基于NFC移動(dòng)支付安全性研究

摘 要：移動(dòng)互聯(lián)網(wǎng)的興起使移動(dòng)支付日漸興起，各大廠商為了爭(zhēng)奪NFC移動(dòng)支付的主導(dǎo)權(quán)，導(dǎo)致目前標(biāo)準(zhǔn)混亂，沒有達(dá)到統(tǒng)一。本文介紹了基于NGC的移動(dòng)支付，分析了其安全問題，并給出了相應(yīng)的安全策略。

關(guān)鍵詞：NFC；移動(dòng)支付；安全

中圖分類號(hào)：F626；TN929.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2014） 12-0000-01

一、移動(dòng)支付概念

（一）概念。移動(dòng)支付，即用戶通過移動(dòng)終端（如手機(jī)、PDA、上網(wǎng)本等）可以方便連接無線網(wǎng)絡(luò)進(jìn)行通信的設(shè)備）進(jìn)行的電子商務(wù)活動(dòng)，由于手機(jī)已成為人們?nèi)粘Ｉ畹谋匦杵罚蚨脖环Q作手機(jī)支付。與傳統(tǒng)的支付手段相比，移動(dòng)支付可以實(shí)現(xiàn)無地域限制地進(jìn)行付款，便利快捷。

（二）移動(dòng)支付的發(fā)展。在日本和韓國(guó)，手機(jī)購物早已發(fā)展成為一種成熟的習(xí)慣。在其他國(guó)家，如馬來西亞人均多款設(shè)備持有率最高，47%的消費(fèi)者人均持有多臺(tái)移動(dòng)設(shè)備。這已成為整個(gè)亞太地區(qū)的智能手機(jī)發(fā)展趨勢(shì)。隨著移動(dòng)互聯(lián)網(wǎng)以及智能手機(jī)價(jià)格越來越平民化，人們?cè)絹碓絻A向于移動(dòng)支付。其中76%的城市智能手機(jī)用戶每天都會(huì)使用智能手機(jī)訪問互聯(lián)網(wǎng)，而在美國(guó)，只有36%的用戶愿意這樣做。支持NFC功能的設(shè)備在2013年的出貨量達(dá)到2.85億部，預(yù)計(jì)2014年還將翻番。保守估計(jì)，2015年國(guó)內(nèi)NFC手機(jī)設(shè)備占比預(yù)計(jì)將接近50%。iPhone6的NFC技術(shù)也已落定，或?qū)⒁苿?dòng)支付市場(chǎng)。

移動(dòng)支付在世界范圍內(nèi)迅猛發(fā)展，但各國(guó)的技術(shù)實(shí)現(xiàn)方式各不相同，日本流行的是索尼公司開發(fā)的FeliCa IC技術(shù)，韓國(guó)采用的是紅外線技術(shù)，而非洲部分國(guó)家采用SMS技術(shù)等。目前國(guó)內(nèi)手機(jī)支付主要集中在二維碼支付和NFC支付，在騰訊的積極推動(dòng)下，二維碼大面積應(yīng)用超過NFC支付，不過隨著央行緊急叫停二維碼支付，NFC勢(shì)頭猛進(jìn)。

（三）基于NFC的移動(dòng)支付。與RFID技術(shù)類似，NFC技術(shù)也是通過頻譜中無線頻率的電磁感應(yīng)耦合方式進(jìn)行傳遞信息的。NFC作為短程通信技術(shù)，其無線連接技術(shù)比RFID更為安全迅速。NFC技術(shù)可以與目前的非接觸智能卡技術(shù)兼容，從而被各大廠商支持。

NFC屬于非接觸式移動(dòng)支付，該支付模式已成為移動(dòng)支付的主流趨勢(shì)，其他用于非接觸式移動(dòng)支付業(yè)務(wù)的近距離通信技術(shù)還有RFID、FeliCa、藍(lán)牙等等。針對(duì)頻率較高的小額支付，NFC技術(shù)具有明顯的優(yōu)勢(shì)。比如使用更加方便，成本更低，建立連接的速度也更快，只需0.1秒，而較短的控制距離也使NFC的精度更高，達(dá)到厘米級(jí)。

二、NFC手機(jī)方案

該方案是將NFC芯片和天線內(nèi)嵌到手機(jī)里，并且與SIM卡獨(dú)立。為了保證移動(dòng)支付的安全性，在手機(jī)中還應(yīng)加入安全芯片。NFC的功能不受手機(jī)開關(guān)機(jī)的控制，手機(jī)沒電也可以使用NFC功能。NFC手機(jī)共有卡模式、讀寫器模式、和點(diǎn)對(duì)點(diǎn)通信模式三種應(yīng)用模式。在卡模式中，NFC識(shí)別設(shè)備在有tag標(biāo)簽的NFC手機(jī)讀取信息，依靠有線網(wǎng)絡(luò)在應(yīng)用處理系統(tǒng)處理，常見的有校園卡、門禁、車票等；讀寫器模式是NFC手機(jī)從tag標(biāo)簽中識(shí)別采集信息來進(jìn)行相應(yīng)處理。比如，我們可以在超市的電子標(biāo)簽讀取商品信息；點(diǎn)對(duì)點(diǎn)模式也叫做雙向通訊模式，是對(duì)兩個(gè)擁有NFC功能的設(shè)備相連接，實(shí)現(xiàn)數(shù)據(jù)雙向傳輸，如通訊錄同步，圖片交換等等。該方式還可以實(shí)現(xiàn)不同設(shè)備間的信息交換。該方案目前比較成熟，在全球也有不少應(yīng)用實(shí)例。更由于用戶和電信運(yùn)營(yíng)商不能靠手機(jī)控制NFC芯片的特點(diǎn)而受到金融機(jī)構(gòu)的青睞。由于NFC模塊沒有占用SIM卡的相關(guān)資源，要解決用戶無法通過手機(jī)控制NFC模塊的問題，可以把將NFC的應(yīng)用程序加入到SIM卡中，但這需要實(shí)現(xiàn)二者的接口，增加了軟硬件設(shè)計(jì)的難度。

