物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊
RFID世界網(wǎng) >  技術文章  >  其他  >  正文

NFC、RFID、智能卡,哪一個能讓我們更放心

作者:本站收錄
來源:電子工程世界
日期:2020-12-07 08:44:09
摘要:無源射頻識別系統(tǒng)中,讀卡器發(fā)送一個微弱的信號,這個信號被卡上的環(huán)形天線捕捉,經過校正后,產生的微小功率用于響應讀卡器的查詢并進行個人識別??刂葡到y(tǒng)將身份碼與數(shù)據(jù)庫中的信息進行匹配,以便進行身份驗證。
關鍵詞:NFCRFID智能卡

2013年年底,美國零售巨頭塔吉特(Target)被黑客入侵,7000萬的用戶個人信息和4000萬的信用卡數(shù)據(jù)被盜,涉及用戶名、電話號碼和信息卡信息等隱私數(shù)據(jù)。據(jù)估計塔吉特的損失當前已達1.48億美元,并最終可能達到10億美元。 塔吉特“丟錢又丟人”的事件讓人們認識到,即便是最強大的安全系統(tǒng)也可能被黑客攻擊。塔吉特的賬戶是一個模型,多層次的系統(tǒng),它的防御超過了Visa和萬事達已經嚴格的安全措施所要求的。但黑客還是入侵了,這立即引發(fā)了人們的強烈抗議,人們質疑為什么美國的信用卡交易不夠安全,并呼吁使用不需要通過讀卡器進行物理“刷卡”的非接觸式信用卡。多虧了這種強烈的抗議,Visa、萬事達和美國運通已經堅定了立場:零售商必須在2015年10月之前投資于能夠使用智能卡的讀卡器。對于那些不這樣做的人,欺詐損失的責任將完全由他們來承擔。 畢竟,智能卡(內含包含加密信息和安全處理能力的芯片,但仍需聯(lián)系)自1983年以來已在發(fā)達國家廣泛使用,極大地減少了盜竊行為。在美國,欺詐花費了這么長時間才達到這個程度,盡管2013年,欺詐給零售商和銀行造成了超過120億美元的損失,但與更新零售網(wǎng)點(POS)系統(tǒng)的成本和復雜性相比,欺詐顯然要便宜得多。 然而,隨著技術的進步,如今的標準是采用無線通信的非接觸式智能卡,不需要在卡和讀卡器之間進行物理“刷卡”,而是基于智能手機的近場通信(NFC)技術完成。然而,塔吉特公司被攻破很少提到的一個關鍵事實:卡牌本身并不是問題所在。

image.png

到底誰來背這個鍋

實施目標攻擊的歹徒在目標商店的POS終端上安裝惡意軟件,使用“內存抓取”工具抓取終端在交易期間暫時存儲的數(shù)據(jù)。然而,該惡意軟件通過一個公司目標網(wǎng)絡服務器到達終端,黑客可以通過該服務器訪問公司終端。一旦舒適地安置在終端上,它就在塔吉特公司的網(wǎng)絡上建立了自己的控制服務器,將所有竊取的數(shù)據(jù)存儲在塔吉特公司自己的數(shù)據(jù)存儲庫中,直到黑客抽出時間卸載這些數(shù)據(jù)。 據(jù)報道,塔吉特使用40多個反病毒工具來掃描遍歷其網(wǎng)絡的惡意軟件,結果沒有發(fā)現(xiàn)一個惡意軟件,即使發(fā)現(xiàn),也不認為它是惡意的。這款名為BlackPOS的軟件可以在網(wǎng)絡犯罪論壇上花2000美元左右購買到,它是專門為繞過防火墻和安裝在銷售點終端而設計。簡而言之,當小偷從“后端”而不是前面的POS終端進入時,公司服務器而不是POS終端成為了入侵點。 所有的POS終端都會收集數(shù)據(jù),不管它們是需要你刷卡還是把卡放在離讀卡器幾英寸的地方。因此問題就來了:是什么使非接觸式信用卡比普通信用卡更安全?在信用卡盜竊問題上,非接觸式信用卡會有很大的不同嗎?在塔吉特的案例中,可能不會,但這肯定是對當前系統(tǒng)的一個重大改進,針對終端機本身的大多數(shù)類型的盜竊要頻繁得多。讓我們回顧下當前可行的磁條替代方案——智能卡、非接觸式卡、近場通信,以及與上述三種不同的RFID。

不太聰明卡都有哪些?

在最常見的類型——無源射頻識別系統(tǒng)中,讀卡器發(fā)送一個微弱的信號,這個信號被卡上的環(huán)形天線捕捉,經過校正后,產生的微小功率用于響應讀卡器的查詢并進行個人識別??刂葡到y(tǒng)將身份碼與數(shù)據(jù)庫中的信息進行匹配,以便進行身份驗證。在這方面,RFID和非接觸式支付有兩個基本共同點:它們使用無線技術來消除POS讀取設備和被讀取物品之間的物理連接,并包含一個IC和內存來存儲數(shù)據(jù)。然而,除了少數(shù)例外,相似之處也就這些了。

無源RFID標簽非常便宜,通常不到一毛錢,因此非常適合對任何可以放置或插入RFID標簽的東西進行大規(guī)模跟蹤。然而,有源射頻識別標簽包含一個電池,它們可以發(fā)送突發(fā)信息,但價格要貴得多,因此不太廣泛使用。 RFID標簽并不是很“智能”,而接觸卡和非接觸“智能”卡都具有顯著的安全特征,包括安全的微處理器、內存和加密處理能力。 RFID標簽可以從大約6英寸的距離讀取。被動方式到650英尺以上,而出于安全考慮,非接觸式卡片只能從大約2英寸遠的地方讀取。

一個RFID標簽需要使用最少的組件,其中最大的是從閱讀器捕捉微弱信號的環(huán)形天線。 RFID的優(yōu)勢已經應用到眾多領域,甚至包括包含個人頭像的護照。2005年,沃爾瑪要求其前100名供應商在運往配送中心的貨物箱子和托盤上貼上RFID標簽,該計劃后來擴展到所有供應商。他們表示,使用RFID標記的缺貨商品現(xiàn)在可以更快的進行補貨。許多其他公司也采取了同樣的做法,今天,被動射頻識別被廣泛應用于許多行業(yè)。 簡而言之,雖然RFID系統(tǒng)在跟蹤類應用中無處不在,但除了少數(shù)情況外,它們缺乏智能和提供安全的有限能力使它們無法在交易處理中使用。

智能卡

如果RFID不聰明,那就制造出一個智能卡。這是第一張為交易處理設計的卡片,目的是為了克服“啞”磁條卡的安全限制。智能卡提供重要的安全特性,包括使用對稱DES(數(shù)據(jù)加密標準)、3DES (triple DES)或RSA公鑰加密,密鑰長度可達1024位的活動加密身份驗證。

智能卡采用嵌入式IC,包含內存和微處理器。該設備有八個暴露的金屬墊,可提供直流電源訪問,處理POS閱讀器,時鐘信號,地面和串行I/O。板載處理器通常是32位的RISC處理器,最高可達32兆赫,它負責執(zhí)行指令,控制器管理進出卡和閱讀器的數(shù)據(jù)流。此外,它也包含三種類型的存儲器:ROM為永久指令存儲,RAM用于臨時存儲,電可擦寫的只讀存儲器E-PROM用于運行應用程序。

非接觸式卡

非接觸卡保留了前面提到的智能卡組件和安全特性,但前者的電子觸點被類似于RFID中使用的射頻部分所取代,并消除了與POS讀卡器的物理接觸。你無須在每筆交易中輸入密碼,但到了一定數(shù)額,讀卡器會要求輸入密碼,以確保安全。

每筆交易的金額也是有限的。非接觸式卡于1995年在韓國首次用于電子票務,許多美國人可能還記得??松梨谠?0世紀90年代末推出的Speedpass系統(tǒng),該系統(tǒng)至今仍在許多埃克森美孚加油站使用。此后,非接觸式技術已被萬事達、花旗銀行、摩根大通、美國運通和許多其他組織所采用。

近場通訊(NFC)

NFC是進入無線“非接觸”領域的新途徑。它是一套通信協(xié)議、數(shù)據(jù)交換格式和標準,用于令手機、平板電腦和筆記本電腦與其他支持NFC的設備進行數(shù)據(jù)共享,類似于非接觸式卡,但沒有卡。NFC是在NXP、索尼和諾基亞于2004年創(chuàng)建的NFC論壇的支持下發(fā)展起來。它已經被GSMA所接受,并細化了針對運營商無線世界的GSMA NFC標準的架構。 NFC允許以不涉及Wi-Fi、3G、LTE等任何無線連接的方式進行雙向通信。NFC源自射頻識別(RFID)技術,因此同樣采用無線電波,但是其通信距離僅限于10厘米左右。這一點在很大程度上被視為一種安全性方面的優(yōu)勢,而且有助于提高NFC的普及性。NFC最主要的一項用途在于蘋果支付、安卓支付及三星支付等動態(tài)加密的安全支付。 隨著技術和標準不斷發(fā)展。谷歌已經在Android 4.4 (KitKat)中加入了它的主機卡仿真(HCE),但不遵循GSMA標準。2011年,第一批包含PayPass或payWave功能的智能手機面世,此后又有更多的智能手機加入了這一功能。為推進這項技術,今年2月,萬事達宣布EE、TelefA nica UK和沃達豐UK成立了一家合資企業(yè),使非接觸式支付成為歐洲的一個通用平臺。

