论文部分内容阅读
编者按 随着广电双向化网络改造的大规模推进,庞大的用户基数和丰富的业务产品线,加上回传通道的打通,有线网也必然被黑客惦记上!如何保障双向网络的安全,成为运营商面临的重要课题,不少困惑亟待解答。比如,单向cAs能否直接升级为双向CAS?互联网安全系统能否直接应用于有线网络系统?本文作者给出了旗帜鲜明的观点和论证。
在双向网络中,用户信息可通过回传通道发送至前端,前端在单向网络下的隔离安全状态将不复存在。同时,随着各种新业务的开展。黑客对有线网络的恶意攻击也将成为一种常态。因此,对于后整转时代的有线运营商来说,如何保证双向网络的安全性是开展各项增值业务的首要前提。
平滑升级?不可能!
所谓“单向CAS平滑升级到双向CAS便能满足双向网络安全要求”,从根本上讲就是对称加密体系能否平滑升级到非对称加密与对称加密相融合体系的问题,这是几乎行不通的。
1 原理溯源:对称加密和非对称加密
密码学中有两大加密技术:对称加密和非对称加密。
对称加密即加密及解密均使用相同的密钥,或加密密钥与解密密钥之间可相互推算出来,最大特点是安全性完全依赖于密钥,其优势是速度快、效率高、使用简单快捷,在没有得到密钥的情况下破译困难。但其也存在先天缺陷:首先,对称密钥的管理及分发是一个具有潜在危险且繁琐的过程,接收双方不但应保证彼此密钥在交换、运送过程及存储的安全性,也要严格预防密钥的泄露和篡改。同时,由于单靠技术很难保证密钥管理及分发的安全性,有时还需借助人工手段,因此增加了很多不规范及不确定因素。其次,对称加密不能提供信息完整性的鉴别,无法验证发送者及接收者的身份,也不能实现传输数据的不可抵赖性。鉴于以上原因,对称加密技术难以满足以互联网为代表的双向型网络的安全需求。
为了解决信息公开传送的密钥管理及签名认证等问题,出现了一种全新的密钥交换体系——非对称加密体系,也称公开密钥体系。
其在加密时需要有两个密钥:公开密钥和私有密钥。私有密钥为只有发送方才知道的专用密钥,公开密钥则用于分发公开信息,而经公开密钥加密的数据,只有用对应的私有密钥才能解密。通信时,发送方生成一对密钥并将公钥向所有接收者公开,得到公钥的接收方用该密钥对数据加密后再传送给发送方,发送方用保存的私钥解密,获得数据。由于基本不存在从公钥推导出私钥的可能性,公钥可进行任意传播,发送方只需要保存好私钥即可,因此大大简化了密钥的分发及管理过程。同时非对称加密技术还允许对信息进行数字签名,即发送方使用自己的私钥对所发送信息的某一部分进行加密(签名),接收方收到该信息后,使用发送方的公钥解密,如果解密后的信息与传输的原信息一致,则可验证出发送方的身份(认证),同时由于公钥与私钥存在唯一对应关系,也就实现了发送方的不可抵赖性。非对称加密技术由于需要精密的数学运算,因此加、解密时间长,速度慢,不适于对大数据量的加密。
2 融合技术解决方案
在传统的广电单向网络中,由于不涉及前端与终端的实时通信和数据交换,因此没有认证及鉴权需求,而密钥的分发,运营商则是通过事先将密钥写入智能卡,随智能卡一起发放到合法、可信任的终端用户手中,其从管理及运营的角度保证了密钥分发过程的安全性。
这种方式不但解决了对称加密最大的两个安全隐患,且加解密速度快、效率高。因此,单向网络的CA无一例外均采用了对称加密技术。而在双向网络中,回传链路在实现前端与终端的数据交互时,不仅要考虑授权的安全性,还应考虑终端接入及数据传输的安全性,其必然会涉及到对终端用户的认证和鉴权,以保证终端用户身份的合法、可信,以防止黑客和非法攻击;同时随着各项增值业务的开展,事先将密钥写入智能卡中,依靠人工及行政手段保证密钥分发安全的方式已远远无法满足双向网络对开放、灵活和交互的要求,因此双向网络的安全系统必然会舍弃单纯的对称加密转而以非对称加密为基础来构建。当然最理想的结构为:以非对称加密为主,对称加密相辅的方式,其中非对称技术用于通信双方的相互认证、鉴权及初始密钥的分发,当双方身份确认,安全通道建立成功之后,再用对称加密技术生成一个会话密钥,进行大数据量的传输。
