手机支付是近几年才发展起来的支付方式。它有着与信用卡同样的方便性,同时又避免了在交易过程中使用多种信用卡以及商家是否支持这些信用卡结算的麻烦。消费者只需一部手机,就可以完成整个交易过程,深受消费者,尤其是年轻人的推崇。手机支付将会有非常大的商业前景,而且将会引领移动电子商务和无线金融的发展,成为人们生活中购物方式的一种潮流。随着手机支付业务的不断扩大,手机支付系统面临的主要问题之一就是系统的安全问
手机支付是近几年才发展起来的支付方式。它有着与信用卡同样的方便性,同时又避免了在交易过程中使用
多种信用卡以及商家是否支持这些信用卡结算的麻烦。消费者只需一部手机,就可以完成整个交易过程,深受消费者,尤其是年轻人的推崇。手机支付将会有非常大的商业前景,而且将会引领移动电子商务和无线金融的发展,成为人们生活中购物方式的一种潮流。随着手机支付业务的不断扩大,手机支付系统面临的主要问题之一就是系统的安全问题。
而当前,我国关于手机支付安全性方面的研究几乎一片空白。针对手机自身的特点,基于椭圆曲线加密体制和AES加密算法的混合加密算法,设计了一种可以处理高额交易的手机支付模型。成功地实现了用户的银行帐号与手机号码的绑定,在银行帐号和手机号码之间建立了一对一或多对一的对应关系。该模型采用双重认证的方式进行认证,无线运营商对手机号码进行认证,银行对银行帐号进行认证。目前国内的支付系统都要求在交易过程中传送用户的银行帐号密码,而在本文的支付系统中,用户的银行帐号密码不需传送。
1 手机支付和混合加密算法
手机支付,又称移动支付。它是利用STK技术在
SIM卡上开发的通过手机进行消费的功能。主要基于银行帐号和手机号码的惟一性,将银行账户和手机号码进行绑定,使用户可以通过手机短信息、语音、WAP、GPRS等多种方式对自己的银行帐户进行操作,实现查询、转帐、缴费、消费等功能,并可以通过短信息等方式得到交易结果和帐户变化通知。
用椭圆曲线加密体制生成对称加密算法AES的随机会话密钥K,使用随机会话密钥K和AES加密算法来加密消息。这样构造的混合密码体制可以获得较快的加密速度和较大的加密强度。选择基于椭圆曲线的数字签名,通常是一个二维向量,记为(r,s)。
2 手机支付系统模型
帐户管理是银行的强项,如果没有银行的参与,则不能处理高额支付。本文的支付模型是手机用户、银行、商家及无线运营商四者都参与的系统,与参考文献的支付模型相比,具有较强的实用性。整个交易过程按系统模型中的标号顺序依次进行,如图1所示。
3 参与者的初始设置
商家S通过椭圆曲线密码体制,选定IDS作为自己的身份标识,密钥对是(ds,Qs),其中ds是私钥,Qs是公钥,保留ds,公开Qs和IDs。与商家的初始设置过程一样,无线运营商T的身份标识是IDT。密胡对是(dT,QT);银行B的身份标识是I
DB,密钥对是(dB,QB)。通过椭圆曲线密码体制选择(d1,Q1)作为与商家通信时的密钥对。选择同无线运营商通信时的密钥对(d2,Q2);将Q2与手机开户的消息(包括手机充值)发送给无线运营商;无线运营商进行物理鉴定(包括身份证等)并验证用户提交的消息后,生成用户的手机号码IDU发送给用户,同时在手机帐号的数据库中储存新用户(IDU,Q2)。选择同银行通信时的密钥对(d3,Q3);将Q3、IDU及初始存款的相关消息递交给银行;银行进行物理鉴定(包括身份证等)以确信手机号码IDU的合法性后,生成用户的银行帐号IDBU发送给用户,同时在银行帐号的数据库中储存新用户(IDBU,IDU,Q3)。
4 手机支付系统的设计与实现
(1)手机用户生成购买指令m1(包含购买物品的名称、数量及转帐银行的名称等),用密钥d1生成m1的签名(r1,s1);生成核实手机权限的指令
m2(不涉及交易的具体细节),用密钥d2生成m2的签名(r2,s2);用同商家通信时的会话密钥,对m1、r1和s1进行加密处理得到密文c1;用同无线运营商通信时的会话密钥,对m2、r2、s2和IDS进行加密处理得到密文c2,将c1和c2合并后发送给商家。
