李 峰 ，陳曉勤 ，錢守廉

（1.中國電信股份有限公司上海研究院 上海 200122；2.中國電信股份有限公司上海分公司 上海 200041）

基于2.4 GHz載頻的“翼支付”安全認證研究

李 峰1，陳曉勤2，錢守廉1

（1.中國電信股份有限公司上海研究院 上海 200122；2.中國電信股份有限公司上海分公司 上海 200041）

本文結(jié)合上海電信近期推出的2.4 GHz“翼支付”手機刷卡試點業(yè)務(wù)，在研究中國電信現(xiàn)有通信網(wǎng)絡(luò)、終端通信機制和安全認證協(xié)議的基礎(chǔ)上，提出在現(xiàn)有通信系統(tǒng)上構(gòu)建高安全、可管控、強認證的應(yīng)用系統(tǒng)架構(gòu)，以達到支付安全級別要求的體系結(jié)構(gòu)，從而更好地支持上海電信手機刷卡應(yīng)用系統(tǒng)的后續(xù)加載，并可作為目前復(fù)雜、多變的網(wǎng)絡(luò)環(huán)境的支付安全模型，以期對2.4 GHz手機刷卡支付應(yīng)用的發(fā)展方向提供借鑒。

安全與認證；2.4 GHz近場支付；翼支付；多應(yīng)用UIM卡

1 引言

國際移動通信新標(biāo)準提出要在RF-UIM卡基礎(chǔ)上提供支持電子商務(wù)和交易等多應(yīng)用，GSMA也號召全球運營商和手機廠商支持推廣手機刷卡功能。中國電信CDMA移動通信網(wǎng)絡(luò)和終端雖然具有入網(wǎng)認證、數(shù)據(jù)加密、攻擊檢測等優(yōu)勢，具有很廣泛的多應(yīng)用前景，但現(xiàn)有安全架構(gòu)對滿足2.4 GHz手機刷卡（非接觸支付）應(yīng)用的安全需求還 有 一 定 的 不 足[1，2]。

目前手機刷卡正處于普及的進程中，3G多應(yīng)用和開放性的業(yè)務(wù)特點，對移動通信系統(tǒng)安全性能提出了更高的要求。

加密和即時性問題是手機刷卡普及的首要障礙，雖然OTA功能能夠采用空中加密技術(shù)，相對而言存在很有效的安全保證。但是，承載在開放網(wǎng)絡(luò)上的激活指令、交易數(shù)據(jù)依然有被截獲的風(fēng)險。

身份識別的缺乏是限制支付應(yīng)用發(fā)展的第二大原因。當(dāng)手機僅僅作為通話工具時，密碼保護并不是很重要，但在作為支付工具時，設(shè)備丟失、密碼被攻破、病毒發(fā)作等問題都會對用戶造成重大損失。

信用體系的缺失是限制移動信息化應(yīng)用發(fā)展的第三大原因。在手機刷卡中，一些小額支付可以捆綁在手機話費中，但手機話費透支、惡意拖欠等現(xiàn)象十分常見，信用意識以及體系的不完善制約了移動信息化的普及和推廣。在實行“手機實名制”后，這個問題將會有比較大的改觀。

2 安全認證模型

2.1 身份認證模型

從認證需要驗證的條件來看，常用的身份認證方式主要有以下3種。

（1）用戶名/密碼方式

用戶名/密碼是最簡單也是最常用的身份認證方法，它是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道，因此只要能夠正確輸入密碼，計算機就認為他就是這個用戶。

（2）IC 卡認證

IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關(guān)的數(shù)據(jù)，IC卡由專門的廠商通過專門的設(shè)備生產(chǎn)，可以認為是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。IC卡認證是基于 “what you have”的手段，通過IC卡硬件的不可復(fù)制性來保證用戶身份不會被仿冒。然而，由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)很容易截取到用戶的身份驗證信息。

（3）生物特征認證

生物特征認證是基于生物特征識別技術(shù)的，受到生物特征識別技術(shù)成熟度的影響。生物特征識別的準確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病或污漬的影響，往往會導(dǎo)致無法正常識別，造成合法用戶無法登錄的情況。另外，由于研發(fā)投入較大而產(chǎn)量較小，生物特征認證系統(tǒng)的成本非常高，采用生物特征認證還具有較大的局限性，目前只適合于一些對安全性要求非常高的場合，如銀行、軍隊等，無法做到大面積推廣。

