（信号与信息处理专业论文）密钥管理系统构建及其安全性研究.pdf

密钥管理系统构建及其安全性研究 摘要 随着电子商务和电子政务的蓬勃发展，网上信息的传递越来越频 繁，信息量越来越大，其中有些是很重要的机密的信息，互联网上的 信息安全问题就尤为重要。对于网上单个的p c 机，我们当然可以用 防火墙来保护本机上的数据，而对于机器之间的在网上交换的信息， 我们采用一套公开密钥基础体系( p k i ) 来保证数据的安全。 p k i 的主要目的是通过自动管理密钥和证书，可以为用户建立起 一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用 加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。 p k i 体系的主要功能是由证书认证授权( c a ) 机构来完成的，c a 为 电子商务服务的证书中心，而密钥管理( k m ) 系统作为c a 机构最 为重要的个分支，完成整个系统中最重要的密钥管理作用，包括密 钥生成、密钥分发、密钥恢复和密钥备份等功能。 本文完成了对密钥管理系统构建的实际设计方案，并通过各模块 的流程图介绍了具体实施的细节；还进行了该系统安全性方面的研 究，主要包括数据存储安全和数据通信安全两个方面。在数据存储安 全方面采用了种秘密分享算法，提出了一种新的密钥存储方式来代 替原来的分段式存储方式，并应用于k m 系统的升级中：在数据通信 安全方面，采用s s l 客户一服务器端认证，应用于各模块之间的数 据交互，保证各模块间信息传输的安全性和完整性。 关键词数字证书p k ic a 密钥管理密秘分享 d e s i g na n dc o n s t r u c t i o no f t h ek e ym a n a g e m e n ts y s t e m a n dr e s e a r c h0 ni t ss e c u r i t y a b s t r a c t a se - b u s i n e s sa n d e g o v e r n m e n t a r ed e v e l o p i n g d r a m a t i c a l l y , m o r e a n dm o r ei n f o r m a t i o ni st r a n s f e r r e di nt h ei n t e r a c tf f e q u e n t l no fw h i c h s o m ec o n t a i n sv e r ys e c r e ti n f o r m a t i o n s oi ti sv e r y i m p o r t a n to f t h e i n f o r m a t i o ns e c u r i t yi nt h ei n t e m e t w ep r o t e c tt h ed a t ai nt h es i n g l ep c i nu s eo f f i r e w a l l ，a n dt oi n s u r et h ei n f o r m a t i o ns e c u r i t yt r a n s f e r r e d b e t w e e np c so rl o c a ln e t w o r k s ，w ew i l la d o p ta s y s t e m n a m e dp u b l i c k e yi n f r a s t r u c t u r e ( p r d ) t h em a i n p u r p o s eo f p k i i st oc o n s t r u c tas e c u r en e t w o r k e n v i r o n m e n tf o rt h eu s e r s b ym a n a g i n g t h ek e ya n dt h ec e r t i f i c a t e a u t o m a t i c a l l y , a n dt op r o v i d eu s e r sw i t hs o m et e c h n i q u e ss u c ha s e n c r y p t i o na n dd i g i t a ls i g n a t u r ei ns e v e r a la p p l i c a t i o ne n v i r o n m e n t s ，i n o r d e rt og u a r a n t e et h ec o n f i d e n t i a l i t y , i n t e g r i t ya n d v a l i d i t y t h em a i n d u t yo f p k ii sp e r f o r m e d b y t h eo r g a no fc e r t i f i c a t ea u t h o r i t y ( c a ) ， w h i c hi st h ec e r t i f i c a t ec e n t e rf o rt h ei n f o r m a t i o ns e r v i c eo ft h ei n t e r n e t k e ym a n a g e m e n t ( k m ) s y s t e m ，a s t h em o s t i m p o r t a n te n t i t yo f c a s y s t e m ，p e r f o r m s t h ef i m c t i o no f m a n a g i n g u s e r s p r i v a t ek e y s ，w h i c hi s t h ev i t a lf u n c t i o ni nt h e s y s t e m ，i n c l u d i n gk e yc r e a t i o n ，k e yd i s t r i b u t i o n k e yr e n e w i n g a n d k e yb a c k u p t h i s p a p e rg i v e s t h e d e s i g na n d t h ec o n s t r u c t i o no ft h e k e y m a n a g e m e n ts y s t e m ，a n dd e s c r i b e st h ed e t a i l i n go f e a c hm o d u l e t h r o u g h f l o wc h a r t a n di tt e l l st h er e s e a r c ho nt h e s e c u r i t yo f t h es y s t e m ， i n c l u d i n g t h es e c u r i t yo ft h ed a t as t o r a g ea n dd a t ac o m m u n i c a t i o n i nd a t a s t o r a g ew ea d o p t s e c r e ts h a r i n ga l g o r i t h ma n da d v a n c ean e ws c h e m et o s t o r e p r i v a t ek e y , w h i c ht a k e s t h e p l a c eo f t h eo l dm e t h o do f s u b s e c t i o n a n di sa p p l i e di nt h ek m s y s t e m i nd a t ac o m m u n i c a t i o nw e a p p l ys s l c l i e n t s e r v e ra u t h o r i t yi nt h ei n f o r m a t i o nt r a n s f e rb e t w e e n m o d u l e si n o r d e rt oi n s u r et h ec o n f i d e n t i a l i t ya n d i n t e g r i t yo f t h ei n f o r m a t i o n k e yw o r d s d i g i t a lc e r t i f i c a t e p k ic a k e ym a n a g e m e n t s e c r e ts h a r i n g 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处 本人签名：丛生堡 本人承担切相关责任。 日期：一) ，一生! 竺一 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期问论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 砼坚盗 导师签名 首 篷塑 日期 日期 型竺竺：兰：! 翌 密钥管理系统构建及其安拿性研究 第一章密钥管理系统建设背景概述 1 1 互联网信息安全存在的问题 随着社会节奏的加快，人们的生活方式也在发生着改变，人们有了更多的需 求通过网络来获取他们需要的商品。而随着我们国家信息化战略的实施，越来越 多地区的政府部门网上的信息互连，通过网络实现无纸办公。所以说，现在正是 一个电子商务和电子政务大发展的时期。已经比较成熟的网络技术使互连互通已 经根本不是问题了，而网上信息的安全性问题则越来越成为人们最为关注也最为 关键的问题。网上信息传递所面临的安全威胁主要如下： ( 1 ) 信息被窃取 窃取者可能通过互联网，公用电话网，搭线或在电磁波辐射范围内装截收装 置等方式，截获传输的机密信息，或通过对信息流量和流向，通信频度和长度等 参数的分析，推断出有用信息。 ( 2 ) 信息被篡改 攻击者修改被截获的文件，改变信息流的次序，更改信息的内容，如购买商 品的出货地址；删除某个消息或其某些部分；在消息中插入一些信息，让对方读 不懂或接收错误的信息。 ( 3 ) 伪造电子邮件 包括虚开网站和商店，伪造大量用户，发大量的电子邮件，窃取商家的商品 信息和用户信息等信息。 ( 4 ) 假冒他人身份以及不承认已做过的交易，抵赖等等。 