新聞中心
首頁(yè) > 新聞與活動(dòng)
   
持信息時(shí)代虎符,為通信安全護(hù)航
西電捷通 發(fā)布時(shí)間:2020-8-13 17:16:25


小贏說(shuō):
     “信陵君竊符救趙”的故事膾炙人口,讓很多人知道了虎符;⒎侵袊(guó)最早的加密和認(rèn)證用工具。在當(dāng)今信息時(shí)代,也有一種為通訊信息加密和認(rèn)證的“虎符”為我們的信息安全保駕護(hù)航。今天小贏就帶您一探信息時(shí)代“虎符”的奧秘!

本文涉及第二十一屆中國(guó)專利金獎(jiǎng)獲獎(jiǎng)項(xiàng)目
專利號(hào):ZL200810150951.1
專利名稱:一種實(shí)現(xiàn)實(shí)體的公鑰獲取、證書驗(yàn)證及鑒別的方法
專利權(quán)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信股份有限公司


1. 虎符
虎是森林之王,象征著威嚴(yán)和兇猛。中國(guó)古代調(diào)兵遣將用的兵符采用虎的形狀,古代人對(duì)權(quán)威的樸素表達(dá)。

央視《國(guó)家寶藏》欄目就曾向觀眾展示了珍藏在陜西歷史博物館的一件文物“杜虎符”,虎身上有銘文40字。通常右半符存于君王手里,左半符存于杜地將軍處。

 

調(diào)兵時(shí)君王派使者拿右半符前往將軍處傳達(dá)命令,左右相合,才能傳達(dá)君王命令。可以說(shuō)是“認(rèn)符不認(rèn)人”。

虎符在使用時(shí)左右半符形狀、銘文、材質(zhì)等要進(jìn)行嚴(yán)格的比對(duì)。是最早的加密和認(rèn)證的工具。(注:從漢朝到隋朝,一般仍沿用虎符。唐代改用“魚符”、“龜符”,宋代又恢復(fù)使用虎符,元朝使用虎頭牌,之后虎符逐漸退出歷史舞臺(tái)。)

如今在信息時(shí)代,通信手段更加豐富、便捷;但加密和認(rèn)證的需求仍然存在。那么如何才能打造信息時(shí)代的虎符呢?
 
2.來(lái)自中國(guó)的WLAN安全標(biāo)準(zhǔn)
目前, 我們幾乎每天都會(huì)通過(guò)無(wú)線WLAN上網(wǎng)。目前全球僅有兩個(gè)WLAN安全標(biāo)準(zhǔn),一個(gè)是IEEE 802.11i(WIFI采用的標(biāo)準(zhǔn)),另一個(gè)是中國(guó)自主提出并擁有知識(shí)產(chǎn)權(quán)的WAPI標(biāo)準(zhǔn)。

目前WIFI采用的是不對(duì)等的鑒別機(jī)制,接入點(diǎn)只在終端和可信第三方實(shí)體之間透?jìng)飨,接入點(diǎn)沒(méi)有參與鑒別過(guò)程,其默認(rèn)接入點(diǎn)是安全的。其本質(zhì)是終端與可信第三方之間的“二元鑒別”。這導(dǎo)致WIFI在接入機(jī)制方面存在嚴(yán)重的安全問(wèn)題,用戶無(wú)法鑒別接入網(wǎng)絡(luò)是否合法。(例如,偽造接入點(diǎn)導(dǎo)致用戶接入釣魚網(wǎng)絡(luò))

WAPI最大的優(yōu)點(diǎn)是安全性高,這歸功于其采用了三元對(duì)等鑒別TePA(中文名:虎符)機(jī)制。本項(xiàng)金獎(jiǎng)專利就是虎符機(jī)制中的一項(xiàng)鑒別技術(shù)。

 

三元對(duì)等鑒別就是引入可信第三方實(shí)體TP,使實(shí)體A和B相互確認(rèn)身份。實(shí)體A和實(shí)體B相對(duì)于TP是對(duì)等實(shí)體。對(duì)等就是地位是一樣的,誰(shuí)也沒(méi)有特權(quán)。(如下圖所示)

 

 ZL200810150951.1說(shuō)明書附圖

在終端嘗試接入網(wǎng)絡(luò)的場(chǎng)景下,終端無(wú)法從網(wǎng)絡(luò)中的可信第三方TP獲得接入點(diǎn)的憑證,因?yàn)榻尤肟刂乒δ芤蠼K端完成鑒別之后才能訪問(wèn)網(wǎng)絡(luò)。

