互聯(lián)網(wǎng)金融發(fā)展背景下u盾等網(wǎng)絡(luò)支付硬件的設(shè)計方法與策略

徐丞

摘 要：互聯(lián)網(wǎng)金融基于網(wǎng)絡(luò)用戶的心理特征，消費水平，典型需求開發(fā)了一系列全新的金融與配套服務(wù)產(chǎn)品，因此它對支付安全和資金保障方面提出更高的要求。在這種背景下，傳統(tǒng)的靜態(tài)電子口令卡，手機(jī)驗證碼，短信銀行，電話銀行等遠(yuǎn)程驗證模式已經(jīng)很難適應(yīng)互聯(lián)網(wǎng)金融發(fā)展的需求以及犯罪分子日益提升的破解技術(shù)，因此需求一種更為高級和安全的網(wǎng)絡(luò)支付保障方式就成為了廣大互聯(lián)網(wǎng)用戶的共同需求。

關(guān)鍵詞：互聯(lián)網(wǎng)金融；u盾設(shè)計；網(wǎng)絡(luò)支付

1 互聯(lián)網(wǎng)金融時代發(fā)展u盾等支付硬件工具的必要性

互聯(lián)網(wǎng)金融是指以依托于支付、云計算、社交網(wǎng)絡(luò)以及搜索引擎等互聯(lián)網(wǎng)工具，實現(xiàn)資金融通、支付和信息中介等業(yè)務(wù)的一種新興金融。所謂的互聯(lián)網(wǎng)金融產(chǎn)品并非像我們理解的那樣，只是簡單將商業(yè)銀行的傳統(tǒng)金融業(yè)務(wù)搬到網(wǎng)絡(luò)上。相反，互聯(lián)網(wǎng)金融基于網(wǎng)絡(luò)用戶的心理特征，消費水平，典型需求開發(fā)了一系列全新的金融與配套服務(wù)產(chǎn)品，因此它對支付安全和資金保障方面提出更高的要求。在這種背景下，傳統(tǒng)的靜態(tài)電子口令卡，手機(jī)驗證碼，短信銀行，電話銀行等遠(yuǎn)程驗證模式已經(jīng)很難適應(yīng)互聯(lián)網(wǎng)金融發(fā)展的需求以及犯罪分子日益提升的破解技術(shù)，因此需求一種更為高級和安全的網(wǎng)絡(luò)支付保障方式就成為了廣大互聯(lián)網(wǎng)用戶的共同需求。由此，以u盾為代表的新一代互聯(lián)網(wǎng)支付安全保障硬件就進(jìn)入了人們的視野，并成為當(dāng)下計算機(jī)及金融安全領(lǐng)域研究的最熱門話題。

2 u盾作為網(wǎng)絡(luò)支付安全工具的原理概述

U盾，它的前身是工商銀行在2004面向資金安全防護(hù)首創(chuàng)的客戶證書也就是我們通常所說的USB-key。U盾的外形小巧，便于攜帶，從外觀上看類似于一個U盤，其名稱也是因此而得名。它的內(nèi)部安裝了一個微型智能卡處理器，利用國際通用的PKI技術(shù)架構(gòu)，借助最新的1024位非對稱密加密算法對用戶使用互聯(lián)網(wǎng)金融產(chǎn)品過程中所產(chǎn)生的數(shù)據(jù)內(nèi)容進(jìn)行編譯，以保證交易的唯一性與安全性。U盾的硬件部分由CPU及加密邏輯、RAM、ROM、EEPROM和I/O五部分組成，麻雀雖小五臟俱全。同時它的內(nèi)部還帶有智能芯片管理系統(tǒng)，就如同我們使用的各種電腦操作系統(tǒng)，為防止U盾的內(nèi)部存儲數(shù)據(jù)泄露提供了另一道保護(hù)的屏障，即便U盾本身丟失，也不會對用戶的資金安全產(chǎn)生威脅。

3 適用于互聯(lián)網(wǎng)安全防護(hù)的U盾安全保護(hù)機(jī)制

3.1 U盾內(nèi)置硬件PIN碼

和余額寶目前國內(nèi)等主流互聯(lián)網(wǎng)金融平臺所采用的軟件數(shù)字證書不同，U盾不是通過安裝在用戶計算機(jī)系統(tǒng)上來監(jiān)控交易數(shù)據(jù)的安全，相反，它是借助內(nèi)置的物理芯片以存儲硬件PIN碼，然后再生成獨一無二的用戶數(shù)字證書。在這種設(shè)計思路下，不法分子必須先拿到用戶的U盾實物，并在同一時間想方設(shè)法獲得PIN碼才可以通過安全程序的認(rèn)證。由于實物硬件和密碼同時發(fā)生丟失的可能性極小，因此U盾為互聯(lián)網(wǎng)金融產(chǎn)品的使用提供了更高一級的安全防護(hù)。

3.2 對密鑰存儲機(jī)制加以改進(jìn)

秘鑰是使用和破解U盾的關(guān)鍵環(huán)節(jié)，而傳統(tǒng)密鑰是存儲在我們的硬盤等電腦硬件記憶體內(nèi)，非常容易就能被外界所讀取。相反，U盾的秘鑰只能存儲與內(nèi)部智能芯片里面，黑客沒有途徑利用外部資源獲取信息，而任何涉及到對密鑰文件的計算機(jī)指令無一例外都一定要通過U盾內(nèi)部的芯片微處理器來運(yùn)算并執(zhí)行。

3.3 多重密鑰生成策略

為了保證資金安全的萬無一失，目前國內(nèi)外面向互聯(lián)網(wǎng)金融應(yīng)用所研發(fā)的最新U盾產(chǎn)品都采用多重秘鑰生成機(jī)制。在U盾出廠剛剛被激活的那一刻，生產(chǎn)者通過專業(yè)設(shè)備將獨一無二的算法程序?qū)懭氲絉OM里，由于無法擦除或重復(fù)寫入，因此這一過程是不可逆的。到了用戶手中后，再借由公私密鑰配對的機(jī)理來產(chǎn)生一對公私密鑰。這一策略運(yùn)行用戶將公鑰導(dǎo)出，同時規(guī)定不管如何私鑰都必須存儲在硬件的密鑰區(qū)內(nèi)，并拒絕外部發(fā)起的任何訪問。當(dāng)碰到用戶在授權(quán)電腦上按照既定程序使用數(shù)字簽名進(jìn)行解密的情形，這一過程只需要在芯片內(nèi)部就能完成，因此保證了用戶的私鑰不離開U盾的硬件介質(zhì)，以確保U盾能夠滿足互聯(lián)網(wǎng)金融的各種復(fù)雜交易需求，保障用戶資金安全。

4 U盾產(chǎn)品應(yīng)用的優(yōu)化設(shè)計策略

4.1 建立主動式算法響應(yīng)模式

在進(jìn)行U盾產(chǎn)品設(shè)計的時候，可以考慮在U盾硬件內(nèi)部引入單向散列算法（RSA），也就是USB Key和服務(wù)器的響應(yīng)中過程中另外設(shè)置一個驗證用戶身份真實性的程序，并利用他來檢驗、匹配密鑰。如果服務(wù)器收到遠(yuǎn)程計算機(jī)發(fā)起的訪問請求，必須要求客戶端發(fā)送相應(yīng)的字符串，經(jīng)由驗證比對后才能將結(jié)果回傳U盾。與此同時，服務(wù)器使用該隨機(jī)數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行RSA運(yùn)算，如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個合法用戶。

4.2 基于PKI的數(shù)字證書的認(rèn)證模式

PKI（Public Key Infrastructure）即公共密鑰體系，即利用一對互相匹配的密鑰進(jìn)行加密、解密。一個公共密鑰（公鑰，public key）和一個私有密鑰（私鑰，private key）。公鑰可以廣泛地發(fā)給與自己有關(guān)的通信者，私鑰則需要十分安全地存放起來。每個用戶擁有一個僅為本人所掌握的私鑰，用它進(jìn)行解密和簽名；同時擁有一個公鑰用于文件發(fā)送時加密。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達(dá)目的地了，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。

5 結(jié)語

互聯(lián)網(wǎng)金融的發(fā)展把網(wǎng)絡(luò)資金與交易安全的研究推到了前所未有的高度，面對日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境以及犯罪分子層出不窮的作案手段，我們只有強(qiáng)化以U盾為代表的新一代互聯(lián)網(wǎng)安全硬件的研究，嘗試提出創(chuàng)新型的設(shè)計方法與策略，才能真正為用戶的資金安全保駕護(hù)航。

[參考文獻(xiàn)]

[1]許瑞.網(wǎng)絡(luò)金融安全與風(fēng)險控制研究[J].商業(yè)時代.2012（06）.

[2]趙艷.絡(luò)金融監(jiān)管的難點及對策探究[J].學(xué)理論.2011（01）.

[3]熊建宇.網(wǎng)絡(luò)金融的特點及安全體系構(gòu)建[J].科技信息.2010（31）.