IBC 密码体系与应用 深圳市奥联科技有限公司
密码发展历史 IBC 密码体系介绍 奥联 IBC 密码技术及产品 IBC 应用及行业解决方案 内容提要
密码的历史 古典密码 4000 年前埃及人就开始使用信息隐藏技术 兩千年前古罗马凯撒使用替换密码运用在 Gallic Wars Vigen è re( 弗吉尼亚密码 ) 1863(1854) 年 Friedrich Kasiski 公开 破译方法 近代密码 日本九七式机械密码 , 1940 年被美军破译,直接导致日本中 途岛战役的失败 德国 Enigma 密码, 1941 年被英国科学家破译, 影响了二战的进 程
密码 “ 学 ” 的历史 香农的信息论 1949 年发表 “Communication Theory of Secret System” 为私钥密码系统建立理论基础,密码 “ 学 ” 成为科学。 密码学的新纪元 1976 年 Diffie-Hellman 发表 “New Direction In Cryptography” 为 密码学指出了新方向 1978 年 Rivest, Shamir, Adleman 提出 RSA 算法 密码应用的新问题和新发展 1984 年 Shamir 提出基于标识的密码技术 (IBC) 的概念 2000/2001 年基于 pairing 的标识密码技术取得突破
对称密码体制 DES, AES,… 发送方和接收方用一把钥匙。 发送方用钥匙加密 接收方用同一钥匙解密 问题: 双方必需首先共享同一把钥匙 公钥体制解决这个问题
非对称 ( 公钥 ) 密码体制 一个用户有两把钥匙 (RSA, IBC) 公钥:告诉所有人 私钥:谁也不说 从公钥算不出私钥 从私钥可以算出公钥 加密 发送方用接收方的公钥加密数据 接收方用自己的私钥解密数据 无私钥无法解密数据 签名 用自己的私钥签名数据 发送数据和签名给对方 对方用声称签名人的公钥验证对数据的签名 只有拥有私钥的人才能生成正确的签名
密码发展历史 IBC 密码体系介绍 奥联 IBC 密码技术及产品 IBC 应用及行业解决方案 内容提要
IBC 是什么 IBC ( Identity-Based Cryptograph ) 即基于标识的密码技 术, IBC 是在传统的 PKI( 公开密钥基础设施 ) 基础上发展 而来,主要降低了具体安全应用在部署和使用上的复杂 度,避免了安全应用中产生的大量数字证书交换。 丰富的增值应用,易于实现的策略管理控制。 双方建立安全通讯之前无需事先获取对方的数字证书。
IBC 发展历程 PKI 安全体系 IBC 安全体系 时间 年代末 1984 年以色列科学家 Shamir 提出了基于标识的密码系统的概念 (IBC) 2000 年找到了使用椭圆曲线上的 pairing 设计基于标识的密码系统的思路 2001 年 Boneh-Franklin 设计了高效的基于标识的加密算法 2006 年奥联提交了 IBC 国际标准和专利申请 2007 年奥联完成了 IBC 基础密码体系、密码库和智能密码设备开发 2008 年 IBC 标准通过国密局认定,奥联 IBCKey 和加密电子邮件通过评审
PKI vs IBC 传统的非对称密码体制中, 公钥是随机计算生成的一串数字 它必须通过证书才能与用户的身份关联到一起 证书的管理需要复杂的基础设施 (Public Key Infrastructure: PKI) IBC 公钥可以是任意的字符数据,能方便地直接关联到用户的身份或 角色,无需经过证书交换以及建设相关昂贵的基础设施。
PKI vs IBC RSA 公钥 c c4 09 8a f5 9b fe c e 48 fd 69 dd c9 c6 ef 4d e9 fa d9 8c 50 df dd 26 3a 45 ce 57 5c 2c 35 b b ea 1d a1 cb21 b9 69 d8 74 ee c2 f7 48 f3 2f 45 5f ea 68 b0 c4 e2 7d 95 d0 dc d5 00 f3 36 de 45 a0 d1 9e 4a d1 13 c3 59 4c 09 a4 4c 7e 9b f d bd 4b 8d 5f c8 be c b8 1f f3 29 b0 dd 5a 00 cf 15 a IBC 公钥 张三 | 安全网关开发组 | 奥联科技 |2008