综上所述,单向CAS平滑升级到双向CAS后能否满足双向网络安全要求的问题,从根本上讲就是对称加密体系能否平滑升级到双向网络需要的非对称加密与对称加密相融合体系的问题。
非对称加密为了解决密钥的公开分发,为了实现认证,必须彻底改变整个加密体系中最为核心的密钥生成、分发及管理方式,其决定了将对称加密体系直接升级为非对称加密几乎是不可能的。而非对称与对称融合体系并不意味着两种技术的简单叠加,而是要以非对称加密为基础,在非对称加密的体系下融入对称加密的一些技术和功能,以完成对大数据量的高效加密。
3 平滑升级:不可能完成的任务
既然单向CAS升级为双向CAS之路走不通,需构建一套新的安全系统,那这套安全系统与原有单向CAS之间又是怎样的关系呢?
广电双向网络的安全性从逻辑上分为两部分:一是传统电视节目的安全,主要指对用户的收视控制及授权管理,是广电的立足之本,强调安全体系的私密性和不公开性;二是面向业务的安全,主要指保证回传链路及业务数据传输的安全,重点为保证双向网络新型增值业务的顺利开展,强调的是开放性和标准性。第一部分的安全由CAS保障,其在单向网络里已经有非常成熟的应用。第二部分的安全则由双向网络新的安全系统来保证,因此两者是并行甚至是可独立运行的两套面对不同内容的安全产品。
有些CAS号称既支持对称加密也支持非对称加密,其实就是在对称加密体系上添加了1~2个简单的非对称密码算法,这种做法显然难以保障双向网络的安全性。而运营商在构架一个加密体系时,密钥的生成方式及分发管理直接决定了其会采用哪种加密技术,因此所谓平滑升级只是一张“空头支票”而已。
互联网安全系统:无法直接“拿来”
虽然双向网络与互联网的表现形式非常相像,但互联网的安全理念、安全机制可否直接拿到双向网络来应用?答案是否定的。
首先,也是最重要的一点,互联网与广电网络运营商角色定位不同。
互联网运营商的定位只是在网络架设及维护层面,即运营商只提供网络通路及接入,各项业务的安全则由业务提供商自行负责,因此互联网的安全性有2个特点:以业务为主体及各自独立。而广电运营商不仅负责网络的架设和维护,还要运行相关内容及业务。既然运营商要统一对网络上所有的内容及业务负责,显然不能采用互联网各自为战、各自负责的安全机制。
其次,终端的硬件环境不同。
在互联网上,终端用户使用性能强大的PC机,有 足够的信息处理及运算能力,因此在构建互联网安全体系时,就可以在终端上采用复杂、高级别的安全措施,甚至一些业务的安全保证全部都可以放在终端上实现。而对于广电网络来说,终端使用嵌入式系统的机顶盒,运算能力及通用性均远远落后于PC机,因此广电在考虑安全体系时,就不得不尽量减少终端负荷,在终端放置轻量级的密码运算,而将运算量尽可能上移到前端来实现。
综上所述,双向网络需要的是一个在业务层之下,面向整体、面向所有业务并充分考虑终端运算能力的安全平台,而不是互联网中基于单个业务、可以最大限度发挥终端优势的安全机制和安全产品。
9大特征:双向网络安全系统概览
特征1:非对称加密与对称加密技术相融合的加密体系结构
笔者在这里推荐两种技术:一是PKI技术,一是SSL技术。这两种技术是目前网上银行广泛采用的核心安全技术,其安全性伴随着网上银行大规模的成功应用,已得到了各大银行的一致认可。
PKI(Public Key Infrastructure)为非对称加密技术的一种典型应用,其能够为所有网络应用提供加密及数字签名等密码服务及所需的密钥和证书管理体系。简单来说,PKI就是利用非对称加密理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术,其基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等,完整的PKI系统必须包括具有权威认证中心(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等。
