基于2.4 GHz載頻的“翼支付”安全認證研究

李 峰 ，陳曉勤 ，錢守廉

（1.中國電信股份有限公司上海研究院 上海 200122；2.中國電信股份有限公司上海分公司 上海 200041）

基于2.4 GHz載頻的“翼支付”安全認證研究

李 峰1，陳曉勤2，錢守廉1

（1.中國電信股份有限公司上海研究院 上海 200122；2.中國電信股份有限公司上海分公司 上海 200041）

本文結合上海電信近期推出的2.4 GHz“翼支付”手機刷卡試點業務，在研究中國電信現有通信網絡、終端通信機制和安全認證協議的基礎上，提出在現有通信系統上構建高安全、可管控、強認證的應用系統架構，以達到支付安全級別要求的體系結構，從而更好地支持上海電信手機刷卡應用系統的后續加載，并可作為目前復雜、多變的網絡環境的支付安全模型，以期對2.4 GHz手機刷卡支付應用的發展方向提供借鑒。

安全與認證；2.4 GHz近場支付；翼支付；多應用UIM卡

1 引言

國際移動通信新標準提出要在RF-UIM卡基礎上提供支持電子商務和交易等多應用，GSMA也號召全球運營商和手機廠商支持推廣手機刷卡功能。中國電信CDMA移動通信網絡和終端雖然具有入網認證、數據加密、攻擊檢測等優勢，具有很廣泛的多應用前景，但現有安全架構對滿足2.4 GHz手機刷卡（非接觸支付）應用的安全需求還 有 一 定 的 不 足[1，2]。

目前手機刷卡正處于普及的進程中，3G多應用和開放性的業務特點，對移動通信系統安全性能提出了更高的要求。

加密和即時性問題是手機刷卡普及的首要障礙，雖然OTA功能能夠采用空中加密技術，相對而言存在很有效的安全保證。但是，承載在開放網絡上的激活指令、交易數據依然有被截獲的風險。

身份識別的缺乏是限制支付應用發展的第二大原因。當手機僅僅作為通話工具時，密碼保護并不是很重要，但在作為支付工具時，設備丟失、密碼被攻破、病毒發作等問題都會對用戶造成重大損失。

信用體系的缺失是限制移動信息化應用發展的第三大原因。在手機刷卡中，一些小額支付可以捆綁在手機話費中，但手機話費透支、惡意拖欠等現象十分常見，信用意識以及體系的不完善制約了移動信息化的普及和推廣。在實行“手機實名制”后，這個問題將會有比較大的改觀。

2 安全認證模型

2.1 身份認證模型

從認證需要驗證的條件來看，常用的身份認證方式主要有以下3種。

（1）用戶名/密碼方式

用戶名/密碼是最簡單也是最常用的身份認證方法，它是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的，只有用戶自己才知道，因此只要能夠正確輸入密碼，計算機就認為他就是這個用戶。

（2）IC 卡認證

IC卡是一種內置集成電路的卡片，卡片中存有與用戶身份相關的數據，IC卡由專門的廠商通過專門的設備生產，可以認為是不可復制的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。IC卡認證是基于 “what you have”的手段，通過IC卡硬件的不可復制性來保證用戶身份不會被仿冒。然而，由于每次從IC卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術很容易截取到用戶的身份驗證信息。

（3）生物特征認證

生物特征認證是基于生物特征識別技術的，受到生物特征識別技術成熟度的影響。生物特征識別的準確性和穩定性還有待提高，特別是如果用戶身體受到傷病或污漬的影響，往往會導致無法正常識別，造成合法用戶無法登錄的情況。另外，由于研發投入較大而產量較小，生物特征認證系統的成本非常高，采用生物特征認證還具有較大的局限性，目前只適合于一些對安全性要求非常高的場合，如銀行、軍隊等，無法做到大面積推廣。

2.2 現有IC卡刷卡的安全架構模型

現有IC卡安全認證應用協議的一般流程如圖1所示。

① 讀EF；

② 更新EF；

③ 增加EF；

④管理信息請求；

⑤RF-UIM卡業務表請求；

⑥RF-UIM卡階段請求；

⑦RF-UIM卡檢測和主動式輪詢。

3 手機刷卡安全解決方案

3.1 手機刷卡安全目標

手機刷卡的安全體系目標可以參考3GPP定義的安全條款以及其詳細的定義3GPP TS 33.120，其安全目標之一是確保能夠安全地提供電子商務、電子貿易以及其他一些互聯網服務[5]。上海電信推出的“翼支付”是基于2.4 GHz載頻的手機刷卡業務，集成了IC卡的安全級別，但由于2.4 GHz全卡的體系結構、機卡接口的特性、手機電池和背殼的穿透性等特點，安全目標有許多的差異。

（1）開戶安全

“翼支付”業務是一種需要定制的手機刷卡應用服務，用戶需前往電信營業廳申請成為“翼支付”用戶。為保證申請的安全性，“翼支付”業務的申請者要在支持手機刷卡注冊的POS機上刷卡，POS機將相關信息送到后臺校驗，在校驗通過后，向手機發送一條確認短信；用戶用短信回復，驗證正確后，系統會給用戶手機下發“手機刷卡”密碼。這個流程確保了手機號碼是正確的，防止用戶輸入手機號碼誤操作時造成的錯誤綁定。后續該過程將改用CRM界面來操作。

（2）系統平臺安全

首先，“翼支付”業務平臺通過各種通信業務接口連接到上海電信內部系統，以支持用戶認證；然后，平臺通過對稱加密來保證與各商家數據交流的真實性和保密性；最后，“翼支付”平臺按照相關的規定的通信及加密格式在后臺進行交換和交易數據。

（3）交易安全

交易過程中需保障資金流的安全，“翼支付”的業務流程設計保證了在任何情況下從POS機發送到后臺的指令是以用戶主叫號碼作為用戶的ID的。

（4）身份認證

“翼支付”業務平臺利用用戶的主叫移動號碼來鑒別用戶的身份。

（5）交易限額

對于離線錢包，“翼支付”平臺限制其每月消費額度，有效地控制了精心策劃的惡意欺詐帶來的損失。對于在線賬戶，由于驗證手段的可靠性，且用戶本人的簽名具有法律效力，因此不需要限制其消費額度。

3.2 攻擊模型分析

從上海電信目前推出的手機刷卡產品中可以看出，“翼支付”被攻擊方式主要包括以下幾種：

·RF-UIM卡片丟失或被竊；

·用偽造的或空白卡非法復制數據；

·使用系統外的RF-UIM卡讀寫設備，對合法RF-UIM卡上的數據進行修改，如增加存款數額，改變操作級別等；

·在手機刷卡交易過程中，用正常RF-UIM卡完成身份認證后，中途變換RF-UIM卡，使得卡上存儲的數據與系統不一致；

·在RF-UIM卡讀寫操作中，對接口設備與手機近場通信時所作交換的信息流進行截聽、修改甚至插入非法信息。

對上述攻擊進行分類抽象，可以分為以下幾種[5，6]。

·侵入式攻擊：這類攻擊直接對RF-UIM卡的芯片內

部進行攻擊，甚至修改芯片內的電路。侵入式攻擊通常耗時較長，需要昂貴的設備加以配合。上海電信手機刷卡目前的RF-UIM卡使用硬件加密，一旦密鑰被破解，難以補救，一般做法只能是更換RF-UIM卡，成本極高。

·半侵入式攻擊：這類攻擊也是針對RF-UIM卡的芯片內部展開，但是不會對芯片進行修改。密鑰由應用方設計，如設計人員有心透露，同一型號產品采用同一個密鑰，破解者只要破解出一張卡的密鑰就可推理出這一型號的RF-UIM卡密鑰。

·非侵入式攻擊：這類攻擊不會破壞RF-UIM卡體或內部芯片，一般通過觀測管腳信號或借助其他可能的漏洞，比如2.4 GHz的射頻邊緣信號容易被非法的 POS機截取。

從應用層來看，當天翼手機成為“翼支付”的業務平臺時，在應用層進行攻擊將是一個很普遍的情況；當CDMA無線接入網的安全性能不斷提高時，后臺支付結算平臺會成為今后被攻擊的重點；隨著CDMA或EV DO移動無線檢測設備的價格不斷下調，為惡意攻擊者創造了條件，而且，這些設備一般都是以軟件為基礎的，只要修改相應的部分就可以仿造現有網絡。另外，IP技術的應用也使得惡意節點容易偽裝成網絡節點。因此，應采取措施防止主動攻擊；由于天翼手機的功能越來越依賴于軟件技術，雖然這在一定程度上提高了終端功能的靈活性，但是也使得惡意者可以利用偽“代碼”或“病毒”攻擊終端軟件。