对于个人用户或者企业的局域网用户，可以通过设置防火墙来保证自己的安 全，防止非法用户的入侵以及病毒的攻入，但是对于互连的两台机器之间的通信 信息，则不能保证它在传输的过程中不被破坏或破译，所以需要一套有效的体系 来保证网上传输信息的安全。 1 2 采用p k i 体系解决信息安全问题 p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) ，使我们可以在网路上采用安全的方法交换 信息。p k i 包括了认证，数字签名的使用，以及处理p k i 所需的软硬件。电子商 务要能够蓬勃发展，一个可靠的p k i 是必备的要件。它本身不是一种应用，而 是一个基础架构，它为数字签名、加密和身份验证这样的服务提供了一个平台以 支持任何需要绝对安全的应用，如机密电子邮件、单据登记、账单支付和无线交 易。 采用p k i 体系，就可以为网络提供四个基本的安全保障： ( 1 ) 数据的秘密性( c o n f i d e n t i a l i t y ) 保证信息发送和接收是在安全的通道进行，保证通信双方的信息机密。交易 的参与方在信息交换过程中没有被窃听的危险，或者即使被窃听了也得不到真实 的数据意义。 ( 2 )数据完整性( i n t e g r 姆) 接收方可以验证发送方的信息是否被修改过。 ( 3 )身份真实性的鉴别( a u t h e n t i c a t i o n ) 交易双方的身份不能被假冒或伪装，可以有效鉴别确定交易双方的身份。 ( 4 ) 不可否认性( n o n - r e p u d i a t i o n ) 信息的发送方不能否认曾经发送的信息，不能否认自己的行为。 典型的p k i 系统由五个基本的部分组成：证书申请者( s u b s c r i b e r ) 、注册机 构( r e g i s t r a t i o n a u t h o r i t y r a ) 、认证中心( c e r t i f i c a t e a u t h o r i t y ，c a ) 、证书库 ( c e r t i f i c a t er e p o s i t o r y ，c r ) 和证书信任方( r e l y i n g p a r t y ) 。其中，认证中心、 注册机构和证书库三部分是p k i 的核心，证书申请者和证书信任方则是利用p k i 进行圆上交易的参与者。在具体应用中，各部分的功能是有弹性的，有些功能并 不在所有的应用中出现。 c a ( c e r t i f i c a t ea u t h o r i t y ) ，即是数字证书认证最为核心的部分。它来负责 用户数字证书的发放，认证，以及第三方监督的作用，还有很重要的一方面是所 用用户证书的存储，当用户证书丢失或其他一些意外情况产生，c a 要能够提供 必要的服务。同时这些数据是要严格保密的，不仅是不能丢失，不能被外界窃取， 丽且对于c a 内部的人员角色也必须是绝密的，只育满足严格的条件才能调出证 书的信息。 1 3 密钥管理系统重要性 在c a 系统中，私钥的安全性是最为重要的。用户会提出这个要求，如何保 证他们的私钥安全。同时密钥安全性对于整个国家的数字社会的安全就意义更为 重大。一旦有用户信息泄露，受影响的不仅仅是这个用户，整个国家数字网络的 信用就会受到整体的影响必须重视。正是鉴于此重要1 眭，国家政策性规定必须 要建立密钥管理中心，简称k m 中心，独立于c a 由国密委监督管理，负责在电 子商务活动中为用户提供加密密钥和进行国家政策规定的密码技术和产品服务。 密钏管理系统构建及其安全性研究 密钥管理系统的建设是在2 0 0 0 年启动的国家信息安全示范工程( $ 2 1 9 工程) 中提出的。电子商务密钥管理中心( k m ) 作为一项任务指标必须在s 2 1 9 完成， 这样k m 就进入了实际的启动建设阶段。由于k m 在整个数字认证和加密通信中的 重要作用，它的安全性就成为重点中的关键。需要从人员管理、数据安全、通信 安全和密钥安全各个方面综合考虑，本文也会对k m 系统的安全性进行分析，对 密钥安全方面会做重点研究。 番铜管理系统构建搜其安全性研究 第二章数字认证体系构成及原理 数字认证体系是本文的基础体系，所以在这一章中要介绍一下数字认证体系 的各个部分结构功能以及各部分的相关原理。 2 加密算法原理 2 1 ，1 密i b 系统构成 信息的保密性是信息安全的一个重要方面。保密的目的是防止第三方通过监 听，非法截取等手段非法获取信息，而加密是保护重要信息的一个重要手段。所 谓加密，就是用数学方法组织数据，使除了合法的接受者外，其他任何人想要恢 复明文( 即原来的消息) 都是不可能的或非常困难的。通常，我们把将密文恢复 成明文的工程称作解密。加密和解密操作分别是在一组密钥控制下进行的，他们 分别称为加密密钥和解密密钥。 一个通用的密钥密码系统模型如图2 1 所示 图2 1 密码系统模型 令u 为信源的明文空间，l 为密文空间，k 为密码系统的密钥空间，对于给 定的密钥k k ，加密编码& 是一个从u 到l 的一一变换，而解密译码d 。则是e k 的逆变换。个密码系统就是一个总体的( u ，l ，k ，e k ，d 。) 。 