ETSI的加密网络流量问题

作者：Brandon Lewis，Chad Cox

去年，ETSI发布了关于加密流量集成（ETI）的GR ETI 001问题声明，该声明确定并尝试解决我们自己的安全机制在日益互联的世界中带来的挑战。具体而言，本文档概述了加密流量对尝试访问无权访问加密密钥的内容的第三方的负面影响。

虽然您可能认为这正是加密的重点，但请考虑一下，我们现在生活在一个基于应用程序，数据和无处不在的连接相互依赖的技术世界中。例如，单个 DoorDash 订单要求在客户、DoorDash 平台、餐厅和送货司机之间共享数据流量，所有这些人都必须能够以安全但透明的方式访问订单信息。

ETSI GR ETI 001问题陈述侧重于一种称为“变暗”的现象，即由于普遍的端到端流量加密，服务提供商或网络运营商等授权的间接方无法访问网络通信。您可以想象，随着更多连接的物联网设备和服务上线，这是一个日益严重的问题。

例如，下面的维恩图说明了加密的内容和标头如何导致连接工作的盲点。其中A代表开放性和网络透明度的需求，B代表互联企业的基本技术要求（包括安全性），C代表监管义务，如欧盟GDPR/网络安全法案，无线电设备指令和电子隐私法规。

图 1：导致变暗 （ETSI） 的加密内容的表示形式

在三个圆圈之间，沟通可能会变暗。ETSI将这些交叉点称为“网络限制”。这一挑战适用于简化的网络模型，VPN等架构中的层混淆，当然还有利益相关者模型。例如：

简化的网络模型：在某些情况下，可能需要检查数据包有效负载以验证数据包标头内容，这些内容描述了它在 N 网络层应如何执行。加密将只允许具有密钥的对等方根据数据包有效负载验证标头。

层混淆模型：像俄罗斯套娃一样对数据包进行分层和加密会产生与上述类似的问题，因为它要求需要访问内层数据包的利益相关者拥有上面所有层的加密密钥，包括他们需要访问的密钥。

利益相关者模型：如本文所述，不同类型的用户（非对抗性或网络管理员）可能需要但无法访问显示所需数据包和数据的加密密钥。

通过 ETSI 的国际战略投资计划 ETI 构建透明安全

正如维恩图所示，“走向黑暗”是一个没有明显解决方案的技术问题。例如，当局如何访问受隐私法规保护的数据，如图像，这需要访问网络的至少N + 1层，并随后访问某种类型的加密覆盖功能？

为了解决这一差距，ETSI宣布将其行业规范组加密流量集成（ISG ETI）延续到2024年中期，以帮助线程利益相关者通过无处不在的加密进行访问。就 ISG ETI 而言，加密还包括完整性和信任原则。

ISG ETI将致力于加密和密钥管理模型，为所有利益相关者提供整个通信链中适当级别的访问，以满足电子医疗，智能交通和智能城市等各种应用领域的要求。这些解决方案将在监管和立法的背景下进行考虑，以“确保‘信任合同’和‘零信任模型’在部署的网络中是可行的。”

参与国际战略咨询机构ETI的ETSI工作组包括：

网络

合法拦截

网络功能虚拟化

第五代固定网络 （F5G）

如今，ISG ETI工作组成员包括AT&T、T-Mobile、TELEFONICA等主要移动运营商，以及网络设备制造商华为技术、帕洛阿尔托网络、网络侦察系统等。但是，这将在不久的将来影响物联网设备流量的方式怎么强调都不为过。

审核编辑：郭婷