基于HCI—S标准的安全信息反馈设计的体系建设

　用户反馈通常被称为系统向用户呈现的任何形式的交互。同样的，安全信息反馈是将任何有关系统安全的信息有效的传递给终端用户。一个比较好的选择就是应用设计模式来设计安全信息反馈，因为一个模式的形成要在不同环境中，对反复出现的问题提出一个确实可行的解决方案。从计算机科学的角度来看，人机交互是处理一个或多个用户与一台或多台计算机之间的交互是使用用户界面（UI）程序的问题 [1]。传统的人机交互概念从可用性方面重新设计界面或改善一个现有的界面。可用性表现在人机界面的易用性和用户操作界面的元素的有效性，以及用户使用人机界面来执行某项任务的满意程度。
　　在用户界面的开发周期，安全的人机交互是在人机交互过程中强调了安全这个概念。安全人机交互的概念和改编了传统人机界面的概念注重于界面的安全性方面，通过改变界面布局及其元素提高人机交互安全的目的。我们使用约翰斯顿等人[2]所提出的安全人机交互定义，人机界面的功能在于为用户和系统安全功能之间建立一个共同的基础。安全人机交互（HCI-S）是人机交互在计算机安全上的应用。根据[2]HCI-S目的是把用户界面的安全功能尽可能友好、直观的向用户表达出来。因为系统越容易使用，用户犯的错误或者绕过安全功能的可能性越小，这样的系统就越可靠。该文的贡献在于用一系列的设计模式设计一个易懂、易用的信息安全反馈，这些设计模式结合用户界面模式的概念和HCI-S标准。在威胁被检测到的时候，我们创建一个把系统内部状况反馈给终端用户的安全信息反馈模型。我们的模型分成三个步骤：首先，一种附加的提示形式被触发，用来提示终端用户系统受到威胁，尽可能的增强听觉提示或者其他任何形式的反馈。然后，基于HCI-S的标准用设计模式设计有效的视觉反馈。最后，反馈形成。
　　结合视觉和听觉的渠道的警报有以下优点[3]：
　　1）声音比其他类型的警报更容易中断事件；
　　2）用结合指定颜色和图像反馈提示用户检测到一些威胁和错误是一个更有效的方式；
　　3）感官相连的警报能让用户更加确定检测到威胁或错误。
　　1 安全人机交互的设计标准
　　1）系统状况的可视化。用户界面必须告诉用户系统的内部状态。警告和错误消息要明确又详细，还要提供一个解决问题的正确方法和获得更多帮助的链接。
　　2） 简单又美观的设计。只显示相关的安全信息。不要给用户提供所有的安全信息和选择，同时尽可能避免使用专业术语。安全的人机界面必须简单易用，保持一个简单的设计。
　　3） 满意度。安全活动必须容易实现和理解。可以使用一些手势把重要安全概念以愉悦的方式呈现给用户。
　　4）传递安全特征。用户界面元素必须清晰而明确的传递有效安全特征给用户。一个比较好的方式是使用图片和手势。
　　5） 易学性。用户界面必须没有威胁又尽可能的容易学习。界面使用现实世界中的隐喻会容易学习和理解一些。比如说挂锁、保险箱。
　　6） 信任。以上的标准都是为了提高用户对系统的信任。用户对系统的信任程度决定他是否会使用它，像电子商务网站和网上银行必须要得到用户的充分信任之后才会使用。
　　2 人机交互中常见的问题
　　我们相信一个具体的网络服务的安全信息必须用一种容易理解的方式显示。在重要提示被忽略的时候，一个可用的安全信息反馈应该减少终端用户可能造成的错误，然而大部分的设计师和程序员不考虑有效的设计标准，因为他们的应用程序通常是复杂和标准不够具体的。另一个问题可能是目前的设计规范缺少对终端用户考虑。所以本文认为结合设计模式和HCI-S标准的设计规范能解决这些问题，同时使得设计充分的安全信息反馈更容易。
布拉兹等人[3]证明了在安全性和可用性之间找到一个平衡点是很重要的。然而在开发的时候，大部分安全研究没有充分考虑用户可用性这个主题。由于这个原因，有必要结合设计标准、可用性的指导和人机工程原理来找到安全和可用的设计规则。按照罗伯特等人[4]的研究，用户信任的系统在设计界面使用和安全信息反馈要考虑这些设计规则以使用户界面易学、易懂、易用。充分的反馈能减少终端用户误解安全提示或者系统内部状况的相关的信息提示的可能性。我们的分类面向可用的安全信息反馈的设计，容易被不同的经验和背景（专家、高级和初学者）的用户所理解和使用。同时，我们提出的设计模式从终端用户的角度考虑进行了改善。这项包括新的HCI-S的标准的设计模式是基于以前的研究成果上面提出来的。
