NFC能用來干什么?
---基于NFC芯片技術的身份認證方案
在互聯網和移動互聯網蓬勃發展至幾乎無處不在的情況下,人們日常生活的方方面面也呈現出線上、線下深度融合的景況。
無論是線上還是線下的眾多服務,其服務的對象都是人。如何快速、準確、安全、高效地確定人的身份,從而迅速鏈接個性化的服務,是身份識別領域在過去到現在直至未來都一直在改善的重要領域。
傳統的身份認證基于各類證件。而伴隨著互聯網和智能手機的興起,身份認證行業開發出了各種基于電子的身份識別和認證方案。如短信認證碼、動態口令牌、各種接口的USBKEY、各種ID卡等,以及近年興起的指紋認證、人臉識別、虹膜識別等等。
但不管采用哪種方案,均在不同程度上滿足如下的要素:
1. 具有可表征身份的有唯一性特點的標識(如密碼、各種個性化硬件、個人生物特征)
2. 能區分該唯一性標識是否被合法使用(通常用密碼來保護)
這些方案就好比給每個需要識別身份的人,配上一把專有的線上的鑰匙。不同的方案,在鑰匙的唯一性以及唯一性標識使用權限上,存在著不同的強度。
一 身份認證的核心問題:
身份認證中的核心問題——唯一性強度問題。所有身份認證的問題,可歸結為兩個問題:
1) 如何把一個個體區別于其他個體,也就是給予個體唯一性。
2) 如何完整、可信地呈現出該結果。也就是傳遞個體的唯一性。
考察眾多的方案,莫不是如此。
比如身份證件如身份證、護照、港澳通行證等,從號碼上給予個體一個唯一性的表示,利用防偽技術、芯片技術來保護和傳遞這個唯一性。
比如動態口令牌,通過發行給個人一個和其身份綁定的口令牌,在需要的時候輸入當前產生的動態密碼,以確定使用者擁有該令牌,以傳遞該使用者的唯一性。
比如各種接口的USBKEY。通過數字證書賦予個人以一個唯一證書,通過其綁定的私鑰進行數字簽名,來傳遞個人的唯一性。
比如指紋,通過采集個人的生物特征,通過指紋算法來形成特征值以區別于其他人的指紋特征值來形成唯一性。
發現大多數的技術投入都是為了解決“唯一性”的強度問題。人們不斷地提高技術水平,升級算法、增加密鑰的長度,其根本原因就是為了保護或者增強“唯一性”的強度。
二 唯一性強度的認知及其分級
但由于對“唯一性強度”缺乏定量的評價和認識,人們通常對不同的方案的評價,往往忽略了“唯一性”這個核心的問題。其實定義“強度”雖然缺乏統一標準,但并不那么復雜。比如,我們可以這么定義唯一性強度:
第一級:具有被公開的唯一的一個號碼,如ID號,二維碼等,僅僅具有識別功能。對唯一性不做保護。
第二級:在第一級基礎上,增加了密碼保護。如靜態密碼,或者短信驗證碼。但靜態密碼由于需要保存,明碼存在時間上的問題,其可復制性還是比較高的。
第三級:在第二級的基礎上,增加密碼發生器(如動態口令牌)。通過硬件臨時產生一次性密碼,來保護ID號的使用權。密碼不需要明文保存,而且一次性使用,相比第二級而言,其唯一性強度得到進一步提高。
第四級:在第三級的基礎上,通過智能硬件產生密文來進行交互。這個級別的唯一性強度得到了極大的增強,在現階段,可以認為是唯一性強度最高的之一。
目前,大多的身份認證方案都在第一級到第四級之間。但顯然的,即使是第四級的唯一性方案,也存在一定的風險。其風險在于:
1、 密文方案基于數學難題。如果數學難題被攻破,則強度將顯著下降。
2、 盡管密鑰(如USBKYE里的私鑰)是不可被讀取,但還是靜態地存在USBKEY的存儲器中。存在泄露風險。
正是因為由這些原因,人們才需要不斷地進行技術升級,以保護密鑰的安全。
復旦微電子在數學基礎上,通過增加物理上的量子特性,提出了獨辟蹊徑的解決方案。該方案主要是通過提供無法復制的NFC身份標識來實現。主要基于一種被稱為“物理不可克隆”,又稱PUF(Physical Unclonable Function)的技術來實現。
三、PUF技術介紹
復旦微電子將PUF技術應用于NFC認證領域,該技術的特征簡而言之就是:
無法復制的唯一性。
所謂的無法復制,包括:
- 芯片設計者(如復旦微電子,該芯片的設計廠家)無法復制
- 芯片制造者(如生產芯片的廠家)無法復制
- 唯一性標識制造者(如證書廠商)無法復制
- 業主單位(如金融機構、政府機關)和使用者無法復制
PUF是利用在每個芯片制造過程中,在微觀上都會有細小的差異。通過采集并放大每個芯片在制造過程中產生的物理微小差異,作為芯片的唯一“特征”(類似于人類的指紋)信息。同時,在提取過程中,也可以利用外部“噪聲”的影響,讓所提取的“特征”信息具備隨機性。一方面,芯片的制造過程中,要求其具有在幾十個納米尺度(芯片的制造工藝等級)上的一致性,但在電子尺度下觀察,每一顆芯片又都具有“獨一無二”的特征,而且,因為這個特征具有隨機性,所以,它只能被識別出來,而無法由生產制刻意地復制出來。
利用提取到的芯片“特征”信息,而不是單純利用在芯片的存儲區域中存儲的密鑰。這樣就保證密鑰的物理唯一性和隨機性,賦予芯片以很強的抗攻擊能力。
PUF的技術優勢具體表現為:
1) 物理上的無法復制的唯一性。
2) 不需要隨機數發生器而天然產生的隨機性。
3) 用PUF實現的數據每次臨時產生,均不相同,用后消失。因此,PUF的數據幾乎無法被外界攻擊。
四、唯一性發行與認證服務(UIVS)
為了讓PUF NFC技術能方便地給企業方用起來,復旦微電子對外提供唯一性發行與認證服務(簡稱UIVS:Uniqueness Issuance and Validation Services),實現全套PUF NFC加解密芯片的密鑰發行及加解密真偽認定功能。復旦微電子基于UIVS云 服務的業務,已在物品唯一性,動物唯一性,身份唯一性等多領域提供豐富的成功案例和成熟方案。包括白酒(國臺酒﹑茅臺醇酒﹑荷花酒等等)﹑紅酒﹑洋酒﹑藥﹑鑒定證書﹑手辦玩具﹑化妝品﹑紫砂壺﹑字畫﹑紅木家具等等。
UIVS系統主要組成:
l KMS系統(密鑰管理系統)
l 發行系統
l PUF數據庫管理模塊
l 認證系統
l 可信交付
五、身份認證方案的比較
下表列出基于由唯一性硬件的幾種主流身份認證方案的比較:
