閆 萌，鄒俊偉，劉亞輝，馮 釩，朱 翀

(北京郵電大學 電子工程學院 通信與網(wǎng)絡研究中心，北京 100876)

0 引 言

近年來，越來越多的企業(yè)開始采用非接觸式智能卡代替手輸密碼、磁條卡或紙質票卡，如公交卡、大學學生卡等。非接觸式支付也隨之越來越普及[1]。閃付(quick pass)，是中國銀聯(lián)金融IC卡的非接觸式支付產(chǎn)品應用，是一種新興支付方式，可以使銀行卡持有人進行快速的小額支付，而無需輸入用戶名和密碼。這種支付方式在當今快節(jié)奏的生活中很受歡迎，但同時閃付技術也逐漸面臨著安全威脅，大量用戶的敏感信息面臨著泄露的風險。由于閃付技術是以NFC(near field communication，近場通信)技術為支撐，因此，針對NFC通信可能使用的攻擊方式(如竊聽、數(shù)據(jù)損壞、中繼攻擊、重放攻擊等)都需要警惕[2]。

基于NFC技術的電子錢包應用Google wallet，已被研究人員破解[3-4]。而其他支持NFC技術的手機，也有研究人員對其進行了破解，并找到了手機安全模塊的漏洞[5-6]。以上相關信息表明，NFC支付的安全漏洞，越來越成為攻擊者的目標。對此，文中針對閃付技術中個人隱私可能的泄露點，及針對含有‘QuickPass’標識的銀聯(lián)芯片卡(簡稱‘閃付卡’)的可能攻擊方式，重放攻擊，展開討論。

1 NFC技術概述及NFC支付

隨著通信技術和金融業(yè)的高速發(fā)展，NFC技術開始逐漸為人所熟知。它由RFID技術(radio frequency identification,非接觸式射頻識別技術)演變而來，是一種用于短距離內(nèi)的高頻無線電通信技術。應用了NFC技術的芯片卡如公交卡、校園一卡通以及帶NFC功能的銀行卡等可在短距離內(nèi)識別兼容設備，進行數(shù)據(jù)交換，有一定的智能性。由于很多大范圍系統(tǒng)都會使用NFC芯片卡，故針對NFC芯片卡的各類標準也應運而生。

EMV標準是全球統(tǒng)一的對于支持NFC技術的銀行卡，也針對非接觸式智能卡，以及與其進行交互所需要的終端所制定的標準?！伴W付”是中國銀聯(lián)的非接觸式支付產(chǎn)品及應用，支持由EMV標準結合國情改進而來的PBOC3.0標準，其最大特征就是小額免密支付。因契合人們對快捷、高效支付的需求，銀聯(lián)“閃付”作為一種新興支付方式發(fā)展迅猛。截至2014年一季度末，全國支持閃付服務的NFC終端已有近300萬臺。

隨著閃付技術的高速發(fā)展，其安全問題也日益受到關注。由于閃付技術小額免密的特點，大部分閃付卡在接觸式電子現(xiàn)金以及非接觸PBOC環(huán)境下，都不需進行動態(tài)驗證就可完成交易。文獻[1,7-8]對EMV規(guī)范體系的安全性進行了探討，并指出EMV規(guī)范的安全性和可能存在的漏洞。此外，也有許多研究者指出，NFC技術易遭受竊聽、數(shù)據(jù)損壞、中繼攻擊、重放攻擊等的威脅[2]，并提出了一些解決方案，如電磁屏蔽等[6]。

重放攻擊是文中研究的重點。所謂重放攻擊，就是攻擊者通過竊聽或者其他方式獲得一個目的主機已接收過的包，并將其重新發(fā)送給對方，來達到欺騙對方的目的，主要用于身份認證過程。這種攻擊方式可以繞過復雜的加解密過程，因而難于防范。文中基于PBOC規(guī)范規(guī)定的交互指令以及所設計的重放攻擊模型，使用PN532模擬中間閱讀器和中間標簽，造成合法通信的假象，從而截取NFC閱讀器讀取閃付卡與收單方之間的通信數(shù)據(jù)。針對電子現(xiàn)金的消費功能，進行模擬攻擊。

