陳善學(xué),姚小鳳,周淑賢,李方偉

（重慶郵電大學(xué)通信學(xué)院 重慶 400065）

1 引言

移動電子商務(wù)融合了Internet、無線通信技術(shù)和電子商務(wù)，是指通過手機、個人數(shù)字助理 （personal digital assistant，PDA）和筆記本電腦等移動終端設(shè)備進行的商務(wù)活動。結(jié)合移動通信和移動電子商務(wù)中支付的特點，微支付在移動計費中的應(yīng)用也顯得越來越重要，這也是微支付的一個重要發(fā)展方向和研究熱點。根據(jù)微支付和移動通信的特點，研究基于微支付的移動通信支付和認證模型是目前微支付發(fā)展中最有潛力的方向之一，也是微支付應(yīng)用的熱點，日本的DoMoCo公司提出的i-mode是微支付應(yīng)用于無線通信最為成功的典范。

微支付中的電子貨幣可以由票據(jù)（scirp）或Hash鏈等組成，也可以由用戶M產(chǎn)生，或由中間人B和商家V產(chǎn)生。由M或B代理產(chǎn)生的微電子貨幣一般與特定的M有關(guān)，如Millicent等；B作為可受信任機構(gòu)，可以獨立產(chǎn)生電子貨幣，它一般與特定的M類型無關(guān)，如MicroMint等；另外，V也可以根據(jù)B的授權(quán)（如通過頒發(fā)數(shù)字證書）來獨立制造貨幣，它一般是基于 Hash鏈形式的，可以與特定的M有關(guān)，也可以無關(guān)，并具有靈活的擴展形式。下面簡要地介紹3種常見的微支付協(xié)議[1～4]。

（1）Millicent

一種小額電子商務(wù)交易的Internet支付系統(tǒng)，在Web能夠使用電子錢包，可稱為便條(script)的電子令牌。script被安全地保存在用戶的PC硬盤上，并用個人標識號或口令對其加以保護。擴展的MilliCent協(xié)議可在移動代理環(huán)境下實現(xiàn)微支付[5]。

（2）MicroMint

一種典型的微支付協(xié)議。它使用中間人來產(chǎn)生電子貨幣，產(chǎn)生的電子貨幣沒有使用簽名機制，這會很容易被攻擊者驗證，但它卻不容易偽造。它沒有采用公鑰技術(shù)，安全性較低，但效率較高，適合于低額度電子支付。

（3）PayWord

基于信用的一種微支付協(xié)議。首先用戶M在中間人(broker)處建立賬戶，中間人給用戶分發(fā)PayWord數(shù)字證書，其中包括中間人名、用戶名、IP地址、公鑰、證書的有效期限及其他一些信息。

微支付面額小而其效率要求高，完全實現(xiàn)其公平性是不可行的。當交易量小時，微支付的公平性研究也沒有多大的必要性。但當微支付的交易數(shù)量特別大時，如何采用有效的措施來實現(xiàn)微支付的公平性將顯得尤為重要。采用一些新的公鑰技術(shù)，如ECC算法來替代現(xiàn)有的RSA算法，可以在充分利用公鑰技術(shù)特性基礎(chǔ)上，有效提高系統(tǒng)效率，這也是微支付發(fā)展中一個很引人關(guān)注的話題。

無線移動通信網(wǎng)絡(luò)的帶寬有限，且相對有線網(wǎng)絡(luò)而言，誤碼率較高，所以協(xié)議中盡量減少交換消息的長度和輪數(shù)。在移動網(wǎng)絡(luò)環(huán)境中，移動用戶使用多種無線通信協(xié)議通過多個移動接入網(wǎng)絡(luò)進行連接。在現(xiàn)實中存在許多彼此獨立的公共和專用移動服務(wù)網(wǎng)絡(luò)。這些網(wǎng)絡(luò)有的是移動的，有的是固定的，也存在大量的增值服務(wù)提供商（VASP）提供增值服務(wù)。在這種環(huán)境下用戶可能處于多個移動網(wǎng)絡(luò)區(qū)域內(nèi)，可以選擇滿足要求的服務(wù)提供商。