密码系统的目的之一是为传送的信息提供保密，它通过对明文的变换使得除 了拥有密钥的授权受信者外，其他任何人都不能从密文获得明文或密钥。密码系 统的安全性有两种标准，一种是理论安全性，另一种是实用安全性。前者是指破 译者在具有无限的时间和计算资源的条件下，密码系统抗破译的能力；后者是指 破译在仅有定的计算资源及其他实际限制的条件下密码系统抗破译的能力。由 于信息技术的迅猛发展，大量的信息需要提供保密，加上计算技术的发展，一个 安全的现代密码系统通常应当满足如下要求： 糸统即便达小刽理论上小可破，也应该是实用上不可破的。 帮钥管理系统构建及茸安全性研究 系统的保密性不依赖于对加密，解密算法以及系统的保密，仅依赖于密钥 的保密性。 加密，解密运算简单快速，易于实现。 密文相对于明文扩张小。 错误传播扩散小。 密钥量适中，分配管理容易。 21 2 对称加密原理 传统的加密方式也称为对称加密，加密和解密过程使用同一个密钥。数据加 密标准( d e s ) 是传统加密方法的一个实例。d e s 是由i b m 公司研究提出的， 1 9 7 7 年被美国国家标准局接收并颁布为用于非国家保密机关的数据加密标准。 d e s 是在l u c i f e r 密码系统的基础上发展而成的，它采用5 6 比特长的密钥将6 4 比特的数据加密成6 4 比特的密文。在d e s 的算法设计中采用了散布，混乱等基 本技术，构成算法的基本单元是简单的置换，代替及模2 和运算，并完全公开了 加密，解密算法，因而是一个最引人注目的分组密码体系，且得到了广泛的应用。 d e s 算法重复的使用了代替和置换两种变换，即混乱和扩散技术，它是通过 弱密码变换的乘积构成的一个强密钥。它的安全性也是值得研究的。一般来说， 若在某个密钥k 下d e s 的加密算法e k 对明文重复加密少量几次就会恢复出明文， 则这种密钥是应该避免的：若存在少量几个特殊形式的密钥，对应d e s 加密算 法的乘积是恒等变换，则这种密钥也是不能使用的，因为它们的加密编码相当于 解密编码。对于随机选取密钥，在2 5 6 个密钥空间中，这种具有弱安全性的密钥 量所占比例是极小的，因此它们是可避免的，尚不能严重的影响d e s 的安全性。 但随着科技的发展，d e s 的密钥及明文长度的规模都应作适当增加，采用其它 增加d e s 使用安全性的措施也是必不可少的。 2 1 3 公开霉钥系统原理 在计算机通信网广泛应用的时代，传统的密码系统就暴露出了一些缺点，我 们主要考虑两点： ( 1 )密钥管理和分配问题。 在一个具有n 个用户的通信系统中，为了采用传统的密钥密码体系，在1 1 个 用户间进行安全的保密通信，首先每个用户必须与其余的用户建立起用于传送密 钥的保密信道和用于加密，解密的密钥，这就需要c ：个密钥和c ：个用于传送密 钥的保密信道。而当一个新的用户要加入通信网络时或一个用户要改变他的密钥 时，同样地，i 1 或n 1 个新的密钥必须通过1 2 或n 1 个保密信道进行传输，分配 离钥管理系统构建及j e 安全性研究 给各个用户。 ( 2 ) 确证问题。 传统的密码系统并不自然的提供证实用户身份的功能，因而不能确证信息来 源的真实性和用户的身份。而在计算机网和通信网等信息处理系统的输入端和输 出端，采用数字身份签名等方法的身份证实和信息的完整性保护都变得必不可少 了。 由于实际通信发展的需要和传统的密码系统所具有的缺点，就促使密码学研 究人员探寻新的加密系统。1 9 7 6 年d i f f i e 和h e l l m a n 发表了“n e wd i r e c t i o n si n c r y p t o g r a p h y ” 4 4 ，奠定了公开密码系统的基础。提出了一个新的思想，即密码 系统的加密密钥和解密密钥是可以不同的，由加密密钥和密文不能容易地求得解 密密钥或明文，从而这种系统的加密算法和加密密钥可以公开，系统保密安全性 完全依赖于解密密钥。 公开密钥系统的每个用户u 选择一对密钥k 、k ，分别称为公钥和私钥，并 构造出他自己的加密算法e k 和解密算法d k ，e k 和d k ，应使得对每个可能的明 文i t i 成立： d k ，( b ( m ) ) = m 每个用户将他的加密密钥和加密算法公开，可以让其他用户查找，而解密密 钥则由用户自己保密管理。如果用户a 要给用户b 传送秘密信息m ，a 首先从 公开密钥本上查到b 到公钥，形成b 的加密算法e b ，用e b 对明文m 加密编码 得密文： c = e 口( m ) 并将c 发送给b 。用户b 接到密文c 后，用自己的密钥和确定的解密算法u e 来恢复明文： m = d 口( c ) = d 8 ( e b ( 棚) ) 这就是一般的公开密钥系统的加密解密过程。 由此可见，公开密钥系统使得任何一个用户都可用某一用户u 公开的加密密 钥k 给该用户u 发送经公开加密算法i 加密的消息，用户不必事先分配和保管 传统密码系统所需的大量密钥；同时，当加密、解密变换可交换时，即 e t d t 。d k , e k ，由于仅有用户u 自己具有唯一的个解密密钥k ，对某一有意 义的消息，经过u 的解密算法“r 变换后的结果，就可以用u 公开的加密算法皿 作变换来恢复出原来的消息，丽用不同于“一的解密算法对原消息作变换后的结 果，经u 的加密算法e t 变换后均不能产生有意义的消息，在此情形下，则该公 开密码体系就给用户u 提供了对消息进行签名和身份证实的功能。 