據(jù)網絡密碼認證北京市重點實驗室報道:該實驗室經過多年攻關����,終于突破了超大規(guī)模用戶認證的關鍵技術,解訣海量用戶(設備)網絡身份識別的難題��。該成果屬國際首創(chuàng)已經獲得多項國家發(fā)明專利�。
該實驗室研發(fā)團隊在技術攻關過程中����,注意到所有密碼學教課書都給出的結論:在計算機里�,對稱密碼算法的加/解密速度是非對稱密碼算法的100倍�,在芯片硬件里,對稱密碼算法的加/解密速度是非對稱密碼算法的1000倍��。對稱密碼算法的運行速度具有絕對優(yōu)勢�����。
但是���,“為什么國際上主流認證/簽名協(xié)議都是基于非對稱密碼算法?為什么不采用運行速度快的對稱密碼算法來建立認證/簽名協(xié)議?”最初,當大家提出這個問題時�����,不免讓人覺得有點“太業(yè)余”���。
如果拋開國際上已經被廣泛應用近20年的非對稱密碼算法建立的認證/簽名協(xié)議�,而采用對稱密碼算法建立認證/簽名協(xié)議��,行不行呢?
不行�。國際經典的“認證/簽名”理論早有結論:基于對稱密碼算法建立認證/簽名協(xié)議理論上可行,實際上不能很好運轉��。理由是對稱密鑰管理的負擔太重(見《應用密碼學》(美Bruce Schneier 著,吳世忠等譯)2.6.1節(jié))��。且采用非對稱密碼算法建立認證/簽名協(xié)議����,已經成為世界上各個國家或地區(qū)的技術標準或規(guī)范。
該實驗室研發(fā)團隊不被國際經典理論所束縛��,敢于挑戰(zhàn)權威��,敢于創(chuàng)新�����。通過深入研究發(fā)現(xiàn)����,國際經典“認證/簽名”理論是建立在十多年前,當時的芯片技術還比較落后����,當今,芯片已經能存儲大量數(shù)據(jù)����,并利用IP核電路的設計�,能保證各種密碼算法����、安全協(xié)議的程序及其數(shù)據(jù)存儲和運行安全。并發(fā)現(xiàn)利用芯片“陣列”硬件來作為認證/簽名的仲裁者���,只要解決對稱密鑰的更新管理這一課題,則采用對稱密碼算法建立認證/簽名協(xié)議將成為可能��。于是�����,該實驗室研發(fā)團隊將研究的重點鎖定在對稱密鑰更新管理的課題上���,該實驗室研發(fā)團隊經過深入攻關�,提出組合密鑰技術�,該技術是一種對稱密鑰更新管理的算法,即:采用組合密鑰生成算法�����,對一套密鑰種子“表”的密鑰元素進行選取,將選出的密鑰元素合成一組對稱密鑰�����,通過理論計算�,保證在一分鐘內,生成的密鑰元素完全相同的概率為1/264或1/2160����,基本上能實現(xiàn)密鑰生成一次一變,不重復�。
將該密鑰生成算法和被選取的密鑰種子“表”的密鑰元素,存放在芯片硬件里��,并在客戶端和認證中心端的芯片里運行���,從而�,保證密鑰生成的協(xié)議安全可靠��。當用戶量十分大時�����,對應的密鑰元素的數(shù)據(jù)量也十分大�,在認證中心將海量的密鑰元素數(shù)據(jù)分別加密成密文存儲在數(shù)據(jù)庫中��,在認證中心運行認證/簽名協(xié)議時����,首先�,將密鑰元素的密文輸入芯片里,在芯片里解密成明文����,再根據(jù)密鑰生成算法對解密后的密鑰元素進行選取,再生成認證/簽名密鑰����。
該實驗室研發(fā)團隊的趙桂芬博士��,在法國國際密碼應用年會上宣讀了這項研究成果的有關論文����,受到與會學者和專家的好評,大會主席�����、美國哥倫比亞大學的國際著名密碼學家Moti Yung:認為該認證技術方案的認證協(xié)議效率高����,且協(xié)議和密鑰是安全的�����,是一種技術創(chuàng)新����。大會執(zhí)行主席����、我國著名國際密碼學家韓永飛教授認為:“該認證技術方法設計獨特,它打破了強密碼認證技術統(tǒng)一使用RSA和ECC非對稱密碼算法體制的方法��,采用對稱密碼算法體制和組合密鑰技術�,來建立網絡密碼認證/簽名系統(tǒng),且具有安全性高�,認證/簽名協(xié)議速度快,認證中心管理用戶量大���,建設和維護成本較低的優(yōu)勢���,至少領先世界10年以上”。
基于該成果建立的認證中心���,經過《國家應用軟件產品質量監(jiān)督檢驗中心》(以下簡稱“檢測中心”)的性能檢測��,各項技術指標都優(yōu)于國際通用的密碼認證/簽名技術����,尤其是能解決海量用戶(設備)身份識別的世界性難題。
該實驗室副主任����、北京市科技新星: 李瑛 告訴記者:本成果與現(xiàn)國際常用認證技術相比有如下優(yōu)勢:
1、安全性高���,認證/簽名密鑰由密鑰生成算法組合生成���,一次一變,不重復使用�����,密鑰的生成算法和密鑰元素數(shù)據(jù)都存儲在芯片里��,受到芯片硬件的保護����,認證/簽名協(xié)議在芯片里實現(xiàn),是一種“芯片級”的認證/簽名協(xié)議�����。
2�����、管理用戶量大�,經過《檢驗中心》檢測,單座認證中心能管理3億用戶量�����,能滿足海量用戶(設備)的身份識別���。比使用國際常用密碼技術建設認證中心管理用戶量至少提高10倍��。
3����、運行速度快�,經過《檢驗中心》檢測,認證中心并發(fā)認證達到20000次/27秒���,即:每天能完成約6000萬多次認證“任務”;簽名驗證速度達到20000次/47秒�,即:每天能完成約3000萬次簽名驗證“任務”,比使用國際現(xiàn)有密碼技術建設認證中心效率至少提高100倍���。
4�����、建設成本低����,經過《檢驗中心》檢測�����,投入較少設備建立的認證中心�����,能發(fā)揮較高的效率���,比使用國際常用密碼技術建設認證中心成本降低約50 %。
5���、維護成本低���,認證或簽名密鑰更新維護由組合密鑰生成算法完成���,能大大降低認證系統(tǒng)的維護成本,比使用國際常用密碼技術建設認證系統(tǒng)的維護成本降低約50 %�����。
該成果主要在①電子身份證�、②醫(yī)保結算、③電子商務���、④民主選舉�����、⑤手機支付�����、⑥電視點播�、⑦物聯(lián)網�、⑧網上銀行�����、⑨交通工具衛(wèi)星定位等具有海量用戶的應用領域優(yōu)勢明顯��。尤其在應用于電子身份證時��,可以實現(xiàn)互聯(lián)網各種應用平臺真正一卡通���,只需在各種網絡應用系統(tǒng)的平臺上設置權限管理系統(tǒng)即可,不需要用戶一人手持不同應用系統(tǒng)的多個認證卡�,亦即:完全實現(xiàn)用戶實名上網。
該成果為加強網絡管理�,建設和諧社會,提供有效網絡認證技術支持��,能促進我國網絡應用的健康發(fā)展���。也能為城市部署物聯(lián)網終端設備提供安全保障��,為建立“智慧城市”�,保駕護航���。
