3月5日����,新華社報(bào)道稱(chēng),中國(guó)企業(yè)西電捷通公司研發(fā)的三元對(duì)等實(shí)體鑒別(TePA-EA)系列技術(shù)(共5項(xiàng))已被國(guó)際標(biāo)準(zhǔn)組織正式發(fā)布成為國(guó)際標(biāo)準(zhǔn)���,并高度評(píng)價(jià)其“這是我國(guó)在基礎(chǔ)技術(shù)領(lǐng)域?yàn)槿?a href="http://www.icaiban.com/tag/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8" title="瀏覽關(guān)于“網(wǎng)絡(luò)安全”的文章" target="_blank" class="tag_link">網(wǎng)絡(luò)安全做出的又一重要貢獻(xiàn)”�����。
基礎(chǔ)技術(shù)����、全球網(wǎng)絡(luò)、重要貢獻(xiàn)——這似乎是在通告一個(gè)重量級(jí)技術(shù)標(biāo)準(zhǔn)的誕生�,而事實(shí)也正是如此。實(shí)體鑒別從屬網(wǎng)絡(luò)安全基礎(chǔ)技術(shù)序列���,被視為網(wǎng)絡(luò)安全“第一關(guān)”����,重要性毋庸置疑����。
什么是實(shí)體鑒別?
打個(gè)比方�。兩個(gè)陌生人會(huì)面,一般的流程是:打招呼——確認(rèn)身份——握手交談�,大體如此。其實(shí)��,這樣的交互邏輯在網(wǎng)絡(luò)世界中同樣存在�。
當(dāng)你的終端設(shè)備(電腦、手機(jī)等)試圖連接網(wǎng)絡(luò)時(shí)����,終端與網(wǎng)絡(luò)之間的第一個(gè)動(dòng)作就是“打招呼”(普遍意義上的連網(wǎng)請(qǐng)求��,通常由終端側(cè)發(fā)起���,有時(shí)也可能由網(wǎng)絡(luò)側(cè)發(fā)起),專(zhuān)業(yè)術(shù)語(yǔ)稱(chēng)之為“關(guān)聯(lián)”����,主要是探測(cè)網(wǎng)絡(luò)是否有信號(hào),以確認(rèn)雙方在物理上是否能夠連得上����。
接下來(lái)就是“確認(rèn)身份”——終端與要接入的網(wǎng)絡(luò)之間互相進(jìn)行身份的識(shí)別與驗(yàn)證��,以此保證合法終端接入合法網(wǎng)絡(luò)�,這一過(guò)程就是“實(shí)體鑒別”。直觀來(lái)看��,它是網(wǎng)絡(luò)安全的第一道關(guān)口��。這道關(guān)口通過(guò)之后����,剩下的就是“握手交談”的正常網(wǎng)絡(luò)通信環(huán)節(jié)了���。
在現(xiàn)實(shí)生活中,陌生人之間確認(rèn)彼此身份的方法可以有很多種��,譬如可以用事先約定好的暗號(hào)����,見(jiàn)面后對(duì)上了暗號(hào)就意味著找對(duì)了人?;蛘吒苯右稽c(diǎn),大家先亮出身份證��,彼此檢驗(yàn)一下�,確認(rèn)是公安機(jī)關(guān)發(fā)放的可信證件,這樣也意味著找對(duì)了人��。類(lèi)似地�����,網(wǎng)絡(luò)環(huán)境下的實(shí)體鑒別技術(shù)也存在多個(gè)分支�。
實(shí)體鑒別很重要,所以在全球網(wǎng)絡(luò)尚處于蠻荒時(shí)代的1991年���,第一項(xiàng)實(shí)體鑒別國(guó)際標(biāo)準(zhǔn)——實(shí)體鑒別總體要求便被制定出來(lái)����,標(biāo)準(zhǔn)號(hào)是ISO/IEC 9798-1,后續(xù)又陸續(xù)發(fā)布了ISO/IEC 9798系列國(guó)際標(biāo)準(zhǔn)的其他部分�,分屬于實(shí)體鑒別的不同技術(shù)分支,比如:ISO/IEC 9798-2�����,學(xué)名叫“采用對(duì)稱(chēng)加密算法的機(jī)制”�,通俗來(lái)說(shuō)類(lèi)似于前述的“暗號(hào)法”;ISO/IEC 9798-3����,學(xué)名叫“采用數(shù)字簽名技術(shù)的機(jī)制”,它類(lèi)似于前述的“身份證法”��。
比較而言�����,在ISO/IEC 9798序列里���,“身份證法”的安全級(jí)別更高,也更適合大規(guī)模使用����,從技術(shù)應(yīng)用的演進(jìn)趨勢(shì)來(lái)看���,隨著實(shí)體(硬件平臺(tái)等)的資源受限問(wèn)題逐步得到解決,ISO/IEC 9798-3的應(yīng)用會(huì)更加廣泛�。
什么是三元對(duì)等?
