NFC技術在AFC系統中的安全研究

郭駿峰

摘 要：隨著傳統行業地鐵售票的深度融合，給傳統自動售檢票系統提供了創新、改革、前進的空間。隨著地鐵發行權的獲得和移動售票業務的完善，電子售票卡的增加和實體售票卡的減少，方便了用戶的出行，降低了地鐵公司的整體運營費用。

關鍵詞：NFC技術在AFC系統中的安全

前言：近距離通信技術（NFC）無需啟動相關應用程序即可在地鐵進行離線支付。在網絡環境下，無需在讀寫卡器附近的讀寫區域進行相應的密鑰校驗和事務校驗碼計算即可完成事務。NFC使用三種基本模式：模擬卡、模擬讀卡器和點對點。

一、NFC技術應用優點

1.NFC手機使用模擬卡模式如CPU卡雙向通信，實現移動車票卡在地鐵的應用，在通過閘機之前，不需要打開應用軟件。完全實現了手機票卡的一體化，顯示出NFC技術的優越性，又能可視化地在手機上查詢票卡交易的明細和余額，比App展現二維碼單向通信過閘更快捷、高效。

2.NFC手機模擬讀卡器模式，可通過應用程序在線獲取相應的密鑰和手機NFC票卡，用于實時發卡和充值，這樣可以節省每個站點排隊處理業務的時間。

3.NFC手機車票卡的增加，可以直接按照地鐵方票卡結構進行設計和擴充應用，使用13.56 MHz頻率通信AFC系統不需要增加任何硬件，對原有系統改變最少，只增加新票卡種類參數或原票卡種類中規劃號段區分，增加系統報表展示和清分系統少量區分修改。NFC手機支付系統與原有AFC系統對接時，不影響地鐵既有AFC系統的運行安全，不對既有的票卡發行、制作規則造成影響。NFC手機票卡相對獨立的發卡系統，不需要對既有發卡系統進行改造。

二、NFC技術在AFC系統中的安全研究

1.通信安全。當NFC移動電話支付和刷卡時，設備將以模擬卡或讀寫器模式工作，NFC設備之間將進行一系列通信檢查。用于NFC移動電話支付的無線通信接口可以在IC卡信息傳輸限制時被截獲，因為在設備建立通信之后，在交互過程中錢包中的數據可能并不總是處于加密狀態，這可能導致在交互過程中數據被盜，這會導致數據泄露。還有一種可能是通過中間人方式采取第三方會話，偽造數據利用NFC的接口，采取信號模擬對NFC手機支付通信設備之間數據進行模擬，直至接收到反饋或應答的可用數據，導致數據被竊取。其主要威脅是數據信息傳輸過程中的干擾，從而導致真實數據的泄露。

2.設備安全。在NFC移動電話付款時，安全的SE芯片在保護電子錢包信息方面發揮了重要作用，是存儲芯片、鑰匙、敏感數據。目前SE階段為移動電話安裝了三種安全的模式：為手機中的設置在SD卡中的SD（單線連接方案）模式、設置在SIM卡中SIM模式和手機全終端模式。人為故意更新、置換或刪除SE模塊，以及對安全密鑰、機密隱私信息模塊損壞和替換SE模塊的完整性問題。特別在使用模式外部SE模塊的NFC解決方案中，惡意對承載NFC手機支付應用中電子錢包使用的SE模塊安全進行逐步替換。一旦成功替換已驗證SE模塊，有可能導致身份冒用以及各種未經授權的侵權行為，盜取用戶的系統關鍵數據或個人唯一標識，最終導致未經授權的NFC手機支付實現。

3.軟件系統安全。在NFC手機系統上捆綁惡意程序，將對用戶的交易內容劫持、軟件捆綁、監視用戶支付流、惡意轉跳等來侵犯用戶隱私，剝奪用戶選擇權和知情權。也可以使用一些可疑的根證書的SE模塊，將產生錯誤的信任關系，從而到達控制的目的。掃描用于識別攻擊目標的軟件中的漏洞，通過經授權的資源訪問系統，及早發現和糾正NFC安全漏洞是重要的。提前發現并修補NFC安全漏洞是系統和應用安全的重要保障，而且NFC新技術方面軟件存在有安全漏洞經驗不足，通過逆向工程技術或重打包，找出漏洞能夠獲取應用程序的安全數據、用戶信息，并植入惡意程序，嚴重危害到整體軟件程序的安全。

