佟艾蓉

摘要：電子支付是指單位或個(gè)人通過(guò)電子終端，直接或間接向銀行金融機(jī)構(gòu)發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。而基于RFID技術(shù)的電子支付，如中國(guó)移動(dòng)推出RF-SIM卡，只需要一張具有RFID的SIM卡就能使用移動(dòng)支付業(yè)務(wù)，其內(nèi)置了PKI算法引擎、支持RSA等數(shù)字簽名算法，可以保證移動(dòng)支付的安全性?；赗FID與手機(jī)卡相結(jié)合的移動(dòng)支付技術(shù)前景十分可觀，但安全性是影響其發(fā)展的重要因素。

關(guān)鍵詞：電子支付；RFID；安全性

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）24-0267-02

當(dāng)今的移動(dòng)通信系統(tǒng)除了能夠提供傳統(tǒng)的語(yǔ)音、數(shù)據(jù)、多媒體業(yè)務(wù)外，正向著更廣的在線(xiàn)支付發(fā)展，個(gè)人智能終端將得到更廣泛地使用，以滿(mǎn)足用戶(hù)的多種需求。以無(wú)線(xiàn)通信技術(shù)和存儲(chǔ)器技術(shù)為核心的RFID技術(shù)，已經(jīng)取得突破性成果并開(kāi)始商用，本文主要針對(duì)RFID技術(shù)的工作原理、安全隱患以及發(fā)展趨勢(shì)進(jìn)行闡述。

1 RFID技術(shù)及其基本工作原理

1） RFID（Radio Frequency Identification）技術(shù)，指的是射頻識(shí)別，它是一種非接觸式的自動(dòng)識(shí)別技術(shù)，通過(guò)射頻信號(hào)來(lái)識(shí)別目標(biāo)，并獲取相關(guān)的數(shù)據(jù)。

2） RFID系統(tǒng)組成，由RFID 標(biāo)簽、閱讀器和后臺(tái)數(shù)據(jù)庫(kù)3個(gè)部分組成：

RFID （Tag）：由耦合元件及芯片組成，根據(jù)標(biāo)簽的能量來(lái)源，可以分為3類(lèi)：被動(dòng)式標(biāo)簽、半被動(dòng)式標(biāo)簽和主動(dòng)式標(biāo)簽。每個(gè)標(biāo)簽上有用于與閱讀器進(jìn)行通信的天線(xiàn)，并擁有唯一的電子編碼。

閱讀器（Reader）：一般有手持式或固定式，也是一個(gè)帶有無(wú)線(xiàn)收發(fā)功能的設(shè)備?？煞譃楦袘?yīng)耦合及后向散射耦合兩種。

后臺(tái)數(shù)據(jù)庫(kù)：用于存儲(chǔ)標(biāo)簽的相關(guān)信息。通過(guò)掃描標(biāo)簽。閱讀可以得到相關(guān)的信息。

3 ）RFID技術(shù)的基本工作原理：標(biāo)簽進(jìn)入磁場(chǎng)后，接收解讀器發(fā)出的射頻信號(hào)，憑借感應(yīng)電流所獲得的能量發(fā)送出存儲(chǔ)在芯片中的產(chǎn)品信息（無(wú)源標(biāo)簽或被動(dòng)標(biāo)簽），或者由標(biāo)簽主動(dòng)發(fā)送某一頻率的信號(hào)（Active Tag，有源標(biāo)簽或主動(dòng)標(biāo)簽），解讀器讀取信息并解碼后，送至中央信息系統(tǒng)進(jìn)行有關(guān)數(shù)據(jù)處理。一套完整的RFID系統(tǒng)， 是由閱讀器與電子標(biāo)簽也就是所謂的應(yīng)答器及應(yīng)用軟件系統(tǒng)三個(gè)部分所組成，其工作原理是Reader發(fā)射一特定頻率的無(wú)線(xiàn)電波能量，用以驅(qū)動(dòng)電路將內(nèi)部的數(shù)據(jù)送出，此時(shí)Reader便依序接收解讀數(shù)據(jù)， 送給應(yīng)用程序做相應(yīng)的處理。

