（计算机应用技术专业论文）基于rsa的匿名双向认证系统的设计与实现.pdf

硕士论文 一 ， 基于r s a 的匿名双向认证系统的设计与实现 摘要 公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) 理论解决了信息安全领域的信息加 密、密钥交换、数字签名和匿名双向认证等诸多问题，目前已在商业上得到了广泛的应 用。然而，p k i 理论由于存在域认证中心( c e r t i f i c a t e a u t h o r i t y ，c a ) ，不适合在节点易 被入侵、破坏的环境下使用。为了适应广泛的应用场景，本文提出了一个较为完整的基 于r s a 的无中心自适应匿名双向认证系统方案。 本文所做的研究工作和创新成果如下： 第一，在p k i 理论的基础上，首先将基于拉格朗r 多项式的( t ，n ) 门限理论、 c o m p r e s s e db l o o mf i l t e r s ( c b f ) 、分布式r s a 参数生成方法等理论进行研究和融合； 其次，在详细分析分布式c a 不同生成策略和签名方法的安全性、有效性的基础上，构 建了一种可收缩的分布式c a 构造算法，提出了一个较为完整的匿名双向认证方案。该 方案除了自动继承p k i 理论的各项优点外，还具备无中心、自适应、认证优化、可追踪 等特点。 第二，设计了一整套从系统初始化、运行到自重组的交互协议，解决了认证证书过 程中的d o s 攻击问题，避免了长时间使用相同伪名和证书而导致的统计分析泄密问题， 实现伪名、证书变换的可追踪和分布式证书管理。 第三，为了进一步提高系统自重组过程中的安全性，防止正确决议被分发节点篡改 发布，本文提出了在一定概率范围内确保决议被j 下确发布的策略。 最后，本文实现了原型系统程序，并通过对其的测试，验证了方案的安全性和可靠 性。 关键词：r s a ，分布式，门限理论，匿名双向认证，自适应 a b s t r a c t硕上论文 a b s t r a c t t h et h e o r yo fp u b l i ck e yi n f r a s t r u c t u r eh a ss o l v e dal o to fp r o b l e m ss u c ha si n f o r m a t i o n e n c r y p t i o n ，k e ye x c h a n g e ，d i g i t a ls i g n a t u r ea n da n o n y m o u s l yb i d i r e c t i o n a la u t h e n t i c a t i o ni n t h er e a l mo fi n f o r m a t i o ns e c u r i t y n o w , i th a se x t e n s i v e l yi m p l e m e n t e di nt h eb u s i n e s s h o w e v e r , b e c a u s eo ft h ee x i s t e n c eo fc e r t i f i c a t ea u t h o r i t y , i td o e s n ts u i tt oi m p l e m e n ti na n e n v i r o n m e n t ，w h i c hi se a s i l yi n v a d e da n dd e s t r o y e d i no r d e rt oa m o r ee x t e n s i v ea p p l i c a t i o n e n v i r o n m e n t ，t h ep a p e rp r o v i d e sa na n o n y m o u s l ya n db i d i r e c t i o n a la u t h e n t i c a t i o ns y s t e m p r o j e c tb a s e d o nr s a ，w h i c hi sa c e n t f i ca n da d a p t i v e t h em a i nc o n t e n t so fm yp a p e rl i ea sf o l l o w s f i r s t l y , t h ep a p e ri sb a s e do nt h et h e o r yo f p k i i ts y n c h r o n i z e st h e ( t ，n ) t h r e s h o l