基于nfc移动支付安全性研究

《基于nfc移动支付安全性研究》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

基于NFC移动支付安全性研究摘要：移动互联网的兴起使移动支付日渐兴起，各大厂商为了争夺NFC移动支付的主导权，导致目前标准混乱，没有达到统一。本文介绍了基于NGC的移动支付，分析了其安全问题，并给出了相应的安全策略。关键词：NFC；移动支付；安全中图分类号：F626；TN929.5文献标识码：A文章编号：1674-7712（2014）12-0000-01一、移动支付概念（一）概念。移动支付，即用户通过移动终端（如手机、PDA、上网本等）可以方便连接无线网络进行通信的设备）进行的电子商务活动，由于手机已成为人们日常生活的必需品，因而也被称作手机支付。与传统的支付手段相比，移动支付可以实现无地域限制地进行付款，便利快捷。6 （二）移动支付的发展。在日本和韩国，手机购物早已发展成为一种成熟的习惯。在其他国家，如马来西亚人均多款设备持有率最高，47%的消费者人均持有多台移动设备。这已成为整个亚太地区的智能手机发展趋势。随着移动互联网以及智能手机价格越来越平民化，人们越来越倾向于移动支付。其中76%的城市智能手机用户每天都会使用智能手机访问互联网，而在美国，只有36%的用户愿意这样做。支持NFC功能的设备在2013年的出货量达到2.85亿部，预计2014年还将翻番。保守估计，2015年国内NFC手机设备占比预计将接近50%。iPhone6的NFC技术也已落定，或将引爆移动支付市场。移动支付在世界范围内迅猛发展，但各国的技术实现方式各不相同，日本流行的是索尼公司开发的FeliCaIC技术，韩国采用的是红外线技术，而非洲部分国家采用SMS技术等。目前国内手机支付主要集中在二维码支付和NFC支付，在腾讯的积极推动下，二维码大面积应用超过NFC支付，不过随着央行紧急叫停二维码支付，NFC势头猛进。（三）基于NFC的移动支付。与RFID技术类似，NFC技术也是通过频谱中无线频率的电磁感应耦合方式进行传递信息的。NFC作为短程通信技术，其无线连接技术比RFID更为安全迅速。NFC技术可以与目前的非接触智能卡技术兼容，从而被各大厂商支持。NFC属于非接触式移动支付，该支付模式已成为移动支付的主流趋势，其他用于非接触式移动支付业务的近距离通信技术还有RFID、FeliCa、蓝牙等等。针对频率较高的小额支付，NFC技术具有明显的优势。比如使用更加方便，成本更低，建立连接的速度也更快，只需0.1秒，而较短的控制距离也使NFC的精度更高，达到厘米级。二、NFC手机方案6 该方案是将NFC芯片和天线内嵌到手机里，并且与SIM卡独立。为了保证移动支付的安全性，在手机中还应加入安全芯片。NFC的功能不受手机开关机的控制，手机没电也可以使用NFC功能。NFC手机共有卡模式、读写器模式、和点对点通信模式三种应用模式。在卡模式中，NFC识别设备在有tag标签的NFC手机读取信息，依靠有线网络在应用处理系统处理，常见的有校园卡、门禁、车票等；读写器模式是NFC手机从tag标签中识别采集信息来进行相应处理。比如，我们可以在超市的电子标签读取商品信息；点对点模式也叫做双向通讯模式，是对两个拥有NFC功能的设备相连接，实现数据双向传输，如通讯录同步，图片交换等等。该方式还可以实现不同设备间的信息交换。该方案目前比较成熟，在全球也有不少应用实例。更由于用户和电信运营商不能靠手机控制NFC芯片的特点而受到金融机构的青睐。由于NFC模块没有占用SIM卡的相关资源，要解决用户无法通过手机控制NFC模块的问题，可以把将NFC的应用程序加入到SIM卡中，但这需要实现二者的接口，增加了软硬件设计的难度。三、NFC移动支付的安全问题6 （一）移动支付安全威胁。（1）信息被窃取。无线信道属于开放信道，信号极易被劫持监听，且隐蔽性强。信息的窃取使通信信息泄露使移动用户被追踪，这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁；（2）信息被篡改。信息的篡改主要表现在攻击者通过劫持正常通信连接后，对传输信息的删除、插入等操作，破坏原有信息的完整性和正确性。通常可以采用在消息中插入数字摘要使接收方来判断信息的完整性；（3）手机病毒带来的威胁。越来越多的黑客和病毒编写者把无线网络和移动终端作为攻击对象，智能机操作系统，尤其是Android系统的开放性，由于应用程序来源的多样性，使用户更易受到病毒攻击，病毒在无线用户高频率的交互中得以快速传播；（4）交易中的安全威胁。假冒用户进行交易，产生虚假交易。或者是用户抵赖自己的交易行为。（二）安全问题解决办法。在对NFC移动支付的安全问题分析后，可以从WPKI（无线公开秘钥体系）、身份认证等方法来保障移动支付的安全性。1.WPKI安全技术。WPKI（WirelessPublicKeyInfrastructure）技术即无线公开秘钥体系，沿用了互联网电子商务中的PKI安全认证机制。是适应无线网络认证和加密的需要发展起来的，并逐渐在无线业务中得到实际应用。6 一个完整的WPKI体系由认证中心CA，注册机构RA，应用接口，证书目录数据库，秘要备份和恢复系统，证书作废系统等基本结构组成。用户通过向RA提交申请，审查合格后由CA颁发证书给用户，用户的私钥、证书存放在UIM卡中。CA将证书写入证书目录以供查询，RA再把证书的URL发送给终端用户。数字证书保证了无线终端在无线网络操作时的端对端安全。2.身份认证方式。针对移动支付中的身份认证问题，给出如下几种方式：（1）摘要认证。是基于挑战-应答模式的认证模型，通过单向散列函数，每次登陆产生的密码都不相同，使得登录过程就增加不确定性；（2）动态口令。密码随时间及使用次数发生动态变化，具有随机性，由于只能单次使用，即使被盗取，也不会造成很大损失。但由于其技术上的复杂性，一定程度上限制了该技术的应用；（3）生物特征识别。生物特征主要有指纹，人脸，红膜识别等，利用生物特征识别的稳定性，结合NFC技术的便利性，可以在用户体验与安全性之间找到平衡。四、结束语移动支付很好地解决了支付问题，但限制其发展的安全问题不容小觑。我国在安全技术方面，可以在统一标准规范，完善移动电子商务相关法律来推动其发展。本文分析了移动支付的安全威胁及提出了解决方式，结合WPKI及多种身份认证方式，为用户提供一个安全的支付环境。参考文献：[1]张巍，季智红.基于NFC的新一代移动支付体系及其安全问题研究[J].热点技术，2012.6 [2]雷洪斌.基于NFC技术的手机支付研究[J].上海交通大学，2007.6