未来智讯 > 移动支付论文 > 基于NFC移动支付安全性研究
    关键词:NFC;移动支付;安全
    中图分类号:F626;TN929.5 文献标识码:A 文章编号:1674-7712 (2014) 12-0000-01
    一、移动支付概念
    (一)概念。移动支付,即用户通过移动终端(如手机、PDA、上网本等)可以方便连接无线网络进行通信的设备)进行的电子商务活动,由于手机已成为人们日常生活的必需品,因而也被称作手机支付。与传统的支付手段相比,移动支付可以实现无地域限制地进行付款,便利快捷。
    (二)移动支付的发展。在日本和韩国,手机购物早已发展成为一种成熟的习惯。在其他国家,如马来西亚人均多款设备持有率最高,47%的消费者人均持有多台移动设备。这已成为整个亚太地区的智能手机发展趋势。随着移动互联网以及智能手机价格越来越平民化,人们越来越倾向于移动支付。其中76%的城市智能手机用户每天都会使用智能手机访问互联网,而在美国,只有36%的用户愿意这样做。支持NFC功能的设备在2013年的出货量达到2.85亿部,预计2014年还将翻番。保守估计,2015年国内NFC手机设备占比预计将接近50%。iPhone6的NFC技术也已落定,或将引爆移动支付市场。
    移动支付在世界范围内迅猛发展,但各国的技术实现方式各不相同,日本流行的是索尼公司开发的FeliCa IC技术,韩国采用的是红外线技术,而非洲部分国家采用SMS技术等。目前国内手机支付主要集中在二维码支付和NFC支付,在腾讯的积极推动下,二维码大面积应用超过NFC支付,不过随着央行紧急叫停二维码支付,NFC势头猛进。
    (三)基于NFC的移动支付。与RFID技术类似,NFC技术也是通过频谱中无线频率的电磁感应耦合方式进行传递信息的。NFC作为短程通信技术,其无线连接技术比RFID更为安全迅速。NFC技术可以与目前的非接触智能卡技术兼容,从而被各大厂商支持。
    NFC属于非接触式移动支付,该支付模式已成为移动支付的主流趋势,其他用于非接触式移动支付业务的近距离通信技术还有RFID、FeliCa、蓝牙等等。针对频率较高的小额支付,NFC技术具有明显的优势。比如使用更加方便,成本更低,建立连接的速度也更快,只需0.1秒,而较短的控制距离也使NFC的精度更高,达到厘米级。
    二、NFC手机方案
    该方案是将NFC芯片和天线内嵌到手机里,并且与SIM卡独立。为了保证移动支付的安全性,在手机中还应加入安全芯片。NFC的功能不受手机开关机的控制,手机没电也可以使用NFC功能。NFC手机共有卡模式、读写器模式、和点对点通信模式三种应用模式。在卡模式中,NFC识别设备在有tag标签的NFC手机读取信息,依靠有线网络在应用处理系统处理,常见的有校园卡、门禁、车票等;读写器模式是NFC手机从tag标签中识别采集信息来进行相应处理。比如,我们可以在超市的电子标签读取商品信息;点对点模式也叫做双向通讯模式,是对两个拥有NFC功能的设备相连接,实现数据双向传输,如通讯录同步,图片交换等等。该方式还可以实现不同设备间的信息交换。该方案目前比较成熟,在全球也有不少应用实例。更由于用户和电信运营商不能靠手机控制NFC芯片的特点而受到金融机构的青睐。由于NFC模块没有占用SIM卡的相关资源,要解决用户无法通过手机控制NFC模块的问题,可以把将NFC的应用程序加入到SIM卡中,但这需要实现二者的接口,增加了软硬件设计的难度。
    三、NFC移动支付的安全问题
    (一)移动支付安全威胁。(1)信息被窃取。无线信道属于开放信道,信号极易被劫持监听,且隐蔽性强。信息的窃取使通信信息泄露使移动用户被追踪,这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁;(2)信息被篡改。信息的篡改主要表现在攻击者通过劫持正常通信连接后,对传输信息的删除、插入等操作,破坏原有信息的完整性和正确性。通常可以采用在消息中插入数字摘要使接收方来判断信息的完整性;(3)手机病毒带来的威胁。越来越多的黑客和病毒编写者把无线网络和移动终端作为攻击对象,智能机操作系统,尤其是Android系统的开放性,由于应用程序来源的多样性,使用户更易受到病毒攻击,病毒在无线用户高频率的交互中得以快速传播;(4)交易中的安全威胁。假冒用户进行交易,产生虚假交易。或者是用户抵赖自己的交易行为。
    (二)安全问题解决办法。在对NFC移动支付的安全问题分析后,可以从WPKI(无线公开秘钥体系)、身份认证等方法来保障移动支付的安全性。
    1.WPKI安全技术。WPKI(Wireless Public Key Infrastructure)技术即无线公开秘钥体系,沿用了互联网电子商务中的PKI安全认证机制。是适应无线网络认证和加密的需要发展起来的,并逐渐在无线业务中得到实际应用。
    一个完整的WPKI体系由认证中心CA,注册机构RA,应用接口,证书目录数据库,秘要备份和恢复系统,证书作废系统等基本结构组成。用户通过向RA提交申请,审查合格后由CA颁发证书给用户,用户的私钥、证书存放在UIM卡中。CA将证书写入证书目录以供查询,RA再把证书的URL发送给终端用户。数字证书保证了无线终端在无线网络操作时的端对端安全。
    2.身份认证方式。针对移动支付中的身份认证问题,给出如下几种方式:(1)摘要认证。是基于挑战-应答模式的认证模型,通过单向散列函数,每次登陆产生的密码都不相同,使得登录过程就增加不确定性;(2)动态口令。密码随时间及使用次数发生动态变化,具有随机性,由于只能单次使用,即使被盗取,也不会造成很大损失。但由于其技术上的复杂性,一定程度上限制了该技术的应用;(3)生物特征识别。生物特征主要有指纹,人脸,红膜识别等,利用生物特征识别的稳定性,结合NFC技术的便利性,可以在用户体验与安全性之间找到平衡。
    四、结束语
    移动支付很好地解决了支付问题,但限制其发展的安全问题不容小觑。我国在安全技术方面,可以在统一标准规范,完善移动电子商务相关法律来推动其发展。本文分析了移动支付的安全威胁及提出了解决方式,结合WPKI及多种身份认证方式,为用户提供一个安全的支付环境。
    参考文献:
    [1]张巍,季智红.基于NFC的新一代移动支付体系及其安全问题研究[J].热点技术,2012.
    [2]雷洪斌.基于NFC技术的手机支付研究[J].上海交通大学,2007.
转载请注明来源。原文地址:https://www.7428.cn/page/2017/1207/7029/
 与本篇相关的热门内容: