（信号与信息处理专业论文）基于eapttls的mschapv2双向鉴权机制的研究.pdf

摘要 摘要 随着无线通信业务的发展，对安全性的要求是越来越高，目前正在轰轰烈 烈投入中的3 g 系统在安全方面相对于前一代通信系统有了相当的改善，针对第 二代移动通信系统安全方面的缺陷在第三代通信系统中着重做了改善。 在本文中是针对在g s m 通信系统中的单向认证的缺陷不能防止伪造基站对 用户的攻击而提出了双向鉴权的概念，实现了客户端和服务器之间的相互认证。 文章首先对通信系统及在各个阶段的安全性做了简单的介绍，对三代通信系统 的安全性做了比较。消息的传送对数据进行加密用来保证数据的安全性以及完 整性，故文章对现在密码学进行了简单的介绍，通过对d e s 和a e s 的性能比较， 从而选择了现代高级加密算法( a e s ) 。a e s 加密的实现包括四个基本的操作步 骤，在文章中有详细的介绍。接下来对双向鉴权方法m s c h a p v 2 进行分析实现， 还包括测试环境的搭建以及相应的测试的实现。最后对无线通信安全的发展做 了个简单的介绍。 在无线通信飞速发展的今天，人们在享受移动通信带来的方便的同时对通 信安全的要求也是越来越高，因此在无线接入，传输过程中都要对网络的安全 性做重点的考虑。 关键字：双向鉴权e a p t t l sa e sm s c h a p v 2 a b s t r a c t a b s t r a c t w i t ht h ea d v a n c e so fw i r e l e s sc o m m u n i c a t i o n ，m o r eh i g hd e m a n d i n ga r er e q u i r e d f o ri t ss e c u r i t y a tp r e s e n t ，t h eb e i n gi n v e s t e d3 r dg e n e r a t i o n ( 3 g ) s y s t e mi sb o o m i n g ， i t ss e c u r i t yh a sb e e ni m p r o v e dc o m p a r e dw i t hi t sa n c e s t o ra n dt h es e c u r i t yd e f e c t so f t h e2 n dg e n e r a t i o n ( 2 g ) m o b i l ec o m m u n i c a t i o nh a v eb e e na m e n d e d w ec a n n o ta v o i dt h ef o r g eb a s es t a t i o na t t a c ku s e r si no n e - w a y a u t h e n t i c a t i o ni n t h eg s mc o m m u n i c a t i o ns y s t e m b e c a u s eo ft h i s ，w ep r o p o s et h ec o n c e p to fm u t u a l a u t h e n t i c a t i o na n dm a k et h ec l i e n t s e r v e rm u t u a la u t h e n t i c a t i o nc o m et r u e i nt h i s a r t i c l e w ei n t r o d u c et h ec o m m u n i c a t i o ns y s t e ma n dt h es e c u r i t yi nt h r e eg e n e r a t i o n s ， a n dt h e nw ec o m p a r et h e m t h ed a t ae n c r y p t i o no fm e s s a g et r a n s f e rc o u l dg u a r a n t e e t h es e c u r i t ya n dt h ei n t e g r a t i o no fd a t a ，s ow ec o m p a r et h ed e sa n dt h ea e s w ea l s o i n t r o d u c et h ec u r r e n tc r y p t o g r a p h yh e r e t h ee n c r y p t i o no f a e sc o n t a i n sf o u rb a s i c s t e p s a n dw ew i l ld i s c u s st h e mi nt h i sc o n t e x t a f t e rt h a t ，w eu s em s c h a p v 2 ，o n e o fm u t u a la u t h e n t i c a t i o n ，t oa n a l y z ei m p l e m e n t a t i o n ，c o n s t r u c t i o no fs i m u l a t i o nt e s t e n v i r o n m e n ta n dr e l a t i v et e s t s f i n a l l y , w eb r i e f l yi n t r o d u c et h ed e v e l o p m e n to f t h e s e c u r i t yi nw i r e l e s sc o m m u n i c a t i o n t o d a y , t h o u g hm o b i l ep h o n e h a sb e e ng r e a t l yr e d u c e di no u rs c h e m e ，w ed e m a n d f o rm o r es e c u r i t yi nw i r e l e s sc o m m u n i c a t i o n b e c a u s eo ft h i s ，t h es e c u r i t yo ft h e n e t w o r ki nw i r e l e s sa c c e s sa n dt r a n s f e r r i n gm u s tp u ti nt h ef i r s tp l a c e k e yw o r d s ：m u t u a la u t h e n t i c a t i o ne a p - t t l sa e s m s c h a p v 2 i i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的e i j 届i j 本和电子版 本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名： 年月日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： ；南杉 解密时间：年月日 各密级的最长保密年限及书写格式规定如下： 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 学位论文作者签名：岳疡殇 c ) 7 年6 月，8 日 第一章引言 第一章引言 第一节移动通信的发展及其消息安全性 1 1 1 移动通信的发展 移动通信技术至今已有2 0 多年的历史，从2 0 世纪8 0 年代的以模拟方式为 代表的第一代移动通信系统和9 0 年代以数字方式为代表的第二代数字通信系 统，到目前正在兴起的以无线宽带为代表的第三代移动通信，通信发展跨越了 多个时代。 第一代移动通信系统的典型代表是美国的a m p s 系统和后来改进型系统 t a c s ，以及n m t 和n t t 等。a m p s ( 先进移动电话系统) 使用模拟传输的 8 0 0 m h z 频带，在美洲和部分环太平洋国家广泛的使用；t a c s ( 全向入网通信 系统) 是2 0 世纪8 0 年代欧洲的模拟移动通信的制式，中国在8 0 年代也是采用 这种通信制式，使用9 0 0 m h z 频带。第一代移动通信系统为模拟制式，以f d m a 技术为基础，主要提供话音通信业务。 第二代移动通信系统( 2 g ) 是以传送话音和少量数据为主的数字通信系统， 典型的系统有g s m ( 采用t d m a 方式) ，i s 9 5 c d m a 、d a m p s 和日本的j d c ( 现改名为p d c ) 等数字移动通信系统。2 g 除提供语音通信业务以外，也可以 提供低速数据服务和短消息服务。 第三代移动通信系统( 3 g ) ，国际电联也称i m t - 2 0 0 0 ，欧洲的电信巨头们 则称u m t s ( 通用移动通信系统) 。由于采用了更新的空中接口技术，使得3 g 系统可以提供更高速率的数据通信，从而使多媒体通信在大范围的无线系统中 实现业务应用成为可能。3 g 将话音通信和多媒体通信相结合，可能提供的增值 业务将包括图像、音乐、网页浏览、视频会议以及其他一些信息服务，3 g 意味 着全球适用的标准、新型的业务、更大的覆盖面以及更多的频谱资源，以支持 更多的用户。 第一章引言 1 1 23 g 通信网络系统的发展方向 2 g 主要是解决人们随时随地的话音通信要求，3 g 能够具有支持不同媒体业 务的能力，如何开发这些能力是3 g 的业务开发的一个重要的课题。为了提供市 场前期牵引的能力，3 g 规范注重了业务能力的开发。 3 g 预期提供的业务是丰富的，可以通过多种类型的终端，使用户享受到普 通宽带话音业务，多媒体业务，可视电话和视频会议等等。移动i n t e r a c t 应用也 更加普遍，e m a i l ，网络浏览、电子商务、电子贺卡等业务将与移动网络相结合； 移动办公类的业务也将有很好的应用前景，股票信息、交通信息、气象信息、 定位业务( l c s ) 、网上教室、网上游戏等移动应用更将极大地丰富人们的生活。 目前中国采用的3 g 有3 种主流的技术，即为：c d m a 2 0 0 0 、w c d m a 、 t d s c d m a ，将来的3 g 也将朝着全口的宽带无线的方向发展。 第二节3 g 系统的安全的威胁 1 2 1 无线部分的安全威胁 在移动通信网络中，移动台( 包括移动用户和移动终端) 与网络端之间不 存在任何固定的物理连接，他们之间的通信是靠无线接口来传输的。由于无线 接口的开放性，攻击者就可以通过无线窃听获取无线接口中传输的消息，甚至 篡改和重传这些消息，达到假冒移动用户以欺骗网络端的目的。 1 无线接口的安全威胁 无线接口的开放性使得移动通信网络中面临着无线窃听、身份假冒、篡改 数据等威胁，这些威胁可能又会导致很多不同类型的攻击。按照攻击的类型不 同，可以分为非授权访问数据类攻击、窃听用户数据、窃听信令数据、无线跟 踪、被动传输流分析、主动传输流分析、非授权访问网络服务类攻击、威胁数 据完整性等等。 2 网络端的安全威胁 在移动通信网络中，移动用户的身份、位置以及身份认证信息是由网络端 的移动交换中心( m s c ) 负责在归属位置寄存器( h l r ) 和拜访位置寄存器( v l r ) 之间转发的，这样一来，一旦这些信息泄露就可能导致移动用户身份被假冒， 2 第一章引言 从而h l r 与v l r 之间就会引起移动用户账单的纠纷。因此，移动通信网络端 同样面临着安全的威胁，如无线窃听、身份假冒、篡改数据业务和服务抵赖等， 这些安全威胁也可能导致很多的不同类型的攻击。 3 非授权访问网络服务类攻击 在非授权访问网络服务类攻击中，攻击者主要是为了获得授权访问网络服 务，并逃避付费。具体的攻击方法包括：假冒合法用户、假冒服务网络、滥用 用户职权、滥用服务网络职权。 1 2 2 有线部分的安全威胁 移动通信网络端的威胁数据完整性攻击，既包括无线接口中那些数据完整 性攻击，又包括源于有线通信网络的威胁数据完整性类攻击，因为m s c 和h l r 、 v l r 之间采用的是有线通信方式。具体的攻击方法包括操纵用户数据流、操纵 信令数据流、假冒通信参与者、操作下载应用、操纵移动终端、操纵网络单元 中的存储数据、服务后抵赖类攻击。 1 2 3 移动端的安全威胁 移动通信网络移动端通常是指移动台( m s ) ，移动台除了移动用户访问移动 通信网络的工具外，它还存储着用户的相关信息，如国际移动设备身份码、国 际移动用户身份号、鉴权密钥等。国际移动身份号和鉴权密钥唯一地对应着一 个合法的用户。 然而在日常生活中，移动电话很容易丢失，也容易被盗窃，由此也就带来 了一些关于移动电话的安全威胁，如一些不法分子利用读卡器从移动电话中读 出移动用户的国际身份号和鉴权密钥，然后就可以“克隆 很多的移动电话， 从事非法移动电话买卖，给丢失移动电话的用户和网络服务提供商造成很大的 经济损失。 除此之外，手机病毒也逐渐接近并渗透进我们的生活，手机病毒可以通过 发送短信、彩信、浏览网站、下载铃声等方式进行传播。手机病毒可能会导致 用户手机死机、关机、电子邮件被删除、向外发送垃圾邮件、拨打电话等，甚 至还会导致用户的个人信息被窃。这不仅会影响手机的正常工作，还会威胁到 用户的隐私。 第一章引言 第三节移动通信中的安全技术的发展 随着信息几乎没有采取任何安全技术，随着信息化社会的发展，信息安全 与保密问题受到越来越多的关注，人们在得到使用移动通信的便利的同时，对 移动通信中的安全也提出了更高的要求。信息的安全性主要有两个方面，即信 息的保密性和认证性，而认证又包括身份认证、信息认证和数字签名。由于移 动通信系统的特殊性，自然对这些密码技术有着特殊的要求。 1 3 1移动通信系统安全技术的发展 随着移动通信技术的迅速发展。在移动通信领域中出现了越来越丰富的业 务种类。这些新型的业务对通信中的信息的安全提出了更高的要求。迄今为止， 移动通信系统中的安全技术也像通信网络的发展一样经历了三个阶段： 第一代模拟蜂窝移动通信系统几乎没有采取任何安全技术，用户的信息是 以明文传送的。移动用户的身份鉴别也非常的简单，移动用户将移动台的电子 序列号( e s n ) 和网络分配的移动台识别码( m i n ) 一起以明文的方式传送至网 络，若二者相符，即可实现用户的接入。因此，攻击者只需截获m m 和e s n 就 可以很容易克隆相应的手机从而进行非法的活动。 2 g 通信系统，在安全方面有了较大的改进，采用了身份认证、密钥分配和 加密等密码技术。用户的信息是以密文的方式传送的，对移动用户的身份认证 采取了询问响应认证协议。尽管如此，它仍然存在许多不足，主要的缺陷有： ( 1 ) 认证机制是单方面的，只考虑了网络对用户的认证，而没有考虑用户对网 络的认证；( 2 ) 加密机制是基于基站的，只对空中接口部分( 即m s 和b t s 之 间) 进行加密，而在网络内的传输链路和网间链路上仍然采取明文传送；( 3 ) 使用的密钥长度有些短，只有6 4 b i t ；( 4 ) g s m 网络没有考虑数据完整性保护问 题。在2 g 通信系统中采用的是单向认证机制，所谓的单向鉴权是指在客户端和 服务器之间进行的是单向的鉴权只有服务器网络端对客户端的鉴权，只要服务 器对用户鉴权成功则整个鉴权成功，客户端和服务器之间可以建立连接。 3 g 系统克服了第二代移动通信系统的不足，并针对3 g 系统的新特征，定 义了更加完善的安全特性与安全服务。3 g 系统提供了双向鉴权机制，双向鉴权 是指在客户端和服务器之间实行相互的认证，不但包括客户端对用户的认证同 时还包括用户对服务器的鉴权，此时只有两端鉴权都成功客户端和服务器之间 4 第一章引言 才能够建立连接。在3 g 系统中不但采用的双向鉴权的机制，而且还改进算法的 同时把密钥长度增加到2 5 6 b i t ，还把3 g p p 接入链路数据加密延伸至无线接入控 制器r n c ，既提供了接入链路信令数据的完整性保护，还向用户提供了可随时 查看自己所用的安全模式鉴权级别的安全可视性操作。 1 - 3 2 3 g 采用的双向鉴权与2 g 单向鉴权的比较与分析 在2 g 的系统中为了保证只有有权的用户可以访问相应的网络则实行对用户 进行鉴权的过程，在传输数据的过程中实行加密的手段但是在该系统中存在着 相应的缺点就是它的鉴权是单向的，只有网络对用户的单向鉴权过程，从而可 能会使伪造的服务器侵犯用户的私人信息从而造成不良的后果。在2 g 的系统中 采用的不是端到端的加密，在某些特定的段上传输的是明文从而给攻击者有机 可乘。随着计算机速度的加快从而密钥短的加密算法将有一定的危险，况且2 g 的系统中采用的是固定的加密算法。 鉴于2 g 中存在的问题，在3 g 中采用相互鉴权的方法，不但网络需要对用 户终端进行鉴权同时用户终端也检验归属网络是否授权服务网络做某些事情， 从而实现了双向鉴权的过程，因而防止伪基站的攻击，在该系统中采用的数据 加密算法不是固定的这需要双方进行协商，同时也延长了加密密钥的长度，从 而使得加密更加的安全可靠。 第四节在该论文中主要解决的问题 1 4 1 文章解决的问题 3 g 牌照已经发放，目前通信的安全性是势在提高的，人们在使用移动通信 带来的方便的同时对通信安全的要求也越来越高。在3 g 系统中不但要为用户提 供最基本的业务，而且还要为用户提供高速的数据业务，多媒体业务，实现 i n t e m e t 网与通信网的融合从而形成移动互联网，在这期间我们应该考虑到无线 网络在带来贡献的同时也增加了信息被攻击的概率，因此我们要考虑到无线接 入网络部分的安全性，不但如此，在核心网部分同样要考虑到安全性的问题， 有线的连接也不是完全可靠的，故而加密和认证也是必要的。在该文章中主要 5 第一章引言 解决的是传输层的安全问题，实现了双向鉴权的机制，采用了高级加密算法 ( a e s ) 来确保各种攻击的不可实现性。在该文章中讨论了3 g 的鉴权中心 ( a a a ) 所支持的基于e a p t t l s 的双向鉴权m s c h a p v 2 ，实验的测试平台是 阿尔卡特公司采用的a t c a 。a t c a 是一个插板的结构，各个板子之间是互相独 立又互相依赖的，他是一个具有开发接口的平台，适应未来网络的发展。a t c a 作为服务器，在该测试中我们是验证一个鉴权方法的实现，主要的目的就是在 模拟一个客户端向我们的服务器发送相应的认证请求消息，观察服务器的响应 是否按着预期的一次进行。 1 4 2 课题的来源 随着网络技术的不断发展，无线网络也在向着多样化、宽带化、智能化和 安全化的方向发展。其中，安全问题成了无线通信网络能否大规模商业化的关 键点。无线技术在安全问题上或多或少都存在一些缺陷或漏洞，这使得研究未 来无线通信中的安全机制显得特别重要。 目前，利用安全漏洞犯罪的案件有很多。普华永道公司受英国贸易与工业 部委托进行的一项调查显示，英国去年由于安全问题导致的损失达到了1 8 0 亿 美元，比两年前增加了约5 0 。越来越多的数据显示，无线安全问题造成的损 失一直在增长。越来越多的企业、用户已经意识到了无线安全问题的严重性。 由于无线信道是开放的，所以不能依靠信道的安全来保护信息，必须假设 入侵者可以获得信道中传输的内容，所以要通过加密技术对信息进行保护。由 于无线信道的开放性，每个合法用户与服务网络之间没有固定的线路连接同时 还支持全球的漫游，所以身份认证是一项非常重要的工作。 目前3 g 系统的安全问题成为人们关注的焦点。语音通话业务已经不在是3 g 系统的主要业务，数据业务，多媒体业务，以及定位业务( l c s ) 则倍受青睐， 手机上网，手机电视，手机娱乐，以及手机会议等应运而生。在3 g 之前虽然已 经实现了g p r s 业务实现手机低速上网，但是这远远不能满足用户的需求，因 此，在3 g 通信系统中实现高速数据业务，同时t d s c d m a 还支持不对称业务。 未来的网络将是开放的、高速的网络，实现电信网，电视网，以及i n t e m e t 网络 的三网融合已是必然。移动通信的关键就是移动，在3 g 的通信系统中实现了很 6 第一章引言 多的固定i n t e m e t 的功能，移动通信不再局限于固定的范围内，实现了在任何时 间，任何地点，任何人实现通信。 移动通信实现的关键技术就是基站实现了无缝的无线覆盖，无线技术的引 进固然带来了机遇同时也给移动通信系统的安全带来了挑战。在文章中针对无 线通信的安全问题采用了鉴权的的解决办法，就是进行身份的认证。在2 g 系统 中采用的是单向鉴权机制，容易遭受身份认证攻击、s i m 卡克隆、a 5 算法破译、 信令网络攻击等一系列的网络攻击。在3 g 中为了解决相似问题的发生实行双向 鉴权的机制，避免了伪基站或者是冒充合法的网络对用户的隐私信息进行窃取， 攻击用户。为了实现所谓的双向鉴权以及在消息中实现更加安全的信息传递， 开始了新的鉴权方式的研究。 该课题是来自阿尔卡特公司为v e r i z i o n 运营商而设计的，在a a a 鉴权中心 中实现双向鉴权的m s c h a p v 2 方法，该方法是基于e a p t t l s 的。实现了传 输层的进一步安全性。e a p t t l s ( 基于隧道的传输层安全协议) ，e a p t t l s 协议包括两个阶段，握手阶段和隧道阶段。e a p t t l s 通过t l s 握手后确立的 客户端和服务器之间的安全通道来交换附加的握手消息。这个基于通道的认证 可以是双向的，也可以是单向的。这种认证方式可以是e a p ，也可以是诸如p a p 、 c h a p 、m s c h a p 和m s c h a p v 2 等其它认证协议。m s c h a p v 2 是在e a p t t l s 隧道阶段支持的一种双向鉴权方法。 第五节本论文的结构 本文分为六个章节，第一章为引言，主要介绍了通信系统的发展以及通信 系统安全的发展；第二章为现代密码学原理，主要介绍了现代密码学原理，几 种安全技术的介绍，引入了a e s 。第三章2 5 6 位安全加密方案，本章节主要介 绍了a e s 的基本步骤，以及实现过程。第四章双向鉴权方案，本章节介绍了双 向鉴权的基本概念以及双向鉴权的实现过程。第五章m s c h a p v 2 安全性分析， 在本章节中介绍了m s c h a p v 2 与m s c h a p v l 以及p p t p 进行了比较，从而可 以得出m s c h a p v 2 的安全性能。第六章总结与展望，在本章节中介绍了在论文 期间所做的工作及其未来通信系统的安全性方向的发展。 7 第二章现代密码学原理 第二章现代密码学原理 第一节加密技术概述 信息安全涉及到信息的保密性( c o n f i d e n t i a l i t y ) ，完整性( i n t e g r i t y ) ，可用 性( a v a i l a b i l i t y ) ，可控性( c o n t r o l l a b i l i t y ) 。综合起来说，就是要保障电子信息 的有效性。真实性是指对信息的来源进行判断，能对伪造来源的信息予以鉴别； 保密性就是对抗攻击者的被动攻击，保证信息不泄漏给未经授权的人；完整性 就是对抗攻击者主动攻击，防止信息被未经授权的篡改；可用性就是保证信息 及信息系统确实为授权使用者所用；可控性就是对信息及信息系统实施安全监 控。 信息的保密性是信息安全性的一个重要方面，保密的目的是防止攻击者破 译信息系统中的机密信息。加密是实现信息保密性的一种重要手段，就是使用 数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原 先的“消息 ( 将原先的消息称作明文) 或读懂变化后的“消息”( 将变化后的 消息称作“密文 ) 是非常困难的。将密文变换成明文的过程称作解密，所谓加 密算法就是对明文进行加密时所采用的一组规则，解密算法就是对密文进行解 密时所采用的一组规则。加密算法和解密算法的操作通常都是在一组密钥控制 下进行的，分别称为加密密钥和解密密钥，根据加密密钥和解密密钥是否相同， 可将现有的加密体制分为两种，一种是对称加密体制，这种体制的加密密钥和 解密密钥相同，其典型代表是美国的高级加密标准( a e s ) 和数据加密标准( d e s ) 。 另一种是非对称加密体制，这种体制的加密密钥和解密密钥不相同并且从其中 一个很难推出另一个，加密密钥可以公开，而解密密钥由用户自己秘密保存， 其典型代表是r s a 算法和e c c 算法。 2 1 1 对称密码算法 对称密码算法有时又为传统密码算法，就是加密密钥能够从解密密钥中推 算出来，反过来也成立。在大多数对称算法中，加密解密密钥是相同的，这些 算法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前 8 第二章现代密码学原理 商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能 对消息进行加密解密，只要通信需要保密，密钥就必须保密。对称算法可分为 两类：一类算法是一次只对明文中的单个位有时对字节运算的算法称为序列算 法或序列密码；另一类算法是对明文的一组位进行运算，这些位组称为分组， 相应的算法称为分组算法或分组密码。 对称加密方案的5 个基本成分 1 ) 明文：原始信息。 2 ) 加密算法：以密钥为参数，对明文进行多种置换和转换的规则和步骤， 变换结果为密文。 3 ) 密钥：加密与解密算法的参数，直接影响对明文进行变换的结果。 4 ) 密文：对明文进行变换的结果。 5 ) 解密：算法加密算法逆变换，密文为输入密钥为参数，变换结果为明文。 2 1 2 非对称加密算法 非对称加密( a s y m m e t r i ck e yc r y p t o g r a p h y ) 采用两个密钥，其中一个称为 公钥，另一个称为私钥，即加密和解密使用的密钥互不相同 1 5 1 。每个通信方进 行保密通信时，通常将公钥( p u b l i ck e y ) 公布，而保留私钥( p r i v a t ek e y ) ，所 以非对称加密技术又被称为公开密钥技术，简称公钥技术。 公开密钥技术的理论基础是数论，基本上是建立在大素数的基础上。每一 个密钥对( 公钥、私钥) 都依赖于一个大素数。所以首先讨论的一个概念是素 数的个数问题，即是否有足够的素数保证各个待申请的机构、个人使用。一个 已经证明的命题是：对长度为n 的数，一个随机数是素数的概率接近l n ”分之一， 即小于n 的素数的总数为( n 1 i l ”) 。故在长度小于等于5 1 2 位的二进制数中， 素数的个数超过1 0 5 1 。因此这样一个天文级数字即保证了素数的够用，又确保 任选两个大素数刚好相等的概率接近于o 。在公开密钥技术中起基石作用的是费 马小定理、欧拉定理和扩展欧几里德算法【l 丌。 由费马小定理可以推出欧拉定理，而扩展欧几里德算法可用来做求模的逆 元问题。在上述定理和算法的基础上，再加上大数因式分解在计算上的困难性， 就可以构架出具体算法的设计实现。 9 第二章现代密码学原理 第二节对称加密与非对称加密对比 对称加密的优点是：运算简单、易于实现、占用资源少且加密速度快。 其缺点是：进行安全通信前要以安全方式进行密钥交换。这在互联网环境 下非常困难，密钥规模非常大，若有n 个用户要求两两进行相互通信，那么对 每个用户需要维护n 1 个密钥，总共需要烈1 ) n 2 个密钥，密钥管理困难。 非对称加密的优点是：适应网络的开放性要求，通信双方事先不需要通过 保密信道交换密钥，密钥持有量大大减少，若有n 个用户两两相互通信只需要 拥有n 对密钥( 每个用户一对密钥) ，密钥管理问题也比较简单；非对称加密还 提供了对称密码无法或很难提供的服务，如与散列函数联合运行可生成数字签 名。 其缺点有：大量的浮点运算致使计算量大，加密、解密速度慢，需占用较 多资源，这一点对于进行大量安全信息交换尤为突出。 鉴于对称加密与非对称加密各自有着鲜明而又对立的优、缺点，因此在实 际应用中，并不直接使用非对称加密算法或对称加密算法，而是采用一种对两 种加密算法的综合应用，即所谓的数字信封技术【l8 1 。 假设有两个用户a 和b ，他们采用数字信封技术相互发送保密消息。用户a 和b 之间可使用如下步骤： a 生成一个随机的对称密钥，即会话密钥； a 用会话密钥加密明文； a 用b 的公钥加密会话密钥； a 将密文及加密后的会话密钥传递给b ； b 使用自己的私钥解密会话密钥； b 使用会话密钥解密密文，得到明文。 使用这种方式，用户可以在每次发送保密信息时都使用不同的对称密钥， 从而增加密码破译的难度。 l o 第二章现代密码学原理 第三节分组密码概述 分组密码是一个密钥控制下的变换，该变换将一个固定长度为玩的明文计 算成为相同长度的密文分组。所以，分组密码是一组作用在玩比特向量上的布 尔置换的集合。对于密钥k 的每个取值，该集合均包含相应的布尔置换。 分组密码的数学定义可以为：分组密码是一种满足下列条件的映射 e ：c 2 咒寸2 ，对每个k 瓯，e ( g k ) 是从2 到e ”的一个置换。 通常e ( g k ) 是密钥为k 时的加密函数，称e ( g k ) 的逆为密钥为k 时的解密 函数，记为o ( g k ) 。分组密码的真正的密钥规模被定义为，= 1 0 9 ：懈i6 缸。因而， 密钥长度等于真正的密钥规模，当且仅当& = 爿。比如说d e s 的真正密钥规模 ，= 5 6 b i t ，且，也就是密钥长度。 为了使一个分组密码起到应有的作用，必须满足两个要求【1 1 】： 效率：给定密码密钥的值，相应的布尔置换及其逆置换可以有效的实现； 安全：在现有的密码攻击下，不可能轻易获取密码的内部结构信息； 所有重要的分组密码均可以通过较为简单的布尔置换的迭代作用而达到上 述要求。 在迭代型分组密码中，布尔置换是迭代的。这种分组密码可以定义许多与 密钥相关的布尔置换的作用。这样的布尔置换称为分组密码的轮变换。每使用 一次轮变换称为一轮。比如d e s 有1 6 轮。由于每轮均使用相同的轮变换，因此 d e s 仅有一个轮变换【1 3 】。 用r 表示分组密码的轮数，如式2 1 所示： 召 尼 = p ( 1 尼( 。p ( 2 后( 2 。p ( 1 尼( 1 】( 2 1 ) 式中p 【f ) 称为分组密码的第i 轮，后【) 称为第砖仑密钥。 每轮的轮密钥由算法的种子密钥计算得到。这个过程一般由一个密钥扩展 算法来实现。描述如何由密码密钥导出轮密钥的算法称为密钥编排方案。所有 轮密钥的级联称为扩展密钥，表示为k ， k = 后( o ) i 后( 1 ) i 尼( 2 ) i i 尼( ，) 扩展密钥的长度用n 。表示。图2 1 给出了迭代型分组密码的模型： 第二章现代密码学原理 - 捌叫 一 叫 i llj 酬，一 图2 1 迭代分组密码的模型 r i j n d a c l 属于密钥交替的分组密码，其轮密钥的使用方法非常简单，即轮密 钥交替使用。一个密钥交替的分组密码具有交替性和简单的密钥加法的特点。 交替性：该密码定义为独立于密钥的轮变换与密钥加法的交替使用。在第 一轮之前，对首轮密钥进行相加；在最后一轮之后，对末尾一轮密钥再进行相 加。 简单的密钥加法：轮密钥通过简单的x o r 运算与状态相加。用盯【j | 】表示密 钥加法，由式2 2 所示： 科纠= 十一矽吐叫 o 。出d 矽吐露0 ) ( 2 2 ) 图2 2 为更加直观的图形化解释 图2 2 两轮密钥加法 1 2 第二章现代密码学原理 密钥交替的分组密码是一类能够对抗密码攻击的能力进行分析的分组密 码。密钥迭代分组密码是一类特殊的密钥交替分组密码，在该密码中的所有轮 ( 第一轮或最后一轮可能除外) 均使用相同的轮变换： 曰【七】= 盯 七p p p 盯 后p 。1 0 * - * 0 盯 尼o p o 盯 尼 此时，p 称为该密码密钥的轮变换，图2 3 给出了各类分组密码之间的关系。 图2 3 各种分组密码之间的关系 第三节分组密码的工作模式 分组密码是一个非常简单的密码基本算法，它可以在给定的密钥作用下把 一个明文密文分组转换成一个密文明文分组。为了使密码能够为大量的消息提 供机密性或完整性，必须详细描述密码的使用方法，这就是所谓的分组密码的 工作模式。 2 3 1 分组加密模式 在分组加密模式中，分组密码要把一个明文密文分组转换成一个密文明文 分组首先必须将待处理的消息分成适合该密码长度的分组，然后通过将分组密 码独立作用于各个分组来实现对该消息的加密，所产生的密文可以通过分组密 码对各个分组的相反作用( e c b ) 模式。 e c b 模式的一个主要的缺点就是如果消息分组中有两个分组的值相同，则 其相应的密文也必然相同。为了解决这个问题人们提出了密码分组链接( c b c ) 第二章现代密码学原理 模式。在这一模式中，消息分组在被加密之前。先将前面的消息分组对应的密 文分组与当前的消息分组进行异或，由此实现了对当前消息的分组的随机化。 在用c b c 模式解密时，先用分组密码解密当前的密文分组，然后与前面的密文 分组进行异或，这样即可得到消息分组。 e b c 模式和c b c 模式有一个共同的缺点就是消息长度必须是分组长度的整 数倍。如果不满足这种情况，则必须填充最后一个分组，即必须添加一些比特 以达到所需要的长度。这种添加似的密文比消息本身要长。这在有些应用中可 能是一个缺陷。对大于一个分组长度的消息而言，可以使用密文窃取技术【l2 j 来 避免填充，而这又增加了对最后的消息分组进行处理的复杂度。 2 3 2 密钥流生成器模式 在所谓的密钥流生成器模式中，密钥被用来产生一个密钥流，该密钥流用 于与消息流进行逐位异或运算从而实现加密，密文在与密钥流在此进行逐位异 或运算即可实现解密。因此为了实现正确的解密，在收发两端只需要产生相同 的密钥流。所以两端可以使用相同的函数产生密钥流，而且并不需要执行分组 密码的逆运算即可解密。反馈模式具有额外的优点，即无需填充消息，这样密 文具有与消息本身相同的长度。 在输出反馈模式( o f b ) 和计数模式中，分组密码作为同步密钥流序列的产 生器来使用。在o f b 模式中，密钥流产生器是一个有限状态机，这些状态有密 码的分组长度以及更新函数的那些状态，包括用一些保密密钥值对一些分组加 密。在计数模式中，密钥流通过对一个可预知的序列提供e c b 加密结果。 在密码反馈模式( c f b ) 中，密钥流是与密钥相关的最后玩比特密文的函数。 这个函数包含了使用分组密码对密钥的一些秘密值进行的加密。在密钥流生成 模式中，c f b 模式的优点是从最后玩比特密文被正确接收的时刻起，解密都是 正确的。换言之，它具有自同步特性。在o f b 和计数模式中，必须通过外部方 式来保证同步。 2 3 3 消息鉴别模式 在很多的应用中，并不要求对消息的机密性进行保护，而要求保护其完整 性。由于加密本身并不提供消息的完整性，因此需要给出一个特定的算法。为 1 4 第二章现代密码学原理 此，通常使用一个密钥来计算消息密码校验和。这种密码校验和称为消息鉴别 码( m a c ) 。一般来说，m a c 将与消息一起发送给接收方，接收方据此来验证 消息在传输过程中是否被篡改。 可以基于分组密码来构造m a c 算法。利用分组密码构造m a c 的最常用的 方式是c b c m a c 。最简单的做法是，首先对消息使用分组密码的c b c 模式， 然后取出最后一块密文分组( 或其中一部分) 作为m a c 。m a c 的产生与验证 过程非常相似。验证过程包括使用密钥重新产生接收消息的m a c ，并将它与所 收到的m a c 进行比较。因此，与用于加密的密钥流生成模式相似，分组密码的 c b c m a c 模式并不需要解密。 2 4 1密码散列 第四节几种安全技术 数字签名系统运用的是散列函数，也称“哈希函数功f l 邑( h a s hf u n c t i o n ) 1 9 】， 它是在公钥密码的基础上建立起来的 4 。7 1 。散列其实是一种数学计算过程。这一 计算过程建立在摘要信息的计算方法之上。