周学锋:你好。随着国防现代化进程的加快,中国人民正以前所未有的力度开展信息化建设。为适应形势需要,加强我军高技术条件下信息安全保密工作,1999年3月,保密委员会向全军发出通知,通告信息安全测评认证中心成立。同年6月,四总部及地方有关部门领导出席了中心成立大会。
2001年2月7日,经中央军委批准,总参谋部、总政治部、总后勤部、总装备部联合颁发的《中国人民计算机信息系统安全保密规定》指出:“中国人民信息安全测评认证中心负责军队计算机信息系统安全技术和产品的测评认证工作”,“用于军队计算机信息系统安全保密防护与检测的硬件、软件和系统,必须经中国人民信息安全测评认证中心测评认证”,进一步明确了中心在军队信息安全保障体系中的重要地位和职责。
中心目前开展的测评认证的产品主要有:防火墙、入侵检测、漏洞扫描分析、网络隔离、非法外联监控、安全管理审计、安全管理授权、数字签名、数据备份与恢复、数据安全保护、视频干扰器、移动电话干扰器、CA认证、病毒防护、网络安全设备、数据库安全、操作系统安全、存储介质安全产品、安全计算机、低辐射信息产品、屏蔽机柜、屏蔽室、暗室、屏蔽材料等二十几类,涵盖了信息安全主要领域。
经过严格检测和评审,截至2007年4月,已有来自全国各地的研制单位送检的近600个产品通过了中心测评认证,这些产品基本覆盖了当前信息安全保密的重要技术领域。
记者:作为军队的信息安全测评认证中心,中心主要职责是什么?
周学锋:作为全军唯一的信息安全测评认证机构,中心负责军队计算机信息系统安全技术和产品的测评认证工作,其主要职责包括:对军队采用的计算机信息系统安全技术进行评估;对进入军队系统的信息设备、信息安全保密防护产品的安全保密性能及质量进行检测、评估和认证;向军队推荐符合安全保密要求的信息安全保密防护和检测产品;为军队用户提供信息安全保密技术咨询。
为便于军队用户选购合格的信息安全产品,中心定期向全军《中国人民信息安全认证产品目录》。从2002年6月开始,中心率先对信息安全保密产品测评实行等级认证,在认证报告和认证证书上标明认证产品安全保护等级。不仅树立了中心在国内的领先形象,而且为军队用户选购产品提供了明确的指导意见,受到了研发单位的重视和军队用户的欢迎。
记者:测试环境是开展产品检测工作的基础,是产品检测业务的平台保证。中心在测试环境上有什么特殊要求?有哪些完备的测试服务器机群及相关工具?
周学锋:中心依托军队专业技术力量,建立了完备的测试环境,拥有先进的检测手段。先后研制了投资额达1500万元的网络系统和网络产品安全性测试系统、军队计算机信息系统安全检测评估系统等型号项目,总资产近亿元。中心不仅可以对信息安全系统进行物理、网络、系统、应用、管理等五个方面的常规检测,还可进行各种深度测试。中心在电磁泄漏发射检测、网络渗透性测试、加密强度测试、无线网络安全测试、BIOS安全检测等深度测试方面,在国内具有综合技术优势,是确保网络信息安全系统测试验收质量的重要保障。
记者:质量是规范产品行为的重要依据,尤其对于军队来说,在产品质量特别是信息安全层面上要求是非常严格的,中心在质量管理制度和监督体系有哪些措施?贯彻和建设有什么举措?
周学锋:中心严格执行国家和军队信息安全相关法规和技术标准,本着“科学、公正、严谨、高效”原则,全面落实“严标准、严规范、严认证、严管理、严作风”的要求开展测评认证工作。通过8年发展,中心已建立了比较严格的质量管理制度和监督体系,从产品审查、检测、认证等方面严格把关,对不符合军队要求的信息安全产品坚决不予受理,对不达标的产品坚决不予通过,对认证产品的等级严格评估审查,确保通过认证的产品切实达标。各实验室以规范产品检测程序,完善检测规范,提升测试人员的测试水平和综合测试能力为重点,严把“检测关”。为保证测评认证的质量和权威性,中心还成立了由军内10余名不同专业的专家组成的认证小组,对测评认证工作进行监督和指导,通过专家认证会对产品的受理、检测过程和结果进行审查,确定产品认证等级,对信息安全产品测评认证进行最后技术把关。
中心制定了一系列规章,如《中国人民信息安全测评认证管理办法》、《信息安全产品分类指南》、《信息安全产品测试评估指南》、《信息安全产品等级划分通用指南》、《信息安全产品测试评估术语表》、《测试室管理规定》、《产品测试操作规程》等规章制度和各类信息安全防护产品等级划分方法的技术要求及测试评估方案。从管理到责任、从规程到细则都有详细规定,确保测评认证质量,对军队用户负责,维护申请单位利益。
记者:检测技术和人才是密不可分的,中心在专业技术队伍建设方面有哪些特殊优势?
周学锋:中心是中国计算机学会计算机安全专业委员会成员单位和中国计算机学会信息保密专业委员会成员单位。中心下设测评认证专家委员会、办公室、业务联络室、技术标准室、档案资料室、计算机网络安全检测实验室、电磁防护检测实验室、数据安全保护检测实验室等部门。中心有一支由国家信息化咨询委员会委员、全国信息安全标准化技术委员会委员、中国信息协会信息安全专业委员会副主任委员、中国计算机学会计算机安全专业委员会副主任委员、全国电子测量仪器标准化技术委员会委员等国内知名专家组成的国内一流的技术队伍,技术队伍中具有正、副研究员和高级工程师职称的占46%,具有博士、硕士学位的占51%。中心具有完备的测试环境和先进的检测技术,与军队和地方多家科研机构建立协作关系。
中心编制或参与编制了军队信息系统安全保密规定、军队计算机信息网络国际联网管理暂行规定、军队计算机信息系统安全保密防护要求及检测评估方法、军队电磁屏蔽室技术要求和检验方法、军队计算机病毒防治规范等法规标准二十多部,编制了涉及信息安全主要领域的多类信息安全产品测试技术规范,为提高我军技术安全保密工作正规化水平做出了重要贡献。此外还参与了《国家信息化发展战略》(2006-2020年)、《关于开展信息安全风险评估工作意见》、《信息安全风险管理指南》、《信息安全风险评估指南》等法规标准的草拟工作,积极为国家信息安全献计献策。
记者:中心取得了哪些卓有成效的成绩及未来发展规划是怎样的?
【 关键词 】 互联网;信息安全;账号密码;身份认证
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
谢瑾(1997-),女,湖南长沙人, 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域:互联网应用创意、文学创作、数学游戏。
多年来,得安科技先后承担并参与了30多项国家和地方科研项目和产业化任务,并在面向金融领域的关键安全技术、信息安全基础设施关键技术体系研究等关键领域做出了突出贡献,取得了创新性的科研成果。得安科技载誉业内的实事,让我们不得不去关注隐藏在其高速发展背后的研发实力和技术动力。今天的得安,对其自身如何定位?其发展潜力何在?以得安科技为代表的密码核心技术提供商又如何看待国内信息安全市场发展趋势?为寻找这些问题的答案,中国信息化周报记者约访了得安科技技术总监孔凡玉。
中国信息化周报:商用密码产品及服务是信息安全产业的重要一环,也是得安的核心竞争力。基于怎样的背景,得安投入商用密码技术研发?
孔凡玉:所谓网络安全、信息安全,最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全,而不单是对计算机设备、网络设备自身的安全防护。大到一个国家,小到一个企业和个人,多数黑客进行攻击的真正目的就是窃取机密数据和信息,而不仅仅是破坏信息系统本身。因此,商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环,是信息安全产业的重要组成部分。
得安公司成立于1997年10月7日,是我国最早致力于商用密码产品研发及产业化的企业之一,这与我国当时对网络安全和商用密码产品的迫切需求密切相关:一个是随着互联网技术的发展,网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现;另一个是,我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化,以保证信息安全核心技术的独立性和自主性。
中国信息化周报:得安现有哪些科研成果?具有哪些核心技术优势?
