黄美璇

（黎明职业大学信息与电子工程学院，福建泉州 362000）

基于密钥管理的移动支付安全解决方案

黄美璇

（黎明职业大学信息与电子工程学院，福建泉州 362000）

通过分析目前移动支付存在的安全问题，就移动终端本身来考虑，提出基于密钥管理的移动支付安全解决方案，即采用手机与密钥分离技术。这将会大大提高移动支付的安全性。

移动支付；密钥管理；解决方案；安全性

0 引言

随着移动支付方式的日新月异，支付应用成为人们生活中不可或缺的一部分。移动支付带给人们方便的同时，其安全问题也日趋凸显。无论是Android系统还是ios系统，只要手机安装任何一个应用，都有可能采集到用户诸多信息，致使用户个人隐私泄露。可见在这样的手机环境里完成移动支付，存在安全风险。[1]

本文拟通过详细分析目前移动支付存在的安全问题，从移动终端本身角度，提出基于密钥管理的移动支付安全解决方案。

1移动支付安全问题

1.1 密钥安全问题

在移动支付系统中，“用户名+密码”这种方式存在简单、静态等缺点，即使组合多位的数字和字母，也已经不能满足移动支付的安全要求。[2]目前普遍采用“用户名+密码+密钥”的方式来完成移动支付。新增加的这个“密钥”是银行发放的数字证书或者带有显示屏的六到八位的动态令牌。

早期数字证书是保存在计算机里的，这样一旦黑客入侵计算机，就可以转移用户资金。现在数字证书保存在一个独立的U盾里，使“密钥”和计算机分离，而且U盾的操作系统是专有的，难以破解，从而提高了移动支付的安全系数。可见“密钥”与计算机分离是进行移动支付的最基本要求。

动态令牌的工作原理是根据密码算法随机生成一个数字组合，一个密码只能使用一次，是一种安全便捷的帐号防盗技术，可以有效保护交易和登录的认证安全，在密码认证环节中保证安全。[3]

手机令牌，类似短信动态令牌，是一种手机客户端软件。服务器端基于时间同步方式，每隔60秒产生一个随机6位动态密码，并通过短信发送。动态密码有一定的存活时间，超过存活周期，即使黑客窃取到动态密码，也无法进行身份认证。

用短信传递动态密码，存在可达性和安全性问题。据统计，短信的到达率在95%左右，有时还会发生延迟、丢失等现象。短信在传递过程中虽加密报文，但依然容易被拦截且破解，所以短信一般不用作关键信息的传递。可见，动态令牌应是一个独立于任何设备的硬件，如专业设备U盾。动态令牌一旦开始工作，在使用过程中将不会再与服务器发生通讯，黑客不可能空中截取。通过比对动态令牌和认证服务器各自单独运算的结果是否相符来确认用户身份，如图1所示。

无论是在计算机端完成支付，还是在手机端完成移动支付，都必须确保“密钥”保存在一个独立、专有的地方，以保证“密钥”绝对安全。也就是说无论是数字证书，还是动态令牌，都应该保证在移动支付过程中“密钥”始终“独立”。可目前多数的解决方案在这方面都有所欠缺。[4]

1.2 手机安全问题

移动互联时代，智能手机在人们的日常生活中应用非常广泛，移动支付就是其主要功能之一。不法分子会通过各种病毒对移动支付进行攻击。手机不像计算机可通过防火墙进行保护，一旦被病毒入侵，手机用户往往蒙受巨大损失。虽然市面上有百度手机卫士、360手机卫士、腾讯手机管家等软件，但在手机遇到攻击时，这些软件也没有表现出足够的安全防御功能。用户利用智能手机进行移动支付，往往没有安全保障。

图1 手机令牌与认证服务器密码比对过程图

综上所述，移动支付安全方面还存在诸多问题，需要建立统一完善的规范和标准[5]。本文就移动终端本身来考虑，从“密钥分发”这一环节出发，提出基于密钥管理的移动支付安全解决方案。

2 基于密钥管理的移动支付安全解决方案

目前移动支付存在的安全问题较多，密钥安全是首要问题，即必须有统一的密钥发放和管理机制。[6]移动终端的支付安全解决方案具体如下文所述。

2.1 使用NFC近距离通信[7]

NFC，即近距离无线通信技术。是一种无接触式射频识别技术，可以在移动设备与电子设备之间进行近距离无线通信。NFC技术以其传输距离短、连接速度快、安全性好等优点迅速得到用户的喜爱。NFC目前的工作频段有13.56M和2.4G两种。

无接触式移动支付技术RF-SIM移动支付方案已被业内广泛认可。RF-SIM工作原理是将RF的芯片嵌入标准的SIM卡中，RF-SIM卡既不影响SIM卡的原有功能，又能通过射频模块完成各种移动支付，并扩展至非典型领域，尤其是手机支付和身份认证功能。[8]该方案的特点是射频单元直接集成到SIM卡上，用户无需更换手机。密钥保存在独立的电子钱包存储器里，黑客要想破解SIM卡需具备专有的编译器，密钥保存安全系数高。

2.2 借助外接设备来保存密钥[9]

