NFC 應用起飛元年 ─ UL 指出安全為核心問題並建議利基市場
NFC (Near Field Communication,近距離無線通訊) 即將全面滲透我們生活的每個層面。作為劃時代的通訊媒介,NFC 問世已經超過 10 年,應用層面也從手機資訊交換、行動支付、旅遊交通,延伸到智慧節能、智慧農業、智慧物流、醫療健康照護、智慧商務、自動化生產等等。據估計,截至 2015 年包括智慧型手機、平板電腦等內建 NFC 的裝置,將達到 5 億支。雖然其中還有技術問題需要克服,但國際產品安全測試及認證的領導者 UL (Underwriters Laboratories) 指出,廣泛應用 NFC 背後的核心問題,在於如何確保個人資訊和隱私不被破解或側錄,以避免資訊遭人惡意使用,對個人或組織造成莫大的損失。
UL 台灣總經理湯家德表示:「資料的加密性一直是 NFC 媒介最大的挑戰。由於傳輸的資料大多為私有資料,包括個人身分資料、財產資料、機器識別資料等等,為了避免個人隱私的洩漏,甚至影響到身家財產甚至生命的安全,NFC 必須採用一對一的絕對安全傳輸方式。而傳統 128 bit 的靜態加密功能雖能夠保障傳輸資料本身不會受到破解而被竄改,但是如果盜用者並非需要進行資料的篡改時,譬如鑰匙的複製,盜用者就不一定要採用破解的方式擷取資料,而可以透過一台全頻掃描的記錄器,側錄下所有加密後的資料並轉錄多份使用,在這樣的情況下,一般的靜態加密安全保護,等於徒勞無功,因此必須發展動態的加密模式,讓金鑰盜用者無法重複使用,才能應付更高等級的安全要求。」
儘管行動支付趨勢沛然莫之能禦,如國內的手機信用卡刷卡消費,最快年底就能上路;大陸中國移動、中國聯通及中國電信今年 3 月 31 日也與國內五大電信公司針對兩岸行動支付達成合作共識,兩岸往來未來可以利用手機刷卡購物,但仍無法掩蓋 NFC 一直不能做為大額交付的單一交易方法的事實,其原因就在於其交易的風險幅度仍然偏高。
但是 UL 觀察,當 NFC 系統不做為高保密性的用途時,其應用領域更為廣泛,尤其在「智慧型」產品或系統的應用上,例如:
- 智慧型保全:具有資訊辨識功能的 NFC 系統很適合做為智慧型的控制系統。目前已有廠商針對門禁系統提出動態加密的概念,也就是 NFC 內所儲存的資料會隨使用的情況與時間而改變,因此除非複製整個晶片,否則光是取得一次性的信號是無法重複使用的。如果要增強安全性,甚至可以採用雙晶片系統,當鑰匙丟失時,複製也會變得更為困難。
鑒於 NFC 系統屬於硬軟體混合的系統,UL 建議有意發展此一保全應用的相關業者,在安全性方面要解決資料輸出器到 NFC (硬體安全)、NFC 至讀卡機 (硬體安全)、讀卡機到資訊系統 (軟體安全) 的安全認證問題。業者可參考 UL 1034 防盜電鎖機制、UL 1037 防竊警報器及裝置、 UL 2058 高安全性電鎖、UL 249 門禁管制系統元件等標準。
- 物聯網:透過 NFC 提供近距離的關鍵性傳輸介面,建構物聯網 (Internet Of Things) 以促進各種系統的智慧化,是目前最被看好的領域之一,倉儲管理、智慧城市、智慧家庭、智慧醫療、智慧行動商務、智慧電網等皆屬此類。透過 NFC 標籤 (Tag) 的極低功耗、可長期記錄資料等特性,工業、生物科技、食品安全領域的製造商也可用極低的成本解決過去資料收集不易的問題。而目前大多數高階智慧型手機也開始內建 NFC,以做為手機對手機大量傳輸前的辨識介面,避免資料受到竊取的風險,並減少透過一般通信介面搜尋鄰近手機的能量耗費。
