新晋ISO/IEC国际标准,TePA-EA技术到底是什么?Peer-to-PeerEntityAuthentication(TePA-EA)系列技术(共5项)已被国际标准组织正式发布为国际标准。业内人士认为,“这是我国在基础技术领域为全球网络安全做出的又一重要贡献”。 基础技术、全球网络、重要贡献——这似乎在宣告一个重量级技术标准的诞生,事实也确实如此。实体认证隶属于网络安全的基础技术序列,被视为网络安全的“第一关”,其重要性毋庸置疑。 什么是实体识别? 举个例子。两个陌生人见面,一般流程是:打招呼——确认身份——握手交谈,大致相同。事实上,这样的交互逻辑在网络世界中也同样存在。 当您的终端设备(电脑、手机等)尝试连接网络时,终端与网络之间的第一个动作就是“问候”(一般意义上的网络连接请求,通常由终端侧,有时也可能由网络侧发起),专业术语称为“关联”,主要是检测网络中是否有信号,以确认双方是否物理连接。 接下来就是“身份确认”——终端与要接入的网络之间的身份验证,确保合法终端接入合法网络。这个过程就是“实体认证”。直观上,它是网络安全的第一道大门。通过这一关之后,剩下的就是“握手谈”的正常网络通信环节了。 在现实生活中,陌生人可以通过多种方式确认彼此的身份。例如,您可以使用预先约定的密码。如果见面后密码相符,就说明找对人了。或者更直接一点,大家先出示自己的身份证件,互相核对一下,确认是公安机关出具的可信证件,也就说明找对人了。同样,网络环境中的实体认证技术也有很多分支。 实体认证非常重要,于是在1991年,在全球网络还处于野蛮时代的时候,制定了第一个实体认证国际标准——实体认证通用要求。标准号为ISO/IEC9798-1,随后陆续发布了ISO/IEC9798系列国际标准的其他部分,分别属于实体认证的不同技术分支,如:ISO/IEC9798-2,其学名为“MechanismUsingSymmetricEncryptionAlgorithm”,类似于前述的“Ciphermethod”;ISO/IEC9798-3,学名为“mechanismusingdigitalsignaturetechnology”,与前述方法类似。 相比之下,在ISO/IEC9798序列中,《身份证法》的安全级别更高,更适合大规模使用。从技术应用的演进趋势来看,作为实体(硬件平台等)资源有限的问题正在逐步解决,ISO/IEC9798-3的应用将更加广泛。 什么是三元等价? 新华社报道中提到的国际标准TePA-EA属于ISO/IEC9798-3序列。从技术上讲,TePA-EA是一种基于三元对等架构(TePA)的实体认证(EA)技术。它给网络架构带来的最显着的变化是引入了在线可信第三方(TTP),实现了实体间真正意义上的实体认证的“双向对等”,提供了先进的、可靠的网络安全接入技术支持。 什么是在线可信第三方?两个陌生人见面,拿出身份证互相认出,一定程度上解决了互信问题,但仍然存在安全隐患。可能会失败。因此,如果现场有具有公安身份的人员,能够当场核实两人身份证的真实性和有效性,并将结果反馈给两人,那么这种“陌生——相互信任”的过程是理想的。在这里,具有公安身份的人就是“网络可信第三方”。需要强调的是,在对这两个陌生人的认定过程中,他们都不能免检或享有额外特权,即在认定过程中完全“平等”。网络安全界有一句名言:“什么都不假设,不相信任何人,测试一切”。三元等价的技术思想就是这样。 三元对等的原理看似简单,但在真实的网络场景中,三元对等架构下安全认证的实现远比想象的复杂和严格。在实际网络通信中,受限于网络结构,尤其是目前最常用的无线网络环境中,终端往往不能直接与TTP对话(连接),而需要通过网络接入点(AP)识别转发来自TTP的认证信息,最终完成身份认证。按理说,终端和网络接入点本来就是两个需要相互识别的陌生人,但是现有的网络形态决定了其中一个的身份信息只能通过另一个人发送给TTP,然后必须再次向TTP发送身份信息。通过这个中介回传TTP报文的过程中存在很大的安全隐患。如何解决这个问题是这种网络场景下实体认证机制设计的一个巨大挑战。三元对等架构的优势就体现在这里,很好的解决了这个问题。具体实现细节难度太大,这里不再赘述。 有人可能会说,现在很多网络技术都是点对点的认证,TePA-EA有什么特别的?事实上,TePA-EA的典型价值在于它是一种更高层次的网络架构,但是很多网络技术甚至是市场上的主流技术,由于结构上的缺陷,往往很难完全实现实体认证。“点对点”的方式,引入难度大,引入了一些新的风险,进而给网络安全带来了隐患。 以Wi-Fi为例。它具有WEP、WPA、WPA2和WPA3等安全机制。在WEP被证明存在严重缺陷后,Wi-Fi在WPA2和WPA3安全机制中加入了在线可信第三方。