孔凡玉:得安科技自主研发的“SMS100-1网络安全平台”,这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品,并荣获国家科技进步三等奖和密码科技进步二等奖,此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外,得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目,实现了商用密码产品和接口的国产化,并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。
十六年以来,得安公司一直注重商用密码和信息安全核心技术的创新,在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累,得安参与研发的多项产品和技术填补了国内外空白,保证了核心技术的领先优势。
中国信息化周报:从国家政策层面强化网络安全意识,到首席安全官渐成大型企业标配职位的发展现状,您如何理解密码安全对于企业信息安全堡垒建设的核心意义?
孔凡玉:在目前的互联网时代,每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时,也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立,标志着我国已经把网络信息安全上升为国家战略的层面。
在网络信息安全防护中,以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以,商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。
近年来,发生的信息安全事件大致分为两种:一种是单纯的病毒、木马、系统攻击,没有特别的针对性,造成的后果是计算机系统的崩溃或者网络无法正常访问;第二种是针对数据和信息的窃取,这会造成重要数据或个人隐私的泄露,带来严重的后果。最近爆发的信息安全事件,八成以上都涉及到数据泄露问题,例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件,近期爆出的OpenSSL的几个严重漏洞,以及我国近年发生的多个网站的数据泄露问题,这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护,并进行严格的身份认证、访问控制、安全管理等。
得安科技大力推广信息安全服务的理念,所提出的企业信息安全堡垒的建设方案,是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案,实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能,实现企业信息系统的高安全性和可靠性,为企业提供信息安全保障。
中国信息化周报:在与用户接触过程中,您认为目前企业信息安全系统普遍薄弱的环节有哪些?
孔凡玉:在云计算和大数据时代来临之际,任何信息系统的核心都是“数据”,因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全,包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全,这形成一个环环相扣的系统。
在与很多用户进行交流时,我们了解到,现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案,仅在某一个或几个方面进行了安全防护,但是仍然存在其他方面的漏洞,不能形成一个完整的防护体系。
中国信息化周报:对此,得安科技针对不同行业、不同应用场景下的安全问题,推出了哪些解决方案?
孔凡玉:得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用,针对不同行业、不同应用场景,已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案,包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括:
■云安全密码服务平台:这是得安公司研发的基于“云计算”技术的高性能密码平台,将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,提供高性能的数据加密、数字签名、身份认证等密码服务功能。
■远程文件安全传输解决方案:此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题,在数据的安全、可靠、高效的传输方面,可以解决FTP等传统传输方式的种种不足,为广大企业客户所信赖。同时,该方案可以集成于各类企业的信息系统平台中,实现企业的远程文件的安全传输,目前已经广泛应用于金融、证券、石油化工、电力等行业。
■数字证书认证系统解决方案:此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件,提供了一种在网络环境中验证身份的方式,类似于日常生活中的身份证。得安数字证书认证系统简称CA系统,采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统,已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设,并顺利运行。
■安全移动办公解决方案:此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSec VPN、SSL VPN、安全网关以及安全客户端等产品,可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时,首先需要经过安全网关的身份认证,认证通过后才能访问其权限范围内的业务系统;可以在安全网关上进行细粒度的权限配置,保证接入终端的安全性;同时,安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能,更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。
■手机安全支付解决方案:得安公司研发的智能SD卡以及软件系统,是近年新兴的一种信息安全产品,把高性能的安全模块集成到SD卡中,这样用户既可以像使用普通SD卡那样使用其大容量存储功能,又可以像使用智能IC卡那样使用SD卡中集成的安全模块,具有密钥管理、证书存储、权限控制、数据加解密等功能,实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。
■桌面安全解决方案:此方案用于解决企业内部计算机设备的安全控制和信息保密问题,采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术,确保了信息在单位内的安全存储,确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案,它的最大特点是既能“攘外”,又能“安内”,部署灵活且易于使用,特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。
■统一认证授权解决方案:本方案可以为企业的多个业务系统提供安全支撑,简化业务系统的管理方式和使用方式,提高整体系统安全性。通过该解决方案,可以为企业提供各个业务系统的统一认证和登录服务,提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理,适合在具有多个业务信息系统的企业中部署实施。
中国信息化周报:在国内市场,用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单,很多用户关心的问题是需要支付哪些成本?又能获得哪些收益?得安科技的解决方案又是如何来降低用户IT应用风险的?