2 重放攻擊模型及通信協(xié)議設計

2.1 重放攻擊模型設計

構建的重放攻擊模型如圖1所示。reader與主機和ecard共同構成攻擊方，啟用NFC技術與閃付卡進行APDU指令交互，對閃付卡與收單方合法通信進行監(jiān)聽并截留通信數(shù)據(jù)?？ㄆJ為reader即是與其進行合法通信的收單方，與其進行數(shù)據(jù)交換。由終端發(fā)送指令給攻擊者借此獲得閃付卡與收單方之間通信的合法APDU，再將監(jiān)聽到的APDU寫成腳本，由主機假扮合法收單方欺騙閃付卡，與之進行通信。在該研究中，收單方即指支持閃付功能的POS(point of sale,銷售終端)終端。

圖1 重放攻擊模型

在該模型中，設計以PC機作為主機，reader端由Arduino uno芯片組和NFC-shield組成，ecard由一個Arduino操縱的PN532模塊充當。系統(tǒng)由PC機在相關程序的支撐下，reader和ecard端探測智能卡設備并進行轉發(fā)。所接收到的數(shù)據(jù)，也即閃付卡與收單方之間進行交互的APDU顯示在PC機屏幕上。

2.2 模型通信協(xié)議設計

模型中所設計的通信協(xié)議包括兩個部分：請求和響應。模型中每個部分中間的數(shù)據(jù)交互都要遵循這個協(xié)議，有請求必有回應。協(xié)議中數(shù)據(jù)的格式符合銀聯(lián)PBOC3.0協(xié)議。

請求報文是收單方向閃付卡所發(fā)送的報文，格式見圖2，由一個4字節(jié)長的必備頭與其后的一個變長的條件體組成。請求報文發(fā)送的數(shù)據(jù)長度用Lc(命令數(shù)據(jù)域的長度)表示，期望返回的數(shù)據(jù)字節(jié)數(shù)用Le(期望數(shù)據(jù)長度)表示。當Le存在且值為0時,表示要求可能的最大字節(jié)數(shù)(≤256)。在應用選擇中給出的讀記錄(READ RECORD)命令、選擇(SELECT)命令中，Le應該等于“00”[9]。

CLAINSP1P2LcDataLe必備頭條件體

圖2 請求報文格式

響應報文是閃付卡回應收單方請求所發(fā)送的報文，格式見圖3，由一個變長的條件體及其后兩字節(jié)長的尾部組成。SW1、SW2是響應報文的結尾，表示請求報文的處理狀態(tài)。在處理成功時，SW1、SW2為固定值9 000[1]。

DataSW1SW2條件體必備尾

圖3 響應報文格式

3 閃付卡安全漏洞分析

通過對招商銀行及農(nóng)業(yè)銀行閃付卡的監(jiān)聽，得到了用戶在交易過程中需要提供的各種身份數(shù)據(jù)，接下來將借此探究PBOC3.0協(xié)議的漏洞以及對閃付卡實施重放攻擊的可能性。在合法通信的過程中，所有數(shù)據(jù)報文的格式都遵循PBOC3.0規(guī)范。

由于卡內(nèi)大部分記錄讀取權限為自由[1]，攻擊者可任意對包含用戶敏感信息的閃付卡內(nèi)的數(shù)據(jù)進行讀取。終端機通過發(fā)送APDU指令讀取信息，第一條和第二條APDU完成了閃付卡的初始化和選擇應用的過程，第三條指令開始卡片進入脫機狀態(tài)，即預扣款狀態(tài)。農(nóng)行和招行的前三條APDU格式基本相同。第四條指令開始讀記錄，至最后一條指令完成，卡片會完成扣款流程。

由于本次模擬攻擊中使用的兩個銀行的閃付卡都沒有對終端的合法性進行驗證，在模擬攻擊中，采用了攻擊者編寫腳本假扮收單方欺騙閃付卡的方式進行攻擊，并且模擬消費成功。

綜上所述，通過對符合PBOC3.0協(xié)議的閃付卡通信過程的監(jiān)聽，發(fā)現(xiàn)了PBOC3.0協(xié)議的兩個漏洞：

(1)在身份認證過程中，PBOC3.0協(xié)議并未強制規(guī)定由閃付卡對合法性進行認證，閃付卡有可能與未經(jīng)授權的終端完成通信。因此利用一臺PC機編寫程序，就可以欺騙閃付卡，令其以為自己在進行合法交易。

