来源:中国一卡通网 作者:孙德超,孙荣高,潘铁军 发布时间:2009-09-15 16:26:11 字体:[大 中 小]
摘 要:分析了移动支付中的安全问题,提出了一种基于分布式密钥的移动支付实施方案,给出了具体的设计方法,分析了其工作流程和关键技术.该方案实现了移动支付的高保密、低成本等优良性能,具有很好的实用价值和市场前景。
1 引 言
移动支付方兴未艾,安全问题成为其应用的关键瓶颈。因为手机的加密能力有限,不能满足金融安全的要求,通过外部加密卡来增强加密能力有望解决这一难题。大部分手机都具有访问外部设备的能力,随着技术的发展,这种趋势日渐明显,红外、蓝牙和数据线几乎成为手机的标准配置,USB的支持也在增加。同时,由于SIM卡克隆机的出现,单纯靠SIM卡和手机本身进行安全防护也在经受严峻的考验,通过外部eKey进行密钥分布式存储大大增强了安全系数,手机、SIM卡和eKey交叉校验也大大提高了移动支付的安全性。
目前移动支付的加密大多是通过SIM卡的加密功能实现,基于短消息的小额支付。这种方案需要更换SIM卡等复杂流程,而且短消息的时延性和不可靠性等诸多缺点使该项业务推广受阻。随着手机本身能力的增强,利用JAVA和WAP技术,通过HTTPS和WAP本身的安全机制支持移动支付的方式也正在应用,但因为手机的加密能力有限,一般只能完成64位加密强度,仅用于小额消费。国外正在研究一种能提高手机本身加密能力的SIM卡,但因为标准不一和技术难度过大而进展缓慢。另外,通过增加外部芯片来增强安全性能的方法也得到了应用,如卫易的MTT(移动POS机),但MTr直接改变了手机的结构,使手机变得庞大而只能作为移动POS,从而失去了小巧方便的特性。本文正是针对该缺点,通过插拔式外部设备eKey来增强手机的 安全功能,尽量不改变手机本身的结构和配置,使移动支付的业务更容易开展。
2 基于eKey的移动支付方案
在移动支付过程中,虽然无线传输信道有自己的加密能力,但在应用层进行加密也是不可缺少的,比如银行系统使用PKI机制进行安全防护,它只能 与通过PKI机制下的加密数据进行对接,因此应用层数据一定要使用PKI的加密机制。考虑到短消息的时延性和不可靠性,依靠非结构化补充数据业务(Unstructured Supplementary Service Data,USSD)可解决该问题。USSD是一种基于GSM网络的新型交互式数据业务,它是在GSM的短消息系统技术基础上推出的新业务。USSD业务主要包括补充业务(如呼叫禁止、呼叫转移)和非结构补充业务(如移动银行业务)两类。虽然USSD、SMS和WAP都属于电路承载型的业务,但它的优点表现在以下几方面:
(1)它们所使用的电路信道各不相同:通话状态下,USSD和SMS使用相同的信令信道l1]1SDCCH,数据传输速率大约为600 bps;而非通话状态时,USSD使用FACCH信令信道,数据传输速率大约为I kbps,比SMS传输速率高;
(2)USSD在会话过程中一直保持无线连接,提供透明管道,不进行存储转发;而SMS在物理承载层没有会话通道,只是一个存储转发系统,用户完成一次查询需要进行多次会话过程。因此,uSSD每次消息发送不需要重新建立信道,就响应时间而言,USSD比短消息的响应速度快。WAP与USSD类似,交互中保持一个会话过程,但由于WAP服务器和Internet速度等因素的影响,其目前的响应速度比SMS还慢;
(3)USSD和WAP都可以在服务器端对服务内容进行相应的调整,尤其是USSD可以在服务器端方便地修改菜单,使运营商可以迅速针对市场需求情况的变化做出反应;而以SMS平台为基础的STK卡则无法随时修改菜单选项,在业务开拓方面要稍微麻烦一些。
通过以上分析,USSD为移动支付提供了简易而廉价的解决手段,USSD和访问外部设备是大多数手机支持的功能,基本不用改变手机的任何配置,便于实施。我们采用USSD作为eKcy的无线传输方式,系统的整体结构如图I所示。手机将移动信息通过串口发送移动支付数据给eKey(对于没有问外部设备(如串口)能力的手机目前不能支持,只能通过更换STK卡来实现)。eKey通过和手机、服务器、第三方认证中心等进行认证后,对数据进行加密,通过手机发送给银行服务器,服务器通过加密机解密数据,完成移动支付操作,类似于网上银行,不过这里采用的是无线方式。
图1 移动支付方案
3 eKey的设计和实现
3.1 硬件设计
eKey定位为手机的数据加密卡,要求体积一定要小巧灵活,便于插拔,另外,考虑到移动支付的安全性,eKey一定要实现3DES 128位或RSA 1 024位的加密能力,达到网上银行同样的加密级别。同时,低成本解决方案和电源管理也是必须要考虑的问题。通过分析,考虑到非对称加密RSA 1 024位加密的主要功能在于传递3DES的密钥,在实验阶段,假设银行内部的安全机制是充分的,即使在发行阶段,也可以由用户亲自到银行来领取加密卡以保证3DES的密钥的传递保密性。
全文下载阅读地址:http://www.yktchina.com/bbs/Read-b3-t8555.htm
推荐文章
论坛热帖
.jpg)
.jpg)
.jpg)
