電子支付認證技術(shù)分析與比較 - 電子商務(wù)支付

電子支付認證技術(shù)分析與比較-電子商務(wù)支付[摘要]隨著Internet的遍及,一種新的商務(wù)模式電子商務(wù)越來越具有吸引力,但要保證電子商務(wù)平安可靠地運行,怎樣解決交易的平安問題是其關(guān)鍵所在。首先分析當前幾種電子支付認證技術(shù)的特點和原理并給出改良辦法,比擬其優(yōu)劣以后給出一種基于多因素認證的網(wǎng)絡(luò)電子支付認證模式,給電子商務(wù)平臺建設(shè)者提供參考。[關(guān)鍵詞]電子支付多因素認證認證模式

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2008)0710016-02

一、引言

在當今市場經(jīng)濟條件下,企業(yè)如何利用信息技術(shù)在互聯(lián)網(wǎng)上發(fā)展商務(wù)活動,是提高企業(yè)競爭力的有效途徑之一。不同于傳統(tǒng)的商務(wù)活動,電子商務(wù)活動場所是虛擬空間,沒有面對面地交換、確認場景,如何平安可靠地解決支付問題就顯的尤為重要。本文通過分析當前幾種支付認證技術(shù)的特點和原理,對其優(yōu)劣進行了比擬。

二、電子支付的平安目標

一個平安的電子支付系統(tǒng)應(yīng)到達如下平安需求【1】,數(shù)據(jù)的機密性、完整性、支付行為的不可否定性及系統(tǒng)本身的可用性及抗攻擊性。

(一)支付數(shù)據(jù)的機密性

支付數(shù)據(jù)的機密性就是指避免未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性。交易雙方不想讓第三方知道他們之間進行交易的具體情況,包括交易內(nèi)容、交易金額等。要預(yù)防非法的信息存取和傳輸過程中被非法竊取,這就要考慮對傳輸?shù)臄?shù)據(jù)進行加密。

(二)支付數(shù)據(jù)的完整性

支付數(shù)據(jù)的完整性是指避免未經(jīng)授權(quán)的數(shù)據(jù)修改。數(shù)據(jù)在傳輸過程中不僅要求不被別人竊取,還要求不被篡改,保證完整性。在進行網(wǎng)絡(luò)通訊時,接收方收到信息后,必定會考慮信息是否就是發(fā)送方所發(fā)送的,在傳輸?shù)倪^程

中是否發(fā)生了改變。

(三)支付行為的不可否定性

對于無紙化的電子交易來說,通過手寫簽名和印章進行身份鑒定是基本不可能的。因此,要在交易信息傳遞的過程中為參與交易的個人或組織提供可靠的標識,使交易各方在交易后都不可否定。

(四)支付系統(tǒng)的可用性及抗攻擊性

系統(tǒng)本身的平安是其它平安特性的根底,抗攻擊性就是指支付系統(tǒng)本身能夠抵御攻擊的能力。系統(tǒng)的可用性是指系統(tǒng)安裝、配置、管理、使用的方便程度及支付系統(tǒng)無論何時都可以為交易雙方提供支付效勞。支付操作必須是原子的,即它要么完整地發(fā)生,要么基本不發(fā)生,不能處于一種未知或不一致的懸掛狀態(tài)。

