技術領域

本發明涉及一種近場移動支付中繼攻擊的防御系統及其實現方法，屬于信息安全領域。

背景技術

近場移動支付是指消費者在購買商品或服務時，及時通過手機或者智能卡與商家進行交易的一種支付方式。支付的處理在現場進行，使用非接觸式射頻識別(RFID，Radio?Frequency?Identification和NFC，Near?Field?Communication)、紅外、藍牙等通道，實現手機和卡片在短距離內與自動售貨機或POS機(Point?Of?Sale)等兼容設備的識別和數據交換。中繼攻擊作為近場支付過程中存在的安全隱患之一，屬于中間人攻擊的一種，這類攻擊容易設置、需求資源少、很難檢測。被動的智能卡在收到來自POS機的查詢信息后會主動地響應，發送證明自己身份的信息，因而攻擊者可以利用非法閱讀器讀取智能卡上的信息。攻擊者先偽裝成一個閱讀器靠近智能卡，在卡片攜帶者毫無知覺的情況下進行讀取。然后攻擊者通過中繼鏈路原封不動的轉發合法用戶的信息，而這個過程對受害者是透明的。

抵御中繼攻擊最主要的方法是使用消息往返時間RTT(Round-Trip?Time)，然而這種方法難以抵御使用高速率網絡的攻擊者或者距離受害者很近的攻擊者。

如圖1所示，該圖為近場移動支付的中繼攻擊模型圖，近場移動支付的中繼攻擊模型包括合法智能卡，合法POS機以及攻擊者(非法標簽和非法閱讀器)。非法閱讀器靠近智能卡一端，非法標簽靠近合法POS機一端，攻擊者的兩個設備之間使用中繼鏈路進行通信。

一個中繼攻擊場景如下：在電影院的自動售票機處，合法用戶Alice的智能卡放在口袋或者錢包中，攻擊者A在購票隊伍的最前端正在購票，攻擊者B在Alice的附近通過中繼攻擊裝置(非法閱讀器)獲取Alice智能卡里的信息并通過中繼鏈路傳給A，這樣，攻擊者用Alice的智能卡信息購票成功，而受害人毫不知情。

發明內容

本發明目的在于針對近場移動支付中存在的中繼攻擊安全隱患，克服上述現有技術的不足，提出一種基于智能卡溫度和消息往返時間的防范近場移動支付中繼攻擊的系統及其實現方法。其中，被測量的溫度在智能卡和閱讀器之間交換，由溫度差檢驗有效性。一個實際的中繼攻擊場景是有一個智能卡(即：用戶身上放在口袋或者口袋錢包里的智能卡或者智能手機)，該智能卡的溫度在交易過程中可被測量。此外閱讀器設定最大允許時間變化閾值，采用距離邊界協議判斷是否存在中繼攻擊。

本發明解決其技術問題所采用的技術方案是：本發明提供了一種近場移動支付中繼攻擊的防御系統，該系統包括智能卡溫度標簽、智能卡閱讀器。所述的智能卡溫度標簽包括RFID電子標簽、溫度傳感器和無線通信模塊；所述的智能卡閱讀器包括RFID閱讀器、溫度傳感器和無線通信模塊。所述系統的無線通信模塊使用RFID和NFC(即：近距離無線通訊技術)等通道進行數據信息的傳輸。所述的智能卡溫度標簽能夠實時監測環境的溫度，所述的智能卡閱讀器能夠與智能卡溫度標簽通信，并能獲取溫度標簽的溫度和數據等信息。智能卡閱讀器和智能卡標簽的信息交互流程分四個階段進行，包括：初始化模塊、溫度測量模塊、消息交互模塊、驗證模塊。

本發明所述的初始化模塊：進行設置相關安全參數以及密鑰分配等初始化操作。

本發明所述的溫度測量模塊：測量智能卡溫度，判斷溫度差以及計算函數值，為快速位交換階段做一些準備工作。

本發明所述的消息交互模塊：智能卡和閱讀器之間進行n(安全參數)輪的挑戰-響應操作。

本發明所述的驗證模塊：根據消息往返時間和最大允許時間閾值判斷是否存在中繼攻擊。

本發明所述的智能卡閱讀器能夠與智能卡溫度標簽通信，并能夠獲取溫度標簽的溫度和數據信息。

本發明所述的智能卡溫度標簽能夠實時監測環境的溫度。

本發明還提供了一種近場移動支付中繼攻擊的防御系統的實現方法，該方法包括如下步驟：