二者的相似性超過預定的門限值，則身份認證成功(圖2)。

圖2 用戶登錄時指靜脈認證示意圖

該認證體系由Web服務器、用戶終端、U盾和認證服務器等模塊組成(圖3)。

圖3 基于多因素的新型認證體系系統圖

各個模塊功能如下：

(1) U盾(USBKEY) 掃描讀取指靜脈信息，形成時間關聯的隨機數，存儲用戶的私鑰和證書。

(2) 認證服務器 進行密鑰的生成、備份和更新，執行證書的發放、更新、存儲和刪除，經與指靜脈特征庫的信息對比，驗證并確認用戶身份；完成認證審計等。

(3) 用戶管理服務器及數據庫 對注冊用戶進行信息存儲及管理，對U盾發放進行管理。

(4) Web應用服務器 提供用戶擬使用的應用服務，對用戶的交易請求進行反饋響應，向認證中心發出請求指令，更新、管理數據庫等等。

(5) 用戶終端 對登錄命令、支付命令進行加密，向認證中心發出請求指令，對接收的反饋信息輸入密碼等操作，對動態密碼或圖像認證進行反饋輸入。

本文提出的新型認證體系業務流程包括注冊、登錄及身份認證和支付認證階段。

(1) 注冊階段，用戶若想成為某支付業務合法用戶，須先在Web網站注冊。之后，Web服務器即裝有認證中心頒發的證書、公鑰，認證中心也存有證明服務器身份的信息和數字簽名，以及Web服務器端的公鑰。

(2) 登錄及身份認證階段，系統配備指靜脈U盾，當用戶在終端登錄，輸入用戶名和密碼，然后插入U盾驗證信息，此時指靜脈信息與U盾上存儲的信息進行比對。比對吻合則用戶終端將獲取信息，并將信息存入U盾。U盾用公鑰加密后向認證服務器發送本次認證請求，認證服務器收到終端請求后，先用私鑰解密本次請求，將解密信息在用戶特征庫以該用戶名進行查詢，若搜索到用戶為已注冊用戶，調用數據庫該注冊用戶的公鑰，驗證用戶的數字簽名。身份確認后，認證服務器反饋同意用戶請求。用戶終端在收到認證服務器的應答后，先進行解密，然后確認服務器的身份，再確認服務器發來的信息與數據庫中存儲的是否相同，隨后終端向認證服務器發送指令，請求架接Web服務器與用戶終端的通道，經認證確認即建立支付交易通道。本階段業務流程示意見圖4。

圖4 登錄及身份認證階段業務流程圖

(3) 支付認證階段，建立通道后，客戶賬號、支付密碼、貨品、錢款等信息用會話密鑰發送給Web服務器，Web服務器驗證數據庫中是否有用戶所需商品，生成支付命令，返回給終端。用戶終端收到后，通過U盾生成驗證碼，并在用戶端提示用戶首先驗證指靜脈，再輸入驗證碼，匹配通過，即可進行支付交易。

3 新型認證設計架構的相關分析

3.1 可行性

本文新型認證流程的多因素認證模塊架構的軟件協議只是比傳統雙因素認證模式在業務復雜性和計算量稍高。根據筆者前期研究的性能計算分析，設單位計算量為Tc，傳統雙因素認證總計算量約10Tc，而三因素認證約為15Tc[14]。隨著當前IT技術的飛速發展，計算機、通信集成電路的體積日益縮小，可識別指靜脈的U盾造價將日益低廉和微型，其技術和運算速度也日益完善，既可在PC環境使用，也能在移動終端等存儲和計算能力受限的環境使用。本設計配套U盾通過USB口連接電腦或用數據線連接手機，實現網絡和移動支付應用。綜上說明本設計架構實施具有可行性，并在電信集團年度網絡安全創新大賽中奪得獎項。

3.2 安全性

新型認證流程的多因素認證模塊不僅可以防止雙因素認證可能存在的字典攻擊、拒絕服務攻擊和口令字猜測等攻擊，更具特色的是有幾項單/雙因素認證無法具備的安全性：

(1) 雙向認證：在第2階段的登錄及身份認證過程中，認證服務器將對用戶終端進行認證，而在第3階段的支付認證中，經驗證認證服務器發來的數據，用戶端即確認了服務器的身份，從而實現了認證服務器和客戶之間的雙向認證。同理，本模式在認證服務器與Web服務器，用戶終端與Web服務器的認證過程中也進行了雙向身份認證，這有效規避了釣魚網站的侵害。

(2) 抗U盾丟失攻擊：假設攻擊者竊取了用戶的USBKEY，則攻擊者能取出U盾存儲在智能卡中的信息，但是因黑客沒有密鑰，得不到用戶口令，此外攻擊者更難通過指靜脈認證。因此攻擊者既不能變更用戶密碼，更不能通過U盾的指靜脈認證而進入系統服務器。此外，從機制上系統注冊中心不掌握用戶口令信息，因此本模式還能防御內部攻擊。

(3) 仿冒攻擊：在支付認證過程中，U盾會提示用戶進行指靜脈認證，同時在短時內通過傳統識別技術獲取驗證碼難度很大，所以黑客將不可能對U盾和指靜脈進行仿冒操作。

(4) 重放攻擊：當用戶向認證服務器發送請求時，也會將每次的信息同時發送給另一方，而他們的數據庫都會保存這條信息。如果黑客選擇重放攻擊，假冒用戶向認證服務器發送請求，接收方可以將數據庫中的原有信息進行對比，如果與任一條原有存儲信息相同，則證明本次請求為重放攻擊，接收方將拒絕服務。

4 結 語

包含互聯網安全在內的工商業信息安全已成為國家安全體系的一部分。加快體系建設、提升技術實力已成當務之急[15]。身份認證是支付安全的第一道屏障，本文提出的新型認證模式一是進行了支付認證流程創新，通過自適應n因素認證適配兼顧高中低客戶群的支付場景，具有普適性特點，同時在流程中增加了釣魚網站等反向檢測環節，大大提高安全能力；二是在支付應用中引入多因素認證模塊，能有效防止各類攻擊侵害，在支付終端遺失場景也能從容應對，極大提高系統的安全性，這至少在電信運營商支付業務中尚屬首例。因此，本新型認證模式具有顯著的現實意義和實施可行性。當然，本模式從算法和實際產業化還需進一步優化完善，例如優化黑客竊取或偽造用戶信息的甄別等難題，也期望指靜脈識別早日集成到手機內部。本文新型認證體系的實現將改善現有在線支付安全環境，對推進在線支付的健康發展起到積極作用。