基于NFC技术的手机移动支付安全应用研究

杨妍玲

（韩山师范学院，潮州　521000）

基于NFC技术的手机移动支付安全应用研究

杨妍玲

（韩山师范学院，潮州521000）

0　引言

随着手机银行、微信支付、移动钱包等新型业务的普及与应用，移动支付服务已经渗透到人们生活的方方面面。移动支付用户的快速增长，网络基础设施的日益完善，移动互联技术和电子商务领域呈现出高速扩张的态势。根据艾瑞咨询调查数据显示，我国2013年移动互联网市场规模达到1059.8亿元，预计到2017年，市场规模将增长约4.5倍，接近6000亿元。其中，智能手机保有量与网民快速增长，人们花在手机上的时间已超过了在电脑上的时间，移动购物、移动营销，也为移动支付市场规模扩张奠定了基础，移动互联网市场进入了高速发展轨道，这似乎预示着移动支付时代已经到来。

大对数用户都偏爱采用具备近场通信（NFC）技术的智能手机来完成移动支付的相关交易。根据市场研究公司Gartner的最新数据显示，2013年，金融转账和商品购买成为移动支付的主要项目，分别占总交易额的71%和21%，据调查，NFC在近几年里一直稳居最受手机用户喜爱应用的前十位。移动支付为广大用户提供的是随时随地，多样化的服务。消费者通过移动支付业务也能满足其个性化需求，快速完成支付。每天出行可以使用具备NFC技术的智能手机终端购买公交车票或地铁票，通过手机客户端里的移动支付软件实现各种各样的网上购物和信用卡的快捷支付，商务出差，旅游的交通以及酒店订票，都可以通过手机终端轻松完成支付，也就是说，NFC技术未来的使用将会有显著增长，这也使移动支付行业有了新的应用前景。

近场通信（NFC）作为一种新兴的技术出现在越来越多的智能手机上，并成为手机系统的基本配置，以后不论是买飞机票、地铁票、景点门票还是超市购物，都可以利用手机上的NFC技术来实现移动支付。移动支付服务虽然为人们的生活提供极大的便利，前景广阔，但是，随着业务市场规模的不断扩大，其安全应用也成为人们普遍关注的焦点，近年来移动终端木马类病毒肆虐，导致移动终端用户支付信息泄露、金融账户以及身份被盗用等，造成广大用户对移动支付的使用仍然心存疑虑，安全性严重制约了移动支付业务的进一步发展。本文将通过分析移动支付系统现状，构建基于NFC技术的手机移动支付安全解决方案，有效保证信息传递的机密性、完整性和有效性，同时有效降低系统的整体功耗。

1　基于NFC技术的移动支付

据全球知名的市场研究机构eMarketer的定义，移动支付，指的是消费者为了达成商品或服务的交易业务，通过移动终端设备来实现的支付操作。此外，随着近场支付、指纹支付技术的融入，为移动支付领域的应用赋予更多新奇的内容和功能，与在PC端的支付方式不同，如今，移动支付的形式出现了更多花样，例如扫码付、声波当面付、亲密付，以及红包支付、手机远程支付、二维码支付、手机短信支付、NFC近距离支付等。相比这些移动支付手段，NFC技术具有更高的安全性以及更快捷的支付速度，免去了来回发送短信确认，也不需要在复杂的移动终端菜单上进行多次的选择，只要将支持NFC的手机靠近读卡器，便可以快捷、省时地实现移动支付，具有安全性高、交换数据便捷和低功耗的特点，获得许多手机用户的青睐。

随着无线短距离传输技术的发展与成熟，支持近距离数据交换的业务更是不断升温。目前，能实现短距离无线数据交换的技术主要有红外线（IrDA）、WIFI （Wireless Fidelity）、蓝牙（Bluetooth）等，其中比较有竞争力的一种近距离高频无线电技术，即NFC（Near Field Communication），中文称之为“近场通信”。该技术的实现最初源于非接触式射频识别技术（RFID）与各种网络技术的有效整合，通过技术的不断发展，如今已变成一种被广泛应用的短距离无线通信技术。NFC利用了射频（RF）技术，通过单一芯片与感应式读写器之间实现非接触的点对点数据传输和信息交换，同时还能起到个人电子身份识别与验证的作用。为了能实现近距离数据快捷交换的目的，现在大多数数码设备都支持内置NFC芯片，例如智能手机、PDA、计算机外围设备、数码相机等。随着电子商务的发展，智能手机的广泛使用，人们越来越倾向于使用具备NFC功能的智能手机移动终端，将手机变成用户的电子钱包，在消费时不受地域和时间限制，随时随地与商家NFC设备交换数据，进行手机移动支付。

