CLA无证书认证系统介绍.pptx
- 文档编号:24449630
- 上传时间:2023-05-27
- 格式:PPTX
- 页数:38
- 大小:10.12MB
CLA无证书认证系统介绍.pptx
《CLA无证书认证系统介绍.pptx》由会员分享,可在线阅读,更多相关《CLA无证书认证系统介绍.pptx(38页珍藏版)》请在冰豆网上搜索。
2018年8月,基于SM2的无证书认证和密钥管理系统(CLA)介绍,内容摘要Contents,总体思路和技术特点,技术应用和推广,关键技术和创新点,立项背景,一,四,二,三,社会和经济效益,五,目录,基于SM2的无证书认证和密钥管理系统,一、立项背景,基于SM2的无证书认证和密钥管理系统,立项背景,1.PKI/CA技术在电子政务和商务中得到广泛应用,经过20多年的快速发展,PKI/CA认证技术已非常成熟,相关技术标准和规范也比较完备。
目前,我国有40多家CA认证机构,其签发的数字证书已广泛应用于我国电子政务和电子商务等领域,保障了国家信息基础设施和关键信息系统的安全,为国家经济社会发展和社会治理发挥了重要作用。
随着云计算、大数据、物联网、移动互联网的快速发展,在新业态下PKI/CA的适应性已经显现出它一定的局限性。
在物联网环境下,参与的用户和设备数量可以达百亿计,并要求实现去中心化的跨域的离线认证。
尤其是NB窄带物联网对带宽要求严苛,要求有更短的公钥信息和数字签名信息。
另外,在无线传感器网络中,节点功耗、计算能力、存储能力和通信能力等都非常有限,对计算复杂度和计算效率也提出了非常高的要求。
归纳为以下几点:
-去中心化-简化管理-减少带宽-计算高效-跨域认证,2.PKI/CA技术在物联网发展中存在的局限性,基于SM2的无证书认证和密钥管理系统,一,二、CLA的总体思路和技术特点,基于SM2的无证书认证和密钥管理系统,二,基于SM2的无证书认证和密钥管理系统,CLA的总体思路和技术特点,1.公钥密码体制的新发展,近年来,国内外密码专家都在致力于研究新的公钥密码体制,其核心是如何解决公钥认证问题,目前最具代表性的就是标识认证技术。
国密局2016年3月28日发布了新的SM9算法,为IBC的发展提供了核心算法支撑。
IBC的出现的确有了明显的应用优势:
-标识即公钥,不需要证书绑定-可离线认证,不需要中心支持-易建设管理,不需要复杂系统但我们觉得IBC也有一些不足:
-用户私钥由中心生成,数字签名不具有唯一性-标识与密钥唯一对应,用户密钥不能更新-使用双线性对运算,运算效率较低(与SM2比较),基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,2.CLA无证书认证体制定位,近年来,在比较了PKI/CA和IBC特点的基础上,CLA就有了明确的定位,就是在保证安全性的前提下实现以下目标:
-采用标识认证技术,去中心化,支持离线认证-不使用数字证书,减轻证书管理的负担-用户私钥只有自己掌握,数字签名具有唯一性-支持密钥撤消,可再生成新的密钥对-不用双线性对运算,提高计算效率,3.CLA的总体设计思路,CLA是融合自证公钥密码体制和无证书公钥密码体制的密钥生成和密钥使用机制,借鉴PKI/CA系统的管理体系架构,构建的一种新型公钥基础设施。
采用现有SM2椭圆曲线密码算法,不使用数字证书,不使用双线性对运算,兼具PKI/CA、IBC的优点。
生成短格式的数字签名数据包,适合于各种签名应用,而验签时不需要密钥管理中心的支持,验签者可以直接对签名进行验证,极大地方便了接收者对签名的验证。
建设成本低,计算效率高,占用资源少,可用于对海量用户的密钥管理,满足大规模、大范围的云计算、物联网和移动互联网环境下的身份认证、数据防篡改、防抵赖等安全应用需求。
CLA是PKI/CA、IBC和CLPKC的技术优势的有机融合,基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,4.CLA技术特点
(一)密钥生成与使用,基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,4.CLA技术特点
(二)系统的安全性,1)安全性假设解椭圆曲线上离散对数(ECDLP)在计算上是不可行的。
2)算法安全性使用SM2标准签名算法、加密算法、密钥协商算法,算法是安全的。
3)密钥安全性系统根私钥安全:
根私钥参与运算采用的是Schnorr(施诺尔)签名方式,Schnorr签名是公认的不会对私钥造成安全隐患的运算方式;根私钥运算过程不出加密卡;因此根私钥应用是安全的。
终端私钥安全:
终端临时公私钥对的私钥不出终端载体,服务端下发的部分私钥用临时公钥加密下来,在终端载体内解密并合成完整私钥,因此私钥生成过程是安全的,私钥应用采用SM2标准,因此终端私钥应用是安全的。
基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,4.CLA技术特点(三)系统组成与结构,2014年初立项,经历了需求分析、系统方案设计、方案认证、系统开发和系统测试几个阶段,CLA系统于2015年6月研制完成。
CLA系统主要为用户提供基于SM2算法的无证书密钥的申请、挂失、注销、更新及状态发布,提供密钥生命周期的全过程管理。
CLA系统由无证书密钥管理系统(KGS)、标识服务系统(KSS)标识注册系统(KRS)、标识及状态发布系统(KDS)组成,其结构与PKI/CA相似。
基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,4.CLA技术特点(四)跨域认证,CLA系统可根据不同的应用场景进行灵活部署:
可机构内、跨机构、全域,可单密钥、可双密钥,易于实现跨域认证。
基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,5.CLA系统产品型号,2016年10月11日,“基于SM2的无证书认证系统”和“基于SM2的无证书密钥管理系统”通过国家密钥管理局安全性审查,取得SZT1602、SYT1605商用密码产品型号证书。
与会专家认为,系统设计合理、技术先进、安全措施有效,整体技术居国内领先水平。
基于SM2的无证书认证和密钥管理系统,二,CLA的总体思路和技术特点,5.CLA系统产品型号,三、关键技术和创新点,基于SM2的无证书认证和密钥管理系统,基于SM2的无证书认证和密钥管理系统,1、关键技术密钥生成技术:
用户端生成第一对临时公私钥对,把临时公钥以及主标识发给密钥管理系统,密钥管理系统根据这些信息生成用户的第二对临时公私钥对,同时计算出用户辅标识,最后由用户合成自己的完整公私钥对,保证了只有用户才掌握自己的私钥。
公钥自证技术:
用户辅标识的生成过程包含了使用根私钥对用户主标识以及有效期等所做的Schnorr签名,而从用户主辅标识计算用户实际公钥的过程,恰好是对这个签名的验证过程,一方面可以获取用户的实际公钥,另一方面又对用户的公私钥关系进行了验证。
去中心离线验签技术:
做数字签名时,因为主辅标识数据量很小,因此在签名数据中可以直接带上主辅标识;别的用户要验证签名时,利用签名用户的主辅标识,计算出完整公钥验证即可。
跨域认证技术:
(1)建设一套CLA总根系统,每个二级CLA的根私钥由总根参与合成(不影响二级根私钥的安全性与保密性,相当于每个二级CLA加入信任联盟),这样每个二级CLA发放的用户公钥,可以通过总根公钥计算出二级根公钥,再用二级根公钥计算出用户的完整公钥。
通过计算与验证,确认用户是由哪个二级CLA发放,实现跨域认证。
(2)也可以保存好其他CLA的根公钥,计算出具体公钥,实现跨域认证。
三,CLA关键技术和创新点,基于SM2的无证书认证和密钥管理系统,三,CLA关键技术和创新点,2、创新点先进的无证书公钥密码技术:
CLA系统将自证公钥密码体制和无证书公钥密码体制融合为一体,创设出一种新的无证书密钥生成和管理机制,是一种新型的公钥基础设施。
该系统兼具PKI/CA和IBC的优点,在安全性上与PKI/CA相当,在易用性上与IBC相当。
据了解,CLA系统是自证公钥密码技术和无证书公钥密码技术在我国的首次应用。
安全高效的密钥生成和使用方式:
CLA系统采用创新的用户密钥生成机制,使用户对自己的私钥具有完全控制权,而公钥依赖方可以通过系统公钥和用户公钥标识进行计算获取用户实际公钥,消除了可能存在的公钥替换攻击和签名伪造攻击,保证系统密钥和用户密钥的安全性。
基于SM2的无证书密钥管理系统采用国家标准SM2椭圆曲线公钥密码算法,不使用双线性对运算,具有密钥长度和签名数据较短,计算效率高、占用资源少的优点。
四、技术应用和推广,基于SM2的无证书认证和密钥管理系统,基于SM2的无证书认证和密钥管理系统,四,CLA的技术应用与推广,1、互联网+“医疗健康”2017年12月9日,武汉市“互联网医疗及区域医疗协同安全服务体系建设方案”在武汉市中心医院通过了由武汉市卫计委组织的安全专家评审,目前项目正在武汉市中心医院组织实施,预计今年9底完成。
该方案采用CLA无证书认证技术,主要解决以下几个方面的安全需求:
-在互联网环境下实现跨不同区域、不同医疗机构之间的医生及患者的跨域在线身份认证-在互联网医疗不同业务场景中实现医生、护士及患者的移动数字签名-实现跨不同医疗机构之间的电子病历、电子处方等医学文档的在线、离线可信交换,基于SM2的无证书认证和密钥管理系统,四,CLA的技术应用与推广,1、互联网+“医疗健康”,除了武汉已进入实施阶段外,贵州、青海、江苏、福建等地也陆续开展互联网医疗信息安全需求调研工作,CLA将保驾电子健康卡、电子病历、电子健康档案、远程医疗、家医服务、健康客厅等便民、惠民服务。
基于SM2的无证书认证和密钥管理系统,四,CLA的技术应用与推广,2、物联网应用中移动2018年7月20日公布“基于芯片的物联网安全认证服务平台采购项目”,明确采购“基于SM2算法的无证书认证系统”。
与此同时,也已在联通研究院、电信研究院搭建实验环境,测试NB物联网安全服务。
与中国普天集团合作探索基于CLA的智慧城市物联网安全管理模式。
基于SM2的无证书认证和密钥管理系统,3、鼎九矩阵图码应用鼎九码的CLA系统,为每一台鼎九码生成服务器发放CLA的SM2公私钥对,生成服务器每生成一张鼎九码,自动添加SM2签名,保证了鼎九码的安全可控、不可篡改,并可实现离线对二维码签名进行验证。
D9ing矩阵图码(正方形),D9ing矩阵图码(矩形),北京鼎九信息工程研究院有限公司研制全国防伪标准化技术委员会归口的三项国家标准:
GB_T31770-2015D9ing矩阵图码防伪技术条件GB_T31868-2015D9ing矩阵图码生成器防伪技术条件GB_T31869-2015D9ing矩阵图码识别仪防伪技术条件,四,CLA的技术应用与推广,基于SM2的无证书认证和密钥管理系统,4、与中检集团北京公司合作应用CLA和鼎九矩阵图码艺术品鉴定防伪标签和证卡;检测报告防伪,进口商品防伪标签。
四,CLA的技术应用与推广,印钞级别技术的防伪标签,由国家权威专业机构完成制版和印刷,具多种物理防伪特征,防止“复制”。
北京中钞钞券设计制版有限公司,基于SM2的无证书认证和密钥管理系统,5、商务部供应链综合平台试点吉林省通程科技有限公司是北京鼎九信息工程研究院全资子公司。
在长春获得商务部18个城市供应链试点单位。
项目名称:
境外商品鼎九惟真供应链平台体系建设项目。
四,CLA的技术应用与推广,基于SM2的无证书认证和密钥管理系统,6、机关公文PDF417码的鼎九矩阵图码国产替代北京市商用密码管理局牵头,在北京进行电子公文用自主安全可控鼎九矩阵图码替代PDF417码的试点工作。
四,CLA的技术应用与推广,基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用
(一)依托CLA技术和鼎九码开展了一系列国际合作。
四,CLA的技术应用与推广,法国大使馆,法中委员会,德国工商会,基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用
(二)依托CLA技术和鼎九码开展了一系列国际合作。
四,CLA的技术应用与推广,在德国与德国拜耳和瑞士OVD洽谈会DOEMAGENTRUST第一次会议(安全证卡和防伪标签),在中国与德国拜耳和瑞士OVD洽谈会DOEMAGENTRUST第二次会议(安全证卡和防伪标签),基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用(三)依托CLA技术和鼎九码开展了一系列国际合作。
四,CLA的技术应用与推广,北京鼎九信息工程研究院有限公司与MSCODE系统(马来西亚)有限公司签署协议,基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用(四)依托CLA技术和鼎九码开展了一系列国际合作。
四,CLA的技术应用与推广,中检软实力(北京)科技有限公司和SMITA签署协议保质惟真便捷通关项目(马来西亚)采用鼎九矩阵图码实现检测报告防伪和进口商品防伪标签应用,基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用(五)依托CLA技术和鼎九码开展了一系列国际合作。
四,CLA的技术应用与推广,马来西亚标准局会议,与马来西亚国贸工业部亚洲总监合影,基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用(六)2018年6月1日北京京交会,第五届中国(北京)国际服务贸易交易会北京主题日。
北京鼎九信息工程研究院与新加坡公司就CLA和鼎九矩阵图码东盟推广应用签约仪式。
四,CLA的技术应用与推广,基于SM2的无证书认证和密钥管理系统,7、国际合作和推广应用(七)在印度尼西亚,利用CLA和鼎九矩阵图码技术实现印尼地税监管体系中地税发票的防伪和信息安全采集。
四,CLA的技术应用与推广,印度尼西亚地税税控系统,五、社会和经济效益,基于SM2的无证书认证和密钥管理系统,基于SM2的无证书认证和密钥管理系统,社会效益,1、物联网时代,万物互联。
说CLA是为物联网安全量身订做也不为过。
智慧城市、智能家电、智能终端、智能传感,可见智能世界已经来到我们面前。
如何保证智能设备间的数据安全、指令权属?
PKI/CA在互联网上的成功应用给了我们方向。
物与物之间需要身份认证、物与物间指令的安全性需要证明合法;远程遥控摄像头、远程开关水/电/气表需要确认发指令者真实身份。
CLA是一种特别适合物联网的公钥密码体制,它集PKI/CA以及IBC优势,不使用证书符合窄带应用,可通过标识计算公钥展现标识密码的优势,公钥自证性保证终端身份的可靠,支持离线验证保证应用的活性。
2、CLA系统是一套安全基础设施。
安全问题有保障了,万物互联能够提供更好、更快、更精准的服务,还能防止不法分子蓄意破坏、制造恐慌,譬如发送非法指令造成大面积停电、大面积停水、大面积停气等。
3、CLA与鼎九矩阵图码结合应用场景广阔。
不仅可以给群众带来可信消息发布(譬如证照保真),还能实现产品追溯,为广大消费者带来利益。
CLA的跨域认证、去中心化验证技术,应用范围广阔,不仅能实现国内互认,多国家多地区之间的互认也可简单实现,目前已在一带一路项目中应用,带来的影响正一步步扩大。
五,社会和经济效益,基于SM2的无证书认证和密钥管理系统,2、印度尼西亚地税监管系统基于CLA和鼎九矩阵图码的税控打印机,每个打印机中安全模块300元人民币,全印尼共需要150万台。
总金额4.5亿元人民币。
1、东盟CLA和鼎九矩阵图码技术服务2018年6月1日签约,10年2.4亿美金。
3、机关公文PDF417码的鼎九矩阵图码国产替代将带来所有识读PDF417码的设备的国产替代,形成我国自主可控安全二维码产业的市场应用基础。
经济效益,五,社会和经济效益,基于SM2的无证书认证和密钥管理系统,2、物联网:
IOT设备间身份认证、签名/验签、加密/解密、密钥交换的设备。
1、互联网:
需要在互联网上实现身份认证、签名/验签、加密/解密、密钥交换的用户。
1、政府机关公文安全二维码。
2、金融支付安全二维码。
3、内容保密、敏感场所的安全二维码。
六,目标用户,CLA系统,鼎九码,2、服务政府提高效率,服务市场优化资源,服务社会构建诚信,总结,1、CLA技术先进,应用广泛,2、服务政府提高效率,服务市场优化资源,服务社会构建诚信,总结,1、CLA技术先进,应用广泛,谢谢观看,2018年8月,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CLA 证书 认证 系统 介绍