三、各種技術(shù)分析及改良

當前主流的平安認證技術(shù)【2】有:口令認證、移動智能設(shè)備認證、公鑰證書認證和生物信息辨認認證。

(一)口令認證

口令認證是最簡單、最易實現(xiàn)的一種認證辦法,也是目前應(yīng)用最廣泛的技術(shù)。其優(yōu)勢在于實現(xiàn)的簡單性,無須任何附加設(shè)備,本錢低、速度快,但口令認證的平安性較差。但是簡單的口令系統(tǒng)很難抵制窮舉攻擊。而另一個不平安因素據(jù),利用計算機圖像處理和模式辨認技術(shù)來實現(xiàn)身份認證。從理論上說,生物特征幾乎無法被造假和冒用,因此它具有其它的認證技術(shù)不可比較的平安性和可靠性。但一般來說生物特征信息數(shù)據(jù)比擬大,既增加了存儲空間也增加了系統(tǒng)的復(fù)雜度。(五)幾種電子支付認證技術(shù)比擬口令認證技術(shù)實現(xiàn)起來最簡單,但是平安性不高。移動智能設(shè)備認證其平安性較高,目前這種認證主要表現(xiàn)形式有動態(tài)令牌、手機動態(tài)口令認證,而手機動態(tài)口令認證用戶使用起來習(xí)慣方便,另外手機作為日常的通信工具已經(jīng)相當遍及,對推廣這種認證相當有益。公鑰證書認證和生物信息辨認認證的平安性都比擬高,但是這兩者都需要專門的信息讀取的客戶端硬件設(shè)備,使得系統(tǒng)的本錢大大提高,其推廣難度相對其它方式較大。

(六)基于多因素認證的電子支付認證模型

所謂基于多因素認證就是在認證過程中采用兩種或多種認證技術(shù)【4】。在實際認證過程中,通常將身份認證的幾個根本方式加以組合,并結(jié)合數(shù)據(jù)加密來構(gòu)造實際的認證系統(tǒng),用此來提高認證的平安性和可靠性。但如果認證的因素過多,系統(tǒng)復(fù)雜性就會增加,效率也會下降,因此采用此辦法前,要綜合評估應(yīng)用場合的需求及實現(xiàn)復(fù)雜性。

下面就企業(yè)建設(shè)電子商務(wù)網(wǎng)站給出一個電子支付認證模型,如圖1所示。

圖1認證模型圖

電子支付認證系統(tǒng)的主要實現(xiàn)過程如下:

1.首先用戶通過口令登陸到支付平臺;

2.用戶做交易的時候,系統(tǒng)對交易數(shù)據(jù)產(chǎn)生MAC消息認證碼并附加在交易數(shù)據(jù)上發(fā)給效勞端;

3.系統(tǒng)對交易數(shù)據(jù)進行MAC認證,驗證通過后系統(tǒng)產(chǎn)生動態(tài)口令碼,發(fā)送給用戶帳號下的手機號碼,這些信息在數(shù)據(jù)庫中備案,用以進一步比對,如驗證不通過,那么此次交易失敗;

4.用戶通過手機接受到動態(tài)口令碼,在有效期范圍內(nèi)輸入正確的動態(tài)口令碼,用來確認發(fā)起交易方的真?zhèn)?

5.效勞端對動態(tài)口令進行確認,假設(shè)確認不通過,那么交易失敗,假設(shè)確認通過,那么交易正常進行,再進行后續(xù)的扣款等操作;

6.返回本次交易的結(jié)果信息。

四、結(jié)論

采用口令認證技術(shù)加手機動態(tài)碼的方式在實際應(yīng)用中顯示,平安性較高,注冊方便,用戶易接受,深受廣闊用戶的好評。由于手機已是相當遍及,用戶使用起來習(xí)慣和方便,推廣上較證書認證方式快。

在未來的電子商務(wù)開展中,支付認證技術(shù)其核心地位是不可動搖的,未來的電子支付認證技術(shù)將朝著簡單易行又不失平安的方向開展。

參考文獻:

【1】盧開澄,計算機平安與保密技術(shù)[M].北京:清華大學(xué)出版社,2000.

【2】李中獻等,認證理論與技術(shù)的開展[J].電子學(xué)報,1999,27(1):98102.

【3】WilliamStallings著,楊明譯,密碼編碼學(xué)與網(wǎng)絡(luò)平安:原理與實踐(第二版)[M].北京:電子工業(yè)出版社,2008.

【4】王育民等,通訊網(wǎng)的平安-理論與技術(shù)[M].西安:電子科技大學(xué)出版社,1999.

作者簡介:

姚弋(1975-),男