未来智讯 > 移动支付论文 > 移动支付生态圈平安技能研讨

移动支付生态圈平安技能研讨

发布时间:2018-12-10 01:06:01 文章来源:未来智讯    
    移动支付生态圈平安技能研讨作者: 毛梅君   【 摘 要 】 简要阐述物联网技能以及基于此的移动支付系统架构,指出移动支付是物联网时代的跨行业典型行业应用。接着研讨移动支付发展是关键——平安技能。主要研讨了WPKI技能、WPKI使用的数字签名、ECC算法加密技能和X.509v3标准。最终建议对用户隐私与信息平安充分重视,才能真正让基于物联网的移动支付繁荣。
  【 关键词 】 移动支付生态圈;物联网;PKI;WPKI;ECC;CA;RA;RFID;平安
  1 引言
  1.1 物联网
  1.2 基于物联网的移动支付系统架构
  移动终端由于便捷、使用习惯等成为支付工具的主要手段。移动支付是物联网的一个跨行业的典型应用。支付系统分为近场移动支付、远程移动支付和平安子系统。移动支付系统以账户体系为核心,由移动终端/智能卡、远程支付客户端、近场支付客户端、支付接入、交易、账户体系、清/结算 、支付内容平台、商户管理平台、支付支撑等局部组成。近场支付子系统包含NFC 等RFID 物联网技能,处于物联网的传感层。远程移动支付系统分辨选取文件分布、网格技能等,分辨实现移动网络传输、平安和行业支付应勤奋能,处于物联网的网络层和应用层。
  2 移动支付平安技能
  2.1 WPKI
  2.1.1 WPKI 平安架构
  PKI(Public Key Infrastructure)利用非对称密码和数字证书技能成为有线商务领域的身份认证和访问抑制的技能。但在无线环境中,PKI 无法实现有线设备和无线设备的互联。基于PKI 技能变成的 WPKI(Wireless Public Key Infrastructure)技能,是将互联网电子商务中PKI 平安机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,能够建立相对平安的无线网络环境。WPKI 选取WAP(Wireless Application Protocol)作为实现的平安机制。WAP 的 平安架构由WTLS ( 无线传输层平安协议)、WML Script ( 无线标记语言脚本)、WIM( 无线个人身份模块)和WPKI( 无线公钥基础设施) 四局部组成。
  WTLS 作用是保证传输层的平安。WTLS 是在 TLS 的 基础上加以改进来适应无线环境,它以加密技能为关键。WTLS 能够提供3种类别的平安服务,且平安级别逐级升高,握手过程中,根据实际应用需要,由客户端与服务端确定平安服务等级。
  WMLSCRIPT 的作用是保证动态身份验证。WTLS 对用户身份的验证是霎时的,不是整个支付过程。WTLS SCRIPT 提供了Crypto.Sign Text 函数实现动态验证。
  WIM 的作用是利用智能卡内电路与移动终端设备进行交互,如响应与发出请求,同时存储用户证书、密钥对及相应算法等信息。
  WPKI 是平安架构的基础设施平台,其基本作用是支撑一切基于身份验证的应用,它与WTLS、WML SCRIPT 联合,实现身份认证、私钥签名等功能。它包含了终端实体(EE)、认证中心(CA)、注册审批机构(RA)、证书发布目录器(LDAP)、内容服务器(包含证书库、密钥备份等)、WAP 网关。下文讲述WPKI 证书的签发和平安连接。其中1、2、3、4、5是证书签发,6、7、8、9是WAP 平安连接。
  (1) 用户向RA 提交证书申请;(2 )RA 对用户申请进行审查,合格后回给CA;(3) CA 生成一对密钥与制作证书,将证书交给RA;(4)CA 同时将证书发布到证书目录中供查询;(5) 保存用户证书,每一份证书配一份证书URL, 该 URL 发送给移动终端;(6) 有线网络服务器下载证书列表备用; (7) 移动终端和WAP 网关利用CA 颁发的证书建立平安连接;(8)WAP 网关与有线网络服务器建立SSL 连接;(9) 移动终端和有线网络服务器实现平安信息传送。
  2.1.2 数字签名
  WPKI 的核心是数字证书。CA(Certification Authority)是证书的第三方签发机构,保证交易的公正、可信任。该组织作用是将公钥与一个用户绑定,并将它们身份与公钥匹配关系进行认证。证书中包含持有者身份信息、属于他的公钥、有效期、CA 身份 、以上信息数字签名等。
  1996年ISO IEC/ITU 和ANSI X9 开发了X.509v3。WPKI 选取该标准协议进行身份的认证。X.509 v3定义了公钥证书的标准项和扩展项。 公钥证书包含版本号、序列号、签发者唯一标志名、中请者唯一标志名和公钥、证书有效期和扩展项,CA 对上述文件进行签名。 X. 509 v3允许使用扩展项给证书增加附加信息。扩展项包含二个域:type criticality 和value。扩展项关键标志是一比特标志位,用来证明该扩展项是否允许被应用忽略,如果应用不能解析该标志位是关键的扩展项,该应用就不能使用该份证书。3V3版本主要增加了扩展项。
  2.1.3 基于ECC 算法的加密技能
  1985年,Victor Miller和 N. Koblitz 分辨独立地提出了将椭圆曲线上点的聚集应用于EIGamal 体制中的ECC (Curve Cryptography )算法。与技能己经成熟的RSA, DSA 算法相比,ECC 算法的加解密和签名都是点加运算,速度远远高于RSA 和DSA 中的模幂运算。表1列举了相关算法的对照。
  ECC 算法是将有限域中的椭圆曲线问题应用于加/ 解密的密码算法,特点是计算速度快,硬件要求低,故较符合移动支付系统选取的移动终端设备。ECC 算法有限域是包含有限元素的域,域中包含二元运算+和 X, 并且满足下列性质: 域中元素是基于+ 的阿贝尔群; 域中除去0之外的元素是基于X 的阿贝尔群; 对于域中任何三个元素x, y, z 有下面等式:xx(y +z)=(x x y)+(x x z);(x +y)x z=(x x z)+(y x z)成立。 假如q 是任意素数,Fq 是有限域,大多数ECC 算法标准都是基于有限域Fq , q 为素数。ECC 公钥密码建立主要有体制建立、密钥生成、ECC 加密与签名。   针对移动支付的应用,ECC 算法流程简要如下:
  (1)桥CA 体制建立与密钥生成
  最初采用一个基本有限域Fq, 其中q 本身能够是一个素数或者q =2 m,m 为素数。然后在Fq 上采用一条椭圆曲线 E, 使其阶为一个大素数或者一个大素数与一个小整数的乘积。采用E 上任意一点P, 公开有限域Fq、 曲线E、 点P 和 阶 n 这些信息。ECC 算法的密钥生成是一个统一过程,无论是应用系统的终端用户还是服务器端用户,桥CA 随机采用 dbr∈ {1.n-1},计算 Q br=dbr p,将Qbr 公布为自己的签名公钥,dbr 保存为自己的签名私钥。为了保证平安性,桥CA 要定期更换自己的签名公私钥对。电信运营商(或第三方机构)与金融机构CA 根据桥CA 定期生成自己的公私钥对。移动终端用户申请证书时,RA 审核身份信息和银行帐号,通事后CA 随机采用 dAen dAsi∈{1, n-1}, 计算 QAen = dAen P 和 QAsi = dAsi P, 将dAen和dAsi 写入终端移动设备的秘密位置,将 QAen和QAsi 因连同终端用户证书标识码和其他属性信息写入到用户证书中,并对证书进行签名;将系统公共信息,例如椭圆曲线基点和系统当前合法的C A 证书写入到终端设备其他区域;最终将用户的证书存入证书备份服务器,将用户的加密公私钥对存入密钥备份服务器。
  (2)ECC 加密与签名
  移动支付应用中,用户与商家在协商对称加密算法密钥时,以ECC 公钥加密算法,然后利用协商好的密钥,用对称加密算法加密交易数据。
  移动支付应用中,签名按照主体能够分为CA 签名和RA 签名;按照方式分能够分为大略签名和多重签名。下面简要说明用户对交易数据签名过程。
