1、商用密码技术、产品与应用商用密码技术、产品与应用前前 言言v随着信息化进程的深入和互联网的广泛应用,信息安全问题越来越重要,得到各个国家的高度重视v密码技术是信息安全的核心技术,我国国家领导人也明确指出,密码技术、航天技术和核技术是不容外国染指的三块自留地,是国家的三大战略武器 内容提要内容提要三、关于商用密码应用三、关于商用密码应用二、关于商用密码产品二、关于商用密码产品一、关于商用密码技术一、关于商用密码技术一般意义上,密码技术是指密码学相关技术,主要是指研究密码编制、分析和破译的学科,包括密码算法、密码协议和密码系统等的设计与分析的原理、方法和工具。商用密码管理条例明确指出,密码技术是指
2、密码算法的编制与实现技术、密码协议的编制与实现技术,以及密码检测、密钥管理等相关技术一、关于一、关于“商用密码技术商用密码技术”在这里,对“商用密码技术”加了引号,主要体现密码技术是通用技术,是没有属性的,引号主要为了表示商用密码领域应用的密码算法等相关技术。在这里,我重点介绍一下密码算法的基本情况1. 分组密码算法 1. RSA密码算法 2.椭圆曲线密码算法 2. 序列密码算法随机数生成算法、混沌密码算法、量子密码算法等密码算法简介密码算法简介密码杂凑算法v密码算法是指描述密码处理过程的一组运算规则或规程,一般是指基于复杂数学问题设计的一组运算。总体来说,密码算法主要包括对称密码算法和公钥密
3、码算法v对称密码算法有时也叫秘密密钥算法或单密钥算法,数据发信方将明文(原始数据)和密钥一起经过密码算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,使用密钥及算法的逆运算对密文进行解密,使其恢复成可读明文。 密码算法简介密码算法简介密码算法简介密码算法简介v公钥密码算法又称为“非对称密码算法”,1976年Diffie和Hellman以及Merkle分别提出,要求密钥成对出现,一个为加密密钥,可以对外公开(又称为公钥),另一个为解密密钥,用户自己唯一拥有(称为私钥)v两密钥之间存在相互依存关系,用其中任一个密钥加密的信息只能用另一个密钥进行解密,且不可能从其中一个推导出另一个密码算
4、法简介密码算法简介v由对称密码算法和公钥密码算法定义可以看出,采用对称密码算法需要通信双方事先获得共享密钥,而采用公钥密码算法时,人人都可以通过收信者的公钥对文件进行加密,然后发给收信者;而有且只有收信者使用其私钥才能对文件进行解密,这使得通信双方无需事先交换密钥就可进行保密通信。v非对称密码算法较对称密码算法处理速度慢,因此,通常把非对称密码算法与对称密码算法结合起来实现最佳性能,即用非对称密码算法在通信双方之间传送对称密钥,而用对称密码算法来对实际传输的数据加密解密。 v分组密码算法分组密码算法是将明密文分成固定长度分组,采用相同密钥对每一块加密,输出也是固定长度的密文的密码算法。比较有名
5、的分组密码算法是上世纪70年代美国确立的数据加密标准DES算法,加密时把明文以64bit为单位分成块,而后通过运算把每一块明文转化成同样长度的密文块。AES算法是上世纪末,美国为替换3DES算法,面向世界评估确定的高级加密标准算法,明密文分块是128比特。比较有名的分组密码算法还有3DES算法,IDEA算法,TUOFISH算法等。密码算法简介密码算法简介密码算法简介密码算法简介v分组密码算法结构图v序列密码算法 序列密码算法是军事和外交领域使用的主要密码技术之一,它的主要原理是通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流得到密文序列。序列密码算法的安全强度完全决定于它所产生的伪
