一種基于橢圓曲線的高效移動支付系統

摘 要：針對移動手持設備處理能力和存儲空間較弱的限制，提出了一種基于橢圓曲線密碼體制的移動電子支付系統。與傳統的基于RSA及離散對數問題的電子支付系統相比，提出的系統所需安全參數字節較短且易于擴展，因而存儲、計算和通信效率大大提高，能夠很好地滿足移動支付系統的所有安全要求，并能有效防止重復花費、欺詐行為和高手段犯罪。

關鍵詞：移動支付系統; 全球移動通信; 橢圓曲線密碼體制; 公平性

中圖分類號：TP3092 文獻標志碼：A

文章編號：10013695(2008)09281903

Efficient mobile payment system based on ECC

PENG Binga， FU Caia， FU Xiongb

(a. College of Computer Science Technology， b.Dept. of Electronics Information Engineering， Huazhong University of Science Technology， Wuhan 430074， China)

Abstract:Since the computing power and storage space of mobile handle terminal were very poor， this paper introduced a mobile payment system based on elliptic curve cryptosystems. Compared with previous ecash systems based on RSA or discrete logarithm， the new system required much shorter security parameter size and it was convenient to be expanded. Moreover， the storage， the computation and communicating efficiency were improved in the new system， at the same time， all the security features for mobile payment were kept as usual. Furthermore， the system can prevent from double spending， fraud and perfect crime effectively.

Key words：mobile payment systems; GSM; elliptic curve cryptosystems; fairs

0 引言

隨著移動通信設備的迅猛發展和廣泛應用，具有身份識別功能的移動電話能夠代替各種銀行卡成為個人的隨身電子錢包，使支付形式徹底擺脫空間上的束縛^[1]。移動支付作為一種全新的支付手段^[2~4]，實現了錢包的電子化和移動化，不僅快捷，而且實現方便，從而為客戶創造了更靈活、更親切的消費環境。

在GSM網絡中，用戶端的身份認證與密鑰分配功能是由移動用戶個人身份模塊SIM卡來實現的^[5，6]。目前的SIM卡相當于一個內嵌有8位微處理器的智能卡，其工作時鐘通常在8MHz左右，內部數據存儲器約300 B，程序存儲器5～6 KB。公鑰密碼算法為了維持足夠的安全性，目前都采用了更長的模，不僅增加了公鑰密碼算法實現的復雜度，也增加了密碼協議中數據的傳輸量，這些不僅對計算能力低且計算資源有限的SIM卡構成挑戰，也對通信帶寬有限的移動通信網絡構成挑戰^[7]。

隨著移動通信網絡的不斷發展，網絡的頻率帶寬也在不斷增加，從而提高了數據傳輸速率，如第三代蜂窩系統可實現2 Mbps數據傳輸速率。而且，隨著大規模集成電路技術的發展，微處理器的計算能力在成倍增強，存儲器容量也在成倍增加，特別是內嵌32位微處理器的智能卡的出現，將極大地增強移動端的計算能力和計算資源。基于這種情況，一些新的短參數公鑰密碼系統也被不斷提出^[8，9]，特別是基于橢圓曲線上離散對數難題的橢圓曲線密碼體制（ECC），由于缺少亞指數性的攻擊方法，從而可以使用較少位的橢圓曲線密碼算法在安全性方面相當于多位的RSA算法^[10，11]。由于橢圓曲線密碼算法可以采用較短的參數，不僅占用更少的系統資源，極大地降低了橢圓曲線密碼算法的實現復雜度，加快了計算速度使成本和能耗更低，而且減少了密碼協議中的數據傳輸量。本文所提出的基于ECC的安全移動支付系統就是建立在橢圓曲線離散對數難解及散列函數單向性的基礎上的。

1 系統基本模型

本文所提出的移動支付方案涉及到交易的四方，即移動用戶U、增值服務提供商VASP、網絡服務提供商SP和銀行B，如圖1所示。其中，移動用戶是使用數字貨幣和移動電話購買信息商品或服務的主體；增值服務提供商是為移動用戶提供商品或服務并接受其支付的網上商店；網絡服務提供商在方案中相當于經紀人的角色，其作用在于搭建移動支付服務平臺，為移動用戶和VASP開立并維護賬戶、認證交易雙方的身份、進行貨幣銷售和交易結算；銀行是一個具有電子認證功能的參與者，并協調解決可能引起的爭端。

