張新宇 謝天
摘要
隨著手機支付和移動支付業(yè)務(wù)的不斷發(fā)展,由于銀行,商品,運營商等等方面的需要,NFC技術(shù)開始慢慢成為了新的關(guān)注焦點。由于NFC技術(shù)有著天然的安全性和便利性,有可能成為未來的發(fā)展趨勢之一但是由于NFC技術(shù)中還存在著各種安全問題,引發(fā)了不少學(xué)者的探討。
【關(guān)鍵詞】進場通訊 安全問題 發(fā)展應(yīng)用
近場通訊技術(shù)最早在2002年NXP與索尼公司共同開發(fā)使用,經(jīng)過了十多年的發(fā)展,其應(yīng)用的場景已經(jīng)非常廣泛。近場通訊技術(shù)能夠在非接觸的條件下實現(xiàn)短距離無線通訊,與RFID一樣成為了未來數(shù)據(jù)處理、物聯(lián)網(wǎng)構(gòu)建的重要組成部分之一。
1 近場通訊的原理
近場通訊的基本原理和RFID相似,但是在功能上又與RFID有所不同。市面上比較常見的NFC芯片有NXP公司推出的PN544、PN533、PN531、PN512等,這些芯片都支持讀寫功能與NFC功能同時存在,一般均采用13.56MHZ的信道為工作頻率,作用的范圍在10cm左右,其感應(yīng)的距離也決定了這些芯片需要在互相接近的條件下方可以實現(xiàn)通訊。在通訊的速率上現(xiàn)有424KB/s、212KB/s等等,隨著科技的進步,1MB/s的芯片也會被推出。
NFC與RFID相比,都是工作在頻率13.56MHz上,同時兼容RFLICA與ISO14443標準,通過電感耦合的方式來傳遞數(shù)據(jù)。但是NFC與RFID又有所不同,相對來說,RFID的傳輸范圍比NFC要大,NFC的傳輸范圍僅有10cma小范圍的傳輸為管理帶來了方便,但是也為使用者帶來了麻煩。NFC具有雙向傳輸連接和識別的功能,而且NFC的傳輸速率可以改變,這是RFID射頻識別技術(shù)沒有的優(yōu)勢。
現(xiàn)在的手機一般攜帶了PN544第二代NFC控制器,在傳輸速度上接近甚至超過1Mb/s,支持完整的卡協(xié)議,支持加密算法,增加了內(nèi)核處理器,能夠?qū)崿F(xiàn)多種接口通訊。隨著移動支付的應(yīng)用范圍不斷擴大,NFC技術(shù)的應(yīng)用在未來廣被消費者看好。
2 NFC技術(shù)中的安全問題研究
2.1 通訊安全問題
NFC技術(shù)中存在比較明顯的通訊安全問題,通訊安全問題一直都是感應(yīng)式通訊系統(tǒng)的技術(shù)安全問題之一。攻擊者可以通過數(shù)據(jù)復(fù)制,竊聽,中間人攻擊,數(shù)據(jù)破壞等等方式來達到攻擊的目的。
竊聽是一種比較傳統(tǒng)的攻擊手段,攻擊者可以使用一些能夠感應(yīng)和捕捉數(shù)據(jù)交流的設(shè)備來獲取用戶的數(shù)據(jù)。在NFC的非支付協(xié)議中,數(shù)據(jù)的交流和傳輸都是不加密的,這就給攻擊者的數(shù)據(jù)竊取帶來了便利性。雖然NFC的使用距離要求不大于20cm,但是攻擊者可以通過安裝特種天線,或者安裝微型的信號竊聽器來竊取NFC芯片中的數(shù)據(jù)。如果用戶在近場通訊中的身份證信息,護照信息等等個人身份信息被竊取,其后果不堪設(shè)想。
數(shù)據(jù)破壞攻擊也是一種比較常見的攻擊,數(shù)據(jù)破壞的攻擊方式實現(xiàn)起來比竊聽更加方便。數(shù)據(jù)破壞攻擊過程中,并不需要破解NFC通訊中的加密數(shù)據(jù),只需要使用大功率的干擾裝置便可以實現(xiàn)目標的NFC服務(wù)癱瘓。數(shù)據(jù)篡改攻擊由于具有較大的利益空間,一直是攻擊者關(guān)注的重點區(qū)域之一。
2.2 安全漏洞
只要存在計算機代碼的地方,就會存在漏洞,NFC系統(tǒng)也一樣。安全漏洞一直都是計算機安全技術(shù)人員的研究重點,但是隨著計算機技術(shù)的不斷進步,雖然安全漏洞一直在被修補,可是卻似乎永遠都無法杜絕安全漏洞的出現(xiàn)。
在NFC技術(shù)中比較常見的漏洞有:在CVE-2008-5825中,諾基亞6131固件05.12遇到空格,點,回車等等URI記錄時,會導(dǎo)致無法顯示該記錄,攻擊者可以利用此漏洞誘導(dǎo)用戶訪問惡意網(wǎng)站等。
在CVE-2008-5827,固件為05.12,收集在下載完成后會自動安裝JAR文件,攻擊者可以利用構(gòu)造代碼結(jié)構(gòu)來誘導(dǎo)用戶安裝木馬,或者執(zhí)行遠程控制等。