6、随机序列的好坏,产生好的序列密码的主要途径之一是利用移位寄存器产生伪随机序列。 密码算法简介密码算法简介密码算法简介密码算法简介v序列密码算法结构图密码算法简介密码算法简介v公钥密码算法主要包括RSA密码算法和椭圆曲线密码算法v1978年,RSA由美国麻省理工学院(MIT)的Rivest、Shamir和Adleman共同提出,其安全性基于大整数素因子分解的困难性,至今没有有效的方法予以解决v目前,国际主要采用RSA_1024和RSA_2048,近年来,随着计算技术的进步和计算机运算性能的不断提高,RSA算法应用安全的危险性增大,世界各国都在需求替代RSA密码算法的下一代公钥密码算法密码算法简介
7、密码算法简介v椭圆曲线密码算法椭圆曲线密码算法(ECC密码算法)被国际公认为唯一成熟可替代RSA密码算法的公钥密码算法椭圆曲线密码算法基于有限域上的离散对数难解问题设计椭圆曲线密码算法相对RSA密码算法而言,具有资源占用少、运算效率高等优点世界各国都在大力推广使用椭圆曲线密码算法,美国已经确定2010年起,全面推广应用椭圆曲线密码算法我国已经研制了具有自主知识产权的椭圆曲线密码算法SM2,并组织研制了实现有SM2算法的算法芯片、智能密码钥匙、PCI密码卡、密码机等产品v公钥密码算法结构图密码算法简介密码算法简介v公钥密码算法签名/验证示意图密码算法简介密码算法简介密码算法简介密码算法简介v密码
8、杂凑算法又称散列算法或哈希函数,是把任意长的输入消息串变化成固定长的输出串的一种函数,这个输出串称为该消息的杂凑值。一个安全的密码杂凑算法应该至少满足以下几个条件:p输入长度是任意的,输出长度是固定的;对每一个给定的输入,计算输出即杂凑值是很容易的;p给定密码杂凑算法的描述,找到两个不同的输入消息,使杂凑值相同是计算不可行的;p给定密码杂凑算法的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。密码算法简介密码算法简介v随机数生成算法一般是指生成伪随机序列的算法,通常由随机数发生源和后续处理函数组成,随机数发生源用于提供随机种子,后续处理函数用于平衡
9、随机数的质量安全通信的保密强度与密码算法、密钥质量要求很高。我国密码产品中采用的密钥要求用数字物理噪声源芯片等硬件生成,这些硬件中内部实现了随机数生成算法我国密码管理政策要求随机数算法输出的数据应能够符合随机性检测规范 密码算法简介密码算法简介v我国推广应用的主要商用密码算法分组密码算法,SM1、SM6、SSF33公钥密码算法,SM2密码杂凑算法,SM3随机数生成算法,目前没有指定,但要求输出数据符合随机性检测规范商用密码领域应用序列密码算法较少目前,国家认可使用的国际密码算法RSA、SHA-1、SHA-2关于商用密码技术关于商用密码技术v密码协议较为成熟的国际协议,如密钥交换协议、密钥封装协
10、议、IPSec VPN协议、SSL VPN协议等电子认证相关协议,如数字证书密码协议规范所确定的CA与RA、CA与KM间相关协议对外应用接口所确定的一些协议,如可信计算密码支撑平台功能与接口规范关于商用密码技术关于商用密码技术v密码检测主要内容 密码算法实现正确性、一致性;密钥生成的质量、密钥管理安全性;密码功能实现正确性;密码算法运算相关性能等。已通过审查的部分检测标准 数字证书认证系统检测规范、分组密码算法检测规范、公钥密码算法检测规范、密码杂凑算法检测规范、随机性检测规范、安全数据库检测实施规则、安全路由器检测实施规则等。关于商用密码技术关于商用密码技术v密钥管理主要包括对称密钥和非对称
11、密钥对的产生、存储、传输、归档、销毁、备份和恢复等密钥管理功能密钥要求硬件生成、安全传输和存储密钥在整个生命周期中应不能明文导出密钥产生和传输性能应能满足应用要求二、关于商用密码产品二、关于商用密码产品1.什么是商用密码产品2.商用密码产品研发要求3.商用密码产品的分类4.含有密码技术的产品什么是商用密码产品什么是商用密码产品v商用密码产品,是指采用密码技术,且以加密保护或者安全认证为主要功能的产品v要素:密码技术 加密保护 安全认证 主要功能 产 品 商用密码产品研发要求商用密码产品研发要求v研制和生产商用密码产品必须获得国家密码管理研制和生产商用密码产品必须获得国家密码管理部门颁发的部门颁
