王 健，彭新光

(太原理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院，山西 太原 030024)

責(zé)任編輯:許 盈

目前國內(nèi)的手機銀行發(fā)展前景廣闊，已有多家銀行先后推出了手機銀行業(yè)務(wù)。手機銀行作為銀行重要的金融服務(wù)渠道之一，不僅可與PC網(wǎng)上銀行、柜面渠道發(fā)揮同等作用，還能夠提供更具價值的增值服務(wù)，是3G時代穩(wěn)定和競爭零售銀行用戶的利器。通過與其他渠道協(xié)同，手機銀行可以把銀行金融產(chǎn)品低成本、高效率、無縫隙地傳遞到用戶手中。

目前國內(nèi)手機銀行仍存在一個主要的不利因素嚴(yán)重制約了用戶對手機銀行品牌的選擇與使用，即為“安全性”。安全性是大多數(shù)用戶選擇手機銀行品牌時都會關(guān)注的因素，目前手機銀行普遍使用的WAP技術(shù)已經(jīng)落后，雖然有其巨大的移動設(shè)備兼容性，但由于移動設(shè)備硬件設(shè)備漸漸發(fā)展完備，廉價的智能型移動設(shè)備開始在廣大用戶手中普及，廣大用戶在“能用”的基礎(chǔ)上開始關(guān)心“安全性”問題。

1 基礎(chǔ)知識

1.1 PKI

PKI(Public Key Infrastructure)是遵循一系列標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為基礎(chǔ)的一整套安全基礎(chǔ)設(shè)施的通稱。

PKI身份認(rèn)證機制以數(shù)字證書為核心，綜合采用對稱加密算法、非對稱加密算法、數(shù)字簽名技術(shù)等確保網(wǎng)絡(luò)中實體身份的真實性、信息的保密性、信息傳輸?shù)耐暾砸约安豢煞裾J(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

1.2 數(shù)字證書

數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進行信息交流及商務(wù)活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方證書的有效性，從而解決相互間的信任問題。簡言之，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性，證書格式及證書內(nèi)容遵循X.509標(biāo)準(zhǔn)。

2 手機銀行數(shù)字證書現(xiàn)狀

2.1 應(yīng)用領(lǐng)域

目前，國內(nèi)大部分銀行認(rèn)為:手機銀行+短信通道模式是安全的［1－3］，所以短信認(rèn)證被大面積使用［4］。國內(nèi)現(xiàn)有幾家銀行已上線iPhone版和Android版的手機銀行，在做付款和轉(zhuǎn)賬等業(yè)務(wù)時，使用6位密碼口令以及4位或6位短信交易口令，比如建行、招行。

與傳統(tǒng)的移動終端相比，現(xiàn)今用戶基本都在使用智能移動終端。如果安裝應(yīng)用時不注意應(yīng)用權(quán)限(大多數(shù)用戶都不注意)，則某些惡意應(yīng)用可注冊手機的短信接收功能，并會完全替代系統(tǒng)的短信程序［5］。這樣當(dāng)用戶手機接收到短信時，會先交由此惡意程序應(yīng)用處理，如果此應(yīng)用不再拋給系統(tǒng)的短信程序，則用戶不會發(fā)覺收到短信。

對于利用短信認(rèn)證碼的方式對用戶進行身份認(rèn)證，一旦用戶手機被惡意軟件侵入，則可攔截并轉(zhuǎn)發(fā)短信認(rèn)證碼，給用戶造成很大的經(jīng)濟損失。同時當(dāng)用戶的移動終端遺失，不用惡意軟件侵入，便可輕易獲得短信口令;另一方面，6位密碼口令和4位或6位短信口令，總位數(shù)都不過多位，可使用窮舉法等進行破解，安全級別可想而知。

2.2 科研領(lǐng)域

在科研領(lǐng)域，因為傳統(tǒng)PC網(wǎng)上交易中一直使用數(shù)字證書來進行加密和身份認(rèn)證。且根據(jù)電子簽名法要求，移動終端也需要一個支持電子簽名的設(shè)備，實現(xiàn)對網(wǎng)上交易的加密和身份認(rèn)證，所以移動終端中數(shù)字證書的應(yīng)用研究得到了極大的重視。傳統(tǒng)PC中，因PC皆含有統(tǒng)一的USB接口，因而UsbKey數(shù)字證書的應(yīng)用方式已經(jīng)非常成熟，得到了廣泛的應(yīng)用。但是在移動終端上因為便攜式的要求，大多數(shù)沒有提供標(biāo)準(zhǔn)的USB接口，所以無法使用成熟的UsbKey裝置，從而無法保障用戶網(wǎng)上交易的安全性。

綜上可知，阻礙移動終端中數(shù)字證書的應(yīng)用最大的問題是，在保證安全性的前提下需要統(tǒng)一的接口方式和存儲方式。目前移動終端中數(shù)字證書的應(yīng)用研究根據(jù)存儲方式主要集中在3方面:一為文件存儲［6－7］;二為智能Secure Digital(簡 稱 SD)卡 存 儲［8－10］;三 為 SIM 卡存儲［11－12］。

1)文件存儲:即數(shù)字證書存放在手機內(nèi)部存儲空間，再利用手機內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證以及對信息進行加密。

2)智能SD卡存儲:智能SD卡是一種具有SD接口的智能卡，它內(nèi)置硬件加解密模塊，能夠獨立實現(xiàn)加解密、數(shù)字簽名等功能;具有安全存儲區(qū)域，可用于存儲私鑰、數(shù)字證書等秘密信息。

3)SIM卡存儲:使用SIM卡作為數(shù)字證書的硬件存儲設(shè)備，SIM卡直接插入移動設(shè)備的SIM卡卡槽中，卡片中包含數(shù)字證書私鑰、加密運算CPU和普通SIM卡存儲空間3部分。

但以上3種方式，皆有其不足之處:

1)安全性

文件存儲的數(shù)字證書在使用時，將手機存儲空間中的數(shù)字證書私鑰解密到內(nèi)存中使用。這種方式存在一定的風(fēng)險，當(dāng)黑客等不法分子入侵、截取或復(fù)制設(shè)備內(nèi)存等時，可以獲得數(shù)字證書的私鑰等信息。SD卡和SIM卡一直放在移動終端內(nèi)部，一直處于連接狀態(tài)，因此給黑客等不法分子窮舉法、破解SD卡、竊取SIM卡提供了充分的時間和機會，一旦口令等得以破解，偽造身份將很容易。

2)分離性

3種方式有個共同的不足之處是未達到數(shù)字證書和移動終端的分離，從而未達到傳統(tǒng)PC中UsbKey應(yīng)用時即插、應(yīng)用完畢即拔的安全性。一旦手機遺失，將使得數(shù)字證書及移動終端都暴露在不法分子手中，將會更快速地造成損失。

3)應(yīng)用繁瑣性

文件證書存放于移動終端內(nèi)部存儲空間，所以只能使用相應(yīng)的移動終端證書發(fā)放系統(tǒng)，但需保證發(fā)放過程的安全性，成熟的方案即是利用數(shù)字證書進行加密和認(rèn)證，但手機應(yīng)用中數(shù)字證書的應(yīng)用安全性還存在問題。另一方面，如需應(yīng)用智能SD卡，則需更換帶處理算法功能的智能SD設(shè)備，且還需拷貝本機原有SD卡中的所有資料，如應(yīng)用智能SIM卡還需專門更換智能SIM卡。

3 手機銀行中的耳機key

3.1 耳機key概述

使用單獨的耳機key作為數(shù)字證書的硬件存儲設(shè)備，耳機key直接插入手機設(shè)備的音頻接口上。手機設(shè)備和耳機key單獨保存，使用時連接，使用完畢斷開，能夠有效地保證數(shù)字證書的安全性，保證手機銀行的資金安全不會受到手機病毒及木馬的威脅。

