返回顶部


            北京快乐8平台


公司新闻
当前位置:主页 > 北京快乐8平台 > 公司新闻 >

北京快乐8平台【网安智库】浅谈信息安全核心技

  本文只是根据有限的亲身经历和体会,回顾了信息安全发展的过程,探讨了信息安全的“核心技术”。中文对“信息”一词有两种理解,一是具体名词,指消息、咨询、情报等,另一种是抽象名词,即能“化”的信息,如信息世界、信息对抗等,英文所理解的Cyber。狭义的信息安全已经包括了信息系统安全和信息网络安全。那么,广义的信息安全(物联网)的主要内容、核心技术、卡脖子的难点是什么?如果我们不知道安全内容、核心技术、关键难点,那么我们的工作就会陷入盲目性,只能停留于形象思维的逻辑阶段,头痛医头,脚痛医脚,不能跃进到抽象思维的逻辑阶段,抓不住信息安全的本质,也不能解决信息安全的根本问题。纲举目张,只要抓住钢,其它问题就可以迎刃而解。核心技术是信息安全的钢,也就是信息安全的关键难点,只要解决核心技术,其他安全问题就也许像堆积木一样简单。但是对核心技术的认识不是一蹴而就的。▓下面主要围绕着对核心技术的认识过程,核心技术的解决方法,核心技术的实现,简要分述如下

  美国信息安全是官方整合民间力量,统一讨论,最终确定主要任务或首要任务以及排序的优先发展项目。在几个不同发展阶段中有过不同的优先发展的项目顺序。1980年代,美国进入了局域网时期,美国防部制定了橘皮书,把数据和人划分为等级,开创了在共享网络和共享数据库中,以保护数据安全为主的信息安全新时代。1990年代,美国进入了互联网时期,在克林顿的PDD63(关于关键基础设施保护的总统决定指令第63号)总统令中错误地将脆弱性分析作为互联网安全的主要任务,提出了与此相关的十大优先发展项目;2000年代,美国进入物联网时期,布什政府的总统信息技术顾问委员会(PITAC)《Cyber安全——优先项目危机》的报告中,将“鉴别技术”作为首要任务,否定了克林顿PDD63的优先项目和十大任务,重新提出了新的十大优先发展项目;2010年代,奥巴马政府认识到在诸多鉴别技术中标识鉴别的特殊地位和意义,并将其正式纳入国家的发展战略,可惜至今没有找到实现方法。(注:美国人把标识鉴别比作“银弹”(灵丹妙药),美国国土安全部也认为:标识鉴别对治理社会秩序也有普适性。)

  1980年代,美军和我军基本上同时进入局域网时代,两军都使用DEC网,网络规模也相同。美军率先提出了“橘皮书”,进入信息安全时代。美军国防网安全系统于1986年启动,但是卡在规模化密钥管理的难点上,后由于互联网的出现,放弃了局域网的计划。我军全军网安全系统于1987年启动,率先实现了“橘皮书”,1991年完成,赶在了美军的前面。我军用两层迭代技术解决了规模化密钥管理的难题(组合公钥CPK雏形)。实际上用的是基于标识的公钥体制,但当时并没有这个概念

  中国的信息安全,情况比较复杂。在很长一段时间内,“宫保鸡丁”互相争斗,很难形成主要任务和优先项目。其中一次五年规划,将“宫保鸡丁”各自的规划汇总成全国的总体方案,完全没有连贯性和系统性。我国民间则是在“跟随”策略中超越。在美国PITAC《Cyber安全——优先项目危机》一文的启发下,北京市科技信息安全咨询专家机构(QNS工作室)也开始研究鉴别技术。随着网络的变化,北京快乐8平台鉴别对象也发生了变化,如:随着网络从局域网、互联网到物联网的变化,鉴别对象也从数据、用户到实体等。不同的场合,需要不同的鉴别技术,如:有的需要用物理(生物)的方法解决,有的则需要用逻辑的方法解决,也有的需要用对称性认证技术解决,也有的则需要用非对称性鉴别技术解决等。2006年,QNS工作室认识到在鉴别技术中标识鉴别的特殊作用和普适性,并用CPK技术解决了标识鉴别问题。为此,新华社记者上报了“我解决了‘电子身份证’难题,引起国际关注”的报道。国家领导人很重视,但由于当时还存在相关部门及领导认识上的不一致而错失发展良机

