需要NFC/RFID嗎？未來(lái)不再遙遠(yuǎn)(上)

4 保證數(shù)據(jù)安全——只信任正版的從機(jī)設(shè)備

　　MAX66242使用SHA-256加密引擎實(shí)現(xiàn)讀卡器與從設(shè)備之間的安全、對(duì)稱、雙向安全認(rèn)證。SHA-256散列算法基于美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)頒布的安全散列標(biāo)準(zhǔn)FIPS PUB 180-4。SHA-256質(zhì)詢-應(yīng)答安全機(jī)制在主機(jī)和從機(jī)器件之間交換數(shù)據(jù)，是控制NFC/RFID讀卡器與哪些設(shè)備通信，以及如何與MAX66242無(wú)源標(biāo)簽通信的最好途徑。

　　SHA-256基于對(duì)稱密鑰進(jìn)行雙向、安全認(rèn)證，讀卡器(即發(fā)起者)僅接受正品標(biāo)簽;只有正品讀卡器可更改標(biāo)簽的存儲(chǔ)器。該方法假設(shè)便攜設(shè)備(采用MAX66242)和讀卡器系統(tǒng)具有相同的SHA-256安全算法。激活SHA-256時(shí)，便攜設(shè)備必須首先向NFC/RFID讀卡器提供有效應(yīng)答或響應(yīng)，以進(jìn)行安全認(rèn)證。并且便攜設(shè)備的應(yīng)答與接收到的質(zhì)詢及其儲(chǔ)存的密鑰相關(guān)。如果便攜設(shè)備應(yīng)答質(zhì)詢不正確，那么讀卡器系統(tǒng)(例如智能電話)將拒絕該便攜設(shè)備。

　　這種安全認(rèn)證機(jī)制的主要元素包括256位隨機(jī)質(zhì)詢、MAX66242的ROM ID以及密鑰本身。ROM ID為唯一的64位序列號(hào)，在制造過(guò)程中嵌入到標(biāo)簽中。讀卡器中必須設(shè)置相同的密鑰并進(jìn)行保護(hù)。圖3所示為安全門(mén)卡應(yīng)用示例，其中NFC/RFID在打開(kāi)房間門(mén)、防火門(mén)或防彈門(mén)之前發(fā)起質(zhì)詢-應(yīng)答認(rèn)證。

　　為確保以最經(jīng)濟(jì)的形式預(yù)防對(duì)此類安全I(xiàn)C的(不可避免的)惡意攻擊，無(wú)源標(biāo)簽采用專有的管芯級(jí)物理技術(shù)和相應(yīng)的電路、加密方法。這些防護(hù)技術(shù)可防止攻擊者為了克隆密鑰或更改專有的校準(zhǔn)數(shù)據(jù)而提取密鑰(破壞系統(tǒng)的安全機(jī)制)。

5 確保數(shù)據(jù)保護(hù)措施的安全性

　　保護(hù)數(shù)據(jù)安全至關(guān)重要，所以MAX66242提供4K位的用戶EEPROM，可劃分為開(kāi)放式訪問(wèn)區(qū)域(例如無(wú)保護(hù))或讀卡器必須通過(guò)EEPROM寫(xiě)操作安全認(rèn)證才可訪問(wèn)的區(qū)域。提供多種保護(hù)模式，包括EPROM仿真(EM)模式，允許使用不可復(fù)位的計(jì)數(shù)器，限制使用次數(shù)。激活EM模式時(shí)，標(biāo)簽中的個(gè)體存儲(chǔ)器位只能從1變?yōu)?，但不能從0變?yōu)?。一旦選中EM模式，則不可逆。這一過(guò)程是實(shí)現(xiàn)倒計(jì)數(shù)或限制便攜設(shè)備使用次數(shù)的最佳方式，可能是最具挑戰(zhàn)的工作。

　　EM模式也使OEM能夠更好地控制允許哪個(gè)NFC/RFID讀卡器系統(tǒng)連接，無(wú)疑是保護(hù)設(shè)備中儲(chǔ)存的校準(zhǔn)、配置以及診斷數(shù)據(jù)的絕佳方式。(未完待續(xù))