dt h e o r y b a s e do nl a g r a n g ep o l y n o m i a l ，c o m p r e s s e db l o o mf i l t e r s ，a n dd i s t r i b u t e dm e t h o do f g e n e r a t i o no fr s ap a r a m e t e r b ya n a l y z i n gt h eg e n e r a t i o ns t r a t e g y a n dt h es e c u r i t yo f s i g n a t u r ei nd e t a i l ，i tp r o v i d e sa na n o n y m o u s l ya n db i d i r e c t i o n a la u t h e n t i c a t i o np r o j e c t b e s i d e so fi n h e r i t i n ga l lb e n e f i t so fp k i ，t h ep r o j e c ti sa l s oa c e n t r i c ，a d a p t i v e ，o p t i m i s ti n a u t h e n t i c a t i o na n dt r a c e a b l e s e c o n d l y , t h ep a p e rd e s i g n sa s e to fi n t e r a c tp r o t o c o l sf r o ms y s t e mi n i t i a l i z a t i o n ，r u n n i n g a n dr e c o m p o s i t i o n ，w h i c hs o l v e st h ed o sa t t a c ki nt h ep e r i o do fa u t h e n t i c a t i n gc e r t i f i c a t e ， a v o i d st h ep r o b l e mo fs t a t i s t i c sa n a l y s i so w et ou s i n gs a m ef a k en a m ea n dc e r t i f i c a t ei nal o n g t i m e ，a n df i n i s h e st h et r a c e a b l em e t h o do fe x c h a n g i n gf a k en a m ea n d c e r t i f i c a t ea n d d i s t r i b u t e dm a n a g e m e n to fc e r t i f i c a t e t h i r d l y , i no r d e r t oi m p r o v et h es e c u r i t yi nr e - c o m p o s i t i o no ft h es y s t e mm o r ea n da v o i d t h et r u er e s o l u t i o nf r o mb e i n gj u g g l e d ，t h ep a p e rp r o v i d e sas t r a t e g yw h i c hc a ng u a r a n t e et h e t r u er e s o l u t i o nb e i n gi s s u e di nt h er a n g eo fc e r t a i np r o b a b i l i t y l a s t l y , t h ep a p e ri m p l e m e n t sa na n t et y p es y s t e mp r o g r a m b yt e s t i n gt h ep r o g r a m ，i t c o n f i r m st h es e c u r i t ya n dr e l i a b i l i t yo ft h ep r o j e c t k e yw o r d s ：r s a ，d i s t r i b u t e d ，t h r e s h o l dt h e o r y , a n o n y m o u s l yb i d i r e c t i o n a lc e r t i f i c a t i o n ， s e l f - a d a p t a t i o n 声明 本学位论文是我在导师的指导下取得的研究成果：尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名： 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名： 硕士论文基于r s a 的匿名双向认证系统的设计与实现 1 绪论 1 1 研究背景与现状 随着信息时代的来临，信息安全日益受到人们的关注。