(身份认证服务器),与接入点绑定,两者默认相互信任。然而,无线接入点没有独立的标识。实际上只是帮助终端与身份认证服务器形成双向认证,而终端与接入点之间无法形成真正的对等认证,难以摆脱"中间人攻击的风险。 为什么会有5项技术? 新华社的报道也提到,早在2010年,西电捷通就已经拥有2项实体识别技术,成为国际标准,这次又新增了3条,前后一共5条。一个很自然的问题:为什么我们需要这么多技术来支持实体认证机制?这要从应用场景设置说起 对于技术研发项目的立项,必须考虑两个要素:技术有多先进?技术的市场(应用场景)在哪里?前者竞争力决定竞争力,后者决定价值实现能力。一般来说,判断技术的先进性比较容易,但预测市场问题并不容易,尤其是对于随处可用的基础技术,很难提炼出它们的典型应用场景。在这个问题上,反面教材并不少见:目前国际上通行的实体认证技术都需要提前获取对方的有效验证信息,这在很多重要的应用场景中很难做到。 对于TePA-EA,“可广泛应用于有线局域网、无线局域网、近场通信、射频识别、移动通信、TCP/IP等基础信息网络的安全”,这意味着TePA-EAEA需要从如此复杂的网络形态及其各自的丰富应用中提炼出典型的应用场景,有针对性地形成不同的技术解决方案。事实上,TePA-EA的研发就是这样进行的,这也是TePA-EA国际标准中五项技术的由来。 从绝对数量上看,五项技术并不算多,但基本保证了网络身份认证的“全场景”落地,体现了场景精细化的功力。当然,技术进步和品质是这一切的前提。 曾经让外国当局磕磕绊绊。 基础技术的应用场景设置,是对开发者综合能力的极大考验。美国技术专家Mike偶然发现了TePA-EA问题。 TePA-EA技术体系新增了3项新技术,其中一项是“三向点对点多信任第三方实体认证机制”,意思是:两个等待识别的人来到现场陌生人,与以往不同的是,这两个陌生人还带来了他们信任的公安人员。因此现场会有不止一名公安人员参与他们之间的互认活动。TTP”方案。 当TePA-EA国际标准技术提案进入第三阶段,即国家成员团体投票阶段时,美国专家对多TTP方案提出了强烈质疑,他认为应用场景这个方案不够典型,应该去掉。不过,中国(西电捷通)专家的反馈也很明确:这是一个非常典型的技术方案,应用场景非常广泛。中美专家各国在国际标准投票会上站在白板前进行半小时推演,美国专家举白旗。 美国的问题在于网络应用积累不足场景。事实上,多TTP方案在移动网络、局域网(包括有线和无线)等领域有着典型和广泛的应用:用户身份在上海无法认证,需要中转至北京。认证完成后,信息将发往上海。手机用户已在上海完成身份认证; (2)北京大兴国际机场正在建设中。有无线局域网安全(WAPI)技术。在这种环境下,WAPI将面临多种TTP应用。机场内有机场运营商、海关、边防等多个主体。海关工作人员在工作时需要使用机场运营商搭建的机场网络,但接入人身份必须由海关和机场各自的身份识别服务器共同完成。. 场景之争只是TePA-EA技术体系国际标准考察中的一个小插曲,但却具有代表性和趣味性。TePA-EA技术体系成立于2001年,后来像下饺子一样抢占了国际技术高地,着实可喜可贺。基础技术研发没有捷径。18年,足够一个人走过青春,走向成熟。这期间的投入和艰辛缺一不可。这是一个时间观念,也充满了真金白银、敬业精神、专业匠心。 附: 我国自主研发的三项三元对等实体认证技术成为国际标准-EA)技术作为国际标准化组织/国际电工委员会(ISO)国际标准正式发布/IEC)。 “这是我国在基础技术领域为全球网络安全做出的又一重要贡献,标志着中国的技术创新正在成为国际标准技术体系演进中不可或缺的一部分。”WAPI产业联盟秘书长张璐璐解释。 实体认证技术是网络安全领域的一项基础共性技术,可为网络参与者提供身份识别和验证。此次发布的三项TePA-EA系列技术,在实体认证国际标准技术体系中增加了单向认证、多在线可信第三方等机制,有效防范信息未授权使用、信息滥用等网络信息安全风险. 据介绍,TePA-EA系列技术的国际标准提案由WAPI产业联盟牵头,西电捷通公司、无线网络安全技术国家工程实验室、国家商用密码检测中心、国家信息化技术研究院联合发起。无线电监测中心检测中心等联盟成员单位共同组成标准项目组。其中,西电捷通公司是该技术体系的主要技术贡献者。 “与国外同类技术相比,TePA-EA在安全性和易用性方面更具优势。”该标准联合项目主编杜志强说。 截至目前,ISO/IEC9798系列实体认证国际标准中的在线实体认证技术全部由中国贡献。此前,西电捷通开发的两项在线实体识别技术已于2010年获批国际标准。【原创稿件,合作网站转载请注明原作者和出处.com】
