小(xiǎo)赢說(shuō)：
     “信陵君竊符救趙”的(de)故事(shì)脍炙人(rén)口， 讓很(hěn)多(duō)人(rén)知(zhī)道(dào)了(le)虎符。虎符是(shì)中國(guó)最早的(de)加密和(hé)認證用(yòng)工(gōnεg)具。在當今信息時(shí)代，也(yě)有(yǒu)一(yī)種為(wèi)通(tōng)訊信息加密和(hé)認證的(de)“虎符”為(♣wèi)我們的(de)信息安全保駕護航。今天小(xiǎo)赢就(jiù)帶您一(yī)探信息時(shí)代“虎符”的<(de)奧秘！

本文(wén)涉及第二十一(yī)屆中國(guó)專利金(jīn)獎獲獎項目
專利号：ZL200810150951.1
專利名稱：一(yī)種實現(xiàn)實體(tǐ)的(de)公鑰獲取、證書(shū)驗證及鑒别的(de)方法
專利權人(rén)：西鹹新區沣東新城叢袁興網絡科技工作室

1. 虎符
虎是(shì)森(sēn)林(lín)之王，象征著(zhe)威嚴和(hé)兇猛。中國(guó)古代調兵(bīng)遣将用(yòng)的(de)兵(bīng)符采用(yòng)虎的(de)形狀，古代人≠(rén)對(duì)權威的(de)樸素表達。

央視(shì)《國(guó)家(jiā)寶藏》欄目就(jiù)曾向觀衆展示了(le)珍藏在陝西(xī')曆史博物(wù)館的(de)一(yī)件(jiàn)文(wén)物(wù)“杜虎符”，虎身(shēn)上(shàng)有(yǒu)銘文(wén)40字。通(tōng)常右半符存于★君王手裡(lǐ)，左半符存于杜地(dì)将軍處。

 

調兵(bīng)時(shí)君王派使者拿(ná)右半符前往将軍處傳達命令，左右相(xiàng)合，才能(néng)傳達君王命令。可‍(kě)以說(shuō)是(shì)“認符不(bù)認人(rén)”。

虎符在使用(yòng)時(shí)左右半符形狀、銘文(wén)、材質等要(yào)進行(xíng)嚴格的(de)比對(duì)。是(shì)最早的(de)加密和(hé)認證的(d€e)工(gōng)具。（注：從(cóng)漢朝到(dào)隋朝，一(yī)般仍沿用(yòng)虎符。唐代改用(yòng)“魚符”、“龜符”，宋代又(yòu)恢複使用(yòng) 虎符，元朝使用(yòng)虎頭牌，之後虎符逐漸退出曆史舞(wǔ)台。）

如(rú)今在信息時(shí)代，通(tōng)信手段更加豐富、便捷；但(dàn)加密和(hé)認證的(de)需求仍然存在。那(nà)麽如(rú)何才能(néng)打造信息時(shí)代的(de)α虎符呢(ne)？
 
2.來(lái)自(zì)中國(guó)的(de)WLAN安全标準
目前， 我們幾乎每天都(dōu)會(huì)通(tōng)過無線WLAN上(shàng)網。目前全球僅有(yǒu)兩個(↓gè)WLAN安全标準，一(yī)個(gè)是(shì)IEEE 802.11i(WIFI采用(yòng)的(de)标準)，另一(yī)個(gè)是(shì)中國(guó)自(zì)主提出并​擁有(yǒu)知(zhī)識産權的(de)WAPI标準。

目前WIFI采用(yòng)的(de)是(shì)不(bù)對(duì)等的(de)鑒别機(jī)制(zhì)，接入點隻在終端和(hé)可(kě)信第三方實體(tǐ)之間(jiān)透傳消息，接入<點沒有(yǒu)參與鑒别過程，其默認接入點是(shì)安全的(de)。其本質是(shì)終端與可(kě)信第三方之間(jiān)的(de‍)“二元鑒别”。這(zhè)導緻WIFI在接入機(jī)制(zhì)方面存在嚴重的(de)安全問(wèn)題，用(yλòng)戶無法鑒别接入網絡是(shì)否合法。（例如(rú)，僞造接入點導緻用(yòng)戶接入釣魚網絡）

WAPI最大(dà)的(de)優點是(shì)安全性高(gāo)，這(zhè)歸功于其采用(yòng)了(le)三元對(duì)等鑒别TePA（中文(wén)名：虎符）機(jī)制(≥zhì)。本項金(jīn)獎專利就(jiù)是(shì)虎符機(jī)制(zhì)中的(de)一(yī)項鑒别技(jì)術(shù♦)。

