（通信与信息系统专业论文）ip多媒体子系统中的接入安全机制研究.pdf

南京邮电大学 硕士学位论文摘要 学科、专业： 工学通信与信息系统 研究方向：无线数据与移动计算网络 作 者：j 塑级研究生张旭武指导教师张力军 题目： i p 多媒体子系统中的接入安全机制研究 英文题目：s t u d yo fa c c e s ss e c u r i t yi ni pm u l t i m e d i as u b s y s t e m 主题词：i p 多媒体子系统接入安全因特网协议安全 运输层安全预共享密钥证书 k e y w o r d s ： i pm u l t i m e d i as u b s y s t e m a c c e s ss e c u r i t y i p s e ct l s p r e - s h a r ek e y c e r t i f i c a t e 南京邮电大学学位论文独创性声明 y8 5 1 0 9 1 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名1 期：z i j u c 叶 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：导师签名煺魄 、过勉 7 了 南京邮电火学颂士研究生学位论文 摘要 摘要 i p 多媒体子系统熄3 g p p 提出的，爨加于分组域的独立予系统，它通过一累剿的关 键枕制，如会话的协礴秘蛰理、服务质爨鞠穆动性管理等，为髑户提供端到端的糟多媒 铬觳务。慧瑟曩三莛囱予i m s 搴骞采蔼全l p 静鲻终椠掏帮支持多耱方式接入羲按拳梅煮， 使 m s 的安全问题显得十分特殊和棘手。i m s 安全机制既要符含无线通信资源受限的要 求，也要适应因特网全开放的非信任的网锵环境。 本文首先介绍现代密码学的基础知识，井深入分析了已程i m s 应用的p k i 技术，以 及i p s e c 露t l s ( s s l ) 嚣秘蘧终安全蛰议，憨缝了它魏戆技零特熹。然嚣深入裁攒了嚣 前3 g p p 制定的i m s 寂念机制的原理和运俸过程，并对其固有的安全缺陷和设计。t 翰不 足嫩行深入探讨，指出闷前的i m s 接入安众机制不能满足未来i m s 支持多种接入所提出 的蜜全需求。 签予t l s 在瓣凌翳翦i m s 豹安全缺隈方遁豹独特铙势，零文在对i m s 接入安众糗铡 采丽t l s 的可霉亍经终会瑟蠡亟论证嚣，设诗澎蒸手t l s 的垒赣靛i m s 接入安全辊铡。耩安 全机制吸收原有的a k a 机制和传统的t l s 采用证书进行认诞的优点，提出分阶段的认证 模式，每次成功认证都必须为都必须为下次认证产生预共享密铜。这样可以做到酋次登陆 p c s c f 使用证书公锶认涯后，以后的认诋w 采粥预共享密钥方式，既避免进行公钥算法 豹诗冀，又麓骰裂对p ，c s c f 数麦穗懿鏊爨，籁决了 蕊荏环壤下熬信在关系懿确定藕题。 南京邮电大学坝i j i _ 究生学位论文 a b s t r a c t a b s t r a c t i m si s s p e c i f i e db y3 g p p , i ti s a l l i n d e p e n d e n t n e t w o r ks u b s y s t e mo v e rt h e p a c k e t s w i t c h e dd o m a i n i m sc a l lp r o v i d ee n dt oe n di pm u l t i m e d i as e r v i c ef o rt h eu s e r sb y u s i n gan u m b e ro fk e ym e c h a n i s m s ，s u c ha ss e s s i o nn e g o t i a t i o na n dm a n a g e m e n t ，q u a l i t yo f s e r v i c en e g o t i a t i o na n dm o b i l i t ym a n a g e m e n t b u ti t sc h a r a c t e ro fa l li pa r c h i t e c t u r ea n d s u p p o r to f m u l t i p l ea c c e s s e sm a k et h ei m ss e c u r i t yp a r t i c u l a r l yc o m p l e x ，t h es e c u r i t yo f i m si s r e q u i r e dn o to n l yt os u i tf o rt h ew i r e l e s sc h a n n e l ，b u ta l s ot of i tf o rt h eo p e n i n ga n dn o n - t r u s t i n t e r n e te n v i r o n m e n t i nt h i st h e s i s ，w ef i r s t l yi n l a o d u c et h eb a s i ck n o w l e d g eo fc r y p t o l o g yi nb r i e f , a n a l y z et h e p k ia n dt h en e t w o r k ss e c u r i t yp r o t o c o l s ( i p s e ca n dt l s ) a d o p t e di ni m si nd e t a i l ，a n ds l i m u pt h e i rd i f f e r e n tt e c h n i q u ec h a r a c t e r t h e nd e e p l ya n a l y z ea n dr e s e a r c ho ni m ss e c u r i t y s p e c i f i e db y3 g p pa tp r e s e n t ，a n dd i s c u s st h ei n h e r e n td r a w b a c ka n dt h ed e f i c i e n c y i nd e s i g n ， p o i n to u tt h a tt h ea c c e s ss e c u r i t yo fi m s a tp r e s e n ti sn o tf i tt ot h es e c u r i t yd e m a n di nt h e f u t u r e c o n s i d e r i n gt h ea d v a n t a g eo ft l si ns e r l i n gt h ed r a w b a c ka n dt h ed e f i c i e n c yo fi m s s e c u r i t y ，w ed e s i g nan e wi m sa c c e s ss e c u r i t ym e c h a n i s mb a s e o nt l sa f t e rd e e p l y d i s c u s s i n gt h ef e a s i b i l i t yo fu s i n gt l si ni m ss e c u r i t y i t i n h e r i t st h ea d v a n t a g eo fa k a m e c h a n i s ma n dt h ea u t h e n t i c a t i o nb a s eo i lc e r i f i c a t e ，a d o p t st h ed i f f e r e n ta u t h e n t i c a t em o d e a c c o r d i n gt o d i f f e r e n ts t a g e s ，t h es u c c e s s f u la u t h e n t i c a t i o ni ne v e r yt i m em u s tc r e a t et h e p r e s h a r ek e yu s e df o rn e x ta u t h e n t i c a t i o n t h ef i r s tr e g i s t e ri nt h ep - c s c fu s i n gc e r t i f i c a t e a n dp r e s h a r ek e y , a n dt h ef o l l o wr e g i s t e ru s i n gp r e s h a r ek e yc r e a t e db yt h el a s tt i m e t h i sw a y m a yb r i n gt h eo b v i o u sb e n e f i t s ，s u c ha sa v o i d i n gt h ep u b l i ck e yc a l c u l a t i o na n d t h eu eb ea b l e t oi d e n t i f yt h ep - c s c fi nt h en o n - t r u s t e dn e t w o r k se n v i r o n m e n t i l 南京邮i g 人学硕口f 究生学位论文 第一章绪论 第一章绪论 1 1i m s 的产生背景 第三代合作伙伴计划( 3 g p p ：t h i r dg e n e r a t i o np a r t n e r s h i pp r o j e c t ) 提出的第三代移 动系统的网络可分为两大部分：无线接入网和核心网，这样划分的目的是使系统可以独立 于核心网进行无线接八技术丌发。系统的最终发展目标是，无线接入网和核心网都将采用 统一的全i p 分组网络，并在其上面提供各种实时的和非实时的i p 多媒体业务【”。 