虽然网络安全涉及的技术问题千头万绪,但也不是无章可循,网络的本质在于"连接",只要把握住"连接"这个纲,就能纲举目张。
科
技
杂
谈
中国通信行业第一自媒体
奥卡姆剃刀
通信专业博士,工科副教授
学习、研究、教授通信二十多年,愿意与您分享我的心得和感悟
近期文章
大国复兴标准先行
国际标准战争的技术真相
面对专利垄断和专利赖账,中国应该怎么办?
伪基站终极大揭秘
今年5月份,勒索病*WannaCry席卷全球,上百个国家和地区遭到攻击,这个事件充分展示了网络攻击速度之快和影响之广。不仅网络攻击的数量正在快速增长,而且网络攻击技术也在快速演进,在网络攻击面前,没有谁可以天然地免疫。
虽然网络安全涉及的技术问题千头万绪,但也不是无章可循,网络的本质在于"连接",只要把握住"连接"这个纲,就能纲举目张。
1、三元对等是连接安全的关键
你如何信任一个陌生人?并把自己的隐私信息托付给他处理?你可能有很多种检验他的办法,但所有方法都是不可靠的,因为你对他一无所知,他的所有言行都有可能是在欺骗,而你无从判断识别。因此,二者之间,即二元的验证方式从体制上讲就是不安全的。
正确的方法是什么?是通过"可信第三方"来形成三元的认证架构。例如有个你绝对信得过的人,他为陌生人担了保就可以信任,你信任的不是陌生人,而是这个可信第三方。
过去没有手机和家庭电话,写信是最重要的通信方式,街面上有邮*局设立的邮筒,具有统一样式和颜色,摆放在街边固定位置。
邮*局为这些邮筒进行了信任背书,所以我们可以相信,放心地把信投进去。
现在已是移动互联网时代,很少有人写信了,取而代之的是手机,但用户与通信服务商之间的关系并没有改变,无非是将邮筒变成了基站,邮局变成了运营商。
当年从未发生过假邮筒骗人的案例,但在移动互联网时代的情况却出现了伪基站、假路由器、假网站。基站不像在固定位置的邮筒那样容易验证,您不关心也不知道基站的具体位置,很难判断手机注册到了哪个基站,这就为伪基站的骗局提供了便利。最可气的是,伪基站的技术进步速度比真基站还快,越来越便携化智能化,也越来越难以打击。
伪基站猖獗的核心原因在哪里?在于电信运营商对基站的信任背书出了问题。在设计这种技术体制之前,技术人员没有考虑到基站会被假冒的问题,运营商对基站的信任背书非常粗糙,当手机注册到基站时,运营商并没有每次都对基站进行实体检验。
好比是你对某个警察的身份有怀疑,于是向警局求证,警局并没有对这个警察进行实体验证,而是笼统的答复你"穿警服的就是警察",这种非实体认证就给假警察提供了可乘之机。
由此可以看出,信任一个陌生人,必须要有可信第三方参加构成三元认证,而且可信第三方还要对陌生人进行实体验证,绝不能凭经验拍胸脯担保。一是可信第三方的信任背书,二是每次的实体验证,两者缺一不可。
分析各种网络安全事件,隐患大体都出在第三方认证的漏洞,坏人利用认证漏洞设计了骗局,Wi-Fi的安全隐患就是个典型案例。
和年,连续两年的央视晚会对Wi-Fi漏洞导致的安全漏洞连续进行了曝光,手机注册到黑客设置的热点后,用户的隐私信息就大量泄露,现场演示效果触目惊心。
邮筒、基站和Wi-Fi热点,信息接入的基本结构都是一样的,由后端的可信第三方提供的信任背书,因为它不是每次都做独立验证,这就产生了假冒接入点的安全漏洞,使得可信第三方的信任背书不再值得信任。
2、三元对等认证的未来
按照国际电信联盟的预测,年将进入到5G时代,届时网速将达到百G,是现在速率的近千倍。万物互联将成为网络新特征,灯杆、井盖、广告灯箱、吸顶灯等等都是安装微基站的地方,极高的速率和超多的入网设备将导致微基站的数量非常庞大。
微基站这种接入点的爆炸性增长,使得运营商对微基站的信任背书更加困难,你手机接入的是真微基站?还是有人恶意设置的伪微基站?不仅难以识别,而且查处起来会比现在更加困难。
