陳善學,姚小鳳,周淑賢,李方偉

（重慶郵電大學通信學院 重慶 400065）

1 引言

移動電子商務融合了Internet、無線通信技術和電子商務，是指通過手機、個人數(shù)字助理 （personal digital assistant，PDA）和筆記本電腦等移動終端設備進行的商務活動。結合移動通信和移動電子商務中支付的特點，微支付在移動計費中的應用也顯得越來越重要，這也是微支付的一個重要發(fā)展方向和研究熱點。根據(jù)微支付和移動通信的特點，研究基于微支付的移動通信支付和認證模型是目前微支付發(fā)展中最有潛力的方向之一，也是微支付應用的熱點，日本的DoMoCo公司提出的i-mode是微支付應用于無線通信最為成功的典范。

微支付中的電子貨幣可以由票據(jù)（scirp）或Hash鏈等組成，也可以由用戶M產生，或由中間人B和商家V產生。由M或B代理產生的微電子貨幣一般與特定的M有關，如Millicent等；B作為可受信任機構，可以獨立產生電子貨幣，它一般與特定的M類型無關，如MicroMint等；另外，V也可以根據(jù)B的授權（如通過頒發(fā)數(shù)字證書）來獨立制造貨幣，它一般是基于 Hash鏈形式的，可以與特定的M有關，也可以無關，并具有靈活的擴展形式。下面簡要地介紹3種常見的微支付協(xié)議[1～4]。

（1）Millicent

一種小額電子商務交易的Internet支付系統(tǒng)，在Web能夠使用電子錢包，可稱為便條(script)的電子令牌。script被安全地保存在用戶的PC硬盤上，并用個人標識號或口令對其加以保護。擴展的MilliCent協(xié)議可在移動代理環(huán)境下實現(xiàn)微支付[5]。

（2）MicroMint

一種典型的微支付協(xié)議。它使用中間人來產生電子貨幣，產生的電子貨幣沒有使用簽名機制，這會很容易被攻擊者驗證，但它卻不容易偽造。它沒有采用公鑰技術，安全性較低，但效率較高，適合于低額度電子支付。

（3）PayWord

基于信用的一種微支付協(xié)議。首先用戶M在中間人(broker)處建立賬戶，中間人給用戶分發(fā)PayWord數(shù)字證書，其中包括中間人名、用戶名、IP地址、公鑰、證書的有效期限及其他一些信息。

微支付面額小而其效率要求高，完全實現(xiàn)其公平性是不可行的。當交易量小時，微支付的公平性研究也沒有多大的必要性。但當微支付的交易數(shù)量特別大時，如何采用有效的措施來實現(xiàn)微支付的公平性將顯得尤為重要。采用一些新的公鑰技術，如ECC算法來替代現(xiàn)有的RSA算法，可以在充分利用公鑰技術特性基礎上，有效提高系統(tǒng)效率，這也是微支付發(fā)展中一個很引人關注的話題。

無線移動通信網絡的帶寬有限，且相對有線網絡而言，誤碼率較高，所以協(xié)議中盡量減少交換消息的長度和輪數(shù)。在移動網絡環(huán)境中，移動用戶使用多種無線通信協(xié)議通過多個移動接入網絡進行連接。在現(xiàn)實中存在許多彼此獨立的公共和專用移動服務網絡。這些網絡有的是移動的，有的是固定的，也存在大量的增值服務提供商（VASP）提供增值服務。在這種環(huán)境下用戶可能處于多個移動網絡區(qū)域內，可以選擇滿足要求的服務提供商。

本文在介紹微支付的基本機制和模型的基礎上,研究基于共享密鑰機制的微支付系統(tǒng)[6]，并結合移動網絡環(huán)境和已有微支付協(xié)議如一次性簽名[7]、移動通信認證[8]等的優(yōu)缺點，在入網認證機制[9，10]中利用移動網認證的隨機數(shù)和用戶SIM卡的私鑰產生密鑰結合ECC和AES產生一次性簽名。該簽名不可偽造，不可重復使用，且安全性高。所提出的微支付方案在交易的重要信息中都會嵌入該簽名，防止用戶和商家之間的欺騙。用戶在瀏覽網站或交易時都是利用網站提供的臨時用戶標識進行交易，具有匿名性。用戶的消費歷史不可追蹤。