SSL(seeure Socket Layer)由Netscape研发,其利用数据加密(Encryptl’on)技术,可确保数据在网络传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间,可为数据通讯提供安全支持,SSL协议可分为两层:SSL记录协议。其建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议。其建立在SSL记录协议之上,用于在开始进行实际的数据传输前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
特征2:应具备开放性及标准性,并获得权威的第三方认证
以以上两种技术体系为基础搭建的安全系统,尤其是已通过权威第三方认证的PKI体系中CA中心,很容易获得银行等金融机构的认可,更便于相关增值业务的开展。
特征3:平台化架构体系
在借鉴互联网成熟安全技术的基础上,全新的安全架构技术还应满足广电行业的特殊需要:即从整体出发,基于平台化的思想,保证所有接入业务的安全,在保证安全的同时,还要兼顾效率和实用。
在这里笔者也推荐一种技术:安全策略协商技术。所谓安全策略协商,即由安全系统根据业务系统及终端高层次的安全需求,从保障信息安全的各个方面出发,事先制订好的、各种具体的安全条款的集合,这些条款可适用于各种不同的业务系统和终端。业务系统和终端可根据自身需要,选择(或由运营商指定)其中的部分或全部条款来保证安全。同时还要制定严格的安全策略执行检测机制,一旦发现与既定的安全策略不符的操作或调用行为,应立即终止操作,并进行报警。
特征4:应保证信息的安全性
除了系统架构外,新的安全系统还应该注意哪些技术细节呢?双向网络的信息安全性包括信息的私密性、完整性和不可否认性。数据的私密性主要是为了防止发送者接收者之外的第三方获取私密数据,包括攻击者的主动窃取,或非相关人员的被动得到。数据的私密性一般通过对数据进行加密来实现。数据的完整性则是指数据接收者可验证收到的数据在传输过程中是否曾被篡改过,以使攻击者不能伪造数据。数据的完整性一般通过对数据做MAC(消息鉴别码,Message AuthenticationCode)并附在数据之后来实现。带有私密密钥的MAC除了可保证数据完整性之外,同时也可用来鉴别数据来源的合法性(确认消息来自于指定发送者,且确认该消息不可能是攻击者伪造的)。
数据的不可否认性是指消息的发送者在发送信息后无法否认他曾发送过该信息,该功能通常使用数字签名算法来实现。如现在常见的网上银行系统,个人终端上传的数据均要用个人私钥进行签名,在网银服务器处要保存签名数据用于抗抵赖。为了真正实现抗抵赖,一般签名时,还要有时间标签及其他一些处理行为。
特征5:应保证接入端的安全性
由于双向网络的接入端具备回传能力,其给黑客的非法入侵提供了一个窗口,如何保证接入端的安全就成为双向网络不得不面对的问题。安全系统要想很好地解决这一问题,就必须具备灵活的认证和鉴权机制,并具备有效的可疑终端处理能力。
所谓灵活的认证,首先,要支持终端和前端的相互认证,即前端在认证终端的同时,终端也能确认前端的合法性,以防止中间人攻击。其次,要支持终端和前端随时发起重认证,即无论是前端还是终端。在发现可疑或无法满足要求的行为时,均可立即发起重认证。第三,可支持指定时间间隔内的重认证,其间隔可根据增值业务需要进行配置;支持对认证算法进行安全分级,根据不同的增值业务要求,分配不同的认证安全级别;支持认证算法与底层通讯协议分开,可平滑升级的认证算法。
