基于自适应n因素认证的在线支付认证体系设计

车力军 王必毅

1(中国电信云南公司 云南 昆明 650011)2(中国联通云南分公司 云南 昆明 650000)

0 引 言

随着移动互联网和在线支付产业的迅猛发展，近年来国内外支付业务都发生过金融安全事件，造成严重的经济损失及用户信息泄露。腾讯2016年支付安全报告显示，全国每年被支付类病毒感染的用户高达2 500多万。360也指出，目前移动支付安全状况堪忧，钓鱼网站、恶意程序对准移动支付，正严重威胁广大用户财产安全[1]。支付安全风险已成为广泛的社会安全问题，严重影响在线支付的信誉和发展。

在线支付安全的关键是安全的认证模式。单因素认证是不太安全的认证模式，从管理策略，我们可组合使用多种身份验证措施，来提高在线支付平台的安全[2-3]。目前在线支付系统除支付密码外，U盾、数字签名、证书等逐步也作为身份认证因素。科学组配这些因素，将使认证体系更加安全[4]。但是双因素或多因素认证在用户体验和造价上，又会带来一些操作不便及成本门槛，这方面如何灵活处置的研究对策并不多见。同时，现有文献也未见到将单/双、多因素认证科学组合，形成有效体系化安全认证流程的研究。本文的目标，就是完善支付安全认证的业务流程，设计一种自适应适配不同客户群体的n因素认证流程和安全认证体系。

1 支付认证技术存在的问题与思考

1.1 传统身份认证的问题

早期身份认证采用用户密码的单因素认证形式，该方式存在诸多弊端，黑客能通过猜解工具、盗取数据库、撞库等方法窃取或猜出密码[5]。一次性动态验证码虽比静态密码安全一些，但也有被黑客用技术手段窃取的可能。因此，单因素认证是很脆弱的身份认证模式。

基于以上弊端，业界有了双因素认证，该认证方式通常在用户“密码”登录后，还会在线生成一个动态验证码。用户注册或进入系统时，绑定的手机收到验证码短信，正确输入验证码才能通过认证，完成登录。例如电信运营商的翼支付业务就是采用该方式。

尽管双因素认证在技术上有所改善，但它仍然不是完全可靠。举例来说，中间人攻击方式采用诱骗用户访问钓鱼网站，黑客将用户信息在合法的网站上输入，真正的网站会给黑客返回一个验证码，黑客立即同步发送给用户，用户自然会在钓鱼网站输入该验证码，而攻击者也在真网站上进行输入，于是黑客通过了认证，进而盗取相关利益[6-7]。所以，双因素认证需要完善，或尽快引入多因素认证。

1.2 国内主流支付方式的认证情况

目前业界支付方式中支付宝、微信是主流，其次才是银联和各家银行、Apple pay[8]。

支付宝的二维码/条码支付非常便捷，但其与银行的快捷支付一样，基本属于单因素认证。在2014年支付宝曾因安全问题被央行紧急叫停过。主要原因一是有较多的安全漏洞风险。二是被不法分子利用，把病毒附着在商家的二维码上，或者不法分子制造钓鱼网站行骗。另一种情况是如用户手机遗失不及时冻结银行账户，支付宝因认证方面的弱势将面临极高的盗刷风险[9]。而微信支付在安全方面的情况与支付宝类似。

Apple Pay其线上线下模式都基于Touch ID 指纹验证完成认证。虽然其采用Tokenization 等技术提高了其安全性，但就认证环节来说，仍属于单因素或双因素认证，一旦用户丢失手机或Apple Pay 绑定银行卡失败，可能会让不法分子获得信用卡信息，进而存在被盗刷的风险。实际案例在国内外都有相关报道[10]。此外，在各类在线支付安全事件中，账户中资金较多的中高端客户一旦出事，损失都较为惨重。

1.3 n因素认证的引入

当前，自适应n因素安全认证的应用并不多见，但是生物特征越来越多应用于密码学，例如：指纹、指静脉、面相、虹膜、声音、动作、DNA等具有唯一、不可复制等良好特性，能为用户提供更可靠，更安全的保护[11]。这些生物特征可作为n因素认证待用的因素，其中指纹又是成本较低、操作最便捷的因素。