3.3 天翼移動支付安全解決方案

（1）鎖卡和鎖應用

“翼支付”手機刷卡和IC卡刷卡最大的區別在于手機作為業務的載體，交互性比較強，可以通過RF-UIM卡主控密鑰鎖定RF-UIM卡和卡上的各種應用。當手機丟失時，原有IC卡不記名、不掛失的屬性得以修改，用戶可以及時通過關閉RF-UIM卡來鎖定各種RF-UIM卡上的應用，通過OTA方式可以即時鎖定應用。對于無OTA的地區，關機時不能刷卡，需要開機才能刷卡，所以在丟失的手機開機入網認證時，會被檢測到位置，通過POS管理系統下發黑名單阻止開卡的交易。

鎖卡和鎖應用承載在cdma2000 1x或EV DO上，cdma2000 1x采用的是CAVE算法，EV DO采用的是MD5算法。RF-UIM卡操作執行鑒權計算和產生密鑰，如圖2所示。

RF-UIM卡存儲IMSI_M和IMSI_T參數，這兩個參數的低10位數分別編碼為34 bit的兩個子參數IMSI_M_S和IMSI_T_S。這兩個參數的低 7位再編碼為 24 bit的IMSI_M_S1和 IMSI_T_S1,第 8～10位編碼為 8 bit的IMSI_M_S2和IMSI_T_S2。大多數應用的鑒權計算都使用IMSI_M_S1、IMSI_T_S1、IMSI_M_S2 和 IMSI_T_S2。這些計算中使用的IMSI在RF-UIM卡插入手機時確定。命令Get Response使RF-UIM卡將輸出參數AUTHR或AUTHU傳遞給手機。臨時參數可以存儲在RF-UIM卡上，以用于密鑰計算。密鑰的計算由Generate Key/VPM操作執行，如圖3所示。Generate Key/VPM操作用于處理在Run CAVE操作的鑒權計算中產生的臨時參數。由密鑰生成/VPM操作產生的密鑰，有些直接用于手機加密，有些則在手機中進一步處理用于ECMEA和ECMEA_NF加密功能。

RF-UIM卡由于支持卡片鎖定和應用鎖定/解鎖功能，手機刷卡應用商可以根據要求設定密鑰嘗試次數，超過次數限制，則RF-UIM卡鎖定或者加載應用鎖定。RF-UIM卡支持密鑰專用，不同的應用可以設定不同的密鑰，從而使攻擊者不容易得手。

（2）OTA 密鑰更新

如果用戶對錢包或手機存折設置了密鑰，對于有OTA的地區，可以通過OTA直接進行RF-UIM卡應用的密鑰更新。對于無OTA的地區，可以利用電信營業廳的POS機進行應用的密鑰更新。

由于RF-UIM卡原有電信應用和錢包應用區間是相互隔離的，因此，密鑰的改動不會影響到原有通信功能的使用。OTA短信下發的命令格式如圖4所示。

（3）射頻接口的安全交互

由于RF-UIM卡和POS間通過射頻信號傳遞數據，客觀上增加了入侵的風險，目前在RF-UIM卡上建立操作菜單，通過RF-UIM卡菜單的操作進行參數的傳遞，采用如下方案可減少直接操作RF-UIM卡內部的額外風險。

·序列號加擾：除原有認證外，設備中增加第二重認證，如綁定RF-UIM卡的出廠序列號，因為被破解的是扇區的密碼，RF-UIM卡本身并沒有被破解，因此可以將扇區內的數據和序列號做關聯，并且采用一定的算法來干擾直接讀出序列號。