2 橢圓曲線ECC和AES算法的原理

2.1 橢圓曲線ECC的基本原理

有限域 GF(q)上的橢圓曲線：令p>3是一個素數(shù)，a,b∈GF(q)滿足 4a3+27b2≠0，由參數(shù) a,b 定義 GF(q)上一個橢圓曲線方程y2=x3+ax+b(mod q)，定義曲線參數(shù)T=（q,a,b,G,n,h），其中G為基點，n為基點G的階，h為曲線點的數(shù)量#E(Fq)除以n的商。假定在橢圓曲線E上有兩點P、Q，且 P≠Q，滿足 Q=kP，可以看出，給定 k 和 P，計算Q相對容易;而給定Q和P，計算k=logqQ相對困難。這就是橢圓曲線離散對數(shù)問題[8]。

就橢圓曲線公鑰密碼體制而言，各種橢圓曲線公鑰密碼體制的安全性都與相應的橢圓曲線離散對數(shù)問題的求解困難性等價。對于有理點數(shù)有大素數(shù)因子的橢圓離散對數(shù)問題，目前還沒有有效的攻擊方法，因此采用橢圓曲線加密可以提供足夠的安全性。

2.2 AES的基本原理

AES（advanced encryption standard，高級加密標準）：它是一種標準的對稱加密算法，是一個迭代、對稱密鑰分組的密碼，可以使用128、192和256 bit密鑰，并且用128 bit（16 byte）分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù)位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個循環(huán)結構，在該循環(huán)中重復置換(permutation)和替換(substitution)輸入數(shù)據(jù)，速度快、安全級別高且算法應易于各種硬件和軟件實現(xiàn)。

2.3 參數(shù)說明

IDmi、IDv、IDb分別是用戶 MS的臨時交易標識、商家 V的注冊標識、TTP網站的標識；

Kbs、Kmv分別是 TTP與 SP，MS與商家 V 的 128 bit的共享AES密鑰；

Kc是用戶MS中SIM卡計算用于短期使用生成AES鏈的128 bit AES密鑰；

Expire是AES鏈的有效期；

Tm和Tv分別表示用戶MS和商家V的時間戳；

E(·)表示用 ECC 加密；

H(·)表示具有強抗碰撞沖突的單向散列函數(shù)Hash加密。

全文涉及的有關符號如下：∈表示從某一集合中隨機選擇；‖表示串連接；p、q為充分大的素數(shù)。

3 支付模型的描述

3.1 3G移動微支付模型

3G移動微支付模型除了要滿足安全性、防欺詐性、不可否認性、公平性、匿名性外，還應滿足可伸縮性和通用性。另外，最重要的是贏取廣大的用戶喜好和消費習慣。其基本模型如圖1所示，協(xié)議涉及4方。

（1）移動用戶（MS）：擁有3G功能手機終端的用戶。手機用戶規(guī)模越來越大，足以涵蓋網上交易用戶。

（2）移動運營商服務平臺（SP）：負責認證用戶的合法性，移動通信運營商運用自己的支付平臺支持微支付交易。移動用戶通過手機發(fā)出指令完成交易，支付交易金額包含在手機費中。且與TTP進行支付交易核對。

圖1 3G移動微支付基本模型

（3）受信任的第三方（TTP）：提供公正仲裁等服務，為交易雙方提供安全交易機制，促進交易的生成。并與銀行進行現(xiàn)金兌換。

（4）可信的金融機構（bank）：管理TTP的賬號，與 TTP進行現(xiàn)金兌換。

3.2 3G移動微支付協(xié)議描述

3.2.1 3G終端用戶（MS）入網認證過程

3G網絡接入安全機制主要有3種：臨時身份識別、永久身份識別、認證和密鑰協(xié)商（AKA）。

3G用戶入網認證改進后的過程如圖2所示。對改進后的整個驗證過程采用公鑰密碼體制進行加密，原f5和f5*產生的匿名密鑰算法可以去掉。同時對網絡端認證已采用HLR數(shù)字簽名，可以減掉一個異或器和f1，f1*算法。