孔凡玉:得安科技采用的是一套科学的、系统的信息安全工程建设方法,达到用户的IT价值和风险、收益和成本之间的平衡。
首先,用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度,一旦泄露会产生什么样的后果,决定了数据的价值。数据的价值越高,一旦泄露带来的后果越严重,因此需要投入的安全成本就越高。举例来说,价值100万的数据,如果投入200万进行安全防护可能是不必要的;同样,价值1亿的数据,仅投入1万元进行安全防护则可能具有极大的安全风险。
评估了资产的价值后,然后就要分析信息系统存在的风险和威胁,包括目前的信息系统存在哪些漏洞和弱点,内部和外部可能有哪些潜在的攻击威胁等。之后,就要和企业一起制定信息安全保障系统建设的内容,这主要取决于哪些风险必须要降低,降低到什么程度,采用哪些技术手段,成本是多少等。这样,在系统建设之前,用户很清楚建设目标是什么,需要花费多大的成本,会带来怎样的收益,做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面,还有一系列的方法和措施,以保证信息安全项目建设的可控性。
中国信息化周报:相比其他应用安全企业,得安科技有何自身特色?具体到商用密码解决方案,相比其他软件公司,得安科技有哪些独特的优势和创新?
孔凡玉:与其它信息安全企业相比,得安公司的特色体现在三方面。
第一,在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一,得安公司在商用密码以及信息安全核心技术方面具有18年的积累,在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。
第二,在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位,得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定,因此在把握行业的发展趋势方面具有优势。2012年,得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布;两年来,《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。
第三,具备成熟的信息安全服务理念,并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念,以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖,成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。
得安科技的商用密码解决方案,具有以下独特的优势和创新:
(1) 核心产品可靠性和高效性:解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性,才能保证整个信息系统的安全性和稳定性。例如,云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术,保证整个平台的可靠和高速。
(2) 量身定制的整体安全架构:这些解决方案不是单纯的硬件和软件的累加,而是经过系统的整体设计后形成的有机整体,而且每一个方案的确立和实施,都要根据用户的信息系统的特点进行量身打造,以保证方案的科学性和合理性。
(3) 运维支持和管理制度:信息安全设施的建设,三分凭技术,七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系,保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。
中国信息化周报:得安科技未来的市场竞争策略和发展目标是什么?
孔凡玉:得安未来的市场竞争策略和发展目标,可概括为两个词。
一是“共赢”。“共赢”是指与客户的关系,是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求;“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案,从而达到与客户共赢的最终目标。
二是“领先”。“领先”是指保持公司的核心竞争力,是对“创新”理念的拓展。不仅要“创新”,还要领先一步,在新的技术出现和产业变化来临之际,率先致力于未来核心技术和产品的研发,领先于时代,领先于同行。