如前所述,技術不是問題,安全才是重點。例如物聯網應用之一的智慧電網,可依不同時段的實際用量,調節分配供電,產生節能效果,但 NFC 傳遞的資訊如室內用電量,卻可能成為竊賊探測闖空門時機的最佳參考資料。
UL 建議,有意進軍物聯網的業者在安全性方面可注意 NFC 設備及服務之間互聯互通的技術規範 ISO/IEC 14443 A & B,後台資訊交換系統 ISO/IEC 21481、15693、18092、7816,單元介面的相容性 (互通性) 測試標準,以及整套系統的可程式電子元件 (如微處理器、微電子) 軟體安全性標準 UL 1998、 IEC 61508、ISO/IEC 27001 等標準。
- 無線充電系統:2013 年可以說是智慧型手機無線充電元年。根據市調公司的資料指出,2013 年無線充電器銷售額將達到 1.8 億美元,其中絕大部分將來自於手機產業。今年所有主要品牌的中高階智慧型手機紛紛提供無線充電功能,國內廠商也正式為手機廠商代工量產無線充電器。無線充電應用已逐漸由智慧型手機拓展至平板裝置、筆記型電腦、遊戲機、電動車、家電等,市場研究公司即指出無線充電設備市場在 2013 年將達到 140 億美元的規模。
目前無線充電的兩大技術為電磁共振與電磁感應。UL 指出,統一的規範才能讓無線充電發展廠商有標準可循,不僅可縮短產品研發時程,並解決相容性問題,因此現階段有許多標準組織針對電磁感應與電磁共振技術研擬標準規範,其中無線充電聯盟 (Wireless Power Consortium, WPC) 已推出電磁感應技術的 Qi 標準,市場發展最快,UL 亦已率先提供 Qi 無線充電設備識別標誌的服務;而 A4WP (Alliance for Wireless Power) 支援的電磁共振技術標準則尚未出爐,但是電磁共振可解決電磁感應傳輸距離短的問題,提供消費者最佳的無線充電體驗。業界預測到 2015 年,電磁共振將取代電磁感應成為主流技術,因此 WPC 也成立了新的工作小組,討論電磁共振技術的規格。
UL 表示,為了節省能源的耗損,NFC 技術也被應用到智慧型無線充電系統,避免無線充電系統待機時的能量損耗、或者非目標物的無效或者竊電情況。結合無線充電與 NFC 技術,不但可提高普及度,還可大幅減少物料成本。目前運用在無線充電系統的標準包括 WPC Qi Version 1.1 標準、及用於低能耗產品的無線充電設備第一版 ANSI/UL 2738 安全認證標準。
儘管 NFC 的發展前景亮麗可期,但水可載舟亦可覆舟。NFC 應用愈普遍,個人私密和組織機密資料的安全風險也愈高。UL 建議業者在開發相關應用時,可善用第三方驗證單位的測試與培訓資源,檢查 NFC 裝置之間和整個生態系統的安全漏洞,才能推出牢不可破、具備市場競爭優勢的解決方案和服務。
# # #
UL 相關服務
目前在 NFC 相關領域,UL 可提供的服務範疇涵蓋顧問諮詢、測試暨驗證、安全性及教育訓練等,而包含的產品類別有小額支付、行動支付、大眾運輸與身份資料管理;現行 UL 合作單位包括 Visa、Master、AE、EMVCo、Discovery、JCB 等金融與卡片發行組織,採用的標準規範涵蓋 ISO 7816、EMVCo (Europay+Master+Visa)、VCPS (Visa Contactless Payment Specifications)、VCSP (Visa Chip Security Program)、Master Card CAST (Card Specific security Testing process) 等,評估的範圍除了晶片本身,亦包含讀卡機與通訊協定的互通性。