加载中…

怎样才能相信互联网的陌生人?

2017-09-01 09:19:26评论 杂谈

今年5月份,勒索病毒WannaCry席卷全球,上百个国家和地区遭到攻击,这个事件充分展示了网络攻击速度之快和影响之广。不仅网络攻击的数量正在快速增长,而且网络攻击技术也在快速演进,在网络攻击面前,没有谁可以天然地免疫。

虽然网络安全涉及的技术问题千头万绪,但也不是无章可循,网络的本质在于“连接”,只要把握住“连接”这个纲,就能纲举目张。

1、三元对等是连接安全的关键

你如何信任一个陌生人?并把自己的隐私信息托付给他处理?你可能有很多种检验他的办法,但所有方法都是不可靠的,因为你对他一无所知,他的所有言行都有可能是在欺骗,而你无从判断识别。因此,二者之间,即二元的验证方式从体制上讲就是不安全的。

正确的方法是什么?是通过“可信第三方”来形成三元的认证架构。例如有个你绝对信得过的人,他为陌生人担了保就可以信任,你信任的不是陌生人,而是这个可信第三方。

过去没有手机和家庭电话,写信是最重要的通信方式,街面上有邮政局设立的邮筒,具有统一样式和颜色,摆放在街边固定位置。

怎样才能相信互联网的陌生人?


​邮政局为这些邮筒进行了信任背书,所以我们可以相信,放心地把信投进去。

现在已是移动互联网时代,很少有人写信了,取而代之的是手机,但用户与通信服务商之间的关系并没有改变,无非是将邮筒变成了基站,邮局变成了运营商。

怎样才能相信互联网的陌生人?


当年从未发生过假邮筒骗人的案例,但在移动互联网时代的情况却出现了伪基站、假路由器、假网站。基站不像在固定位置的邮筒那样容易验证,您不关心也不知道基站的具体位置,很难判断手机注册到了哪个基站,这就为伪基站的骗局提供了便利。最可气的是,伪基站的技术进步速度比真基站还快,越来越便携化智能化,也越来越难以打击。

怎样才能相信互联网的陌生人?


伪基站猖獗的核心原因在哪里?在于电信运营商对基站的信任背书出了问题。在设计这种技术体制之前,技术人员没有考虑到基站会被假冒的问题,运营商对基站的信任背书非常粗糙,当手机注册到基站时,运营商并没有每次都对基站进行实体检验。

好比是你对某个警察的身份有怀疑,于是向警局求证,警局并没有对这个警察进行实体验证,而是笼统的答复你“穿警服的就是警察”,这种非实体认证就给假警察提供了可乘之机。

由此可以看出,信任一个陌生人,必须要有可信第三方参加构成三元认证,而且可信第三方还要对陌生人进行实体验证,绝不能凭经验拍胸脯担保。一是可信第三方的信任背书,二是每次的实体验证,两者缺一不可。

分析各种网络安全事件,隐患大体都出在第三方认证的漏洞,坏人利用认证漏洞设计了骗局,Wi-Fi的安全隐患就是个典型案例。

2015和2016年,连续两年的央视315晚会对Wi-Fi漏洞导致的安全漏洞连续进行了曝光,手机注册到黑客设置的热点后,用户的隐私信息就大量泄露,现场演示效果触目惊心。

怎样才能相信互联网的陌生人?


邮筒、基站和Wi-Fi热点,信息接入的基本结构都是一样的,由后端的可信第三方提供的信任背书,因为它不是每次都做独立验证,这就产生了假冒接入点的安全漏洞,使得可信第三方的信任背书不再值得信任。

怎样才能相信互联网的陌生人?


2、三元对等认证的未来

按照国际电信联盟的预测,2020年将进入到5G时代,届时网速将达到百G,是现在速率的近千倍。万物互联将成为网络新特征,灯杆、井盖、广告灯箱、吸顶灯等等都是安装微基站的地方,极高的速率和超多的入网设备将导致微基站的数量非常庞大。

微基站这种接入点的爆炸性增长,使得运营商对微基站的信任背书更加困难,你手机接入的是真微基站?还是有人恶意设置的伪微基站?不仅难以识别,而且查处起来会比现在更加困难。

以前人们普遍认为,接入点与可信第三方是一家的,例如邮筒就是邮政局设立的,基站就是运营商设立的,所以邮筒和基站就应该是可信的。以往也的确没有发生过伪造邮筒的案例,无论是从技术体制还是管理法规,都没有考虑到接入点被冒充的情况。

Wi-Fi的安全隐患正是如此,当初研究这项短距离无线接入技术时,路由器简直就是黑科技,根本就没考虑到十多年后伪造虚假接入点会这么容易,而且背后还有巨大的黑色利益,甚至成为了一种难以根除的犯罪模式。

既然认识到了根源,那为什么就不能彻底解决呢?这是因为技术体制和认证策略都已经固化了,好比是打的是平房的地基,后来想盖三层楼,那已经来不及了。

原来对接入点的认证策略是“默认可信”,即默认街上的邮筒都是安全的,除非你找到了它是假冒的证据。新策略应该是默认街上的邮筒都是危险不可用的,除非有可信第三方的认证担保,而且新策略需要每次接入时都进行实体验证。

3、中国企业提出的解决方案

如何彻底解决“假冒接入点”这个全球性隐患?其实早就有成熟的技术解决方案。十多年前在Wi-Fi诞生之初,中国有家科技公司就提出了一种新的技术架构:三元对等(TePA)网络安全架构,其中的核心支撑机制——三元对等实体鉴别技术2010年已经成功地被国际标准采纳了。

怎样才能相信互联网的陌生人?


这是中国在互联网底层结构方面的第一个国际标准,是中国科技由跟随式发展跨越到原始创新的里程碑。李克强总理当年在听取汇报时很高兴,表示要把这项国际标准证书摆在自己办公室。

TePA与Wi-Fi安全架构最大的不同,就是提出了客户方与服务方的安全对等模式,从根源上杜绝了“假冒接入点”的欺诈隐患。安全对等模式集成了数字证书,把对接入点的验证转换为数学问题,这是现代密码学最主流最安全的做法。

为什么这家中国科技公司十多年前就提出了这项技术?这源于他们对网络安全的超前认知。当时在向公众提供网络服务的技术领域,包括美国在内的全球科技人员普遍秉承的是固定式的“客户方/服务方”理念。

即把需要网络服务的列为客户方,把提供网路服务的列为服务方,由服务方审查控制客户方,这是一种居高临下的结构。服务方要审查客户方的身份,而基站、路由器等作为服务方的延伸,并不需要被客户审查身份,客户选择相信就可以了。

而这家中国科技公司却认为未来网络的“客户方/服务方”不是固定的,客户方和服务方的身份是随时转换的。当前的现实验证了他们当初的判断,例如您的手机本是需要网络服务的客户方,但您开了热点供家人使用,在家人看来您就是网络服务方,您的手机既是客户方同时又是服务方。

开热点的手机需不需要审查认证?当然需要了,不要使用陌生热点以防泄密,这已经成为了全民共识。现在看来,这家中国科技公司当年的理念是超前的,对接入点的审查验证很有必要,忽视接入点验证的技术方案都出现了难以根除的安全隐患,甚至发展成严重影响公众安全的诈骗模式。

这家科技公司在TePA三元对等架构基础上开发了无线局域网安全协议(WAPI)技术,这是一种比Wi-Fi更安全的技术,很遗憾这个具有高度前瞻性的新技术并没有在全球得到广泛推广,而具有先天性安全隐患的Wi-Fi却成为了世界性的事实标准。

4、忘我的国际化

基于三元对等安全架构TePA之上的WAPI比Wi-Fi更安全,但为什么没有在全球广泛使用起来?阻挠国产科技创新推广的根源在哪里?这是事关中国科技创新的一个大问题。

WAPI于2003年就成为了国家标准,本应在国内推广使用,但外有美国的阻挠,内有公知的反对声音。美国排斥中国标准是可以理解的,因为美国人非常重视把控技术标准,并借此引领国际科技的发展。这些都是WAPI没有得到广泛推广的重要原因。

现在的高铁、卫星、航天、移动支付等国产科技全球领先,国人越来越自信,可十多年前的舆论氛围却非常不同。当时在科技方面国内采取的是跟随战略,主要是学习借鉴甚至仿制,很少有原始创新,当WAPI这项在当时很罕见的原始创新问世后,国内舆论对此普遍不信任,唱衰的声音远远比支持的声音大。这其中固然有美国政府机构和个别企业的蓄意抹黑因素,但更深层次的原因还是我们并未构建起支持科技创新的软环境。

那时适逢中国入世,国内掀起了一股“忘我的国际化”思潮,遵循国际标准符合国际惯例成为了政治正确。

即使美国进行了各种阻挠,TePA三元对等实体鉴别技术由于原理先进,2007年获得ISO/IEC正式立项,2010年6月全票通过正式成为国际标准。

由国家标准成长为国际标准了,那就可以名正言顺的推广了吧?但当时国内鄙视自主创新的舆论很有市场,一些公知认为既然有了美国标准,中国就没有必要再搞标准,跟着美国走风险小成本低。

