浅谈基于RFID的移动电子支付安全

2016-11-14 02:35佟艾蓉
电脑知识与技术 2016年24期
关键词:电子支付安全性

佟艾蓉

摘要:电子支付是指单位或个人通过电子终端,直接或间接向银行金融机构发出支付指令,实现货币支付与资金转移的行为。而基于RFID技术的电子支付,如中国移动推出RF-SIM卡,只需要一张具有RFID的SIM卡就能使用移动支付业务,其内置了PKI算法引擎、支持RSA等数字签名算法,可以保证移动支付的安全性。基于RFID与手机卡相结合的移动支付技术前景十分可观,但安全性是影响其发展的重要因素。

关键词:电子支付;RFID;安全性

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0267-02

当今的移动通信系统除了能够提供传统的语音、数据、多媒体业务外,正向着更广的在线支付发展,个人智能终端将得到更广泛地使用,以满足用户的多种需求。以无线通信技术和存储器技术为核心的RFID技术,已经取得突破性成果并开始商用,本文主要针对RFID技术的工作原理、安全隐患以及发展趋势进行阐述。

1 RFID技术及其基本工作原理

1) RFID(Radio Frequency Identification)技术,指的是射频识别,它是一种非接触式的自动识别技术,通过射频信号来识别目标,并获取相关的数据。

2) RFID系统组成,由RFID 标签、阅读器和后台数据库3个部分组成:

RFID (Tag):由耦合元件及芯片组成,根据标签的能量来源,可以分为3类:被动式标签、半被动式标签和主动式标签。每个标签上有用于与阅读器进行通信的天线,并拥有唯一的电子编码。

阅读器(Reader):一般有手持式或固定式,也是一个带有无线收发功能的设备。可分为感应耦合及后向散射耦合两种。

后台数据库:用于存储标签的相关信息。通过扫描标签。阅读可以得到相关的信息。

3 )RFID技术的基本工作原理:标签进入磁场后,接收解读器发出的射频信号,凭借感应电流所获得的能量发送出存储在芯片中的产品信息(无源标签或被动标签),或者由标签主动发送某一频率的信号(Active Tag,有源标签或主动标签),解读器读取信息并解码后,送至中央信息系统进行有关数据处理。一套完整的RFID系统, 是由阅读器与电子标签也就是所谓的应答器及应用软件系统三个部分所组成,其工作原理是Reader发射一特定频率的无线电波能量,用以驱动电路将内部的数据送出,此时Reader便依序接收解读数据, 送给应用程序做相应的处理。

2 RFID的安全隐患

RFID存在着与生俱来的安全隐患,具体有如下几种:假冒、窃取、隐私泄露、位置跟踪、拒绝服务攻击等。

1)假冒,通过假冒RFID标签的电子产品编码EPC进行伪造,从而扰乱正常的RFID系统。

2)窃取,由于RFID系统中的很多时候是通过无线进行信息传输的,因此存在信号可能会被窃取的危险,这将直接影响到整个RFID体系的安全。

3) 隐私泄露,RFID电子标签中所包含的信息关系到消费者的隐私,这些数据一旦被攻击者获取,消费者的隐私权将无法得到保障。

4) 位置跟踪,非法用户可以采用多种手段和设施对标签的进行跟踪,从而了解设备的行动路径。

5)重放攻击,在重方攻击中,有效的RFID信号被中途截取,并将其中的数据保存下来,这些数据随后可被发送给阅读器。

6)拒绝服务攻击,通过噪声信号使得RFID通信造成射频阻塞,或是对基于变化ID的RFID认证系统进行攻击,造成标签和阅读器两端的ID不相同,使得RFID标签无法正常访问。

面对如此繁多的安全隐患,RFID系统中高强度的安全机制是必需的。而移动RFID系统的安全性考验比RFID系统更艰巨。

3 基于RFID的移动电子支付安全

目前移动电子支付主要分有3种形式:基于WAP网络平台的网上银行交易;采用STK菜单通过短信方式的手机话费支付;基于RFID,通过手机终端与POS机进行的短距离通信,可以采用手机话费支付形式或通过SIM卡与个人银行账户绑定的形式进行交易。

基于RFID形式的刷卡交易简单易用,无需通过WAP、SMS形要通过烦琐的手机输入操作,但目前仍存在着不少问题。首先是RFID设备本身的安全性问题,由于其资源受限,计算能力较弱,难以加入强度较高的复杂的安全算法,这对移动电子支付的安全性会带来一定的影响。目前中国移动推出的RF-SIM卡,支持DES,3DES,RSA算法并内置PKI算法引擎。但这对设备带来安全的同时,成本上的消耗是之前的SIM卡的5倍左右,这将会使得RF-SIM的推广带来一定的限制。

这种RF-SIM卡能进行实时鉴权,对空口数据传输的数据自动用3DES加密,可以防止数据窃听,在进行刷卡操作时,会自动进行双向认证,对于关键的指令数据则采用RSA加密。其采用PKI算法引擎这种成熟的公钥密码机制为基于RFID的移动电子支付带来了较为可靠的安全基础。

另外,在整个移动支付的过程中,涉及许多参与角色:消费者、商家、移动运营商、第三方服务提供商、银行。消费者和商家是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。

相比于RFID系统,移动支付还需要考虑以下安全问题:

1) 移动终端接入支付平台的安全,包括用户注册时,签约信息是否能安全传递,用户通过移动终端登录系统时,其间传递的数据用户信息等是否能得到安全保障。

2)支付平台和习惯传输的安全,手机病毒或木马的侵袭,或者支付软件自身存在的漏洞,很可能会造成支付隐患。同时,移动支付所追求的就是便捷的用户体验,甚至比互联网支付更加程序简易,这就降低了支付安全性。过于便捷的移动支付认证与使用,同样也会有相应风险存在。

3)用户需要在任何场合都谨慎保管各种个人信息,包括身份证、银行卡、手机验证码等隐私信息,避免不必要的泄漏。,加大对各种诈骗信息,钓鱼网站的管理力度,营造一个安全稳定的网络氛围,减少移动支付之中混杂的各种不安全因素。

4 结束语

近年来电子支付的发展之迅速大家有目共睹,而移动支付作为一个新型的支付手段,也已经从发展阶段逐步走向成熟阶段。目前中国许多企业都已联合推出基于RFID的移动支付技术,以便更好地抢占移动支付的市场,如中国银联的手机SD卡的NFC技术,中国移动的RF-SIM,中国电信的SIMPASS卡,中国联通的基于SWP标准的NFC技术。这不仅使基于RFID的移动支付的标准化增加了难度,也为移动支付平台对各种支付技术标准的兼容及建立于标准之上的安全协议技术的统一带来了一定的挑战。

参考文献:

[1] 李晖,牛少彰.无线通信安全理论与技术[M]. 北京:北京邮电大学出版社,2011.

猜你喜欢
电子支付安全性
新染料可提高电动汽车安全性
第三方支付平台研究
ApplePay横空出世 安全性遭受质疑 拿什么保护你,我的苹果支付?
Imagination发布可实现下一代SoC安全性的OmniShield技术