小贏說:
“信陵君竊符救趙”的故事膾炙人口,讓很多人知道了虎符。虎符是中國最早的加密和認證用工具。在當今信息時代,也有一種為通訊信息加密和認證的“虎符”為我們的信息安全保駕護航。今天小贏就帶您一探信息時代“虎符”的奧秘!
本文涉及第二十一屆中國專利金獎獲獎項目
專利號:ZL200810150951.1
專利名稱:一種實現實體的公鑰獲取、證書驗證及鑒別的方法
專利權人:西安西電捷通無線網絡通信股份有限公司
1. 虎符
虎是森林之王,象征著威嚴和兇猛。中國古代調兵遣將用的兵符采用虎的形狀,古代人對權威的樸素表達。
央視《國家寶藏》欄目就曾向觀眾展示了珍藏在陜西歷史博物館的一件文物“杜虎符”,虎身上有銘文40字。通常右半符存于君王手里,左半符存于杜地將軍處。
調兵時君王派使者拿右半符前往將軍處傳達命令,左右相合,才能傳達君王命令。可以說是“認符不認人”。
虎符在使用時左右半符形狀、銘文、材質等要進行嚴格的比對。是最早的加密和認證的工具。(注:從漢朝到隋朝,一般仍沿用虎符。唐代改用“魚符”、“龜符”,宋代又恢復使用虎符,元朝使用虎頭牌,之后虎符逐漸退出歷史舞臺。)
如今在信息時代,通信手段更加豐富、便捷;但加密和認證的需求仍然存在。那么如何才能打造信息時代的虎符呢?
2.來自中國的WLAN安全標準
目前, 我們幾乎每天都會通過無線WLAN上網。目前全球僅有兩個WLAN安全標準,一個是IEEE 802.11i(WIFI采用的標準),另一個是中國自主提出并擁有知識產權的WAPI標準。
目前WIFI采用的是不對等的鑒別機制,接入點只在終端和可信第三方實體之間透傳消息,接入點沒有參與鑒別過程,其默認接入點是安全的。其本質是終端與可信第三方之間的“二元鑒別”。這導致WIFI在接入機制方面存在嚴重的安全問題,用戶無法鑒別接入網絡是否合法。(例如,偽造接入點導致用戶接入釣魚網絡)
WAPI最大的優點是安全性高,這歸功于其采用了三元對等鑒別TePA(中文名:虎符)機制。本項金獎專利就是虎符機制中的一項鑒別技術。
三元對等鑒別就是引入可信第三方實體TP,使實體A和B相互確認身份。實體A和實體B相對于TP是對等實體。對等就是地位是一樣的,誰也沒有特權。(如下圖所示)
ZL200810150951.1說明書附圖
在終端嘗試接入網絡的場景下,終端無法從網絡中的可信第三方TP獲得接入點的憑證,因為接入控制功能要求終端完成鑒別之后才能訪問網絡。
舉個類似的例子,小明希望和你建立商業合作,可你不能確定他是否值得信賴。你完全信賴總裁,如果總裁跟你說小明值得信賴,你就會建立合作。可現在你聯系不上總裁,而只有小明能聯系到總裁。怎樣才能使總裁的真實意見傳達到你,讓你和小明彼此互相信任呢?
