二 3G支付中身份识别安全需求分析以及解决方案
2.1 3G支付身份识别安全需求分析
移动支付的巨大市场前景为各方所看好。随着银行、移动运营商、第三方在线支付服务商展开激烈竞争,移动支付开发出了各种各样的应用,但是由于支付中的信息安全问题一直没有大规模的使用。
从目前来看,移动支付主要有三大因素对安全问题造成威胁:
第一,传输过程的加密问题;
第二,身份识别的缺乏;
第三,信用体系的缺失。
以上三大因素中,客户的身份识别又是整个移动支付的基石。无法对客户信息进行正确和精确的识别,那么支付过程中的资费标准、资金流向以及资金管理都无法实现。对于使用RFID技术进行身份识别的3G移动支付,标签的复制和伪造则会给使用者带来最直接损失;标签信息被非法读取、跟踪,会泄露使用者的行踪和隐私;标签信息被窃听和篡改,会给使用者和管理者带来无法估量的损失。如果无法有效地解决以上的问题,那么整个支付安全的基础将无从谈起。一般来说,基于3G的RFID身份识别系统应该解决可用性、真实性、机密性、完整性、和隐私性等基本安全性要求。
常见的攻击手段主要有以下9种:
(1)数据演绎:攻击者利用某种手段获得了RFID标签的当前信息,然后使用演绎的方法,从此信息中推测出该标签的历史信息,这会使整个RFID数据库受到威胁。
(2)跟踪:当被查询的RFID标签会返回固定的信息时,攻击者就可以以此不断跟踪此RFID标签,如果此标签与人联系时就有隐私泄露的可能性。
(3)窃听:攻击者使用射频设备探测读写器和RFID标签之间的通信内容。由于RFID系统通信的不对称性(读写器的发射功率远大于RFID标签的发射功率),攻击者可以轻松截获前向信道(读写器到RFID标签)内容。窃听是一种常见的被动攻击手段。
(4)物理攻击:攻击者通过分析RFID芯片来获取密钥。但该攻击手段成本过高,对攻击者的吸引力很小。
(5)非法访问:攻击者只要拥有与本RFIF系统协议兼容的读写设备,就可以对RFID标签进行访问并可以获取标签上的信息。有可能导致个人信息的泄漏,严重威胁个人的隐私。
(6)拒绝服务。攻击者不断地发射干扰信号,使RFID系统不能正常通信。这种攻击手段对RFID系统本身并不产生破坏,只是干扰系统的通信,但它不可能在公开场合长时间实施,且系统恢复较快,所以拒绝服务是所有攻击中危害最小的手段。
(7)伪造:攻击者获取标签的敏感信息(例如密钥或产品代码)后,可依此伪造出相同的标签并欺骗读写器进行验证,以获取利益。该手段属于主动攻击类型,破坏性大,是最常用的攻击手段,是RFID系统安全的主要隐患之一。
(8)重放:攻击者通过重复历史信息,达到冒充标签或读写器的目的。
(9)篡改:攻击者利用读写器对合法RFID标签进行信息恶意修改,导致合法RFID标签失效。
二 3G支付中身份识别安全需求分析以及解决方案
2.1 3G支付身份识别安全需求分析
移动支付的巨大市场前景为各方所看好。随着银行、移动运营商、第三方在线支付服务商展开激烈竞争,移动支付开发出了各种各样的应用,但是由于支付中的信息安全问题一直没有大规模的使用。
从目前来看,移动支付主要有三大因素对安全问题造成威胁:
第一,传输过程的加密问题;
第二,身份识别的缺乏;
第三,信用体系的缺失。
以上三大因素中,客户的身份识别又是整个移动支付的基石。无法对客户信息进行正确和精确的识别,那么支付过程中的资费标准、资金流向以及资金管理都无法实现。对于使用RFID技术进行身份识别的3G移动支付,标签的复制和伪造则会给使用者带来最直接损失;标签信息被非法读取、跟踪,会泄露使用者的行踪和隐私;标签信息被窃听和篡改,会给使用者和管理者带来无法估量的损失。如果无法有效地解决以上的问题,那么整个支付安全的基础将无从谈起。一般来说,基于3G的RFID身份识别系统应该解决可用性、真实性、机密性、完整性、和隐私性等基本安全性要求。