打开移动支付安全之门的智能密钥

所属类别: 深度报道    发布时间:2012-2-10   发布人:xiedq   来源:飞天诚信科技股份有限公司
 

    移动支付,是由移动运营商、移动应用服务提供商和金融机构共同支撑的,基于移动通信系统的增值业务应用。移动支付包括移动近程支付和移动远程支付两种方式:移动近程支付,是指基于近距离无线通信技术,在交易现场通过移动终端与交付终端完成支付的方式;移动远程支付,则是指基于移动通信网络,通过运行于移动终端的应用进行远程支付的方式。移动远程支付具体又包括两种方式,一是支付渠道与交易渠道分开,如通过计算机网络购买商品,而通过手机来支付费用;二是支付渠道与交易渠道相同。

    移动支付是一种新兴的电子支付方式。随着移动互联网应用的快速发展,互联网用户的使用习惯逐渐扩展到移动互联网环境,由此衍生出的支付需求使得移动支付尤其是移动远程支付的发展具备了良好的市场基础;3G网络和智能手机的普及降低了移动互联网的门槛,为移动支付提供了有利的发展条件;相关政策的支持和鼓励,为移动支付的发展壮大铺平了道路。随着移动支付的蓬勃发展,移动支付的安全需求及解决方案也日益受到关注,其中首要的就是用户身份认证和支付凭据不可否认的解决方案。

    PKI(Public Key Infrastructure,公钥基础设施)是基于非对称密码技术,在网络环境中提供数据加密以及数字签名服务的统一的技术框架。PKI是迄今最完善、安全强度最高的身份认证体系。与此同时,《电子签名法》颁布自后,数字签名已经成为具备法律效力的交易凭据。基于PKI的身份认证及数字签名,为移动支付用户身份的可信性,以及交易凭据的完整性与不可否认性提供了强有力的技术手段,是支付领域的身份认证和交易凭据机制的理想解决方案。将PKI以及以PKI为基础的数字证书与数字签名机制引入移动支付,能够极大地提高移动支付身份认证的安全强度,从根本上改善移动支付的安全水平。

    然而,尽管PKI应用在传统互联网环境中已经日趋成熟,在移动支付领域却面临着新的问题:第一,缺少适合的密钥和密码运算载体。目前的手机等移动终端普遍缺乏对RSA、AES等加解密算法的支持,同时考虑到对密钥存储和使用的安全要求,使用外接的密钥和密码运算载体势在必行。在传统的互联网环境中,USB Key被广泛地用作这一用途。然而,移动终端的形态千差万别,对USB的支持并不普遍,USB Key不适合在物联网环境下推广使用;第二,缺少访问和使用密钥载体的安全中间件。遵循MS CAPI、PKCS#11等规范,对其他应用提供访问和使用USB Key的软件接口,控制USB Key完成密码运算的软件,称为安全中间件。在安全中间件的配合下,应用能够通过统一的接口访问和使用USB Key,从而有效地减少开发的复杂度和工作量,为促进安全与应用的结合起到了积极的作用。然而,与传统互联网环境下Windows操作系统一家独大的情况不同,移动终端的操作系统呈现百花齐放的局面,包括Windows mobile(phone)、Linux、Mac OS、android……等等。因此,适用于移动支付的安全中间件必须妥善处理各种操作系统之间的差异,甚至具备跨平台的特性,这无疑大大增加了安全中间件的复杂度和开发的难度。

    飞天诚信科技股份有限公司(以下简称飞天诚信)是全球领先的智能卡操作系统及数字安全产品的供应商,基于客户需求持续创新,在网络身份识别、软件版权保护、智能卡操作系统等三大领域取得了领先地位。飞天诚信以十余年自主研发信息安全产品的经验为基础,将自主知识产权的USB Key架构与SD规格封装的信息安全芯片创造性地结合起来,推出了一种适用于移动支付领域的智能密钥设备:ePass2000SD。

    ePass2000SD是以micro SD规格封装的安全芯片为硬件载体,以飞天诚信自主知识产权的片内操作系统(Chip Operation System,以下简称COS)为核心,结合飞天诚信独立研发的适用于多种常见移动终端操作系统的安全中间件,是可用于移动支付领域的软硬件相结合的安全平台。

    ePass2000SD包括设备和软件两部分。设备的外观如图 1所示,其尺寸规格与普通Micro SD卡相同。与此同时,也可利用SD卡适配器,将其变为SD卡规格的设备。

图 1 ePass2000SD设备外观
ePass2000SD的具体参数如表 1所示。
表1 1ePass2000SD的安全和使用参数


标准

CSP/PKCS#11,支持X.509 v3标准证书格式,SSL v3,IPSec/IKE,兼容ISO7816

处理器

智能卡芯片

用户空间

64K

内置安全算法

RSA、DES、3DES、SHA-1、国密算法(可选)

芯片安全水平

安全加密的数据存储

存储容量

1GB/2GB.

