2015年年底,中国自主研发的一项物联网安全关键技术TRAIS被纳入国际标准,成为中国在物联网核心技术RFID领域的首个国际标准。这条新闻在第二届世界互联网大会召开期间,经新华社记者挖掘并报道,被各大媒体广泛转载,但这项技术究竟指的是什么?记者就此详细采访了这项技术的研发者西电捷通公司RFID安全技术项目组。
“这个也太麻烦了吧。”黄振海掂着记者给他展示的“超级安全钱包”——某国外品牌生产的射频识别防护RFID钱包笑着说。
在淘宝网的页面上,是这样介绍这款钱包的:随身携带公交卡、信用卡、身份证有安全问题吗?别人只要有读卡设备,就能在不接触的情况下,获取身份信息,甚至直接消费你卡中的费用。XX牌钱包,基于电磁屏蔽原理,把这些卡放入其中,就无需担心了。海淘预定,20-25天发货。
“这属于基础共性问题,不应该把安全防护的责任转移到每个消费者头上嘛,人人都要买一个,太浪费了。而且,一旦卡离开了卡包,不还是不安全吗。”黄振海摇摇头。
“TRAIS能解决这问题吗?”
“能,TRAIS能抵抗RFID所面临的标签伪造、数据窃听、篡改等安全威胁。TRAIS技术的全称是Tag and Reader Air Interface Security,就是标签与读写器空中接口安全。只要这些卡的生产商采用了TRAIS技术,消费者就不用买特殊卡包了。”西电捷通副总经理、TRAIS项目组主要成员黄振海对本报记者说。
RFID的天然缺陷
TRAIS属于是物联网核心技术RFID范畴。2015年12月的世界互联网大会期间,“西电捷通牵头自主研发的RFID技术被纳入国际标准,成为中国在物联网核心技术RFID领域的首个国际标准”的新闻在行业内刷了一天屏,不少记者都给黄振海打电话核实。
听上去专业程度很高,但RFID离公众并不遥远——二代身份证、小区门禁、高速公路ETC通道,包括国内主要电商的物流都是RFID的天下,如果没有RFID的帮助,头天下单第二天收货只能停留在蓝图中。
但是RFID有它的安全缺陷。因为RFID是非接触识别技术,所以读写器与电子标签之间的指令、识别码以及数据传输都是通过无线电波在空中完成,这是一个并不安全的信道,如果不采取任何安全防护机制,那么将会面临标签伪造、空口通信数据被窃听、篡改、泄露等安全威胁。例如,通过采用窃听技术,分析微处理器正常工作过程中产生的各种电磁特征,来获得 RFID 标签和读写器之间或其它 RFID 通信设备之间的通信数据;通过扫描标签和响应读写器的探询,寻求安全协议、加密算法以及它们实现的弱点,进行标签内容的删除或篡改等攻击。
“实现RFID系统的安全、保护电子标签持有人的隐私是RFID技术发展的关键安全问题。从技术上看,只要保障读写器和标签通信过程的安全,也就是空中接口安全,就能从根本上最大程度保障RFID安全。”西电捷通公司RFID项目组成员、也是申报国际标准时的项目编辑杜志强博士介绍说。
“其实RFID很简单,主要构成就是读写器、电子标签、操作系统。读写器和标签是硬件,操作系统是软件。但是,读写器和电子标签是两个不同的硬件,操作系统也不一样,它们之间怎么通信呢?靠网络通信协议。网络通信协议就是网络上不同硬件之间‘对话’的语言,不同的硬件安装上同样的网络通信协议就可以实现对话。TRAIS技术就是立足于网络通信协议的安全技术。”杜志强博士向记者解释道。“可以说,TRAIS的加入使RFID技术更加健壮,更加可靠。”
TRAIS能满足RFID最高安全强度要求
为了更好地向记者解释TRAIS技术,西电捷通公司RFID项目组技术验证及工程化负责人、高级工程师张国强向记者展示了TRAIS工程化的一组样品:一台读写器和几瓶包含电子标签的高档白酒。当读写器扫描瓶身时,读写器连接的电脑屏幕上出现了一些数据项,包括该物品的品名、生产日期、编号、质量、何时入库、何时出库等。当读写器扫描伪造的白酒时,系统自动报警。张国强解释说,西电捷通公司在RFID领域根据不同安全强度同时开展了几项安全技术研发,正在演示的是其中一个安全等级的技术。
张国强解释说,因为需要服务的物品不同,电子标签的安全强度也是千差万别,成本几角钱一个的不干胶粘贴式电子标签,其安全强度当然不如成本上百元、自带电池、蓝牙的纽扣式、卡片式电子标签。那些安全需求比较强烈的物品,就要用高性能的电子标签。“比如食品安全领域,就非用安全强度高的电子标签不可,一方面能防伪,一方面能追溯。”
张国强介绍说,TRAIS是一项完全自主创新的技术,2005年立项,2009年开始进行技术验证和工程化工作,直到2014年,西电捷通与北京烽火联拓公司合作研发了令人满意的样品后,工程化工作才算完成。“搞技术的公司肯定是要做技术验证和工程化的,研发的目的当然是要支持应用。TRAIS能满足RFID最高安全强度要求,就是因为市场有这个需要。”
TRAIS技术的工程化遗憾
西电捷通是一家知识密集型企业,以知识产权授权和设备定制为主,当用户有需求时,西电捷通会协助用户的产品供应商完成产品的技术设计,所以,公司一直非常重视技术验证和工程化这个环节。张国强表示,为了支撑合作伙伴做成可交付的市场化产品,TRAIS在算法选择、产品的功耗、协议的一致性、互通性等环节都开展了扎实的工作。比如,在2.45GHz频率、有源这个领域中,如何节省系统的电池电量?“之前RFID产品没有考虑安全问题,其产品成本、功耗水平相对较低,在增加安全之后怎样能保持一个相对合理的成本水平、功耗水平?我们已经把这个问题解决在了合理的范围。”张国强说。
为满足市场要求,西电捷通与上海秀派、北京睿芯联科、北京烽火联拓等产业合作伙伴共同开发了植入TRAIS技术的RFID产品,保证TRAIS产品实现的标准符合性、完整性和互通性。同时,公司积极研发TRAIS密码安全协议模块产品,将密码算法、TRAIS协议集成到硬件模块中形成TRAIS安全协议套件,方便设备厂商快速集成形成产品。另外,TRAIS协议检测系统也开发完毕,为TRAIS产品进入市场做好充分准备。
不过,西电捷通对TRAIS的工程化还是带着遗憾的。张国强表示,按照ICT行业国际主流分工,TRAIS这样的基础安全协议应该被集成到RFID通信芯片内,但目前在国内,要把密码安全协议都集成进芯片在技术上还存在困难。西电捷通最终还是把密码算法和安全协议都做到了安全模块里,与芯片板级集成,通过软件调用TRAIS,实现对RFID的防护。“还是应该努力实现芯片集成,这是一个趋势,我们还将继续努力。”
黄振海也表示,这个遗憾与国内ICT行业的分工协作现状有关,国内用户对网络安全技术的认知还停留在应用软件上,往往不重视硬件系统的安全性,什么性能不足了,就把应用软件打几个补丁补一补,这种被动的模式不利于提升系统的网络安全,“往往出现盖住了头盖不住脚的情况”,应该从提升硬件系统的安全水平入手,做好网络基础设施建设。芯片内集成安全技术或板级集成安全模块都能有效地提升硬件系统的安全性。