这是零信技术依据零信任理念和密码技术制定的零信任安全理念。“永不信任”,是零信任的核心理念,由5个“不信任”密码应用实现。“始终验签”是把通用说法“始终验证”做了一点点修改,因为我们的解决方案是始终验证数字签名,用户必须出具数字身份证书,并用身份证书签名认证信息,客户端软件或身份认证系统验证数字签名的有效真实可信后才可以放行。数字签名所具有的不可篡改和不可否认的原生信任属性是实现始终验证的可靠技术。
“始终加密”则是我们的零信任安全解决方案的一个创新特色。我们认为:实现零信任的目的还是为了保护数据安全,我们采用数字证书来验证身份不仅100%可靠,不会像“福尔摩斯式”的必须不断甄别才能确保90%以上的准确率。更重要的是,我们还可以用这张身份证书来实现各种数据电文的加密,使得仅有权使用此数据的人和物才能解密使用。同时我们使用这张身份证书来实现各种数据电文的数字签名,来证明数据电文的可信身份,让数据电文使用者能安全使用所得到的数据电文。这是在“永不信任和始终验证”后面又增加了一道可靠的数据安全保护,是符合《密码法》要求的零信任安全解决方案,是零信任真正要实现的最终目的。
这个原则是防止数据泄密和网上欺诈的重要原则,因为现在的数据泄密、数据窃取频频发生,欺诈网站和假冒网站泛滥。HTTP协议是明文传输,无法保障机密信息不会被非法窃取和非法篡改。所以,按照零信任理念,不信任没有部署SSL证书的http网站,因为没有部署SSL证书,不仅是网站身份未认证,而且网站内容传输都是明文,所有浏览器都会对http网站显示为“不安全”。而部署了SSL证书的网站,浏览器会显示加密锁标识。
网站安全仅有https加密是不够的,如果网站没有任何安全防护就无法保证网站不会遭遇攻击,不信任没有任何安全防护的网站,只信任有Web应用防火墙(WAF)防护的网站。而仅有https加密和WAF 防护,如果网站身份未认证,是一个欺诈网站或假冒网站,则网站安全仍然是无本之木。不信任没有通过身份认证的网站是零信任的首要原则,因为所有网络服务源于网站。
零信第一原则是不信任明文传输http网站,只信任https加密和已认证的网站。
这个原则是保护电子邮件安全的唯一有效原则,因为明文电子邮件在传输过程中非常容易被非法窃取和非法篡改,而发件人的邮箱地址也是可以随意伪造的,这就导致各种邮件欺诈和邮件钓鱼攻击事件不断发生。唯一可行的解决方案就是采用零信任理念,不信任明文邮件,只相信有数字签名和加密的邮件,因为有了数字签名才能保证邮箱地址是真的,发件人身份是可信的,邮件内容是没有被篡改的。而有了加密,则还可以保证邮件内容不会被非法窃取。
始终验证电子邮件的数字签名,这是唯一能解决邮件欺诈和邮件钓鱼攻击的技术手段,对没有数字签名和没有加密的电子邮件零信任是唯一的安全防护手段。只信任有数字签名和加密的邮件,就能保证电子邮件的安全,就不会遭遇邮件欺诈和钓鱼攻击。
零信第二原则是不信任明文电子邮件,只信任已加密和数字签名的电子邮件。
这个原则是保护电子文档安全的有效原则,明文文档特别是公文,无法证明文档的可信身份,非常容易被假冒。所有电子文档都必须有数字签名来证明其可信身份和防止被假冒和被篡改,Adobe阅读器有自动验证数字签名的机制,每次打开文档都会自动验签,这就是电子文档的零信任安全,始终验证数字签名,只信任通过验证的有可信数字签名的文档,并在第一行显示签名者的身份信息。
这个始终验证文档数字签名的机制就零信任安全机制,能有效保障文档安全。同时,电子文档数字签名时必须副署时间戳签名,这是对电子文档的生成时间和发布时间的零信任,只有加上了时间戳签名,并且每次在使用电子文档时始终验证时间戳签名,才能保证电子文档的时间可信。这就是零信任在电子文档生成时间上的最佳实践,能有效保障电子文档生成时间可信,保证电子合同签署时间可信。
零信第三原则是不信任无可信身份的电子文档,只信任有可信数字签名和时间戳的电子文档。
这个原则是保护电脑系统安全的有效原则,Windows对没有数字签名的软件零信任。因为没有数字签名就无法证明软件开发商的真实身份,无法保证软件是否是恶意软件。当然,有了数字签名也不能保证不是恶意软件,所以,Windows仍然会进一步检查是否是恶意软件。Windows提供SmartScreen信誉积累机制来给每个有数字签名的软件开发商一个积累信誉的机制,如果想即刻获得可信信誉,则需要软件开发商使用EV代码签名证书数字签名代码,已签名软件即刻获得信誉而顺利安装。
这个始终验证软件开发商身份的机制就零信任安全机制,能有效保障Windows操作系统安全,当然也能有效保障各种国产操作系统安全。这个签名验签机制也非常适合于所有OTA空中升级软件,只信任有可信数字签名的升级包,才能有效保证设备系统的软件升级安全!同时,为了证明代码签名时间可信,在代码签名时还必须副署时间戳签名,这是对软件代码的生成时间和发布时间的零信任,只有加上了时间戳签名,并且每次在运行软件代码时始终验证时间戳签名,才能保证即使代码签名证书过期但其代码签名仍然能有效证明其可信身份。
零信第四原则是不信任无可信身份的应用软件,只信任有可信数字签名和时间戳的应用软件。
这个原则也可称之为“登机飞行原则”,因为飞行安全非常重要,所以一定是实名验证身份才能登机飞行。而对于网络世界,不信任任何未认证的个体身份,只有这样,才能避免像“福尔摩斯式”的不断甄别仍然有漏网之鱼的情况,对于有些应用是不允许有这种情况发生的。每个个体都必须通过认证并获得可信身份证书用于证明自己的可信身份,出示具可信身份证书并通过验证就可获得数据资源的访问权限。
当然,每个个体可以有多张身份证书,不同的应用场景需要不同级别的身份认证,使用不同级别的身份证书来完成验证,这就好比现实生活中不同的场景需要出示不同的证件一样。SSL证书就已经有四种不同身份认证级别来区分,零信浏览器地址栏显示不同的用户界面来帮助用户识别不同认证级别的网站。
个体(人和物)有了可信数字身份证书后就具备了“原生信任”能力,就可以用于证明个体可信身份实现身份认证,也可用于数字签名、数据加密和通信加密。最可靠的安全策略是只接受符合某个规则的可信身份连接而拒绝其他不可信连接,并用收件方公钥加密实现可靠的数据交换,这个不需要不断实时不断甄别,效率高和100%准确。
零信第五原则是不信任未认证的个体的身份,只信任通过认证的个体的数字身份。
总之,零信技术基于零信任理念、采用密码技术,充分发挥PKI(公钥基础设施)体系“原生信任”机制和“原生加密“机制来保护网络安全和数据安全。零信技术的三大创新理念和五大创新原则,是一个创新的安全实践,能有效运用零信任理念来保障大数据安全和保障万物互联安全。