射頻技術能否有效防范信用卡欺詐？

發布時間：2020-4-3 12:05 發布者：eechina

關鍵詞：射頻 , 信用卡

Target的大規模數據泄露事件有一個好處就是讓人們認識到，即便是最強大的安全系統也有可能被黑客侵入。大家都認為，Target是一個典型的多層系統，其防御能力超過了Visa和MasterCard已經非常嚴苛的保障措施要求。但不管怎么說，黑客還是成功侵入，這立刻引發了人們對于美國信用卡交易為何如此不安全的強烈抗議，并呼吁使用不需要通過讀卡器進行 “刷卡”這種物理接觸的非接觸式卡片。為平息這種抗議，Visa、MasterCard和American Express一直堅持要求零售商必須在2015年10月之前裝上智能卡讀卡器，否則遭受欺詐損失的責任將完全由他們承擔。

畢竟自1983年以來，智能卡（帶嵌入式IC的卡片，包含加密信息和安全處理能力，但仍需要接觸式刷卡）已在發達國家廣泛使用，并大大減少了盜竊行為。美國走到這一步用了那么長的時間，盡管2013年的欺詐行為使零售商和銀行損失超過了120億美元，但與更新零售POS系統的成本和復雜性相比，它的成本顯然更低。但是Target的被黑打開了潘多拉的盒子，即使這些卡片本身不是攻擊Target的工具，而且獲得的信息也可能是使用128位密碼加密的（因此對黑客毫無用處），采用更先進支付技術的趨勢也已經不可阻擋。

不過隨著技術的發展，即使向廣泛使用智能卡邁出了一大步，也不會將零售業帶入21世紀。如今的標準是采用無線通信的非接觸式智能卡，不需要在卡片和讀卡器之間進行物理接觸的“刷卡”，而基于智能手機的近場通信 (NFC) 技術，也完全消除了對實體卡片的需要。但在Target被侵入一事的憤怒中很少有人提到一個關鍵事實，那就是卡片本身并沒有問題。

問題不在卡片

對Target實施攻擊的不法分子通過在Target商店的POS終端上安裝惡意軟件，使用“內存抓取”工具來抓取交易過程中終端臨時存儲的數據。不過這個惡意軟件是通過Target公司的Web服務器安裝到該公司的終端，因為該服務器可以向黑客授予對Target公司終端的訪問權。一旦安裝到終端上，這些惡意軟件就會在Target公司的網絡上建立起自己的控制服務器，將所有盜來的數據存儲在Target公司自己的數據存儲庫中，直到黑客將其卸載。

在Target公司用來掃描網絡中惡意軟件的40多個防病毒工具中，沒有一個發現它，或者在發現之后認為它是惡意的。這款名為BlackPOS的軟件可以在網絡犯罪論壇上以大約2000美元的價格買到，專為繞過防火墻在POS終端上安裝而設計。因此，簡單來說，竊賊是從“后端”而不是前端的POS終端進入，企業服務器才是進入點，而POS終端不是。

所有的POS終端都會收集數據，無論是否需要接觸式刷卡。問題是：是什么使得非接觸式卡比標準卡更安全？它們是否會對信用卡盜竊造成很大影響？對于Target這種系統來說，可能不會有多大影響，但對于大多數更常見的終端盜竊來說，這肯定是對當前系統的一個重大改進，因為針對終端本身的盜竊要頻繁得多。為了說明美國在支付安全方面的狀況，我們來看一下當前可行的磁條卡替代品 - 智能卡、非接觸式卡、近場通信以及與前面三個都不同的RFID。

不太智能的選項

在無源RFID系統（最常見的類型）中，讀卡器發射一個微弱的信號，該信號由卡上的環形天線（圖1）捕獲，經過校正，使用產生的微小功率來響應讀卡器的查詢并進行身份識別。控制系統將身份代碼與數據庫中的信息進行匹配以進行身份驗證。在這方面，RFID和非接觸式支付有兩個基本共同點：它們都使用無線技術，不需要POS讀取設備和被讀取目標之間有物理連接，并結合IC和存儲器用于數據存儲。但它們的相似之處也就到此為止，更多的則是不同之處，例如：

無源RFID標簽非常便宜（通常不到10美分），因此非常適合大規模跟蹤任何可以放置或插入RFID標簽的東西。有源RFID 標簽內裝有電池，因此可以發送突發信號，但成本要高得多，應用范圍不廣。

