IBC标识密码技术
PKI体系的几个问题:
1) 发送方在发送信息前总需要先获取接收方的证书。
2) 在每收到一个证书后,实体都需要验证证书的有效性。
3) 证书颁发和管理系统(PKI)非常复杂,难以部署。
为了解决公钥难以管理的问题,Shamir提出了基于标识的密码系统的概念(IBC)。在基于标识的密码系统中,每个实体具有一个标识。该标识可以是任何有意义的字符串。但和传统公钥系统最大的不同是,在基于标识的系统中,实体的标识本身就用作实体的公开密钥,这样系统就不再依赖证书和证书管理系统,从而极大地简化了管理密码系统的复杂性。在提出IBC概念的同时,Shamir提出了一个采用RSA算法的基于标识的签名算法(IBS)。
IBC,Identity-BasedCryptograph的缩写,就是基于标识的密码体系。是PKI密码体系的最新发展,从1984年以色列密码学家Shamir提出概念到实现论证经历了近20多年。2006年程朝辉博士、总参密码专家及中科院多位院士经过持续研究论证,在2008年将IBC技术标准化为中国国家算法标准,并获得国家商用密码管理局颁发的算法型号SM9。
IBC是在传统的PKI(公开密钥基础设施)基础上发展而来,除了保有PKI的技术优点外,主要解决了在具体安全应用中PKI需要大量交换数字证书的问题,使安全应用更加易于部署和使用。IBC密码技术使用的是非对称密码体系,加密与解密使用两套不同的密钥,每个人的公钥就是他的身份标识,比如email地址,密钥管理简单,那么给别人发送加密的电子邮件就非常方便了。
IBC标识密码的应用
首先,IBC简化了管理。如果用PKI,拥有1000个用户的一家组织要创建及维护1000个证书。与这些证书相关的密钥要不断更新,旧密钥还要保存起来。持有证书的用户离开组织后,就要撤销相关证书。因此,撤销列表也要维护、发布及不断更新PKI的证书管理还会因为存档邮件而变得复杂。证书管理的最佳策略建议:最好每年撤销证书,为每个用户创建新证书。但现在许多公司需要把邮件保存一年,有些是因为证券交易委员会规定的,还有些是因为电子邮件通常作为诉讼的一部分被要求上交。如果你要将加密邮件保存三年,同样也得将相应的密钥保存三年。
相比之下,管理员使用IBC,只需要管理用来为每个员工创建公钥和私钥的主密码和一组公共参数。IBC用一组信息取代了一千个证书。这些信息结合每个用户的电子邮件地址,就可以创建惟一的密钥。如果对加密电子邮件进行解密,管理员只需要该用户的电子邮件地址、公共参数和主密码。
注:图片来自于网络
IBC的第二个改进就是能够发送加密信息给没有数字证书的接收方。这样一来,如果需要,企业可以与客户和合作伙伴进行安全通信。通过在智能卡、UKey上部署IBC,开发人员能够开发更安全、更适用、更具性价比的在线和离线企业通讯应用软件。这一技术适用的领域包括电子政府、电子和移动商务、安全文档的无线管理、访问控制、个人认证令牌等。
随着物联网应用的发展,IBC技术的优势得到了发挥,除了SM9算法外,最具代表性的还有IPK(即:Identity Public Key)轻量级密钥技术,IPK是一种基于设备标识、实现点对点认证的非证书密码技术,与PKI证书体系的密码基础完全相同,都是基于ECC算法,SM9是一种双线性对算法,所以,从现有的PKI的兼容性角度,IPK具有更好的兼容性,在使用中与PKI体系的兼容性更好、延续性更强。
标识密码产品
密码卡:渔翁
百密邮
百密柜:百密柜通过标识密码技术保护用户存储安全。支持通过国密局的认证标准算法,可广泛应用于政府、企事业单位、军工、银行、证券等。
百密盾
安全接入系统安全中间件
IBC密钥管理平台
密九邮、通系列:奥联