2015年年底,中国自主研发的一项物联网安全关键技术TRAIS被纳入国际标准,成为中国在物联网核心技术RFID领域的首个国际标准。这条新闻在第二届世界互联网大会召开期间,经新华社记者挖掘并报道,被各大媒体广泛转载,但这项技术究竟指的是什么?记者就此详细采访了这项技术的研发者西电捷通公司RFID安全技术项目组。
“这个也太麻烦了吧。”黄振海掂着记者给他展示的“超级安全钱包”——某国外品牌生产的射频识别防护RFID钱包笑着说。
在淘宝网的页面上,是这样介绍这款钱包的:随身携带公交卡、信用卡、身份证有安全问题吗?别人只要有读卡设备,就能在不接触的情况下,获取身份信息,甚至直接消费你卡中的费用。XX牌钱包,基于电磁屏蔽原理,把这些卡放入其中,就无需担心了。海淘预定,20-25天发货。
“这属于基础共性问题,不应该把安全防护的责任转移到每个消费者头上嘛,人人都要买一个,太浪费了。而且,一旦卡离开了卡包,不还是不安全吗。”黄振海摇摇头。
“TRAIS能解决这问题吗?”
“能,TRAIS能抵抗RFID所面临的标签伪造、数据窃听、篡改等安全威胁。TRAIS技术的全称是Tag and Reader Air Interface Security,就是标签与读写器空中接口安全。只要这些卡的生产商采用了TRAIS技术,消费者就不用买特殊卡包了。”西电捷通副总经理、TRAIS项目组主要成员黄振海对本报记者说。
RFID的天然缺陷
TRAIS属于是物联网核心技术RFID范畴。2015年12月的世界互联网大会期间,“西电捷通牵头自主研发的RFID技术被纳入国际标准,成为中国在物联网核心技术RFID领域的首个国际标准”的新闻在行业内刷了一天屏,不少记者都给黄振海打电话核实。
听上去专业程度很高,但RFID离公众并不遥远——二代身份证、小区门禁、高速公路ETC通道,包括国内主要电商的物流都是RFID的天下,如果没有RFID的帮助,头天下单第二天收货只能停留在蓝图中。
但是RFID有它的安全缺陷。因为RFID是非接触识别技术,所以读写器与电子标签之间的指令、识别码以及数据传输都是通过无线电波在空中完成,这是一个并不安全的信道,如果不采取任何安全防护机制,那么将会面临标签伪造、空口通信数据被窃听、篡改、泄露等安全威胁。例如,通过采用窃听技术,分析微处理器正常工作过程中产生的各种电磁特征,来获得 RFID 标签和读写器之间或其它 RFID 通信设备之间的通信数据;通过扫描标签和响应读写器的探询,寻求安全协议、加密算法以及它们实现的弱点,进行标签内容的删除或篡改等攻击。
“实现RFID系统的安全、保护电子标签持有人的隐私是RFID技术发展的关键安全问题。从技术上看,只要保障读写器和标签通信过程的安全,也就是空中接口安全,就能从根本上最大程度保障RFID安全。”西电捷通公司RFID项目组成员、也是申报国际标准时的项目编辑杜志强博士介绍说。
“其实RFID很简单,主要构成就是读写器、电子标签、操作系统。读写器和标签是硬件,操作系统是软件。但是,读写器和电子标签是两个不同的硬件,操作系统也不一样,它们之间怎么通信呢?靠网络通信协议。网络通信协议就是网络上不同硬件之间‘对话’的语言,不同的硬件安装上同样的网络通信协议就可以实现对话。TRAIS技术就是立足于网络通信协议的安全技术。”杜志强博士向记者解释道。“可以说,TRAIS的加入使RFID技术更加健壮,更加可靠。”
TRAIS能满足RFID最高安全强度要求
为了更好地向记者解释TRAIS技术,西电捷通公司RFID项目组技术验证及工程化负责人、高级工程师张国强向记者展示了TRAIS工程化的一组样品:一台读写器和几瓶包含电子标签的高档白酒。当读写器扫描瓶身时,读写器连接的电脑屏幕上出现了一些数据项,包括该物品的品名、生产日期、编号、质量、何时入库、何时出库等。当读写器扫描伪造的白酒时,系统自动报警。张国强解释说,西电捷通公司在RFID领域根据不同安全强度同时开展了几项安全技术研发,正在演示的是其中一个安全等级的技术。