信息安全技术也作为一门学 科应运而生。为了保护通信时的数据安全，对数据进行加密便成了一种自然的选择。在 最先提出的对称密码学理论【l 】中，拥有完全相同的密钥的双方可以正确加解密信息，从 而能够安全地传输信息。然而，对称密钥本身的分发却是个无法解决的问题。即如果密 钥能够安全地通过网络在通信双方间分发，那么信息的安全传输就不成问题，何必要加 密信息呢? 而如果密钥不能安全地通过网络进行分发，那么密钥就可能被攻击者获得， 这样的话，即使用密钥加密了信息，那又有什么用呢? 而且，随着时代的发展，光靠加 密信息已无法满足人们的需求，人们对数字签名的渴望越来越大。对称密码学中通信双 方共同拥有密钥的特点使得其无法满足数字签名的唯一性要求，因此自然无法实现数字 签名。 针对上述两个典型问题，随后出现的非对称密码学【l 】通过公钥和私钥分丌使用的方 法加以解决。公钥，顾名思义是公开的，而私钥则是要绝对保密的。公钥加密的信息私 钥可以解密，私钥加密的信息公钥也可以解密。将公钥公开，自然解决了密钥分发的问 题。而私钥由于只有单方拥有，实现数字签名也水到渠成了。然而，由于非对称密码学 的算法理论基础往往都是基于某个复杂的数学难题，因此在性能上，其损耗要比对称密 码学大很多。 为了同时兼有对称密码学和非对称密码学的优点，混合密码学【2 】应运而生。至此， 密码学的理论基础已发展得相对完善，各种对称密码算法和非对称密码算法层出不穷， 基于密码学理论的各种应用 6 q o 】也在不断延伸，密码学应用的发展呈现出百家争鸣的局 面。 1 9 7 7 年，美国麻省理工学院的r i v e s t ，s h a m i r 和a d l e m a n 三位年轻教授提出了以其 姓氏首字母命名的r s a 公钥密码系统。该系统在随后的近三十年里得到了广泛的应用， 是目前使用最广的、被证明是最安全的公钥密码系统之一。 文献 2 】中提出了一种基于r s a 的层次公钥基础设施建设方案，能够实现匿名双向 认证的功能。其方案简要设计思想如下：所有节点都有其r s a 公钥私钥对。每个域中 有一个可信的c a ，该c a 用其私钥为该域的所有成员签发证书并将自己的公钥在域中 所有节点间共享。当域中节点间需要进行通信时，通信双方先交换彼此的证书并用该域 c a 的公钥进行验证。验证通过后即可从对方证书中获取对方公钥从而进行可靠地通信。 该方案还通过上级c a 给下级c a 签发证书从而形成证书链来对多个域进行分层管理。 可见，在上述方案中，c a 至关重要，这样使得c a 极易成为攻击者的首选目标。而 l 1 绪论 硕士论文 由于c a 的唯一性，使得其一旦被成功实施攻击，对于整个域而言，危害是巨大的。为 了解决类似c a 这样重要的节点的抗毁性，进一步提高安全性，文献 3 提出了一种基于 拉格朗同多项式的( t ，n ) 门限理论，可以将r s a 非对称密钥体制中的私钥分存到1 1 个节点中，其中只要有t 个节点经过合作就可以实现私钥的全部功能。通过这种方法， 可以将原来的c a 由一个物理节点来实现变成由n 个节点来实现，其中只要有t 个节点 能够正常工作就可以实现c a 的全部功能。随着研究的不断深入，门限理论不断得到发 展，各种基于r s a 的门限签名方案 2 1 , 2 2 , 2 5 , 3 4 】、基于椭圆曲线的门限签名方案 2 9 , 3 3 】、门限 代理签名方案 2 2 , 2 7 , 3 6 】、自认证门限签名方案 2 4 】、前向门限签名方案 3 0 , 3 3 , 3 4 l 、门限群签名 方案 2 3 2 4 ，3 9 ，4 0 】相继被提出。 1 2 研究目的 为了在一种节点易被入侵和攻击的环境下建立一整套安全通信机制，本文在p k i 理 论的基础上，提出一个较为完整的匿名双向认证系统。该系统在保证p k i 理论原有功能 的基础上，还具备无中心、自适应、认证优化、可追踪等特点。 本论文研究课题是某部“十一五”重点预研课题“x x x x 安全防护技术”研究的子课 题。 1 3 论文所做的工作 本论文所做的主要工作如下： 1 、匿名双向认证系统的方案设计。