密宅 j 管理系统构建及其安全性研究 214r s a 公开密钥密码系统 r s a 公开密钥密码系统是由r r i v e s t 、a s h a m i r 和l a d l e m a n 于1 9 7 7 年提 出的。r s a 的取名就是来自于这三位发明者的姓的第一个字母。它是第一个成熟 的，迄今为止理论上最成功的公开密钥密码系统。它的安全性基础是数论和计算 机复杂性理论中的下述理论：求两个大素数的乘积是计算上容易的，但要分解两 个大素数的积求出它的素因子则是计算上困难的。 密钥管理中心产生一对公开密钥和秘密密钥的方法如下：在离线方式下，先 产生两个足够大的强质数p 、q 。可得p 与q 的乘积为n = p * q 。再由p 和q 算出另 一个数z = ( p 一1 ) ( q - 1 ) ，然后再选取一个与z 互素的奇数e ，称e 为公开指数； 从这个e 值可以找出另一个值d ，并能满足e * d = lm o d ( z ) 条件。由此而得到的 两组数( n ，e ) 和( n ，d ) 分别被称为公开密钥和秘密密钥，或简称公钥和私钥。 对于明文m ，用公钥( n ，e ) 加密可得到密文c 。 c = m m o d ( n )( 1 ) 对于密文c ，用私钥( n ，d ) 解密可得到明文m 。 m = c o d ( n )( 2 ) ( 2 ) 式的数学证明用到了数论中的欧拉定理，具体过程这里不赘述。 同法，也可定义用私钥( n ，d ) 先进行解密后，然后用公钥( n ，e ) 进行加密( 用 于签名) 。 p 、q 、z 由密钥管理中心负责保密。在密钥对一经产生便自动将其销毁或者 为了以后密钥恢复的需要将其存入离线的安全黑库里面：如密钥对是用户自己离 线产生的，则p 、q 、z 的保密或及时销毁由用户自己负责。在本系统中，这些工 作均由程序自动完成。在密钥对产生好后，公钥则通过签证机关c a 以证书的形 式向用户分发；经加密后的私钥用p i n 卡携带分发至用户本人。 r s a 算法之所以具有安全性，是基于数论中的一个特性事实：即将两个大的 质数合成一个大数很容易，而相反的过程则非常困难。在当今技术条件下，当n 足够大时，为了找到d ，欲从n 中通过质因子分解试图找到与d 对应的p 、q 是 极其困难甚至是不可能的。由此可见，r s a 的安全性是依赖于作为公钥的大数n 的位数长度的。计算机硬件的迅速发展势头是不可阻挡的，这一因素对r s a 的 安全性是很有利的，因为计算能力的增强使我们可以给n 加大几十个比特，但不 致放慢加密解密的计算，但同样水平的硬件计算能力的增强给予因数分解计算的 帮助却不那么大。 r s a 公开密钥体系与对称密钥密码体系相比确实有不可取代的优点，但它的 运算量远大于后者，超过几百倍，几千倍甚至上万倍，复杂得多。在网络上全部 用公开密钥方式来传送机密信息是没有必要的，也是不现实的。在计算机系统中 杆铜管理系统构建1 ；6 乏其安全性研究 使用对称加密时间没有那么长，有速度快的优点，如以d e s 为代表的加密方法。 在传送机密信息的网络用户双方之间，如果使用某个对称加密方式，同时使 用r s a 非对称方式来传送密钥，就可以发挥两者的优点，即d e s 高速简便性和 r s a 密钥管理的方便性。 2 2m d 5 签名算法 2 21 算法介绍 m d 5 的全称是m e s s a g e d i g e s ta l g o r i t h m5 ( 信息一摘要算法) ，在9 0 年代 初由m i tl a b o r a t o r yf o rc o m p u t e rs c i e n c e 和r s ad a t as e c u r i t yi n c 的r o n a l d l r i v e s t 开发出来，经m d 2 、m d 3 和m d 4 发展而来。它的作用是让大容量信息 在用数字签名软件签署私人密钥前被”压缩”成一种保密的格式( 就是把一个任意 长度的字节串变换成一定长的大整数) 。不管是m d 2 、m d 4 还是m d 5 ，它们都需要 获得一个随机长度的信息并产生一个1 2 8 位的信息摘要。虽然这些算法的结构或 多或少有些相似，但m d 2 的设计与m d 4 和m d 5 完全不同，那是因为m d 2 是为8 位机器特别设计优化的而m d 4 和m d 5 却是面向3 2 位的电脑。这三个算法的描 述和c 语- d 源代码在i n t e r n e tr f c l 3 2 l 中有详细的描述。 r iv e s t 在1 9 8 9 年开发出m d 2 算法。在这个算法中，首先对信息进行数据补 位，使信息的字节长度是1 6 的倍数。然后，以一个1 6 位的检验和追加到信息末 尾。并且根据这个新产生的信息计算出散列值。后来，r o g i e r 和c h a u v a u d 发现 如果忽略了检验和将产生m d 2 冲突。m d 2 算法的加密后结果是唯一的，是没有重 复的。 为了加强算法的安全性，r i v e s t 在1 9 9 0 年又开发出m d 4 算法。