基于国密算法SM2的非证书标识公钥密码技术IPK的应用

随着物联网、大数据、人工智能的不断发展，网络边界的模糊，数字化成为各行业未来的发展方向，数据的安全保护越来越重要。

目前，物联网应用飞速发展，各种工业智能控制设备、智能家居设备、人工智能终端、机器人、无人机、智能汽车等均出现爆发式增长态势，虽给人们的生活提供了便利，但因缺乏设备服务提供者、应用、数据、交易等物的安全认证机制，存在诸如：网络攻击类型的多样化，物与物之间的安全防护和认证鉴权缺失，数据极易被截获或破解等安全风险。

在物联网场景中，主要特点是多节点、低功耗、低时延、大量的弱终端，以及海量数据，对数据安全的高效防护提出新的挑战。本文就介绍了一种基于SM2非证书标识公钥技术，更好的满足物联网数据轻量化安全需求，同时实现了密钥能力的泛在部署。

密码学公钥体制中，目前已经成熟的 PKI(即：Public Key Infrastructure) CA体系，也就是我们常说的证书公钥体系，被广泛应用到各类互联网电子业务应用中。PKI证书体系经过10多年的发展，以互联网技术为基础，以人为用户主体的互联网应用起到了非常好的安全保障。

但随着近几年物联网的兴起，越来越多的应用不再基于人类本身，而是集中在各种物（即：设备/终端）上。物联网中，物与物之间的通讯存在窄带、低功耗等要求，同时还具有终端数量众多、广域分布等特点，再加上物联网应用本身的多样性、特殊性要求，使得物联网应用的安全需求与传统的、以人为用户主体的互联网应用不同，尤其在一些需要实现快速认证的应用场景，诸如：工业互联网，车联网等等，PKI证书认证的不足也就逐步显现出来。

万物互联对物联网设备的能力要求是多样化的，物联网海量节点，以及大量弱能力的物联网设备，需要轻量化的密码技术，能快速实现轻量化密钥管理和快速的身份授权认证，在技术上要求具备高效的密码运算能力和小容量的密钥数据尺寸，并在低成本、低功耗的物联网中实现这种轻量化密码能力的泛在部署。 

基于SM2算法的非证书公钥密码技术IPK(即：Identity Public Key)技术与现有的PKI证书公钥密码体系采用了相同的密码学基础，都是基于ECC，其所生成的SM2密钥对是相同的，只是与公钥的绑定方法不同，但在安全应用中采用的密码算法都是与PKI完全相同的SM2和SM3。因此，IPK技术既是一种基于标识的SM2密钥对的生成方法，也是一种与PKI体系同根同源的非证书公钥密码的密钥生成技术。 

IPK基于标识实现了SM2密钥对的生产，在应用中可实现点对点安全认证，解决物联网海量终端设备之间的快速安全认证问题，可以防止非法设备的接入，保障数据源的真实性和完整性，防止假冒攻击和篡改攻击。 

IPK可适用于海量终端设备的快速认证应用场景：在工业制造与控制领域，可实现各类采集终端（如RTU、DTU、PLC等）与远程控制端的双向认证，并对控制端发送的控制指令和参数实现防篡改；针对工业生产或办公的无线核心网络，可实现海量终端设备的快速入网认证，防止非法设备的接入；针对车联网应用，可实现车辆之间、车辆与交通设施之间的快速认证，提高认证效率，提高车辆的快速通过性；针对智能家居、智慧城市的应用，可实现应用中各种异构、海量终端设备之间的点对点认证，防设备假冒，防数据篡改等。 

IPK还可适用于各类需实现非证书签名的应用场景，对设备公钥实现安全分发：比如工业区块链应用中，针对无法使用证书的终端设备，可通过本方法，实现设备公钥的安全分发；针对电力物联网终端设备应用中，针对无法适用证书的终端设备，也可通过本方法，实现设备公钥的安全分发，完成终端设备的认证等。 

针对福利彩票、航空机票、交通车票等票据防伪，快速验证等市场需求，非证书的IPK技术有着签名短，认证速度快，验证效率高的特点，对于云端密码安全验证，二维码安全验证等场景。IPK都具有突出优势。

密码技术是解决核心安全问题的基础理论和技术，而传统的证书体系并不适应与物联网环境，基于国密SM2算法的非证书轻量级密码技术（IPK）是最佳选择，有效克服传统算法中密钥分发安全性弱、效率低、成本高等问题，深入物联网行业终端与应用层面，可解决物联网系统中身份认证、数据安全、传输安全、访问控制等多种安全问题。

基于SM2的非证书标识公钥(IPK)安全体系，是一种实现点对点轻量级主动安全防御体系，其低功耗、低时延、高安全的特性是目前工业互联网、能源物联网、车联网、智能家居、票证防伪等场景的最佳安全方案。