郭駿峰

摘 要：隨著傳統(tǒng)行業(yè)地鐵售票的深度融合，給傳統(tǒng)自動(dòng)售檢票系統(tǒng)提供了創(chuàng)新、改革、前進(jìn)的空間。隨著地鐵發(fā)行權(quán)的獲得和移動(dòng)售票業(yè)務(wù)的完善，電子售票卡的增加和實(shí)體售票卡的減少，方便了用戶(hù)的出行，降低了地鐵公司的整體運(yùn)營(yíng)費(fèi)用。

關(guān)鍵詞：NFC技術(shù)在A(yíng)FC系統(tǒng)中的安全

前言：近距離通信技術(shù)（NFC）無(wú)需啟動(dòng)相關(guān)應(yīng)用程序即可在地鐵進(jìn)行離線(xiàn)支付。在網(wǎng)絡(luò)環(huán)境下，無(wú)需在讀寫(xiě)卡器附近的讀寫(xiě)區(qū)域進(jìn)行相應(yīng)的密鑰校驗(yàn)和事務(wù)校驗(yàn)碼計(jì)算即可完成事務(wù)。NFC使用三種基本模式：模擬卡、模擬讀卡器和點(diǎn)對(duì)點(diǎn)。

一、NFC技術(shù)應(yīng)用優(yōu)點(diǎn)

1.NFC手機(jī)使用模擬卡模式如CPU卡雙向通信，實(shí)現(xiàn)移動(dòng)車(chē)票卡在地鐵的應(yīng)用，在通過(guò)閘機(jī)之前，不需要打開(kāi)應(yīng)用軟件。完全實(shí)現(xiàn)了手機(jī)票卡的一體化，顯示出NFC技術(shù)的優(yōu)越性，又能可視化地在手機(jī)上查詢(xún)票卡交易的明細(xì)和余額，比App展現(xiàn)二維碼單向通信過(guò)閘更快捷、高效。

2.NFC手機(jī)模擬讀卡器模式，可通過(guò)應(yīng)用程序在線(xiàn)獲取相應(yīng)的密鑰和手機(jī)NFC票卡，用于實(shí)時(shí)發(fā)卡和充值，這樣可以節(jié)省每個(gè)站點(diǎn)排隊(duì)處理業(yè)務(wù)的時(shí)間。

3.NFC手機(jī)車(chē)票卡的增加，可以直接按照地鐵方票卡結(jié)構(gòu)進(jìn)行設(shè)計(jì)和擴(kuò)充應(yīng)用，使用13.56 MHz頻率通信AFC系統(tǒng)不需要增加任何硬件，對(duì)原有系統(tǒng)改變最少，只增加新票卡種類(lèi)參數(shù)或原票卡種類(lèi)中規(guī)劃號(hào)段區(qū)分，增加系統(tǒng)報(bào)表展示和清分系統(tǒng)少量區(qū)分修改。NFC手機(jī)支付系統(tǒng)與原有AFC系統(tǒng)對(duì)接時(shí)，不影響地鐵既有AFC系統(tǒng)的運(yùn)行安全，不對(duì)既有的票卡發(fā)行、制作規(guī)則造成影響。NFC手機(jī)票卡相對(duì)獨(dú)立的發(fā)卡系統(tǒng)，不需要對(duì)既有發(fā)卡系統(tǒng)進(jìn)行改造。

二、NFC技術(shù)在A(yíng)FC系統(tǒng)中的安全研究

1.通信安全。當(dāng)NFC移動(dòng)電話(huà)支付和刷卡時(shí)，設(shè)備將以模擬卡或讀寫(xiě)器模式工作，NFC設(shè)備之間將進(jìn)行一系列通信檢查。用于NFC移動(dòng)電話(huà)支付的無(wú)線(xiàn)通信接口可以在IC卡信息傳輸限制時(shí)被截獲，因?yàn)樵谠O(shè)備建立通信之后，在交互過(guò)程中錢(qián)包中的數(shù)據(jù)可能并不總是處于加密狀態(tài)，這可能導(dǎo)致在交互過(guò)程中數(shù)據(jù)被盜，這會(huì)導(dǎo)致數(shù)據(jù)泄露。還有一種可能是通過(guò)中間人方式采取第三方會(huì)話(huà)，偽造數(shù)據(jù)利用NFC的接口，采取信號(hào)模擬對(duì)NFC手機(jī)支付通信設(shè)備之間數(shù)據(jù)進(jìn)行模擬，直至接收到反饋或應(yīng)答的可用數(shù)據(jù)，導(dǎo)致數(shù)據(jù)被竊取。其主要威脅是數(shù)據(jù)信息傳輸過(guò)程中的干擾，從而導(dǎo)致真實(shí)數(shù)據(jù)的泄露。

