1. C114通信网£º 门户(微博 微信) 论坛(微博) 人才(微博) 百科 | C114客户端 | English | IDC联盟 与风网

            无线通信 - ?#21040;?#35201;闻 - 正文 运营商投稿当日通信资讯

            新晋成为ISO/IEC国际标准 三元对等实体鉴别£¨TePA-EA£©?#38469;?#21040;底是什么£¿

            http://www.6912425.com ( 2019/3/11 20:43 )

            3月5日£¬新华社报道称£¬中国企业西电捷通公司研发的三元对等实体鉴别£¨TePA-EA£©系列?#38469;õ£?#20849;5项£©已被国际标准组织正式发布成为国际标准£¬并高度评价其“这是我国在基础?#38469;?#39046;域为全球网络安全做出的又一重要贡献”¡£

            基础?#38469;õ¡?#20840;球网络¡¢重要贡献——这似乎是在通告一个重量级?#38469;?#26631;准的诞生£¬而事实也正是如此¡£实体鉴别从属网络安全基础?#38469;?#24207;列£¬被视为网络安全“第一关”£¬重要性毋庸置疑¡£

            什么是实体鉴别£¿

            打个比方¡£两个陌生人会面£¬一般的流程是£º打招呼——确认身份——握手交谈£¬大体如此¡£其实£¬这样的交互逻辑在网络世界中同样存在¡£

            当你的终端设备£¨电脑¡¢手机等£©试图连接网络时£¬终端与网络之间的第一个动作就是“打招呼”£¨普遍意义上的连网请求£¬通常由终端侧发起£¬有时也可能由网络侧发起£©£¬专业术语称之为“关联”£¬主要是探测网络是否有信号£¬以确认双方在物理上是否能够连得上¡£

            接下来就是“确认身份”——终端与要接入的网络之间互相进行身份的识别与验证£¬以此保证合法终端接入合法网络£¬这一过程就是“实体鉴别”¡£直观来看£¬它是网络安全的第一道关口¡£这道关口通过之后£¬剩下的就是“握手交谈”的正常网络通信?#26041;?#20102;¡£

            在现实生活中£¬陌生人之间确认彼此身份的方法可以有很多种£¬譬如可以用事先?#32423;?#22909;的暗号£¬见面后对上了暗号就意味着找对了人¡£或者更直接一点£¬大家先亮出身份证£¬彼此检验一下£¬确认是公安机关发放的可信证件£¬这样也意味着找对了人¡£类似地£¬网络环境下的实体鉴别?#38469;?#20063;存在多个?#31181;§¡?/p>

            实体鉴别很重要£¬所以在全球网络尚处于蛮荒时代的1991年£¬第一项实体鉴别国际标准——实体鉴别总体要求便被制定出来£¬标准号是ISO/IEC 9798-1£¬后续又陆续发布了ISO/IEC 9798系列国际标准的其他部分£¬分属于实体鉴别的不同?#38469;õ·种§£?#27604;如£ºISO/IEC 9798-2£¬学名叫“采用对称?#29992;?#31639;法的机制”£¬通俗?#27492;道?#20284;于前述的“暗号法”£»ISO/IEC 9798-3£¬学名叫“采用数字签名?#38469;?#30340;机制”£¬它类似于前述的“身份证法”¡£

            比较而言£¬在ISO/IEC 9798序列里£¬“身份证法”的安全级别更高£¬也更适合大规模使用£¬从?#38469;?#24212;用的演进趋?#35780;?#30475;£¬随着实体£¨?#24067;?#24179;台等£©的资?#35789;?#38480;问题逐步得到解决£¬ISO/IEC 9798-3的应用会更?#24248;?#27867;¡£

            什么是三元对等£¿

            此次新华社报道中提到的三元对等实体鉴别£¨TePA-EA£©国际标准?#35789;?#20110;ISO/IEC 9798-3序列¡£从?#38469;?#19978;讲£¬TePA-EA是基于三元对等架构£¨TePA£©的实体鉴别£¨EA£©?#38469;õ£?#23427;给网络架构带来的最显著变化就是引入了在线可信第三方£¨TTP£©£¬并实现了真正意义上的实体之间实体鉴别的“双向对等”£¬进而为网络安全接入提供了先进可靠的?#38469;?#25903;撑¡£

            什么是在线可信第三方£¿两个陌生人见面£¬掏出身份证互认£¬这在一定程度上解决了彼此互信问题£¬但是它依然存在安全隐患£¬毕竟身份证有可能造假£¬也有可能失效¡£所以£¬如果现场还有一个公安身份的人£¬并能够当场验证两个人的身份证真实有效£¬并把结果反馈给二人£¬那么这个“陌生——互信”的过程就比较完美了¡£在这里£¬公安身份的?#21496;?#26159;“在线可信第三方”¡£需要强调的是£¬这两个陌生人相认过程中£¬没有任?#25105;?#20010;人可以有免检或额外的特权£¬即在鉴别过程中是完全“对等”的¡£网络安全界有一句名言£º“不假定任?#38382;?#24773;£¬不相信任何人£¬检验所有的东西”¡£三元对等的?#38469;?#24605;想即是如此¡£

            三元对等原理看似简单£¬但在现实的网络场景中£¬三元对等架构下的安全认证实现远比想象的要复杂严苛¡£在实际网络通信中£¬受网络结构的限制£¬尤其是在目前最常用的无线网络环境下£¬终端往往并不能直接与TTP对话£¨连接£©£¬而是要由与终端进行鉴别的网络接入点£¨AP£©转发来自TTP身份验证信息£¬并最终完成身份鉴别¡£按理说£¬终端和网络接入点本来是要相认的两个陌生人£¬但现有的网络形态却决定了其中一个人的身份信息只能通过另一个人传口信给TTP£¬然后还要再次经由这个中间人把TTP的口信传回来£¬这个过程存在很大的安全隐患£¬如何解决这个问题£¬是设计该网络场景下的实体鉴别机制面临的最大挑战¡£三元对等架构的优势在这里得到了体现£¬它完美地解决了这个难题¡£具体的实现细节过于艰深£¬这里不再赘述¡£

            也许有人会说£¬现在很多网络?#38469;?#37117;已经是对等鉴别了£¬TePA-EA有什么特殊之处呢£¿事实上£¬TePA-EA的最大价值就在于它是从更高层面的网络架构上解决了真正的“对等鉴别”问题£¬而很多网络?#38469;?#29978;至是市场上的主流?#38469;õ£?#30001;于结构上的?#27605;Ë|?#23427;们往往很难彻底以“对等”方式实现实体鉴别£¬使得在网络中引入了一些新的被攻击点£¬进而给网络安全造成隐患¡£

            Wi-Fi为例£¬它拥有WEP¡¢WPA¡¢WPA2¡¢WPA3等安全机制£¬在WEP被证明存在严重?#27605;?#20043;后£¬Wi-Fi在WPA2和WPA3安全机制中增加了一个在线可信第三方£¨身份鉴别服务器£©£¬它与接入点绑定在一起£¬两者默认互信¡£但无线接入点没有独立身份£¬它实际上只是帮助终端和身份鉴别服务器之间形成了双向鉴别£¬而终端与接入点之间却无法形成真正的对等鉴别£¬这就使其难以摆脱“中间人攻击”的风险¡£

            为什么有5项?#38469;õ£?/strong>

            新华社的这篇报道还提到£¬早在2010年£¬西电捷通就已经有2项实体鉴别?#38469;?#25104;为了国际标准£¬此次新增3项£¬前后合计5项¡£一个很自然的疑问£º为什么需要这么多?#38469;?#26469;支撑实体鉴别机制£¿这就要从?#38469;?#30340;应用场景设定说起¡£

            一项?#38469;?#30340;研发立项£¬两个要素的考量必不可少£º?#38469;?#30340;先进性如何?#32771;际?#30340;市场£¨应用场景£©在哪里£¿前者决定竞争力£¬后者决定价值兑现能力¡£一般?#27492;担¬¼际?#30340;先进性比较?#38376;?#26029;£¬但市场问题却不太容?#33258;?#21028;£¬特别是对哪里都能用的基础?#38469;?#32780;言£¬将其典型应用场景提炼出来?#35759;?#36739;大¡£在这个问题上£¬反面教材并不鲜见£º目前国际上通常的实体鉴别?#38469;?#35201;求提前获取对方有效验证信息£¬这在很多重要应用场景中就很难实现¡£

            对于TePA-EA而言£¬它“可广泛应用于有线局域网¡¢无线局域网¡¢近场通信¡¢射频识别¡¢移动通信¡¢TCP/IP等基础信息网络的安全保障”£¬这就意味着TePA-EA要从如此?#22791;?#30340;网络形态及其各自丰富的应用中£¬将典型的应用场景提炼出来£¬并针对性地形成不同的?#38469;?#35299;决方案£¬事实上£¬TePA-EA的研发就是这么做的£¬这也就是TePA-EA国际标准中5项?#38469;?#30340;由?#30784;?/p>

            从绝对数量上看£¬5项?#38469;?#24182;不算多£¬但它却基本确保了网络身份鉴别的“全场景”实施£¬这里面体现的就是场景提炼的功力¡£当然£¬?#38469;?#20808;进性和质量是这一切的前提¡£

            曾让外国权威栽了跟头

            基础?#38469;?#30340;应用场景设定对研发者的综合能力考验极大£¬美国?#38469;?#19987;家Mike在TePA-EA问题上就栽了个大跟头¡£

            此次TePA-EA?#38469;?#20307;系新增3项?#38469;õ£?#20854;中的一项即为“三元对等多可信第三方实体鉴别机制”£¬意?#38469;?#35828;?#21512;?#22330;来了两个等待相认的陌生人£¬不同以往的是£¬两个陌生人还带来了各自信任的公安身份的人£¬因此£¬现场就会有不只一个公安身份的人要参与他们之间的互认活动£¬这就是“多TTP”方案¡£

