0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

关于当前主流移动支付技术安全分析

贸泽电子 来源:djl 2019-08-27 09:48 次阅读

作者 Barry Manz, Mouser Electronics

美国百货Target的海量数据外泄事件带来了积极影响:它向人们阐明了一个事实,即便是最强大的安全系统也可以被黑客攻破。之前普遍认为Target的多层次系统是一个安全典范,它的防御超过了Visa和万事达所要求的坚固防护措施。但是,黑客们最终却进入了该系统,并立即遭来人们一片争议:为何在美国信用卡交易不再安全,并呼吁变更为使用时无需物理刷过读卡器的非接触式卡片。也正因为该争议,Visa、万事达和美国运通做出硬性规定:零售商必须在2015年十月前购入智能卡功能的读卡器。如果谁不照做,欺诈损失将完全由该零售商自行承担。

无可否认的是,自1983年以来,智能卡(卡片的嵌入芯片包含加密信息和安全处理功能,但是仍需接触)已被所有发达国家所广泛使用,并大大降低了盗窃事件的发生。花了这么久才达到美国当前的局面,即使2013年欺诈耗费了零售商和银行120多亿美元,但相对于升级零售销售点(POS)系统来说,成本和复杂性方面仍明显更优。然而Target信息泄漏已经成为导火索,即使卡片本身并非攻击目标,并且信息被获取可能是使用了128位破解密码(因此密码对黑客无用),但在当前时间点上采用更先进支付技术的势头可能已不可阻挡。

即便如此,随着技术的前进,尽管广泛使用智能卡是一个巨大进步,但仍不足以将零售行业携带步入21世纪。当前的两大标准是非接触式智能卡和基于智能手机近场通信NFC)技术,前者使用无线通信并无需卡片与读写器物理接触,后者则完全消除了对卡片的需求。然而,Target信息泄漏事件中很少提到的一个关键事实是:卡片本身并非问题所在。

1卡片本身不该被问责

攻击Target的黑客的入侵方法如下:在Target商场的零售点(POS)终端上安装恶意软件,然后使用“Memory-scraping”工具劫持交易过程中的暂存数据。然而,这种恶意软件必须能到达POS终端,正是web服务器让黑客具备了访问公司终端的机会。一旦隐匿在终端内,它开始在Target的公司网络中建立自己的控制服务器,存储所有Target数据仓库中的失窃数据,直到黑客来到附近并卸载这些数据。

在报道中Target公司使用了40多个防病毒工具遍历公司网络以扫描恶意软件,但均未能发现该恶意软件,或者发现了也并不认为它是恶意的。该软件名为BlackPOS,在网络犯罪论坛中购买只需花费2000美元,它专为绕过防火墙并在销售点终端自行安装。因此短时间内,企业服务器,而非POS终端,仍是窃贼的攻击入口,他们从“后端”进来,而不是前面的POS终端。

所有POS终端都在收集数据,不管是需要刷卡或是需要将卡片放置在读卡器的几英寸距离范围内。这样问题来了:非接触卡比标准卡有何更安全的措施以及这两种卡在信用卡被盗取时会有何大的差别?在Target案例中可能没有,但在更常见的盗窃案例中,它们较当前系统在终端本身方面有重大改进,而且终端上出问题更为频繁。为了说明美国支付的安全标准,让我们来看看目前常用的磁条方案——智能卡、非接触卡和近场通信以及RFID,其中最后一个与前三者差别较大。

2智能有待改进

在无源RFID系统中(最常见的类型),读卡器发送一个弱信号,然后被卡片中的环形天线(图1)捕获,经过整流,获取的微小能量被用来响应读卡器查询并标识自己。控制系统将身份代码与数据库中的认证信息相匹配。在这方面,RFID和非接触式支付有两个基本共同点:它们使用无线技术来消除POS读取装置和被读取物品之间的物理连接,同时也加入了集成电路和存储器以存储数据。然而,除这两大相似点外也有一些细微差异。 例如:

•无源RFID标签非常便宜(通常少于10美分),因而非常适用于任何可以植入或者放置RFID标签的大批量物品上以进行跟踪。有源RFID标签包含电池,因此它们可以发送信息脉冲串,但价格也更高,因此不太被广泛使用。

•RFID标签很少带或没有“智能”,而接触式和非接触式“智能”卡都有明显的安全功能,包括安全微处理器、存储器以及加密处理能力。

•RFID标签可以在距离读卡器约6英寸(无源)到650英尺(有源)的范围内被读取,出于安全考虑,非接触式卡片仅可以在约2英寸距离内被读取。

图1:一种RFID标签,采用了最少元件,其中最大的是用于捕获读卡器微弱信号的环形天线。

RFID已自然进入了可以发挥其优势的诸多应用中,包括包含所有者照片的护照中。 2005年,沃尔玛告知其100家顶级供应商为其货品包装盒和运货板上放置RFID标签,然后才能进入配送中心,这一计划后来扩大到所有供应商。该公司报告称,带RFID标签的库存物品补充速度比计划实施前快三倍以上。美国国防部也采纳了这一计划,随后辐射至很多其它公司,目前无源RFID已被广泛应用于许多行业中。

总之,虽然RFID系统在跟踪类型的应用中已经无处不在,但由于它们缺乏智能以及只能在短距离内提供有限安全保障,让它们无法进入交易处理应用中。

3智能卡

这里必须提到智能卡(图2),它是专为交易处理而设计的第一代卡片,以克服“哑巴”磁条卡的安全缺陷。智能卡提供了显著的安全功能,包括对称DES(数据加密标准)、3DES(三重DES)以及多达1024位键长的公钥RSA加密等主动加密方式。

图2:一个通用智能卡,展示了可以访问内部电子的触点。

智能卡使用了一块嵌入式集成电路,内部包含存储器和微处理器。该设备八个外露的金属焊盘提供到直流电源(由POS读卡器再处理)、时钟信号、接地信号和串行I / O的连接。板载处理器,目前通常是最高频率为32 MHz的32位RISC处理器,负责执行指令,而控制器则管理卡片与与读卡器之间的数据流。智能卡还包含三种类型的存储器:ROM,用于永久指令的存储; RAM,用于临时存储;E-PROM,用于存储运行的应用程序。

4非接触式卡片

非接触卡片保留了前述智能卡的组件和安全特性,但并不包含智能卡的电触点,而替代为RFID中类似使用的RF区域,并且消除了与POS读卡器的物理接触。捎带的附加安全属性是,不需要每一笔交易时都输入个人识别码(PIN),但达到一定交易数量后,读卡器会要求输入PIN码以保证安全性。

每笔交易量也受到限制,而且目前相当低。首次使用非接触卡的电子票务发生在1995年的韩国,许多美国人可能还记得20世纪90年代的埃克森Speedpass系统,而且目前仍在许多埃克森美孚站中服役。非接触式技术已被万事达、花旗银行、摩根大通、美国运通以及许多其它组织使用。目前的案例包括Visa的payWave卡、美国运通ExpressPay卡和万事达的PayPass系统。

5近场通信技术

NFC是另一种无线 “非接触式”产品。它是设计用于智能手机和平板的一组通信协议、数据数据格式和标准,类似于非接触式卡但却不带卡片外壳。NFC由NFC论坛主持开发,该论坛由恩智浦、索尼和诺基亚于2004年创建。GSMA接纳了NFC论坛,已经定义并细化了专用于运营商无线领域的GSMA NFC标准架构。

技术和标准也在不断发展。谷歌已经在Android 4.4系统(奇巧)中集成了主机卡模拟(HCE)功能,但并不遵循GSMA标准。第一个使用PayPass或payWave的智能手机,于2011年面世,随后更多产品也加入了这些功能。在今年二月份,万事达卡宣布与EE、西班牙电信UK和沃达丰UK成立一家合资企业,以推进该技术,并促使非接触式支付成为欧洲的通用平台。

