新一代身份認證技術CFLCFL

□ 中科國民科學技術研究院、北京博文廣成信息安全技術有限公司 范修斌

CFL認證研究專題概要
Special Topics on CFL Authentication Research

新一代身份認證技術CFLCFL

□ 中科國民科學技術研究院、北京博文廣成信息安全技術有限公司 范修斌

由于因特網的大規模應用以及網絡的蓬勃發展，使得網絡空間急劇膨脹，網絡空間中的原有的認證方式包括PKI，IBC都受到了嚴峻的挑戰，為解決當今網絡空間中的大規模網絡認證問題，還需要研究新的認證技術。為此，我們團隊在陳華平研究員、呂述望教授的領導下，自2008年始著手研發CFL認證體制。

CFL認證體制是基于標識的證書認證體制，是證書認證和標識認證的繼承和發展，又同時彌補了兩種認證體制的不足。團隊多年來一直從事該項技術的系統性理論研究和產品的研發。理論上嚴格數學證明了CFL認證體制具有可證明安全性、零知識交互、可信認證、一人一密、中心具有高安全性（現實不可破）、綠色認證（計算快捷、管理簡捷、建設成本低、能耗低）、支持強訪（標識中可含有強制訪問控制標記）、支持進程認證（從而可以支持免疫信息系統、安全計算平臺一體化建設）、支持安全外掛或內置、自認證、動態認證、虎符認證、具有自主知識產權等特點。實踐中我們研發了CFL軟硬件系列產品，并逐步展開規模性應用。

2011年7月28日，在北京知識安全工程中心，有關專家對CFL進行了評審鑒定。與會專家認為基于標識的證書認證體制CFL，是具有我國自主知識產權的新穎的認證體制，有助于權威部門對網絡的集中管理和保證用戶的個人秘密，也支持網絡實名制的實施。應積極促進其產品化和推廣使用。同時，建議該項目的加緊實驗，給出工程實現中的效率參數。2011年10月，在深圳的第21屆Internet安全利用學術研討會上，陳華平研究員作了關于CFL的理論研究成果報告，范修斌教授作了關于CFL的工程實現中的效率參數報告。2015年6月20日，鑒于CFL理論研究的深入和進步，有關專家進一步對基于國家商用密碼算法SM2，SM3的CFL認證體制進行了鑒定，該項成果被評為“達到國際領先水平”。2016年2月17日，CFL獲得國家知識產權局的專利授權。2016年3月10日，在CFL分析和測試的基礎上，國家有關部門進一步對CFL進行了鑒定。2016年3月21日，《基于SM2，SM3的CFL認證體制》獲得了國家管理部門的批文。

在長期的CFL研究中，我們的研究團隊得到了有關專家和單位的熱情指導和幫助。感謝蔡吉人院士、周仲義院士、魏正耀院士、沈昌祥院士的具體指導。感謝陳曉研究員、劉福運研究員、張海霞研究員、李坤高工、劉鳳梅研究員、寧燕平副研究員、李榮祖研究員在研究過程中給予的具體指導。感謝胡磊研究員、陳曉明研究員、季慶光研究員、張振峰研究員的具體指導，特別感謝胡磊研究員在CFL控選方式方面的悉心指導。感謝國家密碼管理局的大力指導和支持。感謝國家信息中心的大力支持和指導。感謝李新友研究員、劉皖研究員、李東風研究員等有關專家和領導的大力支持。另外，對于曾經參與過本工作的專家、領導、同事和合作伙伴表示衷心感謝。

本專題就是對關于CFL理論研究工作的部分匯總。本專題給出了綜述論文《認證體制綜述》，指出了新一代認證體制研究的必要性。在 《CFL可證明安全性分析》中證明了CFL是密鑰不可恢復可證明安全的，同時證明了當CFL基于SM2，hash函數滿足隨機預言機時，其為EUF-CMA安全的。在《CFL滿足統計零知識》中，直接從定義出發證明了CFL是交互證明系統，并為統計零知識的。在《CFL可信認證研究》中，證明了若CFL用戶基于獨立硬件的計算，CFL證書生成中心也基于獨立的硬件計算，則CFL認證體制可實現可信認證。在 《CFL性質比較研究》中，通過比較分析清晰給出了CFL的特點和優勢。在《CFL密鑰管理研究》中，給出了CFL認證體制的密鑰管理的基本要求。在《典型信息安全CFL解決方案》中，給出了8個典型信息安全CFL解決方案，并給出了這些解決方案的優勢。

由于專題的篇幅所限，有關CFL的其他理論研究結果會陸續發表，包括CFL的集中管理和個人隱私保護應用模式；CFL動態認證（高級證書級動態令牌，防DDOS、重放攻擊）；CFL虎符認證（可防止CFL用戶端設備丟失造成系統危害）；CFL自認證（滿足平面認證、自組織認證）；CFL去中心化應用、軟CFL證書理論研究結果等。

鑒于CFL的突出特點，CFL對現有CA系統的升級改造具有獨特的優勢；同時也特別支持“互聯網+”；充分支持進程認證；充分支持安全計算平臺、免疫操作系統等的內置式一體化建設。繼而充分支持大數據、云計算、智慧城市、工業4.0、移動通信網、物聯網、無線網絡、區塊鏈、衛星組網、敵我識別、未來網絡、居民身份證的升級換代等中的信息安全建設。

由于時間倉促、作者水平有限，請不吝指導！

?本期專題組稿專家

范修斌

中科國民科學技術研究院、北京博文廣成信息安全技術有限公司，博士后、教授，博士生導師。

已獨立或者合作發表學術論文80余篇，包括：“S-盒的Lyapunov指數研究”（《物理學報》）；“RC4密鑰擴展算法的不動點分析”（《中國科學》A輯（數學））；“Analysis of the Mutual Information Between Input and Output of a Class of Clock-Controlled Sequences”（《Journal of Electronics》）；“Asymptomic Granularity Reduction and its Application”（《Theoretical Computer Science》）；“密碼學函數迭代原理信息論分析”（《電子學報》）；“密碼學控選邏輯控選序列與輸出序列互信息為零的一個充分條件”（《通信學報》）；“流密碼算法Grain的立方攻擊”（《軟件學報》）；“基于協方差的高斯混合模型參數學習算法”（《計算機科學》）；“最大距離置換的計數公式”（《電子與信息學報》）；“古代筮法產生的隨機數研究”（《數學的實踐與認識》）；“無碰撞CPK的種子庫構建和選取方法”（《計算機工程與應用》）；“基于LDA主題模型的安全漏洞分析”（《清華大學學報》）等。

已獨立或者合作出版學術專著4本，包括《完全映射及其密碼學應用》、《序列密碼的設計與分析》等。

已獲國家和省部級科技進步獎7項。