WAPI产业联盟创新并发布原子密钥建立与实体鉴别系列7项团体标准

2022-02-14 17:48:48爱云资讯阅读量:1,153

日前, WAPI产业联盟发布《信息技术 系统间远程通信和信息交换 原子密钥建立与实体鉴别》7项原子密钥建立与实体鉴别(AKEA)系列团体标准,首次提出原子密钥建立与实体鉴别的概念,并定义了多种具体的原子密钥建立与实体鉴别机制,在国内相关领域属于首创。

图:WAPI产业联盟原子密钥建立与实体鉴别系列7项团体标准

原子密钥建立与实体鉴别AKEA作为网络信息安全技术领域一类基础共性技术,包括具体的封装协议及资源,可与IP、WLAN等多种网络通信协议相结合,增强其网络安全性。AKEA技术体系中提出了安全通道建立机制,可被采纳并应用于WLAN、LAN、IP层以及应用层等,满足网络安全访问和保密通信等需求。AKEA使用不可还原且不可分割的消息交换序列,为两个对等实体提供实体身份鉴别和密钥建立,任何实体在收到最后一条消息之前都无法完成对其对等实体的身份鉴别或密钥建立,可满足目前和未来网络通信领域中合法客户端访问合法网络以及保密通信的安全需求。该标准在实际应用中可结合不同需求,通过配置相关安全能力参数,在完成实体鉴别和密钥建立功能时为全网络或局部网络提供多安全级别的差异化保障能力。该系列技术标准还提供了一种量子安全中期演进架构,以融合运用经典公钥密码与分组密码体制的方式,为网络空间提供抗量子计算攻击的纵深防御能力。

从全球技术标准体系的演进来看,网络空间安全相关的标准化工作主要集中在ISO/IEC JTC1 SC27,依据SC27标准的实际分布情况,与网络安全协议直接相关的主要有密码算法系列标准、实体鉴别系列标准(ISO/IEC 9798系列)和密钥管理(ISO/IEC 11770系列)系列标准等。其中,实体鉴别系列标准专注于实体之间的身份鉴别,密钥管理系列标准专注于在两实体之间建立起共享密钥。随着安全需求的不断发展,在实际的通信环境中,那种仅需要身份鉴别或仅需要实体之间保密通信(需要完成密钥建立)的场景非常少见,若要在一个完整过程中既实现实体鉴别又实现保密通信,就需要实体鉴别机制和密钥建立机制二者的结合。此前业界将二者简单叠加、组合的做法存在密钥传输等安全问题,亟需一种原子概念,并同时实现实体身份鉴别和密钥建立两个功能的新机制。

本次WAPI产业联盟发布的7项AKEA系列团体标准的创新性非常强。第一、它基于三元对等安全架构,具备身份保护能力、抗字典攻击能力,充分考虑了区块链等新技术应用中的技术特性,提供了传统非对称密码算法向后量子密码算法演进阶段协议的安全能力提升。第二、在安全性方面,充分考虑了已知和预测的各种应用技术需求,提出了通用的技术组件供其调用;多种技术机制完备且设计合理,满足了各种应用场景;在协议设计过程中,使用多种密码机制保证消息传递过程中的保密性和完整性;在同步实现密钥建立与实体鉴别过程中,利用哈希链、身份保护、完整性校验以及签名验签等方式,保证了协议设计的原子性。

该系列团体标准规范了四种通用的原子密钥建立与实体鉴别协议,和两种针对移动通信系统的原子密钥建立与实体鉴别协议,具体包括:第1部分:服务和协议;第2部分:轻量级原子密钥建立与实体鉴别;第3部分:采用证书的原子密钥建立与实体鉴别;第4部分:采用预共享密钥的原子密钥建立与实体鉴别;第5部分:采用预共享密钥与证书组合的原子密钥建立与实体鉴别;第6部分:三元移动通信系统安全-基于对称密钥的原子密钥建立与实体鉴别;第7部分:三元移动通信系统安全-基于非对称密钥的原子密钥建立与实体鉴别。

图:原子密钥建立与实体鉴别团体标准体系架构

该系列团体标准的起草单位包括:西电捷通公司、无线网络安全技术国家工程研究中心、中关村无线网络安全产业联盟(WAPI产业联盟)、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、北京数字认证股份有限公司、中国网络安全审查技术与认证中心、中国通用技术研究院、国家信息技术安全研究中心。

相关文章

人工智能技术

更多>>

人工智能公司

更多>>

人工智能硬件

更多>>

人工智能产业

更多>>
关于我们|联系我们|免责声明|会展频道

冀ICP备2022007386号-1 冀公网安备 13108202000871号

爱云资讯 Copyright©2018-2024