三、NFC移動(dòng)支付的安全問題

（一）移動(dòng)支付安全威脅。（1）信息被竊取。無線信道屬于開放信道，信號(hào)極易被劫持監(jiān)聽，且隱蔽性強(qiáng)。信息的竊取使通信信息泄露使移動(dòng)用戶被追蹤，這對(duì)于無線用戶的信息安全、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅；（2）信息被篡改。信息的篡改主要表現(xiàn)在攻擊者通過劫持正常通信連接后，對(duì)傳輸信息的刪除、插入等操作，破壞原有信息的完整性和正確性。通常可以采用在消息中插入數(shù)字摘要使接收方來判斷信息的完整性；（3）手機(jī)病毒帶來的威脅。越來越多的黑客和病毒編寫者把無線網(wǎng)絡(luò)和移動(dòng)終端作為攻擊對(duì)象，智能機(jī)操作系統(tǒng)，尤其是Android系統(tǒng)的開放性，由于應(yīng)用程序來源的多樣性，使用戶更易受到病毒攻擊，病毒在無線用戶高頻率的交互中得以快速傳播；（4）交易中的安全威脅。假冒用戶進(jìn)行交易，產(chǎn)生虛假交易。或者是用戶抵賴自己的交易行為。

（二）安全問題解決辦法。在對(duì)NFC移動(dòng)支付的安全問題分析后，可以從WPKI（無線公開秘鑰體系）、身份認(rèn)證等方法來保障移動(dòng)支付的安全性。

1.WPKI安全技術(shù)。WPKI（Wireless Public Key Infrastructure）技術(shù)即無線公開秘鑰體系，沿用了互聯(lián)網(wǎng)電子商務(wù)中的PKI安全認(rèn)證機(jī)制。是適應(yīng)無線網(wǎng)絡(luò)認(rèn)證和加密的需要發(fā)展起來的，并逐漸在無線業(yè)務(wù)中得到實(shí)際應(yīng)用。

一個(gè)完整的WPKI體系由認(rèn)證中心CA，注冊(cè)機(jī)構(gòu)RA，應(yīng)用接口，證書目錄數(shù)據(jù)庫，秘要備份和恢復(fù)系統(tǒng)，證書作廢系統(tǒng)等基本結(jié)構(gòu)組成。用戶通過向RA提交申請(qǐng)，審查合格后由CA頒發(fā)證書給用戶，用戶的私鑰、證書存放在UIM卡中。CA將證書寫入證書目錄以供查詢，RA再把證書的URL發(fā)送給終端用戶。數(shù)字證書保證了無線終端在無線網(wǎng)絡(luò)操作時(shí)的端對(duì)端安全。

2.身份認(rèn)證方式。針對(duì)移動(dòng)支付中的身份認(rèn)證問題，給出如下幾種方式：（1）摘要認(rèn)證。是基于挑戰(zhàn)-應(yīng)答模式的認(rèn)證模型，通過單向散列函數(shù)，每次登陸產(chǎn)生的密碼都不相同，使得登錄過程就增加不確定性；（2）動(dòng)態(tài)口令。密碼隨時(shí)間及使用次數(shù)發(fā)生動(dòng)態(tài)變化，具有隨機(jī)性，由于只能單次使用，即使被盜取，也不會(huì)造成很大損失。但由于其技術(shù)上的復(fù)雜性，一定程度上限制了該技術(shù)的應(yīng)用；（3）生物特征識(shí)別。生物特征主要有指紋，人臉，紅膜識(shí)別等，利用生物特征識(shí)別的穩(wěn)定性，結(jié)合NFC技術(shù)的便利性，可以在用戶體驗(yàn)與安全性之間找到平衡。

四、結(jié)束語

移動(dòng)支付很好地解決了支付問題，但限制其發(fā)展的安全問題不容小覷。我國(guó)在安全技術(shù)方面，可以在統(tǒng)一標(biāo)準(zhǔn)規(guī)范，完善移動(dòng)電子商務(wù)相關(guān)法律來推動(dòng)其發(fā)展。本文分析了移動(dòng)支付的安全威脅及提出了解決方式，結(jié)合WPKI及多種身份認(rèn)證方式，為用戶提供一個(gè)安全的支付環(huán)境。

參考文獻(xiàn)：

[1]張巍，季智紅.基于NFC的新一代移動(dòng)支付體系及其安全問題研究[J].熱點(diǎn)技術(shù)，2012.

[2]雷洪斌.基于NFC技術(shù)的手機(jī)支付研究[J].上海交通大學(xué)，2007.