移动微支付协议Payword的改进与形式化分析

周 璇， 汪学明

(贵州大学计算机科学与信息学院，贵州贵阳550025)

0 引 言

由于无线通信和移动网络的快速发展，越来越多的人们开始使用手机或 PDA上网。大量商家开始为这一群体提供服务，如浏览网站、下载音乐等。这些服务并不完全免费，需要收取额外的费用。为满足交易的可靠性、公平性和安全性的需求，需要安全支付协议。在实际交易过程中，由于支付和结算过程的交易额普遍较低，且无线网带宽和传输效率较低，因此支付协议首先需要解决小交易额的支付和结算问题，另外支付协议的设计不能太复杂，必须保证在现有无线网带宽和传输效率下协议能正常执行。目前的无线上网设备运算速度并不够快，为此支付协议的运算量不能太大，至少需低于无线上网设备能承受的最大运算量。

1996年RonaldL.Rivest和AdiShamir[1]提出了Payword和MicroMint两种微支付协议，其中Payword微支付协议备受关注。Payword微支付协议的突出特点是注重效率，它是基于可信任的双方之间的交易。但正是它注重效率的原因，使得其本身存在很多的不足，如不满足不可否认性。2000年L.Buttyan对Payword微支付协议进行了扩展，但扩展的Payword微支付协议不能达到完全的公平性。2008年汪杨琴对Payword协议进行了改进，通过预支付方法达到了一定的公平性[2]。2009年孟健等人针对交易频繁的移动场景，对Payowrd进行了改进了，使用可自更新的Hash链机制，提高了效率，最大程度实现了公平交换[3]。2009年汪学明和崔楠对通信限制场景下安全移动支付协议进行了研究[4]。真正的公平性需要Payword微支付协议满足不可否认性[7]，本文将从不可否认性出发对Payword微支付协议进行改进。Syverson和Oorseho提出的SVO逻辑是一个实用的模态逻辑，它具有很强的可扩展性，通过扩展SVO逻辑可分析各种不同类型的安全协议[5]。SVO逻辑从产生至今广泛运用于各种电子商务协议的分析与验证，取得很好的效果。移动微支付协议属于电子商务协议，我们将运用SVO逻辑分析移动微支付协议。

本文对Payword协议的交互过程进行分析，指出Payword协议在协议交互过程中不满足不可否认性。对Payword协议进行改进，并对SVO逻辑进行扩展。用扩展后的SVO逻辑对改进的Payword协议进行形式化分析。

1 Payword微支付协议及存在的问题

Payword协议的参与者有三方：用户(U)，商家(V)，中介(B)。该协议使用非对称加密实现数字签名，保证用户信息的可靠性和保密性。一般使用RSA公钥加密算法。协议在支付和结算时，使用哈希函数保证交易金额不可伪造，同时也保证运算的快速和高效以及结果的安全性[9]。Payword协议的交互过程如图1所示。

图1 Payword协议交互过程

Payword协议交互过程说明：①用户提交个人信息给中介；②中介反馈用户的签名信息；③用户向商家发送签名信息和交易申请以及金额；④商家提供服务；⑤商家发送结算信息给中介。Payword协议交互过程中，过程③是用户向商家提交支付，当商家收到支付信息后并未反馈任何信息，商家在收到支付后可以未收到支付信息为由欺骗用户，不提供服务信息给用户；过程④中商家为用户提供完服务后，当用户收到服务信息后也并未向商家发送已接收服务确认信息，用户可以未收到服务信息为由，要求商家继续为其提供服务，从而达到欺骗商家的目的。综上所述，过程③、④的交互过程不能满足不可否认性。因此，有必要对Payword协议进行改进使其满足不可否认性。

2 Payword微支付协议的改进

Payword微支付协议因不能满足不可否认性，当产生纠纷时，用户没有证据证明已付费，商家也没有证据证明已提供服务，在双方都无证据的情况下，纠纷无法得到公平的解决。改进Payword微支付协议的重点在于如何使双方在产生纠纷时，两方中至少有一方可提供证据。因此协议的改进将围绕这一点进行。改进的协议如下：

(1)U→B((credit-card-number),{credit-card-number}SKU,{PKU,V}PKB)

(2)B→U({B,NU,PKU,E,IU}SKB,{V,PKV}SKB)

(3)U→V(CU,{V,W0,D,IM}SKU)

(4)U→V((Gi,Wi,It),{{Gi,Wi,It}SKU}PKV)

(5)V→U({Wi,It}SKV,{{services}SKV}PKU)

(6)U→V({It,services acknowledge}SKU)

(7)V→B(M,{Plast}SKV,CU,{It,services acknowledge}SKU)

