文中分析和研究了基于NFC的手机支付系统及其安全性。在手机支付过程中，内置NFC芯片的手机被模拟为非接触识别卡，与POS端进行通信。由于金融行业的特殊性，确保交易过程的数据安全性就显得尤为重要。文中研究和建立了手机近场支付的交易模型，并对其可能存在的安全隐患进行分析。在对比分析了几种典型的对称加密算法和公钥加密算法后，提出基于RSA、ECC和AES 3种算法相融合的混合加密算法，此外，采用数字签名技术保证交易平台以及收单系统的合法性。在此基础上，设计出基于混合加密算法的交易流程，提高交易系统的安全性。
第2期 闰保中,等:基干NC的手机支付系统 SD卡中,其主要功能是为手机提供数字证书和加 攻击者窃取商家与买家之间的交易对话,导致 密、解密算法,该算法包括对称和非对称两部分。安交易被劫持。 全单元还应当对数据的安全分离起到支持作用,也 由以上分析可知,近场支付的安全性犹未重要 航是说,不同应用之间要想自由地进行数据访问,是在整个支付系统中,用户的敏感信息要保证被锁定 受到安全单元限制的。最后,SE模块能提高安全交在手机中,同时还要保证经过加密运算后的数据不 易的API。综上所述,在安全级别上,安全单元S能进行非法提取和运算,数据只能在合法交易的条 属于“可信”。 件下进行传输;在通信过程中,要对数据进行加密, 3)NFC控制器 栘动终端和受理终端之间通信数据的加密和解密过 NFC控制器主要完成对进场通信信号的调制程是保证交易安全进行的关键,这也是文中研究的 工作,同时支持3种通信模式的转换,支持现有重点。 RFD标准,支持与SE安仝单元之间的通信,属于 “不可信”级别。 2加密算法的研究与改进 4)移动支付服务器 作为两类典型的加密算法,对称加密算法与公 主要为交易双方提供认证,保证交易过程中的钥加密算法都是文中饼究的重点。典型的对称加密 安全,属」“可信”级别。 算法包括DES、3DES、AES,其优点是算法简单、通信 5)商家 双方使用同一·密钥、计算量较小;此外,加密过程的 商家主要包括两部分:前端 NFC POS机、应用速度较高,适合加密大数据,其效率高。但是由于交 服务器。主要的作用是对商品信息进行存储,将易双方要使用同一个密钥,因此安全性得不到保障, 成的订单反馈给客户,完成数据的采集和验证。在容易受到第3方攻击。典型的公钥加密算法包括 该模块中,叫能会存在虚假信息,对用户进行欺诈等RSA、FCC、 elgamal,其优点是安全性较高,由于该类 行为,因此属于“不可信”级别 算法大多数都是基」计算的复杂度,因此不易受到 由以上分析可知,在整个交易过程中,妟重点保第3方攻击:但是加密速度慢,不适合加密大量 护以下资产 数据。 1)SE安全模块; 因此文中提出采用两类算法相结合的方式,取 2)SE中存储的加密信息; 各自优点得以利用。 2.1对称加密算法 3)商品父易订单; 4)NFC手机应用。 3FS算法为DFS算法的改进版,是在DFS基 础上进行3次分块加密,因此其性能要好于DES,本 1.4威胁列表分析 节将不冉研究DES,主要对比分析3DES与AES两 1)RF射频通信联络窃听 种对称加密算法。 巾于NFC技术的特殊性——无线传输数据,因 由于两种算法都适合加密大数据,因此选取加 此数据就有可能在NFC标签和读卡器之间被窃取, 密文件进行性能的验证。待测试文件为txt格式,大 这些数据包含有用户的身份信息和交易信息等 小为466kb,在MFC界面上采用3DES加密算法进 2)S安全单元被破坏 行文件的加密和解密,如图2所示。 包括SE模块中的数据被恶意篡改、SE总安仝 密钥或者是证书丢失、SF单元模块受损导致不可 文件加密测试 用SE模块的访问控制被旁路等。SE单元模块可 文件选取 YLsersydminstraDADesklopvestbt 能是由于硬件故障导致的,也有可能是用户在下载 毒览 更新应用程序软件时攻击者可能在用户不知情的情 况下,向SE中插入一些恶意方的根证书,导致其安 文件解密 全功能失效。 文件保存 Jeer Admin dral Desklupesh 浏览 3)交易订单被恶意篡改 攻击者可以在用户手机上植人恶意软件,像是 加密时间 解密间应3e 些木马程序等等。这些程序会使攻击者得到修改 用户订单的机会,最终可能导致用户账户损失。 4)假冒交易方和进行中间人攻击 图23DFS算法加密/解密 应 用 科 技 第44卷 浏览选取待加密文件,将加密后的文件进行保 表3HC、HSA秘钥长度对比 存,加密时间很快反之选取待解密文件,将解密后的 ECC/bit RSA/bit 比率 文件进行保存,解密时间也十分迅速。