2 基于ECC的移動支付系統

本文中所用符號的意義如下：x∈R N表示x在集合N中隨機地選取；H(·）表示碰撞自由的單向散列函數；‖表示字符串連接操作符；Rx(A)，Ry(A)表示取A點的x、y坐標；p、q表示大素數，q是p-1的一個大的素因子（即q｜(p-1)）；Z*p表示小于p的正整數集合；Gp表示乘法群Z*p的一個q階子群，并且假定在Gp上求解橢圓曲線離散對數是困難的；Zq表示小于q的非負整數集合；E是方程為y2=x3+ax+b的橢圓曲線，且4a3+27b2≠0；B為E上一個階為n的基點（生成元）。

基于ECC的移動支付系統中銀行是一個具有電子認證功能的參與者，它無須知道任何與用戶有關的隱私信息，只是起到一個可信第三方的作用，在移動支付過程中證明電子現金使用的有效性。

2.1 開戶協議

網絡服務商SP選擇大素數p， q且q｜(p-1)，以及一個碰撞自由的單向散列函數H(·)，由此可以構造乘法群Z*p的一個q階子群Gq，并且假定Gq在上求解橢圓曲線離散對數是困難的。記B為E上一個階為n的基點（生成元），選取xB∈R Z*送給SP，作為用戶的賬號，同時向SP出示其身份證或護照等來惟一標志其身份。SP驗證其證明，為其開立并維護一個賬戶，然后在移動用戶賬戶數據庫中存儲該移動用戶的身份識別信息及IDU、NU，賬號IDU與用戶的身份信息必須一一對應。這樣，在用戶實施重復花費后，SP能通過計算得到該用戶賬號，進而確定其身份。

移動用戶U與SP共享一個秘密密鑰KUS，并從SP處得到移動用戶和VASP共享的會話密鑰KUV。

增值服務提供商VASP也必須在SP開戶。VASP選取xV∈R Z*q，計算IDV=xV B=(IDVx，IDVy)并將IDV作為其身份標志發送給SP，同時向SP出示其營業執照和網址AV等來惟一標志其身份，作為VASP的SP賬號。SP驗證后存儲VASP賬號，為其開立和維護一個賬戶，并在VASP賬戶數據庫中存儲該VASP的身份識別信息IDV和網址AV，從而將AV與VASP的身份識別信息IDV綁定在一起。同樣，VASP也與SP共享一個秘密密鑰KVS，且可從SP處得到移動用戶和VASP共享的會話密鑰KUV。

用戶及增值服務提供商的開戶過程如圖2所示。

2.2 取款協議

用戶隨機選取l∈R Z*q，計算a=lB=(ax，ay)，M=lPB+dIDU=(Mx，My) (d是由SP和用戶共同計算的電子現金的私鑰），e′=H(MxMy，axay)和σ=l-xUe′。這樣一個電子現金c就可以用一個二元組(a， M)來表示，e′，σ是簽名，將M、e′、σ連同IDU的值發送給SP。

用戶保存{l，d，Certc}的值，然后發送c和Certc給銀行B；銀行在保存了c的電子現金序列表中檢測這些電子現金是否出現過（即銀行是否已經處理過）。若沒出現，則檢查電子現金c和證書Certc的合法性。對于每個電子現金，給定一個附加的數字xi(1≤i≤n)，n為用戶一次從銀行所取電子現金的個數，記H(x1)=y1，H(x2)=y2，…，H(xn)=yn，并對y1，y2，yn和n進行簽名得到：

ST=signT{y1，y2，…，yn，n}

然后發{ST，y1，y2，…，yn，n}給用戶。至此，移動用戶在其賬戶上存儲了一定數額的電子現金。

23 支付協議

支付協議如圖3所示。

具體執行步驟如下：

a)用戶U使用移動電話瀏覽VASP的站點選擇需要購買的商品或服務，并記錄VASP的網址AV及商品或服務的價格，生成訂單信息OI，它包含購買商品或服務的種類、數量和總金額等信息。

