未来智讯 > 移动支付论文 > 基于NFC移动支付的平安问题研讨

基于NFC移动支付的平安问题研讨

发布时间:2018-12-05 01:06:01 文章来源:未来智讯    
    基于NFC移动支付的平安问题研讨作者: 陈瑞 丁权玲   摘要:NFC(近场通讯)技能是当前被广泛研讨应用的选取无线方式在近距离进行通讯的技能。这项无线通讯技能由飞利浦公司提议倡议,并由索尼、诺基亚等国际著名厂商结合推出。此技能主要融合了网络与非接触式芯片卡技能,目前已发展成为符合在无线环境下利用移动终端开展近距离支付的一种新型系统。本文介绍了近场通讯技能在移动支付应用中的特点和原理,并且通过分析支付的整个流程总结出可能遇到的平安问题,针对这些问题从平安技能和使用过程两个方面提出相应的建议。
  关键词:NFC;移动支付;平安问题
  一、绪论
  以手机支付为主的移动支付作为新的电子支付方式,近年来在世界范围内引起了无线通讯运营商、各大支付卡组织、商业银行、支付服务商以及移动终端制造商等组织的强烈兴趣。移动支付以智能手机、平板电脑等移动终端设备为硬件载体。近年来移动电子商务呈井喷式发展态势,智能手机应用得到了极大的普及,移动互联网创新层出不穷,这些都极大地推动了移动支付的家当化。
  按交易结算的实时性或距离大小移动支付可分为远距离移动支付和近距离移动支付。前者主要指通过长距离数据传送实现支付,所选取网络包括移动通讯运营商网络和无线局域网络(WLAN),由移动设备系统中的web浏览器、apps和其它如短信、电话、USSD 等实现的支付。台式电脑端网上支付的蓬勃发展带动了远程移动支付的飞速发展。而近距离移动支付常常使用短距离的无线通讯技能例如红外线、蓝牙、RFID以及NFC 等,其家当链各相关方正一齐努力推动市场规模的迅速增长。
  NFC(Near Field Communication,近场通讯技能)作为近距离、非接触式的新一代主流支付技能掀起了移动支付领域的一场革命,发展势头整体良好,面临大规模普及的机遇。中国的各大移动通讯运营商以及商业银行新发布的手机SIM卡和智能芯片支付卡都已具备了近场支付功能。
  二、NFC支付技能
  (一)NFC的观念
  NFC(近距离无线通信技能)是由无线射频识别(RFID)技能及互联互通技能整合而来,在一块芯片上联合众多功能(包括感应式读卡器、感应式卡片和点对点),能够在近程与兼容设备互相识别并且进行数据交换。符合NFC技能的场景相当多,例如公交系统、门禁系统、火车票、飞机票、门票、水电表等日常生活领域,NFC技能在移动支付领域有着广泛的应用前景。
  (二)NFC的事务原理
  1.卡模拟模式(Card emulation)
  此模式主要应用于非接触式移动支付应用例如商场、交通中。用户在支付时将智能手机贴近读卡终端并输入支付密码即可确认交易。在该模式中NFC设备依靠电磁感应耦合原理完成数据传输,整个过程类似基于RFID技能的IC卡应用,因此该模式的主要实际应用领域也与传统的IC卡应用基本一致,如零售刷卡消费、公共交通、门禁管理,车船票,门票等。
  2.读卡器模式(Reader/Writer mode)
  此模式与模式1基本相同,区别在于近场通讯设备扮演倡议终端的角色,必须有电能才能够事务;其指标设备能够是与NFC技能兼容的RFID技能终端。该模式的应用主要包括从展示型海报或展览信息中读取RFID电子标签以获取相关内容。
  3.点对点模式(P2P mode)
  所谓点对点即实现网络中两个平等节点间的无线数据交换。将两个具备NFC功能的设备连接能将数据以点对点的方式直接传输而不需要服务器的介入,例如下载音乐、交换图片或者同步个人信息。该模式的事务原理与红外技能类似,是P2P网络通讯的标准模式,能够对无线网络进行主动(active)、快速的设置,利用现有的蜂窝网络、蓝牙技能和wifi设备能够获得相当快的连接速度。