NFC与包括RFID在内的其它非接触式技术共享同一基础方法,因为它使用了环形天线间的磁感应强度。当彼此接近时(即在其近场域内)天线创建了一个虚拟变压器并产生电压。 NFC以13.56MHz工作在该未经许可的工业、科学和医疗(ISM)频段,具有8英寸的理论工作范围,但实际中只有2英寸或更小。

不同于非接触式智能卡,NFC允许与读卡器的双向通信,并且具有智能手机的大规模处理、安全性和加密功能,因为它不受信用卡大小的外形制约。谷歌的安卓集束功能使用NFC在手机上启用蓝牙,并允许销售点的读卡器与它们配对,同时禁用蓝牙,直到交易或文件传输已经完成。另一种变体称为S-集束,用于三星的Galaxy系列产品,尽管与Android集束类似,但使用NFC来共享MAC和IP地址,并使用无线网络直连来共享文件和文档。它远快于蓝牙,数据传输速率高达300 Mb/ s,从而使共享大文件的速度要快得多。

PayPal已经决定完全放弃NFC技术并走自己的技术路线,按其总裁大卫·马库斯去年在博客中提到的说法,NFC技术“无法获得大规模普及”并将 “在2013年慢慢死去”,这一论断迄今被证明是错误的。相反,PayPal在于去年9月发布并称为beacon的服务中使用了低功耗蓝牙(BLE)技术。Beacon允许客户无需智能手机或卡片的前提下进行支付。零售商需要$ 100的USB加密狗插入他们的销售点系统(图4)中,当客户手机中带有Beacon应用时,将被提示是否选择PayPal作为支付源。

图3:Paypal的Beacon读卡器插入墙壁插孔。该100美元设备通过USB连接到POS终端。

该应用无需在电话中打开,并且不需要任何信号或GPS位置信息。该应用允许用户有选择的存储Beacon兼容零售商进入手机,因此支付基本上无需手动参与并且非常容易。它越过公司的现金支付系统,要求客户打开手机上的PayPal应用程序,并每次核对零售商。

NFC不只用于支付,也用于客户忠诚度项目、运输通行证以及其它应用。例如,谷歌的HCE允许Android 4.4系统设备上运行的任何应用程序模拟智能卡,用户可以简单地打开应用程序,并开始交易。这开启了无限可能,从社交网络到共享联系人、照片和大型数据文件或视频,以及移动多人游戏。

随着NFC逐渐被人们所接受,其众多潜在用途让它吸引力凡,也促使AT&T、Verizon和T-Mobile公司在2011年创建了家名为“ISIS”的合资企业,旨在建立一个单一架构,该架构上的NFC规范可被其用户进行移动支付。其首要目标是让带有NFC功能的智能手机和其他无线设备以信用卡方式工作,彻底削减非接触卡片。然而,更可能的局面是两者并存,因为并非每个人都放心地遗弃实体卡并使用手机作为包容各方的支付设备。

6总结

可以肯定的是,在美国某种形式的非接触式支付系统将取代磁条卡,问题只是何时会发生而已。智能卡、非接触式卡以及基于手机的NFC一定具备某些安全优势,几乎可以肯定会降低盗窃的发生率。不过,由于Target泄漏事件已充分表明,没有灵丹妙药来完全消除欺诈行为,只要存在犯罪黑客具备完全无视POS机而从公司层面入侵的能力。

随着非接触式支付系统越来越受欢迎,黑客肯定会将注意力转向设法利用它们,一如他们在网站和PC中的作法。即便如此,消费者将受益,同时也包括银行、信用卡公司和零售商,只要随着时间的推移更新系统的成本被分摊。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • usb
    usb
    +关注

    关注

    60

    文章

    7874

    浏览量

    263668
  • 智能卡
    +关注

    关注

    0

    文章

    135

    浏览量

    24726
  • 移动支付
    +关注

    关注

    0

    文章

    574

    浏览量

    48004
收藏 人收藏

    评论

    相关推荐

    移动支付背后,信息安全如何保障?

