基于密鑰管理的移動(dòng)支付安全解決方案

黃美璇

（黎明職業(yè)大學(xué)信息與電子工程學(xué)院，福建泉州 362000）

基于密鑰管理的移動(dòng)支付安全解決方案

黃美璇

（黎明職業(yè)大學(xué)信息與電子工程學(xué)院，福建泉州 362000）

通過分析目前移動(dòng)支付存在的安全問題，就移動(dòng)終端本身來考慮，提出基于密鑰管理的移動(dòng)支付安全解決方案，即采用手機(jī)與密鑰分離技術(shù)。這將會(huì)大大提高移動(dòng)支付的安全性。

移動(dòng)支付；密鑰管理；解決方案；安全性

0 引言

隨著移動(dòng)支付方式的日新月異，支付應(yīng)用成為人們生活中不可或缺的一部分。移動(dòng)支付帶給人們方便的同時(shí)，其安全問題也日趨凸顯。無論是Android系統(tǒng)還是ios系統(tǒng)，只要手機(jī)安裝任何一個(gè)應(yīng)用，都有可能采集到用戶諸多信息，致使用戶個(gè)人隱私泄露?？梢娫谶@樣的手機(jī)環(huán)境里完成移動(dòng)支付，存在安全風(fēng)險(xiǎn)。[1]

本文擬通過詳細(xì)分析目前移動(dòng)支付存在的安全問題，從移動(dòng)終端本身角度，提出基于密鑰管理的移動(dòng)支付安全解決方案。

1移動(dòng)支付安全問題

1.1 密鑰安全問題

在移動(dòng)支付系統(tǒng)中，“用戶名+密碼”這種方式存在簡(jiǎn)單、靜態(tài)等缺點(diǎn)，即使組合多位的數(shù)字和字母，也已經(jīng)不能滿足移動(dòng)支付的安全要求。[2]目前普遍采用“用戶名+密碼+密鑰”的方式來完成移動(dòng)支付。新增加的這個(gè)“密鑰”是銀行發(fā)放的數(shù)字證書或者帶有顯示屏的六到八位的動(dòng)態(tài)令牌。

早期數(shù)字證書是保存在計(jì)算機(jī)里的，這樣一旦黑客入侵計(jì)算機(jī)，就可以轉(zhuǎn)移用戶資金?，F(xiàn)在數(shù)字證書保存在一個(gè)獨(dú)立的U盾里，使“密鑰”和計(jì)算機(jī)分離，而且U盾的操作系統(tǒng)是專有的，難以破解，從而提高了移動(dòng)支付的安全系數(shù)?？梢姟懊荑€”與計(jì)算機(jī)分離是進(jìn)行移動(dòng)支付的最基本要求。

動(dòng)態(tài)令牌的工作原理是根據(jù)密碼算法隨機(jī)生成一個(gè)數(shù)字組合，一個(gè)密碼只能使用一次，是一種安全便捷的帳號(hào)防盜技術(shù)，可以有效保護(hù)交易和登錄的認(rèn)證安全，在密碼認(rèn)證環(huán)節(jié)中保證安全。[3]

手機(jī)令牌，類似短信動(dòng)態(tài)令牌，是一種手機(jī)客戶端軟件。服務(wù)器端基于時(shí)間同步方式，每隔60秒產(chǎn)生一個(gè)隨機(jī)6位動(dòng)態(tài)密碼，并通過短信發(fā)送。動(dòng)態(tài)密碼有一定的存活時(shí)間，超過存活周期，即使黑客竊取到動(dòng)態(tài)密碼，也無法進(jìn)行身份認(rèn)證。

用短信傳遞動(dòng)態(tài)密碼，存在可達(dá)性和安全性問題。據(jù)統(tǒng)計(jì)，短信的到達(dá)率在95%左右，有時(shí)還會(huì)發(fā)生延遲、丟失等現(xiàn)象。短信在傳遞過程中雖加密報(bào)文，但依然容易被攔截且破解，所以短信一般不用作關(guān)鍵信息的傳遞?？梢?，動(dòng)態(tài)令牌應(yīng)是一個(gè)獨(dú)立于任何設(shè)備的硬件，如專業(yè)設(shè)備U盾。動(dòng)態(tài)令牌一旦開始工作，在使用過程中將不會(huì)再與服務(wù)器發(fā)生通訊，黑客不可能空中截取。通過比對(duì)動(dòng)態(tài)令牌和認(rèn)證服務(wù)器各自單獨(dú)運(yùn)算的結(jié)果是否相符來確認(rèn)用戶身份，如圖1所示。

無論是在計(jì)算機(jī)端完成支付，還是在手機(jī)端完成移動(dòng)支付，都必須確?！懊荑€”保存在一個(gè)獨(dú)立、專有的地方，以保證“密鑰”絕對(duì)安全。也就是說無論是數(shù)字證書，還是動(dòng)態(tài)令牌，都應(yīng)該保證在移動(dòng)支付過程中“密鑰”始終“獨(dú)立”?？赡壳岸鄶?shù)的解決方案在這方面都有所欠缺。[4]

