（应用数学专业论文）安全子网的双向认证访问控制研究.pdf

电子科技大学硕士学位论文 摘要 在开放的互联网络中，构建逻辑安全子网必须要实现三种安全机制： 数据保密性机制、身份认证机制和访问控制机制。而安全的访问控制系统 可以防止计算机系统中存储的信息受到非授权用户的破坏、篡改、泄漏和 复制，任何访问控制系统都要对访问双方进行身份认证。因此，安全的带 双向认证的访问控制机制已成为保证子网安全的核心，也是网络安全研究 中的热点。 本文的目的是研究安全子网的双向身份认证和访问控制机制，及其实 现方案。针对基于h a m 数字签名双向认证访问控制实现方案中所存在的问 题，运用密码技术改进了原方案的双向认证协议。并作为对原访问控制方 案的改进，基于整数二进制表示的唯一性，提出了一种新的单钥一锁对访问 控制方案。新的双向认证访问控制方案克服了原方案的缺陷。 本文主要包括三部分内容： 一理论概述。简要介绍了开放系统互连安全体系结构，叙述了本文研 究所使用的现代密码学的关键技术。 二安全子网双向认证访问控制机制的研究。首先以“虚拟专用网络” ( v p n ) 隧道模型和企业级安全子网结构模型为基础，提出安全子 网的抽象模型，然后详细讨论了安全子网的双向认证访问控制机 制。 三双向认证访问控制实现方案研究。详细分析了基于h a r n 数字签名 的双向认证访问控制方案的安全漏洞，并对原方案做了改进。在第 五章和第六章给出了本文的主要结果。 作为对原双向认证访问控制方案的改进，改进后的双向身份认证协议 可以很好的抵抗中间人攻击和熏放攻击，经过严密的b a n 逻辑形式分析和 论证，结果表明该协议是安全的；改进后的访问控制方案用单钥锁对方案 实现，除保持了一般单钥锁对方案的良好动态特性外，在不需要访问权限 递增假设下，实现了用户对文件的多种访问控制权限，并大大减小了溢出 问题的发生可能性。 关键词：安全子网，v p n ，认证协议，访问控制 i 电子科技大学硕士学位论文 a b s t r a c t u n d e rt h eo p e ni n t e m e te n v i r o n m e n t ，t h r e es e c u r i t ym e c h a n i s m s ，i n c l u d i n gd a t a c o n f i d e n r i a l i t v ，i d e n t i t ya u t h e n t i c a t i o n ，a n da c c e s sc o n t r o lm e c h a n i s m ，m u s t b er e a l i z e w h e nc o n s t r u c t i n gl o g i cs e c u r es u b n e t a c c e s se o n t r o lc a r lp r e v e n td a t af r o mb e i n g d e s 订o y e d ，a l t e r e d ，d i s c l o s e d ，o rc o p i e db yu n a u t h o r i z e da c c e s s e s a n de v e r ya c c e s s c o n t r o ls y s t e mn e e d st oa u t h e n t i c a t et h ei d e n f i t yo fu s e r s e c u r ea c c e s sc o n t r o l m e c h a n i s mi sk e y t e c h n i q u et h a tk e e p ss e c u r i t yo fs u b n e t ，a n da l s ot h eh o t s p o ti nt h e f i e l do f n e t w o r k s e c u r i t y n 怆a i mo ft h et h e s i si st or e s e a r c hi d e n t i t ya u t h e n t i c a t i o na n da c c e s sc o n t r o l m e c h a n i s mo fs e c u r es u b n e t , a n dr e a l i z e i n gs c h e m e t oo v e r c o m et h es h o r t c o m i n g o ft h ed o u b l e w a ya u t h e n t i c a t i o na c c e s se o n t r o ls c h e m eb a s e do nh a r n sd i g i t a l s i g n a t u r e ，an e wd o u b l e w a ya u t h e n t i c a t i o np r o t o c o li sp r o p o s e dt oi r e p r o v et h e o l do n e an e ws i n g l e k e y 1 0 c k p a i ra c c e s sc o n t r o ls c h e m ei s p r o p o s e d a sa i m p r o v e da c c e s sc o n t r o ls c h e m e ，b a s e do nt h ep r o p e r t y 血a tai n t e g e rc a nb e d e n o t e di n t oo n l yo n eb i n a r yd i g i t a l t h i st h e s i si sc o m p o s e do f t h r e e p a r t s ： f i r s t l y s u m m a r i z eo f t h e o r e t i c s n l es e c u r i t yf r a m e w o r ko f o p e nc o n n e c t i n g s y s t e m si si n t r o d u c e di nc h a r p t e ro n e k e yt e c h n o l o g yo f m o d e m c r y p t o l o g yu s e d i nt h et h e s i si sd e s c r i b e di nc h a r p t e rt w o s e c o n d l y ，r e s e a r c h so fi d e n t i t ya u t h e n t i c a t i o na n d a c c e s sc o n t r o lm e c h a n i s mi n s e c u r es u b n e t a na b s t r a c tm o d e lo fs e c u r es u b n e ti sp u tf o r w a r db a s e do nc h a n n e l m o d e lo fv p na n ds e c u r es u b n e tm o d e lo fe n t e r p r i s ei ne h a r p t e rt h r e e a n d d o u b l e - w a ya u t h e n t i c a t i o na c c e s sc o n t r o lm e c h a n i s mo f s e c u r es u b n e ti sa n a l y z e di n d e t a i li nc h a r p t ef o u r t h j r d l y , r e s e a r c h so ft h ed o u b l e w a ya u t h e n t i c a t i o na c c e s sc o n t r o ls c h e m e t h ei n s e c u r i t yo ft h ed o u b l e w a ya u t h e n t i c a t i o na c c e s sc o n t r o ls c h e m eb a s e do n h a m sd i g i t a ls i g n a t u r ei sa n a l y z e di nc h a r p t e rf i v e an e ws c h e m ei sp r o p o s e d t oi m p r o v et h eo l do n ei nc h a r p t e rs i x a ni m p r o v e ds h c e m ef o rt h eo l dd o u b l e - w a ya u t h e n t i c a t i o na c c e s sc o n t r o l s c h e m eb a s e do nh a r n sd i g i t a l s i g n a t u r e i s p r o p o s e d t h en e wd o u b l e w a y a u t h e n t i c a t i o n p r o t o c 0 1 o ft h ei m p r o v e da c c e s sc o n t r o ls c h e m ec a n p r e v e n t m a n i n t h e m i d d l ea t t a c ka n dr e p l a ya r a c k a f t e rs t r i c tf o r m a la n a l y s i sw i t h b a n l o g i c t h er e s u l th a v ep r o v e d 也a tt h ea u t h e n t i c a t i o np r o t o c o li ss e c u r e t h e i m p r o v e da c c