(2)在監(jiān)聽過程中，用戶的許多敏感信息被明文傳輸。下一部分將展示提取到的一些用戶敏感信息。并且已有團隊的研究表明：通過讀文件指令00B2020C00，就可以獲取包含如標簽為9F61的持卡人證件號，標簽為5F20的持卡人姓名等敏感信息[1]。需要提及的一點是，由于PBOC3.0協(xié)議對閃付卡中存儲的用戶個人敏感信息內(nèi)容沒有強制規(guī)定，卡片中的信息完全由發(fā)卡行決定。因此，在芯片卡廣泛發(fā)行的情況下，用戶信息可能會遭到泄露。

4 重放攻擊實施結果

應用圖1所示的模型，對招商銀行和中國農(nóng)業(yè)銀行發(fā)行的閃付卡與收單方的合法通信進行了監(jiān)聽，并嘗試利用截留的數(shù)據(jù)包進行重放攻擊。

圖4 對招行閃付卡進行攻擊的過程

圖4是對招行的閃付卡進行重放攻擊過程中APDU及其返回值的記錄。其中“Command APDU”是主機模擬收單方發(fā)送給卡片的APDU，即請求報文；而“Response APDU”是卡片返回值，也就是響應報文。表1列出了其中一條交互報文中幾個重要標簽及其解析結果，其中包含了閃付卡卡片號碼和持卡人的姓名等隱私數(shù)據(jù)。

表1 招行信用卡返回響應解析

在模擬攻擊中，利用主機監(jiān)聽并截留的交互數(shù)據(jù)，實現(xiàn)了將監(jiān)聽到的APDU寫成腳本形式來模擬收單方，自動發(fā)送，并成功實現(xiàn)卡內(nèi)電子現(xiàn)金的消費。實際上因為銀行后臺數(shù)據(jù)庫中并未記錄該筆消費，在結算時恢復了卡內(nèi)脫機現(xiàn)金數(shù)目。但在此次模擬中成功欺騙了卡片，令其以為自己在與合法的收單方通信，從而成功完成了卡內(nèi)電子現(xiàn)金的消費。選擇這種攻擊方式是由于收單方在通信中對閃付卡的合法性進行了驗證，持卡人驗證方法由卡內(nèi)數(shù)據(jù)標簽為8E的數(shù)據(jù)決定。而閃付卡在通信中，對于收單方的認證過程相對簡單，使得欺騙能夠成功實現(xiàn)。

但同時，兩個銀行的閃付卡的82標簽(應用交互特征)值均為7C00,即都采用了DDA(動態(tài)數(shù)據(jù)驗證)和SDA(靜態(tài)數(shù)據(jù)驗證)兩種身份驗證方式[10-13]。SDA，即靜態(tài)數(shù)據(jù)驗證的簽名是在卡發(fā)行時就定好的，SDA加密過程中所用的私鑰是發(fā)卡行的私鑰，因此，只采用SDA驗證方式的卡片，被人取得靜態(tài)數(shù)據(jù)后，可能被復制。而DDA每次用來簽名加密所用的私鑰是IC卡私鑰。由于DDA中需要卡片私鑰的參與，而卡片私鑰是無法被讀取的，所以閃付卡不會被完整復制，可以有效抵御偽卡[14]。

5 對抗措施分析

閃付卡由于其對小額支付的速度要求，必然犧牲一定的安全性。第三、四節(jié)展示并分析了招行閃付卡與主機間的APDU報文交互過程，并指出了重放攻擊的可能性及PBOC3.0協(xié)議存在的漏洞。針對發(fā)現(xiàn)的漏洞，主要從兩方面提出對抗措施：敏感信息的加密存儲和增加閃付卡對收單方的認證過程。

(1)增加閃付卡對收單方的認證過程[15]。對于本次攻擊中所發(fā)現(xiàn)的，收單方缺乏身份認證，攻擊者假扮收單方與閃付卡進行交易的情況，建議PBOC3.0協(xié)議中增加閃付卡對收單方的認證過程。如學習SSL通信體制，由閃付卡生成隨機密鑰key，此key用發(fā)卡行RSA公鑰加密后發(fā)送到收單方端，再由收單方用私鑰解密得到密鑰key，通過該隨機密鑰key對收單方的合法性進行認證。但這種方法有可能會加大通信時間代價。

(2)信息加密存儲。對于監(jiān)聽過程中發(fā)現(xiàn)的用戶信息泄漏問題，雖然這些信息并不能直接導致用戶資金被盜，但仍是一個安全隱患。因此建議PBOC3.0協(xié)議強制避免敏感信息的明文存儲。可行的措施是：將明文讀取的用戶敏感信息如持卡人姓名等，經(jīng)過公鑰密碼體制加密后，存儲進卡內(nèi)相應位置，在需要時由收單方后臺(如銀行)關聯(lián)。

