NFC技术在AFC系统中的安全研究

郭骏峰

摘 要：随着传统行业地铁售票的深度融合，给传统自动售检票系统提供了创新、改革、前进的空间。随着地铁发行权的获得和移动售票业务的完善，电子售票卡的增加和实体售票卡的减少，方便了用户的出行，降低了地铁公司的整体运营费用。

关键词：NFC技术在AFC系统中的安全

前言：近距离通信技术（NFC）无需启动相关应用程序即可在地铁进行离线支付。在网络环境下，无需在读写卡器附近的读写区域进行相应的密钥校验和事务校验码计算即可完成事务。NFC使用三种基本模式：模拟卡、模拟读卡器和点对点。

一、NFC技术应用优点

1.NFC手机使用模拟卡模式如CPU卡双向通信，实现移动车票卡在地铁的应用，在通过闸机之前，不需要打开应用软件。完全实现了手机票卡的一体化，显示出NFC技术的优越性，又能可视化地在手机上查询票卡交易的明细和余额，比App展现二维码单向通信过闸更快捷、高效。

2.NFC手机模拟读卡器模式，可通过应用程序在线获取相应的密钥和手机NFC票卡，用于实时发卡和充值，这样可以节省每个站点排队处理业务的时间。

3.NFC手机车票卡的增加，可以直接按照地铁方票卡结构进行设计和扩充应用，使用13.56 MHz频率通信AFC系统不需要增加任何硬件，对原有系统改变最少，只增加新票卡种类参数或原票卡种类中规划号段区分，增加系统报表展示和清分系统少量区分修改。NFC手机支付系统与原有AFC系统对接时，不影响地铁既有AFC系统的运行安全，不对既有的票卡发行、制作规则造成影响。NFC手机票卡相对独立的发卡系统，不需要对既有发卡系统进行改造。

二、NFC技术在AFC系统中的安全研究

1.通信安全。当NFC移动电话支付和刷卡时，设备将以模拟卡或读写器模式工作，NFC设备之间将进行一系列通信检查。用于NFC移动电话支付的无线通信接口可以在IC卡信息传输限制时被截获，因为在设备建立通信之后，在交互过程中钱包中的数据可能并不总是处于加密状态，这可能导致在交互过程中数据被盗，这会导致数据泄露。还有一种可能是通过中间人方式采取第三方会话，伪造数据利用NFC的接口，采取信号模拟对NFC手机支付通信设备之间数据进行模拟，直至接收到反馈或应答的可用数据，导致数据被窃取。其主要威胁是数据信息传输过程中的干扰，从而导致真实数据的泄露。

2.设备安全。在NFC移动电话付款时，安全的SE芯片在保护电子钱包信息方面发挥了重要作用，是存储芯片、钥匙、敏感数据。目前SE阶段为移动电话安装了三种安全的模式：为手机中的设置在SD卡中的SD（单线连接方案）模式、设置在SIM卡中SIM模式和手机全终端模式。人为故意更新、置换或删除SE模块，以及对安全密钥、机密隐私信息模块损坏和替换SE模块的完整性问题。特别在使用模式外部SE模块的NFC解决方案中，恶意对承载NFC手机支付应用中电子钱包使用的SE模块安全进行逐步替换。一旦成功替换已验证SE模块，有可能导致身份冒用以及各种未经授权的侵权行为，盗取用户的系统关键数据或个人唯一标识，最终导致未经授权的NFC手机支付实现。

3.软件系统安全。在NFC手机系统上捆绑恶意程序，将对用户的交易内容劫持、软件捆绑、监视用户支付流、恶意转跳等来侵犯用户隐私，剥夺用户选择权和知情权。也可以使用一些可疑的根证书的SE模块，将产生错误的信任关系，从而到达控制的目的。扫描用于识别攻击目标的软件中的漏洞，通过经授权的资源访问系统，及早发现和纠正NFC安全漏洞是重要的。提前发现并修补NFC安全漏洞是系统和应用安全的重要保障，而且NFC新技术方面软件存在有安全漏洞经验不足，通过逆向工程技术或重打包，找出漏洞能够获取应用程序的安全数据、用户信息，并植入恶意程序，严重危害到整体软件程序的安全。

