3月5日��,新華社報道稱�����,中國企業(yè)西電捷通公司研發(fā)的三元對等實體鑒別(TePA-EA)系列技術(shù)(共5項)已被國際標(biāo)準(zhǔn)組織正式發(fā)布成為國際標(biāo)準(zhǔn)��,并高度評價其“這是我國在基礎(chǔ)技術(shù)領(lǐng)域為全球網(wǎng)絡(luò)安全做出的又一重要貢獻(xiàn)”�。
基礎(chǔ)技術(shù)、全球網(wǎng)絡(luò)�����、重要貢獻(xiàn)——這似乎是在通告一個重量級技術(shù)標(biāo)準(zhǔn)的誕生����,而事實也正是如此。實體鑒別從屬網(wǎng)絡(luò)安全基礎(chǔ)技術(shù)序列�����,被視為網(wǎng)絡(luò)安全“第一關(guān)”��,重要性毋庸置疑�����。
什么是實體鑒別?
打個比方���。兩個陌生人會面����,一般的流程是:打招呼——確認(rèn)身份——握手交談����,大體如此。其實�����,這樣的交互邏輯在網(wǎng)絡(luò)世界中同樣存在�。
當(dāng)你的終端設(shè)備(電腦、手機等)試圖連接網(wǎng)絡(luò)時��,終端與網(wǎng)絡(luò)之間的第一個動作就是“打招呼”(普遍意義上的連網(wǎng)請求��,通常由終端側(cè)發(fā)起�,有時也可能由網(wǎng)絡(luò)側(cè)發(fā)起),專業(yè)術(shù)語稱之為“關(guān)聯(lián)”����,主要是探測網(wǎng)絡(luò)是否有信號���,以確認(rèn)雙方在物理上是否能夠連得上���。
接下來就是“確認(rèn)身份”——終端與要接入的網(wǎng)絡(luò)之間互相進(jìn)行身份的識別與驗證��,以此保證合法終端接入合法網(wǎng)絡(luò)�����,這一過程就是“實體鑒別”����。直觀來看����,它是網(wǎng)絡(luò)安全的第一道關(guān)口。這道關(guān)口通過之后��,剩下的就是“握手交談”的正常網(wǎng)絡(luò)通信環(huán)節(jié)了����。
在現(xiàn)實生活中,陌生人之間確認(rèn)彼此身份的方法可以有很多種����,譬如可以用事先約定好的暗號����,見面后對上了暗號就意味著找對了人�。或者更直接一點�����,大家先亮出身份證��,彼此檢驗一下����,確認(rèn)是公安機關(guān)發(fā)放的可信證件,這樣也意味著找對了人�。類似地,網(wǎng)絡(luò)環(huán)境下的實體鑒別技術(shù)也存在多個分支�����。
實體鑒別很重要����,所以在全球網(wǎng)絡(luò)尚處于蠻荒時代的1991年����,第一項實體鑒別國際標(biāo)準(zhǔn)——實體鑒別總體要求便被制定出來�,標(biāo)準(zhǔn)號是ISO/IEC 9798-1�����,后續(xù)又陸續(xù)發(fā)布了ISO/IEC 9798系列國際標(biāo)準(zhǔn)的其他部分��,分屬于實體鑒別的不同技術(shù)分支����,比如:ISO/IEC 9798-2,學(xué)名叫“采用對稱加密算法的機制”����,通俗來說類似于前述的“暗號法”;ISO/IEC 9798-3��,學(xué)名叫“采用數(shù)字簽名技術(shù)的機制”��,它類似于前述的“身份證法”�����。
比較而言,在ISO/IEC 9798序列里�,“身份證法”的安全級別更高,也更適合大規(guī)模使用��,從技術(shù)應(yīng)用的演進(jìn)趨勢來看��,隨著實體(硬件平臺等)的資源受限問題逐步得到解決����,ISO/IEC 9798-3的應(yīng)用會更加廣泛。
什么是三元對等����?
