“我每次乘坐高铁的时候,都在想这里面有没有密码技术,如果没有的话,我担心如果哪一天被黑客攻击怎么办?这是不得不防的一个问题,今天没有攻击不代表未来没有攻击。”密码学家、中国科学院院士王小云在1月19日举行的“2019首届中国物联网安全高峰论坛”上以车联网为例强调,在万物互联的今天,密码技术是信息安全的重要保障。
近年来,网络攻击事件时发且规模趋大、在超市里留下购物记录、生物特征信息被广泛采集……大量的数据、隐私正以更隐蔽的方式被窃取。
物联网对安全提出哪些新需求?密码技术如何融入物联网并发挥作用?密码技术未来发展的方向是什么?诸如此类的问题,是物联网安全保障最亟需解决的难题。
物联安全 以密码为基石
日前,有国际消费电子领域“风向标”之称的2019美国拉斯维加斯消费电子展落下帷幕,而本届展会上最吸人眼球的当属迈进商用时代的第五代移动通信(5G)技术了。与4G相比,5G具有着高速度、高可靠性和低时延性、可连接更大规模的终端设备等特点。
这将让所有行业以前所未有的方式传播分享数据,万物互联正在成为现实。
中国信息通信研究院日前发布的《2018物联网白皮书》数据显示:全球物联网产业规模由2008年的500亿美元增长至2018年的1510亿美元。截止2018年中期,我国物联网产业总体规模已达1.2万亿。
从个人消费的智能家居、可穿戴设备,到容纳交通、安防、环保等各系统海量物联网感知终端的智慧城市,再到涉及金融、能源、工业控制系统等国家基础设施......世界正向更高效、智能、环保、便捷的方向发展。
然而,一切远没有看起来那么美好。2016年10月,世界上最发达的地区之一美国东海岸发生全球瘫痪面积最大(大半个美国)、时间最长(6个多小时)的分布式拒绝服务。这是一款名为“Mirai”的恶意软件发起的大规模物联网攻击,包括Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要的公共服务、社交平台、民众网络服务瘫痪。
“物联网开放的网络环境,灵活多变的防护控制需求,使得许多情况下,终端控制、数据共享都超出了既有模式划定的网络边界。”国家密码管理局商用密码管理办公室副主任霍炜指出,密码将重构物联网边界。“密码是网络安全的核心系统和基础支撑,利用密码在身份鉴别、数据加密和信任传递等方面发挥重要作用,来维护物联网的安全秩序。”
密码为基因,实现“安全可信”
密码常被称作“卫士”“信使”,但中国工程院院士沈昌祥不这么认为,“你只是‘打工仔’,没有控制权一切免谈,密码现在需要主动识别,主动防御。”
网络安全风险自然存在。由于设计IT系统时不能穷尽所有逻辑组合,必定存在逻辑不全的缺陷,“网络黑客们”利用缺陷挖掘漏洞进行攻击。
2016年出台的《网络安全法》以及发布的《国家网络空间安全战略》强调了“安全可信”的网络产品和服务的推广和应用。
“网络空间极其脆弱,原因在于过去计算机科学缺少防护理念,体系结构缺防护部件,计算模式没有安全服务。”沈昌祥认为,“安全可信”是科学的,弥补了这一缺失,既完善了既有正面的工作,又要有防护反面攻防的能力。
要树立主动免疫的安全目标,确保为完成计算任务的逻辑组合不被篡改和破坏,实现正确计算。沈昌祥表示,“杀病毒、防火墙和入侵检测的传统‘老三样’封堵查杀已过时,难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路不利于整体安全。”
他解释,要做主动免疫可信计算,也就是在计算的同时做到安全防护,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别自己和非己成分,从而破坏与排斥进入机体的有害物质,相当于网络信息系统培育了免疫能力。
提高密码能力,沈昌祥指出,要创新可信密码体系,包括采用对称与公钥密码相结合的体制,提升安全性和效率;全部采用国有自主设计的算法和双证书结构,提升可用性和可管性。
“攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉,这是安全防护的效果。”沈昌祥说。
抓住需求 用好密码
物联网安全问题复杂多样,密码支撑网络安全,但有很多人却抱怨密码不好用、用不起来。那么,密码究竟应如何发挥作用?未来密码技术与产业发展走向何方?
“这几年,很多物联网的应用对密码需求很迫切,但实际上的应用基本没有,问题和难点在于物联网和密码的融合,尤其是在‘物’端,即密码如何融入各种设备和终端。”国家商用密码应用技术体系研究总体工作组组长刘平表示,要理清思路,对密码从业者和供给方来说,建立适合于物联网环境的轻量级算法体系、基于物联网中如何使用密码的技术体系、针对物联网中的密码应用标准体系等。
霍炜表示,密码未来的发展,要突出应用融合,在物联网产业发展、产品研制的时候,把密码设计进去,提供基于密码的支撑能力和定制规则。
“抓好需求,就一定能用好密码。”北京商用密码行业协会会长詹榜华说。