【51CTO.com原创稿件】3月5日,中国企业西电捷通公司研发的三元对等实体鉴别(TePA-EA)系列技术(共5项)已被国际标准组织正式发布成为国际标准,业界认为“这是我国在基础技术领域为全球网络安全做出的又一重要贡献”。
基础技术、全球网络、重要贡献——这似乎是在通告一个重量级技术标准的诞生,而事实也正是如此。实体鉴别从属网络安全基础技术序列,被视为网络安全“第一关”,重要性毋庸置疑。
什么是实体鉴别?
打个比方。两个陌生人会面,一般的流程是:打招呼——确认身份——握手交谈,大体如此。其实,这样的交互逻辑在网络世界中同样存在。
当你的终端设备(电脑、手机等)试图连接网络时,终端与网络之间的第一个动作就是“打招呼”(普遍意义上的连网请求,通常由终端侧发起,有时也可能由网络侧发起),专业术语称之为“关联”,主要是探测网络是否有信号,以确认双方在物理上是否能够连得上。
接下来就是“确认身份”——终端与要接入的网络之间互相进行身份的识别与验证,以此保证合法终端接入合法网络,这一过程就是“实体鉴别”。直观来看,它是网络安全的第一道关口。这道关口通过之后,剩下的就是“握手交谈”的正常网络通信环节了。
在现实生活中,陌生人之间确认彼此身份的方法可以有很多种,譬如可以用事先约定好的暗号,见面后对上了暗号就意味着找对了人。或者更直接一点,大家先亮出证明身份的证件,彼此检验一下,确认是公安机关发放的可信证件,这样也意味着找对了人。类似地,网络环境下的实体鉴别技术也存在多个分支。
实体鉴别很重要,所以在全球网络尚处于蛮荒时代的1991年,第一项实体鉴别国际标准——实体鉴别总体要求便被制定出来,标准号是ISO/IEC 9798-1,后续又陆续发布了ISO/IEC 9798系列国际标准的其他部分,分属于实体鉴别的不同技术分支,比如:ISO/IEC 9798-2,学名叫“采用对称加密算法的机制”,通俗来说类似于前述的“暗号法”;ISO/IEC 9798-3,学名叫“采用数字签名技术的机制”,它类似于前述的方法。
比较而言,在ISO/IEC 9798序列里,“身份证法”的安全级别更高,也更适合大规模使用,从技术应用的演进趋势来看,随着实体(硬件平台等)的资源受限问题逐步得到解决,ISO/IEC 9798-3的应用会更加广泛。
什么是三元对等?
此次新华社报道中提到的三元对等实体鉴别(TePA-EA)国际标准即属于ISO/IEC 9798-3序列。从技术上讲,TePA-EA是基于三元对等架构(TePA)的实体鉴别(EA)技术,它给网络架构带来的最显著变化就是引入了在线可信第三方(TTP),并实现了真正意义上的实体之间实体鉴别的“双向对等”,进而为网络安全接入提供了先进可靠的技术支撑。
什么是在线可信第三方?两个陌生人见面,掏出身份证互认,这在一定程度上解决了彼此互信问题,但是它依然存在安全隐患,毕竟身份证有可能造假,也有可能失效。所以,如果现场还有一个公安身份的人,并能够当场验证两个人的身份证真实有效,并把结果反馈给二人,那么这个“陌生——互信”的过程就比较理想了。在这里,公安身份的人就是“在线可信第三方”。需要强调的是,这两个陌生人相认过程中,没有任何一个人可以有免检或额外的特权,即在鉴别过程中是完全“对等”的。网络安全界有一句名言:“不假定任何事情,不相信任何人,检验所有的东西”。三元对等的技术思想即是如此。
三元对等原理看似简单,但在现实的网络场景中,三元对等架构下的安全认证实现远比想象的要复杂严苛。在实际网络通信中,受网络结构的限制,尤其是在目前最常用的无线网络环境下,终端往往并不能直接与TTP对话(连接),而是要由与终端进行鉴别的网络接入点(AP)转发来自TTP身份验证信息,并最终完成身份鉴别。按理说,终端和网络接入点本来是要相认的两个陌生人,但现有的网络形态却决定了其中一个人的身份信息只能通过另一个人传口信给TTP,然后还要再次经由这个中间人把TTP的口信传回来,这个过程存在很大的安全隐患,如何解决这个问题,是设计该网络场景下的实体鉴别机制面临的巨大挑战。三元对等架构的优势在这里得到了体现,它很好地解决了这个难题。具体的实现细节过于艰深,这里不再赘述。
也许有人会说,现在很多网络技术都已经是对等鉴别了,TePA-EA有什么特殊之处呢?事实上,TePA-EA的典型价值就在于它是从更高层面的网络架构上解决了真正的“对等鉴别”问题,而很多网络技术甚至是市场上的主流技术,由于结构上的缺陷,它们往往很难彻底以“对等”方式实现实体鉴别,使得在网络中引入了一些新的风险,进而给网络安全造成隐患。
以Wi-Fi为例,它拥有WEP、WPA、WPA2、WPA3等安全机制,在WEP被证明存在严重缺陷之后,Wi-Fi在WPA2和WPA3安全机制中增加了一个在线可信第三方(身份鉴别服务器),它与接入点绑定在一起,两者默认互信。但无线接入点没有独立身份,它实际上只是帮助终端和身份鉴别服务器之间形成了双向鉴别,而终端与接入点之间却无法形成真正的对等鉴别,这就使其难以摆脱“中间人攻击”的风险。
为什么有5项技术?