为此，3 g p p 制定了分阶段的演进的方案，并对每个阶段赋予相应的版本。第一个版 本是1 9 9 9 年制定的r e a l e a s e9 9 ，其无线接入网支持2 5 g 的g p r s 和e d g e 以及3 g 的 u t r a n ，核心网仍用g p r s 的网络结构。2 0 0 1 年制定了r e l e a s e4 版本，无线接入网基 本不变，主要的演进是在核心网的电路交换部分引进了软交换技术。2 0 0 2 年制定了r e l e a s e 5 版本，其重要的演进是增加了i p 多媒体子系统( i m s ：i pm u l t i m e d i as u b s y s t e m ) 和高 速下行分组接入( h s d p a ：h i g h s p e e dd o w n l i n kp a c k e ta c c e s s ) 技术。2 0 0 3 年提出的 r e l e a s e6 和即将提出的r e l e a s e7 版本继续完善i m s ，重点放在如何增强业务提供能力上。 1 2i m s 的特点 i m s 是叠加于分组域的独立子系统，它通过一系列的关键机制，如会话的协商和管 理、服务质量和移动性管理等，为用户提供端到端的i p 多媒体业务。i m s 具有下面的技 术特点：基于s i p 的会话控制、与接入无关、水平体系架构、业务与控制分离等嘲。 ( 1 ) 基于s i p 的会话控制 i m s 的核心功能实体是呼叫会话控制功能( c s c f ：c a l ls e s s i o nc o n t r o lf u n c t i o n ) 单 元，并向上层的服务平台提供标准接口，使业务独立于呼叫控制。为了实现接入的独立性 及与i n t e r n e t 互操作的平滑性，i m s 尽量采用与因特网工程任务组( i e t f ：i n t e m e t e n g i n e e r i n g q h s kf o r c e ) 一致的因特网标准，采用基于i e t f 定义的会话初始化协议( s i p ： s e s s i o ni n i t i a t ep r o t o c 0 1 ) 的会话控制能力，并进行移动特性方面的扩展。s i p 成为i m s 唯 一的会话控制协泌。这样特点实现了端到端的s i p 信令互通，同时也顺应了终端智能化的 网络发展趋势，使网络的业务提供和发布具有更大的灵活性。 【2 ) 接入无关性 i m s 的设计思想是与具体的接入方式无关，以便i m s 服务可以通过任何i p 网络( 如 南京1 1 j 1 】u 人掌珂 j 1 1 1 _ 究生学位论文 第一章绪论 u t r a n 、w l a n 、x d s l 等) 来提供，但r e l e a s e5 版本只支持通过g p r s 接入，r e l e a s e 6 增加了支持w l a n 接入。 ( 3 ) 水平体系架构 对于运营商而吉。，i m s 通过水平体系结构进一步推动了分层体系结构概念的发展。 在水平体系结构中，业务使能和公共功能都可以重新用于其它多种应用。i m s 水平体系 结构还特别对互操作性和漫游做了规定，并提供q o s 控制、计费和安全管理等功能。传 统的网络业务提供是采用垂直的开发模式，与下层的网络关系紧密，不同的业务分别进行业 务接入、网络搭建、业务控制和业务应用开发，甚至包括业务计费等主要的网络单元也必 须建立独立的运营系统。新的业务开发十分复杂，必须熟悉其承载网络情况，不利于第三方 提供商的业务开展。m s 采用水平的业务提供方式，将呼叫控制与业务应用的水平展开， 业务与下层网络耦合松散网络层、控制层和业务应用的清晰分工，第三方提供商无需了解 其下层网络情况，只需具有a p i ( 应用编程接口) 和s i p 知识就能提供服务 ( 4 ) 业务与控制分离 i m s 定义了标准的基于s i p 的i p 多媒体服务控制( i s c ：i pm u l t i m e d i as e r v i c e c o n t r 0 1 ) 接口，实现了业务与控制层的完全分离。i m s 通过基于s i p 的i s c 接口，支持多种业务 提供方式。真f 做到节约业务开发成本，实现了业务的快速开发。 1 3i m s 网络的安全问题 传统电信网络上承载的主要是语音业务，十分强调网络的可靠性和可管理性，却很少 提及安全性，其原因是因为电信网是一个自成体系的封闭的网络，除了应用层外，与外界 的接口很少，网络采用专用的协议标准和集中控制方式，具有很好的封闭性，因此电信网 络被认为是比较安全的。但i m s 网络不同，它是全i p 的开放式的网络，大薰采用标准的 网络协议和分布控制技术，再加上t c p i p 协议的本身固有的安全隐患，因此移动通信网 络引入i m s 架构后，必将面临因特网同样的安全威胁。 