基于RFID的移动小额支付可信交易系统研发(上)

引言

移动支付的安全及可信问题是消费者使用业务的最大疑虑。特别是针对移动小额支付而言，由于交易额小，支付交易频繁，所以要求较高的处理效率，如存储尽量少的信息、处理速度尽量快和通信量尽可能少等，因此有时即使出现交易差错也容易被忽略或遗漏。另一方面，由于移动小额支付应用场合众多、环境恶劣、应用规范、不同厂家的技术水平参差不齐等等，经常曝露出一系列问题：误扣款、丢记录、不平账、数据不安全等。本文提出了一种可信交易的方案。

1 基于RFID的移动小额支付系统组成及原理

本系统的移动小额支付交易系统由RFID移动设备、收费机、后台软件组成。RFID移动设备通过射频感应唤醒与收费机器进行数据交换，智能卡通过射频感应从收费机处获取能量和交换数据;收费机，连接智能卡与应用系统的桥梁，承担信息的识别、传送、处理任务。后台应用软件，负责信息的整理与加工，产生便于人工识别的报表等信息。

2 系统不可信交易原因分析

笔者通过网络，走访用户，以及对不同厂家的收费终端进行测试，归纳出现不可信交易的可能原因，从RFID卡、机具、交易流程、系统，每一个环节的故障都可能带来交易可信度的问题。

(1)关于从卡内扣钱，那就先从卡和设备的数据交换看，可以归结为两步。第1步：刷卡→设备(读到卡内余额);第2步：写卡←设备(计算新余额，从卡片扣款)。

RFID卡的能量来源是由读卡设备向卡发送的固定频率电磁波与卡内LC串联谐振产生的电荷，当卡正在消费机感应临界区进行读写操作时，突然离开感应区而没电了，那肯定会造成读写卡异常。其中RFID卡经过磁场感应区的典型的运动轨迹有垂直运动和水平运动2种，如图1所示。因为磁场分布的物理特性，RFID卡动态经过磁场区域，可能导致能读卡，但写卡失败，从而出现误写卡，甚至写坏卡的情况。

(2)机具，射频电路的设计不好，也可能容易导致读写卡异常。硬件的PCB(印制电路板)“体质”是非常重要的，因为很多厂家的产品读卡性能可靠性差，而且这种产品的比率还很大，基本占了市场上80%的份额。主要表现在读卡性能，存在读卡死区，有距离，没有可靠完整读写区域。

(3)从系统的角度看，存在设计漏洞或者缺陷。整个系统的数据完整性，对系统正常运作是非常重要的。不少的系统存在记录丢失的可能，或者通讯过程存在安全隐患，比如没有加密机制，通讯介质异常缺少冗余机制，数据人为损坏，缺少补采或者记录恢复机制，后台处理没有按流水而时间异常导致统计数据错误等等。

3 实现可信交易应该采取的手段

综合应用针对RFID、硬件、嵌入式软件及后台软件的整体方案，设计系统的硬件、软件和后台管理平台，确保整个小额支付收费系统闭环的流程可靠性、数据安全性，从而实现可信交易的有效结果(如图2)。

3.1 RFID卡关键数据双备份技术

从RFID卡工作状态机制，分析出现异常的可能原因，采用卡数据组织结构的双备份机制，配合嵌入式软件来达到写卡异常时的处理机制，如下所描述。

(1)可能引起错误写卡的原因分析

RFID卡经过读卡设备基站芯片的磁场感应区时，对RFID卡进行充电，当电压达到2V左右，基站芯片与RFID卡之间进行数据交换通讯，从而实现小额支付的交易过程。

卡进入感应区，执行卡请求，防碰撞，卡认证，读块，写块等过程。其中，卡请求及碰撞，大约需要4ms;卡认证，大约需要2ms;读块，大约需要2.5ms;写块，大约需要6ms。影响卡上数据变化的只有写卡过程，而该过程需要分两步执行，第1步：向M1卡发送待写的块号信息;第2步：向M1卡发送待写的l6字节块数据。当卡执行完第1步后，正在执行第2步的瞬间，已经离开感应区，这时，基站芯片就无从知道是否成功将16字节写成功。

为此，我们采用双备份的方式设计RFID卡上数据存储格式，当系统写卡出现异常时，利用备用区的数据对写卡异常的区块进行恢复，从而实现数据安全。

(2)卡关键数据的双备份格式

常见的M1卡分为16个扇区，每个扇区由4块(块0、块1、块2、块3)组成，我们也将16个扇区的64个块按绝对地址编号为0~63，存储结构如图3所示。

涉及小额支付的关键数据，一般使用其中一个扇区，其数据组织格式的备份方式如表1所描述。

其中，钱包主数据块DataA如在刷卡交易过程受到异常干扰，出现写错，则可以利用钱包备份数据块DataB来进行恢复。而写卡动作标志F用来监控钱包主数据块DataA的读写过程。(未完待续)