[toggle=on]
[title]导读[/title]
[content]本页内所有[toggle=off]
[title]这样的三角形[/title]
[content]再点一下,可以收拢。[/content]
[/toggle]皆可点击展开,内有更多内容。[/content]
[/toggle]
[toggle=on]
[title]概述[/title]
[content]实体商品防伪溯源的市场很大,是实现 NFG 必不可少的环节。目前市面上常见的系统主要以二维码或 RFID 标签伴随商品,无法真正实现目标。
不难看出,使用二维码伴随商品的方案完全无法防止复制。中间环节的攻击者只要把同样的二维码贴在假货上,就能无声无息地将真货换走。
用 RFID 标签稍好一点,因为复制标签相对困难。但只要攻击方拥有合适的设备,也能复制出一个同样 ID 的标签。甚至把真货上的标签铲下来贴在假货上也并非难事。
为了解决上述品类的缺陷,本文提出[b]智能包装[/b]这一设计,以可计算设备伴随商品,一方面可防止身份数据被复制,另一方面能与商品紧密伴随,防止非法分离。基于非对称加密算法,可以提供理论上最高安全等级的、真正的防伪溯源。
[/content]
[/toggle]
[toggle=on]
[title]组成要素[/title]
[content][toggle=on]
[title]角色[/title]
[content]厂家、各级中间商、消费者。均以公钥标识身份。
厂家与中间商都是实名机构,没有去中心化需求。[/content]
[/toggle]
[toggle=on]
[title]设施[/title]
[content][toggle=off]
[title]智能包装[/title]
[content][a=pack]智能包装的作用是在销售流程中始终伴随产品,为产品提供证明自身真实的能力。
智能包装首先是装载产品的外包装,可以是盒状、罐状等。在厂商生产时即为产品加上智能包装,直至消费者买下产品后开启,此过程中产品与智能包装不分离。
智能包装也是一台计算机,能生成非对称加密的密钥并执行签名/验证运算,为产品提供惟一、可验证的身份标识。智能包装主要有两项功能:
1、在运输过程中监视自身状态,如果被外力解除与产品的装载关系,记录此事件。
2、消费者在购买时以[goto=terminal]用户设备[/goto]与智能包装连接,智能包装向消费者出示并验证自身公钥,并记录购买事件。
[hr][b]配置与成本[/b]
智能包装的基本硬件配置包括处理器、内存、非易失存储器、与用户设备通信的数据接口、自身状态传感器、电池等。
通信接口低配为有线接口,可升级为蓝牙、WIFI或 4G/5G 接口。如果标签支持,也可连接 [goto=rfid]RFID 标签[/goto]作为无线通信接口。
在基本配置基础上可增加显示屏、输入键盘等。
智能包装可以回收重用以摊低成本。
如不回收,消费者打开智能包装后可将之用作带电子锁的储物盒,或者重用于邮寄业务。
[hr]
智能包装有四种工作状态,每个任务流程由备用状态开始,其后转换关系如下:
[b][a=stfree]备用状态[/b]-此时智能包装开启。若装载目标产品并上锁,即进入[goto=stwork]闭合状态[/goto]。
[b][a=stwork]闭合状态[/b]-此时智能包装关闭。若满足开锁条件即开锁,进入[goto=stfinish]完成状态[/goto];若探知未开锁而被拆开,即进入[goto=stfail]失败状态[/goto]。
[b][a=stfinish]完成状态[/b]-此时智能包装开启。
[b][a=stfail]失败状态[/b]-此时智能包装开启与关闭皆可。
[/content]
[/toggle]
[toggle=off]
[title]RFID 标签[/title]
[content][a=rfid]在每个[goto=pack]智能包装[/goto]之内贴一个 RFID 标签。
如果智能包装也支持以无线方式批量读取 ID,可以不加 RFID 标签。
