RFID、NFC和智能卡，谁才是信息安全的最大保障

       2013年年底，美国零售巨头塔吉特（Target）被黑客入侵，7000万的用户个人信息和4000万的信用卡数据被盗，涉及用户名、电话号码和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元，并最终可能达到10亿美元。塔吉特“丢钱又丢人”的事件让人们认识到，即便是最强大的安全系统也可能被黑客攻击。塔吉特的账户是一个模型，多层次的系统，它的防御超过了Visa和万事达已经严格的安全措施所要求的。但黑客还是入侵了，这立即引发了人们的强烈抗议，人们质疑为什么美国的信用卡交易不够安全，并呼吁使用不需要通过读卡器进行物理“刷卡”的非接触式信用卡。多亏了这种强烈的抗议，Visa、万事达和美国运通已经坚定了立场：零售商必须在2015年10月之前投资于能够使用智能卡的读卡器。对于那些不这样做的人，欺诈损失的责任将完全由他们来承担。毕竟，智能卡（内含包含加密信息和安全处理能力的芯片，但仍需联系）自1983年以来已在发达国家广泛使用，极大地减少了盗窃行为。在美国，欺诈花费了这么长时间才达到这个程度，尽管2013年，欺诈给零售商和银行造成了超过120亿美元的损失，但与更新零售网点（POS）系统的成本和复杂性相比，欺诈显然要便宜得多。然而，随着技术的进步，如今的标准是采用无线通信的非接触式智能卡，不需要在卡和读卡器之间进行物理“刷卡”，而是基于智能手机的近场通信（NFC）技术完成。然而，塔吉特公司被攻破很少提到的一个关键事实：卡牌本身并不是问题所在。
      
       到底谁来背这个锅
       实施目标攻击的歹徒在目标商店的POS终端上安装恶意软件，使用“内存抓取”工具抓取终端在交易期间暂时存储的数据。然而，该恶意软件通过一个公司目标网络服务器到达终端，黑客可以通过该服务器访问公司终端。一旦舒适地安置在终端上，它就在塔吉特公司的网络上建立了自己的控制服务器，将所有窃取的数据存储在塔吉特公司自己的数据存储库中，直到黑客抽出时间卸载这些数据。据报道，塔吉特使用40多个反病毒工具来扫描遍历其网络的恶意软件，结果没有发现一个恶意软件，即使发现，也不认为它是恶意的。这款名为BlackPOS的软件可以在网络犯罪论坛上花2000美元左右购买到，它是专门为绕过防火墙和安装在销售点终端而设计。简而言之，当小偷从“后端”而不是前面的POS终端进入时，公司服务器而不是POS终端成为了入侵点。所有的POS终端都会收集数据，不管它们是需要你刷卡还是把卡放在离读卡器几英寸的地方。因此问题就来了：是什么使非接触式信用卡比普通信用卡更安全？在信用卡盗窃问题上，非接触式信用卡会有很大的不同吗？在塔吉特的案例中，可能不会，但这肯定是对当前系统的一个重大改进，针对终端机本身的大多数类型的盗窃要频繁得多。让我们回顾下当前可行的磁条替代方案——智能卡、非接触式卡、近场通信，以及与上述三种不同的RFID。
       不太聪明卡都有哪些？
       在最常见的类型——无源射频识别系统中，读卡器发送一个微弱的信号，这个信号被卡上的环形天线捕捉，经过校正后，产生的微小功率用于响应读卡器的查询并进行个人识别。控制系统将身份码与数据库中的信息进行匹配，以便进行身份验证。在这方面，RFID和非接触式支付有两个基本共同点：它们使用无线技术来消除POS读取设备和被读取物品之间的物理连接，并包含一个IC和内存来存储数据。然而，除了少数例外，相似之处也就这些了。
       无源RFID标签非常便宜，通常不到一毛钱，因此非常适合对任何可以放置或插入RFID标签的东西进行大规模跟踪。然而，有源射频识别标签包含一个电池，它们可以发送突发信息，但价格要贵得多，因此不太广泛使用。RFID标签并不是很“智能”，而接触卡和非接触“智能”卡都具有显著的安全特征，包括安全的微处理器、内存和加密处理能力。RFID标签可以从大约6英寸的距离读取。被动方式到650英尺以上，而出于安全考虑，非接触式卡片只能从大约2英寸远的地方读取。
       一个RFID标签需要使用最少的组件，其中最大的是从阅读器捕捉微弱信号的环形天线。RFID的优势已经应用到众多领域，甚至包括包含个人头像的护照。2005年，沃尔玛要求其前100名供应商在运往配送中心的货物箱子和托盘上贴上RFID标签，该计划后来扩展到所有供应商。他们表示，使用RFID标记的缺货商品现在可以更快的进行补货。许多其他公司也采取了同样的做法，今天，被动射频识别被广泛应用于许多行业。简而言之，虽然RFID系统在跟踪类应用中无处不在，但除了少数情况外，它们缺乏智能和提供安全的有限能力使它们无法在交易处理中使用。