此次新華社報(bào)道中提到的三元對(duì)等實(shí)體鑒別(TePA-EA)國(guó)際標(biāo)準(zhǔn)即屬于ISO/IEC 9798-3序列�。從技術(shù)上講,TePA-EA是基于三元對(duì)等架構(gòu)(TePA)的實(shí)體鑒別(EA)技術(shù)�����,它給網(wǎng)絡(luò)架構(gòu)帶來(lái)的最顯著變化就是引入了在線可信第三方(TTP)���,并實(shí)現(xiàn)了真正意義上的實(shí)體之間實(shí)體鑒別的“雙向?qū)Φ?rdquo;����,進(jìn)而為網(wǎng)絡(luò)安全接入提供了先進(jìn)可靠的技術(shù)支撐��。
什么是在線可信第三方�����??jī)蓚€(gè)陌生人見(jiàn)面,掏出身份證互認(rèn)��,這在一定程度上解決了彼此互信問(wèn)題�����,但是它依然存在安全隱患���,畢竟身份證有可能造假�,也有可能失效�。所以,如果現(xiàn)場(chǎng)還有一個(gè)公安身份的人����,并能夠當(dāng)場(chǎng)驗(yàn)證兩個(gè)人的身份證真實(shí)有效,并把結(jié)果反饋給二人��,那么這個(gè)“陌生——互信”的過(guò)程就比較完美了�����。在這里���,公安身份的人就是“在線可信第三方”。需要強(qiáng)調(diào)的是,這兩個(gè)陌生人相認(rèn)過(guò)程中��,沒(méi)有任何一個(gè)人可以有免檢或額外的特權(quán)����,即在鑒別過(guò)程中是完全“對(duì)等”的。網(wǎng)絡(luò)安全界有一句名言:“不假定任何事情�����,不相信任何人���,檢驗(yàn)所有的東西”�����。三元對(duì)等的技術(shù)思想即是如此���。
三元對(duì)等原理看似簡(jiǎn)單,但在現(xiàn)實(shí)的網(wǎng)絡(luò)場(chǎng)景中�����,三元對(duì)等架構(gòu)下的安全認(rèn)證實(shí)現(xiàn)遠(yuǎn)比想象的要復(fù)雜嚴(yán)苛��。在實(shí)際網(wǎng)絡(luò)通信中,受網(wǎng)絡(luò)結(jié)構(gòu)的限制���,尤其是在目前最常用的無(wú)線網(wǎng)絡(luò)環(huán)境下�,終端往往并不能直接與TTP對(duì)話(連接)�����,而是要由與終端進(jìn)行鑒別的網(wǎng)絡(luò)接入點(diǎn)(AP)轉(zhuǎn)發(fā)來(lái)自TTP身份驗(yàn)證信息���,并最終完成身份鑒別���。按理說(shuō),終端和網(wǎng)絡(luò)接入點(diǎn)本來(lái)是要相認(rèn)的兩個(gè)陌生人�����,但現(xiàn)有的網(wǎng)絡(luò)形態(tài)卻決定了其中一個(gè)人的身份信息只能通過(guò)另一個(gè)人傳口信給TTP�,然后還要再次經(jīng)由這個(gè)中間人把TTP的口信傳回來(lái),這個(gè)過(guò)程存在很大的安全隱患�����,如何解決這個(gè)問(wèn)題����,是設(shè)計(jì)該網(wǎng)絡(luò)場(chǎng)景下的實(shí)體鑒別機(jī)制面臨的最大挑戰(zhàn)。三元對(duì)等架構(gòu)的優(yōu)勢(shì)在這里得到了體現(xiàn)��,它完美地解決了這個(gè)難題�����。具體的實(shí)現(xiàn)細(xì)節(jié)過(guò)于艱深��,這里不再贅述�����。