雖然手機銀行領(lǐng)域一直在研究數(shù)字證書的存儲問題，但其都未達到手機與數(shù)字證書的分離，安全程度不如耳機key。

3.2 手機耳機key技術(shù)原理

耳機key的組成模塊以及各模塊的主要功能如圖1所示。

圖1 組成模塊及模塊功能

1)移動終端模塊

證書API模塊負(fù)責(zé)對應(yīng)用程序提供數(shù)字證書操作功能，比如可以對某個操作進行簽名;COS指令接口按接口規(guī)范實現(xiàn)UsbKey處理模塊的邏輯處理，類似驅(qū)動層;音頻通信接口負(fù)責(zé)發(fā)送簽名操作和獲得返回結(jié)果，同時會進行數(shù)字信號和音頻信號的轉(zhuǎn)換。

2)耳機key模塊

ADC處理模塊負(fù)責(zé)模擬信號和數(shù)字信號的轉(zhuǎn)換處理;USB協(xié)議處理模塊封裝解析USB協(xié)議數(shù)據(jù);UsbKey處理模塊獲得存儲的數(shù)字證書，并進行加密運算，從而完成簽名操作和一般的UsbKey內(nèi)部模塊相似。

耳機key的工作流程如下:

(1)移動終端的證書API模塊，先調(diào)用內(nèi)部COS指令模塊，生成UsbKey處理模塊可識別的COS指令數(shù)據(jù)，通過調(diào)用音頻通信接口指令發(fā)起簽名操作。

(2)耳機key接收到音頻通信接口的指令后，由內(nèi)部模數(shù)處理，轉(zhuǎn)換指令為數(shù)字信號，發(fā)送到USB協(xié)議處理模塊。

(3)USB協(xié)議處理模塊將接收到的數(shù)字信號通過USB協(xié)議封裝，轉(zhuǎn)換成UsbKey處理模塊可以識別的USB協(xié)議數(shù)據(jù)，并發(fā)送給UsbKey處理模塊。

(4)UsbKey處理模塊根據(jù)接收到的USB協(xié)議數(shù)據(jù)，通過獲得數(shù)字證書和加密運算來進行簽名操作，生成簽名數(shù)據(jù)，并將簽名數(shù)據(jù)以USB協(xié)議封裝數(shù)據(jù)的格式發(fā)送給USB協(xié)議處理模塊。

(5)USB協(xié)議處理模塊將USB協(xié)議封裝數(shù)據(jù)轉(zhuǎn)換為數(shù)字信號，再通過模數(shù)處理模塊，轉(zhuǎn)換為音頻信號。

(6)移動終端獲得音頻信號后，通過模數(shù)轉(zhuǎn)換為二進制數(shù)字信號，再通過COS指令模塊轉(zhuǎn)換為證書API可以識別的簽名結(jié)果數(shù)據(jù)格式。

因為UsbKey加密及身份認(rèn)證原理有其標(biāo)準(zhǔn)規(guī)范，所以本文不詳細討論其設(shè)計問題。

另外，在步驟1)中，所述證書API模塊響應(yīng)來自于上層系統(tǒng)的功能調(diào)用，并根據(jù)功能對所述COS指令模塊進行調(diào)用;所述COS指令模塊響應(yīng)來自于證書API模塊的調(diào)用，生成相應(yīng)的UsbKey COS指令數(shù)據(jù)，并調(diào)用音頻通信模塊進行指令數(shù)據(jù)的傳遞;對COS指令層的調(diào)用屬于接口調(diào)用;所述音頻通信模塊調(diào)用移動終端操作系統(tǒng)API將指令數(shù)據(jù)生成音頻，并利用音頻播放方式使指令數(shù)據(jù)通過音頻口傳輸;對所述音頻通信模塊的調(diào)用屬于接口調(diào)用。

具體流程如圖2和圖3所示。

3.3 手機耳機key優(yōu)勢

手機耳機key優(yōu)勢為:

1)接口及存儲方式統(tǒng)一性

現(xiàn)有科研領(lǐng)域中阻礙數(shù)字證書應(yīng)用研究的最大問題，即在保證安全性的前提下無統(tǒng)一的接口方式和存儲方式。使用耳機key便可解決此問題，因為現(xiàn)有智能移動終端基本都是用3.5 mm耳機接口，所以接口方式統(tǒng)一為耳機接口方式，存儲方式統(tǒng)一為耳機key存儲。

