[00113516]网络安全的守护神－－网络实名制SRZ06/CA技术

随着互联网应用技术的飞速发展,网络已成为社会正常运行的桥梁纽带和人们日常生活工作的重要组成部分。网络技术高速发展也伴随着网络安全等现实问题,现实社会的管理我国已经形成了一套行之有效的管理体制,但是,虚拟网络社会已成为管理的软肋,实现网络实名制是网络发展的必由之路。实行网络实名制是加强网络管理,打击网络犯罪,建立可信社会的有效途径,也是建立和谐社会的基础。 近期,北京科学技术研究院密码研究中心经过5年攻关,终于突破了网络实名制的关键技术,采用对称密码算法和组合密钥技术,开发出既安全又高效的“网络认证协议”,并通过国家密码管理局的技术鉴定。该成果能建立低成本超大规模用户的CA认证中心,能在各网络节点上建立一对一的CA认证中心,或在网络上建立第三方CA认证中心。投入几万元人民币建立的认证中心能注册几亿用户并能实现几并发认证登录,且能满足世界上所有网络节点的认证需求,该成果包括一套关键技术和两种认证架构。 一套关键技术：建立芯片级的认证协议,在客户机和认证中心认证服务器两端使用加密芯片,存放密钥种子、密钥生成算法、对称加密算法（国际对称算法如：3DES、RC4等,国内对称算法如：SCB2、SMS3等）和认证协议,提高认证系统的安全等级;建立对称密码算法体制的认证协议,提高认证速度（注：认证中心加密卡芯片处理速度为：0.002秒/人/次）;建立以少量认证参数为基础的认证协议（注册1亿用户只需存储130 G认证参数）,而不使用证书技术,将用户号或身份证号作为认证过程引导,提高认证效率,降低CA认证中心的建设成本;建立“对称密钥组合生成算法”,实现对称密钥免维护,同时,组合生成的对称密钥一次一变,不仅降低认证中心日常维护成本,而且提高加密系统的安全等级;建立网络节点（WEB服务器）上的用户认证管理系统,通过“快速定位方法”,提高用户认证并发量。 两种认证架构：以市场为主导的认证架构,由各网络节点单位出资建立各自网络节点上一对一的CA认证中心,将节点的WEB服务器、认证中心服务器和资源服务器三者以串联方式连接,认证中心只负责完成认证任务,在WEB服务器上建立的用户认证管理系统,将用户登录认证数据按工作量分配给认证中心的各台认证服务器,认证服务器再根据工作量将认证任务分配给认证服务的各块加密卡,认证任务在加密卡的芯片中完成,加密卡中的“认证协议”将合法用户送给资源服务器。 以政府为主导的认证架构,由政府出资在全国建立600 ～ 2000座地区CA认证中心,认证中心的建设费用为：几十万人民币/座,为各网络节点提供第三方认证服务,各地区公安部门负责维护本地区的CA认证中心并为本地区居民上网提供认证,各网络节点单位享受政府公共事业费提供的服务,各网络节点根据用户的标识（如：身份证号等）将认证任务交给该用户户口所在地区的CA认证中心来完成,该地区的CA认证中心将认证结果反馈给WEB服务器。该认证架构的特征是：网络节点的用户是随机的不固定的,网络节点对应的AC认证中心也是不固定的也是随机的,各地区CA认证中心的用户都是已知的固定的。这两种认证架构为各国政府实施网络实名制提供两种选择方式。 解决网络实名制的关键技术是在保证安全的前提下,降低建立和维护CA认证中心的成本,提高认证效率,实现规模化认证。