研究了p k i 理论、基于拉格朗同多项式的( t ，n ) 门限理论、c b f 方法、分布式r s a 参数生成方法等理论，详细分析了分布式c a 不同 生成方法和签名方法的安全性和有效性，构建了一种可收缩的分布式c a 构造算法，提 出了一个较为完整的匿名双向认证系统。该系统自动继承p k i 理论的各项优点，同时， 还具备无中心、自适应、认证优化、可追踪等特点。系统的方案设计包含了系统的初始 化设计、运行设计和自重组设计，涵盖了系统生命周期的全过程。 2 、匿名双向认证系统的协议设计。设计了一整套系统的交互协议，包括域内双向认 证协议、伪名证书更新协议、节点定期通告存在协议、失效节点处理协议、证书撤销协 议、节点c r l 更新协议、申请担保证书协议、分布式c a 签发证书协议等，解决了认 证证书过程中的d o s 攻击问题，避免了长时间使用相同伪名和证书的统计分析泄密问 题，实现了伪名和证书变换可追踪功能和分布式证书管理功能。 3 、系统参数发布的效度保障策略。提出了在一定概率范围内确保决议正确发布的策 略，解决了自重组过程中发布节点由于缺乏有效监督可以任意篡改系统参数进行发布的 问题。 4 、系统方案的验证。为了对本文提出的系统设计方案和交互协议的安全性和可靠性 2 硕士论文 基于r s a 的匿名双向认证系统的设计与实现 进行验证，本文实现了匿名双向认证系统原型程序。 1 4 论文的内容和结构 本论文的组织结构如下： 第一章，主要介绍本课题的研究现状，本文的研究目的等。 第二章，主要介绍了本系统所需用到的基本概念和方法，并就其中些主要方法进 行了分析和比较。 第三章，主要介绍了本方案所提出的系统是如何初始化的，其中包括整个系统的信 任关系建立和所有域的初始化方法。 第四章，主要介绍了本方案所提出的系统的在初始化后是如何安全运行的，其中包 括域内双向认证协议，加密方法，解密方法，接收方不可抵赖方法【2 】，伪名、证书更新 协议，节点定期通告存在协议，失效节点处理协议，证书撤销协议，节点c r l 更新协 议，新节点加入协议，域间双向认证协议等。 第五章，主要介绍了本方案所提出的系统的分布式c a 被摧毁后，剩余节点是如何 自重组新c a 的，并就自重组过程中出现的一些问题进行了分析并提出了一种解决方法。 第六章，主要介绍了本方案所提出的系统的一个原型实现方法，其中包括原型系统 实现的总体框架和内、外部消息接口定义以及一些运行截图。 第七章，对本文内容进行了总结，明确了下一步需要深入研究的方向和内容。 2 基本理论的分析 硕l 论文 2 基本理论的分析 身份认证是信息安全技术中的重要一环，可分为实名认证和匿名认证。所谓实名认 证就是在认证通过的同时鉴别了对方的真实身份；而匿名认证则是在认证通过的同时没 有鉴别对方的真实身份。希望建立信任关系的双方彼此进行匿名认证就是所谓匿名双向 认证了。 通过密码学理论来实现匿名双向认证是常见的一种方法，通过门限理论来增强密钥 的安全性也得到了广泛的研究与发展。当前，基于r s a 和椭圆曲线等非对称密码学原 理的匿名双向认证系统仍在不断地前进与发展。 2 1 两种r s a 参数初始化方法 根据节点在初始化时是由自己来初始化一个目标节点( 往往是该节点自己) 的r s a 参数还是由多个节点共同协商完成一个目标节点( 往往是逻辑上的一个节点) 的r s a 参数初始化，节点r s a 参数初始化方法可分为有中心和无中心两种。 1 、有中心的r s a 参数初始化( cr s a ) 节点在初始化时由自己来初始化自己的r s a 参数：n = p q ( 其中p 、q 为大素数) 、 e 、d ，使得e 与痧( 聊互素且满足e d 三1m o d 痧( ) 。 该节点公布( n ，e ) 作为公钥，d 作为该节点的私钥秘密保存。 2 、无中心的r s a 参数初始化( n cr s a ) b o n e h 5 】等人提出了一种由n 个节点共同合作以获得一个目标节点r s a 参数的方法。 通过该方法，在最后，目标节点的r s a 公钥( n 、e ) 为n 个节点所共享，目标节点的 私钥d 则在n 个节点中分存。b o n e h 的方案描述如下： 用n 个节点来生成r s a 参数n 、e 、d ，使得n = p q 以及e d 三lm o d 矽( ) 成立，其中p 、q 是两个大素数( k 位) 。 第一步：每个节点i 任意选择两个k 位整数p ，、q ，并秘密保存。 第二步：所有n 个节点合作用一种秘密的分布式算法来计算 n = ( 局+ + 只，) ( 吼+ + g ，j ) ，并通过一个判定算法确保n 不能被一个小素数整除。 第三步：所有n 个节点合作用一种秘密的分布式算法来测试n 是否为两个素数的乘 积，如果测试失败，则转第一步重新开始。 