图3为采用 160 1024 6 AES算法对文件进行加密和解密的界面 244 2048 今MES加密测试 256 3072 ⊥:12 文件加密测试 384 7680 文件选取 浏烷 512 15360 1:30 密128、192、256三种长度 文件加密 由表3可以清楚的看出,在保证相同的安全程 义件解密 度下,RSA的密钥长度要远远超过匚CC,因此LCC 文件保存 的密钥存储空间需求量较小,比较适合在移动终端 中使用。 加峦时间/01000 解密时间/ 2)钥生成时间对比分析 在考核两种算法性能的时候,加密密钥生成的 图3AES算法加密/解密 速度被认为是衡量的重要标准。对于不同的加密算 由图3分析可知,两种算法都能实现很好的加法,不同的密钥长度,其所需密钥作成的时间也会有 密功能,但是AES加密算法的加密和解密时间都要所不同。在保证加密数据长度相同,并且安全程度 髙于3DES算法。由于两种算法加密时间十分迅一致的情况下,输出得到两种加密算法密钥的生成 速,现测试IMB大小的Doc文件,记录其运行时时间;表4为两种加密算法的密钥生成时间,得到的 间,同时根据加密时间,计算出两种不同算法的效曲线如图4所示(被加密数据的数据长度为 率。如表1、2所小(AES采用的是128bit) 160 bits 表1加密/解密时间比较 表4FCC、RSA密钥生成时间log(10)·s 算法名称 加帟时间 解密时间 密钥 160 224/256 384512/ 3DE 4.765 4.171 长度102420483072768015360 A 1.261 3.582 ECC 0.22 0.31 0.42 0.63 1.0l 表2加密/解密效率比较(1be=8hit) RSA0.241.413652164908.8 算法名称加密速率/(MB·s-1) 解密速率/s 1000 ECC 3DES 1×8/4.765=1.679 1×8/4.171=1.699 100 RSA AES 1×8/1.261=6.335 l×8/3.582=2.234 由表1、2可知,AES加密速率明显高于3DES, 且AES算法密钥长度要大于3DES,安全性也得到 了充分的保证。因此文中将选取AES加密算法。 随三吧 2.2公钥加密算法 2601024224204825630723847630512/15360 公钥加密算法适合加密较短数据,因此,文中选 ECC/RSA密钥位数 取字符串进行加密。 图4ECC、RSA密钥生成时间对比 1)全性对比分析 图4中横坐标代表的ECC、RSA两种不同算法 之前对各个算法的分析,这两种算法都属于 在相同安全程度下密钥的长度,纵坐标代表的是不 公钥加密算法范畴,因此其安全性都可以得到保证,同密钥长度对应的密钥对生成时间,从图中可以清 RSA算法是基于大数的模幂运算,ECC算法是基于 ECDLP难解问题,两者在数学意义上,都属」难角晰的看到ECC算法的密钥生成时间短,适用于近场 范畴。但是FCDP是完全指数级,要高于RsA的支付的要求。 亚指数级,因此认为ECC算法的安全性史高4。 3)密/解密时间对比分析 国际组织有明确规定,要想保证两种算法安全程度 表5、6和图5、6分别为两种加密算法的加密和 相同,则两种算法密钥长度如表3所小。 解密时间 第2期 闰保中,等:基干NC的手机支付系统 55 表5ECC、HSA加密时间 5)占用存储空间小,ECC密钥的系统参数以及 密钥160/224/256384512/ 密钥的长度都要比RSA小很多,这也就表小其存储 长度102420483072768015360 空间比较小,这种特点在NFC芯片或者是IC卡上 ECO 0.47 1.09 1.9 3.91 5.73 显得尤为重要。 但是,ECC算法相对来讲比较新颖,属丁刚刚 RSA 0.18 0.22 1.71 10.14 起步的阶段,可能在人们对安全的信任度上不如 RSA,因此,文中结合以上分析讨论,决定采用AES、 lSA和ECC3种算法相结合的混合加密算法来实 8 A ECC 现对近场通信信息交互的加密,这样既保证了加密 -RSA 过程中的速度,也更好的保证了其信息的安全性 23混合加密算法 23.1复合公钥的构成 U1(P,k1)和U2(P,k2)为2种不同的公钥加密 算法,其中k1和k2分别代表其公开密钥;d1和d 代表两种加密算法的私钥。