  假如交易信息为M, 双方的密钥是KEY,H 为HASH 函数,A 为用户、B 为商户。
  A 发送(Ekey (m), SdAsi (H(m))) 给B, 其中SdAsi (H(m))为 A 对 H(m) 的签名。
  B 验证H(m)=D SQAsi (H(m)) 是否成立,若不成立则发送交易取消信息Cut(H(m))给 A; 若成立则发送(Ekey (m),SQAsi (H(m)) 给A, 其中SQAsi (H(m))为 A 对 H(m) 的签名。
  A 验证H(m)=D SQBsi (H(m)) 是否成立,若不成立则发送交易取消信息Cut(H(m))给 B; 若成立则交易成功。
  2.2 RFID 智能卡
  RFID(Radio Frequency Identification )即无线射频识别技能,通过射频信号自动识别指标对象并获取相关数据,由读卡器(Reader)和电子标签(Tag)组成。事务频率有低频、高频、超高频和有源,其中低频为125KHz-135KHz,高频为13.56MHz,超高频为840MHz-925MHz,有源为2.45GHz-5.8GHz。 移动支付目前较多使用的NFC 技能即是高频短距离RFID 技能,兼容ISO14443、ISO15693等射频标准。NFC 终端主要分为非接前端(CLF)、平安模块(Secure Element)、天线(Antenna)等。在它的实现方案中,将平安模块集成到移动终端的称为NFC 全终端方案,如goole钱包 ;将平安模块集成在SIM/UIM 卡中的称ENFC, 以运营商为主; 将平安模块加载在平安芯片的MicroSD 卡的称NFC-SD, 以金融机构为主。用于标示用户身份的私有密钥、证书存储在平安模块中,且根据不同的实现方案,位于手机移动终端的不同部位,所有的密码运算都在硬件设备中完成,并带WPKI 功能的身份认证和密钥运算,为用户提供硬件级的平安保证。
  3 结束语
  本文主要关注了移动支付应用中支付终端和移动支付系统在平安技能与法规上对对用户隐私与信息平安的保护。WPKI 是移动支付的关键技能,但不是系统级的平安认证技能,需要在WAP 网关、WTLS 与CA 认证的流程长进一步深入研讨;RFID 的平安模块的实现方式关系到各相关方的利益,需要确定后进一步研讨。在物联网时代,对移动支付市场生态圈中的各方尤其是移动支付的运营商、CA、RFID 终端制造商等应更充分重视用户个人隐私与信息平安。物联网与移动支付繁荣与发展关键是对用户个人隐私与平安的技能与法规的健全。惟有用户对移动支付平安与隐私的保护充分信任,才能逐渐消除用户的顾虑,改变消费支付习惯,从而促进移动支付生态圈的繁荣。
  参考文献
  [1] 德阿克塞尔.格兰仕 奥利弗.荣格. 机器对机器(M to M)通讯技能与应用[M].北京.国防工业出版社,2011.
  [2] 赵俊珏. 物联网网络服务支撑平台方案研讨[J].电信科学,2011,(5).
  [3] 中国电信移动支付研讨组. 走进移动支付—开启物联网时代的商务之门[M].北京.电子工业出版社,2012.
  [4] 陈香梓. 面向3G的移动支付平安问题研讨[D].安徽.合肥工业大学,2010:20-25.
  [5] 张燕燕. 移动支付的平安机制研讨[J].科技信息,济南.山东政法学院,2010,(21).
  [6] 黄海. 基于x.509标准的CA认证中心设计与实现[D].湖南大学,2011.
  [7] 李颖. 基于ECC算法的移动支付系统研讨[D].济南.山东大学,2011.
  作者简介:
  毛梅君(1973-),女,浙江人,北京邮电大学暨法国雷恩商学院博士,华信邮电咨询设计研讨院有限公司高级专家,高级工程师,通讯与广电、机电专业一级建造师,从事20余年通讯网络技能与管理事务;主要研讨方向:管理咨询研讨领域以企业战略、市场、人力专业为主,技能咨询研讨领域主要以移动支付、信息专业为主。
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1210/53203/
 与本篇相关的热门内容: