一、方案背景
随着移动互联网的发展和智能手机普及率的提高,手机对于用户的信息终端价值逐渐显现,越来越的股民选择手机炒股这种新方式,翻遍快捷的投资。手机炒股与传统交易方式相比,主要优势是突破时间空间的限制,方便、私密,只要手机在GSM/CDMA网络覆盖的范围内(只要手机可以收到信号)能够进行查看行情、做交易,借助移动网络能真正实现随身、随时、随地进行证券投资。
二、需求分析
1、手机用户存在的风险:
账户名和密码被盗用,由于目前手机炒股的股民采取普通的用户名和口令方式,这种简单的认证方式很容易被攻击,造成帐户盗用的风险。一旦出现盗用的情况,账户中的资金被恶意买卖股票,导致股民的经济损失。
2、手机交易软件存在的风险:
(1)身份认证:确认手机用户的合法身份,包括用户每次登录服务器使用服务以及发生异常后的手机用户身份合法性认证。
(2)安全传输:保证交易信息向服务器上传和下载的过程中不会被窃听和破坏。
(3)抗抵赖性:手机支付业务因涉及到资金的查询、交易以及转账的操作,有很大风险。例如某用户在转走账上资金后,有可能就会对自己的交易进行否认,因此,我们需防止用户在作出关键操作后不能对此进行抵赖。
以下将分析以上安全的潜在问题,基于数字证书技术,提出安全的应用解决方案。
三、方案简介
如上图所示,总体架构包括两个部分:
(1)手机版SecX客户端
- 负责提供手机证书管理和证书应用的API,实现发送、接收证书相关信息的功能。
(2)手机版SecX服务器端
- 负责提供证书管理服务,如证书申请、证书下载、证书更新、证书吊销、证书签发查询统计等。
- 负责提供证书安全应用服务,如敏感数据解密、交易签名验签等功能。
四、方案特点
(1)支持大部分手机操作系统。
(2)证书解析、签名等功能在服务器端实现,最大限度降低对手机终端运算速度的影响。
(3)支持多种手机证书形式,对手机型号适配性好。
五、产品清单
- 数字证书
- SD-KEY
- 手机版SecX系统。