物联网身份认证技术在移动支付中的应用研究.docx

物联网身份认证技术在移动支付中的应用研究.docx

《物联网身份认证技术在移动支付中的应用研究.docx》由会员分享，可在线阅读，更多相关《物联网身份认证技术在移动支付中的应用研究.docx（13页珍藏版）》请在冰点文库上搜索。

物联网身份认证技术在移动支付中的应用研究

1.研究方向：

移动支付中身份认证协议的研究与实现

2.主要内容：

微支付协议：

主要面向小额支付，比如地铁，公交刷卡等一卡通功能；属于离线支付，主要技术要求速度快

宏支付协议：

主要面向大额支付协议，属于在线支付，主要要求安全级别高

3.微支付协议：

（参考文献1）

3.1SASI协议及分析:

攻击分析:

之后的正常通信过程中IDS无法匹配，协议失效。

3.2彭鹏等的改进协议及分析

分析：

彭鹏等认为该协议能抗拒绝服务攻击（即数据不同步，正常服务拒绝），但经过分析是不能抗拒绝服务攻击的。

攻击如下：

（1）窃听并记录正常通信过程，干扰E1的传递；通信后的各方数据如下图：

（2）窃听正常通信过程，干扰E2传递；通信后的各方数据如下图：

（3）重放第一次记录的通信，通信后的各方数据如下图：

（4）正常通信被拒绝，协议失效

3.3我提出的协议及分析：

协议过程：

初始Tag中保存ID,IDS,K1next,K2next;

Read中保存IDSold,IDSnext,K1old,K2old,K1next,k2next;

工作过程：

（1）标签识别：

：

读写器发送Hello给标签，标签返回IDS和nT⊕K1（nT是Tag产生的随机数）给读写器。

（2）双向认证：

读写器在根据接收到的IDS匹配IDS=IDSnext或IDS=IDSold。

匹配之后，解出nT;产生随机数nR,并计算nx=MIXBITS（nT,nR）{参考文献1};A1=IDS⊕K2⊕nx,计算K1*=ROT（K1⊕nx,K1）,K2*=ROT（K2⊕nx,K2）,C=（K1⊕K2*）+（K1*⊕K2）。

读写器发送A1||C给标签，标签接收到A、C之后根据A计算出nR,用C来验证读写器的合法性。

验证成功之后，计算

D=（K2*∨ID）⊕（（K1∨K2），并发送消息D和nT⊕nR发给读写器。

（3）更新：

读写器收到D之后验证标签的合法性，验证成功之后更新IDSnext=（IDS+ID）⊕（nx+K1*）,IDSold=ID,K1next=K1*,

K1old=K1,K2next=K2*,K2old=K2,并计算E=ROT（nR⊕nT,nx），发送确认更新消息E给标签。

标签收到消息E之后，验证E成功才更新IDSnext=（IDS+ID）⊕（nx+K1*），K1next=K1*和K2next=K2*。

分析：

该协议具有计算量小，速度快的特性；有匿名，双向认证，抵抗数据不同步的功能；考虑攻击者窃听并截获第一次通信过程，干扰E1传递，Read更新，Tag不变，随后若是对Tag重放消息，由于（3）中的A中解出的nR必然不能匹配当次的nT，从而不能验证C，攻击失败；若是对Read重放消息，由于（4）有nR⊕nT，从而不能验证nR,攻击失败。

3.宏支付协议：

3.1基于ECC的身份认证协议：

3.2改进版的基于ECC的身份认证协议

上述协议为最流行的基于ECC的身份认证过程，考虑协议基于引入X.509证书作为双方身份消息实现相互认证，则协议具有更好安全性，考虑移动终端的处理能力和证书的传输需求，引入WPKI的移动证书标识：

将一个标准的X.509证书与移动证书标识一一对应，并且在移动终端中嵌入移动证书标识，用户每次只需要将自己的移动证书标识与签名数据一起提交给对方，对方再根据移动证书标识检索相应的数字证书即可。

移动证书标识一般只有几个字节，远小于WTLS证书，并且不需要对标准的X.509证书做任何改动。

协议执行过程如下：

（1）初始化：

用户和商家分别向服务提供商申请注册，并发送各自公钥和身份信息；ＳＰ向ＣＡ发送请求并签名，ＣＡ签名并构造证书；随后将证书ＵＲＬ签名，发给SP，ＳＰ签名保存ＵＲＬ，并分别发送给申请人；

（2）双向认证过程：

双方进行ＥＣＣ的认证流程，在验证证书的时候，将对方证书URL及相关信息发送给ＳＰ，由ＳＰ向ＣＡ请求证书，并将验证结果通知申请人。

该协议采用X.509证书完成ＥＣＣ的身份认证，并引入ＷＰＫＩ的移动证书标识解决了无线终端计算能力低，无线网络传输能力低的瓶颈问题；具有实际应用的功能。

4.具体实现:

javaGUI+mysql

4.1对微支付协议：

以javaGUI客户端模拟客户和商家，实现离线身份认证，在商家连线后与后台数据库更新数据

4.1.1模拟客户数据：

ＩＤ，ＩＤＳ，Ｋ１，Ｋ２；

4.1.2模拟商家数据：

IDSold，IDSnext　，K1old，K1next，K2old，K2next；

4.1.3身份认证过程：

按照协议流程认证，商家记录日志，存储客户的身份认证更新的IDS。

4.1.4后台更新过程：

后台数据库（和ＳＰ在一起）管理标签，存储ＩＤ，IDSold，IDSnext，K1old，K1next，K2old，K2next，并存储日志；

4.2对于宏支付协议实现：

以CS结构实现，以javaGUI实现模拟ＲＡ子系统，客户，商家，以winsows2003服务器作为CA子系统；

4.2.1客户端数据：

公钥，私钥，证书标识

4.2.2ＣＡ：

X.509证书，证书标识，提供证书管理

4.2.3ＳＰ：

提供ＲＡ子功能，提供证书认证功能，记录日志；

4.2.4客户与商家认证过程：

按照协议流程认证

5.初步设想效果图:

6.工作计划：

现在在写微支付，已经完成微支付GUI界面，在本学期完成微支付模块，明年完成宏支付模块

7.参考文献：

1.彭鹏，赵一鸣，韩伟力等.一种超轻量级的RFID双向认证协议[J].计算机工程,2011,37（16）:

140-142.

2.邓方民.移动支付系统安全机制研究[D].西电硕士论文.２００６.01.54-60

3.张永正.基于WAP的WPKI技术的研究与设计[D].北京交通大学硕士论文.2007.12.32-42

4.曹阳.基于无线局域网认证中　　ＥＣＣ密码体制的应用研究[D].电子科技大学硕士论文.2008.10.32-57

5.孙敏.基于ECC复合加密方法的移动支付安全研究与实现[D].江苏科技大学硕士论文.2011.03.33-50