m d 4 算法同 样需要填补信息以确保信息的字节长度加上4 4 8 后能被5 1 2 整除( 信息字节长度 m o d5 1 2 = 4 4 8 ) 。然后，一个以6 4 位二进制表示的信息的最初长度被添加进来。 信息被处理成为5 1 2 位的迭代结构的区块，而且每个区块要通过三个不同步骤的 处理。d e nb o e r 和b o s s e l a e r s 以及其他人很快的发现了攻击m d 4 版本中第一步 和第三步的漏洞。d o b b e r t i n 向大家演示了如何利用一部普通的个人电脑在几分 钟内找到m d 4 完整版本中的冲突( 这个冲突实际上是一种漏洞，它将导致对不同 的内容进行加密却可能得到相同的加密后结果) 。毫无疑问，m d 4 就此被淘汰掉 了。 尽管m d 4 算法在安全上有个这么大的漏洞。但它对在其后才被开发出来的好 几种信息安全加密算法的出现却有着不可忽视的引导作用。除了m d 5 以外，其中 比较有名的逊有s h a 一1 、r i p e - n d 以及h a v a l 等。 带钢管理系统构建及儿安争性研究 一年以后，即1 9 9 1 年，r i v e s t 开发出技术上更为趋近成熟的m d 5 算法。它 在m d 4 的基础上增加了”安全一带子“( s a f e t y b e l t s ) 的概念。虽然m d 5 比m d 4 稍微慢一些，但却更为安全。这个算法很明显的由四个和m d 4 设计有少许不同的 步骤组成。在m d 5 算法中，信息一摘要的大小和填充的必要条件与m d 4 完全相同。 d e nb o e r 和b o s s e l a e r s 曾发现m d 5 算法中的假冲突( p s e u d o c o l l i s i o n s ) ，但 除此之外就没有其他被发现的加密后结果了。 v a no o r s c h o t 和w i e n e r 曾经考虑过一个在散列中搜寻冲突的函数 ( b r u t e - f o r c eh a s hf u n c t i o n ) ，而且他们猜测一个被设计专门用来搜索m d 5 冲突的机器可以平均每2 4 天就找到一个冲突。但单从i 9 9 1 年到2 0 0 1 年这1 0 年问，竟没有出现替代m d 5 算法的m d 6 或被叫做其他什么名字的新算法这一点， 我们就可以看出这个瑕疵并没有太多的影响m d 5 的安全性。上面所有这些都不足 以成为m d 5 的在实际应用中的问题。并且，由于m d 5 算法的使用不需要支付任何 版权费用的，所以在一般的情况下( 非绝罾应崩领域。但即便是应用在绝密领域 内，m d 5 也不失为一种非常优秀的中间技术) ，m d 5 怎么都应该算得上是非常安全 的了。 222 算法的应用 m d 5 的典型应用是对一段信息( m e s s a g e ) 产生信息摘要( m e s s a g e d i g e s t ) ， 以防止被篡改。比如，在u n i x 下有很多软件在下载的时候都有一个文件名相同， 文件扩展名为m d 5 的文件，在这个文件中通常只有一行文本，大致结构如： m d 5 ( t a n a j i y a t a r g z ) = 0 c a l 7 5 b 9 c o f 7 2 6 a 8 3 l d 8 9 5 e 2 6 9 3 3 2 4 6 l 这就是t a n a j i y a t a r g z 文件的数字签名。m d 5 将整个文件当作一个大文本 信息，通过其不可逆的字符串变换算法，产生了这个唯一的m d 5 信息摘要。如果 在以后传播这个文件的过程中，无论文件的内容发生了任何形式的改变( 包括人 为修改或者下载过程中线路不稳定引起的传输错误等) ，只要你对这个文件重新 计算m d 5 时就会发现信息摘要不相同，由此可以确定你得到的只是一个不正确的 文件。如果再有一个第三方的认证机构，用m d 5 还可以防止文件作者的”抵赖”， 这就是所谓的数字签名应用。 m d 5 还广泛用于加密和解密技术上。比如在u n i x 系统中用户的密码就是以 m d 5 ( 或其它类似的算法) 经加密后存储在文件系统中。当用户登录的时候，系 统把用户输入的密码计算成m d 5 值，然后再去和保存在文件系统中的m d 5 值进行 比较，进而确定输入的密码是否正确。通过这样的步骤，系统在并不知道用户密 码的明文的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密 督铡管理系统构建及其安全性研究 码被具有系统管理员权限的用户知道，而且还在一定程度上增加了密码被破解的 难度。 正是因为这个原因，现在被黑客使用最多的一种破译密码的方法就是一种被 称为”跑字典”的方法。有两种方法得到字典，一种是日常搜集的用做密码的字符 串表，另一种是用排列组合方法生成的，先用l d 5 程序计算出这些字典项的m d 5 值，然后再用目标的m d 5 值在这个字典中检索。我们假设密码的最大长度为8 位字节( 8b y t e s ) ，同时密码只能是字母和数字，共2 6 + 2 6 + 1 0 = 6 2 个字符，排列 组合出的字典的项数则是p ( 6 2 ，1 ) + p ( 6 2 ，2 ) + + p ( 6 2 ，8 ) ，那也已经是一个很 天文的数字了，存储这个字典就需要t b 级的磁盘阵列，而且这种方法还有一个 前提，就是能获得目标账户的密码m d 5 值的情况下才可以。