以前人们普遍认为,接入点与可信第三方是一家的,例如邮筒就是邮*局设立的,基站就是运营商设立的,所以邮筒和基站就应该是可信的。以往也的确没有发生过伪造邮筒的案例,无论是从技术体制还是管理法规,都没有考虑到接入点被冒充的情况。
Wi-Fi的安全隐患正是如此,当初研究这项短距离无线接入技术时,路由器简直就是黑科技,根本就没考虑到十多年后伪造虚假接入点会这么容易,而且背后还有巨大的黑色利益,甚至成为了一种难以根除的犯罪模式。
既然认识到了根源,那为什么就不能彻底解决呢?这是因为技术体制和认证策略都已经固化了,好比是打的是平房的地基,后来想盖三层楼,那已经来不及了。
原来对接入点的认证策略是"默认可信",即默认街上的邮筒都是安全的,除非你找到了它是假冒的证据。新策略应该是默认街上的邮筒都是危险不可用的,除非有可信第三方的认证担保,而且新策略需要每次接入时都进行实体验证。
3、中国企业提出的解决方案
如何彻底解决"假冒接入点"这个全球性隐患?其实早就有成熟的技术解决方案。十多年前在Wi-Fi诞生之初,中国有家科技公司就提出了一种新的技术架构:三元对等(TPA)网络安全架构,其中的核心支撑机制--三元对等实体鉴别技术年已经成功地被国际标准采纳了。
这是中国在互联网底层结构方面的第一个国际标准,是中国科技由跟随式发展跨越到原始创新的里程碑。李克强总理当年在听取汇报时很高兴,表示要把这项国际标准证书摆在自己办公室。
TPA与Wi-Fi安全架构最大的不同,就是提出了客户方与服务方的安全对等模式,从根源上杜绝了"假冒接入点"的欺诈隐患。安全对等模式集成了数字证书,把对接入点的验证转换为数学问题,这是现代密码学最主流最安全的做法。
为什么这家中国科技公司十多年前就提出了这项技术?这源于他们对网络安全的超前认知。当时在向公众提供网络服务的技术领域,包括美国在内的全球科技人员普遍秉承的是固定式的"客户方/服务方"理念。
即把需要网络服务的列为客户方,把提供网路服务的列为服务方,由服务方审查控制客户方,这是一种居高临下的结构。服务方要审查客户方的身份,而基站、路由器等作为服务方的延伸,并不需要被客户审查身份,客户选择相信就可以了。
而这家中国科技公司却认为未来网络的"客户方/服务方"不是固定的,客户方和服务方的身份是随时转换的。当前的现实验证了他们当初的判断,例如您的手机本是需要网络服务的客户方,但您开了热点供家人使用,在家人看来您就是网络服务方,您的手机既是客户方同时又是服务方。
开热点的手机需不需要审查认证?当然需要了,不要使用陌生热点以防泄密,这已经成为了全民共识。现在看来,这家中国科技公司当年的理念是超前的,对接入点的审查验证很有必要,忽视接入点验证的技术方案都出现了难以根除的安全隐患,甚至发展成严重影响公众安全的诈骗模式。
这家科技公司在TPA三元对等架构基础上开发了无线局域网安全协议(WAPI)技术,这是一种比Wi-Fi更安全的技术,很遗憾这个具有高度前瞻性的新技术并没有在全球得到广泛推广,而具有先天性安全隐患的Wi-Fi却成为了世界性的事实标准。
4、忘我的国际化
基于三元对等安全架构TPA之上的WAPI比Wi-Fi更安全,但为什么没有在全球广泛使用起来?阻挠国产科技创新推广的根源在哪里?这是事关中国科技创新的一个大问题。
WAPI于年就成为了国家标准,本应在国内推广使用,但外有美国的阻挠,内有公知的反对声音。美国排斥中国标准是可以理解的,因为美国人非常重视把控技术标准,并借此引领国际科技的发展。这些都是WAPI没有得到广泛推广的重要原因。
