• 快捷搜索
  • 全站搜索

标识密码技术:自主安全可控之技术基石

2015-02-11 10:32:39作者:中国金融电子化公司 韩建国编辑:金融咨询网
标识密码技术是利用实体的惟一标识作为公钥的密码体制,可基于标识提供实体的大规模高效认证。特别是我国自主发明的组合公钥体制的发展和完善,为金融业率先创建以“主动管理”为特征的新一代信息安全体系,为实现“自主安全可控”的目标奠定了重要的技术基础。

标识密码技术是新一代安全体系的基石。随着互联网经济和信息化金融的快速崛起,信息安全问题也从狭义的信息系统和网络系统不断延伸到网际空间。为适应网际安全的要求,新一代安全体系将颠覆防御为主的思想,通过网际空间任意实体惟一性和真实性的自证与互证,构建可信系统,实现信息安全的主动管理。由此可见,在网际安全阶段,新一代安全体系的核心是实现网际空间任意实体的认证,而标识密码技术是利用实体的惟一标识作为公钥的密码体制,可基于标识提供实体的大规模高效认证。特别是我国自主发明的组合公钥体制的发展和完善,为金融业率先创建以“主动管理”为特征的新一代信息安全体系,为实现“自主安全可控”的目标奠定了重要的技术基础。

韩建国.jpg

一、标识密码技术的创新与发展

        标识密码的概念是在非对称算法和公钥基础设施(PKI)的基础上提出,可直接使用实体的标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥。标识是指实体的惟一名称,标识密码系统的公钥直接由实体标识确定,因而可大大简化密码系统的管理,省略PKI证书的管理和认证。首个可实施的标识密码体系于2000年后构建完成,我国于2007年组织通过了标识密码体系IBC标准规范的评审,组合公钥体系于2008年通过国家密码局的批准。

        鉴于组合公钥体制的公钥是基于标识产生的,可以将组合公钥体制看作标识密码技术的最新发展。CPK和IBC的简要对比参照表1。CPK通过ECC、Hash等通用密钥算法的组合,巧妙地解决了超大规模标识认证问题,具有公钥体制和标识认证带来的所有好处。

标识密码技术在金融信息  安全中的应用研究-表.jpg

二、组合公钥体制的主要应用特点

        支持海量和跨域认证。组合公钥体制的密钥基于密钥矩阵产生,一个32×32的密钥矩阵提供的密钥可达10的48次方。CPK体制算法统一,公钥矩阵存储空间小,运算效率高,可在IC卡、Ukey、计算机、手机等硬件终端之间转移授权,高效实现海量认证和跨域认证。CPK的这一应用特性可以不受认证系统的规模局限,建立统一的认证系统,并可通过跨域认证实现Ukey的统一,改变目前多行多Ukey的局面。

        支持密钥复合和多标识的叠加认证。CPK基于ECC复合定理,基于标识的密钥对经过ECC复合运算后,构成新的密钥对。CPK基于统一算法,可实现集实物、时间、管理等多类别标识于一体的叠加认证和动态标识认证。同时,根据标识不同,既可以支持人的认证,也可以支持物的认证。这一应用特性提供了单一标识和多标识应用的技术灵活性,通过主标识和子标识的叠加,可以在主安全域下方便实现子安全域,各子安全域相对独立,又可通过主安全域进行统一管理。

        支持私钥远程分发。在CPK v8中,定义了私钥远程分发协议。通过给每一个CPK芯片配置UID,每一个UID号配置公私密钥对,可以建立秘密通道,实现密钥远程分发。私钥远程分发是CPK体制的新增协议,可以在标识能够自动扫描获取的情况下采用,也可以用于子标识密钥的分发。

三、组合公钥体制的应用示例

        标识密码技术是网际安全的核心技术,可广泛应用于可信网络通信、云计算安全、可信电子邮件、电子商务等领域。如在网络通信领域,通过在网络报头中增加标识的认证,可以在数据传输之前进行原始地址的认证,实现先认证、后通信。同时通过IP地址与标识的统一,可以省略域名解析,在全网内实现网络直接路由,从而建立网络通信新规则,实现可信通信的目标。

        在金融信息安全领域,标识密码技术同样拥有广阔的应用空间,可以为互联网金融、移动支付等新兴业态提供先进、高效、完整的安全解决方案。基于CPK设计的安全认证系统,可以为银行与客户间的各种业务往来提供身份认证、保密性、完整性、抗抵赖性等交易安全服务。CPK安全认证系统可以分为安全管理中心、标识认证中心、前端渠道和银行后台系统等四个部分。

        安全管理中心。包括注册管理中心和密钥生产中心子系统,其中注册管理中心负责用户信息的登记,确认用户标识,交由密钥生产中心生产私钥,以UKey、TF卡、SE等形式发放给用户。同时,注册管理中心还管理证书的状态信息(如正常、销毁、到期、挂失等),供标识认证中心查询使用。

        标识认证中心。负责与用户前端渠道的双向认证以及数据的加解密,并负责与银行后台系统进行数据交互。如果银行后台服务也有认证的需求,则标识认证中心也实现与银行后台服务的双向认证和交易数据的安全传输。

        前端系统。负责接收用户的交易请求,向标识认证中心进行登陆认证并负责交易数据的安全发送和接收。

        银行后台系统。负责进行业务的后台处理,以及与标识认证中心的数据交互,在银行后台系统的前端,可以部署前置系统负责业务的预处理。银行后台系统需要进行认证的,应提前在注册管理中心进行注册并申请密钥,用于在交易中与标识认证中心实现双向认证。

        在上述安全认证系统中,综合运用CPK系统海量和跨域认证、多标识叠加认证的应用特点,可以实现不同前端渠道用户的“单点登录、分别认证”。同时,在对银行后台系统进行认证的基础上,还可以支持为多家银行和不同业务系统提供认证服务。

四、标识密码体制的应用实施路径

        标识密码体制的应用实施路径应从几方面进行突破:不断完善技术体制,构建完整成熟的产业链;加强顶层设计规划,应用中标准先行;加大培训宣传,争取国家和同业的支持;从试点突破,带动应用。

(文章来源:《金融电子化》杂志)

 

扫码即可手机
阅读转发此文

本文评论

相关文章