近場通信(Near Field Communication,NFC)是一種近距離無線通信技術,基于13.56MHz頻率,通信距離在20厘米以內。如今NFC技術的應用無處不在,無論是Android 7.0的手機,還是支持閃付的銀行卡,以及公交卡、門禁卡,其背后皆有NFC技術的身影。
值得一提的是,移動支付日趨成為NFC技術的重量級應用。據市場調研機構Strategy Analytics的最新調查報告顯示,2016年全球將會有超過1億的用戶使用NFC手機進行移動支付,移動支付用戶也將突破10億。目前Android、iOS、Windows phone等主流手機平臺都支持NFC。
全球移動支付產業加速發展,伴隨而來的是安全問題層出不窮,也帶來了NFC安全技術的需求爆發。從技術屬性來看,NFC技術最大的安全隱患體現為身份假冒、空口通信數據被竊聽、篡改等方面。兩項旨在解決NFC安全問題的NFC實體鑒別技術NEAU(NFC Entity Authentication)由此誕生,并且于近日被ISO/IEC國際標準所采納并發布。
NEAU的技術原理
NFC技術早在2004年被ISO國際標準所采納,進而得到大范圍的普及。這之后十余年里,圍繞NFC技術的各種安全問題屢屢發生,例如飛利浦公司推出的Mifare卡于2008年遭到破解。而NFC技術的安全問題主要聚焦于“NFC設備被偽造”、“用戶隱私數據被盜用”、“通信數據被竊聽或篡改”等方面。
產生上述問題的根本原因是因為缺乏有效的近場通信過程中設備間的身份鑒別、訪問控制等安全技術。雖然全球通信界針對NFC的空中接口安全問題一直在開展研究,進行技術探索,但是在NFC設備的身份認證、訪問控制等關鍵安全技術環節,仍然沒有完善的安全技術解決方案。
針對NFC技術的安全漏洞,聯盟成員西電捷通從2005年開始研究NFC空中接口安全技術,經過多年研發,提出了兩項NFC非對稱實體鑒別(NEAU-A)、NFC對稱實體鑒別(NEAU-S)兩項近場通信安全技術,NEAU技術支持符合國家密碼行業標準的密碼算法,從鏈路層解決移動支付所面臨的安全問題,為移動支付前端通信提供底層安全保障,防止偽造、竊聽和篡改等攻擊。NEAU技術2016年成為國際標準,填補了國際上NFC安全領域(實體鑒別和密鑰協商)的空白,使得NFC技術的安全屬性更為完整。
NEAU包括NEAU-A和NEAU-S共兩類機制,其中基于對稱密碼算法的機制NEAU-S,它采用現有的國際及國家商用密碼算法實現NFC設備之間的身份鑒別;基于非對稱密碼算法的機制NEAU-A,按照有無可信第三方TTP參與又分為兩種鑒別機制,尤其有可信第三方參與的機制,由可信第三方為NFC設備之間的鑒別提供鑒別服務,安全強度最高。
如圖1所示,NEAU技術通過為NFC設備(即圖中所示NFC-SEC用戶)之間的空中接口通信(NFCIP-1)提供安全保護,實現NFC設備之間的安全連接,可以有效應對NFC通信過程中的偽造、數據破壞、數據篡改、中間人攻擊等典型安全威脅,確保NFC通信的安全和設備間數據傳輸的機密性、完整性、真實性,更為端到端模式下開展高價值交易提供了鑒別保障,可達到與高端智能卡比擬的最高安全等級。
NEAU技術的標準化
2014年12月11日,NEAU技術標準首先由歐洲信息和通信系統標準化協會(ECMA)頒布,成為歐洲標準ECMA-410和ECMA-411。2016年6月由國際標準組織ISO頒布成為國際標準。
1、NEAU技術被歐洲標準組織ECMA采納
ECMA作為NFC標準體系的提出和制定者,一直期望全面解決NFC通信安全問題,為NFC應用提供支撐。不過產業界的研發工作卻進展緩慢,一直未能取得全面突破。
聯盟成員西電捷通是ECMA目前唯一一家中國企業會員,其研發NEAU成功后,在WAPI產業聯盟組織安排下,西電捷通/無線網絡安全技術國家工程實驗室、國家商用密碼檢測中心、天津市無線電監測站、國家無線電監測中心檢測中心等十余家聯盟成員單位全程參與了標準的開發,提出了提案,2013年向ECMA提交了NEAU技術提案。
經過8次ECMA專題會議,2014年12月11日,在日本札幌舉行的ECMA會員大會上,ECMA會員單位全票表決一致同意批準發布該兩項NEAU技術提案為ECMA標準,確定標準號為ECMA-410(NFC-SEC-03: NFC-SEC Entity Authentication and Key Agreement using Asymmetric Cryptography)和ECMA-411(NFC-SEC-04: NFC-SEC Entity Authentication and Key Agreement using Symmetric Cryptography),并將通過快速流程將這兩項標準提交至國際標準組織ISO/IEC。這是我國在歐洲標準組織中推進成功的首批網絡和信息安全標準。
2、NEAU技術被國際標準組織ISO正式發布
2015年7月,NEAU標準正式提交至國際標準組織ISO/IEC JTC1,經國際標準快速流程,啟動國際標準草案(DIS)投票并獲全票通過。隨后直接進入國際標準發布階段,并于2016年發布為國際標準。
NEAU技術成為國際標準,填補了國際上NFC安全領域的空白,將為NFC安全提供重要的技術支撐。這也標志著我國正在深度參與全球重大產業核心技術活動,正在從物聯網安全技術標準的旁觀者、跟隨者,變成重要的國際技術規則和秩序的制定者和引領者。
京公網安備 11010502049343號