e s sc o n t r o ls c h e m ei sr e a l i z e db y t h em o d eo f s i n g l e - k e y - l o c k p a i r u n d e rn e wa c c e s sc o n t r o ls c h e m e ，u s e rc 孤o w ns e v e r a lk i n d so fa c c e s sf i g h tu p o n o n ef i l eu n d e rt h en e ws c h e m ew i t h o u tt h es u p p o s i t i o nt h a tt h ea c c e s sr i g h t si s i n c r e a s eb yd e g r e e s ，a n dt h ep o s s i b i l i t yo fo v e r f l o wp r o b l e mi ss i g n i f i c a n t l yr e d u c e d b y o u rn e wm e t h o d k e y w o r d s ：s e c u r es u b n e t ，v p n ，a u t h e n t i c a t i o n p r o t o c o l ，a c c e s sc o n t r o l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：日期：年月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：导师签名： 日期：年月日 电子科技大学硕士学位论文 1 1 选题背景 第一章序言 随着基于t c p i p 网络通信协议簇的因特网( i n t e r n e t ) 技术 1 2 】的成 功发展，最初由美国国防高级研究计划署( d a r p a ) 为军事目的而研究和 组建的互联网络i n t c r n c td a r p a ，逐步演化为a r p n e t 网络，并最终成为因 特网( i n t e r n e t ) 的主干网。t c p i p 技术打破了异型计算机之间，异构网络 之间互联互通的技术屏障，基于t c p i p 的因特网也给世界范围内的各机构、 企业、团体和个人用户之间的计算机通信和资源共享带来前所未有的便利。 各种用户终端通过公共交换电话网( p s t n ) 、局域网( l a n ) 、校园网、 企业网等各种方式接入到主干网络，形成以t c p i p 为技术基础的因特网。 在世界经济一体化趋势下，各地区以及各国家之间市场的开放和准入， 使得现代企业的跨地区经营发展成为可能，“企业内部”的概念已经不能 局限于某一地，而往往是一个包括了分布于世界若干地区分支机构的集合 体。为了实现企业信息的内部共享，同时防止竞争者对企业信息的非法访 问和盗用，企业需要组建自己的安全子网。通常，企业不会自己搭线组网， 而是利用公共通信基础设施( 如i n t e r n e t ) 来提供网络连接，运用虚拟连接 技术在逻辑上组成企业内部的“专用”网络，即虚拟专用网络( v i r t u a lp r i v a t e n e t w o r k ，简称v p n ) 。这种网络由于具有内部用户的利益一致性和对外的 排他性，可以从整体上看成一个安全子网；进一步根据企业内部各分支机 构的不同性质和权限，企业的虚拟专用网络还可以细分为小的安全子网。 v p n 实际上是利用公共网络基础设施，在链路层或网络层上基于配置 或隧道技术的网络虚拟连接技术的逻辑安全子网。从安全的角度上看，这 种子网上的网络信息资源和用户资源受到众多的安全威胁。首先。t c p i p 协议本身具有安全脆弱性和漏洞，t c p i p 协议最初设计的应用环境是美国 国防系统的内部网络，是可信网络，在设计t c p i p 通信协议时并未考虑安 全要求，当其推广应用到i n t e m e t 时，基于t c p i p 协议的因特网体系就存 在着致命的安全隐患；其次，网络的物理暴籍性使攻击者可以通过传输介 质和集散点进行信息截取：再次，网络的虚拟性使非法用户可能冒充合法 电子科技大学硕士学位论文 者侵入子网访问信息资源。从根本上说，这些威胁利用了在公共物理网络 基础设施上传输数据的公开性和传输信道的暴露性。所以，就安全子网本 身而言并不安全，如果能找到一种实现v p n 的方法，即能保证传输数据的 不可理解性，又能保证传输通道的隐秘性，同时对传输的数据具有完整性 校验机制，这样的v p n 才是安全的。 按照i s o 开放系统互连安全体系结构，开放互连系统应该提供五种安 全服务：鉴别，访问控制，数据完整性，数据保密性和抗抵赖性。对于安 全子网，一方面保证合法用户按权限共享资源，另一方面又应该具有对非 法用户的屏障作用。要实现子网的充分安全性，需要系统的考虑，必须从 硬件组件、软件平台以及网络通信协议等多方面保证系统的安全。