楊妍玲

（韓山師范學院，潮州　521000）

基于NFC技術的手機移動支付安全應用研究

楊妍玲

（韓山師范學院，潮州521000）

0　引言

隨著手機銀行、微信支付、移動錢包等新型業(yè)務的普及與應用，移動支付服務已經滲透到人們生活的方方面面。移動支付用戶的快速增長，網絡基礎設施的日益完善，移動互聯(lián)技術和電子商務領域呈現(xiàn)出高速擴張的態(tài)勢。根據艾瑞咨詢調查數(shù)據顯示，我國2013年移動互聯(lián)網市場規(guī)模達到1059.8億元，預計到2017年，市場規(guī)模將增長約4.5倍，接近6000億元。其中，智能手機保有量與網民快速增長，人們花在手機上的時間已超過了在電腦上的時間，移動購物、移動營銷，也為移動支付市場規(guī)模擴張奠定了基礎，移動互聯(lián)網市場進入了高速發(fā)展軌道，這似乎預示著移動支付時代已經到來。

大對數(shù)用戶都偏愛采用具備近場通信（NFC）技術的智能手機來完成移動支付的相關交易。根據市場研究公司Gartner的最新數(shù)據顯示，2013年，金融轉賬和商品購買成為移動支付的主要項目，分別占總交易額的71%和21%，據調查，NFC在近幾年里一直穩(wěn)居最受手機用戶喜愛應用的前十位。移動支付為廣大用戶提供的是隨時隨地，多樣化的服務。消費者通過移動支付業(yè)務也能滿足其個性化需求，快速完成支付。每天出行可以使用具備NFC技術的智能手機終端購買公交車票或地鐵票，通過手機客戶端里的移動支付軟件實現(xiàn)各種各樣的網上購物和信用卡的快捷支付，商務出差，旅游的交通以及酒店訂票，都可以通過手機終端輕松完成支付，也就是說，NFC技術未來的使用將會有顯著增長，這也使移動支付行業(yè)有了新的應用前景。

近場通信（NFC）作為一種新興的技術出現(xiàn)在越來越多的智能手機上，并成為手機系統(tǒng)的基本配置，以后不論是買飛機票、地鐵票、景點門票還是超市購物，都可以利用手機上的NFC技術來實現(xiàn)移動支付。移動支付服務雖然為人們的生活提供極大的便利，前景廣闊，但是，隨著業(yè)務市場規(guī)模的不斷擴大，其安全應用也成為人們普遍關注的焦點，近年來移動終端木馬類病毒肆虐，導致移動終端用戶支付信息泄露、金融賬戶以及身份被盜用等，造成廣大用戶對移動支付的使用仍然心存疑慮，安全性嚴重制約了移動支付業(yè)務的進一步發(fā)展。本文將通過分析移動支付系統(tǒng)現(xiàn)狀，構建基于NFC技術的手機移動支付安全解決方案，有效保證信息傳遞的機密性、完整性和有效性，同時有效降低系統(tǒng)的整體功耗。

1　基于NFC技術的移動支付

據全球知名的市場研究機構eMarketer的定義，移動支付，指的是消費者為了達成商品或服務的交易業(yè)務，通過移動終端設備來實現(xiàn)的支付操作。此外，隨著近場支付、指紋支付技術的融入，為移動支付領域的應用賦予更多新奇的內容和功能，與在PC端的支付方式不同，如今，移動支付的形式出現(xiàn)了更多花樣，例如掃碼付、聲波當面付、親密付，以及紅包支付、手機遠程支付、二維碼支付、手機短信支付、NFC近距離支付等。相比這些移動支付手段，NFC技術具有更高的安全性以及更快捷的支付速度，免去了來回發(fā)送短信確認，也不需要在復雜的移動終端菜單上進行多次的選擇，只要將支持NFC的手機靠近讀卡器，便可以快捷、省時地實現(xiàn)移動支付，具有安全性高、交換數(shù)據便捷和低功耗的特點，獲得許多手機用戶的青睞。

