基于NFC移動(dòng)支付的安全問題研究

陳瑞 丁權(quán)玲

摘要：NFC（近場通信）技術(shù)是當(dāng)前被廣泛研究應(yīng)用的采用無線方式在近距離進(jìn)行通信的技術(shù)。這項(xiàng)無線通信技術(shù)由飛利浦公司提議發(fā)起，并由索尼、諾基亞等國際著名廠商聯(lián)合推出。此技術(shù)主要融合了網(wǎng)絡(luò)與非接觸式芯片卡技術(shù)，目前已發(fā)展成為適合在無線環(huán)境下利用移動(dòng)終端開展近距離支付的一種新型系統(tǒng)。本文介紹了近場通信技術(shù)在移動(dòng)支付應(yīng)用中的特點(diǎn)和原理，并且通過分析支付的整個(gè)流程歸納出可能遇到的安全問題，針對這些問題從安全技術(shù)和使用過程兩個(gè)方面提出相應(yīng)的建議。

關(guān)鍵詞：NFC；移動(dòng)支付；安全問題

一、緒論

以手機(jī)支付為主的移動(dòng)支付作為新的電子支付方式，近年來在世界范圍內(nèi)引起了無線通信運(yùn)營商、各大支付卡組織、商業(yè)銀行、支付服務(wù)商以及移動(dòng)終端制造商等組織的強(qiáng)烈興趣。移動(dòng)支付以智能手機(jī)、平板電腦等移動(dòng)終端設(shè)備為硬件載體。近年來移動(dòng)電子商務(wù)呈井噴式發(fā)展態(tài)勢，智能手機(jī)應(yīng)用得到了極大的普及，移動(dòng)互聯(lián)網(wǎng)創(chuàng)新層出不窮，這些都極大地推動(dòng)了移動(dòng)支付的產(chǎn)業(yè)化。

按交易結(jié)算的實(shí)時(shí)性或距離大小移動(dòng)支付可分為遠(yuǎn)距離移動(dòng)支付和近距離移動(dòng)支付。前者主要指通過長距離數(shù)據(jù)傳送實(shí)現(xiàn)支付，所采用網(wǎng)絡(luò)包括移動(dòng)通信運(yùn)營商網(wǎng)絡(luò)和無線局域網(wǎng)絡(luò)（WLAN），由移動(dòng)設(shè)備系統(tǒng)中的web瀏覽器、apps和其它如短信、電話、USSD 等實(shí)現(xiàn)的支付。臺(tái)式電腦端網(wǎng)上支付的蓬勃發(fā)展帶動(dòng)了遠(yuǎn)程移動(dòng)支付的飛速發(fā)展。而近距離移動(dòng)支付通常使用短距離的無線通信技術(shù)例如紅外線、藍(lán)牙、RFID以及NFC 等，其產(chǎn)業(yè)鏈各相關(guān)方正一齊努力推動(dòng)市場規(guī)模的迅速增長。

NFC（Near Field Communication，近場通信技術(shù)）作為近距離、非接觸式的新一代主流支付技術(shù)掀起了移動(dòng)支付領(lǐng)域的一場革命，發(fā)展勢頭總體良好，面臨大規(guī)模普及的機(jī)遇。中國的各大移動(dòng)通信運(yùn)營商以及商業(yè)銀行新發(fā)布的手機(jī)SIM卡和智能芯片支付卡都已具備了近場支付功能。

二、NFC支付技術(shù)

（一）NFC的概念

NFC（近距離無線通訊技術(shù)）是由無線射頻識(shí)別（RFID）技術(shù)及互聯(lián)互通技術(shù)整合而來，在一塊芯片上結(jié)合眾多功能（包括感應(yīng)式讀卡器、感應(yīng)式卡片和點(diǎn)對點(diǎn)），可以在近程與兼容設(shè)備彼此識(shí)別并且進(jìn)行數(shù)據(jù)交換。適合NFC技術(shù)的場景非常多，例如公交系統(tǒng)、門禁系統(tǒng)、火車票、飛機(jī)票、門票、水電表等日常生活領(lǐng)域，NFC技術(shù)在移動(dòng)支付領(lǐng)域有著廣泛的應(yīng)用前景。