·扇區加擾：增加第三重加密，扇區內數據和序列號+扇區關聯，并采用一定的算法來干擾直接讀出序列號+扇區。

·動態加擾：增加第四重加密，扇區內的數據和隨機數關聯，并且采用一定的算法來自動生成隨機數，隨機數的范圍越大，被破解的可能性就越小。射頻接口交互的流程如圖5所示。

由芯片操作系統COS保證了RF-UIM卡上數據的完整性。當寫操作或其交易過程異常中斷時，COS負責恢復異常的數據，使交易過程不會出現不確定的中間狀態，大大簡化了交易終端的異常處理程序，統一交易終端的交易處理流程。卡內CPU具有使用對稱或非對稱算法對交易數據進行簽名（TAC）的功能，終端或通道無法偽造出交易數據的數字簽名，因此無法偽造交易數據。同時通過2.4 GHz射頻的功率控制，進行距離有效性控制，這點由于涉及更多復雜的原理，另文敘述。

4 結束語

從上文分析可知，cdma2000 1x、EV DO網絡和支付平臺的密鑰產生機制和認證協議仍有一定的安全隱患，就算是3G通信系統，仍然存在一定的安全缺陷，如沒有建立公鑰密碼體制和難以實現用戶數字簽名。本文解決方案包括：采用CPU的RF-UIM卡，增強運算能力，加強密鑰等的安全算法能力；采用靈活的安全算法，用戶可以根據需要設置不同的算法和密鑰，可實現更好的兼容性和功能擴展性；針對移動通信系統和CPU卡支付系統的各自特點，進行能力互補，利用通信網元的各種能力，增強了原有IC卡的安全性。

上海電信手機刷卡安全將從以下幾個方面加以發展和完善。

·建立適合未來移動通信系統的安全體系結構模型：比如，在網絡安全體系結構模型中，應能體現近場RFID網絡的安全需求分析和實現的安全目標等。

·由對等私鑰密碼體制向混合密碼體制的轉變：在未來移動通信系統中，將針對不同的安全特征與服務，采用私鑰密碼和公鑰密碼混合的體制，實現RF-UIM卡和POS的雙向認證。

·安全體系向透明化發展：未來的RF-UIM卡密鑰管理中心應能獨立于系統設備，具有開放的接口，能獨立地完成雙向鑒權、端到端數據加密等安全功能，甚至對網絡內部人員也是透明的。

·新密碼技術的廣泛應用：隨著密碼學的發展以及移動終端處理能力的提高，新的密碼技術如量子密碼技術、橢圓曲線密碼技術、生物識別技術等將在手機刷卡系統中獲得廣泛應用，加密算法和認證算法自身的抗攻擊能力將更強健，從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。

·手機刷卡的安全措施更加體現面向用戶的理念：用戶能自己選擇保密級別，安全參數既可由網絡默認，也可由用戶個性化設定。

1 ISO/IEC 18092.Information technology-telecommunications and information exchange between systems-near field communicationinterface and protocol(NFCIP-1)，2004

2 ISO/IEC 21481.Information technology-telecommunications and information exchange between systems-near field communication interface and protocol-2(NFCIP-2)，2005

3 Qualcomm CDMA 1x RTT security overview，2002

4 3GPP TS33.102 V4.2.0.Security architecture，2001

5 3GPP TS33.902 V4.2.0.Formal analysis of 3G authentication protocol，2001

6 Implementation of authentication and encryption in DMSS by QCT software team of qualcomm，2001

7 辛偉.cdma2000系統的安全機制.電信網技術，2003(8)

8 杜詩武，王志遠，劉彩霞等.cdma2000 1x系統中的實體認證及其實現.電訊技術，2005(4)

9 石亦欣，李蔚.NFC芯片與SIM卡連接的方案研究.中國集成電路，2007(7)

Research of Security and Authentication System for e Surfing Payment Based on 2.4 GHz Carrier Wave

Li Feng1，Chen Xiaoqin2，Qian Shoulian1
（1.Shanghai Research Institute of China Telecom Co.，Ltd.，Shanghai 200122，China；2.Shanghai Branch of China Telecom Co.，Ltd.，Shanghai 200041，China）

Based on an experiment 2.4 GHz NFC（near field communication）payment service of Shanghai Telecom Corporation，the paper presents a new method of more secret and managed to build a framework of authentication application system on the basis of existed communication network，terminal mechanism and security protocol.As for a payment security model in the complex changeful network setting，the method can satisfy the level of payment security and support the load of the improved mobile phone payment system，and provide use for reference of 2.4 GHz mobile phone payment application.

security and authentication，2.4 GHz NFC，e surfing payment，multiplication UIM card

2010-07-06）