|
1
|
- 中国国家成员体
- 为2010年9月的ISO / IEC JTC1 SC6工作组会议准备
|
|
2
|
- IP的通信已发展为IPv4,
IPv6,成为通信主流,普及到全世界范围。但由于当时技术条件,IPv4、IPv6从设计就没有考虑安全机制。现在,安全问题越来越突出,危机到互联网的生存。
- 以互联网为主的通信网络也发生了很大变化,从单纯信息系统发展为与物联网相结合的新的网际空间。
|
|
3
|
- 网际安全(Cybersecurity)中,安全原则由“出于好意”变为“互相怀疑”,被动防护变为主动管理,以构建可信系统为主要目标
- 认证技术(Authentication Technologies)以及新的安全基础通讯协议 (New Secure Fundamental
Protocols)是实现可信系统的首要任务和关键
|
|
4
|
- 为此,各国都相继开展了新一代互联网的研究,并取得了一些成果。国际看法趋于一致,认为未来网络是大家共同参与的“绿色网络”,即无“公害”横行的干净网络,使有恶意活动发生,立即能被发现,立即能被遏制。
- 这是很复杂的任务,确实需要解决很多相关问题。但是我们认为新一代互联网建设,首先从解决现行互联网存在的弊病入手。
|
|
5
|
- (1)寻址方式:地址的定义不应是随机数,随机数不易被广泛辨认,只能由指定的DNS解析,而是易被普遍认识的十进制实名。有的人提出新的地址最好与地理位置相结合,不再需要远程译名。
- (2)地址证明:发送方提供本地址真实性的证明(证据),接受方验证其真实性,任何一方都能验证源发地址或路由地址的真实性,以此做到可信连接,防止非法接入。
|
|
6
|
- 1)CPK认证技术
- CPK能为发送方提供真实性的证据(由地址签名),任何路由器均可鉴别其地址的真伪(验证签名)。
- CPK能为接收方提供“事先鉴别”功能,在数据传输之前先行验证地址,判断其真伪,有效防止非法接入。
|
|
7
|
- (2)新路由协议
- 实名地址的通信协议与随机数地址的通信协议不同,做了相应协议的改造。由于地址鉴别系统是新增加的协议,对传输格式产生很大影响。因此重点研究了报头格式。这涉及到路由器的架构。
|
|
8
|
|
|
9
|
- (3)可信计算环境
- 可信路由器的执行代码,均通过厂家认证,只允许执行认证过的软件,没有认证码的软件,一概不执行,使一切恶意软件无法起作用,以此保证计算环境的可信。
|
|
10
|
-
功能样机实现了四个目的,证明了新一代路由器具有很好的可行性:
- (1)原发地址能提供发送地址证明和地址生存期证明,并可由任何一地来验证;
- (2)所有路径路由器均能对原发地址进行验证,决定取舍与否;
- (3)能提供可信连接,防止非法接入
- (4)能提供路由器内部的可信计算环境
|
|
11
|
- 目前,标识认证的关键技术CPK密码体制已通过中国政府审查批准,正在申报IEEE标准,进展顺利。
- 可信连接系统的“先验证后通讯”的新通讯规则及新一代路由器协议,都要通过报头格式协议实现。
- 因此,国际合作,制定报头格式标准,可将大大加速未来网络建设。
|
|
12
|
- 一项综合标识认证技术及网络通讯协议的新技术,可以实现可信连接、可信计算及绿色网络。
|
|
13
|
- 公钥密码体制经历了三个发展阶段:
- 第一个发展阶段是1976年Diffie等人提出非对称密码;
- 第二个发展阶段是1984年Shamir等人提出基于标识的公钥体制;
- 第三个发展阶段是2003年南相浩等人提出基于种子的组合公钥体制。
- CPK正好能解决对超大规模地址的水平化密钥管理及互相认证。CPK的出现推动了公钥密码体制技术的进展。
|
|
14
|
- 十进制网络标准工作组
- China Decimal Network Standards Working Group.
|
备注
