【51CTO.com原創(chuàng)稿件】3月5日，中國企業(yè)西電捷通公司研發(fā)的三元對等實體鑒別(TePA-EA)系列技術(shù)(共5項)已被國際標準組織正式發(fā)布成為國際標準，業(yè)界認為“這是我國在基礎技術(shù)領域為全球網(wǎng)絡安全做出的又一重要貢獻”。

　　基礎技術(shù)、全球網(wǎng)絡、重要貢獻——這似乎是在通告一個重量級技術(shù)標準的誕生，而事實也正是如此。實體鑒別從屬網(wǎng)絡安全基礎技術(shù)序列，被視為網(wǎng)絡安全“第一關”，重要性毋庸置疑。

　　什么是實體鑒別?

　　打個比方。兩個陌生人會面，一般的流程是：打招呼——確認身份——握手交談，大體如此。其實，這樣的交互邏輯在網(wǎng)絡世界中同樣存在。

　　當你的終端設備(電腦、手機等)試圖連接網(wǎng)絡時，終端與網(wǎng)絡之間的第一個動作就是“打招呼”(普遍意義上的連網(wǎng)請求，通常由終端側(cè)發(fā)起，有時也可能由網(wǎng)絡側(cè)發(fā)起)，專業(yè)術(shù)語稱之為“關聯(lián)”，主要是探測網(wǎng)絡是否有信號，以確認雙方在物理上是否能夠連得上。

　　接下來就是“確認身份”——終端與要接入的網(wǎng)絡之間互相進行身份的識別與驗證，以此保證合法終端接入合法網(wǎng)絡，這一過程就是“實體鑒別”。直觀來看，它是網(wǎng)絡安全的第一道關口。這道關口通過之后，剩下的就是“握手交談”的正常網(wǎng)絡通信環(huán)節(jié)了。

　　在現(xiàn)實生活中，陌生人之間確認彼此身份的方法可以有很多種，譬如可以用事先約定好的暗號，見面后對上了暗號就意味著找對了人。或者更直接一點，大家先亮出證明身份的證件，彼此檢驗一下，確認是公安機關發(fā)放的可信證件，這樣也意味著找對了人。類似地，網(wǎng)絡環(huán)境下的實體鑒別技術(shù)也存在多個分支。

　　實體鑒別很重要，所以在全球網(wǎng)絡尚處于蠻荒時代的1991年，第一項實體鑒別國際標準——實體鑒別總體要求便被制定出來，標準號是ISO/IEC 9798-1，后續(xù)又陸續(xù)發(fā)布了ISO/IEC 9798系列國際標準的其他部分，分屬于實體鑒別的不同技術(shù)分支，比如：ISO/IEC 9798-2，學名叫“采用對稱加密算法的機制”，通俗來說類似于前述的“暗號法”;ISO/IEC 9798-3，學名叫“采用數(shù)字簽名技術(shù)的機制”，它類似于前述的方法。

　　比較而言，在ISO/IEC 9798序列里，“身份證法”的安全級別更高，也更適合大規(guī)模使用，從技術(shù)應用的演進趨勢來看，隨著實體(硬件平臺等)的資源受限問題逐步得到解決，ISO/IEC 9798-3的應用會更加廣泛。

　　什么是三元對等?

　　此次新華社報道中提到的三元對等實體鑒別(TePA-EA)國際標準即屬于ISO/IEC 9798-3序列。從技術(shù)上講，TePA-EA是基于三元對等架構(gòu)(TePA)的實體鑒別(EA)技術(shù)，它給網(wǎng)絡架構(gòu)帶來的最顯著變化就是引入了在線可信第三方(TTP)，并實現(xiàn)了真正意義上的實體之間實體鑒別的“雙向?qū)Φ?rdquo;，進而為網(wǎng)絡安全接入提供了先進可靠的技術(shù)支撐。

　　什么是在線可信第三方?兩個陌生人見面，掏出身份證互認，這在一定程度上解決了彼此互信問題，但是它依然存在安全隱患，畢竟身份證有可能造假，也有可能失效。所以，如果現(xiàn)場還有一個公安身份的人，并能夠當場驗證兩個人的身份證真實有效，并把結(jié)果反饋給二人，那么這個“陌生——互信”的過程就比較理想了。在這里，公安身份的人就是“在線可信第三方”。需要強調(diào)的是，這兩個陌生人相認過程中，沒有任何一個人可以有免檢或額外的特權(quán)，即在鑒別過程中是完全“對等”的。網(wǎng)絡安全界有一句名言：“不假定任何事情，不相信任何人，檢驗所有的東西”。三元對等的技術(shù)思想即是如此。

　　三元對等原理看似簡單，但在現(xiàn)實的網(wǎng)絡場景中，三元對等架構(gòu)下的安全認證實現(xiàn)遠比想象的要復雜嚴苛。在實際網(wǎng)絡通信中，受網(wǎng)絡結(jié)構(gòu)的限制，尤其是在目前最常用的無線網(wǎng)絡環(huán)境下，終端往往并不能直接與TTP對話(連接)，而是要由與終端進行鑒別的網(wǎng)絡接入點(AP)轉(zhuǎn)發(fā)來自TTP身份驗證信息，并最終完成身份鑒別。按理說，終端和網(wǎng)絡接入點本來是要相認的兩個陌生人，但現(xiàn)有的網(wǎng)絡形態(tài)卻決定了其中一個人的身份信息只能通過另一個人傳口信給TTP，然后還要再次經(jīng)由這個中間人把TTP的口信傳回來，這個過程存在很大的安全隱患，如何解決這個問題，是設計該網(wǎng)絡場景下的實體鑒別機制面臨的巨大挑戰(zhàn)。三元對等架構(gòu)的優(yōu)勢在這里得到了體現(xiàn)，它很好地解決了這個難題。具體的實現(xiàn)細節(jié)過于艱深，這里不再贅述。

　　也許有人會說，現(xiàn)在很多網(wǎng)絡技術(shù)都已經(jīng)是對等鑒別了，TePA-EA有什么特殊之處呢?事實上，TePA-EA的典型價值就在于它是從更高層面的網(wǎng)絡架構(gòu)上解決了真正的“對等鑒別”問題，而很多網(wǎng)絡技術(shù)甚至是市場上的主流技術(shù)，由于結(jié)構(gòu)上的缺陷，它們往往很難徹底以“對等”方式實現(xiàn)實體鑒別，使得在網(wǎng)絡中引入了一些新的風險，進而給網(wǎng)絡安全造成隱患。

　　以Wi-Fi為例，它擁有WEP、WPA、WPA2、WPA3等安全機制，在WEP被證明存在嚴重缺陷之后，Wi-Fi在WPA2和WPA3安全機制中增加了一個在線可信第三方(身份鑒別服務器)，它與接入點綁定在一起，兩者默認互信。但無線接入點沒有獨立身份，它實際上只是幫助終端和身份鑒別服務器之間形成了雙向鑒別，而終端與接入點之間卻無法形成真正的對等鑒別，這就使其難以擺脫“中間人攻擊”的風險。

　　為什么有5項技術(shù)?

　　新華社的這篇報道還提到，早在2010年，西電捷通就已經(jīng)有2項實體鑒別技術(shù)成為了國際標準，此次新增3項，前后合計5項。一個很自然的疑問：為什么需要這么多技術(shù)來支撐實體鑒別機制?這就要從技術(shù)的應用場景設定說起。

　　一項技術(shù)的研發(fā)立項，兩個要素的考量必不可少：技術(shù)的先進性如何?技術(shù)的市場(應用場景)在哪里?前者決定競爭力，后者決定價值兌現(xiàn)能力。一般來說，技術(shù)的先進性比較好判斷，但市場問題卻不太容易預判，特別是對哪里都能用的基礎技術(shù)而言，將其典型應用場景提煉出來難度較大。在這個問題上，反面教材并不鮮見：目前國際上通常的實體鑒別技術(shù)要求提前獲取對方有效驗證信息，這在很多重要應用場景中就很難實現(xiàn)。

　　對于TePA-EA而言，它“可廣泛應用于有線局域網(wǎng)、無線局域網(wǎng)、近場通信、射頻識別、移動通信、TCP/IP等基礎信息網(wǎng)絡的安全保障”，這就意味著TePA-EA要從如此繁復的網(wǎng)絡形態(tài)及其各自豐富的應用中，將典型的應用場景提煉出來，并針對性地形成不同的技術(shù)解決方案，事實上，TePA-EA的研發(fā)就是這么做的，這也就是TePA-EA國際標準中5項技術(shù)的由來。

　　從絕對數(shù)量上看，5項技術(shù)并不算多，但它卻基本確保了網(wǎng)絡身份鑒別的“全場景”實施，這里面體現(xiàn)的就是場景提煉的功力。當然，技術(shù)先進性和質(zhì)量是這一切的前提。

　　曾讓外國權(quán)威栽了跟頭

　　基礎技術(shù)的應用場景設定對研發(fā)者的綜合能力考驗極大，美國技術(shù)專家Mike在TePA-EA問題上就栽了個大跟頭。

　　此次TePA-EA技術(shù)體系新增3項技術(shù)，其中的一項即為“三元對等多可信第三方實體鑒別機制”，意思是說：現(xiàn)場來了兩個等待相認的陌生人，不同以往的是，兩個陌生人還帶來了各自信任的公安身份的人，因此，現(xiàn)場就會有不只一個公安身份的人要參與他們之間的互認活動，這就是“多TTP”方案。

　　在TePA-EA國際標準技術(shù)提案進入到第三階段，即國家成員體投票階段時，美方專家針對多TTP方案提出了強烈質(zhì)疑，他認為這個方案的應用場景不夠典型，應該去掉。但中方(西電捷通)專家的反饋也很明確：這是非常典型的技術(shù)方案，應用場景非常廣泛。中美專家在國際標準投票意見表決會現(xiàn)場，執(zhí)筆站在白板前進行了長達半個小時的推演，美方專家舉了白旗。

　　美方的問題出在網(wǎng)絡應用場景積累不夠。其實，多TTP方案在移動網(wǎng)絡、局域網(wǎng)絡(包括有線和無線)等領域都有著典型且廣泛的應用：

　　(1)北京移動用戶出差上海，打手機時需要與上海移動網(wǎng)絡聯(lián)接，但用戶身份無法在上海認證，需要轉(zhuǎn)至北京，認證完成后再將信息送達上海，手機用戶完成了在上海的身份認證;

　　(2)正在興建的北京大興國際機場，其信息系統(tǒng)中就有無線局域網(wǎng)安全(WAPI)技術(shù)。在這個環(huán)境里，WAPI就將面臨多TTP應用。機場里存在著機場運營方、海關、邊防等多方實體，海關人員工作時需要使用機場運營方搭建的機場網(wǎng)絡，但接入者的身份則要由海關、機場方各自所屬的身份鑒別服務器聯(lián)合完成。

　　場景之爭只是TePA-EA技術(shù)體系國際標準遠征中的一個小插曲，但它足具代表性，也很有趣。TePA-EA技術(shù)體系從2001年立項到后來下餃子般的搶占國際技術(shù)高地，實在可喜可賀。基礎技術(shù)研發(fā)沒有捷徑，18個年頭，足以讓一個人走過青春，走向成熟，期間的投入和艱辛必不可少，這是一個時間概念，也飽含真金白銀，專心致志，專業(yè)匠心。

　　附：

　　我國三項自主研發(fā)的三元對等實體鑒別技術(shù)成為國際標準

　　記者5日從WAPI產(chǎn)業(yè)聯(lián)盟獲悉，我國自主研發(fā)的三項三元對等實體鑒別(TePA-EA)技術(shù)正式發(fā)布成為國際標準化組織/國際電工委員會(ISO/IEC)國際標準。

　　“這是我國在基礎技術(shù)領域為全球網(wǎng)絡安全做出的又一重要貢獻，標志著中國的技術(shù)創(chuàng)新正在成為國際標準技術(shù)體系演進中不可或缺的部分。”WAPI產(chǎn)業(yè)聯(lián)盟秘書長張璐璐說。

　　實體鑒別技術(shù)是網(wǎng)絡安全領域的基礎共性技術(shù)，能為網(wǎng)絡參與者提供身份識別與驗證。本次發(fā)布的三項TePA-EA系列技術(shù)，為實體鑒別國際標準技術(shù)體系增加了單向鑒別、多在線可信第三方等機制，有效防范了信息未經(jīng)授權(quán)使用、誤用等網(wǎng)絡信息安全隱患。

　　據(jù)介紹，TePA-EA系列技術(shù)的國際標準提案由WAPI產(chǎn)業(yè)聯(lián)盟牽頭組織推進，西電捷通公司、無線網(wǎng)絡安全技術(shù)國家工程實驗室、國家商用密碼檢測中心、國家無線電監(jiān)測中心檢測中心等聯(lián)盟成員單位共同組成了標準項目組。其中，西電捷通公司是該技術(shù)體系的主要技術(shù)貢獻者。

　　“與國外同類技術(shù)相比，TePA-EA在安全性和易用性上更具優(yōu)勢。”該標準聯(lián)合項目編輯杜志強說。

　　截至目前，ISO/IEC 9798系列實體鑒別國際標準中的所有在線實體鑒別技術(shù)均由中國貢獻。此前，西電捷通研發(fā)的兩項在線實體鑒別技術(shù)于2010年獲批成為國際標準。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】