RFID 是常用的溯源方案,但不能完美实现防伪。因 RFID 标签内部保存的 ID 与外部可读的 ID 一致,读取 ID 后只要有同样的生产设备即可仿制标签。
使用各种标签防伪的思路是把安全建立在对资源的垄断上,要保证“好的”供应商拥有特定的设备/工艺/材料,能制造这样的标签,而造假者不能制造。这样的预期并非十分可靠。相比之下[goto=pack]智能包装[/goto]在每次任务流程起始时生成一对公私密钥,可供外界读取的只是公钥,再以内置的私钥验证公钥的真实,私钥只保存在智能包装内,无法读出,无法仿造。这样才是[b]将安全建立在密码学的基础上[/b]。
另外,用刀片将(即使是易碎的)RFID 标签铲下来再粘到假货上也是可行的仿冒方法。
本方案使用 RFID 标签是为了利用其远程读取 ID 的功能,可在物流过程中高效跟踪商品的位置。防伪功能由智能包装实现。即使[goto=terminal]消费者的手机[/goto]不能扫 RFID 也没有关系。
[/content]
[/toggle]
[toggle=off]
[title]用户设备(手机)[/title]
[content][a=terminal]用户设备是消费者使用的可计算设备,可以是手机、平板、电脑等(在流程描述中简称手机)。
在用户设备上运行专用程序(APP),可以与[goto=pack]智能包装[/goto]通信,验证智能包装及产品的可靠性。同时,用户设备能访问互联网,由厂家或[goto=blockchains]区块链[/goto]读取数据。由于成本限制,智能包装难以自行上网,用户设备可以成为智能包装与互联网连接的中间设备。
普通手机安装 APP 即可使用,只须支持常规数据接口(USB、蓝牙或摄像头与显示屏)即可与智能包装通信,无须专用硬件(RFID、NFC等)支持的扫无线标签功能。[b]不会构成对消费者的歧视[/b]。
如果由智能包装生产者(而非目标产品生产者)主导开发 APP,有可能将各家目标产品整合在一起,形成一个可信的电商平台。[/content]
[/toggle]
[toggle=off]
[title]区块链[/title]
[content][a=blockchains]区块链用于提供不可篡改的数据记录。
厂家、中间商与消费者对产品的每次操作都记录在区块链上,构成可信的公域数据。
本方案所用的区块链包括[goto=pubchain]公链(可选)[/goto]、[goto=privchain]厂家私链[/goto]、[goto=oochain]物权链[/goto]三种。
[toggle=on]
[title]厂家私链[/title]
[content][a=privchain][b]厂家私链[/b]是由厂家维护的私链,用于记录产品出厂之前的信息。
私链区别于公链之处在于,只有它的控制人(厂家)有权添加区块,其他人只读,因此不需要共识算法,没有费电、性能低下、51%攻击等问题。本方案不需要考虑去中心化。
厂家每销售一批产品之前,为每件产品加上智能包装,将每件智能包装的公钥与对应产品的[toggle=off]
[title]固有信息[/title]
[content][a=static]生产时添加:规格、等级、生产时间、原料产地等;
出厂时添加:出厂时间、销售对象等。
也可以只加一个区块记录以上所有信息。[/content]
[/toggle]共同写入一个区块,加在厂家私链上。消费者购买时从智能包装中读取公钥,按公钥到此链上核实产品信息。
[b]公链存证[/b]
[a=pubchain]考虑到消费者可能对私链区块标称的添加时间产生争议,厂家可以将私链区块的 ID 添加到公链上作为时间证据(有免费的存证业务)。如果私链区块较密也可以隔几个区块添加一次。[/content]
[/toggle]
[toggle=on]
[title]物权链[/title]
[content][a=oochain][b]物权链[/b]是一种面向对象的可易主私链群。详细文档见此(由于溯源业务无须考虑去中心化,物权链的实施比详细文档中论述的更简单)。