在五种 安全服务中，鉴别服务提供对通信中对等实体和数据来源的鉴别，是安全 子网的逻辑基础，通过双向认证协议可以达到鉴别通信实体身份的目的； 访问控制服务提供保护以对抗开放系统互连可访问资源的非授权使用。 本文在安全子网通信模型下，运用现代密码技术，研究如何通过双向 认证和访问控制机制实现安全子网内部用户之间的安全通信和资源互访， 提出了通信实体之间用以进行身份认证的新双向认证协议，该协议被证明 是安全的。分析了现有访问控制方案的缺点，提出一种新的单钥锁对访问 控制方案，所提出的新访问控制方案在一定程度上克服了现有方案的缺陷。 1 2 开放系统互连安全体系结构 1 2 1 开放系统互连 基于计算机网络技术的信息系统是以开放系统互连通信和网络作为支 撑平台的。由于单台计算机数据处理能力的局限，以及异地计算机用户间 共享资源的需要，迫使人们考虑将不同任务、不同类型的计算机联在一起， 组成计算机网络。随着微电子技术和通讯技术的发展，在t c p i p 为主要技 术的基础上，不同地区、不同种类的计算机网络通过主干网相连接，形成 了今天适用于办公、交通、娱乐、情报、商务、和教育等行业需要的i n t e r a c t 。 可以说，当今几乎所有计算机网络都接入到i n t e r n e t 中，都是开放式系统互 连的网络【7 】。 2 电子科技大学硕士学位论文 1 22 开放系统互连的安全性 1 22 1 开放系统互连所受到的威胁 ( 1 ) 对通信或网络资源的破坏； ( 2 ) 对信息资源的滥用、讹用或篡改； ( 3 ) 信息或网络资源的被窃、删除或丢失； ( 4 ) 信息的泄漏； ( 5 ) 服务的中断和禁止； 1 2 2 2 开放系统互连所受到的攻击 ( 1 ) 冒充 冒充就是一个实体假装成另一不同的实体。冒充常与某些别的主动攻 击形式一起使用，特别是消息的重放与篡改。例如，攻击者截获鉴别消息， 并在有效的鉴别消息发生后被重放；未授权或低权限实体通过冒充已授权 或者高权限实体而获得更高的访问权限。 ( 2 ) 重放 当发生过的消息被重复，产生非授权的使用效果时便出现重放。例如， 为了使自己获得成功的鉴别，将含有鉴别消息的有效消息重新使用。 ( 3 ) 篡改 当数据传送的内容被改变丽未发觉，并导致一种非授权后果时便出现 消息篡改攻击。 ( 4 ) 服务拒绝 当一个实体不能执行它的正常功能，或者某实体行为妨碍了别的实体 执行其正当功能时便发生服务拒绝。这种攻击可能是一般性的，比如一个 实体抑制所有的消息；也可能是有具体目标的，例如一个实体所有流向某 一特定目的端的消息。这种攻击可以是对通信业务流的抑制或产生额外的 通信业务流；也可能制造出试图破坏网络操作的消息。特别是对于网络中 继实体，由于要根据别的中继实体那里接收到的状态报告来作出路由选择 的决定，如果状态报告被伪造广播将改变路由选择，破坏网络操作。 3 电子科技大学硕士学位论文 ( 5 ) 内部攻击 当系统的合法用户以非故意或非授权方式进行操作便出现内部攻击。 多数的计算机犯罪都和时系统安全遭受泄漏的内部攻击有密切关系。可以 通过审计跟踪以提高检测出这种攻击的可能性。 ( 6 ) 外部攻击 外部攻击可以使用的方法有：搭线，截获辐射，冒充为系统的授权用 户或系统的组成部分，为鉴别或访问控制机制设置旁路等。 ( 7 ) 陷门攻击 当系统的实体受到改变致使一个攻击者能对命令，或对预定的文件或 文件序列产生非授权的影响时，其结果就称为陷门攻击。例如，修改口令 的有效性，使得除了其正常效力外也是攻击者的口令生效。 ( 8 ) 特洛伊木马 对系统而言，特洛伊木马是指不但具有自己的授权功能，而且还有非 授权功能。比如，一个向非授权信道拷贝消息的中继就是一个特洛伊木马。 1 2 3 开放系统互连安全体系结构 1 2 3 1 安全体系结构概述 安全体系结构的形成主要是根据所要保护的信息系统资源，对资源攻 击者的假设及其攻击目的、技术手段和造成的后果来分析该系统所受到的 已知的、可能的威胁，并考虑到构成系统各部件的缺陷和隐患共同形成的 危险，然后建立起系统的安全需求。这些标准确立了与安全体系结构有关 的一般要求，可适用于开放系统之间需要通信保护的各种场合，在参考模 型的框架内，建立起一般指导原则与约束条件，从而提供了解决开放互连 系统中安全问题的一致性方法。 安全体系结构主要提供了五种安全服务和八种相关的安全机制。 1 2 3 2 安全服务 ( 1 ) 鉴别 鉴别服务又包括两种类型：对等实体鉴别和数据原发鉴别。 4 电子科技大学硕士学位论文 对等实体鉴别：对等实体鉴别服务在连接建立或数据传送阶段的某 些时刻提供，用以证实一个或多个连接实体的身份，包括单向和双 向对等实体身份鉴别。使用鉴别服务可以在使用时间内确信一个实 体此时没有试图冒充别的实体，或者没有试图将先前的连接作非授 权地重放。 数据原发鉴别：数据原发鉴别服务对数据单元的来源提供识别，这 种服务对数据单元的重复使用或篡改提供鉴别。 ( 2 ) 访问控制 访问控制服务提供保护以对抗开放系统互连可访问资源的非授权使 用。这些资源可以是经开放互连协议可访问到的o s i 资源或非o s i 资源。 这种保护服务可以适用于对资源的各种不同类型的访问，比如，使用通信 资源，读、写或删除信息资源，处理资源的操作。 ( 3 ) 数据机密性 数据机密性提供保护以使数据不被非授权的泄漏。通过这种服务的保 护可以使得仅仅依赖观察通信业务流而不可能推断出其中的机密信息。 ( 4 ) 数据完整性 数据完整性服务可以对抗主动威胁。在一次连接中，连接开始时使用 对某实体鉴别服务，并在连接存活期使用数据完整性服务就能联合起来为 在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整 性提供确证。如果使用序列号，还可附加为数据单元的重复提供检测。 ( 5 ) 抗抵赖 抗抵赖服务又包括了两种类型。 有数据原发证明的抗抵赖：为数据接收者提供数据的原发证据，这 将使发送者不能否认发送过数据或发送数据的内容非接收者收到的 内容。 有交付证明的抗抵赖：为数据的发送者提供数据交付证据，这将使 得接收者不能否认收到过数据或接收的内容非发送的内容。 s 电子科技大学硕士学位论文 1 2 3 3 安全机制 ( 1 ) 鉴别交换机制 鉴别交换机制一般使用密码技术，鉴别信息( 例如口令) ，或实体特 征及占有物以达到鉴别实体身份的目的。当采用密码技术时，可以与“握 手”协议结合起来以防止重放攻击。通常结合使用： 时间标记与时钟同步； 两方握手和三方握手； 由数字签名和公证机制实现的抗抵赖服务。 如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝 或终止。也可能在安全审计跟踪种增加一个纪录，或给安全管理中心一个 报告。 ( 2 ) 访问控制机制 访问控制机制可以使用该实体已鉴别的身份，有关该实体的信息，或 该实体的权力来决定和实施一个实体的访问权 3 0 】。如果该实体试图使用非 授权的资源，或者以不正当的方式使用授权资源，那么访问控制功能将拒 绝这一企图，另外还可能产生一个报警信号或纪录下来作为安全审计跟踪 的一个部分来报告这一事件。 ( 3 ) 加密 加密机制既能为数据提供机密性，也能给通信业务流信息提供机密性。 加密算法包括两大类：一种叫对称( 即密秘密钥) 加密，加解密过程使用 相同的密钥：另一种叫非对称( 即公开密钥) 加密，加密过程使用公钥， 解密过程使用私钥。在计算机网络通信中，大多数应用并不要求在多个层 上加密，加密层的选择由以下几个因素决定： 如果要求全部通信业务流的机密性，那么选取物理层加密，或保密 通信手段。 如果要求细粒度保护，即对每个应用可能提供不同的密钥，抗抵赖 或选择字段保护，那么选取表示层加密。在表示层的加密能提供不 带恢复的完整性，抗抵赖以及所有的机密性。 6 电子科技大学硕士学位论文 如果希望所有的端系统到端系统通信的简单保护，或希望有一个外 部的加密设备，那么选取网络层加密，将提供机密性与不带恢复的 完整性。 如果要求带恢复的完整性，同时又具有细粒度保护，那么将选取传 输层加密，可以提供机密性，带恢复的完整性。 ( 4 ) 数字签名机制 数字签名机制包括：对数据单元签名和验证签过名的数据单元两个过 程。在签名过程中，签名者使用保密的私有信息对数据加密或产生该数据 单元的一个密码校验值；在验证过程中，验证者使用签名者公开的规程和 信息来验证该签名是否是一个合法的签名，即由签名者的私有信息产生。 签名机制的本质特征在于该签名只有使用签名者的私有信息才能产生出 来。因而，当该签名得到验证后，它能在事后的任何时候想第三者( 如仲 裁人) 证明：只有该私有信息的唯一拥有者才能产生这个签名。 ( 5 ) 数据完整性机制 数据单元的完整性包括两个过程：第一个过程，发送实体给数据单元 加上一个量，这个量为该数据的函数值，可以使分组校验码那样的补充信 息，或是一个密码校验值，而且它本身可以被加密；第二个过程，接收实 体收到数据单元后，产生一个相应的量，并把它与接收到的那个量进行比 较，以决定该数据是否在传送中被篡改过。对于连接方式传送数据，保护 数据单元序列的完整性，即防止乱序、数据丢失、重放、插入和篡改，还 另外需要某种明显的排序形式，例如序列号，时间标记等。而对于无连接 数据传送，可以用时间标记提供保护，以防止个别数据单元的重放攻击。 ( 6 ) 通信业务填充 通信业务填充机制可以提供不同级别的保护，对抗通信业务流分析。 ( 7 ) 路由选择控制机制 在检测到持续的操作攻击时，端系统希望指示网络服务的提供者经不 同的路由选择建立连接，或者带有某些安全标记的数据可能被安全策略禁 止通过某些网络、链路或中继。通过路由选择控制机制，动态的或预定的 选取路由，以便使用物理上安全的子网络、中继站或链路。 7 电子科技大学硕士学位论文 ( 8 ) 公证机制 公证机制可以通过第三方公证人确保两个或多个实体之间通信的数据 的性质，如完整性、原发、时间和目的地等。公证人为通信实体所信任， 并掌握必要的信息，以一种可证实方式提供所需的保证。每个通信事例可 以使用数字签名、加密和完整性机制以适应公证人提供的那种服务。 8 电子科技大学硕士学位论文 第二章密码技术概述 2 1 现代密码学简介 2 1 1 现代密码学的发展 密码学是与信息的机密性、数据完整性、身份鉴别和数据原发鉴别等 信息安全问题相关的一门技术学科。