在安全的散列函数的情况下，要想 从已知的散列函数结果中推导出原始信息基本是不可能的。因而，散列函数功 能可以使软件在更少且可预见的数据量上运作生成数字签名，却保持与原信息 内容之间的高度相关，并且有效保证信息在经数字签名后并未做任何修改。 i s o 对数字签名是这样定义的：附加在数据单元上的一些数据，或是对数据 单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单 元来源和数据单元的完整性，并保护数据，防止被人( 如接收者) 伪造。因此一个 安全有效的数字签名方案必须满足以下要求： ( 1 ) 有效性：签名必须处于签名者的完全控制之下，即无人能够伪造关于签 名者另一个签名； ( 2 ) 完整性：数字签名使用的函数计算为数据提供了唯一的结果，可以用来 检验数据是否在传输过程中被修改过； ( 3 ) 不可否认性：接收者对己收到的签名消息不能否认； ( 4 ) 可验证性：可以利用公私钥的所有者的关系，用来验证数据来源的可靠 性； 1 5 第二章现代密码学原理 满足上述要求的数字签名能够实现以下功能： ( 1 ) 收方能够证实发方的身份； ( 2 ) 发方在事后不能否认签发的报文； ( 3 ) 收方或非法者不能伪造、篡改报文。 一个签名方案( 或数字签名) 是一个满足下列条件的五元组( p ，a ，k ，s ， v ) 。 ( 1 ) p 是由所有可能的消息组成的有限集合。 ( 2 ) a 是由所有可能的签名组成的有限集合。 ( 3 ) k 是由所有可能的密钥组成的有限集合，称为密钥空间。 ( 4 ) 对每一个密钥k k ，有一个签名算法s i g k s 和一个相应的验证算法 v e r k v 。关于每一个消息x p 和每一个签名y a ，每一个签名算法s i g k ：ja 和验证算法v e r k ：p xa 专 t r u e ，f a l s e 都满足。 由x p 和y a 组成的数据对( x ，y ) 称为签名消息。 2 4 2 身份认证技术 身份认证技术是一种重要的安全机制，是用来证明某个人或某个事物是其 自己宣称的身份。身份认证有多种，如基于口令的身份认证，基于智能卡的身 份认证、基于密码技术的身份认证等。根据采用密码技术的不同，基于密码技 术的身份认证可以分为两种：基于单钥密码技术的身份认证和基于公钥密码技 术的身份认证。 由于移动通信系统的特殊性，移动通信系统的身份认证采用的是单钥密码 体制，因为单钥密码技术的身份证可以建立在运算简单的单钥密码算法和杂凑 函数的基础之上。但是由于单钥密码技术自身的一些特性，也会带来一些问题， 如认证密钥管理问题以及引起移动用户与服务提供商之间难以解决的付费纠纷 问题，这些问题有待于公钥密码技术的进一步解决。 2 4 3完整性检测技术 完整性检测技术是用于提供消息认证的安全机制，而杂凑函数是实现完整 性检测的重要基础。在移动通信中，完整性检测技术是必不可少的。常用的完 整性检测技术主要有： 1 6 第二章现代密码学原理 一种完整性检测技术是消息认证码( m a c ) ，其主要过程是：发送方首先用 一个带密钥的杂凑函数计算消息的杂凑值，然后用来产生一个消息认证码，并 将它附加在消息之后一起传给接收方。接收方在收到消息后，利用与发送方共 享的密钥计算消息认证码，再将其与接收到的消息认证码进行比较，若他们相 等，接收方就认为消息没有被篡改；若他们不相等，接收方就认为消息在传输 过程中被篡改了。 第二种完整性检测技术过程是：发送方首先是用杂凑函数计算消息的杂凑 值，再利用其秘密密钥和加密算法对该杂凑值进行加密，最后将消息与加密的 杂凑值传给接收者。接收者收到后重新计算消息杂凑值，并与解密出来的杂凑 值比较：若相等，则说明消息没有被篡改，否则，则说明消息被篡改了。 2 4 4 数字签名 数字签名是用于提供不可否认性的安全机制，是电子商务安全性的重要组 成部分。类似于传统的手写签名，数字签名也应满足以下要求：( 1 ) 签名者事 后不能否认自己的签名；( 2 ) 接收者能验证签名，而任何其他人都不能伪造签 名；( 3 ) 当事人双方关于签名的真伪发生争执时。第三方能够解决双方发生的 争执。 公钥密码体制和私钥密码体制都可以实现数字签名，目前研究最多，应用 最广泛的数字签名是基于公钥密码体制的数字签名。与公钥加密系统的工作过 程相反，用户的数字签名过程为：用户用其私钥对一个消息或消息的杂凑值进 行签名，然后将该消息和签名一起发送给验证者，验证者利用签名者的公开密 钥验证签名的有效性。签名者一旦对一个消息进行了签名就无法抵赖，因为只 有签名者才知道自己的私钥，才能产生有效的数字签名。另外，任何人都可以 用签名者的公开密钥验证该签名的真伪。 数字签名可以分为普通数字签名和特殊数字签名，常用的普通数字签名有 r s a 、e 1 g a m a l 、s c h n o r r 等；特殊数字签名与具体的应用环境密切相关，有不可 否认签名、盲签名、群签名、代理签名等。 1 7 第二章现代密码学原理 第五节本章小结 在本章节中主要是针对密码技术，对称与非对称加密算法，分组加密算法 以及几种常用的安全技术进行了简单的介绍，所谓的加密技术就是为了