  三、NFC移动支付面临的平安威胁分析
  (一)NFC移动支付流程
  基于NFC的移动支付主要通过选取第三方支付服务商所提供的服务来实现。该流程的体系结构见图3-1。该系统的核心是具有NFC功能的移动通讯终端以及第三方支付平台。其中NFC功能手机存放与用户相关的支付凭据(credential)、加密解密的密钥(cryptographic key)、支付应用程序(payment application),并且提供非接触通讯接口(communication interface);第三方支付服务的提供者建立移动支付服务器为用户发放支付凭据、管理用户账户金额并为商家提供支付接口和数字证书。
  1.商家的NFC POS机读取交易中客户所采用的商品信息,然后生成商品订单并将订单信息通过近场通讯链路传递给用户移动终端;
  2.客户NFC终端验证商家数字证书并且核对交易订单信息;
  3.订单被确认以后手机用户输入个人识别验证码,待验证通事后向支付平台提交所选商品支付请求;
  4.移动支付平台最初验证用户信息并检查其账户余额,检查通事后即确认该支付请求的有效性并将支付请求传给商家;
  5.商家确认交易有效,完成交易。
  (二)可能存在的平安问题
  平安问题对于移动电子商务、尤其是移动支付至关重要,决定着移动环境下电子商务的进一步发展前景。从产生以来互联网支付一直面临着用户与业界的平安信任危机,这种情况在中国更为明显。而从实际情况看无论是无线传输中的网络数据平安、移动支付流程的平安、还是移动设备终端的物理平安问题都有待进一步加强。
  NFC面临的平安威胁分析:
  1.RF射频通讯链路窃听
  ISO/IEC 18092所定义NFC标准规定了数据链路是无线(wireless)的。众所周知开放环境下的无线数据传输有可能被窃听。受窃听威胁的数据包括用户ID、交易订单信息等相当敏感的内容,如果遭受抨击将导致用户私密信息、交易订单信息的泄漏和被滥用。   2.SE平安单元被损坏
  作为整个支付系统平安性的核心,NFC手机中的平安单元受损将使得整个移动支付流程无法正常进行。损坏既可能由硬件故障导致也可能由于受到恶意抨击导致。该问题的后果是平安模块的加密处理、数字签名等功能无法正常启用,进而证书的验证、用户数字签名和数据的加解密将会失败。
  3.SE平安模块中机密隐私数据被窜改
  抨击者可能破坏SE模块中数据的完整性,例如更新(update)、插入(insert)SE模块中的平安密钥、交易数据等信息;在已被认证过的会话中向SE模块添加一些恶意来源方的根证书。该问题将导致SE模块平安功能失效以及在用户不知情的情况下产生错误的信任关系。
  4.SE平安模块被总体替换
  恶意抨击者对具有NFC支付功能的手机平安模块进行总体的替换。这种情形在使用外部SE模块的NFC解决方案中更容易发生。一旦抨击达成,SE模块平安功能都可以正常使用,但其局部关键机密数据已被替换。其后果是导致身份伪造等未经授权的恶意抨击行为。
  5.SE平安模块的访问抑制被旁路
  抨击者能够通过技能手段获取用户SE模块中关键参数,以及通过密码截获/窥探(网络嗅探)等方法获得用户的个人识别码,进而得到SE模块的所有平安访问权限。其后果是身份被假冒,NFC支付未经授权被使用。
  6.恶意窜改交易订单
  抨击者通过在移动系统app中嵌入木马提供下载从而使移动终端被恶意软件感染,这样抨击者将有机会批改用户订单、破坏数据的完整性、或者将以往订单重发进行重放抨击,导致用户经济丧失。
  7.假冒交易方进行伪造交易
