椭圆曲线密码算法(ECC)安全实现项目简

项目简介

1、信息安全的核心－密码技术

当今社会已进入信息化时代，计算机网络已逐渐应用于社会各个领域，伴随着国民经济信息化进程的推进和电子商务等网络新业务的兴起，社会对计算机网络的依赖程度越来越高。

计算机网络和信息系统的应用给人们带来了前所未有的方便，大大地提高了劳动生产率，给社会带来了无限的商机与财富。

然而，社会对计算机网络的高度依赖同时也蕴藏着巨大的风险。网络攻击、网络欺诈、网络犯罪将会给社会带来巨大的经济损失和秩序动荡，甚致会使整个人类社会陷入危机。因此，网络和信息系统的安全保密这一个必须解决的问题，已引起了全球社会的极大关注。

信息时代呼唤信息安全，而数据加密技术正是保证信息安全的最重要的手段。

密码学上通常将数据加密技术分为两大类：对称密码和公钥密码。

对称密码是一种传统密码，代表性的有：DES、AES、IDEA、RC5等。它们的安全性是基于密码设计者的水平、偏爱以及复杂的数算。

在对称加密系统中，加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去。对于具有n个用户的网络，需要n(n-1)/2个密钥，在用户群不是很大的情况下，对称加密系统是有效的。但是对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成了问题。另外，对称加密系统仅能用于对数据进行加解密处理，提供数据的机密性，不能用于数字签名。因而人们迫切需要寻找新的密码。

1976年Whitfield Diffie和 Martin Hellman提出了公钥密码的概念。公钥加密系统中，加密和解密是相对的，加密过程使用公钥E，而解密使用一个不同的（但数学上相关的）的私钥D。知道公钥可以对明文进行加密，但不能对密文进行解密。如果接收者选择并公布了他的公钥，另外任何人都可以用这一公钥来加密传送给接收者的消息。私钥是秘密保存的，只有私钥的所有者才能利用私钥对密文进行解密。

公钥加密系统不存在对称加密系统中密钥的分配和保存问题，对于具有n个用户的网络，仅需要2n个密钥。

公钥加密系统除了用于数据加密外，还可用于数字签名。公钥加密系统可提供以下功能：

●机密性（Confidentiality）：保证非授权人员不能非法获取信息。通过数据加密来实现。

●确认（Authentication）：保证对方属于所声称的实体。通过数字签名来实现。

●数据完整性（Data integrity）：保证信息内容不被篡改，入侵者不可能用假消息代替合法消息。通过数字签名来实现。

●不可抵赖性（Nonrepudiation）：发送者不可能事后否认他发送过消息，消息的接受者可以向中立的第三方证实所指的发送者确实发出了消息。通过数字签名来实现。

可见公钥加密系统满足信息安全的所有主要目标。 

自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。对某种数学难题，如果利用通用的算法计算出秘钥的时间越长，那么基于这一数学难题的公钥加密系统就被认为越安全。

根据所基于的数学难题来分类，有以下三类系统目前被国际公认为是安全和有效的。

●整数因子分解系统  (代表性的有RSA)

●离散对数系统  (代表性的有DSA)

●椭园曲线离散对数系统  (ECC)

2、椭圆曲线密码算法

在ECC中，我们关心的是某种特殊形式的椭圆曲线，即定义在有限域上的椭圆曲线。其方程如下：

y2  x3 + ax + b (mod p)　　　　　　（1）

这里p是素数， a和b为两个小于p的非负整数，它们满足：

4a3 + 27b2 (mod p)  0

满足方程（1）的椭圆曲线如图1。

我们用Ep(a,b)表示模p椭圆群，其元素是满足上面方程的小于p的非负整数对(x,y)以及无穷远点O。

在E上定义“+”    运算，P+Q＝R，R是过P、Q点的直线与曲线的另一点关于X轴的对称点（如图1），当P＝Q时R是P点的切线与曲线的另一交点的对称点（如图2）                        