1 3 1 安全威胁 i m s 安全威胁大致可以分为如下几类1 2 j ： ( 1 ) 对敏感数据的非法获取，对系统信息的保密性进行攻击，主要包括： 窃听：攻击者对通信链路进行非法窃听，获取消息； 伪装：攻击者伪装合法身份，诱使用户或网络相信其身份合法，从而窃取系统信息； 南京i n i u 人学颤i ：t i ) l 究生学位论义 第一章绪论 业务分析：攻击者对链路中信息的时间、速率、长度、源及目的等信息进行分析， 从而判断用户位置或了解正在进行的重要的商业交易； 浏览：攻击者对敏感信息的存储位置进行搜索； 泄露：攻击者利用合法接入进程获取敏感信息； 试探：攻击者通过向系统发送信号来观察系统反应。 ( 2 ) 对敏感数据的非法操作，对信息的完整性进行攻击，主要包括对信息进行操作： 攻击者故意地对信息进行篡改、插入、重放或删除。 ( 3 ) 对网络服务的干扰或滥用，从而导致系统拒绝服务或导致系统服务质量的降低， 主要包括： 干扰：攻击者通过阻塞用户业务、信令或控制数据使合法用户无法使用网络资源； 资源耗尽：用户或服务网络利用其特权非法获取非授权信息； 误用权限：用户或服务网络可以利用它们的权限来越权获得业务或信息； 服务滥用：攻击者通过滥用某些特定的系统服务，从而获取好处，或者导致系统崩 溃。 拒绝：用户或网络拒绝发出响应。 ( 4 ) 否认，主要指用户或网络否认曾经发生的动作。 ( 5 ) 对服务的非法访问，主要包括： 攻击者伪造成网络和用户实体，对系统服务进行非法访问； 用户或网络通过滥用访问权利非法获取未授权服务 随着网络规模的不断发展和网络新业务的应用，还会有新的攻击类型出现 1 3 2i m s 的安全目标 ( 1 ) 确保所有用户产生或与用户相关的信息得到足够的保护，以防滥用或盗用。 ( 2 ) 确保归属网络与服务网络提供的资源与服务得到足够保护，以防滥用或盗用。 ( 3 ) 确保安全特性标准化，具有全球兼容能力。 ( 4 ) 确保安全特征的标准化，保证不同服务网络间的漫游与全球互操作能力。 ( 5 ) 确保3 g 安全特性和机制的实现具有扩展和增强能力以对付新的威胁和服务。 ( 6 ) 确保服务网络和归属环境提供的资源和业务不被滥用和盗用。 1 3 3 目前i m s 的安全机制的标准化进展情况 鉴于3 g 网络安全问题的重要性，3 g p p 成立了专门的工作组s aw g 3 负责3 g 网络 量堕型幽型苎墅坠! ! 幽圭堂丝堡塞 墨= 翌些丝 安全问题的标准化制定工作。 在r e l e a s e5 版本，s aw g 3 小组为i m s 制定了安全保护机制，只为s i p 信令提供安 全保护，而尚未为应用层和媒体流制定安全保护机制。i m s 安全机制的任务是为i m s 提 供接入安全控制和s i p 信令安全保护，它可分为i m s 接入安全和i m s 网络域安全两部分。 接入安全和网络域安全均采用因特网协议安全( i p s e c ：i n t e r n e tp r o t o c o ls e c u r i t y ) 来保护 s i p 消息的安全，而接入控制采用认证和密钥协商机制( a k a ：a u t h e n t i c a t i o na n dk e v a g r e e m e n t ) 进行i m s 鉴权和i p s e c 的密钥协商。 在r e l e a s e6 版本，应用层增加了用户与应用服务器( a s ：a p p l i c a t i o ns e r v e r ) 之间 的超文本协议( h t t p ：h y p e rt e x tt r a n s f e rp r o t o c 0 1 ) 的保护机制，采用t l s 协议来提供 机密性和完整保护。信令层的网络安全域增加引入公用密钥设施( p k i ：p u b l i ck e y i n f r a s t r u c t u r e ) ，用于支持网络实体的身份认证。 目前r e l e a s e7 版本的安全机制尚未正式出台，对媒体流提供安全保护的制定工作正 处于讨论之中。 1 3 4 论文所做的工作和内容安排 无论是r e l e a s e 5 还是r e l e a s e6 ，i m s 均只支持无线接入，所用的用户在接入i m s 之 前，都必须先经过无线接入网域的鉴权和安全保护，然后通过g p r s 节点进入i m s 。而 g p r s 节点与i m s 网络的关系是确定的，彼此已建立的信任关系，园此i m s 还是处于相 对封闭的状态。 i m s 的目标是支持各种方式的接入，成为移动网络和固定网络融合的平台，将来必 将支持x d s l 等方式从因特网直接接入i m s 。此时i m s 的网络安全环境将发生巨大的变 化，i m s 的接入网将是一个开放性的非信任的因特网，这将对i m s 的安全提出新的挑战。 本文的主要工作是面向i m s 新的应用环境和安全形势，对i m s 目前的接入安全机制 进行深入研究。指出其不足和弊端，并提出全新的解决方案。 本文将在第：章介绍有关的密码学基础知识，然后在第三章讨论i m s 相关的p k t 技 术以及1 p s e c 和t l s 两种网络安全协议的原理，作为进一步讨论的基础。第四章深入探 讨目前r e l e a s e5 、r e l e a s e 6 版本的i m s 的信令安全保护机制的原理和运作流程，并指出 其不足和安全漏洞。第五章针对原有的i m s 安全机制的弊端，面向未来的安全需求，设 计一套灵活高效的全新安全解决方案。第六章对本文所做的工作和研究成果作总结，并指 出进一步研究的方向。 4 里鲨型坐丛塑l ：些兰堂竺笙兰 笙：= 主堕些兰苎塑 第二章密码学基础 数据保密性( c o n f i d e n t i a l i t y ) 、身份认证( a u t h e n t i c a t i o n ) 和数据的完整性( i n t e g r i t y ) ， 是信息安全的三大原则，所谓数据保密性指的是数据在传送过程中要对无关听众保密，身 份认证指的是在网络中能_ i f 确确定通信者的身份，数据完整性则为数据在传送过程中被篡 改时能够正确检测出柬。这三大原则涉及到密钥加密、消息摘要、数字签名、信息认证码 等密码技术，本章将介绍这些相关的密码学知识。 2 1 密码通信系统的概述 一个完整的密码系统的模型可由图2 1 来表示，信源a 在加密密钥k l 的控制下，通过加 密算法e 将数据m ( 称作明文) 转化密文c ，即c = e k l ( m ) 。接收方b 通过密钥协商信道得 到解密密钥k 2 ，由k 2 通过解密算法d ，从密文中恢复出明文来，即m = d k 2 ( c ) ，这两个过 程分别称为加密和解密。对于一个密码系统来说应该达到以下基本要求 4 1 5 ： ( 1 ) 道k l 时，e 容易计算。 ( 2 ) 知道k 2 时，d 容易计算。 ( 3 ) 不知道k 2 时，由c = e ( m 1 不容易推导出m 。 者 j 情源m “r c 五f f i e i k i ( r m ) u 密钥k l 接收者 幽2 1 密码系统模型 以上要求浇明个密码系统的设计原则是，对于合法的通信双方来说，加密和解密变 换是容易的，对于窃听者来说，即使知道密码系统中所用的算法，在无法获取密钥的情况 下，由密文推导出明文是困难的，因此密文的不可识别性是通过密钥的保密来实现的。 在保密通信系统中，除了合法的收发方外，还有窃听者，他们可通过截获密文，并对 5 南京| | i | j i u 人学坝! ：j | _ 究生学位论史 第一章密码学捧础 密文进行分析，从而推导出明文来，这种攻击方式称为被动攻击( p a s s i v e a t t a c k ) 。系统还 可能遭受到主动攻击( a c t i v e a t t a c k ) ，即入侵者通过分析窃听的消息，主动对系统采用删 除、增添、重放、伪造等手段对系统进行扰乱和破坏。 防止主动攻击的有效方法是，使发送消息具有被验证的能力，即接收者或第三者能够 确认消息的是否是所期望的发送者发送过来的，消息是否被篡改过。实现这两类功能的密 码特性分别称为身份鉴定和数据完整性保护。 2 2 密钥体系 密钥体系包括密钥管理和加密处理两个方面，密钥管理指的是密钥的产生、分配、保 管和销毁等部分，加密处理包括加密和解密两部分。根据密钥的特点可将密钥体系分为对 称和非对称密码体系。 2 2 1 对称密码体系 对称密码体系也称为共享密钥体系。加密密钥k l 与解密密钥k 2 相同，通信双方在通信 之前商定一个密码，然后通过这个密码进行加密与解密。对称密码体系的优点是算法的效 率高，占用的资源少，缺点是密码的安全协商和管理比较麻烦。对称体系对明文消息的加 密方式有两种，即分组密码( b l o c kc i p h e r ) 和流密码( s t r e a mc i p h e r ) 算法。 ( 1 )分组密码：把明文分成等长的块，密钥对每块做同样的处理，使之变成一块块 密文，然后在把这些密文块连接在一起。解密时同样把密文分成等长的块，分别处理，变 成明文块，明文块在连接在一起成为明文。数据加密标准( d e s ) 、国际数据加密算法( i d e a ) 和高级加密标准( a e s ) 均属于分组密码算法。 ( 2 ) 流密码：将明文作为一个整体处理，由密码生成一个与明文一样长的密码流， 明文与密钥流进行位与位异或的运算，形成密文。解码时用密文与密钥流再做次位运算， 就可解出明文来。常见的流密码算法有a 5 算法、w a k e 算法等。 2 2 2 非对称密码体系 非对称密码体系，也称为公钥密码体系，它是由d i f f i e 和h e l l m a n 于1 9 7 6 年提出来 的。所谓的非对称密码体系是指加密与解密的密钥不相同，而且彼此很难互相推导出对方 来，一个是可公丌的公钥，另一个是需要保密的私钥。非对称密钥体系的特点是加密和解 密能力是分丌的，它可实现多个用户用公钥加密的消息只能由一个用户用私钥解读，或反 6 南京衅 毡人学硕 甜究生学位论文 第二章密码学基础 过来，由一个用户用私钥加密的消息可被多个用户解读。前用于一种方式可用在公共网络 中实现保密通信，后一种方式可用于在认证系统中对消息进行数字签名。因为具备这些特 点所以非对称密码系统能提供以下安全服务： 加密侑 密：发送方可以用接收方的公钥加密消息，接收方用私钥进行解密。 数字签名：发送方用其私钥“签署”消息，通过对消息或作为消息函数的小块数据 应用加密算法来进行签署。鉴定签字的有效性时，可用公钥进行解读。 密钥交换：两方互相合作可以进行会话密钥的交换。 非对称密码系统大大简化了复杂的密钥分配管理问题，但其算法相对于对称密码算法 来说要慢得多( 也1 0 0 0 倍) ，因此在实际通信中系统，一般采用两种体系混合使用，其中 非对称密码体系主要用于认证和密钥管理，而信息加密主要是利用对称密码体系，数字信 封( d i g i t a le n v e l o p ) 就是这种混合方式的典型应用，它的原理是发送方先随机产生加密信息 用的对称密钥，然后用接收方的公钥加密此密钥，接收方用私钥解出对称密钥，再利用对 称密钥解开加密的信息。 2 3 非对称密码的算法 非对称密钥密码体系的安全性取决于所依赖的数学问题的难解性，所谓的数学难题就 是指如何找到一个计算上可行的算法对其所使用的单向散列函数进行逆计算。可以说一个 实用钓公开密镅密码系统的建立和发展依赖于找到一个单向陷门函数，所谓的单向陷门函 数是指满足下列条件的函数：它将个定义域映射到值域，使得每个函数值有一个唯一的 原像，同时还要满足下列条件：函数值计算很容易，而逆计算是不可行的，只有知道某种 附加消息，函数的逆才可在多项式时间内计算出来。 常见的公- 丌密钥密码体系有基于大整数因子分解问题困难性的r s a 体系、基于离散 对数问题的d s a 体系和d i f f i e h e l l m a n 密钥交换算法，以及基于椭圆曲线离散对数问题 困难性的e c c 体制巾j 。 2 3 1r s a 算法 它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作，也很流 行。算法的名字以发明者的名字命名：r i v e s t ，s h a m i r 和a d l e m a n o ，但r s a 的安全性一直未 能得到理论上的证明。它经历了各种攻击，至今未被完全攻破。 一、算法描述如下： ( 1 ) 选两个大索数，p 和q ，通常均大于1 0 ”o ( 保密) 7 南京1 1 1 1 ；1 u 凡学埘乱究生学位论义 第一帝晰峭学珠础 ( 2 ) 计算n = p 4 q ( 公开) 和臼( n ) = ( p - 1 ) + ( q - 1 ) ( 保密) ； ( 3 ) 随机选取整数e 满足e 与庐( 互素( 公开) ； ( 4 ) 计算d 满足d + e ；l ( m o d 口f n ) ) ( 保密) ； 这样就得出r s a 的公钥p k i ( e ，n ) 以及私钥s k = ( d ，n ) 。 利用r s a 的第一步是将明文数字化t 并取长度小于l o g ：n 位的数字作明文块。 加密算法：c = e ( m ) s m 。( m o d i l ) 。 解密算法： m = d ( c ) ；c d ( r o o d n ) 二、r s a 的安全性： r s a 的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明， 因为没有证明破解r s a 就一定需要作大数分解。假设存在种无须分解大数的算法，那它 肯定可以修改成为大数分解算法。目前，r s a 的一些变种算法已被证明等价于大数分解。不 管怎样，分解n 是最显然的攻击方法。现在人们已能分解多个十进制位的大素数。因此， 模数n 必须选大些，因具体适用情况而定。若n 被因式分解成功，贝j r s a 便被攻破。还不 能证明对r s a 攻击的难度和分解n 的难度相当，但也没有比因式分解n 更好的攻击方法。己 知n ，求得口( n ) ( n 的欧拉函数) ，则p 和q 可以求得。因为根掘欧拉定理，曰( n ) = ( p 一1 ) + ( q 一1 ) = p q 一 ( p + q ) + 1 和( p q ) 2 = ( p + q ) 2 - 4 p q ，根据此列出方程，求得p 和q 另一个攻击r s a 的方法是根据c = m 。( r o o d n ) 来计算c ”。( r o o d n ) 。这种攻击方式没有 种普遍的实现方法，也不知道是否其难度与对n 因式分懈相当。但是在一些特殊的情况下， 当多个相关的信息用同样的密钥加密时，可能很容易被攻破。为安全起见，要求p 和q 的相 差不大，( p 1 ) 和( q 1 ) 有大素数因子，满足这样条件的素数称做安全素数。r s a 的出现使得 大整数分解因式这一古老的问题再次被重视，近些年来出现的不少比较高级的因数分解方 法使“安全素数”的概念也在不停的演化。所以，选择传统上认为是“安全素数”并不一定有 效地增加安会性，比较保险的方法就是选择足够大的素数。因为数越大，对其分解因式的 难度也就越大。对n 和密钥长度的选择取决于用户保密的需要。密钥长度越大，安全性也 就越高，但是相应的计算速度也就越慢。由于高速计算机的出现，以前认为已经很具安全 性的5 1 2 位密钥长度己经不再满足人们的需要。1 9 9 7 年，r s a 组织公布当时密钥长度的标准： 个人使用7 6 8 位密钥，公司使用1 0 2 4 位密钥，而一些非常重要的机构使用2 0 4 8 位密钥。 8 南京帅f u 人学坝卜 珊究生学位论史 第一章崭码学恭础 三、r s a 的缺点主要有： ( 1 ) 产生密钥很麻烦，受到素数产生技术的限制，因而难以做到次密。 ( 2 ) 长度太大，为保证安全性，n 至少也要6 0 0b i t s 以上，使运算代价很高，尤其是速度 较慢，较对称密码算法慢几个数量级，且随着大数分解技术的发展，这个长度还在增加， 不利于数据格式的标准化。目前，s e t ( s e c u r ee l e c t r o n i ct r a n s a e t i o n ) 协议中要求c a 采用2 0 4 8 比特长的密钥，其他实体使用1 0 2 4 l e 特的密钥。 ( 3 ) 由于进行的都是大数计算，使得r s a 最快的情况也l l d e s 慢上1 0 0 倍，无论是软件 还是硬件实现，速度一直是r s a 的缺陷。一般来说只用于少量数据加密。 2 3 2 数字签名算法( d s a ) 体系 d i g i t a ls i g n a t u r ea l g o r i t h m ( d s a ) 是被美国n i s t 作d s s ( d i g i t a ls i g n a t u r es t a n d a r d ) 数 字签名标准。d s s 是由美国国家标准化研究院和国家安全局共同丌发的。由于它是出美国 政府颁布实施的，主要用于与美国政府做生意的公司，其他公司则较少使用，它只是一个 签名系统，而且美国政府不提倡使用任何削弱政府窃听能力的加密软件，认为这才符合美 国的国家利益。算法中应用了下述参数【”1 ： p ： l 比特长的素数。l 是6 4 的倍数，范围是5 1 2 蛩j 1 0 2 4 i q ：是p 一1 的素因子，2 q 2 ”； g ：g = h p - i ) qr o o dp h 满足h 1 ： x ：随机数，作为用户密钥，满足0 x q ： y ： y = g + xr o o dp ，为用户的公钥； k ：为随机数，0 k q ； 这罩参数p ，q ，g 可以公开，且可为一组用户公用。x ；和l y 分别为一个用户的私钥和公 钥。参数x 和k 用于产生签名，必须保密。参数k 必须对每一签名都重新产生，且每一签名 使用不同的k 。验证者在对签名消息进行验证之前，应当以可靠的方式获得共用参数p ，p ， g ，且知道签名方的身份和公钥。 一、签名过程 a 产生对消息m 的签名，执行如下操作： ( 1 ) 随机选择k ，k q ； ( 2 ) 计算r = ( g “r o o d p ) ( r o o d q ) ，s = ( k 1 ( h ( m ) + x + r ) ) ( m o d q ) 其中h 为安全h a s h 算法( s h a ) ，则( r ，s ) 就是a 对消息i n 的签名。 9 南京邮电人学硕士研究生学位论文 第二章密码学基础 二、验证过程 设b 收至l j ( m ，r ，s ) 后，为验证( r ，s ) 就是a 对信息。的签名，执行如下操作： ( 1 ) 检验是否有0 r t 1 0 s q ，否则丢弃该签名。 ( 2 ) 计算： w = s 一1 r o o d q u l = h ( m ) + w 】m o dq u 2 = p w m o d q v ：e ( g “1 y 。) m o d p m o dq ( 3 ) 当且仅v = r ，时，b 认为( r ，s ) 是拥有公钥y 的实体对消息m 的有效签名。d s a 位 数仅为1 6 0 位，没有太大的意义，也存在系统平台不兼容的问题，而且d s a 是基于整数有 限域离散对数难题的，安全强度和速度均低于r s a 算法。d s a 的个重要特点是两个素数 公开，这样，当使用别人的p 矛l l q 时，即使不知道私钥，你也能确认它们是否是随机产生的。 r s a 算法却作不到。d s a 算法的安全性也依赖于有限域上的离散对数问题，其优点是不涉 及专利问题。其中h ( x ) 可选择美国推荐的标准算法s h a 或m d 5 等安全散列算法m 1 。 2 3 3 d i f f i e h e l l m a n 密钥交换 d h 算法是w d i f f l e 和m h e l l m a n 提出的。此算法是最早的公钥算法。其算法描述如 下【8 】： ( 1 ) 设p 为5 1 2 比特以上大素数，g p ，p 、g 公开。 ( 2 ) a 随机选择x p ，发送g 。( m o d p ) 给b ； ( 3 ) b 随机选择y p ，发送g ( m o d p ) 给a ； ( 4 ) a 通过自己的x 秘密计算( g ) 。( r o o d p ) = g ”( m o d p ) ； ( 5 ) b 通过自己的y 秘密计算( 9 1 ) ( m o d p ) = g x y ( m o d p ) ； 现在a 和b 拥有相同的秘密值g y ( m o d p ) 作为共同的秘密密钥或由此派生出秘密密 钥，利用浚密钥，就可以进行对称密钥加密了。 