基于分布式密鑰的移動支付安全卡

文章出處：http://5052h112.com 作者：孫德超，孫榮高，潘鐵軍   人氣： 發表時間：2011年09月29日

    1 引 言 

    移動支付方興未艾，安全問題成為其應用的關鍵瓶頸。因為手機的加密能力有限，不能滿足金融安全的要求，通過外部加密卡來增強加密能力有望解決這一難題。大部分手機都具有訪問外部設備的能力，隨著技術的發展，這種趨勢日漸明顯，紅外、藍牙和數據線幾乎成為手機的標準配置，USB的支持也在增加。同時，由于SIM卡克隆機的出現，單純靠SIM卡和手機本身進行安全防護也在經受嚴峻的考驗，通過外部eKey進行密鑰分布式存儲大大增強了安全系數，手機、SIM卡和eKey交叉校驗也大大提高了移動支付的安全性。 

    目前移動支付的加密大多是通過SIM卡的加密功能實現，基于短消息的小額支付。這種方案需要更換SIM卡等復雜流程，而且短消息的時延性和不可靠性等諸多缺點使該項業務推廣受阻。隨著手機本身能力的增強，利用JAVA和WAP技術，通過HTTPS和WAP本身的安全機制支持移動支付的方式也正在應用，但因為手機的加密能力有限，一般只能完成64位加密強度，僅用于小額消費。國外正在研究一種能提高手機本身加密能力的SIM卡，但因為標準不一和技術難度過大而進展緩慢。另外，通過增加外部芯片來增強安全性能的方法也得到了應用，如衛易的MTT(移動POS機)，但MTr直接改變了手機的結構，使手機變得龐大而只能作為移動POS，從而失去了小巧方便的特性。本文正是針對該缺點，通過插拔式外部設備eKey來增強手機的 安全功能，盡量不改變手機本身的結構和配置，使移動支付的業務更容易開展。

    2 基于eKey的移動支付方案 

    在移動支付過程中，雖然無線傳輸信道有自己的加密能力，但在應用層進行加密也是不可缺少的，比如銀行系統使用PKI機制進行安全防護，它只能 與通過PKI機制下的加密數據進行對接，因此應用層數據一定要使用PKI的加密機制。考慮到短消息的時延性和不可靠性，依靠非結構化補充數據業務(Unstructured Supplementary Service Data，USSD)可解決該問題。USSD是一種基于GSM網絡的新型交互式數據業務，它是在GSM的短消息系統技術基礎上推出的新業務。USSD業務主要包括補充業務(如呼叫禁止、呼叫轉移)和非結構補充業務(如移動銀行業務)兩類。雖然USSD、SMS和WAP都屬于電路承載型的業務，但它的優點表現在以下幾方面：

    (1)它們所使用的電路信道各不相同：通話狀態下，USSD和SMS使用相同的信令信道l1]1SDCCH，數據傳輸速率大約為600 bps；而非通話狀態時，USSD使用FACCH信令信道，數據傳輸速率大約為I kbps，比SMS傳輸速率高；
    (2)USSD在會話過程中一直保持無線連接，提供透明管道，不進行存儲轉發；而SMS在物理承載層沒有會話通道，只是一個存儲轉發系統，用戶完成一次查詢需要進行多次會話過程。因此，uSSD每次消息發送不需要重新建立信道，就響應時間而言，USSD比短消息的響應速度快。WAP與USSD類似，交互中保持一個會話過程，但由于WAP服務器和Internet速度等因素的影響，其目前的響應速度比SMS還慢；
    (3)USSD和WAP都可以在服務器端對服務內容進行相應的調整，尤其是USSD可以在服務器端方便地修改菜單，使運營商可以迅速針對市場需求情況的變化做出反應；而以SMS平臺為基礎的STK卡則無法隨時修改菜單選項，在業務開拓方面要稍微麻煩一些。 

    通過以上分析，USSD為移動支付提供了簡易而廉價的解決手段，USSD和訪問外部設備是大多數手機支持的功能，基本不用改變手機的任何配置，便于實施。我們采用USSD作為eKcy的無線傳輸方式，系統的整體結構如圖I所示。手機將移動信息通過串口發送移動支付數據給eKey(對于沒有問外部設備(如串口)能力的手機目前不能支持，只能通過更換STK卡來實現)。eKey通過和手機、服務器、第三方認證中心等進行認證后，對數據進行加密，通過手機發送給銀行服務器，服務器通過加密機解密數據，完成移動支付操作，類似于網上銀行，不過這里采用的是無線方式。

    圖1 移動支付方案 

    3 eKey的設計和實現 

    3．1 硬件設計 

    eKey定位為手機的數據加密卡，要求體積一定要小巧靈活，便于插拔，另外，考慮到移動支付的安全性，eKey一定要實現3DES 128位或RSA 1 024位的加密能力，達到網上銀行同樣的加密級別。同時，低成本解決方案和電源管理也是必須要考慮的問題。通過分析，考慮到非對稱加密RSA 1 024位加密的主要功能在于傳遞3DES的密鑰，在實驗階段，假設銀行內部的安全機制是充分的，即使在發行階段，也可以由用戶親自到銀行來領取加密卡以保證3DES的密鑰的傳遞保密性。

    全文下載閱讀地址：http://www.yktchina.com/bbs/Read-b3-t8555.htm