2)平臺多樣性

現(xiàn)有智能移動終端基本都是用3.5 mm耳機接口，同時PC機也是3.5 mm耳機口。耳機key不但能夠用于大部分智能移動終端，同樣也適用于傳統(tǒng)的PC終端。

3)便捷性

移動設(shè)備上即插即用，無需安裝多余的軟件。

4)安全性

安全性為耳機key的最大優(yōu)勢。由于移動終端和耳機key單獨保存，不會發(fā)生移動終端丟失，數(shù)字證書也丟失的情況。且使用后即拔出，即使黑客等不法分子入侵，也無充分的時間破解或拷貝數(shù)字證書中的私鑰等信息。這種雙通道模式大大增加了用戶數(shù)字證書的使用安全。

同時，耳機key和應(yīng)用于普通PC端網(wǎng)銀的UsbKey內(nèi)部均使用USB協(xié)議等技術(shù)，安全程度等同于傳統(tǒng)PC端的UsbKey。

4 基于手機耳機key的手機銀行中數(shù)字證書應(yīng)用方案

4.1 耳機key數(shù)字證書應(yīng)用方案遵循的指導(dǎo)思想

1)易用性

手機銀行數(shù)字證書的應(yīng)用目的是方便網(wǎng)銀用戶在移動終端上使用網(wǎng)銀服務(wù)，由于移動終端的特殊條件，移動終端上的網(wǎng)銀服務(wù)要簡單、易用。

2)安全性

建立SSL加密通道來保證數(shù)據(jù)傳輸安全;利用耳機key中的數(shù)字證書對敏感業(yè)務(wù)數(shù)據(jù)進行電子簽名，保證數(shù)據(jù)信息的完整性、不可抵賴性。

3)兼容性

系統(tǒng)設(shè)計采用標(biāo)準(zhǔn)化和模塊化的原則，與現(xiàn)有的PC端證書體系和系統(tǒng)盡量兼容。

4.2 耳機key數(shù)字證書應(yīng)用拓?fù)鋱D

數(shù)字證書應(yīng)用拓?fù)鋱D如圖4所示。

圖4 數(shù)字證書應(yīng)用拓?fù)鋱D

4.3 耳機key數(shù)字證書應(yīng)用流程

4.3.1 數(shù)字證書簽發(fā)流程

為了達到兼容性及易用性的目的，網(wǎng)銀數(shù)據(jù)庫不做變動，用戶可以從銀行領(lǐng)取一張同DN，但保存于耳機key的數(shù)字證書。這樣網(wǎng)銀系統(tǒng)不會因為使用手機銀行業(yè)務(wù)而對自身的系統(tǒng)做大的改動。

4.3.2 用戶登錄網(wǎng)銀驗證流程

因傳統(tǒng)PC網(wǎng)銀使用的單向SSL通信，且單向SSL比雙向SSL的響應(yīng)速度會有明顯提升，為了達到兼容性和不會過大影響響應(yīng)速度的目的，所以選擇單向SSL通信。同時，增加身份認(rèn)證功能達到安全性的目的。

1)加密通道建立階段

手機銀行用戶端和服務(wù)器建立單向SSL，使傳輸?shù)乃袛?shù)據(jù)都必須經(jīng)過加密。

2)用戶身份驗證階段

(1)手機銀行用戶端在與服務(wù)器建立連接后，用戶端調(diào)用證書API模塊，使用耳機key中的用戶證書對服務(wù)器指定的字符串做數(shù)字簽名，并提交到服務(wù)器。

(2)手機銀行服務(wù)器驗證用戶簽名，并驗證用戶公鑰證書，包括是否為權(quán)威第三方機構(gòu)簽發(fā)，是否在有效期內(nèi)，并通過CRL文件驗證證書是否被吊銷。