此次新華社報道中提到的三元對等實體鑒別(TePA-EA)國際標(biāo)準(zhǔn)即屬于ISO/IEC 9798-3序列。從技術(shù)上講�����,TePA-EA是基于三元對等架構(gòu)(TePA)的實體鑒別(EA)技術(shù)��,它給網(wǎng)絡(luò)架構(gòu)帶來的最顯著變化就是引入了在線可信第三方(TTP)���,并實現(xiàn)了真正意義上的實體之間實體鑒別的“雙向?qū)Φ?rdquo;���,進(jìn)而為網(wǎng)絡(luò)安全接入提供了先進(jìn)可靠的技術(shù)支撐����。
什么是在線可信第三方����?兩個陌生人見面,掏出身份證互認(rèn)���,這在一定程度上解決了彼此互信問題,但是它依然存在安全隱患�,畢竟身份證有可能造假,也有可能失效���。所以���,如果現(xiàn)場還有一個公安身份的人,并能夠當(dāng)場驗證兩個人的身份證真實有效��,并把結(jié)果反饋給二人���,那么這個“陌生——互信”的過程就比較完美了���。在這里���,公安身份的人就是“在線可信第三方”。需要強調(diào)的是��,這兩個陌生人相認(rèn)過程中�,沒有任何一個人可以有免檢或額外的特權(quán),即在鑒別過程中是完全“對等”的���。網(wǎng)絡(luò)安全界有一句名言:“不假定任何事情��,不相信任何人�����,檢驗所有的東西”����。三元對等的技術(shù)思想即是如此���。
三元對等原理看似簡單����,但在現(xiàn)實的網(wǎng)絡(luò)場景中,三元對等架構(gòu)下的安全認(rèn)證實現(xiàn)遠(yuǎn)比想象的要復(fù)雜嚴(yán)苛��。在實際網(wǎng)絡(luò)通信中���,受網(wǎng)絡(luò)結(jié)構(gòu)的限制���,尤其是在目前最常用的無線網(wǎng)絡(luò)環(huán)境下,終端往往并不能直接與TTP對話(連接)�����,而是要由與終端進(jìn)行鑒別的網(wǎng)絡(luò)接入點(AP)轉(zhuǎn)發(fā)來自TTP身份驗證信息�����,并最終完成身份鑒別�。按理說�,終端和網(wǎng)絡(luò)接入點本來是要相認(rèn)的兩個陌生人,但現(xiàn)有的網(wǎng)絡(luò)形態(tài)卻決定了其中一個人的身份信息只能通過另一個人傳口信給TTP����,然后還要再次經(jīng)由這個中間人把TTP的口信傳回來,這個過程存在很大的安全隱患�,如何解決這個問題�,是設(shè)計該網(wǎng)絡(luò)場景下的實體鑒別機制面臨的最大挑戰(zhàn)����。三元對等架構(gòu)的優(yōu)勢在這里得到了體現(xiàn),它完美地解決了這個難題���。具體的實現(xiàn)細(xì)節(jié)過于艱深����,這里不再贅述�。
也許有人會說,現(xiàn)在很多網(wǎng)絡(luò)技術(shù)都已經(jīng)是對等鑒別了��,TePA-EA有什么特殊之處呢���?事實上��,TePA-EA的最大價值就在于它是從更高層面的網(wǎng)絡(luò)架構(gòu)上解決了真正的“對等鑒別”問題���,而很多網(wǎng)絡(luò)技術(shù)甚至是市場上的主流技術(shù),由于結(jié)構(gòu)上的缺陷�,它們往往很難徹底以“對等”方式實現(xiàn)實體鑒別,使得在網(wǎng)絡(luò)中引入了一些新的被攻擊點�,進(jìn)而給網(wǎng)絡(luò)安全造成隱患��。
以Wi-Fi為例���,它擁有WEP、WPA��、WPA2���、WPA3等安全機制���,在WEP被證明存在嚴(yán)重缺陷之后,Wi-Fi在WPA2和WPA3安全機制中增加了一個在線可信第三方(身份鑒別服務(wù)器)����,它與接入點綁定在一起,兩者默認(rèn)互信�����。但無線接入點沒有獨立身份��,它實際上只是幫助終端和身份鑒別服務(wù)器之間形成了雙向鑒別�����,而終端與接入點之間卻無法形成真正的對等鑒別�����,這就使其難以擺脫“中間人攻擊”的風(fēng)險�。
為什么有5項技術(shù)?