12、发的商用密码产品生产定点单位证书商用密码产品生产定点单位证书申请单位须为事业、全内资企业或中方控股企业申请单位须为事业、全内资企业或中方控股企业单位单位技术研发人员不得低于技术研发人员不得低于1515人人具有与研发、生产相适应的场地具有与研发、生产相适应的场地注册资金不得低于注册资金不得低于200200万元万元商用密码生产资质审批程序商用密码生产资质审批程序v申请单位填写并向省(区、市)密码管理部门提交商用密码产品生产定点单位申请表v省(区、市)密码管理部门对提交材料进行初审,对申请单位进行实地考核,通过初审及考核的,将相关材料提交国家密码管理局v国家密码管理局组织对申请单位进行考核,并研究确
13、定是否指定;通过考核的,下发商用密码产品生产定点单位证书v目前,国家密码管理局每年集中组织2次实地考核商用密码产品审批流程商用密码产品审批流程v商用密码产品投放市场前,必须取得国家密码管理局批准的产品品种和型号证书。v商用密码产品生产定点单位在研制出产品样品以后,应当向国家密码管理局提交商用密码产品品种和型号申请材料。v国家密码管理局按照行政许可的审批程序,对产品采用密码算法的适当性、密码功能实现的合理性、密码方案的安全性进行审查,通过审查的,下发商用密码产品型号证书v获得商用密码产品型号证书的,研制单位可以按照批准的产品品种型号进行生产,但生产过程中不得私自改变审批时的条件商用密码产品分类商
14、用密码产品分类v按功能 可分为密码算法、数据加解密、认证鉴别、证书管理、密钥管理、密码防伪和综合共七类产品。 密码算法类产品,指构成密码应用基础的能提供密码运算功能的产品,例如密码算法IP核、密码算法芯片等,如SSX20系列安全芯片。数据加解密类产品,指能提供数据加解密功能的产品,例如加密机、加密卡、USBkey等,如SJY05-B/C/D主机加密服务器。认证鉴别类产品,指能提供身份认证、密码鉴别功能的产品,例如动态口令系统、身份认证系统等。如SDK02动态令牌系统。商用密码产品分类商用密码产品分类证书管理类产品,指能提供证书的产生、分发、管理功能的产品,例如数字证书认证系统、证书管理系统等,
15、如SRQ05电子证书系统密钥管理类产品,指能提供密钥的产生、分发、更新、归档和恢复等功能的产品,例如密钥管理系统等,如SMG01密钥管理系统密码防伪类产品,指能提供密码防伪验证功能的产品,例如电子印章系统、支付密码器、数字水印等,如SJY105电子签章系统综合类产品指,能提供含上述六类产品功能的两种或两种以上的产品,例如电子商务安全平台、综合安全保密系统等,如海关电子口岸执法系统密码安全子系统商用密码产品分类商用密码产品分类v按形态 可分软件、芯片、模块、板卡、整机、系统六类软件:指以纯软件形态出现的密码产品,例如信息保密软件、密码算法软件,如SRQ05电子证书认证系统芯片:指以芯片形态出现的
16、密码产品,例如算法芯片、密码SOC芯片等,如SSX31安全芯片模块:指以多芯片组装的背板形态出现,具备专用密码功能,但本身不能完成完整的密码功能的产品,例如加解密模块、安全控制模块等,如安全PC中的TCM可信密码模块商用密码产品分类商用密码产品分类板卡:指以板卡形态出现,具备完整密码功能的产品。例如:IC卡,USBKEY,PCMCIA等,如SJY115系列PCI密码卡整机:指以整机形态出现,具备完整密码功能的产品,例如网络密码机,服务器密码机等,如SJW59 IPSec VPN安全网关系统:指以系统形态出现,由密码功能支撑的产品,例如安全认证系统、密钥管理系统等含有密码技术的产品含有密码技术的
