信创与密码应用论坛（杭州）-顾城杰《标识密码技术在政务领域应用案例分享》（24页）.pdf

《信创与密码应用论坛（杭州）-顾城杰《标识密码技术在政务领域应用案例分享》（24页）.pdf》由会员分享，可在线阅读，更多相关《信创与密码应用论坛（杭州）-顾城杰《标识密码技术在政务领域应用案例分享》（24页）.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、标识密码技术在政务领域应用案例分享暨紫光云&北航杭研院密码改造解决方案联合发布顾成杰Gu Chengjie紫光云 安全技术专家The Speakers Job DescriptionCONTENTS目 录01.标识密码技术简介02.联合发布密码应用方案03.方案实践案例2022 WEST L AKE CYBERSECURIT YCONFERENCE01标识密码技术简介1.密码应用基本要求机密性不可否认性真实性完整性逃不掉利用密码签名技术，提供数据或者行为溯源服务，防抵赖看不懂利用密码加密技术，数据明文变密文，提供数据加密和脱敏服务，防泄露。进不来利用密码签名技术，提供网络上身份认证服务，防假冒

2、。改不了利用密码摘要技术，实现数据的一致性，防篡改2.我国商用密码体系为了保障信息系统安全，规范我国商用密码应用，国家商用密码管理办公室制定了一系列密码标准，包括 SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法等等。其中 SM1、SM4、SM7、祖冲之密码是对称算法;SM2、SM9 是非对称算法;SM3 是哈希算法。其中SM2、SM3、SM4、SM9已经公开。3.公钥体系发展背景PKI/CA体系标识密码体系1、组织机构相对固定的场景，分发证书相对简单2、比较适合点跟中心点认证的业务场景，无需点对点认证3、信任验证关键数据（LDAP、OCSP）易于获取的场景4、需要有

3、第三方公证，涉及法律效率的场景1、在传统证书和用户绑定需要线下验证，互联网应用无法面对面验证2、在加密场景，需要分发公钥，基于互联网应用安全分发3、海量用户中心点在线验证场景，中心点压力大4、基于数字证书的使用成本和管理成本问题4.标识密码技术简介为了解决传统PKI体系使用过程中的一些问题，由Shamir（RSA算法的发明者人之一）在1984 提出标识密码算法，该算法是使用用户唯一属性作为身份标识，实现用户身份与属性密钥对直接绑定的密码技术。后续由斯坦福大学的D.Boneh&Franklin用椭圆曲线双线性对理论证明可行，。Shamir（提出IBC算法)D.Boneh&Franklin（理论证

4、明IBC可行)5.两种公钥体系的比对SM9标识密码体系：可直接使用对方标识加密，接收人获得密文后再申请对应的私钥解密PKI/CA认证体系：需要复杂的、多个步骤的通讯过程，必须事先获得并验证对方公钥标识密码体系PKI/CA体系VS管理简化，适合海量用户易于加密，整体开销小n 可使用用户的唯一身份标识：如邮件地址、手机号码、身份证号码、IPv6地址、Handle码等直接作为公钥，省去了到第三方申请公钥过程，通过管理身份标识即可管理密钥。n 标识即公钥，无须提前获取证书。n 总体建设成本下降三分之二。标识密码适合新场景、新领域：移动互联网、大数据、云存储、物联网、智慧城市，是传统PKI体系的有效补充

5、KGC中心认证并申请对应标识的私钥2安全地分发的私钥Bob用私钥解密4Alice 用 加密CAAlice 用 拥有的证书中的公钥加密6Bob用私钥解密申请的证书1接收 的证书3Alice 验的证书5审核，并将证书和邮件地址关联2把 的证书发给Alice4SM9标识密码体系的优势6.我国标识密码标准化进程提出基于标识的密码技术20世纪80年代我国设计了基于标识的密码算法，发布型号SM920162000年进入理论研究的高峰期20062008IEEE进行标准化工作在欧洲、美国等较广泛应用发布行业标准SM9标识签名算法纳入ISO/IEC 14888-320172020发布国家标准SM9SM9是我国密码

6、标准SM9标识密码算法。它是一种基于椭圆曲线上双线性对构造的标识密码算法。是我国第一个全体系进ISO/ICE标准的非对称密码体系。技术背景应用背景SM9标识密码算法全体系进ISO/ICE标准202102联合发布密码应用方案1、政务信息安全共享密码应用方案2、移动政务密码应用方案3、政务信息系统密码改造方案1.密码应用总体框架软件密码模块智能密码钥匙密码能力服务系统密钥管理平台密码机安全接入系统身份认证系统协同签名系统安全通讯系统数据加密系统CA系统中间件安全存储系统国密算法政务应用场景密码支撑平台密码基础设施2.1政务信息共享平台密码应用框架以数据安全分级为基础，制定体系化的安全机制，保障各类