基于NFC的移動支付安全技術研究.pdf

1、隨著無線通信技術的發(fā)展以及智能手機的普及，移動支付的發(fā)展越來越迅速，人們越來越多的使用移動終端進行線上或線下支付。移動支付是指通過移動終端進行支付，NFC近場支付是移動支付的一種方式，將銀行卡、優(yōu)惠券等加載到具有NFC功能的手機上，利用NFC技術與POS端通信就可完成支付活動，極大的提升了線下支付的體驗。但是在實際應用中，NFC技術容易遭到竊聽、數(shù)據(jù)篡改、數(shù)據(jù)損壞、克隆和網(wǎng)絡釣魚等攻擊，造成用戶隱私數(shù)據(jù)泄漏，嚴重威脅金融信息和用戶的財產(chǎn)

2、安全，因此對NFC移動支付進行安全性研究具有重要的意義。本文的研究重點是移動支付過程中用戶隱私保護問題和身份認證技術，用于防止用戶隱私信息泄漏及保證用戶的合法性。
　　假名是隱私保護的一種方法，用戶的身份由可信第三方TSM(Trusted ServiceManager)產(chǎn)生的假名代替，假名與用戶的真實身份沒有任何關聯(lián)，攻擊者即使得到用戶的假名也無法獲得其真實身份，但它需要NFC設備的額外空間來存儲假名集，管理及撤銷列表需要額外開銷

3、。在對現(xiàn)有隱私保護技術分析的基礎上，提出了一種改進的隱私安全保護協(xié)議，用戶在無需TSM的幫助下可自主產(chǎn)生假名，無需額外空間去存儲假名集。
　　身份認證技術用來保證只有合法用戶才能享受相應的服務，在對身份認證技術研究的基礎上，提出了一種改進的基于隱私保護的身份認證方案，引入第三方認證中心AS實現(xiàn)對NFC設備和POS終端的認證，并提供會話密鑰用于加密交易信息，保障信息的機密性。為了保證移動支付系統(tǒng)中用戶的合法性和支付的安全性，提出了一

4、種改進的基于手機令牌和PIN碼的支付認證方案。
　　本文的主要創(chuàng)新點包括:
　　(1)在研究假名的基礎上，提出一種改進的隱私安全保護協(xié)議，使用用戶自主產(chǎn)生的假名代替其真實身份，保護用戶隱私信息。
　　(2)基于隱私保護的思想，提出一種改進的身份認證協(xié)議，用于NFC手機與POS終端的相互認證，保證用戶身份的合法性，并使用Scyther工具對協(xié)議進行證明。
　　(3)提出一種改進的基于手機令牌和PIN碼的支付認證協(xié)議