基于NFC的移动支付安全技术研究

摘要

随着无线通信技术的发展以及智能手机的普及，移动支付的发展越来越迅速，人们越来越多的使用移动终端进行线上或线下支付。移动支付是指通过移动终端进行支付，NFC近场支付是移动支付的一种方式，将银行卡、优惠券等加载到具有NFC功能的手机上，利用NFC技术与POS端通信就可完成支付活动，极大的提升了线下支付的体验。但是在实际应用中，NFC技术容易遭到窃听、数据篡改、数据损坏、克隆和网络钓鱼等攻击，造成用户隐私数据泄漏，严重威胁金融信息和用户的财产安全，因此对NFC移动支付进行安全性研究具有重要的意义。本文的研究重点是移动支付过程中用户隐私保护问题和身份认证技术，用于防止用户隐私信息泄漏及保证用户的合法性。
　　假名是隐私保护的一种方法，用户的身份由可信第三方TSM(Trusted ServiceManager)产生的假名代替，假名与用户的真实身份没有任何关联，攻击者即使得到用户的假名也无法获得其真实身份，但它需要NFC设备的额外空间来存储假名集，管理及撤销列表需要额外开销。在对现有隐私保护技术分析的基础上，提出了一种改进的隐私安全保护协议，用户在无需TSM的帮助下可自主产生假名，无需额外空间去存储假名集。
　　身份认证技术用来保证只有合法用户才能享受相应的服务，在对身份认证技术研究的基础上，提出了一种改进的基于隐私保护的身份认证方案，引入第三方认证中心AS实现对NFC设备和POS终端的认证，并提供会话密钥用于加密交易信息，保障信息的机密性。为了保证移动支付系统中用户的合法性和支付的安全性，提出了一种改进的基于手机令牌和PIN码的支付认证方案。
　　本文的主要创新点包括:
　　(1)在研究假名的基础上，提出一种改进的隐私安全保护协议，使用用户自主产生的假名代替其真实身份，保护用户隐私信息。
　　(2)基于隐私保护的思想，提出一种改进的身份认证协议，用于NFC手机与POS终端的相互认证，保证用户身份的合法性，并使用Scyther工具对协议进行证明。
　　(3)提出一种改进的基于手机令牌和PIN码的支付认证协议，令牌信息与用户身份信息以及手机设备进行绑定，保证其唯一性，在支付过程中，只有经过身份认证的合法用户才能与移动支付系统进行支付交易，使用PIN码对用户身份进行二次验证保证支付的安全性。设计了NFC安全移动支付系统应用模型，将提出的协议应用到该模型中设计了安全的交易流程并对其安全性进行了分析。

目录

摘要

第一章 绪论

1．1 研究背景及意义

1．2 国内外应用现状及研究现状

1．2．1 NFC国内外应用现状

1．2．2 国内外研究现状

1．3 论文研究工作与内容

1．4 论文结构安排

第二章 NFC相关安全技术介绍

2．1 NFC工作模式和通信模式

2．1．1 NFC工作模式与技术应用

2．1．2 NFC通信模式

2．2 NFC移动支付方案

2．2．1 基于安全模块的卡模拟方案

2．2．2 基于主机的卡模拟(HCE)方案

2．3 NFC移动支付安全分析

2．3．1 NFC移动支付面临的安全威胁

2．3．2 移动支付安全性需求

2．4 无证书公钥密码体制

2．5 本章小结

第三章 NFC移动支付隐私保护安全技术研究

3．1 NFC移动支付的隐私保护问题

3．2 一种改进的NFC移动支付隐私安全保护协议

3．2．1 初始化阶段

3．2．2 密钥协商阶段

3．3 隐私安全保护协议分析

3．3．1 协议安全性分析

3．3．2 协议性能分析

3．4 本章小结

第四章 NFC移动支付安全认证技术研究

4．1 NFC移动支付身份认证问题

4．2 基于隐私保护的身份认证协议

4．2．1 基于隐私保护的身份认证协议设计

4．2．2 协议的安全性分析

4．2．3 Scyther验证

4．3 基于手机令牌的支付认证协议

4．3．1 令牌生成及安全存储

4．3．2 支付认证协议过程

4．3．3 协议的安全性分析

4．4 本章小结

第五章 NFC安全移动支付系统应用模型

5．1 NFC安全移动支付系统应用模型设计

5．2 NFC移动支付系统交易流程

5．2．1 在线交易流程

5．2．2 离线交易流程

5．3 NFC移动支付安全交易设计

5．3．1 基于隐私保护的安全交易流程

5．3．2 基于支付认证的安全交易流程

5．3．3 交易安全性分析

5．4 本章小结

总结与展望

参考文献

攻读硕士学位期间获得的研究成果

声明

致谢