安全中國造：認證技術急先鋒

   我們都知道一個政治經濟學定律:生產力決定生產關系。根據這個定律，可以把人類文明分為三種：農業社會文明，工業社會文明，信息社會文明。農業文明使用的工具是鐮刀、鋤頭，代表者是農民；工業文明使用的主要工具是錘子、機器(馬克思說：農業社會是水推磨，工業社會是機器磨)，代表者是工人；信息社會文明使用的主要生產工具是計算機，代表者是知識分子。從世界范圍來看，農業文明中國領先，工業文明中國落后，信息文明則全球在行動，這是大趨勢。美國未來學家托夫勒說：面對信息社會趨勢，不論貧富，各種文明人種都處在同一起跑線上。為什么呢？只要你是有知識有文化的人(生產者)，能使用計算機勞動(生產工具)，利用信息(生產資料)創造出可以交換的產品，產生了豐富的價值，就可以跳躍式進入信息文明社會。信息社會的根本是重視教育、重視人才。

　　信息社會文明從技術上講有三個技術很重要：以CPU為核心的技術、操作系統技術、信息安全技術。三大技術中前兩大技術國外暫時領先，我們不能掉以輕心，仍有追擊之力。對于第三項信息安全技術，我們是大有希望占有較大技術份額，甚至有可能領先。試想：在整個信息化文明到來時，作為一個占全世界人口四分之一的民族，核心技術又一舉占先，數字化經濟、信息化社會將垂涎于整個國家和民族。那么國家的綜合勢力必定大上一個臺階。身為炎黃子孫，我們何樂而不為？因此可以說：誰不重視信息安全技術，誰將成為歷史罪人!

　　安全哲學，世界同一

　　互聯網本來是大學校園里幾個學生為了彼此好玩而設計的,通過商業運作而向社會擴散。1993年美國前總統克林頓敏銳地看清了這個方向，提出了著名的信息高速公路，即NII計劃，各國政府紛紛響應，在全球一炮打響，使互聯網迅速覆蓋全球。網絡空間的建立，為信息化發展提供了物質基礎。當大規模網絡基礎建成，新的大量應用開始的時候，才發現網絡信息安全問題嚴重，它已成為當前制約信息化發展的瓶頸和需要優先考慮解決的問題。

　　十年來，中國的網絡信息安全同世界大趨勢基本保持一致，防病毒、防火墻、入侵檢測、漏洞掃描、身份認證等等一應俱全，有的產品指標還優于國外。但是網絡安全總體思路還是以防為主，"道高一尺，魔高一丈"，導致產品越做越復雜，補丁越打越多，成本代價越來越高。買了一大堆安全產品，網絡安全還懸，有的單位甚至采取極端安全策略，搞物理隔離或干脆放棄使用網絡，造成了很多信息孤島，這又與網絡信息化文明本質相背，違反了生產力決定生產關系的大規律。違反規律是要受到懲罰的！那么網絡信息安全到底做什么？怎么做？

　　2005年美國總統信息技術咨詢委員會給布什總統的《緊急報告》中，提出了信息安全的十大任務，第一位的是：標識鑒別(Identity Authentication)技術。很多人把Identity譯成"身份"，這并沒有錯，學術用語應譯為標識，范圍一下就大多了，如：人有人名、用戶有用戶名、設備有設備名(編號)、數據有數據名、軟件(進程)有軟件(進程)名等等。

　　人類歷史上，凡是偉大的人物都是相通的：以胡錦濤為總書記的黨中央提出構建和諧社會；以布什為代表的美國總統咨詢委員會提出建立可信世界。一為發展中國家的領袖，一為發達國家的元首，其思想都反映了新時代發展的脈搏，代表了世界趨勢。和諧社會或可信社會的本質從單一的自然科學或社會科學都難以描述清楚，唯有二者的結合。在人類文明早期，科學是融為一體不分開的，后來各自獨立，到了信息化社會要闡明一個大的問題，科學又是彼此不能分開的，從哲學上理解這恰好是一個"正、反、合"即肯定、否定、否定之否定的三段論吧！

　　可信是安全基礎

　　和諧社會或可信社會的本質體現在社會的秩序和行為的準則，沒有秩序首先要建立秩序，有了秩序則要維護秩序。建立秩序要靠標識認證，維護秩序則要靠行為監管。信息文明把人類生活從物理世界引向虛擬世界，虛擬世界由開始的無序世界，走向有序世界，最終需要對自己行為和交易活動負責，這樣的世界才是可信世界，整個人類社會才和諧。信息安全是低層面的，信息社會安全才是通義。因此從技術層次上講，網絡信息安全的核心技術是：標識認證和行為監管。認證技術主要用于建立網絡世界秩序(相當于TCP/IP協議對發展網絡的作用)，監管技術則用于對網絡世界的管理和控制。由于監管是建立在認證之上，并以認證為資源和基礎，因此，必須首先發展認證技術。認證技術的重要性在于：它可以解決網絡環境下復雜的身份識別和定位問題；由于認證技術的基礎是密碼，它將把網絡攻擊的技術門檻從一般計算機技術提升到專業密碼分析，黑客將望塵莫及。由此可以大膽預言：未來從事認證技術和審計監管技術的安全公司將活得很好，關鍵是技術占先，產品至勝！