2 RFID的安全隱患

RFID存在著與生俱來(lái)的安全隱患，具體有如下幾種：假冒、竊取、隱私泄露、位置跟蹤、拒絕服務(wù)攻擊等。

1）假冒，通過(guò)假冒RFID標(biāo)簽的電子產(chǎn)品編碼EPC進(jìn)行偽造，從而擾亂正常的RFID系統(tǒng)。

2）竊取，由于RFID系統(tǒng)中的很多時(shí)候是通過(guò)無(wú)線(xiàn)進(jìn)行信息傳輸?shù)模虼舜嬖谛盘?hào)可能會(huì)被竊取的危險(xiǎn)，這將直接影響到整個(gè)RFID體系的安全。

3） 隱私泄露，RFID電子標(biāo)簽中所包含的信息關(guān)系到消費(fèi)者的隱私，這些數(shù)據(jù)一旦被攻擊者獲取，消費(fèi)者的隱私權(quán)將無(wú)法得到保障。

4） 位置跟蹤，非法用戶(hù)可以采用多種手段和設(shè)施對(duì)標(biāo)簽的進(jìn)行跟蹤，從而了解設(shè)備的行動(dòng)路徑。

5）重放攻擊，在重方攻擊中，有效的RFID信號(hào)被中途截取，并將其中的數(shù)據(jù)保存下來(lái)，這些數(shù)據(jù)隨后可被發(fā)送給閱讀器。

6）拒絕服務(wù)攻擊，通過(guò)噪聲信號(hào)使得RFID通信造成射頻阻塞，或是對(duì)基于變化ID的RFID認(rèn)證系統(tǒng)進(jìn)行攻擊，造成標(biāo)簽和閱讀器兩端的ID不相同，使得RFID標(biāo)簽無(wú)法正常訪問(wèn)。

面對(duì)如此繁多的安全隱患，RFID系統(tǒng)中高強(qiáng)度的安全機(jī)制是必需的。而移動(dòng)RFID系統(tǒng)的安全性考驗(yàn)比RFID系統(tǒng)更艱巨。

3 基于RFID的移動(dòng)電子支付安全

目前移動(dòng)電子支付主要分有3種形式：基于WAP網(wǎng)絡(luò)平臺(tái)的網(wǎng)上銀行交易；采用STK菜單通過(guò)短信方式的手機(jī)話(huà)費(fèi)支付；基于RFID，通過(guò)手機(jī)終端與POS機(jī)進(jìn)行的短距離通信，可以采用手機(jī)話(huà)費(fèi)支付形式或通過(guò)SIM卡與個(gè)人銀行賬戶(hù)綁定的形式進(jìn)行交易。

基于RFID形式的刷卡交易簡(jiǎn)單易用，無(wú)需通過(guò)WAP、SMS形要通過(guò)煩瑣的手機(jī)輸入操作，但目前仍存在著不少問(wèn)題。首先是RFID設(shè)備本身的安全性問(wèn)題，由于其資源受限，計(jì)算能力較弱，難以加入強(qiáng)度較高的復(fù)雜的安全算法，這對(duì)移動(dòng)電子支付的安全性會(huì)帶來(lái)一定的影響。目前中國(guó)移動(dòng)推出的RF-SIM卡，支持DES，3DES，RSA算法并內(nèi)置PKI算法引擎。但這對(duì)設(shè)備帶來(lái)安全的同時(shí)，成本上的消耗是之前的SIM卡的5倍左右，這將會(huì)使得RF-SIM的推廣帶來(lái)一定的限制。

