浅析SM9标识密码技术与ECS无证书技术

文 │深圳奥联信息安全技术有限公司 白顺东

商用密码是我国密码体系的重要组成部分，关系国家政治安全、经济安全、国防安全和网络空间安全。经过二十年的发展，我国形成了 ZUC、SM1、SM2、SM3、SM4、SM7、SM9 等安全、可靠、稳定的商用密码算法体系，广泛应用于基础信息网络、重要信息系统、工业控制系统和政务系统，有效保障了信息系统的真实性、机密性、完整性和不可否认性。

一、公钥密码体制的三种常见方案

在非对称密码学中存在一个关键问题，即如何构建实体身份与用户密钥对的映射问题。社会空间中可通过面对面确认彼此的身份。但在网络空间中，各实体之间的远距离通信面临着各类敌手发起的不同维度的干扰、破坏、截取等形式的攻击，为了构建实体与密钥对的映射关系，目前有三类主要的解决机制：数字证书机制（PKI/CA)、标识密码机制（IBC）和隐式证书（或称无证书）机制。

国际电信联盟（ITU-T）于 1988 年制定了 X.500系列标准。X.509 给出数字证书的管理机制。在PKI/CA 机制中，实体的身份信息经由证书签发机构 CA 核实后签发数字证书。数字证书中包含了实体的身份信息（例如姓名、组织、邮箱等），实体公钥并采用 CA 机构的根证书做签名。CA 不仅签发公钥证书，还要承担证书的查询、撤销、更新等管理职能以及对证书撤销列表 CRL 管理等。CA 对证书的申请、签发、验证、废止、更新、撤销等管理需要多层次的认证中心和巨大的计算资源的支持。

标识密码机制 IBC，以用户的标识作为公钥直接进行密码运算，解决了公钥真实性问题，无需分发、查询等证书操作，极大地简化了密钥管理的复杂性。在 IBC 系统中，用户的私钥由可信密钥生成中心 KGC 计算生成，具备天然的密钥委托功能。

ECS 无证书机制介于数字证书机制和标识密码机制之间。与 IBC 机制的共同点是以用户的标识作为公钥，同样具有无证书管理、系统轻量、通信开销低等优势。不同点是，在 ECS 无证书机制中，用户的私钥由两个秘密因素决定：一个是从密钥生成中心中提取的与用户身份相关的密钥，另一个是由用户自己生成的密钥，从一个秘密元素不能计算另一个。这就使得 ECS 无证书机制没有密钥托管的功能，其数字签名具有强不可抵赖性。

随着云计算、大数据、物联网、5G、车联网等技术发展，网络规模的急剧扩张、网络应用的日益丰富，因此，对于 SM9 标识密码、ECS 无证书密码的应用需求也在迅速增长。

二、SM9 应用生态逐步丰富完整

从 1984 年标识密码机制 IBC 的概念提出，到2021 年 SM9 算法全体系进入 ISO/IEC/ITU 国际标准，SM9 标识密码机制已形成完整体系，生态应用日渐丰富。

（一）SM9 算法标准形成完整体系

1984 年，Adi Shamir 提出了标识密码 IBC 的概念；1999 年，Negishi、Sakai 和 Kasahara 等人提出了用椭圆曲线对构造基于标识的密钥共享方案；2001 年，Boneh 和 Franklin 及 Sakai、Ohgishi、Kasahara 等人独立提出了用椭圆曲线对构造标识公钥加密算法。IBC 在传统的 PKI/CA 基础上发展而来，除了具备 PKI 技术的优点外，主要解决了在具体安全应用中 PKI 大量交换数字证书的问题，使安全应用更加易于部署和使用。

在标识密码算法中，实体的私钥均由密钥生成中心（KGC）根据实体标识计算下发，私钥的信息中已经包含了标识信息。实体用户可根据对方的标识信息和系统参数，直接进行加密和签名验证，避开了证书验证环节。SM9 数字签名密钥对由密钥生成中心 KGC 下发，可以用于身份认证、数据完整性保护等场景。SM9 加密密钥用于加密的标识选取不仅可以是网络实体的唯一属性，也可以是事件 ID、时间、经纬度等，SM9 在加密密钥对的管理方面具有细粒度、灵活、轻量级等特点。2016 年，国家密码管理局公布了 SM9 标识密码算法，在《密码法》等政策法规的指引下，SM9标准化、研究与应用发展迅速。奥联信息与华为、中国电信联合制定的 ITU-T X.1365 标准，支持所有已经标准化的标识密码算法，填补了 IBC 在密钥管理的空白。SM9 算法是我国首个全体系纳入ISO/IEC/ITU 标准的公钥密码算法，对促进我国商用密码产业发展、提升我国商用密码的国际影响力具有重要意义。

目前，产业界对 SM9 数字签名在用于身份认证、数据完整性保护等场景时看法一致，但就SM9 数字签名用于需要电子签名法律效力的场合存在一定争议。首先，电子签名和数字签名是不同的的概念——“电子签名是宏观总体概念，是一类技术的统称；而数字签名是电子签名的一种，是目前电子商务、电子政务中应用最普遍、可操作性最强、技术最成熟的一种电子签名技术”。其次，《电子签名法》第三章第十三条对可靠电子签名做了明确要求的同时，也赋予了当事人充分的自由来选择使用适当的电子签名技术。我国的《电子签名法》采用了功能等同主义而非技术特定主义，也就是电子签名的过程并非仅依赖某一项技术才能完成。

在 SM9 应用方面，国内产业界已经覆盖 SM9算法库、密码芯片、密码板卡、密码机、标识密钥管理系统、协同签名系统、密码服务平台、加密邮件、加密即时通信和 IPSec/SSL VPN 等产品，形成了安全电子邮件解决方案、身份认证解决方案、云安全接入解决方案、物联网安全解决方案、视频会议加密解决方案和移动办公安全解决方案等，构建了良好的 SM9 应用生态。

（二）SM9 护航电子邮件安全

电子邮件是组织机构重要的沟通工具，而邮件协议缺乏认证和安全鉴别机制，成为黑客渗透攻击的主要目标和勒索软件攻击的主要途径。2016 年 11 月，希拉里“邮件门”的影响已经超出了金钱损失的影响范畴。2018 年 11 月 22 日，《焦点访谈》“网上谍影”报道了针对电子邮件系统的供应链、违规处理政务信息、弱口令等窃取国家机密的攻击事件。

国家信息技术安全研究中心牵头编制了 GB/T37002-2018《信息安全技术 电子邮件系统安全技术要求》，要求使用加密技术来实现邮件数据在传输和存储中的保护，降低数据泄密的安全风险。SM9 标识密码技术以邮件地址作为标识公钥，综合使用 SM3、SM4 算法实现了“一邮一密”。SM9 的密钥管理优势可快速实现服务端数据加解密，在不改变用户使用习惯的情况下，实现网页、客户端和 App 等多种方式安全收发邮件。特别的，SM9 标识密码技术解决了邮件与外部组织机构通信加密的难题，依托 ZDM 邮件加密技术实现外部组织机构用户的免安装解密，可轻松向外域（如QQ、163 等）发送加密邮件。该标准已经广泛应用于我国政府、央企、军工等领域，并获得 2022年度网络安全国家标准优秀实践案例奖。

（三）SM9 赋能物联网安全

在物联网安全体系中，SM9 标识公钥由物联网设备标识唯一确定，消除了对证书的依赖，可便捷实现身份认证、传输安全、访问控制和数据安全的物联网安全场景。此外，SM9 标识密码技术在管理上更加高效，非常适用于大规模海量设备认证的物联网场景。

电力物联网是关乎国计民生的关键信息基础设施，在“发—输—变—配—用”等环节部署了大量终端，提高电网运营便捷性的同时，也为网络破坏提供了攻击入口。当前，我国积极推进双碳政策，大力发展新能源电力，随着大量新能源风机、光伏板等的接入，智能化终端及数据的安全问题亟待加强。例如 2015 年 12 月 23 日，乌克兰电网系统遭受黑客攻击，主要原因是变电站SCADA 站控层之下的通信网络，并无安全加密通信协议，攻击者可以轻易构造或篡改通信指令来控制电力设备。SM9 标识密码的轻量级密钥管理、小尺寸的密钥数据非常有利于提升电力控制网络建设，融合 SM9 算法、CHAP 协议、生物识别等技术，构建面向海量终端的身份认证架构，保障了业务终端到云服务端的接入认证、业务全链条数据传输和信任的安全性，提升电力物联网身份认证的效率。

三、ECS 机制崭露头角，引入新赛道

无证书的密码体制的代表包括 1991 年由Girault 提出的“隐式证书”密码系统（ImplicitCertificate）和由 Al-Riyami 及 Paterson 在 2001 年提出的无证书公钥密码体制（AP-CL-PKC），该机制介于 PKI 和 IBC 之间。1998 年 Arazi 提出基于 Schnorr 签名算法变形的密钥生成算法，这个方法后来发展成为 ECQV。ECQV 结合 ECDSA 可以抵抗众多攻击，但仍然不能抵抗对特定消息的伪造签名攻击。2020 年，奥联信息与兴唐、华为等国内诸多密码产业单位基于 ECS 算法起草了我国基于 SM2 算法的无证书及隐式证书公钥密码机制，目前已经完成征求意见稿。ECS 算法具有简洁的密钥管理、极低的带宽和存储开销、高效的算法实现方面具备非常大的优势，非常适合高动态、高并发、高性能的应用系统。

（一）ECS 提速 C-V2X 通信

C-V2X 车路协同网络中，主要是基于直连通信的车辆与交通基础设施（V2I）、车辆与车辆（V2V）、路人（V2P）等场景。在 C-V2X 通信中强调四方面安全需求：一是身份合法性，保障参与 V2X 通信的车载设备 OBU、路侧设备 RSU 等是真实可信的实体，并提供简洁的公钥分发；二是消息完整性，V2X 通信中 BSM、MAP、RSI、RSM、SPAT 等消息在广播后必须保障消息的完整性；三是隐私保护，车联网应用涉及位置隐私、用户数据隐私和用户身份隐私，要防范各类敌手对车辆位置的追踪，即要实现车辆信息的匿名性；四是算法高效率，C-V2X是一个高速变化、动态组网的网络，OBU、RSU 等实体必须快速分发公钥信息、快速验证签名，SM2签名性能≥ 2000 次/秒。

在通信带宽方面，采用 GB/T37376 -2019《交通运输 数字证书格式》，公钥证书大小约为 140字节；采用 ECS 隐式证书机制，公钥大小约为 65-70 字节，相比可节约50% 的通信开销。而我国 V2X 频谱为5.905G，20MHz, 空口带宽极为珍贵。在计算开销方面，ECS 隐式证书机制相比较 X.509 证书需要校验证书签名，可解决 33% 的公钥计算开销，在移远公司的 5G 直通模组上测试 ECS 验签性能可到 8000 次/秒。

我国《基于 LTE 的车联网无线通信技术 安全证书管理系统技术要求》规划了一套针对 V2X 应用层安全而设计的一套证书管理系统，包含了证书颁发、证书撤销、终端安全信息收集、数据管理、异常分析等一系列与安全相关的功能，以此确保V2X 的安全通信。在假名证书机构中，可选用隐式证书或无证书机制，以提升 V2X 通信效率并保障匿名性。

（二）ECS 在 5G 中的应用展望

5G 移动通信因其速率快，带宽广，性能优等独特的优势 , 是实现万物互联的关键设施。5G 网络也面临各种各样的安全和性能挑战，例如 5G 实现了万物泛在互联，海量多类型终端接入导致 5G空口面临终端伪造、身份冒用通信数据被窃取和篡改的风险。

5G 需要统一的安全管理机制来保证设备跨接入技术的网络接入安全，同时提供通用的安全性，5G 还需要面向海量异构物联网（IoT）设备提供高效接入认证机制。ECS 签名方案可以在资源有限的物联网设备中提供高效的安全认证支撑。

5G 网络中，接入认证、数据采集、数据存储与共享等环节的安全问题需要依托密码技术解决，如用户身份的机密性保护、网络节点之间的实体鉴别等问题，如果采用 PKI/CA 技术，一方面对 CA 容量要求高；另一方面，将面临一系列证书管理的开销，如大并发的证书申请、证书更新、证书撤销等操作。ECS 机制的提出，或许是一种解题思路。

四、结 语

目前，我国密码技术应用处于“百家争鸣，百花齐放”的良好态势。PKI/CA 在我国经过二十多年的发展，已构建了完备的产业生态，充分发挥电子签名的优势，保障了电子发票、电子合同、电子政务、金融等数字化发展的安全。SM9 标识密码算法以其灵活、轻量、简单的特点在电子邮件、物联网、数据安全等生态中发挥了重要作用。ECS算法作为新生力量，在 C-V2X 车联网、工业互联网等行业中崭露头角。

随着网络安全概念的普及，安全也成为信息系统的内在、关键属性。云计算、大数据、物联网、车联网、5G 等信息技术的在架构、算力、通信、数据等催生密码技术的创新，而密码技术只有不断创新才能更好地护航数字经济发展。

（本文刊登于《中国信息安全》杂志2023年第7期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。