改进的Payword微支付协议与原Payword微支付协议有同样的参与者：用户(U)，商家(V)以及中介(B)。原Payword微支付协议为用户(U)和中介(B)提供了安全的传输通道，对于无线网，提供安全的传输通道将花费一定的开销，使得移动电子支付成本较高，不利于移动电子支付的快速发展。改进的Payoword微支付协议并不为用户(U)和中介(B)的通信提供安全传输通道。由于用户(U)与商家(V)进行交易之前需要中介(B)为用户(U)发放身份认证证书，用户首先将自己的信用卡号(creditcard-number)进行哈希运算得到 (credit-card-number)(是强单向哈稀函数)。通过对信用卡号进行哈希运算可降低了无线网传输中的信息量，同时为中介(B)验证信用卡号正确性提供依据；之后将信用卡号(credit-card-number)用自己的私钥SKU加密得到{credit-card-number}SKU，保证信用卡号的机密性，并用中介(B)的公钥PKB加密信息(PKU,V)，其中PKU为用户公钥，V为商家信息；最后用户发送 (credit-card-number),{credit-card-number}SKU和{PKU,V}PKB给中介(B)，此过程为改进协议中的过程(1)。协议过程(1)结束后中介(B)将为信用卡号credit-card-number建立账户编号NU，编号NU作为用户U的代名，保证用户交易的匿名性。同时中介(B)生成用户(U)的证书CU={B,NU,PKU,E,IU}SKB，并用中介(B)的私钥加密商家信息V和其公钥(PKV)，随后完成协议过程 (2)。其中E代表这次交易的有效期；IU代表附加信息。用户接收中介(B)发送的信息后，验证商家信息V是否正确，若不正确，用户(U)将再次发送{PKU,V}PKB给中介(B)。

协议过程(1)、(2)结束后，用户(U)与商家(V)进行通信，若用户(U)第一次与商家(V)通信，则需执行协议过程(3)，用户(U)随机选取数Wn，生成一条用于支付的杂凑链W0,W1,……Wn，其中Wi-1= (Wi)[10]。在交易前用户(B)首先发送用户证书CU和承诺M({V,W0,D,IM}SKU)给商家(V)，商家(V)有此承诺才会与用户(B)进行交易。承诺M中的D为当前日期，以此抵制重放功击，IM为附加信息。交易过程中，为保证商品信息(Gi)和费用P的保密性和正确性，用户(U)发送商品信息(Gi)、费用P(P=(Wi,It))的哈希值 (Gi,P)以及费用Gi和P的签名加密({Gi,P}SKU)PKV给商家(V)，It为当前日期信息以保证费用P的新鲜性；随后商家反馈费用P的签名{P}SKV，以及商家(V)提供的服务(services)，services需用商家(V)的私钥 SKV和用户(U)的公钥 PKU进行签名加密，以保证services的保密性。P的签名{P}SKV作为用户(U)已支付的证据；当用户(U)收到(services)后，用户(U)发送给商家(V)服务确认(services acknowledge)和时间信息It，并用用户(U)的私钥SKU进行签名，{It,services acknowledge}SKU作为商家已发送服务的证据。服务确认信息中的It可保证服务确认信息的新鲜性，因为It为交易当前时间，倘若没有It，商家(V)可使用以往的服务确认信息欺骗中介(B)。经过交易过程，双方都拥有各自的证据，纠纷也可得到公平处理。若用户(U)之前已和商家(V)交易过，则只需执行协议过程(4)至(6)。

一般商家(V)向中介(B)兑换金额的周期以一周为兑换期限，抑或更长的时间，这个时间由中介(B)来确定。当商家(V)向中介(B)兑换金额时，商家(V)发送用户(U)的承诺信息M、商家最后收到的费用PLast的签名{Plast}SKV、用户(U)的身份认证证书CU以及用户(U)发送给商家的服务确认信息{It,services acknowledge}SKU。其中，承诺信息M中包含支付链的根。中介(B)通过信息CU判断使用用户(U)的公钥PKU来解密承诺信息M，通过解密获得相同的CU，以此判断为用户(U)发送的服务确认。最后中介(B)以信息Plast来确定用户(U)的消费，将消费的金额转移到商家(V)的账户中。但若结算金额很少时，中介(B)不进行转账，中介(B)将会为用户(U)建立一个消费记录，记录中包含用户的信息、交易商家的信息、消费凭证和消费额，这一操作可在离线状态完成。当中介(B)再次接收PLast后，验证若为用户(U)的消费，则将其累加到消费记录中，当消费值达到一定数量时再进行转账。

可见改进的Payword微支付协议能保证完整执行协议后用户(U)和商家(B)均拥有各自的证据，在这种情况下，双方的纠纷可以得到公平处理。但如果协议未能执行结束，则可分两种情况：

(1)商家(V)收到用户(U)付费后，未提供任何服务，同样商家(V)将收不到用户(U)的确认，不能与中介(B)进行兑换，商家得不到任何好处；

(2)商家(V)提供了服务，却迟迟收不到用户(U)的确认，商家(V)可将此情况告知中介(B)，并发送{{Gi,Wi,It}SKU}PKV,{{services}SKV}PKU给中介(B)，中介(B)判断此服务是否正确。当服务正确时中介(B)转发服务给用户(U)，用户(U)若仍不发送确认给中介(B)，则中介判定用户的付费生效，商家将获得应得金额。用户若发送确认，将其确认转发给商家。