1.2 手機(jī)安全問題

移動(dòng)互聯(lián)時(shí)代，智能手機(jī)在人們的日常生活中應(yīng)用非常廣泛，移動(dòng)支付就是其主要功能之一。不法分子會(huì)通過各種病毒對(duì)移動(dòng)支付進(jìn)行攻擊。手機(jī)不像計(jì)算機(jī)可通過防火墻進(jìn)行保護(hù)，一旦被病毒入侵，手機(jī)用戶往往蒙受巨大損失。雖然市面上有百度手機(jī)衛(wèi)士、360手機(jī)衛(wèi)士、騰訊手機(jī)管家等軟件，但在手機(jī)遇到攻擊時(shí)，這些軟件也沒有表現(xiàn)出足夠的安全防御功能。用戶利用智能手機(jī)進(jìn)行移動(dòng)支付，往往沒有安全保障。

圖1 手機(jī)令牌與認(rèn)證服務(wù)器密碼比對(duì)過程圖

綜上所述，移動(dòng)支付安全方面還存在諸多問題，需要建立統(tǒng)一完善的規(guī)范和標(biāo)準(zhǔn)[5]。本文就移動(dòng)終端本身來考慮，從“密鑰分發(fā)”這一環(huán)節(jié)出發(fā)，提出基于密鑰管理的移動(dòng)支付安全解決方案。

2 基于密鑰管理的移動(dòng)支付安全解決方案

目前移動(dòng)支付存在的安全問題較多，密鑰安全是首要問題，即必須有統(tǒng)一的密鑰發(fā)放和管理機(jī)制。[6]移動(dòng)終端的支付安全解決方案具體如下文所述。

2.1 使用NFC近距離通信[7]

NFC，即近距離無線通信技術(shù)。是一種無接觸式射頻識(shí)別技術(shù)，可以在移動(dòng)設(shè)備與電子設(shè)備之間進(jìn)行近距離無線通信。NFC技術(shù)以其傳輸距離短、連接速度快、安全性好等優(yōu)點(diǎn)迅速得到用戶的喜愛。NFC目前的工作頻段有13.56M和2.4G兩種。

無接觸式移動(dòng)支付技術(shù)RF-SIM移動(dòng)支付方案已被業(yè)內(nèi)廣泛認(rèn)可。RF-SIM工作原理是將RF的芯片嵌入標(biāo)準(zhǔn)的SIM卡中，RF-SIM卡既不影響SIM卡的原有功能，又能通過射頻模塊完成各種移動(dòng)支付，并擴(kuò)展至非典型領(lǐng)域，尤其是手機(jī)支付和身份認(rèn)證功能。[8]該方案的特點(diǎn)是射頻單元直接集成到SIM卡上，用戶無需更換手機(jī)。密鑰保存在獨(dú)立的電子錢包存儲(chǔ)器里，黑客要想破解SIM卡需具備專有的編譯器，密鑰保存安全系數(shù)高。

2.2 借助外接設(shè)備來保存密鑰[9]

借助外接設(shè)備來保存密鑰的方式有三種。第一種是刷卡器式；第二種是手機(jī)貼片式；第三種是在手機(jī)的SD卡中保存密鑰。

2.2.1 刷卡器式

刷卡器通過耳機(jī)插頭與智能手機(jī)連接使用，手機(jī)只需安裝客戶端即可完成移動(dòng)支付。密鑰可以保存在卡槽設(shè)備里。用戶在整個(gè)業(yè)務(wù)操作過程中無需使用刷卡器，僅在最后選擇銀行卡支付時(shí)，才將刷卡器插入手機(jī)耳機(jī)插孔，完成刷卡支付。整個(gè)過程除了最后刷卡支付外，其他時(shí)間卡槽和手機(jī)終端都處于分離狀態(tài)，即保證了密鑰和手機(jī)終端分離，從而確保了密鑰的安全。

2.2.2 手機(jī)貼片式

在原來的SIM卡基礎(chǔ)上新增一塊芯片，這是一塊獨(dú)立于SIM卡的智能芯片，與SIM卡可以合二為一插入原來的SIM卡槽。手機(jī)貼片式，由于采用符合金融應(yīng)用標(biāo)準(zhǔn)的智能芯片，安全性很高，用戶可以直接通過菜單操作完成移動(dòng)支付。智能芯片與手機(jī)分離，密鑰保存在芯片里。芯片的激活機(jī)制需要通過POS機(jī)非常復(fù)雜且專業(yè)的流程實(shí)現(xiàn)。所以，手機(jī)貼片式的密鑰保存絕對(duì)安全。

2.2.3 SD卡模式

SD卡模式，即密鑰置于SD卡中。用戶不需改變手機(jī)本身的硬件設(shè)計(jì)，只要安裝保存在SD卡中的客戶端程序，并開卡激活，即可完成移動(dòng)支付。

此外，計(jì)算機(jī)完成支付的安全保障技術(shù)已經(jīng)非常成熟，用戶其實(shí)可以先在計(jì)算機(jī)上完成從銀行賬戶到支付寶的關(guān)聯(lián)以及轉(zhuǎn)賬，然后通過計(jì)算機(jī)與手機(jī)一致的支付寶賬戶完成移動(dòng)支付。手機(jī)不直接關(guān)聯(lián)銀行卡，而是通過支付寶賬戶做緩沖，這樣可以把用戶銀行卡所有資金的風(fēng)險(xiǎn)降低到只是支付寶移動(dòng)端賬戶的風(fēng)險(xiǎn)。

