关键词:NFC移动支付,支付安全,身份验证
1.NFC的移动支付基本原理
随着移动互联网的发展和电子商务的逐渐普及,越来越多的移动互联网用户选择移动支付作为主要的支付手段。目前的移动支付主要包括基于移动互联网的远程支付和基于NFC技术的近场支付。手机支付宝、微信支付等支付手段都是基于互联网的远程支付技术,远程支付技术的发展相对成熟,交易量和用户数量都不断攀升。近场支付发展相对较慢,是目前的研究热点,典型的近场支付工具是Applepay。
NFC(NearFieldCommunication)近场通信是一种利用射频技术(RadioFrequencyIdentification,RFID)的近距离非接触通信技术,通信距离一般小于10cm,传输速度有106Kbps、212Kbps或424Kbps,目前主要在手持设备中应用。目前NFC技术逐渐在手持设备中推广起来,用户利用NFC支付可以在消费或者购买商品时通过手机等手持设备完成支付,既可以近场联机支付也可以脱机支付,在脱机支付时NFC支付技术不需要移动互联网,通过射频设备与POS机直接通讯完成支付,提高了支付速度,减少了互联网流量费用。
NFC支付技术是在RFID非接触射频技术的基础上发展起来的互通互联技术,具有RFID各种类型的优点,与RFID的不同之处在于NFC具有三种不同的工作模式:卡模拟模式、读写器模式、点对点模式。卡模拟模式将具有NFC支付功能的手持设备模拟成非接触式的IC卡,只需要将移动支付设备接近POS机就能够利用无线射频技术完成支付。读写器模式是具有读写IC卡,NFC标签和电子海报功能的移动支付设备,可以在移动设备上浏览交易的具体信息。点对点模式是在具有NFC通信功能的电子设备之间进行点对点的通信,支持不同种类,不同功能设备之间的信息交换。
NFC的通信模式主要包括被动通信和主动通信。被动通信是由NFC终端产生射频磁场然后另一方借助该磁场获取能量并将信息调制与磁场发生设备交换信息,这是卡模拟模式和读写模式中常用的通信方式。主动通信则是在信息交换的双方交替产生射频磁场,在需要通信时产生磁场获取对方的信息,这就要求信息交换的双方都是有源设备,同时磁场通信范围内存在一对一的通信,主要应用在点对点通信模式中。
2.NFC移动支付系统安全威胁
NFC移动支付系统中包含着用户的个人隐私、交易数据、支付信息等,移动支付的信息安全是需要特别关注的内容。从信息的传递流程上看NFC移动支付的安全威胁主要表现在应用安全威胁、系统安全威胁、终端安全威胁、通信安全威胁四种主要形式。应用安全主要来自于应用程序的漏洞,恶意软件的信息窃取等方面。系统安全主要表现在系统的后门、漏洞在恶意软件的威胁下影响整个系统的安全。终端安全威胁体现在终端设备丢失,信息被窃取而面临的安全风险。通信安全是移动终端被窃听、数据中断、服务器故障等因素造成的安全风险。总体来说NFC移动终端支付面临的安全威胁主要有:窃听、数据破坏、数据篡改、假冒攻击、中间人攻击、交易抵赖、隐私泄露。如图1所示。
图1NFC安全威胁
NFC移动支付安全中需要解决的问题包括用户信息隐私安全和用户位置隐私安全。用户信息隐私安全保护是为了保护个人信息不泄露,保护用户的个人信息、流水记录和银行账户信息等隐私信息,主要采用匿名化的方法和加密方法。匿名化的方法可以采用盲签或者匿名身份保证用户身份的信息,加密法是在信息传输过程中对传输的信息进行加密,保护信息的安全性,防止信息泄露。
3.NFC的移动支付安全方案
