小戈堡垒、信通卫士
CCS主动安全技术体系介绍
1、关于被动安全与主动安全
杀毒、防火墙与态势感知视为被动安全传统三大件。被动安全基于模型是否准确、规则是否贴切、变量是否微观,这三者直接决定被动安全的有效性。被动安全依赖特定环境,离开特定应用环境,措施往往失效。
随着移动互联的普及、大数据、云计算与人工智能的发展,被动安全的有效性与适应性面临巨大挑战,逐渐从主角变为从属,主动安全顺势崛起!
主动安全包括身份安全、密钥安全与内容安全。身份安全解决碳基身份与硅基身份的唯一映射以及密钥安全的驱动问题;密钥安全解决密钥的真随机性、交换分发、使用、存储与更新等问题;内容安全解决标的的CIA,及可信、完整与可用问题。身份安全是入口,密钥安全是根基,内容安全是归宿。
被动安全通常与密码技术无关,主动安全则处处是密码技术。
2、主动安全需要体系化
既有信息安全解决方案都是明密或密明转换,密文不可直读,不利于传播与管控;加密重点体现的是基于算法的变换,应对全程全网的安全风险,实现安全闭环。
主动安全技术通过体系化,全面解决加密安全、闭环安全与管控安全,实现主动安全的普及性应用。
3、CCS主动安全技术体系
CCS主动安全技术体系的目标是支撑主动安全概念落地,解决当前国内外在信息安全产品化过程中存在的普适性、完整性与体系性问题。
第一个C指的是加密安全,包括身份安全技术、密钥安全技术与内容安全技术;加密涉及IBE与PKI身份安全技术,传统的PKI身份安全技术通过预发行,将碳基身份特征(指纹、虹膜、PIN码、代号等)关联PKI私钥,基于PKI公钥驱动会话密钥交换,确保密文安全。如果PKI公钥在交换过程被中间人攻击,将导致身份安全、密钥安全与内容安全全线崩溃;IBE技术解决了公钥交换难题,但KGC参数的安全性以及签名验签、加密解密的效率等问题也随之出现。CCS主动安全技术体系,将PKI与IBE做了有机融合,IBE作为身份导入,然后由IBE的私钥驱动PKI的公钥交换,私钥的产生、存储、使用等环节,引入了普适性安全硬件载体的支撑,安全等级可达到核密水平。
第二个C指的是闭环安全,解决了信息输入、处理、通信、阅读、存储与分享等全程全网的安全。现有输入法都是基于云AI,AI识别过程中,用户内容暴露在端侧、信道与云侧。引入安全输入法,尽可能在端侧解决所有输入需求,确保用户内容在端侧与信道上的安全;处理环节,将会话密钥提取与明文加密放在普适性硬安全载体,避免私钥与会话密钥泄露;通信环节,唯有端到端加密方能适应全球互联互通的大场景,传统的专网专线专机专用思维与万物互联的大背景是背道而驰;阅读环节,在应用内集成专用阅读器,或使用沙箱技术做必要的安全隔离;存储环节,不是简单的密存密取,它与阅读分享密切相关,要兼顾阅读与分享的效率,因此引入二级密存技术,第一层方便阅读与分享,第二层实现完整的内容安全;分享安全要解决受众的指向,分享安全不同于群组安全,其核心技术须解决身份密钥驱动下的会话密钥安全。
第三个S指的是引文(隐文),基础是隐写技术。引文要解决密文在流通过程中的识别(索引)与密文的管控。引文视为索引,看似以明文形态出现,实则用到了众多复杂的隐写技术,既要保证隐写内容在不同通信信道与应用信道上的安全,还要确保引文本身安全。同时,引文也视为一种信令,基于这种网络化信令,实现密文定向发送、阅后即焚与不限时撤回,从而满足密文传播的管控。
CCS主动安全技术体系是一个有机整体,CCS之间由内部身份安全来驱动,确保CCS三大安全之间是贯通的,不可篡改、伪造或截取。
4、CCS主动安全技术体系应用场景
CCS主动安全技术体系已成功应用在军、政、民、商等多个领域,其典型案例之一即解决所有第三方社交、IM与移动OA安全的小戈堡垒。