基于密鑰管理的移動支付安全解決方案

黃美璇

（黎明職業大學信息與電子工程學院，福建泉州 362000）

基于密鑰管理的移動支付安全解決方案

黃美璇

（黎明職業大學信息與電子工程學院，福建泉州 362000）

通過分析目前移動支付存在的安全問題，就移動終端本身來考慮，提出基于密鑰管理的移動支付安全解決方案，即采用手機與密鑰分離技術。這將會大大提高移動支付的安全性。

移動支付；密鑰管理；解決方案；安全性

0 引言

隨著移動支付方式的日新月異，支付應用成為人們生活中不可或缺的一部分。移動支付帶給人們方便的同時，其安全問題也日趨凸顯。無論是Android系統還是ios系統，只要手機安裝任何一個應用，都有可能采集到用戶諸多信息，致使用戶個人隱私泄露。可見在這樣的手機環境里完成移動支付，存在安全風險。[1]

本文擬通過詳細分析目前移動支付存在的安全問題，從移動終端本身角度，提出基于密鑰管理的移動支付安全解決方案。

1移動支付安全問題

1.1 密鑰安全問題

在移動支付系統中，“用戶名+密碼”這種方式存在簡單、靜態等缺點，即使組合多位的數字和字母，也已經不能滿足移動支付的安全要求。[2]目前普遍采用“用戶名+密碼+密鑰”的方式來完成移動支付。新增加的這個“密鑰”是銀行發放的數字證書或者帶有顯示屏的六到八位的動態令牌。

早期數字證書是保存在計算機里的，這樣一旦黑客入侵計算機，就可以轉移用戶資金。現在數字證書保存在一個獨立的U盾里，使“密鑰”和計算機分離，而且U盾的操作系統是專有的，難以破解，從而提高了移動支付的安全系數。可見“密鑰”與計算機分離是進行移動支付的最基本要求。

動態令牌的工作原理是根據密碼算法隨機生成一個數字組合，一個密碼只能使用一次，是一種安全便捷的帳號防盜技術，可以有效保護交易和登錄的認證安全，在密碼認證環節中保證安全。[3]

手機令牌，類似短信動態令牌，是一種手機客戶端軟件。服務器端基于時間同步方式，每隔60秒產生一個隨機6位動態密碼，并通過短信發送。動態密碼有一定的存活時間，超過存活周期，即使黑客竊取到動態密碼，也無法進行身份認證。

用短信傳遞動態密碼，存在可達性和安全性問題。據統計，短信的到達率在95%左右，有時還會發生延遲、丟失等現象。短信在傳遞過程中雖加密報文，但依然容易被攔截且破解，所以短信一般不用作關鍵信息的傳遞。可見，動態令牌應是一個獨立于任何設備的硬件，如專業設備U盾。動態令牌一旦開始工作，在使用過程中將不會再與服務器發生通訊，黑客不可能空中截取。通過比對動態令牌和認證服務器各自單獨運算的結果是否相符來確認用戶身份，如圖1所示。

無論是在計算機端完成支付，還是在手機端完成移動支付，都必須確保“密鑰”保存在一個獨立、專有的地方，以保證“密鑰”絕對安全。也就是說無論是數字證書，還是動態令牌，都應該保證在移動支付過程中“密鑰”始終“獨立”。可目前多數的解決方案在這方面都有所欠缺。[4]

1.2 手機安全問題

移動互聯時代，智能手機在人們的日常生活中應用非常廣泛，移動支付就是其主要功能之一。不法分子會通過各種病毒對移動支付進行攻擊。手機不像計算機可通過防火墻進行保護，一旦被病毒入侵，手機用戶往往蒙受巨大損失。雖然市面上有百度手機衛士、360手機衛士、騰訊手機管家等軟件，但在手機遇到攻擊時，這些軟件也沒有表現出足夠的安全防御功能。用戶利用智能手機進行移動支付，往往沒有安全保障。

圖1 手機令牌與認證服務器密碼比對過程圖

綜上所述，移動支付安全方面還存在諸多問題，需要建立統一完善的規范和標準[5]。本文就移動終端本身來考慮，從“密鑰分發”這一環節出發，提出基于密鑰管理的移動支付安全解決方案。

2 基于密鑰管理的移動支付安全解決方案

目前移動支付存在的安全問題較多，密鑰安全是首要問題，即必須有統一的密鑰發放和管理機制。[6]移動終端的支付安全解決方案具體如下文所述。

2.1 使用NFC近距離通信[7]

NFC，即近距離無線通信技術。是一種無接觸式射頻識別技術，可以在移動設備與電子設備之間進行近距離無線通信。NFC技術以其傳輸距離短、連接速度快、安全性好等優點迅速得到用戶的喜愛。NFC目前的工作頻段有13.56M和2.4G兩種。

無接觸式移動支付技術RF-SIM移動支付方案已被業內廣泛認可。RF-SIM工作原理是將RF的芯片嵌入標準的SIM卡中，RF-SIM卡既不影響SIM卡的原有功能，又能通過射頻模塊完成各種移動支付，并擴展至非典型領域，尤其是手機支付和身份認證功能。[8]該方案的特點是射頻單元直接集成到SIM卡上，用戶無需更換手機。密鑰保存在獨立的電子錢包存儲器里，黑客要想破解SIM卡需具備專有的編譯器，密鑰保存安全系數高。

2.2 借助外接設備來保存密鑰[9]