第四步：给定一个公开指数e ，所有n 个节点合作用一个秘密的分布式算法来生成 一个分享的秘密d ，满足e d 兰lm o d ( ) ，其中节点i 唯一拥有d i ，且 d = d i 。 4 硕士论文 基于r s a 的匿名双向认证系统的设计与实现 通过b o n e h 的方案可见这1 1 个节点共同可以实现一个目标节点的功能，缺一不可。 3 、两种方法的比较分析 cr s a 所用方法即是普通的r s a 参数生成方法，适合域中普通节点的r s a 参数的 生成。显而易见，该方法生成的目标节点抗破译性和抗摧毁性都最差；而n cr s a 中 所用方法本质上就是由r 1 个节点共同承担一个目标节点的功能，这1 3 个节点缺一不可。 n cr s a 方法的这种特性要比cr s a 方法适合域c a 的r s a 参数构造，使得攻击者只 有获得所有n 个节点的私钥d i 才能获得目标节点( 即域c a ) 的完整私钥d 。这种方法 确实可以最大程度地提高域c a 私钥的抗破译性，然而其抗摧毁性还是最差，因为一旦 这n 个节点中的任何一个节点被摧毁以至无法工作，则域c a 的私钥再也无法合成，自 然也无法再提供域c a 的各种服务。从r s a 参数生成速度方面而言，因为n cr s a 的 算法明显要比cr s a 复杂，所以其生成速度要明显低于后者。 2 2 基于拉格朗日多项式的门限( t ，n ) 理论 节点a 可以将自己的私钥d 分存到n 个节点中，其中t 个节点即可恢复出节点a 的 私钥d 或代表a 进行签名。基本思路如下 3 】： 第一步：对于给定参数n ，t ( t s n ) 以及秘密d ，节点a 构造t 1 阶拉格朗同多项式 多项式f ( x ) 如下： f ( x ) = d + a l x + a 2 x 2 + + 口卜l x 卜1m o dn ( 2 2 1 ) 其中a ，a 为秘密的随机参数。可见f ( 0 ) 即为秘密d 。 第二步：计算t i = f ( i ) ，并发送i 给节点i ，i = 1 ，n ，如果需要恢复出d ，则转第 三步，如果不需要恢复出d ，而只需要用d 作为私钥对一个消息m 进行签名则转第四步； 第三步：恢复算法。如果要恢复出d ，则只要搜集任意t 个节点的t f 。，k = l ，t 即 可用以下拉格朗同插值公式恢复出d ： d = ( 兀f ) 。m o d n ( 2 2 2 ) k = l h = l kh 第四步：签名算法t 如果不允许恢复出d 而只是需要用d 对一个消息m 进行签名， 则 1 ) 任选t 个节点，k = l9o 9 t 。每个节点i k 保密其i 。，计算 d = ( 兀f ) t i km o d n ( 2 2 3 ) h = l 吆一钿 2 摹本理论的分析硕上论文 e i ：= 衍i t m o dn ( 2 2 4 ) 然后发送部分签名c f 。给签名合成者； 2 ) 签名合成者集齐t 个部分签名c f 。后，计算 c = 兀c tm odn ( 2 2 5 2 ) 这样即可在不得知d 的情况下获得完整的对消息m 的签名c 。 证明： 弘眠= m 鼽= 珑k = l 疆h = l i k - - i h 硝删 2 3c o m p r e s s e db l o o mf i l t e r s 原理 b l o o mf i l t e r s 4 是一种随机数据结构，其时间和空间效率都很高。它利用位数组可 以很简洁地表示一个集合，并能判断一个元素是否属于这个集合。然而b l o o mf i l t e r s 的 这种高效是要付出一定代价的：如果一个元素属于这个集合，则肯定能够判断成功；然 而，若一个元素不属于这个集合，也有小概率会把这个元素误认为属于这个集合。因此， b l o o mf i l t e r s 不适合那些“零错误”的应用场合。在能容忍适当错误率的应用场合下， b l o o mf i l t e r s 可以通过极少的错误换取存储空问的极大节省，并能快速判断一个元素是 否属于这个集合。 初始化时，b l o o mf i l t e r s 是一个包含1 1 位的位数组a ，每一位都置为o 。对于一个 包含m 个元素的集合s = 墨，x 。) 中的每一个元素x i ，使用k 个相互独立的哈 希函数h 将墨映射到 1 ，n 的范围内，并在数组a 中相应位上置1 。即对于j = 1 ，k ， 令h ，= h f ( ) ( 1sh ，sn ) ， a h 】= 1 。 当判断一个元素x 是否属于这个集合时，对x 用同样的k 个哈希函数进行处理， 并在数组a 中判断相应位是否为l 。若有的位不为1 ，则x 肯定不属于这个集合；若都 为1 ，则在可能有小概率错误出现的情况下认为x 属于这个集合。 