佟艾蓉

摘要：電子支付是指單位或個人通過電子終端，直接或間接向銀行金融機構發(fā)出支付指令，實現(xiàn)貨幣支付與資金轉移的行為。而基于RFID技術的電子支付，如中國移動推出RF-SIM卡，只需要一張具有RFID的SIM卡就能使用移動支付業(yè)務，其內置了PKI算法引擎、支持RSA等數(shù)字簽名算法，可以保證移動支付的安全性?；赗FID與手機卡相結合的移動支付技術前景十分可觀，但安全性是影響其發(fā)展的重要因素。

關鍵詞：電子支付；RFID；安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）24-0267-02

當今的移動通信系統(tǒng)除了能夠提供傳統(tǒng)的語音、數(shù)據(jù)、多媒體業(yè)務外，正向著更廣的在線支付發(fā)展，個人智能終端將得到更廣泛地使用，以滿足用戶的多種需求。以無線通信技術和存儲器技術為核心的RFID技術，已經(jīng)取得突破性成果并開始商用，本文主要針對RFID技術的工作原理、安全隱患以及發(fā)展趨勢進行闡述。

1 RFID技術及其基本工作原理

1） RFID（Radio Frequency Identification）技術，指的是射頻識別，它是一種非接觸式的自動識別技術，通過射頻信號來識別目標，并獲取相關的數(shù)據(jù)。

2） RFID系統(tǒng)組成，由RFID 標簽、閱讀器和后臺數(shù)據(jù)庫3個部分組成：

RFID （Tag）：由耦合元件及芯片組成，根據(jù)標簽的能量來源，可以分為3類：被動式標簽、半被動式標簽和主動式標簽。每個標簽上有用于與閱讀器進行通信的天線，并擁有唯一的電子編碼。

閱讀器（Reader）：一般有手持式或固定式，也是一個帶有無線收發(fā)功能的設備?？煞譃楦袘詈霞昂笙蛏⑸漶詈蟽煞N。

后臺數(shù)據(jù)庫：用于存儲標簽的相關信息。通過掃描標簽。閱讀可以得到相關的信息。

3 ）RFID技術的基本工作原理：標簽進入磁場后，接收解讀器發(fā)出的射頻信號，憑借感應電流所獲得的能量發(fā)送出存儲在芯片中的產(chǎn)品信息（無源標簽或被動標簽），或者由標簽主動發(fā)送某一頻率的信號（Active Tag，有源標簽或主動標簽），解讀器讀取信息并解碼后，送至中央信息系統(tǒng)進行有關數(shù)據(jù)處理。一套完整的RFID系統(tǒng)， 是由閱讀器與電子標簽也就是所謂的應答器及應用軟件系統(tǒng)三個部分所組成，其工作原理是Reader發(fā)射一特定頻率的無線電波能量，用以驅動電路將內部的數(shù)據(jù)送出，此時Reader便依序接收解讀數(shù)據(jù)， 送給應用程序做相應的處理。

2 RFID的安全隱患

RFID存在著與生俱來的安全隱患，具體有如下幾種：假冒、竊取、隱私泄露、位置跟蹤、拒絕服務攻擊等。

1）假冒，通過假冒RFID標簽的電子產(chǎn)品編碼EPC進行偽造，從而擾亂正常的RFID系統(tǒng)。

2）竊取，由于RFID系統(tǒng)中的很多時候是通過無線進行信息傳輸?shù)?，因此存在信號可能會被竊取的危險，這將直接影響到整個RFID體系的安全。

3） 隱私泄露，RFID電子標簽中所包含的信息關系到消費者的隱私，這些數(shù)據(jù)一旦被攻擊者獲取，消費者的隱私權將無法得到保障。

4） 位置跟蹤，非法用戶可以采用多種手段和設施對標簽的進行跟蹤，從而了解設備的行動路徑。

5）重放攻擊，在重方攻擊中，有效的RFID信號被中途截取，并將其中的數(shù)據(jù)保存下來，這些數(shù)據(jù)隨后可被發(fā)送給閱讀器。

6）拒絕服務攻擊，通過噪聲信號使得RFID通信造成射頻阻塞，或是對基于變化ID的RFID認證系統(tǒng)進行攻擊，造成標簽和閱讀器兩端的ID不相同，使得RFID標簽無法正常訪問。

面對如此繁多的安全隱患，RFID系統(tǒng)中高強度的安全機制是必需的。而移動RFID系統(tǒng)的安全性考驗比RFID系統(tǒng)更艱巨。

3 基于RFID的移動電子支付安全

目前移動電子支付主要分有3種形式：基于WAP網(wǎng)絡平臺的網(wǎng)上銀行交易；采用STK菜單通過短信方式的手機話費支付；基于RFID，通過手機終端與POS機進行的短距離通信，可以采用手機話費支付形式或通過SIM卡與個人銀行賬戶綁定的形式進行交易。

基于RFID形式的刷卡交易簡單易用，無需通過WAP、SMS形要通過煩瑣的手機輸入操作，但目前仍存在著不少問題。首先是RFID設備本身的安全性問題，由于其資源受限，計算能力較弱，難以加入強度較高的復雜的安全算法，這對移動電子支付的安全性會帶來一定的影響。目前中國移動推出的RF-SIM卡，支持DES，3DES，RSA算法并內置PKI算法引擎。但這對設備帶來安全的同時，成本上的消耗是之前的SIM卡的5倍左右，這將會使得RF-SIM的推廣帶來一定的限制。

這種RF-SIM卡能進行實時鑒權，對空口數(shù)據(jù)傳輸?shù)臄?shù)據(jù)自動用3DES加密，可以防止數(shù)據(jù)竊聽，在進行刷卡操作時，會自動進行雙向認證，對于關鍵的指令數(shù)據(jù)則采用RSA加密。其采用PKI算法引擎這種成熟的公鑰密碼機制為基于RFID的移動電子支付帶來了較為可靠的安全基礎。

另外，在整個移動支付的過程中，涉及許多參與角色：消費者、商家、移動運營商、第三方服務提供商、銀行。消費者和商家是系統(tǒng)的服務對象，移動運營商提供網(wǎng)絡支持，銀行方提供銀行相關服務，第三方服務提供商提供支付平臺服務，通過各方的結合以實現(xiàn)業(yè)務。

相比于RFID系統(tǒng)，移動支付還需要考慮以下安全問題：

1） 移動終端接入支付平臺的安全，包括用戶注冊時，簽約信息是否能安全傳遞，用戶通過移動終端登錄系統(tǒng)時，其間傳遞的數(shù)據(jù)用戶信息等是否能得到安全保障。

2）支付平臺和習慣傳輸?shù)陌踩?，手機病毒或木馬的侵襲，或者支付軟件自身存在的漏洞，很可能會造成支付隱患。同時，移動支付所追求的就是便捷的用戶體驗，甚至比互聯(lián)網(wǎng)支付更加程序簡易，這就降低了支付安全性。過于便捷的移動支付認證與使用，同樣也會有相應風險存在。

3）用戶需要在任何場合都謹慎保管各種個人信息，包括身份證、銀行卡、手機驗證碼等隱私信息，避免不必要的泄漏。，加大對各種詐騙信息，釣魚網(wǎng)站的管理力度，營造一個安全穩(wěn)定的網(wǎng)絡氛圍，減少移動支付之中混雜的各種不安全因素。

4 結束語

近年來電子支付的發(fā)展之迅速大家有目共睹，而移動支付作為一個新型的支付手段，也已經(jīng)從發(fā)展階段逐步走向成熟階段。目前中國許多企業(yè)都已聯(lián)合推出基于RFID的移動支付技術，以便更好地搶占移動支付的市場，如中國銀聯(lián)的手機SD卡的NFC技術，中國移動的RF-SIM，中國電信的SIMPASS卡，中國聯(lián)通的基于SWP標準的NFC技術。這不僅使基于RFID的移動支付的標準化增加了難度，也為移動支付平臺對各種支付技術標準的兼容及建立于標準之上的安全協(xié)議技術的統(tǒng)一帶來了一定的挑戰(zhàn)。

參考文獻：

[1] 李暉，牛少彰.無線通信安全理論與技術[M]. 北京：北京郵電大學出版社，2011.