的確,IT產(chǎn)業(yè)將全球供應(yīng)鏈與市場結(jié)合到一起。記者無意去研究宏觀的IT環(huán)境,不過當(dāng)記者把全部精力投入到安全上面的時候,有趣的結(jié)果產(chǎn)生了:安全也是平的。
從安全網(wǎng)關(guān)、防火墻、UTM、防病毒、IDS/IPS、VPN,到內(nèi)網(wǎng)身份認(rèn)證、安全客戶端、安全日志、網(wǎng)管系統(tǒng),看似獨(dú)立的安全產(chǎn)品已經(jīng)出現(xiàn)了改變,無論是從早先的安全聯(lián)動、802.1X、還是近期的私有安全協(xié)議、安全與目錄服務(wù)整合,都體現(xiàn)出了一個趨勢:安全是密切相連的,是“你中有我,我中有你。”
信息安全的第一要素就是制定“企業(yè)安全規(guī)范”,而這個“安全規(guī)范”恰恰是企業(yè)各部分業(yè)務(wù)與各種安全產(chǎn)品的整合,涵蓋了從存儲、業(yè)務(wù)傳輸、行為安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、運(yùn)行安全、系統(tǒng)保護(hù)與物理連接的各個層面。
換句話說,安全已經(jīng)不是傳統(tǒng)上的單一設(shè)備,或者像某些廠商所講的那種獨(dú)立于網(wǎng)絡(luò)的設(shè)備。事實上,近三年的發(fā)展已經(jīng)證明,日后信息安全將會逐漸以用戶需求的系統(tǒng)方案為核心。而在這套完整的安全方案之內(nèi),各部分都是有機(jī)聯(lián)系的,之間呈現(xiàn)一種技術(shù)與需求交織的扁平網(wǎng)狀關(guān)系。
因此當(dāng)大多數(shù)人還沉迷于“不著邊際”的《藍(lán)海戰(zhàn)略》的時候,記者則開始關(guān)注信息安全的平坦化了。同時,為了讓更多的讀者了解信息安全的現(xiàn)狀,記者專門打造了“安全是平的”系列專題,與大家一起研究信息安全的新技術(shù)與新應(yīng)用。
作為本系列的開篇之作,記者從“身份認(rèn)證與內(nèi)網(wǎng)安全”入手。這一對密不可分的安全要素,已經(jīng)成為了當(dāng)前安全界最熱門的話題,很多企業(yè)用戶對于兩者的關(guān)聯(lián)與部署充滿了疑問,而記者也專門咨詢了Cisco、CA、Juniper、神州數(shù)碼網(wǎng)絡(luò)、深信服、新華人壽保險集團(tuán)和福建興業(yè)銀行的IT安全專家,與讀者一起分享其中的心得。
【大勢所趨】從雙因數(shù)認(rèn)證入手
目前在信息安全界有三大技術(shù)趨勢:第一,可信計算;第二,身份認(rèn)證與內(nèi)網(wǎng)安全;第三,統(tǒng)一威脅管理(UTM)。根據(jù)IDC在今年1月份的統(tǒng)計報告,目前在身份認(rèn)證與內(nèi)網(wǎng)安全方面的需求最多。而IDC近期出爐的《2006~2010中國IT安全市場分析與預(yù)測》報告則顯示:排名靠前的安全廠商都與身份認(rèn)證與內(nèi)網(wǎng)安全沾邊。
在身份認(rèn)證過程中,一般都是基于用戶名和密碼的做法。根據(jù)美國《Network World》今年8月份的調(diào)查結(jié)果,超過60%的企業(yè)已經(jīng)對傳統(tǒng)的認(rèn)證方式不放心了。
所謂雙因數(shù)認(rèn)證,是針對傳統(tǒng)身份認(rèn)證而言的。深信服的安全產(chǎn)品經(jīng)理葉宜斌向記者表示,隨著各種間諜軟件、鍵盤記錄工具的泛濫,企業(yè)的IT人員發(fā)現(xiàn),僅僅依靠用戶名、密碼的單一認(rèn)證體制非常不安全。而雙因數(shù)認(rèn)證則基于硬件建權(quán),通過建立證書系統(tǒng)來進(jìn)行客戶端的認(rèn)證工作。
另外,采用雙因數(shù)認(rèn)證還可以保證客戶端登錄網(wǎng)絡(luò)的唯一性。神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理王景輝介紹說,安全證書的生成可以提取其他一些信息,比如網(wǎng)卡MAC 地址、客戶端CPU的序列號等。因此當(dāng)一臺筆記本電腦第一次進(jìn)入企業(yè)網(wǎng)絡(luò)時,第一步是認(rèn)證系統(tǒng)產(chǎn)生用戶名和密碼,第二步則是系統(tǒng)收集筆記本的特征,進(jìn)而提取具備唯一性的信息,以便生成一個唯一對應(yīng)的證書。所有的認(rèn)證信息都可以導(dǎo)入認(rèn)證服務(wù)器,從而實現(xiàn)對客戶端唯一性登錄的檢查。
根據(jù)美國和中國的統(tǒng)計,超過七成的政府部門都在使用證書系統(tǒng)保證身份認(rèn)證的安全可靠。此外,大部分網(wǎng)絡(luò)銀行服務(wù)業(yè)采用了證書模式。
招商銀行的IT專家透露說,目前該行已經(jīng)在專業(yè)版網(wǎng)上銀行系統(tǒng)中采用安全數(shù)字證書,并通過USB Key的方式進(jìn)行保存。USB Key中存放的是用戶個人的數(shù)字證書,銀行和用戶各有一份公鑰和私鑰,用戶僅需要記憶一個密碼就可以使用。
新華人壽保險集團(tuán)的IT經(jīng)理向記者表示,USB Key的認(rèn)證模式在新華人壽已經(jīng)全部實現(xiàn)了,主要還是為日常的OA服務(wù)。而該項目的實施方,CA的安全專家介紹說,現(xiàn)在很多大型企業(yè)已經(jīng)開始采用證書系統(tǒng),像新華人壽這樣的企業(yè),對系統(tǒng)數(shù)據(jù)流安全非常關(guān)注,特別是關(guān)注那些很多到桌面、到用戶文件的內(nèi)容。
除了數(shù)字證書,還有一種雙因數(shù)認(rèn)證方式,即動態(tài)令牌。動態(tài)令牌根據(jù)基于時間的算法,每分鐘都產(chǎn)生一個5-6位的認(rèn)證串號。在客戶端,用戶通過一個類似電子表的硬件,計算出每分鐘產(chǎn)生的令牌串號。那么用戶登錄系統(tǒng),只要輸入用戶名和相應(yīng)時間段的串號,就可以安全登錄。
有意思的是,記者發(fā)現(xiàn)很多IT安全廠商自身都在使用動態(tài)令牌技術(shù)。像神州數(shù)碼網(wǎng)絡(luò)內(nèi)部的SSL VPN就采用了動態(tài)令牌的安全登錄方式。動態(tài)令牌避免了記憶密碼的過程,其壽命一般為三年。不過動態(tài)令牌由于內(nèi)置了一個相當(dāng)精確的時鐘,因此成本較高。
【平坦安全】內(nèi)網(wǎng)安全之美
前面講過了,目前安全界的趨勢是平坦化。一套認(rèn)證系統(tǒng)做的再強(qiáng)大,如果僅僅孤立存在,仍然無法帶來更多的價值。事實上,認(rèn)證系統(tǒng)越來越成為內(nèi)網(wǎng)安全的一個子系統(tǒng),它確保了企業(yè)網(wǎng)在出現(xiàn)安全問題的時候,內(nèi)網(wǎng)安全機(jī)制能夠最終定位到具體的設(shè)備或者具體的人員上。
要知道,把安全問題落實到點上是多少年來企業(yè)IT人員的夢想。新華人壽的IT安全負(fù)責(zé)人向記者表示,以前企業(yè)配置了IDS,結(jié)果一旦網(wǎng)絡(luò)出現(xiàn)問題,IDS 就會不停的報警,然后給網(wǎng)管人員發(fā)出一大堆可疑的IP地址信息。網(wǎng)管不是計算機(jī),讓它從一堆IP地址中定位某一臺設(shè)備,這簡直是在自虐。
利用認(rèn)證系統(tǒng),首先就可以保證網(wǎng)絡(luò)用戶的真實性與合法性。只有界定了合法用戶的范圍,才有定位的可能性。
目前,不少安全廠商已經(jīng)開始完善自身的內(nèi)網(wǎng)安全技術(shù),并與身份認(rèn)證系統(tǒng)做到有機(jī)結(jié)合。王景輝介紹說,他們已經(jīng)把防水墻(客戶端系統(tǒng))、DCBI認(rèn)證系統(tǒng)、 IDS、防火墻結(jié)合在一起組成了DCSM內(nèi)網(wǎng)安全管理技術(shù),作為3DSMP技術(shù)的具體化。而在DCSM技術(shù)中,提出了五元素控制:即用戶名、用戶賬號、 IP地址、交換機(jī)端口、VLAN綁定在一起,進(jìn)一步去做訪問控制。
在此基礎(chǔ)上,內(nèi)網(wǎng)安全機(jī)制可以根據(jù)IDS/IPS的報警,對用戶進(jìn)行判斷:比如是否為某個用戶發(fā)動了攻擊?或者某個用戶是否感染了特定的病毒,比如發(fā)現(xiàn)該用戶掃描特定端口號就可以判斷感染了蠕蟲病毒。此時,DCBI控制中心就會進(jìn)行實時告警。若告警無效,系統(tǒng)就可以阻斷某個用戶的網(wǎng)絡(luò)聯(lián)結(jié)。
由于通過完整的認(rèn)證過程,系統(tǒng)可以知道用戶所在交換機(jī)端口和所在的VLAN,封殺就會非常精確。
不難看出,一套安全的認(rèn)證系統(tǒng),在內(nèi)網(wǎng)安全方案中扮演著網(wǎng)絡(luò)準(zhǔn)入控制NAC的角色。Cisco的安全工程師介紹,一套完善的認(rèn)證機(jī)制與內(nèi)網(wǎng)安全管理軟件組合在一起,就可以實現(xiàn)豐富的準(zhǔn)入控制功能。此外,一般這類管理軟件本身不需要安裝,只要通過服務(wù)器進(jìn)行分發(fā),就可以推給每一臺試圖接入網(wǎng)絡(luò)的計算機(jī)上。
而Juniper的安全產(chǎn)品經(jīng)理梁小東也表示,把認(rèn)證系統(tǒng)與內(nèi)網(wǎng)安全系統(tǒng)結(jié)合起來,可以確保總體的網(wǎng)絡(luò)設(shè)計更加安全。而且通過內(nèi)置的安全協(xié)議,可以最大程度地讓更多的安全產(chǎn)品,如防火墻、IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據(jù)自己的預(yù)算和資金情況,選配不同的模塊,具備了安全部署的靈活性。
在采訪的過程中,記者發(fā)現(xiàn)各個安全廠商已經(jīng)在內(nèi)網(wǎng)安全的問題上達(dá)成了共識。也許正如王景輝所講的,雖然企業(yè)用戶都擁有完善的基礎(chǔ)設(shè)施,包括全套防病毒系統(tǒng),可近兩年的狀況是,病毒大規(guī)模爆發(fā)的次數(shù)不但沒有減少,反而更多了,而且大量安全事件都是從內(nèi)網(wǎng)突破的。
因此總結(jié)起來看,要實現(xiàn)一套完善的內(nèi)網(wǎng)安全機(jī)制,第一步就需要一個集中的安全認(rèn)證;第二步是部署監(jiān)控系統(tǒng)。讓IDS/IPS來監(jiān)控網(wǎng)絡(luò)中的行為,去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執(zhí)行。當(dāng)問題判斷出來以后,讓系統(tǒng)合理地執(zhí)行很重要。傳統(tǒng)上封堵IP的做法,對于現(xiàn)在的攻擊和病毒效果不好,因為現(xiàn)在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式,就是在安全認(rèn)證通過以后,系統(tǒng)就可以定位到某一個IP的用戶是誰,然后確定相關(guān)事件發(fā)生在哪一個交換機(jī)端口上。這樣在采取行動的時候,就可以避免阻斷整個IP子網(wǎng)的情況。此外,通過利用802.1X協(xié)議,整套安全系統(tǒng)可以把交換機(jī)也互動起來,這樣就可以更加精確地定位發(fā)生安全事件的客戶機(jī)在哪里。
|
主流安全認(rèn)證技術(shù)一瞥 |
|
|
||
|
屬性 |
類型 |
主要特點 |
應(yīng)用領(lǐng)域 |
主要問題 |
|
單因數(shù)認(rèn)證 |
用戶名密碼體制 |
靜態(tài)的認(rèn)證方式,實現(xiàn)簡單 |
常見于辦公網(wǎng)絡(luò) |
安全性較差 |
|
短信認(rèn)證 |
動態(tài)的認(rèn)證方式,部署方便,成本較低,安全性較高 |
常用于企業(yè)IT部門或部分金融機(jī)構(gòu) |
無法與AD結(jié)合 |
|
|
雙因數(shù)認(rèn)證 |
|
安全性很高,可以與AD結(jié)合使用。 |
常見于金融機(jī)構(gòu),政府部門 |
系統(tǒng)開發(fā)的復(fù)雜度高,存在一定的證書安全隱患 |
|
動態(tài)令牌 |
具有最高的安全性,基本不會有單點安全的困擾 |
IT安全廠商有使用 |
成本高昂 |
|
【精明用戶】混合認(rèn)證模式
的確,純粹的雙因數(shù)認(rèn)證對于安全起到了很高的保障作用。但不可否認(rèn)的是,其帶來的IT管理問題也無法忽視。
美國《Network World》的安全編輯撰文指出,美國很多年營業(yè)額在1.5億到10億美元的中型企業(yè)用戶,很多都不考慮雙因數(shù)認(rèn)證的問題。因為他們認(rèn)為,雙因數(shù)認(rèn)證系統(tǒng)不僅難于配置,而且花費(fèi)在購買和實施上的資金也較高,特別是其管理和維護(hù)的復(fù)雜度也過高。
回到國內(nèi),記者發(fā)現(xiàn)類似的問題確實也有不少。這個問題的關(guān)鍵在于,這些中型企業(yè)恰好處于市場的成長期,用戶的賬號像兔子繁殖一樣增加。因此認(rèn)證需要的安全預(yù)算和人力不成正比。在此模式下,部署最安全的雙因數(shù)認(rèn)證體系固然會給企業(yè)的IT部分增加較大的壓力。
不過,這并不意味著認(rèn)證安全無法解決。事實上,很多企業(yè)已經(jīng)開始行動了。在此,記者很高興地看到了一種具有中國特色的“混合認(rèn)證”模式已經(jīng)投入了使用。
顧名思義,“混合認(rèn)證”就是把傳統(tǒng)的身份認(rèn)證與雙因數(shù)認(rèn)證進(jìn)行了整合,以求獲得最佳性價比。在此,請跟隨記者去看看福建興業(yè)銀行的典型應(yīng)用。福建興業(yè)銀行在認(rèn)證系統(tǒng)中,將對人的認(rèn)證和對機(jī)器的認(rèn)證進(jìn)行了有機(jī)結(jié)合。在OA辦公領(lǐng)域,采用的都是傳統(tǒng)的“用戶名+密碼”的方式,而在分散各地的ATM機(jī)器中,采用了雙因數(shù)認(rèn)證,通過收集ATM機(jī)器的序列號與后臺的Radius服務(wù)器進(jìn)行自動無線認(rèn)證,從而確保了安全監(jiān)管的需求。
“我們通過這種混合認(rèn)證模式,既保證了OA系統(tǒng)的簡單、高效,同時又在安全的基礎(chǔ)上,降低了企業(yè)網(wǎng)的運(yùn)營成本。”福建興業(yè)銀行的IT安全負(fù)責(zé) 人解釋說,“這是把有限的資金用在生產(chǎn)網(wǎng)上。”
對于類似的認(rèn)證,確實可以確保企業(yè)的安全與利益。神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理顏世峰曾向記者坦言,如果國內(nèi)企業(yè)普遍采用了混合認(rèn)證模式,那么可以極大地規(guī)范企業(yè)網(wǎng)中的隱性安全問題,包括一些私有設(shè)備和無線設(shè)備的準(zhǔn)入控制,都可以低成本地解決。
事實上,中國特色的模式還不僅如此。葉宜斌曾經(jīng)和記者開玩笑地說道:“在這個世界上,沒有哪個國家的人比中國人更喜歡發(fā)短信了。”因此,利用短信進(jìn)行安全認(rèn)證也成為了一大特色。
短信認(rèn)證的成本很低,客戶端只需要一部手機(jī),服務(wù)器端類似一部具備SIM卡的短信群發(fā)機(jī)。用戶登錄時用手機(jī)接收用戶名和密碼,這種模式甚至可以規(guī)定用戶安全認(rèn)證的期限。不過葉宜斌也指出,短信認(rèn)證雖然安全、成本低,但是其無法與企業(yè)目錄服務(wù)(AD)進(jìn)行整合,因此易用性受到挑戰(zhàn)。
【系統(tǒng)整合】平坦概念出爐
近年來,在美國安全界一直有一個困擾:就是如何避免內(nèi)網(wǎng)安全的泥石流問題。所謂泥石流問題,其根源還是多重賬戶密碼現(xiàn)象。要知道,無論是多么完善的認(rèn)證系統(tǒng),或者認(rèn)證系統(tǒng)與內(nèi)網(wǎng)安全技術(shù)結(jié)合的多么好,用戶都難以避免多賬戶密碼的輸入問題。
登錄賬戶、密碼,郵件賬戶、密碼,辦公賬戶、密碼等等,還有多賬戶、多密碼的問題已經(jīng)引起企業(yè)IT人員的重視。因為人們難以記憶不同的賬戶名和密碼,而這往往導(dǎo)致安全隱患的出現(xiàn)。事實上,在2004年8月歐洲的InfoSecurity大會期間,有70%的倫敦往返者欣然地和其他在會議中的人士共享他們的登錄信息,其初衷僅僅是為了少記憶一點賬戶名和密碼。
為此,將安全認(rèn)證、內(nèi)網(wǎng)安全、包括VPN信息中的賬戶密碼統(tǒng)一起來,已經(jīng)是不可忽視的問題了。王景輝介紹說,目前各家廠商都希望將認(rèn)證系統(tǒng)、內(nèi)網(wǎng)安全設(shè)備,包括VPN、UTM等,與企業(yè)的AD整合到一起。他認(rèn)為,這樣做絕對是一個很好的思路。
因為目前企業(yè)用AD的很多,微軟的產(chǎn)品多,因此安全技術(shù)中的所有模塊都可以進(jìn)行整合,包括認(rèn)證系統(tǒng)與AD的深度開發(fā)。在很多情況下,讓企業(yè)的IT人員維護(hù)兩套甚至更多的賬號系統(tǒng)一樣也是不現(xiàn)實的,而且相當(dāng)麻煩。
合理的方法是與用戶既有的認(rèn)證系統(tǒng)結(jié)合起來,而目前使用最多的就是域賬號。對此,企業(yè)的VPN、動態(tài)VPN包括認(rèn)證系統(tǒng)都可以使用相同的AD賬戶,從而實現(xiàn)單點登錄(Single Sign On)。
從更大的方面說,整個網(wǎng)絡(luò)準(zhǔn)入控制階段都可以與AD結(jié)合。正如Cisco的安全工程師所說的,現(xiàn)在的整體安全技術(shù),最起碼都要做到與AD結(jié)合,做到與Radius認(rèn)證結(jié)合,因為這兩個是最常用的。
有意思的是,根據(jù)美國《Network World》和本報在2005年的統(tǒng)計,無論是中國用戶還是美國用戶,企業(yè)網(wǎng)中部署AD的都相當(dāng)多,從中也反映出Windows認(rèn)證的規(guī)模最廣。但要把AD與內(nèi)網(wǎng)安全進(jìn)行整合,目前最大挑戰(zhàn)在于,安全廠商必須對微軟的產(chǎn)品特別了解,需要一定的技術(shù)支持才能做相應(yīng)的開發(fā)。
以新華人壽的認(rèn)證系統(tǒng)為例,傳統(tǒng)的Windows登錄域界面已經(jīng)被修改,新的界面已經(jīng)與后臺AD和企業(yè)郵件系統(tǒng)作了整合,一次登錄就可以實現(xiàn)訪問所有應(yīng)用。
此外,根據(jù)用戶的具體需求,王景輝表示內(nèi)網(wǎng)安全技術(shù)還可以進(jìn)一步與LDAP、X.509證書進(jìn)行結(jié)合。記者了解到,目前國內(nèi)的很多政府部門都在做類似的工作。以河南計生委的安全系統(tǒng)為例。河南計生委的數(shù)字證書都是基于原CA公司的認(rèn)證系統(tǒng)生成的。因此,他們在部署其他安全設(shè)備的時候,不能另起爐灶再搞一套,否則會出現(xiàn)多次認(rèn)證的問題。這就要求安全廠商需要同原CA廠商合作,一起做認(rèn)證接口的數(shù)據(jù)交換——安全廠商負(fù)責(zé)認(rèn)證信息提交,CA廠商負(fù)責(zé)認(rèn)證與返還信息。最后,與CA證書結(jié)合后的安全系統(tǒng)同樣可以實現(xiàn)一次性的三點認(rèn)證(身份、域、VPN)。
記者注意到,美國《Network World》的安全編輯近期非常熱衷于統(tǒng)一認(rèn)證管理UIM的概念,他認(rèn)為將雙因數(shù)認(rèn)證、企業(yè)中央AD、后臺認(rèn)證服務(wù)器和信任倉庫、以及部分網(wǎng)絡(luò)準(zhǔn)入控制的模塊整合在一起,就可以形成最完善的UIM體制。
其理由也很簡單—認(rèn)證幾乎無可避免:很多應(yīng)用使用權(quán)力分配的、或者所有權(quán)的認(rèn)證方法和數(shù)據(jù)庫,因此想要利用一個簡單的認(rèn)證平臺去支持所有的應(yīng)用幾乎是不可能的。而這正是UIM存在的基礎(chǔ)。
對此,國內(nèi)安全廠商的看法是,UIM很重要,可以解決企業(yè)用戶的認(rèn)證管理問題,不過從更大的內(nèi)網(wǎng)安全方向看,UIM仍不是全部。顏世峰的看法是,一套完善的內(nèi)網(wǎng)安全技術(shù)至少包括三方面:第一網(wǎng)絡(luò)準(zhǔn)入控制NAC(也可以算是UIM)。它保證了只有合法的、健康的主機(jī)才可以接入網(wǎng)絡(luò),其中包括用戶身份認(rèn)證與接入設(shè)備的準(zhǔn)入控制管理;第二,網(wǎng)絡(luò)終端管理NTM。它解決企業(yè)辦公終端的易用性、統(tǒng)一管理、終端安全等問題;第三,網(wǎng)絡(luò)安全運(yùn)行管理NSRM。它可以動態(tài)保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的安全、穩(wěn)定運(yùn)行,自動發(fā)現(xiàn)網(wǎng)絡(luò)故障、自動解決并報警。
看到了么,一套身份認(rèn)證系統(tǒng),就牽扯出整個內(nèi)網(wǎng)安全的各個組成部分。現(xiàn)在應(yīng)該沒有人會懷疑安全的平坦化了,但請記住,平坦才剛剛開始。
編看編想:平坦的安全缺乏標(biāo)準(zhǔn)
安全是平的,但在平坦的技術(shù)中缺乏標(biāo)準(zhǔn)。不論是身份認(rèn)證還是更加龐大的內(nèi)網(wǎng)安全,各個國家都沒有對應(yīng)的通用標(biāo)準(zhǔn)。事實上,即便是802.1X協(xié)議,各個安全廠家之間也無法完全通用。
對內(nèi)網(wǎng)安全技術(shù)來說,現(xiàn)在國內(nèi)外沒有一個廠商大到有很強(qiáng)的實力,把不同的專業(yè)安全廠商的產(chǎn)品集成到一起,因此很多還要靠大家一起來做。因此業(yè)界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州數(shù)碼自己定義的協(xié)議SOAP。
業(yè)界需要標(biāo)準(zhǔn),但是沒有。王景輝無奈地向記者表示,各家廠商不得不定義自己的通信接口和密鑰協(xié)商機(jī)制,其中還要確保協(xié)議隧道中的所有數(shù)據(jù)都是加密的。不過他同時認(rèn)為,目前的狀態(tài)可以滿足市場需求。
記得有印象,早在2000年就有人提出統(tǒng)一安全標(biāo)準(zhǔn)的問題,但是做不到。退一步說,目前安全市場的趨勢是變化和更新速度非常快。開發(fā)一個安全協(xié)議要考慮保護(hù)用戶現(xiàn)有和既有的投資,要讓過去的設(shè)備能用起來。但現(xiàn)在的情況是,還沒有等協(xié)議出來,過去的設(shè)備已經(jīng)過時了,從這個角度上說,統(tǒng)一所有廠家的安全協(xié)議沒有價值。
而且,各國政府在安全上是有自己的想法的,國際廠商出一個協(xié)議,不一定能夠認(rèn)同。