然而近年在指纹认证实践中，曾多次出现不良商家协助制作指纹膜进行签到作弊的情况，一些传统指纹认证已形同虚设。因此指纹识别必须技术升级。鉴于此，有三类解决方案：1) 在指纹认证中集成温湿度传感，使指纹传感器能判别是否为真实皮肤；2) 3D指纹识别，深入到真皮层采集和识别3D立体指纹，这种3D指纹技术抗仿冒程度较高[12]；3) 指静脉生物认证，据人体血红素吸收红外光的特质进行身份认证，将红外相机对靠近红外照射的手指拍照，即可采集到手指内部唯一的血管脉络图，获得反映人体静脉拓扑结构的特征。这种识别只有活体条件才能采集，因此防仿冒能力更强，同时采用非接触成像技术，接受度更好。

2 新型认证体系流程和基于n因素的模块设计

2.1 自适应n因素新型认证流程设计

在线支付多因素认证可大大提高安全保障能力，但又带来操作繁琐和成本提升的问题。因此，认证流程及多因素认证本身需要通过调研筛选、合理设计，从技术、安全性评估、成本和操作便利容忍度等方面达成一种平衡。

借鉴银行对客户群的白金、金、银卡划分设计思路，将在线支付用户按资金交易额度和资金存量分为高中低档，高中端用户更多注重账户的安全和隐私的保护，低端用户(包括小额交易用户)在乎的是业务便利性。本文设计的新型在线支付认证流程将自适应判断客户类别，根据客户群不同选择不同的认证模式，以便在保障客户资金安全和操作便利性等方面形成最优适配。同时，考虑安全形势严峻，黑客猖獗的现实，在流程中加入钓鱼网站反向验证环节，防止客户掉入黑客的陷阱。

在线支付n因素认证新流程体系如图1所示。

图1 新型安全认证流程体系框架图

2.2 多因素认证模块设计

在新认证流程中，单因素和双因素模块可调用现有认证技术。对多因素认证模块，本设计采用了口令、指静脉认证、动态验证码组合的三因素认证组合。目前指静脉特征在技术防欺骗性、认证唯一性和稳定性等方面都非常出色，认假率(FAR)达0.000 1%，同时国家已制定相关标准，在打破日韩技术垄断和产品微型化方面已取得重大突破[13]，故本认证模式采用了指静脉识别模块。

当用户注册时，采录的用户指静脉信息将被存入特征库中。而当用户登录平台时，将从登录扫描的指静脉中抽取特征信息，与特征库中的信息比对，若二者的相似性超过预定的门限值，则身份认证成功(图2)。

图2 用户登录时指静脉认证示意图

该认证体系由Web服务器、用户终端、U盾和认证服务器等模块组成(图3)。

图3 基于多因素的新型认证体系系统图

各个模块功能如下：

(1) U盾(USBKEY) 扫描读取指静脉信息，形成时间关联的随机数，存储用户的私钥和证书。

(2) 认证服务器 进行密钥的生成、备份和更新，执行证书的发放、更新、存储和删除，经与指静脉特征库的信息对比，验证并确认用户身份；完成认证审计等。

(3) 用户管理服务器及数据库 对注册用户进行信息存储及管理，对U盾发放进行管理。

(4) Web应用服务器 提供用户拟使用的应用服务，对用户的交易请求进行反馈响应，向认证中心发出请求指令，更新、管理数据库等等。

(5) 用户终端 对登录命令、支付命令进行加密，向认证中心发出请求指令，对接收的反馈信息输入密码等操作，对动态密码或图像认证进行反馈输入。

本文提出的新型认证体系业务流程包括注册、登录及身份认证和支付认证阶段。

(1) 注册阶段，用户若想成为某支付业务合法用户，须先在Web网站注册。之后，Web服务器即装有认证中心颁发的证书、公钥，认证中心也存有证明服务器身份的信息和数字签名，以及Web服务器端的公钥。

(2) 登录及身份认证阶段，系统配备指静脉U盾，当用户在终端登录，输入用户名和密码，然后插入U盾验证信息，此时指静脉信息与U盾上存储的信息进行比对。比对吻合则用户终端将获取信息，并将信息存入U盾。U盾用公钥加密后向认证服务器发送本次认证请求，认证服务器收到终端请求后，先用私钥解密本次请求，将解密信息在用户特征库以该用户名进行查询，若搜索到用户为已注册用户，调用数据库该注册用户的公钥，验证用户的数字签名。身份确认后，认证服务器反馈同意用户请求。用户终端在收到认证服务器的应答后，先进行解密，然后确认服务器的身份，再确认服务器发来的信息与数据库中存储的是否相同，随后终端向认证服务器发送指令，请求架接Web服务器与用户终端的通道，经认证确认即建立支付交易通道。本阶段业务流程示意见图4。