隨著無線短距離傳輸技術的發(fā)展與成熟，支持近距離數(shù)據交換的業(yè)務更是不斷升溫。目前，能實現(xiàn)短距離無線數(shù)據交換的技術主要有紅外線（IrDA）、WIFI （Wireless Fidelity）、藍牙（Bluetooth）等，其中比較有競爭力的一種近距離高頻無線電技術，即NFC（Near Field Communication），中文稱之為“近場通信”。該技術的實現(xiàn)最初源于非接觸式射頻識別技術（RFID）與各種網絡技術的有效整合，通過技術的不斷發(fā)展，如今已變成一種被廣泛應用的短距離無線通信技術。NFC利用了射頻（RF）技術，通過單一芯片與感應式讀寫器之間實現(xiàn)非接觸的點對點數(shù)據傳輸和信息交換，同時還能起到個人電子身份識別與驗證的作用。為了能實現(xiàn)近距離數(shù)據快捷交換的目的，現(xiàn)在大多數(shù)數(shù)碼設備都支持內置NFC芯片，例如智能手機、PDA、計算機外圍設備、數(shù)碼相機等。隨著電子商務的發(fā)展，智能手機的廣泛使用，人們越來越傾向于使用具備NFC功能的智能手機移動終端，將手機變成用戶的電子錢包，在消費時不受地域和時間限制，隨時隨地與商家NFC設備交換數(shù)據，進行手機移動支付。

NFC技術應用了無線通信功能，具有傳輸距離短、連接速度快和安全性較高的優(yōu)勢，而且能兼容非接觸智能卡技術標準，得到許多終端設備商家的支持，使其在移動支付領域發(fā)揮著重要作用。因此，探討基于NFC技術在智能手機移動支付上的安全問題也是近年來備受關注的熱點話題。

NFC技術最為典型的有三種使用模式：（1）非接觸卡模擬模式（Card Emulation Mode），此時的NFC設備具有了智能卡所采用的功能，可以在短距離內實現(xiàn)安全加密的非接觸式信息交換。（2）讀寫器模式（Reader Mode），NFC終端可以用作一個需要電源供應的非接觸式讀寫器，此時NFC設備既能作為非接觸式數(shù)據接收方，在有效距離以內的任意位置發(fā)出自己的RF射頻，輕松讀取包含有芯片的智能信息卡或含有電子數(shù)據設備中的NFC標簽；也可以作為非接觸式數(shù)據發(fā)送方，向以上這些設備寫入信息數(shù)據。（3）點對點模式（Peer to Peer Mode），兩個距離很近的NFC設備之間可以快速建立連接，完成數(shù)據交換，例如發(fā)送圖片、同步設備文件等。

上述三種工作模式可見，NFC技術既可以應用在主動模式下，也可以應用在被動模式下。當NFC設備作為讀寫器工作時，屬于主動模式。相對而言，在非接觸卡模擬當中，NFC終端則處于被動模式，由于此時它不產生自己的射頻，其功能僅僅相當于RFID技術的IC卡類，必須通過非接觸讀卡器在有效距離以內，才能讀取智能卡或標簽信息。被動模式下NFC終端的優(yōu)勢就在于無需自帶電源，只要讀卡器端有供電即能正常工作，兩個NFC設備就可以很安全、便捷、快速地實現(xiàn)通信。智能手機用戶使用的移動支付就是采用了NFC的卡模擬模式，穩(wěn)定性相對較好，當然，對于涉及到金融支付上的敏感應用，NFC還需添加加密技術，例如三重DES和高級加密標準（AES），以保證使用者的利益。NFC的卡模擬模式的應用將是未來移動支付發(fā)展的一個重要基石。

當然，無線通信當中必不可少的要件就是發(fā)送設備和接收終端，對于NFC技術而言，它既可以應用在發(fā)送端，也可以在接收端使用，真正實現(xiàn)點對點通信，非接觸式讀寫器功能與非接觸卡模擬模式的整合，結合三者之間的優(yōu)點，更出色地發(fā)揮其應用的多樣化。在13.56MHz的無線頻段里，NFC設備可以用來充當電子錢包、電子票證、乘車票，還可以將兩臺支持NFC技術的設備在近距離、非接觸的情況下進行快速身份識別和實現(xiàn)點對點的數(shù)據交換，在106 kbit/s、212 kbit/s、424 kbit/s三個傳輸速率之間靈活地自動切換，有效覆蓋的通信距離高達20厘米，工作過程中完全無須人工干預。由于該技術只能在如此短的距離內才能實現(xiàn)數(shù)據交換，這可以有效地防止非授權的“中間人”竊聽，同時，NFC技術自身也具備了數(shù)據加密的程序和防沖突機制，因此，具有較高的安全性。

