关于具有自主知识产权的cpk标识认证和可信连接的新互联网通讯规则简介

1/5关于具有自主知识产权的CPK标识认证和可信连接的新互联网通讯规则简介论坛全球最权威的信息安全年度峰会首次进入中国上，中国专家发表了解决互联网信息安全的地址认证专题报告。众所周知，互联网的安全是个让全球人们都头疼的大问题，全球许多专家和企业都采用防病毒软件来进行病毒识别和防护，用形象的比喻，这些防病毒软件就像城墙门口站的士兵，如中国古代水浒一样，检查每一个人的脸与城墙上挂的林冲和鲁智深画像是否一样来检查每一个数据包。这种古老的比对法有先天和不可克服的缺陷。所以美国总统信息技术顾问委员会在XX年就提出，堵漏洞和打补丁不是解决办法。美国提出了网际安全和可信系统的概念，并提出标识认证、新的安全基础协议是首要事项和关键。但是更重要的事情是怎样实现真正的可信连接非常幸运的是，中国专家找到了解决办法，使用CPK加上FPV9互联网协议美国已放弃而被我国采用能够实现真正的可信连接。其工作原理是改变了通讯规则，从现有的先通讯后验证，改为先验证后通讯，同时互联网的通讯规则也从“基于IP地址的通讯”改变为“基于ID标识的通讯”互联网通讯协议也是具有全新报头结构的新协议，报头中增加了2/5标识认证，在数据传输之前实行基于标识1D的原始地址验证保证和实现可信连接。1新通讯规则的产生基于IP的通信已发展为IPV4，IPV6，成为通信的主流IPV9地址容量远大于LPV6，其可以向下兼容，普及到全世界范围。但是由于当时的技术条件，IPV4、IPV6从设计就没有考虑安全机制。现在，安全问题越未越突出，危及到互联网的生存。LOCALHOST以互联网为主的通信网络也发生了很大变化，从单纯信息系统发展为与物联网相结合的新的网际空间，在广阔的网际空间以构建可信系统为主要目标。为此，各国都相继开展了新一代互联网的研究，并取得了一些成果。从国际上的讨论看，看法趋于一致，认为未来网络是大家共同参与的“绿色网络”，即使有恶意活动发生，应立即能被发现，立即能被遏制。这是个很复杂的任务，确实需要解决很多相关问题新一代互联网的建设，首先应从解决现行互联网存在的弊病入手。互联网的安全缺陷来源于最初设计的信任机制，缺乏验证机制，不管用户是否愿意，邮件一定送达，并由接收方自己进行检验。全球信息安全采用的筑高墙、堵漏洞打补丁等“识别3/5坏人的技术路线不是一个好的解决办法，要彻底解决网络信息安全必须改变通讯机制为怀疑机制。美国提出网际安全CYBERSECURITY及可信系统TRUSTINGSYSTEM概念，提出认证技术AUTHENTICATIONTECHNOLOGIES及新的安全基础通讯协议SECUREFUNDAMENTALPROTCOLS是实现可信系统的首要任务和关键。为此，需要重新设计和定义通讯规则把现有通讯体制的先通讯后验证的机制改变为先验证后通讯的可信连接机制，这要从以下两个方面入手。1寻址方式地址的定义不应采用随机数，随机数不易被广泛辨认，只能由指定的DNS来解析，为网络垄断提供了方便；而酝酿中的与地理位置相结合的地址定名方式如十进制实名地址，容易被辨认，不需要远程解析。2地址证明发送方提供本地址真实性的证明证据，接受方验证其真实性任何一方都能验证源发地址或路由地址的真实性，以此做到可信连接，防止非法接入域名和ID地址一致。技术路线在IPV9协议上实现了基于真实地址的可信连接路由器，实现了“先验证后通讯的新通讯机制。主要从三个方面4/5进行。1地址证明地址证明与验证，属于标识鉴别的范畴。当代信息安全的核心是标识鉴别，是可信系统的“银弹”。银弹需要用新的密码技术解决，是各种公钥体制梦寐以求的难题。公钥密码体制经历了三个发展阶段第一个发展阶段是1976年DIFFIE等人提出非对称密码，第二个发展阶段是1984年SHAMIR等人提出基于标识的公钥体制，第三个发展阶段是XX年我国南相浩等专家提出的基于种子的组合公钥体BCPK。CPK正好能解决对超大规模地址的水平化密钥管理及互相认证。CPK的出现推动了公钥密码体制技术的进展。CPK为每一个地址提供证明自身真实性的证据由地址签名，任何路由器均可鉴别其地址的真伪验证签名。因为发送方地马是在数据传输之前先行到达接收方的，接收方可以在数据传输之前先行对地址进行鉴别，判断其真伪称为“事先鉴别”。只有事先鉴别才能有效防止非法接入。2路由协议的制定实名地址的通信协议与随机数地址的通信协议有所不同，相应协议的改造是不可避免的。由于地址鉴别系统是新增加的协议，对传输格式产生很大影响。因此要重点研5/5究报头格式。这涉及到路由器的架构。新设计的可信网络连接报头结构如表1所示。3可信计算环境路由器的执行代码，均通过厂家认证，只允许执行认证过的软件，没有认证码的软件，一概不执行，使一切恶意软件无法起作甩以此保证计算环境的可信。目前，标识认证的关键技术CPK密码体制已