3 改进微支付协议的形式化分析

3.1 SVO逻辑扩展

由于 W0,W1,…,Wn-1，Wn为 hash 链，其中 Wj-1= (Wj)，只有拥有W0和Wn的协议参与者才能生成hash链W0,W1,…,Wn-1，但并不知道生成的hash链中是否包含Wi，若拥有Wn的协议参与者也拥有Wi，说明该协议参与者生成的hash链中有Wi。在改进的Payword微支付协议参与者中，若有某一参与者P拥有(Wi,It)、W0和Wn，另一参与者Q接收到(Wi,It)，说明P生成的hash链中有Wi，只有P才能生成Wi。为此Q接收到(Wi,It)，可确定Q接收到P所发送的(Wi,It)。另外，若协议的参与者P拥有信息X，协议参与者Q曾发送过信息X，则可确定P曾接收了Q发送的信息X。为了分析改进的Payword协议，需增加以下两条SVO逻辑的公理

3.2 分析过程

(1)协议分析目标

(2)初始假设集合

(3)协议分析

主体U

由 PU7，PU8，A1+MP 可得

由式 S1，PU1，PU2，A4，Nec，A1+MP 可得

由 PU1，PU3，PU6，A4，Nec，A1+MP，A14可得

由式 S2，PU5，A22，Nec，A1+MP 可得

主体V

由 PV6，PV9，A1+MP 可得

由式 S3，PV1，PV2，A4，Nec，A1+MP 可得

由式 S4，A14，Nec，A1+MP，A0可得

由 PV7，PV10，A1+MP 可得

由式 S5，S6，PV3，PV4，A3，A7，A14，A21，Nec，A1+MP 可得

由 PV1，PV8，PV11，A1+MP 可得

由式 S7，PV5，A22，Nec，A1+MP 可得

主体B

由 PB1，PB4，PB5，A1+MP 可得

由 PB2，PB4，PB6，A1+MP 可得

由式 S8，G5，A22可得

由 PB3，PB7，A1+MP，A0可得

分析结果表明，改进后的Payword协议满足不可否认性。

4 结束语

微支付协议Payword不满足不可否认性，因此对Payword微支付协议进行了改进。为验证改进后的Payword微支付协议是否满足不可否认性，我们对SVO逻辑进行了扩展，并用扩展的SVO逻辑对改进的Payword微支付协议进行形式化分析证明。分析结果表明，改进后的微支付协议满足不可否认性。下一步将对其它移动微支付协议进行深入研究，提出更加切实可行的移动微支付协议设计方案。

[1]Mona Hosseinkhani,Ebrahim Tarameshloo,Mehdi Shajari.AMVPayword:Secure and efficient anonymous payword-based micropayment scheme[C].International Conference on Computational Intelligence and Security,2010:551-555.

[2]WANG Yang-qin.Secure and efficient mobile micropayment protocol[J].Computer Engineering,2008,34(1):158-159.

[3]MENG Jian,YANG Yang.Self-renewal hash chains micro-payment protocol based on payword[J].Computer Engineering,2009,35(3):63-65.

[4]崔楠,汪学明.通信限制场景下的安全移动支付协议研究[J].计算机工程与设计,2010,31(9):1950-1953.

[5]卿斯汉.安全协议[M].北京:清华大学出版社,2005:133-149.

[6]Haller N,Metz C,Nesser P,et al.RFC 2289,A one-time password system[S].2005.

[7]Yang C N,Lin T,Chen T S.Enhanced fair micropayment scheme based on hash chain to avoid merchant collusion[C].Proceedings of 9th IEEE International Symposium on Consumer Electronics,2005:39-42.

[8]Hwang M S,Sung P C.A study of micro-payment based on oneway hash chain[J].International Journal of Network Security,2006,2(2):81-90.

[9]WU Chia-chi,CHANG Chin-chen,LIN Iuon-chang.An authenticated payword scheme without public key cryptosystems[J].International Journal of Innovative Computing,Information and Control,2009,5(9):2881-2891.

[10]Praneetha R Bayyapu,Manik Lal Das.An improved and efficient micro-payment scheme[J].Journal of Theoretical and Applied Electronic Commerce Research,2009,4(1):91-100.

[11]YIN Hu,ZHANG Xiangjun,CHEN Kefei.A new micropayment protocol for wireless network[J].Computer Engineering,2005,31(12):221-222.

[12]何文鑫,吕玉琴,赵鑫,等.基于Hash链的微支付协议匿名性研究[J].中国电子科学研究院学报,2008,3(6):599-603.

[13]姜楠,杨日璟,林正奎,等.基于混沌双Hash链的移动微支付协议[J].吉林大学学报(工学版),2010,40(2):581-585.

[14]刘恩贤,吕磊,姜辉.移动商务中一种扩展的微支付协议研究[J].青岛大学学报(工程技术版),2009,24(1):75-78.

[15]Baek J,Steinfeld R,Zheng Y.Formal proofs for the security of signcryption[J].Journal of Cryptology,2007,20(2):203-235.