這種RF-SIM卡能進(jìn)行實(shí)時(shí)鑒權(quán)，對(duì)空口數(shù)據(jù)傳輸?shù)臄?shù)據(jù)自動(dòng)用3DES加密，可以防止數(shù)據(jù)竊聽(tīng)，在進(jìn)行刷卡操作時(shí)，會(huì)自動(dòng)進(jìn)行雙向認(rèn)證，對(duì)于關(guān)鍵的指令數(shù)據(jù)則采用RSA加密。其采用PKI算法引擎這種成熟的公鑰密碼機(jī)制為基于RFID的移動(dòng)電子支付帶來(lái)了較為可靠的安全基礎(chǔ)。

另外，在整個(gè)移動(dòng)支付的過(guò)程中，涉及許多參與角色：消費(fèi)者、商家、移動(dòng)運(yùn)營(yíng)商、第三方服務(wù)提供商、銀行。消費(fèi)者和商家是系統(tǒng)的服務(wù)對(duì)象，移動(dòng)運(yùn)營(yíng)商提供網(wǎng)絡(luò)支持，銀行方提供銀行相關(guān)服務(wù)，第三方服務(wù)提供商提供支付平臺(tái)服務(wù)，通過(guò)各方的結(jié)合以實(shí)現(xiàn)業(yè)務(wù)。

相比于RFID系統(tǒng)，移動(dòng)支付還需要考慮以下安全問(wèn)題：

1） 移動(dòng)終端接入支付平臺(tái)的安全，包括用戶(hù)注冊(cè)時(shí)，簽約信息是否能安全傳遞，用戶(hù)通過(guò)移動(dòng)終端登錄系統(tǒng)時(shí)，其間傳遞的數(shù)據(jù)用戶(hù)信息等是否能得到安全保障。

2）支付平臺(tái)和習(xí)慣傳輸?shù)陌踩謾C(jī)病毒或木馬的侵襲，或者支付軟件自身存在的漏洞，很可能會(huì)造成支付隱患。同時(shí)，移動(dòng)支付所追求的就是便捷的用戶(hù)體驗(yàn)，甚至比互聯(lián)網(wǎng)支付更加程序簡(jiǎn)易，這就降低了支付安全性。過(guò)于便捷的移動(dòng)支付認(rèn)證與使用，同樣也會(huì)有相應(yīng)風(fēng)險(xiǎn)存在。

3）用戶(hù)需要在任何場(chǎng)合都謹(jǐn)慎保管各種個(gè)人信息，包括身份證、銀行卡、手機(jī)驗(yàn)證碼等隱私信息，避免不必要的泄漏。，加大對(duì)各種詐騙信息，釣魚(yú)網(wǎng)站的管理力度，營(yíng)造一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)氛圍，減少移動(dòng)支付之中混雜的各種不安全因素。

4 結(jié)束語(yǔ)

近年來(lái)電子支付的發(fā)展之迅速大家有目共睹，而移動(dòng)支付作為一個(gè)新型的支付手段，也已經(jīng)從發(fā)展階段逐步走向成熟階段。目前中國(guó)許多企業(yè)都已聯(lián)合推出基于RFID的移動(dòng)支付技術(shù)，以便更好地?fù)屨家苿?dòng)支付的市場(chǎng)，如中國(guó)銀聯(lián)的手機(jī)SD卡的NFC技術(shù)，中國(guó)移動(dòng)的RF-SIM，中國(guó)電信的SIMPASS卡，中國(guó)聯(lián)通的基于SWP標(biāo)準(zhǔn)的NFC技術(shù)。這不僅使基于RFID的移動(dòng)支付的標(biāo)準(zhǔn)化增加了難度，也為移動(dòng)支付平臺(tái)對(duì)各種支付技術(shù)標(biāo)準(zhǔn)的兼容及建立于標(biāo)準(zhǔn)之上的安全協(xié)議技術(shù)的統(tǒng)一帶來(lái)了一定的挑戰(zhàn)。

參考文獻(xiàn)：

[1] 李暉，牛少彰.無(wú)線(xiàn)通信安全理論與技術(shù)[M]. 北京：北京郵電大學(xué)出版社，2011.