起初他们拿WAPI只是国家标准但不是国际标准说事,等到核心技术争取到国际标准后,又搬出了美国已有相关国际标准的理由,反正就是排斥中国技术,反对中国科技创新的推广应用。

对国产科技唱衰的公知有两类人,一是习惯性崇洋媚外者,他们认为与世界接轨就是主动去接欧美国家的轨,而凭借技术领先创造国产新轨道,然后请欧美国家过来接,这种接轨是他们不敢想象的,甚至认为创造新轨道是劳民伤财。总之,就是死活不信中国科技可以引领世界,跪的时间长了,膝盖已经生了根。

二是国外大企业的买办,中国科技创新必然会影响到国外同种技术企业的市场,这些国外企业在国内培植了一些代言人,表面上看这些人都是有影响力的专家,经常能发表一些专业观点来说服公众甚至政府管理者。但实际上他们早已被国外企业以当顾问做咨询等各种方式收买了,成为了国外企业的隐形代言人。

这些反对中国科技引领世界的说法交织在一起形成了负面舆论场,不可避免地会影响到政府决策者的判断。

5、中国电信业的经验

提起中国的电信业,公众的普遍反应是三大运营商黑心垄断,电信业资费高、网速慢、覆盖差。其实这种感觉并不是事实,而是崇洋媚外者和国外大企业买办刻意经营的唱衰言论,真相是中国的电信业全球领先,电信覆盖率在全球大国中名列第一。

中国网速全球排名15,美国全球排名38,美国落后中国23名。

怎样才能相信互联网的陌生人?


中美两国的国土面积差不多,据官方统计,中国有铁塔180万座,基站近500万个,而美国的铁塔约30万座,基站约100万个。

中国电信业的网速和覆盖率强势碾压美国,甚至人均铁塔数和人均基站数都比美国高,而且价格更加便宜。

怎样才能相信互联网的陌生人?


美国最大电信运营商AT&T,6G流量60美元,折合人民币400多元。您再对比下自己的网费,是不是低得多?

中国电信业之所以取得这么大的成就,关键就在于走了一条自主创新之路。在2G时代跟跑,3G时代通过TD突破,4G时代弯道超车,在即将到来的5G时代全面引领。

3G时代中国发明的TD-SCDMA技术成为了国际标准,实现了电信业国际标准突破的关键,但跟WAPI一样受到了国内公知的唱衰,即使在中国电信业突飞猛进国际领先的4G时代,还有媒体对TD进行挖坟式的攻击。

中国电信业的成就非常伟大,您在人均GDP比较低的国家享受了比西方发达国家还优质的电信服务,可当人们讨论起来时却是全民骂声,这种与事实反差极大的舆论现象全球罕见,这就是公知诋毁唱衰国产科技创新的结果。

即使在如此负面的舆论环境下,政府依然坚定地贯彻电信业的自主创新之路,经过二十多年的努力奋斗,现在华为和中兴占据了全球电信设备的一半份额,中国移动成为了全球第一大运营商,三大运营商和铁塔公司建设了全球64%的4G基站,中国已经成为全球电信业的领军国家,在很大程度上把控着全球电信业的发展方向。

中国电信业的成功说明了只要政府决心强,国产科技创新就一定能成功。

6、美国政府的经验

WAPI属于构成网络的基础连接层安全技术,这是中国人创造的技术路线,如现实中的很多安全技术一样,安全技术通常并不直接产生经济价值,但却关系到行业发展的主导权,但往往由于处于行业体系的下端而不被我们关注,其实底层科技对行业的影响力是最深远的,这才是我们最应该支持的创新。

底层科技的原始创新不被国人重视由来已久了,很多人总觉得底层科技不产生直接经济效益,成果和政绩也不容易展现,推广起来要往往要动用国家力量,老百姓还不卖账,见成效的周期又很长,既然费力不讨好,那就不如不支持。

如果只是普通老百姓有这种错误认知那也没什么,问题是某些政府科技管理官员也这样想,他们经常出国考察,表面看起来见多识广,实际上并没有科技创新的实践经验,对科技创新的认知非常肤浅,观点似是而非还很自信,习惯于跟着美国跑,缺乏对原始技术创新的战略认知和扶持决心,这才是WAPI没能在全球广泛应用的最主要原因。

