駭客、斷網、十多萬台智慧設備被入侵, 數百個網站無法訪問……2016年, 一場堪稱“網路911”的美國東海岸大斷網事件, 讓美國陷入了一場噩夢。
2016年10月21日, 駭客對美國互聯網功能變數名稱解析服務商DYN進行DDoS攻擊入侵, 導致美國東海岸出現大面積互聯網斷網事件。 全世界超過十萬台智慧硬體設備被控制, Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問, 美國主要公共服務、社交平臺、民眾網路服務陷入一片癱瘓……
這次堪稱“網路911”的大斷網事件, 讓享受網路世界和防火牆便捷的線民們, 突然深刻意識到“網路並不安全”。
網路安全專家們也表示, 此次駭客襲擊, 讓全世界對物聯網安全的重要性認知上一個層次, 也成為了網路安全行業的一通“叫醒電話”。
而對於駭客攻擊、互聯網的安全性漏洞, 其實早有企業在關注更高層次的安全防護。 信長城就是其中一家。
北京信長城成立於2010年,
經過8年技術積累, 信長城形成了廣義IOT時代的全新架構和完整解決方案, 覆蓋物聯網、安防、車聯網、工業互聯網等領域。
抓住互聯網時代的漏洞, 撞上數字認證的“風口”2017年3月, 國外媒體Bleeping Computer報導, 對無線IP攝像頭進行的隨機取樣調查中, 對相對低級的安全性漏洞進行深入挖掘後發現了7處安全性漏洞, 市面上超過1250款型號將近20萬台設備都存在被駭客入侵的風險。
此前一個網路安全技術網站也表明, “我們披露了一些未曝光的攝像頭漏洞, 駭客能夠利用這些類型的漏洞, 獲取那些能夠通過網路訪問的攝像頭控制許可權。
而對於這些, 傳統的安防軟體能做的很有限。
作為一個資訊安全領域的老兵, 信長城創始人&CEO羅燕京對這一點感知尤深。
傳統的互聯網防火牆等安全設備, 是基於網路通訊協定, 對不符合網路通訊協定, 作業系統規則的程式進行識別、運營環境監測。 更相當於守門員的角色, 側重於對網路環境的行為鑒別, 是事後防控, 卻疏於對自身本質安全和身份認證能力的提升。
“駭客攻擊一台設備, 往往從登錄開始, 分析協定(因為協定都是一樣的), 探尋漏洞, 加以利用, 進而指令控制,
因而, 早早看到傳統網路安全存在的漏洞, 出身廣電視頻領域, 擔任過多項國家級、軍級科技項目負責人的羅燕京, 從1999年就開始研究對網路安全保障更高等級的公開金鑰密碼體制技術PKI和CPK體系(組合公開金鑰密碼體制)。
相對于傳統的網路安全防護, 協力廠商CA體系, 基於標識認證的CPK組合公開金鑰密碼體制, 其唯一授權的具有身份標識的數位憑證進行簽名驗證與加解密應用, 實現端到端的直接認證, 簡單高效, 尤其適用于安防領域(物聯網場景)。
但CPK組合公開金鑰體系, 期間的技術研發和產品化過程也很艱難。
“這個行業門檻很高, 前期投入時間很長, 對於是否能夠研製出成熟可靠的安全產品體系是未知的,
羅燕京數了數手指, 當今做基於標識認證特別是CPK組合公開金鑰體系的還不到十家, 比起很多市場泡沫氾濫的行業來說, 很多企業不會選擇甚至還不知道基於標識認證這一細分領域。
經過漫長的研發過程, 技術終於逐漸成熟。 羅燕京于2010年成立了信長城公司, 2014年信長城的CPK認證體系正式進入市場應用。 目前信長城標識金鑰委付和安全SDK已經支持包含Windows、Android、iOS等在內的多種作業系統, 及包含X86、ARM等在內的多種CPU架構。
在國內, 商用之路與研發之路一樣也走得並不容易。
針對視頻監控行業, 信長城最早在2015、2016年提出植入數位憑證體系, 構建安全安防產品體系, 2016年與宇視等企業達成戰略合作。
但在與宇視科技合作之前,羅燕京也曾嘗試和其他安防巨頭有過聯繫。但安防企業們雖也面臨諸多視頻網路的安全問題,給出的態度卻是,“技術很好,但目前還沒有甲方提出類似的需求……”
在甲方明確提出要求之前,安防企業們並不準備採用最新的安全技術來實現安防產品自身的安全。這成了羅燕京為數位憑證打開市場的第一個障礙。
其實市場未必沒有這樣的需求,只是也許市場和安防廠商們本身還沒有完全意識到。
在羅燕京看來,2016年的北美大斷網事件則剛好擔當了這個“叫醒”市場的角色。十多萬台智慧設備被入侵、數百個網站無法訪問、持續6個小時……這給網路安全市場敲了個警鐘,可謂振聾發聵。
而物聯網在2016年的快速發展以及2017年11月,國家頒佈GB35114規範,提出公共安全視頻監控產品加裝的數位憑證要成為標配,也都為物聯網,特別是安防監控領域數位憑證市場加了把火。
談到這些,羅燕京不無喜色,“這大概就是到了風口上”。
這家從研發到商用,一步步靠實力說話的公司,大概沒想到,自己有一天也會撞到了“風口”上。
讓資料少跑兩條線,CPK實現端到端直接認證但撞到了數字認證這一“風口”,對羅燕京來說,也許還不是最值得驕傲的。
對一家以標識認證金鑰體系CPK為核心的公司來說,技術和業務總是其最好的談資。
而在介紹CPK之前,還要提一提PKI數字認證這一前輩。
同屬於數位認證這一家族,由於最早實現商用,PKI自然也是數位認證領域的佼佼者。
PKI公開金鑰密碼體制,依賴協力廠商的可信任機構(認證中心,即CA),將用戶的公開金鑰實現集中管理和提供線上支援,為使用者進行數位認證提供服務。
但隨著物聯網的迅速發展,用戶量越來越大、各種終端類型越來越多,各類網路通訊協定也逐漸組合應用,作業系統多樣化,CPU架構多樣化,PKI這種強中心化的認證服務方式逐漸達到負荷瓶頸,限於計算資源需求較多,系統平臺支援較少等原因,無法適配物聯網場景的應用需求。
於是,我國自主研製的、證書應用去中心化的、基於標識認證的CPK就應運而生,並在2007年成為國際規範。
CA證書應用去中心化,就意味著CA中心所具有的龐大證書庫和線上支援功能釋放給每個使用者(終端)本身。用戶在認證的過程中可以少跑兩條線,也規避了CA認證中心因用戶數量過多而成本劇增,線上支援存在瓶頸和癱瘓的風險。
“CA認證中心給每個用戶一個48KB大小的公開金鑰矩陣,這個公開金鑰矩陣可以支援10的48-77次方個使用者證書規模,並且可以進行本地認證識別。便捷性和成本低是其最大優點。”羅燕京解釋道。
同時,少跑了兩條線的CPK,還具有輕量化金鑰系統、資料加密、端到端直接認證、離線金鑰交換等特點。
而在物聯網領域,尤其是安防監控視頻領域,這些優勢則有著明顯的體現。
傳統的視頻監控系統,主要有外部駭客入侵和內部人員洩密兩個問題。傳統的視頻輸出的是預設使用者名和弱口令或者直接裸傳視頻,駭客可以輕易破解口令;另外,視頻傳輸中的協定漏洞和技術後門等也為駭客提供了機會。
針對視頻領域的資訊洩露,信長城從身份認證和視頻傳輸加密兩個環節解決問題。
一是身份認證問題,對於傳統攝像頭採用是預設使用者名和弱口令登錄方式,信長城對其實現數位憑證認證登錄;二是攝像頭視頻傳輸到後端的過程中,對視頻資料進行金融級的簽名和加密。
在身份認證和簽名驗簽,加解密應用中,可以將數位憑證下載到預先接入到攝像頭等終端設備中的軟盾或者TF-KEY卡中使用。
羅燕京解釋道,“首先要識別你,確定你是你,然後確保傳輸給你的過程中,加密視頻不會被洩露或者篡改,可以安全傳輸給你。”
由此,可以想像視頻加密傳輸的全過程:將金鑰委付搭載到軟盾或者TF-KEY卡上,裝入視頻設備上;之後連結、登錄、傳輸的視頻資料等就能基於數位憑證、而不是駭客能輕易破解的弱口令進行身份認證和加密傳輸;最後資料傳輸到終端上,這些資料也不是任何人通過用戶名和密碼就能讀取,只有對應的授權接受用戶通過自己的數位憑證經過身份認證後才能正常應用。
借助數位憑證這一解決方案,人和資料間,人和設備間,設備與設備間,似乎有了種駭客也無法入侵的默契。
打贏數位戰爭,越AI,越要CPK數位憑證最大的特點是可以解決身份認證的問題,授權的人才能操作,便於追責。
“越AI,越要身份認證,因為聯網了嘛,一榮俱榮、一損俱損。有安全防護,才能解決AI的弊端。”羅燕京談到,AI衝鋒在前,打造智慧,而CPK的認證體系則隱居其後,構築安全基礎,打一場“數字智慧戰爭”。
而羅燕京想要進入的還不僅視頻領域。“讓物聯網的各種智慧終端機都有適配信長城的標識數位憑證應用”是他更大的願景。羅燕京想為物聯網、車聯網及涉及的各個領域,都打造一個基於CPK標識認證體系完整的“防火牆”。
“國內做數位憑證的也就小幾十家,做CPK的一隻手可以數的過來。”在這條產業鏈中,有做晶片的、有做u盾的、有做數位憑證的。而信長城,“除了晶片不做,其他都做了,我們做的很深。”
在業內,這也是信長城能夠與宇視、百度、亞信安全等安防、雲服務、AI、通信、安全行業的巨頭合作的原因。“這需要很長的週期,從2014年開始有實際成熟的專案,一直打磨到現在。”
基於應用的功能性系統,信長城以“安全基礎設施提供商”定位,羅燕京坦言,在上下游,信長城以軟體為主,大型硬體設備會與其他廠商合作。
精工、細活。相對于“安防+AI”的浪潮下,安防領域不斷湧現的AI新秀與安防巨頭拼殺的場景,數字認證這一領域目前的入局者還並不多。
行業壁壘高,而且需要長時間的技術開發和業務打磨,想要一下子進入行業並佔據“風口”顯然並不現實。“而安防巨頭們目前也沒有這個技術來做”。
而相對於市場競爭,羅燕京認為,市場對數位憑證及網路安防的認知程度似乎更值得考量。
傳統的安防業務已經慢慢得到重視,但網路上的、資料上的安防卻容易成為人們忽視的一個領域。
“越是聯網,越是AI,技術對於網路的依賴越強,那麼網路安防的需求越重要。”尤其在AI領域,AI或者機器人沒有辦法判斷自我的身份,它只依賴於性能。如果它不能確定自我身份,而加密技術也不能確定。那麼AI也可能被用來攻擊原本的網路。而網路一旦崩潰,可以說整個業務場景全都無法運行了,將會是毀滅性的……
有足夠的技術基礎和業務打磨,較早進入市場,並在商用的路上正巧“撞”上“風口”。不擔心安防巨頭們研發出核心技術,晚入場的中小企業們大概也不會冒險入場。
在視頻領域和物聯網的不斷發展,以及國家政策的推行下,看來羅燕京和信長城似乎已經可以在“風口”上好好收割這一市場了。
但在與宇視科技合作之前,羅燕京也曾嘗試和其他安防巨頭有過聯繫。但安防企業們雖也面臨諸多視頻網路的安全問題,給出的態度卻是,“技術很好,但目前還沒有甲方提出類似的需求……”
在甲方明確提出要求之前,安防企業們並不準備採用最新的安全技術來實現安防產品自身的安全。這成了羅燕京為數位憑證打開市場的第一個障礙。
其實市場未必沒有這樣的需求,只是也許市場和安防廠商們本身還沒有完全意識到。
在羅燕京看來,2016年的北美大斷網事件則剛好擔當了這個“叫醒”市場的角色。十多萬台智慧設備被入侵、數百個網站無法訪問、持續6個小時……這給網路安全市場敲了個警鐘,可謂振聾發聵。
而物聯網在2016年的快速發展以及2017年11月,國家頒佈GB35114規範,提出公共安全視頻監控產品加裝的數位憑證要成為標配,也都為物聯網,特別是安防監控領域數位憑證市場加了把火。
談到這些,羅燕京不無喜色,“這大概就是到了風口上”。
這家從研發到商用,一步步靠實力說話的公司,大概沒想到,自己有一天也會撞到了“風口”上。
讓資料少跑兩條線,CPK實現端到端直接認證但撞到了數字認證這一“風口”,對羅燕京來說,也許還不是最值得驕傲的。
對一家以標識認證金鑰體系CPK為核心的公司來說,技術和業務總是其最好的談資。
而在介紹CPK之前,還要提一提PKI數字認證這一前輩。
同屬於數位認證這一家族,由於最早實現商用,PKI自然也是數位認證領域的佼佼者。
PKI公開金鑰密碼體制,依賴協力廠商的可信任機構(認證中心,即CA),將用戶的公開金鑰實現集中管理和提供線上支援,為使用者進行數位認證提供服務。
但隨著物聯網的迅速發展,用戶量越來越大、各種終端類型越來越多,各類網路通訊協定也逐漸組合應用,作業系統多樣化,CPU架構多樣化,PKI這種強中心化的認證服務方式逐漸達到負荷瓶頸,限於計算資源需求較多,系統平臺支援較少等原因,無法適配物聯網場景的應用需求。
於是,我國自主研製的、證書應用去中心化的、基於標識認證的CPK就應運而生,並在2007年成為國際規範。
CA證書應用去中心化,就意味著CA中心所具有的龐大證書庫和線上支援功能釋放給每個使用者(終端)本身。用戶在認證的過程中可以少跑兩條線,也規避了CA認證中心因用戶數量過多而成本劇增,線上支援存在瓶頸和癱瘓的風險。
“CA認證中心給每個用戶一個48KB大小的公開金鑰矩陣,這個公開金鑰矩陣可以支援10的48-77次方個使用者證書規模,並且可以進行本地認證識別。便捷性和成本低是其最大優點。”羅燕京解釋道。
同時,少跑了兩條線的CPK,還具有輕量化金鑰系統、資料加密、端到端直接認證、離線金鑰交換等特點。
而在物聯網領域,尤其是安防監控視頻領域,這些優勢則有著明顯的體現。
傳統的視頻監控系統,主要有外部駭客入侵和內部人員洩密兩個問題。傳統的視頻輸出的是預設使用者名和弱口令或者直接裸傳視頻,駭客可以輕易破解口令;另外,視頻傳輸中的協定漏洞和技術後門等也為駭客提供了機會。
針對視頻領域的資訊洩露,信長城從身份認證和視頻傳輸加密兩個環節解決問題。
一是身份認證問題,對於傳統攝像頭採用是預設使用者名和弱口令登錄方式,信長城對其實現數位憑證認證登錄;二是攝像頭視頻傳輸到後端的過程中,對視頻資料進行金融級的簽名和加密。
在身份認證和簽名驗簽,加解密應用中,可以將數位憑證下載到預先接入到攝像頭等終端設備中的軟盾或者TF-KEY卡中使用。
羅燕京解釋道,“首先要識別你,確定你是你,然後確保傳輸給你的過程中,加密視頻不會被洩露或者篡改,可以安全傳輸給你。”
由此,可以想像視頻加密傳輸的全過程:將金鑰委付搭載到軟盾或者TF-KEY卡上,裝入視頻設備上;之後連結、登錄、傳輸的視頻資料等就能基於數位憑證、而不是駭客能輕易破解的弱口令進行身份認證和加密傳輸;最後資料傳輸到終端上,這些資料也不是任何人通過用戶名和密碼就能讀取,只有對應的授權接受用戶通過自己的數位憑證經過身份認證後才能正常應用。
借助數位憑證這一解決方案,人和資料間,人和設備間,設備與設備間,似乎有了種駭客也無法入侵的默契。
打贏數位戰爭,越AI,越要CPK數位憑證最大的特點是可以解決身份認證的問題,授權的人才能操作,便於追責。
“越AI,越要身份認證,因為聯網了嘛,一榮俱榮、一損俱損。有安全防護,才能解決AI的弊端。”羅燕京談到,AI衝鋒在前,打造智慧,而CPK的認證體系則隱居其後,構築安全基礎,打一場“數字智慧戰爭”。
而羅燕京想要進入的還不僅視頻領域。“讓物聯網的各種智慧終端機都有適配信長城的標識數位憑證應用”是他更大的願景。羅燕京想為物聯網、車聯網及涉及的各個領域,都打造一個基於CPK標識認證體系完整的“防火牆”。
“國內做數位憑證的也就小幾十家,做CPK的一隻手可以數的過來。”在這條產業鏈中,有做晶片的、有做u盾的、有做數位憑證的。而信長城,“除了晶片不做,其他都做了,我們做的很深。”
在業內,這也是信長城能夠與宇視、百度、亞信安全等安防、雲服務、AI、通信、安全行業的巨頭合作的原因。“這需要很長的週期,從2014年開始有實際成熟的專案,一直打磨到現在。”
基於應用的功能性系統,信長城以“安全基礎設施提供商”定位,羅燕京坦言,在上下游,信長城以軟體為主,大型硬體設備會與其他廠商合作。
精工、細活。相對于“安防+AI”的浪潮下,安防領域不斷湧現的AI新秀與安防巨頭拼殺的場景,數字認證這一領域目前的入局者還並不多。
行業壁壘高,而且需要長時間的技術開發和業務打磨,想要一下子進入行業並佔據“風口”顯然並不現實。“而安防巨頭們目前也沒有這個技術來做”。
而相對於市場競爭,羅燕京認為,市場對數位憑證及網路安防的認知程度似乎更值得考量。
傳統的安防業務已經慢慢得到重視,但網路上的、資料上的安防卻容易成為人們忽視的一個領域。
“越是聯網,越是AI,技術對於網路的依賴越強,那麼網路安防的需求越重要。”尤其在AI領域,AI或者機器人沒有辦法判斷自我的身份,它只依賴於性能。如果它不能確定自我身份,而加密技術也不能確定。那麼AI也可能被用來攻擊原本的網路。而網路一旦崩潰,可以說整個業務場景全都無法運行了,將會是毀滅性的……
有足夠的技術基礎和業務打磨,較早進入市場,並在商用的路上正巧“撞”上“風口”。不擔心安防巨頭們研發出核心技術,晚入場的中小企業們大概也不會冒險入場。
在視頻領域和物聯網的不斷發展,以及國家政策的推行下,看來羅燕京和信長城似乎已經可以在“風口”上好好收割這一市場了。