此外，為了對抗通信過程中的監(jiān)聽，從而對抗重放攻擊，也有研究人員提出了一些措施：如采取位置距離綁定，即通過比對節(jié)點間的位置來檢測其相互距離的辦法[16]；或者通過在APDU報文中加入時間戳，并丟棄傳輸時間過長的報文的方式，來確保通信始終在近場距離內(nèi)；以及通過電磁屏蔽的辦法防止監(jiān)聽[1-2]。

6 結束語

文中設計了重放攻擊的模型以及攻擊所需的通信協(xié)議，并利用PC機及附屬設備實現(xiàn)了對招商銀行和中國農(nóng)業(yè)銀行發(fā)行的閃付卡與收單方之間通信的監(jiān)聽。并利用監(jiān)聽中攔截的數(shù)據(jù)，編寫程序實現(xiàn)了模擬攻擊。同時基于監(jiān)聽中所攔截的APDU交互報文，對其進行分析，找出PBOC3.0協(xié)議存在的弱點，并提出改進方案。而對于改進方案的可行性，將在以后的研究中繼續(xù)探索。

參考文獻：

[1] 楊 卿,黃 琳.無線電安全攻防大揭秘[M].北京:電子工業(yè)出版社,2016.

[2] 羅勤文,鄒俊偉,張曉瑩.基于近場移動支付的中繼攻擊與PBOC協(xié)議安全漏洞分析[D/OL].2014.http://www.paper.edu.cn/html/releasepaper/2014/07/203/.

[3] ROLAND M,LANGER J,SCHARINGER J.Practical attack scenarios on secure element-enabled mobile devices[C]//Proceedings of 4th international workshop on near field communication.Washington,DC,USA:IEEE Computer Society,2012:19-24.

[4] ROLAND M,LANGER J,SCHARINGER J.Applying relay attacks to Google Wallet[J]//Proceedings of the 5th international workshop on near field communication.Washington,DC,USA:IEEE Computer Society,2013:1-6.

[5] CHA B,KIM J.Design of NFC based micro-payment to support MD authentication and privacy for trade safety in NFC applications[C]//Proceedings of seventh international conference on complex,intelligent,and software intensive systems.Washington,DC,USA:IEEE Computer Society,2013:710-713.

[6] MULLINER C.Vulnerability analysis and attacks on NFC-enabled mobile phones[C]//Forth international conference on availability,reliability and security.[s.l.]:[s.n.],2009:695-700.

[7] 劉 淳,范曉紅,張其善.EMV規(guī)范的安全框架分析[J].遙測遙控,2006,27(2):68-72.

[8] 劉 淳,張其善.EMV規(guī)范中的密鑰管理[J].遙測遙控,2006,27(1):67-70.

[9] Technology Department. China financial integrated circuit(IC) card specifications (PBOC 3.0)[J].中國標準化:英文版,2013,60(3):84-87.

[10] 杜 磊,李增局,彭 乾,等.金融IC卡規(guī)范脫機動態(tài)數(shù)據(jù)認證的漏洞研究[J].計算機工程與科學,2016,38(10):2070-2076.

[11] 朱建新,朱立國.基于EMV標準的金融IC卡安全框架設計與實現(xiàn)[J].微計算機信息,2007,23(30):65-67.

[12] 張向軍,陳克非.基于PBOC智能卡的匿名可分電子貨幣協(xié)議[J].計算機應用,2009,29(7):1785-1789.

[13] 彭 乾,李增局,史汝輝.EMV應用密文的差分錯誤注入分析[J].網(wǎng)絡與信息安全學報,2016,2(4):64-72.

[14] BOND M,CHOUDARY O,MURDOCH S J,et al.Chip and skim:cloning EMV cards with the pre-play attack[C]//IEEE symposium on security and privacy.Washington,DC,USA:IEEE Computer Society,2014:49-64.

[15] 郎春華,王小海,趙云峰.中國金融IC卡規(guī)范對EMV的支持性研究[J].浙江大學學報:理學版,2007,34(1):46-49.

[16] BOUKERCHE A,OLIVEIRA H A B F,NAKAMURA E F,et al.Secure localization algorithms for wireless sensor networks[J].IEEE Communications Magazine,2008,46(4):96-101.