金融信息安全涉及國家安全
——訪網絡密碼認證技術北京市重點實驗室主任、三級研究員胡祥義

2019-11-29 10:21:04史曉波

中國科技財富 2019年6期

文／本刊記者史曉波

日前，網絡密碼認證技術北京市重點實驗室向國家有關部門發出“關于采用自主可控認證技術實施我國網絡身份證的建議”，建議指出，要實現網絡安全，必須加強網絡安全的“頂層設計”，實施“網絡身份證”（eID）國家戰略。該實驗室主任、三級研究員胡祥義先生接受《中國科技財富》記者采訪時表示，面對日趨嚴重的網絡安全態勢，我國應加快eID（網絡身份證）國家戰略，率先制定相關技術的國際標準，以此搶占信息安全制高點，可主導未來建立全球信息安全空間行為規范，搶占后信息高速公路時代的建設先機。

金融網絡信息化的飛速發展中的安全隱憂與對策

“指紋識別、人臉識別、口令識別、聲紋識別、手勢識別等識別技術在不同的場景應用上都需要，但是，它們的安全等級比基于密碼技術的認證系統要低很多。”胡祥義在對記者解讀國家關于《金融和重要領域密碼應用與創新發展工作規劃（2018—2022年）》時著重強調了密碼技術與上述人們常見的識別技術之間的實質區別。

他指出，金融信息化、網絡化給金融領域應用帶來超快的發展，但其中的安全隱患不容忽視，網絡在線支付領域安全事件頻發已經成為“常態”，如支付寶、蘋果PAY、三星PAY等都采用靜態口令認證技術模式，雖然它們具有速度快，操作簡單，成本低廉等優勢，深受支付企業和用戶的青睞。但是，其支付單缺少簽名和加密功能，黑客通過截獲并替換支付單的內容，即可實現對在線支付協議的有效攻擊，盜取用戶賬戶資金。因此，基于口令認證技術模式的移動支付系統安全等級是比較低的。

胡祥義告訴記者，采用密碼技術在網絡上建立安全體系，能為用戶提供高安全等級的在線移動支付服務，保護老白姓的“錢袋子”安全。建立“網絡身份證”體系，將使互聯網變得更加簡便、高效、安全與可信，使得用戶的個人信息免遭泄露，它是政府統一為網民提供網絡身份認證服務，促進信息消費、保證金融安全的重要手段和方法。

各國實施網絡身份證戰略的現狀

胡祥義指出，要實現我國的網絡安全，國家級的“頂層設計”必不可少，實施“網絡身份證”國家戰略是其重要一環，他向記者列舉了國內外的幾個實例：

韓國在2007年開始實行了網絡實名制，于2012年宣布失敗，原因是使用固定口令認證登錄，極易被黑客攻破，使個人信息全面外泄。

美國2011年初，奧巴馬政府實施“網絡身份證”國家戰略，計劃10年完成，計劃投資5.63億美元科研經費，開展新網絡認證技術的研發。但是，8年過去了，至今新網絡認證技術還未問世。他們依然采用的是具有30年歷史的PKI技術來建立美國的eID試點，至今沒有獲得重大進展。根源是PKI技術無法支撐海量用戶（億級）建立網絡身份證體系。

美國軍隊大約于2004年左右，開始實施軍隊系統的eID，美軍2013年度的網絡安全維護費用高達34億美元，“網絡遍布全球各個角落，連接現役部隊、預備役部隊、國民警衛隊、地方政府與合同商，大約有370萬擁有網絡身份證的人使用國防部公鑰基礎設施PKI（public key infrastructure的縮寫）（見：美軍2013財年信息技術與網絡安全項目預算需求）。PKI的證書維護費折合人民幣大約：6300元人民幣/人/年，可見，證書維護費較高。愛沙尼亞采用PKI技術建立國家eID，該國是國際上信息化最高的國家，然而，人口只有340多萬，比美軍用戶量還少。

我國一些部門和研究機構也進行了eID的研究和試點工作；但是，核心技術架構也是采用與美國相同的PKI技術架構。

密碼在網絡安全領域的應用以建立網絡認證技術架構為主

目前，我國主流的網絡認證技術架構都采用國際上通用的PKI（public key infrastructure）技術，但是PKI技術在CA認證中心的證書是以明文存儲在數據庫中，顯而易見是有安全隱患的，容易受到黑客通過篡改用戶證書的方式進行攻擊。正像沈昌祥院士明確指出的那樣：“由于難以保證數字證書的驗證裝置或系統是安全的，在這些不安全的裝置和系統上，一個非法的證書有可能冒充合法證書。”（見：沈昌祥談我國的PKI建設，《中國信息導報》2002年第09期）。因此，需要將證書加密成密文后存儲。

