移动支付是移动互联网技术与线下实体经济有机结合的产物,彻底颠覆了传统的支付方式。随着科学技术的进步与市场经济的发展,人们对移动支付的需求和依赖不断加深,我国的移动支付业务量呈现井喷式增长态势。移动支付领域的发展不仅促进了第三方支付平台、共享经济、以及数字货币等产业的兴起和发展,也使得移动用户对生活便捷性、灵活性和多样性的需求不断得到最大化的满足。近些年,隐私泄露和身份冒充等安全问题层数不穷,移动支付安全吸引了国内外学者的高度关注和深入研究。现阶段的移动支付安全研究中,口令、生物特征、U盾和手机盾等安全手段从身份认证的角度对支付安全性进行提升,得到了移动支付用户的广泛使用。然而,当前支付认证方式大多是银行只对自己的用户发放证书,用户若拥有不同银行的账户,需要申请多个证书,缺乏支撑跨行应用的认证方式。根据移动身份认证技术的研究基础和市场未来应用需求,本文以密钥安全性为出发点,提出一种基于区块链的身份认证方案。由不同银行节点构成联盟链,该分布式网络平台既可以提供不同银行节点之间的信任基础,又能够为它们提供统一的基于数字签名的认证。这一区块链可以替代现有各银行自己的CA系统,用户只需一对密钥就可以实现不同银行网银的支付认证,具有降低银行设备开销和维护成本、简化用户端安装、交易可追踪等优势。本文的工作内容包括下面几点:首先,本文提出一种分布式安全密钥管理方案。依赖于TEE的安全特性和区块链的分布式网络结构,本方案结合设备指纹、密钥分割和智能合约等技术,为移动身份认证中存在的安全性和便捷性问题提供解决思路。在TEE环境中安全产生密钥对之后,本文基于密钥分割技术完成用户私钥在移动端和区块链端的可靠分配和安全存储,并基于门限思想实现分布式私钥重构和使用。本方案中与私钥相关的重要数据存储和运算全部在移动端TEE环境中进行,既可以保障私钥及其主密钥因子等隐私信息在存储和运算中的安全性,又能够减少区块链网络共识所带来的算力消耗。其次,本文提出一种统一身份认证方案。在分布式安全密钥管理的基础上,本方案从绑定用户镜像信息、分布式SM2数字签名和Fabric链码3个方面进行设计,最终实现了设备绑定、统一身份管理、以及分布式记账等功能。本文基于区块链技术为移动用户、应用服务商和区块链节点提供信任机制,采用数字签名和哈希函数等密码学技术保证交易数据传输过程中的完整性、不可伪造性、不可抵赖性、以及可追踪性,同时提供了用户端、服务器端和区块链端3方之间的相互认证。因此,本认证方案能够实现跨行转账中的统一身份认证。安全性分析显示,本文的移动身份认证方案能够有效抵御移动支付过程中的身份冒充、中间人攻击、暴力破解密钥等多种安全威胁。最后,对本文介绍的移动身份认证方案进行实现和测试。通过开发简易版手机银行系统,模拟完成用户签约和交易签名两个重要业务流程,并对该系统进行了功能和性能的测试。本次测试验证了身份认证方案的安全性和可行性。本文介绍的移动身份认证方案基于分布式安全密钥管理方案进行设计,充分利用TEE环境的安全特性,将移动终端作为载体,通过门限技术实时重构每笔交易签名需要的私钥信息,以软件实现方式完成移动支付过程中的密钥管理和身份认证,增加了移动支付的安全性和便捷性,并具备通用性和低成本等特点。在现阶段的移动身份认证研究中,本文提出的基于区块链的解决方案对中心化、信任构建等移动支付问题的探索具有一定的参考价值。