互联网金融发展背景下u盾等网络支付硬件的设计方法与策略

徐丞

摘 要：互联网金融基于网络用户的心理特征，消费水平，典型需求开发了一系列全新的金融与配套服务产品，因此它对支付安全和资金保障方面提出更高的要求。在这种背景下，传统的静态电子口令卡，手机验证码，短信银行，电话银行等远程验证模式已经很难适应互联网金融发展的需求以及犯罪分子日益提升的破解技术，因此需求一种更为高级和安全的网络支付保障方式就成为了广大互联网用户的共同需求。

关键词：互联网金融；u盾设计；网络支付

1 互联网金融时代发展u盾等支付硬件工具的必要性

互联网金融是指以依托于支付、云计算、社交网络以及搜索引擎等互联网工具，实现资金融通、支付和信息中介等业务的一种新兴金融。所谓的互联网金融产品并非像我们理解的那样，只是简单将商业银行的传统金融业务搬到网络上。相反，互联网金融基于网络用户的心理特征，消费水平，典型需求开发了一系列全新的金融与配套服务产品，因此它对支付安全和资金保障方面提出更高的要求。在这种背景下，传统的静态电子口令卡，手机验证码，短信银行，电话银行等远程验证模式已经很难适应互联网金融发展的需求以及犯罪分子日益提升的破解技术，因此需求一种更为高级和安全的网络支付保障方式就成为了广大互联网用户的共同需求。由此，以u盾为代表的新一代互联网支付安全保障硬件就进入了人们的视野，并成为当下计算机及金融安全领域研究的最热门话题。

2 u盾作为网络支付安全工具的原理概述

U盾，它的前身是工商银行在2004面向资金安全防护首创的客户证书也就是我们通常所说的USB-key。U盾的外形小巧，便于携带，从外观上看类似于一个U盘，其名称也是因此而得名。它的内部安装了一个微型智能卡处理器，利用国际通用的PKI技术架构，借助最新的1024位非对称密加密算法对用户使用互联网金融产品过程中所产生的数据内容进行编译，以保证交易的唯一性与安全性。U盾的硬件部分由CPU及加密逻辑、RAM、ROM、EEPROM和I/O五部分组成，麻雀虽小五脏俱全。同时它的内部还带有智能芯片管理系统，就如同我们使用的各种电脑操作系统，为防止U盾的内部存储数据泄露提供了另一道保护的屏障，即便U盾本身丢失，也不会对用户的资金安全产生威胁。

3 适用于互联网安全防护的U盾安全保护机制

3.1 U盾内置硬件PIN码

和余额宝目前国内等主流互联网金融平台所采用的软件数字证书不同，U盾不是通过安装在用户计算机系统上来监控交易数据的安全，相反，它是借助内置的物理芯片以存储硬件PIN码，然后再生成独一无二的用户数字证书。在这种设计思路下，不法分子必须先拿到用户的U盾实物，并在同一时间想方设法获得PIN码才可以通过安全程序的认证。由于实物硬件和密码同时发生丢失的可能性极小，因此U盾为互联网金融产品的使用提供了更高一级的安全防护。

3.2 对密钥存储机制加以改进

秘钥是使用和破解U盾的关键环节，而传统密钥是存储在我们的硬盘等电脑硬件记忆体内，非常容易就能被外界所读取。相反，U盾的秘钥只能存储与内部智能芯片里面，黑客没有途径利用外部资源获取信息，而任何涉及到对密钥文件的计算机指令无一例外都一定要通过U盾内部的芯片微处理器来运算并执行。

3.3 多重密钥生成策略

为了保证资金安全的万无一失，目前国内外面向互联网金融应用所研发的最新U盾产品都采用多重秘钥生成机制。在U盾出厂刚刚被激活的那一刻，生产者通过专业设备将独一无二的算法程序写入到ROM里，由于无法擦除或重复写入，因此这一过程是不可逆的。到了用户手中后，再借由公私密钥配对的机理来产生一对公私密钥。这一策略运行用户将公钥导出，同时规定不管如何私钥都必须存储在硬件的密钥区内，并拒绝外部发起的任何访问。当碰到用户在授权电脑上按照既定程序使用数字签名进行解密的情形，这一过程只需要在芯片内部就能完成，因此保证了用户的私钥不离开U盾的硬件介质，以确保U盾能够满足互联网金融的各种复杂交易需求，保障用户资金安全。

4 U盾产品应用的优化设计策略

4.1 建立主动式算法响应模式

在进行U盾产品设计的时候，可以考虑在U盾硬件内部引入单向散列算法（RSA），也就是USB Key和服务器的响应中过程中另外设置一个验证用户身份真实性的程序，并利用他来检验、匹配密钥。如果服务器收到远程计算机发起的访问请求，必须要求客户端发送相应的字符串，经由验证比对后才能将结果回传U盾。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行RSA运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。

4.2 基于PKI的数字证书的认证模式

PKI（Public Key Infrastructure）即公共密钥体系，即利用一对互相匹配的密钥进行加密、解密。一个公共密钥（公钥，public key）和一个私有密钥（私钥，private key）。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。每个用户拥有一个仅为本人所掌握的私钥，用它进行解密和签名；同时拥有一个公钥用于文件发送时加密。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。

5 结语

互联网金融的发展把网络资金与交易安全的研究推到了前所未有的高度，面对日益复杂的网络安全环境以及犯罪分子层出不穷的作案手段，我们只有强化以U盾为代表的新一代互联网安全硬件的研究，尝试提出创新型的设计方法与策略，才能真正为用户的资金安全保驾护航。

[参考文献]

[1]许瑞.网络金融安全与风险控制研究[J].商业时代.2012（06）.

[2]赵艳.络金融监管的难点及对策探究[J].学理论.2011（01）.

[3]熊建宇.网络金融的特点及安全体系构建[J].科技信息.2010（31）.