Qzone

微博

微信

安防创新百人会丨罗燕京：抓住互联网的漏洞，撞上数字认证的“风口”

科技亿欧网 2018-04-27 17:48

黑客、断网、十多万台智能设备被入侵，数百个网站无法访问……2016年，一场堪称“网络911”的美国东海岸大断网事件，让美国陷入了一场噩梦。

2016年10月21日，黑客对美国互联网域名解析服务商DYN进行DDoS攻击入侵，导致美国东海岸出现大面积互联网断网事件。全世界超过十万台智能硬件设备被控制，Twitter、亚马逊、华尔街日报等数百个重要网站无法访问，美国主要公共服务、社交平台、民众网络服务陷入一片瘫痪……

这次堪称“网络911”的大断网事件，让享受网络世界和防火墙便捷的网民们，突然深刻意识到“网络并不安全”。

网络安全专家们也表示，此次黑客袭击，让全世界对物联网安全的重要性认知上一个层次，也成为了网络安全行业的一通“叫醒电话”。

而对于黑客攻击、互联网的安全漏洞，其实早有企业在关注更高层次的安全防护。信长城就是其中一家。

北京信长城成立于2010年，以标识认证密钥体系CPK和PKI认证技术为基础，设计并实现了轻量级、超大规模、高效率、便捷实施、低成本、全场景的高等级安全体系。

经过8年技术积累，信长城形成了广义IOT时代的全新架构和完整解决方案，覆盖物联网、安防、车联网、工业互联网等领域。抓住互联网时代的漏洞，撞上数字认证的“风口”

2017年3月，国外媒体Bleeping Computer报道，对无线IP摄像头进行的随机取样调查中，对相对低级的安全漏洞进行深入挖掘后发现了7处安全漏洞，市面上超过1250款型号将近20万台设备都存在被黑客入侵的风险。

此前一个网络安全技术网站也表明，“我们披露了一些未曝光的摄像头漏洞，黑客能够利用这些类型的漏洞，获取那些能够通过网络访问的摄像头控制权限。数以万计的摄像头可以通过网络访问，他们涉及的场合有公共交通、家庭、商业场所、酒店、赌博场所、银行、监狱。”

而对于这些，传统的安防软件能做的很有限。

作为一个信息安全领域的老兵，信长城创始人&CEO罗燕京对这一点感知尤深。

传统的互联网防火墙等安全设备，是基于网络协议，对不符合网络协议，操作系统规则的程序进行识别、运营环境监测。更相当于守门员的角色，侧重于对网络环境的行为鉴别，是事后防控，却疏于对自身本质安全和身份认证能力的提升。

“黑客攻击一台设备，往往从登录开始，分析协议（因为协议都是一样的），探寻漏洞，加以利用，进而指令控制，实现全面攻陷。”罗燕京说道。

因而，早早看到传统网络安全存在的漏洞，出身广电视频领域，担任过多项国家级、军级科技项目负责人的罗燕京，从1999年就开始研究对网络安全保障更高等级的公钥密码体制技术PKI和CPK体系（组合公钥密码体制）。

相对于传统的网络安全防护，第三方CA体系，基于标识认证的CPK组合公钥密码体制，其唯一授权的具有身份标识的数字证书进行签名验证与加解密应用，实现端到端的直接认证，简单高效，尤其适用于安防领域（物联网场景）。

但CPK组合公钥体系，期间的技术研发和产品化过程也很艰难。

“这个行业门槛很高，前期投入时间很长，对于是否能够研制出成熟可靠的安全产品体系是未知的，没有兴趣和专注的情节做支撑是根本做不到的。”

罗燕京数了数手指，当今做基于标识认证特别是CPK组合公钥体系的还不到十家，比起很多市场泡沫泛滥的行业来说，很多企业不会选择甚至还不知道基于标识认证这一细分领域。

经过漫长的研发过程，技术终于逐渐成熟。罗燕京于2010年成立了信长城公司，2014年信长城的CPK认证体系正式进入市场应用。目前信长城标识密钥证书和安全SDK已经支持包含Windows、Android、iOS等在内的多种操作系统，及包含X86、ARM等在内的多种CPU架构。

在国内，商用之路与研发之路一样也走得并不容易。

针对视频监控行业，信长城最早在2015、2016年提出植入数字证书体系，构建安全安防产品体系，2016年与宇视等企业达成战略合作。

但在与宇视科技合作之前，罗燕京也曾尝试和其他安防巨头有过联系。但安防企业们虽也面临诸多视频网络的安全问题，给出的态度却是，“技术很好，但目前还没有甲方提出类似的需求……”

在甲方明确提出要求之前，安防企业们并不准备采用最新的安全技术来实现安防产品自身的安全。这成了罗燕京为数字证书打开市场的第一个障碍。

其实市场未必没有这样的需求，只是也许市场和安防厂商们本身还没有完全意识到。

在罗燕京看来，2016年的北美大断网事件则刚好担当了这个“叫醒”市场的角色。十多万台智能设备被入侵、数百个网站无法访问、持续6个小时……这给网络安全市场敲了个警钟，可谓振聋发聩。

而物联网在2016年的快速发展以及2017年11月，国家颁布GB35114规范，提出公共安全视频监控产品加装的数字证书要成为标配，也都为物联网，特别是安防监控领域数字证书市场加了把火。

