基于无证书公钥密码的终端安全移动支付协议

优先出版 计 算 机 应 用 研 究 第32卷
--------------------------------
基金项目：河南省自然科学基金资助项目(112300410192)
作者简介：茹秀娟(1982-)：女，河南三门峡人，讲师，博士研究生；主要研究方向为密码学、秘密共享、签名(ru_xiujuan@)．
基于无证书公钥密码的终端安全移动支付协议
茹秀娟，余 楠
(开封大学 公共计算机教研部，河南 开封475000)
摘 要：移动支付协议允许两方或多方通过公开网络安全交换电子现金和数字内容。

在实现安全支付过程中，传统公钥密码学的证书管理问题和基于身份密码学的私钥托管问题均给支付协议带来弊端。

因此，使用无证书密码学解决此类问题。

针对高效的移动支付协议的设计问题展开研究，提出了一个基于无对的无证书密码学的移动支付协议。

协议引入了口令等信息实现终端安全，还应用了密钥协商协议生成对称加密密钥，并且该过程伴随着支付过程，以此降低协议的计算和通信代价。

此外，协议还可以实现公平交换等支付安全属性。

关键词：无证书公钥密码；安全；支付；口令；密钥协商 中图分类号：TP309 文献标志码：A
Terminator security mobile payment protocol using certificateless public keys
cryptography
RU Xiu-juan a , YU Nan b
(Dept. of public computer, Kai feng University, Henan Kaifeng 475000)
Abstract: Mobile payment protocol allows two or more parties exchange electronic cash and digital content safety through the open networks. During the safety payment, the certificate management problem for traditional public key cryptography and key escrow problem of identity-based cryptography bring drawbacks for payment protocols. Therefore, utilizing certificateless cryptography solve these problems. To improve the efficiency, a protocol based on certificateless cryptography without paring is proposed. The protocol applies password to ensure the terminator security, key agreement to establish symmetric keys, which can be integrated with the payment phase. Thus both the computational cost and communication cost can be reduced. Moreover, the protocol can achieve fair exchange and payment security.
Key Words: certificateless public key cryptography; safety; payment; password; key agreement
0 引言
随着通信网络的快速发展，电子商务的盛行以及移动终端的普及，移动网络应用能够使得用户随时随地地介入网络，得到了越来越多的关注。

在这个过程中，用户对移动网络的增值服务越来越有兴趣，这有效地提高了用户生活的质量，带来了便利。

通常的增值服务都会伴随着电子交易，自然而然地，移动支付问题凸显出来。

为了保护用户的切身利益，进一步推广移动支付，需要设计安全高效的支付协议。

研究者设计了一系列的移动支付协议解决取款、支付和存款中的各类问题。

早期利用密码学技术构造的移动支付协议是由Chaum [1]于1983年提出的。

之后，出现了一系列的此类协议[2-6]。

这些协议通常是基于传统公钥密码学或者身份密码学保证安全支付，但前者固有的证书管理问题给协议带来计算和通信负担；后者的密钥托管问题给用户的隐私保护带来隐患。

因此，研究者利用无证书密码学的思想设计协议[7-8]解决上述问题。

然而，此类协议通常利用基于无证书的签
名或签密实现移动支付安全，实现代价相对较高。

综合近年来的研究结果[9-13]，移动支付主要面临如下问题：首先，移动支付通常依赖于手持或者车载终端等设备，所以终端安全是支付安全中首要面临的问题，需要采取措施保证终端的使用者是合法被授权用户；其次，终端设备的计算和存储能力相对较弱，需要协议设计便于实现，具有较低的计算和通信复杂度。

再次，支付协议要满足实际场景的需求。

移动支付通常面临两种情况，用户的支付是独立事件还是持续过程。

例如，前者是指下载一首歌曲或者发送一条消息；后者是指在线电影或者电话会议。

最后，支付协议要能够保证支付安全。

这包括公平交换、避免超支和电子货币的重复使用、数据机密性、源的不可否认性以及能够抵抗模仿攻击等常见攻击。

为了提高协议的效率，满足实际通信场景的多种需要。

结合口令和无证书密码学的思想设计了一个适用于移动通信场景的支付协议。

利用口令和用户名信息实现终端对持有者合法属性的认证，保证了终端安全；利用无证书密钥协商的思想生成保护数据机密性等安全属性的对称密钥，并且此过程是和电子
文章预览已结束
获取全文请访问
/article/02-2015-03-042.html。