图1　椭圆曲线上的加法　P+Q＝R

图2　椭圆曲线上的加法　P＋P＝2P＝R

可以证明，椭圆曲线上的点关于“+”运算构成Abel群。

椭圆曲线离散对数问题ECDLP定义如下：给定素数p和椭圆曲线E，对Q＝kP， 在已知P，Q 的情况下求出小于p的正整数k。 

可以证明由k和P计算Q比较容易，而由Q和P计算k则比较困难。ECDLP是比整数因子分解问题IFP和离散对数问题DLP难得多的数学难题。

基于该难题，Neal Koblitz和Victor Miller在1985年分别提出了椭圆曲线密码系统（ECC）。ECC即可以用于数据加密，也可以用于数字签名。

将椭圆曲线中的加法运算与离散对数中的模乘运算相对应，将椭圆曲线中的乘法运算与离散对数中的模幂运算相对应，我们就可以建立基于椭圆曲线的对应的密码。

例如，对应Diffie-Hellman公钥系统，我们可以通过如下方式在椭圆曲线上予以实现：

在E上选取生成元P，要求由P产生的群元素足够多，通信双方A和B分别选取a和b,a和b 予以保密，但将aP和bP公开，A和B间通信用的密钥为abP,这是第三者无法得知的。

对应EIGamal密码系统可以采用如下的方式在椭圆曲线上予以实现。

将明文m嵌入到E上Pm点，选一点BE，每一用户都选一整数a ,0＜a＜N，N为阶数已知，a 保密，aB公开。欲向A送m,可送去下面一对数偶：

　　　　　（kB,Pm+k(aAB)）

k是随机产生的整数。A可以从kB求得k(aAB).通过：

　　　　　　Pm+k(aAB)- k(aAB) =Pm

恢复Pm。

同样对应DSA我们可以在椭圆曲线上构造ECDSA。

3.  ECC的技术优势

●抗攻击性强

几种公钥系统抗攻击性如图3所示。

                   图3 几种公钥系统抗攻击性比较

ECC和其它几种公钥系统相比，其抗攻击性具有绝对的优势，具有单位比特最高强度的安全性。如160bit ECC与1024bit RSA、DSA有相同的安全强度。而210bit ECC则与2048bit RSA、DSA具有相同的安全强度。

●计算量小，处理速度快

虽然在RSA中可以通过选取较小的公钥（可以小到3）的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多，在相同的安全强度下，我们用160bit ECC进行加解密或数字签名要比用1024bit RSA、DSA要快大约10倍。

●密钥尺寸和系统参数小

ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，意味着它所占的存贮空间要小得多。

●带宽要求低

当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字签名和用于对对称系统的会话密钥传递。

4、公司研发优势

目前，国内只有少数单位投入力量开发ECC，但均未能成功。其原因是加密算法实质上是数学问题，而对于ECC国内只有很少的专家能完全弄懂椭圆曲线离散对数理论。我公司首席科学家陈建华博士和研发小组主要成员来自于武汉大学数学与计算机科学学院信息安全研究室，该研究室是国内最知名的信息安全研究机构之一。陈建华博士近10年先后在武汉大学数学系攻读数学博士、在中国科技大学博士后流动站作博士后研究工作以及在武汉大学信息安全研究室从事加密算法理论研究工作，他的主要研究领域是超越数论、椭圆曲线的各种计算方法，其研究成果被冯克勤、陆洪文等国内著名同行专家高度评价，达到国际一流、国内领先水平。

对于加密系统，我们有如下技术优势：

（1）关于求阶问题，我们研究出了一种新的算阶方法，比目前国际上通行的几种算阶方法快近千倍。

    （2）关于素数的选择，国外的一般选择为，既在域上（一般来说不超过）。我们的取为任意的素数，字长可取为多比特。

（3）关于椭圆曲线的选择：椭圆曲线应选择为“好的” 椭圆曲线，即要求所选择的曲线即满足安全性要求又满足可用性要求，通过精心的大量计算，我们选出一类满足此条件的曲线。

