張新宇 謝天

摘要

隨著手機支付和移動支付業(yè)務(wù)的不斷發(fā)展，由于銀行，商品，運營商等等方面的需要，NFC技術(shù)開始慢慢成為了新的關(guān)注焦點。由于NFC技術(shù)有著天然的安全性和便利性，有可能成為未來的發(fā)展趨勢之一但是由于NFC技術(shù)中還存在著各種安全問題，引發(fā)了不少學(xué)者的探討。

【關(guān)鍵詞】進場通訊 安全問題 發(fā)展應(yīng)用

近場通訊技術(shù)最早在2002年NXP與索尼公司共同開發(fā)使用，經(jīng)過了十多年的發(fā)展，其應(yīng)用的場景已經(jīng)非常廣泛。近場通訊技術(shù)能夠在非接觸的條件下實現(xiàn)短距離無線通訊，與RFID一樣成為了未來數(shù)據(jù)處理、物聯(lián)網(wǎng)構(gòu)建的重要組成部分之一。

1 近場通訊的原理

近場通訊的基本原理和RFID相似，但是在功能上又與RFID有所不同。市面上比較常見的NFC芯片有NXP公司推出的PN544、PN533、PN531、PN512等，這些芯片都支持讀寫功能與NFC功能同時存在，一般均采用13.56MHZ的信道為工作頻率，作用的范圍在10cm左右，其感應(yīng)的距離也決定了這些芯片需要在互相接近的條件下方可以實現(xiàn)通訊。在通訊的速率上現(xiàn)有424KB/s、212KB/s等等，隨著科技的進步，1MB/s的芯片也會被推出。

NFC與RFID相比，都是工作在頻率13.56MHz上，同時兼容RFLICA與ISO14443標準，通過電感耦合的方式來傳遞數(shù)據(jù)。但是NFC與RFID又有所不同，相對來說，RFID的傳輸范圍比NFC要大，NFC的傳輸范圍僅有10cma小范圍的傳輸為管理帶來了方便，但是也為使用者帶來了麻煩。NFC具有雙向傳輸連接和識別的功能，而且NFC的傳輸速率可以改變，這是RFID射頻識別技術(shù)沒有的優(yōu)勢。

現(xiàn)在的手機一般攜帶了PN544第二代NFC控制器，在傳輸速度上接近甚至超過1Mb/s，支持完整的卡協(xié)議，支持加密算法，增加了內(nèi)核處理器，能夠?qū)崿F(xiàn)多種接口通訊。隨著移動支付的應(yīng)用范圍不斷擴大，NFC技術(shù)的應(yīng)用在未來廣被消費者看好。

2 NFC技術(shù)中的安全問題研究

2.1 通訊安全問題

NFC技術(shù)中存在比較明顯的通訊安全問題，通訊安全問題一直都是感應(yīng)式通訊系統(tǒng)的技術(shù)安全問題之一。攻擊者可以通過數(shù)據(jù)復(fù)制，竊聽，中間人攻擊，數(shù)據(jù)破壞等等方式來達到攻擊的目的。

竊聽是一種比較傳統(tǒng)的攻擊手段，攻擊者可以使用一些能夠感應(yīng)和捕捉數(shù)據(jù)交流的設(shè)備來獲取用戶的數(shù)據(jù)。在NFC的非支付協(xié)議中，數(shù)據(jù)的交流和傳輸都是不加密的，這就給攻擊者的數(shù)據(jù)竊取帶來了便利性。雖然NFC的使用距離要求不大于20cm，但是攻擊者可以通過安裝特種天線，或者安裝微型的信號竊聽器來竊取NFC芯片中的數(shù)據(jù)。如果用戶在近場通訊中的身份證信息，護照信息等等個人身份信息被竊取，其后果不堪設(shè)想。

數(shù)據(jù)破壞攻擊也是一種比較常見的攻擊，數(shù)據(jù)破壞的攻擊方式實現(xiàn)起來比竊聽更加方便。數(shù)據(jù)破壞攻擊過程中，并不需要破解NFC通訊中的加密數(shù)據(jù)，只需要使用大功率的干擾裝置便可以實現(xiàn)目標的NFC服務(wù)癱瘓。數(shù)據(jù)篡改攻擊由于具有較大的利益空間，一直是攻擊者關(guān)注的重點區(qū)域之一。

2.2 安全漏洞

只要存在計算機代碼的地方，就會存在漏洞，NFC系統(tǒng)也一樣。安全漏洞一直都是計算機安全技術(shù)人員的研究重點，但是隨著計算機技術(shù)的不斷進步，雖然安全漏洞一直在被修補，可是卻似乎永遠都無法杜絕安全漏洞的出現(xiàn)。

在NFC技術(shù)中比較常見的漏洞有：在CVE-2008-5825中，諾基亞6131固件05.12遇到空格，點，回車等等URI記錄時，會導(dǎo)致無法顯示該記錄，攻擊者可以利用此漏洞誘導(dǎo)用戶訪問惡意網(wǎng)站等。

在CVE-2008-5827，固件為05.12，收集在下載完成后會自動安裝JAR文件，攻擊者可以利用構(gòu)造代碼結(jié)構(gòu)來誘導(dǎo)用戶安裝木馬，或者執(zhí)行遠程控制等。