借助外接設備來保存密鑰的方式有三種。第一種是刷卡器式；第二種是手機貼片式；第三種是在手機的SD卡中保存密鑰。

2.2.1 刷卡器式

刷卡器通過耳機插頭與智能手機連接使用，手機只需安裝客戶端即可完成移動支付。密鑰可以保存在卡槽設備里。用戶在整個業務操作過程中無需使用刷卡器，僅在最后選擇銀行卡支付時，才將刷卡器插入手機耳機插孔，完成刷卡支付。整個過程除了最后刷卡支付外，其他時間卡槽和手機終端都處于分離狀態，即保證了密鑰和手機終端分離，從而確保了密鑰的安全。

2.2.2 手機貼片式

在原來的SIM卡基礎上新增一塊芯片，這是一塊獨立于SIM卡的智能芯片，與SIM卡可以合二為一插入原來的SIM卡槽。手機貼片式，由于采用符合金融應用標準的智能芯片，安全性很高，用戶可以直接通過菜單操作完成移動支付。智能芯片與手機分離，密鑰保存在芯片里。芯片的激活機制需要通過POS機非常復雜且專業的流程實現。所以，手機貼片式的密鑰保存絕對安全。

2.2.3 SD卡模式

SD卡模式，即密鑰置于SD卡中。用戶不需改變手機本身的硬件設計，只要安裝保存在SD卡中的客戶端程序，并開卡激活，即可完成移動支付。

此外，計算機完成支付的安全保障技術已經非常成熟，用戶其實可以先在計算機上完成從銀行賬戶到支付寶的關聯以及轉賬，然后通過計算機與手機一致的支付寶賬戶完成移動支付。手機不直接關聯銀行卡，而是通過支付寶賬戶做緩沖，這樣可以把用戶銀行卡所有資金的風險降低到只是支付寶移動端賬戶的風險。

3 結論

本文詳細分析了目前移動支付存在的安全問題，就移動終端本身來考慮，從“密鑰分發”這一環節出發，提出基于密鑰管理的移動支付安全解決方案，即使用NFC近距離通信和借助外接設備來保存密鑰。此外還可通過計算機完成支付來降低風險。解決方案明確提出手機與密鑰分離技術，從而保證移動支付的安全性。

參考文獻：

［1］黃曉芳，周亞建，賴欣，等.基于第三方的安全移動支付方案［J］.計算機工程，2010，36（18）：158-159，162.

［2］王淵，楊婧.一種基于SD卡的口令認證密鑰協商方案［J］.信息安全與通信保密，2014（10）：88-92.

［3］石余發.網格Portal安全技術研究［D］.南京：南京理工大學，2013.

［4］李曦，胡漢平.一種安全的移動支付方法［J］.計算機應用研究，2008，25（5）：1546-1549.

［5］楊晨，楊建軍.移動支付安全保障技術體系研究［J］.信息技術與標準化，2010，7：17-20.

［6］黃澤龍，張文安，謝云.移動支付密鑰體系研究［J］.電信科學，2011（6）：21-27.

［7］郭先會，陳丹.基于NFC的移動支付安全解決方案研究與應用［J］.數據通信，2014（10）：15-18.

［8］李頡.RFID-SIM技術在手機支付中應用的研究［D］.北京：北京郵電大學，2010.

［9］微信開發.微時代微信咨詢網［EB/OL］.（2014-06-07）［2016-11-10］.http：//www.wechatstyle.com/weixinkaifa/.

［1］JTGE20—2011，公路工程瀝青及瀝青混合料試驗規程［S］.北京：人民交通出版社，2011.

［2］JTGE42—2005，公路工程集料試驗規程［S］.北京：人民交通出版社，2005.

Abstract：Based on the Dezhou-Shangqiu highway project，the author aims to design the ratio of Large-stone Porous Asphalt Mixes（LSPM-30）through the comprehensivesanalysisontheexperimentaldata，accordingto which，it turns out that the flexible surface of the road of LSPM-30 can meet the requirements，and it can be used in the operation of the road construction.

Key words：Large-stone；Porous；Asphalt Mixes；mixture ratio

Mobile payment security solution based on key management

HUANG Mei-xuan

（Electrical and Mechanical Engineering College,Liming University,Fujian Quanzhou 362000,China）

By the detailed analysis of the current security problems of mobile payment,considered on the mobile terminal itself,the author proposes the mobile payment security solution based on key management.That is the technology of mobile phone and key separation.This will be greatly ensure the security of mobile payment.

Mobile payment;Key management;Solution; Security

On the Large-stone Porous Asphalt Mixes（LSPM）Ratio Design

YAO Yong-sheng1，WANG Xiao-liang2

（1.China Railway eleven Bureau Group Second Engineering Co.，Ltd.，Hubei Shiyan 442000，China；2.Hebei Software Institute，Hebei Baoding 071000，China）

TP311.1

A

1673-2022（2017）01-0070-03

表6 瀝青混合料動穩定度試驗結果

測定值（次/mm）平均值（次/mm）技術要求（次/mm）3 498 3 405≥2 600 3 351 3 365

5 結語

2016－11－25

黎明職業大學2014年規劃項目（LZ2014102）

黃美璇（1982-），福建晉江人，講師，碩士，研究方向為計算機科學技術。

通過對德商高速公路路面聊城施工段大粒徑透水瀝青混合料（LSPM-30）配合比的設計，根據析漏試驗和飛散試驗結果，考慮大粒徑透水性瀝青混合料的水穩定性與耐久性好，確定了最佳瀝青用量，從馬歇爾穩定度和車轍試驗結果可以看出，在該瀝青用量下混合料耐久性較好，具有較強的抗車轍變形能力，可用于柔性基層施工。