信息论和复杂性理论是研究现代密码 学的两个重要基础。基于信息论的密码学，使用信息论的观点和方法研究 密码系统模型的建立、安全性分析及破译等。他所研究的安全性准则是密 码系统的理论安全性，也称无条件安全性【3 】，即假定密码分析者的计算资 源不受任何条件的限制。基于复杂性理论的密码学，以复杂性理论的观点 和方法研究密码系统模型的建立、安全性分析及破译等。他所研究的准则 是密码系统的实际安全性，亦称有条件安全性，即假定密码分析者的计算 资源是有限的，受计算时间、存储空间等限制。信息论密码学由s h a n n o n 的著名论文 3 奠基，他得出结论：“在他所定义的完全保密系统中，密钥 数不能少于传输的消息数，故这种系统是不现实的。”因而信息论密码学 的研究和发展相当迟缓，几乎所有现代密码体制都是基于复杂性理论的。 七十年代中期，w d i f f i e 和m e h e l l m a n 发表论文“密码学新方向”【4 】， 提出公开密钥密码体制思想，在这篇奠基性的论文中称：“我们正处于密码 学革命的边缘。”几乎在同一时期，美国颁布数据加密标准d e s 9 1 。标志 着现代密码学的诞生，也揭开了商用密码研究的序幕。现代密码体制的研 究基本上沿着两个方向进行，即公开密钥密码体制( p u b l i c k e v c r y p t o s y s t e m ) 和秘密密钥密码体肯f j ( p r i v a t e k e yc r y p t o s y s t e m ) 。 公钥密码以复杂性理论为基础，是基于复杂性理论中单向函数的存在 性。密码系统的安全性决定于这种单向函数的求逆难度，并以此抵抗某种 攻击。这类密码系统的弱点在于其安全性不是无条件的，并且不能在理论 上证明系统是安全的。信息论告诉我们，除了一次一密乱码本，所有的密 码算法都能被破译。因此，公钥密码系统的条件安全性并不能妨碍其应用。 对公钥密码体制的研究包括安全性分析、算法实现、及应用等。1 9 7 7 年 9 电子科技大学硕士学位论文 r o n r i v e s t ，a d i s h a m i r 和l e n a d i e m a n 发明了第一个公钥密码体制即r s a 公钥密码体制 6 ，并居于主导地位达十五年之久，至今仍广泛地用于数据 保密和鉴别。在网络传输中，r s a 被服务器和浏览器用以保证传输安全、 电子邮件的保密及原发鉴别、及安全的远程登录会话，也是电子信用卡支 付系统的核心。由于公钥密码方案的安全性是基于某种问题的计算复杂性， 如大数因子分解或离散对数问题，算法技术，数论，以及分布式计算的发 展，迫使我们不断重新用长密钥加密大型数据库和文档，以维持充分的安 全级别，一方面带来实际应用的困难，同时长密钥也大大降低了加解密的 运算速度。 秘密密钥密码，又称为对称密码，分为序列密码( s t r e a mc i p h e r ) 和分 组密码( b l o c kc i p h e r ) ，序列密码是对明文按字符逐位加密，而分组密码是 将消息进行分组，并按组加密。与公钥密码体制相比，秘密密钥密码加密 解密速度快，易于软硬件实现，而且安全性高。序列密码可以方便的利用 以移位寄存器为基础的电路来产生，实现简单，速度有优势，其安全性完 全依靠密钥序列发生器( k e y s t r e a mg e n e r a t o r ) 的内部机制，密钥序列发生 器输出的密钥越接近随机，对密码分析者就越困难，安全性就越好。分组 密码具有速度快、易于标准化和软硬件实现等特点，可用于构造伪随机数 发生器、序列密码、消息认证码( m a c ) 和杂凑函数，通常是信息与网络 安全中实现数据加密、数字签名、认证及密钥管理的核心体制，在计算机 通信和信息系统安全领域有着最广泛的应用。 2 1 2 密码算法 明文( p l a i n t e x t ) 是待加密的消息，用吖或p 表示，可以是二进制为序 列、文本文件、位图、数字化的语言序列或数字化的视频图像等，通常即 指二进制数据 5 】。密文( c i p h e r t e f f t ) 是指加密后的消息，用c 表示，也是 二进制数据，再将压缩与加密结合时，c 比p 的数据更小。用数学函数等 方法伪装消息以隐藏其内容的过程称为加密( e n c r y p t i o n ) ，把密文转变为 明文的过程称为解密( d e c r y p t i o n ) 。 密码算法( a l g o r i t h m ) ，是指用于加密和解密的数学函数，一般包括 两个函数，分别用于加密和解密。在加解密过程中密码算法所使用的陷门 t 0 电子科技大学硕士学位论文 值称为密钥( k e y ) ，密钥曼的可能值的范围叫做密钥空间( k e y s p a c e ) 。 现代密码算法的安全性都依赖于密钥空间的大小，而不依赖于算法本身， 即是说密码算法是安全的并且公开。 一个密码体制( c r y p t o s y s t e m ) 可以定义如下： 定义4 1 ：一个密码体制是一个五元组( p ，c ，k ，e ，d ) ，满足： ( 1 ) p 是可能明文的有限集： ( 2 ) c 是可能密文的有限集； ( 3 ) 密钥空间足是可能密钥的有限集； ( 4 ) 对每一个k k ，有一个加密规则吒d ，每一个e 。