 

舉個(gè)類似的例子,小明希望和你建立商業(yè)合作,可你不能確定他是否值得信賴。你完全信賴總裁,如果總裁跟你說(shuō)小明值得信賴,你就會(huì)建立合作?涩F(xiàn)在你聯(lián)系不上總裁,而只有小明能聯(lián)系到總裁。怎樣才能使總裁的真實(shí)意見(jiàn)傳達(dá)到你,讓你和小明彼此互相信任呢?

原因之二,鑒別過(guò)程與公鑰的獲取分割成兩個(gè)過(guò)程,協(xié)議執(zhí)行效率差,并且也容易引起不安全的因素。

3.金獎(jiǎng)專利技術(shù)方案詳解
該專利的主要貢獻(xiàn)在于提出一種三元對(duì)等鑒別TePA機(jī)制中的方法,能夠?qū)崿F(xiàn)實(shí)體A(eg:接入點(diǎn))和實(shí)體B(eg:終端)之間的單向鑒別和雙向鑒別。鑒別與公鑰的獲取融合在一個(gè)協(xié)議中完成。

實(shí)體A和實(shí)體B之間經(jīng)過(guò)5步消息交互就能實(shí)現(xiàn)雙向鑒別。這5步消息構(gòu)成一個(gè)整體,不可分割,具有原子性,其中任何一步失敗都將導(dǎo)致雙向鑒別過(guò)程的失敗。(注,程序的原子性是指:整個(gè)程序中的所有操作,要么全部完成,要么全部不完成,不可能停止在中間某個(gè)環(huán)節(jié))

 

ZL200810150951.1說(shuō)明書附圖

簡(jiǎn)單地講,第一、二步,A和B交互身份。第三步,A向可信第三方TP請(qǐng)求鑒別A和B的身份并返回鑒別結(jié)果;第四步,可信第三方TP向A返回對(duì)A的身份鑒別結(jié)果和對(duì)B的身份鑒別結(jié)果。A完成對(duì)B的鑒別。第五步,A向B轉(zhuǎn)發(fā)TP對(duì)A的鑒別結(jié)果,B完成對(duì)A的鑒別。A和B的身份可以為它們的數(shù)字證書或數(shù)字證書標(biāo)識(shí)。在這個(gè)過(guò)程里,還采用隨機(jī)數(shù)和簽名的方式來(lái)保證鑒別過(guò)程的安全性。

實(shí)際的鑒別過(guò)程比較復(fù)雜,小贏嘗試用之前的例子來(lái)描述這個(gè)鑒別過(guò)程:你、小明、總裁分別使用黑、白、黃三種盒子,每個(gè)人在自己的盒子里可以放東西,別人可以用對(duì)應(yīng)顏色的鑰匙打開(kāi),如果東西保持原樣,盒子可以關(guān)閉,如果東西被掉包,則盒子關(guān)不上。你和小明擁有黃鑰匙。

鑒別過(guò)程為:第一步、小明將他的身份證號(hào),他隨機(jī)選的數(shù)字5告訴你;第二步,你將你的身份證號(hào)、你隨機(jī)選的數(shù)字3告訴小明,你還將數(shù)字3、5和你倆的身份證號(hào)放入黑盒子后交給小明。第三步,小明聯(lián)系總裁,總裁尋找你倆相應(yīng)顏色的鑰匙;第四步,如果找到,總裁給小明發(fā)兩個(gè)分別放有黑白鑰匙的黃盒子,同時(shí)把黑白鑰匙也發(fā)給小明。小明打開(kāi)黃盒子,取出黑鑰匙,將總裁給的黑鑰匙和取出的黑鑰匙比對(duì),比對(duì)一致則用黑鑰匙再打開(kāi)黑盒子,看看里面是不是放了5和小明的身份證號(hào),如果是,小明知道你值得信賴。第五步,小明將3和你的身份證號(hào)放入白盒子,連同另一個(gè)黃盒子以及一把白鑰匙交給你,你用黃鑰匙打開(kāi)黃盒子取出白鑰匙,將取出的白鑰匙與小明給的白鑰匙比對(duì),比對(duì)一致則用白鑰匙打開(kāi)白盒子,看看里面是不是放了3和你的身份證號(hào),如果是,則小明值得信賴。