2.2 現(xiàn)有IC卡刷卡的安全架構(gòu)模型

現(xiàn)有IC卡安全認證應(yīng)用協(xié)議的一般流程如圖1所示。

① 讀EF；

② 更新EF；

③ 增加EF；

④管理信息請求；

⑤RF-UIM卡業(yè)務(wù)表請求；

⑥RF-UIM卡階段請求；

⑦RF-UIM卡檢測和主動式輪詢。

3 手機刷卡安全解決方案

3.1 手機刷卡安全目標(biāo)

手機刷卡的安全體系目標(biāo)可以參考3GPP定義的安全條款以及其詳細的定義3GPP TS 33.120，其安全目標(biāo)之一是確保能夠安全地提供電子商務(wù)、電子貿(mào)易以及其他一些互聯(lián)網(wǎng)服務(wù)[5]。上海電信推出的“翼支付”是基于2.4 GHz載頻的手機刷卡業(yè)務(wù)，集成了IC卡的安全級別，但由于2.4 GHz全卡的體系結(jié)構(gòu)、機卡接口的特性、手機電池和背殼的穿透性等特點，安全目標(biāo)有許多的差異。

（1）開戶安全

“翼支付”業(yè)務(wù)是一種需要定制的手機刷卡應(yīng)用服務(wù)，用戶需前往電信營業(yè)廳申請成為“翼支付”用戶。為保證申請的安全性，“翼支付”業(yè)務(wù)的申請者要在支持手機刷卡注冊的POS機上刷卡，POS機將相關(guān)信息送到后臺校驗，在校驗通過后，向手機發(fā)送一條確認短信；用戶用短信回復(fù)，驗證正確后，系統(tǒng)會給用戶手機下發(fā)“手機刷卡”密碼。這個流程確保了手機號碼是正確的，防止用戶輸入手機號碼誤操作時造成的錯誤綁定。后續(xù)該過程將改用CRM界面來操作。

（2）系統(tǒng)平臺安全

首先，“翼支付”業(yè)務(wù)平臺通過各種通信業(yè)務(wù)接口連接到上海電信內(nèi)部系統(tǒng)，以支持用戶認證；然后，平臺通過對稱加密來保證與各商家數(shù)據(jù)交流的真實性和保密性；最后，“翼支付”平臺按照相關(guān)的規(guī)定的通信及加密格式在后臺進行交換和交易數(shù)據(jù)。

（3）交易安全

交易過程中需保障資金流的安全，“翼支付”的業(yè)務(wù)流程設(shè)計保證了在任何情況下從POS機發(fā)送到后臺的指令是以用戶主叫號碼作為用戶的ID的。

（4）身份認證

“翼支付”業(yè)務(wù)平臺利用用戶的主叫移動號碼來鑒別用戶的身份。

（5）交易限額

對于離線錢包，“翼支付”平臺限制其每月消費額度，有效地控制了精心策劃的惡意欺詐帶來的損失。對于在線賬戶，由于驗證手段的可靠性，且用戶本人的簽名具有法律效力，因此不需要限制其消費額度。

3.2 攻擊模型分析

從上海電信目前推出的手機刷卡產(chǎn)品中可以看出，“翼支付”被攻擊方式主要包括以下幾種：

·RF-UIM卡片丟失或被竊；

·用偽造的或空白卡非法復(fù)制數(shù)據(jù)；

·使用系統(tǒng)外的RF-UIM卡讀寫設(shè)備，對合法RF-UIM卡上的數(shù)據(jù)進行修改，如增加存款數(shù)額，改變操作級別等；

·在手機刷卡交易過程中，用正常RF-UIM卡完成身份認證后，中途變換RF-UIM卡，使得卡上存儲的數(shù)據(jù)與系統(tǒng)不一致；

·在RF-UIM卡讀寫操作中，對接口設(shè)備與手機近場通信時所作交換的信息流進行截聽、修改甚至插入非法信息。

對上述攻擊進行分類抽象，可以分為以下幾種[5，6]。

·侵入式攻擊：這類攻擊直接對RF-UIM卡的芯片內(nèi)