PKI 的使用流程 CA Bob 用自己的私钥 解密 6 申请 的证书 1 Alice 验证 的证书 4 Alice 获取 Alice 获取 的证书 3 接收 的 证书 2
IBC 加密的流程 密码服务器 Alice 使用 加密邮 件 1 Bob 申请其邮 件地址对应的 私钥 2 获取 对 应得私钥 3 Bob 使用私钥解密 4
密码服务器 Alice 使用私钥签 名 3 Alice 申请其邮 件地址对应的 私钥 1 获取 对 应得私钥 2 Bob 使用 验证 签名 4 接受 拒绝 IBC 签名的流程
IBC 技术的创新性 无需 PKI 体系中的数字证书,无需证书颁发机构 CA 中心,无 需证书的发布与查询,使用简单,部署方便,尤其适用于海 量用户的安全系统 无需 PKI 中证书验证等计算过程,具备较低的计算代价,适用 于手机终端 无需 PKI 的在线连接 CA 服务器查询与验证证书状态,具备较 低的通信代价 丰富的策略控制机制,将身份认证与访问控制合二为一
密码发展历史 IBC 密码体系介绍 奥联 IBC 密码技术及产品 IBC 应用及行业解决方案 内容提要
奥联 IBC 密码技术 向 IEEE P 提交两个草案 标识加密算法 标识密钥交换协议 向 IETF S/MIME 工作组提交一份草案 在安全邮件中如何使用 IBC 技术进行邮件编码 参与制定了国家的标识密码算法 2007 年 12 月中国标识密码算法 (SM9) 确定 正在制定国家 SSL VPN 标准中的标识密码算法部分
奥联 IBC 密码产品 安全电子邮件服务 (“ 具有创新性的安全电子邮件产品 ”) 终端软件: OMail, Outlook Express/Outlook 插件 与 21cn 邮局、傲天合作,定制的 WEB Mail 插件 手机版安全电子邮件 安全电子政务应用 电子公文流转的安全应用 税务申报系统的安全应用 企业安全应用 安全文件柜 IBC 安全网关 终端设备 USB 、 SD 密码钥匙 ( 首款同时支持 IBC/PKI 的智能密码钥匙 ) 安全手机应用 加密短信、彩信 加密 Push To Talk
奥联 IBC 安全服务运营模型
密码发展历史 IBC 密码体系介绍 奥联 IBC 密码技术及产品 IBC 应用及行业解决方案 内容提要
IBC 应用方向 PKI+IBC 安全身份认证 电子公文 基于安全邮件 的支付 基于安全邮件 的支付 通话加密 短信加密 安全邮箱 SD/SIM 卡结合 IBCKey SD/SIM 卡结合 IBCKey 电子印章 公交刷手机卡 本地安全套件 移动银行 移动证券
移动安全解决方案 金融业务安全解决方案 面向 CA 中心的全业务解决方案 可运营的安全电子邮件服务系统 基于 C2C 的安全电子商务系统 。。。。。。 IBC 行业解决方案
THE END
技术分析 PKI 数字证书 优势 : 运营管理方便,成本低; 用户使用方便; 灵活的安全策略控制。 优势 : 经过长期发展技术成熟; PKI 技术已经被业界大量产商采纳; 签名证书的签名具有强不可抵赖性。
技术分析 PKI 数字证书 不足 : 数字签名不可做到强不可抵赖性。 面临的挑战 : 系统运行维护成本高; 用户维护数字证书困难; 企业应用的内控实现复杂;
PKI 和 IBC 的关系 结论 : IBC 和 PKI 技术可以相互补充 IBC 可以方便实行信息的加密 互不信任的组织间交换信息时(比如安全邮件), CA 提供的强数字签名具有法律效果
PKI 和 IBC 的融合 信息安全领域的新趋势 基于标识的密码技术在研究方向上和传统的 PKI 是不同 的体系,但在应用上能对传统的 PKI 体系形成很好的补充, 使公钥基础设施能更好地满足用户的信息安全需求。目前已 经取得了这些重要成果将会对网络安全、信息安全、电子政 务、电子商务的影响非常巨大。 PKI 签名证书
合作方式 产品合作 围绕 VPN 、 UTM 、 IBCKey 、安全邮件等产品应用展开合作 项目合作 依靠完善的产品线和 IBC 技术优势提供行业应用解决方案 运营合作 通过 IBC 中心的服务运营能力开展各种安全应用运营合作 技术授权 向合作伙伴授权 IBC 技术并提供安全应用开发支持