对于双向网络来说,至少应满足以上3个要求,才能算是一种灵活、有效的认证机制。
而鉴权是在认证通过后,用于鉴别用户是否具有进行某项操作的权利,一般与认证配合使用,因此要求其必须具有与认证同样的灵活性。
可疑终端处理分为两部分:可疑终端检测及可疑终端锁定。
可疑终端检测是安全系统根据业务及终端信息定义出可能会出现的终端可疑行为,制定相关的可疑终端检查策略和可疑行为数据字典,然后根据检查策略实时监控终端的运行状态,一旦发现可疑行为立即上报,并启动相关的可疑终端锁定功能。
可疑终端锁定功能的配置应由安全系统自行制定,而不应由SMS\BOSS来制定。主要优点如下:安全性高。可疑终端锁定功能配置不当可能会影响到大量用户,如果放在SMS\BOSS中,其接入安全和管理安全均低于安全系统的安全性。职责明晰。SMS\BOSS的职责就是开户、收费、用户管理等较明确的日常运营管理,而可疑终端锁定功能的配置需要多方协商,谨慎配置。在实际操作中,可疑终端管理模块会向SMS\BOSS开放查询接口,并提供加锁解锁接口。
可疑终端锁定策略可采用加权方法来判定是否需要锁定终端,即为可疑终端的可疑行为设定权值,并指定一个锁定终端阈值。如果一个可疑终端的所有可疑行为的权值相加等于或者大于锁定终端阈值时,就会执行终端锁定,并保存锁定的原因以供SMS查询。
双向网络安全系统可在PKI技术体系的基础上,通过具有广电特色的定制开发来实现接入端的安全需求。
特征6:保证通信链路的安全
对于通信链路,有线运营商可采用前面提到的SSL技术来保证其安全。
特征7:保证终端用户信息输入的安全
在开展在线支付等金融业务时的,终端自然会涉及到用户私密信息如密码等信息的输入等问题,如何保证终端输入信息的安全性也是安全系统需要考虑的问题。这里推荐一种在互联网上已普遍使用的虚拟键盘技术,即通过机顶盒在电视上显示一个虚拟的数字键盘,每次键盘上出现的数字顺序均是随机的,用户可通过方向键来选择数字输入密码,这样即使不法分子窃取到了遥控器的红外数据,得到的也只是方向信息,而无法真正获取用户密码,从而保证了终端信息输入的安全性。
特征8:保证业务接入的灵活性
既然安全系统是一个面向全业务、平台化的产品,那么其在保证业务安全的同时,也必须兼顾到业务接人时的灵活性,即安全系统需要对业务提供标准、开放的接口,各个业务提供商只要是根据标准接口协议开发的业务。就能非常方便地接入到安全系统中来。
特征9:支持大用户量,多并发流
双向网络的安全系统必须具备负载均衡功能,实现对大用户量多并发流业务、跨省业务的全面支持。
建议
广电行业的国家形象及特殊性决定了有线运营商在安全问题上不能有丝毫的马虎,而“亡羊补牢”的做法同样行不通,因此对于有线运营商来说,安全必须比业务先行,只有在安全系统搭建好之后,才能安心坐下来探讨业务及双向网络的发展等问题。
虽然安全系统一定要上,而且要比业务先上,但对于有线运营商来说,安全系统属于双向网改的基建性产品,并不会给运营商带来直接的收益,因此单独上马一套安全系统会让运营商颇为犹豫。
鉴于以上原因,笔者建议有线运营商在搭建安全系统时,可将安全系统提供商与业务提供商结合起来,同时选择的安全系统应已得到相关银行的认可,这样在安全系统搭建完成后,就可以直接开展在线支付、电视商城等金融业务,让运营商能够在短期内就可以看到预期的收益,积极、主动地进行投入,从而使双向网络的安全问题真正得以解决。
在双向网络中,用户信息可通过回传通道发送至前端,前端在单向网络下的隔离安全状态将不复存在。同时,随着各种新业务的开展。黑客对有线网络的恶意攻击也将成为一种常态。因此,对于后整转时代的有线运营商来说,如何保证双向网络的安全性是开展各项增值业务的首要前提。
平滑升级?不可能!