现在的高铁、卫星、航天、移动支付等国产科技全球领先,国人越来越自信,可十多年前的舆论氛围却非常不同。当时在科技方面国内采取的是跟随战略,主要是学习借鉴甚至仿制,很少有原始创新,当WAPI这项在当时很罕见的原始创新问世后,国内舆论对此普遍不信任,唱衰的声音远远比支持的声音大。这其中固然有美国*府机构和个别企业的蓄意抹黑因素,但更深层次的原因还是我们并未构建起支持科技创新的软环境。
那时适逢中国入世,国内掀起了一股"忘我的国际化"思潮,遵循国际标准符合国际惯例成为了*治正确。
即使美国进行了各种阻挠,TPA三元对等实体鉴别技术由于原理先进,年获得ISO/IEC正式立项,年6月全票通过正式成为国际标准。
由国家标准成长为国际标准了,那就可以名正言顺的推广了吧?但当时国内鄙视自主创新的舆论很有市场,一些公知认为既然有了美国标准,中国就没有必要再搞标准,跟着美国走风险小成本低。
起初他们拿WAPI只是国家标准但不是国际标准说事,等到核心技术争取到国际标准后,又搬出了美国已有相关国际标准的理由,反正就是排斥中国技术,反对中国科技创新的推广应用。
对国产科技唱衰的公知有两类人,一是习惯性崇洋媚外者,他们认为与世界接轨就是主动去接欧美国家的轨,而凭借技术领先创造国产新轨道,然后请欧美国家过来接,这种接轨是他们不敢想象的,甚至认为创造新轨道是劳民伤财。总之,就是死活不信中国科技可以引领世界,跪的时间长了,膝盖已经生了根。
二是国外大企业的买办,中国科技创新必然会影响到国外同种技术企业的市场,这些国外企业在国内培植了一些代言人,表面上看这些人都是有影响力的专家,经常能发表一些专业观点来说服公众甚至*府管理者。但实际上他们早已被国外企业以当顾问做咨询等各种方式收买了,成为了国外企业的隐形代言人。
这些反对中国科技引领世界的说法交织在一起形成了负面舆论场,不可避免地会影响到*府决策者的判断。
5、中国电信业的经验
提起中国的电信业,公众的普遍反应是三大运营商黑心垄断,电信业资费高、网速慢、覆盖差。其实这种感觉并不是事实,而是崇洋媚外者和国外大企业买办刻意经营的唱衰言论,真相是中国的电信业全球领先,电信覆盖率在全球大国中名列第一。
中国网速全球排名15,美国全球排名38,美国落后中国23名。
中美两国的国土面积差不多,据官方统计,中国有铁塔万座,基站近万个,而美国的铁塔约30万座,基站约万个。
中国电信业的网速和覆盖率强势碾压美国,甚至人均铁塔数和人均基站数都比美国高,而且价格更加便宜。
美国最大电信运营商ATT,6G流量60美元,折合人民币多元。您再对比下自己的网费,是不是低得多?
中国电信业之所以取得这么大的成就,关键就在于走了一条自主创新之路。在2G时代跟跑,3G时代通过TD突破,4G时代弯道超车,在即将到来的5G时代全面引领。
3G时代中国发明的TD-SCDMA技术成为了国际标准,实现了电信业国际标准突破的关键,但跟WAPI一样受到了国内公知的唱衰,即使在中国电信业突飞猛进国际领先的4G时代,还有媒体对TD进行挖坟式的攻击。
中国电信业的成就非常伟大,您在人均GDP比较低的国家享受了比西方发达国家还优质的电信服务,可当人们讨论起来时却是全民骂声,这种与事实反差极大的舆论现象全球罕见,这就是公知诋毁唱衰国产科技创新的结果。
即使在如此负面的舆论环境下,*府依然坚定地贯彻电信业的自主创新之路,经过二十多年的努力奋斗,现在华为和中兴占据了全球电信设备的一半份额,中国移动成为了全球第一大运营商,三大运营商和铁塔公司建设了全球64%的4G基站,中国已经成为全球电信业的领*国家,在很大程度上把控着全球电信业的发展方向。
中国电信业的成功说明了只要*府决心强,国产科技创新就一定能成功。
6、美国*府的经验
WAPI属于构成网络的基础连接层安全技术,这是中国人创造的技术路线,如现实中的很多安全技术一样,安全技术通常并不直接产生经济价值,但却关系到行业发展的主导权,但往往由于处于行业体系的下端而不被我们