將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2019/2/20

智慧卡/手機嗶一聲直接付款 方便之餘也潛藏危機

NFC應用安全須重視 行動支付才能萬無一失

中央警察大學資訊密碼暨建構實驗室(ICCL)
現今的交易行為從以往的以物易物、貨幣交易,乃至發展到今日的電子商務、行動商務,考驗著系統設計者的資安意識。本文將介紹NFC的基礎概念,並從電子商務所使用的EMV、行動支付等交易機制著手,結合情境探討現行的NFC安全架構風險,以及因應的預防方式。


「科技始終來自於人性」、「有錢能使鬼推磨」,人與人的交易行為與現今人文社會技術等發展可說是密不可分,各種前瞻技術與行動支付科技的融合應用,不僅減少了商家的人力、物力成本,也使得現今人們的交易行為,有了本質上的劇變。

藉由無線上網的環境成熟,加上行動裝置的普及,行動商務的發展讓人們的經濟活動更加熱絡。而具備近場通訊(Near Field Communication,NFC)功能智慧型手機的出現,帶來了行動支付的方便性,NFC的安全性也日益受到重視。

由於NFC的特性,能夠以非常低的成本輕鬆整合至大量設備之中。然而,進步帶來便利,也會帶來相對的風險,而在高度資訊化時代最棘手的問題,莫過於如何保障資訊安全。目前已經發現了幾種新的攻擊方式,使用NFC設備作為攻擊平台或受到攻擊的設備。而較為主流的攻擊是利用硬體、軟體等進行的中間人攻擊。

本文將介紹NFC的基礎概念,說明現行行動商務所使用的EMV、行動支付等交易機制,並由現在的資料傳輸機制,透過模擬在實際交易環境下的攻擊案例,以探討在現行的NFC傳輸過程中可能遇到的潛在風險,以及事先預防的做法。

相關背景知識說明

在進入主題之前,先說明與本文探討主題有關的背景知識。

NFC相關應用

NFC是基於RFID(Radio Frequency Identification,非接觸式射頻識別)標準建構的短距離傳輸技術,以提供非接觸式的傳輸模式,具有NFC功能的設備能夠讀取及模擬RFID標籤,並與其他設備或非接觸式智慧卡通訊。NFC已通過ISO/IEC IS 18092國際標準、EMCA-340標準與ETSI TS 102 190-2003標準,因此與該領域已經使用的技術向後兼容,是一種短距高頻的無線傳輸技術。

近年來,由於NFC的特性,能夠以非常低的成本輕鬆整合到各種電子設備中,使得NFC技術在當今的無線傳輸感應器網路中得到了廣泛應用,如行動支付,文件傳輸、身分識別、檔案下載以及瀏覽等多個領域。

目前NFC可以使用的相關應用,包括以下幾項:

行動支付

透過內建NFC晶片的行動裝置,可以與建有NFC晶片的付款裝置進行資料傳輸,並搭配行動電話所具備的網路功能,在進行安全性與付款人身分資訊的驗證後,完成交易服務。

電子票證

透過事先設計的電子票券或憑證,將認證資訊儲存於證件的晶片內,等到需要出示證件時或交易時,透過NFC讀取器將相關憑證取出並完成驗證,即可達成票證驗證身分之目的,例如身分證、駕照等。

互動媒體應用

將NFC晶片標籤內嵌入海報或電子媒體看板中,並透過內建NFC晶片的行動裝置讀取,可由NFC晶片標籤的內容引導至網路服務端,並開啟相關服務或訊息。

其他應用

自製存有資訊的NFC標籤,讓其他NFC裝置讀取。例如內建店家Wi-Fi連線帳號等資訊的NFC標籤,使用者只要透過內建NFC行動裝置,便可立即一鍵完成上網設定。此外,具備NFC的裝置亦可彼此進行點對點的溝通與資料交換。

EMV標準

EMV(Europay、MasterCard與Visa)是以最初制定標準的三家公司首字母為名,屬於國際金融業界所制定的標準,對於智慧型支付卡、可使用晶片卡的POS終端機以及自動櫃員機(ATM)等等所制定的規範。

這篇文章讓你覺得滿意不滿意
送出
相關文章
跨越數位與資料鴻溝 國泰世華全「面」考量
2019虛擬經濟三大商機:商務、社交、娛樂
WCIT 2017 開幕 遠傳看好物聯網及行動支付發展
行動安全總體戰開打
全國唯一北市府智慧支付平臺「pay.taipei」攜手8家支付業者 率先整合水費停車費及醫療費
留言
顯示暱稱:
留言內容:
送出