　　3 安全信息的反馈设计方法
　　图1描绘了我们的设计方法的应用流程图。图形模型分为三个基本阶段来代表三种不同类型的人员之间的交替协作，来改善一个安全的网页服务的安全信息反馈。对于一个设计者或者程序员来说，我们提出的应用程序的其他优势包括改善后的界面可能会更加容易和快速实现安全信息的人机交互，因为这个反馈是应用设计模式和HCI-S标准产生的。该文的方法有利于设计者和程序员设计和实现一个可用的、有效的安全信息界面。在指定的安全网络服务中，这种安全信息反馈会让终端用户更有效的理解和使用安全特征。相对于其它方法，我们提出的方法能让终端用户获得以下好处：
　　1）这种安全信息反馈设计能够有利于用户更好的理解通过界面传递的重要安全信息，即使是那种没有经验的用户。
　　2）用简单又美观的标准设计安全信息反馈使界面的外观更容易使用和记忆。如果终端用户知道具体网站服务的真正的安全特性的外观，像网域嫁接和钓鱼网站的这类威胁成功的可能性会减少。
　　3） 这种安全信息反馈设计能够增加终端用户对网站或系统的信任，使用户会在网站上在线支付购买商品和用户填写个人信息。这是因为如果一些安全问题被检测到，用户界面会呈现有效的安全信息提示。
　　图1 结合HCI-S标准和设计模式的安全信息反馈流程图
　　3.1 用户界面模式库
　　众所周知安全的网站服务必须在人机交互的过程中持续告知终端用户系统内部的状况和系统对机密信息的保护的技术。同样的，安全反馈必须包括更容易的直接操作和更有效的安全特征，我们提出符合HCI-S标准的用户界面模式库来设计有效的安全信息反馈（图2）。我们人机交互中的信息反馈分为以下几个层级：
　 　信息反馈：这一层包括友好的用户模式的呈现信息：有效的安全特征，正确的方式来使用这些特征，威胁检测和系统内部状况。同样，这一方面考虑到了有关威胁检测或其它安全方面相关的补充信息的请求。
　　系统反馈：这一层汇集了有用的交互形式来建立反馈的导航和操作。这方面包括用户界面需要创造反馈来启用和禁用安全特性，当一些安全威胁被检测是要遵循交互形式提出的操作建议。
　　交互反馈：这一层包括当界面里的元素用鼠标或键盘操作时，用户界面模式指定的安全反馈必须传递信息给终端用户。我们吸收了第一层的声音反馈来增加可视化提示。
　　图2 视觉和听觉界面模型分类
　　表1 部分界面模式库（包括本文提出的界面模式）
　　模式的名字： 系统使用的安全特性。
　　问题： 在一个信息事务中，如何提示用户系统使用的安全特征？
　　背景： 在具体的事务中，界面必须提示用户有关系统为保护机密信息
　　激活的安全技术，而且必须避免复杂的句子和技术术语的提示。
　　目的：如果提示用户为保护所有机密信息而使用安全技术，有可能增加对系统的信任。
　　解决方案：用具体的图标面板显示活跃和稳定的安全技术来提示用户。
　　例如：活跃的安全方案的元素是使用特定的面板和标志。＼&
　　模式的名字：用户使用的安全特性。
　　问题： 在一个信息事务中，如何告知用户使用的安全特性？
　　背景：在一个保护机密信息具体事务中，界面必须提示用户使用额外的安全技术。
　　这些提示避免使用复杂的句子和技术术语来呈现。
　　目的：如果提示用户关于保护机密信息的所用到的技术，有可能增加对系统的信任。
　　解决方案：界面通过一个具体面板显示提示用户正在使用的安全技术。
　　例如：用户激活安全方案内的元素提示。信息反馈——补充反馈
　　模式的名字：综合的安全提示。
　　问题：在一个信息事务中，如何告诉用户系统综合安全的提示？
　　背景：界面必须提供必要的系统内部状态信息。这些提示的内容应尽可
　　能的避免使用复杂的句子和技术术语。
　　目的：如果用户了解系统内部状态的交互环境就可以增加对系统的信任。
　　解决方案：用户可以通过消息提示、图片、真实世界的隐喻和色彩组合，设计一个简单和美学安全反馈信息。
　　例如：一些有关系统综合状态的提示。＼&模式的名字：详细的安全提示。
　　问题：如何允许用户获取详细的系统安全信息？
　　背景：界面必须为具体主题提供选项来获取的详细的系统信息。
　　目的：这种替代方法避免界面显示无关的信息，减少空间，并助于保持一个美学设计。
