日前,新華社報道稱,西電捷通公司研發的三元對等實體鑑別(TePA-EA)系列技術(共5項)已被國際標準組織正式發佈成為國際標準,並高度評價其“這是我國在基礎技術領域為全球網絡安全做出的又一重要貢獻”。
基礎技術、全球網絡、重要貢獻——這似乎是在通告一個重量級技術標準的誕生,而事實也正是如此。實體鑑別從屬網絡安全基礎技術序列,被視為網絡安全“第一關”,重要性毋庸置疑。
搭載了三元對等TePA安全架構的網絡設備
什麼是實體鑑別?
打個比方。兩個陌生人會面,一般的流程是:打招呼——確認身份——握手交談,大體如此。其實,這樣的交互邏輯在網絡世界中同樣存在。
當你的終端設備(電腦、手機等)試圖連接網絡時,終端與網絡之間的第一個動作就是“打招呼”(普遍意義上的連網請求,通常由終端側發起,有時也可能由網絡側發起),專業術語稱之為“關聯”,主要是探測網絡是否有信號,以確認雙方在物理上是否能夠連得上。
接下來就是“確認身份”——終端與要接入的網絡之間互相進行身份的識別與驗證,以此保證合法終端接入合法網絡,這一過程就是“實體鑑別”。直觀來看,它是網絡安全的第一道關口。這道關口通過之後,剩下的就是“握手交談”的正常網絡通信環節了。
在現實生活中,陌生人之間確認彼此身份的方法可以有很多種,譬如可以用事先約定好的暗號,見面後對上了暗號就意味著找對了人。或者更直接一點,大家先亮出身份證,彼此檢驗一下,確認是公安機關發放的可信證件,這樣也意味著找對了人。類似地,網絡環境下的實體鑑別技術也存在多個分支。
實體鑑別很重要,所以在全球網絡尚處於蠻荒時代的1991年,第一項實體鑑別國際標準——實體鑑別總體要求便被制定出來,標準號是ISO/IEC 9798-1,後續又陸續發佈了ISO/IEC 9798系列國際標準的其他部分,分屬於實體鑑別的不同技術分支,比如:ISO/IEC 9798-2,學名叫“採用對稱加密算法的機制”,通俗地類似於前述的“暗號法”;ISO/IEC 9798-3,學名叫“採用數字簽名技術的機制”,它類似於前述的“身份證法”。
比較而言,在ISO/IEC 9798序列裡,“身份證法”的安全級別更高,也更適合大規模使用,從技術應用的演進趨勢來看,隨著實體(硬件平臺等)的資源受限問題逐步得到解決,ISO/IEC 9798-3的應用會更加廣泛。
圖片來自網絡
什麼是三元對等?
此次新華社報道中提到的三元對等實體鑑別(TePA-EA)國際標準即屬於ISO/IEC 9798-3序列。從技術上講,TePA-EA是基於三元對等架構(TePA)的實體鑑別(EA)技術,它給網絡架構帶來的最顯著變化就是引入了在線可信第三方(TTP),並實現了真正意義上的實體之間的實體鑑別“雙向對等”,進而為網絡安全接入提供了先進可靠的技術支撐。
什麼是在線可信第三方?兩個陌生人見面,掏出身份證互認,這在一定程度上解決了彼此間的互信問題,但是它依然存在安全隱患,畢竟身份證有可能造假,也有可能失效。所以,如果現場還有一個公安身份的人,並能夠當場驗證兩個人的身份證真實有效,並把結果反饋給二人,那麼這個“陌生——互信”的過程就比較完美了。在這裡,公安身份的人就是“在線可信第三方”。需要強調的是,這兩個陌生人相認過程中,沒有任何一個人可以有免檢或額外的特權,即“對等”鑑別。網絡安全界有一句名言:“不假定任何事情,不相信任何人,檢驗所有的東西”。三元對等的技術理念即是如此。
三元對等原理看似簡單,但在現實的網絡場景中,三元對等架構下的安全認證實現遠比想象的要複雜嚴苛。在實際網絡通信中,受網絡結構的限制,尤其是在目前最常用的無線網絡環境下,終端往往並不能直接與TTP對話(連接),而是要由與終端進行鑑別的網絡接入點(AP)轉發來自TTP身份驗證信息,並最終完成身份鑑別。按理說,終端和網絡接入點本來是要相認的兩個陌生人,但現有的網絡形態卻決定了其中一個人的身份信息只能通過另一個人傳口信給TTP,然後還要再次經由這個中間人把TTP的口信傳回來,這個過程存在很大的安全隱患,如何解決這個問題,是設計該網絡場景下的實體鑑別機制面臨的最大挑戰。利用三元對等架構,完美地解決了這個問題。具體的實現細節過於艱深,這裡不再贅述。
也許有人會說,現在很多網絡技術都已經是對等鑑別了,TePA-EA有什麼特殊之處?事實上,TePA-EA的最大價值就在於它是從更高層面的網絡架構上解決了真正的“對等鑑別”問題,而很多網絡技術甚至是市場主流技術,由於結構上的缺陷,它們往往很難徹底的以“對等”方式實現實體鑑別,使得在網絡中引入了一些新的被攻擊點,進而給網絡安全造成隱患。
以Wi-Fi為例,它擁有WEP、WPA、WPA2、WPA3等安全機制,在WEP被證明存在嚴重缺陷之後,Wi-Fi在WPA2和WPA3安全機制中增加了一個在線可信第三方(身份鑑別服務器),它與接入點綁定在一起,兩者默認互信。但無線接入點沒有獨立身份,它實際上只是幫助終端和身份鑑別服務器之間形成了雙向鑑別,而終端與接入點之間卻無法形成真正的對等鑑別,,這就使其難以擺脫“中間人攻擊”的風險。
圖片來自網絡
為什麼有5項技術?