也許有人會(huì)說(shuō)�����,現(xiàn)在很多網(wǎng)絡(luò)技術(shù)都已經(jīng)是對(duì)等鑒別了�,TePA-EA有什么特殊之處呢?事實(shí)上�����,TePA-EA的最大價(jià)值就在于它是從更高層面的網(wǎng)絡(luò)架構(gòu)上解決了真正的“對(duì)等鑒別”問(wèn)題�,而很多網(wǎng)絡(luò)技術(shù)甚至是市場(chǎng)上的主流技術(shù)����,由于結(jié)構(gòu)上的缺陷��,它們往往很難徹底以“對(duì)等”方式實(shí)現(xiàn)實(shí)體鑒別��,使得在網(wǎng)絡(luò)中引入了一些新的被攻擊點(diǎn)����,進(jìn)而給網(wǎng)絡(luò)安全造成隱患。
以Wi-Fi為例��,它擁有WEP�、WPA、WPA2�����、WPA3等安全機(jī)制��,在WEP被證明存在嚴(yán)重缺陷之后���,Wi-Fi在WPA2和WPA3安全機(jī)制中增加了一個(gè)在線可信第三方(身份鑒別服務(wù)器)��,它與接入點(diǎn)綁定在一起���,兩者默認(rèn)互信�。但無(wú)線接入點(diǎn)沒(méi)有獨(dú)立身份��,它實(shí)際上只是幫助終端和身份鑒別服務(wù)器之間形成了雙向鑒別�����,而終端與接入點(diǎn)之間卻無(wú)法形成真正的對(duì)等鑒別��,這就使其難以擺脫“中間人攻擊”的風(fēng)險(xiǎn)��。
為什么有5項(xiàng)技術(shù)����?
新華社的這篇報(bào)道還提到�����,早在2010年���,西電捷通就已經(jīng)有2項(xiàng)實(shí)體鑒別技術(shù)成為了國(guó)際標(biāo)準(zhǔn)���,此次新增3項(xiàng)����,前后合計(jì)5項(xiàng)����。一個(gè)很自然的疑問(wèn):為什么需要這么多技術(shù)來(lái)支撐實(shí)體鑒別機(jī)制?這就要從技術(shù)的應(yīng)用場(chǎng)景設(shè)定說(shuō)起��。
一項(xiàng)技術(shù)的研發(fā)立項(xiàng)����,兩個(gè)要素的考量必不可少:技術(shù)的先進(jìn)性如何?技術(shù)的市場(chǎng)(應(yīng)用場(chǎng)景)在哪里���?前者決定競(jìng)爭(zhēng)力�����,后者決定價(jià)值兌現(xiàn)能力���。一般來(lái)說(shuō),技術(shù)的先進(jìn)性比較好判斷���,但市場(chǎng)問(wèn)題卻不太容易預(yù)判�,特別是對(duì)哪里都能用的基礎(chǔ)技術(shù)而言,將其典型應(yīng)用場(chǎng)景提煉出來(lái)難度較大����。在這個(gè)問(wèn)題上,反面教材并不鮮見(jiàn):目前國(guó)際上通常的實(shí)體鑒別技術(shù)要求提前獲取對(duì)方有效驗(yàn)證信息�����,這在很多重要應(yīng)用場(chǎng)景中就很難實(shí)現(xiàn)����。
對(duì)于TePA-EA而言�,它“可廣泛應(yīng)用于有線局域網(wǎng)、無(wú)線局域網(wǎng)�����、近場(chǎng)通信��、射頻識(shí)別�、移動(dòng)通信、TCP/IP等基礎(chǔ)信息網(wǎng)絡(luò)的安全保障”���,這就意味著TePA-EA要從如此繁復(fù)的網(wǎng)絡(luò)形態(tài)及其各自豐富的應(yīng)用中��,將典型的應(yīng)用場(chǎng)景提煉出來(lái)��,并針對(duì)性地形成不同的技術(shù)解決方案��,事實(shí)上�����,TePA-EA的研發(fā)就是這么做的����,這也就是TePA-EA國(guó)際標(biāo)準(zhǔn)中5項(xiàng)技術(shù)的由來(lái)。