借助外接设备来保存密钥的方式有三种。第一种是刷卡器式；第二种是手机贴片式；第三种是在手机的SD卡中保存密钥。

2.2.1 刷卡器式

刷卡器通过耳机插头与智能手机连接使用，手机只需安装客户端即可完成移动支付。密钥可以保存在卡槽设备里。用户在整个业务操作过程中无需使用刷卡器，仅在最后选择银行卡支付时，才将刷卡器插入手机耳机插孔，完成刷卡支付。整个过程除了最后刷卡支付外，其他时间卡槽和手机终端都处于分离状态，即保证了密钥和手机终端分离，从而确保了密钥的安全。

2.2.2 手机贴片式

在原来的SIM卡基础上新增一块芯片，这是一块独立于SIM卡的智能芯片，与SIM卡可以合二为一插入原来的SIM卡槽。手机贴片式，由于采用符合金融应用标准的智能芯片，安全性很高，用户可以直接通过菜单操作完成移动支付。智能芯片与手机分离，密钥保存在芯片里。芯片的激活机制需要通过POS机非常复杂且专业的流程实现。所以，手机贴片式的密钥保存绝对安全。

2.2.3 SD卡模式

SD卡模式，即密钥置于SD卡中。用户不需改变手机本身的硬件设计，只要安装保存在SD卡中的客户端程序，并开卡激活，即可完成移动支付。

此外，计算机完成支付的安全保障技术已经非常成熟，用户其实可以先在计算机上完成从银行账户到支付宝的关联以及转账，然后通过计算机与手机一致的支付宝账户完成移动支付。手机不直接关联银行卡，而是通过支付宝账户做缓冲，这样可以把用户银行卡所有资金的风险降低到只是支付宝移动端账户的风险。

3 结论

本文详细分析了目前移动支付存在的安全问题，就移动终端本身来考虑，从“密钥分发”这一环节出发，提出基于密钥管理的移动支付安全解决方案，即使用NFC近距离通信和借助外接设备来保存密钥。此外还可通过计算机完成支付来降低风险。解决方案明确提出手机与密钥分离技术，从而保证移动支付的安全性。

参考文献：

［1］黄晓芳，周亚建，赖欣，等.基于第三方的安全移动支付方案［J］.计算机工程，2010，36（18）：158-159，162.

［2］王渊，杨婧.一种基于SD卡的口令认证密钥协商方案［J］.信息安全与通信保密，2014（10）：88-92.

［3］石余发.网格Portal安全技术研究［D］.南京：南京理工大学，2013.

［4］李曦，胡汉平.一种安全的移动支付方法［J］.计算机应用研究，2008，25（5）：1546-1549.

［5］杨晨，杨建军.移动支付安全保障技术体系研究［J］.信息技术与标准化，2010，7：17-20.

［6］黄泽龙，张文安，谢云.移动支付密钥体系研究［J］.电信科学，2011（6）：21-27.

［7］郭先会，陈丹.基于NFC的移动支付安全解决方案研究与应用［J］.数据通信，2014（10）：15-18.

［8］李颉.RFID-SIM技术在手机支付中应用的研究［D］.北京：北京邮电大学，2010.

［9］微信开发.微时代微信咨询网［EB/OL］.（2014-06-07）［2016-11-10］.http：//www.wechatstyle.com/weixinkaifa/.

［1］JTGE20—2011，公路工程沥青及沥青混合料试验规程［S］.北京：人民交通出版社，2011.

［2］JTGE42—2005，公路工程集料试验规程［S］.北京：人民交通出版社，2005.

Abstract：Based on the Dezhou-Shangqiu highway project，the author aims to design the ratio of Large-stone Porous Asphalt Mixes（LSPM-30）through the comprehensivesanalysisontheexperimentaldata，accordingto which，it turns out that the flexible surface of the road of LSPM-30 can meet the requirements，and it can be used in the operation of the road construction.

Key words：Large-stone；Porous；Asphalt Mixes；mixture ratio

Mobile payment security solution based on key management

HUANG Mei-xuan

（Electrical and Mechanical Engineering College,Liming University,Fujian Quanzhou 362000,China）

By the detailed analysis of the current security problems of mobile payment,considered on the mobile terminal itself,the author proposes the mobile payment security solution based on key management.That is the technology of mobile phone and key separation.This will be greatly ensure the security of mobile payment.

Mobile payment;Key management;Solution; Security

On the Large-stone Porous Asphalt Mixes（LSPM）Ratio Design

YAO Yong-sheng1，WANG Xiao-liang2

（1.China Railway eleven Bureau Group Second Engineering Co.，Ltd.，Hubei Shiyan 442000，China；2.Hebei Software Institute，Hebei Baoding 071000，China）

TP311.1

A

1673-2022（2017）01-0070-03

表6 沥青混合料动稳定度试验结果

测定值（次/mm）平均值（次/mm）技术要求（次/mm）3 498 3 405≥2 600 3 351 3 365

5 结语

2016－11－25

黎明职业大学2014年规划项目（LZ2014102）

黄美璇（1982-），福建晋江人，讲师，硕士，研究方向为计算机科学技术。

通过对德商高速公路路面聊城施工段大粒径透水沥青混合料（LSPM-30）配合比的设计，根据析漏试验和飞散试验结果，考虑大粒径透水性沥青混合料的水稳定性与耐久性好，确定了最佳沥青用量，从马歇尔稳定度和车辙试验结果可以看出，在该沥青用量下混合料耐久性较好，具有较强的抗车辙变形能力，可用于柔性基层施工。