經(jīng)濟(jì)日報訊 記者佘惠敏報道:國際標(biāo)準(zhǔn)化組織ISO近日發(fā)布了首個面向口令鑒別的隱私保護(hù)國際標(biāo)準(zhǔn)ISO/IEC 20009-4:2017——基于口令的匿名實(shí)體鑒別工業(yè)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)中的YZ機(jī)制由中國科學(xué)院軟件研究所研制��,是一種匿名口令實(shí)體鑒別機(jī)制�,被全國信息安全標(biāo)準(zhǔn)化委員會評審會評價為“是一種自主創(chuàng)新匿名實(shí)體鑒別機(jī)制,屬原創(chuàng)性貢獻(xiàn)”�����。
該機(jī)制是近年來在網(wǎng)絡(luò)空間安全領(lǐng)域的ISO國際標(biāo)準(zhǔn)化活動中�,少數(shù)幾個由我國自主研制的國際標(biāo)準(zhǔn)提案。由于YZ機(jī)制的引入��,ISO/IEC SC27淘汰了其他國家成員體貢獻(xiàn)的另外2個安全機(jī)制:PIR-HE機(jī)制和QGZ機(jī)制。
隨著互聯(lián)網(wǎng)應(yīng)用快速發(fā)展�,隱私泄露問題日益凸顯,2043年泄露數(shù)據(jù)達(dá)40億條���,2017年愈演愈烈����,隱私保護(hù)的實(shí)體鑒別技術(shù)得到廣泛關(guān)注��。
ISO/IEC信息安全技術(shù)委員會(SC27)自2012年開始制定基于口令的匿名實(shí)體鑒別標(biāo)準(zhǔn)�,能在實(shí)現(xiàn)口令鑒別的同時保護(hù)用戶隱私。
中科院軟件所張振峰研究員主持研制了一種新的匿名口令鑒別與密鑰交換(NAPAKE)機(jī)制�,采用口令雜湊值作為密鑰交換的基底并有機(jī)地與OT協(xié)議相結(jié)合,突破了身份鑒別時既要保護(hù)隱私又能抵抗字典攻擊的相互限制��,解決了基于強(qiáng)秘密的匿名實(shí)體鑒別設(shè)計理論無法適用的問題�����,在保持顯著性能優(yōu)勢的同時具有可證明安全性�。這一機(jī)制形成了我國自主的國際標(biāo)準(zhǔn)提案,并命名為YZ機(jī)制�����。
近日發(fā)布的ISO/IEC 20009-4:2017,由中國���、新加坡和日本等國家成員體貢獻(xiàn)的三種安全機(jī)制組成,為網(wǎng)絡(luò)空間安全提供了一套基于口令的匿名實(shí)體鑒別工業(yè)標(biāo)準(zhǔn)�,不依賴于專門硬件的支持,便于應(yīng)用部署���。YZ機(jī)制是ISO/IEC 20009-4規(guī)范的三種機(jī)制中唯一不依賴于額外存儲假設(shè)的安全機(jī)制���,真正解決了計算機(jī)問世以來最常用的口令鑒別技術(shù)面臨的“鑒別不匿名、匿名無鑒別”難題�。在隱私泄露事件頻發(fā)的安全形勢下,該機(jī)制作為一種全新的隱私保護(hù)技術(shù)��,可為網(wǎng)絡(luò)空間中每天數(shù)億次的實(shí)體鑒別實(shí)例提供隱私保護(hù)功能��,大力提升我國快速發(fā)展的“互聯(lián)網(wǎng)+”應(yīng)用的網(wǎng)絡(luò)空間安全保障能力���。
