来源:中广互联
作者:刘兰兰
7月10-12日,IEEE 情报与安全信息学国际会议(简称ISI’11)在北京友谊宾馆举行。本次大会邀请世界各地知名学者、专家齐聚北京参与讨论。7月12日,爱迪德顾元祥先生主持软件安全与保护研讨会,与来自世界的业内专家共同探讨如何在三网融合的环境下有效保护软件和内容。中科院自动化研究所研究员王飞跃先生、IEEE ISI 2011专家研讨会主席、亚利桑那大学计算机科学系教授Christian Collberg先生、美国弗吉尼亚计算机科学教授Jack W. Davidson先生参加了会议。
爱迪德Cloakware创建人及首席架构师,爱迪德Cloakware高级研究中心主任顾元祥先生
安全保护面临两方面挑战
顾元祥先生指出,当前人们通过移动终端设备上网,越来越多的数据处理通过云计算的方式进行。由于客户端设备不可信,网络不可信,云计算不可信,因而不可信环境成为主流。安全保护成为最重要的问题之一。当前安全保护主要面临两方面挑战:一个是白箱安全问题;一个是动态安全问题。
白箱安全问题是指在传统攻击下,客户端和服务端都是安全的,主要考虑解决的是传统的网络安全要解决的问题。现在,所有的设备都在用户手中,例如手机。用户可以直接访问设备上所有器件包括软件,这时候设备是不可信的。这就好比博物馆中有很多珍贵展品,如果不加保护,就可能被损害或者掉包。设备上的软件就相当于展品,如果不保护就会被修改或篡改。如果服务商提供的某个商业服务必须通过软件,才能在设备上运行,那么必须使得这个软件不被修改,避免终端级攻击,正常的商业模式才能够继续运作。白箱安全的挑战,就在于如何在不可信环境中保护软件安全,使得软件可信。
第二是软件的动态安全性。在传统的静态安全概念中,只要做了保护加密,就假设是无法破解的。而在现实生活中,任何一种保护,包括硬件的保护,只要给足够的时间,都可以破解。在静态安全的概念中,保护是一次性的。如果安全保护被破解,系统就彻底失去保护。而动态软件的概念就是在设计安全性的时候,考虑到被破解的可能性,要有更新和恢复软件安全的方法。这就好比人体生病后吃药,可以恢复健康。由此爱迪德提出安全的生命周期管理的理念。
数字资产保护实际上是做两件事情
基于安全保护面临的两方面挑战的分析,顾元祥认为,数字资产的保护实际上要做两件事情:一是要对软件本身进行保护,因为数字资产从生成、传播到使用,是通过软件来实现的。如果不保护软件,保护数字资产是一句空话,所以必须对软件进行系统保护。第二是根据动态安全性的理念,在设计保护的时候,要考虑到安全保护有可能被破解掉,需要考虑破解掉以后的策略,要对软件的生命周期进行监督观察,发现攻击后采取一定手段,在短时间内使得软件恢复正常,使得安全性更新,商业模式才能得以继续。
“数字资产的保护最根本的是软件资产的保护和生命周期的管理。爱迪德具有世界先进的软件保护技术,是唯一一家在生命周期方面提供技术支持的公司,所以在数字资产保护方面很全面。不光是多媒体、电子书、应用程序,并且对游戏、电子地图、云计算还有智能电表等任何一种数字化资产都可以保护”,顾元祥表示。
DAPA组织宣告成立
研讨会上,Christian Collberg教授、Jack W. Davidson教授介绍了媒体资产保护(Digital Assets)的现状和挑战。会上还宣布,数字资产保护协会(DAPA,Digital Asset Protection Association)成立。
据中科院自动化所研究院王飞跃先生介绍,DAPA组织的成立已经酝酿了2年,中科院自动化所是是发起单位之一。过去的安全保护主要强调硬件保护系统。在内容安全和硬件安全之间还有软件安全,DAPA组织就是基于软件安全的概念,发展出保护所有数字财产安全的概念。当今的云计算和物联网的兴起,使得数字财产安全的保护问题更加急迫。这个组织期望团结三方面的力量,政府、研发机构、企业机构,保护数字资产行业健康发展。比如以第三方的身份挑明目前数字资产行业面临的问题,各机构开放相应的软件系统和解决方案。顾元祥表示,目前DAPA组织还处于早期阶段,“我们从研究的角度,先宣布成立,目的是利用此会议吸引很多人参加。实际上距离这个组织正式成型,还需要一段时间,需要有纲领、章程,还要有很多法律上的设置。等到这些都比较确定了,会有更加正式的形式”。
谈及DAPA组织和中国ChinaDRM和国外的Marlin组织的异同之处时,顾元祥表示,DAPA组织和二者没有冲突,“ChinaDRM是在中国广电的标准组织,Marlin是国际上DRM的一个标准,有些国家采纳了有些国家没有采纳”。具体而言,DAPA组织主要针对数字资产的保护,强调技术、政策、教育等方面,关注范围更宽一些,而China DRM与Marlin是具体的DRM的组织。将来DAPA也有可能同China DRM与Marlin建立合作关系。
编辑:鲁晨
|
