近场通信(NFC)安全技术NEAU的国际标准之路
近场通信(Near Field Communication,NFC)是一种近距离无线通信技术,基于13.56MHz频率,通信距离在20厘米以内。如今NFC技术的应用无处不在,无论是Android 7.0的手机,还是支持闪付的银行卡,以及公交卡、门禁卡,其背后皆有NFC技术的身影。
值得一提的是,移动支付日趋成为NFC技术的重量级应用。据市场调研机构Strategy Analytics的最新调查报告显示,2016年全球将会有超过1亿的用户使用NFC手机进行移动支付,移动支付用户也将突破10亿。目前Android、iOS、Windows phone等主流手机平台都支持NFC。
全球移动支付产业加速发展,伴随而来的是安全问题层出不穷,也带来了NFC安全技术的需求爆发。从技术属性来看,NFC技术最大的安全隐患体现为身份假冒、空口通信数据被窃听、篡改等方面。两项旨在解决NFC安全问题的NFC实体鉴别技术NEAU(NFC Entity Authentication)由此诞生,并且于近日被ISO/IEC国际标准所采纳并发布。
NEAU的技术原理
NFC技术早在2004年被ISO国际标准所采纳,进而得到大范围的普及。这之后十余年里,围绕NFC技术的各种安全问题屡屡发生,例如飞利浦公司推出的Mifare卡于2008年遭到破解。而NFC技术的安全问题主要聚焦于“NFC设备被伪造”、“用户隐私数据被盗用”、“通信数据被窃听或篡改”等方面。
产生上述问题的根本原因是因为缺乏有效的近场通信过程中设备间的身份鉴别、访问控制等安全技术。虽然全球通信界针对NFC的空中接口安全问题一直在开展研究,进行技术探索,但是在NFC设备的身份认证、访问控制等关键安全技术环节,仍然没有完善的安全技术解决方案。
针对NFC技术的安全漏洞,联盟成员西电捷通从2005年开始研究NFC空中接口安全技术,经过多年研发,提出了两项NFC非对称实体鉴别(NEAU-A)、NFC对称实体鉴别(NEAU-S)两项近场通信安全技术,NEAU技术支持符合国家密码行业标准的密码算法,从链路层解决移动支付所面临的安全问题,为移动支付前端通信提供底层安全保障,防止伪造、窃听和篡改等攻击。NEAU技术2016年成为国际标准,填补了国际上NFC安全领域(实体鉴别和密钥协商)的空白,使得NFC技术的安全属性更为完整。
NEAU包括NEAU-A和NEAU-S共两类机制,其中基于对称密码算法的机制NEAU-S,它采用现有的国际及国家商用密码算法实现NFC设备之间的身份鉴别;基于非对称密码算法的机制NEAU-A,按照有无可信第三方TTP参与又分为两种鉴别机制,尤其有可信第三方参与的机制,由可信第三方为NFC设备之间的鉴别提供鉴别服务,安全强度最高。
如图1所示,NEAU技术通过为NFC设备(即图中所示NFC-SEC用户)之间的空中接口通信(NFCIP-1)提供安全保护,实现NFC设备之间的安全连接,可以有效应对NFC通信过程中的伪造、数据破坏、数据篡改、中间人攻击等典型安全威胁,确保NFC通信的安全和设备间数据传输的机密性、完整性、真实性,更为端到端模式下开展高价值交易提供了鉴别保障,可达到与高端智能卡比拟的最高安全等级。
NEAU技术的标准化
2014年12月11日,NEAU技术标准首先由欧洲信息和通信系统标准化协会(ECMA)颁布,成为欧洲标准ECMA-410和ECMA-411。2016年6月由国际标准组织ISO颁布成为国际标准。
1、NEAU技术被欧洲标准组织ECMA采纳
ECMA作为NFC标准体系的提出和制定者,一直期望全面解决NFC通信安全问题,为NFC应用提供支撑。不过产业界的研发工作却进展缓慢,一直未能取得全面突破。
联盟成员西电捷通是ECMA目前唯一一家中国企业会员,其研发NEAU成功后,在WAPI产业联盟组织安排下,西电捷通/无线网络安全技术国家工程实验室、国家商用密码检测中心、天津市无线电监测站、国家无线电监测中心检测中心等十余家联盟成员单位全程参与了标准的开发,提出了提案,2013年向ECMA提交了NEAU技术提案。
经过8次ECMA专题会议,2014年12月11日,在日本札幌举行的ECMA会员大会上,ECMA会员单位全票表决一致同意批准发布该两项NEAU技术提案为ECMA标准,确定标准号为ECMA-410(NFC-SEC-03: NFC-SEC Entity Authentication and Key Agreement using Asymmetric Cryptography)和ECMA-411(NFC-SEC-04: NFC-SEC Entity Authentication and Key Agreement using Symmetric Cryptography),并将通过快速流程将这两项标准提交至国际标准组织ISO/IEC。这是我国在欧洲标准组织中推进成功的首批网络和信息安全标准。
2、NEAU技术被国际标准组织ISO正式发布
2015年7月,NEAU标准正式提交至国际标准组织ISO/IEC JTC1,经国际标准快速流程,启动国际标准草案(DIS)投票并获全票通过。随后直接进入国际标准发布阶段,并于2016年发布为国际标准。
NEAU技术成为国际标准,填补了国际上NFC安全领域的空白,将为NFC安全提供重要的技术支撑。这也标志着我国正在深度参与全球重大产业核心技术活动,正在从物联网安全技术标准的旁观者、跟随者,变成重要的国际技术规则和秩序的制定者和引领者。