新華社的這篇報道還提到�����,早在2010年�,西電捷通就已經(jīng)有2項實體鑒別技術(shù)成為了國際標(biāo)準(zhǔn),此次新增3項�����,前后合計5項�����。一個很自然的疑問:為什么需要這么多技術(shù)來支撐實體鑒別機制��?這就要從技術(shù)的應(yīng)用場景設(shè)定說起�。
一項技術(shù)的研發(fā)立項,兩個要素的考量必不可少:技術(shù)的先進(jìn)性如何��?技術(shù)的市場(應(yīng)用場景)在哪里?前者決定競爭力�,后者決定價值兌現(xiàn)能力。一般來說���,技術(shù)的先進(jìn)性比較好判斷���,但市場問題卻不太容易預(yù)判,特別是對哪里都能用的基礎(chǔ)技術(shù)而言����,將其典型應(yīng)用場景提煉出來難度較大。在這個問題上����,反面教材并不鮮見:目前國際上通常的實體鑒別技術(shù)要求提前獲取對方有效驗證信息,這在很多重要應(yīng)用場景中就很難實現(xiàn)���。
對于TePA-EA而言��,它“可廣泛應(yīng)用于有線局域網(wǎng)�、無線局域網(wǎng)��、近場通信�����、射頻識別����、移動通信、TCP/IP等基礎(chǔ)信息網(wǎng)絡(luò)的安全保障”�,這就意味著TePA-EA要從如此繁復(fù)的網(wǎng)絡(luò)形態(tài)及其各自豐富的應(yīng)用中,將典型的應(yīng)用場景提煉出來�����,并針對性地形成不同的技術(shù)解決方案�,事實上,TePA-EA的研發(fā)就是這么做的����,這也就是TePA-EA國際標(biāo)準(zhǔn)中5項技術(shù)的由來。
從絕對數(shù)量上看�����,5項技術(shù)并不算多��,但它卻基本確保了網(wǎng)絡(luò)身份鑒別的“全場景”實施,這里面體現(xiàn)的就是場景提煉的功力�。當(dāng)然,技術(shù)先進(jìn)性和質(zhì)量是這一切的前提�����。
曾讓外國權(quán)威栽了跟頭
基礎(chǔ)技術(shù)的應(yīng)用場景設(shè)定對研發(fā)者的綜合能力考驗極大�����,美國技術(shù)專家Mike在TePA-EA問題上就栽了個大跟頭���。
此次TePA-EA技術(shù)體系新增3項技術(shù)���,其中的一項即為“三元對等多可信第三方實體鑒別機制”,意思是說:現(xiàn)場來了兩個等待相認(rèn)的陌生人�����,不同以往的是���,兩個陌生人還帶來了各自信任的公安身份的人��,因此�,現(xiàn)場就會有不只一個公安身份的人要參與他們之間的互認(rèn)活動,這就是“多TTP”方案�����。
在TePA-EA國際標(biāo)準(zhǔn)技術(shù)提案進(jìn)入到第三階段�����,即國家成員體投票階段時����,美方專家針對多TTP方案提出了強烈質(zhì)疑���,他認(rèn)為這個方案的應(yīng)用場景不夠典型���,應(yīng)該去掉。但中方(西電捷通)專家的反饋也很明確:這是非常典型的技術(shù)方案��,應(yīng)用場景非常廣泛���。最后��,中美專家在國際標(biāo)準(zhǔn)投票意見表決會現(xiàn)場�,執(zhí)筆站在白板前進(jìn)行了長達(dá)半個小時的推演,最后美方專家舉了白旗��。
美方的問題出在網(wǎng)絡(luò)應(yīng)用場景積累不夠�。其實,多TTP方案在移動網(wǎng)絡(luò)�����、局域網(wǎng)絡(luò)(包括有線和無線)等領(lǐng)域都有著典型且廣泛的應(yīng)用:
(1)北京移動用戶出差上海�����,打手機時需要與上海移動網(wǎng)絡(luò)聯(lián)接�,但用戶身份無法在上海認(rèn)證,需要轉(zhuǎn)至北京�����,認(rèn)證完成后再將信息送達(dá)上海��,最后手機用戶完成了在上海的身份認(rèn)證���;
