据网络密码认证北京市重点实验室报道:该实验室经过多年攻关,终于突破了超大规模用户认证的关键技术,解诀海量用户(设备)网络身份识别的难题。该成果属国际首创已经获得多项国家发明专利。
该实验室研发团队在技术攻关过程中,注意到所有密码学教课书都给出的结论:在计算机里,对称密码算法的加/解密速度是非对称密码算法的100倍,在芯片硬件里,对称密码算法的加/解密速度是非对称密码算法的1000倍。对称密码算法的运行速度具有绝对优势。
但是,“为什么国际上主流认证/签名协议都是基于非对称密码算法?为什么不采用运行速度快的对称密码算法来建立认证/签名协议?”最初,当大家提出这个问题时,不免让人觉得有点“太业余”。
如果抛开国际上已经被广泛应用近20年的非对称密码算法建立的认证/签名协议,而采用对称密码算法建立认证/签名协议,行不行呢?
不行。国际经典的“认证/签名”理论早有结论:基于对称密码算法建立认证/签名协议理论上可行,实际上不能很好运转。理由是对称密钥管理的负担太重(见《应用密码学》(美Bruce Schneier 著,吴世忠等译)2.6.1节)。且采用非对称密码算法建立认证/签名协议,已经成为世界上各个国家或地区的技术标准或规范。
该实验室研发团队不被国际经典理论所束缚,敢于挑战权威,敢于创新。通过深入研究发现,国际经典“认证/签名”理论是建立在十多年前,当时的芯片技术还比较落后,当今,芯片已经能存储大量数据,并利用IP核电路的设计,能保证各种密码算法、安全协议的程序及其数据存储和运行安全。并发现利用芯片“阵列”硬件来作为认证/签名的仲裁者,只要解决对称密钥的更新管理这一课题,则采用对称密码算法建立认证/签名协议将成为可能。于是,该实验室研发团队将研究的重点锁定在对称密钥更新管理的课题上,该实验室研发团队经过深入攻关,提出组合密钥技术,该技术是一种对称密钥更新管理的算法,即:采用组合密钥生成算法,对一套密钥种子“表”的密钥元素进行选取,将选出的密钥元素合成一组对称密钥,通过理论计算,保证在一分钟内,生成的密钥元素完全相同的概率为1/264或1/2160,基本上能实现密钥生成一次一变,不重复。
将该密钥生成算法和被选取的密钥种子“表”的密钥元素,存放在芯片硬件里,并在客户端和认证中心端的芯片里运行,从而,保证密钥生成的协议安全可靠。当用户量十分大时,对应的密钥元素的数据量也十分大,在认证中心将海量的密钥元素数据分别加密成密文存储在数据库中,在认证中心运行认证/签名协议时,首先,将密钥元素的密文输入芯片里,在芯片里解密成明文,再根据密钥生成算法对解密后的密钥元素进行选取,再生成认证/签名密钥。
该实验室研发团队的赵桂芬博士,在法国国际密码应用年会上宣读了这项研究成果的有关论文,受到与会学者和专家的好评,大会主席、美国哥伦比亚大学的国际著名密码学家Moti Yung:认为该认证技术方案的认证协议效率高,且协议和密钥是安全的,是一种技术创新。大会执行主席、我国著名国际密码学家韩永飞教授认为:“该认证技术方法设计独特,它打破了强密码认证技术统一使用RSA和ECC非对称密码算法体制的方法,采用对称密码算法体制和组合密钥技术,来建立网络密码认证/签名系统,且具有安全性高,认证/签名协议速度快,认证中心管理用户量大,建设和维护成本较低的优势,至少领先世界10年以上”。
基于该成果建立的认证中心,经过《国家应用软件产品质量监督检验中心》(以下简称“检测中心”)的性能检测,各项技术指标都优于国际通用的密码认证/签名技术,尤其是能解决海量用户(设备)身份识别的世界性难题。
该实验室副主任、北京市科技新星: 李瑛 告诉记者:本成果与现国际常用认证技术相比有如下优势:
1、安全性高,认证/签名密钥由密钥生成算法组合生成,一次一变,不重复使用,密钥的生成算法和密钥元素数据都存储在芯片里,受到芯片硬件的保护,认证/签名协议在芯片里实现,是一种“芯片级”的认证/签名协议。
2、管理用户量大,经过《检验中心》检测,单座认证中心能管理3亿用户量,能满足海量用户(设备)的身份识别。比使用国际常用密码技术建设认证中心管理用户量至少提高10倍。
3、运行速度快,经过《检验中心》检测,认证中心并发认证达到20000次/27秒,即:每天能完成约6000万多次认证“任务”;签名验证速度达到20000次/47秒,即:每天能完成约3000万次签名验证“任务”,比使用国际现有密码技术建设认证中心效率至少提高100倍。
4、建设成本低,经过《检验中心》检测,投入较少设备建立的认证中心,能发挥较高的效率,比使用国际常用密码技术建设认证中心成本降低约50 %。
5、维护成本低,认证或签名密钥更新维护由组合密钥生成算法完成,能大大降低认证系统的维护成本,比使用国际常用密码技术建设认证系统的维护成本降低约50 %。
该成果主要在①电子身份证、②医保结算、③电子商务、④民主选举、⑤手机支付、⑥电视点播、⑦物联网、⑧网上银行、⑨交通工具卫星定位等具有海量用户的应用领域优势明显。尤其在应用于电子身份证时,可以实现互联网各种应用平台真正一卡通,只需在各种网络应用系统的平台上设置权限管理系统即可,不需要用户一人手持不同应用系统的多个认证卡,亦即:完全实现用户实名上网。
该成果为加强网络管理,建设和谐社会,提供有效网络认证技术支持,能促进我国网络应用的健康发展。也能为城市部署物联网终端设备提供安全保障,为建立“智慧城市”,保驾护航。
