您的位置:首页 >  新闻中心 > 短彩信知识
  短彩信知识
 

短信验证码在无证书加密移动支付方案中的应用

来源:原创    时间:2019-06-20    浏览:0 次

  针对移动支付中验证码泄漏问题,提出了一种基于无双线性对的无证书公钥加密短信验证码的移动支付系统方案。该方案引入了标记化思想,双因素认证,解决了移动端私钥存储泄漏问题。利用无证书公钥密码签密验证码,即使密文被泄漏,攻击者也无法的到真正的验证码,从而避免了验证码泄漏的风险。分析结果表明,该方案可以有效抵御多种攻击,并能对用户信息进行隐私保护,是一种安全可靠的移动支付方案。

image.png

  随着移动互联网和移动智能终端的飞速发展,移动支付也成为人们生活中的重要组成部分。根据CNNIC发布的第42次中国互联网络发展状况统计报告统计,截至2018年6月,中国手机网民规模达到7.88亿,上半年新增网民3509万人,较2017年末增加4.7%,网民中使用手机上网人群占比达98.3%。利用网络进行支付的用户规模达到5.69亿,其中手机支付用户规模为5.66亿,半年增长7.4%。伴随着移动支付用户的增加,相应的安全问题也越来越多。用户也越来越注重自己的个人隐私安全问题和财产安全问题。移动支付安全的风险主要来自恶意app软件,SSL/TLS漏洞,数据泄露,支付应用漏洞,短信验证不全面等。如今越来越多的网络服务开始使用短信验证码认证用户身份,当这些网络服务牵扯到本文的个人隐私和金融财产时,验证码的安全性显得更加重要。早期利用密码学技术构造的移动支付协议方案是由Chaum于1983年提出的,之后就出现了各种移动支付协议。提出了一种结合CaesarCipher和Vigenere算法的Android加密短信应用方案,实现对短信加密,但安全性不高且无法认证双方身份。采用了新型轻量级分组对称加密算法对短信进行加密,实现手机隐私保护,但存在对称密钥存储问题,无法实现双向身份认证。提出了一种基于相互认证和3DES加密的智能卡远程支付系统认证方案,该方案提高了支付系统的安全性能,且具有较小的计算复杂度。但目前基本都是使用AES进行加密,AES需要更短的密钥,相对3DES来说AES具有更强的安全性和更高的效率,并且本方案在支付时身份认证时安全性也不足。


  本文提出了一种基于无证书公钥签密短信验证码的移动支付解决方案,实现了对用户身份信息的隐私保护,避免了短信验证码泄露问题,有效的解决了移动端部分私钥的存储问题。相对于传统的公钥密码系统和基于身份的密码系统,基于无证书公钥密码解决了公钥证书管理,私钥托管问题。本文利用双因素认证增强认证安全性,并且利用无证书公钥密码签密实现了双向身份认证。分析结果表明,本方案提高了移动支付的安全性,是一种安全可靠的移动支付方案。