4.环境安全问题。当NFC移动电话使用无线频率阅读器功能时，它可以被窃听，并指出NFC数据传输通道是无线的。因此基于开放环境下的无线数据传输将有被盗取的可能，将威胁到用户ID、支付信息等非常敏感的内容，包括各种支付凭证等的关键信息，这也让恶意软件有了获取敏感数据的渠道，而且可以被恶意用户使用获取的信息去进行伪卡交易。

三、NFC安全解决方案

1.安全模块采取的保障机制。针对手机SE安全模块，可以使用访问控制机制，如个人密码的错误次数限制和数字签名的周期生命控制。在密钥恢复和备份条件下，密钥过期或丢失后无法正确使用加密程序，对硬件系统进行完整性监控，避免在执行过程中更换。所有传输和存储程序应为加密程序，严禁下载和运行无签名、无验证源的软件。避免重复使用数据，所有交易都必须加盖时间戳。在SWP.SIM模式下，使用SIM卡的自毁保护机制，在3次密钥不正确将“烧卡”，使得该模式下SIM信息不可复制。采取具有NFC功能的手机，在基带处理器中能与SE交互的API函数接口，以及基带处理器为NFC相关应用提供运行环境。然而有些应用程序可在没有用户知晓的情况下就被调用了。不同的安全域使用不同的可信应用，严格划分不同的安全域以提高其安全性能。NFC手机在软件使用时对其安全性进行检查，对于已经Root的手机，提示安全风险并限制最高金额，控制其风险;对于空中充值应用，必须采取在线验证机制充值，保证安全可控。

2.后台数据风险预警机制。根据地铁业务数据的特点，实时监控分析各终端设备上传的各交易数据的存储情况。进行交易数据分析和监控预警分析，票据卡逻辑卡号为主关键字。根据各终端上传交易数据中的逻辑卡号对比交易记录中的余额字段。第一阶段预警：当发现比对数据有反向跳变（增长）時，将该条交易记录列入第l阶段预警表进行记录，并检查在递减的最后一笔交易，当查询有充值记录时，而且上传入库累计充值记录等于跳变（增长）值时，删除第一预警阶段该票卡记录;如果充值记录不等于跳变（增长）值时，该票卡记录计入第二阶段预警表。第二阶段预警：预警表数据根据地铁公司AFC设备检修或维护周期，设置一段时间观察期，实时查询上传入库充值记录;若在观察期内查询到有递减的最后一笔交易，至跳变（增长）记录时间段中的充值记录累计值，等于跳变（增长）值时，删除第一和第二阶段该票卡记录;若在观察期内未能查询到充值记录等于跳变（增长）值，则该票卡记录计入第三阶段预警表。第三阶段预警：预警表的数据将作为人工分析的重点，如果一个票卡有多条记录在第三阶段预警表里，将进行远程锁手机票卡行为，待持手机用户去地铁站点（或指定点）进行解锁，解锁后预警表记录移入历史表备查。对于该阶段用户因有多次余额增加，将进行重点分析盯控，防范有可能风险的出现和漏洞的补查。

结束语：

随着快捷的生活越来越多的被人们所追求，移动支付受到人们的热捧。公共交通是一个典型的移动收费模式，近年来已成为一个普遍的模式。与AFC系统中的移动支付有关的技术革新和应用，与互联网的发展趋势相一致。根据目前关于低碳经济和绿色经济的设想，现阶段根据其他地铁项目的经验，应当对新技术的需求进行分析，在项目实施过程中加强智能地铁的概念。

参考文献：

[1]雷洪斌.基于NFC技术的移动支付研究综述[J].软件导刊， 2019，1（17）： 1-5

[2]邱华瑞， 张宁， 徐文， 何铁军.城市轨道交通自动售检票系统架构体系研究。[J].都市快轨交通， 2018， 1（2）： 2-4

[3]解丽娜.基于NFC和SIM卡结合的手机支付方式[J].中国信息化，2019， 1（17）： 2-4