在其他应用中,手机还可以自动连接到WiFi接入点,将通话初始化,或基于附近区域内RFID标签提供的潜在不
安全数据发送文字消息。用户不断地升级手机保护措施就像一场军备竞赛,为了避免这种情况,一定要在最开始就将安全功能置于NFC手机当中。
手机和RFID读取器或标签之间数据交换的细节在NFC论坛上都有详细介绍。该论坛是一个由全部主要手机制造商、网络运营商、软件公司、潜在用户,以及一些研究实验室组成的工业组织。当然成员公司具有衡量和实施适当安全措施的专业知识,然而还没有进行——或许是为了更快地推广这种期待已久的技术。
安全问题需要资金投入还需要耐心——对可以被每个人广泛使用的RFID来说,这些因素被认为是潜在的阻碍。然而,NFC论坛讨论了适当的协议——很多都是从互联网安全协议借鉴而来——可以安全地将信息从网络载入到手机上,并且将这些数据安全地储存在手机上。
然而,手机和RFID标签之间非常容易进入的连接却无法进行缺省保护。如果可以匹配的话,目前试用的RFID技术需要在NFC之上实施自身的安全保护措施。由于很多应用都具有类似的安全要求,因此这种做法显然会导致冗余。由于对安全性的理解非常困难,同时不是全部公司都会同样地看待攻击威胁和实施保护措施,因此RFID和手机组成的系统并不一定安全。
在对标准化安全性和隐私性的需求,和缺乏有力保护的现状之间存在着明显的割裂,这促使NXP和Sony开始在NFC手机中实施他们的专利RFID安全措施。在那些公开的标准上实施专利技术,至少在这些安全措施的细节没有公开之前,将会出现垄断市场,并且在最坏的情况下不够安全。
例如,NXP Semiconductor的Mifare Classic标签,其保护主要依赖于对内部细节的保密。然而,最近其秘密算法已经被反向工程攻破,对算法最初的安全分析显示该算法相当脆弱。
结果就是对大部分提出的NFC应用来说,能提供的保护是不够的。像Mifare“不透明的安全策略”并不奏效,并且不应该被NFC手机采用。相这类技术会成为日常生活的组成部分,其安全性和隐私性都必须经过公开检查并规范成开放的标准,这样才能使潜在的使用者放心。
目前的NFC应用表现出多种安全性可能,从几乎没有安全性的信用卡到试营公共运输系统基于公开关键密码技术而被夸大的认证技术都有实例。对于一项想方便用户,而并不想用户冒险的技术来说,只有某些应用达到所需的安全性要求是不合适的。攻击者通常会寻找最弱的一环,那么在目前的条件下,即便只有一些很特殊的脆弱应用被曝光,但攻击者仍不可避免地不选择NFC。
实施NFC技术真正的阻碍正是其缺乏安全性的现状。在该项技术广泛传播到无法弥补安全性损失之前,必须以开放的标准强制实施适当的安全保护措施。