從絕對(duì)數(shù)量上看����,5項(xiàng)技術(shù)并不算多,但它卻基本確保了網(wǎng)絡(luò)身份鑒別的“全場(chǎng)景”實(shí)施��,這里面體現(xiàn)的就是場(chǎng)景提煉的功力��。當(dāng)然��,技術(shù)先進(jìn)性和質(zhì)量是這一切的前提��。
曾讓外國(guó)權(quán)威栽了跟頭
基礎(chǔ)技術(shù)的應(yīng)用場(chǎng)景設(shè)定對(duì)研發(fā)者的綜合能力考驗(yàn)極大,美國(guó)技術(shù)專(zhuān)家Mike在TePA-EA問(wèn)題上就栽了個(gè)大跟頭�����。
此次TePA-EA技術(shù)體系新增3項(xiàng)技術(shù)���,其中的一項(xiàng)即為“三元對(duì)等多可信第三方實(shí)體鑒別機(jī)制”��,意思是說(shuō):現(xiàn)場(chǎng)來(lái)了兩個(gè)等待相認(rèn)的陌生人�,不同以往的是���,兩個(gè)陌生人還帶來(lái)了各自信任的公安身份的人�,因此�����,現(xiàn)場(chǎng)就會(huì)有不只一個(gè)公安身份的人要參與他們之間的互認(rèn)活動(dòng)����,這就是“多TTP”方案�����。
在TePA-EA國(guó)際標(biāo)準(zhǔn)技術(shù)提案進(jìn)入到第三階段,即國(guó)家成員體投票階段時(shí)�,美方專(zhuān)家針對(duì)多TTP方案提出了強(qiáng)烈質(zhì)疑,他認(rèn)為這個(gè)方案的應(yīng)用場(chǎng)景不夠典型���,應(yīng)該去掉�。但中方(西電捷通)專(zhuān)家的反饋也很明確:這是非常典型的技術(shù)方案��,應(yīng)用場(chǎng)景非常廣泛��。最后��,中美專(zhuān)家在國(guó)際標(biāo)準(zhǔn)投票意見(jiàn)表決會(huì)現(xiàn)場(chǎng)�,執(zhí)筆站在白板前進(jìn)行了長(zhǎng)達(dá)半個(gè)小時(shí)的推演,最后美方專(zhuān)家舉了白旗����。
美方的問(wèn)題出在網(wǎng)絡(luò)應(yīng)用場(chǎng)景積累不夠。其實(shí)��,多TTP方案在移動(dòng)網(wǎng)絡(luò)�、局域網(wǎng)絡(luò)(包括有線和無(wú)線)等領(lǐng)域都有著典型且廣泛的應(yīng)用:
(1)北京移動(dòng)用戶出差上海,打手機(jī)時(shí)需要與上海移動(dòng)網(wǎng)絡(luò)聯(lián)接����,但用戶身份無(wú)法在上海認(rèn)證�����,需要轉(zhuǎn)至北京����,認(rèn)證完成后再將信息送達(dá)上海��,最后手機(jī)用戶完成了在上海的身份認(rèn)證����;
(2)正在興建的北京大興國(guó)際機(jī)場(chǎng),其信息系統(tǒng)中就有無(wú)線局域網(wǎng)安全(WAPI)技術(shù)���。在這個(gè)環(huán)境里��,WAPI就將面臨多TTP應(yīng)用�。機(jī)場(chǎng)里存在著機(jī)場(chǎng)運(yùn)營(yíng)方���、海關(guān)、邊防等多方實(shí)體���,海關(guān)人員工作時(shí)需要使用機(jī)場(chǎng)運(yùn)營(yíng)方搭建的機(jī)場(chǎng)網(wǎng)絡(luò)��,但接入者的身份則要由海關(guān)��、機(jī)場(chǎng)方各自所屬的身份鑒別服務(wù)器聯(lián)合完成�����。