3.2.2 用戶AES簽名產生過程

首先，用戶到營業(yè)廳辦理入網手續(xù)，用戶隨機選取一個隨機數(shù)r∈[1,n-1],作為移動用戶MS的私鑰，3G移動服務平臺產生私鑰K1,K2，計算相應的公鑰P=rG，P1=K1G，P2=K2G，移動用戶入網認證成功后得到的隨機數(shù)RAND(R)和Ki（手機的SIM卡中存儲著用戶的國際移動用戶標識（IMSI）和用戶的私鑰 K，認證中心根據(jù) IMSI找到用戶的Ki）用算法產生 Kc∈GF(q)，然后計算 K′=KcP1+PP2，K′≠0，用K′作為會話密鑰，用AES算法反復加密，得到一個AES鏈：

此鏈在每次交易時一次性遞增使用，用戶保存當前的i、Ri和該鏈的有效期Expire。使用該鏈做為移動用戶每次購買商品的一次性簽名。

3.2.3 商家注冊網站過程

由受信任的TTP建立網站，提供給商家使用，商家可以租借或購買的形式使用該網站，商家只能裝飾網站內容不能更改鏈接地址、商家提交銷售的商品類、商家簽名Signv、商家與用戶交易時的共享密鑰Kmv、商店名稱、商家IP地址、使用有效期等資料。TTP核對資料后發(fā)放注冊號IDv、有效期 T。

圖2 用戶MS入網認證過程

3.3 交易過程

（1）移動用戶MS登錄3G網絡，進入TTP的網站后自動生成臨時用戶標識IDm，瀏覽商品并選擇購買。商家V發(fā)送購買信息給用戶MS確認：

（2）用戶MS收到后，用Hash運算確認購買消息無誤后點擊網站的移動運營商服務平臺（SP）連接：

（3）移動運營商服務平臺（SP）檢查用戶的合法性后查詢用戶手機余額是否大于消費額p，如小于則發(fā)送“余額不足，請充值”的消息給用戶MS，如大于則發(fā)送“允許扣費”的消息給用戶，移動運營商服務平臺（SP）把用戶簽名過的信息存儲起來（用戶離線時，可用此簽過名的信息利用SMS與商家協(xié)商）并同時發(fā)送給TTP。

（4）用戶收到允許消費的信息后，把商家發(fā)送的信息經過用戶MS簽名確認發(fā)送回給商家：

（5）商家V把用戶MS簽名過的貨單信息發(fā)送給TTP進行內部操作，TTP對信息確認登記：

（6）TTP核對價格和簽名是否一樣，如一樣發(fā)送可發(fā)貨信息給商家。

（7）用戶收到商品后，登錄到TTP網站對商家進行評價和再次確認：

（8）TTP收到用戶的再次確認信息后，發(fā)送給SP，SP發(fā)送用戶消費后余額信息給用戶MS。

（9）TTP一天或一段時期后，但不能超過用戶簽名的有效期，到銀行換取現(xiàn)金后發(fā)送給商家。

4 協(xié)議的安全性與效率分析

安全性是網上交易面臨的最大挑戰(zhàn)。任何一種方案取得成功的先決條件就是實現(xiàn)高水平的安全性。此方案的安全性分析如下。

（1）要篡改或竊取用戶MS的一次性簽名必須要知道Kc和（i,Ri），Kc是由 3G移動終端用戶MS入網成功后收到歸屬位置寄存器 （HLR）發(fā)送的RAND和用戶的Ki經過A8算法或其他更有效的算法得到，如果用戶SIM卡被其他人使用，由于不知道用戶的私鑰，其他人無法偽造簽名，具有不可否認性，比參考文獻[7]增加了破解的難度，即前向和后向都具有較高的安全性。