部進行攻擊，甚至修改芯片內(nèi)的電路。侵入式攻擊通常耗時較長，需要昂貴的設(shè)備加以配合。上海電信手機刷卡目前的RF-UIM卡使用硬件加密，一旦密鑰被破解，難以補救，一般做法只能是更換RF-UIM卡，成本極高。

·半侵入式攻擊：這類攻擊也是針對RF-UIM卡的芯片內(nèi)部展開，但是不會對芯片進行修改。密鑰由應(yīng)用方設(shè)計，如設(shè)計人員有心透露，同一型號產(chǎn)品采用同一個密鑰，破解者只要破解出一張卡的密鑰就可推理出這一型號的RF-UIM卡密鑰。

·非侵入式攻擊：這類攻擊不會破壞RF-UIM卡體或內(nèi)部芯片，一般通過觀測管腳信號或借助其他可能的漏洞，比如2.4 GHz的射頻邊緣信號容易被非法的 POS機截取。

從應(yīng)用層來看，當(dāng)天翼手機成為“翼支付”的業(yè)務(wù)平臺時，在應(yīng)用層進行攻擊將是一個很普遍的情況；當(dāng)CDMA無線接入網(wǎng)的安全性能不斷提高時，后臺支付結(jié)算平臺會成為今后被攻擊的重點；隨著CDMA或EV DO移動無線檢測設(shè)備的價格不斷下調(diào)，為惡意攻擊者創(chuàng)造了條件，而且，這些設(shè)備一般都是以軟件為基礎(chǔ)的，只要修改相應(yīng)的部分就可以仿造現(xiàn)有網(wǎng)絡(luò)。另外，IP技術(shù)的應(yīng)用也使得惡意節(jié)點容易偽裝成網(wǎng)絡(luò)節(jié)點。因此，應(yīng)采取措施防止主動攻擊；由于天翼手機的功能越來越依賴于軟件技術(shù)，雖然這在一定程度上提高了終端功能的靈活性，但是也使得惡意者可以利用偽“代碼”或“病毒”攻擊終端軟件。

3.3 天翼移動支付安全解決方案

（1）鎖卡和鎖應(yīng)用

“翼支付”手機刷卡和IC卡刷卡最大的區(qū)別在于手機作為業(yè)務(wù)的載體，交互性比較強，可以通過RF-UIM卡主控密鑰鎖定RF-UIM卡和卡上的各種應(yīng)用。當(dāng)手機丟失時，原有IC卡不記名、不掛失的屬性得以修改，用戶可以及時通過關(guān)閉RF-UIM卡來鎖定各種RF-UIM卡上的應(yīng)用，通過OTA方式可以即時鎖定應(yīng)用。對于無OTA的地區(qū)，關(guān)機時不能刷卡，需要開機才能刷卡，所以在丟失的手機開機入網(wǎng)認證時，會被檢測到位置，通過POS管理系統(tǒng)下發(fā)黑名單阻止開卡的交易。

鎖卡和鎖應(yīng)用承載在cdma2000 1x或EV DO上，cdma2000 1x采用的是CAVE算法，EV DO采用的是MD5算法。RF-UIM卡操作執(zhí)行鑒權(quán)計算和產(chǎn)生密鑰，如圖2所示。

RF-UIM卡存儲IMSI_M和IMSI_T參數(shù)，這兩個參數(shù)的低10位數(shù)分別編碼為34 bit的兩個子參數(shù)IMSI_M_S和IMSI_T_S。這兩個參數(shù)的低 7位再編碼為 24 bit的IMSI_M_S1和 IMSI_T_S1,第 8～10位編碼為 8 bit的IMSI_M_S2和IMSI_T_S2。大多數(shù)應(yīng)用的鑒權(quán)計算都使用IMSI_M_S1、IMSI_T_S1、IMSI_M_S2 和 IMSI_T_S2。這些計算中使用的IMSI在RF-UIM卡插入手機時確定。命令Get Response使RF-UIM卡將輸出參數(shù)AUTHR或AUTHU傳遞給手機。臨時參數(shù)可以存儲在RF-UIM卡上，以用于密鑰計算。密鑰的計算由Generate Key/VPM操作執(zhí)行，如圖3所示。Generate Key/VPM操作用于處理在Run CAVE操作的鑒權(quán)計算中產(chǎn)生的臨時參數(shù)。由密鑰生成/VPM操作產(chǎn)生的密鑰，有些直接用于手機加密，有些則在手機中進一步處理用于ECMEA和ECMEA_NF加密功能。