历史已经形成,下步该怎么办?为了应对移动互联网迅猛发展带来的安全隐患,应该在全网普及WAPI。但这种底层技术的推广仅靠市场选择是不行的,当年秦始皇统一度量衡靠的是武力,现在该用什么方式呢?美国的做法给了我们一个启示。

2015年6月8日,美国管理与预算办公室正式发布了HTTPS-only标准指令,要求所有联邦政府网站和Web服务必须在2016年12月31日前完成HTTPS部署,该指令由联邦首席信息官TonyScott签发,对所有联邦政府机构都具有强制效力。

什么是HTTPS呢?您在电脑上用网银操作账户时,你的浏览器与银行之间的通信使用的就是HTTPS协议,这是比传统的HTTP更安全的一种网络协议,较之互联网上的各种应用,HTTPS很显然属于基础层次,美国决定从2017年1月1日起在联邦政府网站上全面使用HTTPS。

虽然该指令的强制适用范围仅限于美国联邦政府机构,对地方政府机构以及私营企业并无强制效力,但是从指令发布后各方反应来看,这条指令引起了美国互联网产业的一系列连锁反应,联邦政府的示范效应和产业带动作用促进美国州及地方政府网站、私营网站甚至整个互联网加速完成从HTTP向HTTPS的迁移。

美国政府的这条强制令非常巧妙,表面看来只是联邦政府网站全面启用了HTTPS,那各州地方政府要不要改?那肯定是要改的啊。政府的网站是给谁看的?肯定是给众多百姓看的,那么州地方政府自然也会启用HTTPS了,那私营企业、机构网站要不要跟着改?那也得改啊,否则就是自我边缘化。

怎样才能相信互联网的陌生人?


用户访问联邦政府网站时必须使用HTTPS浏览器,慢慢养成了默认使用HTTPS的习惯,再访问其它网站时就会弹出对方网站不安全的提醒,这就倒逼着其它网站升级HTTPS。

现在整个美国都动起来了,而这连锁反映的源头只是一个指令,联邦政府没花一分钱就促成了全美国的互联网安全升级改造。2017上半年美国总务管理局(GSA)下属的数字服务机构18F发布的报告称,在互联网领域已经出现HTTPS无处不在的势头,美国政府政策的出台对HTTPS应用起到了极大的推动作用。

网络安全服务部署是很困难的,可以想见,当需要M个用户主体与N个网站主体在某个时间内启用安全服务,两方面的主体都是海量的,让他们协同是个巨大的系统生态工程。两端都面临着影响效率和成本增加等问题,普通用户的安全意识又很不够,几乎所有人都是抵触的,此时寄希望让两边自然地启用安全服务,这是上帝也做不来的事。

经济学里将这种现象称为“市场失灵”,很难依靠市场自发达成共识并完成安全的网络部署,因此必须依靠政府的引导,而如何引导就成为了一个大学问。

无线局域网终端用户与无线接入点二者关系,与用户浏览器与网站的关系是一样的。比如,谁来为市场所有产品发放证书?我国网络发展这么多年,也都没有互联网的证书基础设施安全服务主体。

这样,WAPI网络与HTTPS在增加成本、不被用户重视、部署复杂及市场失灵等方面的问题就几乎如出一辙,也面临网络服务全面部署实施的困境,如果走政府强制各地政府和相关企业自费升级的老路,那效果肯定不好,而美政府针对HTTPS的推广策略则为WAPI示范了一条“政府干预”的可行之路。

对于WAPI,政府也可以充当市场应用引导员的角色,例如在涉及无线城市、公共无线热点网络以及相关政府和行业信息网络规划和建设中,开展WAPI的网络安全技术应用,进而逐步形成WAPI部署应用的链式反应。

若认为这项工作由几十家企业去做就成了,那也是不现实的。还是以HTTPS部署为例,微软、苹果和谷歌三家公司的市场影响力巨大,它们控制着了大部分浏览器市场,但由于它们并无行政强制力,仅靠优势市场地位无法完成统一所有浏览器的任务,所以美国政府才会出面去解决这事。

放在我国,要去说服的终端厂商有数百家,这更是市场所无法完成的任务。美国政府是真正明白了网络安全哪些应该交给市场做,哪些必须由政府做,而不是像咱们有些专家那样认为市场万能。

通过HTTPS的案例也可以看到,政府行使适合的引导策略,往往事半功倍,更会带来多方共赢的结果。


       

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

    作者文章

      

    新浪BLOG意见反馈留言板 不良信息反馈 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有