RFID標簽幾乎沒有“智商”，而接觸式和非接觸式“智能”卡都具有重要的安全功能，包括安全微處理器、存儲器和密碼處理功能。
RFID標簽可從距離讀卡器約6英寸（無源）到超過650英尺（有源）的距離被讀取，而出于安全考慮，非接觸式卡只能從大約2英寸的距離處被讀取。

圖1：RFID標簽使用的組件最少，其中最大的組件是從讀卡器捕捉微弱信號的環形天線。

RFID已經自然發展成為一種應用技術，在這些應用中，RFID的力量使其更具優勢，比如包含持有人照片的護照就屬于這種應用。在2005年，沃爾瑪啟動了一個計劃，要求其前100名供應商將RFID標簽貼在運往其配送中心的貨物箱子和托盤上，后來這個計劃又擴展到了所有供應商。該公司的報告稱，貼上了RFID標簽的缺貨商品的補貨速度比該計劃實施前快了三倍。美國國防部和其他許多公司也跟著采取了同樣的措施，如今，無源RFID技術在許多行業都得到了廣泛應用。

簡單來說，雖然RFID系統在跟蹤型應用中已遍地開花，但由于不夠智能且安全功能有限，因此除了少數情況外，它們一般還無法用于交易處理。

智能卡

在這里必須要提一下智能卡（圖2），因為它是最先被設計用于交易處理的卡片，以克服“啞”磁條卡的安全限制。智能卡提供重要的安全功能，包括使用對稱DES（數據加密標準）、3DES（三重DES）或公鑰RSA加密技術（密鑰長度高達1024位）的主動加密身份驗證。

圖2：顯示訪問內部電子設備的聯系人的通用智能卡。

智能卡采用包含存儲器和微處理器的嵌入式IC，其八個外露的金屬墊端接直流電源、POS讀卡器的再處理、時鐘信號、接地和串行I/O。板載處理器（目前通常是一個32位RISC處理器，運行頻率最高達32MHz）執行指令，而控制器管理進出卡片和讀卡器的數據流。智能卡還包含三種類型的存儲器：用于永久存儲指令的ROM、用于臨時存儲的RAM，以及用于運行應用程序的E-PROM。

非接觸式卡

非接觸式卡保留了上述智能卡的組件和安全功能，不過它用類似于RFID中的射頻功能取代了智能卡的電氣觸點，并且它不需要與POS讀卡器進行物理接觸。另外它還通過以下舉措提升了安全性：不需要每次交易都輸入PIN，但在一定數量的交易后，讀卡器會要求用戶輸入PIN來維護安全性。

每筆交易的金額也有限度，目前這個限額相當低。1995年，非接觸式卡首次在韓國用于電子票務，美國的許多人可能還記得Exxon（�？松梨冢┰�20世紀90年代末部署的Speedpass（快速通行）系統，現在仍有許多Exxon加油站在使用。此后，MasterCard（萬事達卡）、Citibank（花旗銀行）、JPMorgan Chas（摩根大通）、American Express（美國運通）和許多其他組織都開始采用非接觸式技術。目前使用非接觸式技術的系統包括Visa的PayWave、American Express的ExpressPay和MasterCard的PayPass系統。

近場通信 (NFC)

NFC是進入無線“非接觸”組合的又一個入口。它是一套通信協議、數據交換格式和標準，設計用于智能手機和平板電腦，類似于非接觸式卡，但它沒有卡。NFC是由NXP、Sony和Nokia于2004年創建的NFC論壇贊助開發的，并且已被GSMA所接受。GSMA已經為面向運營商無線世界的GSMA NFC標準定義了體系架構，并且正在改進。

技術和標準正在不斷發展。Google（谷歌）在Android 4.4 (KitKat) 中加入了其主機卡模擬 (HCE)，但沒有遵循GSMA標準。2011年，包含PayPass或PayWave的首款智能手機上市，此后又有更多包含PayPass或payWave的智能手機推出。今年2月，MasterCard宣布與EE、Telefónica UK和Vodafone UK成立合資企業，以推動該技術的發展，使非接觸式支付成為歐洲的通用平臺。

NFC與其他非接觸式技術（包括RFID）采用同一種基本方法，因為它使用環形天線之間的磁感應。當天線彼此靠近（即在其近場中）時，會生成一個產生電壓的虛擬變壓器。NFC以13.56 MHz的頻率在未經許可的工業、科學和醫藥 (ISM) 頻段運行，理論工作距離為8英寸，但實際上通常不超過2英寸。