(3)證書驗證通過后，手機銀行服務(wù)端從公鑰證書中提取用戶登錄數(shù)字證書的DN。

(4)手機銀行查詢該DN在網(wǎng)銀記錄中對應(yīng)的用戶信息。

(5)確認(rèn)信息是否與網(wǎng)銀應(yīng)用中的用戶信息一致，確定是否允許用戶登錄網(wǎng)銀。

3)交易簽名驗簽階段

(1)對于關(guān)鍵的交易，調(diào)用證書API模塊，使用耳機key中的數(shù)字證書對指定內(nèi)容進行簽名。

(2)簽名結(jié)果、簽名原文及耳機key中的公鑰證書自動上傳到服務(wù)器后臺進行驗簽。

(3)驗簽通過后，系統(tǒng)進行后續(xù)的操作，同時保存簽名結(jié)果。

4.4 方案優(yōu)勢

如表1所示，耳機key手機銀行方案與傳統(tǒng)短信驗證碼手機銀行方案相比，在安全性方面有明顯的優(yōu)勢。耳機key手機銀行方案不僅在登錄及交易過程中更加安全，而且可以保證分離性，即使手機遺失也不會對自己的財產(chǎn)造成影響。

在實現(xiàn)方式上，和傳統(tǒng)短信驗證碼手機銀行方案相同之處是，都需要開發(fā)相應(yīng)的手機銀行客戶端和服務(wù)端。不同之處是，耳機key手機銀行方案客戶端和服務(wù)端包含SSL通道加密、簽名并驗證是否為當(dāng)前用戶DN登錄、交易中對敏感信息進行簽名(以保證完整性和不可抵賴性);還需要耳機key中的數(shù)字證書(其中耳機key根據(jù)3.2節(jié)耳機key技術(shù)原理即可完成提供)來表明為當(dāng)前用戶的用戶信息，同時用其私鑰進行簽名認(rèn)證操作。

5 結(jié)束語

3G時代、智能手機時代的到來，使得手機銀行的應(yīng)用更加普遍，如何保證手機銀行的安全性，也是當(dāng)今時代研究的熱點。為了保證用戶在使用手機銀行時的個人利益，為了使得用戶用的放心，手機中數(shù)字證書變得至關(guān)重要。本文提出的這種基于耳機key的手機銀行數(shù)字證書方案具備良好的安全性和實用性。

表1 方案比較分析

［1］NARENDIRAN C，RABARA S A，RAJENDRAN N.Performance evaluation on end－to－end security architecture for mobile banking system［C］//Proc.WD ＇08.1st IFIP.［S.l.］:IEEE Press，2008:1－4.

［2］HARB H，F(xiàn)ARAHAT H，EZZ M.SecureSMSPay:secure SMS mobile payment model［C］//Proc.2nd International conference on Anti－counterfeiting，Security and Identification.［S.l.］:IEEE Press，2008:11－17.

［3］NARENDIRAN C，RABARA S，RAJENDRAN N.Public key infrastructure for mobile banking security［C］//Proc.2009 Global Mobile Congress.［S.l.］:IEEE Press，2009:1－6.

［4］劉人杰.手機短信安全與應(yīng)用研究.硅谷，2012(6):91－92.

［5］張麗娜，何遠.基于用戶意愿的智能手機安全監(jiān)控方法研究［J］.電視技術(shù)，2012，36(18):44－46.

［6］鄭智鵬.基于NFC及MOBILE KEY的ATM驗證系統(tǒng)［D］.廣州:中山大學(xué)，2010.

［7］FANG，ZHAN.Online banking authentication using mobile phones［C］//Proc.5th International Conference on Future Information Technology.［S.l.］:IEEE Press，2010:1－5.

［8］王四軍，茹昭.一種使移動終端無縫接入傳統(tǒng)網(wǎng)銀系統(tǒng)的方案［J］.計算機應(yīng)用與軟件，2011(12):102－104.

［9］趙正元.基于加密SD卡的移動終端安全接入方案的研究［D］.南京:東南大學(xué)，2010.

［10］邢詒俊.移動身份認(rèn)證服務(wù)系統(tǒng)的設(shè)計與開發(fā)［D］.北京:北京郵電大學(xué)，2008.

［11］馬志.手機銀行遭遇安全瓶頸 PKI－SIM或成突圍利器［J］.通信世界，2008(25):29－30.

［12］YIN Xue，ZOU Junwei.An improved dynamic identity authentication scheme based on PKI－ SIM card［C］//Proc.International Conference on Wireless Communications， Networking and Mobile Computing.［S.l.］:IEEE Press，2009:1－4.