1.引言。
随着电子商务的深入推广,电子支付使用越来越普及,广大用户使用网上银行就可以方便地完成几乎所有的个人金融理财业务。3G的蓬勃发展,业务应用层出不穷,手机已经成为个人移动设备的最主要载体,网络银行平台向手机终端拓展已成不可逆转的潮流。
随着智能手机的大规模普及,手机安全性问题日益凸显出来,网络银行的应用在向手机平台转移过程中,安全性是最为关注的问题。这使得手机平台上急需一种适合手机的、具有广泛适用性、且成本可以为用户所接受的安全认证技术。
目前在个人计算机上,最常用的安全身份认证方法有两种,一种是动态密码锁,另外一种是USB KEY. USB KEY是一种带有USB接口的硬件设备,是一种双密钥机制,由于用户密钥保存在KEY中,在技术上相对更安全。USB KEY方式已经被更多的银行所采用,成为个人网络银行身份认证方式的首选,因此将USB KEY方式应用到手机平台也是一个很好的选择,但是这种选择有一定局限性,需要手机上配有USB接口。目前基于Android平台的手机都标配这一接口,iPhone手机没有USB接口,也无意将USB接口配置在未来新一代的手机产品上。蓝牙技术是一种近距离无线通信技术,几乎所有移动智能终端平台都配置了蓝牙模块,利用蓝牙技术将USB KEY功能扩展到移动智能终端平台上,打破了USB KEY安全认证方式在移动智能终端平台上使用的物理限制,从技术上进一步提升了用户移动支付交易的安全性。
2.USB KEY 技术简介。
USB KEY 是具有 USB 接口的小型硬件设备,内置了微处理器和存储芯片,用户的密钥和数字证书存储在其中,通过内置的密码算法实现对用户身份的认证。USB KEY通常使用MD5算法,在KEY和服务器中分别存储着用户密钥,当需要验证身份时候,先由客户端向服务器发出一个请求,服务器在接到这个请求后生成一个随机数并返回给 USBKEY,USB KEY 利用此随机数与内置的密钥进行 MD5 运算,得到的运算结果再返回传给服务器。与此同时,服务器端也利用此随机数进行MD5运算,并将结果与USB KEY发来的结果进行比较,如果相同则身份认证成功。USB KEY这种认证方式本身相对于动态密码锁,具有更高的安全性。
3.蓝牙技术简介。
蓝牙技术作为一种近距离无线通信技术, 通常被定义为10m 以内,非常适合在笔记本电脑,手机,以及其它便携式移动设备上使用。一般来说,用户并不需要为使用蓝牙而支付任何费用,设备厂商只需要为蓝牙设备支付少量的认证费用,蓝牙芯片的价格也比较便宜,经过十几年的发展,蓝牙技术已经非常成熟和普及,尤其是在智能手机上,几乎成为了各个厂商的标准配置。 这使得基于蓝牙技术的各种应用成为可能。
蓝牙技术使用全球通用并且免费的2.4G无线频段,支持点对点以及小型网络的无线通信,在支持数据业务传输、保密性、功耗等方面都有一定优势,非常适合在具有便携式特性的移动设备上使用。蓝牙技术的另一个重要组成部分是蓝牙协议体系,和其它无线通信系统类似,该协议体系也是分层结构,可分成底层,中间层和应用层,如图1所示:
其中底层基本上由硬件模块实现,包括射频(RF),基带层(BB)和链路管理层(LM)。中间层包括逻辑链路控制和适配协议(L2CAP),服务发现协议(SDP),串口仿真协议(RFCOMM)和对象交换协议(OBEX)等。应用层位于协议体系的最高层,对应用户的各种应用,蓝牙规范中称之为“剖面”(Profile)。实现底层功能的硬件模块被称为控制器(con-troller),通常由芯片来实现。 而主机端通常是一个微处理器,可以运行嵌入式软件甚至是操作系统,蓝牙协议的中间层和应用层以软件形式在主机端上实现。 主机端和控制器通过主机控制接口(HCI)协议进行通信,在物理接口上蓝牙协议也做了规定,包括最常用的UART接口。
