Posts in category: 行业动态

一直以来，密码都是维护计算机安全的核心技术和黄金标准。

密码算法和协议作为解决人、机、物的身份标识，身份鉴别，统一管理，信任传递和行为审计问题，是实现安全可信、可控的互联互通的核心技术手段。
也正因如此，针对密码的网络攻击从未止息，甚至呈现愈演愈烈之势。 2020年1月1日正式实施的《中华人民共和国密码法》将密码分为核心密码、普通密码和商用密码。其中商用密码用于保护不属于国家秘密的信息。本文讨论的密码主要指商用密码。

密码发展的“冰火两重天”

随着新技术新应用的迅速发展，密码作为网络安全基石，在相关技术、标准、应用等方面也得到了快速发展。 近期，中国软件评测中心、中国计算机行业协会数据安全专业委员会编制并发布《商用密码应用安全性评估白皮书（2021年）》（以下简称《白皮书》）。
《白皮书》指出，近年来我国密码算法设计分析能力达到国际先进水平，我国自主设计的ZUC序列密码、SM2公钥密码、SM3杂凑密码、SM4对称密码、SM9标识密码等商用密码算法已成为国际标准，这些标准覆盖了密码算法、产品、技术、检测、应用等多个方面，我国密码标准体系正日益完善。 在产业侧，《2020—2021中国商用密码产业发展报告》显示，2020年我国商用密码产业规模突破466亿元，同比增速超33%。
在行业应用方面，密码技术和产品已广泛应用在通信、金融、教育、医疗健康、交通、能源、国防工业等领域。 例如，在物联网应用场景中，传统身份认证方式许多都是采用普通的口令认证，密钥强度低，安全隐患突出。
目前许多专业安全厂商提供基于商用密码的物联网安全解决方案，覆盖云管端三个层面，实现密钥安全分发、身份认证、数据加密/签名等安全服务。

商用密码在物联网领域的应用视图

（来源：中国软件评测中心网络空间安全测评工程技术中心）

电信和互联网行业历来是数字化进程的先驱，商用密码在护航行业数字化发展，保障用户数据安全过程中发挥着重要作用。
例如，中国电信提出“商密云”，采用商密云存储系统的“云+端”架构，实现商用密码技术和云存储技术的融合。
此外，商用密码在云平台运维系统中也发挥了重要作用，诸如在某运营商机房之间通过专线连接，VPN专线采用用户名+PIN+Ukey方式进行身份鉴别，系统登录采用账号ID+PIN码+Ukey方式，通过发送随机数字进行校验等，全方位保障数据安全。

商用密码在电信和互联网领域的应用视图

（来源：中国软件评测中心网络空间安全测评工程技术中心）

尽管密码技术、产品、标准等发展迅速，相关行业需求也十分强烈，但密码的发展在许多方面仍旧面临诸多问题。
《白皮书》指出，目前我国商用密码应用领域不够广泛，应用方式还不够规范，应用服务尚不够安全，应用需求难以契合等。 而从全球来看，来自密码的安全问题不容乐观。 微软的一组数据表明，几乎80％的网络攻击都是针对密码的，每天有250个企业账户会遭到黑客攻击。
Verizon 2021年数据泄露调查报告中的一项统计数据显示，61%的安全攻击事件可归因于凭据被盗。 身份认证领域的密码安全问题始终都是整体安全防护中的薄弱环节。

不仅如此，还有更加令人忧心的事实：My1Login的一项研究表明，虽然有人们都知道什么是强密码，但53%的员工却并不总是使用强密码，并且85%的员工在接受安全培训后仍会在各个业务应用中重复使用密码。 也就是说，网络安全培训很多时候在提高员工保护企业数据意识方面并没有达到预期效果。 因此，探寻其他有效的密码管理方式和身份验证手段，成为企业维护网络安全的当务之急。

探寻身份认证新赛道

无密码将成新希望？

密码管理带来的成本也是一个不可忽视的重要因素。有调查数据显示，全球员工平均每年花费11个小时输入或重置密码。
对于平均拥有15000名员工的公司，这直接导致生产力损失520万美元。 因此，不仅是安全问题，改善用户体验也成为越来越多的人开始尝试新的验证方式的理由。近年来出现了许多新兴技术和新应用方式，正成为代替传统密码技术的新突破点。 无密码（passwordless）技术作为一种新兴的安全技术和身份认证手段，正成为许多企业和安全厂商研究的重点。
此外，量子密码作为以量子力学和密码学相结合的新兴技术，正成为密码新技术的一个重要研究分支。目前业界的研究主要集中在协议设计与分析、密钥分发、身份认证、秘密共享、安全直接通信等方面。 无密码身份验证通常包括面部生物识别、硬件密钥、动态二维码认证、行为分析认证和零知识证明等技术。 面部生物识别（人脸识别）在当下已得到广泛应用，并在许多场景下取得不错的体验。
虽然面部生物识别在识别准确性与抗攻击等方面仍存在不足，但随着技术的提升，该项技术在发展前景上非常值得期待。

硬件密钥或基于硬件的一次性密码（OTP）形式多样，可以置于小型USB、NFC或蓝牙设备，也可以内置在用户手机中，在本地物理设备上实现对用户登录的身份验证。
动态二维码认证也可用于身份验证，用户通过扫描绑定到用户身份的二维码，触发生物识别扫描来确认身份。
行为分析认证通过某些独特因素诸如鼠标移动、打字习惯、登录历史记录等，并配合其他验证手段来确认用户身份。零知识证明（ZKP）身份认证是将密码转换为复杂且唯一的抽象字符串，通过相匹配的随机序列来证明客户端与服务器上的相应的数据集相同。
此外，还有企业尝试利用由深度神经网络驱动的声纹算法，实现特殊的语音认证解决方案，以解决用户身份验证与欺诈问题。 在国外，Ping Identity、RSA、Okta、微软和Duo等公司都已为客户提供了自己的无密码平台，例如微软的用户可以使用AzureActive Directory 以及微软民用服务进行无密码登录。
Ping Identity为用户提供一种多步骤的无密码方式，它通过将身份验证手段相集中，并将基于风险的MFA和FIDO登录密钥用作不同级别的验证。 当前无密码技术尚处于不断摸索和完善过程中，许多方面也存在一些争议，但业界很多人对此保持乐观。
Ping Identity公司的创始人兼CEO Andre Durand预测，在未来三到四年内，无密码安全将成为常态，但只有在不牺牲安全性的情况下方能消除对它的争议。 诚然，企业过渡到无密码解决方案需要一定的成本与投入，不过从某些程度上来说也是值得的。
无密码技术不仅可以减少企业的攻击面，增强终端用户安全性，同时也促进了多因素身份认证的采用以及遏制网络经济犯罪。但总体上讲，无密码技术的普及尚需时日。 密码是既古老又新颖的一项安全技术，步入智能时代，密码技术不会随着新安全技术的发展而消失，密码安全也并非单纯追求密码“有无”的问题，如今它依旧不可或缺，并将通过新的方式换发新生机，最终完成在解决安全问题的同时能为用户带来良好体验的使命。

原文转载：https://mp.weixin.qq.com/s/jgNtop0noWQM0UFiTOK8TQ

IT之家 9 月 5 日消息 微软近年来已经逐步将其办公相关的软件服务整合为 Microsoft 365。据外媒 mspoweruser 报道，微软今日宣布，2021 年 11 月 1 日之后，Outlook 2010 以及更老版本的软件, 将不支持接入 Microsoft 365 服务。只有 Outlook 2013 Service Pack 1 或更新版本的软件，才可以得到支持。

具体来看，旧版本的 Outlook 与以下服务的变化不兼容：

• Microsoft 365 将采用现代的身份验证协议，旧版本的认证不再被支持。新的协议不仅更加安全，而且能够提供合规性和策略控制，来帮助用户管理数据。
• 微软正致力于为 Microsoft 365 添加 HTTP/2 支持。这是一种全双工协议，通过压缩开头的数据以及多路复用，来减少延迟。

微软还表示，新的 Outlook 客户端软件更加安全，拥有了许多新功能，同时崩溃概率降低了 75%。IT之家了解到，除了 Outlook，微软 Office 2013 15.0.4971.1000 以前的版本同样不支持最新的 Microsoft 365 服务。

官方宣布，正在积极联系使用 Outlook 2007 和 2010 的大客户，以便尽快更新至最新版本的 Outlook，以保证服务的稳定运行。

原文转载：https://www.ithome.com/0/573/576.htm

[PConline 技巧]电脑加内存到底要怎么加？买太大的内存会不兼容吗？近年来电脑软件也好游戏也好，需要的内存越来越多，很多朋友都琢磨着加内存了。尤其是笔记本电脑用户，两三年前笔记本主流还是8G内存，到现在已经捉襟见肘。但到底加多少内存合适？一次性加满64G内存战未来，这方法到底可不可行？这还真未必。

很多电脑都支持自己加内存，但到底最多能加多少？

实际上，由于芯片组的限制，很多电脑都存在最大内存容量限制。就算将内存增加到了64G，电脑也未必都能用上。那么要如何才能知道电脑能支持最大的内存是多少？这就教大家一个小方法。

　　首先，我们打开电脑的CMD命令行，通过系统搜索就可以直接开启，Win7、Win10都是一样的。

　　接着，在CMD中输入以下命令：

wmic memphysical get maxcapacity

按下回车键，就会得出一串数字。这串数字就是能支持最大的内存容量，不过单位是千字节，我们将它换算成GB单位，公式如下：

GB=千字节÷1024÷1024

例如笔者查询出33554432这个数字，经过计算就可以得知，电脑最大支持32GB的内存。考虑到笔者电脑只有两个内存条插槽，那就应该购买两条16G的内存插满，多了也不过是浪费。

　　好了，这就是查询电脑支持最大内容容量的技巧，希望能帮到大家吧！

原文转载：https://pcedu.pconline.com.cn/1453/14539659.html

来源：内容由半导体行业观察（ID:icbank）编译自「ICinsights」，谢谢。

IC Insights 最近发布了前 25 名半导体供应商的第三季度销售增长预期汇编。今年第三季度（截至 9 月），前 25 名供应商的销售增长前景呈现从排名第 16 位的索尼增长 34% 到英特尔的 3% 下降不等。
图 1 显示了前 15 名供应商的第三季度增长预期。在即将到来的假期期间对 5G 智能手机的预期需求激增之前，高通和苹果预计其 21 年第三季度的半导体销售额将显着增长。此外，三大内存 IC 供应商——三星、SK 海力士和美光——预计将分别增长 10%，而铠侠预计第三季度销售额将增长 11%，因为数据中心服务器对内存的需求仍然强劲，企业计算，以及 5G 智能手机和相关基础设施。
2Q21，台积电是全球销售额第三大半导体公司，也是全球最大的半导体代工厂。它是基于领先 7/5nm 工艺技术的 IC 的首选制造商，这些技术需求量很大，占台积电第二季度收入的一半左右。该公司报告称，其 2Q21 收入的 18% 来自使用其 5nm 工艺技术制造的 IC，而 7nm 器件技术占其 2Q21 销售额的 31%。
台积电预计其 3Q21 销售额将增长 11%。IC Insights 预测其销售额将在 21 年第四季度再增长 4%。IC Insights 认为，台积电下半年的销售额将比上半年的销售额增长 14%，全年增长 24%。如果实现，这将标志着这家代工厂巨头连续多年收入增长超过 20%。台积电 2020 年的年销售额增长了 31%。
AMD 在 2021 年第二季度被评为第 11 大半导体公司，并预计其销售额将在 21 年第三季度增长 6%。今年，AMD 预计销售额将大幅增长 60%。自 2020 年第二季度以来，AMD 的销售额一直在快速增长。预计该公司今年第三和第四季度的销售额将分别达到 41 亿美元和 42.3 亿美元，下半年销售额将比 1H21 增长 14%。AMD 使用台积电使用 7nm 技术制造其新的 Zen 3 处理器。

一些领先的公司——尤其是英特尔和德州仪器——预计 21 年第三季度的销售额不会出现如此乐观的增长。TI 指导 21 年第三季度销售业绩持平。英特尔现在是全球第二大半导体供应商，在其最近的收益报告中将其 21 年第三季度的销售指导定为 -3%，并将全年销售指导定为 -1%（图 2）。在预计半导体总销售额将增长 24% 的一年

中，这对于这家处理器巨头来说将是一个特别疲软的表现。此外，英特尔的 2H21/1H21 销售预期也下降 1%。目前预计英特尔 2021 年第 4 季度的销售额将比其 20 年第 1 季度的销售额低 3%，从而导致两年期间业绩基本持平。
总体而言，前 15 家公司预计将在 21 年第三季度实现 7% 的增长。半导体销售预计到年底仍将保持强劲，这支持 IC Insights 目前对今年全球半导体销售增长 24% 的预测。

原文转载：https://mp.weixin.qq.com/s/T3iu04tQA-UBLMmoDiHEHw

7月20日下午，由中国信通院牵头撰写的《隐私计算与区块链技术融合研究报告（2021）》正式发布。这是国内首个探讨隐私计算和区块链技术融合价值的专题研究报告。报告指出，要构建更加高效、完善的数据要素交易市场，仅靠单一技术是不够的，隐私计算与区块链技术相融合，能实现1+1>2的效果，为实现数据价值共享提供了新的技术路径和解决思路。

作为数据安全流通的关键技术，隐私计算和区块链技术天然互补。《报告》中指出，隐私计算主要解决数据共享计算环节中的数据隐私保护问题，区块链则侧重构建可信协作网络，实现数据全生命周期的管控，两者的结合为数据要素市场化提供了一套完整、严密的解决方案，让数据流通、共享变得“有技可循”。

具体来看，区块链与隐私计算的有机结合，使原始数据在无需出域与归集的情况下，实现多节点间的协同计算和数据隐私保护。同时，能够解决大数据模式下存在的数据过度采集、数据隐私保护，以及数据存储单点泄漏等问题。区块链确保计算过程和数据可信，隐私计算实现数据可用不可见，两者相互结合，相辅相成，实现更广泛的数据协同。

近年来，各国密集出台相应政策大力支持数字经济发展，核心都着眼于更加高效和安全的数据流通和开放。我国也先后发布一系列鼓励数字经济发展的政策规划。

随着市场需求不断增强，隐私计算产业迸发式增长，互联网巨头、数据服务商、初创企业、金融机构、运营商等纷纷加入。隐私计算和区块链技术是密码学的“同胞兄弟”，两者在技术和产品上有许多相似之处，以蚂蚁链等为代表的科技公司凭借技术优势和业务诉求驱动，率先探索隐私计算产品研发和应用。

以蚂蚁链的摩斯安全计算平台（MORSE）为例，其基于多方安全计算、隐私保护、区块链等技术，能够实现数据可用不可见，解决企业之间数据协同计算过程中的数据安全和隐私保护问题。目前，MORSE在金融、电信、汽车等10多个行业落地。

蚂蚁链还将TEE（可信执行环境）技术深度融合到区块链技术中，以此来解决区块链全生命隐私保护周期难题，相关技术论文入选国际顶会ACMSIGMOD20。

据中国信通院统计，目前国内56项隐私计算产品，其中21项出自区块链背景企业。

据国家工业信息安全发展研究中心测算，截至2021年底，我国数据要素市场规模将达到704亿元，预计在“十四五”期间将突破1749亿元，总体上进入高速发展阶段。《报告》中写道，随着各国政策不断支持与引导，信任和共享文化将得到大力弘扬，区块链结合隐私计算技术将成为各行业数据流通的标配，立竿见影解决多方协作过程中的信任和隐私问题。

原文转载：https://www.yzwb.net/zncontent/1482873.html

7 月 10 日，2021 世界人工智能大会（WAIC）在上海落下帷幕。

自从 2011 年至今，随着大数据、云计算、互联网、物联网等信息技术的发展，人工智能已经逐渐应用于各个领域，它不仅给许多行业带来了巨大的经济效益，也为我们的生活带来了许多改变和便利。

从本届大会所揭示的人工智能技术发展方向来看，人工智能更聚焦实际场景，从自动驾驶、AI 服务再到 AI 智造，人工智能正在展现巨大的赋能潜力。

自动驾驶仍然是头号热点

2021 被称为智能汽车元年，自动驾驶和高级辅助驾驶都得到各方加码。在 WAIC 现场，多家厂商推出的各种智能驾驶新品百花齐放，都表明 AI 在自动驾驶领域迎来井喷式发展。

华为在本届大会上展示了其研发的华为 ADS 高级自动驾驶全栈解决方法。作为业内唯一实现车位到车位一键导航能力的解决方案，华为提供了从家庭车位往返公司车位的车道级连续导航通勤能力。

中国最大 AI 独角兽商汤科技也在 2021 世界人工智能大会上秀了下自己的“造车”硬核实力，首次对外展示了 SenseAuto 自动驾驶 AR 小巴，基于商汤在自动驾驶、智能座舱、车路协同智能汽车解决方案，通过 AI 和 AR 技术的结合，使车辆可以在特定站点自动停留接驳乘客，并通过完全自主的导航和驾驶，沿固定线路将乘客点对点地安全送达目的地，适用于园区通勤摆渡、景区观光游览等多种接驳场景。

货车运输行业的自动驾驶是会场的热门应用之一。嬴彻科技展示了 2 款自动驾驶重卡的量产车型，其搭载嬴彻轩辕自动驾驶系统，支持更丰富的高阶自动驾驶；小马智行的小马智卡自动驾驶卡车已经开展了 200 多天的道路测试，并实现了商业运营。

自动驾驶技术的落地也不局限于道路上行驶的车辆。在本届大会上，阿里展示了物流无人车“小蛮驴”，集成了达摩院最前沿的人工智能和自动驾驶技术，用户只需手机下单，无人车就会按约定时间将包裹送达。

机构预计 2030 年自动驾驶汽车会占据整体出行里程 40％以上，完全自动驾驶新车渗透率 10％。据乘联席会数据显示，预计未来五年自动驾驶市场规模将持续保持增长态势，到 2024 年有望突破 1000 亿元。

在巨大的市场红利驱动下，自动驾驶头部企业在“AI 赛道”上展开竞技，显示出人工智能技术在出行中的多种可能性。

国产 AI 芯片破局突围

作为人工智能技术的的底层驱动，AI 芯片成为热门的创业领域，涌现了寒武纪、地平线、燧原科技等一批创业公司。同时，华为、阿里巴巴等大厂也纷纷入局 AI 芯片，国产 AI 芯迎突围最佳时机。

在本届世界人工智能大会上，多款中国芯片首发。

国内 AI 芯片初创企业燧原科技发布第二代人工智能训练产品 ——“邃思 2.0”芯片、基于邃思 2.0 的“云燧 T20”训练加速卡和“云燧 T21”训练 OAM 模组，全面升级的“驭算 TopsRider”软件平台以及全新的“云燧集群”。

燧原科技创始人、CEO 赵立东表示，“我们存在差距的，是在半导体芯片这块。人工智能芯片是跨人工智能和芯片两个领域，燧原是第一个看到机会的，我们直接做了人工智能训练（芯片）。最近有很多公司开始逐渐参与进来，但燧原在这个领域已经有先发的优势。”

除了燧原科技，天数智芯展示了国内第一款全自研、GPU 架构下的 7 纳米制程云端训练芯片 B1 及 GPGPU（通用计算 GPU）产品卡；登临科技展示了自主创新的 GPGPU 芯片，致力于解决通用性和高效率难题，在完整提供 CUDA/OpenCL 硬件加速能力的基础上，全面支持各类流行的人工智能网络框架和底层算子。

原文转载： https://www.ithome.com/0/562/269.htm

还在用账户 + 密码对 GitHub 上的 Git 操作进行身份验证？

赶紧整个 token（令牌）或 SSH 密钥吧！

8 月 14 号 0 点（8 月 13 日 9:00 PST）开始，在 GitHub 上执行 Git 操作就会导致失败。

GitHub 官方表示，这一举措是为了提高 Git 操作的安全性，防止密码撞库等事情发生。

哪些操作会受影响？

简单来说，如果你还在用账密验证 Git 操作，这些行为都会受到影响：

• 命令行 Git 访问
• 采用 Git 的桌面应用程序（GitHub Desktop 不受影响）
• 账密访问 GitHub 上 Git repo 的一切应用程序/服务

这些用户不会受影响：

• 已经采用 token 或 SSH 密钥方式验证，即启用双因素身份验证（2FA）的用户
• 使用 GitHub Enterprise Server 本地产品的用户（该产品尚未对此进行更改）
• 使用 GitHub App 的用户，此前已经不支持账密验证

当然，大部分经常使用 Git 的用户应该都已经知道这件事了。

在今年 6 月 30 号（15~18 时）、7 月 1 号（0~3 时）、7 月 28 号（15~18 时）和 29 号（0~3 时），GitHub 已经针对这件事进行了预演，所有 Git 操作都被要求用 token 或 SSH 密钥验证。

现在，这项举措已经变成一个永久措施。

GitHub 究竟为什么要这样做呢？

token 和 SSH 密钥安全在哪里？

首先需要了解，只用账户和密码进行身份验证会有什么隐患。

互联网上，每天都有大量网站遭受黑客攻击，导致数据外泄，这些数据中就包括不少用户的账号密码。

拿到账号密码后，黑客会用它们试着登录其他网站，也就是所谓的密码撞库。

简单来说，如果你 ABC 网站用的是一套账户密码，在 A 网站的密码被泄露后，BC 网站也可能会被盗号。

为了防止密码撞库，网站会采取更多手段验证身份信息，像 GitHub 就推出了双因素身份验证、登录警报、设备认证、防用泄露密码及支持 WebAuth 等措施。

双因素身份验证，是指在秘密信息（密码等）、个人物品（身份证等）、生理特征（指纹/虹膜/人脸等）这三种因素中，同时用两种因素进行认证的过程。

现在，GitHub 开始强制用户采用 token 或 SSH 密钥进行身份验证。相比于账密，这两者的安全性显然更高：

• 唯一性：仅限 GitHub 使用，根据设备/使用次数生成
• 可撤销性：可随时被单独撤销，其他凭证不受影响
• 区域性：使用范围可控，只允许在部分访问活动中执行
• 随机性：不受撞库影响，比账密复杂度更高

那么，token 和 SSH 密钥之间，哪个更合适呢？

虽然目前 GitHub 官方推荐的是 token，因为它设置更为简单，不过相比之下，SSH 密钥的安全性要更高一些。

还没有设置 token 或 SSH 密钥的 Git 用户，可以戳官方教程整起来了~

GitHub 设置教程：

[1]https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token

[2]https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

参考链接：

[1]https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/

[2]https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/

原文转载：https://www.ithome.com/0/569/298.htm