近日，中國移動與中國銀聯(lián)正式推出NFC支付服務(wù)，NFC支付概念正式走進(jìn)國人生活。與此同時支付帶來的安全顧慮也成為了人們關(guān)注的焦點。本次移動支付網(wǎng)將從事件、觀點、流程等方面剖析NFC支付安全問題。

　　NFC破解事件和POS模擬

　　在6月初，一條英國的盜刷新聞引爆了業(yè)界的討論，據(jù)英媒報道，只要將手機(jī)在近距離處輕輕一掃，就可以在幾秒鐘內(nèi)完成對銀行卡基本信息的讀取。讀取后的信息可以用在網(wǎng)絡(luò)購物上，還可以用來回答銀行所設(shè)的安全問題。據(jù)統(tǒng)計，英國近3000萬個非接觸式銀行卡正遭受這樣的威脅。而制造盜刷的成本只需要30英鎊上網(wǎng)購買竊取軟件，并將帶有NFC功能的手機(jī)稍加改良，即可進(jìn)行盜刷活動。但實際上，如果銀行卡個人化企業(yè)或者銀行在向卡片中寫入個人化信息時，進(jìn)行相應(yīng)的敏感信息加密存儲的話，即使手機(jī)終端能夠讀取到相應(yīng)的銀行卡信息，也僅限于卡號。對于完成一筆交易需要的其它信息，如身份證號，有效期，CVN等來說，仍然是無法獲取的。也就這些被讀取的信息實際上不足夠完成一筆交易。國內(nèi)銀行卡不同發(fā)卡方，可讀取的公開信息不同，某支付界人士向移動支付網(wǎng)透露：“比如A銀行的卡片，用NFC軟件讀取，只能讀到卡號信息;但是B銀行的卡片還能讀到身份證號，這說明B銀行卡片的安全性要弱于招商銀行的。”

　　而在2012年的美國，兩名研究人員也發(fā)現(xiàn)了NFC支付嚴(yán)重的安全漏洞，破解之后可以免費乘坐地鐵，破解的原理在于，當(dāng)卡里的余額到達(dá)零點時，這個叫做UltraReset的應(yīng)用可以重新寫入新的余額數(shù)字，并“告訴”系統(tǒng)卡里還有錢。研究人員透露，NFC卡本身具有只讀保護(hù)，但交通系統(tǒng)則沒有設(shè)置該安全保護(hù)層，這就讓破解程序有了可乘之機(jī)。這項破解實驗對于倫敦的地下鐵將沒有效果，因為當(dāng)?shù)氐慕煌ㄏ到y(tǒng)對NFC卡使用了更先進(jìn)的加密方式。交通公司對系統(tǒng)管理和升級不到位，造成了本次的漏洞。對于NFC支付，TSM管理的重要性也在此突顯。對此，NFC forum方面也曾作出解釋，這是當(dāng)?shù)氐罔F公司的協(xié)議問題，而不是NFC本身技術(shù)缺陷。對于美國交通系統(tǒng)沒有設(shè)置安全保護(hù)層的問題，國內(nèi)從業(yè)人士向移動支付網(wǎng)透露，沒設(shè)置的原因是可能是因為交通卡對于通過閘機(jī)的速度是有要求的，過多的考慮安全性，就會影響交易的速度。

　　前兩個事件屬于非官方性的破解改造，而移動支付網(wǎng)最近報道的葡萄牙技術(shù)公司Morpho近期則試點，利用NFC手機(jī)改造成移動POS進(jìn)行收單，而參與者不乏運營商和信用卡及清算巨頭萬事達(dá)和Visa。具體的方案尚沒有公布，但是通過NFC手機(jī)改造進(jìn)行移動POS收單是可以實現(xiàn)的。目前有不少NFC手機(jī)的開發(fā)者都在設(shè)想將NFC手機(jī)模擬成一部POS機(jī)，但這種模擬會導(dǎo)致POS機(jī)的數(shù)量大大增加，對于卡組織來說，對于傳統(tǒng)的POS機(jī)，風(fēng)險是可控的，但如果大量的手機(jī)終端涌入市場，風(fēng)險將更不可控，目前尚未看到國際各家卡組織對于此種方案的意見。