本文在介紹微支付的基本機制和模型的基礎(chǔ)上,研究基于共享密鑰機制的微支付系統(tǒng)[6]，并結(jié)合移動網(wǎng)絡(luò)環(huán)境和已有微支付協(xié)議如一次性簽名[7]、移動通信認證[8]等的優(yōu)缺點，在入網(wǎng)認證機制[9，10]中利用移動網(wǎng)認證的隨機數(shù)和用戶SIM卡的私鑰產(chǎn)生密鑰結(jié)合ECC和AES產(chǎn)生一次性簽名。該簽名不可偽造，不可重復(fù)使用，且安全性高。所提出的微支付方案在交易的重要信息中都會嵌入該簽名，防止用戶和商家之間的欺騙。用戶在瀏覽網(wǎng)站或交易時都是利用網(wǎng)站提供的臨時用戶標識進行交易，具有匿名性。用戶的消費歷史不可追蹤。

2 橢圓曲線ECC和AES算法的原理

2.1 橢圓曲線ECC的基本原理

有限域 GF(q)上的橢圓曲線：令p>3是一個素數(shù)，a,b∈GF(q)滿足 4a3+27b2≠0，由參數(shù) a,b 定義 GF(q)上一個橢圓曲線方程y2=x3+ax+b(mod q)，定義曲線參數(shù)T=（q,a,b,G,n,h），其中G為基點，n為基點G的階，h為曲線點的數(shù)量#E(Fq)除以n的商。假定在橢圓曲線E上有兩點P、Q，且 P≠Q(mào)，滿足 Q=kP，可以看出，給定 k 和 P，計算Q相對容易;而給定Q和P，計算k=logqQ相對困難。這就是橢圓曲線離散對數(shù)問題[8]。

就橢圓曲線公鑰密碼體制而言，各種橢圓曲線公鑰密碼體制的安全性都與相應(yīng)的橢圓曲線離散對數(shù)問題的求解困難性等價。對于有理點數(shù)有大素數(shù)因子的橢圓離散對數(shù)問題，目前還沒有有效的攻擊方法，因此采用橢圓曲線加密可以提供足夠的安全性。

2.2 AES的基本原理

AES（advanced encryption standard，高級加密標準）：它是一種標準的對稱加密算法，是一個迭代、對稱密鑰分組的密碼，可以使用128、192和256 bit密鑰，并且用128 bit（16 byte）分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù)位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換(permutation)和替換(substitution)輸入數(shù)據(jù)，速度快、安全級別高且算法應(yīng)易于各種硬件和軟件實現(xiàn)。

2.3 參數(shù)說明

IDmi、IDv、IDb分別是用戶 MS的臨時交易標識、商家 V的注冊標識、TTP網(wǎng)站的標識；

Kbs、Kmv分別是 TTP與 SP，MS與商家 V 的 128 bit的共享AES密鑰；

Kc是用戶MS中SIM卡計算用于短期使用生成AES鏈的128 bit AES密鑰；

Expire是AES鏈的有效期；

Tm和Tv分別表示用戶MS和商家V的時間戳；

E(·)表示用 ECC 加密；

H(·)表示具有強抗碰撞沖突的單向散列函數(shù)Hash加密。

全文涉及的有關(guān)符號如下：∈表示從某一集合中隨機選擇；‖表示串連接；p、q為充分大的素數(shù)。

3 支付模型的描述

3.1 3G移動微支付模型

3G移動微支付模型除了要滿足安全性、防欺詐性、不可否認性、公平性、匿名性外，還應(yīng)滿足可伸縮性和通用性。另外，最重要的是贏取廣大的用戶喜好和消費習(xí)慣。其基本模型如圖1所示，協(xié)議涉及4方。

（1）移動用戶（MS）：擁有3G功能手機終端的用戶。手機用戶規(guī)模越來越大，足以涵蓋網(wǎng)上交易用戶。

（2）移動運營商服務(wù)平臺（SP）：負責(zé)認證用戶的合法性，移動通信運營商運用自己的支付平臺支持微支付交易。移動用戶通過手機發(fā)出指令完成交易，支付交易金額包含在手機費中。且與TTP進行支付交易核對。

