經(jīng)濟日報訊 記者佘惠敏報道:國際標準化組織ISO近日發(fā)布了首個面向口令鑒別的隱私保護國際標準ISO/IEC 20009-4:2017——基于口令的匿名實體鑒別工業(yè)標準。該標準中的YZ機制由中國科學院軟件研究所研制,是一種匿名口令實體鑒別機制,被全國信息安全標準化委員會評審會評價為“是一種自主創(chuàng)新匿名實體鑒別機制,屬原創(chuàng)性貢獻”。
該機制是近年來在網(wǎng)絡空間安全領域的ISO國際標準化活動中,少數(shù)幾個由我國自主研制的國際標準提案。由于YZ機制的引入,ISO/IEC SC27淘汰了其他國家成員體貢獻的另外2個安全機制:PIR-HE機制和QGZ機制。
隨著互聯(lián)網(wǎng)應用快速發(fā)展,隱私泄露問題日益凸顯,2043年泄露數(shù)據(jù)達40億條,2017年愈演愈烈,隱私保護的實體鑒別技術得到廣泛關注。
ISO/IEC信息安全技術委員會(SC27)自2012年開始制定基于口令的匿名實體鑒別標準,能在實現(xiàn)口令鑒別的同時保護用戶隱私。
中科院軟件所張振峰研究員主持研制了一種新的匿名口令鑒別與密鑰交換(NAPAKE)機制,采用口令雜湊值作為密鑰交換的基底并有機地與OT協(xié)議相結合,突破了身份鑒別時既要保護隱私又能抵抗字典攻擊的相互限制,解決了基于強秘密的匿名實體鑒別設計理論無法適用的問題,在保持顯著性能優(yōu)勢的同時具有可證明安全性。這一機制形成了我國自主的國際標準提案,并命名為YZ機制。
近日發(fā)布的ISO/IEC 20009-4:2017,由中國、新加坡和日本等國家成員體貢獻的三種安全機制組成,為網(wǎng)絡空間安全提供了一套基于口令的匿名實體鑒別工業(yè)標準,不依賴于專門硬件的支持,便于應用部署。YZ機制是ISO/IEC 20009-4規(guī)范的三種機制中唯一不依賴于額外存儲假設的安全機制,真正解決了計算機問世以來最常用的口令鑒別技術面臨的“鑒別不匿名、匿名無鑒別”難題。在隱私泄露事件頻發(fā)的安全形勢下,該機制作為一種全新的隱私保護技術,可為網(wǎng)絡空間中每天數(shù)億次的實體鑒別實例提供隱私保護功能,大力提升我國快速發(fā)展的“互聯(lián)網(wǎng)+”應用的網(wǎng)絡空間安全保障能力。