　　業(yè)內(nèi)人對盜刷的看法

　　業(yè)內(nèi)人士提出幾點NFC盜刷的情況，首先使用NFC手機(jī)獲取非接卡片的非加密信息，并將此信息通過偽卡交易消費。其次是用NFC手機(jī)改造為POS終端，對非接觸卡進(jìn)行交易，這種情況類似于將葡萄牙的NFC手機(jī)改裝成POS，進(jìn)行盜刷。

　　這兩種情況屬于邏輯出錯，可以通過更完善的管理和規(guī)范進(jìn)行修復(fù)，一般情況下，非加密信息即使被盜取，也不能通過制造偽卡來實現(xiàn)盜刷，如果一旦情況出現(xiàn)，那么將是大規(guī)模的漏洞，需要修改規(guī)范來防止。

　　另外，技術(shù)上也有一定的解決方案，比如現(xiàn)有的機(jī)制下，一般是終端在交易時會去校驗卡片的合法性，對于非法的卡片，終端會拒絕交易。那么可以增加雙向校驗的機(jī)制，也即增加卡片對終端的校驗，對于非法終端發(fā)起的交易請求，卡片自身也可以拒絕。但這種方案對于卡片和終端的運算速度有著更高的要求。同時，對于這種方式的效果在業(yè)界也一直有爭議，一方面的觀點認(rèn)為盜刷實際上是一個非常小概率的事件，另一方面技術(shù)手段的提升會導(dǎo)致終端和卡片都需要進(jìn)行更多的改造。各方需要承擔(dān)更多的改造成本。

　　就POS終端而言，從卡片上扣取金額僅僅是第一個步驟，如果無法獲得盜刷的金額，對于盜刷者來說也是徒勞的。某從業(yè)者在接受移動支付網(wǎng)采訪時介紹：“在清算的時候，只有合法的終端系統(tǒng)才會進(jìn)行清算，也就是在收單行有登記的終端。那么對于非法終端來說，雖然獲取了交易資金，但是因為沒辦法清算，拿不到錢，也是徒勞的。”此外，國際卡組織對于非接觸式交易終端請款時效均有一定要求，支付界人士向移動支付網(wǎng)透露：“目前銀聯(lián)規(guī)定為20天，也即發(fā)生交易后20天內(nèi)，如果收單行不去向銀聯(lián)和發(fā)卡行索要這筆交易的資金的話，收單行將失去后續(xù)再請款的機(jī)會。因此，如果持卡人對卡片上交易的紀(jì)錄有異議，可以向發(fā)卡行提出申訴，發(fā)卡行可以根據(jù)卡片交易的情況，還原出當(dāng)時的卡片金額?！睂τ诓荒塬@利的盜刷來說，只能將其當(dāng)作惡作劇來看了。

　　與此同時，也有人指出，使用合法的移動POS進(jìn)行非接觸盜刷，如在擁擠情況下，如何防范。理論上此類盜刷可以存在，但是移動POS靈敏度較低，如要盜刷操作難度大。業(yè)內(nèi)人士指出：“即使在正規(guī)場所的POS刷卡位置上，卡稍微放偏，交易便會失敗，同時金融非接觸卡片交易所需要的時間要長于普通的公交卡片，也就需要把卡片在終端上放置更長的時間才能完全交易。那么在非授權(quán)場所，非接觸卡被盜刷是非常難的。” 同時這也引出一個問題，合法POS要做的好用，那么不怎么對準(zhǔn)也可以識別，但是越好用就意味著POS越容易盜刷，這更多的還是需要加強(qiáng)POS的管理，需要POS機(jī)的布放方采取更嚴(yán)格的終端管理機(jī)制。