随机选取i,使其满足 260/l024224/2048256/3072384/763051215360 计+=n;假设明文P,将其表示成二进制数p1p2 ECC/RSA密钥位数 P+1…,p,将前项表示为P1,后j项表示为P2,P 图5RSA、ECC加密时间对比 P1P2,根据混合加密算法U=U1+U2,此时明文P 表6ECC、RSA解密时间 被加密后得到的密文为 密钥 224/ 256 C=U(P)=AU(P1+ BU,(P,) 长度102420483072768015360 此加密算法U的公钥为与A、B、k1和k2有关的 5.7314.41 数,私钥则与A、B、d1和d2有关。 RSA0.020.020.030.040.06 23.2解密过程 要想从密文中译出明文P,可以通过方程Ax+ ECC By=C解出U1(P1)和U2(P2),然后再利用U1和 15 RSA U2分别译出明文P1和P2,最终得出明文P。对于 三 方程Ax+By=C来说,属于一个不定的方程。可以 参考 Euclid算法,当(A,B)=1时,容易在多项式内 求解出方程的一个特殊解(x0,),此时方程的通 解可以表示为:x=x+Bt,y=y0-At 0 …-…-鲁… 2601024224/204825630723847630512/15360 如果此时给定密文U(P1)和U2(P2)所要满 ECC/RSA密钥位数 足的条件: 图6RSA、ECC解密时间对比 0≤U1(P1)<B0≤U2(P2)<A 通过以上对比分析可知,EC加密算法相对于则可以通过x=x+B与y=y-At唯一确定 RSA算法其优点体现在以下儿个方面: U1(P1)和U2(P2),从而得到明文P。 1)安仝性极高,由于该算法的安仝性取决于曲 对于入侵者来说,要想由密文C译出明文P,在 线上离散对数的难度,即在已知公钥和某点的情况不知道密钥的情况下,会遇到以下两点困难:1)在 下,很难得到私钥。在数学上,认为离散对数问题要不知道A、B的情况下,求解方程在数学计算上十分 比大数的因式分解难度系数更大,因此该算法的安困难,其难度大于大数的分解,因为如果令B=0,那 全性更高; 么方程Ax+By=C就变为Ax=C,解x的过程就变 2)密钥长度短,目前,ECC算法160位的密钥为分解整数因子C之积了;2)即使可以得出 产的效果可以相当于RSA算法1024位密钥产小U1(P1)和U2(P2)的值,则还需要分别破译才能得 的效果; 出明文,这显然会比单独破译一种公钥加密算法要 3)密钥的产生简单,该算法可以在短时间内产费时间。结合以上两点分析,该混合公钥加密算法 生合适的密钥,与其他公钥算法比较,较为简单; 在全程度上要更高。 4)需要较低的带宽,较低的宽带使得该种加密 1)加密模块 算法在无线网络领域有着较为广泛的前景。 图7为混合加密算法的加密过程。 56 应 用 科 技 第44卷 明文消息 AES加密与HMAC签名 法的效率。在整个加密过程中,采用的会话密钥是 次性的,这样,即使有攻击者在信息交互过程中, ALS帟钥 消息密文签名文 截取了会话密钥,也不至于影响到整个交易过程中 数字信封 ECC, RSA 的安全性。此外,交易信息被3种算法双层加密,同 混合公钥 密钥密文 时还采用了签名认证的方法,其安全性得到了充分 接受方公钥 的保障。 图7混合加密算法加密过程 3混合加密算法的交易流程研究与验证 ①产生密钥:用文章之前介绍的方法,生成密 钥对 3.1基于混合加密算法的流程设计 ②对明文信息进行加密:用AES加密算法对明 本设计结合了前文所述的混合加密算法,此外 文P进行加密,加密后得到密文C,所用的加密密钥还加入了HMAC数字签名技术,保证交易双方的合 记为KA; 法性。 ③密钥加密:用混合公钥加密算法,加密KA, 整个交易过程的流程如图9所小。 得到AES密钥块。具体方法是将KA分组,前i项 采用RSA加密算法,生成密文为Ci,后j项采用 移动终端 受终端收单系统 EC加密算法,生成密文为C; 容户端软件SE ④数字信封:用HMAC算法对明文进行签名, 账户遗择 得到属于明文P的摘要值 诮求 1生成 登录 ACC,71生成订单 ⑤传递信息 客户端 aroc Indent 将密文C、签名、加密后的密文C,C(AES密 软件联户成答2防神突种 请求 钥块)。 2生成ECC、RSA 2)解密模块 混合公钥PK 与私钥SK 图8为混合加密算法的解密过程。 