图4 登录及身份认证阶段业务流程图

(3) 支付认证阶段，建立通道后，客户账号、支付密码、货品、钱款等信息用会话密钥发送给Web服务器，Web服务器验证数据库中是否有用户所需商品，生成支付命令，返回给终端。用户终端收到后，通过U盾生成验证码，并在用户端提示用户首先验证指静脉，再输入验证码，匹配通过，即可进行支付交易。

3 新型认证设计架构的相关分析

3.1 可行性

本文新型认证流程的多因素认证模块架构的软件协议只是比传统双因素认证模式在业务复杂性和计算量稍高。根据笔者前期研究的性能计算分析，设单位计算量为Tc，传统双因素认证总计算量约10Tc，而三因素认证约为15Tc[14]。随着当前IT技术的飞速发展，计算机、通信集成电路的体积日益缩小，可识别指静脉的U盾造价将日益低廉和微型，其技术和运算速度也日益完善，既可在PC环境使用，也能在移动终端等存储和计算能力受限的环境使用。本设计配套U盾通过USB口连接电脑或用数据线连接手机，实现网络和移动支付应用。综上说明本设计架构实施具有可行性，并在电信集团年度网络安全创新大赛中夺得奖项。

3.2 安全性

新型认证流程的多因素认证模块不仅可以防止双因素认证可能存在的字典攻击、拒绝服务攻击和口令字猜测等攻击，更具特色的是有几项单/双因素认证无法具备的安全性：

(1) 双向认证：在第2阶段的登录及身份认证过程中，认证服务器将对用户终端进行认证，而在第3阶段的支付认证中，经验证认证服务器发来的数据，用户端即确认了服务器的身份，从而实现了认证服务器和客户之间的双向认证。同理，本模式在认证服务器与Web服务器，用户终端与Web服务器的认证过程中也进行了双向身份认证，这有效规避了钓鱼网站的侵害。

(2) 抗U盾丢失攻击：假设攻击者窃取了用户的USBKEY，则攻击者能取出U盾存储在智能卡中的信息，但是因黑客没有密钥，得不到用户口令，此外攻击者更难通过指静脉认证。因此攻击者既不能变更用户密码，更不能通过U盾的指静脉认证而进入系统服务器。此外，从机制上系统注册中心不掌握用户口令信息，因此本模式还能防御内部攻击。

(3) 仿冒攻击：在支付认证过程中，U盾会提示用户进行指静脉认证，同时在短时内通过传统识别技术获取验证码难度很大，所以黑客将不可能对U盾和指静脉进行仿冒操作。

(4) 重放攻击：当用户向认证服务器发送请求时，也会将每次的信息同时发送给另一方，而他们的数据库都会保存这条信息。如果黑客选择重放攻击，假冒用户向认证服务器发送请求，接收方可以将数据库中的原有信息进行对比，如果与任一条原有存储信息相同，则证明本次请求为重放攻击，接收方将拒绝服务。

4 结 语

包含互联网安全在内的工商业信息安全已成为国家安全体系的一部分。加快体系建设、提升技术实力已成当务之急[15]。身份认证是支付安全的第一道屏障，本文提出的新型认证模式一是进行了支付认证流程创新，通过自适应n因素认证适配兼顾高中低客户群的支付场景，具有普适性特点，同时在流程中增加了钓鱼网站等反向检测环节，大大提高安全能力；二是在支付应用中引入多因素认证模块，能有效防止各类攻击侵害，在支付终端遗失场景也能从容应对，极大提高系统的安全性，这至少在电信运营商支付业务中尚属首例。因此，本新型认证模式具有显著的现实意义和实施可行性。当然，本模式从算法和实际产业化还需进一步优化完善，例如优化黑客窃取或伪造用户信息的甄别等难题，也期望指静脉识别早日集成到手机内部。本文新型认证体系的实现将改善现有在线支付安全环境，对推进在线支付的健康发展起到积极作用。