所谓“单向CAS平滑升级到双向CAS便能满足双向网络安全要求”,从根本上讲就是对称加密体系能否平滑升级到非对称加密与对称加密相融合体系的问题,这是几乎行不通的。
1 原理溯源:对称加密和非对称加密
密码学中有两大加密技术:对称加密和非对称加密。
对称加密即加密及解密均使用相同的密钥,或加密密钥与解密密钥之间可相互推算出来,最大特点是安全性完全依赖于密钥,其优势是速度快、效率高、使用简单快捷,在没有得到密钥的情况下破译困难。但其也存在先天缺陷:首先,对称密钥的管理及分发是一个具有潜在危险且繁琐的过程,接收双方不但应保证彼此密钥在交换、运送过程及存储的安全性,也要严格预防密钥的泄露和篡改。同时,由于单靠技术很难保证密钥管理及分发的安全性,有时还需借助人工手段,因此增加了很多不规范及不确定因素。其次,对称加密不能提供信息完整性的鉴别,无法验证发送者及接收者的身份,也不能实现传输数据的不可抵赖性。鉴于以上原因,对称加密技术难以满足以互联网为代表的双向型网络的安全需求。
为了解决信息公开传送的密钥管理及签名认证等问题,出现了一种全新的密钥交换体系——非对称加密体系,也称公开密钥体系。
其在加密时需要有两个密钥:公开密钥和私有密钥。私有密钥为只有发送方才知道的专用密钥,公开密钥则用于分发公开信息,而经公开密钥加密的数据,只有用对应的私有密钥才能解密。通信时,发送方生成一对密钥并将公钥向所有接收者公开,得到公钥的接收方用该密钥对数据加密后再传送给发送方,发送方用保存的私钥解密,获得数据。由于基本不存在从公钥推导出私钥的可能性,公钥可进行任意传播,发送方只需要保存好私钥即可,因此大大简化了密钥的分发及管理过程。同时非对称加密技术还允许对信息进行数字签名,即发送方使用自己的私钥对所发送信息的某一部分进行加密(签名),接收方收到该信息后,使用发送方的公钥解密,如果解密后的信息与传输的原信息一致,则可验证出发送方的身份(认证),同时由于公钥与私钥存在唯一对应关系,也就实现了发送方的不可抵赖性。非对称加密技术由于需要精密的数学运算,因此加、解密时间长,速度慢,不适于对大数据量的加密。
2 融合技术解决方案
在传统的广电单向网络中,由于不涉及前端与终端的实时通信和数据交换,因此没有认证及鉴权需求,而密钥的分发,运营商则是通过事先将密钥写入智能卡,随智能卡一起发放到合法、可信任的终端用户手中,其从管理及运营的角度保证了密钥分发过程的安全性。
这种方式不但解决了对称加密最大的两个安全隐患,且加解密速度快、效率高。因此,单向网络的CA无一例外均采用了对称加密技术。而在双向网络中,回传链路在实现前端与终端的数据交互时,不仅要考虑授权的安全性,还应考虑终端接入及数据传输的安全性,其必然会涉及到对终端用户的认证和鉴权,以保证终端用户身份的合法、可信,以防止黑客和非法攻击;同时随着各项增值业务的开展,事先将密钥写入智能卡中,依靠人工及行政手段保证密钥分发安全的方式已远远无法满足双向网络对开放、灵活和交互的要求,因此双向网络的安全系统必然会舍弃单纯的对称加密转而以非对称加密为基础来构建。当然最理想的结构为:以非对称加密为主,对称加密相辅的方式,其中非对称技术用于通信双方的相互认证、鉴权及初始密钥的分发,当双方身份确认,安全通道建立成功之后,再用对称加密技术生成一个会话密钥,进行大数据量的传输。
综上所述,单向CAS平滑升级到双向CAS后能否满足双向网络安全要求的问题,从根本上讲就是对称加密体系能否平滑升级到双向网络需要的非对称加密与对称加密相融合体系的问题。
