基于OTA技术的手机钱包的安全机制研究

摘要

21世纪，随着移动互联网的高速发展和智能手机的日渐普及，各种新型支付方式不断涌现，NFC近场支付便是其中之一。目前电信运营商、手机厂商和金融机构的NFC布局正在加速，手机用户可以更换专用SIM卡，安装手机钱包客户端，将手机模拟成各类电子卡片，利用基于射频技术的近场通信完成刷卡消费。NFC近场支付的普及将引发一次电子设备使用方式革命，出门只需带上手机，就可以在公交车，地铁，超市，加油站，公司等地畅通无阻。NFC近场支付交易额占移动支付总比例虽然还很小，但潜在的市场空间巨大，业内人士都很看好NFC手机支付前景。决定近场支付产业兴衰的各种因素里，安全问题依然是非常重要的问题，因此本课题选取NFC近场支付领域的安全问题为研究对象，具有重要意义。
　　使用手机钱包进行近场支付之前，有两个步骤必不可少:一是下载卡片应用，二是给钱包充值，这两个步骤都可以在营业厅完成，但是对用户来说，每增加一项新应用，或每次充值都要在营业厅办理，非常不方便。因此运营商提出，将OTA空中下载技术应用到手机钱包中，OTA使用无线通信网络传输数据，一方面提供了便利，另一方面也带来各种安全问题。如果安装了手机钱包的手机落入他人手中，安全措施不可靠，则可能被盗刷钱包账号。OTA下载过程中，最受关注的安全问题是身份合法性和传输保密性。本课题的研究目的，是通过分析基于OTA技术的手机钱包业务所面临的安全威胁，指出目前采用的身份认证和加密方式的不足，并提出改进方案，为手机钱包的登录认证、卡片下载和空中充值提供必要的安全保障。
　　本课题完成工作包括以下几个方面:针对静态口令存在的易被窃取的安全风险，提出基于PIN码认证+静态口令的双保险身份认证，即使丢失手机，也不会被冒充身份;提出支付密码+动态验证码的支付认证模式，即使静态支付密码被窃取，依然能阻止非法用户操作;针对3DES密钥较短且有弱密钥的不足，改进适用于手机钱包的加密方案，利用MAC校验保证数据完整性，采用安全性更高的AES算法生成会话密钥Kc;对手机钱包客户端进行需求分析，利用AndroidSDK开发平台，采用Java语言开发设计实现了手机钱包客户端的核心功能，并对其进行安全分析。结果表明，本课题提出的基于OTA技术的手机钱包安全方案，能有效保障卡片下载和空中充值的安全性，大大降低了数据泄露和钱包被盗用的安全风险。本课题设计开发的手机钱包客户端是开放且模块化的，不针对某家具体的运营商，具有通用性和实用性，为运营商大规模发展近场支付业务提供了可靠的安全解决方案。

目录

声明

摘要

第1章 绪论

1．1 课题开发背景及意义

1．1．1 移动支付与近场支付

1．1．2 OTA下载与手机钱包

1．2 国内外研究现状

1．3 课题研究内容

1．4 论文组织架构

第2章 信息网络安全理论

2．1 信息安全概述

2．2 密码学相关原理

2．2．1 对称和公开密钥体制

2．2．2 加密算法

2．3 身份认证技术

2．3．1 静态密码

2．3．2 短信动态密码

2．3．3 安全芯片

2．3．4 智能卡、口令牌和USBKey

2．3．5 常见多因素身份认证方式对比

2．4 本章小结

第3章 近场支付及手机钱包技术

3．1 OTA基本概念和原理

3．2 近场通信和近场支付

3．3 手机钱包生态系统

3．4 手机钱包客户端功能需求

3．5 本章小结

第4章 手机钱包安全方案设计

4．1 手机钱包安全性需求

4．2 身份认证保证用户身份合法性

4．2．1 基于静态口令的身份认证

4．2．2 基于SIM卡PIN码的身份认证

4．3 多级动态密钥方案保证数据传输安全性

4．3．1 多级动态密钥方案

4．3．2 MAC校验

4．3．3 双向身份认证

4．4 基于支付密码+动态验证码的支付安全认证

4．5 本章小结

第5章 基于OTA技术的手机钱包安全设计与实现

5．1 Android平台介绍

5．1．1 Android系统简介

5．1．2 Android应用程序组件

5．1．3 Android开发平台的搭建

5．2 手机钱包功能总体设计

5．3 手机钱包关键模块详细设计

5．4 手机钱包功能实现

5．4．1 创建ADT项目

5．4．2 导出Android应用程序

5．4．3 PIN码解锁

5．4．4 注册和登陆

5．4．5 卡片下载

5．4．6 空中充值

5．5 基于OTA技术的手机钱包安全性分析

5．5．1 基于PIN码解锁的身份认证

5．5．2 支付密码+动态验证码的充值双保险

5．5．3 卡片下载中的SIM卡身份认证

5．6 本章小结

结论

致谢

参考文献

攻读学位期间取得学术成果