3 結(jié)論

本文詳細(xì)分析了目前移動(dòng)支付存在的安全問題，就移動(dòng)終端本身來考慮，從“密鑰分發(fā)”這一環(huán)節(jié)出發(fā)，提出基于密鑰管理的移動(dòng)支付安全解決方案，即使用NFC近距離通信和借助外接設(shè)備來保存密鑰。此外還可通過計(jì)算機(jī)完成支付來降低風(fēng)險(xiǎn)。解決方案明確提出手機(jī)與密鑰分離技術(shù)，從而保證移動(dòng)支付的安全性。

參考文獻(xiàn)：

［1］黃曉芳，周亞建，賴欣，等.基于第三方的安全移動(dòng)支付方案［J］.計(jì)算機(jī)工程，2010，36（18）：158-159，162.

［2］王淵，楊婧.一種基于SD卡的口令認(rèn)證密鑰協(xié)商方案［J］.信息安全與通信保密，2014（10）：88-92.

［3］石余發(fā).網(wǎng)格Portal安全技術(shù)研究［D］.南京：南京理工大學(xué)，2013.

［4］李曦，胡漢平.一種安全的移動(dòng)支付方法［J］.計(jì)算機(jī)應(yīng)用研究，2008，25（5）：1546-1549.

［5］楊晨，楊建軍.移動(dòng)支付安全保障技術(shù)體系研究［J］.信息技術(shù)與標(biāo)準(zhǔn)化，2010，7：17-20.

［6］黃澤龍，張文安，謝云.移動(dòng)支付密鑰體系研究［J］.電信科學(xué)，2011（6）：21-27.

［7］郭先會(huì)，陳丹.基于NFC的移動(dòng)支付安全解決方案研究與應(yīng)用［J］.數(shù)據(jù)通信，2014（10）：15-18.

［8］李頡.RFID-SIM技術(shù)在手機(jī)支付中應(yīng)用的研究［D］.北京：北京郵電大學(xué)，2010.

［9］微信開發(fā).微時(shí)代微信咨詢網(wǎng)［EB/OL］.（2014-06-07）［2016-11-10］.http：//www.wechatstyle.com/weixinkaifa/.

［1］JTGE20—2011，公路工程瀝青及瀝青混合料試驗(yàn)規(guī)程［S］.北京：人民交通出版社，2011.

［2］JTGE42—2005，公路工程集料試驗(yàn)規(guī)程［S］.北京：人民交通出版社，2005.

Abstract：Based on the Dezhou-Shangqiu highway project，the author aims to design the ratio of Large-stone Porous Asphalt Mixes（LSPM-30）through the comprehensivesanalysisontheexperimentaldata，accordingto which，it turns out that the flexible surface of the road of LSPM-30 can meet the requirements，and it can be used in the operation of the road construction.

Key words：Large-stone；Porous；Asphalt Mixes；mixture ratio

Mobile payment security solution based on key management

HUANG Mei-xuan

（Electrical and Mechanical Engineering College,Liming University,Fujian Quanzhou 362000,China）

By the detailed analysis of the current security problems of mobile payment,considered on the mobile terminal itself,the author proposes the mobile payment security solution based on key management.That is the technology of mobile phone and key separation.This will be greatly ensure the security of mobile payment.

Mobile payment;Key management;Solution; Security

On the Large-stone Porous Asphalt Mixes（LSPM）Ratio Design

YAO Yong-sheng1，WANG Xiao-liang2

（1.China Railway eleven Bureau Group Second Engineering Co.，Ltd.，Hubei Shiyan 442000，China；2.Hebei Software Institute，Hebei Baoding 071000，China）

TP311.1

A

1673-2022（2017）01-0070-03

表6 瀝青混合料動(dòng)穩(wěn)定度試驗(yàn)結(jié)果

測(cè)定值（次/mm）平均值（次/mm）技術(shù)要求（次/mm）3 498 3 405≥2 600 3 351 3 365

5 結(jié)語

2016－11－25

黎明職業(yè)大學(xué)2014年規(guī)劃項(xiàng)目（LZ2014102）

黃美璇（1982-），福建晉江人，講師，碩士，研究方向?yàn)橛?jì)算機(jī)科學(xué)技術(shù)。

通過對(duì)德商高速公路路面聊城施工段大粒徑透水瀝青混合料（LSPM-30）配合比的設(shè)計(jì)，根據(jù)析漏試驗(yàn)和飛散試驗(yàn)結(jié)果，考慮大粒徑透水性瀝青混合料的水穩(wěn)定性與耐久性好，確定了最佳瀝青用量，從馬歇爾穩(wěn)定度和車轍試驗(yàn)結(jié)果可以看出，在該瀝青用量下混合料耐久性較好，具有較強(qiáng)的抗車轍變形能力，可用于柔性基層施工。