2　基于NFC技術的手機支付面臨的問題

雖然NFC技術有許多優(yōu)勢，在技術上的發(fā)展也已經相對成熟，但仍然存在一些安全問題需要引起重視，移動數(shù)據交換的安全性并不是一個新話題，從移動互聯(lián)技術與電子商務興起之時，移動電子支付已經隨之萌芽，并且有著必不可少的地位。在移動支付的發(fā)展過程中，安全性始終是各方最為關心的焦點。隨著移動支付使用人群的激增，其安全漏洞也不斷地被人們發(fā)現(xiàn)，新的病毒和新的技術詐騙手法不斷涌現(xiàn)。根據移動支付的特征，它所面臨的威脅也是獨特的，包括以下內容：

（1）數(shù)據的機密性。用戶在進行信息傳遞的過程中，如果不采取任何保密措施，那么非授權的攻擊者就有可能對傳遞的信息進行截獲，并偷看到合法用戶的機密信息，例如用戶的銀行賬號、支付口令等。

（2）數(shù)據的完整性。保證真實的信息處于完整且未受損的狀態(tài)從發(fā)送方到達合法的接收方。防止買賣雙方與支付處理平臺之間傳遞的信息遭到篡改、插入、刪除等破壞。

（3）數(shù)據的不可否認性。確保買賣雙方交易過程中所有傳遞的信息都有不可抵賴的記錄為依據，防止買賣雙方對自己曾經發(fā)送或接收到的信息做出抵賴。

如今，移動支付的廣泛使用，也不可避免地會面臨來自移動通信系統(tǒng)以及移動互聯(lián)技術上的許多安全漏洞，例如數(shù)據在短距離傳輸過程中存在竊聽、篡改等問題。數(shù)據竊聽通常指非法攻擊者利用嗅探設備等技術工具，以此截獲兩個終端之間短距離傳輸?shù)娜魏螖?shù)據。當這些傳遞的數(shù)據沒有經過任何加密計算，攻擊者就很容易通過非法竊聽得知傳送的信息內容；而如果傳遞的數(shù)據是經過加密的，也不一定就是安全的，因為數(shù)據的安全程度還要取決于加密密鑰的安全性，當加密者所選擇的加密密鑰長度較短，那么攻擊者猜測出密鑰的可能性就大大增加，密文被破譯就變得輕而易舉了，在這種情況下，即使傳送的數(shù)據被加密，也會變得不安全。特別是在NFC非接觸卡模式中，由于在該模式的NFC設備處于被動狀態(tài)，那么其傳送的數(shù)據被非法竊聽的可能性更大。

3　基于NFC的移動支付安全解決方案

隨著移動無線通信技術的發(fā)展，實現(xiàn)移動支付的協(xié)議也在不斷地推陳出新。本文就針對其中的一種點對點的近距離通信技術（NFC）在移動支付應用過程和安全性進行具體分析，對現(xiàn)階段NFC移動支付安全問題，提出有效可行的解決方案。

本文建立的基于NFC移動支付安全系統(tǒng)流程圖，如圖1所示，在移動支付處理系統(tǒng)中，參與者主要由四部分組成：用戶（即消費者）、商家、移動支付處理中心，以及銀行系統(tǒng)。它們各自有其職責所在。其中，銀行系統(tǒng)的職責主要管理用戶與商家之間賬戶資金的轉入和轉出，協(xié)助用戶和商家在移動支付中實現(xiàn)資金順利轉移；用戶與商家是移動支付過程中的主要參與者，雙方都必須是移動支付處理中心簽約的銀行客戶，這樣，當商家在移動支付系統(tǒng)中為用戶提供了相應的商品或服務之后，移動支付處理中心才能對為雙方已實現(xiàn)的特定交易完成移動支付業(yè)務。可見，移動支付處理中心是整個移動支付過程的核心，為各方提供支付處理服務。移動支付處理中心主要由管理服務器、證書服務器以及認證服務器等實體組成。其中，管理服務器的職能是提供與用戶、商家之間的賬戶信息管理，以及交易記錄管理等服務；認證服務器負責確認用戶、商家與銀行系統(tǒng)的身份信息，確認了參與者的身份可信之后，便由認證服務器發(fā)出可信身份憑據，再由證書服務器根據認證服務器發(fā)出的身份確認憑據，為用戶與商家之間的銀行賬戶系統(tǒng)實現(xiàn)相關交易的資金轉移。因此，移動支付處理中心除了與用戶終端和商家建立連接之外，還需要與多家銀行金融機構合作，為每個參與方實現(xiàn)跨行移動資金支付服務。

如圖1所示的基于NFC技術的移動支付過程中，假定在交易之前，移動支付處理中心和商家的身份已經被確認為合法可信的。那么，用戶的NFC移動終端在移動支付中心進行注冊之后，利用NFC設備的身份識別與用戶銀行賬戶相關聯(lián)的特性，便能隨時隨地快速進行數(shù)據信息傳送，完成基于NFC的安全移動支付。整個NFC安全移動支付過程可以分為對消費者的身份認證和交易處理兩個部分。

圖1　基于NFC移動支付處理安全系統(tǒng)簡單架構

（1）首先，消費者將身份認證請求以加密的形式發(fā)送給移動支付處理中心，隨后，處理中心通過一定的身份認證機制，目前比較成熟的是使用應用級的Kerberos身份認證系統(tǒng)來實現(xiàn)，由認證服務器確認消費者的身份是否合法。移動支付處理中心將認證結果憑據發(fā)送給商家，如果消費者通過身份驗證，則可以進行交易，否則交易終止。

（2）當消費者的身份認證經過驗證合法之后，選定好商家的商品后，將購買指令信息以發(fā)送給商家。再通過商家將消費者的購買指令和相關信息移交給移動支付處理中心，移動支付處理中心將購買信息發(fā)送到消費者的移動終端上，請求消費者確認，如果一直沒有收到消費者確認的回復信息，則交易終止。當消費者確認購買信息正確之后，將其發(fā)送給商家，再由該商家將信息轉交給移動支付處理中心，請求完成消費者移動支付操作。消費者收到處理中心的支付通知后，使用自己的移動終端輸入自己的開戶銀行卡賬號、密碼等支付信息，發(fā)送給移動支付處理中心，由該處理中心向消費者開戶的支付服務提供商（銀行）請求兌現(xiàn)支付。銀行兌現(xiàn)支付后，移動支付處理中心便通知商家支付交易完成，可以交付商品，并保留相應的交易以及支付記錄，以便消費者查詢。至此，一個完整的移動支付交易過程結束。

在上述過程中，基于信息傳輸安全的思想，參與者必須是通過身份認證機制識別的合法用戶，消費者使用NFC技術手機終端與商家NFC設備之間進行近距離關鍵信息交換，采用3G移動網絡實現(xiàn)用戶手機終端與移動支付處理中心的服務器之間的數(shù)據加密傳輸，提高用戶信息安全保障。在整個移動支付系統(tǒng)中，NFC技術既可以使用戶在智能手機上作為便捷支付卡使用，也可以無需接觸地在商家的NFC設備上交換數(shù)據信息。整個消費過程體現(xiàn)用戶的快捷消費以及商家的便捷收款，讓每個人在生活中隨時隨地享受便捷服務，也有利與移動運營商和銀行更好地拓展業(yè)務范圍，這也是NFC被廣為接受的原因。

每個實體進行信息交流過程當中，網絡是數(shù)據信息交互傳遞的紐帶，快捷的數(shù)據傳輸速度和安全可靠的網絡質量是移動支付實現(xiàn)必不可少的一部分。如今，整個NFC的相關配套環(huán)境可以說是萬事俱備。支持NFC的智能手機終端層出不窮，相關標準也已經出臺。隨著移動互聯(lián)技術的發(fā)展，如今用戶移動終端，例如安卓系統(tǒng)的智能手機都具有NFC功能，智能終端支持的移動網絡也能實現(xiàn)移動支付，利用3G或4G移動網絡與銀行系統(tǒng)就可以快速建立安全的數(shù)據傳輸通道，保證用戶數(shù)據傳輸?shù)挠行?，快捷性與安全性，已受到越來越多用戶的關注。用戶手機上只需安裝有移動支付軟件，便能通過移動網絡與移動支付處理中心進行連接，使數(shù)據加密后進行傳送，同時，也可以為用戶提供安全的數(shù)據存儲、支付信息管理查詢、身份認證和移動支付等功能。

在基于NFC的移動支付安全系統(tǒng)中，用戶智能終端通過采用共享對稱密鑰的方式與支付處理平臺的服務器之間建立安全通道，所有信息均被加密之后再進行傳遞，確保數(shù)據的機密性，即使在傳遞過程中被攻擊者截獲了，由于攻擊者不具有相應的密鑰信息，仍然無法破解密文。由此可見，基于NFC技術的移動支付系統(tǒng)方案具有較高的安全性。

4　結語

本文提出了一種使用NFC近場通信技術的移動支付安全方案，保證移動用戶在支付過程中信息傳輸?shù)陌踩裕嵘齻鬏斶^程總體效率和安全性，NFC技術與移動網絡技術的相結合，有效減少整個信息傳遞過程中系統(tǒng)的能耗方案，解決了在傳統(tǒng)的移動支付過程中連接時間長、操作復雜、系統(tǒng)功耗大等問題，基本滿足了用戶信息安全傳遞的需求。當然，涉及到移動支付這個敏感領域，NFC的實際應用還有很長的路要走，這需要多方合作，積極協(xié)調配合，不僅需要技術廠商的不斷研發(fā)，移動運營商對移動支付網絡的推動，手機制造商對其生產的手機NFC功能配備的提升，銀行等金融機構對NFC技術移動支付的密切配合，以及配套基礎設施建設的完善；針對使用NFC手機進行移動支付的用戶，應該加強自身相關的安全意識，積極應對各種潛在威脅，防止自身NFC手機丟失或被盜，此外，還需要政府及法律標準給予更多的導向和制約。相信不久NFC近場通信技術將成為移動支付應用技術的主流。

［1］賈凡，佟鑫.NFC手機系統(tǒng)的安全威脅建模［J］.清華大學學報（自然科學版），2012（10）：1460-1464.

［2］陸凱，孟旭東.NFC移動通信終端的研究與應用［J］.西安郵電學報，2007（9）：38-41.

［3］NFC Data Exchange Format（NDEF）Technical Specification.NFC Forum TM NDEF 1.0 NFC Forum-TS-NDEF_1.0，2006-07-24.

［4］NFC Forum.NFC record type definition（RTD）［J/OL］.http：//www.nfc-forum.org/specs/，2006-07-24.

［5］馬捷，鄂金龍.基于近場通信的Wi-Fi傳輸連接方案［J］.計算機工程，2013（6）：1-6.

［6］郭先會，陳丹.基于NFC的移動支付安全解決方案研究與應用［J］.數(shù)據通信，2014（5）：15-17.

Mobile Payment；NFC；Payment Security

Research on the Application of Mobile Payment Security Based on NFC Technology

YANG Yan-ling
（Hanshan Normal University，Chaozhou 521000）

1007-1423（2015）20-0056-05

10.3969/j.issn.1007-1423.2015.20.013

楊妍玲（1986-），女，碩士，研究方向為網絡與信息安全

2015-06-09

2015-07-01

移動支付可以采用的方式有很多種，但對于適合普通消費者的小額支付，采用NFC技術進行手機移動支付有著天生的優(yōu)勢，結合智能手機的應用，實現(xiàn)了手機與錢包合二為一，為移動支付的發(fā)展起到了推波助瀾的作用。設計一種安全的移動支付解決方案，對于廣大移動支付用戶群來講，具有非常重要的現(xiàn)實意義。基于NFC技術體系和安全支付的特點，通過詳細分析現(xiàn)有的移動支付系統(tǒng)，提出移動支付的安全應用解決方案，并討論其安全性。

移動支付；NFC；支付安全

There are many manners of mobile payment can be used，but for general consumers，micro payment by NFC mobile payment has a natural advantage.With the application of smart phone，the mobile phone and wallet are combined.However，while enjoying the convenience and fast payment，people often overlook the security issues of the mobile payment.So，it is very important to design a secure mobile payment solution，which has practical significance to the mobile payment users.Based on the characteristics of NFC technology system and security payment，analyzes the existing mobile payment system，proposes the security of mobile payment application solutions，and discusses its security issues.