電子發燒友App
互聯網支付的磅礴興起,打破了人們平靜地傳承了千百年的交易方式。在目前眾多的支付技術中,通過NFC射頻識別技術來實現的支付手段,相信是互聯網軟件發展與移動硬件部件成熟相結合的產物。這一產物在現實中,支付方式的改變其實只是NFC的一個功能縮影,但這個縮影落實在特定的卡片或者手機上,卻是起到了一種啟示性作用。
但往往便捷程度越高安全問題越明顯,那么NFC射頻識別技術、或NFC相關應用程序在實際應用中,安全狀況如何?相信通過本文大家得到更詳細了解。
也許大家很早以前就有聽說過NFC,但是很少有手機配備這樣的功能,那是因為初期,也就只要那些高大上的手機才可能會配備NFC。
大家知道,藍牙在不同的設備之間連接之前,需要經過藍牙或者是驗證碼來匹配,匹配完成之后才能在不同的設備之間建立連接;然而NFC則只需要兩個設備輕輕貼近,即可進行文件傳輸、軟件互傳而無需其他任何匹配方面的設置。
相對來說,藍牙的配對,需要使用驗證碼或者設立一定密碼來實現;NFC卻是在不同設備(支持NFC硬件模塊)之間,那么,在這樣不需要任何的密碼、驗證而直接的實現連接,在安全方面是否會存在著隱患。
目前NFC手機已實現交通、購物、娛樂等消費時小額支付以及門禁、停車、巡更、消費、考勤等應用。并且,由于NFC以手機為載體,就可以開發出傳統IC 卡無法實現的空中開卡、空中充值、在線認證、明細查詢、遠程開門等便利的功能。除此之外,人們可以利用手機NFC的讀卡器模式開發成手持終端機,以替代傳統的IC卡讀寫器對其它手機NFC或IC卡進行操作等。NFC技術的應用,帶給人們一種嶄新的生活方式。
體現在硬件方面的連接安全性,也許我們較難從表面上進行考究,但前文已經提到,NFC技術在設備上的功能另一方面通過軟件來體現,而我們從軟件應用方面來進行探究,相信是一個比較容易突破的關鍵點。
前不久北京公交集團旗下推出的一款官方軟件,可用于對市政交通一卡通進行自助充值。這款軟件所使用到的技術就是NFC,是NFC結合軟件程序產物中的一個新型代表。北京一卡通可以進行查詢需要第三方軟件的支持,成功識別之后,可以輕松查詢乘客詳細的刷卡記錄、卡的余額、何時到期等等。
而其中,充值交易是軟件的關鍵應用功能點。通過NFC來識別公交卡,是一個很顯著的進步,但涉及到與用戶支付賬戶,甚至是銀行賬戶信息相掛鉤,而NFC的便捷性并未對連接過程或者交易過程進行加密,是否存在著隱患,我們接下來繼續探究。
給市政一卡通充值 現在您只需要一臺手機一款軟件即實現
一卡通消費記錄
以北京市為例,城區街頭我們通常能看到很多地方都立著公用電話亭,雖說這些電話亭現時潮流之下已經時過境遷,但電話亭卻不是一無是處。將一卡通插入電話卡槽,您會發現可以直接使用公交卡撥打電話,資費便宜:長途話費(港澳臺除外)0.1元/一分鐘,非常合算的通話費用。如上圖所示交易記錄中的-0.1元正是使用這些公用電話時,所消費的話費。
以上,是使用該軟件為公交一卡通充值的整套過程,我們似乎很難找到這里面有什么不妥的地方。充值交易到最后,用戶只需要輸入支付寶賬戶對應的支付密碼,即可最終完成交易。
支付寶賬戶無法清除 是否會存在安全隱患?
我們最初發現的問題是,當用戶通過個人手機號碼獲得驗證碼登陸充值程序之后,默認賬戶就已經成立,用戶首次登陸了支付寶賬戶之后,軟件則認為用戶默認了這一支付方式。然而重點都不在這里,重點在于,我們在支付寶賬戶信息菜單中,根本無法找到任何清除已登錄支付寶賬戶的功能按鈕,而僅可使用更多的其他支付寶賬戶來進行登錄而已。
試圖排除隱患:筆者為了驗證是否軟件存在著賬戶緩存問題,進行了下面幾個嘗試,看是否能將已登錄的賬戶消除。
①將軟件卸載,再安裝完畢之后,賬戶信息依然存在;②換用其他手機號碼登陸,使用其他一卡通操作,賬戶仍在;③Android系統恢復后,再次安裝該軟件,只要登錄成功,并進行充值交易時,所顯示的支付寶賬戶信息依然是首次登陸的賬戶。
這樣會有什么安全隱患?