非对称加密为了解决密钥的公开分发,为了实现认证,必须彻底改变整个加密体系中最为核心的密钥生成、分发及管理方式,其决定了将对称加密体系直接升级为非对称加密几乎是不可能的。而非对称与对称融合体系并不意味着两种技术的简单叠加,而是要以非对称加密为基础,在非对称加密的体系下融入对称加密的一些技术和功能,以完成对大数据量的高效加密。
3 平滑升级:不可能完成的任务
既然单向CAS升级为双向CAS之路走不通,需构建一套新的安全系统,那这套安全系统与原有单向CAS之间又是怎样的关系呢?
广电双向网络的安全性从逻辑上分为两部分:一是传统电视节目的安全,主要指对用户的收视控制及授权管理,是广电的立足之本,强调安全体系的私密性和不公开性;二是面向业务的安全,主要指保证回传链路及业务数据传输的安全,重点为保证双向网络新型增值业务的顺利开展,强调的是开放性和标准性。第一部分的安全由CAS保障,其在单向网络里已经有非常成熟的应用。第二部分的安全则由双向网络新的安全系统来保证,因此两者是并行甚至是可独立运行的两套面对不同内容的安全产品。
有些CAS号称既支持对称加密也支持非对称加密,其实就是在对称加密体系上添加了1~2个简单的非对称密码算法,这种做法显然难以保障双向网络的安全性。而运营商在构架一个加密体系时,密钥的生成方式及分发管理直接决定了其会采用哪种加密技术,因此所谓平滑升级只是一张“空头支票”而已。
互联网安全系统:无法直接“拿来”
虽然双向网络与互联网的表现形式非常相像,但互联网的安全理念、安全机制可否直接拿到双向网络来应用?答案是否定的。
首先,也是最重要的一点,互联网与广电网络运营商角色定位不同。
互联网运营商的定位只是在网络架设及维护层面,即运营商只提供网络通路及接入,各项业务的安全则由业务提供商自行负责,因此互联网的安全性有2个特点:以业务为主体及各自独立。而广电运营商不仅负责网络的架设和维护,还要运行相关内容及业务。既然运营商要统一对网络上所有的内容及业务负责,显然不能采用互联网各自为战、各自负责的安全机制。
其次,终端的硬件环境不同。
在互联网上,终端用户使用性能强大的PC机,有 足够的信息处理及运算能力,因此在构建互联网安全体系时,就可以在终端上采用复杂、高级别的安全措施,甚至一些业务的安全保证全部都可以放在终端上实现。而对于广电网络来说,终端使用嵌入式系统的机顶盒,运算能力及通用性均远远落后于PC机,因此广电在考虑安全体系时,就不得不尽量减少终端负荷,在终端放置轻量级的密码运算,而将运算量尽可能上移到前端来实现。
综上所述,双向网络需要的是一个在业务层之下,面向整体、面向所有业务并充分考虑终端运算能力的安全平台,而不是互联网中基于单个业务、可以最大限度发挥终端优势的安全机制和安全产品。
9大特征:双向网络安全系统概览
特征1:非对称加密与对称加密技术相融合的加密体系结构
笔者在这里推荐两种技术:一是PKI技术,一是SSL技术。这两种技术是目前网上银行广泛采用的核心安全技术,其安全性伴随着网上银行大规模的成功应用,已得到了各大银行的一致认可。
PKI(Public Key Infrastructure)为非对称加密技术的一种典型应用,其能够为所有网络应用提供加密及数字签名等密码服务及所需的密钥和证书管理体系。简单来说,PKI就是利用非对称加密理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术,其基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等,完整的PKI系统必须包括具有权威认证中心(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等。