NFC與其他非接觸技術(包括RFID)共享一種基本方法,因為它在環(huán)形天線之間使用磁感應。當天線彼此靠近時,天線會產生一個虛擬變壓器,產生電壓。NFC在未經許可的工業(yè)科學和醫(yī)學(ISM)頻段運行,頻率為13.56 MHz,理論上工作距離為8英寸,但在實踐中也就只有2英寸或更少。

通過NFC技術,當支持NFC的另一設備處于當前設備的10厘米有效范圍內時,便可即時建立連接。在非接觸式交易開始后,NFC讀卡器和設備便來回傳遞加密信息,并在數(shù)秒內完成該交易。如此,不但實現(xiàn)了簡便性,還使得交易速度遠大于傳統(tǒng)的支付技術和數(shù)據(jù)傳輸技術。除安全支付之外,NFC技術還可用于其他用途。NFC可用于在支持NFC的設備之間傳輸大量其他數(shù)據(jù),包括發(fā)送電話號碼、圖片或文檔,共享交通路線,啟動其他手機上的應用程序,以及通過NFC標簽(一種含NFC芯片的小型物理標簽)進行連接。

NFC vs 非接觸智能卡 NFC與非接觸式智能卡的不同之處在于,它允許與讀卡器之間進行通信,而且不受信用卡大小的限制,具有智能手機龐大的處理、安全和加密能力。谷歌Android Beam在手機上啟用藍牙后即可啟動NFC,并允許銷售點閱讀器對藍牙進行配對,同時也可以禁用藍牙,直到交易或文件傳輸完成。三星在其Galaxy系列產品中使用的另一種名為S-Beam的變體,與Android Beam類似,它使用NFC共享MAC和IP地址,并使用WiFi Direct共享文件和文檔。它比藍牙快得多,數(shù)據(jù)傳輸速率高達300mb /s,這使得共享大文件的速度更快。

PayPal決定走自己的路,完全放棄NFC技術,并稱它是“無法獲得大規(guī)模采用”的技術。取而代之的是,PayPal宣布了在一項名為Beacon的服務中使用了藍牙低功耗技術。Beacon讓客戶在無需智能手機或信用卡的情況下就能支付。零售商需要在他們的銷售點系統(tǒng)中插入一個USB適配器,當客戶的手機上有一個Beacon應用程序時,就會被提示是否選擇PayPal作為支付源。

PayPal的信標閱讀器插在墻上插孔上,這個價值100美元的設備通過USB連接到POS終端。

該應用程序不需要在手機上打開,也不需要信號或GPS。即可允許客戶選擇性地將與信標兼容的零售商存儲在手機中,這樣支付就基本上是無需操作的了。它超越了該公司目前的支付系統(tǒng),該系統(tǒng)要求客戶在手機上打開貝寶應用程序,并在每次付款時與零售商進行核對。 NFC不僅適用于支付,還適用于忠誠計劃、過境卡和其他應用程序。例如,谷歌的HCE允許任何運行在支持Android 4.4的設備上的應用程序模擬智能卡,用戶可以簡單地打開應用程序并啟動交易。 雖然NFC逐步得到認可,它的許多潛在的使用使它非常有吸引力。為此,AT&T、Verizon和T-Mobile在2011年成立了一家名為“ISIS”的合資企業(yè),目的是創(chuàng)建一種單一架構,讓客戶可以在該架構上使用近距離通信規(guī)范來進行移動支付。它的首要目標是讓具有近場通訊功能的智能手機和其他無線設備像信用卡一樣發(fā)揮作用,有可能完全擊敗非接觸式卡。然而,兩者更有共存的可能,因為不是每個人都愿意放棄實體卡而使用手機作為一種包羅萬象的支付設備。

總結

在美國,以某種形式的非接觸式支付系統(tǒng)取代磁條卡意義非凡。智能卡、非接觸式卡和基于手機的NFC在安全方面有明顯優(yōu)勢,這會減少盜竊事件的發(fā)生。然而,塔吉特黑客入侵事件告訴我們,沒有什么靈丹妙藥能夠完全消除欺詐,只要黑客他們在完全無視POS的情況下,直接進入企業(yè)層面。

隨著非接觸式支付系統(tǒng)越來越流行,黑客們肯定會把注意力轉向新的途徑,就像他們已經在網(wǎng)絡和個人電腦上做的那樣。即便如此,一旦更新系統(tǒng)的成本隨著時間推移逐漸攤銷,消費者、銀行、信用卡公司和零售商都將從中受益。