移动安全支付平台的设计与实现

曾杰（中国人民银行贵阳中心支行，贵州 贵阳 550001）

移动安全支付平台的设计与实现

曾杰（中国人民银行贵阳中心支行，贵州 贵阳 550001）

针对移动支付中可能出现的安全问题，对基于TSM平台的支付环境进行了研究；设计了近场支付系统的应用模型，并介绍了近场支付的交易流程。

TSM；近场支付；移动支付

2014年5月，国家发改委、中国人民银行联合下文确立贵阳市为五个移动电子商务金融科技服务创新试点定向申报城市之一。为响应总行大力发展普惠金融战略，结合贵阳市近年来在电子商务、移动金融、互联网金融等工作的实际情况，我行牵头组织了贵州通TSM(Trusted Service Management)项目建设。贵州通TSM平台是一个开放式平台，技术上和其他商业模式TSM平台类似，本文就贵州通TSM平台在移动安全支付过程中对信息安全的管理和支付流程的支持作初步探讨。

移动支付均以短信作为主要媒介，当用户选择某项商品或服务向供应商发送短信时，商家都会回复一条确认信息，其中包括交易码或验证码用来等待用户确认并输入，而这些信息在用户与供应商之间的收发过程中都以明文方式存在，这必然存在严重的安全隐患。解决移动安全支付问题主要是采用CA认证（电子商务认证授权机构）技术。交互信息的完整性、保密性和抗抵赖性都是由CA认证系统来保证。

1 基于CA安全认证的TSM

CA的系统架构包括PKI结构、高强度抗攻击的公开加/解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等。

构建一个可信的安全的网络环境需要通过应用基于公钥基础设施/授权管理基础设施（PKI/PMI）平台的智能化信任与授权技术。用户的认证和授权需要采用数字证书的方式来实现。对用户颁发数字证书（其中包括用户的个人信息，比如序列号、IP地址和MAC地址等）之所以能准确地识别实体用户的身份就在于实体和证书是一一对应的。数字证书与用户接入的网络端口有着灵活和可控的对应关系，当允许实体用户接入安全网络的同时，又对其接入时长、流量等进行管理。应用在这些基础设施之上并且高度可信任，为各行业提供基于安全模块的各类应用发布及管理的公共开放服务平台就是可信服务管理（TSM）。

图1 贵州通TSM整体架构

TSM并不直接提供支付交易本身的处理，而是提供安全可信的机构接入服务、应用管理、密钥管理、计费核查、资金清算等服务，属于移动支付的核心基础设施。如图1所示的贵州通TSM，具有实现向自有及第三方的业务平台提供应用发行和管理的能力，认证并授权安全模块应用，使接入者能够很好地利用相关设施的能力并为安全模块提供安全的部署。应用于银行、公交、电力客服、电信等的各种服务都可以接入其中。

贵州通TSM平台的信息安全保障，其核心是安全服务模块，主要支持和兼容现有国际与国产密钥算法技术（支持包括：DESCBC/ECB、3DES-CBC/ECB、SM1/SM4加解密、RSA私钥运算、RSA公钥运算、SM2私钥加密、SM2解密、SM2签名和验证等算法接口）。安全服务模块系统对密钥信息、证书信息以及密码设备统一管理，提供灵活且可定制的密码算法配置策略，为外联TSM平台接入及应用转接提供安全可信的数字通道。密钥管理系统中各类密钥的管理应根据分类应用标识、密钥标识、密钥版本号和密钥类型唯一确定相应密钥进行处理。

安全服务模块需要为应用系统节点之间提供透明的密钥管理功能，开发人员只需要调用密钥子系统对外提供的统一接口，即可实现对软件管理的密钥的透明引用。通过密钥管理子系统的适配提供统一密钥产生、分发、存储、更新、恢复、销毁流程，使得应用系统之间具有较好的互操作性。

