随着移动通信技术的进步和智能设备的快速普及,移动支付对人们生活维度的覆盖也越来越广,已是人们日常生活中不可或缺的支付方式。目前,在涉及大额交易时,金融机构通常会采用短信验证码的方式对用户进行身份认证。但目前建立在基于证书的公钥密码体制(Certificate-Based Public Key Cryptosystem,CBPKC)下的短信验证码移动支付方案仍然存在不足,主要表现在:第一,短信验证码以明文的方式传输,易被攻击者通过无线电监听等技术手段所窃取。第二,支付方案的安全严重依赖于短信验证码,一旦短信验证码被窃取就会导致支付方案的安全性丧失。第三,支付方案建立在CBPKC下,其移动设备需要额外的资源存储、传输和验证数字证书,加重了移动设备与无线网络的负担。基于对以上问题的分析,本文提出了一个基于身份的密码算法+短信验证码的移动支付方案。本文的主要工作包括:(1)在基于身份的公钥密码体制下建立了一种新的短信验证码移动安全支付方案。该方案中用户和银行服务器加入一个基于身份的密码系统。用户和银行服务器每次通信前不再需要基于数字证书的身份认证,大大降低了移动设备和无线网络的计算和存储开销。(2)对支付验证过程进行了改进。手机银行客户端接收用户输入的短信验证码后,利用用户私钥生成对短信验证码的数字签名,并获取当前时间戳,然后将时间戳、短信验证码和数字签名加密后发送给银行认证服务器进行验证。银行认证服务器检验通过后,通知支付业务服务器执行转账等操作。短信验证码和数字签名共同为本方案提供安全保障,使攻击者仅靠短信验证码无法通过银行认证服务器的认证,保证了本方案能够保护用户的资金财产安全。(3)本文对提出的基于身份的密码算法+短信验证码的移动支付方案进行了安全性分析,并且在抗攻击性和支付验证效率方面与其它方案进行了对比。结果表明该方案安全性高,抗攻击性强,支付验证效率较好。对移动支付方案进行系统仿真,实验数据显示:随着移动终端数的增加,系统响应时延较小,系统运行稳定,健壮性较好。因此本方案具有可行性,能够解决短信验证码被窃取后对用户造成财产损失的问题。