　　解决方案：在提示中加入电子邮件链接来获取系统安全特征的具体信息。
　　例如：三个建议，现在用户可以选择通过电子邮件获取详细信息。＼&
　模式的名字：立即提示。
　　问题：如何提示终端用户关于检测到的威胁？
　　背景：界面必须用一个快速有效的方法提示用户有关系统内部的状态。
　　动机：如果把检测到的威胁立即提示用户，可能会减轻威胁带来的影响。
　　解决方案：一个额外的反馈形式可以增强视觉提示，同时能更快速的告诉用户。
　　例如：在这种情况下，我们提出两个结合听觉的和视觉反馈的例子。
　　交互反馈——服务
　　模式的名字：禁用的服务。
　　问题：如何给最终用户更多的系统控制权？
　　上下文：有时候，安全技术使具体事务的交互变慢。
　　目的：如果系统提供来启用和禁用具体的安全特性，用户会感到更多的控制系统权。
　　解决方案：设置禁用安全特性或继续使用它的选项。
　　例如：禁用和启用具体的安全特性选项。＼&交互反馈——导航
　　模式的名字：直接访问UI组件。
　　问题：如何帮助用户访问界面里的元素？
　　背景：系统必须为用户提供一个快速访问整个界面的方法。
　　目的：在系统中，一个快速访问界面的方法是很重要的。在可用性代表一个重要主题。
　　解决方案：用一个简单又美观设计方式能访问的所有安全的元素，包括禁用的。
　　例如：呈现安全反馈来提示有关可用的安全技术。模式的名字：间接访问UI组件。
　　问题：如何帮助终端用户直接从界面访问常用的系统安全特征。
　　背景：系统必须为用户提供一个快速访问有效的或系统使用的外部特性方法。
　　动机：一个简单和快速访问外部特性的方法可能会增加用户对的信任系统。
　　解决方案：通过一个面板列出这些系统使用的安全特性。必须允许从面板访问这些技术。
　　例子：可直接访问系统内部的界面图标模式的名字：序列访问的UI组件。
　　问题：如何帮助用户快速访问以前访问过的网页？
　　背景：界面必须为用户提供一个合乎逻辑的导航图标。
　　目的：一个能快速访问系统所有的元素和功能的界面是非常友好的用户界面。
　　解决方案： 在用户界面设计一个简单的导航器。
　　例子：一个用鼠标操作的经典图标。＼&]
　　此外，我们建立一个基于颜色为原型，可听化为补充的听觉视觉反馈[3]。我们指定具体的颜色、声音效果、存在威胁的关系见表2。
　　3.2主要的威胁
　　1）猜测威胁：在这里，入侵者尝试猜测保护计算机网络的密码，以获得密码访问网站。
　　2） 欺骗威胁，这种威胁的目的是为了篡夺授权的IP地址，以获得未经授权的访问受害者的系统。IP欺骗的威胁经常使用依靠通信服务来利用安全漏洞。这将允许入侵者隐藏在威胁的源头。
　　3） 扫描威胁：入侵者探索受害系统的不同端口来找到一些脆弱的点以至于他们能发送其他威胁。
　　扫描攻击和欺骗攻击的风险比较大，它们通常代表其他攻击开始的序幕。由于这个原因，我们指定红色给这种威胁。在互联网日志中，这五个潜在威胁非常值得一提。在分析网络日志中，用声音和威胁联系起来的方法来警告终端用户检测到致命的威胁，这种方法对于网络管理者来说是非常有用的。这种关系就像一个出发点，在声音和威胁之间建立特殊的关系。
　　4 实验室研究
　　我们确定6个主要传递信任的因素 。根据文献提出的可用性测试方法。我们用个案研究来评估我们提出的用户界面模式设计的具体的安全信息反馈可用性水平（参见图3）。本例是研究一个典型的电子商务网站中的安全信息反馈。参加者必须遵循用本文提出的界面模式设计安全信息反馈。我们在实验室研究中考虑以下因素：
　　参加人员：我们招收八名女性和七名男性参与测试。参加人员包括医学、工商管理、计算机科学领域的人员。符合不同经验和背景的要求。
　　仪器：我们设计了一个电子商务网站，用我们提出的模式的规范产生一系列的安全信息反馈，包括听觉和视觉的提示。
　　培训材料：我们为参与者提供如何使用的文件，内容包括：实验的目标，简要介绍了实验，在实验中需要实现的一系列事件。注意：所有有关使用和解释的安全提示和安全概念都在培训材料里面提示了参与者。
　　在电子商务系统中有4个直接与HCI-S标准相关因素，应用表3中提出用户界面模式设计安全信息反馈。为了给这个实验提供一个原型使用概念图，我们列举了以下2个带有文本的解释的安全信息反馈界面（图3和图4）。
