文 │深圳奥联信息安全技术有限公司 白顺东

商用密码是我国密码体系的重要组成部分,关系国家政治安全、经济安全、国防安全和网络空间安全。经过二十年的发展,我国形成了 ZUC、SM1、SM2、SM3、SM4、SM7、SM9 等安全、可靠、稳定的商用密码算法体系,广泛应用于基础信息网络、重要信息系统、工业控制系统和政务系统,有效保障了信息系统的真实性、机密性、完整性和不可否认性。

一、公钥密码体制的三种常见方案

在非对称密码学中存在一个关键问题,即如何构建实体身份与用户密钥对的映射问题。社会空间中可通过面对面确认彼此的身份。但在网络空间中,各实体之间的远距离通信面临着各类敌手发起的不同维度的干扰、破坏、截取等形式的攻击,为了构建实体与密钥对的映射关系,目前有三类主要的解决机制:数字证书机制(PKI/CA)、标识密码机制(IBC)和隐式证书(或称无证书)机制。

国际电信联盟(ITU-T)于 1988 年制定了 X.500系列标准。X.509 给出数字证书的管理机制。在PKI/CA 机制中,实体的身份信息经由证书签发机构 CA 核实后签发数字证书。数字证书中包含了实体的身份信息(例如姓名、组织、邮箱等),实体公钥并采用 CA 机构的根证书做签名。CA 不仅签发公钥证书,还要承担证书的查询、撤销、更新等管理职能以及对证书撤销列表 CRL 管理等。CA 对证书的申请、签发、验证、废止、更新、撤销等管理需要多层次的认证中心和巨大的计算资源的支持。

标识密码机制 IBC,以用户的标识作为公钥直接进行密码运算,解决了公钥真实性问题,无需分发、查询等证书操作,极大地简化了密钥管理的复杂性。在 IBC 系统中,用户的私钥由可信密钥生成中心 KGC 计算生成,具备天然的密钥委托功能。

ECS 无证书机制介于数字证书机制和标识密码机制之间。与 IBC 机制的共同点是以用户的标识作为公钥,同样具有无证书管理、系统轻量、通信开销低等优势。不同点是,在 ECS 无证书机制中,用户的私钥由两个秘密因素决定:一个是从密钥生成中心中提取的与用户身份相关的密钥,另一个是由用户自己生成的密钥,从一个秘密元素不能计算另一个。这就使得 ECS 无证书机制没有密钥托管的功能,其数字签名具有强不可抵赖性。

随着云计算、大数据、物联网、5G、车联网等技术发展,网络规模的急剧扩张、网络应用的日益丰富,因此,对于 SM9 标识密码、ECS 无证书密码的应用需求也在迅速增长。

二、SM9 应用生态逐步丰富完整

从 1984 年标识密码机制 IBC 的概念提出,到2021 年 SM9 算法全体系进入 ISO/IEC/ITU 国际标准,SM9 标识密码机制已形成完整体系,生态应用日渐丰富。

(一)SM9 算法标准形成完整体系

1984 年,Adi Shamir 提出了标识密码 IBC 的概念;1999 年,Negishi、Sakai 和 Kasahara 等人提出了用椭圆曲线对构造基于标识的密钥共享方案;2001 年,Boneh 和 Franklin 及 Sakai、Ohgishi、Kasahara 等人独立提出了用椭圆曲线对构造标识公钥加密算法。IBC 在传统的 PKI/CA 基础上发展而来,除了具备 PKI 技术的优点外,主要解决了在具体安全应用中 PKI 大量交换数字证书的问题,使安全应用更加易于部署和使用。

在标识密码算法中,实体的私钥均由密钥生成中心(KGC)根据实体标识计算下发,私钥的信息中已经包含了标识信息。实体用户可根据对方的标识信息和系统参数,直接进行加密和签名验证,避开了证书验证环节。SM9 数字签名密钥对由密钥生成中心 KGC 下发,可以用于身份认证、数据完整性保护等场景。SM9 加密密钥用于加密的标识选取不仅可以是网络实体的唯一属性,也可以是事件 ID、时间、经纬度等,SM9 在加密密钥对的管理方面具有细粒度、灵活、轻量级等特点。2016 年,国家密码管理局公布了 SM9 标识密码算法,在《密码法》等政策法规的指引下,SM9标准化、研究与应用发展迅速。奥联信息与华为、中国电信联合制定的 ITU-T X.1365 标准,支持所有已经标准化的标识密码算法,填补了 IBC 在密钥管理的空白。SM9 算法是我国首个全体系纳入ISO/IEC/ITU 标准的公钥密码算法,对促进我国商用密码产业发展、提升我国商用密码的国际影响力具有重要意义。

目前,产业界对 SM9 数字签名在用于身份认证、数据完整性保护等场景时看法一致,但就SM9 数字签名用于需要电子签名法律效力的场合存在一定争议。首先,电子签名和数字签名是不同的的概念——“电子签名是宏观总体概念,是一类技术的统称;而数字签名是电子签名的一种,是目前电子商务、电子政务中应用最普遍、可操作性最强、技术最成熟的一种电子签名技术”。其次,《电子签名法》第三章第十三条对可靠电子签名做了明确要求的同时,也赋予了当事人充分的自由来选择使用适当的电子签名技术。我国的《电子签名法》采用了功能等同主义而非技术特定主义,也就是电子签名的过程并非仅依赖某一项技术才能完成。

在 SM9 应用方面,国内产业界已经覆盖 SM9算法库、密码芯片、密码板卡、密码机、标识密钥管理系统、协同签名系统、密码服务平台、加密邮件、加密即时通信和 IPSec/SSL VPN 等产品,形成了安全电子邮件解决方案、身份认证解决方案、云安全接入解决方案、物联网安全解决方案、视频会议加密解决方案和移动办公安全解决方案等,构建了良好的 SM9 应用生态。

(二)SM9 护航电子邮件安全

电子邮件是组织机构重要的沟通工具,而邮件协议缺乏认证和安全鉴别机制,成为黑客渗透攻击的主要目标和勒索软件攻击的主要途径。2016 年 11 月,希拉里“邮件门”的影响已经超出了金钱损失的影响范畴。2018 年 11 月 22 日,《焦点访谈》“网上谍影”报道了针对电子邮件系统的供应链、违规处理政务信息、弱口令等窃取国家机密的攻击事件。

国家信息技术安全研究中心牵头编制了 GB/T37002-2018《信息安全技术 电子邮件系统安全技术要求》,要求使用加密技术来实现邮件数据在传输和存储中的保护,降低数据泄密的安全风险。SM9 标识密码技术以邮件地址作为标识公钥,综合使用 SM3、SM4 算法实现了“一邮一密”。SM9 的密钥管理优势可快速实现服务端数据加解密,在不改变用户使用习惯的情况下,实现网页、客户端和 App 等多种方式安全收发邮件。特别的,SM9 标识密码技术解决了邮件与外部组织机构通信加密的难题,依托 ZDM 邮件加密技术实现外部组织机构用户的免安装解密,可轻松向外域(如QQ、163 等)发送加密邮件。该标准已经广泛应用于我国政府、央企、军工等领域,并获得 2022年度网络安全国家标准优秀实践案例奖。

(三)SM9 赋能物联网安全

在物联网安全体系中,SM9 标识公钥由物联网设备标识唯一确定,消除了对证书的依赖,可便捷实现身份认证、传输安全、访问控制和数据安全的物联网安全场景。此外,SM9 标识密码技术在管理上更加高效,非常适用于大规模海量设备认证的物联网场景。

电力物联网是关乎国计民生的关键信息基础设施,在“发—输—变—配—用”等环节部署了大量终端,提高电网运营便捷性的同时,也为网络破坏提供了攻击入口。当前,我国积极推进双碳政策,大力发展新能源电力,随着大量新能源风机、光伏板等的接入,智能化终端及数据的安全问题亟待加强。例如 2015 年 12 月 23 日,乌克兰电网系统遭受黑客攻击,主要原因是变电站SCADA 站控层之下的通信网络,并无安全加密通信协议,攻击者可以轻易构造或篡改通信指令来控制电力设备。SM9 标识密码的轻量级密钥管理、小尺寸的密钥数据非常有利于提升电力控制网络建设,融合 SM9 算法、CHAP 协议、生物识别等技术,构建面向海量终端的身份认证架构,保障了业务终端到云服务端的接入认证、业务全链条数据传输和信任的安全性,提升电力物联网身份认证的效率。

三、ECS 机制崭露头角,引入新赛道

无证书的密码体制的代表包括 1991 年由Girault 提出的“隐式证书”密码系统(ImplicitCertificate)和由 Al-Riyami 及 Paterson 在 2001 年提出的无证书公钥密码体制(AP-CL-PKC),该机制介于 PKI 和 IBC 之间。1998 年 Arazi 提出基于 Schnorr 签名算法变形的密钥生成算法,这个方法后来发展成为 ECQV。ECQV 结合 ECDSA 可以抵抗众多攻击,但仍然不能抵抗对特定消息的伪造签名攻击。2020 年,奥联信息与兴唐、华为等国内诸多密码产业单位基于 ECS 算法起草了我国基于 SM2 算法的无证书及隐式证书公钥密码机制,目前已经完成征求意见稿。ECS 算法具有简洁的密钥管理、极低的带宽和存储开销、高效的算法实现方面具备非常大的优势,非常适合高动态、高并发、高性能的应用系统。

(一)ECS 提速 C-V2X 通信

C-V2X 车路协同网络中,主要是基于直连通信的车辆与交通基础设施(V2I)、车辆与车辆(V2V)、路人(V2P)等场景。在 C-V2X 通信中强调四方面安全需求:一是身份合法性,保障参与 V2X 通信的车载设备 OBU、路侧设备 RSU 等是真实可信的实体,并提供简洁的公钥分发;二是消息完整性,V2X 通信中 BSM、MAP、RSI、RSM、SPAT 等消息在广播后必须保障消息的完整性;三是隐私保护,车联网应用涉及位置隐私、用户数据隐私和用户身份隐私,要防范各类敌手对车辆位置的追踪,即要实现车辆信息的匿名性;四是算法高效率,C-V2X是一个高速变化、动态组网的网络,OBU、RSU 等实体必须快速分发公钥信息、快速验证签名,SM2签名性能≥ 2000 次/秒。

在通信带宽方面,采用 GB/T37376 -2019《交通运输 数字证书格式》,公钥证书大小约为 140字节;采用 ECS 隐式证书机制,公钥大小约为 65-70 字节,相比可节约50% 的通信开销。而我国 V2X 频谱为5.905G,20MHz, 空口带宽极为珍贵。在计算开销方面,ECS 隐式证书机制相比较 X.509 证书需要校验证书签名,可解决 33% 的公钥计算开销,在移远公司的 5G 直通模组上测试 ECS 验签性能可到 8000 次/秒。

我国《基于 LTE 的车联网无线通信技术 安全证书管理系统技术要求》规划了一套针对 V2X 应用层安全而设计的一套证书管理系统,包含了证书颁发、证书撤销、终端安全信息收集、数据管理、异常分析等一系列与安全相关的功能,以此确保V2X 的安全通信。在假名证书机构中,可选用隐式证书或无证书机制,以提升 V2X 通信效率并保障匿名性。

(二)ECS 在 5G 中的应用展望

5G 移动通信因其速率快,带宽广,性能优等独特的优势 , 是实现万物互联的关键设施。5G 网络也面临各种各样的安全和性能挑战,例如 5G 实现了万物泛在互联,海量多类型终端接入导致 5G空口面临终端伪造、身份冒用通信数据被窃取和篡改的风险。

5G 需要统一的安全管理机制来保证设备跨接入技术的网络接入安全,同时提供通用的安全性,5G 还需要面向海量异构物联网(IoT)设备提供高效接入认证机制。ECS 签名方案可以在资源有限的物联网设备中提供高效的安全认证支撑。

5G 网络中,接入认证、数据采集、数据存储与共享等环节的安全问题需要依托密码技术解决,如用户身份的机密性保护、网络节点之间的实体鉴别等问题,如果采用 PKI/CA 技术,一方面对 CA 容量要求高;另一方面,将面临一系列证书管理的开销,如大并发的证书申请、证书更新、证书撤销等操作。ECS 机制的提出,或许是一种解题思路。

四、结 语

目前,我国密码技术应用处于“百家争鸣,百花齐放”的良好态势。PKI/CA 在我国经过二十多年的发展,已构建了完备的产业生态,充分发挥电子签名的优势,保障了电子发票、电子合同、电子政务、金融等数字化发展的安全。SM9 标识密码算法以其灵活、轻量、简单的特点在电子邮件、物联网、数据安全等生态中发挥了重要作用。ECS算法作为新生力量,在 C-V2X 车联网、工业互联网等行业中崭露头角。

随着网络安全概念的普及,安全也成为信息系统的内在、关键属性。云计算、大数据、物联网、车联网、5G 等信息技术的在架构、算力、通信、数据等催生密码技术的创新,而密码技术只有不断创新才能更好地护航数字经济发展。

(本文刊登于《中国信息安全》杂志2023年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。