作者：Brandon Lewis，Chad Cox

去年，ETSI發(fā)布了關于加密流量集成（ETI）的GR ETI 001問題聲明，該聲明確定并嘗試解決我們自己的安全機制在日益互聯(lián)的世界中帶來的挑戰(zhàn)。具體而言，本文檔概述了加密流量對嘗試訪問無權訪問加密密鑰的內(nèi)容的第三方的負面影響。

雖然您可能認為這正是加密的重點，但請考慮一下，我們現(xiàn)在生活在一個基于應用程序，數(shù)據(jù)和無處不在的連接相互依賴的技術世界中。例如，單個 DoorDash 訂單要求在客戶、DoorDash 平臺、餐廳和送貨司機之間共享數(shù)據(jù)流量，所有這些人都必須能夠以安全但透明的方式訪問訂單信息。

ETSI GR ETI 001問題陳述側(cè)重于一種稱為“變暗”的現(xiàn)象，即由于普遍的端到端流量加密，服務提供商或網(wǎng)絡運營商等授權的間接方無法訪問網(wǎng)絡通信。您可以想象，隨著更多連接的物聯(lián)網(wǎng)設備和服務上線，這是一個日益嚴重的問題。

例如，下面的維恩圖說明了加密的內(nèi)容和標頭如何導致連接工作的盲點。其中A代表開放性和網(wǎng)絡透明度的需求，B代表互聯(lián)企業(yè)的基本技術要求（包括安全性），C代表監(jiān)管義務，如歐盟GDPR/網(wǎng)絡安全法案，無線電設備指令和電子隱私法規(guī)。

圖 1：導致變暗 （ETSI） 的加密內(nèi)容的表示形式

在三個圓圈之間，溝通可能會變暗。ETSI將這些交叉點稱為“網(wǎng)絡限制”。這一挑戰(zhàn)適用于簡化的網(wǎng)絡模型，VPN等架構中的層混淆，當然還有利益相關者模型。例如：

簡化的網(wǎng)絡模型：在某些情況下，可能需要檢查數(shù)據(jù)包有效負載以驗證數(shù)據(jù)包標頭內(nèi)容，這些內(nèi)容描述了它在 N 網(wǎng)絡層應如何執(zhí)行。加密將只允許具有密鑰的對等方根據(jù)數(shù)據(jù)包有效負載驗證標頭。

層混淆模型：像俄羅斯套娃一樣對數(shù)據(jù)包進行分層和加密會產(chǎn)生與上述類似的問題，因為它要求需要訪問內(nèi)層數(shù)據(jù)包的利益相關者擁有上面所有層的加密密鑰，包括他們需要訪問的密鑰。

利益相關者模型：如本文所述，不同類型的用戶（非對抗性或網(wǎng)絡管理員）可能需要但無法訪問顯示所需數(shù)據(jù)包和數(shù)據(jù)的加密密鑰。

通過 ETSI 的國際戰(zhàn)略投資計劃 ETI 構建透明安全

正如維恩圖所示，“走向黑暗”是一個沒有明顯解決方案的技術問題。例如，當局如何訪問受隱私法規(guī)保護的數(shù)據(jù)，如圖像，這需要訪問網(wǎng)絡的至少N + 1層，并隨后訪問某種類型的加密覆蓋功能？

為了解決這一差距，ETSI宣布將其行業(yè)規(guī)范組加密流量集成（ISG ETI）延續(xù)到2024年中期，以幫助線程利益相關者通過無處不在的加密進行訪問。就 ISG ETI 而言，加密還包括完整性和信任原則。

ISG ETI將致力于加密和密鑰管理模型，為所有利益相關者提供整個通信鏈中適當級別的訪問，以滿足電子醫(yī)療，智能交通和智能城市等各種應用領域的要求。這些解決方案將在監(jiān)管和立法的背景下進行考慮，以“確保‘信任合同’和‘零信任模型’在部署的網(wǎng)絡中是可行的。”

參與國際戰(zhàn)略咨詢機構ETI的ETSI工作組包括：

網(wǎng)絡

合法攔截

網(wǎng)絡功能虛擬化

第五代固定網(wǎng)絡 （F5G）

如今，ISG ETI工作組成員包括AT&T、T-Mobile、TELEFONICA等主要移動運營商，以及網(wǎng)絡設備制造商華為技術、帕洛阿爾托網(wǎng)絡、網(wǎng)絡偵察系統(tǒng)等。但是，這將在不久的將來影響物聯(lián)網(wǎng)設備流量的方式怎么強調(diào)都不為過。

審核編輯：郭婷