　　模式的名字：系统使用的安全特征，系统的安全任务和禁用和启用所有的安全特征。
　　问题：如何清晰的传递网页服务的安全特征？
　　解决方法：使用交通灯的隐喻和信息“安全模式正在运行”警告用户关于系统已受到保护。
　　图3 绿色框架和交通灯提示用户系统开启安全模式
　　模式的名字：有可遵循的建议行动对话框和检测到威胁的立即提示。
　　问题：如何呈现一个清晰可视的系统状况？
　　解决方法：用改变界面的方框和交通灯颜色、声音警报和具体的信息的方式来提示用户关于系统的内部状况。信息包括为防止或减轻威胁造成的损害的建议行动，还有获得更多信息的链接。
　　图4 检测到威胁呈现给用户的界面外观
　　在使用了结合HCI-S标准和设计模式设计的安全信息反馈界面之后，要求参与者填写以下调查问卷：
　　1）在人机交互过程中，你对系统提示的安全信息反馈界面是否满意？
　　2） 在人机交互过程中，系统是否用从清晰易懂的语言反馈系统内部的状态？
　　3） 安全信息反馈界面上的选项和安全信息的布局是否让用户更容易使用和理解？
　4）在人机交互过程中，呈现的提示适当的提供了原型中的有效安全特征？
　　5） 在人机交互过程中，呈现的提示提供的有效安全特性是否容易使用？
　　6） 在人机交互过程中呈现的提示让你相信这个系统吗？
　　4.1数据分析
　　参与者回答问卷的趋势显示在图5。
　　图5 参与者观点的趋势图
　　在分析数据结果后可以推断出以下几点：
　　结合听觉和视觉反馈是一种有用的提示方法，这种方法能快速而有效告诉用户系统内部状况。
　　对用户来说，使用了动物音效的安全信息反馈形式是非常适用的。特别是使用老虎声音的效果，更加容易让用户意识到检测到的危险。
　　本文所提出的一系列模式的应用程序允许实现一个结合听觉的和视觉可用的安全信息反馈。
　　用本文提出的一系列模式组成的设计方案和规范能够形成一个可信的系统环境。
　　应用本文提出的模式设计的安全信息反馈不是很详细但很具体。
　　通过以上实验，我们相信应用本文提出一系列模式设计的解决方案和规范能增加呈现给最终用户的安全信息反馈的可用性。模式提出的设计概念，允许通过UI元素传递一个适当的安全信息给终端用户。听觉和视觉这种感官相连的安全信息反馈是非常友好的界面设计，特别是在安全提示被忽略或者误解的时候，能有效的减少终端用户犯错误的可能性。
　　此外，本案例中设计的安全信息反馈应用了以下安全人机界面设计标准：
　　1）易学性：UI很容易学习和友好
　　用不同颜色的框和交通灯这样的真实隐喻的提示来呈现检测到的威胁，使得用户界面容易理解和使用。用户界面还在屏幕右上角呈现不同动物的声音和图画来区分是否检测到威胁。
　　2） 简单美观的设计：当安全特征正在被使用，用户界面中的消息只显示相关信息和安全特性的提示，保持一个简单又美观的用户界面反馈。
　　3） 信任：界面必须提供足够的提示和清晰易懂的建议，让用户信任一个系统。用户必须通过界面知道他们的信息已经被系统的安全特性保护。
　　5 结束语
　　本文结合以前的研究工作。提出一个基于用户界面模式的安全信息反馈简单分类，旨在促进安全信息以更有效的方式传达给终端用户。用本文提出的分类，通过界面上的元素，把安全信息和在线系统的内部状态，以视觉结合听觉的提示方式完成一个充分有效的安全信息反馈。用户界面模式是面向不同经验水平和背景的用户（专家、高级和初学者）设计的，是尽量避免使用技术术语的安全信息反馈。应用直观元素设计具体的视觉听觉提示，来反馈有关安全特征和具体的网页服务的内部状况给用户是一个非常有效的方式。
　　参考文献：
　　. ACM；2004.
　　[2] Johnston J， Eloff J， Labuschagne L. Security and human computer interfaces[J].IEEE Computers & Security 2003；22（8）.
　　.Audio engineering society：pro audio expo and convention， Vienna； 2007.
　　.New York：ACM Press； 2006. p. 115-22.