SSL(seeure Socket Layer)由Netscape研发,其利用数据加密(Encryptl’on)技术,可确保数据在网络传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间,可为数据通讯提供安全支持,SSL协议可分为两层:SSL记录协议。其建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议。其建立在SSL记录协议之上,用于在开始进行实际的数据传输前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
特征2:应具备开放性及标准性,并获得权威的第三方认证
以以上两种技术体系为基础搭建的安全系统,尤其是已通过权威第三方认证的PKI体系中CA中心,很容易获得银行等金融机构的认可,更便于相关增值业务的开展。
特征3:平台化架构体系
在借鉴互联网成熟安全技术的基础上,全新的安全架构技术还应满足广电行业的特殊需要:即从整体出发,基于平台化的思想,保证所有接入业务的安全,在保证安全的同时,还要兼顾效率和实用。
在这里笔者也推荐一种技术:安全策略协商技术。所谓安全策略协商,即由安全系统根据业务系统及终端高层次的安全需求,从保障信息安全的各个方面出发,事先制订好的、各种具体的安全条款的集合,这些条款可适用于各种不同的业务系统和终端。业务系统和终端可根据自身需要,选择(或由运营商指定)其中的部分或全部条款来保证安全。同时还要制定严格的安全策略执行检测机制,一旦发现与既定的安全策略不符的操作或调用行为,应立即终止操作,并进行报警。
特征4:应保证信息的安全性
除了系统架构外,新的安全系统还应该注意哪些技术细节呢?双向网络的信息安全性包括信息的私密性、完整性和不可否认性。数据的私密性主要是为了防止发送者接收者之外的第三方获取私密数据,包括攻击者的主动窃取,或非相关人员的被动得到。数据的私密性一般通过对数据进行加密来实现。数据的完整性则是指数据接收者可验证收到的数据在传输过程中是否曾被篡改过,以使攻击者不能伪造数据。数据的完整性一般通过对数据做MAC(消息鉴别码,Message AuthenticationCode)并附在数据之后来实现。带有私密密钥的MAC除了可保证数据完整性之外,同时也可用来鉴别数据来源的合法性(确认消息来自于指定发送者,且确认该消息不可能是攻击者伪造的)。
数据的不可否认性是指消息的发送者在发送信息后无法否认他曾发送过该信息,该功能通常使用数字签名算法来实现。如现在常见的网上银行系统,个人终端上传的数据均要用个人私钥进行签名,在网银服务器处要保存签名数据用于抗抵赖。为了真正实现抗抵赖,一般签名时,还要有时间标签及其他一些处理行为。
特征5:应保证接入端的安全性
由于双向网络的接入端具备回传能力,其给黑客的非法入侵提供了一个窗口,如何保证接入端的安全就成为双向网络不得不面对的问题。安全系统要想很好地解决这一问题,就必须具备灵活的认证和鉴权机制,并具备有效的可疑终端处理能力。
所谓灵活的认证,首先,要支持终端和前端的相互认证,即前端在认证终端的同时,终端也能确认前端的合法性,以防止中间人攻击。其次,要支持终端和前端随时发起重认证,即无论是前端还是终端。在发现可疑或无法满足要求的行为时,均可立即发起重认证。第三,可支持指定时间间隔内的重认证,其间隔可根据增值业务需要进行配置;支持对认证算法进行安全分级,根据不同的增值业务要求,分配不同的认证安全级别;支持认证算法与底层通讯协议分开,可平滑升级的认证算法。
