移动支付生态圈安全技术的研究.docVIP

移动支付生态圈安全技术的研究 　　【 摘 要 】 简要阐述物联网技术以及基于此的移动支付系统架构，指出移动支付是物联网时代的跨行业典型行业应用。接着研究移动支付发展是关键——安全技术。主要研究了WPKI技术、WPKI使用的数字签名、ECC算法加密技术和X.509v3标准。最后建议对用户隐私与信息安全充分重视，才能真正让基于物联网的移动支付繁荣。 　　【 关键词 】 移动支付生态圈；物联网；PKI；WPKI；ECC；CA；RA；RFID；安全 　　1 引言 　　1.1 物联网 　　1.2 基于物联网的移动支付系统架构 　　移动终端由于便捷、使用习惯等成为支付工具的主要手段。移动支付是物联网的一个跨行业的典型应用。支付系统分为近场移动支付、远程移动支付和安全子系统。移动支付系统以账户体系为核心，由移动终端/智能卡、远程支付客户端、近场支付客户端、支付接入、交易、账户体系、清/结算 、支付内容平台、商户管理平台、支付支撑等部分组成。近场支付子系统包含NFC 等RFID 物联网技术，处于物联网的传感层。远程移动支付系统分别采用文件分布、网格技术等，分别实现移动网络传输、安全和行业支付应用功能，处于物联网的网络层和应用层。 　　2 移动支付安全技术 　　2.1 WPKI 　　2.1.1 WPKI 安全架构 　　PKI（Public Key Infrastructure）利用非对称密码和数字证书技术成为有线商务领域的身份认证和访问控制的技术。但在无线环境中，PKI 无法实现有线设备和无线设备的互联。基于PKI 技术形成的 WPKI（Wireless Public Key Infrastructure）技术，是将互联网电子商务中PKI 安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，可以建立相对安全的无线网络环境。WPKI 采用WAP（Wireless Application Protocol）作为实现的安全机制。WAP 的 安全架构由WTLS （ 无线传输层安全协议）、WML Script （ 无线标记语言脚本）、WIM（ 无线个人身份模块）和WPKI（ 无线公钥基础设施） 四部分组成。 　　WTLS 作用是保证传输层的安全。WTLS 是在 TLS 的 基础上加以改进来适应无线环境，它以加密技术为关键。WTLS 可以提供3种类别的安全服务，且安全级别逐级升高，握手过程中，根据实际应用需要，由客户端与服务端确定安全服务等级。 　　WMLSCRIPT 的作用是保证动态身份验证。WTLS 对用户身份的验证是瞬间的，不是整个支付过程。WTLS SCRIPT 提供了Crypto.Sign Text 函数实现动态验证。 　　WIM 的作用是利用智能卡内电路与移动终端设备进行交互，如响应与发出请求，同时存储用户证书、密钥对及相应算法等信息。 　　WPKI 是安全架构的基础设施平台，其基本作用是支撑一切基于身份验证的应用，它与WTLS、WML SCRIPT 结合，实现身份认证、私钥签名等功能。它包含了终端实体（EE）、认证中心（CA）、注册审批机构（RA）、证书发布目录器（LDAP）、内容服务器（包含证书库、密钥备份等）、WAP 网关。下文讲述WPKI 证书的签发和安全连接。其中1、2、3、4、5是证书签发，6、7、8、9是WAP 安全连接。 　　（1） 用户向RA 提交证书申请；（2 ）RA 对用户申请进行审查，合格后回给CA；（3） CA 生成一对密钥与制作证书，将证书交给RA；（4）CA 同时将证书发布到证书目录中供查询；（5） 保存用户证书，每一份证书配一份证书URL， 该 URL 发送给移动终端；（6） 有线网络服务器下载证书列表备用； （7） 移动终端和WAP 网关利用CA 颁发的证书建立安全连接；（8）WAP 网关与有线网络服务器建立SSL 连接；（9） 移动终端和有线网络服务器实现安全信息传送。 　　2.1.2 数字签名 　　WPKI 的核心是数字证书。CA（Certification Authority）是证书的第三方签发机构，保证交易的公正、可信任。该组织作用是将公钥与一个用户绑定，并将它们身份与公钥匹配关系进行认证。证书中包含持有者身份信息、属于他的公钥、有效期、CA 身份 、以上信息数字签名等。 　　1996年ISO IEC/ITU 和ANSI X9 开发了X.509v3。WPKI 采用该标准协议进行身份的认证。X.509 v3定义了公钥证书的标准项和扩展项。 公钥证书包含版本号、序列号、签发者唯一标志名、中请者唯一标志名和公钥、证书有效期和扩展项，CA 对上述文件进行签名。 X. 509 v3允许使用扩展项给证书增加附加信息。扩展项包含二个域：type critica