而c o m p r e s s e db l o o mf i l t e r s 则是通过选择一个合适的t ，使在某一特定位为1 的概 率不为1 1 2 ( 例如可为1 3 ) ，并在保存或传输自仃无损压缩a ( 压缩后的位长为z ) ，在使 用前再将其解压。并且，在发布更新时可以使用文献 4 】中提出的d e l t a 技术来进一步地 提高效率。 由于b l o o mf i l t e r s 有一定的出错概率，因此需要适当地选择1 1 、m 、k 、t ，使得节点 不可能在两次更新的时间段内有效的找到假元素。 6 硕上论文 基于r s a 的匿名双向认证系统的设计与实现 2 4 分布式c a 参数初始化方法及分析 对于域中的普通节点，其r s a 参数都应采用cr s a 中所用方法来初始化自己的 r s a 参数。所以问题的关键是域c a 的r s a 参数生成方法。如果在一个安全、稳定的 环境下，自然可以用最简单的cr s a 方法来生成域c a 的r s a 参数，并将生成参数的 该节点作为域c a ，这也正是文献 2 中的做法。然而在一种节点易被攻击、破坏的环境 下，用单个节点来充当域c a 是很危险的，一旦该节点被破译或摧毁，则会给该域的所 有节点的安全性带来巨大的威胁，使得整个域无法正常运行。因此在本文所采用的方案 中将使用分布式c a 来代替单一c a 。所谓分布式c a 就是指在域中由n 个节点来共同 分担域c a 的职责，其中任意大于等于t ( ts n ) 个节点通过合作即可承担域c a 的职责， 而小于t 个节点将无法承担域c a 的职责。这n 个节点形成的一个逻辑上的c a 称为分 布式c a 。这n 个节点都称为分布式c a 节点。分布式c a 的证书称为其所在域的域证 书。经分析可以看出：t 越小，该域c a 抗摧毁性就越强而抗破译性就越弱；t 越大，该 域c a 抗破译性就越强而抗摧毁性就越弱。所以在实现本方案时应充分考虑t 值的选取， ”一1 一般建议t 取l 三 i 。 z 从上述分析可知，cr s a 和n cr s a 方法均无法直接构造出符合本方案需要的分 布式c a 的r s a 参数。因此本方案将结合文献 3 中所提及的基于拉格朗同多项式的门 限( t ，n ) 理论来构造出符合上述需求的分布式c a 的r s a 参数。 1 、基于cr s a 生成分布式c a 的r s a 参数方法( d c acr s a ) 第一步：新建一安全可信节点d e a l e r 加入域。 第二步：d e a l e r 用cr s a 方法生成该域分布式c a 的r s a 参数n 、e 、d ，并在域 内公布( n ，e ) 作为该域分布式c a 的公钥。 第三步：d e a l e r 从域中选取n 个相对更安全、可靠的节点，并用2 2 中方法将d 分 存到该域中的n 个节点中去，这n 个节点即为该域的分布式c a 节点。 第四步：d e a l e r 退出该域，须被封存或销毁。 2 、基于n cr s a 生成分布式c a 的r s a 参数方法( d c an cr s a ) 第一步：从域中选取n 个节点作为分布式c a 节点。 第二步：这n 个节点用n cr s a 方法生成该域的r s a 参数n 、e ，并在域内公布 h ( n ，e ) 作为该域分布式c a 的公钥，每个节点i 持有d 的一个份额，满足d = 乏：4 。 冒 第三步：每个域分布式c a 节点i ( i - 1 ，n ) 用2 2 中方法将自己的份额盔分存到 这n 个节点中去。( 注：这n 个节点中也可有部分节点不将自己的份额分存，这种不分 存自己份额的节点在本方案中称为关键节点。关键节点的存在会极大地降低系统的抗摧 7 2 基本理论的分析 硕士论文 毁性，因为缺少任何一个关键节点都无法行使域分布式c a 的功能，所以除非能绝对保 证关键节点的安全，否则不应该在域中出现关键节点。关键节点的一个最大的用途就是 其可以监督域分布式c a 的每一个行为，也就是说域分布式c a 的每一个行为都须得到 该域所有关键节点的支持方可成功。) 3 、两种方法的比较分析 在d c acr s a 方法中，分布式c a 的私钥d 直接用2 2 方法分存到r 1 个节点中， 因此不允许用2 2 中的恢复算法恢复出d ，但能使用2 2 中的签名算法来实现分布式c a 坩 的签名功能。在d c ad cr s a 方法中，分布式c a 的私钥d = 罗d ，先以d ，( i 二1 ，n ) 一 。 置。 的形式分存到这n 个节点中，然后每个d i 又用( t ，n ) f - j 限理论再一次分存到这n 个节 点中。