物联网身份认证技术在移动支付中的应用研究.docx

1、物联网身份认证技术在移动支付中的应用研究1. 研究方向：移动支付中身份认证协议的研究与实现2. 主要内容：微支付协议：主要面向小额支付，比如地铁，公交刷卡等一卡通功能；属于离线支付，主要技术要求速度快宏支付协议：主要面向大额支付协议，属于在线支付，主要要求安全级别高3.微支付协议：(参考文献1)3.1 SASI协议及分析:攻击分析:之后的正常通信过程中IDS无法匹配，协议失效。3.2彭鹏等的改进协议及分析分析：彭鹏等认为该协议能抗拒绝服务攻击（即数据不同步，正常服务拒绝），但经过分析是不能抗拒绝服务攻击的。攻击如下：（1）窃听并记录正常通信过程，干扰E1的传递；通信后的各方数据如下图：（2）窃

2、听正常通信过程，干扰E2传递；通信后的各方数据如下图：（3）重放第一次记录的通信，通信后的各方数据如下图：（4）正常通信被拒绝，协议失效3.3我提出的协议及分析：协议过程：初始Tag中保存ID,IDS,K1next,K2next; Read中保存IDSold,IDSnext,K1old,K2old,K1next,k2next;工作过程：（1）标签识别：读写器发送 Hello 给标签，标签返回 IDS和nTK1(nT是Tag产生的随机数)给读写器。(2)双向认证：读写器在根据接收到的 IDS 匹配IDS=IDSnext 或 IDS=IDSold。匹配之后，解出nT;产生随机数 nR,并计算 nx

3、=MIXBITS(nT,nR)参考文献1;A1=IDSK2nx , 计 算 K1* =ROT(K1nx ,K1) , K2*= ROT(K2nx ,K2),C=(K1K2* )+(K1*K 2 )。读写器发送 A1|C给标签，标签接收到 A、C 之后根据 A计算出 nR,用C来验证读写器的合法性。验证成功之后，计算D=(K2*ID)(K1K2)，并发送消息D和nTnR发给读写器。(3)更新：读写器收到D之后验证标签的合法性，验证成功之后更新IDSnext=(IDS+ID)(nx+K1*),IDSold=ID,K1next=K1*,K1old=K 1 ,K2next = K2*,K2old =K

4、2,并计算 E=ROT(nRnT ,nx )，发送确认更新消息 E给标签。标签收到消息E之后，验证 E成功才更新IDSnext =(IDS+ID)(nx + K1*)，K1next = K1*和K2next= K2*。分析：该协议具有计算量小，速度快的特性；有匿名，双向认证，抵抗数据不同步的功能；考虑攻击者窃听并截获第一次通信过程，干扰E1传递，Read更新，Tag不变，随后若是对Tag重放消息，由于（3）中的A中解出的nR必然不能匹配当次的nT，从而不能验证C，攻击失败；若是对Read重放消息，由于（4）有nRnT，从而不能验证nR,攻击失败。3. 宏支付协议：3.1基于ECC的身份认证协议

5、：3.2 改进版的基于ECC的身份认证协议上述协议为最流行的基于ECC的身份认证过程，考虑协议基于引入X.509证书作为双方身份消息实现相互认证，则协议具有更好安全性，考虑移动终端的处理能力和证书的传输需求，引入WPKI的移动证书标识：将一个标准的X.509证书与移动证书标识一一对应，并且在移动终端中嵌入移动证书标识，用户每次只需要将自己的移动证书标识与签名数据一起提交给对方，对方再根据移动证书标识检索相应的数字证书即可。移动证书标识一般只有几个字节，远小于WTLS证书，并且不需要对标准的X.509证书做任何改动。协议执行过程如下：（1） 初始化：用户和商家分别向服务提供商申请注册，并发送各自

6、公钥和身份信息；向发送请求并签名，签名并构造证书；随后将证书签名，发给SP，签名保存，并分别发送给申请人；（2） 双向认证过程：双方进行的认证流程，在验证证书的时候，将对方证书URL及相关信息发送给，由向请求证书，并将验证结果通知申请人。该协议采用X.509证书完成的身份认证，并引入的移动证书标识解决了无线终端计算能力低，无线网络传输能力低的瓶颈问题；具有实际应用的功能。4. 具体实现:java GUI+mysql4.1对微支付协议：以java GUI客户端模拟客户和商家，实现离线身份认证，在商家连线后与后台数据库更新数据4.1.1模拟客户数据：，；4.1.2模拟商家数据：IDSold，IDS

7、next，K1old，K1next，K2old，K2next；4.1.3身份认证过程：按照协议流程认证，商家记录日志，存储客户的身份认证更新的IDS。4.1.4后台更新过程：后台数据库（和在一起）管理标签，存储，IDSold，IDSnext，K1old，K1next，K2old，K2next，并存储日志；4.2 对于宏支付协议实现：以CS结构实现，以javaGUI实现模拟子系统，客户，商家，以winsows2003服务器作为CA子系统；4.2.1客户端数据：公钥，私钥，证书标识4.2.2 ：X.509证书，证书标识，提供证书管理4.2.3 ：提供子功能，提供证书认证功能，记录日志；4.2.4

8、客户与商家认证过程：按照协议流程认证5. 初步设想效果图: 6. 工作计划：现在在写微支付，已经完成微支付GUI界面，在本学期完成微支付模块，明年完成宏支付模块7. 参考文献：1. 彭鹏，赵一鸣，韩伟力等.一种超轻量级的RFID双向认证协议J.计算机工程,2011,37(16):140-142.2.邓方民.移动支付系统安全机制研究D.西电硕士论文. .01.54-603.张永正.基于WAP的WPKI技术的研究与设计D.北京交通大学硕士论文.2007.12.32-424.曹阳.基于无线局域网认证中密码体制的应用研究D.电子科技大学硕士论文.2008.10.32-575.孙敏.基于ECC复合加密方法的移动支付安全研究与实现D.江苏科技大学硕士论文.2011.03.33-50