（4）我们的方法可以做到域位长和阶位长相同。

（5）在ECC实施方案上，我们找到了一种不用明文嵌入的方法。

（6）我们研制的系统，试验后得出的结论是，密钥为160的系统其加解密的速度比快约十倍。

武汉大学作为本公司主要股东，全力支持本项目的研发。武汉大学计算中心和信息安全研究实验室为本项目提供了国内一流的研发环境。

我公司将从三个方向推进本项目产品的研发。三个方向是：理论基础研究、系统软件开发、应用研发。三个方向分别采用不同的国际先进研究手段和研发工具，以保证公司在理论研究和应用实践两个方面始终处于国际国内领先水平。

5、行业及市场情况

（1）国内外信息安全

信息安全问题涉及计算机安全和密码使用，有关的法规也因此而分为计算机安全管理法规和关于密码使用的法规。在信息安全问题出现的早期阶段，各国立法和管理的重点集中在计算机犯罪方面。近几年，立法和管理的热点转移到对于密码的应用管理方面。

美欧等国对于密码使用的管理集中在使用密码进行信息加密和使用数字签名实施证书授权两个重要方面。主要内容为：组织制定技术标准与管理条例；鼓励使用标准商用密码算法；不参与商用密码算法安全产品的商业经营活动；商用密码信息安全产品可以经过中性技术权威的评测认证机构进行评测认证（经过中性机构评测认证的产品有利于进入市场）；各开发公司使用标准密码算法所开发的安全产品的质量与系统安全性，由开发者负责，毋须向申报批准或由组织专家审定。产品完全由市场来检验、选择、优胜劣汰；标准商用密码算法不一定需要硬件保护。保密的关键在于保护密钥，解密的关键则在如何得到密钥。对不同国家出口不同密钥长度的安全产品，出口控制标准需执行美国联邦条例法典和国际武器贸易条例（ITAR）关于安全产品出口的规定（目前已有放松）。美国对中国和俄罗斯出口密钥长于40位的安全产品；目前尚未见有商用密码安全产品进口条例的规定。

我国信息安全管理的基本方针是“兴利除弊，集中监控，分级管理，保障”。对于密码的管理实行“统一领导、集中管理、定点研制、专控经营、满足使用”的发展和管理方针。我国的密码管理基本是：全国的商用密码由国家密码管理委员会统一领导，国家密码管理委员会办公室具体管理。研制、生产和经营商用密码必须经国家主管部门批准。未经国家密码主管部门批准，任何单位和个人不得研制、生产和经销密码产品。需要使用密码技术手段保护信息安全的单位和部门，必须按照国家密码管理规定，使用国家密码管理委员会指定单位研制和生产的密码，不得使用自行研制的密码，也不得使用从国外引进的密码。

（2）信息安全市场分析与预测

整个信息安全产品市场，从应用类型上，可分为防火墙类产品、防攻击类产品、密码类产品、ＣＡ类产品和访问控制类等产品市场。但以上的产品在技术上均涉及到密码学领域，密码技术是信息安全产品的核心技术。　　

　　信息安全类产品的市场前景非常广阔，可广泛用于、金融、证券、计算机网络、电信、民航、交通、铁路、海关、税务、公检法、交通、农业、电力、工商、军事、水利、钢铁、石油等行业，另外在各大企业、互联网服务商（ICP及ISP）以及个人也有大量顾客。

（3）国外市场状况：

    2000年3月份，美国某媒体在网上对各大公司负责采购IT产品的专业人士进行了采访调查，这次调查涉及美国市场上近4000个大型用户，调查结果表明，信息安全产品成为IT市场上最受关注的焦点，有50％以上的企业购买信息安全产品年预算超过500万元美元，30％的企业表示愿意化费300万元美元购买信息安全产品。