場(chǎng)景之爭(zhēng)只是TePA-EA技術(shù)體系國(guó)際標(biāo)準(zhǔn)遠(yuǎn)征中的一個(gè)小插曲��,但它足具代表性�����,也很有趣�����。TePA-EA技術(shù)體系從2001年立項(xiàng)到后來(lái)下餃子般的搶占國(guó)際技術(shù)高地�����,實(shí)在可喜可賀�����?�;A(chǔ)技術(shù)研發(fā)沒(méi)有捷徑,18個(gè)年頭��,足以讓一個(gè)人走過(guò)青春����,走向成熟,期間的投入和艱辛必不可少��,這是一個(gè)時(shí)間概念���,也飽含真金白銀�,專(zhuān)心致志����,專(zhuān)業(yè)匠心。
附:
我國(guó)三項(xiàng)自主研發(fā)的三元對(duì)等實(shí)體鑒別技術(shù)成為國(guó)際標(biāo)準(zhǔn)
2019-03-05 10:33:14 來(lái)源:新華網(wǎng)
新華社北京3月5日電(趙曉輝�、李澤)記者5日從WAPI產(chǎn)業(yè)聯(lián)盟獲悉,我國(guó)自主研發(fā)的三項(xiàng)三元對(duì)等實(shí)體鑒別(TePA-EA)技術(shù)正式發(fā)布成為國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)(ISO/IEC)國(guó)際標(biāo)準(zhǔn)�����。
“這是我國(guó)在基礎(chǔ)技術(shù)領(lǐng)域?yàn)槿蚓W(wǎng)絡(luò)安全做出的又一重要貢獻(xiàn)��,標(biāo)志著中國(guó)的技術(shù)創(chuàng)新正在成為國(guó)際標(biāo)準(zhǔn)技術(shù)體系演進(jìn)中不可或缺的部分����。”WAPI產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)張璐璐說(shuō)。
實(shí)體鑒別技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)共性技術(shù)���,能為網(wǎng)絡(luò)參與者提供身份識(shí)別與驗(yàn)證�����。本次發(fā)布的三項(xiàng)TePA-EA系列技術(shù)���,為實(shí)體鑒別國(guó)際標(biāo)準(zhǔn)技術(shù)體系增加了單向鑒別、多在線可信第三方等機(jī)制����,有效防范了信息未經(jīng)授權(quán)使用、誤用等網(wǎng)絡(luò)信息安全隱患����。
據(jù)介紹,TePA-EA系列技術(shù)的國(guó)際標(biāo)準(zhǔn)提案由WAPI產(chǎn)業(yè)聯(lián)盟牽頭組織推進(jìn)�,西電捷通公司、無(wú)線網(wǎng)絡(luò)安全技術(shù)國(guó)家工程實(shí)驗(yàn)室��、國(guó)家商用密碼檢測(cè)中心�����、國(guó)家無(wú)線電監(jiān)測(cè)中心檢測(cè)中心等聯(lián)盟成員單位共同組成了標(biāo)準(zhǔn)項(xiàng)目組。其中��,西電捷通公司是該技術(shù)體系的主要技術(shù)貢獻(xiàn)者�。
“與國(guó)外同類(lèi)技術(shù)相比,TePA-EA在安全性和易用性上更具優(yōu)勢(shì)�。”該標(biāo)準(zhǔn)聯(lián)合項(xiàng)目編輯杜志強(qiáng)說(shuō)。
截至目前��,ISO/IEC 9798系列實(shí)體鑒別國(guó)際標(biāo)準(zhǔn)中的所有在線實(shí)體鑒別技術(shù)均由中國(guó)貢獻(xiàn)�。此前,西電捷通研發(fā)的兩項(xiàng)在線實(shí)體鑒別技術(shù)于2010年獲批成為國(guó)際標(biāo)準(zhǔn)���。
微信掃一掃
