“我每次乘坐高铁时,都在想这里面有没有密码技术,如果没有的话,我担心如果有一天被黑客攻击怎么办?这是不得不防的一个问题,今天没有攻击不代表未来没有攻击。”密码学家、中国科学院院士王小云在近日举行的“2019首届中国物联网安全高峰论坛”上以车联网为例强调,在万物互联的今天,密码技术是信息安全的重要保障。
近年来,网络攻击事件时而发生且规模趋大,人们在超市里、网站上留下大量购物记录,生物特征信息在人们不注意的时候被广泛采集……在专家们看来,大量的数据、隐私正以更隐蔽的方式被获取。
物联网对安全提出哪些新需求?密码技术如何融入物联网并发挥作用?密码技术未来发展的方向是什么?诸如此类的问题,是物联网安全保障最亟须解决的难题。
物联安全 以密码为基石
日前,有国际消费电子领域“风向标”之称的2019美国拉斯维加斯消费电子展落下帷幕,本届展会上迈进商用时代的第五代移动通信(5G)技术是亮点之一。与4G相比,5G具有着高速度、高可靠性和低时延性、可连接更大规模的终端设备等特点。
这将让所有行业以前所未有的方式传播分享数据,万物互联正在成为现实。
中国信息通信研究院日前发布的《2018物联网白皮书》显示:全球物联网产业规模已由2008年的500亿美元增长至2018年的1510亿美元。截至2018年年中,我国物联网产业总体规模已达1.2万亿元。
从个人消费的智能家居、可穿戴设备,到容纳交通、安防、环保等各系统海量物联网感知终端的智慧城市,再到涉及金融、能源、工业控制系统的国家基础设施……世界正向更高效、智能、环保、便捷的方向发展。
然而,一切远没有看起来那么美好。2016年10月,世界上最发达的地区之一美国东海岸发生全球瘫痪面积最大(大半个美国)、时间最长(6个多小时)的分布式拒绝服务。这是一款名为“Mirai”的恶意软件发起的大规模物联网攻击,包括Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要的公共服务、社交平台、民众网络服务瘫痪。
“物联网开放的网络环境,灵活多变的防护控制需求,使得许多情况下,终端控制、数据共享都超出了既有模式划定的网络边界。”国家密码管理局商用密码管理办公室副主任霍炜指出,密码将重构物联网边界。“密码是网络安全的核心系统和基础支撑,我们需要利用密码在身份鉴别、数据加密和信任传递等方面发挥重要作用,来维护物联网的安全秩序。”
密码为基因 实现“安全可信”
密码常被称作“卫士”“信使”,但中国工程院院士沈昌祥认为,这些职能实现起来可没那么简单,“没有控制权一切免谈,密码现在需要主动识别,主动防御”。
网络安全风险自然存在。由于设计IT系统时不能穷尽所有逻辑组合,必定存在逻辑不全的缺陷,“网络黑客们”正是利用缺陷挖掘漏洞进行攻击。
2016年出台的《网络安全法》和《国家网络空间安全战略》强调要推广应用“安全可信”的网络产品和服务。
“网络空间极其脆弱,原因在于过去计算机科学缺少防护理念,体系结构缺少防护部件,计算模式没有安全服务。”沈昌祥认为,要树立主动免疫的安全目标,确保用于完成计算任务的逻辑组合不被篡改和破坏,实现正确计算。
沈昌祥表示:“杀病毒、防火墙和入侵检测的传统‘老三样’封堵查杀已过时,难以应对人为攻击,且容易被攻击者利用,找漏洞、打补丁的传统思路不利于整体安全。”
他解释,要做主动免疫可信计算,也就是在计算的同时做到安全防护,以密码为基因实现身份识别、状态度量、保密存储等功能,及时识别自己和非己成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
在提高密码能力方面,沈昌祥指出,要创新可信密码体系,包括采用对称与公钥密码相结合的体制,提升安全性和效率;全部采用国有自主设计的算法和双证书结构,提升可用性和可管性。
“攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉,这就是安全防护的效果。”沈昌祥说。
抓住需求 用好密码
物联网安全问题复杂多样,密码支撑网络安全,但有很多人却抱怨密码不好用、用不起来。那么,密码究竟应如何发挥作用,未来密码技术与产业发展将走向何方?
“这几年,很多物联网的应用对密码需求很迫切,但实际上的应用基本没有,问题和难点在于物联网和密码的融合,尤其是在‘物’端,即密码如何融入各种设备和终端。”国家商用密码应用技术体系研究总体工作组组长刘平表示,要理清思路,对密码从业者和供给方来说,建立适合于物联网环境的轻量级算法体系、基于物联网的如何使用密码的技术体系、针对物联网的密码应用标准体系等。
霍炜表示,密码发展的未来,要突出应用融合,在物联网产业发展、产品研制的时候,把密码设计进去,提供基于密码的支撑能力和定制规则。
“抓好需求,就一定能用好密码。”北京商用密码行业协会会长詹榜华说。