  抨击者假冒参与交易的另一方身份,伪造虚假订单欺骗用户进行交易,导致用户经济丧失。
  8.中间人抨击
  抨击者劫持网络环境下商家与用户之间的交易会话,并进一步获取用户的支付,导致用户经济利益受损。
  四、关于平安问题的建议
  NFC手机移动支付的平安问题的演变能够分为两个方面:技能手段和应用管理。技能解决方法着重从信息系统的技能环节入手,通过类似加密,访问抑制,身份辨别等一系列成熟的技能方法消除平安威胁;而应用管理则关注NFC移动终端用户在无线支付过程中应该注意的与人员、管理相关的事项。
  (一)技能方法
  1.平安模块中的平安性保障机制
  (1)选取访问抑制机制(access control mechanism),如个人识别码的错误尝试次数、数字认证的生命周期管理;(2)相关密钥的备份/恢复机制,避免丢失密钥或密钥失效后加密数据无法被正常处理;(3)严禁机密数据以明文形式被存储和传输;(4)所有交易记录都必须附加时间戳以避免数据重放抨击;(5)系统硬件需进行完整性检测以避免运行时故障;(6)严禁下载没有进行签名、无法验证来源方的软件并运行。
  2.基带处理器的平安机制
  (1)建立身份登记制度,确保手机应用的真实性、完整性;(2)防止个人识别码在输入时被截获;(3)严格划分不同的平安域;(4)与平安模块的相互认证。
  3.NFC芯片的平安机制
  用户必须可以对NFC模块功能自主开关,以防止NFC芯片的内容被随意读取。
  (二)平安应用管理
  1.通过宣传、培训培养用户的平安使用意识
  新的技能需要新的宣传和培训。尤其是平安问题更应该受到高度重视。相应的宣传和培训应该包括以准确的使用NFC智能手机;可以识别潜在威胁并应对;掌握预防自己NFC手机失窃及损坏的准确方法 ;准确使用PIN码(不要读入内存等)以及手机密码的准确设置(大小写字符、数字等)。
  2.操作系统及应用的平安防护
  (1)各种不同类型的智能手机操作系统的相关平安功能及应用软件的平安使用模式;(2)在移动端操作系统安装防病毒和恶意软件工具和防火墙,对智能手机平安软件检测的威胁应给予充分重视。
  归纳
  在移动互联网进入内容为王的时代,移动支付成为一个必然的趋势。只管无线近场支付应用的发展受到各种因素制约,但是作为新的第四代支付方式NFC支付必将迎来其大规模应用前景。在不远的将来NFC技能应用将以智能手机作为最大载体,在解决平安问题的基础上为移动通讯终端提供更丰富的功能。(作者单位:中南财经政法大学工商管理学院)
  参考文献:
  [1]张巍,季智红.基于NFC的新一代移动支付体系及其平安问题研讨[J].通讯与信息技能,2012,02:54-56+53.
  [2]贾凡,佟鑫.NFC手机支付系统的平安威胁建模[J].清华大学学报(自然科学版),2012,10:1460-1464.
  [3]申玮.NFC移动支付运营模式研讨[D].北京邮电大学,2008.
  [4]赵朝阳.NFC移动支付家当的竞合博弈研讨[D].首都经济贸易大学,2012.
  [5]戴尔�m.基于NFC技能的移动支付系统设计与实现[D].电子科技大学,2013.
  [6]周殊.基于移动支付平安感体验的交互设计研讨[D].湖南大学,2013.
  [7]第八期NFC论坛沙龙:聚焦移动支付平安[J].金卡工程,2013,08:17-18.
  [8]单美静.移动支付之平安问题研讨[J].电信科学,2010,S2:141-143.
  [9]郝文江,武捷.移动支付平安性分析及技能保障研讨[J].信息网络平安,2011,09:19-22.
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1205/51323/
 与本篇相关的热门内容: