电子支付认证技术分析与比较 - 电子商务支付

电子支付认证技术分析与比较-电子商务支付[摘要]随着Internet的遍及,一种新的商务模式电子商务越来越具有吸引力,但要保证电子商务平安可靠地运行,怎样解决交易的平安问题是其关键所在。首先分析当前几种电子支付认证技术的特点和原理并给出改良办法,比拟其优劣以后给出一种基于多因素认证的网络电子支付认证模式,给电子商务平台建设者提供参考。[关键词]电子支付多因素认证认证模式

中图分类号:TP3文献标识码:A文章编号:1671-7597(2008)0710016-02

一、引言

在当今市场经济条件下,企业如何利用信息技术在互联网上发展商务活动,是提高企业竞争力的有效途径之一。不同于传统的商务活动,电子商务活动场所是虚拟空间,没有面对面地交换、确认场景,如何平安可靠地解决支付问题就显的尤为重要。本文通过分析当前几种支付认证技术的特点和原理,对其优劣进行了比拟。

二、电子支付的平安目标

一个平安的电子支付系统应到达如下平安需求【1】,数据的机密性、完整性、支付行为的不可否定性及系统本身的可用性及抗攻击性。

(一)支付数据的机密性

支付数据的机密性就是指避免未授权的数据暴露并确保数据源的可靠性。交易双方不想让第三方知道他们之间进行交易的具体情况,包括交易内容、交易金额等。要预防非法的信息存取和传输过程中被非法窃取,这就要考虑对传输的数据进行加密。

(二)支付数据的完整性

支付数据的完整性是指避免未经授权的数据修改。数据在传输过程中不仅要求不被别人窃取,还要求不被篡改,保证完整性。在进行网络通讯时,接收方收到信息后,必定会考虑信息是否就是发送方所发送的,在传输的过程

中是否发生了改变。

(三)支付行为的不可否定性

对于无纸化的电子交易来说,通过手写签名和印章进行身份鉴定是基本不可能的。因此,要在交易信息传递的过程中为参与交易的个人或组织提供可靠的标识,使交易各方在交易后都不可否定。

(四)支付系统的可用性及抗攻击性

系统本身的平安是其它平安特性的根底,抗攻击性就是指支付系统本身能够抵御攻击的能力。系统的可用性是指系统安装、配置、管理、使用的方便程度及支付系统无论何时都可以为交易双方提供支付效劳。支付操作必须是原子的,即它要么完整地发生,要么基本不发生,不能处于一种未知或不一致的悬挂状态。

三、各种技术分析及改良

当前主流的平安认证技术【2】有:口令认证、移动智能设备认证、公钥证书认证和生物信息辨认认证。

(一)口令认证

口令认证是最简单、最易实现的一种认证办法,也是目前应用最广泛的技术。其优势在于实现的简单性,无须任何附加设备,本钱低、速度快,但口令认证的平安性较差。但是简单的口令系统很难抵制穷举攻击。而另一个不平安因素据,利用计算机图像处理和模式辨认技术来实现身份认证。从理论上说,生物特征几乎无法被造假和冒用,因此它具有其它的认证技术不可比较的平安性和可靠性。但一般来说生物特征信息数据比拟大,既增加了存储空间也增加了系统的复杂度。(五)几种电子支付认证技术比拟口令认证技术实现起来最简单,但是平安性不高。移动智能设备认证其平安性较高,目前这种认证主要表现形式有动态令牌、手机动态口令认证,而手机动态口令认证用户使用起来习惯方便,另外手机作为日常的通信工具已经相当遍及,对推广这种认证相当有益。公钥证书认证和生物信息辨认认证的平安性都比拟高,但是这两者都需要专门的信息读取的客户端硬件设备,使得系统的本钱大大提高,其推广难度相对其它方式较大。

(六)基于多因素认证的电子支付认证模型

所谓基于多因素认证就是在认证过程中采用两种或多种认证技术【4】。在实际认证过程中,通常将身份认证的几个根本方式加以组合,并结合数据加密来构造实际的认证系统,用此来提高认证的平安性和可靠性。但如果认证的因素过多,系统复杂性就会增加,效率也会下降,因此采用此办法前,要综合评估应用场合的需求及实现复杂性。

下面就企业建设电子商务网站给出一个电子支付认证模型,如图1所示。

图1认证模型图

电子支付认证系统的主要实现过程如下:

1.首先用户通过口令登陆到支付平台;

2.用户做交易的时候,系统对交易数据产生MAC消息认证码并附加在交易数据上发给效劳端;

3.系统对交易数据进行MAC认证,验证通过后系统产生动态口令码,发送给用户帐号下的手机号码,这些信息在数据库中备案,用以进一步比对,如验证不通过,那么此次交易失败;

4.用户通过手机接受到动态口令码,在有效期范围内输入正确的动态口令码,用来确认发起交易方的真伪;

5.效劳端对动态口令进行确认,假设确认不通过,那么交易失败,假设确认通过,那么交易正常进行,再进行后续的扣款等操作;

6.返回本次交易的结果信息。

四、结论

采用口令认证技术加手机动态码的方式在实际应用中显示,平安性较高,注册方便,用户易接受,深受广阔用户的好评。由于手机已是相当遍及,用户使用起来习惯和方便,推广上较证书认证方式快。

在未来的电子商务开展中,支付认证技术其核心地位是不可动摇的,未来的电子支付认证技术将朝着简单易行又不失平安的方向开展。

参考文献:

【1】卢开澄,计算机平安与保密技术[M].北京:清华大学出版社,2000.

【2】李中献等,认证理论与技术的开展[J].电子学报,1999,27(1):98102.

【3】WilliamStallings著,杨明译,密码编码学与网络平安:原理与实践(第二版)[M].北京:电子工业出版社,2008.

【4】王育民等,通讯网的平安-理论与技术[M].西安:电子科技大学出版社,1999.

作者简介:

姚弋(1975-),男