新华社的这篇报道还提到,早在2010年,西电捷通就已经有2项实体鉴别技术成为了国际标准,此次新增3项,前后合计5项。一个很自然的疑问:为什么需要这么多技术来支撑实体鉴别机制?这就要从技术的应用场景设定说起。
一项技术的研发立项,两个要素的考量必不可少:技术的先进性如何?技术的市场(应用场景)在哪里?前者决定竞争力,后者决定价值兑现能力。一般来说,技术的先进性比较好判断,但市场问题却不太容易预判,特别是对哪里都能用的基础技术而言,将其典型应用场景提炼出来难度较大。在这个问题上,反面教材并不鲜见:目前国际上通常的实体鉴别技术要求提前获取对方有效验证信息,这在很多重要应用场景中就很难实现。
对于TePA-EA而言,它“可广泛应用于有线局域网、无线局域网、近场通信、射频识别、移动通信、TCP/IP等基础信息网络的安全保障”,这就意味着TePA-EA要从如此繁复的网络形态及其各自丰富的应用中,将典型的应用场景提炼出来,并针对性地形成不同的技术解决方案,事实上,TePA-EA的研发就是这么做的,这也就是TePA-EA国际标准中5项技术的由来。
从绝对数量上看,5项技术并不算多,但它却基本确保了网络身份鉴别的“全场景”实施,这里面体现的就是场景提炼的功力。当然,技术先进性和质量是这一切的前提。
曾让外国权威栽了跟头
基础技术的应用场景设定对研发者的综合能力考验极大,美国技术专家Mike在TePA-EA问题上就栽了个大跟头。
此次TePA-EA技术体系新增3项技术,其中的一项即为“三元对等多可信第三方实体鉴别机制”,意思是说:现场来了两个等待相认的陌生人,不同以往的是,两个陌生人还带来了各自信任的公安身份的人,因此,现场就会有不只一个公安身份的人要参与他们之间的互认活动,这就是“多TTP”方案。
在TePA-EA国际标准技术提案进入到第三阶段,即国家成员体投票阶段时,美方专家针对多TTP方案提出了强烈质疑,他认为这个方案的应用场景不够典型,应该去掉。但中方(西电捷通)专家的反馈也很明确:这是非常典型的技术方案,应用场景非常广泛。中美专家在国际标准投票意见表决会现场,执笔站在白板前进行了长达半个小时的推演,美方专家举了白旗。
美方的问题出在网络应用场景积累不够。其实,多TTP方案在移动网络、局域网络(包括有线和无线)等领域都有着典型且广泛的应用:
(1)北京移动用户出差上海,打手机时需要与上海移动网络联接,但用户身份无法在上海认证,需要转至北京,认证完成后再将信息送达上海,手机用户完成了在上海的身份认证;
(2)正在兴建的北京大兴国际机场,其信息系统中就有无线局域网安全(WAPI)技术。在这个环境里,WAPI就将面临多TTP应用。机场里存在着机场运营方、海关、边防等多方实体,海关人员工作时需要使用机场运营方搭建的机场网络,但接入者的身份则要由海关、机场方各自所属的身份鉴别服务器联合完成。
场景之争只是TePA-EA技术体系国际标准远征中的一个小插曲,但它足具代表性,也很有趣。TePA-EA技术体系从2001年立项到后来下饺子般的抢占国际技术高地,实在可喜可贺。基础技术研发没有捷径,18个年头,足以让一个人走过青春,走向成熟,期间的投入和艰辛必不可少,这是一个时间概念,也饱含真金白银,专心致志,专业匠心。
附:
我国三项自主研发的三元对等实体鉴别技术成为国际标准
记者5日从WAPI产业联盟获悉,我国自主研发的三项三元对等实体鉴别(TePA-EA)技术正式发布成为国际标准化组织/国际电工委员会(ISO/IEC)国际标准。
“这是我国在基础技术领域为全球网络安全做出的又一重要贡献,标志着中国的技术创新正在成为国际标准技术体系演进中不可或缺的部分。”WAPI产业联盟秘书长张璐璐说。
实体鉴别技术是网络安全领域的基础共性技术,能为网络参与者提供身份识别与验证。本次发布的三项TePA-EA系列技术,为实体鉴别国际标准技术体系增加了单向鉴别、多在线可信第三方等机制,有效防范了信息未经授权使用、误用等网络信息安全隐患。
据介绍,TePA-EA系列技术的国际标准提案由WAPI产业联盟牵头组织推进,西电捷通公司、无线网络安全技术国家工程实验室、国家商用密码检测中心、国家无线电监测中心检测中心等联盟成员单位共同组成了标准项目组。其中,西电捷通公司是该技术体系的主要技术贡献者。
“与国外同类技术相比,TePA-EA在安全性和易用性上更具优势。”该标准联合项目编辑杜志强说。
截至目前,ISO/IEC 9798系列实体鉴别国际标准中的所有在线实体鉴别技术均由中国贡献。此前,西电捷通研发的两项在线实体鉴别技术于2010年获批成为国际标准。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】