NFC技术应用了无线通信功能，具有传输距离短、连接速度快和安全性较高的优势，而且能兼容非接触智能卡技术标准，得到许多终端设备商家的支持，使其在移动支付领域发挥着重要作用。因此，探讨基于NFC技术在智能手机移动支付上的安全问题也是近年来备受关注的热点话题。

NFC技术最为典型的有三种使用模式：（1）非接触卡模拟模式（Card Emulation Mode），此时的NFC设备具有了智能卡所采用的功能，可以在短距离内实现安全加密的非接触式信息交换。（2）读写器模式（Reader Mode），NFC终端可以用作一个需要电源供应的非接触式读写器，此时NFC设备既能作为非接触式数据接收方，在有效距离以内的任意位置发出自己的RF射频，轻松读取包含有芯片的智能信息卡或含有电子数据设备中的NFC标签；也可以作为非接触式数据发送方，向以上这些设备写入信息数据。（3）点对点模式（Peer to Peer Mode），两个距离很近的NFC设备之间可以快速建立连接，完成数据交换，例如发送图片、同步设备文件等。

上述三种工作模式可见，NFC技术既可以应用在主动模式下，也可以应用在被动模式下。当NFC设备作为读写器工作时，属于主动模式。相对而言，在非接触卡模拟当中，NFC终端则处于被动模式，由于此时它不产生自己的射频，其功能仅仅相当于RFID技术的IC卡类，必须通过非接触读卡器在有效距离以内，才能读取智能卡或标签信息。被动模式下NFC终端的优势就在于无需自带电源，只要读卡器端有供电即能正常工作，两个NFC设备就可以很安全、便捷、快速地实现通信。智能手机用户使用的移动支付就是采用了NFC的卡模拟模式，稳定性相对较好，当然，对于涉及到金融支付上的敏感应用，NFC还需添加加密技术，例如三重DES和高级加密标准（AES），以保证使用者的利益。NFC的卡模拟模式的应用将是未来移动支付发展的一个重要基石。

当然，无线通信当中必不可少的要件就是发送设备和接收终端，对于NFC技术而言，它既可以应用在发送端，也可以在接收端使用，真正实现点对点通信，非接触式读写器功能与非接触卡模拟模式的整合，结合三者之间的优点，更出色地发挥其应用的多样化。在13.56MHz的无线频段里，NFC设备可以用来充当电子钱包、电子票证、乘车票，还可以将两台支持NFC技术的设备在近距离、非接触的情况下进行快速身份识别和实现点对点的数据交换，在106 kbit/s、212 kbit/s、424 kbit/s三个传输速率之间灵活地自动切换，有效覆盖的通信距离高达20厘米，工作过程中完全无须人工干预。由于该技术只能在如此短的距离内才能实现数据交换，这可以有效地防止非授权的“中间人”窃听，同时，NFC技术自身也具备了数据加密的程序和防冲突机制，因此，具有较高的安全性。

2　基于NFC技术的手机支付面临的问题

虽然NFC技术有许多优势，在技术上的发展也已经相对成熟，但仍然存在一些安全问题需要引起重视，移动数据交换的安全性并不是一个新话题，从移动互联技术与电子商务兴起之时，移动电子支付已经随之萌芽，并且有着必不可少的地位。在移动支付的发展过程中，安全性始终是各方最为关心的焦点。随着移动支付使用人群的激增，其安全漏洞也不断地被人们发现，新的病毒和新的技术诈骗手法不断涌现。根据移动支付的特征，它所面临的威胁也是独特的，包括以下内容：

（1）数据的机密性。用户在进行信息传递的过程中，如果不采取任何保密措施，那么非授权的攻击者就有可能对传递的信息进行截获，并偷看到合法用户的机密信息，例如用户的银行账号、支付口令等。

（2）数据的完整性。保证真实的信息处于完整且未受损的状态从发送方到达合法的接收方。防止买卖双方与支付处理平台之间传递的信息遭到篡改、插入、删除等破坏。

（3）数据的不可否认性。确保买卖双方交易过程中所有传递的信息都有不可抵赖的记录为依据，防止买卖双方对自己曾经发送或接收到的信息做出抵赖。

如今，移动支付的广泛使用，也不可避免地会面临来自移动通信系统以及移动互联技术上的许多安全漏洞，例如数据在短距离传输过程中存在窃听、篡改等问题。数据窃听通常指非法攻击者利用嗅探设备等技术工具，以此截获两个终端之间短距离传输的任何数据。当这些传递的数据没有经过任何加密计算，攻击者就很容易通过非法窃听得知传送的信息内容；而如果传递的数据是经过加密的，也不一定就是安全的，因为数据的安全程度还要取决于加密密钥的安全性，当加密者所选择的加密密钥长度较短，那么攻击者猜测出密钥的可能性就大大增加，密文被破译就变得轻而易举了，在这种情况下，即使传送的数据被加密，也会变得不安全。特别是在NFC非接触卡模式中，由于在该模式的NFC设备处于被动状态，那么其传送的数据被非法窃听的可能性更大。

