RFID標準遲到讓人擔心 安全隱患更讓人害怕
“我們正在解決RF-SIM卡量產的問題,相信年內,將會逐步開展RF-SIM卡大規(guī)模測試,使大眾能夠盡快通過手機‘非接觸式’服務于公交和地鐵等票務的小額支付?!蹦呈∵\營商領導在接受《通信產業(yè)報》記者采訪時表示。其實,像這樣將新業(yè)務瞄準RFID的運營商不在少數,中國移動旗下很多地方運營商已經悄然開始發(fā)展非接觸式移動支付業(yè)務,期望從中獲得收益。
RF-SIM是一種基于SIM卡的近/中距離無線通信技術,此技術是NFC近距離無線通信(NearFieldCommunication)的一種,它將具有RF射頻功能的模塊鑲嵌在SIM卡內,使用2.4G的微波頻率進行數據通信。
目前RF-SIM正在發(fā)展萌芽階段,而我國尚沒有針對RFID的國家標準和通信行業(yè)標準,所以目前針對RF-SIM卡的測試主要從功能測試入手。
負責RFID手機支付運營的運營商內部人員告訴記者,針對于RF-SIM的功能測試,目前在做著兩方面的工作,一方面是在卡商實驗室進行的SIM卡功能測試,保證RF技術的加入不影響原SIM卡的移動通信功能;另一方面的測試是針對于具體行業(yè)應用,在滿足日前已經存在的行業(yè)技術標準的情況下,能夠使消費者正常使用業(yè)務。以公交支付為例子,RF-SIM卡必須能夠滿足現已存在的公交卡RFID技術標準,只有這樣,RF-SIM卡才能夠實現與原本使用的“公交卡”的共用。
據介紹,為上面提到的運營商提供RF-SIM技術的是香港公司直通電訊,該公司市場部負責人李文介紹,直通電訊主要的工作是RF-SIM卡技術研發(fā)和修正上面,基本不做測試,主要的業(yè)務及參數測試都是由運營商合作伙伴來完成。
“只有在安全、穩(wěn)定的前提下滿足大眾客戶的應用需求,才可以算作測試成功?!痹撨\營商的工作人員對移動支付的業(yè)務測試相當重視。和一般技術應用初期的測試思路相一致,一切以滿足客戶需求為主導。目前,根據RF-SIM的應用情況開展了針對安全、刷卡時間等一系列測試。
離“規(guī)范”測試還很遠
當前,手機移動支付業(yè)務有很多技術解決方案,如SIMPASS、SWP等,它們基本上都能夠實現輕松手機支付的功能。但站在運營商立場,更喜歡選取不被其他產業(yè)鏈環(huán)限制的技術,所以SIMPASS、RF-SIM這種依托在SIM卡上的技術脫穎而出。SIMPASS采用13.56M的頻譜,有國際標準ISO14443為參考,但是此技術有諸多不成熟的地方。而RF-SIM尚在發(fā)展中,標準還沒有形成,可以說對其測試是個挑戰(zhàn)。
據泰克(中國)有限公司射頻產品業(yè)務發(fā)展經理程駿介紹,正規(guī)的RF移動支付技術測試應該涵蓋三大測試環(huán)節(jié)。第一是無線電使用法規(guī)符合性測試,無線電使用法規(guī)規(guī)定了頻譜資源的發(fā)放,對各個頻段包括RFID各類系統的功率、ACPR、OBW(EBW)和雜散做了規(guī)定以避免和其他無線電系統的沖突和干擾。
第二是進行RFID的行業(yè)標準符合性測試,RFID的行業(yè)標準主要定義了RFID系統的物理層協議和高層協議,以保證系統能夠協調流暢地工作。
第三個環(huán)節(jié)是手機支付特有的標準,除進行應有的應用測試外,還需要和同是射頻機制的SIM卡進行EMC電磁兼容測試。
可以看到,當前測試主要是針對于第三個方面,并沒有進行無線電使用法規(guī)和RFID行業(yè)標準測試。究其原因,專家認為,首先是我國并沒有形成RFID的通信行業(yè)標準,并無規(guī)范準則可以參照,倘若RF-SIM的應用成功,就可以推薦為行業(yè)準則;其次,針對當前小額支付的定位,還未到進行干擾測試的時候。
安全測試需要重視
隸屬泰克實驗室的短距離無線通信實驗室項目主管王曉磊雖然對于標準的遲到頗為擔心,但是他更擔心移動支付安全方面的隱患。
他指出:“對于國內企業(yè),當技術應用到一定程度,標準就順理成章地出現,但是RFID的安全隱患問題卻沒有那么容易解決,同時也是測試工作的難點?!?
前不久,美國安全廠商McAfee公司的專家格雷格·戴也表示手機支付目前存在嚴重安全隱患,可能對消費者的金融數據安全構成巨大風險。目前手機支付大都采用NFC,這種技術可把消費者手機中的數據通過無線方式傳輸至商家的讀卡器,但是目前絕大多數手機未安裝任何安全軟件。
當前很多專業(yè)人士認為,發(fā)生手機支付欺詐是很容易的。根據手機支付的特點,只要有人拿著讀卡器(即大家常說的POS機),距離消費者的手機在指定范圍,就可以在消費者沒有察覺的情況下,使手機進行消費支出。
盡管手機支付為小額支付,不會發(fā)生隱私泄密等安全問題,但專家認為“安全應用”也是需要考慮的重點,從技術角度講,RF-SIM采用智能安全卡芯片,芯片本身已被原廠家做了安全認證,RF裝置只是一個通信裝置,通過空中的通信內容在卡內使用加密算法自動加密和解密。RF-SIM底層加密手段集中在芯片,同時根據不同的應用采用應用級鑒權供客戶選擇。
王曉磊已經接觸了很多進行手機支付加密和鑒權的廠商,但他認為在安全測試方面依然是個難點。目前泰爾實驗室采用一款西班牙的儀表進行安全測試,但是此款儀還有很多問題不能解決,因為安全加密有很多自主知識產權的內容,他希望國內安全的測試儀表能盡快研發(fā)成功。