新闻中心
首页 > 新闻与活动
   
持信息时代虎符,为通信安全护航
西电捷通 发布时间:2020-8-13 17:16:25


小赢说:
     “信陵君窃符救赵”的故事脍炙人口,让很多人知道了虎符。虎符是中国最早的加密和认证用工具。在当今信息时代,也有一种为通讯信息加密和认证的“虎符”为我们的信息安全保驾护航。今天小赢就带您一探信息时代“虎符”的奥秘!

本文涉及第二十一届中国专利金奖获奖项目
专利号:ZL200810150951.1
专利名称:一种实现实体的公钥获取、证书验证及鉴别的方法
专利权人:西安西电捷通无线网络通信股份有限公司


1. 虎符
虎是森林之王,象征着威严和凶猛。中国古代调兵遣将用的兵符采用虎的形状,古代人对权威的朴素表达。

央视《国家宝藏》栏目就曾向观众展示了珍藏在陕西历史博物馆的一件文物“杜虎符”,虎身上有铭文40字。通常右半符存于君王手里,左半符存于杜地将军处。

 

调兵时君王派使者拿右半符前往将军处传达命令,左右相合,才能传达君王命令。可以说是“认符不认人”。

虎符在使用时左右半符形状、铭文、材质等要进行严格的比对。是最早的加密和认证的工具。(注:从汉朝到隋朝,一般仍沿用虎符。唐代改用“鱼符”、“龟符”,宋代又恢复使用虎符,元朝使用虎头牌,之后虎符逐渐退出历史舞台。)

如今在信息时代,通信手段更加丰富、便捷;但加密和认证的需求仍然存在。那么如何才能打造信息时代的虎符呢?
 
2.来自中国的WLAN安全标准
目前, 我们几乎每天都会通过无线WLAN上网。目前全球仅有两个WLAN安全标准,一个是IEEE 802.11i(WIFI采用的标准),另一个是中国自主提出并拥有知识产权的WAPI标准。

目前WIFI采用的是不对等的鉴别机制,接入点只在终端和可信第三方实体之间透传消息,接入点没有参与鉴别过程,其默认接入点是安全的。其本质是终端与可信第三方之间的“二元鉴别”。这导致WIFI在接入机制方面存在严重的安全问题,用户无法鉴别接入网络是否合法。(例如,伪造接入点导致用户接入钓鱼网络)

WAPI最大的优点是安全性高,这归功于其采用了三元对等鉴别TePA(中文名:虎符)机制。本项金奖专利就是虎符机制中的一项鉴别技术。

 

三元对等鉴别就是引入可信第三方实体TP,使实体A和B相互确认身份。实体A和实体B相对于TP是对等实体。对等就是地位是一样的,谁也没有特权。(如下图所示)

 

 ZL200810150951.1说明书附图

在终端尝试接入网络的场景下,终端无法从网络中的可信第三方TP获得接入点的凭证,因为接入控制功能要求终端完成鉴别之后才能访问网络。

 

举个类似的例子,小明希望和你建立商业合作,可你不能确定他是否值得信赖。你完全信赖总裁,如果总裁跟你说小明值得信赖,你就会建立合作。可现在你联系不上总裁,而只有小明能联系到总裁。怎样才能使总裁的真实意见传达到你,让你和小明彼此互相信任呢?

原因之二,鉴别过程与公钥的获取分割成两个过程,协议执行效率差,并且也容易引起不安全的因素。

3.金奖专利技术方案详解
该专利的主要贡献在于提出一种三元对等鉴别TePA机制中的方法,能够实现实体A(eg:接入点)和实体B(eg:终端)之间的单向鉴别和双向鉴别。鉴别与公钥的获取融合在一个协议中完成。

实体A和实体B之间经过5步消息交互就能实现双向鉴别。这5步消息构成一个整体,不可分割,具有原子性,其中任何一步失败都将导致双向鉴别过程的失败。(注,程序的原子性是指:整个程序中的所有操作,要么全部完成,要么全部不完成,不可能停止在中间某个环节)

 

