基于NFC的移动支付安全解决方案研究与应用.docxVIP

基于NFC的移动支付安全解决方案研究与应用郭先会1 陈 丹（2 基于NFC的移动支付安全解决方案研究与应用 郭先会1 陈 丹（2 1.成都三零凯天通信实业有限公司 四川 成都 610041； 2.中讯邮电咨询设计院有限公司成都分公司 四川 成都 610042） 摘 要：随着互联网技术和电子商务的不断发展，越来越多的用户选择移动支付业务，与此同时，移动支 付的安全性变得尤其重要，设计一种安全的移动支付解决方案具有重要的现实意义。本文通过详细分析现有 的移动支付系统，并结合NFC和安全支付的特点，提出基于NFC的移动支付安全解决方案，并验证该方案的安 全性。 关键词：移动支付；NFC；支付安全 中图分类号：TN948.61 文献标识码：B 1 引言 随着消费者移动支付需求增长的刺激，以及移 动互联网的兴起和电子商务的快速发展，移动支付 行业得到了快速的发展。据Gartner公司的最新数据 显示，从2009~2012年，全球移动支付业务用户年复 合增长率达到44.75%，预计到2015年，全球移动支付 用户将达到3.84亿。移动支付不受空间和时间的限 制，能够为消费者提供差异化、个性化和多样化的服 务，消费者通过移动支付业务，能够快速有效地完成 支付、缴费等金融服务，极大地方便人们的生活。但 是随着移动支付业务的广泛应用，其安全性已经受 到越来越多人的关注。本文通过分析现有的移动支 付系统，并结合NFC技术和安全支付的特点，构建基 于NFC的移动支付安全解决方案[1]。 NFC(近距离通信)、SIMPass等技术实现，远距离支付 主要有短信支付、WAP支付等[2]。 随着移动电子业务的发展，移动支付面临来自 互联网和移动通信系统的各种安全性攻击产生的风 险。这些风险主要包括主动攻击和被动攻击。其中， 主动攻击利用对数据进行篡改、伪造、拒绝服务等方 式，试图对整个移动支付系统的运行加以干扰，以此 达到对移动支付系统的破坏或其他目的；被动攻击 是指攻击者以非法身份监听或监测通信网络中的信 息，它对系统资源利用不产生干扰，而是通过试图对 移动通信系统中传输的信息进行窃听。 由于移动支付是基于无线通信的开放性传输， 在给人们的生活带来方便和快捷的同时，其安全性 也受到越来越多的关注。为了使移动支付能够安进 行，移动支付系统必须满足的安全要求有： （1）信息的有效性。移动支付以无线通信为载 体，在移动支付过程中，电子信息取代了纸质信息， 这就需要保证电子形式信息的有效性。因此，需要预 防在发生网络故障、系统软件错误、操作错误等情况 下交易数据的有效性[3]。 （2）信息的机密性。用户在进行交易的过程中， 保证其信息不被非授权的人或实体非法窃取，并确 2 移动支付安全概述 移动支付是指用户为了某种物品或服务，通过 移动终端设备实现的在线交易。用户使用移动终端 设备完成商品或服务的支付业务，不受时间和空间 等限制，极大地方便了人们的工作和生活。移动支付 按照支付距离可以分为：近距离支付和远距离支付。 其中，近距离支付一般采用RFID (无线射频技术)、 15 技术方案Technology Scheme 技术方案 Technology Scheme 数 据 通 信 2014.5 保只有合法的用户才能进行看到用户数据。 （3） 数据的完整性。防止买卖双方和支付平台 之间传送的机密信息和数据在传输过程中遭到恶意 篡改、插入等形式的破坏。 （4） 信息的不可否认性。主要用于防止发送方 或接收方对所传送的信息抵赖。在信息发布、支付合 同签署、支付谈判等关键交易步骤时，接收方或发送 方有一方予以否认，就可以用另一方已签名的记录 作为依据。 NFC设备作为非接触式读写器，可以从包含有电子标 签信息的卡片、设备等位置读取信息，同时向标签中 写入信息数据。 NFC技术作为一种快速、安全的近距离无线通信 技术，相对于RFID技术而言，NFC具有传输距离短、 速度快和能耗低等特点。同时，NFC采用13.56MHz的 无线频率进行数据传输，并且兼容现有的非接触智 能卡技术标准，已经得到越来越多终端设备厂商的 支持。 NFC虽然传输数据距离较近，相对于蓝牙、红外 等技术具有较高的安全性，但是作为无线通信技术， 依然存在数据窃听、篡改等安全问题。数据窃听通常 指攻击者通过天线或其他分析设备获取设备之间传 送的任何数据。如果读卡器与电子标签之间传送的 数据没有进行加密，数据很容易被窃听；如果传送的 数据进行了加密，数据的安全性取决于加密密钥的 安全。同时，相对于主动模式，由于被动模式下NFC 设备不产生自己的射频域，被窃听的可能性更小。 3.2 NFC在移动支付安全系统中的设计 在移动支付系统中，主要由用户、移动支付平 台、商家和银行支付网关组成。其中，用户