国际上,网络与信息技术不断演进,以云计算、大数据、移动互联网为主导的新技术在推动产业发展的同时,也带来了更多新的挑战,信息安全更成为各国相互搏弈的重要阵地。
成长于信息安全身份认证领域的众人科技,在国内外大环境的激发下,正努力打造成为中国信息安全领域的标杆企业。
回顾历史,众人科技走过一段风雨兼程的路。
2007年9月,众人科技成立。主要从事拥有完全自主知识产权的iKEY身份认证系统及系列产品的研发、生产和销售。
众人科技创业之初,创始人谈剑峰就满怀激情与希望,励志在中国信息安全行业打下一片江山:研发有完全自主知识产权的身份认证技术和产品,与当时充斥中国市场的国外信息安全身份认证产品抗衡,保护国家信息安全。确定了产品方向,众人科技在这个当时国内尚处于空白的细分领域开始了艰难的探索。
众人科技从成立伊始就确立了自主研发、设计、生产的国产化道路,以完全的自主可控作为追求,目的就是为国家和大众的信息安全把好核心的那一道“门”,由此而带来的是漫长且枯燥的技术攻关和资格认证过程。
整整4年时间,众人科技团队全身心投入技术研发、打磨产品,并通过了国家相关机构、专家对动态密码技术的论证、检测、认定,在2009年初,众人科技率先拿到了国家密码主管部门颁发的动态口令类产品资质企业许可证,其研发的iKEY身份认证产品被中国科学院科技查新中心评定为“填补国内空白,国际先进水平”。
经过不断拼搏、奋斗,众人科技越过了一道一道的坎――资金、人员、资质、技术。终于,众人科技拥有了从密码专用安全芯片、终端产品到后台系统的全产业链自主知识产权,并自主设计了国内领先的具有世界领先水平的密码令牌全自动柔性生产线;还作为组长单位参与制定了国家密码行业标准GM/T 0021-2012《动态口令密码应用技术规范》,作为国家密码主管部门密码检测标准制密项目组组长单位,组织编写“动态口令密码检测”的相关规范;同时参与制定动态口令产品行业标准、身份认证技术相关标准。
2011年,众人科技更是被工业和信息化主管部门从百家企业中遴选为基于安全可控软硬件产品云计算解决方案供应商;2014年,众人科技成为了上海市“专精特新”企业及推进“新技术、新产业、新模式、新业态”的“四新”企业;值中国互联网接入20周年之际,众人科技更荣获了“中国互联网20周年・技术创新贡献殊荣”,成为“SHCERT网络安全应急服务支撑单位”及上海市信息安全服务推荐单位。
在飞速发展的七年时间里,众人科技成为了中国中小企业协会副会长单位、中国互联网金融工作委员会副主任委员单位、中国软件行业协会网游信息安全工作委员会主任单位、中国信息协会常务理事、上海现代服务业联合会会员、上海市计算机行业协会副会长单位、上海市信息服务业行业协会副会长单位、上海市信息安全行业协会副会长单位等。
也正是在这七年里,移动互联网以及互联网金融迅速崛起。来自银行的数据显示,目前建设银行和工商银行的手机银行客户总数已经超过1亿户,交行、农行、中行的客户数也超过了5000万户。其中,部分银行的手机端客户数量目前已然接近了其传统电脑端网银客户的数量。中国互联网络信息中心的报告显示,2014年6月我国手机网民规模已达5.27亿,中国手机端网民规模首次超过了PC端,这为银行手机端的金融服务奠定了良好的市场基础,也为各银行转向手机端带来了足够大的动力。
在互联网金融行业大环境的影响下,众人科技自主研发了一系列适于金融业发展的动态密码产品。
在竞争激烈的互联网环境里,众人科技深知创新和产品质量决定一切。
iKEY身份认证系统是由众人科技自主研发的基于时间同步技术的多因素认证系统,是一种安全便捷、稳定可靠的身份认证系统。其强大的用户认证机制替代了传统的基本口令安全机制,消除了因口令欺诈而导致的损失,防止恶意入侵者对资源的破坏,解决了因口令泄密导致的入侵问题,有效提高了身份认证的安全性和便捷性。其硬件产品线包括isKEY动态密码令牌系列。isCARD动态密码智能卡系列、isMemory 动态密码SD卡系列及手机令牌等,均采用国家密码主管单位指定的国密算法。
众人科技在此基础上进一步开发的智慧城市公共区域安全网络系统,以动态密码的核心技术为基础,用云计算搭建统一身份认证云平台,快速、有效地解决了公共区域网络的安全认证问题。其通过各类认证技术和安全机制的结合,可提高公共区域网络的身份认证的安全性,最终提高用户使用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,有助于规范国家公共网络管理系统,在大数据时代为国家信息安全保驾护航。
作为一家飞速发展的信息安全企业,众人科技在金融领域有着丰富的服务经验与优良的解决方案,在金融行业以外领域,也正在逐渐建立自己的品牌口碑。众人科技以动态密码技术为核心,总结多年发展经验,以市场为导向,逐步研发了如网络的4A审计系统、基于IBC标识密码的加密邮件系统、针对APT攻击的多维度网络威胁预警系统等多结构、多类型的产品,拓宽了国内信息安全产业市场,在国家智慧城市建设等领域走得更远。
随着移动互联网、大数据的迅速崛起,移动支付迅猛发展。尤其在金融领域,电子银行,手机支付的发展超出了人们的想象。
安全技术需自主研发
网络信息安全行业不是普通行业,是关系到国家安全的特殊行业,中国国产企业在从事信息安全行业时,需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。
周强表示,中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天,金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。
记者了解到,“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统,该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书,相关的专用安全芯片也获得了国内产品型号证书。
去介质下的认证技术
最新数据显示,截止2015年底,全国网民数规模已达到6.88亿人,手机网民数达到6.2亿人,占网民总数的90.1%,其中网购用户规模达到4.13亿,比例高达六成;截至2015年12月,网上支付用户规模达4.16亿人,手机网上支付用户规模达3.58亿人,增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。
庞大的网民逐渐使用起网上支付这种便捷移动的方式,但背后却有着巨大的网络安全隐患。就中国而言,每年造成805亿资金损失,人均124元。其中约4500万网民近一年遭受经济损失在1000元以上,全球范围内的网络犯罪掘金已高达3万亿美金。
周强推测,随着支付、存款、转账、理财、信贷等金融服务的线上化,未来金融服务不再依赖于实体的银行卡,银行物理网点也将转型并逐渐消失,未来银行的介质是可以多元化的,比如虹膜、指纹等,甚至银行卡实体会“消失”或者虚拟化。
基于这些实际情况,上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术——SOTP,即“多因素动态可重构的确定真实性认证技术”,实现了密钥和算法的融合,在无需增加硬件的前提下,采用软件方式解决移动设备中存储密钥的关键性问题。周强表示:“该项技术从加密协议到密码算法的所有部件都由众人科技自主研发,在业界具有领先优势。”
提高全民安全意识
据《中国网民权益保护调查报告(2015)》显示,79.2%的中国网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号和工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址等等。
未来,随着民众对信息安全的重视,信息安全技术逐渐升温,很多信息网络企业开始积极投身到这个领域,周强说:“网络信息安全企业不同于普通行业,信息安全人士需要有持久的耐心,由于安全密码行业的认证许可门槛高,研发的新技术从获得政府监管部门的认证许可,到产品真正被市场认可并应用,需要经过漫长的时间。”
另一方面,周强认为提高广大民众和企业的信息安全意识是发展自主信息安全产品的根本与前提。但大多数人对信息安全还停留在模糊认识的阶段,为此,众人科技团队曾四处奔走为信息安全摇旗呐喊,致力于提高广大民主的信息安全意识,增进公众对信息安全的关注和投入,为信息安全行业的发展创造一个良好的环境。
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(部级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
2008年,国家质量监督检验检疫总局、国家认证认可监督管理委员会联合公告,决定对部分信息安全产品实施强制性认证,《第一批信息安全产品强制性认证目录》也同时公布,数据备份与恢复产品位列其中。凡列入强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
2009年,国家质量监督检验检疫总局、财政部、国家认证认可监督管理委员会联合公告,决定将对部分信息安全产品进行强制性认证的强制实施时间从2009年5月1日延至2010年5月1日。如今,强制实施时间已经过去了4个多月,数据备份和恢复产品的认证情况如何呢?记者查阅了中国信息安全认证中心公布的信息安全产品认证获证名单,目前已通过认证的数据备份和恢复产品只有两款――爱数备份软件V3.0、火星企业级跨平台数据备份软件V3.0。
国内厂商积极性更高
记者采访了几家国内外主要的数据备份与恢复软件厂商,发现国内厂商在3C认证方面比较积极,现已通过产
品认证的两个厂商都是国内厂商,包括上海爱数软件有限公司和火星高科(天津火星科技有限公司是火星高科在天津的产业基地)。国外厂商的行动相对较慢。记者目前了解的情况是,CommVault已经提交了相关资料,目前正在等待回复,准备进行实际的产品测试。
火星高科市场总监郭竞远介绍说:“早在2004~2005年,我公司曾参与政府部门组织的数据备份技术标准的制定工作。后来,此技术标准没有成为国家标准,而是被国家质量监督检验检疫总局采纳为部级标准,并用于对数据备份与恢复产品的3C认证。”
以前3C认证主要针对硬件产品,而数据备份与恢复产品主要是软件。为此,2008年,国家质量监督检验检疫总局曾就数据备份与恢复产品的认证广泛征求过意见,EMC、赛门铁克、火星高科等厂商都曾被邀请参与过讨论。
火星高科是较早申请数据备份与恢复产品认证的公司,其产品已在2009年获得了3C认证。根据《关于部分信息安全产品实施强制性认证的公告》规定,数据备份与恢复产品增加相应的安全功能是必须的。这里说的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的软件。数据备份软件的安全功能包括许多内容,人们经常用到的可能有以下几项:第一,在系统登录时进行安全保护,比如设置用户名和密码;第二,如果有人超长时间使用备份系统,系统要具备自动锁定功能;第三,建立完善的日志系统。火星高科曾经花费近半年的时间对现有的数据备份软件进行改进,以符合3C认证中关于信息安全的规定。
“我们在项目销售过程中得知数据备份产品要通过3C认证的消息。公司对各种相关的专业权威认证一直都比较重视,所以立即启动了3C认证项目。”上海爱数软件有限公司负责技术支持和资质认证业务的许女士介绍说,“通过申报材料、产品检测、工厂现场检验等一系列步骤,大约用了几个月的时间,公司当时的主打产品爱数备份软件V3.0顺利通过了3C认证。”
政府行业采购有变数
今年9月,财政部、工业和信息化部、国家质量监督检验检疫总局、国家认证认可监督管理委员会联合下发的关于信息安全产品实施政府采购的通知中说,各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。对采购人或其委托的采购机构未按要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
2008年,《第一批信息安全产品强制性认证目录》公布时,并没有任何关于行业应用的限定。但是2009年,当相关机构宣布强制实施时间延至2010年5月1日时明确提出,信息安全产品强制认证只适用于政府采购。记者从中国信息安全认证中心获得的消息是,如果厂商的产品不涉及政府采购,而只是一般的商业用途,并不受强制认证的限制。对于国内数据备份厂商来说,政府采购是收入来源中非常重要的一部分。因此,国内厂商对3C认证的态度比较积极顺理成章。CommVault公司市场经理杨涛表示:“虽然目前在政府项目采购中,我们还没有遇到有关强制性认证的问题。不过,既然有这样的规定,我们会积极响应,不希望因此而影响日后可能进行的政府项目采购。”
虽然强制认证的实施已经有几个月的时间,但是记者采访了几位政府部门的采购负责人,他们均表示还没有看到相关的文件。备份软件厂商BakBone公司市场部的刘欣告诉记者:“2007年,我曾经听说过软件产品要经过认证的事情。后来,因为工作转换的原因,我也没再留意相关认证的事情。”
有法可依 执法必严
关键词:物联网;安全认证;技术;研究
中图分类号:TP274.2 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-01
一、物联网安全层次及其内容
物联网安全性有着自己的特征,现阶段,由于物联网是一种新事物,对物联网这种新事物的相关概念、及其内涵和外延并没有形成统一意见,相关研究学者认为物联网应该具备以下三个特点:1.感知性,即物联网能够对整个体系进行自我感知。2.传递性,即物联网能够通过信息技术实现信息的可靠传递。3.智能性,即物联网能够人机交互的相关信息进行智能化处理。根据物联网这三个基本特点,在进行物联网安全内容分析时可以从物联网的感知层、传输层、处理层三个安全层次,与互联网相比,物联网主要实现人与物、物与物之间的通信,通信的对象扩大到了物品。根据功能的不同,物联网网络体系结构大致分为3个层次,底层是用来信息采集的感知层,中间层是数据传输的网络层,顶层则是应用/中间件层。
