NFC能用来干什么?
---基于NFC芯片技术的身份认证方案
在互联网和移动互联网蓬勃发展至几乎无处不在的情况下,人们日常生活的方方面面也呈现出线上、线下深度融合的景况。
无论是线上还是线下的众多服务,其服务的对象都是人。如何快速、准确、安全、高效地确定人的身份,从而迅速链接个性化的服务,是身份识别领域在过去到现在直至未来都一直在改善的重要领域。
传统的身份认证基于各类证件。而伴随着互联网和智能手机的兴起,身份认证行业开发出了各种基于电子的身份识别和认证方案。如短信认证码、动态口令牌、各种接口的USBKEY、各种ID卡等,以及近年兴起的指纹认证、人脸识别、虹膜识别等等。
但不管采用哪种方案,均在不同程度上满足如下的要素:
1. 具有可表征身份的有唯一性特点的标识(如密码、各种个性化硬件、个人生物特征)
2. 能区分该唯一性标识是否被合法使用(通常用密码来保护)
这些方案就好比给每个需要识别身份的人,配上一把专有的线上的钥匙。不同的方案,在钥匙的唯一性以及唯一性标识使用权限上,存在着不同的强度。
一 身份认证的核心问题:
身份认证中的核心问题——唯一性强度问题。所有身份认证的问题,可归结为两个问题:
1) 如何把一个个体区别于其他个体,也就是给予个体唯一性。
2) 如何完整、可信地呈现出该结果。也就是传递个体的唯一性。
考察众多的方案,莫不是如此。
比如身份证件如身份证、护照、港澳通行证等,从号码上给予个体一个唯一性的表示,利用防伪技术、芯片技术来保护和传递这个唯一性。
比如动态口令牌,通过发行给个人一个和其身份绑定的口令牌,在需要的时候输入当前产生的动态密码,以确定使用者拥有该令牌,以传递该使用者的唯一性。
比如各种接口的USBKEY。通过数字证书赋予个人以一个唯一证书,通过其绑定的私钥进行数字签名,来传递个人的唯一性。
比如指纹,通过采集个人的生物特征,通过指纹算法来形成特征值以区别于其他人的指纹特征值来形成唯一性。
发现大多数的技术投入都是为了解决“唯一性”的强度问题。人们不断地提高技术水平,升级算法、增加密钥的长度,其根本原因就是为了保护或者增强“唯一性”的强度。
二 唯一性强度的认知及其分级
但由于对“唯一性强度”缺乏定量的评价和认识,人们通常对不同的方案的评价,往往忽略了“唯一性”这个核心的问题。其实定义“强度”虽然缺乏统一标准,但并不那么复杂。比如,我们可以这么定义唯一性强度:
第一级:具有被公开的唯一的一个号码,如ID号,二维码等,仅仅具有识别功能。对唯一性不做保护。
第二级:在第一级基础上,增加了密码保护。如静态密码,或者短信验证码。但静态密码由于需要保存,明码存在时间上的问题,其可复制性还是比较高的。
第三级:在第二级的基础上,增加密码发生器(如动态口令牌)。通过硬件临时产生一次性密码,来保护ID号的使用权。密码不需要明文保存,而且一次性使用,相比第二级而言,其唯一性强度得到进一步提高。
第四级:在第三级的基础上,通过智能硬件产生密文来进行交互。这个级别的唯一性强度得到了极大的增强,在现阶段,可以认为是唯一性强度最高的之一。
目前,大多的身份认证方案都在第一级到第四级之间。但显然的,即使是第四级的唯一性方案,也存在一定的风险。其风险在于:
1、 密文方案基于数学难题。如果数学难题被攻破,则强度将显著下降。
2、 尽管密钥(如USBKYE里的私钥)是不可被读取,但还是静态地存在USBKEY的存储器中。存在泄露风险。
正是因为由这些原因,人们才需要不断地进行技术升级,以保护密钥的安全。
复旦微电子在数学基础上,通过增加物理上的量子特性,提出了独辟蹊径的解决方案。该方案主要是通过提供无法复制的NFC身份标识来实现。主要基于一种被称为“物理不可克隆”,又称PUF(Physical Unclonable Function)的技术来实现。
三、PUF技术介绍
复旦微电子将PUF技术应用于NFC认证领域,该技术的特征简而言之就是:
无法复制的唯一性。
所谓的无法复制,包括:
PUF是利用在每个芯片制造过程中,在微观上都会有细小的差异。通过采集并放大每个芯片在制造过程中产生的物理微小差异,作为芯片的唯一“特征”(类似于人类的指纹)信息。同时,在提取过程中,也可以利用外部“噪声”的影响,让所提取的“特征”信息具备随机性。一方面,芯片的制造过程中,要求其具有在几十个纳米尺度(芯片的制造工艺等级)上的一致性,但在电子尺度下观察,每一颗芯片又都具有“独一无二”的特征,而且,因为这个特征具有随机性,所以,它只能被识别出来,而无法由生产制刻意地复制出来。
利用提取到的芯片“特征”信息,而不是单纯利用在芯片的存储区域中存储的密钥。这样就保证密钥的物理唯一性和随机性,赋予芯片以很强的抗攻击能力。
PUF的技术优势具体表现为:
1) 物理上的无法复制的唯一性。
2) 不需要随机数发生器而天然产生的随机性。
3) 用PUF实现的数据每次临时产生,均不相同,用后消失。因此,PUF的数据几乎无法被外界攻击。
四、唯一性发行与认证服务(UIVS)
为了让PUF NFC技术能方便地给企业方用起来,复旦微电子对外提供唯一性发行与认证服务(简称UIVS:Uniqueness Issuance and Validation Services),实现全套PUF NFC加解密芯片的密钥发行及加解密真伪认定功能。复旦微电子基于UIVS云 服务的业务,已在物品唯一性,动物唯一性,身份唯一性等多领域提供丰富的成功案例和成熟方案。包括白酒(国台酒﹑茅台醇酒﹑荷花酒等等)﹑红酒﹑洋酒﹑药﹑鉴定证书﹑手办玩具﹑化妆品﹑紫砂壶﹑字画﹑红木家具等等。
UIVS系统主要组成:
l KMS系统(密钥管理系统)
l 发行系统
l PUF数据库管理模块
l 认证系统
l 可信交付
五、身份认证方案的比较
下表列出基于由唯一性硬件的几种主流身份认证方案的比较: