食品安全對溯源系統(tǒng)的訴求

       一提到食品溯源，人們通常會聯(lián)想到“安全”二字。的確，正是由于zui近一段時期內(nèi)食品安全問題層出不窮，才導(dǎo)致了“食品溯源”成為一個熱門概念。由于成本低、技術(shù)難度小，目前食品溯源系統(tǒng)大多是以二維碼為核心的。但二維碼的局限性在于可以被克隆，因而不能保證追溯信息的安全性。而在食品領(lǐng)域，中國的現(xiàn)狀是大量的食品安全問題都伴隨著山寨現(xiàn)象。如果造假分子可以輕易復(fù)制的二維碼，那么消費(fèi)者對于二維碼仍是真假難辨，溯源也就失去了本來的意義。可見，要想實(shí)現(xiàn)食品安全，信息安全*。

        RFID(射頻電子標(biāo)簽)在公眾眼中意味著高安全性，因而以RFID為核心的食品追溯系統(tǒng)備受重視。然而，RFID也不是天生安全的，必須站在系統(tǒng)的高度合理規(guī)劃和設(shè)計才能實(shí)現(xiàn)真正的安全。本文將以食品安全為焦點(diǎn)，從芯片開始，到標(biāo)簽，再到軟硬件平臺，詳細(xì)介紹凱路威如何構(gòu)筑一個RFID食品溯源系統(tǒng)，供業(yè)內(nèi)人士參考。

RFID芯片設(shè)計

       RFID芯片是整個食品溯源系統(tǒng)安全的關(guān)鍵。如果RFID芯片本身存在安全隱患，那整個系統(tǒng)必然是不安全的。由于市面上通用的RFID芯片并不是針對溯源而設(shè)計，因而凱路威重新定義并自主設(shè)計了一種防偽溯源專業(yè)RFID芯片KX1010。在安全方面，該芯片有以下兩方面的特色。

1.用SM7加密算法解決芯片可復(fù)制問題

        社會上有一種錯誤的認(rèn)識，認(rèn)為只要用了RFID就是安全的。其理論依據(jù)是：RFID芯片的技術(shù)門檻很高，每個芯片的UID號都是*的，造假者無法獲得特定UID的RFID芯片，因而無法造假。在這種認(rèn)識指導(dǎo)下，甚至一些酒類品牌也栽了跟頭，花巨資打造的RFID防偽溯源系統(tǒng)竟不堪一擊(產(chǎn)品真?zhèn)坞y辨，其溯源結(jié)果更成了笑話)。問題的癥結(jié)在于，隨著技術(shù)的發(fā)展，一些小公司也能設(shè)計RFID芯片，他們銷售可以改寫UID的RFID芯片，就為造假者打開了后門。

       靠技術(shù)門檻獲得的安全性是暫時的，結(jié)果必然是“道高一尺，魔高一丈”。因此，凱路威認(rèn)為必須把信息安全的理念及密碼技術(shù)引入RFID芯片設(shè)計中。在普通RFID芯片設(shè)計基礎(chǔ)上，凱路威加入了符合國家商密標(biāo)準(zhǔn)的SM7算法，并在芯片內(nèi)部存儲有128位不可讀取密鑰。有了內(nèi)置的加密運(yùn)算電路及密鑰，芯片可以根據(jù)外界的輸入數(shù)據(jù)反饋加密密文。外界可以根據(jù)密文推斷密鑰是否正確，但密鑰本身不可被讀出，不可被推算出，更不可被復(fù)制，因此確保芯片不可被復(fù)制。

 2.用XLPM存儲器解決數(shù)據(jù)可篡改問題

        目前RFID芯片多采用EEPROM作為存儲器，芯片的UID、普通數(shù)據(jù)甚至內(nèi)部配置信息都是用EEPROM存儲的，這些內(nèi)容都有被改寫的可能性。例如在250℃高溫下烘烤48小時，能使多數(shù)EEPROM產(chǎn)品內(nèi)數(shù)據(jù)清零。一旦EEPROM數(shù)據(jù)清零，就可以通過特定的方法重新對芯片進(jìn)行包括寫UID在內(nèi)的初始化。已經(jīng)寫入并鎖定的普通數(shù)據(jù)，也同樣可以通過這種方法改變。甚至已經(jīng)通過KILL指令自毀的芯片也可能通過這種方法復(fù)活。

       為了確保關(guān)鍵數(shù)據(jù)不被非法改寫，凱路威采用了一次性可編程存儲器XLPM(超級低功耗*性存儲器)。該存儲器在物理上只能寫一次，之后不可改寫，因此*斷絕了造假者通過回收合法芯片造假的可能性。采用XLPM的一個附加好處是數(shù)據(jù)存儲非?？煽?，可以抗高溫、紫外線甚至輻射，數(shù)據(jù)保持時間可達(dá)100年。與之相對比，EEPROM的數(shù)據(jù)保持時間一般為10年，而且該時間長度遇高溫、紫外線、輻射會迅速衰減。zui終研發(fā)成功的芯片參數(shù)見表1，外形放大圖見圖1。

圖1  采用XLPM研發(fā)成功的芯片外形放大圖

表1  采用XLPM研發(fā)成功的芯片參數(shù)

RFID標(biāo)簽設(shè)計

       用了自主設(shè)計的高安全性RFID芯片，芯片本身被造假幾乎是不可能的，但是一旦真的RFID標(biāo)簽被無損揭下并貼到山寨食品上，溯源還是失去了意義，這就導(dǎo)出了一個重要課題---RFID標(biāo)簽的防轉(zhuǎn)移。以防揭、易碎為指導(dǎo)思路，我們研發(fā)了各種防轉(zhuǎn)移RFID標(biāo)簽。其基本原理是通過特殊工藝使RFID天線在標(biāo)簽被揭下時損壞，達(dá)到使標(biāo)簽失效的目的。圖2是一個防轉(zhuǎn)移RFID標(biāo)簽設(shè)計案例。標(biāo)簽采用多層結(jié)構(gòu)，見圖3，特別是易碎面只有10微米的厚度。RFID標(biāo)簽貼到物品上以后，如果用力揭下，則易碎面會和PET層一起脫落，導(dǎo)致整個天線回路斷路，zui終RFID不能再工作。

圖2  防轉(zhuǎn)移RFID標(biāo)簽

圖3  防轉(zhuǎn)移RFID標(biāo)簽結(jié)構(gòu)示意圖

RFID食品溯源系統(tǒng)軟硬件平臺開發(fā)

       RFID食品溯源系統(tǒng)的軟硬件平臺是一個復(fù)雜的軟硬件協(xié)同系統(tǒng)，系統(tǒng)框圖見圖4。其工作原理為：食品廠商掌握著私有的初始化U-KEY，通過它可以為每個RFID標(biāo)簽生成各自獨(dú)立的128位密鑰;密鑰在產(chǎn)品出廠前被食品廠商寫入到RFID標(biāo)簽中，一旦寫入便不可讀出;消費(fèi)者手中的NFC手機(jī)內(nèi)置APP，一頭可以通過NFC與標(biāo)簽通訊，一頭可以通過移動互聯(lián)網(wǎng)與鑒真及溯源數(shù)據(jù)中心通訊，充當(dāng)媒介作用;鑒真過程實(shí)際上發(fā)生在插在數(shù)據(jù)中心服務(wù)器上的鑒真U-KEY內(nèi)，服務(wù)器僅起鑒真進(jìn)程調(diào)度和查詢溯源數(shù)據(jù)的作用。

圖4  RFID食品溯源系統(tǒng)軟硬件平臺系統(tǒng)框圖

       根據(jù)上述系統(tǒng)框圖，我們研發(fā)了如表2所示一系列軟件和硬件，將他們有機(jī)組合在一起，則形成了zui終的RIFD軟硬件平臺。平臺達(dá)到的zui終效果是，消費(fèi)者可以用自己的NFC手機(jī)（安裝特定APP）接觸是食品包裝上的標(biāo)簽，即可獲知是否是以及食品生產(chǎn)的完整溯源信息。驗(yàn)證過程如圖5所示。  

表2  RFID食品溯源系統(tǒng)軟硬件構(gòu)架

圖5 消費(fèi)者運(yùn)用溯源系統(tǒng)鑒別真?zhèn)蔚倪^程

RFID食品溯源系統(tǒng)的特點(diǎn)

當(dāng)然，安全是該軟硬件平臺與眾不同的特色，具體來說有以下兩個方面。

1.用邏輯+物理雙重手段對密鑰進(jìn)行深度保護(hù)

       密鑰的安全性是所有加密安全機(jī)制的核心，因此在芯片設(shè)計上已經(jīng)確保一旦寫入就無法讀出，而在應(yīng)用平臺中則采用了各種手段保證密鑰的安全，具體描述如下。

