基于貼片智能卡的手機銀行APP軟件安全性問題研究.pdf

1、隨著手機銀行用戶飛速增長，移動互聯(lián)網(wǎng)的支付安全問題日益突出。欺詐分子通過病毒、釣魚網(wǎng)站和木馬遠程控制等方式竊取客戶銀行卡信息，盜取客戶資金，給移動金融安全帶來更多挑戰(zhàn)。因此，研究出移動環(huán)境能夠適用的安全支付方案成為當下迫切需要解決的問題。
　　本文通過分析與研究移動終端在無線環(huán)境中的安全隱患，將公鑰證書技術與貼片智能卡相結合，提出了符合銀行安全需求的手機銀行安全解決方案。手機銀行的安全架構包含客戶端身份認證的安全、交易數(shù)據(jù)傳輸?shù)陌?/p>

2、全和交易數(shù)據(jù)抗抵賴性，貼片智能卡通過結合公鑰證書技術，保護手機銀行安全。同時，貼片智能卡直接與SIM卡貼合安裝于手機內(nèi)部，解決了音頻Key和藍牙Key攜帶不便捷問題，也解決了SDKey無法兼容iOS問題。具體工作如下:
　　(1)分析手機銀行安全問題及需求:對手機銀行系統(tǒng)進行了安全問題分析，主要針對用戶系統(tǒng)和手機銀行系統(tǒng)進行安全需求分析和安全風險分析，得出手機銀行主要需求解決身份認證問題、傳輸安全問題和抗抵賴問題。針對問題，本文結

3、合公鑰證書技術，設計了手機銀行系統(tǒng)安全流程，包括客戶端銀行PIN碼保護，客戶端與應用服務器間消息完整性和關鍵域加密流程，證書申請流程，證書登錄流程，數(shù)據(jù)簽名及驗證簽名流程。
　　(2)設計與實現(xiàn)COS安全體系:本文參考國家密碼局智能卡相關規(guī)范，設計并實現(xiàn)貼片智能卡安全COS。安全COS設置指令解析和權限控制機制為上層應用提供入口，設置密鑰管理機制保證密鑰安全，設置訪問認證機制保證貼片智能卡的訪問安全，還設置了敏感數(shù)據(jù)硬隔離等方案，

4、保護COS的安全。根據(jù)監(jiān)管要求，金融行業(yè)信息安全產(chǎn)品需要進行國密改造，逐步禁止使用國外產(chǎn)品。結合銀行實際需求，安全COS除了支持RSA算法外，同時還支持SM2非對稱算法，手機銀行可根據(jù)需求修改證書參數(shù)，即可支持國密證書。
　　(3)設計與實現(xiàn)安全中間件:設計并實現(xiàn)安全且便于集成的中間件，安全中間件由API接口、通道管理、安全狀態(tài)控制和分散密鑰存儲四個部分組成。安全中間件API接口參考CSP接口設計，為手機銀行提供數(shù)據(jù)加解密，簽名和

5、驗證簽名等API，使得貼片智能卡可以便捷的集成到已有的手機銀行APP中。通道管理、安全狀態(tài)控制和分散密鑰存儲部分共同作用控制API訪問安全，提升手機銀行APP的安全性。
　　(4)貼片智能卡綜合測試:通過編寫正向用例和反向用例，分別對安全中間件和安全COS進行了全面的測試。測試實際輸出結果與預期一致，驗證了安全中間件和安全COS的各項功能，安全性達到預期要求。
　　本文設計與實現(xiàn)的貼片智能卡安全解決方案基本能解決手機銀行交易