(2)正在興建的北京大興國際機場��,其信息系統(tǒng)中就有無線局域網(wǎng)安全(WAPI)技術(shù)�。在這個環(huán)境里,WAPI就將面臨多TTP應(yīng)用�。機場里存在著機場運營方、海關(guān)����、邊防等多方實體,海關(guān)人員工作時需要使用機場運營方搭建的機場網(wǎng)絡(luò)����,但接入者的身份則要由海關(guān)��、機場方各自所屬的身份鑒別服務(wù)器聯(lián)合完成��。
場景之爭只是TePA-EA技術(shù)體系國際標(biāo)準(zhǔn)遠(yuǎn)征中的一個小插曲�����,但它足具代表性�����,也很有趣���。TePA-EA技術(shù)體系從2001年立項到后來下餃子般的搶占國際技術(shù)高地����,實在可喜可賀?��;A(chǔ)技術(shù)研發(fā)沒有捷徑��,18個年頭�����,足以讓一個人走過青春���,走向成熟,期間的投入和艱辛必不可少����,這是一個時間概念,也飽含真金白銀���,專心致志�����,專業(yè)匠心��。
附:
我國三項自主研發(fā)的三元對等實體鑒別技術(shù)成為國際標(biāo)準(zhǔn)
2019-03-05 10:33:14 來源:新華網(wǎng)
新華社北京3月5日電(趙曉輝�����、李澤)記者5日從WAPI產(chǎn)業(yè)聯(lián)盟獲悉���,我國自主研發(fā)的三項三元對等實體鑒別(TePA-EA)技術(shù)正式發(fā)布成為國際標(biāo)準(zhǔn)化組織/國際電工委員會(ISO/IEC)國際標(biāo)準(zhǔn)�����。
“這是我國在基礎(chǔ)技術(shù)領(lǐng)域為全球網(wǎng)絡(luò)安全做出的又一重要貢獻(xiàn),標(biāo)志著中國的技術(shù)創(chuàng)新正在成為國際標(biāo)準(zhǔn)技術(shù)體系演進(jìn)中不可或缺的部分��。”WAPI產(chǎn)業(yè)聯(lián)盟秘書長張璐璐說����。
實體鑒別技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)共性技術(shù),能為網(wǎng)絡(luò)參與者提供身份識別與驗證�����。本次發(fā)布的三項TePA-EA系列技術(shù)�����,為實體鑒別國際標(biāo)準(zhǔn)技術(shù)體系增加了單向鑒別、多在線可信第三方等機制��,有效防范了信息未經(jīng)授權(quán)使用��、誤用等網(wǎng)絡(luò)信息安全隱患��。
據(jù)介紹����,TePA-EA系列技術(shù)的國際標(biāo)準(zhǔn)提案由WAPI產(chǎn)業(yè)聯(lián)盟牽頭組織推進(jìn),西電捷通公司��、無線網(wǎng)絡(luò)安全技術(shù)國家工程實驗室�����、國家商用密碼檢測中心�、國家無線電監(jiān)測中心檢測中心等聯(lián)盟成員單位共同組成了標(biāo)準(zhǔn)項目組。其中�����,西電捷通公司是該技術(shù)體系的主要技術(shù)貢獻(xiàn)者��。
“與國外同類技術(shù)相比,TePA-EA在安全性和易用性上更具優(yōu)勢����。”該標(biāo)準(zhǔn)聯(lián)合項目編輯杜志強說。
截至目前��,ISO/IEC 9798系列實體鑒別國際標(biāo)準(zhǔn)中的所有在線實體鑒別技術(shù)均由中國貢獻(xiàn)�。此前,西電捷通研發(fā)的兩項在線實體鑒別技術(shù)于2010年獲批成為國際標(biāo)準(zhǔn)�。
微信掃一掃
