IBC密码技术 国际信息安全技术的主流选择

PKI密码体系及其局限性

        PKI（公开密钥基础设施）体系在中国的实施应用已经有了近十年历史。它是基于公开密钥理论和技术建立起来的安全体系，在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、以及相关安全应用组件模块的集合，具有支持认证、完整性、机密性和不可否认性的特性，可从技术上解决网上身份认证、信息完整性和抗抵赖性等安全问题，为网络应用提供可靠的安全保障。近年来，PKI体系建设已初见成效。金融、政府、电信等部门已经建立了几十家CA认证中心，在各种信息安全应用中发挥着重大作用。

        但是，在多年实践中，基于证书的PKI体系存在以下局限性，影响了其推广和普及：

        1） 发送方每次发送信息前必须先获取接收方的证书。

        2） 每收到一个证书后，实体都需要验证证书的有效性。

        3） 证书颁发和管理系统(PKI)非常复杂，难以部署，成本较高。

基于标识的IBC密码体系

        为了解决公钥难以管理的问题，原PKI体系的设计者之一，以色列科学家Shamir，在1984年提出了基于标识的密码系统的概念（Identity-Based Cryptograph，缩写为IBC）。

        在基于标识的系统中，每个实体同样具有一个标识。该标识可以是任何有意义的惟一的字符串。但和传统公钥系统最大的不同是，在基于标识的系统中，实体的标识本身就是实体的公开密钥。例如，可以用企业代码、身份号码、Email地址、姓名、职位、时间等，甚至它们的组合作为实体的标识和公钥。该系统极大的方便了公开密码的管理。例如，发送方想发送一封Email到,就可以直接使用该Email地址作为接收方的公钥进行。甚至，一方可以在发信的同时指定接收方只能在特定的时间才能解密。

IBC体系中的邮件应用结构基本如下图：

        1. 用户alice要向bob发送一封邮件，alice在自己的信任标识域中加入bob的公钥标识（如其Email地址），通过IBC基于标识的密码体系并且使用自己的标识（如其Email地址）进行签名并发送出去。

        2. bob收到了alice的信件，如果bob没有获取私钥，他将向Key Server(CA)请求获取私钥。

        3. 如果bob本身就拥有本身的私钥，bob将通过本身的私钥对alice的信件进行解密验证，在这个解密和验证的过程中，bob是不需要与Key Server(CA)进行认证的，因此可以做到离线解密验证。

        4. bob通过身份认证获得了从Key Server(CA)中获得了证书，那么将根据自己的私钥解密alice的邮件，看到邮件内容，同时可以看到alice对邮件所做的签名，以对该邮件进行准确的身份验证。

        因此，IBC 允许用户选择自己的公钥，并通过可信的中央（CA）接收到自己的私钥，IBC的公钥是用户的身份标识（如Email 地址或网络帐号等），不仅可以使用用户的身份标识或与日期相结合做为公钥，甚至使用包含用户身份的实际方案都可用来做为公钥，如社保号、手机号码甚者是一段话。在安全通信过程不采用数字证书的概念，而直接将安全方案与或验证方法联系起来。不需数字证书，IBC 技术就可实现签名方法。因而用户无需进行公钥交换、认证。

IBC在应用中的优势

IBC在应用中有如下的优势：

        首先，IBC简化了管理。如果使用PKI，假设一个公司有1000个用户，管理员需要为这1000个用户创建和维护1000个证书。与这些证书相关公私钥对可能需要更新，旧密钥还要保存起来。持有证书的用户离开公司后，就要撤销相关证书。因此，撤销列表也要维护、发布及不断更新。

        PKI的证书管理还会因为存档邮件而变得复杂。证书管理的最佳策略建议：最好每年撤销证书，为每个用户创建新证书。但现在许多公司需要把邮件保存一年，有些是因为证券交易委员会规定的，还有些是因为电子邮件通常作为诉讼的一部分被要求上交。如果你要将邮件保存三年，同样也得将相应的密钥保存三年。

        相比之下，如果使用IBC，管理员只需要负责为每位用户创建并分发私钥，管理好CA中心主密钥与一组公共参数文件即可。IBC用一组信息取代了一千个证书。这些信息结合每位用户的标识（例如：电子邮件地址），就可以创建惟一的密钥。任何一个用户要发送电子邮件，在申请了自己的私钥之后，只需要知道对方的电子邮件地址便可发送，省去了许多和之间认证交互，提高了加解密的速度和应用效率.

        IBC的第二个改进就是能够发送信息给没有数字证书的接收方。这样一来，如果需要，企业可以与客户和合作伙伴进行安全通信。通过在智能卡、UKey上部署IBC，开发人员能够开发更安全、更适用、更具性价比的在线和离线企业通讯应用。这一技术适用的领域包括电子政府、电子和移动商务、安全文档的无线管理、访问控制、个人认证令牌等。

        基于标识的IBC密码体系是三十年来密码学取得长足发展的结果。在国际上，IBC密码技术已经获得了广泛的应用。美国食品药品管理局(FDA)在各大医疗机构中推广IBC应用，国际电信联盟(ITU)已采用IBC技术作为下一代移动电话的认证技术手段，、、等公司也在NGN中采用了IBC技术。

        我国的IBC密码技术正处于飞速发展的阶段。2007年12月16日，国家IBC标准正式通过了评审。在IBC体系的产业化方面，以深圳市奥联科技有限公司为代表的一批密码定点生产企业已深入开展IBC技术研究与产品开发工作。在国际知名密码专家程朝辉博士的领导下，奥联公司已向IETF提交了2项RFC，向IEEE提交了1篇标准文档，同时成功地将IBC密码技术与传统的PKI密码技术相融合研制了一系列新产品，涵盖VPN、UTM、防火墙、USB智能密码钥匙、SD智能密码钥匙、SSL、安全电子邮件、安全中间件、接入认证等，全部产品拥有自主知识产权，为网络应用的各个环节保驾护航。

        在刚落幕的第九届中国信息安全大会上，奥联IBC密码体系荣获2008年度中国信息安全创新奖，奥联公司荣获2008年度中国信息安全值得信赖品牌奖。正如奥联董事长王李琰在大会演讲中所言，IBC密码技术将在信息流通的各个环节起重要作用，这也预示着众多安全厂商在信息安全行业中的新机遇的降临。