关于当前主流移动支付技术安全分析

作者 Barry Manz, Mouser Electronics

美国百货Target的海量数据外泄事件带来了积极影响：它向人们阐明了一个事实，即便是最强大的安全系统也可以被黑客攻破。之前普遍认为Target的多层次系统是一个安全典范，它的防御超过了Visa和万事达所要求的坚固防护措施。但是，黑客们最终却进入了该系统，并立即遭来人们一片争议：为何在美国信用卡交易不再安全，并呼吁变更为使用时无需物理刷过读卡器的非接触式卡片。也正因为该争议，Visa、万事达和美国运通做出硬性规定：零售商必须在2015年十月前购入智能卡功能的读卡器。如果谁不照做，欺诈损失将完全由该零售商自行承担。

无可否认的是，自1983年以来，智能卡（卡片的嵌入芯片包含加密信息和安全处理功能，但是仍需接触）已被所有发达国家所广泛使用，并大大降低了盗窃事件的发生。花了这么久才达到美国当前的局面，即使2013年欺诈耗费了零售商和银行120多亿美元，但相对于升级零售销售点（POS）系统来说，成本和复杂性方面仍明显更优。然而Target信息泄漏已经成为导火索，即使卡片本身并非攻击目标，并且信息被获取可能是使用了128位破解密码（因此密码对黑客无用），但在当前时间点上采用更先进支付技术的势头可能已不可阻挡。

即便如此，随着技术的前进，尽管广泛使用智能卡是一个巨大进步，但仍不足以将零售行业携带步入21世纪。当前的两大标准是非接触式智能卡和基于智能手机近场通信（NFC）技术，前者使用无线通信并无需卡片与读写器物理接触，后者则完全消除了对卡片的需求。然而，Target信息泄漏事件中很少提到的一个关键事实是：卡片本身并非问题所在。

1卡片本身不该被问责

攻击Target的黑客的入侵方法如下：在Target商场的零售点（POS）终端上安装恶意软件，然后使用“Memory-scraping”工具劫持交易过程中的暂存数据。然而，这种恶意软件必须能到达POS终端，正是web服务器让黑客具备了访问公司终端的机会。一旦隐匿在终端内，它开始在Target的公司网络中建立自己的控制服务器，存储所有Target数据仓库中的失窃数据，直到黑客来到附近并卸载这些数据。

在报道中Target公司使用了40多个防病毒工具遍历公司网络以扫描恶意软件，但均未能发现该恶意软件，或者发现了也并不认为它是恶意的。该软件名为BlackPOS，在网络犯罪论坛中购买只需花费2000美元，它专为绕过防火墙并在销售点终端自行安装。因此短时间内，企业服务器，而非POS终端，仍是窃贼的攻击入口，他们从“后端”进来，而不是前面的POS终端。

所有POS终端都在收集数据，不管是需要刷卡或是需要将卡片放置在读卡器的几英寸距离范围内。这样问题来了：非接触卡比标准卡有何更安全的措施以及这两种卡在信用卡被盗取时会有何大的差别？在Target案例中可能没有，但在更常见的盗窃案例中，它们较当前系统在终端本身方面有重大改进，而且终端上出问题更为频繁。为了说明美国支付的安全标准，让我们来看看目前常用的磁条方案——智能卡、非接触卡和近场通信以及RFID，其中最后一个与前三者差别较大。

2智能有待改进

在无源RFID系统中（最常见的类型），读卡器发送一个弱信号，然后被卡片中的环形天线（图1）捕获，经过整流，获取的微小能量被用来响应读卡器查询并标识自己。控制系统将身份代码与数据库中的认证信息相匹配。在这方面，RFID和非接触式支付有两个基本共同点：它们使用无线技术来消除POS读取装置和被读取物品之间的物理连接，同时也加入了集成电路和存储器以存储数据。然而，除这两大相似点外也有一些细微差异。 例如：

•无源RFID标签非常便宜（通常少于10美分），因而非常适用于任何可以植入或者放置RFID标签的大批量物品上以进行跟踪。有源RFID标签包含电池，因此它们可以发送信息脉冲串，但价格也更高，因此不太被广泛使用。

•RFID标签很少带或没有“智能”，而接触式和非接触式“智能”卡都有明显的安全功能，包括安全微处理器、存储器以及加密处理能力。

•RFID标签可以在距离读卡器约6英寸（无源）到650英尺（有源）的范围内被读取，出于安全考虑，非接触式卡片仅可以在约2英寸距离内被读取。

图1：一种RFID标签，采用了最少元件，其中最大的是用于捕获读卡器微弱信号的环形天线。

RFID已自然进入了可以发挥其优势的诸多应用中，包括包含所有者照片的护照中。 2005年，沃尔玛告知其100家顶级供应商为其货品包装盒和运货板上放置RFID标签，然后才能进入配送中心，这一计划后来扩大到所有供应商。该公司报告称，带RFID标签的库存物品补充速度比计划实施前快三倍以上。美国国防部也采纳了这一计划，随后辐射至很多其它公司，目前无源RFID已被广泛应用于许多行业中。

总之，虽然RFID系统在跟踪类型的应用中已经无处不在，但由于它们缺乏智能以及只能在短距离内提供有限安全保障，让它们无法进入交易处理应用中。

3智能卡

这里必须提到智能卡（图2），它是专为交易处理而设计的第一代卡片，以克服“哑巴”磁条卡的安全缺陷。智能卡提供了显著的安全功能，包括对称DES（数据加密标准）、3DES（三重DES）以及多达1024位键长的公钥RSA加密等主动加密方式。

