NFC技術(shù)在AFC系統(tǒng)中的安全研究

郭駿峰

摘 要：隨著傳統(tǒng)行業(yè)地鐵售票的深度融合，給傳統(tǒng)自動售檢票系統(tǒng)提供了創(chuàng)新、改革、前進(jìn)的空間。隨著地鐵發(fā)行權(quán)的獲得和移動售票業(yè)務(wù)的完善，電子售票卡的增加和實(shí)體售票卡的減少，方便了用戶的出行，降低了地鐵公司的整體運(yùn)營費(fèi)用。

關(guān)鍵詞：NFC技術(shù)在AFC系統(tǒng)中的安全

前言：近距離通信技術(shù)（NFC）無需啟動相關(guān)應(yīng)用程序即可在地鐵進(jìn)行離線支付。在網(wǎng)絡(luò)環(huán)境下，無需在讀寫卡器附近的讀寫區(qū)域進(jìn)行相應(yīng)的密鑰校驗(yàn)和事務(wù)校驗(yàn)碼計算即可完成事務(wù)。NFC使用三種基本模式：模擬卡、模擬讀卡器和點(diǎn)對點(diǎn)。

一、NFC技術(shù)應(yīng)用優(yōu)點(diǎn)

1.NFC手機(jī)使用模擬卡模式如CPU卡雙向通信，實(shí)現(xiàn)移動車票卡在地鐵的應(yīng)用，在通過閘機(jī)之前，不需要打開應(yīng)用軟件。完全實(shí)現(xiàn)了手機(jī)票卡的一體化，顯示出NFC技術(shù)的優(yōu)越性，又能可視化地在手機(jī)上查詢票卡交易的明細(xì)和余額，比App展現(xiàn)二維碼單向通信過閘更快捷、高效。

2.NFC手機(jī)模擬讀卡器模式，可通過應(yīng)用程序在線獲取相應(yīng)的密鑰和手機(jī)NFC票卡，用于實(shí)時發(fā)卡和充值，這樣可以節(jié)省每個站點(diǎn)排隊處理業(yè)務(wù)的時間。

3.NFC手機(jī)車票卡的增加，可以直接按照地鐵方票卡結(jié)構(gòu)進(jìn)行設(shè)計和擴(kuò)充應(yīng)用，使用13.56 MHz頻率通信AFC系統(tǒng)不需要增加任何硬件，對原有系統(tǒng)改變最少，只增加新票卡種類參數(shù)或原票卡種類中規(guī)劃號段區(qū)分，增加系統(tǒng)報表展示和清分系統(tǒng)少量區(qū)分修改。NFC手機(jī)支付系統(tǒng)與原有AFC系統(tǒng)對接時，不影響地鐵既有AFC系統(tǒng)的運(yùn)行安全，不對既有的票卡發(fā)行、制作規(guī)則造成影響。NFC手機(jī)票卡相對獨(dú)立的發(fā)卡系統(tǒng)，不需要對既有發(fā)卡系統(tǒng)進(jìn)行改造。

二、NFC技術(shù)在AFC系統(tǒng)中的安全研究

1.通信安全。當(dāng)NFC移動電話支付和刷卡時，設(shè)備將以模擬卡或讀寫器模式工作，NFC設(shè)備之間將進(jìn)行一系列通信檢查。用于NFC移動電話支付的無線通信接口可以在IC卡信息傳輸限制時被截獲，因?yàn)樵谠O(shè)備建立通信之后，在交互過程中錢包中的數(shù)據(jù)可能并不總是處于加密狀態(tài)，這可能導(dǎo)致在交互過程中數(shù)據(jù)被盜，這會導(dǎo)致數(shù)據(jù)泄露。還有一種可能是通過中間人方式采取第三方會話，偽造數(shù)據(jù)利用NFC的接口，采取信號模擬對NFC手機(jī)支付通信設(shè)備之間數(shù)據(jù)進(jìn)行模擬，直至接收到反饋或應(yīng)答的可用數(shù)據(jù)，導(dǎo)致數(shù)據(jù)被竊取。其主要威脅是數(shù)據(jù)信息傳輸過程中的干擾，從而導(dǎo)致真實(shí)數(shù)據(jù)的泄露。