2.設(shè)備安全。在NFC移動(dòng)電話(huà)付款時(shí)，安全的SE芯片在保護(hù)電子錢(qián)包信息方面發(fā)揮了重要作用，是存儲(chǔ)芯片、鑰匙、敏感數(shù)據(jù)。目前SE階段為移動(dòng)電話(huà)安裝了三種安全的模式：為手機(jī)中的設(shè)置在SD卡中的SD（單線(xiàn)連接方案）模式、設(shè)置在SIM卡中SIM模式和手機(jī)全終端模式。人為故意更新、置換或刪除SE模塊，以及對(duì)安全密鑰、機(jī)密隱私信息模塊損壞和替換SE模塊的完整性問(wèn)題。特別在使用模式外部SE模塊的NFC解決方案中，惡意對(duì)承載NFC手機(jī)支付應(yīng)用中電子錢(qián)包使用的SE模塊安全進(jìn)行逐步替換。一旦成功替換已驗(yàn)證SE模塊，有可能導(dǎo)致身份冒用以及各種未經(jīng)授權(quán)的侵權(quán)行為，盜取用戶(hù)的系統(tǒng)關(guān)鍵數(shù)據(jù)或個(gè)人唯一標(biāo)識(shí)，最終導(dǎo)致未經(jīng)授權(quán)的NFC手機(jī)支付實(shí)現(xiàn)。

3.軟件系統(tǒng)安全。在NFC手機(jī)系統(tǒng)上捆綁惡意程序，將對(duì)用戶(hù)的交易內(nèi)容劫持、軟件捆綁、監(jiān)視用戶(hù)支付流、惡意轉(zhuǎn)跳等來(lái)侵犯用戶(hù)隱私，剝奪用戶(hù)選擇權(quán)和知情權(quán)。也可以使用一些可疑的根證書(shū)的SE模塊，將產(chǎn)生錯(cuò)誤的信任關(guān)系，從而到達(dá)控制的目的。掃描用于識(shí)別攻擊目標(biāo)的軟件中的漏洞，通過(guò)經(jīng)授權(quán)的資源訪(fǎng)問(wèn)系統(tǒng)，及早發(fā)現(xiàn)和糾正NFC安全漏洞是重要的。提前發(fā)現(xiàn)并修補(bǔ)NFC安全漏洞是系統(tǒng)和應(yīng)用安全的重要保障，而且NFC新技術(shù)方面軟件存在有安全漏洞經(jīng)驗(yàn)不足，通過(guò)逆向工程技術(shù)或重打包，找出漏洞能夠獲取應(yīng)用程序的安全數(shù)據(jù)、用戶(hù)信息，并植入惡意程序，嚴(yán)重危害到整體軟件程序的安全。

4.環(huán)境安全問(wèn)題。當(dāng)NFC移動(dòng)電話(huà)使用無(wú)線(xiàn)頻率閱讀器功能時(shí)，它可以被竊聽(tīng)，并指出NFC數(shù)據(jù)傳輸通道是無(wú)線(xiàn)的。因此基于開(kāi)放環(huán)境下的無(wú)線(xiàn)數(shù)據(jù)傳輸將有被盜取的可能，將威脅到用戶(hù)ID、支付信息等非常敏感的內(nèi)容，包括各種支付憑證等的關(guān)鍵信息，這也讓惡意軟件有了獲取敏感數(shù)據(jù)的渠道，而且可以被惡意用戶(hù)使用獲取的信息去進(jìn)行偽卡交易。

三、NFC安全解決方案

1.安全模塊采取的保障機(jī)制。針對(duì)手機(jī)SE安全模塊，可以使用訪(fǎng)問(wèn)控制機(jī)制，如個(gè)人密碼的錯(cuò)誤次數(shù)限制和數(shù)字簽名的周期生命控制。在密鑰恢復(fù)和備份條件下，密鑰過(guò)期或丟失后無(wú)法正確使用加密程序，對(duì)硬件系統(tǒng)進(jìn)行完整性監(jiān)控，避免在執(zhí)行過(guò)程中更換。所有傳輸和存儲(chǔ)程序應(yīng)為加密程序，嚴(yán)禁下載和運(yùn)行無(wú)簽名、無(wú)驗(yàn)證源的軟件。避免重復(fù)使用數(shù)據(jù)，所有交易都必須加蓋時(shí)間戳。在SWP.SIM模式下，使用SIM卡的自毀保護(hù)機(jī)制，在3次密鑰不正確將“燒卡”，使得該模式下SIM信息不可復(fù)制。采取具有NFC功能的手機(jī)，在基帶處理器中能與SE交互的API函數(shù)接口，以及基帶處理器為NFC相關(guān)應(yīng)用提供運(yùn)行環(huán)境。然而有些應(yīng)用程序可在沒(méi)有用戶(hù)知曉的情況下就被調(diào)用了。不同的安全域使用不同的可信應(yīng)用，嚴(yán)格劃分不同的安全域以提高其安全性能。NFC手機(jī)在軟件使用時(shí)對(duì)其安全性進(jìn)行檢查，對(duì)于已經(jīng)Root的手機(jī)，提示安全風(fēng)險(xiǎn)并限制最高金額，控制其風(fēng)險(xiǎn);對(duì)于空中充值應(yīng)用，必須采取在線(xiàn)驗(yàn)證機(jī)制充值，保證安全可控。

2.后臺(tái)數(shù)據(jù)風(fēng)險(xiǎn)預(yù)警機(jī)制。根據(jù)地鐵業(yè)務(wù)數(shù)據(jù)的特點(diǎn)，實(shí)時(shí)監(jiān)控分析各終端設(shè)備上傳的各交易數(shù)據(jù)的存儲(chǔ)情況。進(jìn)行交易數(shù)據(jù)分析和監(jiān)控預(yù)警分析，票據(jù)卡邏輯卡號(hào)為主關(guān)鍵字。根據(jù)各終端上傳交易數(shù)據(jù)中的邏輯卡號(hào)對(duì)比交易記錄中的余額字段。第一階段預(yù)警：當(dāng)發(fā)現(xiàn)比對(duì)數(shù)據(jù)有反向跳變（增長(zhǎng)）時(shí)，將該條交易記錄列入第l階段預(yù)警表進(jìn)行記錄，并檢查在遞減的最后一筆交易，當(dāng)查詢(xún)有充值記錄時(shí)，而且上傳入庫(kù)累計(jì)充值記錄等于跳變（增長(zhǎng)）值時(shí)，刪除第一預(yù)警階段該票卡記錄;如果充值記錄不等于跳變（增長(zhǎng)）值時(shí)，該票卡記錄計(jì)入第二階段預(yù)警表。第二階段預(yù)警：預(yù)警表數(shù)據(jù)根據(jù)地鐵公司AFC設(shè)備檢修或維護(hù)周期，設(shè)置一段時(shí)間觀(guān)察期，實(shí)時(shí)查詢(xún)上傳入庫(kù)充值記錄;若在觀(guān)察期內(nèi)查詢(xún)到有遞減的最后一筆交易，至跳變（增長(zhǎng)）記錄時(shí)間段中的充值記錄累計(jì)值，等于跳變（增長(zhǎng)）值時(shí)，刪除第一和第二階段該票卡記錄;若在觀(guān)察期內(nèi)未能查詢(xún)到充值記錄等于跳變（增長(zhǎng)）值，則該票卡記錄計(jì)入第三階段預(yù)警表。第三階段預(yù)警：預(yù)警表的數(shù)據(jù)將作為人工分析的重點(diǎn)，如果一個(gè)票卡有多條記錄在第三階段預(yù)警表里，將進(jìn)行遠(yuǎn)程鎖手機(jī)票卡行為，待持手機(jī)用戶(hù)去地鐵站點(diǎn)（或指定點(diǎn)）進(jìn)行解鎖，解鎖后預(yù)警表記錄移入歷史表備查。對(duì)于該階段用戶(hù)因有多次余額增加，將進(jìn)行重點(diǎn)分析盯控，防范有可能風(fēng)險(xiǎn)的出現(xiàn)和漏洞的補(bǔ)查。

結(jié)束語(yǔ)：

隨著快捷的生活越來(lái)越多的被人們所追求，移動(dòng)支付受到人們的熱捧。公共交通是一個(gè)典型的移動(dòng)收費(fèi)模式，近年來(lái)已成為一個(gè)普遍的模式。與AFC系統(tǒng)中的移動(dòng)支付有關(guān)的技術(shù)革新和應(yīng)用，與互聯(lián)網(wǎng)的發(fā)展趨勢(shì)相一致。根據(jù)目前關(guān)于低碳經(jīng)濟(jì)和綠色經(jīng)濟(jì)的設(shè)想，現(xiàn)階段根據(jù)其他地鐵項(xiàng)目的經(jīng)驗(yàn)，應(yīng)當(dāng)對(duì)新技術(shù)的需求進(jìn)行分析，在項(xiàng)目實(shí)施過(guò)程中加強(qiáng)智能地鐵的概念。

參考文獻(xiàn)：

[1]雷洪斌.基于NFC技術(shù)的移動(dòng)支付研究綜述[J].軟件導(dǎo)刊， 2019，1（17）： 1-5

[2]邱華瑞， 張寧， 徐文， 何鐵軍.城市軌道交通自動(dòng)售檢票系統(tǒng)架構(gòu)體系研究。[J].都市快軌交通， 2018， 1（2）： 2-4

[3]解麗娜.基于NFC和SIM卡結(jié)合的手機(jī)支付方式[J].中國(guó)信息化，2019， 1（17）： 2-4