接口类型

标准MicroSD接口,可通过适配器转换为标准SD接口

外观尺寸

11mm(W)x15mm(L)x0.7mm(H)/1.0mm(H)

总重量

≤0.11 克

外壳材质

二氧化硅 + 环氧树酯

数据存储年限

室温下数据保持时间最少10年

擦写次数

室温下最少擦写次数为10万次

ePass2000SD的配套安全中间件在Windows操作系统下提供标准CSP及PKCS#11接口,在移动终端操作系统下提供PKCS#11接口,能够与既有的PKI应用无缝集成。
ePass2000SD的整体架构如图 2所示。

图 2 ePass2000SD的系统结构

    ePass2000SD的硬件平台选用micro SD规格封装的智能卡芯片,通过EAL4+级别的安全认证,具有优秀的硬件安全防护水平,能够有效地保证内置密钥不向外界泄露,以及COS的运行不受外界攻击影响。以智能卡芯片为平台,ePass2000SD的COS在SDIO基础上封装和解析ISO 7816-4指令,以此与外界(安全中间件)进行数据通信。与此同时,实现了使用者身份认证、片内数据访问控制、数字证书管理、指令序列状态机等安全控制机制,以及并实现了非对称密钥生成及存储、加解密、数字签名等密码运算功能。ePass2000SD的配套安全中间件一方面向上层应用提供软件接口(在Windows操作系统下提供标准CSP及PKCS#11接口,在移动终端操作系统下提供PKCS#11接口),另一方面在通过SDIO协议与设备通信,将应用对接口的调用转换为相应的ISO 7816-4指令,下发给设备进行密码运算。与此同时,ePass2000SD安全中间件还实现了设备插拔监控、并发访问控制与同步等功能,还采用了软键盘等安全防护技术。目前,ePass2000SD已经实现对Windows操作系统及Android、Symbian、Wincdows CE、Windows Mobile等多种移动终端操作系统的支持。

    ePass2000SD既能应用于PC环境,也能够配合手机等移动终端使用。这使得用户在综合使用传统网络支付手段和移动支付(特别是远程移动支付)手段的时候能够使用相同的数字证书介质(身份认证标识),在当前多种支付手段共存的环境下有着特别的优势。图 3给出了ePass2000SD在远程移动支付和传统网络支付领域的应用设想。


图 3 ePass2000SD的移动支付应用示意图

    ePass2000SD提供了一种适用于移动支付领域的安全可信的、规范化标准化的密码运算平台,为PKI在移动支付领域下的部署及相关应用的实施打下坚实的基础。以ePass2000SD为基础,有助于实现可信的移动支付设备身份识别技术方案,从根本上改善移动支付环境的安全性,为移动支付环境下的信息安全提供有力保障。

 

 

 

添加到IE收藏夹 百度收藏 QQ书签 新浪ViVi 雅虎收藏夹

【友情提示】:

1、凡本网的所有原创作品,包括本网刊载经授权的文章以及标有“中国智能卡网”版权LOGO的图片,版权均属于中国智能卡网,转载者必需保证作品的完整性并注明“来源:中国智能卡网”和作者姓名。违反上述声明者,本网将追究其相关法律责任。
2、本网注明“来源:×××”的作品(非中国智能卡网原创的作品),均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,本网不承担此类稿件侵权行为的连带责任。
3、中国智能卡网立志于打造智能卡行业的创新服务平台,为智能卡产业界上下游尽心服务,如有任何问题及相关合作事宜,请发信至
(news#fondcard.com)(注:发邮件请把#换成@发送,谢谢合作)


 
新闻动态
推荐企业
北京神州优创科技有限公司
    北京神州优创科技有限公司成立于北京,是一家专注于智能卡发卡设备...详细
供求信息