在E樂充公交卡支付中,有一個可以利用NFC系統(tǒng)存在的邏輯漏洞,來實現(xiàn)0支付充值的攻擊目的。
2.3 惡意軟件和網(wǎng)絡(luò)釣魚
惡意軟件是一種在未經(jīng)用戶允許的情況下,私自進行用戶信息收集,發(fā)送,甚至私自進行短信扣費,銀行卡支付等等的一系列帶有攻擊行為的軟件。針對NFC技術(shù)的惡意軟件有劫持截面,廣告彈出,惡意扣費,惡意捆綁,竊取信息等等類型的惡意軟件。
針對NFC技術(shù)的網(wǎng)絡(luò)釣魚惡意攻擊,指的是攻擊者通過偽造一個帶有惡意網(wǎng)址的海報標簽,引導(dǎo)用戶去觸碰。一旦用戶去觸碰,便會被攻擊者引導(dǎo)去訪問惡意網(wǎng)站,或者通過釣魚網(wǎng)站來竊取用戶的真實銀行卡,身份證,護照等等重要信息。
2.4 NFC安全技術(shù)的發(fā)展方向
NFC技術(shù)的發(fā)展方向可以分為以下幾大主線,從支付安全出發(fā)的SE安全元件,NFC安全支付驗證系統(tǒng),平臺的安全驗證系統(tǒng),NFC的應(yīng)用程序安全研究。從數(shù)據(jù)交換過程的安全角度出發(fā)有加解密算法的安全研究,簽名算法的安全研究,密匙共享的安全研究,密匙證書儲存使用的安全研究。從應(yīng)用程序的角度出發(fā),有安全漏洞的修復(fù)研究,敏感數(shù)據(jù)保護加密安全研究。從硬件安全角度出發(fā),有執(zhí)行環(huán)節(jié)安全研究,移動模塊安全研究。
3 NFC的發(fā)展應(yīng)用方向
3.1 移動支付上的NFC應(yīng)用
移動支付技術(shù)一般有兩種方式,一種是基于遠程無線通訊網(wǎng)絡(luò)基礎(chǔ)上的遠程支付業(yè)務(wù),譬如說支付寶,微信的掃碼支付,轉(zhuǎn)賬等等都屬于遠程支付系統(tǒng)。還有一種就是近距離通訊的NFC支付業(yè)務(wù),也就是本文所指的NFC移動支付技術(shù)。
想要實現(xiàn)NFC近距離移動支付業(yè)務(wù),需要從手機終端,POS機,芯片,卡片等等系統(tǒng)上出發(fā),在如今5G網(wǎng)絡(luò)即將推出的背景下,NFC支付技術(shù)想要獲得更加可觀的應(yīng)用前景,必須結(jié)合移動網(wǎng)絡(luò)來進行更進一步的簡化和升級。
移動NFC支付系統(tǒng)的實現(xiàn)要從幾大方面出發(fā),可以從13.56MHz非接觸技術(shù)出發(fā)的NFC方案的實現(xiàn),可以從13.56MHZ非接觸技術(shù)的雙界面卡方案上實現(xiàn),基于2.4GHZ上的RF-SIM卡方案實現(xiàn)。目前集成在SIM卡上的NFC業(yè)務(wù)和集成在手機硬件中的NFC系統(tǒng)都得到了廣泛的應(yīng)用。其中以集成在手機硬件上的NFC系統(tǒng)應(yīng)用更加廣泛。由于SIM卡自身體積問題,導(dǎo)致NFC系統(tǒng)集成SIM上的實現(xiàn)難度有所增加。
3.2 其他方面的應(yīng)用
NFC近場通訊技術(shù)經(jīng)過了十幾年的發(fā)展,其應(yīng)用的領(lǐng)域已經(jīng)覆蓋到了各行各業(yè)之中。如今在銀行非卡業(yè)務(wù),運營商業(yè)務(wù)員,移動支付業(yè)務(wù),手機外設(shè)支付業(yè)務(wù),圖像識別業(yè)務(wù),超聲波支付業(yè)務(wù)中,都可以看到NFC技術(shù)應(yīng)用的身影。在電子門禁,電子門票,電子車票,電子身份證,一卡通等等上,NFC近場通訊功能也得到了廣泛的應(yīng)用。
4 結(jié)束語
近距離通訊業(yè)務(wù)與遠程無線業(yè)務(wù)不同,近距離通訊業(yè)務(wù)解決的是設(shè)備與設(shè)備之間的非接觸性交流業(yè)務(wù),隨著5G網(wǎng)絡(luò)的推出,近距離通訊業(yè)務(wù)會朝著解決設(shè)備近距離通訊交流的功用上發(fā)展。
參考文獻
[1]徐鵬.基于NFC技術(shù)的移動支付系統(tǒng)安全性研究[D].江南大學(xué),2017.
[2]潘雪峰.基于 NFC(近場通信技術(shù))的“智能卡包”系統(tǒng)模型的設(shè)計和研究[D].華東師范大學(xué),2014.