在E樂充公交卡支付中，有一個可以利用NFC系統(tǒng)存在的邏輯漏洞，來實現(xiàn)0支付充值的攻擊目的。

2.3 惡意軟件和網(wǎng)絡(luò)釣魚

惡意軟件是一種在未經(jīng)用戶允許的情況下，私自進行用戶信息收集，發(fā)送，甚至私自進行短信扣費，銀行卡支付等等的一系列帶有攻擊行為的軟件。針對NFC技術(shù)的惡意軟件有劫持截面，廣告彈出，惡意扣費，惡意捆綁，竊取信息等等類型的惡意軟件。

針對NFC技術(shù)的網(wǎng)絡(luò)釣魚惡意攻擊，指的是攻擊者通過偽造一個帶有惡意網(wǎng)址的海報標簽，引導(dǎo)用戶去觸碰。一旦用戶去觸碰，便會被攻擊者引導(dǎo)去訪問惡意網(wǎng)站，或者通過釣魚網(wǎng)站來竊取用戶的真實銀行卡，身份證，護照等等重要信息。

2.4 NFC安全技術(shù)的發(fā)展方向

NFC技術(shù)的發(fā)展方向可以分為以下幾大主線，從支付安全出發(fā)的SE安全元件，NFC安全支付驗證系統(tǒng)，平臺的安全驗證系統(tǒng)，NFC的應(yīng)用程序安全研究。從數(shù)據(jù)交換過程的安全角度出發(fā)有加解密算法的安全研究，簽名算法的安全研究，密匙共享的安全研究，密匙證書儲存使用的安全研究。從應(yīng)用程序的角度出發(fā)，有安全漏洞的修復(fù)研究，敏感數(shù)據(jù)保護加密安全研究。從硬件安全角度出發(fā)，有執(zhí)行環(huán)節(jié)安全研究，移動模塊安全研究。

3 NFC的發(fā)展應(yīng)用方向

3.1 移動支付上的NFC應(yīng)用

移動支付技術(shù)一般有兩種方式，一種是基于遠程無線通訊網(wǎng)絡(luò)基礎(chǔ)上的遠程支付業(yè)務(wù)，譬如說支付寶，微信的掃碼支付，轉(zhuǎn)賬等等都屬于遠程支付系統(tǒng)。還有一種就是近距離通訊的NFC支付業(yè)務(wù)，也就是本文所指的NFC移動支付技術(shù)。

想要實現(xiàn)NFC近距離移動支付業(yè)務(wù)，需要從手機終端，POS機，芯片，卡片等等系統(tǒng)上出發(fā)，在如今5G網(wǎng)絡(luò)即將推出的背景下，NFC支付技術(shù)想要獲得更加可觀的應(yīng)用前景，必須結(jié)合移動網(wǎng)絡(luò)來進行更進一步的簡化和升級。

移動NFC支付系統(tǒng)的實現(xiàn)要從幾大方面出發(fā)，可以從13.56MHz非接觸技術(shù)出發(fā)的NFC方案的實現(xiàn)，可以從13.56MHZ非接觸技術(shù)的雙界面卡方案上實現(xiàn)，基于2.4GHZ上的RF-SIM卡方案實現(xiàn)。目前集成在SIM卡上的NFC業(yè)務(wù)和集成在手機硬件中的NFC系統(tǒng)都得到了廣泛的應(yīng)用。其中以集成在手機硬件上的NFC系統(tǒng)應(yīng)用更加廣泛。由于SIM卡自身體積問題，導(dǎo)致NFC系統(tǒng)集成SIM上的實現(xiàn)難度有所增加。

3.2 其他方面的應(yīng)用

NFC近場通訊技術(shù)經(jīng)過了十幾年的發(fā)展，其應(yīng)用的領(lǐng)域已經(jīng)覆蓋到了各行各業(yè)之中。如今在銀行非卡業(yè)務(wù)，運營商業(yè)務(wù)員，移動支付業(yè)務(wù)，手機外設(shè)支付業(yè)務(wù)，圖像識別業(yè)務(wù)，超聲波支付業(yè)務(wù)中，都可以看到NFC技術(shù)應(yīng)用的身影。在電子門禁，電子門票，電子車票，電子身份證，一卡通等等上，NFC近場通訊功能也得到了廣泛的應(yīng)用。

4 結(jié)束語

近距離通訊業(yè)務(wù)與遠程無線業(yè)務(wù)不同，近距離通訊業(yè)務(wù)解決的是設(shè)備與設(shè)備之間的非接觸性交流業(yè)務(wù)，隨著5G網(wǎng)絡(luò)的推出，近距離通訊業(yè)務(wù)會朝著解決設(shè)備近距離通訊交流的功用上發(fā)展。

參考文獻

[1]徐鵬.基于NFC技術(shù)的移動支付系統(tǒng)安全性研究[D].江南大學(xué)，2017.

[2]潘雪峰.基于 NFC（近場通信技術(shù)）的“智能卡包”系統(tǒng)模型的設(shè)計和研究[D].華東師范大學(xué)，2014.