前述[goto=privchain]厂家私链[/goto]与公链一样,都是只有一条链,在每个区块上集中记录多个对象的数据。而物权链是对每个对象单独建立一条区块链,每添加一个区块只描述此对象的一次状态改变。
在溯源业务中,每条物权链的记录对象是一件产品的销售过程。
厂家在产品出厂前为每件产品建立一条物权链,在每条物权链上添加区块,记录对应的单件产品的[goto=static]固有信息[/goto],在出厂时再通过添加区块将此物权链的控制权交给经销商。
物权链也是私链,只有控制人能加区块,而特别之处在于,它的控制人可以改变。当前的控制人(厂家)添加一个区块,在区块中写明将此链转交给经销商,经销商就成了此链新的控制人。此后,只有经销商有权添加区块来记录产品状态的改变,直到将控制权交给别人。
当每一级经销商将此产品卖给下一级经销商,同样通过添加区块将对应物权链的控制权交出去。当消费者购买产品时,末级经销商(零售商)同样通过添加区块将对应物权链的控制权交给消费者。这些区块经过广播全网可见。此物权链记下了从厂家到消费者的逐级转交控制权的证据,足以证明消费者是此产品的合法控制人。消费者将此物权链整体输入智能包装,即可开锁。
物权链禁止分叉。如果某个位置的控制人添加了多个并列的区块,这些区块都有他的签名,可以追究分叉者作弊的责任。
[b]为什么用物权链?[/b]
似乎还有其它方案可以让智能包装认可消费者的身份。例如,所有中间商都仿照[goto=privchain]厂家私链[/goto]建立一条自己的私链,或者中间商与厂商共同建立一条联盟链,将每一批次购入、售出的产品集中记录在私链/联盟链上。智能包装通过验证这些私链/联盟链,也能认定消费者的控制权。
这种方式的问题在于数据量过大。产品的销售流程可能需要数月或数年,这段时间里私链或联盟链会积累成千上万个区块,而每个区块都记录着众多产品的信息,尺寸至少以 M 计。消费者要对智能包装证明自己的身份,只能将这些区块输入智能包装,等智能包装一一验证,对智能包装的运算、存储和通信能力构成极大的考验。
相比之下,每条物权链专用于记载单件商品的数据,在整个销售流程里只产生个位数的区块,每个区块不超过 1k,更便于智能包装处理。[/content]
[/toggle][/content]
[/toggle]
[/content]
[/toggle][/content]
[/toggle]
[toggle=on]
[title]流程[/title]
[content][toggle=on]
[title]从生产到出厂[/title]
[content]厂商在出厂之前的操作:
1、为每件产品加上[goto=pack]智能包装[/goto],令智能包装生成一对独立的公私钥;
2、为每件产品创建一条[goto=oochain]物权链[/goto],将产品和包装的[goto=static]固有信息[/goto]记在物权链上,生成可用于验证固有信息的物权链 ID;
3、将同批所有产品的固有信息集中记录在[goto=privchain]厂家私链[/goto]上。[/content]
[/toggle]
[toggle=on]
[title]各级经销商[/title]
[content]产品出厂后,经各级经销商转手到达消费者之前,产品与智能包装不应分离。每次转手时,转手前的控制人应向每件产品的[goto=oochain]物权链[/goto]添加区块,将控制权转交给下级经销商。
在此过程中智能包装应处于[goto=stwork]闭合状态[/goto]。
如果有人开了锁,智能包装进入[goto=stfinish]完成状态[/goto]。
如果有人未开锁,强行打开包装,智能包装进入[goto=stfail]失败状态[/goto]。
智能包装不能由完成状态或失败状态回到闭合状态。
智能包装通过传感器检查自身状态,探查包装被拆开事件。防拆方案有多种,成本较低的有:
[toggle=off]
[title]感光式[/title]
[content]适用于封闭式包装。
