新晋成为ISO/IEC国际标准，三元对等实体鉴别(TePA-EA)技术到底是什么?

【51CTO.com原创稿件】3月5日，中国企业西电捷通公司研发的三元对等实体鉴别(TePA-EA)系列技术(共5项)已被国际标准组织正式发布成为国际标准，业界认为“这是我国在基础技术领域为全球网络安全做出的又一重要贡献”。

基础技术、全球网络、重要贡献——这似乎是在通告一个重量级技术标准的诞生，而事实也正是如此。实体鉴别从属网络安全基础技术序列，被视为网络安全“第一关”，重要性毋庸置疑。

什么是实体鉴别?

打个比方。两个陌生人会面，一般的流程是：打招呼——确认身份——握手交谈，大体如此。其实，这样的交互逻辑在网络世界中同样存在。

当你的终端设备(电脑、手机等)试图连接网络时，终端与网络之间的第一个动作就是“打招呼”(普遍意义上的连网请求，通常由终端侧发起，有时也可能由网络侧发起)，专业术语称之为“关联”，主要是探测网络是否有信号，以确认双方在物理上是否能够连得上。

接下来就是“确认身份”——终端与要接入的网络之间互相进行身份的识别与验证，以此保证合法终端接入合法网络，这一过程就是“实体鉴别”。直观来看，它是网络安全的第一道关口。这道关口通过之后，剩下的就是“握手交谈”的正常网络通信环节了。

在现实生活中，陌生人之间确认彼此身份的方法可以有很多种，譬如可以用事先约定好的暗号，见面后对上了暗号就意味着找对了人。或者更直接一点，大家先亮出身份证，彼此检验一下，确认是公安机关发放的可信证件，这样也意味着找对了人。类似地，网络环境下的实体鉴别技术也存在多个分支。

实体鉴别很重要，所以在全球网络尚处于蛮荒时代的1991年，第一项实体鉴别国际标准——实体鉴别总体要求便被制定出来，标准号是ISO/IEC 9798-1，后续又陆续发布了ISO/IEC 9798系列国际标准的其他部分，分属于实体鉴别的不同技术分支，比如：ISO/IEC 9798-2，学名叫“采用对称加密算法的机制”，通俗来说类似于前述的“暗号法”;ISO/IEC 9798-3，学名叫“采用数字签名技术的机制”，它类似于前述的“身份证法”。

比较而言，在ISO/IEC 9798序列里，“身份证法”的安全级别更高，也更适合大规模使用，从技术应用的演进趋势来看，随着实体(硬件平台等)的资源受限问题逐步得到解决，ISO/IEC 9798-3的应用会更加广泛。

什么是三元对等?

此次新华社报道中提到的三元对等实体鉴别(TePA-EA)国际标准即属于ISO/IEC 9798-3序列。从技术上讲，TePA-EA是基于三元对等架构(TePA)的实体鉴别(EA)技术，它给网络架构带来的最显著变化就是引入了在线可信第三方(TTP)，并实现了真正意义上的实体之间实体鉴别的“双向对等”，进而为网络安全接入提供了先进可靠的技术支撑。

什么是在线可信第三方?两个陌生人见面，掏出身份证互认，这在一定程度上解决了彼此互信问题，但是它依然存在安全隐患，毕竟身份证有可能造假，也有可能失效。所以，如果现场还有一个公安身份的人，并能够当场验证两个人的身份证真实有效，并把结果反馈给二人，那么这个“陌生——互信”的过程就比较完美了。在这里，公安身份的人就是“在线可信第三方”。需要强调的是，这两个陌生人相认过程中，没有任何一个人可以有免检或额外的特权，即在鉴别过程中是完全“对等”的。网络安全界有一句名言：“不假定任何事情，不相信任何人，检验所有的东西”。三元对等的技术思想即是如此。

三元对等原理看似简单，但在现实的网络场景中，三元对等架构下的安全认证实现远比想象的要复杂严苛。在实际网络通信中，受网络结构的限制，尤其是在目前最常用的无线网络环境下，终端往往并不能直接与TTP对话(连接)，而是要由与终端进行鉴别的网络接入点(AP)转发来自TTP身份验证信息，并最终完成身份鉴别。按理说，终端和网络接入点本来是要相认的两个陌生人，但现有的网络形态却决定了其中一个人的身份信息只能通过另一个人传口信给TTP，然后还要再次经由这个中间人把TTP的口信传回来，这个过程存在很大的安全隐患，如何解决这个问题，是设计该网络场景下的实体鉴别机制面临的最大挑战。三元对等架构的优势在这里得到了体现，它完美地解决了这个难题。具体的实现细节过于艰深，这里不再赘述。

也许有人会说，现在很多网络技术都已经是对等鉴别了，TePA-EA有什么特殊之处呢?事实上，TePA-EA的最大价值就在于它是从更高层面的网络架构上解决了真正的“对等鉴别”问题，而很多网络技术甚至是市场上的主流技术，由于结构上的缺陷，它们往往很难彻底以“对等”方式实现实体鉴别，使得在网络中引入了一些新的被攻击点，进而给网络安全造成隐患。

以Wi-Fi为例，它拥有WEP、WPA、WPA2、WPA3等安全机制，在WEP被证明存在严重缺陷之后，Wi-Fi在WPA2和WPA3安全机制中增加了一个在线可信第三方(身份鉴别服务器)，它与接入点绑定在一起，两者默认互信。但无线接入点没有独立身份，它实际上只是帮助终端和身份鉴别服务器之间形成了双向鉴别，而终端与接入点之间却无法形成真正的对等鉴别，这就使其难以摆脱“中间人攻击”的风险。

为什么有5项技术?

新华社的这篇报道还提到，早在2010年，西电捷通就已经有2项实体鉴别技术成为了国际标准，此次新增3项，前后合计5项。一个很自然的疑问：为什么需要这么多技术来支撑实体鉴别机制?这就要从技术的应用场景设定说起。

一项技术的研发立项，两个要素的考量必不可少：技术的先进性如何?技术的市场(应用场景)在哪里?前者决定竞争力，后者决定价值兑现能力。一般来说，技术的先进性比较好判断，，但市场问题却不太容易预判，特别是对哪里都能用的基础技术而言，将其典型应用场景提炼出来难度较大。在这个问题上，反面教材并不鲜见：目前国际上通常的实体鉴别技术要求提前获取对方有效验证信息，这在很多重要应用场景中就很难实现。

（编辑：江门站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!