物理安全层:保证物联网信息采集节点不被欺骗、控制、破坏。信息采集安全层:防止采集的信息被窃听、篡改、伪造和重放攻击,主要涉及传感技术和RFID的安全。在物联网层次模型中,物理安全层和信息采集安全层对应于物联网的感知层安全。信息传输安全层:保证信息传递过程中数据的机密性、完整性、真实性和新鲜性,主要是电信通信网络的安全,对应于物联网的网络层安全。信息处理安全层:保证信息的私密性和储存安全等,主要是个体隐私保护和中间件安全等,对应于物联网中应用层安全。
二、物联网在我国发展现状及存在问题
(一)我国物联网发展的现状
物联网在我国发展迅速,因为物联网在我国发展有着很强的优势,无论是在政策上、技术上、还是市场上,在政策上,我国政府对物联网的发展相对重视,一方面中国科学院早已经开始着手对传感网进行研究,另一方面我国已经将物联网的建设纳入都国家信息化发展的总体规划中,政府对物联网发展的重视和大力支持使得我国物联网在短时间内发展迅速,在技术上,我国物联网行业起步较早,在国家和政府的大力支持下,物联网技术研发水平处于国际领先行列,已经可以影响行业标准。我国已经开始尝试将物联网实验室内研发的相关技术商业化。在市场方面,我国是发展中国家,物联网在我国的运用和发展前景巨大,物联网在我国是朝阳产业。我国国内本身也市场需求巨大,这为我国物联网的迅速发展提供了广阔的市场。
(二)我国物联网发展存在的问题
1.物联网发展的相关立法和政策滞后。物联网是一种新事物,我国对物联网发展的相关立法和政策制定相对滞后于我国物流的发展水平,而物联网对我国的社会经济发展和国防安全就有十分重要的战略意义,我国政府相关部门应该加强物联网法律法规政策研究,为推进我国物联网发展创造良好的政策环境和法律环境。2.物联网技术标准和行业标准不统一。物联网的发展客观上需要对相关技术进行统一,物联网相关企业和研发单位在开发新的物联网技术时要考虑系统和设备的相互兼容性,目前,我国物联网行业发展标准和技术还不统一,相关企业各自为政,这对我国物联网未来发展极为不利。3.物联网安全形势十分严峻。我国物联网的发展面临着十分严峻的安全形势,安全问题亟需从技术和法律层面上得到有效解决。物联网的兴起既给人们生活带来了诸多便利,但也使得人们对它的依赖性越来越大。如果物联网被恶意的入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。这一点,从互联网时代的黑客行为就可想象得到它的巨大危害性。
(三)物联网安全认证机制
我国物联网现有安全认证机制主要包括以下几个方面,包括组认证机制、设备认证机制、基于认证的密钥协商机制等,如下图所示:
1.组认证机制:认证机制对确保物联网安全具有十分重要的意义,通常认证机制能够实现为用户提供双向认证,即物联网终端与互联网间双向认证,用户与业务平台之间认证是建立在合作协议基础上的,现阶段,AKA认证方式是3GPP网络中网络接入认证的基本方式,这种认证机制能够实现双向认证,能够协商出网络和用户共享的加密密钥与完整性保护密钥。由于物联网的发展前景广阔,未来物联网终端设备持有量会大量增长,通过这些终端设备组成一个或者多个组,物联网可以考虑组内的终端节点认证方法。
2.设备认证机制:众所周知,物联网终端设备一个最大的特点就是一般处于无人值守的情况下,这容易引发终端设备被恶意损坏、不法分子非法接入物联网网络等相关安全问题,这客观上要求网络必须要建立验证接入网络设备合法性的机制。设备认证机制是解决这一问题的重要方法。设备认证机制可以确保只有合法的物联网终端设备接入网络,维护用户的合法利益,避免因非法设备接入带来的利益争端问题及网络安全问题。
3.基于认证的密钥协商机制:物联网架构底层可以是终端设备也可以是传感器,密钥管理对具有网络通信能力的终端设备来说可以解决通信网络和传感器密钥结合问题。通信网络与传感器网络间可通过认证产生共享的密钥,传感器网关与传感器网络节点间通过传感器网络的认证获得共享的密钥,然后传感器网关将与通信网络共享的密钥转发给传感器网络中的传感器节点,使得传感器节点与通信网络间共享密钥或基于此共享密钥产生新的密钥。
参考文献:
[1]International Telecommunication Union.ITU Internet Reports 2005 Internet of Things,2005
[2]物联网的定义和应用,射频世界,第4期,2010
[3]焦文娟.物联网安全-认证技术研究[D].北京邮电大学,2010,(01)
购物车(0)