       (1)在芯片一邊，密鑰存儲在芯片內(nèi)部，在任何狀態(tài)下(包括在芯片出廠前)均不可讀出。還有一點(diǎn)非常重要，XLPM存儲器本身具有抗偵破特性。該存儲器寫入數(shù)據(jù)和未寫入數(shù)據(jù)相比，沒有固定的物理特征，從物理層面確保了密鑰的不可偵測性。總之，從邏輯到物理，在芯片上全面防護(hù)，確保密鑰的安全。

       (2)在系統(tǒng)通信鏈路上，傳輸?shù)臄?shù)據(jù)是UID、挑戰(zhàn)隨機(jī)數(shù)、隨機(jī)數(shù)加密后的密文，而并無密鑰本身，因此通過監(jiān)聽無法直接獲得密鑰。由于SM7算法本身是不可逆推的，要利用上述信息逆推密鑰也是不可能的。如采用暴力偵破的方法，平均需要運(yùn)算2的127次方次才可以成功1次。假設(shè)采用的暴力偵破設(shè)備的運(yùn)算能力是100億次/秒(注意，這里1次指1次完整的加密或解密運(yùn)算，它本身是復(fù)雜的多步運(yùn)算)，并且用聯(lián)網(wǎng)形式1億臺設(shè)備并行運(yùn)算(考慮到云計算的潛力)，總運(yùn)算能力是3.1536×1025/年。根據(jù)上述數(shù)據(jù)，暴力偵破需要5395141535403年才可以成功1次。

       (3)在鑒真及溯源數(shù)據(jù)中心一邊，是通過鑒真U-KEY存儲密鑰并完成SM7運(yùn)算。鑒真U-KEY不聯(lián)網(wǎng)，僅僅通過USB接口通知服務(wù)器鑒真結(jié)果而不輸出其他內(nèi)容。1.下載APP2.打開NFC3.產(chǎn)品掃描4.鑒別真?zhèn)我虼?，來自網(wǎng)絡(luò)的黑客即便控制了服務(wù)器也無法獲得密鑰，因而不足以破壞整個系統(tǒng)的安全性。此外，由于主機(jī)發(fā)出的挑戰(zhàn)隨機(jī)數(shù)是不重復(fù)的，也確保了“重放攻擊”無法實(shí)現(xiàn)。

2.用芯片+硬件+軟件結(jié)合的方法防濫用職權(quán)

       當(dāng)造假的獲利巨大時，造假常常來自機(jī)構(gòu)內(nèi)部。例如內(nèi)部職工可以拷貝內(nèi)部敏感數(shù)據(jù)，也可以利用現(xiàn)有設(shè)備非法初始化標(biāo)簽。當(dāng)其他方面已經(jīng)相當(dāng)安全時，如何構(gòu)造一套系統(tǒng)防止內(nèi)部人員濫用手中的職權(quán)造假就顯得非常重要。本軟硬件平臺采用軟硬結(jié)合的方法，可從密鑰管理機(jī)制、初始化標(biāo)簽的審計、權(quán)限管理等多方面進(jìn)行綜合防控。例如初始化標(biāo)簽的數(shù)量記錄在芯片內(nèi)隨時可查閱但不可篡改，再例如非法的設(shè)備無法寫標(biāo)簽(芯片內(nèi)部有口令保護(hù)功能，默認(rèn)關(guān)閉，客戶需要可在芯片出廠前設(shè)定開啟)。

小結(jié)

       綜上所述，凱路威將自主設(shè)計的RFID芯片、RFID標(biāo)簽、RFID軟硬件平臺組合在一起，初步形成了一個自成體系的RFID食品溯源系統(tǒng)。其特點(diǎn)是站在系統(tǒng)的高度，將各種技術(shù)融會貫通，確保了整個系統(tǒng)的高度安全，從而為溯源結(jié)果提供了信息安全保障，進(jìn)一步確保了食品安全。目前這套系統(tǒng)已經(jīng)應(yīng)用于酒類、茶葉、貴重金屬的鑒真溯源領(lǐng)域，并取得了不錯的效果。該系統(tǒng)有很好的擴(kuò)展性，在原有的鑒真、溯源功能基礎(chǔ)上，可以進(jìn)一步添加防竄貨、倉儲物流管理、客戶意見收集、大數(shù)據(jù)采集等功能。當(dāng)然，這需要深入與產(chǎn)業(yè)相結(jié)合，與客戶相結(jié)合。凱路威希望把自己有限的技術(shù)成果與業(yè)界同行分享，合作推動中國食品安全事業(yè)向前發(fā)展。