    根据世界性的权威机构IDC（Internationnal Data　Company）的调查，1998年世界信息安全市场为1，400亿元美元，较上年增长一成半。全球1999年在信息安全产品的市场约为2，200亿元美元，其中密码加密类产品占有市场份额为31％， 约682亿元美元。预计未来两年，全球信息安全产品市场会迅速增长至3，300亿元美元。在发达国家信息安全方面的投资占整个信息产业投资的20％以上。各类信息安全产品市场份额比例如下图所示：

（4）国内市场分析:

今年1月，中国人民银行总行召开了全国金融业电子信息安全会议，指出人民银行将拨出预算经费的15％用于信息安全方面的建设，同时要求各金融机构在每年的金融电子化建设资金中，原则上以不低于15％的专项资金用于计算机安全项目建设。据初步统计，金融系统用于信息安全建设的资金将高达40-50亿元，而我国金融电子化只占全国信息产业的20％。

ＩＤＣ1999年统计数据表明，去年中国的IT行业市场达5000亿元人民币，信息安全类产品约占2％比例，具有100亿元人民币的巨大市场，而且这个市场每年均以很高的速度在增长。其中国内密码类产品占安全产品市场份额约为30％，约30亿元。有专家预计2000年国内密码类的产品市场将达到40亿元，并且到2001年密码类产品的市场将达到65亿元人民币。2002年内，国内密码类安全市场将会发展到100亿以上。

    目前，我国国内密码类占有市场的绝大多数产品均采用基于国外有关的技术进行二次开发。而我公司自主开发的具有自主知识产权的基于ECC加密算法为核心技术的系列信息安全产品，在技术上达到国际一流、国内首创的领先水平，是现有国内所有公钥密码系统产品的替代产品。

预计2001年我公司开发的系列产品在国内力争达到0。3％的市场份额，约2000万元。2002年我公司产品在国内市场份额将力争达到1％，约1亿元。2003年我公司的产品力争在国内市场达到2％的市场份额，约3亿人民币，今后几年产值和市场占有率将不断增长，市场前景十分看好。

（5）行业竞争对手

    在国际上，虽然已有ECC信息加密技术的产品面世，但我司拥有的ECC信息加密技术也处于领先水平（具体介绍见第五章），具有较强的国际竞争力。而在国内市场上，由于国家商用密码管理上实行专控，不准使用进口技术和产品，因此，国际市场的技术和产品，对我司的影响是很小的。

 目前，国内还没有厂商或单位成功开发出基于ECC算法的加密产品，现有的产品大多是基于RSA或DES的算法，所以从这个角度来说，我公司没有具体的竞争对手。RSA是目前使用最普遍的公开密钥加密系统，它的密钥长度一般是512位，但已被攻破，为了保证安全，推荐使用的密钥长度是1024位。而ECC较之于RSA的优点是，在同等安全的条件下，ECC算法所需的密钥长度远比RSA算法短，这就有效地解决了为增强安全强度提高密钥长度而带来的成本增高、效率降低的问题。ECC必将取代RSA，因为它更适合信息产业发展的需要。

信息安全产品主要有四大类（从技术角度分类）：

 第一类是链路层网络加密产品，如保密电话、传真、加密调制解调器及X.25、DDN加密机以及链路传输加密设备等。该类设备解决了信息在传输中端对端的保密问题，但不能解决信息的有效性和身份的有效性问题。

 第二类是网络层TCP/IP加密产品，如IP加密机、VPN加密设备、SSL加密产品等，该类产品适合于虚拟专用网和WWW服务器型的数据传输加密；

 第三类是应用层网络安全产品，该类产品解决数据加密和数据的有效性等安全问题，是电子商务和金融等专用内部网安全的主要产品；

 第四类网络安全产品是针对操作系统网络协议和数据库中安全功能的不足和疏漏而采取的监控或补救手段，如网络监控软件、防火墙软件及数据库访问控制软件等产品。

 我公司的产品主要属于第二类和第三类产品。

目前生产第一类产品的主要厂家有原电子部三十所、原邮电部数据所、总参56所和清华紫光顺风公司等。第四类产品的主要厂家有北京天融公司、电子部三十所、原邮电部数据所、总参56所、中科院信息安全工程中心、总参计算中心等。