17、产品v含有密码技术的产品,是指采用密码技术,但不以加密保护或安全认证为主要功能的产品 v含有密码技术的产品,是针对近年来密码技术嵌入式发展趋势,同时也是针对国内外信息安全强制认证所提出的应对措施v目前,含有密码技术的产品主要包括无线局域网、安全路由器、安全数据库、加密防火墙、安全COS、安全操作系统等含有密码技术的产品管理含有密码技术的产品管理v组织制定并发布相关技术规范、检测实施规则、检测指南等v国家指定具备密码检测能力的第三方检测机构v研制单位向第三方检测机构提交相关材料,签订密码检测协议v第三方检测机构根据国家发布的相关规范进行密码检测,通过检测的,发给密码检测合格证,按照国家信息安全强
18、制认证的相关要求入市销售三、关于商用密码应用三、关于商用密码应用1.目前商用密码重点应用情况介绍2. 商用密码应用技术体系研究相关情况介绍目前商用密码重点应用情况介绍目前商用密码重点应用情况介绍v电子认证体系建设及应用情况 2005年5月,中华人民共和国电子签名法、电子认证服务密码管理办法、电子认证服务管理办法正式实施,为电子认证的发展创造了良好的法律环境国家信息化领导小组关于加强信息安全保障工作的意见、国家网络与信息安全协调小组关于网络信任体系建设的若干意见、国家信息化发展战略、国家电子政务电子认证总体规划等有关文件,构建了电子认证体系建设基础 目前商用密码重点应用情况介绍目前商用密码重点应
19、用情况介绍目前,已经有30个运营CA获得国家密码管理局颁发的电子认证服务使用密码许可证和工业与信息化部颁发的电子认证服务运营许可证电子认证服务机构签发数字证书广泛应用于金融、税务、工商、质检、教育、证券、电信、电子商务等应用领域,为国家和社会带来极大的经济效益和社会效益以电子认证为基础的网络信任体系正在逐步建立健全,我国已经走在世界前列电子认证服务系统的结构电子认证服务系统的结构目前商用密码重点应用情况介绍目前商用密码重点应用情况介绍v县乡安全公文传输系统由公文管理、公文传输和密钥管理三部分组成,能够实现公文在生成和传输过程中的机密性、完整性、可用性和相关行为的真实性、不可否认性服务已经在全国
20、30多个省(区、市)全面推广应用,在抗震救灾、敏感信息紧急传递等应用中起了重要保障作用目前商用密码重点应用情况介绍目前商用密码重点应用情况介绍v海关电子口岸公共数据安全保密子系统1998年开始建设, 1999年即为国家挽回近400亿元损失真正实现了国家发改委、海关总署、科技部、人民银行、国家税务总局、商务部等11个部委和8家商业银行的联网运行和数据共享目前有63个国家大型应用依托海关电子口岸公共数据安全保密子系统提供的安全保障,其中2008年仅电子支付一个项目累计金额即达3400多亿元主要成效一:贸易顺差和顺收趋于平衡主要成效一:贸易顺差和顺收趋于平衡目前商用密码重点应用情况介绍目前商用密码重
21、点应用情况介绍主要成效二:主要成效二:“三假三假”走私案件减少走私案件减少 目前商用密码重点应用情况介绍目前商用密码重点应用情况介绍主要成效三:促进海关税收显著增长主要成效三:促进海关税收显著增长 目前商用密码重点应用情况介绍目前商用密码重点应用情况介绍商用密码应用技术体系研究相关情况商用密码应用技术体系研究相关情况v商用密码应用技术体系具有较好的研究基础管理法规体系逐步健全国家密码管理局管理职能明确各省的商用密码管理有较好的工作基础有一支逐渐成长壮大的密码科研和生产队伍有一批素质高、可依靠的专家具有较好的技术、产品基础各部委乃至社会对密码管理越来越重视 商用密码应用技术体系研究相关情况商用密
22、码应用技术体系研究相关情况商用密码应用技术体系框架示意图v 四个层次: 密码应用密码服务密码支撑密码算法v 一个核心: 密码基础设施v 四个要素:产品标准规范检测评估有效管理商用密码应用技术体系组成元素逻辑关系图商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍密码术语典型密码应用系统密码协议密码检测评估密码管理密码服务系统密码应用接口/管理接口密码算法/密钥密码产品/密码设备密码芯片密码算法IP核商用密码技术标准体系结构框架图商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情