因此，如果要对一个特定消息m 签名，签名合成者可以先用2 2 中的签名算法获 n 得嚷对消息m 的部分签名q ，然后集齐n 个部分签名q 后再计算c = 几c ，m o dn 以 f = l 获得对消息m 的完整签名。可见，使用这种方法每次对一个消息m 签名都要使用n 次 2 2 中的签名算法，计算量巨大。为了简化计算，经分析可以发现，我们只须严格限制d 不为某一个节点所知晓，而对d i 则无此严格限制。对d ，我们只要做到不让所有的d i 都 被某一个节点知晓即可。因此，如果n 个节点俱能正常工作，则部分签名c 可直接由持 有谚秘密分存的节点i 进行签名q = m 以m o dn ，签名合成者最后计算 玎 c = 几c ，m o dn 即可；如果有一个节点j 无法正常q - 作，则d j 已无保密需要，剩 i 余n ：1 个节点中任选一个节点k 来作为节点j 的代理节点，由该节点从其他n 2 个节点 搜集t 1 个d i 的分存，并用2 2 中恢复算法来恢复出d ，并发送j ，给其余n 2 个节点。 以后再进行签名时由节点k 计算部分签名吼与c ，并发送给签名合成者。这样即可在几乎 不损失安全性能的情况下大大简化分布式c a 的签名计算量。如果k 也失效，则在剩余 n 2 个节点中任选一个节点t 来计算d 。，并分发反给剩余节点，同时节点t 成为j 、k 节 点的代理节点并承担起 、k 节点的签名责任，以此类推。可见，只要这r 1 个节点中有t 个以上节点( 含t 个) 能正常工作，该域分布式c a 的功能即可实现。 从生成分布式c a 的r s a 的参数性能上看，d c ad cr s a 方法的计算量要明显大 于d c acr s a 方法的计算量。但从分布式c a 产生签名的性能上看，d c acr s a 每 做一次分布式c a 签名都须进行一次2 2 中的签名算法，计算量可观。如果d c ad cr s a 不使用简化算法，则每次签名须重复n 次2 2 中的签名算法，计算量巨大。而如果 d c ad cr s a 使用了简化算法，则当所有分布式c a 节点正常工作时每个节点只须计 硕上论文基于r s a 的匿名双向认证系统的设计与实现 算一次q = m 正m o dn ，签名合成者也只须计算一次c = 1 3c ，r oo dn ，计算 i = 1 量较少。即使有节点无法正常工作，那么对每个不正常工作节点只须做一次2 2 中所提 出的恢复算法。在最坏情况下，当域还能正常工作时，最多有n t 个节点无法正常工作， 也就是说最多只须做n t 次2 2 中的恢复算法。因此，综合看来，分布式c a 签名计算量 从大到小的排列顺序为： d c ad cr s a 的非简化签名算法 d c acr s a 的签名算法 d c ad cr s a 的简化 签名算法 两种方法还有一个明显的区别就是d c acr s a 方法需要一个d e a l e r ，而 d c ad cr s a 方法不需要。因此，在域初始化需分布式c a 大量签发域内节点的证书 时，在保证安全的情况下，可以用d e a l e r 来充当分布式c a 的临时物理节点以加快证书 签发的速度。而在某种无法使用d e a l e r 的情况下如系统中域c a 被摧毁无法正常工作须 自重组时，就只能使用d c ad cr s a 方法来进行域c a 的自重组。 4 、第三种生成分布式c a 的r s a 参数方法( d c ar s a 3 ) 根据上面的分析，结合d c acr s a 和d c ad cr s a 的优缺点，可以考虑采用以 下方案： 第一步：新建一安全可信节点d e a l e r 加入域。 第二步：d e a l e r 用cr s a 方法生成该域分布式c a 的r s a 参数n 、e 、d ，并在域 内公布( n ，e ) 作为该域分布式c a 的公钥。 第三步：d e a l e r 从域中选取n 个相对更安全、可靠的节点，并将d 分解成谚( i 1 ，n ， d = d ，) 分存到这n 个节点，这n 个节点即为该域的分布式c a 节点。 i = l 第四步：每个节点i ( i _ l ，n ) 用2 2 中方法将自己的份额d i 分存到这n 个节点中 去( 当然也可有部分节点不分存自己的份额而成为该域的关键节点) 。 第五步：d e a l e r 退出该域，须被封存或销毁。 5 、第三种方法和前两种方法的比较分析 d c ar s a 3 方法和d c acr s a 方法都适用于系统建立时对域进行快速的初始化， 两者效率差别不大。在系统运行时，从通信量上看，使用d c acr s a 方法创建的域分 布式c a 每次签名需要t 个节点合作，而d c ar s a 3 方法创建的域分布式c a 每次签名 需要n 个节点合作，因此d c ar s a 3 方法通信量要大于d c acr s a 方法。