RF-UIM卡由于支持卡片鎖定和應(yīng)用鎖定/解鎖功能，手機刷卡應(yīng)用商可以根據(jù)要求設(shè)定密鑰嘗試次數(shù)，超過次數(shù)限制，則RF-UIM卡鎖定或者加載應(yīng)用鎖定。RF-UIM卡支持密鑰專用，不同的應(yīng)用可以設(shè)定不同的密鑰，從而使攻擊者不容易得手。

（2）OTA 密鑰更新

如果用戶對錢包或手機存折設(shè)置了密鑰，對于有OTA的地區(qū)，可以通過OTA直接進行RF-UIM卡應(yīng)用的密鑰更新。對于無OTA的地區(qū)，可以利用電信營業(yè)廳的POS機進行應(yīng)用的密鑰更新。

由于RF-UIM卡原有電信應(yīng)用和錢包應(yīng)用區(qū)間是相互隔離的，因此，密鑰的改動不會影響到原有通信功能的使用。OTA短信下發(fā)的命令格式如圖4所示。

（3）射頻接口的安全交互

由于RF-UIM卡和POS間通過射頻信號傳遞數(shù)據(jù)，客觀上增加了入侵的風(fēng)險，目前在RF-UIM卡上建立操作菜單，通過RF-UIM卡菜單的操作進行參數(shù)的傳遞，采用如下方案可減少直接操作RF-UIM卡內(nèi)部的額外風(fēng)險。

·序列號加擾：除原有認證外，設(shè)備中增加第二重認證，如綁定RF-UIM卡的出廠序列號，因為被破解的是扇區(qū)的密碼，RF-UIM卡本身并沒有被破解，因此可以將扇區(qū)內(nèi)的數(shù)據(jù)和序列號做關(guān)聯(lián)，并且采用一定的算法來干擾直接讀出序列號。

·扇區(qū)加擾：增加第三重加密，扇區(qū)內(nèi)數(shù)據(jù)和序列號+扇區(qū)關(guān)聯(lián)，并采用一定的算法來干擾直接讀出序列號+扇區(qū)。

·動態(tài)加擾：增加第四重加密，扇區(qū)內(nèi)的數(shù)據(jù)和隨機數(shù)關(guān)聯(lián)，并且采用一定的算法來自動生成隨機數(shù)，隨機數(shù)的范圍越大，被破解的可能性就越小。射頻接口交互的流程如圖5所示。

由芯片操作系統(tǒng)COS保證了RF-UIM卡上數(shù)據(jù)的完整性。當(dāng)寫操作或其交易過程異常中斷時，COS負責(zé)恢復(fù)異常的數(shù)據(jù)，使交易過程不會出現(xiàn)不確定的中間狀態(tài)，大大簡化了交易終端的異常處理程序，統(tǒng)一交易終端的交易處理流程?？▋?nèi)CPU具有使用對稱或非對稱算法對交易數(shù)據(jù)進行簽名（TAC）的功能，終端或通道無法偽造出交易數(shù)據(jù)的數(shù)字簽名，因此無法偽造交易數(shù)據(jù)。同時通過2.4 GHz射頻的功率控制，進行距離有效性控制，這點由于涉及更多復(fù)雜的原理，另文敘述。