对于双向网络来说,至少应满足以上3个要求,才能算是一种灵活、有效的认证机制。
而鉴权是在认证通过后,用于鉴别用户是否具有进行某项操作的权利,一般与认证配合使用,因此要求其必须具有与认证同样的灵活性。
可疑终端处理分为两部分:可疑终端检测及可疑终端锁定。
可疑终端检测是安全系统根据业务及终端信息定义出可能会出现的终端可疑行为,制定相关的可疑终端检查策略和可疑行为数据字典,然后根据检查策略实时监控终端的运行状态,一旦发现可疑行为立即上报,并启动相关的可疑终端锁定功能。
可疑终端锁定功能的配置应由安全系统自行制定,而不应由SMS\BOSS来制定。主要优点如下:安全性高。可疑终端锁定功能配置不当可能会影响到大量用户,如果放在SMS\BOSS中,其接入安全和管理安全均低于安全系统的安全性。职责明晰。SMS\BOSS的职责就是开户、收费、用户管理等较明确的日常运营管理,而可疑终端锁定功能的配置需要多方协商,谨慎配置。在实际操作中,可疑终端管理模块会向SMS\BOSS开放查询接口,并提供加锁解锁接口。
可疑终端锁定策略可采用加权方法来判定是否需要锁定终端,即为可疑终端的可疑行为设定权值,并指定一个锁定终端阈值。如果一个可疑终端的所有可疑行为的权值相加等于或者大于锁定终端阈值时,就会执行终端锁定,并保存锁定的原因以供SMS查询。
双向网络安全系统可在PKI技术体系的基础上,通过具有广电特色的定制开发来实现接入端的安全需求。
特征6:保证通信链路的安全
对于通信链路,有线运营商可采用前面提到的SSL技术来保证其安全。
特征7:保证终端用户信息输入的安全
在开展在线支付等金融业务时的,终端自然会涉及到用户私密信息如密码等信息的输入等问题,如何保证终端输入信息的安全性也是安全系统需要考虑的问题。这里推荐一种在互联网上已普遍使用的虚拟键盘技术,即通过机顶盒在电视上显示一个虚拟的数字键盘,每次键盘上出现的数字顺序均是随机的,用户可通过方向键来选择数字输入密码,这样即使不法分子窃取到了遥控器的红外数据,得到的也只是方向信息,而无法真正获取用户密码,从而保证了终端信息输入的安全性。
特征8:保证业务接入的灵活性
既然安全系统是一个面向全业务、平台化的产品,那么其在保证业务安全的同时,也必须兼顾到业务接人时的灵活性,即安全系统需要对业务提供标准、开放的接口,各个业务提供商只要是根据标准接口协议开发的业务。就能非常方便地接入到安全系统中来。
特征9:支持大用户量,多并发流
双向网络的安全系统必须具备负载均衡功能,实现对大用户量多并发流业务、跨省业务的全面支持。
建议
广电行业的国家形象及特殊性决定了有线运营商在安全问题上不能有丝毫的马虎,而“亡羊补牢”的做法同样行不通,因此对于有线运营商来说,安全必须比业务先行,只有在安全系统搭建好之后,才能安心坐下来探讨业务及双向网络的发展等问题。
虽然安全系统一定要上,而且要比业务先上,但对于有线运营商来说,安全系统属于双向网改的基建性产品,并不会给运营商带来直接的收益,因此单独上马一套安全系统会让运营商颇为犹豫。
鉴于以上原因,笔者建议有线运营商在搭建安全系统时,可将安全系统提供商与业务提供商结合起来,同时选择的安全系统应已得到相关银行的认可,这样在安全系统搭建完成后,就可以直接开展在线支付、电视商城等金融业务,让运营商能够在短期内就可以看到预期的收益,积极、主动地进行投入,从而使双向网络的安全问题真正得以解决。