包装封闭后,内部处于黑暗之中,再次见到光亮表明包装被拆开。因此可以用感光器件探查被拆事件。
采用原理如同光电池的器件有可能无须持续的电源支持。[/content]
[/toggle]
[toggle=off]
[title]气压式[/title]
[content]适用于封闭式包装。
内置气压传感器,在包装封闭前令内部气压升高或降低,封闭后如果发现气压恢复到正常大气压水平,即可判断包装被拆开。
可配合食品的真空包装使用。
气压变化可引发机械运动产生电流,可能无须持续的电源支持。[/content]
[/toggle]
[toggle=off]
[title]导线式[/title]
[content][a=line]适用于封闭式或网状(笼状)包装。
构造一根盘绕在包装体的大部分区域的导线,拆开包装时会切断导线而被查知。
对于网状包装体,可以将细导线植入包装网体之内;对于盒状、袋状的包装体,可以用导电油墨在包装体内表面绘制导线。[/content]
[/toggle]
如果对成本不敏感,还可以有以下方案:
[toggle=off]
[title]电网式[/title]
[content]电网式是对[goto=line]导线式[/goto]的升级。对于导线式,攻击者如果能探知导线的确切走向,有可能先打开一个小洞,植入一根替代导线,使之与防拆导线并联,再切断防拆导线而避免被发现。
电网式是在包装体上构造一个电网,等效成由许多电阻在经纬方向连接成的网状电路(还可以添加其它电子元件),切开包装体就会改变电路结构。在此电网上选择输入点和输出点,向输入点输入特定电信号,以输出点输出的信号为标准输出。在包装封闭后不断输入同样的信号,一旦输出信号发生显著改变即可判断包装被拆开。此方式对电信号的探测更加细致,每个包装的输入输出点可随机选取,由于网状电路被部分改变后对输出信号的影响难以预知,可避免被植入替代导线欺骗。[/content]
[/toggle]
[toggle=off]
[title]化学式[/title]
[content]适用于封闭式包装。
在包装中内置气体探测器。封闭包装之前,充入多种气体,封闭后以探测器记录的气体成分比例为标准值。不断探测气体成分,发现比例显著改变时即可判断包装被拆开。
某些化学式方案(例如使用原理如同燃料电池的氧气传感器)可能无须持续的电源支持。[/content]
[/toggle]
[toggle=off]
[title]声学式[/title]
[content]适用于硬质材料制作的包装体。
与电网式类似,在硬质包装上安置多处发声器与收声器,记录正常状态的声学特征,由声学特征的改变发现包装损毁。
1、对于陶瓷之类的硬质包装材料,如果以钻或磨等机械方式损毁,则发出的声音难以阻断。
2、硬质材料缺损之后,即使只穿出一个极小的洞,整体声学特征也会发生改变。
3、当攻击者通过包装的缺损盗取内容商品(例如酒)时,内容量的变化也会改变容器的声学特征。[/content]
[/toggle]
以上各种方案可以组合使用。
[/content]
[/toggle]
[toggle=on]
[title]销售[/title]
[content]消费者从末级经销商手中购买产品时,用[goto=terminal]手机[/goto]与[goto=pack]智能包装[/goto]连接(低配方案为通过 USB 线连接),作两方面的验证:
[toggle=on]
[title]一、消费者确认产品可信[/title]
[content]消费者须确认以下几个项目:
1、包装与产品完好;
2、读取智能包装的状态,确认处于[goto=stwork]闭合状态[/goto];
3、读取智能包装的公钥,由[goto=privchain]厂家私链[/goto]确认此公钥有效且装载的产品符合预期;
4、输入一组数据令智能包装签名,确认公钥真实。
上述检验都通过,即可信任产品。[/content]
[/toggle]
[toggle=on]
[title]二、智能包装确认消费者合法[/title]
[content]智能包装也要确认消费者合法才能开启,这个环节的作用有:
1、确认消费者身份,为售后服务/纠纷处理预留证据;
2、记录销售过程的完整数据,便于开展大数据市场分析;
3、在一定程度上起到防盗作用;
4、可用于厂家直销业务(在出厂时已经确定了消费者的身份)。
5、对于限量版商品,公示每件商品的最终消费者可以消除实际产销量多于名义产销量的疑虑。
验证步骤为:
1、由末级经销商向此产品对应的[goto=oochain]物权链[/goto]上添加区块(添加之前末级经销商是控制人),将控制权交给消费者(以公钥标识);
2、消费者将完整的物权链输入智能包装,证明自己的公钥有控制权;
3、智能包装输出一组数据,消费者立即对数据签名后传回,证明自己的公钥真实。
以上验证通过后,智能包装可确认消费者的合法身份,授权消费者向物权链上添加记录最终销售事件的区块,转换到[goto=stfinish]完成状态[/goto],开启。[/content]
[/toggle]
[/content]
[/toggle]
[toggle=on]
[title]售后[/title]
[content]消费者如需将产品转送给他人,也可以向[goto=oochain]物权链[/goto]上添加转移控制权的区块,新的控制人还可以继续转送。
当前控制人可以向物权链上添加对产品的评价。
智能包装可以在购买时由末端经销商回收,再送回厂家重用。如果厂家在异地,可积累多件一同发送,也可仅将智能包装上的电子部件拆下来回收以降低运费。
如未回收,产品控制人可以将智能包装当作带电子锁的储物盒使用,或重用于运送其它物品。
[/content]
[/toggle][/content]
[/toggle]
[toggle=on]
[title]价值[/title]
[content]与基于各种标签的溯源系统相比,本方案的优势有:
1、[b]不挑手机[/b]。消费者的手机只要具备基础通信接口即可与智能包装通信,而扫读标签数据的硬件并非每种手机都有。手机无此功能的消费者无法溯源,会感到受到歧视。
2、基于非对称加密的防伪方案的[b]安全性高[/b]于其它方式。智能包装在任务流程开始时自主生成私钥,在整个任务流程中,没有其它设备能访问私钥,也无须对大量数据批量签名,完备地保证了安全性,无法攻击。
以安全性为第一出发点。即使硬件成本高、用法复杂,只要确保安全,成为防伪溯源界的顶级配置,就能对其它技术构成降维打击。未来,智能包装将逐渐成为高档商品的标配,以及标志。
3、可认证消费者身分,扩展[b]售后功能[/b]。智能包装将真实消费者的身份记录在物权链上,令后续的使用评价、售后服务、广告推送及社交互动能够可靠地进行。如果由智能包装生产者而非目标商品厂商开发 APP,可以整合所有厂商,建立高安全性的电商平台。
4、更好的[b]防拆[/b]能力。智能包装将产品整个包覆起来,可(同时)使用多种防拆传感器,攻击者不可能不拆开包装而触及产品。而标签与产品的接触面较小,容易拆除。
5、一定的[b]防盗[/b]能力。智能包装要认证消费者合法才开启,非合法消费者只能硬凿。
6、系统[b]结构简单[/b]。除区块链外不依赖其它数据源,特别是无须在网上保存私密数据,不怕骇客攻击。且对访问网上区块链的实时性要求很低,消费者如果提前准备好物权链与厂家私链的数据,开锁时可以不必接入互联网。
7、可[b]回收重用[/b]。智能包装可以在购买时由末端经销商回收,再送回厂家重用。多次重用摊薄的成本可能比标签更低。[/content]
[/toggle]
[toggle=on]
[title]展望[/title]
[content]未来技术进步后,本系统可以有以下改进:
1、待物联网体系完备:在智能包装上加入 5G 通信模块,随时在线。可简化数据传输过程,增强防盗能力。
2、本方案是物权链商业世界的第一块拼图。由于物权链具有面向对象的特性、省电且性能可水平扩展,以单独的物权链记录供应、生产、销售、使用、回收环节上的每一个对象,可以精确、可信、规模无上限地记录整个世界的商业运行。[/content]
[/toggle]