4.環境安全問題。當NFC移動電話使用無線頻率閱讀器功能時，它可以被竊聽，并指出NFC數據傳輸通道是無線的。因此基于開放環境下的無線數據傳輸將有被盜取的可能，將威脅到用戶ID、支付信息等非常敏感的內容，包括各種支付憑證等的關鍵信息，這也讓惡意軟件有了獲取敏感數據的渠道，而且可以被惡意用戶使用獲取的信息去進行偽卡交易。

三、NFC安全解決方案

1.安全模塊采取的保障機制。針對手機SE安全模塊，可以使用訪問控制機制，如個人密碼的錯誤次數限制和數字簽名的周期生命控制。在密鑰恢復和備份條件下，密鑰過期或丟失后無法正確使用加密程序，對硬件系統進行完整性監控，避免在執行過程中更換。所有傳輸和存儲程序應為加密程序，嚴禁下載和運行無簽名、無驗證源的軟件。避免重復使用數據，所有交易都必須加蓋時間戳。在SWP.SIM模式下，使用SIM卡的自毀保護機制，在3次密鑰不正確將“燒卡”，使得該模式下SIM信息不可復制。采取具有NFC功能的手機，在基帶處理器中能與SE交互的API函數接口，以及基帶處理器為NFC相關應用提供運行環境。然而有些應用程序可在沒有用戶知曉的情況下就被調用了。不同的安全域使用不同的可信應用，嚴格劃分不同的安全域以提高其安全性能。NFC手機在軟件使用時對其安全性進行檢查，對于已經Root的手機，提示安全風險并限制最高金額，控制其風險;對于空中充值應用，必須采取在線驗證機制充值，保證安全可控。

2.后臺數據風險預警機制。根據地鐵業務數據的特點，實時監控分析各終端設備上傳的各交易數據的存儲情況。進行交易數據分析和監控預警分析，票據卡邏輯卡號為主關鍵字。根據各終端上傳交易數據中的邏輯卡號對比交易記錄中的余額字段。第一階段預警：當發現比對數據有反向跳變（增長）時，將該條交易記錄列入第l階段預警表進行記錄，并檢查在遞減的最后一筆交易，當查詢有充值記錄時，而且上傳入庫累計充值記錄等于跳變（增長）值時，刪除第一預警階段該票卡記錄;如果充值記錄不等于跳變（增長）值時，該票卡記錄計入第二階段預警表。第二階段預警：預警表數據根據地鐵公司AFC設備檢修或維護周期，設置一段時間觀察期，實時查詢上傳入庫充值記錄;若在觀察期內查詢到有遞減的最后一筆交易，至跳變（增長）記錄時間段中的充值記錄累計值，等于跳變（增長）值時，刪除第一和第二階段該票卡記錄;若在觀察期內未能查詢到充值記錄等于跳變（增長）值，則該票卡記錄計入第三階段預警表。第三階段預警：預警表的數據將作為人工分析的重點，如果一個票卡有多條記錄在第三階段預警表里，將進行遠程鎖手機票卡行為，待持手機用戶去地鐵站點（或指定點）進行解鎖，解鎖后預警表記錄移入歷史表備查。對于該階段用戶因有多次余額增加，將進行重點分析盯控，防范有可能風險的出現和漏洞的補查。

結束語：

隨著快捷的生活越來越多的被人們所追求，移動支付受到人們的熱捧。公共交通是一個典型的移動收費模式，近年來已成為一個普遍的模式。與AFC系統中的移動支付有關的技術革新和應用，與互聯網的發展趨勢相一致。根據目前關于低碳經濟和綠色經濟的設想，現階段根據其他地鐵項目的經驗，應當對新技術的需求進行分析，在項目實施過程中加強智能地鐵的概念。

參考文獻：

[1]雷洪斌.基于NFC技術的移動支付研究綜述[J].軟件導刊， 2019，1（17）： 1-5

[2]邱華瑞， 張寧， 徐文， 何鐵軍.城市軌道交通自動售檢票系統架構體系研究。[J].都市快軌交通， 2018， 1（2）： 2-4

[3]解麗娜.基于NFC和SIM卡結合的手機支付方式[J].中國信息化，2019， 1（17）： 2-4