图2 应用模型结构图

2 移动终端支付系统设计

现实中存在对无线信号的窃听和重放攻击，比如拦截收到和重发伪装的短信，例如银行的验证码；或者模拟一个电信基站诱使用户接入，以达到窃听的目的。在安全的移动终端支付系统中要达到的目的是让合法的实体接受方才能获得正确的信息内容，而让非法窃听者无法看到；同时还要确保密钥的安全性和系统多变安全性。因此符合安全原则的终端支付系统应该满足用户的私密信息被锁定在移动终端中，并且是经过加密后的数据，不能被拷贝，数据传输只能出现在合法交易中且必须进行数据校验；在通信过程中的数据应该加密，同时交易双方有互相确认的过程；整个支付系统的安全性主要取决于移动终端与受理终端通信时的数据加密和身份认证。目前，安全的移动支付协议是针对包括加密算法、信息内容格式和身份认证机制在内的三项安全协议要素加以考虑和设计的。

构成完整的移动支付系统不仅包括了用户可见交易端，还包括TSM平台核心服务和辅助模块共同提供的支付收单系统、业务受理系统、发卡系统和安全服务模块提供的密钥管理系统。

应用模型结构图如图2所示。

支付收单系统位于整个支付流程的中央位置，它负责与业务受理系统交换、记录交易信息，完成账户管理，提供用户验证信息。它的核心职能是完成受理终端上传订单的处理和存储，在安全方面还要完成用户身份认证从而给受理终端授权；对用户提出的账户选择信息进行响应；在交易完成后根据订单信息进行跨行资金清算。支付收单系统根据受理的实时性不同分为两类，一类要求受理终端产生的订单及客户验证信息传输到收单系统后实时进行处理，同时伴随用户证书的验证、交易信息的签名处理，这类多属于近场联机支付；另一类是利用移动终端内部电子现金账户完成扣款，受理终端将交易数据和订单号等收集存储起来，在以天为单位的时间内将上述信息上传给支付收单系统，系统每日完成对所有交易数据的处理，这类应用主要用于公交、电子钱包等领域。

业务受理系统的主体是受理终端，它负责提供交易内容，与移动终端完成交易的请求与确认。它是支付收单系统与移动终端的桥梁，是支付过程的主要参与者，其中受理终端是系统参与交易的实体。业务受理系统应该具有与后台支付收单系统一致的文件数据格式。在交易过程中，业务受理系统需要支付系统的数据来支撑，比如个人账户信息等。受理终端可以办理的业务包括余额查询、存款、消费、消费撤销、预授权、指定账户圈存、现金圈存等。

发卡系统生成发卡对象的个人信息，存储在移动终端内，把用户交易中实用的信息经过数据格式的转换后存储在SE中，并对这些信息进行硬件加密。发卡系统与移动终端的联系是线下完成的，包括申请卡片过程中所完成的信息录入、个人资格审查、账户解冻、修改密码等操作，在移动终端中发卡方负责对移动终端SE单元的授权管理、更新等操作。

密钥管理和PKI系统主要包括了多级密钥的产生、分发与管理，还有配合发卡系统产生公钥数字证书存储在移动终端内。它负责生成各级密钥与移动终端的数字证书CA，在发卡前，需要将密钥写入SIM卡的SE中，在近场支付应用中采用两级密钥管理。

表1 两极密钥定义

两极密钥管理采用分层密钥的方法来保证密钥的安全性，上一级密钥保护下一级密钥，整个密钥生存周期内对密钥的产生、存储、分发、注入都由该系统完成。我们对移动终端内设置了主密钥MK与交易密钥EK，如表1所示。在交易前需要用MK来解密EK，而后EK完成传输数据的加密，密钥均由发卡系统写入安全单元。

移动终端是具有NFC通信功能的实体，可以用于近场支付过程中与受理终端的数据交换与文件上传，SE是移动终端内的安全部件。近场支付应用存在移动终端SE内，客户端软件为支付提供支撑。客户端按照功能可以分为4个主要模块进行设计：用户界面模块、信息管理模块、账户管理模块和收发控制模块。用户界面模块包括短信阅读界面、编辑界面、设置界面，并和用户相关操作进行及时响应和交互。信息管理模块负责对信息加密/解密操作，并对信息相关的文件管理。账户管理模块主要是让用户对其账户的一些设置进行操作，也包括与信息管理模块和收发短信模块之间的交互。收发控制模块负责与TSM的交互操作。