2.設(shè)備安全。在NFC移動電話付款時，安全的SE芯片在保護(hù)電子錢包信息方面發(fā)揮了重要作用，是存儲芯片、鑰匙、敏感數(shù)據(jù)。目前SE階段為移動電話安裝了三種安全的模式：為手機(jī)中的設(shè)置在SD卡中的SD（單線連接方案）模式、設(shè)置在SIM卡中SIM模式和手機(jī)全終端模式。人為故意更新、置換或刪除SE模塊，以及對安全密鑰、機(jī)密隱私信息模塊損壞和替換SE模塊的完整性問題。特別在使用模式外部SE模塊的NFC解決方案中，惡意對承載NFC手機(jī)支付應(yīng)用中電子錢包使用的SE模塊安全進(jìn)行逐步替換。一旦成功替換已驗(yàn)證SE模塊，有可能導(dǎo)致身份冒用以及各種未經(jīng)授權(quán)的侵權(quán)行為，盜取用戶的系統(tǒng)關(guān)鍵數(shù)據(jù)或個人唯一標(biāo)識，最終導(dǎo)致未經(jīng)授權(quán)的NFC手機(jī)支付實(shí)現(xiàn)。

3.軟件系統(tǒng)安全。在NFC手機(jī)系統(tǒng)上捆綁惡意程序，將對用戶的交易內(nèi)容劫持、軟件捆綁、監(jiān)視用戶支付流、惡意轉(zhuǎn)跳等來侵犯用戶隱私，剝奪用戶選擇權(quán)和知情權(quán)。也可以使用一些可疑的根證書的SE模塊，將產(chǎn)生錯誤的信任關(guān)系，從而到達(dá)控制的目的。掃描用于識別攻擊目標(biāo)的軟件中的漏洞，通過經(jīng)授權(quán)的資源訪問系統(tǒng)，及早發(fā)現(xiàn)和糾正NFC安全漏洞是重要的。提前發(fā)現(xiàn)并修補(bǔ)NFC安全漏洞是系統(tǒng)和應(yīng)用安全的重要保障，而且NFC新技術(shù)方面軟件存在有安全漏洞經(jīng)驗(yàn)不足，通過逆向工程技術(shù)或重打包，找出漏洞能夠獲取應(yīng)用程序的安全數(shù)據(jù)、用戶信息，并植入惡意程序，嚴(yán)重危害到整體軟件程序的安全。

4.環(huán)境安全問題。當(dāng)NFC移動電話使用無線頻率閱讀器功能時，它可以被竊聽，并指出NFC數(shù)據(jù)傳輸通道是無線的。因此基于開放環(huán)境下的無線數(shù)據(jù)傳輸將有被盜取的可能，將威脅到用戶ID、支付信息等非常敏感的內(nèi)容，包括各種支付憑證等的關(guān)鍵信息，這也讓惡意軟件有了獲取敏感數(shù)據(jù)的渠道，而且可以被惡意用戶使用獲取的信息去進(jìn)行偽卡交易。

三、NFC安全解決方案

1.安全模塊采取的保障機(jī)制。針對手機(jī)SE安全模塊，可以使用訪問控制機(jī)制，如個人密碼的錯誤次數(shù)限制和數(shù)字簽名的周期生命控制。在密鑰恢復(fù)和備份條件下，密鑰過期或丟失后無法正確使用加密程序，對硬件系統(tǒng)進(jìn)行完整性監(jiān)控，避免在執(zhí)行過程中更換。所有傳輸和存儲程序應(yīng)為加密程序，嚴(yán)禁下載和運(yùn)行無簽名、無驗(yàn)證源的軟件。避免重復(fù)使用數(shù)據(jù)，所有交易都必須加蓋時間戳。在SWP.SIM模式下，使用SIM卡的自毀保護(hù)機(jī)制，在3次密鑰不正確將“燒卡”，使得該模式下SIM信息不可復(fù)制。采取具有NFC功能的手機(jī)，在基帶處理器中能與SE交互的API函數(shù)接口，以及基帶處理器為NFC相關(guān)應(yīng)用提供運(yùn)行環(huán)境。然而有些應(yīng)用程序可在沒有用戶知曉的情況下就被調(diào)用了。不同的安全域使用不同的可信應(yīng)用，嚴(yán)格劃分不同的安全域以提高其安全性能。NFC手機(jī)在軟件使用時對其安全性進(jìn)行檢查，對于已經(jīng)Root的手機(jī)，提示安全風(fēng)險并限制最高金額，控制其風(fēng)險;對于空中充值應(yīng)用，必須采取在線驗(yàn)證機(jī)制充值，保證安全可控。

2.后臺數(shù)據(jù)風(fēng)險預(yù)警機(jī)制。根據(jù)地鐵業(yè)務(wù)數(shù)據(jù)的特點(diǎn)，實(shí)時監(jiān)控分析各終端設(shè)備上傳的各交易數(shù)據(jù)的存儲情況。進(jìn)行交易數(shù)據(jù)分析和監(jiān)控預(yù)警分析，票據(jù)卡邏輯卡號為主關(guān)鍵字。根據(jù)各終端上傳交易數(shù)據(jù)中的邏輯卡號對比交易記錄中的余額字段。第一階段預(yù)警：當(dāng)發(fā)現(xiàn)比對數(shù)據(jù)有反向跳變（增長）時，將該條交易記錄列入第l階段預(yù)警表進(jìn)行記錄，并檢查在遞減的最后一筆交易，當(dāng)查詢有充值記錄時，而且上傳入庫累計充值記錄等于跳變（增長）值時，刪除第一預(yù)警階段該票卡記錄;如果充值記錄不等于跳變（增長）值時，該票卡記錄計入第二階段預(yù)警表。第二階段預(yù)警：預(yù)警表數(shù)據(jù)根據(jù)地鐵公司AFC設(shè)備檢修或維護(hù)周期，設(shè)置一段時間觀察期，實(shí)時查詢上傳入庫充值記錄;若在觀察期內(nèi)查詢到有遞減的最后一筆交易，至跳變（增長）記錄時間段中的充值記錄累計值，等于跳變（增長）值時，刪除第一和第二階段該票卡記錄;若在觀察期內(nèi)未能查詢到充值記錄等于跳變（增長）值，則該票卡記錄計入第三階段預(yù)警表。第三階段預(yù)警：預(yù)警表的數(shù)據(jù)將作為人工分析的重點(diǎn)，如果一個票卡有多條記錄在第三階段預(yù)警表里，將進(jìn)行遠(yuǎn)程鎖手機(jī)票卡行為，待持手機(jī)用戶去地鐵站點(diǎn)（或指定點(diǎn)）進(jìn)行解鎖，解鎖后預(yù)警表記錄移入歷史表備查。對于該階段用戶因有多次余額增加，將進(jìn)行重點(diǎn)分析盯控，防范有可能風(fēng)險的出現(xiàn)和漏洞的補(bǔ)查。

結(jié)束語：

隨著快捷的生活越來越多的被人們所追求，移動支付受到人們的熱捧。公共交通是一個典型的移動收費(fèi)模式，近年來已成為一個普遍的模式。與AFC系統(tǒng)中的移動支付有關(guān)的技術(shù)革新和應(yīng)用，與互聯(lián)網(wǎng)的發(fā)展趨勢相一致。根據(jù)目前關(guān)于低碳經(jīng)濟(jì)和綠色經(jīng)濟(jì)的設(shè)想，現(xiàn)階段根據(jù)其他地鐵項(xiàng)目的經(jīng)驗(yàn)，應(yīng)當(dāng)對新技術(shù)的需求進(jìn)行分析，在項(xiàng)目實(shí)施過程中加強(qiáng)智能地鐵的概念。

參考文獻(xiàn)：

[1]雷洪斌.基于NFC技術(shù)的移動支付研究綜述[J].軟件導(dǎo)刊， 2019，1（17）： 1-5

[2]邱華瑞， 張寧， 徐文， 何鐵軍.城市軌道交通自動售檢票系統(tǒng)架構(gòu)體系研究。[J].都市快軌交通， 2018， 1（2）： 2-4

[3]解麗娜.基于NFC和SIM卡結(jié)合的手機(jī)支付方式[J].中國信息化，2019， 1（17）： 2-4