西電捷通三項三元對等實體鑒別技術成國際標準

  國際在線陜西消息：近日，我國自主研發的三項三元對等實體鑒別（TePA-EA）系列技術被國際標準組織正式發佈，成為國際標準（ISO/IEC 9798-3:2019），位於西安高新區的西電捷通公司是該技術體系的主要技術貢獻者。據悉，從啟動研發到正式發佈成為國際標準，TePA-EA系列技術走過了整整18年。

  位於西安高新區的西電捷通公司

  先於網絡應用場景誕生

  據了解，實體鑒別機制的種類有很多，按照密碼學劃分，使用數字簽名技術的實體鑒別是其中最具代表性的機制之一，並且最適合大規模網絡空間的應用需求。1998年，國際標準組織曾發佈ISO/IEC 9798-3:1998，其中定義了多種採用非對稱密碼演算法的鑒別方法，但都有一個限制條件——要求兩個實體在鑒別前獲取對方有效驗證信息。但是在很多重要應用環境比如“網絡訪問控制”中，終端獲得授權前是無法訪問網絡上的其它設備的，此時要求終端提供有效驗證信息並不現實，因此這項技術的實際應用受到了很大限制。

  2001年，西電捷通公司的技術研發人員在論證三元對等安全體系過程中，結合上述難題，開創性地引入了在線可信第三方（Trusted third party，TTP）參與實體鑒別的技術框架，解決了網絡通信中接入實體沒有獨立身份，無法保障終端實體和接入實體雙向鑒別的重大問題。

  值得一提的是，在2001年TePA實體鑒別技術研發元年，那時距中國接入國際互聯網僅過去7年時間，第一波互聯網浪潮剛剛褪去，上網搜索、沖浪、聊天還很新潮，可參考的應用場景較少。在此背景下，西電捷通自主提出了一條頗具前瞻性的技術路徑。通過多年開發，最早形成的兩項三元對等（TePA）雙向實體鑒別技術開啟了國際標準化之路。

  用於網絡設備中的三元對等TePA技術

  全票通過的國際標準

  對於面向全球網絡空間的基礎共性技術而言，成為國際標準是其高效投入全球産業化應用的必由之路。2006年，含有西電捷通自主研發的TePA用戶側雙向和網絡側雙向實體鑒別技術作為標準提案，向國際標準組織ISO/IEC JTC1 SC27（信息安全分技術委員會）正式提交。

  國際標準化組織（ISO）、國際電工委員會（IEC）和國際電信聯盟（ITU）並稱三大國際標準組織，是國際上最具影響力的標準組織。SC27則是ISO/IEC第一聯合技術委員會（JTC1）下屬專門負責信息安全領域標準化研究與制定工作的分技術委員會。SC27的標準化活動主要包括解決信息安全和隱私問題的通用模型、管理系統要求、技術以及指南等，是國際信息安全標準制定領域公認的領軍者。

  2007年舉行的SC27年會通過決議，兩項TePA實體鑒別技術正式被納入研究階段。在此之前，中國在基礎共性信息安全技術領域尚未有過國際標準。也可以説，2007年的SC27年會奏響了中國網絡安全基礎技術實質性參與國際標準競逐的號角，開啟了歷史性的新篇章。

  三年後，該項目在2010年4月13日進入最終國際標準投票階段，獲得了全票通過。該項目主要技術貢獻者鐵滿霞回憶：“SC27集納了全球網絡安全信息領域的頂級專家，他們的任務就是對技術提案全方位‘挑刺’，兩項TePA實體鑒別技術得到全票通過，説明技術品質是過硬的。”

  自此，ISO/IEC 9798-3國際標準有了兩類實體鑒別機制，一類是原有的不引入在線可信第三方（TTP）的實體鑒別技術，另一類是中國貢獻的引入TTP的實體鑒別機制，成為我國在基礎信息安全領域提交並獲通過的第一個國際標準。

  “全部由中國貢獻”

  2014年，比利時國家成員體首次提出對ISO/IEC 9798-3國際標準進行文本層面的全面修訂，此時距該標準發佈已相隔16年。SC27墨西哥會議接受了這一提議，這本是一次常規的就編輯錯漏、合併基礎標準和補篇而進行的文本修訂，直到中國提交了含西電捷通自主研發的另外三項TePA實體鑒別技術的標準提案。

  這三項新增的技術提案分別對應用戶側發起單向、網絡側發起單向和多可信第三方等應用場景下的實體鑒別。根據慣例，SC27在專家組範圍內討論了是否將上述技術納入國際標準，並於2016年4月將這三項技術提案納入標準修訂進程中，即便有前兩項TePA實體鑒別技術全票通過的“光環”照耀，在每一輪標準化進程中，所有新增技術依然要經歷各國專家的重重討論和專業審核，現場交鋒不斷。在標準草案的投票過程中，圍繞這三項新技術的應用場景，中美專家之間就有過激烈的辯論。

  2017年，當提案進入CD2（委員會第二次）投票的CRM（投票意見處理）會議時，美國專家Mike提出，在擬新增的三項實體鑒別技術中，多可信第三方實體鑒別技術是極為特定的方案，難以列舉其可能的應用場景。對此，這項國際標準草案聯合項目編輯杜志強早有準備，他在圖板上列舉了電信漫遊的例子加以證明這種技術可以應用的場景還有很多。以北京電信用戶出差到西安為例，該用戶和陜西電信的用戶發起對話，那就需要北京電信和西安電信分別作為兩地用戶的可信第三方共同展開多可信第三方參與的實體鑒別，目前，這種漫遊通信模式是靠電信運營商內部複雜的管理機制實現的，未來則可用多可信第三方實體鑒別的技術機制實現。在機場等需要跨行業進行在線實體鑒別的環境下，也適用上述技術。最終Mike接受了杜志強的技術和應用分析，並最終將反對票改為贊成票。

  加上2010年發佈的2項技術，截至目前，ISO/IEC 9798系列實體鑒別國際標準中的所有在線實體鑒別技術已累計達到5項，全部由中國貢獻。

  對此，信息安全國際標準化組織前任主席、德國資深專家沃爾特·富米先生給予高度評價：“在過去幾年中，中國在創新和制定實體鑒別技術的國際標準方面發揮著越來越重要的作用。可以肯定的是，中國也將推動國際網絡空間安全標準化的發展，並將擔任重要的領導角色。”

  基礎共性技術的最大挑戰

  對於TePA-EA系列技術而言，18年的研發和標準化之路也很短暫，作為基礎共性技術，它將廣泛應用到有線局域網、無線局域網、近場通信、射頻識別、移動通信等基礎信息網絡中真正發揮其作用。

  “一項基礎共性技術從研發到實際應用，通常要經過十幾年甚至更漫長的時間，如果在技術研發階段不具有前瞻性和洞察力，那麼終會因技術的局限性而與未來出現的應用場景失之交臂。因此基礎共性技術在研發之初，往往具有高風險、非證實、弱回報的特徵，所以很少會有企業投入此類技術的研發。”西電捷通公司專家黃振海説道。隨著信息化技術飛速發展，應用場景和技術研發呈現螺旋式促進作用，漫長的研發和回報週期是基礎共性技術所面對的最大挑戰，但這也正是網絡基礎共性技術作為核心技術的魅力所在。（供稿 文/圖 西安高新區管委會 編輯 陳嵐）