圖1 3G移動微支付基本模型

（3）受信任的第三方（TTP）：提供公正仲裁等服務(wù)，為交易雙方提供安全交易機制，促進交易的生成。并與銀行進行現(xiàn)金兌換。

（4）可信的金融機構(gòu)（bank）：管理TTP的賬號，與 TTP進行現(xiàn)金兌換。

3.2 3G移動微支付協(xié)議描述

3.2.1 3G終端用戶（MS）入網(wǎng)認證過程

3G網(wǎng)絡(luò)接入安全機制主要有3種：臨時身份識別、永久身份識別、認證和密鑰協(xié)商（AKA）。

3G用戶入網(wǎng)認證改進后的過程如圖2所示。對改進后的整個驗證過程采用公鑰密碼體制進行加密，原f5和f5*產(chǎn)生的匿名密鑰算法可以去掉。同時對網(wǎng)絡(luò)端認證已采用HLR數(shù)字簽名，可以減掉一個異或器和f1，f1*算法。

3.2.2 用戶AES簽名產(chǎn)生過程

首先，用戶到營業(yè)廳辦理入網(wǎng)手續(xù)，用戶隨機選取一個隨機數(shù)r∈[1,n-1],作為移動用戶MS的私鑰，3G移動服務(wù)平臺產(chǎn)生私鑰K1,K2，計算相應(yīng)的公鑰P=rG，P1=K1G，P2=K2G，移動用戶入網(wǎng)認證成功后得到的隨機數(shù)RAND(R)和Ki（手機的SIM卡中存儲著用戶的國際移動用戶標識（IMSI）和用戶的私鑰 K，認證中心根據(jù) IMSI找到用戶的Ki）用算法產(chǎn)生 Kc∈GF(q)，然后計算 K′=KcP1+PP2，K′≠0，用K′作為會話密鑰，用AES算法反復(fù)加密，得到一個AES鏈：

此鏈在每次交易時一次性遞增使用，用戶保存當前的i、Ri和該鏈的有效期Expire。使用該鏈做為移動用戶每次購買商品的一次性簽名。

3.2.3 商家注冊網(wǎng)站過程

由受信任的TTP建立網(wǎng)站，提供給商家使用，商家可以租借或購買的形式使用該網(wǎng)站，商家只能裝飾網(wǎng)站內(nèi)容不能更改鏈接地址、商家提交銷售的商品類、商家簽名Signv、商家與用戶交易時的共享密鑰Kmv、商店名稱、商家IP地址、使用有效期等資料。TTP核對資料后發(fā)放注冊號IDv、有效期 T。

圖2 用戶MS入網(wǎng)認證過程

3.3 交易過程

（1）移動用戶MS登錄3G網(wǎng)絡(luò)，進入TTP的網(wǎng)站后自動生成臨時用戶標識IDm，瀏覽商品并選擇購買。商家V發(fā)送購買信息給用戶MS確認：

（2）用戶MS收到后，用Hash運算確認購買消息無誤后點擊網(wǎng)站的移動運營商服務(wù)平臺（SP）連接：

（3）移動運營商服務(wù)平臺（SP）檢查用戶的合法性后查詢用戶手機余額是否大于消費額p，如小于則發(fā)送“余額不足，請充值”的消息給用戶MS，如大于則發(fā)送“允許扣費”的消息給用戶，移動運營商服務(wù)平臺（SP）把用戶簽名過的信息存儲起來（用戶離線時，可用此簽過名的信息利用SMS與商家協(xié)商）并同時發(fā)送給TTP。

（4）用戶收到允許消費的信息后，把商家發(fā)送的信息經(jīng)過用戶MS簽名確認發(fā)送回給商家：

（5）商家V把用戶MS簽名過的貨單信息發(fā)送給TTP進行內(nèi)部操作，TTP對信息確認登記：

（6）TTP核對價格和簽名是否一樣，如一樣發(fā)送可發(fā)貨信息給商家。

（7）用戶收到商品后，登錄到TTP網(wǎng)站對商家進行評價和再次確認：

（8）TTP收到用戶的再次確認信息后，發(fā)送給SP，SP發(fā)送用戶消費后余額信息給用戶MS。

（9）TTP一天或一段時期后，但不能超過用戶簽名的有效期，到銀行換取現(xiàn)金后發(fā)送給商家。

4 協(xié)議的安全性與效率分析

安全性是網(wǎng)上交易面臨的最大挑戰(zhàn)。任何一種方案取得成功的先決條件就是實現(xiàn)高水平的安全性。此方案的安全性分析如下。

（1）要篡改或竊取用戶MS的一次性簽名必須要知道Kc和（i,Ri），Kc是由 3G移動終端用戶MS入網(wǎng)成功后收到歸屬位置寄存器 （HLR）發(fā)送的RAND和用戶的Ki經(jīng)過A8算法或其他更有效的算法得到，如果用戶SIM卡被其他人使用，由于不知道用戶的私鑰，其他人無法偽造簽名，具有不可否認性，比參考文獻[7]增加了破解的難度，即前向和后向都具有較高的安全性。