3 应用前景展望

目前贵州省辖内的贵阳银行开发了自己的TSM平台，该平台与中国移动及中国银联的TSM平台连接，实现了空中开卡、空中圈存、转账、缴纳水电费及交通罚款等功能，该平台正在继续调试和完善，计划年内接入MTPS。

中国银联贵州分公司、建设银行贵州省分行、省移动公司充分利用其总部的TSM平台在贵阳开展移动金融应用合作，取得了一定成效，在平台合作、应用开拓和模式探索方面积累了经验。

[1] 李东荣.中国金融集成电路(IC)卡规范（3.0版）解读[M]. 中国金融出版社, 2014.

[2] J/R-T 0095. 中国金融移动支付客户端技术规范[S]. 北京：中国人民银行, 2012.

[3] 徐燕军, 吴水炯. 移动支付安全技术体系研究与应用[J]. 金融电子化, 2014, 8.

[4] 金融系统电子商务联络与研究小组.电子商务——安全认证与网上支付[M]. 北京：人民出版社, 2000.

图4 组装好的接触器

图5 拆卸后的接触器

最后对组装好的接触器进行路径规划进行拆卸（如图5所示），并对其求逆便可得到装配顺序。

5 结语

利用VB编程语言对SolidWorks API函数的调用，实现接触器铁心零件设计过程的参数化、装配自动化。通过实例分析，可以得出结论：利用参数化建模生成零件，可以极大的提高建模的效率，缩短产品的开发和设计周期。

参数化建模技术是产品设计的一个发展趋势，将会得到广泛的应用。随着科技的飞速发展，制造业竞争的不断加剧，以最短的时间开发和生产出高质量、低成本的产品，快速满足市场的需求，必将成为制造业企业所追求的目标。

参考文献:

[1] 易红. 电工电器产品三维CAD系统设计与开发[D]. 湖南大学, 2008, 1 - 2.

[2] 何岸阳. SolidWorks二次开发方法研究[J].科技信息(科学教研), 2007, (28): 69 - 70.

[3] SolidWorks公司. 生信实维公司编译.SolidWorks API二次开发[M].机械工业出版社，2005.

[4] 陈营. CAD/CAM 技术现状及发展趋势[N]. 潍坊学院学报, 2004, 4 (2) :100 - 102.

[5] 王贤坤. 机械CAD/CAM技术、应用与开发[M]. 北京: 机械工业出版社, 2001, 68 - 70.

[6] 王卫荣, 齐芬. SolidWorks的二次开发在箱体类零件中的应用[J]. 机械工程与自动化, 2007, (2): 33 - 34.

[7] 张增良, 张绘宏.Visual Basic简明教程[M]. 西安: 西安交通大学出版社，2006.

[8] 于洋, 贺栋. 基于SolidWorks的润滑调节站油箱二次开发研究[J]. 制造业自动化, 2009, 31(9): 138 - 140.

[9] 李丛德, 王得胜. 基于VB的SolidWorks渐开线齿轮二次开发方法研究[J].机电工程技术, 2008, (11): 23 - 24.

作者简介

高智箭（1986- ），男，河北人，助理工程师，硕士研究生，现就职于天津市市政工程设计研究院，从事市政行业电气及自动化设计研究工作。

Secure Payment Platform of Mobile Terminal Design and Implementation

Aiming at the latent security problems for mobile payment, the authors studied the TSM-based payment environment, designed the model of near field payment system, and introduced the process of near field payment transaction.

TSM; Near field payment; Mobile payment

B

1003-0492(2015)02-0094-03

TP273

曾杰（1976-），男，贵州江口人，工程师，硕士，现就职于中国人民银行贵阳中心支行国库处，研究方向为信息安全。