这种加密技术被广泛 的应用于u n i x 系统中，这也是为什么u n i x 系统比一般操作系统更加安全的一个 重要原因。 2 2 3 算法描述 对m d 5 算法简要的叙述可以为：m d 5 以5 1 2 位分组来处理输入的信息，且每 一分组又被划分为1 6 个3 2 位子分组，经过了一系列的处理后，算法的输出由四 个3 2 位分组组成，将这四个3 2 位分组级联后将生成个1 2 8 位散列值。 在t 5 算法中，首先需要对信息进行填充，使其字节长度对5 1 2 求余的结果 等于4 4 8 。因此，信息的字节长度( b i t sl e n g t h ) 将被扩展至n * 5 1 2 + 4 4 8 ，即 n 6 4 + 5 6 个字节( b y t e s ) ，n 为一个正整数。填充的方法如下，在信息的后面填 充一个i 和无数个0 ，直到满足上面的条件时才停止用o 对信息的填充。然后， 在在这个结果后面附加一个以6 4 位二进制表示的填充前信息长度。经过这两步 的处理，现在的信息字节长度= 胁5 1 2 + 4 4 8 + 6 4 = ( n + i ) 5 1 2 ，即长度恰好是5 1 2 的 整数倍。这样做的原因是为满足后面处理中对信息长度的要求。 m d 5 中有四个3 2 位被称作链接变量( c h a i n i n gv a r i a b l e ) 的整数参数，他 们分别为：a = o x 0 1 2 3 4 5 6 7 ，b = o x 8 9 a b c d e f ，c = o x f e d c b a 9 8 ，d = o x 7 6 5 4 3 2 1 0 。 当设置好这四个链接变量后，就开始进入算法的四轮循环运算。循环的次数 是信息中5 1 2 位信息分组的数目。 将上面四个链接变量复制到另外四个变量中：a 到8 ，b 到b ，c 到c ，d 到d 。 主循环有四轮( m d 4 只有三轮) ，每轮循环都很相似。第一轮进行1 6 次操作。 每次操作对a 、b 、c 和d 中的其中三个作一次非线性函数运算，然后将所得结果 加上第四个变量，文本的一个子分组和一个常数。再将所得结果向右环移一个不 定的数，并加上a 、b 、c 或d 中之一。最后用该结果取代a 、b 、c 或d 中之一。 以下是每次操作中用到的四个非线性函数( 每轮一个) 。 0 童塑笪型墨竺塑些些墨兰兰堡竺塑 一 f ( x ，y ，z ) = ( x y ) ( ( x ) z ) g ( x ，y ，z ) = ( x & z ) f ( y ( z ) ) h ( x ，y ，z ) = x y “z 工( x ，y ，z ) = y ( x ( z ) ) 这四个函数的说明：如果x 、y 和z 的对应位是独立和均匀的，那么结果的 每一位也应是独立和均匀的。f 是一个逐位运算的函数。即，如果x ，那么y ， 否则z 。函数h 是逐位奇偶操作符。 2 3 数字证书原理 23 1 数字证书应用 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似 于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来 识别对方的身份。数字证书的格式一般采用x 5 0 9 国际标准。数字证书，通过运 用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保 证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发 送方能够通过数字证书来确认接收方的身份：发送方对于自己的信息不能抵赖。 数字证书可以用在其它一些方面，数字证书可以被用于一系列电子事务，包括电 子邮件、电子商务、电子银行。例如，当一位顾客在一个运行了n e t s c a p e s e r v e r 的电子商店中购物时，就要验证商场操作员的数字证书，如果没有验证 操作员证书的话，顾客不应该向商场提供诸如信用卡号这样的敏感信息。数字证 书为顾客向商场提供敏感信息建立了安全的通道。 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个 用户自己设定一把特定的仅为本人所知的私有密钥( 私钥) ，用它进行解密和签 名；同时设定把公共密钥( 公钥) 并由本人公开，为一组用户所共享，用于加 密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密， 而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通 过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。 在公开密钥密码体制中，常用的一种是r s a 体制。公开密钥技术解决了密钥 发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用 人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用 自己的私有密钥进行解密。