移動用戶發送m和xk給VASP。其中：m是包含電子現金c、數字證書Certc和時戳等信息的數據段；xk為用戶支付給VASP的電子現金所對應的附加數字，即發送給VASP的一個購買請求。用戶購買請求的格式為

(IDU，OI，VU)KUV

其中：VU為本次交易總額。

b)VASP為保證支付的安全可靠，需要訪問SP服務器，驗證電子現金和證書的合法性，并計算H(xk)，檢查其是否在黑名單中（黑名單是丟失或失效電子現金散列值的列表）。同時，將包含移動用戶訂單信息的支付授權請求發送給SP服務器：

(IDU，IDV，VU)KVS

c)SP服務器根據移動用戶和VASP的標志通過遍歷數據庫來檢查其對應賬戶的合法性，以保證其處于良好的狀態且沒有任何使用限制，選擇ε∈R Z*q，計算：

r=H(date‖time‖ε‖Isx‖Isy)

其中：date、time分別為交易的日期和時間。并發送r給用戶；然后根據IDU確定移動用戶的移動電話號碼，并向其發送如下的扣賬請求：

（IDU，IDV，VU）KUS

d)移動用戶收到SP服務器發送來的扣賬請求后，首先檢驗其合法性并對支付信息進行確認，即計算 s=rPB+dB=(sx，sy)，e=H(m，sxsy)，u=r-le，v=d-xUe，t1=(d-1)xUe B=(t1x，t1y)，(e，u，v，t1)即簽名S，發送(e，u，v，t1)及m給VASP。

然后將包含個人識別碼PIN（通常為四位數）的扣賬響應發送給SP服務器：

(OK，PIN)KUS

e)SP服務器收到移動用戶的個人識別碼后，確認是移動用戶本身參與了此次交易，然后向VASP發送如下的支付授權響應：

(IDU，OK，VU)KVS

如果在給定時間（2 min）內，SP服務器沒有收到移動用戶發送來的扣賬響應信息，則該交易將被自動取消。

f)VASP計算t′=uPB+vB+eM=(t′x，t′y)，并檢查：

t′=？s+t1，e=？H(m，Rx(t′-t1)Ry(t′-t1))

確認無誤后，VASP將信息商品或服務發送給移動用戶。

24 轉賬協議

VASP發送支付協議的副本給SP，包括(e，u，v，t)及證書Certc，電子現金c、挑戰r和時戳。

當移動用戶U收到VASP提供的商品或服務后，他將使用其移動電話發送一個支付認可消息給SP；SP驗證其合法性，根據移動電話號碼使用GSM中的SIM卡來鑒別并獲得移動用戶的身份IDU，并檢查電子現金的H(xk)是否在黑名單中，然后從移動用戶賬戶上扣除與交易額相當的電子現金轉移到VASP賬戶上。

3 系統安全性與效率分析

3.1 安全性分析

由于每次支付執行時，交易信息都使用公鑰進行了加密，攻擊者無法獲取相關的敏感信息，從而保護了移動用戶隱私和支付信息的安全。本系統的安全性是建立在橢圓曲線離散對數難解和散列函數單向性基礎上的。它具有不可重用性，即在用戶實施重復花費后，銀行可通過計算得到該用戶賬號，進而確定其身份。其過程如下：

在本系統中，如果用戶實施了重復花費，則同一電子現金在支付過程中將有兩個簽名：

根據上述信息可得到(v2-v1)/(e1-e2)=xU，即用戶IDU的私鑰。因此，在本系統中用戶的電子現金是不可重用的。

在本方案中，移動用戶企圖使用賬戶上不足的余額與VASP進行交易（移動用戶企圖進行超支花費）是不可能的，非良好狀態的賬戶將直接導致支付的中止。另一方面，若VASP發送與訂單信息不同或便宜的商品，則移動用戶在對商品或服務進行檢查后，拒絕發送支付認可消息，因而VASP無法得到相應的交易資金。

3.2 匿名性

本系統具有受限的不可追蹤性。當用戶構造一個電子現金時，要用到私鑰xU，該參數在支付過程中對任何其他人是不可知的。因此沒有人能夠根據電子現金的支付信息來追蹤用戶。而且，由于IU的橢圓曲線離散對數xU是難解的，對用戶進行非法攻擊從而偽造簽名是不可能的。

