未来智讯 > 移动支付论文 > NFC移动支付平安问题探究

NFC移动支付平安问题探究

发布时间:2018-12-12 01:06:01 文章来源:未来智讯    
    NFC移动支付平安问题探究作者: 庞贝宁 庞秀平   [提要] 本文通过对移动支付发展前景的推断,基于NFC的近场移动支付将会成为未来主流支付模式。根据NFC的技能特点,分析可能存在的平安漏洞,并提出相应解决方法。
  关键词:移动支付;NFC;平安漏洞;解决方法
  中图分类号:F83 文献标识码:A
  原标题:基于NFC的近场移动支付平安问题探究
  收录日期:2016年12月22日
  随着社会的发展和支付技能的进步,移动支付技能日新月异。然而,任何新支付技能的推广和应用都要建立在资金平安基础之上。因此,支付技能中的平安问题是其发展中需要研讨的最重要的问题。基于此种想法,本文简要研讨NFC(近距离无线通讯技能)新一代移动支付技能的平安问题,目的在于进一步推进NFC移动支付平安、稳定地发展。
  一、移动支付现状
  移动支付是交易双方利用移动设备实现交易的支付活动。如今社会上许多行业都应用移动支付,例如银行转账、生意外汇、网上购物、彩票投注、超市购物、公交付费、饭店付款等,应用范围越来越广,几近渗透到我们生活的各个领域。目前,中国流行的移动支付方式有以支付宝、微信钱包为代表的“扫码派”;以银联、手机厂商、运营商为代表的NFC“闪付派”。由于近两年“扫码派”加大宣传和市场推广的力度,尤其通过减免费用和打折付费等手段,吸引了很多用户参与到移动支付的活动中来,大大普及了移动支付的应用,“扫码派”的应用广泛度远远超过了“闪付派”。根据易观智库的统计数据,2015年我国第三方移动支付市场中,支付宝以72.9%的份额居首,微信钱包以17.4%位居第二,两者占据着移动支付市场90%的份额,成为第三方支付市场的两大巨头。然而,“闪付派”以NFC技能为基础,技能上有很大优势,只要用户拥有NFC手机,就能够在支持NFC的POS终端上刷手机完成支付,不需要输入密码,支付过程比“扫码派”便捷得多、平安得多。2016年苹果、三星、华为、小米等多家手机生产商宣布增加生产具备NFC功能的手机,抢占移动支付市场。同时,中国移动、中国联通、中国电信三大通讯公司也积极参与基于NFC的移动支付项目,譬如,中国移动打算2016年NFC客户达到1,000万,在100个城市推广NFC公交应用,在100个学校和企业推广NFC应用。为调动合作朋友的参与热情,中国移动还推出了“NFC手机出厂与NFC-USIM卡打包配套每户提供15元”的补贴政策。
  虽说移动支付业务在我国起步较晚,但发展较快,随着手机等移动终端的普及,越来越多的人正熟悉这种移动支付服务,因为其操作大略、交易迅速等特点,已经被越来越多人所接受。近来,美国一位银行家预言,5年内现金将从人们视野中消失。能够预见,在未几的将来,移动支付必将成为社会主流的支付方式。随着国内外手机巨头的投入,中国三大移动公司的积极推动,基于NFC技能的移动支付市场也将迎来新一轮的发展高峰,逐步成为移动支付的主流方式。
  二、NFC移动支付平安问题分析
  NFC是由RFID(非接触式射频识别)演变而来,是由飞利浦半导体、诺基亚和SONY等公司共同研发的短距离高频无线电技能。NFC技能具有传输距离短、较快的连接速度和更好的平安性。NFC技能中集成了多种功能,分辨是非接触式智能卡功能、点对点的信息传输功能以及非接触式读卡器的功能。其在13.56MHz频率的有效通讯距离为10cm之内,只要与NFC技能兼容的设备就能够彼此连接。根据事务方式以及事务模式的不同会变成不同的NFC移动支付体系架构,分辨是主动模式、被动模式和双向模式。主动模式中,通讯倡议者与下令接受者之间是相互对等的,倡议者在倡议对指标设备的通讯的同时会产生一个RF射频场,若指标接收设备筹备应答,则其也需要在应答的同时产生RF射频场从而实现对指标设备的应答;而在被动模式中,则不需要指标设备提供射频场进行应答,指标设备主要通过利用负载调制技能完成对下令倡议者的应答。NFC技能其短距离的信息传输增加了可靠性,然而通过特定的天线,标签的信息有可能被窃听。NFC技能除了在硬件和信息窃听外,还存在着信息复制,信息恶意破坏,受到中间抨击的问题。下面对NFC移动支付的平安问题进行分析:
  (一)窃听。NFC移动支付是无线通讯接口,2个设备建立通讯之后,因为标签内部的信息在传输的过程中并不是一直加密,一般信息在链路层通信时并没有对信息进行加密,这使得信息在该层传输时被窃听的可能性增加,从而造成信息的泄露。抨击者通过天线可以接收到传输的信号,但NFC移动支付所建立的通讯距离很小,一般小于10cm,因此对于抨击者而言,理想状态下对主动设备进行窃听距离为10m以内,对被动设备进行窃听则在1m以内,这是NFC移动支付主要的平安问题,而想要彻底解决窃听问题,则要建立平安的信道来通讯。
