陳新林 王政銘

摘 要：文中突破了IC端讀寫限制，解決了基于NFC不安全通信環(huán)境下的芯片動態(tài)防偽問題。通過設計方案，降低了廠商密鑰管理的難度，進一步提高了防偽可靠性。在通信環(huán)境不安全甚至不友好的情況下，仍然能夠保證IC芯片與企業(yè)后臺數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)同步，進一步提高系統(tǒng)的適用性，降低對數(shù)據(jù)庫安全性的要求。即便數(shù)據(jù)庫信息被泄漏給偽造者，由于IC方和企業(yè)后臺數(shù)據(jù)庫系統(tǒng)DBS方實施了雙向動態(tài)更新，使得對IC標簽的克隆、偽造無法實現(xiàn)。

關鍵詞：無源芯片；動態(tài)信息防偽；NFC；防偽技術

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-1302（2018）01-0-03

0 引 言

假冒偽劣產(chǎn)品層出不窮，給消費者、企業(yè)以及社會造成了巨大損失。雖然打假活動在不斷進行，同時相關單位也在不斷研究和應用新型防偽技術，但造假者也在不斷進步，所以需要我們更新和利用新技術防偽。根據(jù)其特性，目前傳統(tǒng)的防偽技術可分為兩類：一是特殊工藝和材料防偽，主要包括激光、油墨、特殊紙張防偽；二是數(shù)碼防偽，包括條形碼、二維碼和傳統(tǒng)的IC卡（智能卡、M1）防偽?；趥鹘y(tǒng)工藝的防偽技術無法承載數(shù)據(jù)信息且易于造假，二維碼則無法動態(tài)寫入信息、可被復制等，而M1技術作為RFID標簽中的一種，借助NFC（無線近場通信）技術，通過M1-RFID-NFC模式在市場上得到了廣泛應用。然而，這種IC卡的安全過于依賴密鑰，其安全性也受到質疑并被成功破解。只有采用了CPU數(shù)據(jù)處理器的IC卡才具有足夠高的安全性。本項目基于IC卡及NFC（無線近場通信）技術研制，但目前的產(chǎn)品或解決方案還不成熟，仍存在一些問題待解決，如密鑰管理復雜性問題、芯片克隆問題。由于需要考慮安全性，限制了一般非授權用戶操作過程中系統(tǒng)更新卡中信息，導致克隆問題不能有效解決，若讓一般非授權用戶操作時可由系統(tǒng)更新卡中信息又將面臨NFC通信環(huán)境的安全性問題等。為簡化描述，本文將芯片系統(tǒng)、NFC系統(tǒng)及廠商數(shù)據(jù)庫系統(tǒng)分別用IC、NFC、DBS代表。

1 文獻綜述

目前，在芯片防偽領域大多采用含有CPU的智能芯片，內含CPU、固化有加密解密程序及相應的存儲空間等，可看作一個小型的信息處理系統(tǒng)。芯片系統(tǒng)通過NFC系統(tǒng)與廠商數(shù)據(jù)庫系統(tǒng)交互，比對相關聯(lián)數(shù)據(jù)，可最終判斷產(chǎn)品真?zhèn)巍?/p>

文獻[1]提出了基于NFC技術的酒類防偽溯源系統(tǒng)；文獻[2]提出了基于NFC芯片的防偽溯源系統(tǒng)；文獻[3]提出了基于NFC的茶葉防偽驗證可追溯系統(tǒng)等。

在專利方面，有企業(yè)設計了基于NFC芯片防偽認證的商品追溯方法；基于NFC芯片防偽認證的數(shù)據(jù)加密方法；基于NFC芯片防偽認證的自動批量處理以及自動寫卡方法等。

通過對現(xiàn)有技術及專利的跟蹤研究發(fā)現(xiàn)，至少存在如下4個方面的問題：

（1）為確保防偽的有效性，在多數(shù)系統(tǒng)中，一般采取對寫有防偽信息的數(shù)據(jù)進行加密存儲，有些系統(tǒng)要求廠商對密碼進行嚴格的保護[1]。

（2）由于IC與DBS之間的信息到通過NFC傳送，而這種傳送方式的安全性和可靠性難以得到保證。為保持IC及DBS數(shù)據(jù)的一致性，有些系統(tǒng)采用雙向驗證方式，即對IC及NFC進行雙向驗證，先確定IC及NFC的合法性，然后再進行數(shù)據(jù)讀寫[2，3]。但客觀上來說，這些都是將IC、DBS的安全建立在NFC的安全之上。

（3）一般都未涉及DBS的安全。實際上，企業(yè)內部工作人員利用工作之便獲取信息再暴露給其他人員的案例屢有發(fā)生；或者由于管理不善，致使某些人非法獲取了數(shù)據(jù)庫資料，均有可能對防偽系統(tǒng)造成威脅。

（4）非授權普通用戶無權更新卡內信息，導致IC卡復制得不到有效控制，通過毀損芯片（即撕毀）來對付偽造的方式在很多場合并不現(xiàn)實。

上述4個問題導致芯片防偽存在較大的安全威脅，一是系統(tǒng)嚴重依賴于密鑰的安全，一旦密鑰泄密，整個防偽系統(tǒng)便癱瘓；二是通過驗證讀寫設備的合法性來確保通信安全及數(shù)據(jù)一致性，各類讀寫設備是開放的，存在諸多安全隱患，容易遭受攻擊[4]；三是對某些人員直接獲取數(shù)據(jù)庫信息缺乏防范；四是批量復制得不到有效控制。

對現(xiàn)有技術的應用，日本和韓國處于領先地位，有不少研究開發(fā)的產(chǎn)品已應用于企業(yè)中。目前，北京和深圳也有個別企業(yè)在開發(fā)相關產(chǎn)品，并在一些品牌企業(yè)中得到了應用。由于技術尚不成熟，還需要改進，因此可通過本技術的實現(xiàn)，解決該技術實際應用中存在的部分未解決的問題。通過產(chǎn)業(yè)化應用，打擊造假、售假行為，保護品牌企業(yè)的產(chǎn)品，維護消費者權益，具有非常廣闊的市場前景。

2 芯片存儲結構及讀寫規(guī)則設計

2.1 芯片的存儲結構和標識信息以及讀寫規(guī)則

芯片的存儲結構如圖1所示。

芯片存儲結構及標識記錄信息：

IC_UID表示芯片編號；Private Key代表私鑰；IC_DynamicCode為動態(tài)碼；IC_Count為查詢計數(shù)器；IC_SalesStatus為銷售狀態(tài)；IC_MakerSpecialCode為制造商特殊碼，這些為關鍵標識。IC_ MakerSign為廠家簽名；IC_ ProductInformation為產(chǎn)品信息為附加標識，可根據(jù)需要增刪。

芯片讀寫規(guī)則：

（1） Private Key：寫入和讀取。非對稱加密私鑰信息，在出廠時寫入，僅供芯片的CPU使用。

（2）IC_DynamicCode：寫入和讀取。動態(tài)驗證碼，每次查詢后修改，僅供芯片的CPU使用。

（3）IC_Count：寫入和讀取。查詢計數(shù)器，每次查詢成功后加1。

（4）IC_SalesStatus：寫入和讀取，表示銷售狀態(tài)。

（5）IC_MakerSpecialCode：寫入和讀取。制造商特殊碼在出廠時寫入。在產(chǎn)品真?zhèn)未嬖跔幾h時，作為一種附加的驗證信息，將設置為一個特定狀態(tài)。

（6）IC_ MakerSign：寫入和讀取。在出廠時寫入廠家簽名，可用廠家經(jīng)CA認證的密鑰加密。

（7）IC_ ProductInformation：寫入和讀取。在出廠時寫入產(chǎn)品信息，具體內容根據(jù)需要編輯，該信息可由NFC讀取。

2.2 企業(yè)后臺數(shù)據(jù)庫DBS結構及讀寫規(guī)則

數(shù)據(jù)庫結構如圖2所示。

數(shù)據(jù)庫結構及記錄的信息：

DB_UID表示芯片編號；Public Key表示公鑰；DB_TemporaryDynamicCode為臨時動態(tài)碼； DB_DynamicCode為動態(tài)碼；DB_TemporaryCount為查詢臨時計數(shù)器；DB_Count為查詢計數(shù)器；DB_SalesStatus為銷售狀態(tài)；DB_MakerSpecialCode為制造商特殊碼，這些為關鍵字段。DB_ ProductInformation為產(chǎn)品信息，為附加字段，可以根據(jù)需要增刪。

數(shù)據(jù)庫讀寫規(guī)則：

（1） DB_UID：寫入和讀取。在芯片初始化時，將芯片的IC_UID寫入數(shù)據(jù)庫。

（2） Public Key：寫入和讀取。非對稱加密公鑰信息，在芯片初始化時，私鑰寫入芯片，公鑰寫入數(shù)據(jù)庫。

（3）DB_TemporaryDynamicCode：寫入和讀取。臨時動態(tài)驗證碼，每次查詢后修改。

（4）DB_DynamicCode：寫入和讀取。動態(tài)驗證碼，每次查詢后修改。

（5）DB_TemporaryCount：寫入和讀取。查詢計數(shù)器臨時值，每次查詢成功后加1。

（6）DB_Count：寫入和讀取。查詢計數(shù)器，每次查詢成功后加1。

（7）DB_SalesStatus：寫入和讀取。表示銷售狀態(tài)，如在售、已售、不可售等。

（8）DB_MakerSpecialCode：寫入和讀取。在出廠時寫入制造商特殊碼，在產(chǎn)品真?zhèn)未嬖跔幾h時，作為一種附加的驗證信息。

（9）DB_ ProductInformation：寫入和讀取。在出廠時寫入產(chǎn)品信息，具體內容根據(jù)需要編輯，該信息可由NFC讀取。

3 針對IC-NFC-DBS的信息通信過程

動態(tài)防偽實現(xiàn)的關鍵在于保證IC_Count與DB_Count的一致性。由于NFC在IC-DBS通信過程中存在通信不穩(wěn)定、攔截、偽造信息的可能，為保證在不安全通信環(huán)境下完成IC_Count與DB_Count的同步，在每一次查詢操作中，采取先校驗再同步的策略。通過IC保存的私鑰對IC_Count進行加密。由于NFC沒有密鑰，無法加密解密，因此無法篡改信息。NFC或不發(fā)送該信息，或將該信息原版發(fā)送，反之亦然。在這個通信環(huán)節(jié)，即便NFC不可信，也不會影響通信安全。信息通信過程如圖3所示。

（1）NFC讀取IC信息，將IC_Count，IC_UID加密發(fā)送給DBS數(shù)據(jù)庫。

（2）DBS收到上述信息后，先定位IC_UID的記錄，再用公鑰解密獲得IC_Count，若IC_Count=DB_TempraryCount （或DB_Count），則產(chǎn)生2個隨機數(shù)DB_R1，DB_R2，然后將DB_R1，DB_R2以及數(shù)據(jù)庫信息DB_TemporaryDynamicCode，DB_DynamicCode， DB_TemporaryCount ，DB_Count，DB_SalesStatus，DB_UID通過公鑰加密發(fā)送給IC。

（3）IC接收到DBS的信息后解密，經(jīng)過相關驗證后記錄在IC 中，然后將加密過的DB_R1，IC_Count，IC_UID回送DBS。即使NFC中斷通信，由于IC與DBS同步已經(jīng)部分完成，不會影響下次查詢的正確性。

（4）DBS收到信息后解密，在進行相關驗證后，更新DB_DynamicCode， DB_TemporaryDynamicCode（隨機數(shù)），DB_Count；DB_TemporaryCount加1，然后將加密過的DB_R2，DB_TemporaryCount，DB_Count，DB_UID發(fā)回IC。若NFC偽造隨機數(shù)NFC_R2，由于NFC_R2≠DB_R2，通信中止，對IC及DBS均無任何損害。若NFC中斷通信，由于IC與DBS同步已經(jīng)完成，不影響下次查詢的正確性。

（5）IC接收到信息后解密，將DBS傳送過來的值放在一個臨時變量里，然后執(zhí)行加密DB_R2，IC_Count，IC_UID，IC端產(chǎn)品信息發(fā)回DBS。

（6）DBS接收到信息后解密，將IC傳送過來的值放在一個臨時變量里，執(zhí)行相關驗證后將DB_TemporaryCount放入DB_Count，完成相關操作，在NFC端顯示前后臺產(chǎn)品信息。由此保證了信息的安全與完整，防止對IC卡的克隆。

4 結 語

隨著具有NFC功能的智能手機的發(fā)展，廣大消費者可以利用手機實現(xiàn)對產(chǎn)品真?zhèn)蔚尿炞C，大大方便了消費者。即使采用芯片防偽，如果防偽標識無法動態(tài)變化，那么其效果與印刷防偽載體區(qū)別并不大，其防偽的可靠度亦不高。因而，動態(tài)更新芯片及后臺數(shù)據(jù)庫信息的研究則顯得尤為重要，由于這方面的研究還處于起步階段，理論研究與實際應用均不成熟，尚有較多問題需要解決。同時要使形形色色的NFC手機等設備具備讀寫芯片和后臺數(shù)據(jù)庫的功能，其可控性與安全性問題需要妥善解決。通過本技術解決了芯片克隆與安全可控性問題，實現(xiàn)了不安全環(huán)境下的動態(tài)信息變更與動態(tài)防偽，對NFC芯片防偽具有極為重要的意義，具有廣闊的市場前景。

參考文獻

[1] 沈曉靜.基于NFC技術的酒類防偽溯源系統(tǒng)設計與實現(xiàn)[D].上海：復旦大學，2013.

[2] 葉志華，王彬.基于NFC芯片的防偽溯源系統(tǒng)的設計[J].物聯(lián)網(wǎng)技術，2016，6（3）：111-114.

[3] 楊亞洲.NFC防偽芯片設計與FPGA驗證[D].長沙：湖南大學，2014.

[4] 趙競.Mifare非接觸式IC卡安全性分析[D].杭州：杭州電子科技大學，2012.

[5] 劉艷飛，余明輝.基于物聯(lián)網(wǎng)技術的豬肉防偽追溯系統(tǒng)研究[J].現(xiàn)代電子技術，2016，39（3）：55-57.

[6] 黃葉玨.基于NFC的茶葉防偽驗證可追溯系統(tǒng)的設計與研究[J].農村經(jīng)濟與科技，2013，24（3）：151-152.

[7] 周海赟.基于NFC與云計算技術的智慧安防系統(tǒng)研究[J].重慶科技學院學報（自然科學版），2017，19（1）：101-103.

[8] 李珊，余少標，王功文.基于NFC和商用密碼技術的防偽溯源系統(tǒng)研究[J].數(shù)碼世界，2017（5）：58-60.