2014年1月,西電捷通推出三元對(duì)等架構(gòu)TePA3.0版本。此版本與前兩個(gè)版本相比,從理念上有了根本性的提升。
三元對(duì)等架構(gòu)TePA是西電捷通自主提出的一種為支持網(wǎng)絡(luò)基礎(chǔ)安全和應(yīng)用安全而設(shè)計(jì)的、實(shí)現(xiàn)網(wǎng)絡(luò)安全信任的技術(shù)架構(gòu)。該技術(shù)已是ISO、IEC和ITU等國際安全標(biāo)準(zhǔn)中的一個(gè)重要組成部分,同時(shí)已經(jīng)被國際標(biāo)準(zhǔn)組織ISO/IEC、歐洲標(biāo)準(zhǔn)化組織ECMA以及中國國家標(biāo)準(zhǔn)的數(shù)十項(xiàng)數(shù)據(jù)通信協(xié)議所采納。
“信任”是通信中必不可少的,也是TePA三元對(duì)等架構(gòu)的核心所在,該架構(gòu)基于自主的理念和創(chuàng)新:引入可信第三方的對(duì)等實(shí)體鑒別,廣泛應(yīng)用于我們所提供的產(chǎn)品。“西電捷通TePA安全研究團(tuán)隊(duì)首席技術(shù)官在TePA3.0版本發(fā)布會(huì)上說到。
西電捷通安全標(biāo)準(zhǔn)推進(jìn)團(tuán)隊(duì)總工程師表示:“信任”在TePA中是天然融入的。當(dāng)你遇到了一個(gè)人,不確認(rèn)他/她是不是值得信賴,但是如果這個(gè)人是由你完全信賴的伙伴介紹給你認(rèn)識(shí)的,那么他/她是可以信賴的。而且,在很多交流場景中,你無法直接聯(lián)系到你完全信賴的伙伴,而只能聯(lián)系到所遇到的那個(gè)人;而那個(gè)人可以直接聯(lián)系到你完全信賴的伙伴,在這種情況下,如何判斷他/她是否值得信賴?這就是TePA如何將“信任”集成到數(shù)據(jù)通信中的方式:為了驗(yàn)證對(duì)方的身份和可信度,實(shí)體之間需要一個(gè)可信第三方提供服務(wù)。
為了核實(shí)某人的身份,你或許可以通過查驗(yàn)他/她的護(hù)照、身份證或者名片。但是,你無法判定這些憑證本身的真?zhèn)危矡o法判定這些憑證的擁有者是否應(yīng)該被信任。
數(shù)據(jù)通信中往往會(huì)使用各種各樣的憑證,最常見的是共享的密鑰或者口令。但是,這些憑證無法用于防止黑客,而且僅僅適用于一個(gè)預(yù)先假設(shè)存在的信任關(guān)系條件下,而通常環(huán)境下這種信任關(guān)系又無法產(chǎn)生。
TePA優(yōu)先選用的是最安全的憑證類型:公鑰數(shù)字證書。如果兩個(gè)實(shí)體試圖建立一個(gè)通信會(huì)話,那么他們會(huì)交換數(shù)字憑證,然后提交給可信的第三方進(jìn)行如下驗(yàn)證:
●數(shù)字憑證的真實(shí)性,例如:是否由可信賴的實(shí)體簽發(fā);
●數(shù)字憑證的有效性,例如:沒有過期或者被阻止使用;
●數(shù)字憑證是否適用于特定會(huì)話,例如:不具有其他的使用目的,比如信用卡和房間卡有不同的用途,數(shù)字憑證的使用需要針對(duì)特定用途;
●數(shù)字憑證的擁有者在特定會(huì)話中是可以被信賴的,例如:擁有者是被一個(gè)可信賴的實(shí)體授權(quán)參與某個(gè)特定會(huì)話。
如果可信第三方的核實(shí)報(bào)告是積極正面的,而且每一個(gè)實(shí)體的身份也經(jīng)過核實(shí),那么通信會(huì)話會(huì)被建立。
TePA是高效的,它僅僅需要五條消息的交互;同時(shí),TePA也可以有效的防止黑客攻擊,因?yàn)樗南⒔换ゾ哂性有裕鴤鹘y(tǒng)的模塊復(fù)合方案(非原子性)是容易被攻擊破壞的。
與傳統(tǒng)的解決方案不同,TePA加強(qiáng)了可信實(shí)體的參與,確保了正確而全面的驗(yàn)證。
長期以來,西電捷通一直被公認(rèn)為是芯片和設(shè)備廠商的可靠技術(shù)供應(yīng)商,并與國內(nèi)外百余家知名芯片廠商、方案提供商、設(shè)備供應(yīng)商、運(yùn)營商等產(chǎn)業(yè)鏈各環(huán)節(jié)開展了廣泛合作。作為中國寬帶無線IP標(biāo)準(zhǔn)工作組(ChinaBWIPS)和WAPI產(chǎn)業(yè)聯(lián)盟(WAPIA)的發(fā)起成員,西電捷通立足于技術(shù)創(chuàng)新和服務(wù),并透過與業(yè)內(nèi)各方積極深入合作,以實(shí)現(xiàn)基于網(wǎng)絡(luò)安全技術(shù)、產(chǎn)業(yè)、市場的共同發(fā)展。
TePA概覽 |
對(duì)等實(shí)體鑒別 |
對(duì)端身份的雙向驗(yàn)證 |
可信第三方 |
數(shù)字證書驗(yàn)證和預(yù)授權(quán)保證信任 |
效率 |
五條消息 |
協(xié)議安全 |
原子性 |
國際標(biāo)準(zhǔn) |
l ISO/IEC 9798-3(實(shí)體鑒別)
l ISO/IEC 9594-8(PKI,數(shù)字證書)
l ITU-T X.509(PKI,數(shù)字證書)
l ISO/IEC 20009-2(匿名實(shí)體鑒別)
l ISO/IEC 29167-16(RFID安全,TRAIS)
l ISO/IEC 13157-4(NFC安全,NEAU) |
Ecma標(biāo)準(zhǔn) |
l ECMA-410 NFC-SEC-03 |
中國國家標(biāo)準(zhǔn) |
l GB 15629.11 WLAN Security(WAPI)
l GB/T 15629.3 LAN Security(TLSec)
l GB/T 15629.15 Wireless Personal Area Network(WPAN) Security(WSAI)
l GB/T 15629.16 Wireless Metropolitan Area Network(WMAN) Security(TAAA)
l GB/T 28925 RFID Air Interface(2.45GHz) Security(TRAIS)
l GB/T 29828Trusted Computing--Trusted Connect Architecture(TCA)
l GB/T 28455 Entity Authentication involving a trusted third party and access architecture(TePA-AC)
l etc. |