图2：一个通用智能卡，展示了可以访问内部电子的触点。

智能卡使用了一块嵌入式集成电路，内部包含存储器和微处理器。该设备八个外露的金属焊盘提供到直流电源（由POS读卡器再处理）、时钟信号、接地信号和串行I / O的连接。板载处理器，目前通常是最高频率为32 MHz的32位RISC处理器，负责执行指令，而控制器则管理卡片与与读卡器之间的数据流。智能卡还包含三种类型的存储器：ROM，用于永久指令的存储； RAM，用于临时存储；E-PROM，用于存储运行的应用程序。

4非接触式卡片

非接触卡片保留了前述智能卡的组件和安全特性，但并不包含智能卡的电触点，而替代为RFID中类似使用的RF区域，并且消除了与POS读卡器的物理接触。捎带的附加安全属性是，不需要每一笔交易时都输入个人识别码（PIN），但达到一定交易数量后，读卡器会要求输入PIN码以保证安全性。

每笔交易量也受到限制，而且目前相当低。首次使用非接触卡的电子票务发生在1995年的韩国，许多美国人可能还记得20世纪90年代的埃克森Speedpass系统，而且目前仍在许多埃克森美孚站中服役。非接触式技术已被万事达、花旗银行、摩根大通、美国运通以及许多其它组织使用。目前的案例包括Visa的payWave卡、美国运通ExpressPay卡和万事达的PayPass系统。

5近场通信技术

NFC是另一种无线 “非接触式”产品。它是设计用于智能手机和平板的一组通信协议、数据数据格式和标准，类似于非接触式卡但却不带卡片外壳。NFC由NFC论坛主持开发，该论坛由恩智浦、索尼和诺基亚于2004年创建。GSMA接纳了NFC论坛，已经定义并细化了专用于运营商无线领域的GSMA NFC标准架构。

技术和标准也在不断发展。谷歌已经在Android 4.4系统（奇巧）中集成了主机卡模拟（HCE）功能，但并不遵循GSMA标准。第一个使用PayPass或payWave的智能手机，于2011年面世，随后更多产品也加入了这些功能。在今年二月份，万事达卡宣布与EE、西班牙电信UK和沃达丰UK成立一家合资企业，以推进该技术，并促使非接触式支付成为欧洲的通用平台。

NFC与包括RFID在内的其它非接触式技术共享同一基础方法，因为它使用了环形天线间的磁感应强度。当彼此接近时（即在其近场域内）天线创建了一个虚拟变压器并产生电压。 NFC以13.56MHz工作在该未经许可的工业、科学和医疗（ISM）频段，具有8英寸的理论工作范围，但实际中只有2英寸或更小。

不同于非接触式智能卡，NFC允许与读卡器的双向通信，并且具有智能手机的大规模处理、安全性和加密功能，因为它不受信用卡大小的外形制约。谷歌的安卓集束功能使用NFC在手机上启用蓝牙，并允许销售点的读卡器与它们配对，同时禁用蓝牙，直到交易或文件传输已经完成。另一种变体称为S-集束，用于三星的Galaxy系列产品，尽管与Android集束类似，但使用NFC来共享MAC和IP地址，并使用无线网络直连来共享文件和文档。它远快于蓝牙，数据传输速率高达300 Mb/ s，从而使共享大文件的速度要快得多。

PayPal已经决定完全放弃NFC技术并走自己的技术路线，按其总裁大卫·马库斯去年在博客中提到的说法，NFC技术“无法获得大规模普及”并将 “在2013年慢慢死去”，这一论断迄今被证明是错误的。相反，PayPal在于去年9月发布并称为beacon的服务中使用了低功耗蓝牙（BLE）技术。Beacon允许客户无需智能手机或卡片的前提下进行支付。零售商需要$ 100的USB加密狗插入他们的销售点系统（图4）中，当客户手机中带有Beacon应用时，将被提示是否选择PayPal作为支付源。

图3：Paypal的Beacon读卡器插入墙壁插孔。该100美元设备通过USB连接到POS终端。

该应用无需在电话中打开，并且不需要任何信号或GPS位置信息。该应用允许用户有选择的存储Beacon兼容零售商进入手机，因此支付基本上无需手动参与并且非常容易。它越过公司的现金支付系统，要求客户打开手机上的PayPal应用程序，并每次核对零售商。

NFC不只用于支付，也用于客户忠诚度项目、运输通行证以及其它应用。例如，谷歌的HCE允许Android 4.4系统设备上运行的任何应用程序模拟智能卡，用户可以简单地打开应用程序，并开始交易。这开启了无限可能，从社交网络到共享联系人、照片和大型数据文件或视频，以及移动多人游戏。

随着NFC逐渐被人们所接受，其众多潜在用途让它吸引力凡，也促使AT&T、Verizon和T-Mobile公司在2011年创建了家名为“ISIS”的合资企业，旨在建立一个单一架构，该架构上的NFC规范可被其用户进行移动支付。其首要目标是让带有NFC功能的智能手机和其他无线设备以信用卡方式工作，彻底削减非接触卡片。然而，更可能的局面是两者并存，因为并非每个人都放心地遗弃实体卡并使用手机作为包容各方的支付设备。

6总结

可以肯定的是，在美国某种形式的非接触式支付系统将取代磁条卡，问题只是何时会发生而已。智能卡、非接触式卡以及基于手机的NFC一定具备某些安全优势，几乎可以肯定会降低盗窃的发生率。不过，由于Target泄漏事件已充分表明，没有灵丹妙药来完全消除欺诈行为，只要存在犯罪黑客具备完全无视POS机而从公司层面入侵的能力。

随着非接触式支付系统越来越受欢迎，黑客肯定会将注意力转向设法利用它们，一如他们在网站和PC中的作法。即便如此，消费者将受益，同时也包括银行、信用卡公司和零售商，只要随着时间的推移更新系统的成本被分摊。