未来智讯 > 移动支付论文 > 基于可信计算的移动支付平安终端解决方案

基于可信计算的移动支付平安终端解决方案

发布时间:2018-11-29 01:06:01 文章来源:未来智讯    
    基于可信计算的移动支付平安终端解决方案作者:未知   摘 要:本文从体系结构、软件平安、认证平安等三个方面构建基于可信计算的移动支付平安终端解决方案,为手机用户实现平安移动支付创造条件。  关 键 词:MTM;可信计算;移动支付
  随着互联网技能和移动通讯技能的发展,尤其是3G业务的推出,使得移动终端(如手机、PDA等)作为支付手段日益成为一种新的趋势。09年11月10日,支付宝手机支付服务宣布正式推出。但伴随着计算和存储资源的不时丰富, PC计算平台的平安威胁正悄悄发生在移动智能平台上,如手机病毒的出现,丢失或被窃的情况日益严重等,严重影响了移动支付的平安与应用,进而对电子商务的进一步发展变成了障碍,构建平安的移动支付解决方案成为当前的研讨重点之一。
  1 可信计算与MTM(Mobile Trusted Module)
  1.1 可信计算
  1999 年10月,由几大IT巨头Compaq、HP、IBM、Intel 和Microsoft 牵头组织了可信计算平台联盟TCPA ( Trusted Comp uting Platform Alliance) ,该组织致力于研制具有平安、信任能力的硬件运算平台,主要解决PC 机结构上的不平安,从基础上提高其可信性。
  2003年3月TCPA 改组为TCG ( Trusted Comp uting Group) ,同年10月发布了TPM 主规范(v1.2)。TCG包括更多的公司和研讨机构,它的研讨并不再局限于PC 平台上,而是扩展到各种通用的计算平台,包括各种手 持设备、PDA 和服务器等等。
  1.2 可信计算平台TMP与可信计算模块MTM
  2004年10月,TCG发布了专门针对移动设备平安的可信移动平台TMP(Trusted Mobile Platform)规范v1.0.0,由于“移动设备在电源、内存,和价格等方面受到比桌面平台更严格的限制,如今的TPM设计没有全面考虑这些因素”,TMP从体制长进行了加强。
  2006年9月,TCG公布了最新的移动可信模块规范(mobiletrustedmodule,MTM) 。它是以TPM 为基础,适应移动设备特点进行批改和定义的。
  2 基于可信计算的移动支付平安终端解决方案
  本文将从体系结构、软件平安、认证平安等三个方面构建基于可信计算的移动支付平安终端解决方案。
  2.1基于MTM的手机平安体系结构
  联合TMP 项目提出的移动平台体系结构,基于MTM规范提出的可信移动平台体系结构。可信移动平台选取双处理器体系结构,包括通讯处理器和应用处理器,通讯处理器在具有一定平安性的移动通讯网络中进行事务,因此平安问题较小,而应用处理器具有同PC 机相似的平安威胁。通过有效的平安机制将两个处理器分开,变成两个隔离区域,容易实现平安防护。
  2.2 移动终端的软件行为抑制策略
  可信移动平台规范中指出访问抑制策略的制订基于两个基本原则:责任分离和最小特权[3]。只允许经认证和授权的主体(用户、进程或服务等)访问资源,从而使需要保护的资源在合法范围内被使用,不同的主体具有不同的访问权限。
  基于可信计算的软件行为抑制重点从以下两个方面对移动设备进行平安保护:
  1)访问设备中存储的数据:手机存储卡能够存储大量数据,根据使用者具有的权限等级确定能够访问的数据。这些数据包括应用程序本身的文件。
  2)访问设备的各种硬件功能:手机本身提供了不少应勤奋能,如最基本的拨号等。根据应用程序的权限等级确定能够访问的硬件功能,以防止不必要的丧失。
  过程从两个方面限制了程序的运行:
  1)程序必须在MTM上注册过,才能访问智能平台的各种设备和使用智能平台的各种功能。
  2)程序的数字签名必须和它注册时的数字签名一致。如果病毒感染程序文件后,该程序的数字签名验证就不会被通过,当然也不会被允许运行。
  2.3 基于可信计算的移动终端用户身份认证方案
  本方案引入可信计算的思维,利用SIM卡上的ECC密码算法[4]进行数据加密传输,通过域隔离技能与访问抑制技能实现移动终端的双向身份认证,用户拥有口令PW(Password)和SIM卡;SIM卡用来检验移动平台的完整性与有效性,相关认证参数x与y,这两个参数是由发卡中心在发卡前绑定于卡上;TPM存储TPM的私钥SK,与B R的共享密钥KBR,在PCR中存储TMP各部件的完整性度量值,从而更好地提高移动终端的平安性和保密性。可信移动终端结构如图1所示。
  图1 可信移动终端结构图
  2.4 基于可分离加密SD卡的平安移动支付策略
  本文提出通过机卡分离的加密SD卡,来实现硬件加密,解决手机移动支付的密码平安问题。此加密SD卡的功能非常于网上银行的U盾,用以建立基于公钥(PKI)技能的个人证书认证体系,客户证书通过个人证书认证和数字签名技能,对客户的手机银行账户上的交易实施身份认证,并且能够签署各种业务服务协议,确保了交易和协议的唯一、完整和不可否认。通过在手机银行网站下载个人客户证书,只要手机不丢失,即使别人破解了银行账户密码,也无法实现资金交易。为了避免手机丢失带来平安风险,必须采取SD卡与手机分开放置的策略,需要支付时再插卡使用。
  3 结论
  本文构建了基于MTM的移动终端平安体系结构,提出了移动终端软件行为抑制策略,提出了基于可信计算的移动终端用户身份认证方案,提出了利用加密SD卡实现移动支付身份认证实现支付平安,构建了基于可信计算的移动支付平安终端解决方案,削减了密码被窃取或移动终端设备丢失给移动支付带来的平安风险。本方案在平安本能上较以往有所提高,随着可信计算思维的推广及对移动支付平安本能的要求,本方案是故意义和可行的。
  参考文献:
  [1]孙勇,汪涛,杨义.先基于信任区和可信计算技能的移动钱包系统. 计算机工程, 2007年第7期.
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1129/48545/
 与本篇相关的热门内容: