羅燕京：抓住互聯網的漏洞，撞上數字認證的「風口」

黑客、斷網、十多萬台智能設備被入侵，數百個網站無法訪問……2016年，一場堪稱「網路911」的美國東海岸大斷網事件，讓美國陷入了一場噩夢。

2016年10月21日，黑客對美國互聯網域名解析服務商DYN進行DDoS攻擊入侵，導致美國東海岸出現大面積互聯網斷網事件。全世界超過十萬台智能硬體設備被控制，Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問，美國主要公共服務、社交平台、民眾網路服務陷入一片癱瘓……

這次堪稱「網路911」的大斷網事件，讓享受網路世界和防火牆便捷的網民們，突然深刻意識到「網路並不安全」。

網路安全專家們也表示，此次黑客襲擊，讓全世界對物聯網安全的重要性認知上一個層次，也成為了網路安全行業的一通「叫醒電話」。

而對於黑客攻擊、互聯網的安全漏洞，其實早有企業在關注更高層次的安全防護。信長城就是其中一家。

北京信長城成立於2010年，以標識認證密鑰體系CPK和PKI認證技術為基礎，設計並實現了輕量級、超大規模、高效率、便捷實施、低成本、全場景的高等級安全體系。

經過8年技術積累，信長城形成了廣義IOT時代的全新架構和完整解決方案，覆蓋物聯網、安防、車聯網、工業互聯網等領域。

抓住互聯網時代的漏洞，撞上數字認證的「風口」

2017年3月，國外媒體Bleeping Computer報道，對無線IP攝像頭進行的隨機取樣調查中，對相對低級的安全漏洞進行深入挖掘後發現了7處安全漏洞，市面上超過1250款型號將近20萬台設備都存在被黑客入侵的風險。

此前一個網路安全技術網站也表明，「我們披露了一些未曝光的攝像頭漏洞，黑客能夠利用這些類型的漏洞，獲取那些能夠通過網路訪問的攝像頭控制許可權。數以萬計的攝像頭可以通過網路訪問，他們涉及的場合有公共交通、家庭、商業場所、酒店、賭博場所、銀行、監獄。」

而對於這些，傳統的安防軟體能做的很有限。

作為一個信息安全領域的老兵，信長城創始人&CEO羅燕京對這一點感知尤深。

傳統的互聯網防火牆等安全設備，是基於網路協議，對不符合網路協議，操作系統規則的程序進行識別、運營環境監測。更相當於守門員的角色，側重於對網路環境的行為鑒別，是事後防控，卻疏於對自身本質安全和身份認證能力的提升。

「黑客攻擊一台設備，往往從登錄開始，分析協議（因為協議都是一樣的），探尋漏洞，加以利用，進而指令控制，實現全面攻陷。」羅燕京說道。

因而，早早看到傳統網路安全存在的漏洞，出身廣電視頻領域，擔任過多項國家級、軍級科技項目負責人的羅燕京，從1999年就開始研究對網路安全保障更高等級的公鑰密碼體制技術PKI和CPK體系（組合公鑰密碼體制）。

相對於傳統的網路安全防護，第三方CA體系，基於標識認證的CPK組合公鑰密碼體制，其唯一授權的具有身份標識的數字證書進行簽名驗證與加解密應用，實現端到端的直接認證，簡單高效，尤其適用於安防領域（物聯網場景）。

但CPK組合公鑰體系，期間的技術研發和產品化過程也很艱難。

「這個行業門檻很高，前期投入時間很長，對於是否能夠研製出成熟可靠的安全產品體系是未知的，沒有興趣和專註的情節做支撐是根本做不到的。」羅燕京數了數手指，當今做基於標識認證特別是CPK組合公鑰體系的還不到十家，比起很多市場泡沫泛濫的行業來說，很多企業不會選擇甚至還不知道基於標識認證這一細分領域。

經過漫長的研發過程，技術終於逐漸成熟。羅燕京於2010年成立了信長城公司，2014年信長城的CPK認證體系正式進入市場應用。目前信長城標識密鑰證書和安全SDK已經支持包含Windows、Android、iOS等在內的多種操作系統，及包含X86、ARM等在內的多種CPU架構。

在國內，商用之路與研發之路一樣也走得並不容易。

針對視頻監控行業信長城最早在2015、2016年提出植入數字證書體系，構建安全安防產品體系，2016年與宇視等企業達成戰略合作。但在與宇視科技合作之前，羅燕京也曾嘗試和其他安防巨頭有過聯繫。但安防企業們雖也面臨諸多視頻網路的安全問題，給出的態度卻是，「技術很好，但目前還沒有甲方提出類似的需求……」

在甲方明確提出要求之前，安防企業們並不准備採用最新的安全技術來實現安防產品自身的安全。這成了羅燕京為數字證書打開市場的第一個障礙。

其實市場未必沒有這樣的需求，只是也許市場和安防廠商們本身還沒有完全意識到。

在羅燕京看來，2016年的北美大斷網事件則剛好擔當了這個「叫醒」市場的角色。十多萬台智能設備被入侵、數百個網站無法訪問、持續6個小時……這給網路安全市場敲了個警鐘，可謂振聾發聵。

而物聯網在2016年的快速發展以及2017年11月，國家頒布GB35114規範，提出公共安全視頻監控產品加裝的數字證書要成為標配，也都為物聯網，特別是安防監控領域數字證書市場加了把火。

談到這些，羅燕京不無喜色，「這大概就是到了風口上」。

這家從研發到商用，一步步靠實力說話的公司，大概沒想到，自己有一天也會撞到了「風口」上。

讓數據少跑兩條線，CPK實現端到端直接認證

但撞到了數字認證這一「風口」，對羅燕京來說，也許還不是最值得驕傲的。

對一家以標識認證密鑰體系CPK為核心的公司來說，技術和業務總是其最好的談資。

而在介紹CPK之前，還要提一提PKI數字認證這一前輩。

同屬於數字認證這一家族，由於最早實現商用，PKI自然也是數字認證領域的佼佼者。

PKI公鑰密碼體制，依賴第三方的可信任機構（認證中心，即CA），將用戶的公鑰實現集中管理和提供在線支持，為用戶進行數字認證提供服務。

但隨著物聯網的迅速發展，用戶量越來越大、各種終端類型越來越多，各類網路協議也逐漸組合應用，操作系統多樣化，CPU架構多樣化，PKI這種強中心化的認證服務方式逐漸達到負荷瓶頸，限於計算資源需求較多，系統平台支持較少等原因，無法適配物聯網場景的應用需求。

於是，我國自主研製的、證書應用去中心化的、基於標識認證的CPK就應運而生，並在2007年成為國際規範。

CA證書應用去中心化，就意味著CA中心所具有的龐大證書庫和在線支持功能釋放給每個用戶（終端）本身。用戶在認證的過程中可以少跑兩條線，也規避了CA認證中心因用戶數量過多而成本劇增，在線支持存在瓶頸和癱瘓的風險。

「CA認證中心給每個用戶一個48KB大小的公鑰矩陣，這個公鑰矩陣可以支持10的48-77次方個用戶證書規模，並且可以進行本地認證識別。便捷性和成本低是其最大優點。」羅燕京解釋道。

同時，少跑了兩條線的CPK，還具有輕量化密鑰系統、數據加密、端到端直接認證、離線密鑰交換等特點。

而在物聯網領域，尤其是安防監控視頻領域，這些優勢則有著明顯的體現。

傳統的視頻監控系統，主要有外部黑客入侵和內部人員泄密兩個問題。傳統的視頻輸出的是默認用戶名和弱口令或者直接裸傳視頻，黑客可以輕易破解口令；另外，視頻傳輸中的協議漏洞和技術後門等也為黑客提供了機會。

針對視頻領域的信息泄露，信長城從身份認證和視頻傳輸加密兩個環節解決問題。

一是身份認證問題，對於傳統攝像頭採用是默認用戶名和弱口令登錄方式，信長城對其實現數字證書認證登錄；二是攝像頭視頻傳輸到後端的過程中，對視頻數據進行金融級的簽名和加密。

在身份認證和簽名驗簽，加解密應用中，可以將數字證書下載到預先接入到攝像頭等終端設備中的軟盾或者TF-KEY卡中使用。

羅燕京解釋道，「首先要識別你，確定你是你，然後確保傳輸給你的過程中，加密視頻不會被泄露或者篡改，可以安全傳輸給你。」

由此，可以想像視頻加密傳輸的全過程：將密鑰證書搭載到軟盾或者TF-KEY卡上，裝入視頻設備上；之後鏈接、登錄、傳輸的視頻數據等就能基於數字證書、而不是黑客能輕易破解的弱口令進行身份認證和加密傳輸；最後數據傳輸到終端上，這些數據也不是任何人通過用戶名和密碼就能讀取，只有對應的授權接受用戶通過自己的數字證書經過身份認證後才能正常應用。

藉助數字證書這一解決方案，人和數據間，人和設備間，設備與設備間，似乎有了種黑客也無法入侵的默契。

打贏數字戰爭，越AI，越要CPK

數字證書最大的特點是可以解決身份認證的問題，授權的人才能操作，便於追責。

「越AI，越要身份認證，因為聯網了嘛，一榮俱榮、一損俱損。有安全防護，才能解決AI的弊端。」羅燕京談到，AI衝鋒在前，打造智能，而CPK的認證體系則隱居其後，構築安全基礎，打一場「數字智能戰爭」。

而羅燕京想要進入的還不僅視頻領域。「讓物聯網的各種智能終端都有適配信長城的標識數字證書應用」是他更大的願景。羅燕京想為物聯網、車聯網及涉及的各個領域，都打造一個基於CPK標識認證體系完整的「防火牆」。

「國內做數字證書的也就小几十家，做CPK的一隻手可以數的過來。」在這條產業鏈中，有做晶元的、有做u盾的、有做數字證書的。而信長城，「除了晶元不做，其他都做了，我們做的很深。」

在業內，這也是信長城能夠與宇視、百度、亞信安全等安防、雲服務、AI、通信、安全行業的巨頭合作的原因。「這需要很長的周期，從2014年開始有實際成熟的項目，一直打磨到現在。」

基於應用的功能性系統，信長城以「安全基礎設施提供商」定位，羅燕京坦言，在上下游，信長城以軟體為主，大型硬體設備會與其他廠商合作。

精工、細活。相對於「安防+AI」的浪潮下，安防領域不斷湧現的AI新秀與安防巨頭拼殺的場景，數字認證這一領域目前的入局者還並不多。

行業壁壘高，而且需要長時間的技術開發和業務打磨，想要一下子進入行業並佔據「風口」顯然並不現實。「而安防巨頭們目前也沒有這個技術來做」。

而相對於市場競爭，羅燕京認為，市場對數字證書及網路安防的認知程度似乎更值得考量。

傳統的安防業務已經慢慢得到重視，但網路上的、數據上的安防卻容易成為人們忽視的一個領域。

「越是聯網，越是AI，技術對於網路的依賴越強，那麼網路安防的需求越重要。」尤其在AI領域，AI或者機器人沒有辦法判斷自我的身份，它只依賴於性能。如果它不能確定自我身份，而加密技術也不能確定。那麼AI也可能被用來攻擊原本的網路。而網路一旦崩潰，可以說整個業務場景全都無法運行了，將會是毀滅性的……

有足夠的技術基礎和業務打磨，較早進入市場，並在商用的路上正巧「撞」上「風口」。不擔心安防巨頭們研發出核心技術，晚入場的中小企業們大概也不會冒險入場。

在視頻領域和物聯網的不斷發展，以及國家政策的推行下，看來羅燕京和信長城似乎已經可以在「風口」上好好收割這一市場了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！