近場通信技術(shù)的安全研究進(jìn)展與發(fā)展趨勢

刀學(xué)龍 玉溪師范學(xué)院

近場通信技術(shù)的安全研究進(jìn)展與發(fā)展趨勢

刀學(xué)龍 玉溪師范學(xué)院

隨著現(xiàn)代信息技術(shù)的發(fā)展，近場通信技術(shù)在互聯(lián)網(wǎng)和即時(shí)支付方面受到廣泛關(guān)注。雖然其具有一定的便利性與快捷性，但是對其安全問題的研究也越來越成為當(dāng)前的熱點(diǎn)問題。本文從近場通信技術(shù)的安全研究現(xiàn)狀出發(fā)，闡述了當(dāng)前近場通信技術(shù)面臨安全威脅。在此基礎(chǔ)上提出了未來的研究方向，以促進(jìn)近場通信技術(shù)的發(fā)展。

近場通信技術(shù) 安全威脅 研究進(jìn)展

1 引言

近場通信技術(shù)是一種短距離的數(shù)據(jù)交換技術(shù)，可以在移動(dòng)軟件、智能標(biāo)簽等客戶端進(jìn)行無線通信。由于其在數(shù)據(jù)處理方面較高的安全性受到很多供應(yīng)商、運(yùn)行商等的追捧。但是，近年來一些安全漏洞的出現(xiàn)使得其保密性特征受到嚴(yán)重威脅。2012年谷歌電子錢包的支付系統(tǒng)被爆出具有安全漏洞，使得入侵者可以通過漏洞盜刷用戶的信用卡。隨后，更多使用近場通信技術(shù)的手機(jī)可以被輕松獲取銀行卡信息的消息迅速傳播，引發(fā)了人們對近場通信技術(shù)交易安全的擔(dān)憂。

2 面臨的安全威脅

對于近場通信技術(shù)安全性的威脅可以分為應(yīng)用安全威脅、通信安全威脅、終端安全威脅等。應(yīng)用安全威脅的產(chǎn)生是由于軟件開發(fā)者的素質(zhì)不高以及對安全問題不夠重視，使得軟件設(shè)計(jì)存在著安全漏洞。一些入侵者通過應(yīng)用漏洞、逆向工程等方式，可以獲取程序的源代碼和信息，對數(shù)據(jù)信息進(jìn)行篡改，威脅應(yīng)用程序的安全。通信安全威脅是指通過監(jiān)聽數(shù)據(jù)、修改數(shù)據(jù)、重放數(shù)據(jù)等導(dǎo)致通信中斷、信息泄露等嚴(yán)重的后果。終端安全威脅會(huì)造成設(shè)備損害或者信息不可用。入侵者通過對移動(dòng)終端植入惡意程序，可以復(fù)制用戶的SIM卡來獲得用戶的重要信息，給移動(dòng)通信的安全帶來很大的隱患。

3 未來的研究方向

3.1 安全信道

通常來說，安全通道技術(shù)可以在近場通信中建設(shè)一個(gè)強(qiáng)大的安全防御通道，對于各種危險(xiǎn)信息進(jìn)行積極的防護(hù)。作為一種防護(hù)篡改、攻擊以及嗅探的工具，安全通道技術(shù)在近場通信的數(shù)據(jù)輸送過程中具有重要的作用。

使用安全通信技術(shù)進(jìn)行數(shù)據(jù)傳輸可以確保信息的保密和完整。保密技術(shù)使得用戶在近場通信時(shí)可以通過加密和解密技術(shù)確保信息不被竊聽人員截獲，保證通信內(nèi)容的安全。在對信息進(jìn)行加解密時(shí)，通過采用對稱和非對稱兩種算法，用戶根據(jù)算法的特征和系統(tǒng)的適應(yīng)性進(jìn)行科學(xué)的選擇。對稱算法相較于非對稱算法具有較高的使用效率，但是其需要專門的密鑰通道進(jìn)行管理，而非對稱算法可以直接進(jìn)行便捷的密鑰控制。完整性是指安全通道可以確保避免信息數(shù)據(jù)的傳輸受到而已的篡改和刪除。安全通道通過消息認(rèn)證碼、散列函數(shù)等形式對信息進(jìn)行處理。消息認(rèn)證碼是具有相應(yīng)密鑰的認(rèn)證碼，每個(gè)密鑰都有相應(yīng)的認(rèn)證碼。通過檢查對應(yīng)的認(rèn)證碼，可以實(shí)現(xiàn)對信息數(shù)據(jù)的加密。而散列函數(shù)是將排列無序的信息數(shù)據(jù)轉(zhuǎn)換成固定模式輸出串的的一種函數(shù)，這種輸出串的形式被稱為信息的雜湊值。用戶在使用安全通道進(jìn)行加密時(shí)，要充分考慮到保密性和完整性技術(shù)的特征，保證信息的安全。

