基于混合加密体制的手机支付系统研究与实现

5 系统的安全性和有效性分析

系统的安全性主要基于有限域上椭圆曲线加法群的离散对数问题和AES加密算法的安全强度。银行在进行转帐前，必须给用户发送确认购买指令。若商家或无线运营商企图对同一订单向银行发送两次转帐指令，银行便向用户发送两次确认购买指令，用户根据交易序列号num等信息很容易得知商家或无线运营商有一方在进行重复消费。当有人冒充用户进行支付时，由于私钥d2和d3是未知的，所以无法通过无线运营商和银行的验证。每次传送指令时都进行了加密处理，如果攻击者选择攻击密文c，则需直接攻击128位的AES，这在现有的技术条件下是极其困难的；若选择攻击会话密钥K，则面临棘手的ECDLP数学难题，且会话密钥K只使用一次，此后不再有效，即使得到密钥K也没有多大的实用价值。当双方发生争执时，任何第三方都可以用通常的方式验证签名。手机用户发送两次指令便可完成整个交易。基于椭圆曲线加密体制和AES加密算法的混合加密算法，大大减少了计算和通信的负荷，所以本系统运算量小，易于在计算机的硬件和软件上实现。

用户通过手机支付交易时，无需使用现金，即可实现轻松购物。随着手机的日益普及，手机支付将有很大的市场潜力和良好的发展前景。本文结合混合加密体制的理论和手机通信的的特点，设计了一个可以处理高额交易的手机支付系统，整个系统具有较高的安全性和实用性。