23、况介绍商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍v 作用:作用:为各类信息系统提供密码应用 v 典型应用系统典型应用系统电子交易、数字电视、数字标签、通信、可信计算等v典型密码应用系统典型密码应用系统数据安全交换系统安全文件管理系统身份认证系统单点登录系统授权管理系统商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍厂商按照厂商按照标准进行实施标准进行实施密码算法、密码模块、密码算法、密码模块、密码产品、密码工程密码产品、密码工程建设等各类标准建设等各类标准检测机构按照检测机构按照标准进行质量标准进行质量检测检测标准实施标准实
24、施 标准制定标准制定标准检测标准检测商用密码标准商用密码标准运行原理运行原理商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍标准体系组成商用密码标准商用密码标准基础标准基础标准技术标准技术标准密密码码术术语语密密码码协协议议密密码码管管理理密密码码检检测测评评估估密密码码算算法法/ /密密钥钥密密码码IPIP核核/ /芯芯片片密密码码产产品品/ /设设备备密密码码应应用用/ /管管理理接接口口密密码码服服务务系系统统管理标准管理标准密密码码算算法法配配用用密密钥钥配配用用v密钥配用标准信息安全保密策略对称密钥配用规则信息安全保密策略非对称密钥配用规则v密码算法和密钥标准序号类别
25、名称内容/含义序列序列密码算法编制标准序列密码算法编制标准分组密码算法作序列密码使用标准分组分组密码算法编制标准(含密钥编排)分组密码算法工作方式标准分组密码算法报文填充标准分组密码算法实现正确性检测数据标准MAC分组密码算法产生MAC码标准公钥公钥密码编制标准公钥密码编制标准椭圆曲线加解密算法标准椭圆曲线数字签名算法标准椭圆曲线密钥交换算法标准椭圆曲线密码算法曲线和安全参数标准椭圆曲线密码算法正确性检测数据标准随 机数随机数生成算法编制标准随机数生成算法编制标准随机性检测标准杂凑杂凑算法编制标准杂凑算法编制标准消息预处理标准杂凑算法应用协议杂凑算法实现正确性检测数据标准标准标准体系体系中已中
26、已完成完成或正或正在制在制定的定的主要主要标准标准商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍v芯片及IP核标准v密码产品技术标准PCI密码卡通用技术规范USB密码模块通用技术规范密码算法专用模块通用技术规范密码通信协议专用模块通用技术规范噪声源专用模块通用技术规范密码算法芯片通用技术规范类别芯片接口标准芯片电气参数标准芯片安全标准芯片管理标准分组密码算法椭圆曲线密码算法物理噪声源密码算法IP核通用技术规范类别IP核功能描述标准IP核技术文档标准IP核安全标准IP核管理标准分组密码算法IP核椭圆曲线密码算法IP核物理噪声源IP核标准体标准体系中已系中已完成或完成或正在制正在
27、制定的主定的主要标准要标准商用密码应用技术体系相关情况介绍商用密码应用技术体系相关情况介绍结结 语语v2121世纪,信息网络中的抗争和冲突更加激世纪,信息网络中的抗争和冲突更加激烈,围绕烈,围绕“信息控制权信息控制权”的斗争将成为国的斗争将成为国家生存与发展中能否取得的主动的关键。家生存与发展中能否取得的主动的关键。“要么在数字化中生存,要么在数字化中要么在数字化中生存,要么在数字化中衰亡衰亡”。密码作为网络信息安全的关键技。密码作为网络信息安全的关键技术,在保护网络信息安全中起着不可替代术,在保护网络信息安全中起着不可替代的作用。的作用。“在一个个人信息像电子一样飞在一个个人信息像电子一样飞速流动、无孔不入的世界里,密码技术是速流动、无孔不入的世界里,密码技术是他们最后的希望。他们最后的希望。”“”“我们的未来与密码我们的未来与密码技术息息相关技术息息相关” 谢谢谢谢
