棱镜系统是怎么工作的？

英国《卫报》和美国《华盛顿邮报》近日报道称，美国国安局通过“棱镜”计划大范围收集并监控网络和电话用户信息，包括邮件、聊天记录、视频、照片、存储数据、文件传输、视频会议、登录时间和社交网络资料等。涉及九大互联网公司，微软、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、苹果都在其中。

这方面的报道非常多，各个互联网公司也纷纷发布声明来否认，然而，对于棱镜系统实际是如何运作的细节情况，却现有披露，月光博客就通过现在公布的一些报道来分析和推测一下棱镜系统到底是什么运作的。

涉事公司分析

首先分析一下涉事的这几家公司，其中，微软2007年9月开始与政府合作，雅虎是2008年3月，谷歌2009年1月，Facebook是2009年6月，PalTalk公司2009年 12月，YouTube是2010年9月，Skype是2011年2月，AOL是2011年3月，苹果则是2012年10月。

这些公司的互联网产品则多种多样，其中，客户端操作系统有微软和苹果，电子邮件有微软、雅虎、谷歌，社交网络有Facebook、谷歌、YouTube；即时通讯有微软、雅虎、谷歌、Facebook、PalTalk、Skype、AOL；网络接入服务ISP有AOL。这些公司提供的服务涉及到大部分网民的常用服务。

思科的作用

除了上述9家企业，更有媒体将矛头指向思科。此前有消息显示，斯诺登披露，美国国家安全局通过思科路由器监控中国网络和电脑。

思科面对这些指控否认称，“棱镜”项目不是思科项目，思科网络没有参与此项目。此外，思科没有在中国或世界任何地方监控普通公民或政府部门的通讯。

思科虽然否认参与棱镜项目，但是没有否认这样的事实：思科产品有网络侦听功能，而且存在后门。其实，无论参与还是不参与，思科都能有能力和条件监控互联网。有没有枪是一回事，参没参与杀人是另外一回事。思科否认了自己杀人，但是没有否认自己有枪。

1994年，美国国会通过CALEA《执法通信辅助法》，该法通过之后，执法机关可以根据法院监听令状直接接入电信网络启动电信运营商交换机中的监听功能。这意味着美国法律要求电信运营商必须提供监听服务，思科产品自然不能例外。

实际上，思科在自家网络产品中预留大量存在的后门，已经是业界的常识了。但要证明这些后门的使用是为了恶意监控还有很大难度。同样，华为和中兴始终无法打开美国市场主要因为网络安全问题的隐忧。去年，在对华为、中兴两家企业长达11个月的调查后，美国众议院情报委员会发表报告称，美国电信运营商不应和华为、中兴两家公司进行合作，因为这两家公司“可能对美国国家安全构成威胁”。

对比来看，中国市场对于思科这样的外资企业似乎没有任何防备。有资料显示，过去十几年间，思科几乎参与了中国所有大型网络项目的建设，涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业。中国电信、中国联通等电信运营商的网络基础建设思科也参与其中，在承载着中国互联网80%以上流量的中国电信163和中国联通169两个骨干网中，思科占据了70%以上的份额，并占据着所有超级核心节点。

思科公司是美国也是全球最大的路由器、骨干网络设备制造商，在行业中处于领军地位，那么思科公司完全有可能在美国政府的反恐要求下，在其设备上对各类网络活动进行监控，并将监控到的数据提交给美国政府。

据悉，美国国安局旗下设有一个部门，名为“定制入口行动办公室”(TAO)。该部门过去近15年中一直从事侵入中国境内电脑和通讯系统的网络攻击，借此获取有关中国的有价值情报。巧合的是，根据方校长回忆，15年前，也就是1998年，正好是中国某个大型网络工程建立的时刻，而此工程用的核心设备由美国思科提供的。

因此我认为，思科在“棱镜”项目里处于一个极为重要的地位，所有参与公司的流量数据都通过各种路由器才能传给用户，而思科提供的路由器等设备具有监控窃听这些数据的功能，这样，微软、谷歌和苹果的确没有让中情局“直接”访问他们的数据，但中情局却通过思科获得了他们的数据。

这也就是美国这么害怕华为中兴（思科的竞争对手）进入美国市场的原因。

如何在通讯层进行大规模监控

我们知道，互联网上的用户和发布的信息都是海量的，不同的网络公司提供的数据又都不同，如何用一种低成本而简单的方法对互联网上的海量信息进行监控，显然，各个互联网公司给美国政府开后门的方法并不太合适，因为各家公司的数据结构各不相同，在这些海量数据中寻找信息也有难度，难以用统一的方法进行监控。

那么，在通讯层面进行监控就是最为简单有效的监控方法了，我们知道，常见的网络传输协议就几种，例如http、ftp、smtp、pop3、telnet等等，最关键的是，这里面大部分网络传输协议都是明文传输数据，这样，监控着只需要在路由器的关键节点部署一些网络监听设备，就可以截取到所有明文传输的信息。

当然，为了传输安全，不是所有的协议都是明文传输，很多系统为保证传输安全，都采用SSL加密策略。SSL（Secure Socket Layer）是目前获得广泛应用的一个工业标准，它在底层为上层协议提供数据加密服务，对用户是透明的，用户的数据以加密的形式在网络中传输，即使中间路由被黑客窃听也不可能破译出数据的真实内容。对于https的访问过程中，网站服务器生成的WEB页面经过加密之后才发送到用户的浏览器上，再经过浏览器解密，显示在用户面前。这样，就完全防止了通讯内容在传输过程中被窃取的可能。

遇到这种https加密的情况，也并不是绝对安全，也有一些攻击方法，例如可以通过发假证书进行中间人攻击，从而破解https传输的内容。详见月光博客《破解Google Gmail的https新思路》。

棱镜是如何工作的？

棱镜的具体工作原理，一直没有一个明确的说法，根据上面的分析，我觉得棱镜系统很可能是这样工作的：在互联网的骨干网路由器上，思科提供的设备默默地监听着来往的流量，包括邮件、聊天记录、文件传输、社交网络资料等所有明文传输的东西，用户在谷歌、雅虎、微软等搜索引擎上的搜索关键字也会被监控，这些信息是海量的，棱镜系统，正如它的名字所暗示的，将海量信息中一些“特殊信息”集中、过滤并记录下来，这样，正如谷歌、苹果、微软所声明的那样，微软、谷歌和苹果的确没有让中情局“直接”访问他们的数据，但中情局却通过思科的设备间接获得了他们的数据。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!