　　面對英國的大范圍盜刷可能，首先應(yīng)該修改規(guī)范，規(guī)定哪些信息可以從非接觸式界面讀取，不然這將比磁條卡更好截取信息。其次POS擁有終端安全機(jī)制，如PSAM或者銀行發(fā)的SE，手機(jī)沒有，通過手機(jī)進(jìn)行盜刷問題不大;而最后一個問題，還需要各運營組織(如Visa、萬事達(dá)、銀聯(lián)或者公交公司等)加強(qiáng)對POS的管理，對于NFC技術(shù)本身，原本就是短距離通信，在距離上較難實現(xiàn)盜刷。市場中也有出現(xiàn)鋁箔片卡套之類的產(chǎn)品，防范此類盜刷，因為NFC技術(shù)是無法穿透金屬的，這也是2.4G與13.56MHz的其中一個爭議點，如果2.4G大規(guī)模應(yīng)用，那么金屬套也無法防范盜刷。而管理成本和盜刷風(fēng)險之間的權(quán)衡也是所有運營組織需要思考的。

　　對于英國的盜刷問題，南京理工大學(xué)計算機(jī)學(xué)院副教授邵通認(rèn)為：“這是英國卡在網(wǎng)絡(luò)使用的安全性問題，中國沒有這個問題，但是手機(jī)病毒通過NFC把用戶的卡號(NFC)+密碼(病毒竊取手機(jī)輸入)，那么磁條卡類型就麻煩了，另外手機(jī)病毒竊取手機(jī)短信，由可以盜竊卡號+短信的支付。”

　　而對于葡萄牙的NFC智能手機(jī)改裝成POS機(jī)的方案，其重點在于，智能手機(jī)只不過是一個信息的接收和處理工具，支付的安全信息需要聯(lián)網(wǎng)確認(rèn)，支付信息的處理需要PSAM卡之類的安全保障，該方案的機(jī)座對NFC支付的安全起著至關(guān)重要的作用，而手機(jī)本身，則是整個支付的信息接收和處理“傀儡”，把握支付關(guān)鍵點的仍然是統(tǒng)一清算機(jī)構(gòu)發(fā)放的安全證書，如PSAM卡。邵通還認(rèn)為：“不僅需要PSAM，而且必須保證手機(jī)的操作系統(tǒng)是安全的，否則可以進(jìn)行交易金額的篡改。也許只是搗亂，如果手機(jī)的被改造，還可以進(jìn)行收單賬戶的篡改，假冒PSAM。”

　　移動支付未來的趨勢是3A(Anytime Anywhere Anyhow)支付，問題也正在于此，3A支付是POS無處不在，不是卡無處不在。如何管控好POS是需要長期摸索的問題，無論是從技術(shù)還是管理。

　　最強(qiáng)病毒與SE

　　作為市場占有率最大的手機(jī)系統(tǒng)，安卓系統(tǒng)的開放性讓各大手機(jī)OEM商紛紛入駐，但是開放的同時，其安全性也隨之降低。今年6月初，安卓平臺出現(xiàn)了非常強(qiáng)大的病毒，利用安卓漏洞取得設(shè)備的管理權(quán)，并且無法卸載，更可怕的是，該病毒可以通過云端指令發(fā)送定制業(yè)務(wù)短信，然后屏蔽運營商回執(zhí)，從而實施惡意扣費。業(yè)內(nèi)人士調(diào)侃，“這或許是哪個虧本的運營商研究的病毒。”該病毒對用戶最大威脅就是涉及支付。短信支付在病毒的肆虐下，變得毫無安全可言，那么進(jìn)一步猜想，如果某病毒控制NFC手機(jī)，那么NFC支付是否會變得危險?