第二、三类产品国内主要厂商有山东德安公司、北京诺方公司、成都卫士通公司、北京信安世纪公司、上海格尔软件公司等。上述公司的核心技术大多是基于RSA或DES等算法。例如山东德安公司的主导产品SJYO、SJYO3、SJYO5（已通过国家密码管理委员会办公室组织的鉴定）为例，该产品支持的密码算法为RSA算法（模长为512、768、1024、2048位）和DSA数字签名算法（模长为512、1024位），该公司宣称该产品达到国内领先、国际先进的水平，但根据权威的第三方说法，该公司的产品只是基于普通的RSA算法，在安全强度、工作效率上都无法和ECC产品相抗衡。

6、预期研发成果与计划

本项目的研发分阶段进行：

第一阶段：基础理论探索和基本算法实现。研究椭圆曲线密码理论，用软件实现椭圆曲线的基本加/解密功能。本阶段已经完成；

第二阶段：继续深层次研究椭圆曲线密码理论及其实现技巧。深入分析椭圆曲线安全性能，优化实现算法，提高实现效率。本阶段预计需要6-9个月；

第三阶段：在继续研发的同时，组织有关部门对科研成果进行技术鉴定，获取研发许可和生产许可，申请专利。获取研发许可和生产许可在时间上具有不确定性，公司争取在2001年6月底完成。

　　在公司获取研发许可和生产许可后将逐步进行应用产品开发。公司拟开为以下产品：

●ECC加密卡

ECC加密卡是一种运用于PC平台具有基于椭圆曲线加密算法的加密、解密、密钥的生成和管理等作用的功能卡，它可用于一切需要在计算机网络上进行保密通讯场合。拟开发PCI和UBS两种卡。

●数字签名/身份认证系统

数字签名/身份认证的目的是保证信息的完整性和真实性，它通过ECC公开密钥加密技术和报文分解函数实现，是电子商务应用中最重要的一个环节。在某种意义上，数字签名系统比传统的手签字或印章更有效。因为当手签文件很长时，很难保证每页内容均不会被改动或替换，数字签名则能保证这一点。

●安全通讯站

安全通讯站是一套运行于Windows平台的通用文件安全传输系统。它可以利用加密卡，也可以脱离加密卡运行。它的主要功能就是在公开的（不安全的）计算机网络上实现文件的安全传输。

●ECC芯片

将ECC算法核心技术集成在芯片上，通过OEM方式供给各种生产信息安全产品的厂商，这将带来更为广阔的市场前景。

●智能卡系列产品

智能卡（又称IC卡），因其体积小、功耗低、使用方便、可靠的口令保护等优点，成为了当今各种身份证明、支付凭证的良好载体。因而将ECC应用于智能卡领域将无疑结合二者的优点，为用户提供方便、安全的身份凭证和支付凭证。作为系列，智能卡应用必须结合具体应用需求，根据具体情况确定开发项目。

●WAP应用

无线上网是计算机网络的一个最新发展方向。通过手机等方式上网的主要用途是股票交易、电子银行等，它对安全性和实现速度要求更高，采用ECC算法能够极大的提高安全强度和实现速度。

●指纹识别系统

指纹识别是未来身份识别的主要方式，它将传统的用户帐户和密码集成在一起，能更有效的防止盗用。指纹识别系统的安全瓶颈在于指纹模式加密传输，采用ECC算法可以大幅度地提高安全强度。

公司地址：海口市滨海大道81号南洋大厦903室

联系电话：（08）8537028

传　　真：（08）8510013

网    址：www.hids.com.cn

E-MAIL　：hids@sina.com