ZL200810150951.1说明书附图

简单地讲,第一、二步,A和B交互身份。第三步,A向可信第三方TP请求鉴别A和B的身份并返回鉴别结果;第四步,可信第三方TP向A返回对A的身份鉴别结果和对B的身份鉴别结果。A完成对B的鉴别。第五步,A向B转发TP对A的鉴别结果,B完成对A的鉴别。A和B的身份可以为它们的数字证书或数字证书标识。在这个过程里,还采用随机数和签名的方式来保证鉴别过程的安全性。

实际的鉴别过程比较复杂,小赢尝试用之前的例子来描述这个鉴别过程:你、小明、总裁分别使用黑、白、黄三种盒子,每个人在自己的盒子里可以放东西,别人可以用对应颜色的钥匙打开,如果东西保持原样,盒子可以关闭,如果东西被掉包,则盒子关不上。你和小明拥有黄钥匙。

鉴别过程为:第一步、小明将他的身份证号,他随机选的数字5告诉你;第二步,你将你的身份证号、你随机选的数字3告诉小明,你还将数字3、5和你俩的身份证号放入黑盒子后交给小明。第三步,小明联系总裁,总裁寻找你俩相应颜色的钥匙;第四步,如果找到,总裁给小明发两个分别放有黑白钥匙的黄盒子,同时把黑白钥匙也发给小明。小明打开黄盒子,取出黑钥匙,将总裁给的黑钥匙和取出的黑钥匙比对,比对一致则用黑钥匙再打开黑盒子,看看里面是不是放了5和小明的身份证号,如果是,小明知道你值得信赖。第五步,小明将3和你的身份证号放入白盒子,连同另一个黄盒子以及一把白钥匙交给你,你用黄钥匙打开黄盒子取出白钥匙,将取出的白钥匙与小明给的白钥匙比对,比对一致则用白钥匙打开白盒子,看看里面是不是放了3和你的身份证号,如果是,则小明值得信赖。

在这过程中,在盒子里放东西就相当于签名。如果任何一个盒子打不开或者内容比对不正确或者盒子关不上,则双向鉴别失败。如果总裁没有找到白钥匙,黄盒子里是空的,你自然也打不开白盒子,鉴别失败。如果小明伪造一个钥匙放到黄盒子,那么他关不上黄盒子,鉴别也失败。

通过随机数的产生和校验保证鉴别过程的唯一性和时效性,使用签名保证鉴别的安全性。该方案能够保证合法用户接入合法网络,适用于用户-接入点-服务器的组网结构,比WIFI更高效、更安全。

 

在应用层面,目前北京大兴国际机场WAPI无线网络已经投入使用,其航站楼业务区域实现了WAPI全覆盖。即将举办的北京冬奥会,WAPI也将覆盖多个比赛场地。未来,中国标准的WAPI将更多的进入到我们的生活。

4. 金奖专利中的虎符机制
本项金奖专利的专利权人是西安西电捷通无线网络通信股份有限公司,是中国宽带无线IP标准工作组和WAPI产业联盟的发起成员。

该公司于2000年9月在西安创立,经过十多年的创新实践,西电捷通在技术创新和标准化方面取得了显著的成果,下表列出有代表性的一部分。


值得一提的是:ISO/IEC 9798-3:1998/Amd.1:2010中,虎符TePA机制中三元对等用户侧发起双向实体鉴别、三元对等网络侧发起双向实体鉴别两项技术被纳入,这是中国在信息安全领域的第一个国际标准。2017年4月,该标准项目进入国际标准草案DIS阶段,其中包含虎符机制中的另外三项技术:三元对等多可信第三方实体鉴别、三元对等用户侧发起单向实体鉴别、三元对等网络侧发起单向实体鉴别,使得虎符机制能够应对更多场景的需要。

西电捷通在虎符机制上拥有若干项专利,小赢列出有代表性的一些:

 

展望未来,我们要不断进行技术创新,更多地参与国际化标准的制定,拥有更多的核心专利,这个过程不能仅仅依靠几家企业的努力,还需要你我他的共同参与。让我们一起成为信息时代的虎符缔造者和守护者。

原文链接:https://mp.weixin.qq.com/s/UdXSaGtxk5XGBMr9tEfjgg

报道时间:2020年8月11日

 
新闻与活动
了解更多
我们的观点
了解更多
 
联系我们 法律声明 隐私政策 网站地图                                             版权所有© 2022 西安西电捷通无线网络通信股份有限公司
陕公网安备61019002000224号 陕ICP备12000679号-4