ATM上的非接触式会话？

Question

目前，我正在阅读有关访问控制的文章，并看到了一些关于智能卡联系人&非接触式的有趣内容。

据我从书中了解到，智能卡联系人就像一张ATM卡。然后，智能卡非接触式就像RFID一样，它被许多公司用于门禁。

我只是在想，这能在自动取款机上实现RFID吗？

传统自动取款机工作流程：

• 插入ATM卡
• 输入PIN
• 做你的交易
• 完成事务
• 出口和卡片出来

射频识别ATM机工作流程：

• 把卡片靠近读取器
• 输入PIN
• 做你的交易
• 完成事务和退出
• 再一次将您的卡片放在读取器附近，以完成交易会话。

Answer 1

首先是关于术语的说明。通常：

• 射频识别是被动标签(没有电源，充当简单内存，没有任何通信)与阅读器之间的通信。通信是单向的: RFID标签无法接收信息.
• 非接触式智能卡具有信用卡形状因子，并且可以执行计算(它有一个CPU，它的内存由该CPU访问，而不是由外部读取器访问，例如在RFID标签的情况下)。它没有电源:只有通过感应由非接触式读取器供电时，CPU才能工作。
• NFC是双向通信，使用与射频识别相同的原理。NFC可以在两个供电设备之间工作(例如，一个智能手机和另一个形式的读取器，或者两个智能手机)，或者在一个电源设备(智能手机，读取器)和一个非电源设备之间工作(标签(它只是一个内存)或一个非接触式智能卡(它有一个CPU))。

这个术语并不总是被一致使用:例如，NFC标签有时被称为RFID。还有可重写的标签，它们不包含CPU，但读取器可以覆盖；这些标签有时被称为RFID标签，有时称为NFC标签。

ATM卡是一种非接触式智能卡，不是RFID标签，也不是NFC设备。非接触式智能卡能够提供安全，因为它包含无法从外部读取的内存。

现在开始问你的问题。当然，可以使用您描述的工作流使用非接触式智能卡执行事务:首先，该卡标识自己，然后ATM查询用户以执行事务，并可能根据服务器验证该事务，最后，如果该卡愿意，ATM执行该事务。

我不知道是否有这样操作的自动取款机，但还有其他类型的机器。例如，要给巴黎交通通行证充电，你可以把你的卡放在读卡器上(下面图片中屏幕下面的圆形紫色东西)，放在那里，但你可以随时把它取下来，卡片可以放在钱包里或者其他保持架里。通常情况下，卡片在会话期间停留在托盘上；我认为它确实遵循上面概述的两阶段系统(首先读取卡片信息，然后与用户交互，然后将交易结果上传到卡片上)。

我记得看到其他的交通过路机，那里的互动更接近你的想象，最初的滑动和最后的滑动。托盘方法允许更长的交互，当卡必须执行诸如签名等代价高昂的操作时，这可能是必需的，以及持续的交互，例如验证PIN或某些事务细节。

与接触式方法相比，非接触式方法有一个实用的可用性优势:卡不一定是卡片的形状因素，你可以把它放在保持架里，或者放在钱包或手提包里。事实上，这张卡根本不一定是一张卡:读取器也可以与模仿卡的NFC手机进行交互。我不认为双刷与托盘相比有一个可用性优势，但它可能允许机器更小。

在磁条上操作的美国自动取款机把信用卡/借记卡当作一个简单的内存:你在交易开始时插入一次信用卡，就是这样。如果ATM机是按照相同的程序设计的，那么一次初始的滑动就足够了。然而，智能卡比简单的内存允许更多的安全性，因为它们可以生成一次性令牌(例如，给定事务的签名)，或者在3次尝试后验证PIN和自毁。这就要求信用卡在交易过程中有更多的时间可用。

欧洲自动柜员机(为芯片卡设计)吞下卡，并在会议结束时释放它。这对安全是有好处的。如果用户输入了三次密码，或者卡被偷了，该卡就可以继续被吞食。这也允许ATM验证卡的形状因子，这是非接触式的对立面；坚持形式因子的优点是，这使得更难欺骗ATM相信卡是存在的。可以插入ATM机的中继shims确实存在，但它们需要几年的时间来设计。盗贼有一个优势，如果他们不需要把实际的卡带到自动取款机上，他们可以使用通讯中继:他们可以非常快地使用该卡之前，它被报告被盗(甚至没有主人注意到)；他们可以使自己更难追查和起诉，因为偷卡者可能在一个与自动取款机不同的国家。

其结果是，非接触式ATM交易是可能的。提供的安全性介于你可以用磁条和接触式晶片卡自动取款机所做的事情之间。我不知道是否有非接触式自动取款机；就银行技术而言，这种技术是非常新的。

Answer 2

RFID ATM卡(使用传统RFID进行单向通信)听起来不像是一个聪明的想法。如果攻击者距离足够近，他可以简单地记录卡广播的ID，并创建您的ATM卡的克隆。

另一方面，NFC会更合适。由于NFC支持双向通信，该卡可以使用从未广播过的秘密密钥通过某种挑战响应机制来验证自己。

也许，正如TildalWave在他的评论中所建议的那样，自动取款机不使用NFC来保持它们“吃掉”您的卡的能力。另一个可能的原因是惯性。银行并不总是能很快地适应新技术，可能只是不想摆弄一个“足够好”的系统。