谈到这些，罗燕京不无喜色，“这大概就是到了风口上”。

这家从研发到商用，一步步靠实力说话的公司，大概没想到，自己有一天也会撞到了“风口”上。让数据少跑两条线，CPK实现端到端直接认证

但撞到了数字认证这一“风口”，对罗燕京来说，也许还不是最值得骄傲的。

对一家以标识认证密钥体系CPK为核心的公司来说，技术和业务总是其最好的谈资。

而在介绍CPK之前，还要提一提PKI数字认证这一前辈。

同属于数字认证这一家族，由于最早实现商用，PKI自然也是数字认证领域的佼佼者。

PKI公钥密码体制，依赖第三方的可信任机构（认证中心，即CA），将用户的公钥实现集中管理和提供在线支持，为用户进行数字认证提供服务。

但随着物联网的迅速发展，用户量越来越大、各种终端类型越来越多，各类网络协议也逐渐组合应用，操作系统多样化，CPU架构多样化，PKI这种强中心化的认证服务方式逐渐达到负荷瓶颈，限于计算资源需求较多，系统平台支持较少等原因，无法适配物联网场景的应用需求。

于是，我国自主研制的、证书应用去中心化的、基于标识认证的CPK就应运而生，并在2007年成为国际规范。

CA证书应用去中心化，就意味着CA中心所具有的庞大证书库和在线支持功能释放给每个用户（终端）本身。用户在认证的过程中可以少跑两条线，也规避了CA认证中心因用户数量过多而成本剧增，在线支持存在瓶颈和瘫痪的风险。

“CA认证中心给每个用户一个48KB大小的公钥矩阵，这个公钥矩阵可以支持10的48-77次方个用户证书规模，并且可以进行本地认证识别。便捷性和成本低是其最大优点。”罗燕京解释道。

同时，少跑了两条线的CPK，还具有轻量化密钥系统、数据加密、端到端直接认证、离线密钥交换等特点。

而在物联网领域，尤其是安防监控视频领域，这些优势则有着明显的体现。

传统的视频监控系统，主要有外部黑客入侵和内部人员泄密两个问题。传统的视频输出的是默认用户名和弱口令或者直接裸传视频，黑客可以轻易破解口令；另外，视频传输中的协议漏洞和技术后门等也为黑客提供了机会。

针对视频领域的信息泄露，信长城从身份认证和视频传输加密两个环节解决问题。

一是身份认证问题，对于传统摄像头采用是默认用户名和弱口令登录方式，信长城对其实现数字证书认证登录；二是摄像头视频传输到后端的过程中，对视频数据进行金融级的签名和加密。

在身份认证和签名验签，加解密应用中，可以将数字证书下载到预先接入到摄像头等终端设备中的软盾或者TF-KEY卡中使用。

罗燕京解释道，“首先要识别你，确定你是你，然后确保传输给你的过程中，加密视频不会被泄露或者篡改，可以安全传输给你。”

由此，可以想象视频加密传输的全过程：将密钥证书搭载到软盾或者TF-KEY卡上，装入视频设备上；之后链接、登录、传输的视频数据等就能基于数字证书、而不是黑客能轻易破解的弱口令进行身份认证和加密传输；最后数据传输到终端上，这些数据也不是任何人通过用户名和密码就能读取，只有对应的授权接受用户通过自己的数字证书经过身份认证后才能正常应用。

借助数字证书这一解决方案，人和数据间，人和设备间，设备与设备间，似乎有了种黑客也无法入侵的默契。打赢数字战争，越AI，越要CPK

数字证书最大的特点是可以解决身份认证的问题，授权的人才能操作，便于追责。

“越AI，越要身份认证，因为联网了嘛，一荣俱荣、一损俱损。有安全防护，才能解决AI的弊端。”罗燕京谈到，AI冲锋在前，打造智能，而CPK的认证体系则隐居其后，构筑安全基础，打一场“数字智能战争”。

而罗燕京想要进入的还不仅视频领域。“让物联网的各种智能终端都有适配信长城的标识数字证书应用”是他更大的愿景。罗燕京想为物联网、车联网及涉及的各个领域，都打造一个基于CPK标识认证体系完整的“防火墙”。

“国内做数字证书的也就小几十家，做CPK的一只手可以数的过来。”在这条产业链中，有做芯片的、有做u盾的、有做数字证书的。而信长城，“除了芯片不做，其他都做了，我们做的很深。”

在业内，这也是信长城能够与宇视、百度、亚信安全等安防、云服务、AI、通信、安全行业的巨头合作的原因。“这需要很长的周期，从2014年开始有实际成熟的项目，一直打磨到现在。”

基于应用的功能性系统，信长城以“安全基础设施提供商”定位，罗燕京坦言，在上下游，信长城以软件为主，大型硬件设备会与其他厂商合作。

精工、细活。相对于“安防+AI”的浪潮下，安防领域不断涌现的AI新秀与安防巨头拼杀的场景，数字认证这一领域目前的入局者还并不多。

行业壁垒高，而且需要长时间的技术开发和业务打磨，想要一下子进入行业并占据“风口”显然并不现实。“而安防巨头们目前也没有这个技术来做”。

而相对于市场竞争，罗燕京认为，市场对数字证书及网络安防的认知程度似乎更值得考量。

传统的安防业务已经慢慢得到重视，但网络上的、数据上的安防却容易成为人们忽视的一个领域。

“越是联网，越是AI，技术对于网络的依赖越强，那么网络安防的需求越重要。”尤其在AI领域，AI或者机器人没有办法判断自我的身份，它只依赖于性能。如果它不能确定自我身份，而加密技术也不能确定。那么AI也可能被用来攻击原本的网络。而网络一旦崩溃，可以说整个业务场景全都无法运行了，将会是毁灭性的……