：d 哼c 和 d i ：c _ p 是函数，满足以( e 女( x ) ) = x ，对每一个明文x e p 。 一个典型的加解密过程如图2 - 1 所示。 2 1 3 对称密码 图2 - 1 加解密过程 对称密码( s y m m e t r i cc i p h e r ) ，是指在加解密过程中均使用相同密钥 或者加秘密钥与解密密钥能够互相推算出来的密码算法，这种算法也叫做 秘密密钥密码。对称密码的加解密过程可以表示为： e k ( 肘) = c 皿( c ) = m 使用对称密码进行加密时，要求消息的发送者与消息的接收者在安全 通信之前进行密钥的协商，以使二者拥有相同的共享密钥，其安全性取决 于密钥。对称密码又包括两类：其一、序列密码( s u e a r nc i p h e r ) ，是指一 1 1 电子科技大学硕士学位论文 次只对明文分组中的单个位或字节进行加解密运算的密码：其二、分组密 码( b l o c kc i p h e r ) ，指对明文的一组位串进行加解密的密码a 2 1 4 公开密钥密码 公开密钥密码( p u b l i c - k e yc i p h e r ) ，又叫做非对称密码，指加密与解 密过程使用不同密钥，或者加密密钥与艉密密钥互相可以推算的密码算法。 一般将加密密钥称为公钥( p u b l i c - k e y ) ，解密密钥称为私钥( p r i v a t e k e y ) 。 如果以k ，表示公钥，以k ：表示私钥，则公开密钥密码的加解密过程可以表 示为： e k ( m ) = c d k ：( c ) 2 m 公开密钥密码的安全性主要依赖于以下两类问题： ( 1 ) 大数因子分解问题； ( 2 ) 有限域上的离散对数问题。 著名的r s a 公钥密码算法 6 】的安全性就是基于大数因子分解的困难 性，其公钥和私钥是一对大素数的函数，从一个公开密钥和密文中恢复出 明文的难度等价于分解两个大素数的乘积。对于公钥密码有一个重要的结 论：公钥密码体制永远不能提供无条件的安全性，原因在于攻击者只要截 获密文，就可以用穷举法利用公开的加密规则e 。加密每一个明文，直到找 到满足y = 吼( 曲的明文x 为止，即是说公钥密码体制只能保证计算安全性。 2 2 数据加密标准d e 8 和a e s 2 2 1d e s 数据加密标准d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 是由i b m 开发，从早 期的l u c i f e r 体制改进而来，并于1 9 7 7 年被美国国家标准局采纳作为“非 密级”应用标准【9 】。 1 2 电子科技大学硕士学位论文 d e s 是对成分组密码，加密和解密使用同一算法，以6 4 位为分组队数 据进行加密。密钥长度为5 6 位，通常表示为6 4 位，其中每8 位都用于奇 偶校验。算法使用标准的算术和逻辑运算，作用的数最多只有6 4 位，易于 用硬件实现。d e s 的应用非常广泛，通常用于银行交易，加密个人身份识 别号( p i n ) 和通过自动出纳机( a t m ) 进行的记账交易。 d e s 算法分三个阶段实现： ( 1 ) 给定明文x ，通过一个固定的初始置换俨来排列x 中的比特，从 而构造比特串x 0 ，记为x o = i p ( x ) = 岛岛，其中厶为的前3 2 位，心为x o 的后3 2 位。 ( 2 ) 计算函数的1 6 轮( r o u n d ) 迭代，由下面的规则可以得到l r ： l 。= r 。一i r i = 厶_ jo ，( r j _ 1 ，屯) 其中l 蔓i 1 6 ，“0 ”表示两个比特串的异或运算，为轮函数，每一个长 度为4 8 位的比特串七，七：，k 是作为密钥k 的函数计算得来，一轮加密如 图2 2 所示。 ( 3 ) 对比特串r 。厶。用逆置换妒- 1 得到明文，即y = i p 一1 ( 蜀。l 。) ，其中 厶。与月。交换了秩序。 图2 吨每轮迭代 1 3 电子科技大学硕士学位论文 2 2 ，2a e s 1 9 9 7 年4 月1 5 日，美国国家标准技术研究所( n i s t ) 发起征集 a e s ( a d v a n e e de n c r y p t i o ns t a n d a r d ) 算法，并专门成立a e s 工作组。这一活 动促进了分组密码的研究，1 5 个候选算法反映了当前分组密码的设计水平， 于2 0 0 1 年1 2 月2 6 日公布了选出的a e s 算法 1 l 】，最终由比利时人j o a n d a e m e n 和v i n c e n t r i j m e n 所提交的候选算法r i j n d a e l 1 0 a 选。 r i j n d a e l 算法采用代替置换网络( s p 网络) ，每轮由三层组成： ( 1 ) 线性混合层：确保多轮之上的高度扩散：( 2 ) 非线性层：由1 6 个s 盒并 置而成，起混淆作用，s 盒选用有限域g f ( 2 9 中的乘法逆映射；( 3 ) 密钥 加层：子密钥简单的异或到中间状态上。