    小伙伴们,过年抢微信红包了吗?随着技术不断创新,人人智能手机的时代下,红包也被赋予新玩法。微信红包、支付宝钱包等种种方式,意味着移动支付已逐步融入人们生活,然而,便捷快速的优点背后,
    发表于 02-14 16:13 4070次阅读

    银联移动支付将短期主推SD-NFC支付

    优势为中国银联提供业务技术支持和市场推广服务。在移动支付业务领域,中国普天将积极推进符合银联移动支付技术
    发表于 10-28 09:27

    当前主流的HDL是哪些哇?

    [qq]1668859680[/qq]当前主流的HDL是哪些哇?从网上找到了VHDL、Superlog、Verilog、SystemC、Cynlib C++、C Level等。这几种,但是他们都是主流的么?
    发表于 09-19 09:17

    虹膜识别PK指纹识别 谁保证移动支付安全

    的手机毕竟有限,如何保障移动支付安全呢?指纹识别是当前中国大多数的智能手机采用的,从高端旗舰、到入门产品基本都已经得到了普及,并且原来指纹只是用来解锁等基础功能,而现在已经关联了
    发表于 10-18 10:34

    NFC助力移动支付市场的增长

    英国市场调研公司JuniperResearch日前发表研究报告指出,到2013年,全球移动支付金额将达6000亿美元,目前该市场以音乐与铃声等数字商品为主,但其最大的前途在于NFC技术的应用。NFC
    发表于 07-12 07:24

    RFID移动支付应用实例

      利用RFID(radio frequency identification,射频识别)开展的移动支付业务已经成为移动生活的发展热点。根据行业协会Eurosmart和市场研究公司Strategy
    发表于 07-29 06:10

    移动支付有哪些类型?

    移动支付是指用户使用手机等移动终端,对所消费的商品或服务进行账务支付的一种支付方式。单位或个人通过移动
    发表于 09-19 08:12

    基于RFID技术的GPRS移动支付系统该怎样去设计?

    本文将简要说明一种基于RFID技术的GPRS移动支付系统。
    发表于 05-27 06:31

    基于WPKI的安全移动支付系统的设计

    安全移动支付移动电子商务最关键的环节。针对移动支付这一核心功能,参照各种
    发表于 12-01 17:20 12次下载
    基于WPKI的<b class='flag-5'>安全</b><b class='flag-5'>移动</b><b class='flag-5'>支付</b>系统的设计

    NFC技术移动支付应用

    本专题为你详解NFC、移动支付概念,NFC技术资讯,NFC最新技术芯片,NFC在日常通讯、电子支付等方面的应用,以及NFC
    发表于 09-07 15:40
    NFC<b class='flag-5'>技术</b>与<b class='flag-5'>移动</b><b class='flag-5'>支付</b>应用

    2013年移动通信前瞻:NFC移动支付仍然不会成为主流

    NFC移动支付仍然不会成为主流,相机变成智能手机,可穿戴电子产品兴起,品牌大战将推动创新。
    发表于 01-06 08:54 1655次阅读

    关于4G移动通信系统的特点及技术分析

    关于4G移动通信系统的特点及技术分析,4g网络论文
    发表于 11-10 11:41 28次下载

    中国公交安全移动支付体验升级

    (岭南通)、武汉和苏州 恩智浦嵌入式安全技术为小米支付(Mi Pay)提供了目前业内最高等级的数据安全保护 恩智浦半导体(NASDAQ:NXPI)与小米公司今日共同宣布,通过深入整合双
    发表于 10-15 12:11 0次下载

    主流支付技术之NFC支付、蓝牙支付和红外线支付技术的介绍与优缺点分析

    一、移动支付的概念及其分类 移动支付,也称为手机支付,就是允许用户使用其移动终端(通常是手机)对
    发表于 10-27 10:40 55次下载
    <b class='flag-5'>主流</b><b class='flag-5'>支付</b><b class='flag-5'>技术</b>之NFC<b class='flag-5'>支付</b>、蓝牙<b class='flag-5'>支付</b>和红外线<b class='flag-5'>支付</b><b class='flag-5'>技术</b>的介绍与优缺点<b class='flag-5'>分析</b>

    当前主流模块电源技术及发展趋势

    当前主流模块电源技术及发展趋势分析说明。
    发表于 06-19 10:51 22次下载