NFC也不同于非接觸式智能卡，因為它允許與讀卡器進行雙向通信，并具有智能手機的大批量處理、安全和加密功能等優勢，同時不受信用卡大小的外形尺寸限制。Google的Android Beam使用NFC在手機上支持藍牙，并允許POS讀卡器與其配對，雖然它會在交易或文件傳輸完成前禁用藍牙。Samsung（三星）在其Galaxy系列產品中使用另一個變體S-Beam，它雖然與Android Beam類似，但它使用NFC共享MAC和IP地址，并使用WiFi Direct共享文件和文檔。它比藍牙快得多，數據速率高達300 Mb/s，使得共享大型文件的速度大幅提升。

PayPal（貝寶）已經決定走自己的路，完全放棄NFC技術，并認為這項技術就像總裁David Marcus去年在博客中所說的那樣，將“無法獲得大規模應用”，并會“在2013年慢慢死亡”，不過這一預測目前已被證明是錯誤的。PayPal正在去年九月宣布的Beacon服務中使用低功耗藍牙 (BLE) 技術。Beacon讓客戶不必使用智能手機或信用卡也能支付。零售商需要把一個價值100美元的USB 看門狗插入他們的POS系統（圖4），如果客戶的手機有Beacon應用，他或她將被提示是否選擇使用PayPal支付。

圖3：Paypal的Beacon 讀卡器插入墻上的插座�？撮T狗通過USB連接到POS終端。

不需要在手機上打開應用，也不需要信號或GPS位置信息。該應用允許客戶選擇將Beacon兼容的零售商存儲到手機中，這樣支付基本上不需要手動操作，也沒有任何麻煩。它超越了PayPal公司當前的支付系統，后者要求客戶在手機上打開PayPal應用，并且每次都與零售商確認。

NFC不僅可以用于支付，還可以用于客戶忠誠度計劃、過境通行證和其他應用。例如，Google的HCE允許Android 4.4設備上運行的任意應用模擬智能卡，用戶只需打開應用并啟動交易。這幾乎打開了無限可能，從社交網絡到共享聯系人、照片、大數據文件或視頻，以及多人手機游戲。

NFC已逐漸獲得認可，并且其眾多潛在用途使其極具吸引力。AT&T、Verizon和T-Mobile于 2011年共同創建了一家名為“ISIS”的合資企業，其使命是創建一個體系架構，讓客戶可以在這個架構上使用NFC規范進行移動支付。它的首要目標是允許支持NFC的智能手機和其他無線設備充當信用卡，徹底淘汰非接觸式卡。不過最終更可能是NFC與非接觸式卡共存，因為并不是每個人都愿意放棄實體卡，將手機作為包羅一切的支付設備。

總結

在美國，用某種形式的非接觸式支付系統部分取代磁條卡是可能的，但永遠不會全面取代。智能卡、非接觸式卡和基于手機的NFC在安全性方面具有明顯的優勢，幾乎可以肯定減少盜竊行為的發生。但Target被侵入事件充分說明，只要有犯罪頭腦的黑客能夠完全跳過POS終端并直接從公司層面進入，就沒有能夠完全消除欺詐行為的靈丹妙藥。

隨著非接觸式支付系統越來越流行，黑客們肯定會把注意力轉移到尋找和利用非接觸式支付系統漏洞上，就像他們在網絡和個人電腦上所做的那樣。即便如此，一旦更新系統的成本隨著時間的推移而攤銷，消費者也會和銀行、信用卡公司和零售商一起獲益。

文章來源：貿澤電子

作者簡介：Barry Manz是Manz Communications, Inc.（曼茲通信公司）的總裁，該公司是他于1987年創立的技術媒體關系機構。他曾與100多家公司在射頻、微波、國防、測試和測量、半導體、嵌入式系統、光波及其它市場進行過合作。Barry曾為多家線下和線上貿易刊物撰寫過文章，亦撰寫過各種白皮書、應用筆記、研討會論文、技術參考指南和網頁內容。他是Journal of Electronic Defense雜志的特約編輯、Military Microwave Digest雜志的編輯、MilCOTS Digest雜志的共同創辦人，也是Microwaves & RF雜志的主編。

本文地址：http://m.qingdxww.cn/thread-583114-1-1.html 【打印本頁】

本站部分文章為轉載或網友發布，目的在于傳遞和分享信息，并不代表本網贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內容、版權和其它問題，我們將根據著作權人的要求，第一時間更正或刪除。