33 公平性

在本方案中，電子現金的使用要得到銀行的檢驗，確保了電子現金使用的有效性。移動用戶在獲得商品或服務之前，VASP無法得到相應的交易資金，因為SP只有在得到移動用戶的支付認可消息后才實施轉賬。同時，若移動用戶宣稱其收到的商品或服務與訂單信息中規定的不符合，或否認已收到的VASP提供的商品或服務，則SP服務器會要求VASP對信息商品或服務進行重發，直到移動用戶認可為止。在這種情況下，移動用戶的欺詐行為并不能使其得到相應收益，因而方案使得消費者和商家的利益都得到了保障，從而具有一定的公平性。

34 效率分析

與基于RSA和離散對數問題的電子支付系統（如Okamoto^[12]和Chan^[4]等人提出的電子現金支付系統）相比，本文所提出的基于ECC的移動支付系統采用了橢圓曲線密碼體制，所需的安全參數字節數較短且易于擴展，在占有較小系統空間的情況下仍能達到與使用模指數運算其他系統相同的安全水平，因而存儲、計算和通信效率大大提高。例如RSA加密體制進行模指數運算時需要1 024 bit的密鑰，在ECC中若要達到相同要求則只需160 bit即可。因此ECC中密鑰的長度較短，內存空間和計算能力都可以降低，尤其適用于存儲容量有限的基于智能卡的電子錢包。

4 結束語

本文設計了一個基于ECC的移動支付系統。與傳統的基于效率不高的模指數運算的電子支付系統相比，ECC具有密鑰長度較短和安全性更高的特點，從而使得本系統的存儲、計算和通信效率大大地提高，減少了移動終端計算和通信的負荷，適用于移動支付系統。此外，本系統還能有效地防止重復花費、竊聽、竄改、非法攻擊和犯罪。

參考文獻：

［1］TZONG R， JAN M， JAHANNES S，et al. Comparing usage of mobile commerce in Taiwan[J].International Journal of Services， Technology and Management，2006，7(3):284296.

[2]VEIJALAINENA J， TERZIYANB V，TIRRIC H. Transaction management for mcommerce at a mobile terminal[J]. Electronic Commerce Research and Applications，2006，5(3):229245.

[3]BRANDS S. Offline cash transfer by smart cards[C]//Proc of the 1st Smart Card Research and Advanced Application Conference. France: Chapman Hall Press， 1994:101117.

[4]CHAN A， FRANKEL Y. Easy comeeasy go divisible cash[C]//Proc of Advances in Cryptology EUROCRYPT’98. Helsinki， Finland: SpringerVerlag， 1998:561575.

[5]JAUME B， MIQUEL O， JORGE I. Adapting a captive portal to enable SMSbased micropayment for wireless Internet access[C]//Performability Has Its Price ICQT 2006. Heidelberg，Berlin: SpringerVerlag， 2006:7879.

[6]ISAAC J， CAMARA J， MANZANARES A， et al. Payment in a Kiosk centric model with mobile and low computational power devices[C]//Proc of Computational Science and Its ApplicationsICCSA 2006. Berlin: Springer， 2006:798807.

[7]TSAUR W J， HO C H. A secure electronic payment system based on efficient public key infrastructure[C]//Proc of International Workshop for Asian Public Key InfrastructuresIWAP 2002. Taipei:[s.n.]， 2002.

[8]LIU Jun， LIAO Jianxin. A new universal model for mobile payment system and its protocol[J].High Technology Letters， 2006，16(6):560565.

[9]JIN K， SOOHYUN O， DONGHO W. Efficient key distribution protocol for electronic commerce in mobile communications[C]//Proc of the 7th International Conference on PARA 2004. Berlin: SpringerVerlag， 2006:10091016. 

[10]張方國，王常杰，王育民. 基于橢圓曲線的數字簽名和盲簽名[J]. 通信學報， 2001，22(8):2227.

[11]隋愛芬，楊義先，鈕心忻，等. 基于橢圓曲線密碼的可認證密鑰協商協議的研究[J]. 北京郵電大學學報，2004，27(3):2832.

[12]OKAMOTO T. An efficient divisible electronic cash scheme[C]//Proc of CRYPTO’95. Santa Barbara， California: SpringerVerlag， 1995:438451