用户也可以采用自己的私钥对信息加以处理，由于密 钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。 密营f 管理系统构建披e 蜜全性研究 2 3 2 数字证书加密及签名原理 采用数字加密，能够保证： ( 1 ) 传送的信息只有接收方才能正确地解开( 用接收方的私钥) ； ( 2 ) 对于网络上的其他用户，即使窃取到传送的信息，以无法正确解开 加密的信息。 数字加密的具体做法： ( 1 )发送者用对称密钥对明文信息进行对称加密； r2 ) 用接收者的公钥对对称密钥进行加密； ( 3 ) 把两部分合起来打包发送给接收方。 用图例表示如下： 图2 2 数字加密方式 采用数字签名，能够确认以下两点： ( 1 ) 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认； ( 2 ) 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文 件。 数字签名具体做法是： ( 1 ) 将报文按双方约定的h a s h 算法计算得到一个固定位数的报文摘要。在 数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的 值不相符。这样就保证了报文的不可更改性； ( 2 ) 将该报文摘要值用发送方的私人密钥加密，然后连同原报文一起发送给 接收者，而产生的报文即称数字签名； ( 3 ) 接收方收到数字签名后，用同样的h a s h 算法对报文计算摘要值，然后 与用发送者的公开密钥进行解密解开的报文摘要值相比较，如相等则说明报文确 实来自所称的发送者。 用图例表示如下： 密钥管埋系统构建及其安全性研究 图2 3 数字签名方式 以上分别介绍了加密和签名，一个完整的数字证书就是把两者都应用起来， 先对明文做签名，然后把明文和签名合起来，在一起进行加密，这样明文和签名 和密文合在一起就构成了数字信封。如图所示： 2 4p k i 体系与c a 机构 图2 4 数字信封构造方式 2 4 1p k l 体系介绍 为解决i n t e r n e t 的安全问题，世界各国对其进行了多年的研究，初步形成 了一套完整的i n t e r n e t 安全解决方案，即目前被广泛采用的p k i 体系结构，p k i 体系结构采用证书管理公钥，通过第三方的可信机构c a ，把用户的公钥和用户 的其他标识信息( 如名称、e m a i l 、身份证号等) 捆绑在一起，在i n t e r n e t 网 上验证用户的身份，p k i 体系结构把公钥密码和对称密码结合起来，在i n t e r n e t 网上实现密钥的自动管理，保证网上数据的机密性、完整性。 从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做p k i 系统， p k i 的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络 运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而 保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中， 不能被非授权者偷看，数据的完整性是指数据在传输过程中不能被非法篡改，数 据的有效性是指数据不能被否认。一个有效的p k i 系统必须是安全的和透明的， 用户在获得加密和数字签名服务时，不需要详细地了解p k i 是怎样管理证书和密 钥的，一个典型、完整、有效的p k i 应用系统至少应具有以下部分： 公钥密码证书管理： 黑名单的发布和管理； 罾钥的备份和恢复： 自动更新密钥： 自动管理历史密钥： 支持交叉认证。 由于p k i 体系结构是目前比较成熟、完善的i n t e r n e t 网络安全解决方案， 国外的一些大的网络安全公司纷纷推出一系列的基于p k i 的网络安全产品，如美 国的v e r i s f g n ，i b 扎e n t r u s t 等安全产品供应商为用户提供了一系列的客户端和 服务器端的安全产品，为电子商务的发展提供了安全保证。为电子商务、政府办 公网、e d i 等提供了完整的网络安全解决方案。这些产品都是基于一种公认的p k i 应用体系架构 ( 1 )认证 认证服务即身份识别与鉴别，就是确认实体即为自己所声明的实体，鉴别身 份的真伪。我们以甲乙双方的认证为例：甲首先要验证乙的证书的真伪，当乙在 网上将证书传送给甲时，甲首先要用c a 的公钥解开证书上c a 的数字签名，如果 签名通过验证，则证明乙持有的证书是真的；接着甲还要验证乙身份的真伪，乙 可以将自己的口令用自己的私钥进行数字签名传送给甲，甲已经从乙的证书中或 从证书库中查得了乙的公钥，甲就可以用乙的公钥来验证乙的数字签名。如果该 签名通过验证，乙在网上的身份就确凿无疑。 ( 2 ) 数据完整性服务 数据完整性服务就是确认数据没有被修改。实现数据完整性服务的主要方法 是数字签名，它既可以提供实体认证，又可以保障被签名数据的完整性，这是由 密码嗡希算法寿签名算法提供的保证。哈希算法的特点是