近日,国际标准化组织ISO发布了首个面向口令鉴别的隐私保护国际标准——基于口令的匿名实体鉴别工业标准。这个标准由三种安全机制组成,其中由中国科学院软件研究所研究员张振峰主持研制的匿名口令实体鉴别机制(YZ机制)是其中一种机制。这是我国在网络空间安全领域取得的少数几个自主研制的国际标准之一,极大增强了我国在这一领域的国际话语权。
网络空间环境下隐私保护是互联网应用面临的一大挑战,匿名口令实体鉴别是解决网络空间隐私保护问题的重要技术。YZ机制突破了身份鉴别时既要保护隐私又要抵抗字典攻击的相互制约,解决了基于强秘密的设计理论无法适用的问题,在保持性能优势的同时具有可证明安全性。因这一机制在性能和安全性方面具有显著优势,在全国信息安全标准化委员会组织的评审中被认为是“原创性贡献”。
YZ机制的一个重要优势是不依赖于额外存储、摆脱了同类技术对专用硬件的依赖性,解决了计算机问世以来最常用的口令鉴别技术面临的“鉴别不匿名、匿名无鉴别”难题。在隐私泄漏事件频发的安全形势下,该机制作为一种全新的隐私保护技术,可为网络空间中每天数亿次的实体鉴别实例提供隐私保护功能,大力提升我国“互联网+”应用的安全保障能力。
2014年起,我国政府将其作为国际标准提案并重点推进,先后经历了多个阶段的投票、贡献征集与意见处理,终于在2017年8月成功发布为国际标准。
据了解,随着互联网应用的快速发展,隐私泄漏问题日益凸显,2016年泄露数据达40亿条。隐私保护作为网络空间安全的新挑战得到了越来越多的重视,隐私保护的实体鉴别技术更得到各界广泛关注。