NFC移动支付的安全方案之一是在卡模拟工作模式中,通过使用安全模块来进行数据的存储和处理提高信息交换的安全性。当用户将移动支付设备放置在NFC终端的识别范围内时,NFC控制器将从外部获取的数据信息放入安全模块,信息经过安全模块处理后通过控制器放入读写设备进行通信,在交易过程中没有移动设备的软件工具参与其中,通过安全模块将不同设备提供的信息划分不同的安全区进行处理,提高了数据的独立性和安全性。基于安全模块的卡模拟器可以采用三种方法:NFC全终端方案、eNFC技术方案和NFC-SD技术方案。
NFC全终端方案是将安全模块集成到手机中实现多安全域多应用模块架构的管理技术。这一方案将安全模块集成到移动设备中,有效避免了接口兼容性的问题,但是安全模块始终与移动设备相连,设备更新换代比较困难。eNFC是将SIM/UIM卡作为安全模块的NFC技术eNFC使用SIM/UIM卡作为安全模块,可以借助运营商对系统进行推广。同时使用SIM/UIM卡作为安全模块避免了NFC全终端方案升级换代困难的缺点,移动支付的业务灵活性比较高。NFC-SD技术方案是将SD卡作为移动智能设备的安全模块使用。智能SD卡和NFC控制器之间采用SWP协议实现卡模拟、读卡器和点对点三种工作模式。使用NFC-SD工作模式移动支付机构可以发行自己的SD卡进行业务推广,金融机构的独立性更强。缺点在于采用NFC-SD方案需要手机能够支持SWP-SD,一张SD卡只支持一个SP服务,对于有多服务需求的用户需要不同的SD卡进行更换,切换成本高,不利于业务的扩大。
谷歌发布的Android4.4系统中采用了新型的基于主机的卡模拟方案(HostCardEmulation),可以在脱离安全模块的情况下利用操作系统完成移动支付的基本功能,安全模块的功能通过本地软件或者云端模拟来实现因此基于主机的卡模拟方案信息的处理不在安全模块中而是在主机操作系统中进行。
与传统的基于安全模块的卡模拟方式相比较,基于主机的卡模拟方案取消了安全模块,在操作系统中进行数据处理。如果用户进行了root操作,对系统进行人为修改,或者手机被恶意软件修改,就会对终端存储信息和交易数据产生修改,另一方面安全模块的功能通过云端实现必然需要在移动网络正常的情况下才能工作所以基于主机的卡模拟方案支付的安全性仍有待提高。
4.NFC的移动支付用户验证方法
在使用NFC进行信息移动支付的过程中需要对用户的身份进行验证,验证用户信息的合法性,确定用户是否具有服务权限,这是检验用户真实性的过程。目前常用的身份认证方式如表1所示
表1常见身份认证方式
在NFC移动支付终端与POS机进行信息交互时,需要验证移动用户终端的身份特征。在这个过程中如果采用制定好的会话密钥对交互信息进行加密,在进行身份认证时保护用户的身份信息,可以保证信息交互的安全,保护用户的信息安全。
5.NFC移动支付系统模型
NFC移动支付系统主要包括了用户、密钥分发中心、商家、银行、TSM平台五部分组成。具体结构如图2所示。用户既是移动支付系统的消费者也是NFC移动支付终端的持有者。用户将移动支付工具软件下载到手机并绑定银行卡,当NFC手机在POS机的识别范围内时,即可完成交易。在移动支付系统中,POS机代表商家,向用户提出支付请求,并将用户支付信息汇总到支付平台。密钥分发中心采用无证书密码技术生成并分发用户密钥。银行系统是用户和商家资金管理的机构,银行系统与金融结算相结合完成资金的流动。
参考文献
[1].邓国新.中国移动手机支付应用与策略分析[D].华南理工大学,2014.
[2].胡伟.一种安全的移动支付系统的设汁与实现[D].西北大学,2012.
[3].株龙.基于NFC技术的近场支付安全性研究[D].昆明理工大学,2013.