儘管行動支付趨勢沛然莫之能禦,如國內的手機信用卡刷卡消費,最快年底就能上路;大陸中國移動、中國聯通及中國電信今年 3 月 31 日也與國內五大電信公司針對兩岸行動支付達成合作共識,兩岸往來未來可以利用手機刷卡購物,但仍無法掩蓋 NFC (Near Field Communication,近距離無線通訊)一直不能做為大額交付的單一交易方法的事實,其原因就在於其交易的風險幅度仍然偏高。
問世超過 10 年,NFC應用層面也從手機資訊交換、行動支付、旅遊交通,延伸到智慧節能、智慧農業、智慧物流、醫療健康照護、智慧商務、自動化生產等等。據估計,截至 2015 年包括智慧型手機、平板電腦等內建 NFC 的裝置,將達到 5 億支。不過,廣泛應用 NFC 的背後,也衍生一個核心問題,即如何確保個人資訊和隱私不被破解或側錄,以避免資訊遭人惡意使用,對個人或組織造成莫大的損失。
圖一 : 手機信用卡刷卡消費已成趨勢,讓NFC的應用快速起飛,但安全性的疑慮仍然存在。 |
|
由於傳輸的資料大多為私有資料,包括個人身分資料、財產資料、機器識別資料等等,為了避免個人隱私的洩漏,甚至影響到身家財產甚至生命的安全,NFC 必須採用一對一的絕對安全傳輸方式。傳統 128 bit 的靜態加密功能雖能夠保障傳輸資料本身不會受到破解而被竄改,但是如果盜用者不一定要採用破解的方式擷取資料,而可以透過一台全頻掃描的記錄器,側錄下所有加密後的資料並轉錄多份使用,在這樣的情況下,一般的靜態加密安全保護,等於徒勞無功,因此必須發展動態的加密模式,讓金鑰盜用者無法重複使用,才能應付更高等級的安全要求。
資料的加密性一直是 NFC 媒介最大的挑戰,但是產品安全測試及認證單位 UL (Underwriters Laboratories)觀察,當 NFC 系統不做為高保密性的用途時,其應用領域更為廣泛,尤其在「智慧型」產品或系統的應用上,例如智慧型保全及物聯網的各類系統。
1. 智慧型保全
事實上,具有資訊辨識功能的 NFC 系統很適合做為智慧型的控制系統。目前已有廠商針對門禁系統提出動態加密的概念,也就是 NFC 內所儲存的資料會隨使用的情況與時間而改變,因此除非複製整個晶片,否則光是取得一次性的信號是無法重複使用的。如果要增強安全性,甚至可以採用雙晶片系統,當鑰匙丟失時,複製也會變得更為困難。
鑒於 NFC 系統屬於硬軟體混合的系統,UL 建議有意發展此一保全應用的相關業者,在安全性方面要解決資料輸出器到 NFC (硬體安全)、NFC 至讀卡機 (硬體安全)、讀卡機到資訊系統 (軟體安全) 的安全認證問題。業者可參考 UL 1034 防盜電鎖機制、UL 1037 防竊警報器及裝置、 UL 2058 高安全性電鎖、UL 249 門禁管制系統元件等標準。
2. 物聯網
透過 NFC 提供近距離的關鍵性傳輸介面,建構物聯網 (Internet Of Things) 以促進各種系統的智慧化,是目前最被看好的領域之一,倉儲管理、智慧城市、智慧家庭、智慧醫療、智慧行動商務、智慧電網等皆屬此類。透過 NFC 標籤 (Tag) 的極低功耗、可長期記錄資料等特性,工業、生物科技、食品安全領域的製造商也可用極低的成本解決過去資料收集不易的問題。而目前大多數高階智慧型手機也開始內建 NFC,以做為手機對手機大量傳輸前的辨識介面,避免資料受到竊取的風險,並減少透過一般通信介面搜尋鄰近手機的能量耗費。
如前所述,技術不是問題,安全才是重點。例如物聯網應用之一的智慧電網,可依不同時段的實際用量,調節分配供電,產生節能效果,但 NFC 傳遞的資訊如室內用電量,卻可能成為竊賊探測闖空門時機的最佳參考資料。
UL 建議,有意進軍物聯網的業者在安全性方面可注意 NFC 設備及服務之間互聯互通的技術規範 ISO/IEC 14443 A & B,後台資訊交換系統 ISO/IEC 21481、15693、18092、7816,單元介面的相容性 (互通性) 測試標準,以及整套系統的可程式電子元件 (如微處理器、微電子) 軟體安全性標準 UL 1998、 IEC 61508、ISO/IEC 27001 等標準。
此外,為了節省能源的耗損,NFC 技術也開始被應用到智慧型無線充電系統,避免無線充電系統待機時的能量損耗、或者非目標物的無效或者竊電情況。結合無線充電與 NFC 技術,不但可提高普及度,還可大幅減少物料成本。
結論
儘管 NFC 的發展前景亮麗可期,但水可載舟亦可覆舟。NFC 應用愈普遍,個人私密和組織機密資料的安全風險也愈高。UL 建議業者在開發相關應用時,可善用第三方驗證單位的測試與培訓資源,檢查 NFC 裝置之間和整個生態系統的安全漏洞,才能推出牢不可破、具備市場競爭優勢的解決方案和服務。