（二）NFC的工作原理

1.卡模擬模式（Card emulation）

此模式主要應(yīng)用于非接觸式移動(dòng)支付應(yīng)用例如商場、交通中。用戶在支付時(shí)將智能手機(jī)貼近讀卡終端并輸入支付密碼即可確認(rèn)交易。在該模式中NFC設(shè)備依靠電磁感應(yīng)耦合原理完成數(shù)據(jù)傳輸，整個(gè)過程類似基于RFID技術(shù)的IC卡應(yīng)用，因此該模式的主要實(shí)際應(yīng)用領(lǐng)域也與傳統(tǒng)的IC卡應(yīng)用基本一致，如零售刷卡消費(fèi)、公共交通、門禁管理，車船票，門票等。

2.讀卡器模式（Reader/Writer mode）

此模式與模式1基本相同，區(qū)別在于近場通信設(shè)備扮演發(fā)起終端的角色，必須有電能才可以工作；其目標(biāo)設(shè)備可以是與NFC技術(shù)兼容的RFID技術(shù)終端。該模式的應(yīng)用主要包括從展示型海報(bào)或展覽信息中讀取RFID電子標(biāo)簽以獲取相關(guān)內(nèi)容。

3.點(diǎn)對點(diǎn)模式（P2P mode）

所謂點(diǎn)對點(diǎn)即實(shí)現(xiàn)網(wǎng)絡(luò)中兩個(gè)平等節(jié)點(diǎn)間的無線數(shù)據(jù)交換。將兩個(gè)具備NFC功能的設(shè)備連接能將數(shù)據(jù)以點(diǎn)對點(diǎn)的方式直接傳輸而不需要服務(wù)器的介入，例如下載音樂、交換圖片或者同步個(gè)人信息。該模式的工作原理與紅外技術(shù)類似，是P2P網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)模式，可以對無線網(wǎng)絡(luò)進(jìn)行主動(dòng)（active）、快速的設(shè)置，利用現(xiàn)有的蜂窩網(wǎng)絡(luò)、藍(lán)牙技術(shù)和wifi設(shè)備可以獲得非?？斓倪B接速度。

三、NFC移動(dòng)支付面臨的安全威脅分析

（一）NFC移動(dòng)支付流程

基于NFC的移動(dòng)支付主要通過采用第三方支付服務(wù)商所提供的服務(wù)來實(shí)現(xiàn)。該流程的體系結(jié)構(gòu)見圖3-1。該系統(tǒng)的核心是具有NFC功能的移動(dòng)通信終端以及第三方支付平臺(tái)。其中NFC功能手機(jī)存放與用戶相關(guān)的支付憑據(jù)（credential）、加密解密的密鑰（cryptographic key）、支付應(yīng)用程序（payment application），并且提供非接觸通信接口（communication interface）；第三方支付服務(wù)的提供者建立移動(dòng)支付服務(wù)器為用戶發(fā)放支付憑據(jù)、管理用戶賬戶金額并為商家提供支付接口和數(shù)字證書。

1.商家的NFC POS機(jī)讀取交易中客戶所選取的商品信息，然后生成商品訂單并將訂單信息通過近場通信鏈路傳遞給用戶移動(dòng)終端；

2.客戶NFC終端驗(yàn)證商家數(shù)字證書并且核對交易訂單信息；

3.訂單被確認(rèn)以后手機(jī)用戶輸入個(gè)人識(shí)別驗(yàn)證碼，待驗(yàn)證通過后向支付平臺(tái)提交所選商品支付請求；

4.移動(dòng)支付平臺(tái)首先驗(yàn)證用戶信息并檢查其賬戶余額，檢查通過后即確認(rèn)該支付請求的有效性并將支付請求傳給商家；

5.商家確認(rèn)交易有效，完成交易。

（二）可能存在的安全問題

安全問題對于移動(dòng)電子商務(wù)、尤其是移動(dòng)支付至關(guān)重要，決定著移動(dòng)環(huán)境下電子商務(wù)的進(jìn)一步發(fā)展前景。從產(chǎn)生以來互聯(lián)網(wǎng)支付一直面臨著用戶與業(yè)界的安全信任危機(jī)，這種情況在中國更為明顯。而從實(shí)際情況看無論是無線傳輸中的網(wǎng)絡(luò)數(shù)據(jù)安全、移動(dòng)支付流程的安全、還是移動(dòng)設(shè)備終端的物理安全問題都有待進(jìn)一步加強(qiáng)。