 

三元對(duì)等鑒别就(jiù)是(shì)引入可(kě)信第三方實體(tǐ)TP，使實體(tǐ)A和(hé)B相(xiàng)互确認身(shēn)份。實體(tǐ)A和(hé)實體(tǐ)B相★(xiàng)對(duì)于TP是(shì)對(duì)等實體(tǐ)。對(duì)等就(jiù)是(shì)€地(dì)位是(shì)一(yī)樣的(de)，誰也(yě)沒有(yǒu)特權。（如(rú)下(xià)圖所示）

 

 ZL200810150951.1說(shuō)明(míng)書(shū)附圖

在終端嘗試接入網絡的(de)場(chǎng)景下(xià)，終端無法從(cóng)網絡中的(de)可(kě)信第三方TP獲得(de)接入點的(de)憑證，因為(wèi)接入控制(zh​ì)功能(néng)要(yào)求終端完成鑒别之後才能(néng)訪問(wèn)網絡。

 

舉個(gè)類似的(de)例子(zǐ)，小(xiǎo)明(míng)希望和(hé)你(nǐ)建立商業(yè)合作(zuò)，可(kě)你∞(nǐ)不(bù)能(néng)确定他(tā)是(shì)否值得(de)信賴。你(nǐ)完全信賴總裁，如(rú)果總裁跟你(nǐ)說(shuō)小(xi♠ǎo)明(míng)值得(de)信賴，你(nǐ)就(jiù)會(huì)建立合作(zuò)。可(kě)現(xiàn)在你(nǐ)聯系不(bù)上(shàng‍)總裁，而隻有(yǒu)小(xiǎo)明(míng)能(néng)聯系到(dào)總裁。怎樣才能(néng)使總裁的(de)真實意見(jiàn)傳達到(dào)你(nǐ)，讓你(nǐ)和®(hé)小(xiǎo)明(míng)彼此互相(xiàng)信任呢(ne)？

原因之二，鑒别過程與公鑰的(de)獲取分(fēn)割成兩個(gè)過程，協議(yì)執行(xíng)效率差，并且也♠(yě)容易引起不(bù)安全的(de)因素。

3.金(jīn)獎專利技(jì)術(shù)方案詳解
該專利的(de)主要(yào)貢獻在于提出一(yī)種三元對(duì)等鑒别TePA機(jī)制(zh™ì)中的(de)方法，能(néng)夠實現(xiàn)實體(tǐ)A(eg:接入點)和(hé)實體(tǐ)B（eg:終端）之間(jiān)的(de)單向鑒别和(¶hé)雙向鑒别。鑒别與公鑰的(de)獲取融合在一(yī)個(gè)協議(yì)中完成。

實體(tǐ)A和(hé)實體(tǐ)B之間(jiān)經過5步消息交互就(jiù)能(néng)實現(xiàn)雙向鑒别。這♠(zhè)5步消息構成一(yī)個(gè)整體(tǐ)，不(bù)可(kě)分(fēn)割，具有(yǒu¥)原子(zǐ)性，其中任何一(yī)步失敗都(dōu)将導緻雙向鑒别過程的(de)失敗。（注，程序的(de)原子(zǐ)性是(shì)指：整個(gè)程序中的(deσ)所有(yǒu)操作(zuò)，要(yào)麽全部完成，要(yào)麽全部不(bù)完成，不(bù)可(kě)能(néng)停止在中間(jiā$n)某個(gè)環節）

 

ZL200810150951.1說(shuō)明(míng)書(shū)附圖

簡單地(dì)講，第一(yī)、二步，A和(hé)B交互身(shēn)份。第三步，A向可(kě)信第三方TPσ請(qǐng)求鑒别A和(hé)B的(de)身(shēn)份并返回鑒别結果；第四步，可(kě)信第三方TP向A返回對(duì)A的(de)身(shēn)份鑒别結果和(hé‍)對(duì)B的(de)身(shēn)份鑒别結果。A完成對(duì)B的(de)鑒别。第五步，A向B轉發TP★對(duì)A的(de)鑒别結果，B完成對(duì)A的(de)鑒别。A和(hé)B的(de)身(shēn)份可(kě)以為(wèi)它們的(de)數(shù)​字證書(shū)或數(shù)字證書(shū)标識。在這(zhè)個(gè)過程裡(lǐ)，還(hái)采用(yòng)随機(jī)數(shù)和(hé)簽名的(de) 方式來(lái)保證鑒别過程的(de)安全性。

實際的(de)鑒别過程比較複雜(zá)，小(xiǎo)赢嘗試用(yòng)之前的(de)例子(zǐ)來(lái)描述這(zhè)個(gè)鑒别✘過程：你(nǐ)、小(xiǎo)明(míng)、總裁分(fēn)别使用(yòng)黑(hēi)、白(bái)、黃(huáng)三種盒子(zǐ)，每個(gè)人(rén)在自(zì)☆己的(de)盒子(zǐ)裡(lǐ)可(kě)以放(fàng)東(dōng)西(xī)，别人(rén)α可(kě)以用(yòng)對(duì)應顔色的(de)鑰匙打開(kāi)，如(rú)果東(dōng)西(xī)保持原樣，盒子(zǐ)‌可(kě)以關閉，如(rú)果東(dōng)西(xī)被掉包，則盒子(zǐ)關不(bù)上(shàng)。你(nǐ)和(hé)小(xiǎ₩o)明(míng)擁有(yǒu)黃(huáng)鑰匙。

鑒别過程為(wèi)：第一(yī)步、小(xiǎo)明(míng)将他(tā)的(de)身(shēn)份證号，他(tā)随機(jī)&選的(de)數(shù)字5告訴你(nǐ)；第二步，你(nǐ)将你(nǐ)的(de)身(shēn)份證号、你(nǐ)随機(jī)選的(de)數(shù)字3告訴小(xiǎo)明(m íng)，你(nǐ)還(hái)将數(shù)字3、5和(hé)你(nǐ)倆的(de)身(shēn)份★證号放(fàng)入黑(hēi)盒子(zǐ)後交給小(xiǎo)明(míng)。第三步，小(xiǎo)明(míng)聯系總裁，總裁尋找你(nǐ)倆相(xiàng)應顔色的≈(de)鑰匙；第四步，如(rú)果找到(dào)，總裁給小(xiǎo)明(míng)發兩個(gè)分(fēn)别放(fàng)₹有(yǒu)黑(hēi)白(bái)鑰匙的(de)黃(huáng)盒子(zǐ),同時(shí)把黑(hēi)白(bái)鑰匙也(yě)發給小(xiǎo)明(míng)。小 (xiǎo)明(míng)打開(kāi)黃(huáng)盒子(zǐ)，取出黑(hēi)鑰匙，将總裁給的(de)黑(hēi)鑰匙和(hé)取出的(de)黑(hēi)鑰匙比對(d$uì)，比對(duì)一(yī)緻則用(yòng)黑(hēi)鑰匙再打開(kāi)黑(hēi)盒子(zǐ)，看(kàn)看♠(kàn)裡(lǐ)面是(shì)不(bù)是(shì)放(fàng)了(le)5和(hé)小(xiǎo)明(míng)的(de)身(shēn)份證号，如(rú)果是™(shì)，小(xiǎo)明(míng)知(zhī)道(dào)你(nǐ)值得(de)信賴。第五步，小(xiǎo)明(míng)将3和(hé)你(nǐ¥)的(de)身(shēn)份證号放(fàng)入白(bái)盒子(zǐ)，連同另一(yī)個(gè)黃(huáng)盒子(zǐ)以及一(yī)把白 (bái)鑰匙交給你(nǐ)，你(nǐ)用(yòng)黃(huáng)鑰匙打開(kāi)黃(huáng)盒子(zǐ)取出白(bái)鑰匙，将取出的(de)白(bái)鑰匙與小(xiǎo)明(míng≈)給的(de)白(bái)鑰匙比對(duì)，比對(duì)一(yī)緻則用(yòng)白(bái)鑰匙打開(kāi≥)白(bái)盒子(zǐ)，看(kàn)看(kàn)裡(lǐ)面是(shì)不(bù)是(shì)放(fàng)了(le)3和(hé)你(nǐ)的(de)身(shēn)份證π号，如(rú)果是(shì)，則小(xiǎo)明(míng)值得(de)信賴。

在這(zhè)過程中，在盒子(zǐ)裡(lǐ)放(fàng)東(dōng)西(xī)就(jiù)相(xiàng)當于簽名。如(rú)果任何一(yī)個(gè)盒子(zǐ)打不(bù)開(kāi)或者∏內(nèi)容比對(duì)不(bù)正确或者盒子(zǐ)關不(bù)上(shàng)，則雙向鑒别失敗。如(rú)果總裁沒有(yǒu)找到(dào)白(bái)鑰匙，黃(huáng≤)盒子(zǐ)裡(lǐ)是(shì)空(kōng)的(de)，你(nǐ)自(zì)然也(yě)打不(bù)開≈(kāi)白(bái)盒子(zǐ)，鑒别失敗。如(rú)果小(xiǎo)明(míng)僞造一(yī)個(gè)鑰匙放(fàng)到(dào)黃(huáng)盒子(zǐ)÷，那(nà)麽他(tā)關不(bù)上(shàng)黃(huáng)盒子(zǐ)，鑒别也(yě)失敗。

通(tōng)過随機(jī)數(shù)的(de)産生(shēng)和(hé)校(xiào)驗保證鑒别過程的(de)唯一(yī)性和(hé)時(shí)效性，使用(yòng)簽名保證鑒别的α(de)安全性。該方案能(néng)夠保證合法用(yòng)戶接入合法網絡，适用(yòng)于用(yòng)戶-接入點-服務器(qì)的(de)組網結構，•比WIFI更高(gāo)效、更安全。

 

在應用(yòng)層面，目前北(běi)京大(dà)興國(guó)際機(jī)場(chǎng)WAPI無線網絡已經投入使用(yòng)，其航站(zhàn)樓業(yè)務區(↕qū)域實現(xiàn)了(le)WAPI全覆蓋。即将舉辦的(de)北(běi)京冬奧會(huì)，WAP←I也(yě)将覆蓋多(duō)個(gè)比賽場(chǎng)地(dì)。未來(lái)，中國(guó)标準的(de)WAPI将更多(duō)的(de)進入到(dào)我們的(deε)生(shēng)活。

4. 金(jīn)獎專利中的(de)虎符機(jī)制(zhì)
本項金(jīn)獎專利的(de)專利權人(rén)是(shì)西鹹新區沣東新城叢袁興網絡科技工作室，是(shì)中國(guó)寬帶無線IP标準工(gōng)作(zuò)組和(hé)WA>PI産業(yè)聯盟的(de)發起成員(yuán)。

該公司于2000年(nián)9月(yuè)在西(xī)安創立，經過十多(duō)年(nián)的(de)創<新實踐，西(xī)電(diàn)捷通(tōng)在技(jì)術(shù)創新和(hé)标準化(huà)方面取得(de)了(le)顯>著的(de)成果，下(xià)表列出有(yǒu)代表性的(de)一(yī)部分(fēn)。

值得(de)一(yī)提的(de)是(shì)：ISO/IEC 9798-3：1998/Amd.1:2010中，虎符T★ePA機(jī)制(zhì)中三元對(duì)等用(yòng)戶側發起雙向實體(tǐ)鑒别、三元對(duì)等網絡側發起雙向實體(tǐ)鑒别兩項技(jì)術(shù)被納入，這‍(zhè)是(shì)中國(guó)在信息安全領域的(de)第一(yī)個(gè)國(guó)際标準。2017年(nián)4月(yuè)，該标準項目進入國(guó)際标準草(c★ǎo)案DIS階段，其中包含虎符機(jī)制(zhì)中的(de)另外(wài)三項技(jì)術(shù)：三元對(duì)等多(duō)可(kě)信第三方實體(tǐ)↓鑒别、三元對(duì)等用(yòng)戶側發起單向實體(tǐ)鑒别、三元對(duì)等網絡側發起單向實體(tǐ)鑒别，使得(de)虎符機(jī)制(zhì)能(néng)夠應對(du≥ì)更多(duō)場(chǎng)景的(de)需要(yào)。

西(xī)電(diàn)捷通(tōng)在虎符機(jī)制(zhì)上(shàng)擁有(yǒu)若幹項專利，小(xiǎo)赢列出有(yǒu)代表性的(de)一(yī)些(x iē)：

 

展望未來(lái)，我們要(yào)不(bù)斷進行(xíng)技(jì)術(shù)創新，更多(duō)地(dì)參與國(gu​ó)際化(huà)标準的(de)制(zhì)定，擁有(yǒu)更多(duō)的(de)核心專利，這(zhè)個(δgè)過程不(bù)能(néng)僅僅依靠幾家(jiā)企業(yè)的(de)努力，還(hái)需要(yào)你(nǐ)我他(tā)的(de)共同參≠與。讓我們一(yī)起成為(wèi)信息時(shí)代的(de)虎符締造者和(hé)守護者。

原文(wén)鏈接：https://mp.weixin.qq.com/s/UdXSaGtxk5XGBMr9tEfjgg

報(bào)道(dào)時(shí)間(jiān)：2020年(nián)8月(yuè)11日(rì)