4发送公钥 交易请求 HMAC 用PK加密 AES密销 EK(PK, Requst 用EK加密 HMAC 签名密文密文信息对称密钥解一明文消息 ACC, CA ARQC 密钙密文十私钥解密十ALS密钥 CA, ARCO HSK解密EK, ECC、RSA 并解密出ACC 混合私钥 AARQC aCC C 图8混合加密算法解密过程 8AES加密后 RAQC Indent、7身份、 ①密钥解密:对AES密钥块中的两部分分别用 账户审 的 Indent, 9解密数据,ARPC以 ZARPC 核,给 RSA和FCC进行解密,得到KA 外部认证确用HMAC 出授权 ②解密密文:用KΔ,对密文C解密,得到明 定收单系统 文P 合试性远9 Pay, HMAC 过后输人 密吗 0.Pa ③签名验证; 转账 用混合加密算法私钥对接收到的签名块进行验 品示交 证,将发送的摘要值和计算的摘要值相比较,如果比 易成功 较结果一致,则说明密文没有篡改,如果不一致,则 图9基于混合加密算法的交易流程 说明密文不再安全。 1)用户通过手机,打开相应应用程序,登录客 文中提出的混合加密算法将对称加密算法和公户端软件系统,同时发送账户选择的请求给安全单 钥加密算法相结合,取其各自的优势,弥补各自的不元,SE进行应答的同时生成账户信息(Acc),此外 足,这样不信安仝性提高,而且很好的提升了加密算还要给收单系统发送交易授权请求(ARQC);生成 第2期 闰保中,等:基干NC的手机支付系统 订单( Indent)后,带有NFC的手机处」卡模拟模式 2)加密时间,如表8所示。 在射频场中完成整个交易过程 表8加密时间 2)通信的双方完成防冲突仲裁工作,该过程主数据ECC/ECC+比 ECC ECC+RSA+比EC 要依据 NFC Digital协议的有关规定。 大小/ MB ms AES/ms提高/%AES/ms提高/% 3)受理终端根据ECC、RSA混合公钥加密算 38.6 15.5 12.1 法,生成混合的公钥(PK)和私钥(SK) 10298.889.1 4)受理终端将3)中的公钥(PK)以及交易的诮205886188268 196.1 求命令( Request)发送给移动终端。 30881.2267.1 255.1 71 5)移动终端接收到信息后,用传输过来的公钥 4011 351.2 71 加密AES嫆钥(EK),用EK加密交易授权请求 01476437.5 429.1 71 (ARQC)、移动终端数字证书(CA)以及账户信息 3)解密时间,如表9所示。 (Aco),将其发送到受理终端。 表9解密时间 6)受理终端用之前保留的私钥(SK)对EK进 数据上CC/ECC+比 ECCECC+HSA+比上CC 行解密,并且依次将ARQC、Acc、CA解密出来,这些大小 MB mS AFS/ms提高/%AES/m提扃/% 信息与订单信息( Indent)一同发送给收单系统,等 39.3 61 15.2 待授权。 10300 88.3 7)收单系统在接收到信息后,对交易用户进行 205915190.3 185.2 身份认证,判断是否为合法用户,通过审核后,给出 30883.1264.4 261 授权确认(ARPC)信息以及命令码。 401183.3348.7 345.2 8)经过授权后的受理终端,将订单信息(In 501475.5432.1 70 429.5 71 dent)与授权确认(ARPC)进行加密,利用的加密算 法为AFS,同时利用HMAC算法生成摘要值,然后 4)总体时问复杂度,如表10所示。 表10总体时间复杂度 将以上信息发送给移动终端。 9)栘动终端在收到ARPC后,实行消息鉴别码 数据ECC/ECC+比 ECCECC+RSA+比ECC 大小/ MB ms AES/ms提高/%AFS/ms提高/% (MAC)认证,在确认订单信息完好无损的情况下 178.5 18 手动输入密码(Pay),然后将经过加密的信息传递 10600.1246.5 233.2 给受理终端,该过程用的加密算法为前文所述的混 201l85174 496.4 合公钥加密算法,完成以上操作后,移动终端可以离 开射频场。 301765700.2 701.4 402377933.3 923.1 10)此时,用户可以通过手机端,清晰的了解到 5029531152.1 61 1144.3 61 订单的详尽信息,此时,收单系统接收来自于受理终 端传递过来的密码,进而完成转账。 综上所述,该混合加密算法既能保证加密速度、 3.2交易流程性能验证 数据安全,也能发挥公钥加密算法对密钥管理方便 1)密钥小成时间,如表7所示。 的优点,非常适合手机近场支付。 表7密钥生成时间 3.3改进后交易流程安全性分析 文中提出的手机支付流程可以很好的增强近场 数据大小/ MB ECC rSA+ AES ECC+RSA+AES 支付的安全性,具体来说 17.2 1)密钥存储的安全性:安全单元S存储在移 18I 动终端内部,采用上文提到的两级密钥管理系统,包 18.6 括主控制密钥和交易密钥,主控制密钥不能被读取, 21.5 只能参与运算过程,交易密钥用来对信息加密,存储 在移动终端内部,这样可以增强交易系统的安全性。 23.6 2)密钥传输的安仝性:支付密码以及交易密钥 58 应 用 科 技 第44卷 经过ECC和RSA混合加密运算后,传递的并非为 西北大学,2013:1-31 明文信息,受理终端生成的混合公钥再对支付密码[2]陈凯,盂旭东NHC移动通信终端的研究与应用[J.现 和交易密钥进行加密,因此在不知道私钥的情况下, 代电信科技,2008(11):18-21,35. 是很难得到明文内容的。 [3]徐子杰.多层加密算法的设计与分析[冂].计算机工稈与 3)数据传输的安全性:传输在受理终端和移动 应用,2005,41(24):36-37 终端之间的订单信息 Indent以及确认消息全部是经[4]王红珍,李竹休基于AES和EC的混合加密系统的设 过AES加密算法进行加密的,并且受理终端会对信 计与实现[J」.电∫设计工程,2012,20(4):9-11 息再次进行加密,在公开的通信信道中,明文是不可 ELGAMAL T. A public key cryptosystem and a signature 见的。 scheme based in discrete logarithms[ J. IEEE TransacTions 4)交易认证的安全性:采用外部命令认证保证 on information theory, 1985, 31(4): 469-472 收单系统的合法性,即判断自己存储的ARQC与经6张文丽,电子商务中的数字签名技术[J科技广场, 2011(7);102-10 过计算后的ARPC是否相等。在审核交易初始阶 [刁]钱穎.大容量数据的安全传输技术研究[D].太原:中北 段,收单系统验证预先写入移动终端的签名,保证栘 大学.2011:4-5 动终端的合法性。 [8]苑卩国.网终身份认证技术研究和VKEY身份认证系 5)数据的完整性:在整个交易传输的过程中, 统的实现[D].西安:西北工业大学,203:17-21 加入消息验证码HMAC,通过该方法可以确保得到[9c8.0 完成的数据。 and Information Exchange between Systems-Near Field Com 6)交易的实时性:相比于传统交易,该交易流 munication-lnterface and I'rotoco NFCIP-1[ Z]. 2004: 34 程算法实现速度更快,时效性更好,在交易过程中, 40P 将一部分交易流程放人后台进行处理,可以有效减[10徐国霞.一种基于椭圆曲线的序列号软件保护方案 少交易的线上时间。 LJ」.计算机安全,2011(6):43-44 4结束语 [1I]贾凡,佟鑫.NFC手机支付系统的安全威胁建模[J] 清华大学学报:自然科学版,2012,52(10):1460 文中是以实际科研项目为背景,研究和设计了 1464 基于NFC技术的手机支付系统。通过近场支付交[12]黄华云储存数据安全[J.信息系统工程,2015 易模型的分析,分析近场文付过程中可能存在的安 (2):74.56 全隐患;同时,对整个系统的安全性进行分析,提出[13]RMV.网络安全:加密原埋、算法与协议[M].金 基于RSA、FCC、AFS共3种算法相结合的混合加密 名,张长富,译.北京:清华人学出版社,2007 算法,并将其应用J近场支付交易流程中,从而加强14]郭雪雪,谢福.云环境下基于￡CC的数字认证技术的 了这个交易过程的安全性。 研究J.计算机与教学工程,2015,43(3):473-476, 参考文献: 526 [15]苏晓燕.基于NFC技术的 Android移动支付终端的设 [冂]陈琳.基于NFC技术的近场攴付安全性研究[D西安 计与实现[D].成都:西南交通大学,2013:7-8 本文引用格式: 闫保中段希冰.基于NrC的手机支付系统[].应用科技,2017,44(2):51-58 YAN Baozhong, DLAN Xibing. Research on the securily of mobile payment syslenn baser on NFCLJ. Applied sc ience and lechnology 2017,44(2):51-58