在這過(guò)程中,在盒子里放東西就相當(dāng)于簽名。如果任何一個(gè)盒子打不開(kāi)或者內(nèi)容比對(duì)不正確或者盒子關(guān)不上,則雙向鑒別失敗。如果總裁沒(méi)有找到白鑰匙,黃盒子里是空的,你自然也打不開(kāi)白盒子,鑒別失敗。如果小明偽造一個(gè)鑰匙放到黃盒子,那么他關(guān)不上黃盒子,鑒別也失敗。

通過(guò)隨機(jī)數(shù)的產(chǎn)生和校驗(yàn)保證鑒別過(guò)程的唯一性和時(shí)效性,使用簽名保證鑒別的安全性。該方案能夠保證合法用戶接入合法網(wǎng)絡(luò),適用于用戶-接入點(diǎn)-服務(wù)器的組網(wǎng)結(jié)構(gòu),比WIFI更高效、更安全。

 

在應(yīng)用層面,目前北京大興國(guó)際機(jī)場(chǎng)WAPI無(wú)線網(wǎng)絡(luò)已經(jīng)投入使用,其航站樓業(yè)務(wù)區(qū)域?qū)崿F(xiàn)了WAPI全覆蓋。即將舉辦的北京冬奧會(huì),WAPI也將覆蓋多個(gè)比賽場(chǎng)地。未來(lái),中國(guó)標(biāo)準(zhǔn)的WAPI將更多的進(jìn)入到我們的生活。

4. 金獎(jiǎng)專利中的虎符機(jī)制
本項(xiàng)金獎(jiǎng)專利的專利權(quán)人是西安西電捷通無(wú)線網(wǎng)絡(luò)通信股份有限公司,是中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組和WAPI產(chǎn)業(yè)聯(lián)盟的發(fā)起成員。

該公司于2000年9月在西安創(chuàng)立,經(jīng)過(guò)十多年的創(chuàng)新實(shí)踐,西電捷通在技術(shù)創(chuàng)新和標(biāo)準(zhǔn)化方面取得了顯著的成果,下表列出有代表性的一部分。


值得一提的是:ISO/IEC 9798-3:1998/Amd.1:2010中,虎符TePA機(jī)制中三元對(duì)等用戶側(cè)發(fā)起雙向?qū)嶓w鑒別、三元對(duì)等網(wǎng)絡(luò)側(cè)發(fā)起雙向?qū)嶓w鑒別兩項(xiàng)技術(shù)被納入,這是中國(guó)在信息安全領(lǐng)域的第一個(gè)國(guó)際標(biāo)準(zhǔn)。2017年4月,該標(biāo)準(zhǔn)項(xiàng)目進(jìn)入國(guó)際標(biāo)準(zhǔn)草案DIS階段,其中包含虎符機(jī)制中的另外三項(xiàng)技術(shù):三元對(duì)等多可信第三方實(shí)體鑒別、三元對(duì)等用戶側(cè)發(fā)起單向?qū)嶓w鑒別、三元對(duì)等網(wǎng)絡(luò)側(cè)發(fā)起單向?qū)嶓w鑒別,使得虎符機(jī)制能夠應(yīng)對(duì)更多場(chǎng)景的需要。

西電捷通在虎符機(jī)制上擁有若干項(xiàng)專利,小贏列出有代表性的一些:

 

展望未來(lái),我們要不斷進(jìn)行技術(shù)創(chuàng)新,更多地參與國(guó)際化標(biāo)準(zhǔn)的制定,擁有更多的核心專利,這個(gè)過(guò)程不能僅僅依靠幾家企業(yè)的努力,還需要你我他的共同參與。讓我們一起成為信息時(shí)代的虎符締造者和守護(hù)者。

原文鏈接:https://mp.weixin.qq.com/s/UdXSaGtxk5XGBMr9tEfjgg

報(bào)道時(shí)間:2020年8月11日

 
新聞與活動(dòng)
了解更多
我們的觀點(diǎn)
了解更多
 
聯(lián)系我們 法律聲明 隱私政策 網(wǎng)站地圖            版權(quán)所有© 2024 西電捷通      陜公網(wǎng)安備61019002000224號(hào) 陜ICP備12000679號(hào)-4