4 結(jié)束語

從上文分析可知，cdma2000 1x、EV DO網(wǎng)絡(luò)和支付平臺的密鑰產(chǎn)生機制和認證協(xié)議仍有一定的安全隱患，就算是3G通信系統(tǒng)，仍然存在一定的安全缺陷，如沒有建立公鑰密碼體制和難以實現(xiàn)用戶數(shù)字簽名。本文解決方案包括：采用CPU的RF-UIM卡，增強運算能力，加強密鑰等的安全算法能力；采用靈活的安全算法，用戶可以根據(jù)需要設(shè)置不同的算法和密鑰，可實現(xiàn)更好的兼容性和功能擴展性；針對移動通信系統(tǒng)和CPU卡支付系統(tǒng)的各自特點，進行能力互補，利用通信網(wǎng)元的各種能力，增強了原有IC卡的安全性。

上海電信手機刷卡安全將從以下幾個方面加以發(fā)展和完善。

·建立適合未來移動通信系統(tǒng)的安全體系結(jié)構(gòu)模型：比如，在網(wǎng)絡(luò)安全體系結(jié)構(gòu)模型中，應(yīng)能體現(xiàn)近場RFID網(wǎng)絡(luò)的安全需求分析和實現(xiàn)的安全目標(biāo)等。

·由對等私鑰密碼體制向混合密碼體制的轉(zhuǎn)變：在未來移動通信系統(tǒng)中，將針對不同的安全特征與服務(wù)，采用私鑰密碼和公鑰密碼混合的體制，實現(xiàn)RF-UIM卡和POS的雙向認證。

·安全體系向透明化發(fā)展：未來的RF-UIM卡密鑰管理中心應(yīng)能獨立于系統(tǒng)設(shè)備，具有開放的接口，能獨立地完成雙向鑒權(quán)、端到端數(shù)據(jù)加密等安全功能，甚至對網(wǎng)絡(luò)內(nèi)部人員也是透明的。

·新密碼技術(shù)的廣泛應(yīng)用：隨著密碼學(xué)的發(fā)展以及移動終端處理能力的提高，新的密碼技術(shù)如量子密碼技術(shù)、橢圓曲線密碼技術(shù)、生物識別技術(shù)等將在手機刷卡系統(tǒng)中獲得廣泛應(yīng)用，加密算法和認證算法自身的抗攻擊能力將更強健，從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。

·手機刷卡的安全措施更加體現(xiàn)面向用戶的理念：用戶能自己選擇保密級別，安全參數(shù)既可由網(wǎng)絡(luò)默認，也可由用戶個性化設(shè)定。

1 ISO/IEC 18092.Information technology-telecommunications and information exchange between systems-near field communicationinterface and protocol(NFCIP-1)，2004

2 ISO/IEC 21481.Information technology-telecommunications and information exchange between systems-near field communication interface and protocol-2(NFCIP-2)，2005

3 Qualcomm CDMA 1x RTT security overview，2002

4 3GPP TS33.102 V4.2.0.Security architecture，2001

5 3GPP TS33.902 V4.2.0.Formal analysis of 3G authentication protocol，2001

6 Implementation of authentication and encryption in DMSS by QCT software team of qualcomm，2001

7 辛偉.cdma2000系統(tǒng)的安全機制.電信網(wǎng)技術(shù)，2003(8)

8 杜詩武，王志遠，劉彩霞等.cdma2000 1x系統(tǒng)中的實體認證及其實現(xiàn).電訊技術(shù)，2005(4)

9 石亦欣，李蔚.NFC芯片與SIM卡連接的方案研究.中國集成電路，2007(7)

Research of Security and Authentication System for e Surfing Payment Based on 2.4 GHz Carrier Wave

Li Feng1，Chen Xiaoqin2，Qian Shoulian1
（1.Shanghai Research Institute of China Telecom Co.，Ltd.，Shanghai 200122，China；2.Shanghai Branch of China Telecom Co.，Ltd.，Shanghai 200041，China）

Based on an experiment 2.4 GHz NFC（near field communication）payment service of Shanghai Telecom Corporation，the paper presents a new method of more secret and managed to build a framework of authentication application system on the basis of existed communication network，terminal mechanism and security protocol.As for a payment security model in the complex changeful network setting，the method can satisfy the level of payment security and support the load of the improved mobile phone payment system，and provide use for reference of 2.4 GHz mobile phone payment application.

security and authentication，2.4 GHz NFC，e surfing payment，multiplication UIM card

2010-07-06）