r i j n d a e l 算法的安全性较高：4 轮 r i j n d a e l 的最佳差分特征的概率及最佳线性逼近的偏差分别为2 0 如和2 。6 ； 8 轮r i j n d a e l 的最佳差分特征的概率及最佳线性逼近的偏差分别为2 寸和 2 0 ”，但是针对s q u a r e 算法的s q u a r e 攻击对于r i j n d a e l 算法也是使用的， 分析结果表明7 轮以上的r j n d a e l 对s q u a r e 攻击是免疫的，此外在用智能 卡实现时，易受到变异的能量攻击【1 2 】。r i j n d a e l 算法无明显的安全漏洞， 算法具有良好的安全系数，密钥安装快，对r a m 和r o m 的要求低，非常 适合于智能卡实现，处理附加密钥和分组长度的能力也体现了该算法的显 著灵活性f 1 4 】。 2 3e i g a m a i 公钥密码算法 e i g a m a l 公钥密码体帝i j 1 3 是基于离散对数问题的。离散对数问题可以 描述为： 令i = ( p ，口，) ，p 是素数，a z ；是本原元，卢z ；，要求找到唯一 的整数a ，0 s a p 一2 ，满足：口4 f l ( m o d p ) ，记a = l o g 。4 。 在适当地选取模数p 时，离散对数的求解问题是困难的，不存在多项 式时间的算法。为了满足密码体制的安全要求，一般p 至少有1 5 0 位十进 制数字，且p l 至少有一个“大的”素因子。 e 1 g a m a l 公钥密码算法可描述如下； 1 4 电子科技大学硕士学位论文 设p 是一个大素数，满足z ，中的离散对数问题是难处理的口z ；为 本原元，p = z ；，c = z ；z ；，定义其中p 、口和是公开的，口是保密的。 加密；选取秘密的随机数k z 。，定义 8 d ( z ，k ) = ( y l ，y 2 ) 其中y l = 口。( r o o d p ) ，y 2 = 妒。( m o d p ) 。 解密：对于m ，) ，2 z ：定义 d 。( y l ，j ，2 ) = y 2 1 4 ) 。1 ( m o d p ) 显然，在e 1 g a m a l 公钥密码算法中，如果将p ，口看成公开的参数， 则为公钥，而口为私钥。 2 4 密码协议 2 4 1 协议概述 协议( p r o t o c 0 1 ) 是一系列步骤，它包括两方或者多方，目的是完成某种 任务【5 】。也即使说，协议至少需要两方，有一定的目的性，在执行协议时 按照一定的顺序进行，在前一步完成以前，后面的步骤且不能执行。协议 具有以下特点： 协议中的每方都必须了解协议的内容，并且预先知道所要完成的 步骤； 协议的每一方都必须统一并遵循协议； 协议必须是清楚的，每一步必须明确定义，并且不会引起误解： 协议必须是完整的，对每种可能的情况必须规定具体的行为。 密码协议( c r y p t o g r a p h y p r o t o c 0 1 ) 是用密码学的方法构造的协议。协议 参与者可能是完全信任的也可能是完全不信任的。密码协议包含某种密码 算法，目的是防止或发现窃听和欺骗。它可以使相互不信任的双方也能在 网络上完成协议。包含仲裁者的协议称为仲裁协议，仲裁者是在完成协议 1 5 电子科技大学硕士学位论文 的过程中值得信任的公正的第三方。仲裁者能帮助互不信任的双方完成协 议，在协议中既没有既得利益，对参与协议的任何一方也没有特别的利害 关系。在密码协议中的仲裁者包括在线仲裁者和脱机仲裁者两种，有在线 仲裁者的密码协议要求仲裁者参与到协议中来，而需要脱机仲裁者的密码 协议更为常见，一般预先给协议的双方颁发数字证书，证书上具有仲裁者 的数字签名，协议的双方通过数字证书来判定该协议方的公钥信息是有效 的。 密码协议包括密钥交换协议、身份鉴别协议( 或称认证协议) 、数字 签名协议、身份的零知识证明协议和数字现金协议等。协议的安全性可以 用形式分析的方法进行分析。 2 4 2 鉴别协议 在用户通过一个网络向某一计算机最远程访问登录时，计算机按传统 办法将验证用户名和相应的口令是否正确，以决定接受或拒绝用户的方访 问要求。由于用户i d 和口令是以未加密的方式在网络中传输，它们对于正 在监视计算机网络的任何人都是脆弱的。鉴别协议( i d e n t i f i c a t i o n p r o t o c 0 1 ) 可以克服传统身份鉴别方式的缺点，在用户不“泄漏”其身份信 息的条件下以电子方式证明身份，窃听者不能根据用户在鉴别过程中使用 的信息来冒充用户身份。 鉴别协议既可以使用公开密码，也可以使用对称密码达到鉴别身份的 目的。本文将讨论用公钥密码系统实现身份鉴别和密钥交换的鉴别协议。 常用的使用对称密码的鉴别协议是k e r b e r o s 5 ，每一用户u 和拟共享一个 秘密的d e s 密钥k ，1 d ( u ) 表示用户u 的公开身份信息，当对一个会话密 钥的申请发送到黝时，弛将产生一个新的随机会话密钥，翻将用时间标 记r 来记录申请时间，并