别再群嘲鹅厂了！_专栏_易百纳技术社区

过去一个月里，谁也没有想到，科技圈儿里最具话题性的事件，竟然是腾讯和老干妈之间一桩没有打成的“官司”。

事情的来龙去脉大概是这样的——2019年初，腾讯负责广告的小伙伴们突然接了一个大单子，号称“从来不打广告”的“老干妈”希望通过腾讯的平台进行一次网络推广，以覆盖网络新生代。很快双方敲定合作方案，利用腾讯旗下一款游戏APP实施推广计划，后续项目的执行也很顺利，但是到了该付款的时候却出现了麻烦，“老干妈”一直拖拖拉拉不给钱。于是忍无可忍的腾讯将“老干妈”诉至法院，想讨个说法。本来大家想好好围观一下这两家知名企业之间的恩怨情仇，结果反转来了——老干妈郑重宣布从来没有和腾讯公司进行过市场推广合作。

正当大家一头雾水时，警察蜀黍的通报也到了，经初步查实，原来是有3个大胆“毛贼”伪造老干妈的公章，冒充其身份与腾讯签约，目的是获取腾讯公司在推广活动中配套赠送的网络游戏礼包码，并通过互联网倒卖以非法获利。这一下，腾讯愤怒的“拳头”仿佛是打在了一团棉花上——原来鹅厂从一开始“吃”的就是“假的老干妈”——顿时成了全网的尴尬，在吃瓜群众眼里变成了一只容易上当受骗的“憨鹅”。

经过半个多月的发酵，这事儿终于告一段落，腾讯和“真的”老干妈发表了官方声明，消除了误会，握手言和了。不过这一纸声明，还是挡不住屏幕后面吃瓜群众心中的问号，其中最大的一个悬念就在于：鹅厂也毕竟是个大厂，对于合同及合作方身份真伪不可能没有严格的内部审核，几个毛贼是怎么蒙混过关的？仅靠几枚私刻的公章，就晃过了鹅厂的防线，有点让人匪夷所思。当然，大家都相信后面警察蜀黍会还原出一个真相，但不论真相如何，鹅厂这一票的损失都是实实在在的了。

前面说了这么多，本文的兴趣并不在于对这个终极真相做猜想，而是想通过这件事儿，让大家联想到另外一件更关乎我们每个人自身利益的事儿。

要知道，任何一个决策都是基于信息做出的，如果信息是假的，你越努力，只会在错误的道路上跑得更远，比如这次鹅厂的遭遇。而即使是如此的业务大单，在人们物理上面对面、密切接触的情况下，信息传递中还可能出现如此大的纰漏，那在如今我们越来越多依赖于网络的信息传递中，甚至是物联网中海量的、无需人参与的机器与机器之间的信息交互，如何能够确保信息安全，应该是件更让人操心的事。

从有互联网的那一天，从我们不知道和自己网聊的“是人还是狗”的那一天，对于网络安全这颗提着的心就没有放下来过，到了物联网时代，让人操心的“东西”就更多了。照常理，一个最有效的方法，就是确立一个安全标准，约束大家的行为规范，照此行事，在基本面上就可确保安全无虞。如今在确保互联网信息传输安全方面，一个最重要的标准就是安全传输层协议（TLS）, 它保证的就是在两个网络通信对象之间数据的保密性和完整性。

TLS脱胎于NetScape公司设计的安全套接层（SSL）协议，后来经过互联网工程任务组（IETF）的一系列标准化工作，将其打造成了如今的样子，经过两次版本迭代更新，2018年推出了最新的TLS 1.3。

TLS协议保护网络信息安全，做的核心的三件事就是：防止别有用心的人窃取信息、修改信息，以及冒充他人参与通信。如果用比较严谨的概念表达，就是要确保信息的“保密性、完整性和真实性”，这也是整个物联网信息安全的要义。从目前公开的信息来看，鹅厂之所以会在“假的”老干妈面前失守，最大的可能就是在第三点对于信息“真实性”的判别上，相信了不该相信的人。

为了实现这样的信息安全目标，TLS协议几乎用上了今天可以想到的所有安全技术，比如加密、随机数、数字证书等等。由这些技术架构起来的，是一个复杂的协议集。通信双方在通信发起时的“握手”，是一个外人看来非常繁复的过程，而实际上，这流程中的每一步的背后，都可能是一个亡羊补牢的安全教训。

图1，SSL/TLS协议握手过程（图源：网络）

真正吃透TLS协议是件比较耗时费力的事，篇幅有限，本文不做展开讨论。我们在网上找到一个网友用拟人化的方式，图解的SSL/TLS“握手”过程，直接搬过来供大家参考（见图2）。联想到腾讯“老干妈”的案子，如果在项目合作之初，也有如此缜密的一个审核确认的过程，也许就没有今天这桩热闹可看了。

图2，图解SSL/TLS协议握手过程（图源：网络）

不过需要说明的是，标准是人定的，实施落地也是靠人，在这个过程中难免会遇到这样那样的“干扰”，这也就导致最终结果会打折扣，给“毛（黑）贼（客）”留下侵入的缝隙。这种不利的“干扰”因素可以归纳为三个方面：

一、标准是否靠得住。毋庸讳言，在网络安全攻防战中，我们通常是处于守势，而黑客处于攻势，而且他们受利益驱动，往往更有积极性去探索不同的“攻”法，在这个道魔相争过程中，需要标准的制订不仅能够满足今天所需，还要考虑到明日可能的威胁，这确实是个挑战。

二、工具是否跟得上。TLS等标准，只是提供了一套规则，真正的落地还是需要通过配套的硬件和软件工具来实现，工具好不好用，有没有会使用工具的人，如何能够让用户用得省时省力省心，即使是网络安全“小白”，也能够罩得住？这都会成为制约因素，把人挡在“信息安全”的门外。

三、物联网是否用得起？SSL/TLS源于互联网，但是物联网应用有其特殊性，比如网络边缘端的设备和应用需求往往极其简单，没有足够的安全预算，甚至连简单的加密都感到“奢侈”——这就好比你在街边摊儿上买份小吃，是不会考虑和商贩签订一份合同的。这时想用上标准TLS的保护，就很难了。但全面的、不留死角的安全防护，一定是我们理想中的终极目标。

所以从上面的分析我们可以看出，在物联网安全这件事儿上，我们有强烈的愿望、不断完善的标准和工具，但在实施的过程中也不可避免地会暴露出自己的短板和弱点，给人以可乘之机。

因此，看到别人在信息安全问题上失守——比如鹅厂之于“假的”老干妈——别只顾着吃瓜和群嘲，能从别人身上照出自己的不足，“日参省乎己”，才是正事儿，否则拴在网上的每个人或者是机器，都可能成为下一只“肉鸡”或是“憨鹅”。

声明：本内容来自公众号【安富利】，版权归原作者所有，如涉及侵权请联系我们。

推荐阅读