  2010年,用CPK标识鉴别技术在IPv9上实现了路由地址的证明,▓在欧洲未来网络标准组引起了震动。有一位委员发言说:我们在这里讨论概念,中国人早把东西都做出来了,接着问能否在IPv4上实现,答案是肯定的,但是溯源性证明需要改动IP协议,这就涉及到“线月率先提出了构建自主可控网络体系的建议(人民日报内参上报),并开始研究安全的目的与安全的属性。▓自主可控有两种意义,一是生产上(如芯片)的自主可控,二是运行上(安全机制)的自主可控。本文中的自主可控是安全策略,不涉及产权。自主可控是信息安全要达到的目的,保证我的系统不被他人所控制或利用。但自主可控的实现并非易事,▓也是信息安全的关键难点,因为自主可控首先需要解决“我方识别”,贯彻“非我即彼”的策略。而“我方识别”的基础就是标识鉴别。通过自主可控的研究,进一步明确了广义信息安全原则:一是自主可控,将被动防护型安全变为主动管理型安全,实现“我的安全我做主”;二是可证系统,将基于模型推理的可信系统改为基于证据的可证系统;三是当场证明,将登录机制改为“一物一证”,“一事一证”,防止信任的转移;四是事先鉴别,在采纳事件发生之前进行的受理鉴别,▓防止通信中的非法介入和恶意软件的非法执行

  为了摆脱因特网IP协议的“话语权”限制,在用户名到用户名之间直接构建了逻辑网络。由于用户层不受IP协议限制,工作是独立自主的,包括用户名真实性证明在内。这种逻辑网络实际上就是可证虚拟因特网,虚拟网络具有独立性特性,不仅不受因特网协议的限制,还可以探测和控制因特网协议中发生的非法事件,为构建自主可控网络系统提供依据。于是,用实体标识构建了标识到标识的(I to I)网状逻辑网络,粒度为网眼,每一个网眼具有真实性证明的能力的可证虚拟网络。在虚拟网络中,实体分为静态实体和动态实体。静态实体以标识构成虚拟物联网,以实体真实性的证明解决物联网安全;动态实体以事件构成虚拟事联网,以事件真实性证明解决事联网安全。单一事件具有独立性,复合事件可以分解为单一事件,因此对任何复杂的复合事件也都可以进行线 数字印章

  世界分为逻辑世界和物理世界。两个世界各有不同的证据系统,如“红章”是在物理世界中标识真实性的证据,但不被逻辑世界认同。数字印章是在逻辑世界中实体真实性的证据,是一个数组,不被物理世界认同。二维码提供了物理世界和逻辑世界互相沟通渠道。将CPK数字印章的数组以二维码形式打印,可在物理世界流通和存放,形成两个世界自如转换的统一印章

  CPK标识鉴别的概念已逐步被国人所理解。数字印章提供了标识鉴别的实施方法,也为构建可证物联网络指明了可行的途径。比如基于数字印章的虚拟通信链接,防止非法介入和DOS攻击;基于数字印章的虚拟操作内核,拒绝恶意软件的执行;基于数字印章的文档数字印章,为文件管理提供依据;基于数字印章的防伪标签,为物流管理提供识别依据;基于数字印章的数字户币,不怕丢失、不怕被复制;等等。▓数字印章系统的建立,关系到国家关注的网络安全和系统安全,关系到公众关心的办公安全和交易安全,是一项庞大而有序的系统工程,只要上下齐力,左右协作,胜利在望,不能再失去机遇

  本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载

  ···························································

  声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务