秦洪涛

（中移铁通有限公司保定分公司，保定 071051）

近年来随着计算机通信技术的高速发展，无线技术在人们的日常工作与生活中扮演着越来越重要的作用，其中以近场通信（NFC）、超宽带及红外通信等近距离无线通信技术在各行业中得到广泛应用。近场通信技术是一种具有双向通信特点的高频无线通信技术，其可以实现各移动终端之间的非接触式信息交换，近场通信可以在较短距离内实现对特定设备的连接，在数据通信时具有较强的保密性和安全性。由于近场通信所具有的通信优势，已经在移动支付、二维码支付及超声波支付等领域得到了成熟应用，未来近场通信也将会是最具有发展前景的近距离无线通信手段之一。随着支付环境趋于复杂，加强近场通信技术安全保护措施的优化升级也尤为必要，国内外针对近场通信的安全问题已经提出各类攻击向量、防御措施及解决方案，未来综合考虑近场通信的技术特点推进其安全性和便利性发展将会是其重要发展方向。

1 近场通信的技术特点分析

1.1 近场通信的基本组成

近场通信的过程主要发生在近场通信设备与近场通信设备之间、近场通信设备与近场通信标签之间的信息交换，其中近场通信设备作为近场通信主要的操作设备，负责完成通信的发起或作为通信的目标，其主要由近场通信读写器和近场通信电子标签组成。而近场通信读写器又包含近场通信控制器、安全模块及天线，主控模块可以将数字信号转换为射频信号完成近场通信基本准备，天线按照13.56MHz的标准向外发出信号。安全模块主要保存密钥和余额等保密数据，防止信息的泄露。近场通信电子标签是一种具有数据存储功能的IC卡，可以作为近场通信设备读写目标。

1.2 近场通信的协议栈

近场通信是在RFID技术基础上发展起来，因此近场通信的协议规范也是基于RFID的标准进行扩展，近场通信主要由物理层、数据链路层、协议层和应用层组，其中物理层中主要反映近场通信的物理信息，物理层作为近场通信协议的最低层可以为上层协议提供通信媒介和物理规程，包括天线、交变磁场及输出功率等。数据链路层有媒体接入控制层和逻辑链路控制层组成，其中媒体接入控制层主要负责与物理层建立通信，逻辑链路层负责控制协议层与物理层之间的通信。协议层的工作是使半双工数据块传输可以在非接触环境中得到保证，是各层中传输数据的主要承担者。协议栈的顶层为应用层，其定义用户数据交换的各类报文实现对用户提供应用服务。

1.3 近场通信的应用情景

近场通信主要包括接触-通过、接触-确认、接触-连接、接触-浏览和下载-接触五种应用模式，其中接触-通过主要应用于门禁系统、门票验证及入场限制等场景的应用，读卡器将读取含有信息的设备完成身份认证。接触-确认主要应用于需要完成付费交易的情景，用户可以通过输入支付密码实现对交易的付款。接触-连接主要用于两个近场通信设备之间的信息交换，保证了点对点之间的传输。接触-浏览是满足用户通过近场通信设备实现对信息的推送及获取，如用户可以利用手机获取智能海报推送的演出信息。下载-接触需要通过GPRS实现对通信设备的控制及应用。

2 近场通信安全问题的发展方向

2.1 近场通信来源于通信安全的威胁

通信安全问题是近场通信最为主要的威胁，其一般威胁问题包括窃听、数据损坏、数据复杂及过程攻击等，其中窃听是指人为对在近场通信过程中对传输数据进行捕捉的行为，由于近场通信标签广泛存在于身份证等证件中，若信息遭到窃听将会导致个人隐私的泄露。数据损坏是指对近场通信传输的数据通过大功率设备进行干扰破坏，虽然不会造成信息的泄露，但会导致近场通信交易任务的失败。数据篡改是指利用特殊设备恶意篡改近场通信标签，从而导致近场通信交易失败或利益受损。过程攻击是指是指攻击者同时捕获通信双方的信息，并可对数据进行篡改和复杂，达到其攻击的目的，由于过程攻击由于通信距离、通信模式等而存在差异，因此防范起来更加困难，对近场通信支付造成较大威胁。

2.2 近场通信来源于安全漏洞的威胁

安全漏洞是近场通信安全问题研究中的重点内容，其主要用来解决近场通信在设计及运行过程中所存在的缺陷，在根本上防止攻击者利用系统存在的缺陷对近场通信造成破坏。提前发现并修理近场通信中存在的安全漏洞是保证应用安全可靠运行的重要保证。目前针对近场通信技术已经公开的漏洞包括CVE-2008-5852、CVE-2008-52826、CVE-2008-52826、Bugtraq ID68470 等，近场通信的安全漏洞是NFC支付和应用安全的最大威胁，这就要求技术研发人员有效挖掘近场通信漏洞，提出科学的修复措施和建议。

2.3 近场通信来源于恶意软件的威胁

恶意软件主要是指在未经用户许可或未明确提示用户的情况下在用户的终端上安装运行，针对近场通信的恶意软件会造成信息劫持、广告窗口、恶意扣费及恶意捆绑等问题。随着手机等移动终端技术的快速发展，针对移动操作系统的恶意软件也逐渐增加。由于安卓系统结构开源，且移动终端系统中包含了更多的隐私信息，这就导致移动终端已经恶意软件攻击的重要平台。此外，攻击者通过构建虚假内容，欺诈或诱惑用户访问恶意内容，并造成敏感信息泄露或财产损失。此外，近场通信还包括硬件安全威胁、接入网络安全威胁及云安全威胁。

3 结束语

随着移动互联网技术的不断成熟，近场通信技术将以其安全特性和便捷性成为未来移动支付领域重要的发展对象，因此不断优化近场通信技术的优化与升级也尤为重要。近场通信可以刺激消费者消费，改变了信息技术与服务关系，实现用更加低码率拓展覆盖。

[1] 袁琦.移动支付技术力案与标准进展.信息通信技术，2012（6）：34-38.

[2] 贾凡，伶鑫.NFC：手机支付系统的安全威胁建模.清华大学学报（自然科学版），2013，52（10）：1460-1464.

[3] Coskun V，Ozdenizci B，Ok K.A survey on Near Field Communication（NFC）technology.Wireless Personal Communications，2013，71（3）：2259-2294.