3.2 安全元件

作為近場通信技術(shù)的關(guān)鍵組成部分，安全元件的控制權(quán)稱為各大商家爭搶的重點(diǎn)，這也是當(dāng)前研究的重中之重。安全元件依賴于安全芯片進(jìn)行數(shù)據(jù)處理，其數(shù)據(jù)加密、敏感數(shù)據(jù)運(yùn)算等業(yè)務(wù)對于芯片的配置要求較高。通過安全芯片，用戶還可以實(shí)現(xiàn)在客戶端對賬戶余額進(jìn)行查詢以及充值等功能。

對于安全元件的安全特性研究的重點(diǎn)在于對其API安全性、加密算法以及訪問控制方式等的功能設(shè)計(jì)。API安全性是指用戶可以在APP客戶端對安全元件進(jìn)行檢查，測量相關(guān)的數(shù)據(jù)參數(shù)值有沒有導(dǎo)致數(shù)據(jù)被越權(quán)訪問或者泄露。對于不同的安全元件位置，客戶端的借口芯片也有不同的類型。加密算法是確保數(shù)據(jù)安全的重要防御措施，算法設(shè)計(jì)原則可以使得在沒有密鑰的情況下進(jìn)行的數(shù)據(jù)處理不被破解。訪問控制方式可以實(shí)現(xiàn)通過客戶端對安全元件的訪問權(quán)限進(jìn)行控制。

3.3 惡意軟件檢測

手機(jī)通信技術(shù)的發(fā)展以及手機(jī)支付功能與近場通信技術(shù)的廣泛使用使得惡意軟件的擴(kuò)張更加迅速。當(dāng)前針對近場通信技術(shù)技術(shù)和手機(jī)系統(tǒng)漏洞的惡意軟件開始蔓延。為了確保近場通信信息數(shù)據(jù)的安全對于惡意軟件的檢測勢在必行。當(dāng)前工業(yè)界，生產(chǎn)廠商主要采用與電腦系統(tǒng)相同的檢測手段，利用特征碼的方式對惡意軟件進(jìn)行檢測。雖然這種檢測方式較為精確，但是只能對數(shù)據(jù)內(nèi)的軟件進(jìn)行排查。此外，很多惡意軟件在保持特征簽名的基礎(chǔ)上進(jìn)行了一些變種，這給檢測帶來了一定的難度。由于變種的繁重速度很快，一味擴(kuò)大特征庫的做法會(huì)增加系統(tǒng)運(yùn)行的成本。在學(xué)術(shù)界，很多研究者針對軟件的靜態(tài)特征、動(dòng)態(tài)行為進(jìn)行檢測，惡意軟件在消息傳遞、能量、系統(tǒng)調(diào)用、組件、權(quán)限、時(shí)間開銷等方面與一般軟件不同，通過相似度算法、數(shù)據(jù)挖掘或機(jī)器學(xué)習(xí)算法的方式可以對這些特征進(jìn)行處理，識(shí)別出惡意軟件。對于惡意軟件的檢測，如何提高其精確度并且減少漏報(bào)是未來研究的重點(diǎn)內(nèi)容。

[1]尹漢煒.電網(wǎng)近場無線通信技術(shù)研究及實(shí)例測試[J].科技資訊,2015,22:30-31

[2] 張玉清,王志強(qiáng),劉奇旭,婁嘉鵬,姚棟.近場通信技術(shù)的安全研究進(jìn)展與發(fā)展趨勢[J].計(jì)算機(jī)學(xué)報(bào),2016,06:1190-1207