西电捷通三项三元对等实体鉴别技术成国际标准

  国际在线陕西消息：近日，我国自主研发的三项三元对等实体鉴别（TePA-EA）系列技术被国际标准组织正式发布，成为国际标准（ISO/IEC 9798-3:2019），位于西安高新区的西电捷通公司是该技术体系的主要技术贡献者。据悉，从启动研发到正式发布成为国际标准，TePA-EA系列技术走过了整整18年。

  位于西安高新区的西电捷通公司

  先于网络应用场景诞生

  据了解，实体鉴别机制的种类有很多，按照密码学划分，使用数字签名技术的实体鉴别是其中最具代表性的机制之一，并且最适合大规模网络空间的应用需求。1998年，国际标准组织曾发布ISO/IEC 9798-3:1998，其中定义了多种采用非对称密码算法的鉴别方法，但都有一个限制条件——要求两个实体在鉴别前获取对方有效验证信息。但是在很多重要应用环境比如“网络访问控制”中，终端获得授权前是无法访问网络上的其它设备的，此时要求终端提供有效验证信息并不现实，因此这项技术的实际应用受到了很大限制。

  2001年，西电捷通公司的技术研发人员在论证三元对等安全体系过程中，结合上述难题，开创性地引入了在线可信第三方（Trusted third party，TTP）参与实体鉴别的技术框架，解决了网络通信中接入实体没有独立身份，无法保障终端实体和接入实体双向鉴别的重大问题。

  值得一提的是，在2001年TePA实体鉴别技术研发元年，那时距中国接入国际互联网仅过去7年时间，第一波互联网浪潮刚刚褪去，上网搜索、冲浪、聊天还很新潮，可参考的应用场景较少。在此背景下，西电捷通自主提出了一条颇具前瞻性的技术路径。通过多年开发，最早形成的两项三元对等（TePA）双向实体鉴别技术开启了国际标准化之路。

  用于网络设备中的三元对等TePA技术

  全票通过的国际标准

  对于面向全球网络空间的基础共性技术而言，成为国际标准是其高效投入全球产业化应用的必由之路。2006年，含有西电捷通自主研发的TePA用户侧双向和网络侧双向实体鉴别技术作为标准提案，向国际标准组织ISO/IEC JTC1 SC27（信息安全分技术委员会）正式提交。

  国际标准化组织（ISO）、国际电工委员会（IEC）和国际电信联盟（ITU）并称三大国际标准组织，是国际上最具影响力的标准组织。SC27则是ISO/IEC第一联合技术委员会（JTC1）下属专门负责信息安全领域标准化研究与制定工作的分技术委员会。SC27的标准化活动主要包括解决信息安全和隐私问题的通用模型、管理系统要求、技术以及指南等，是国际信息安全标准制定领域公认的领军者。

  2007年举行的SC27年会通过决议，两项TePA实体鉴别技术正式被纳入研究阶段。在此之前，中国在基础共性信息安全技术领域尚未有过国际标准。也可以说，2007年的SC27年会奏响了中国网络安全基础技术实质性参与国际标准竞逐的号角，开启了历史性的新篇章。

  三年后，该项目在2010年4月13日进入最终国际标准投票阶段，获得了全票通过。该项目主要技术贡献者铁满霞回忆：“SC27集纳了全球网络安全信息领域的顶级专家，他们的任务就是对技术提案全方位‘挑刺’，两项TePA实体鉴别技术得到全票通过，说明技术质量是过硬的。”

  自此，ISO/IEC 9798-3国际标准有了两类实体鉴别机制，一类是原有的不引入在线可信第三方（TTP）的实体鉴别技术，另一类是中国贡献的引入TTP的实体鉴别机制，成为我国在基础信息安全领域提交并获通过的第一个国际标准。

  “全部由中国贡献”

  2014年，比利时国家成员体首次提出对ISO/IEC 9798-3国际标准进行文本层面的全面修订，此时距该标准发布已相隔16年。SC27墨西哥会议接受了这一提议，这本是一次常规的就编辑错漏、合并基础标准和补篇而进行的文本修订，直到中国提交了含西电捷通自主研发的另外三项TePA实体鉴别技术的标准提案。

  这三项新增的技术提案分别对应用户侧发起单向、网络侧发起单向和多可信第三方等应用场景下的实体鉴别。根据惯例，SC27在专家组范围内讨论了是否将上述技术纳入国际标准，并于2016年4月将这三项技术提案纳入标准修订进程中，即便有前两项TePA实体鉴别技术全票通过的“光环”照耀，在每一轮标准化进程中，所有新增技术依然要经历各国专家的重重讨论和专业审核，现场交锋不断。在标准草案的投票过程中，围绕这三项新技术的应用场景，中美专家之间就有过激烈的辩论。

  2017年，当提案进入CD2（委员会第二次）投票的CRM（投票意见处理）会议时，美国专家Mike提出，在拟新增的三项实体鉴别技术中，多可信第三方实体鉴别技术是极为特定的方案，难以列举其可能的应用场景。对此，这项国际标准草案联合项目编辑杜志强早有准备，他在图板上列举了电信漫游的例子加以证明这种技术可以应用的场景还有很多。以北京电信用户出差到西安为例，该用户和陕西电信的用户发起对话，那就需要北京电信和西安电信分别作为两地用户的可信第三方共同展开多可信第三方参与的实体鉴别，目前，这种漫游通信模式是靠电信运营商内部复杂的管理机制实现的，未来则可用多可信第三方实体鉴别的技术机制实现。在机场等需要跨行业进行在线实体鉴别的环境下，也适用上述技术。最终Mike接受了杜志强的技术和应用分析，并最终将反对票改为赞成票。

  加上2010年发布的2项技术，截至目前，ISO/IEC 9798系列实体鉴别国际标准中的所有在线实体鉴别技术已累计达到5项，全部由中国贡献。

  对此，信息安全国际标准化组织前任主席、德国资深专家沃尔特·富米先生给予高度评价：“在过去几年中，中国在创新和制定实体鉴别技术的国际标准方面发挥着越来越重要的作用。可以肯定的是，中国也将推动国际网络空间安全标准化的发展，并将担任重要的领导角色。”

  基础共性技术的最大挑战

  对于TePA-EA系列技术而言，18年的研发和标准化之路也很短暂，作为基础共性技术，它将广泛应用到有线局域网、无线局域网、近场通信、射频识别、移动通信等基础信息网络中真正发挥其作用。

  “一项基础共性技术从研发到实际应用，通常要经过十几年甚至更漫长的时间，如果在技术研发阶段不具有前瞻性和洞察力，那么终会因技术的局限性而与未来出现的应用场景失之交臂。因此基础共性技术在研发之初，往往具有高风险、非证实、弱回报的特征，所以很少会有企业投入此类技术的研发。”西电捷通公司专家黄振海说道。随着信息化技术飞速发展，应用场景和技术研发呈现螺旋式促进作用，漫长的研发和回报周期是基础共性技术所面对的最大挑战，但这也正是网络基础共性技术作为核心技术的魅力所在。（供稿 文/图 西安高新区管委会 编辑 陈岚）