佟艾蓉

摘要：電子支付是指單位或個人通過電子終端，直接或間接向銀行金融機構(gòu)發(fā)出支付指令，實現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。而基于RFID技術(shù)的電子支付，如中國移動推出RF-SIM卡，只需要一張具有RFID的SIM卡就能使用移動支付業(yè)務(wù)，其內(nèi)置了PKI算法引擎、支持RSA等數(shù)字簽名算法，可以保證移動支付的安全性?；赗FID與手機卡相結(jié)合的移動支付技術(shù)前景十分可觀，但安全性是影響其發(fā)展的重要因素。

關(guān)鍵詞：電子支付；RFID；安全性

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）24-0267-02

當(dāng)今的移動通信系統(tǒng)除了能夠提供傳統(tǒng)的語音、數(shù)據(jù)、多媒體業(yè)務(wù)外，正向著更廣的在線支付發(fā)展，個人智能終端將得到更廣泛地使用，以滿足用戶的多種需求。以無線通信技術(shù)和存儲器技術(shù)為核心的RFID技術(shù)，已經(jīng)取得突破性成果并開始商用，本文主要針對RFID技術(shù)的工作原理、安全隱患以及發(fā)展趨勢進行闡述。

1 RFID技術(shù)及其基本工作原理

1） RFID（Radio Frequency Identification）技術(shù)，指的是射頻識別，它是一種非接觸式的自動識別技術(shù)，通過射頻信號來識別目標(biāo)，并獲取相關(guān)的數(shù)據(jù)。

2） RFID系統(tǒng)組成，由RFID 標(biāo)簽、閱讀器和后臺數(shù)據(jù)庫3個部分組成：

RFID （Tag）：由耦合元件及芯片組成，根據(jù)標(biāo)簽的能量來源，可以分為3類：被動式標(biāo)簽、半被動式標(biāo)簽和主動式標(biāo)簽。每個標(biāo)簽上有用于與閱讀器進行通信的天線，并擁有唯一的電子編碼。

閱讀器（Reader）：一般有手持式或固定式，也是一個帶有無線收發(fā)功能的設(shè)備。可分為感應(yīng)耦合及后向散射耦合兩種。

后臺數(shù)據(jù)庫：用于存儲標(biāo)簽的相關(guān)信息。通過掃描標(biāo)簽。閱讀可以得到相關(guān)的信息。

3 ）RFID技術(shù)的基本工作原理：標(biāo)簽進入磁場后，接收解讀器發(fā)出的射頻信號，憑借感應(yīng)電流所獲得的能量發(fā)送出存儲在芯片中的產(chǎn)品信息（無源標(biāo)簽或被動標(biāo)簽），或者由標(biāo)簽主動發(fā)送某一頻率的信號（Active Tag，有源標(biāo)簽或主動標(biāo)簽），解讀器讀取信息并解碼后，送至中央信息系統(tǒng)進行有關(guān)數(shù)據(jù)處理。一套完整的RFID系統(tǒng)， 是由閱讀器與電子標(biāo)簽也就是所謂的應(yīng)答器及應(yīng)用軟件系統(tǒng)三個部分所組成，其工作原理是Reader發(fā)射一特定頻率的無線電波能量，用以驅(qū)動電路將內(nèi)部的數(shù)據(jù)送出，此時Reader便依序接收解讀數(shù)據(jù)， 送給應(yīng)用程序做相應(yīng)的處理。

2 RFID的安全隱患

RFID存在著與生俱來的安全隱患，具體有如下幾種：假冒、竊取、隱私泄露、位置跟蹤、拒絕服務(wù)攻擊等。

1）假冒，通過假冒RFID標(biāo)簽的電子產(chǎn)品編碼EPC進行偽造，從而擾亂正常的RFID系統(tǒng)。

2）竊取，由于RFID系統(tǒng)中的很多時候是通過無線進行信息傳輸?shù)模虼舜嬖谛盘柨赡軙桓`取的危險，這將直接影響到整個RFID體系的安全。

3） 隱私泄露，RFID電子標(biāo)簽中所包含的信息關(guān)系到消費者的隱私，這些數(shù)據(jù)一旦被攻擊者獲取，消費者的隱私權(quán)將無法得到保障。

4） 位置跟蹤，非法用戶可以采用多種手段和設(shè)施對標(biāo)簽的進行跟蹤，從而了解設(shè)備的行動路徑。

5）重放攻擊，在重方攻擊中，有效的RFID信號被中途截取，并將其中的數(shù)據(jù)保存下來，這些數(shù)據(jù)隨后可被發(fā)送給閱讀器。

6）拒絕服務(wù)攻擊，通過噪聲信號使得RFID通信造成射頻阻塞，或是對基于變化ID的RFID認(rèn)證系統(tǒng)進行攻擊，造成標(biāo)簽和閱讀器兩端的ID不相同，使得RFID標(biāo)簽無法正常訪問。

面對如此繁多的安全隱患，RFID系統(tǒng)中高強度的安全機制是必需的。而移動RFID系統(tǒng)的安全性考驗比RFID系統(tǒng)更艱巨。

3 基于RFID的移動電子支付安全

目前移動電子支付主要分有3種形式：基于WAP網(wǎng)絡(luò)平臺的網(wǎng)上銀行交易；采用STK菜單通過短信方式的手機話費支付；基于RFID，通過手機終端與POS機進行的短距離通信，可以采用手機話費支付形式或通過SIM卡與個人銀行賬戶綁定的形式進行交易。

基于RFID形式的刷卡交易簡單易用，無需通過WAP、SMS形要通過煩瑣的手機輸入操作，但目前仍存在著不少問題。首先是RFID設(shè)備本身的安全性問題，由于其資源受限，計算能力較弱，難以加入強度較高的復(fù)雜的安全算法，這對移動電子支付的安全性會帶來一定的影響。目前中國移動推出的RF-SIM卡，支持DES，3DES，RSA算法并內(nèi)置PKI算法引擎。但這對設(shè)備帶來安全的同時，成本上的消耗是之前的SIM卡的5倍左右，這將會使得RF-SIM的推廣帶來一定的限制。

這種RF-SIM卡能進行實時鑒權(quán)，對空口數(shù)據(jù)傳輸?shù)臄?shù)據(jù)自動用3DES加密，可以防止數(shù)據(jù)竊聽，在進行刷卡操作時，會自動進行雙向認(rèn)證，對于關(guān)鍵的指令數(shù)據(jù)則采用RSA加密。其采用PKI算法引擎這種成熟的公鑰密碼機制為基于RFID的移動電子支付帶來了較為可靠的安全基礎(chǔ)。

另外，在整個移動支付的過程中，涉及許多參與角色：消費者、商家、移動運營商、第三方服務(wù)提供商、銀行。消費者和商家是系統(tǒng)的服務(wù)對象，移動運營商提供網(wǎng)絡(luò)支持，銀行方提供銀行相關(guān)服務(wù)，第三方服務(wù)提供商提供支付平臺服務(wù)，通過各方的結(jié)合以實現(xiàn)業(yè)務(wù)。

相比于RFID系統(tǒng)，移動支付還需要考慮以下安全問題：

1） 移動終端接入支付平臺的安全，包括用戶注冊時，簽約信息是否能安全傳遞，用戶通過移動終端登錄系統(tǒng)時，其間傳遞的數(shù)據(jù)用戶信息等是否能得到安全保障。

2）支付平臺和習(xí)慣傳輸?shù)陌踩?，手機病毒或木馬的侵襲，或者支付軟件自身存在的漏洞，很可能會造成支付隱患。同時，移動支付所追求的就是便捷的用戶體驗，甚至比互聯(lián)網(wǎng)支付更加程序簡易，這就降低了支付安全性。過于便捷的移動支付認(rèn)證與使用，同樣也會有相應(yīng)風(fēng)險存在。

3）用戶需要在任何場合都謹(jǐn)慎保管各種個人信息，包括身份證、銀行卡、手機驗證碼等隱私信息，避免不必要的泄漏。，加大對各種詐騙信息，釣魚網(wǎng)站的管理力度，營造一個安全穩(wěn)定的網(wǎng)絡(luò)氛圍，減少移動支付之中混雜的各種不安全因素。

4 結(jié)束語

近年來電子支付的發(fā)展之迅速大家有目共睹，而移動支付作為一個新型的支付手段，也已經(jīng)從發(fā)展階段逐步走向成熟階段。目前中國許多企業(yè)都已聯(lián)合推出基于RFID的移動支付技術(shù)，以便更好地?fù)屨家苿又Ц兜氖袌?，如中國銀聯(lián)的手機SD卡的NFC技術(shù)，中國移動的RF-SIM，中國電信的SIMPASS卡，中國聯(lián)通的基于SWP標(biāo)準(zhǔn)的NFC技術(shù)。這不僅使基于RFID的移動支付的標(biāo)準(zhǔn)化增加了難度，也為移動支付平臺對各種支付技術(shù)標(biāo)準(zhǔn)的兼容及建立于標(biāo)準(zhǔn)之上的安全協(xié)議技術(shù)的統(tǒng)一帶來了一定的挑戰(zhàn)。

參考文獻：

[1] 李暉，牛少彰.無線通信安全理論與技術(shù)[M]. 北京：北京郵電大學(xué)出版社，2011.