　　也有人提出，安全的手機(jī)支付，必須假設(shè)手機(jī)就是黑客制造，操作系統(tǒng)也是黑客全控。就是說手機(jī)持有人的任何在手機(jī)上的動作，黑客都能模仿，所有輸入數(shù)據(jù)都能重輸(重放攻擊)，在這個情況之下，添加NFC支付，能夠識別危險，或者避免危險，完成安全的支付，那么這才是真正的安全。

　　NFC支付就需要關(guān)乎SE安全元件的問題，承載NFC支付虛擬應(yīng)用的電子錢包，其信息是儲存于SE安全元件當(dāng)中，即使手機(jī)中毒，SE安全元件仍然可以保障支付的安全，業(yè)內(nèi)專家表示，“電子錢包信息與手機(jī)基帶芯片不交換，除非OS(操作系統(tǒng))可以讀取SIM的所有信息，并復(fù)制SIM，否則這不可能?！北娝苤?，SIM卡是不可復(fù)制的，那這就杜絕了OS中毒，致使NFC支付出現(xiàn)威脅的情況，SE安全元件對電子錢包信息的保護(hù)發(fā)揮著至關(guān)重要的作用，這也是運營商、銀行、手機(jī)OEM對SE安全元件利益爭奪的重要原因。

　　病毒手機(jī)不能給NFC支付帶來威脅，但是若是SE安全元件被破解呢?SE安全元件主要為防止外部惡意解析攻擊，保護(hù)數(shù)據(jù)安全，在芯片中具有加密/解密邏輯電路。而SE一般在TSM的控制之下，只有獲得TSM安全域的控制權(quán)，才能夠下載和安裝卡上應(yīng)用。獲得安全域的控制權(quán)，從而影響NFC支付的正常，是不太可能的。

　　NFC安全分析

　　對于NFC安全仍然要回歸其基本的三大功能，卡模擬、讀寫、點對點交互。而功能之下，技術(shù)上都是通過頻段進(jìn)行數(shù)據(jù)傳輸，在傳輸過程，近場通訊安全可能遭到破壞的方式可分為四種：竊聽、數(shù)據(jù)破壞、數(shù)據(jù)篡改、中間人攻擊。

　　前三種攻擊方式，所需要的技術(shù)能力較強(qiáng)，危險不大。有安全分析師表示一些針對NFC手機(jī)的仿冒和欺騙攻擊已經(jīng)是事實，NFC數(shù)據(jù)安全最讓人憂慮的是“中間人攻擊”，通過在一臺手機(jī)上插入某種形式的間諜軟件或惡意軟件，達(dá)到再感染其它手機(jī)，這樣一來竊取用戶的數(shù)據(jù)。而現(xiàn)在的反病毒軟件和操作系統(tǒng)架構(gòu)，控制著應(yīng)用程序之間的信息流，這樣就提供了重要的保障措施，到達(dá)減輕這類攻擊的效果,另外，智能手機(jī)、制造商和無線運營商還有著強(qiáng)大的加密手段和認(rèn)證協(xié)議，這也是以確保NFC移動支付安全一個重要手段。不過前提是協(xié)議無漏洞，實現(xiàn)無BUG。

　　總述，對于NFC盜刷問題，通過合法POS在非授信環(huán)境中的盜刷，難以防范，但是由于通信距離近，而且成功率較差，被盜刷風(fēng)險存在，但是難度大。而通過改造NFC手機(jī)進(jìn)行盜刷，需要清算機(jī)構(gòu)和POS管理方的規(guī)范管理。對于NFC支付安全而言，TSM平臺和SE的結(jié)合至關(guān)重要，是保障支付安全的核心所在。移動支付網(wǎng)了解到，TSM和SE是密碼領(lǐng)域從76年(“密碼學(xué)的新方向”)就開始研究關(guān)注的問題，84年后又陸續(xù)進(jìn)入實際操作，中國CA中心的建立也有一段一哄而上的歷史，在安全上，TSM與SE結(jié)合本身沒問題。而其他安全問題，隨著NFC移動支付的發(fā)展，也將會逐漸變得可靠，成熟，讓人們易于接受，造福人們生活。