3　基于NFC的移动支付安全解决方案

随着移动无线通信技术的发展，实现移动支付的协议也在不断地推陈出新。本文就针对其中的一种点对点的近距离通信技术（NFC）在移动支付应用过程和安全性进行具体分析，对现阶段NFC移动支付安全问题，提出有效可行的解决方案。

本文建立的基于NFC移动支付安全系统流程图，如图1所示，在移动支付处理系统中，参与者主要由四部分组成：用户（即消费者）、商家、移动支付处理中心，以及银行系统。它们各自有其职责所在。其中，银行系统的职责主要管理用户与商家之间账户资金的转入和转出，协助用户和商家在移动支付中实现资金顺利转移；用户与商家是移动支付过程中的主要参与者，双方都必须是移动支付处理中心签约的银行客户，这样，当商家在移动支付系统中为用户提供了相应的商品或服务之后，移动支付处理中心才能对为双方已实现的特定交易完成移动支付业务。可见，移动支付处理中心是整个移动支付过程的核心，为各方提供支付处理服务。移动支付处理中心主要由管理服务器、证书服务器以及认证服务器等实体组成。其中，管理服务器的职能是提供与用户、商家之间的账户信息管理，以及交易记录管理等服务；认证服务器负责确认用户、商家与银行系统的身份信息，确认了参与者的身份可信之后，便由认证服务器发出可信身份凭据，再由证书服务器根据认证服务器发出的身份确认凭据，为用户与商家之间的银行账户系统实现相关交易的资金转移。因此，移动支付处理中心除了与用户终端和商家建立连接之外，还需要与多家银行金融机构合作，为每个参与方实现跨行移动资金支付服务。

如图1所示的基于NFC技术的移动支付过程中，假定在交易之前，移动支付处理中心和商家的身份已经被确认为合法可信的。那么，用户的NFC移动终端在移动支付中心进行注册之后，利用NFC设备的身份识别与用户银行账户相关联的特性，便能随时随地快速进行数据信息传送，完成基于NFC的安全移动支付。整个NFC安全移动支付过程可以分为对消费者的身份认证和交易处理两个部分。

图1　基于NFC移动支付处理安全系统简单架构

（1）首先，消费者将身份认证请求以加密的形式发送给移动支付处理中心，随后，处理中心通过一定的身份认证机制，目前比较成熟的是使用应用级的Kerberos身份认证系统来实现，由认证服务器确认消费者的身份是否合法。移动支付处理中心将认证结果凭据发送给商家，如果消费者通过身份验证，则可以进行交易，否则交易终止。

（2）当消费者的身份认证经过验证合法之后，选定好商家的商品后，将购买指令信息以发送给商家。再通过商家将消费者的购买指令和相关信息移交给移动支付处理中心，移动支付处理中心将购买信息发送到消费者的移动终端上，请求消费者确认，如果一直没有收到消费者确认的回复信息，则交易终止。当消费者确认购买信息正确之后，将其发送给商家，再由该商家将信息转交给移动支付处理中心，请求完成消费者移动支付操作。消费者收到处理中心的支付通知后，使用自己的移动终端输入自己的开户银行卡账号、密码等支付信息，发送给移动支付处理中心，由该处理中心向消费者开户的支付服务提供商（银行）请求兑现支付。银行兑现支付后，移动支付处理中心便通知商家支付交易完成，可以交付商品，并保留相应的交易以及支付记录，以便消费者查询。至此，一个完整的移动支付交易过程结束。

在上述过程中，基于信息传输安全的思想，参与者必须是通过身份认证机制识别的合法用户，消费者使用NFC技术手机终端与商家NFC设备之间进行近距离关键信息交换，采用3G移动网络实现用户手机终端与移动支付处理中心的服务器之间的数据加密传输，提高用户信息安全保障。在整个移动支付系统中，NFC技术既可以使用户在智能手机上作为便捷支付卡使用，也可以无需接触地在商家的NFC设备上交换数据信息。整个消费过程体现用户的快捷消费以及商家的便捷收款，让每个人在生活中随时随地享受便捷服务，也有利与移动运营商和银行更好地拓展业务范围，这也是NFC被广为接受的原因。

