基于貼片智能卡的手機(jī)銀行APP軟件安全性問(wèn)題研究.pdf

1、隨著手機(jī)銀行用戶飛速增長(zhǎng)，移動(dòng)互聯(lián)網(wǎng)的支付安全問(wèn)題日益突出。欺詐分子通過(guò)病毒、釣魚(yú)網(wǎng)站和木馬遠(yuǎn)程控制等方式竊取客戶銀行卡信息，盜取客戶資金，給移動(dòng)金融安全帶來(lái)更多挑戰(zhàn)。因此，研究出移動(dòng)環(huán)境能夠適用的安全支付方案成為當(dāng)下迫切需要解決的問(wèn)題。
　　本文通過(guò)分析與研究移動(dòng)終端在無(wú)線環(huán)境中的安全隱患，將公鑰證書(shū)技術(shù)與貼片智能卡相結(jié)合，提出了符合銀行安全需求的手機(jī)銀行安全解決方案。手機(jī)銀行的安全架構(gòu)包含客戶端身份認(rèn)證的安全、交易數(shù)據(jù)傳輸?shù)陌?/p>

2、全和交易數(shù)據(jù)抗抵賴性，貼片智能卡通過(guò)結(jié)合公鑰證書(shū)技術(shù)，保護(hù)手機(jī)銀行安全。同時(shí)，貼片智能卡直接與SIM卡貼合安裝于手機(jī)內(nèi)部，解決了音頻Key和藍(lán)牙Key攜帶不便捷問(wèn)題，也解決了SDKey無(wú)法兼容iOS問(wèn)題。具體工作如下:
　　(1)分析手機(jī)銀行安全問(wèn)題及需求:對(duì)手機(jī)銀行系統(tǒng)進(jìn)行了安全問(wèn)題分析，主要針對(duì)用戶系統(tǒng)和手機(jī)銀行系統(tǒng)進(jìn)行安全需求分析和安全風(fēng)險(xiǎn)分析，得出手機(jī)銀行主要需求解決身份認(rèn)證問(wèn)題、傳輸安全問(wèn)題和抗抵賴問(wèn)題。針對(duì)問(wèn)題，本文結(jié)

3、合公鑰證書(shū)技術(shù)，設(shè)計(jì)了手機(jī)銀行系統(tǒng)安全流程，包括客戶端銀行PIN碼保護(hù)，客戶端與應(yīng)用服務(wù)器間消息完整性和關(guān)鍵域加密流程，證書(shū)申請(qǐng)流程，證書(shū)登錄流程，數(shù)據(jù)簽名及驗(yàn)證簽名流程。
　　(2)設(shè)計(jì)與實(shí)現(xiàn)COS安全體系:本文參考國(guó)家密碼局智能卡相關(guān)規(guī)范，設(shè)計(jì)并實(shí)現(xiàn)貼片智能卡安全COS。安全COS設(shè)置指令解析和權(quán)限控制機(jī)制為上層應(yīng)用提供入口，設(shè)置密鑰管理機(jī)制保證密鑰安全，設(shè)置訪問(wèn)認(rèn)證機(jī)制保證貼片智能卡的訪問(wèn)安全，還設(shè)置了敏感數(shù)據(jù)硬隔離等方案，

4、保護(hù)COS的安全。根據(jù)監(jiān)管要求，金融行業(yè)信息安全產(chǎn)品需要進(jìn)行國(guó)密改造，逐步禁止使用國(guó)外產(chǎn)品。結(jié)合銀行實(shí)際需求，安全COS除了支持RSA算法外，同時(shí)還支持SM2非對(duì)稱算法，手機(jī)銀行可根據(jù)需求修改證書(shū)參數(shù)，即可支持國(guó)密證書(shū)。
　　(3)設(shè)計(jì)與實(shí)現(xiàn)安全中間件:設(shè)計(jì)并實(shí)現(xiàn)安全且便于集成的中間件，安全中間件由API接口、通道管理、安全狀態(tài)控制和分散密鑰存儲(chǔ)四個(gè)部分組成。安全中間件API接口參考CSP接口設(shè)計(jì)，為手機(jī)銀行提供數(shù)據(jù)加解密，簽名和

5、驗(yàn)證簽名等API，使得貼片智能卡可以便捷的集成到已有的手機(jī)銀行APP中。通道管理、安全狀態(tài)控制和分散密鑰存儲(chǔ)部分共同作用控制API訪問(wèn)安全，提升手機(jī)銀行APP的安全性。
　　(4)貼片智能卡綜合測(cè)試:通過(guò)編寫(xiě)正向用例和反向用例，分別對(duì)安全中間件和安全COS進(jìn)行了全面的測(cè)試。測(cè)試實(shí)際輸出結(jié)果與預(yù)期一致，驗(yàn)證了安全中間件和安全COS的各項(xiàng)功能，安全性達(dá)到預(yù)期要求。
　　本文設(shè)計(jì)與實(shí)現(xiàn)的貼片智能卡安全解決方案基本能解決手機(jī)銀行交易