原因之二,鑒別過程與公鑰的獲取分割成兩個過程,協議執行效率差,并且也容易引起不安全的因素。
3.金獎專利技術方案詳解
該專利的主要貢獻在于提出一種三元對等鑒別TePA機制中的方法,能夠實現實體A(eg:接入點)和實體B(eg:終端)之間的單向鑒別和雙向鑒別。鑒別與公鑰的獲取融合在一個協議中完成。
實體A和實體B之間經過5步消息交互就能實現雙向鑒別。這5步消息構成一個整體,不可分割,具有原子性,其中任何一步失敗都將導致雙向鑒別過程的失敗。(注,程序的原子性是指:整個程序中的所有操作,要么全部完成,要么全部不完成,不可能停止在中間某個環節)
ZL200810150951.1說明書附圖
簡單地講,第一、二步,A和B交互身份。第三步,A向可信第三方TP請求鑒別A和B的身份并返回鑒別結果;第四步,可信第三方TP向A返回對A的身份鑒別結果和對B的身份鑒別結果。A完成對B的鑒別。第五步,A向B轉發TP對A的鑒別結果,B完成對A的鑒別。A和B的身份可以為它們的數字證書或數字證書標識。在這個過程里,還采用隨機數和簽名的方式來保證鑒別過程的安全性。
實際的鑒別過程比較復雜,小贏嘗試用之前的例子來描述這個鑒別過程:你、小明、總裁分別使用黑、白、黃三種盒子,每個人在自己的盒子里可以放東西,別人可以用對應顏色的鑰匙打開,如果東西保持原樣,盒子可以關閉,如果東西被掉包,則盒子關不上。你和小明擁有黃鑰匙。
鑒別過程為:第一步、小明將他的身份證號,他隨機選的數字5告訴你;第二步,你將你的身份證號、你隨機選的數字3告訴小明,你還將數字3、5和你倆的身份證號放入黑盒子后交給小明。第三步,小明聯系總裁,總裁尋找你倆相應顏色的鑰匙;第四步,如果找到,總裁給小明發兩個分別放有黑白鑰匙的黃盒子,同時把黑白鑰匙也發給小明。小明打開黃盒子,取出黑鑰匙,將總裁給的黑鑰匙和取出的黑鑰匙比對,比對一致則用黑鑰匙再打開黑盒子,看看里面是不是放了5和小明的身份證號,如果是,小明知道你值得信賴。第五步,小明將3和你的身份證號放入白盒子,連同另一個黃盒子以及一把白鑰匙交給你,你用黃鑰匙打開黃盒子取出白鑰匙,將取出的白鑰匙與小明給的白鑰匙比對,比對一致則用白鑰匙打開白盒子,看看里面是不是放了3和你的身份證號,如果是,則小明值得信賴。
在這過程中,在盒子里放東西就相當于簽名。如果任何一個盒子打不開或者內容比對不正確或者盒子關不上,則雙向鑒別失敗。如果總裁沒有找到白鑰匙,黃盒子里是空的,你自然也打不開白盒子,鑒別失敗。如果小明偽造一個鑰匙放到黃盒子,那么他關不上黃盒子,鑒別也失敗。
通過隨機數的產生和校驗保證鑒別過程的唯一性和時效性,使用簽名保證鑒別的安全性。該方案能夠保證合法用戶接入合法網絡,適用于用戶-接入點-服務器的組網結構,比WIFI更高效、更安全。
在應用層面,目前北京大興國際機場WAPI無線網絡已經投入使用,其航站樓業務區域實現了WAPI全覆蓋。即將舉辦的北京冬奧會,WAPI也將覆蓋多個比賽場地。未來,中國標準的WAPI將更多的進入到我們的生活。
4. 金獎專利中的虎符機制
本項金獎專利的專利權人是西安西電捷通無線網絡通信股份有限公司,是中國寬帶無線IP標準工作組和WAPI產業聯盟的發起成員。
該公司于2000年9月在西安創立,經過十多年的創新實踐,西電捷通在技術創新和標準化方面取得了顯著的成果,下表列出有代表性的一部分。
值得一提的是:ISO/IEC 9798-3:1998/Amd.1:2010中,虎符TePA機制中三元對等用戶側發起雙向實體鑒別、三元對等網絡側發起雙向實體鑒別兩項技術被納入,這是中國在信息安全領域的第一個國際標準。2017年4月,該標準項目進入國際標準草案DIS階段,其中包含虎符機制中的另外三項技術:三元對等多可信第三方實體鑒別、三元對等用戶側發起單向實體鑒別、三元對等網絡側發起單向實體鑒別,使得虎符機制能夠應對更多場景的需要。
西電捷通在虎符機制上擁有若干項專利,小贏列出有代表性的一些:
展望未來,我們要不斷進行技術創新,更多地參與國際化標準的制定,擁有更多的核心專利,這個過程不能僅僅依靠幾家企業的努力,還需要你我他的共同參與。讓我們一起成為信息時代的虎符締造者和守護者。
原文鏈接:https://mp.weixin.qq.com/s/UdXSaGtxk5XGBMr9tEfjgg
報道時間:2020年8月11日
陜公網安備61019002000224號
陜ICP備12000679號-4