旦堕业旦坠苎竺型型竖篓燮堕兰 釜三至兰堕兰苎堂 2 3 4 椭圆曲线密码体系( e c c ) 9 8 5 年，n k o b l i t z 和vm i l l e r 分别独立提出了椭圆曲线密码体制( e c c ) ，其依据就是 定义在椭圆曲线点群上的离散对数问题的难解性。 为了用椭圆曲线构造密码系统，首先需要找到一个单向陷门函数，椭圆曲线上的数量 乘就是这样的单向陷f l 函数。 一、算法原理1 9 i 在e c c 中，我们关心的是某种特殊形式的椭圆曲线，即定义在有限域上的椭圆曲线。 其方程如下： e ：y 2 2x + a x + b ( m o d p )( 1 ) 这旱p 是素数，a 和b 为两个小于p 的非负整数，它们满足： 4 a + 2 7 b 2 ( r o o d p ) 0 满足方程( 1 ) 的椭圆曲线如图2 。2 。 我们用e p ( a b ) 表示模p 椭圆群，其元素是满足上面方程的小于p 的非负整数对( x ，y ) 以及无穷远点o 。 我们现在定义e 上的“十运算概念：设p 、q 是椭圆曲线e 上两个点，所谓的p + q = r 指的是存在这么一个点r ：经过p 、q 点的直线与曲线交于点一r ，r 关于x 轴的对 称点即为r 。当p q 和p = q 时p + q = r 的几何解析分别如图2 - 2 、2 - 3 所示。 。 _势彩， ，) 7 一 p 图2 - 2 椭圆曲线上的加法p + q = r 一j沙 彳 - 一 r 南京i | 1 1 5 l u 人学坝i 埘究生学位论义 第一带晰码学桀础 图2 3 椭圆曲线上的加法p + p = 2 p = r 可以证明，椭圆曲线上的点关于“+ ”运算构成a b e l 群。 椭圆曲线离散对数问题e c d l p 定义如下：给定p 、q e ，求正整数k ，使q = k p ( k x p 为数乘，即连串的加法运算：k x p = p + p + p 共k 个p 相加) ，则k 称为q 对于 基于p 的离散对数。在已知p 和k 的情况下，计算q 比较容易，而由q 和p 计算k 则 非常困难，这为构造公钥密码体系提供了途径。e c d l p 是比整数因子分解问题i f p 和离 散对数问题d l p 难得多的数学难题。将椭圆曲线中的加法运算与离散对数中的模乘运算 相对应，将椭圆曲线中的乘法运算与离散对数中的模幂运算相对应，我们就可以建立基于 椭圆曲线的对应的密码体制。例如我们可基于椭圆离散对数的难解性问题，确立一种类似 于d i f f i e h e l l m a n 的公钥密码体制。用户a 向用户b 发送信息m 的过程如下： 选取有限域凡上的一条椭圆曲线e ，群e ( f o ) 的阶有大的素因子。即保证椭圆曲线群 上的离散对数是难解的，确定一元素g e ( f 4 ) ，g 为一公开的固定点( 即公钥) 。用户a 对消息m 进行分组，使其成为有限域上的明文信息块m ，而后编码，使之成为椭圆曲线 上的点p m 。 ( 1 ) b 方选取任随机整数k b ( 保密) ，计算出g b = k a g ，并且公开g b ( 2 ) a 方另选随机整数k a ( 保密) ，计算g a = k a x g 及s = p m + f ( k a o b ) ， 并把 g a ，p m + f ( k a g b ) ) 发给b 方( 其中f 为某一容易计算的函数) 。 ( 3 ) b 方收到信息后，先计算f ( k b g a ) ，并从收到的s 的元素中减去f ( k a g a ) 由于f ( k b g a ) = f ( k b ( k a g ) = f ( k a ( k b ) = ，因而就可以x g f ( k ao b ) 恢复出p m 。 对于非法截取信息者，仅仅知道k b g ，年i i k a x g ，以及g ，都无法获知k 山和k b ，这 是因为椭圆离散对数是难解的，所以不能求得k b g a = k b ( k a x g ) 2 k a g a ，也 就不可能非法获得明文信息。 这罩，我们利用t d i f l i e h e l l m a n 密钥交换思想，即a 和b 分别以k a g b 、。k a g a 作为通信问的密钥，这是第三者无法得知的。 二、e c c 的优点： ( 1 ) 计算量小，处理速度快 虽然在r s a 中可以通过选取较小的公钥( 可以小到3 ) 的方法提高公钥处理速度， 即提高加密和签名验证的速度，使其在加密和签名验证速度上与e c c 有可比性，但在私 堕窒业! 1 2 堂塑! 型! 塑圭兰焦堕壅 兰三童堕塑堂苎型 钥的处理速度上( 解密和签名) ，e c c 远比r s a 、d s a 快得多。因此e c c 总的速度比r s a 、 d s a 要快得多，在相同的安全强度下，用1 6 0 b i t e c c 进行加解密或数字签名要比用1 0 2 4 b i t r s a 、d s a 要快大约l o 倍。 ( 2 ) 密钥尺寸和系统参数小 e c c 的密钥尺寸和系统参数与r s a 、d s a 相比要小得多，意味着它所占的存贮空间 要小得多。 ( 3 ) 带宽要