先于应用场景“诞生” 一文读懂网络基础技术的N个特性

国际财经网 2019-12-02

汽车安全带的出现比汽车早了30多年;本田将电动引擎加入汽车时,被讥讽者戏称为玩具。1800年蒸汽船出现时,也被嘲笑不仅过于笨拙且成本高昂。如果我们以穿越到过去的心态去发掘科技规律的话,你会注意到,那些颠覆性、高风险、非证实,却领先于应用场景而诞生的市场特征,恰恰是能带来伟大变革的基础性技术的关键属性。

基础技术注定在未来时空“预见”应用场景的案例,在网络安全领域表现得更为典型。例如中国自主研发的网络安全基础共性技术——三元对等实体鉴别(TePA-EA)系列技术近日被国际标准组织正式发布为国际标准(标准号:ISO/IEC 9798-3:2019)。对这项技术而言,其研发要追溯到2001年,在当时,可供参考的应用场景极为稀少,对技术研发者造成了极大的考验。

先于应用场景“诞生”   一文读懂网络基础技术的N个特性

图片来自网络

基础技术之诞生

TePA-EA 是典型的网络安全基础技术。众所周知,网络其本质在于连接,网络协议实现着连接,而网络安全协议作为网络协议的基本组成,是构成网络本质安全的基石。如果继续透视,每一个协议技术背后都有一系列支撑其运行的关键基础机制,包括实体鉴别、访问控制、密钥协商、保密通信等技术。实体鉴别机制非常易于理解,当你带着任务给甲方公司第一次打电话时,你需要确认对方就是甲方公司,对方也首先需要判断你的确来自乙方公司,你们在深入交谈前,必须互相鉴别双方的身份,否则无法继续。因此对网络安全接入和网络安全通信而言,实体鉴别关键且基础。

实体鉴别机制种类繁多,按密码学划分,使用数字签名技术的实体鉴别是其中最具代表性的一类机制(对应国际标准中的ISO/IEC 9798-3)。在这一类别下,又分为有在线TTP(Trusted third party,可信第三方)参与和无在线TTP参与两类应用场景。无在线TTP参与的实体鉴别技术出现较早,于1998年被国际标准采纳,但是这项技术要求,两个实体在鉴别前需提前获取对方有效验证信息,“网络访问控制”等重要应用环境很难满足这一要求,因此这项技术的应用受到很大限制。

2001年,西电捷通公司的技术研发人员在论证三元对等安全架构过程中,提出了有TTP参与的实体鉴别技术雏形。但是当时依然稚嫩的网络环境,无法为研发者带来更多应用场景上的参考,他们需要经过漫长而复杂的论证推演以及严苛的测试考验,并随时做好从头开始的准备。“这是一项网络基础共性技术,它的应用将非常广泛,我们在设计中必须穷尽一切可能的应用场景,不要被现时常识左右。”这是研发期间他们反复强调的。

多年来,他们在这项领域投入了十余名研发人员,最终形成了5项有TTP参与的实体鉴别技术,构成了TePA-EA技术体系。这一技术体系通过引入在线TTP,实现了合法终端访问合法网络,分别对应网络侧发起单向、用户侧发起单向、网络侧发起双向、用户侧发起双向和多TTP等多种应用场景下的实体鉴别,使网络安全中普遍存在的访问控制和安全接入问题得以根本解决。

先于应用场景“诞生”   一文读懂网络基础技术的N个特性

搭载了三元对等(TePA)安全架构的网络设备

稀有的变革之路

在网络空间,距离不再是屏障,物理和虚拟边界伴随着万物联网逐渐消融,网络攻击的破坏力甚至不亚于“原子弹”。面对复杂到可能失控的网络,人们从未像今天这样如此迫切地希望从根本上解决安全问题。

但是如果回到18年前,彼时互联网技术诞生不过数年,在网上搜索、冲浪、聊天还是新潮之事。那时的人们不会相信手机能上网、支付,物联网或许是天方夜谭,更遑论在上述应用场景下,提前谋划基础安全技术的应对之策。因此技术研发者如非富有对行业的深刻把握、远见的洞察力和笃定的意志力,或许将在未来与应用场景失之交臂。

TePA-EA技术的案例也给企业管理者以启发,很多企业不愿走这样一条基础技术研发之路——投入大、周期长、风险高,更为关键的是,多数基础技术并非因已然显性的应用场景的需求而产生,不会马上获得市场回报。因此能对它们的未来有深刻洞见,且笃定坚持的人稀有可贵。

当然,我们不得不去关心,这些基础共性技术在诞生后,是以何种方式投入应用的。

先于应用场景“诞生”   一文读懂网络基础技术的N个特性

国际标准的场景之争

成为标准,是基础共性技术高效投入应用的重要渠道。以TePA-EA技术为例,作为网络安全基础技术,只有成为标准,才能在应用中实现互联互通。而在标准制定过程中,针对TePA-EA技术最激烈的辩论,依然离不开它所使用的应用场景。

2014年,国际标准组织下属信息安全分委员会SC27墨西哥会议决定对1998版的使用数字签名技术的实体鉴别国际标准(ISO/IEC 9798-3:1998)开启修订,这是该标准颁布以来的首次修订。随后,包含3项TePA-EA技术的国际标准提案及时上交,开启了长达3年的标准化推进过程。当2017年相关提案进入到CD2投票CRM投票意见处理会议时,美国代表Mike提出质疑,认为在拟新增的3项TePA-EA技术中,多可信第三方实体鉴别技术是极为特定的方案,难以列举其可能的应用场景。

对此,这项国际标准草案联合项目编辑杜志强早有准备,他在图板上列举了电信漫游的例子加以证明,而且这种技术可以应用的场景还有很多。以北京电信用户出差到西安为例,该用户和陕西电信的用户发起对话,那么就需要北京电信和西安电信分别作为两地用户的可信第三方共同展开多可信第三方参与的实体鉴别。目前,电信运营商内部需要动用一套复杂的管理机制确保你的漫游安全可靠,但未来则可用多可信第三方实体鉴别机制实现。在机场等需要跨行业进行在线实体鉴别的环境下,也适用上述技术。最终Mike接受了杜志强的意见,并最终将反对票改为赞成票。

不过杜志强并没有告诉Mike,在这项TePA-EA系列技术研发之初,可供参考的应用场景并不多。只是随着网络的高速发展,这一系列技术的实用性和安全基础共性被不断涌现的应用场景所证实。

先于应用场景“诞生”   一文读懂网络基础技术的N个特性

图片来自网络

至此,一项基础共性技术如同少年,仅仅走过其漫长人生的一小部分,在成为国际标准后,它们被世界各国的领先技术捕捉者采用,或被应用在巴黎街头那些手机的高速芯片中,或被应用在飞往美国宾夕法尼亚州的某个包裹的追踪设备上,尽管它们作为一种技术而非产品并不可见,但它们恰如其分地承担着网络实体之间,安全的身份鉴别功能。目前,它们可广泛应用于有线局域网、无线局域网、近场通信、射频识别、移动通信等基础信息网络中。未来,它们还将“预见”新的应用场景,就像18年前,我们所未知的现在一样。

这或许是领先的网络基础技术的魅力所在,它们起初以非显性、极冷门的姿态被少数技术洞察者关注,技术研发的过程漫长而艰辛,国际标准之路亦坎坷不已,而伴随着网络空间其它上层技术的螺旋式更迭,这些基础技术依然能以其卓越的远见,广泛满足于不同的应用场景。也许你会问,如果有一天无法满足呢?当然,技术研发者不会止步于此,他们早已瞄准了未来的某个领域。