（2）消費無過度或重復，每次消費用戶都用AES一次性簽名，它是遞增使用的，并且不接受小于當前有效序號的簽名，該算法機制用戶的消費蹤跡，保證用戶不被跟蹤，且具有匿名性。

（3）每次有新的交易時，用戶MS都是使用 TTP生成的臨時標識IDm，商家無法知道用戶MS之前是否來消費過，具有可便性、靈活性。

（4）商家無法篡改或否認消費，購買信息有用戶MS確認后的簽名，商家發(fā)貨時經過TTP同意，TTP保留商家簽過名的貨單，不可否認和篡改。

（5）用戶再次確認后，用戶的資金才會真正被扣除，第一次的確認，資金會被SP冷藏起來，再次確認后才會被解凍，消費掉。如果用戶無第二次確認，SP會在簽名有效期內發(fā)送信息詢問用戶和TTP，如無特殊情況，SP發(fā)送成功交易給TTP，不存在用戶MS重復支付；且每次消費都會詢問SP，因此可以有效地防止用戶MS的惡意消費。

（6）用戶對商家進行評價，有利于TTP對商家的管理，只要貨物如實所訴，商家不用擔心無法收取現(xiàn)金。

協(xié)議的安全性比較結果見表1，在提出的方案中手機用戶進行微支付的安全性得到很好的保障。

表1 小額支付和微支付的安全性比較[9]

5 結束語

該方案提出在3G無線網絡環(huán)境下實行微支付協(xié)議，用戶身份認證得到肯定[10]，保證傳輸時數(shù)據(jù)的機密性和信息的完整性；提出交易過程中利用入網認證得到的隨機數(shù)和用戶SIM卡里的私鑰結合參考文獻[7]生成一次性簽名，該方法是M與B可以按挑戰(zhàn)響應方式相互認證并得到會話密鑰，因此本方法安全性更高，且可保證交易信息的可認證性（可鑒別性）和防抵賴性；商家存儲用戶交易信息當中保留了用戶的臨時標識和簽名，保證用戶身份隱密和不可抵賴性比參考文獻[9]更實用。兌換現(xiàn)金不用商家直接參與，由TTP向銀行兌換，減少兌換人的數(shù)量，避免商家取不到現(xiàn)金。

1 Manasse M.The millicent protocols for electronic commerce.In:Proceedings of the 1stUSENIX Workshop on Electronic Commerce,New York,USA,July,1995

2 Rivest R,Shamir A,PayWord,et al.MicroMint:two simple micropayment schemes.In:Proceedings of the 4th Security Protocols International Workshop (Security Protocols),LNCS1189.Springer-Verlag,Berlin,1996

3 Peirce M. Multi-party electronic payments for mobile communications.Dublin:Computer Science University of Dublin,2000

4 姬東耀,王育民.基于PayWord的小額電子支付協(xié)議.電子學報,2002,30(2)

5 于寶東,金連甫,陳平.移動代理環(huán)境下實現(xiàn)微支付系統(tǒng)——擴展MilliCent協(xié)議.計算機工程與應用,2004(26)

6 胡偉，鐘樂海.基于共享密鑰機制的微支付系統(tǒng)的研究.計算機時代,2004(7)

7 崔巖，劉永杰，周玉潔.一種適用于移動電子商務的微支付方案.計算機工程與應用,2005(35)

8 鄧方民,許春香,張娟.基于ECC的移動通信認證和密鑰協(xié)商協(xié)議.計算機應用與軟件,2006,23(2)

9 Mahmoud R H,Elahe S.A secure m-payment protocol for mobile devices.IEEE CCECE/CCGEI,2006(5):294～297

10 劉瑩，陸松年，楊樹堂.基于混合密碼的增強型3G終端入網認證方案.計算機工程,2008,34(20):149～153