（2）消費無過度或重復(fù)，每次消費用戶都用AES一次性簽名，它是遞增使用的，并且不接受小于當前有效序號的簽名，該算法機制用戶的消費蹤跡，保證用戶不被跟蹤，且具有匿名性。

（3）每次有新的交易時，用戶MS都是使用 TTP生成的臨時標識IDm，商家無法知道用戶MS之前是否來消費過，具有可便性、靈活性。

（4）商家無法篡改或否認消費，購買信息有用戶MS確認后的簽名，商家發(fā)貨時經(jīng)過TTP同意，TTP保留商家簽過名的貨單，不可否認和篡改。

（5）用戶再次確認后，用戶的資金才會真正被扣除，第一次的確認，資金會被SP冷藏起來，再次確認后才會被解凍，消費掉。如果用戶無第二次確認，SP會在簽名有效期內(nèi)發(fā)送信息詢問用戶和TTP，如無特殊情況，SP發(fā)送成功交易給TTP，不存在用戶MS重復(fù)支付；且每次消費都會詢問SP，因此可以有效地防止用戶MS的惡意消費。

（6）用戶對商家進行評價，有利于TTP對商家的管理，只要貨物如實所訴，商家不用擔心無法收取現(xiàn)金。

協(xié)議的安全性比較結(jié)果見表1，在提出的方案中手機用戶進行微支付的安全性得到很好的保障。

表1 小額支付和微支付的安全性比較[9]

5 結(jié)束語

該方案提出在3G無線網(wǎng)絡(luò)環(huán)境下實行微支付協(xié)議，用戶身份認證得到肯定[10]，保證傳輸時數(shù)據(jù)的機密性和信息的完整性；提出交易過程中利用入網(wǎng)認證得到的隨機數(shù)和用戶SIM卡里的私鑰結(jié)合參考文獻[7]生成一次性簽名，該方法是M與B可以按挑戰(zhàn)響應(yīng)方式相互認證并得到會話密鑰，因此本方法安全性更高，且可保證交易信息的可認證性（可鑒別性）和防抵賴性；商家存儲用戶交易信息當中保留了用戶的臨時標識和簽名，保證用戶身份隱密和不可抵賴性比參考文獻[9]更實用。兌換現(xiàn)金不用商家直接參與，由TTP向銀行兌換，減少兌換人的數(shù)量，避免商家取不到現(xiàn)金。

1 Manasse M.The millicent protocols for electronic commerce.In:Proceedings of the 1stUSENIX Workshop on Electronic Commerce,New York,USA,July,1995

2 Rivest R,Shamir A,PayWord,et al.MicroMint:two simple micropayment schemes.In:Proceedings of the 4th Security Protocols International Workshop (Security Protocols),LNCS1189.Springer-Verlag,Berlin,1996

3 Peirce M. Multi-party electronic payments for mobile communications.Dublin:Computer Science University of Dublin,2000

4 姬東耀,王育民.基于PayWord的小額電子支付協(xié)議.電子學(xué)報,2002,30(2)

5 于寶東,金連甫,陳平.移動代理環(huán)境下實現(xiàn)微支付系統(tǒng)——擴展MilliCent協(xié)議.計算機工程與應(yīng)用,2004(26)

6 胡偉，鐘樂海.基于共享密鑰機制的微支付系統(tǒng)的研究.計算機時代,2004(7)

7 崔巖，劉永杰，周玉潔.一種適用于移動電子商務(wù)的微支付方案.計算機工程與應(yīng)用,2005(35)

8 鄧方民,許春香,張娟.基于ECC的移動通信認證和密鑰協(xié)商協(xié)議.計算機應(yīng)用與軟件,2006,23(2)

9 Mahmoud R H,Elahe S.A secure m-payment protocol for mobile devices.IEEE CCECE/CCGEI,2006(5):294～297

10 劉瑩，陸松年，楊樹堂.基于混合密碼的增強型3G終端入網(wǎng)認證方案.計算機工程,2008,34(20):149～153