互聯網金融發展背景下u盾等網絡支付硬件的設計方法與策略

徐丞

摘 要：互聯網金融基于網絡用戶的心理特征，消費水平，典型需求開發了一系列全新的金融與配套服務產品，因此它對支付安全和資金保障方面提出更高的要求。在這種背景下，傳統的靜態電子口令卡，手機驗證碼，短信銀行，電話銀行等遠程驗證模式已經很難適應互聯網金融發展的需求以及犯罪分子日益提升的破解技術，因此需求一種更為高級和安全的網絡支付保障方式就成為了廣大互聯網用戶的共同需求。

關鍵詞：互聯網金融；u盾設計；網絡支付

1 互聯網金融時代發展u盾等支付硬件工具的必要性

互聯網金融是指以依托于支付、云計算、社交網絡以及搜索引擎等互聯網工具，實現資金融通、支付和信息中介等業務的一種新興金融。所謂的互聯網金融產品并非像我們理解的那樣，只是簡單將商業銀行的傳統金融業務搬到網絡上。相反，互聯網金融基于網絡用戶的心理特征，消費水平，典型需求開發了一系列全新的金融與配套服務產品，因此它對支付安全和資金保障方面提出更高的要求。在這種背景下，傳統的靜態電子口令卡，手機驗證碼，短信銀行，電話銀行等遠程驗證模式已經很難適應互聯網金融發展的需求以及犯罪分子日益提升的破解技術，因此需求一種更為高級和安全的網絡支付保障方式就成為了廣大互聯網用戶的共同需求。由此，以u盾為代表的新一代互聯網支付安全保障硬件就進入了人們的視野，并成為當下計算機及金融安全領域研究的最熱門話題。

2 u盾作為網絡支付安全工具的原理概述

U盾，它的前身是工商銀行在2004面向資金安全防護首創的客戶證書也就是我們通常所說的USB-key。U盾的外形小巧，便于攜帶，從外觀上看類似于一個U盤，其名稱也是因此而得名。它的內部安裝了一個微型智能卡處理器，利用國際通用的PKI技術架構，借助最新的1024位非對稱密加密算法對用戶使用互聯網金融產品過程中所產生的數據內容進行編譯，以保證交易的唯一性與安全性。U盾的硬件部分由CPU及加密邏輯、RAM、ROM、EEPROM和I/O五部分組成，麻雀雖小五臟俱全。同時它的內部還帶有智能芯片管理系統，就如同我們使用的各種電腦操作系統，為防止U盾的內部存儲數據泄露提供了另一道保護的屏障，即便U盾本身丟失，也不會對用戶的資金安全產生威脅。

3 適用于互聯網安全防護的U盾安全保護機制

3.1 U盾內置硬件PIN碼

和余額寶目前國內等主流互聯網金融平臺所采用的軟件數字證書不同，U盾不是通過安裝在用戶計算機系統上來監控交易數據的安全，相反，它是借助內置的物理芯片以存儲硬件PIN碼，然后再生成獨一無二的用戶數字證書。在這種設計思路下，不法分子必須先拿到用戶的U盾實物，并在同一時間想方設法獲得PIN碼才可以通過安全程序的認證。由于實物硬件和密碼同時發生丟失的可能性極小，因此U盾為互聯網金融產品的使用提供了更高一級的安全防護。

3.2 對密鑰存儲機制加以改進

秘鑰是使用和破解U盾的關鍵環節，而傳統密鑰是存儲在我們的硬盤等電腦硬件記憶體內，非常容易就能被外界所讀取。相反，U盾的秘鑰只能存儲與內部智能芯片里面，黑客沒有途徑利用外部資源獲取信息，而任何涉及到對密鑰文件的計算機指令無一例外都一定要通過U盾內部的芯片微處理器來運算并執行。

3.3 多重密鑰生成策略

為了保證資金安全的萬無一失，目前國內外面向互聯網金融應用所研發的最新U盾產品都采用多重秘鑰生成機制。在U盾出廠剛剛被激活的那一刻，生產者通過專業設備將獨一無二的算法程序寫入到ROM里，由于無法擦除或重復寫入，因此這一過程是不可逆的。到了用戶手中后，再借由公私密鑰配對的機理來產生一對公私密鑰。這一策略運行用戶將公鑰導出，同時規定不管如何私鑰都必須存儲在硬件的密鑰區內，并拒絕外部發起的任何訪問。當碰到用戶在授權電腦上按照既定程序使用數字簽名進行解密的情形，這一過程只需要在芯片內部就能完成，因此保證了用戶的私鑰不離開U盾的硬件介質，以確保U盾能夠滿足互聯網金融的各種復雜交易需求，保障用戶資金安全。

4 U盾產品應用的優化設計策略

4.1 建立主動式算法響應模式

在進行U盾產品設計的時候，可以考慮在U盾硬件內部引入單向散列算法（RSA），也就是USB Key和服務器的響應中過程中另外設置一個驗證用戶身份真實性的程序，并利用他來檢驗、匹配密鑰。如果服務器收到遠程計算機發起的訪問請求，必須要求客戶端發送相應的字符串，經由驗證比對后才能將結果回傳U盾。與此同時，服務器使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行RSA運算，如果服務器的運算結果與客戶端傳回的響應結果相同，則認為客戶端是一個合法用戶。

4.2 基于PKI的數字證書的認證模式

PKI（Public Key Infrastructure）即公共密鑰體系，即利用一對互相匹配的密鑰進行加密、解密。一個公共密鑰（公鑰，public key）和一個私有密鑰（私鑰，private key）。公鑰可以廣泛地發給與自己有關的通信者，私鑰則需要十分安全地存放起來。每個用戶擁有一個僅為本人所掌握的私鑰，用它進行解密和簽名；同時擁有一個公鑰用于文件發送時加密。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應的私鑰，也無法進行解密。

5 結語

互聯網金融的發展把網絡資金與交易安全的研究推到了前所未有的高度，面對日益復雜的網絡安全環境以及犯罪分子層出不窮的作案手段，我們只有強化以U盾為代表的新一代互聯網安全硬件的研究，嘗試提出創新型的設計方法與策略，才能真正為用戶的資金安全保駕護航。

[參考文獻]

[1]許瑞.網絡金融安全與風險控制研究[J].商業時代.2012（06）.

[2]趙艷.絡金融監管的難點及對策探究[J].學理論.2011（01）.

[3]熊建宇.網絡金融的特點及安全體系構建[J].科技信息.2010（31）.