omniture

北京重點(diǎn)實(shí)驗(yàn)室解決海量用戶認(rèn)證關(guān)鍵性難題

2012-05-23 09:43

  據(jù)網(wǎng)絡(luò)密碼認(rèn)證北京市重點(diǎn)實(shí)驗(yàn)室報(bào)道:該實(shí)驗(yàn)室經(jīng)過多年攻關(guān),終于突破了超大規(guī)模用戶認(rèn)證的關(guān)鍵技術(shù),解訣海量用戶(設(shè)備)網(wǎng)絡(luò)身份識(shí)別的難題。該成果屬國(guó)際首創(chuàng)已經(jīng)獲得多項(xiàng)國(guó)家發(fā)明專利?! ?/p>

  該實(shí)驗(yàn)室研發(fā)團(tuán)隊(duì)在技術(shù)攻關(guān)過程中,注意到所有密碼學(xué)教課書都給出的結(jié)論:在計(jì)算機(jī)里,對(duì)稱密碼算法的加/解密速度是非對(duì)稱密碼算法的100倍,在芯片硬件里,對(duì)稱密碼算法的加/解密速度是非對(duì)稱密碼算法的1000倍。對(duì)稱密碼算法的運(yùn)行速度具有絕對(duì)優(yōu)勢(shì)。

  但是,“為什么國(guó)際上主流認(rèn)證/簽名協(xié)議都是基于非對(duì)稱密碼算法?為什么不采用運(yùn)行速度快的對(duì)稱密碼算法來建立認(rèn)證/簽名協(xié)議?”最初,當(dāng)大家提出這個(gè)問題時(shí),不免讓人覺得有點(diǎn)“太業(yè)余”。

  如果拋開國(guó)際上已經(jīng)被廣泛應(yīng)用近20年的非對(duì)稱密碼算法建立的認(rèn)證/簽名協(xié)議,而采用對(duì)稱密碼算法建立認(rèn)證/簽名協(xié)議,行不行呢?

  不行。國(guó)際經(jīng)典的“認(rèn)證/簽名”理論早有結(jié)論:基于對(duì)稱密碼算法建立認(rèn)證/簽名協(xié)議理論上可行,實(shí)際上不能很好運(yùn)轉(zhuǎn)。理由是對(duì)稱密鑰管理的負(fù)擔(dān)太重(見《應(yīng)用密碼學(xué)》(美Bruce Schneier 著,吳世忠等譯)2.6.1節(jié))。且采用非對(duì)稱密碼算法建立認(rèn)證/簽名協(xié)議,已經(jīng)成為世界上各個(gè)國(guó)家或地區(qū)的技術(shù)標(biāo)準(zhǔn)或規(guī)范。

  該實(shí)驗(yàn)室研發(fā)團(tuán)隊(duì)不被國(guó)際經(jīng)典理論所束縛,敢于挑戰(zhàn)權(quán)威,敢于創(chuàng)新。通過深入研究發(fā)現(xiàn),國(guó)際經(jīng)典“認(rèn)證/簽名”理論是建立在十多年前,當(dāng)時(shí)的芯片技術(shù)還比較落后,當(dāng)今,芯片已經(jīng)能存儲(chǔ)大量數(shù)據(jù),并利用IP核電路的設(shè)計(jì),能保證各種密碼算法、安全協(xié)議的程序及其數(shù)據(jù)存儲(chǔ)和運(yùn)行安全。并發(fā)現(xiàn)利用芯片“陣列”硬件來作為認(rèn)證/簽名的仲裁者,只要解決對(duì)稱密鑰的更新管理這一課題,則采用對(duì)稱密碼算法建立認(rèn)證/簽名協(xié)議將成為可能。于是,該實(shí)驗(yàn)室研發(fā)團(tuán)隊(duì)將研究的重點(diǎn)鎖定在對(duì)稱密鑰更新管理的課題上,該實(shí)驗(yàn)室研發(fā)團(tuán)隊(duì)經(jīng)過深入攻關(guān),提出組合密鑰技術(shù),該技術(shù)是一種對(duì)稱密鑰更新管理的算法,即:采用組合密鑰生成算法,對(duì)一套密鑰種子“表”的密鑰元素進(jìn)行選取,將選出的密鑰元素合成一組對(duì)稱密鑰,通過理論計(jì)算,保證在一分鐘內(nèi),生成的密鑰元素完全相同的概率為1/264或1/2160,基本上能實(shí)現(xiàn)密鑰生成一次一變,不重復(fù)。

  將該密鑰生成算法和被選取的密鑰種子“表”的密鑰元素,存放在芯片硬件里,并在客戶端和認(rèn)證中心端的芯片里運(yùn)行,從而,保證密鑰生成的協(xié)議安全可靠。當(dāng)用戶量十分大時(shí),對(duì)應(yīng)的密鑰元素的數(shù)據(jù)量也十分大,在認(rèn)證中心將海量的密鑰元素?cái)?shù)據(jù)分別加密成密文存儲(chǔ)在數(shù)據(jù)庫(kù)中,在認(rèn)證中心運(yùn)行認(rèn)證/簽名協(xié)議時(shí),首先,將密鑰元素的密文輸入芯片里,在芯片里解密成明文,再根據(jù)密鑰生成算法對(duì)解密后的密鑰元素進(jìn)行選取,再生成認(rèn)證/簽名密鑰。

  該實(shí)驗(yàn)室研發(fā)團(tuán)隊(duì)的趙桂芬博士,在法國(guó)國(guó)際密碼應(yīng)用年會(huì)上宣讀了這項(xiàng)研究成果的有關(guān)論文,受到與會(huì)學(xué)者和專家的好評(píng),大會(huì)主席、美國(guó)哥倫比亞大學(xué)的國(guó)際著名密碼學(xué)家Moti Yung:認(rèn)為該認(rèn)證技術(shù)方案的認(rèn)證協(xié)議效率高,且協(xié)議和密鑰是安全的,是一種技術(shù)創(chuàng)新。大會(huì)執(zhí)行主席、我國(guó)著名國(guó)際密碼學(xué)家韓永飛教授認(rèn)為:“該認(rèn)證技術(shù)方法設(shè)計(jì)獨(dú)特,它打破了強(qiáng)密碼認(rèn)證技術(shù)統(tǒng)一使用RSA和ECC非對(duì)稱密碼算法體制的方法,采用對(duì)稱密碼算法體制和組合密鑰技術(shù),來建立網(wǎng)絡(luò)密碼認(rèn)證/簽名系統(tǒng),且具有安全性高,認(rèn)證/簽名協(xié)議速度快,認(rèn)證中心管理用戶量大,建設(shè)和維護(hù)成本較低的優(yōu)勢(shì),至少領(lǐng)先世界10年以上”。

  基于該成果建立的認(rèn)證中心,經(jīng)過《國(guó)家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心》(以下簡(jiǎn)稱“檢測(cè)中心”)的性能檢測(cè),各項(xiàng)技術(shù)指標(biāo)都優(yōu)于國(guó)際通用的密碼認(rèn)證/簽名技術(shù),尤其是能解決海量用戶(設(shè)備)身份識(shí)別的世界性難題。

  該實(shí)驗(yàn)室副主任、北京市科技新星: 李瑛 告訴記者:本成果與現(xiàn)國(guó)際常用認(rèn)證技術(shù)相比有如下優(yōu)勢(shì):

  1、安全性高,認(rèn)證/簽名密鑰由密鑰生成算法組合生成,一次一變,不重復(fù)使用,密鑰的生成算法和密鑰元素?cái)?shù)據(jù)都存儲(chǔ)在芯片里,受到芯片硬件的保護(hù),認(rèn)證/簽名協(xié)議在芯片里實(shí)現(xiàn),是一種“芯片級(jí)”的認(rèn)證/簽名協(xié)議。

  2、管理用戶量大,經(jīng)過《檢驗(yàn)中心》檢測(cè),單座認(rèn)證中心能管理3億用戶量,能滿足海量用戶(設(shè)備)的身份識(shí)別。比使用國(guó)際常用密碼技術(shù)建設(shè)認(rèn)證中心管理用戶量至少提高10倍。

  3、運(yùn)行速度快,經(jīng)過《檢驗(yàn)中心》檢測(cè),認(rèn)證中心并發(fā)認(rèn)證達(dá)到20000次/27秒,即:每天能完成約6000萬(wàn)多次認(rèn)證“任務(wù)”;簽名驗(yàn)證速度達(dá)到20000次/47秒,即:每天能完成約3000萬(wàn)次簽名驗(yàn)證“任務(wù)”,比使用國(guó)際現(xiàn)有密碼技術(shù)建設(shè)認(rèn)證中心效率至少提高100倍。

  4、建設(shè)成本低,經(jīng)過《檢驗(yàn)中心》檢測(cè),投入較少設(shè)備建立的認(rèn)證中心,能發(fā)揮較高的效率,比使用國(guó)際常用密碼技術(shù)建設(shè)認(rèn)證中心成本降低約50 %。

  5、維護(hù)成本低,認(rèn)證或簽名密鑰更新維護(hù)由組合密鑰生成算法完成,能大大降低認(rèn)證系統(tǒng)的維護(hù)成本,比使用國(guó)際常用密碼技術(shù)建設(shè)認(rèn)證系統(tǒng)的維護(hù)成本降低約50 %。

  該成果主要在①電子身份證、②醫(yī)保結(jié)算、③電子商務(wù)、④民主選舉、⑤手機(jī)支付、⑥電視點(diǎn)播、⑦物聯(lián)網(wǎng)、⑧網(wǎng)上銀行、⑨交通工具衛(wèi)星定位等具有海量用戶的應(yīng)用領(lǐng)域優(yōu)勢(shì)明顯。尤其在應(yīng)用于電子身份證時(shí),可以實(shí)現(xiàn)互聯(lián)網(wǎng)各種應(yīng)用平臺(tái)真正一卡通,只需在各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)的平臺(tái)上設(shè)置權(quán)限管理系統(tǒng)即可,不需要用戶一人手持不同應(yīng)用系統(tǒng)的多個(gè)認(rèn)證卡,亦即:完全實(shí)現(xiàn)用戶實(shí)名上網(wǎng)。

  該成果為加強(qiáng)網(wǎng)絡(luò)管理,建設(shè)和諧社會(huì),提供有效網(wǎng)絡(luò)認(rèn)證技術(shù)支持,能促進(jìn)我國(guó)網(wǎng)絡(luò)應(yīng)用的健康發(fā)展。也能為城市部署物聯(lián)網(wǎng)終端設(shè)備提供安全保障,為建立“智慧城市”,保駕護(hù)航。

消息來源:中國(guó)傳媒網(wǎng)