            在TePA-EA国际标准?#38469;?#25552;案进入到第三阶段£¬即国家成员体投票阶?#38382;保?#32654;方专家针对多TTP方案提出了强烈质疑£¬他认为这个方案的应用场?#23433;?#22815;典型£¬应该去掉¡£但中方£¨西电捷通£©专?#19994;?#21453;馈也很明确£º这是非常典型的?#38469;?#26041;案£¬应用场景非常广泛¡£最后£¬中美专家在国际标准投票意见表决会现场£¬执笔站在白板前进行了长达半个小时的推演£¬最后美方专家举了白旗¡£

            美方的问题出在网络应用场景积累不够¡£其实£¬多TTP方案在移动网络¡¢局域网络£¨包括有线和无线£©等领域都有着典型且广泛的应用£º

            £¨1£©?#26412;?#31227;动用户出差上海£¬打手机时需要与上海移动网络联接£¬但用户身份无法在上海认证£¬需要转至?#26412;©£?#35748;证完成后再将信息送达上海£¬最后手机用户完成了在上海的身份认证£»

            £¨2£©正在兴建的?#26412;?#22823;兴国际机场£¬其信息系统中就有无线局域网安全£¨WAPI£©?#38469;õ¡?#22312;这个环境里£¬WAPI就将面临多TTP应用¡£机场里存在着机场运营方¡¢海关¡¢边防等多方实体£¬海关人员工作时需要使用机场运营方搭建的机场网络£¬但接入者的身份则要由海关¡¢机场方各?#36816;?#23646;的身份鉴别服务器联合完成¡£

            场景之争只是TePA-EA?#38469;?#20307;系国际标准远征中的一个小插曲£¬但它足具代表性£¬也很有趣¡£TePA-EA?#38469;?#20307;系从2001年立项到后来下饺子般的抢占国际?#38469;?#39640;地£¬实在?#19978;?#21487;贺¡£基础?#38469;?#30740;发没有捷径£¬18个年头£¬足以让一个人走过青?#28023;?#36208;向成熟£¬期间的投入?#22270;?#36763;必不可少£¬这是一个时间概念£¬也饱含真金白银£¬专心致志£¬专?#21040;?#24515;¡£

            附£º

            我国三项自主研发的三元对等实体鉴别?#38469;?#25104;为国际标准

            2019-03-05 10:33:14 来源£º新华网

            新华社?#26412;?月5日电£¨赵晓辉¡¢李泽£©记者5日从WAPI产业联盟获悉£¬我国自主研发的三项三元对等实体鉴别£¨TePA-EA£©?#38469;?#27491;式发布成为国际标准化组织/国际电工委?#34987;?ISO/IEC)国际标准¡£

            “这是我国在基础?#38469;?#39046;域为全球网络安全做出的又一重要贡献£¬标志着中国的?#38469;?#21019;新正在成为国际标准?#38469;?#20307;系演进中不可或缺的部分¡£”WAPI产业联盟秘书长张璐?#27492;µ¡?/p>

            实体鉴别?#38469;?#26159;网络安全领域的基础共性?#38469;õ£?#33021;为网络参与者提供身份识别与验证¡£本次发布的三项TePA-EA系列?#38469;õ£?#20026;实体鉴别国际标准?#38469;?#20307;系增加了单向鉴别¡¢多在线可信第三方等机制£¬有效防范了信息未经授权使用¡¢误用等网络信息安全隐患¡£

            据介绍£¬TePA-EA系列?#38469;?#30340;国际标准提案由WAPI产业联盟牵头组织推进£¬西电捷通公司¡¢无线网络安全?#38469;?#22269;家工程实验室¡¢国家商用密码检测中心¡¢国家无线电监测中心检测中心等联盟成员单位共同组成了标准项目组¡£其中£¬西电捷通公司是该?#38469;?#20307;系的主要?#38469;?#36129;献者¡£

            “与国外同类?#38469;?#30456;比£¬TePA-EA在安全性和易用性上更具优势¡£”该标准联合项目编辑杜志强说¡£

            截至目前£¬ISO/IEC 9798系列实体鉴别国际标准中的所有在线实体鉴别?#38469;?#22343;由中国贡献¡£此前£¬西电捷通研发的两项在线实体鉴别?#38469;?#20110;2010年获批成为国际标准¡£

               来源£º厂商供稿

            ¡¡¡¡免责声明£º本文仅代表作者个人观点£¬与C114中国通信网无关¡£其原创性以及文中陈述文字和内容未经本站证实£¬对本文以及其中全部或者部分内容¡¢文字的真实性¡¢完整性¡¢及时性本站不作任何保证或?#20449;担?#35831;读者仅作参考£¬并请自行核实相关内容¡£

            给作者点赞

            轻松参与

            0VS0

            表达立场

            写的不太好

            相关新闻

            Copyright©1999-2019 c114 All Rights Reserved
            上海荧通网络信息?#38469;?#26377;限公司版权所有
            南方广告业务部: 021-54451141,54451142 E-mail:[email protected]
            北方广告业务部: 010-63533177,63533977 E-mail:[email protected]
            编辑部联系: 021-54451141,54451142 E-mail:[email protected]
            服务热线: 021-54451141,54451142
            沪ICP备12002291号
            ±ØÓ®¿Í±±¾©pk10Èí¼þ