　　認證技術之爭

　　目前，世界上已形成三種認證技術系統：PKI、IBE、CPK。

　　PKI：基于公共密鑰基礎設施技術實現的認證系統。1996年公布，很多國家在用，中國把它作為主流技術在推廣。它的缺陷在于：一是處理能力低，一個證書庫的處理能力在1000個左右，發證量在100萬個左右；二是運行依靠CA的層次化機構和在線證書庫支持；三是成本高，建設投入大，全國按100萬個計算，將建設很多PKICA，由于行業不同，難以互相認證，導致"孤島"效應；四是風險大，由于適用范圍和發證量小，運行效率低，一旦證書庫出問題，會導致系統癱瘓。

　　IBE：基于標識算法實現的認證系統。2001年歐洲學者公布。它省略了靠第三方證明的層次化CA機構鏈，把認證技術向前推進了一大步，但仍需要保留用戶參數并依靠在線數據庫支持，在國際上反映很大，很多國家用它取代PKI。

　　CPK：基于組合公鑰算法實現的認證系統。2005年公布，發明人是我國著名密碼專家南相浩教授，2005年6月由蔡吉人、何德全、周仲義、沈昌祥等院士和一些專家鑒定通過。優點：第一、不需第三方層次化CA機構鏈，網上握手即能證明；第二、發證量巨大，僅用25KB空間就能處理1048個以上公鑰；第三、不需要在線數據庫(LDAP)支持，穩定性充分保證；第四、成本降低，整個認證過程可以在芯片級實現；第五、效率大大提高，PKI十二步，IBE六步才能發一個證，CPK兩步就實現了。

　　美國總統信息技術咨詢委員會在2005年向布什總統提交的《網絡安全：急中之急》的報告中提出建立規模化(十億級)的認證技術，剛一提出立項，其實我們中國人已解決了。

　　作為構建可信世界的技術基礎，CPK可以應用于可信計算、可信連接、可信應用等所有需要邏輯證明領域，并貫通從制造、服務到運營的整個價值鏈條，應用十分廣闊，如：

　　一、可信計算：以單臺計算機為基礎，將通信部分剝離(由可信連接處理)，用CPK技術使軟件產品標簽化、驗證技術通用化、CPK認證模塊控制非授權軟件，特別是惡意軟件的加載和執行，達到可信計算環境。

　　二、可信連接：用CPK標識認證算法，對通信標識(簽)進行認證和驗證，提供真實性證明，從而將多次交互過程簡化為一次過程(如可將現行SSL的連接過程從三步簡化為兩步)，直接實現任何兩端的可信連接。它可用到無線網(包括手機通信)和各種信息網。

　　三、通用防偽系統：將PKI技術與RFID相結合，達成極高強度的防偽，有效防止仿冒和復制，特別是能夠做到用一種驗證機(可以是手機)檢驗成千上萬種商品，票據等真偽，使打假難變成造假難。

　　總之，在信息化三大核心技術中，中國應當在安全技術領域去爭得一席之地，又一個機會，機會永遠屬于有準備的諸位。中國有三千多家安全廠商，由于技術和產品問題困擾著它們，盡管奮力拼搏，日子也不好過，很明顯，信息化安全業的技術大方向在于標識認證和行為監管，而CPK又是最具光明的技術。今年國內安全行業廠商在煎熬，大洗牌和大調整勢所必然，出路就在于把公司調整到與應用結合，開發安全應用產品上。據說，一些國際巨頭軟件公司看到了網上應用的驟增，已把研發方向調整為信息安全領域，這是一個信號，也是一記警鐘！中國信息安全業要很好發展，象目前這樣小公司林立，管理混亂，低價拼搏，艱難茍活，是沒有發展前途的。唯有的希望是學習韓國發展產業模式，以大帶小。國家整體規劃，認準安全行業方向(少建一個鋼鐵廠投入安全行業而已)，重點資助扶持5-10家安全公司成為專業龍頭，帶動一批做輔助產品的小公司，以龍頭帶動群體，形成產業鏈，首先把中國信息安全做好，擇機向世界進軍，可成大業.