由于蓝牙协议体系是标准化的规范,因此具有蓝牙控制器(controller)功能的芯片在功能以及接口特性上也具有标准化特性,可以互相替代。 目前国内外有很多蓝牙控制芯片可以选择,这对为便携式电子设备设计蓝牙功能提供了实现条件。
4.应用实现。
传统的USB KEY的工作过程可以简述如图2(a),用户通常在个人电脑端(PC端)操作网银或者网上支付等动作,进行到身份认证阶段,PC端从KEY上获取用户信息,核对信息后发送口令至KEY,KEY在获取口令后再经过一系列加密算法处理后将加密口令返回给PC端,然后再进行后面的身份认证过程。这个过程是通过USB接口实现的,即PC端和KEY之间的数据交换是通过USB物理通道进行的。将USB 物理通道用蓝牙无线通信替代,就变成了一个无线蓝牙KEY,如图 2(b)所示, 而应用也可以扩展到手机等移动智能终端上。
蓝牙KEY的硬件部分由微处理器和蓝牙控制器组成,系统架构如图3所示:
微处理器可以是嵌入式通用处理器,蓝牙协议栈则运行在微处理器的操作系统上,蓝牙控制器有国内外多个厂家的蓝牙芯片可以选择。根据身份认证的应用特点,需要在KEY端实现的蓝牙协议栈包括HCI,L2CAP,OBEX,以及基于其上密钥传输应用。
在移动设备端,如前文所述,蓝牙功能已经在诸如手机,平板电脑等移动设备上普及,只需要在移动设备的操作系统上实现相应的蓝牙应用即可。移动设备上的蓝牙应用负责发送相关的命令,口令以及接受用户信息和加密口令等,应用的接口是蓝牙协议的OBEX协议,然后再由蓝牙下层协议逐层传输,最终获悉与蓝牙KEY的通信。在主机侧的这部分软件通常可以集成在网银客户端软件或者移动支付软件中,由系统商开发并提供给客户下载。
上述蓝牙KEY方案可以和传统的USB KEY结合在一起,成为带有蓝牙功能的USB KEY,或者是USB-蓝牙二合一KEY,这样用户既可以在传统的PC上使用,也可以在手机等带有蓝牙功能的移动设备上使用。
5.设备功耗。
传统的 USB KEY 通常是插入 PC 机的 USB 接口上使用,由USB接口提供5V的供电,因此几乎没有功耗问题。
但是如果采用蓝牙技术,则KEY变为一个无线设备,必须要考虑电源以及相应的功耗问题,可以使用小型化的可充电锂电池,其电池容量通常在100~200毫安时,蓝牙KEY在全速工作时候,功耗通常在20毫安以内,在呼吸模式下可以降至2 毫安。由于身份认证功能所需要的数据传输量非常小,因此蓝牙KEY实际工作的时间非常短,而用户使用KEY的时间也有限,估计在数十分钟之内,所以在用户使用的大部分时间内都可以是蓝牙的呼吸模式;当用户不使用的时候,KEY 可以选择自动关机,通常关机后设备漏电流在 40uA 以内。粗略估计,以用户每天使用0.5小时的使用频率估算,则至少可以持续使用15天以上。而如果采用USB/蓝牙二合一的设计,则USB接口可以兼做充电接口,而无需另外配置充电接口和充电器,蓝牙KEY在耗电上可以满足移动性使用的要求。
6.结束语。
伴随着移动互联网的蓬勃发展,移动支付的增长也非常迅猛,未来应用空间仍非常广阔,不断提高移动支付的安全性,不断提升移动支付使用的便捷性,成为大家不懈追求的目标。本文提供了一种利用蓝牙技术实现在手机等移动设备上完成身份认证密钥功能的方式,把USB KEY的认证方式向移动智能终端上进行了拓展,对支付安全性和便捷性进行了一定完善,具有较好的应用前景。