  (二)窜改数据。数据窜改主要有数据破坏、数据插入以及数据批改三种形式。(1)数据破坏:数据破坏便是抨击者对NFC移动支付设备之间数据传输的破坏。抨击者主要利用NFC的接口,在数据破坏之后,数据接收者就不可以完整地接收到相关数据发出者发出的数据信息,最后导致无法理解数据。抨击者只要在特定时间传输同样频率的数据就能够进行破坏,数据破坏的主要威胁是数据信息传输过程中的干扰,而不是数据的泄露;(2)数据批改:数据批改之后接受者就不能接收到与传输者传输的相同数据,从而导致信息错误,增加数据、削减数据、改变数据都是数据的批改范畴,然而NFC移动设备在数据传输的过程中可以实现射频场的检测,因此此种供给方式可以被检测出来,也就可以进行针对性的防范;(3)数据插入:在2个NFC移动支付设备进行数据交换传输的过程中,抨击者插入数据的窜改方式就称为数据插入。插入数据可能导致数据应答的延迟,插入数据要求在原始�O备回答前完成,如果满足不了这个条件,那么插入数据就形成了数据破坏的供给形式,这种窜改数据的形式也可以被检测到。   (三)中间人抨击。中间人通过第三方会话使NFC移动数据发出设备和NFC移动数据接收设备之间数据交换出现问题。这种中间人抨击有着特定的要求,中间人需要屏蔽真实的发出移动设备和接收移动设备之间的数据传输,但NFC是一种近距离的无线通信方式,如果中间人发出屏蔽或干扰,出现假冒数据的抨击,一定会检测出来,因此此项抨击也不容易实现。
  三、NFC移动支付平安问题解决方案
  NFC移动支付平安问题的演变能够分为两个方面:技能手段和应用管理。技能解决方法着重从信息系统的技能环节入手,通过类似加密、访问抑制、身份辨别等一系列成熟的技能方法消除平安威胁;而应用管理则关注NFC移动终端用户在无线支付过程中应该注意的与人员、管理相关的事项。
  (一)平安模块中的保障机制。选取访问抑制机制,如个人识别码的错误尝试次数和数字认证的生命周期管理;相关密钥的备份恢复机制,避免丢失密钥或密钥失效后加密数据无法被正常处理;严禁机密数据以明文形式被存储和传输;所有交易记录都必须附加时间戳,以避免数据重放抨击;系统硬件需进行完整性检测以避免运行时故障;严禁下载没有进行签名、无法验证来源方的软件并运行。
  (二)基带处理器的平安机制。建立身份登记制度,确保手机应用的真实性、完整性;防止个人识别码在输入时被截获;严格划分不同的平安域;与平安模块的相互认证。基带处理器是通用手机的重要部件,主要负责数据的收发和GSM、GPRS及UMTS等无线通讯信号的处理,提供应用程序的访问接口和人机界面以及与SIM卡的通讯。具有NFC功能的手机要求基带处理器可以提供访问NFC抑制器的API以及与SE交互的API。基带处理器为NFC相关应用提供了运行环境,有些应用可能在没有用户干预的情况下就运行,有些应用代码有签名而有些代码则没有签名。因此,不同的代码其可信程度也不一样,需要在手机的不同平安域中运行。
  (三)NFC芯片的平安机制。用户必须可以对NFC模块功能自主开关,以防止NFC芯片的内容被随意读取。NFC标签在生成时会被烧入一个ID序列,该序列是唯一不可复制的,通过非对称算法由该ID序列可得到一个密文,该密文被存储在标签的数据区,因此NFC设备在进行数据通讯的时候,通过对该密文的对比匹配,判断标签的真伪,实现NFC技能的平安通讯。
  (四)操作系统及应用的平安防护。目前,用户使用的移动终端设备主要是智能手机,都需要安装相应的操作系统,才能安装各种应用程序。各种不同类型的智能手机操作系统的相关平安功能及应用软件的平安使用模式;在移动端操作系统安装防病毒和恶意软件工具和防火墙,对智能手机平安软件检测的威胁应给予充分重视。
  (五)培养用户的平安意识。新的技能需要新的宣传和培训,尤其是平安问题更应该受到高度重视。如今用户用的移动支付终端主要是具有NFC功能的手机,相应的宣传和培训应该包括准确的使用NFC智能手机、可以识别潜在威胁并应对、掌握预防自己NFC手机失窃及损坏的准确方法、准确使用PIN码以及手机密码的准确设置。
  (六)建立信用体系。NFC移动支付是以网络为基础的,而虚拟性是网络的重要特征,因此信用制度的建立更加重要。��前我国NFC移动支付的信用体系建立十分落后,这对于移动交易支付的平安性有着重要的影响。应当积极建立个人及相关企业的信用数据库,完善第三方CA认证体系,以此提升人们的信用意识,确保NFC移动支付的平安性和可靠性。
  主要参考文献:
  [1]郭先会,陈丹.基于NFC的移动支付平安解决方案研讨与应用[J].数据通讯,2014.5.
  [2]张巍,季智红.基于NFC的新一代移动支付体系及其平安问题研讨[J].通讯与信息技能,2012.2.
  [3]郝文江,武捷.移动支付平安性分析及技能保障研讨[J].信息网络平安,2011.9.
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1212/53871/
 与本篇相关的热门内容: