文章目录
前言
随着物联网、大数据、人工智能的不断发展,网络边界的模糊,数字化成为各行业未来的发展方向,数据的安全保护越来越重要。
目前,物联网应用飞速发展,各种工业智能控制设备、智能家居设备、人工智能终端、机器人、无人机、智能汽车等均出现爆发式增长态势,虽给人们的生活提供了便利,但因缺乏设备服务提供者、应用、数据、交易等物的安全认证机制,存在诸如:网络攻击类型的多样化,物与物之间的安全防护和认证鉴权缺失,数据极易被截获或破解等安全风险。
在物联网场景中,主要特点是多节点、低功耗、低时延、大量的弱终端,以及海量数据,对数据安全的高效防护提出新的挑战。本文就介绍了一种基于SM2非证书标识公钥技术,更好的满足物联网数据轻量化安全需求,同时实现了密钥能力的泛在部署。
一、基于国密SM2非证书标识公钥(IPK)技术
在密码学公钥体制中,主要存在两大体制,一种是目前已经成熟的 PKI(即:Public Key Infrastructure) CA体系,也就是我们常说的证书公钥体系。经过10多年的发展,PKI证书认证体系为基于人类行为的网络应用起到了非常好的安全保障,而且已经被应用到各类互联网电子业务应用中。
随着近几年物联网的兴起,越来越多的应用不再基于人类本身,而是集中在各种物(即:设备/终端)上。物联网物与物之间的通讯存在窄带通讯、低功耗等要求,同时物联网还具有数量众多、广域分布等特点,再加上物联网应用本身的多样性、特殊性要求,使得物联网应用的安全需求与传统的、以人为主体的互联网应用不同,尤其在一些需快速实现安全认证的场合,采用PKI证书认证技术的不足也就逐步显现出来。于是,基于设备标识的标识公钥算法(如SM9就是典型的标识公钥算法)应运而生,将其应用于物联网安全应用中,为物联网应用的安全保障护航,从而形成了另一种基于标识的标识公钥体系。
在新兴的标识公钥体系中,SM9克服了PKI CA在物联网应用中的一些不足,实现了端对端的去中心化认证,可以更好的适应物联网的安全认证需求。但SM9计算资源的要求对物联网中存在的大量弱终端而言形成了新的挑战;另一方面,由于物联网平台基本已按照成熟的PKI CA体系建成,如何实现感知层物联网终端与平台层安全体系的兼容也成为物联网安全推进的关键。采用SM9的感知层网络与基于PKI CA的物联网平台互联互通的实现上存在一定的难度,同时,不同层次间采用两种互不兼容的安全体系也给物联网应用带来了更高的建设、运维难度和成本。
IPK(即:Identity Public Key)技术基于标识实现了SM2密钥对的生产,与现有的PKI证书公钥密码体系采用了相同的密码学基础,都是基于ECC,其所生成的SM2密钥对是相同的,只是与公钥的绑定方法不同:PKI证书公钥密码体系是通过证书实现标识与公钥的绑定,IPK则是通过映射方法实现标识与公钥的绑定,但在应用中采用的密码算法都是SM2和SM3,因此,IPK技术既是一种基于标识的SM2密钥对的生成方法,也是一种非证书公钥密码的密钥生成技术。
二、IPK的技术实现
基于标识的SM2密钥对生成方法(IPK)对标识映射方法进行了彻底的改进,解决了CPK存在的线性共谋风险问题。同时,本方法还实现了对随机公钥的真实性证明。IPK基于标识对矩阵的映射关系,实现了标识与密钥的关系绑定,从而以标识替代公钥,简化了海量公钥的管理与分发。
本方法的技术实现:是将随机公钥(终端自定义公钥+密钥中心自定义公钥)参与标识映射,实现随机公钥与标识的绑定;同时,让终端与密钥中心自己分别定义随机密钥对,以参与最终的密钥复合,有效解决了标识体系中密钥仅能在密钥中心生成的问题,实现了私钥只有终端自己所有,密钥中心无法知道
最低0.47元/天 解锁文章
5078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
