CPK标识认证系统

身份认证/访问控制

目前世界上认证技术很多，如动态口令、生物特征识别等，但认证系统只有美国在1980年代设计的公钥基础设施（简称PKI），和我国的基于CPK体制构建的CPK标识认证系统（简称CPK系统）。 

        PKI通过公钥证书将随机产生的公钥与用户标识绑定，并由认证中心（CA）用根密钥对证书做数字签名保证其真实性。这样就需要建立认证中心（CA），维护庞大的证书库，使用户能够通过CA获得公钥证书，完成数字签名、验证和密钥交换操作。而要维持CA的运转，又必须有一个商务模式，因此，PKI系统本质上是按照商业模式和原则设计的。

        CPK系统建立在标识公钥体制上，能够直接用标识生成公私密钥对，用户利用对方的标识，通过对外公布的种子公钥就可以直沈阳小程序制作

接计算出对方的公钥，计算过程即为证明过程，从而将复杂的证书管理简化为对标识的管理。鉴于在网络空间所有实体都是以抽象的标识来表达，能够直接对标识进行认证的系统理所当然成为理想的选择。CPK密钥管理中心采用国家

CPK标识认证系统的优势主要体现在以下几个方面：

1．直接用标识生成公钥，将PKI复杂的证书管理简化为直接对标识的管理；

2．CPK可以用于所有需要真实性证明和安全性保障的领域，支持构建任何形式的信任体系，并可更简洁地实现PKI的所有的功能；

3．支持匿名认证（如用手机号码作标识）和交叉认证（利用种子密钥的公开特性，通过构建种子公钥集实现），可以构建跨部门、跨系统甚至跨国家的一体化认证体系；

4．通过将认证系统做进芯片，大幅降低了应用门槛，为建立新的信息化社会管理体系，从根本上解决信息安全问题奠定了坚实的基础。

5．CPK采用种子密钥结构，其抗暴力攻击能力是采用单一根密钥PKI系统的倍数（千倍以上），并具有抵抗量子计算攻击的潜力。CPK体系简洁可被利用的盲点少，不需要中心，具有极强的容灾抗毁能力。

除技术因素外，CPK系统与PKI根本不同在于：PKI是让所有的需求适应一种固定的服务模式，而 CPK则是为用户提供一种简洁而强大的工具，用户可以根据自己的需求设计和建造任何形式的认证系统。

CPK系统理论上可以用于所有需要真实性证明和安全性保障的领域，支持构建任何形式的信任体系。如以电子身份证为代表的实名制体系，以手机号码和银行账号为可信标识的匿名体系，并可直接沿用现有成功的管理模式。如用姓名加编号解决重名和标识作废问题，通过重新申领和挂失解决密钥装置丢失问题等。CPK可以更简洁地实现PKI所有的功能。如建立符合数字签名法的第三方认证系统，实现在线认证和作废列表查询等。当PKI系统按照国家密码管理局要求改用SM2算法后，甚至也可以同时支持PKI模式（双模系统）。