新華社的這篇報道還提到,早在2010年,西電捷通就已經有2項實體鑑別技術成為了國際標準,此次新增3項,前後合計5項。一個很自然的疑問:為什麼需要這麼多技術來支撐實體鑑別機制?這就要從技術的應用場景設定說起。
一項技術的研發立項,兩個要素的考量必不可少:技術的先進性如何?技術的市場(應用場景)在哪裡?前者決定競爭力,後者決定價值兌現能力。一般來說,技術的先進性比較好判斷,但市場問題卻不太容易預判,特別是對哪裡都能用的基礎技術而言,將其典型應用場景提煉出來的難度較大。反面教材並不鮮見,目前國際上通常的實體鑑別技術要求提前獲取對方有效驗證信息,這在很多重要應用場景中就很難實現。
對於TePA-EA而言,它“可廣泛應用於有線局域網、無線局域網、近場通信、射頻識別、移動通信、TCP/IP等基礎信息網絡的安全保障”,這就意味著TePA-EA要從如此繁複的網絡形態及其各自豐富的應用中,將典型的應用場景提煉出來,並針對性地形成不同的技術解決方案,這也就是TePA-EA國際標準中5項技術的由來。
從絕對數量上看,5項技術並不算多,但它基本確保了網絡身份鑑別的“全場景”實施,這裡面體現的就是場景提煉的功力。當然,技術先進性和質量是這一切的前提。
西電捷通同時承擔著ISO/IEC JTC1/SC6中國對口委員會秘書處職責
技術應用場景之爭
基礎技術的應用場景設定對研發者的綜合能力考驗極大,美國技術專家在TePA-EA問題上就栽了個大跟頭。
此次TePA-EA技術體系新增3項技術,其中的一項即為“三元對等多可信第三方實體鑑別機制”,意思是說:現場來了兩個等待相認的陌生人,不同以往的是,兩個陌生人還帶來了各自分別信任的公安身份的人,因此,現場就會有不只一個公安身份的人要參與他們的互認活動,這就是“多TTP”方案。
在TePA-EA國際標準技術提案進入到第三階段,即國家成員體投票階段時,美方專家針對多TTP方案提出了強烈質疑,他認為這個方案的應用場景不夠典型,應該去掉。但中方(西電捷通)專家的反饋也很明確:這是非常典型的技術方案,應用場景非常廣泛。最後,中美專家在國際標準投票意見表決會現場,執筆站在白板前進行了長達半個小時的推演,最後美方專家將反對票改成了贊成票。
美方的問題出在網絡應用場景積累不夠。其實,多TTP方案在移動網絡、局域網絡(包括有線和無線)等領域都有著典型且廣泛的應用:
(1)北京移動用戶出差上海,打手機時需要與上海移動網絡聯接,但用戶身份無法在上海認證,需要轉至北京,認證完成後再將信息送達上海,最後手機用戶完成了在上海的身份認證;
(2)正在興建的北京大興國際機場,其信息系統中就有無線局域網安全(WAPI)技術。在這個環境裡,WAPI就將面臨多TTP應用。機場裡存在著機場運營方、海關、邊防等多方實體,海關人員工作時需要使用機場運營方搭建的機場網絡,但接入者的身份則要由海關、機場方各自所屬的身份鑑別服務器聯合完成。
場景之爭只是TePA-EA技術體系國際標準遠征中的一個小插曲,但它足具代表性,也很有趣。TePA-EA技術體系從2001年立項到後來下餃子般的搶佔國際技術高地,實在可喜可賀。基礎技術研發沒有捷徑,18個年頭,足以讓一個人走過青春,走向成熟,期間的投入和艱辛必不可少,這是一個時間概念,也包含真金白銀,專心致志,專業匠心。