NFC面臨的安全威脅分析：

1.RF射頻通信鏈路竊聽

ISO/IEC 18092所定義NFC標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)鏈路是無線（wireless）的。眾所周知開放環(huán)境下的無線數(shù)據(jù)傳輸有可能被竊聽。受竊聽威脅的數(shù)據(jù)包括用戶ID、交易訂單信息等非常敏感的內(nèi)容，如果遭受攻擊將導(dǎo)致用戶私密信息、交易訂單信息的泄漏和被濫用。

2.SE安全單元被損壞

作為整個(gè)支付系統(tǒng)安全性的核心，NFC手機(jī)中的安全單元受損將使得整個(gè)移動(dòng)支付流程無法正常進(jìn)行。損壞既可能由硬件故障導(dǎo)致也可能由于受到惡意攻擊導(dǎo)致。該問題的后果是安全模塊的加密處理、數(shù)字簽名等功能無法正常啟用，進(jìn)而證書的驗(yàn)證、用戶數(shù)字簽名和數(shù)據(jù)的加解密將會(huì)失敗。

3.SE安全模塊中機(jī)密隱私數(shù)據(jù)被篡改

攻擊者可能破壞SE模塊中數(shù)據(jù)的完整性，例如更新（update）、插入（insert）SE模塊中的安全密鑰、交易數(shù)據(jù)等信息；在已被認(rèn)證過的會(huì)話中向SE模塊添加一些惡意來源方的根證書。該問題將導(dǎo)致SE模塊安全功能失效以及在用戶不知情的情況下產(chǎn)生錯(cuò)誤的信任關(guān)系。

4.SE安全模塊被整體替換

惡意攻擊者對具有NFC支付功能的手機(jī)安全模塊進(jìn)行整體的替換。這種情形在使用外部SE模塊的NFC解決方案中更容易發(fā)生。一旦攻擊達(dá)成，SE模塊安全功能都能夠正常使用，但其部分關(guān)鍵機(jī)密數(shù)據(jù)已被替換。其后果是導(dǎo)致身份偽造等未經(jīng)授權(quán)的惡意攻擊行為。

5.SE安全模塊的訪問控制被旁路

攻擊者可以通過技術(shù)手段獲取用戶SE模塊中關(guān)鍵參數(shù)，以及通過密碼截獲/窺探（網(wǎng)絡(luò)嗅探）等方法獲得用戶的個(gè)人識(shí)別碼，進(jìn)而得到SE模塊的所有安全訪問權(quán)限。其后果是身份被假冒，NFC支付未經(jīng)授權(quán)被使用。

6.惡意篡改交易訂單

攻擊者通過在移動(dòng)系統(tǒng)app中嵌入木馬提供下載從而使移動(dòng)終端被惡意軟件感染，這樣攻擊者將有機(jī)會(huì)修改用戶訂單、破壞數(shù)據(jù)的完整性、或者將以往訂單重發(fā)進(jìn)行重放攻擊，導(dǎo)致用戶經(jīng)濟(jì)損失。

7.假冒交易方進(jìn)行偽造交易

攻擊者假冒參與交易的另一方身份，偽造虛假訂單欺騙用戶進(jìn)行交易，導(dǎo)致用戶經(jīng)濟(jì)損失。

8.中間人攻擊

攻擊者劫持網(wǎng)絡(luò)環(huán)境下商家與用戶之間的交易會(huì)話，并進(jìn)一步獲取用戶的支付，導(dǎo)致用戶經(jīng)濟(jì)利益受損。

四、關(guān)于安全問題的建議

NFC手機(jī)移動(dòng)支付的安全問題的演變可以分為兩個(gè)方面：技術(shù)手段和應(yīng)用管理。技術(shù)解決方法著重從信息系統(tǒng)的技術(shù)環(huán)節(jié)入手，通過類似加密，訪問控制，身份鑒別等一系列成熟的技術(shù)方法消除安全威脅；而應(yīng)用管理則關(guān)注NFC移動(dòng)終端用戶在無線支付過程中應(yīng)該注意的與人員、管理相關(guān)的事項(xiàng)。

（一）技術(shù)方法

1.安全模塊中的安全性保障機(jī)制

（1）采用訪問控制機(jī)制（access control mechanism），如個(gè)人識(shí)別碼的錯(cuò)誤嘗試次數(shù)、數(shù)字認(rèn)證的生命周期管理；（2）相關(guān)密鑰的備份/恢復(fù)機(jī)制，避免丟失密鑰或密鑰失效后加密數(shù)據(jù)無法被正常處理；（3）嚴(yán)禁機(jī)密數(shù)據(jù)以明文形式被存儲(chǔ)和傳輸；（4）所有交易記錄都必須附加時(shí)間戳以避免數(shù)據(jù)重放攻擊；（5）系統(tǒng)硬件需進(jìn)行完整性檢測以避免運(yùn)行時(shí)故障；（6）嚴(yán)禁下載沒有進(jìn)行簽名、無法驗(yàn)證來源方的軟件并運(yùn)行。

2.基帶處理器的安全機(jī)制

（1）建立身份登記制度，確保手機(jī)應(yīng)用的真實(shí)性、完整性；（2）防止個(gè)人識(shí)別碼在輸入時(shí)被截獲；（3）嚴(yán)格劃分不同的安全域；（4）與安全模塊的相互認(rèn)證。

3.NFC芯片的安全機(jī)制

用戶必須能夠?qū)FC模塊功能自主開關(guān)，以防止NFC芯片的內(nèi)容被隨意讀取。

（二）安全應(yīng)用管理

1.通過宣傳、培訓(xùn)培養(yǎng)用戶的安全使用意識(shí)

新的技術(shù)需要新的宣傳和培訓(xùn)。尤其是安全問題更應(yīng)該受到高度重視。相應(yīng)的宣傳和培訓(xùn)應(yīng)該包括以正確的使用NFC智能手機(jī)；能夠識(shí)別潛在威脅并應(yīng)對；掌握預(yù)防自己NFC手機(jī)失竊及損壞的正確方法 ；正確使用PIN碼（不要讀入內(nèi)存等）以及手機(jī)密碼的正確設(shè)置（大小寫字符、數(shù)字等）。

2.操作系統(tǒng)及應(yīng)用的安全防護(hù)

（1）各種不同類型的智能手機(jī)操作系統(tǒng)的相關(guān)安全功能及應(yīng)用軟件的安全使用模式；（2）在移動(dòng)端操作系統(tǒng)安裝防病毒和惡意軟件工具和防火墻，對智能手機(jī)安全軟件檢測的威脅應(yīng)給予充分重視。

總結(jié)

在移動(dòng)互聯(lián)網(wǎng)進(jìn)入內(nèi)容為王的時(shí)代，移動(dòng)支付成為一個(gè)必然的趨勢。盡管無線近場支付應(yīng)用的發(fā)展受到各種因素制約，然而作為新的第四代支付方式NFC支付必將迎來其大規(guī)模應(yīng)用前景。在不遠(yuǎn)的將來NFC技術(shù)應(yīng)用將以智能手機(jī)作為最大載體，在解決安全問題的基礎(chǔ)上為移動(dòng)通信終端提供更豐富的功能。（作者單位：中南財(cái)經(jīng)政法大學(xué)工商管理學(xué)院）

參考文獻(xiàn)：

[1]張巍，季智紅.基于NFC的新一代移動(dòng)支付體系及其安全問題研究[J].通信與信息技術(shù)，2012，02：54-56+53.

[2]賈凡，佟鑫.NFC手機(jī)支付系統(tǒng)的安全威脅建模[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，10：1460-1464.

[3]申瑋.NFC移動(dòng)支付運(yùn)營模式研究[D].北京郵電大學(xué)，2008.

[4]趙朝陽.NFC移動(dòng)支付產(chǎn)業(yè)的競合博弈研究[D].首都經(jīng)濟(jì)貿(mào)易大學(xué)，2012.

[5]戴爾俶.基于NFC技術(shù)的移動(dòng)支付系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2013.

[6]周殊.基于移動(dòng)支付安全感體驗(yàn)的交互設(shè)計(jì)研究[D].湖南大學(xué)，2013.

[7]第八期NFC論壇沙龍：聚焦移動(dòng)支付安全[J].金卡工程，2013，08：17-18.

[8]單美靜.移動(dòng)支付之安全問題研究[J].電信科學(xué)，2010，S2：141-143.

[9]郝文江，武捷.移動(dòng)支付安全性分析及技術(shù)保障研究[J].信息網(wǎng)絡(luò)安全，2011，09：19-22.