RFID标准迟到让人担心安全隐患更让人害怕

[2008-7-23 10:53:53] 关键字：RFID标准⁰ RF-SIM¹⁶ 无线通讯⁰

“我们正在解决RF-SIM卡量产的问题，相信年内，将会逐步开展RF-SIM卡大规模测试，使大众能够尽快通过手机‘非接触式’服务于公交和地铁等票务的小额支付。”某省运营商领导在接受《通信产业报》记者采访时表示。其实，像这样将新业务瞄准RFID的运营商不在少数，中国移动旗下很多地方运营商已经悄然开始发展非接触式移动支付业务，期望从中获得收益。

RF-SIM是一种基于SIM卡的近/中距离无线通信技术，此技术是NFC近距离无线通信(NearFieldCommunication)的一种，它将具有RF射频功能的模块镶嵌在SIM卡内，使用2.4G的微波频率进行数据通信。

目前RF-SIM正在发展萌芽阶段，而我国尚没有针对RFID的国家标准和通信行业标准，所以目前针对RF-SIM卡的测试主要从功能测试入手。

负责RFID手机支付运营的运营商内部人员告诉记者，针对于RF-SIM的功能测试，目前在做着两方面的工作，一方面是在卡商实验室进行的SIM卡功能测试，保证RF技术的加入不影响原SIM卡的移动通信功能；另一方面的测试是针对于具体行业应用，在满足日前已经存在的行业技术标准的情况下，能够使消费者正常使用业务。以公交支付为例子，RF-SIM卡必须能够满足现已存在的公交卡RFID技术标准，只有这样,RF-SIM卡才能够实现与原本使用的“公交卡”的共用。

据介绍，为上面提到的运营商提供RF-SIM技术的是香港公司直通电讯，该公司市场部负责人李文介绍，直通电讯主要的工作是RF-SIM卡技术研发和修正上面，基本不做测试，主要的业务及参数测试都是由运营商合作伙伴来完成。

“只有在安全、稳定的前提下满足大众客户的应用需求，才可以算作测试成功。”该运营商的工作人员对移动支付的业务测试相当重视。和一般技术应用初期的测试思路相一致，一切以满足客户需求为主导。目前，根据RF-SIM的应用情况开展了针对安全、刷卡时间等一系列测试。

离“规范”测试还很远

当前，手机移动支付业务有很多技术解决方案，如SIMPASS、SWP等，它们基本上都能够实现轻松手机支付的功能。但站在运营商立场，更喜欢选取不被其他产业链环限制的技术，所以SIMPASS、RF-SIM这种依托在SIM卡上的技术脱颖而出。SIMPASS采用13.56M的频谱，有国际标准ISO14443为参考，但是此技术有诸多不成熟的地方。而RF-SIM尚在发展中，标准还没有形成，可以说对其测试是个挑战。

据泰克(中国)有限公司射频产品业务发展经理程骏介绍，正规的RF移动支付技术测试应该涵盖三大测试环节。第一是无线电使用法规符合性测试，无线电使用法规规定了频谱资源的发放，对各个频段包括RFID各类系统的功率、ACPR、OBW(EBW)和杂散做了规定以避免和其他无线电系统的冲突和干扰。

第二是进行RFID的行业标准符合性测试，RFID的行业标准主要定义了RFID系统的物理层协议和高层协议，以保证系统能够协调流畅地工作。

第三个环节是手机支付特有的标准，除进行应有的应用测试外，还需要和同是射频机制的SIM卡进行EMC电磁兼容测试。

可以看到，当前测试主要是针对于第三个方面，并没有进行无线电使用法规和RFID行业标准测试。究其原因，专家认为，首先是我国并没有形成RFID的通信行业标准，并无规范准则可以参照，倘若RF-SIM的应用成功，就可以推荐为行业准则；其次，针对当前小额支付的定位，还未到进行干扰测试的时候。

安全测试需要重视

隶属泰克实验室的短距离无线通信实验室项目主管王晓磊虽然对于标准的迟到颇为担心，但是他更担心移动支付安全方面的隐患。

他指出：“对于国内企业，当技术应用到一定程度，标准就顺理成章地出现，但是RFID的安全隐患问题却没有那么容易解决，同时也是测试工作的难点。”

前不久，美国安全厂商McAfee公司的专家格雷格·戴也表示手机支付目前存在严重安全隐患，可能对消费者的金融数据安全构成巨大风险。目前手机支付大都采用NFC，这种技术可把消费者手机中的数据通过无线方式传输至商家的读卡器，但是目前绝大多数手机未安装任何安全软件。

当前很多专业人士认为，发生手机支付欺诈是很容易的。根据手机支付的特点，只要有人拿着读卡器(即大家常说的POS机)，距离消费者的手机在指定范围，就可以在消费者没有察觉的情况下，使手机进行消费支出。

尽管手机支付为小额支付，不会发生隐私泄密等安全问题，但专家认为“安全应用”也是需要考虑的重点，从技术角度讲，RF-SIM采用智能安全卡芯片，芯片本身已被原厂家做了安全认证，RF装置只是一个通信装置，通过空中的通信内容在卡内使用加密算法自动加密和解密。RF-SIM底层加密手段集中在芯片，同时根据不同的应用采用应用级鉴权供客户选择。

王晓磊已经接触了很多进行手机支付加密和鉴权的厂商，但他认为在安全测试方面依然是个难点。目前泰尔实验室采用一款西班牙的仪表进行安全测试，但是此款仪还有很多问题不能解决，因为安全加密有很多自主知识产权的内容，他希望国内安全的测试仪表能尽快研发成功。