支付寶賬戶無法清除,就意味著該項支持NFC識別技術的軟件應用,注定了無法在公共場所進行一卡通充值;第二點,個人賬戶方面的隱私問題,必然受到影響;最后一點,一旦支付寶支付密碼泄露,后果就可想而知了。不過,由于軟件目前版本所經歷的版本更新還不是很多,相信在接下來的版本中,這樣的問題會得到完美解決。
目前,很多公共場所,如機場、地鐵以及購物中心等人群比較密集的區域,我們往往可以看到一些自動售貨機。這些自動售貨機上漸漸出現了一些想支付手段:支付寶支付、微信支付等,傳統支付包括紙幣、硬幣支付等。
然而,每一種支付方式都對應的操作方式,其實也是不一樣的。
支付寶支付在這些機器上的操作,包括了二維碼、聲波支付;微信支付對應的是二維碼;第三種支付正是本文所需要去講述的——通過NFC近場支付,實際上就是通過使用北京市政公交一卡通來進行NFC刷卡實現。
NFC支付是一種近距離交易特點的創新支付產品,出門使用公交一卡通即可消費,完全可以不帶錢包,就能通過“刷卡、刷手機”在超市、餐廳、自動售貨機、地鐵等各種場所消費。單筆消費最多300元,電子現金預存上限1000元。
NFC近場支付(通訊)好是好,但對于服務提供商和用戶而言,都需要一些投入。
例如用戶需要花費額外落實到硬件上的NFC芯片成本。如果使用外置于手機的刷卡芯片(谷歌曾開發一種帶有NFC芯片的貼紙),則容易損壞和丟失(其中丟失問題是非常嚴重的問題)。
加上一卡通目前為止,是一種不記名的儲值卡,也就是說用戶往里面儲值之后,一旦一卡通丟失,在無任何身份認證的情況下,用戶其實無法對丟失的卡片進行凍結,那么卡內所存入的錢就沒辦法找回來了。
NFC近場支付的未來
相信僅通過公交一卡通的方式來進行的NFC交易,顯然比較局限。不過我們了解到,NFC移動相關工作人員介紹稱,目前支持NFC支付功能的手機已經發布了5款,預計到年底將擴展到近20款手機。想要嘗鮮的市民不用跑到營業廳,直接可在移動展區現場免費更換NFC-SIM卡。據了解,中國移動與多家全國及地方性銀行、6萬多家現場商戶建立合作,將會為NFC近場交易的方式提供更為有力的支持。
設施配套服務做到位了,想必無論是通過手機,還是通過特質的NFC卡片來進行交易,未來的時間里,都能做到實名制,廣大用戶能夠及時有效地保護個人財產安全。
不僅僅只包括了支付方面,軟硬件所帶來的安全隱患。在我們日常生活中,如住宅區單元樓的門禁、各個單位、公司辦公地點的門禁開關等,其實都是與硬件識別技術是密不可分,只不過在門禁方面,也許與軟件系統的控制性關聯會小一點而已。
近距離無線通信(NFC)是一項適用于門禁系統的技術,這種近距離無線通信標準能夠在幾厘米的距離內實現設備間的數據交換。NFC還完全符合管理非接觸式智能卡的ISO標準,這是其成為理想平臺的一大顯著特點。在不久的將來,除了普通的NFC卡片以外,通過使用配備NFC技術的手機攜帶便攜式身份憑證卡,然后以無線方式由讀卡器讀取,用戶只需在讀卡器前出示手機即可開門。
目前,以北京市為例,城區3年內的社區樓盤,所配備的門禁系統多為較新式的IC卡(RFID標準)。而眾多較老的小區,仍然小部分使用老的NFC類型的門禁卡,這些卡片相對目前新式的IC卡片,相對比較容易被第三方的NFC標簽復制和讀寫。
NFC門禁卡被越來越多地運用到了小區、住宅樓單元門上。物業單位所發放的此類門禁卡,往往容易被一些外部NFC替換卡所充斥,通過第三方的一些技術手段,將NFC空白卡進行復制、刷寫數據等操作,很快就可以獲得與物業單位所發放的,同樣效果的門禁卡。
設想一下,作為住宅小區內,大門、單元門甚至是住戶門等位置的門禁卡,被不懷好意的人所復制到,那么小區住戶的安全性將存在著隱患。
保證NFC作為移動支付手段支付的安全
首先要保證發卡過程的安全。目前電信運營商和銀聯 (銀行)均采用TSM(可信服務管理)平臺管理,可以將銀行卡信息安全地下載到手機SIM卡中。這是建立在硬件層面上的安全保障。由于NFC手機采取SE 芯片硬件加密和軟件加密相結合的方式,不到0.1秒的時間就可以完成ID與密鑰等數據傳遞,黑客在如此快速交換數據的條件下截獲并破譯無線電信號的幾率很小。
其次,在支付過程中,手機NFC的認證采用了CPU加密技術,其安全水平與銀行發行的芯片卡相同。同時,手機NFC支付包含在線支付和離線支付兩部分。銀聯已經明確規定離線支付部分,即手機錢包的最大余額為1000元,也從制度上降低了手機NFC支付的風險。因此,從后期來看,在硬件方面技術的提升,本文中現存的幾個方面安全隱患,將會得到進一步的彌補。
從軟件層面保證應用的安全運作
隨著NFC技術結合的軟件,不斷推陳出新,版本的更新,軟件產品設計上的不斷進步,擁有了實際技術功底的開發者們,將會推出更為完美的NFC相關軟件產品。因為在前文的分析中,我們目前所遇到的相關產品絕大部分只是在軟件設計上一些瑕疵,而這些瑕疵在后期版本的推出之后,都是不難被消除掉的。到了那個時候,NFC相關軟件的安全性運作將能得到進一步提升。
NFC門禁卡安全解決思路
NFC虛擬憑證卡的最簡單模式就是復制現行卡片內的門禁原則。手機將身份信息傳遞給讀卡器,后者又傳送給現有的門禁系統,最后打開門。
這樣,無需使用鑰匙或智能卡,就可提供更安全、更便攜的方式來配置、監控和修改憑證卡安全參數,不僅消除了憑證卡被復制的風險,而且還可在必要時臨時分發憑證卡,若丟失或被盜也可取消憑證卡。
新一代智能卡技術的發展,使得企業能夠通過將門禁和電腦桌面登錄整合到單一的身份識別平臺,來保護設施、人員和資產。這種集成多應用的門禁解決方案不僅可用于傳統的證卡和讀卡器,還將用于移動設備(包括手機)。這些手機使用無線近距離通信(NFC)技術來接收及出示以往寄存在非接觸式智能卡的虛擬憑證卡,實現開門、電子支付和安全讀取數據等應用。
工商網監
評論