每个实体进行信息交流过程当中，网络是数据信息交互传递的纽带，快捷的数据传输速度和安全可靠的网络质量是移动支付实现必不可少的一部分。如今，整个NFC的相关配套环境可以说是万事俱备。支持NFC的智能手机终端层出不穷，相关标准也已经出台。随着移动互联技术的发展，如今用户移动终端，例如安卓系统的智能手机都具有NFC功能，智能终端支持的移动网络也能实现移动支付，利用3G或4G移动网络与银行系统就可以快速建立安全的数据传输通道，保证用户数据传输的有效性，快捷性与安全性，已受到越来越多用户的关注。用户手机上只需安装有移动支付软件，便能通过移动网络与移动支付处理中心进行连接，使数据加密后进行传送，同时，也可以为用户提供安全的数据存储、支付信息管理查询、身份认证和移动支付等功能。

在基于NFC的移动支付安全系统中，用户智能终端通过采用共享对称密钥的方式与支付处理平台的服务器之间建立安全通道，所有信息均被加密之后再进行传递，确保数据的机密性，即使在传递过程中被攻击者截获了，由于攻击者不具有相应的密钥信息，仍然无法破解密文。由此可见，基于NFC技术的移动支付系统方案具有较高的安全性。

4　结语

本文提出了一种使用NFC近场通信技术的移动支付安全方案，保证移动用户在支付过程中信息传输的安全性，提升传输过程总体效率和安全性，NFC技术与移动网络技术的相结合，有效减少整个信息传递过程中系统的能耗方案，解决了在传统的移动支付过程中连接时间长、操作复杂、系统功耗大等问题，基本满足了用户信息安全传递的需求。当然，涉及到移动支付这个敏感领域，NFC的实际应用还有很长的路要走，这需要多方合作，积极协调配合，不仅需要技术厂商的不断研发，移动运营商对移动支付网络的推动，手机制造商对其生产的手机NFC功能配备的提升，银行等金融机构对NFC技术移动支付的密切配合，以及配套基础设施建设的完善；针对使用NFC手机进行移动支付的用户，应该加强自身相关的安全意识，积极应对各种潜在威胁，防止自身NFC手机丢失或被盗，此外，还需要政府及法律标准给予更多的导向和制约。相信不久NFC近场通信技术将成为移动支付应用技术的主流。

［1］贾凡，佟鑫.NFC手机系统的安全威胁建模［J］.清华大学学报（自然科学版），2012（10）：1460-1464.

［2］陆凯，孟旭东.NFC移动通信终端的研究与应用［J］.西安邮电学报，2007（9）：38-41.

［3］NFC Data Exchange Format（NDEF）Technical Specification.NFC Forum TM NDEF 1.0 NFC Forum-TS-NDEF_1.0，2006-07-24.

［4］NFC Forum.NFC record type definition（RTD）［J/OL］.http：//www.nfc-forum.org/specs/，2006-07-24.

［5］马捷，鄂金龙.基于近场通信的Wi-Fi传输连接方案［J］.计算机工程，2013（6）：1-6.

［6］郭先会，陈丹.基于NFC的移动支付安全解决方案研究与应用［J］.数据通信，2014（5）：15-17.

Mobile Payment；NFC；Payment Security

Research on the Application of Mobile Payment Security Based on NFC Technology

YANG Yan-ling
（Hanshan Normal University，Chaozhou 521000）

1007-1423（2015）20-0056-05

10.3969/j.issn.1007-1423.2015.20.013

杨妍玲（1986-），女，硕士，研究方向为网络与信息安全

2015-06-09

2015-07-01

移动支付可以采用的方式有很多种，但对于适合普通消费者的小额支付，采用NFC技术进行手机移动支付有着天生的优势，结合智能手机的应用，实现了手机与钱包合二为一，为移动支付的发展起到了推波助澜的作用。设计一种安全的移动支付解决方案，对于广大移动支付用户群来讲，具有非常重要的现实意义。基于NFC技术体系和安全支付的特点，通过详细分析现有的移动支付系统，提出移动支付的安全应用解决方案，并讨论其安全性。

移动支付；NFC；支付安全

There are many manners of mobile payment can be used，but for general consumers，micro payment by NFC mobile payment has a natural advantage.With the application of smart phone，the mobile phone and wallet are combined.However，while enjoying the convenience and fast payment，people often overlook the security issues of the mobile payment.So，it is very important to design a secure mobile payment solution，which has practical significance to the mobile payment users.Based on the characteristics of NFC technology system and security payment，analyzes the existing mobile payment system，proposes the security of mobile payment application solutions，and discusses its security issues.