胡祥義主任告訴記者，國際上常用的網絡認證架構包括：PKI、IBC和CLA等，在基于密碼技術建立網絡認證架構的研究領域，包括基于公鑰（非對稱）算法的網絡認證架構的研究和基于單鑰（對稱）算法的網絡認證架構的研究，我國都處于世界領先水平或第一方陣。目前我國密碼學者研發的多種網絡認證架構如：CLA、CPK、垂直認證、CLF、IKI等，其技術特征與優勢明顯，他認為未來20年，國內自主知識產權的網絡認證架構將成為主流，可以應用于不同的網絡安全應用領域，滿足我國INTERNET 2.0和物聯網安全應用的需求。

確保實施金融網絡信息安全措施的四條原則和建議

國家采用密碼技術在網絡上建立安全體系，需要確保網絡認證架構安全、密碼算法安全、密鑰管理安全，以及網絡協議安全。胡祥義研究員提出了四條保證我國金融網絡信息安全措施的原則和建議：第一，要堅持以國密算法為基礎，智能芯片為載體的網絡安全架構；第二，要做到認證協議、簽名協議、加密協議、密鑰交換協議等須在加密芯片硬件里完成，實現“芯片級”的安全協議。第三，對稱密碼密鑰管理，要保證各種（認證、簽名、加密和密鑰交換）對稱密鑰都一次一變；第四，對于非對稱密碼密鑰管理，必須保證3～4個月更新一次密鑰對（含：公鑰和私鑰）。

我們已擁有自主可控可實施“網絡身份證”的核心技術

各國網絡身份證技術，主要采用PKI（public key infrastructure）技術已經有近30年歷史了，我國引進PKI至今也有22年歷史。胡祥義主任認為，PKI是采用非對稱密碼和對稱密碼相結合的方式來建立網絡認證架構的，其建設和維護成本都比較高。他指出，要實施“網絡身份證”戰略，其網絡認證技術，必須解決海量（億級）用戶并發認證和海量（億級）表單并發簽名驗證的難題，而PKI無法有效解決。

據介紹，網絡密碼認證技術北京市重點實驗室在中國工程院周仲義院士的指導下，經過10多年研發成功的“垂直認證”技術，是采用組合密鑰生成算法解決對稱密碼的密鑰管理難題，實現認證密鑰、簽名密鑰、加密密鑰和交換密鑰的密鑰，都一次一變，且認證、簽名、加密和密鑰交換協議，都在芯片里完成，是“芯片級”的安全協議，安全等級高于PKI。

對比PKI，“垂直認證”技術是新一代認證技術架構，其并發認證速度快其100倍，并發簽驗速度快其200倍，能解決海量（億級）用戶并發認證和海量（億級）表單并發簽名驗證的難題；PKI是人工更新密鑰，而“垂直認證”是采用智能合約式的實時更新密鑰，可降低年密鑰維護成本80%，而且安全等級也得到了大幅度提升。

經第三方權威部門檢測，“垂直認證”技術各項指標已遠遠超過國家網絡空間安全指南2020年的考核指標。據介紹，“垂直技術”已經獲得國家和軍隊相關產品證書和多項國家發明專利，是具有自主知識產權的密碼產品，完全自主可控。周院士認為，“在我國實施網絡身份證建議是積極的，技術方案是可行的”；中國工程院魏正耀院士認為“垂直認證”技術有三個重要創新點；而國際著名密碼學家、倫敦大學密碼學博士、國家可信計算工作組副組長韓永飛教授則指出：“該技術方案至少領先世界10年以上”。

網絡時代，各國都想實現eID，包括我國的一些研究機構，但其研究基本上都有一些欠缺。胡祥義認為我國騰訊、阿里、華為等大公司是最有條件實施網絡身份證eID的企業。如騰訊公司的微信，已經完成了幾乎全部個人與個人、部分個人與機構之間的文件、語音和多媒體傳輸平臺，實施eID只需在手機端部署的加密芯片中寫入5種安全協議（包括：認證、簽名、文件加密、語音加密和多媒體加密協議），即可建立個人與對應機構端的認證中心。建立這樣的eID，不僅能大幅降低建設費用，還可有千億級的收入，是新時代實現企業“君子豹變”千載難逢的機會。