       智能卡
       如果RFID不聪明，那就制造出一个智能卡。这是第一张为交易处理设计的卡片，目的是为了克服“哑”磁条卡的安全限制。智能卡提供重要的安全特性，包括使用对称DES（数据加密标准）、3DES（tripleDES）或RSA公钥加密，密钥长度可达1024位的活动加密身份验证。
       非接触式卡
       非接触卡保留了前面提到的智能卡组件和安全特性，但前者的电子触点被类似于RFID中使用的射频部分所取代，并消除了与POS读卡器的物理接触。你无须在每笔交易中输入密码，但到了一定数额，读卡器会要求输入密码，以确保安全。
       每笔交易的金额也是有限的。非接触式卡于1995年在韩国首次用于电子票务，许多美国人可能还记得埃克森美孚在20世纪90年代末推出的Speedpass系统，该系统至今仍在许多埃克森美孚加油站使用。此后，非接触式技术已被万事达、花旗银行、摩根大通、美国运通和许多其他组织所采用。
       近场通讯（NFC）
       NFC是进入无线“非接触”领域的新途径。它是一套通信协议、数据交换格式和标准，用于令手机、平板电脑和笔记本电脑与其他支持NFC的设备进行数据共享，类似于非接触式卡，但没有卡。NFC是在NXP、索尼和诺基亚于2004年创建的NFC论坛的支持下发展起来。它已经被GSMA所接受，并细化了针对运营商无线世界的GSMANFC标准的架构。NFC允许以不涉及Wi-Fi、3G、LTE等任何无线连接的方式进行双向通信。NFC源自射频识别（RFID）技术，因此同样采用无线电波，但是其通信距离仅限于10厘米左右。这一点在很大程度上被视为一种安全性方面的优势，而且有助于提高NFC的普及性。NFC最主要的一项用途在于苹果支付、安卓支付及三星支付等动态加密的安全支付。随着技术和标准不断发展。谷歌已经在Android4.4（KitKat）中加入了它的主机卡仿真（HCE），但不遵循GSMA标准。
NFC与其他非接触技术（包括RFID）共享一种基本方法，因为它在环形天线之间使用磁感应。当天线彼此靠近时，天线会产生一个虚拟变压器，产生电压。NFC在未经许可的工业科学和医学（ISM）频段运行，频率为13.56MHz，理论上工作距离为8英寸，但在实践中也就只有2英寸或更少。
       通过NFC技术，当支持NFC的另一设备处于当前设备的10厘米有效范围内时，便可即时建立连接。在非接触式交易开始后，NFC读卡器和设备便来回传递加密信息，并在数秒内完成该交易。如此，不但实现了简便性，还使得交易速度远大于传统的支付技术和数据传输技术。除安全支付之外，NFC技术还可用于其他用途。NFC可用于在支持NFC的设备之间传输大量其他数据，包括发送电话号码、图片或文档，共享交通路线，启动其他手机上的应用程序，以及通过NFC标签（一种含NFC芯片的小型物理标签）进行连接。
       NFCvs非接触智能卡NFC与非接触式智能卡的不同之处在于，它允许与读卡器之间进行通信，而且不受信用卡大小的限制，具有智能手机庞大的处理、安全和加密能力。谷歌AndroidBeam在手机上启用蓝牙后即可启动NFC，并允许销售点阅读器对蓝牙进行配对，同时也可以禁用蓝牙，直到交易或文件传输完成。三星在其Galaxy系列产品中使用的另一种名为S-Beam的变体，与AndroidBeam类似，它使用NFC共享MAC和IP地址，并使用WiFiDirect共享文件和文档。它比蓝牙快得多，数据传输速率高达300mb/s，这使得共享大文件的速度更快。
       总结
       在美国，以某种形式的非接触式支付系统取代磁条卡意义非凡。智能卡、非接触式卡和基于手机的NFC在安全方面有明显优势，这会减少盗窃事件的发生。然而，塔吉特黑客入侵事件告诉我们，没有什么灵丹妙药能够完全消除欺诈，只要黑客他们在完全无视POS的情况下，直接进入企业层面。
       随着非接触式支付系统越来越流行，黑客们肯定会把注意力转向新的途径，就像他们已经在网络和个人电脑上做的那样。即便如此，一旦更新系统的成本随着时间推移逐渐摊销，消费者、银行、信用卡公司和零售商都将从中受益。