从计算量 上看，d c ar s a 3 可以使用类似d c ad cr s a 方法的简化签名算法，因此d c ar s a 3 方法计算量要小于d c u r s a 方法。考虑到本方案实施的环境，通信量更易成为系统 运行的瓶颈，所以在本方案后面将采用基于d c acr s a 方法来在系统建立时初始化 9 2 基本理论的分析硕上论文 域。 d c a _ i 乇s a 3 方法和d c a d c r s a 方法唯一的差别就是在d c 址s a 3 方法中采用 了d e a l e r ，因此可以加快系统建立时初始化域的速度，两者在系统运行时毫无分别。由 于d e a l e r 的存在，d c a r s a 3 方法也不适合用于进行系统中域c a 被摧毁后的自重组。 2 5 可收缩的分布式c a 构造算法( d c as h r i n k ) 上节所述的三种基于门限理论的构造方法都可以构造系统的分布式c a 。然而，当 分布式c a 遭受多次攻击后，门限值被打破时，分布式c a 也就无法正常工作。就算系 统运用了自重组方法，也是另外构造了一个新的分布式c a ，且因为前后分布式c a 的 私钥已经变化，原先分布式c a 签发的证书全部都已失效，域内所有节点必须全部向新 的分布式c a 申请新的证书，这样会造成通信和计算资源的极大浪费。 为了进一步增强匿名双向认证系统的抗摧毁性，本节提出一种可收缩的分布式c a 构造算法，以增强分布式c a 的自适应性。 在d c acr s a 小节中，当d e a l e r 完成第三步，将自己的私钥d 分存到n 个节点后， 可以将拉格朗同多项式函数f ( x ) = d + a l x + a 2 x 2 + + a t _ i x 卜1r o o dn 中 除a ，外的非常数项系数再次取不同的门限值用2 2 方法分布到n 个节点中去。例如，可 以把a r - l 用门限( t ，n ) ，a r 2 用门限( t 1 ，n ) ，a ，用门限( 3 ，n ) 分存到n 个节 点中去。这样，当分布式c a 节点数快到达门限临界t 时( 假设为m 且t ) ，可以让任 意t 个分布式c a 节点通过2 2 中介绍的恢复算法恢复出a t 一，并在所有的这m 个节点中 公布。每个分布式节点攻，k = 1 ，m ，重新用以下公式计算各自新的私钥分存f f 。： t i 。= t i 。一a t 一1 屯卜1m o dn ( 2 5 1 ) 这时，分布式c a 私钥的门限值已是( t 1 ，m ) 了。 证明： 对于本问题，只要证明t f 。为一新的t 2 次拉格朗日多项式函数 厂( x ) = d + a l x + a 2 x 2 + + a t _ 2 x 卜2m o dn 的值厂( ) 即可。 。= t 。一a t - 1 l k7 = f ( i k ) 一a t _ l 7 = d + 口l 屯+ 口2 屯2 + + 口卜l 卜1 一以卜l t 一1 = d + 口l 攻+ 口2 2 + + a t _ 2 l 。k 7 2 = 厂( 屯) r o o dn 由上可见，新生成的门限函数仍然满足厂。( o ) = d ，因此门限虽然变了，但分布式 c a 的私钥并没有变化，这样就不用更新域内所有节点的证书了。 如果分布式c a 节点数继续减少，则可用类似处理方法依次恢复出a t 一，a t 一， a ，从而使得分布式c a 的门限值可以不断收缩，可以更好地适应摧毁性的攻击。 在上面的举例中，除a 外的非常数项系数分别以门限( 2 ，m ) ，( 3 ，m ) ，( n 1 ， m ) 分布到n 个节点中。在实际运用中可以不限于此。只要能够做到每次在分布式c a 1 0 硕上论文基于r s a 的匿名双向认证系统的设计与实现 节点数目接近的分布式c a 私钥的门限值时有足够的节点可以依次恢复出q 一。， a ，口，那么分存系数的门限可以随意选择，一般建议这些门限值依次递减并 小于分布式c a 的私钥的门限值。 本节所述的方法可以提高匿名双向认证系统的自适应性，又可以减少自重组过程带 来的巨大的通信资源和计算资源的开销。然而，如果系统在遭受一次重大打击后，无法 有足够的节点恢复出系数，则本方法无效。此时，只能依靠自重组方法来重新生成新的 分布式c a 了。 2 6 本章小结 本章主要介绍和分析了本文设计的匿名双向认证系统中所要用到的理论和技术，并 就其中的重点分布式c a 的r s a 参数的初始化进行了详细的分析和比较，提出了一种 可收缩的分布式c a 的构造方法。针对系统不同生命周期的需要以及不同分布式c a 生 成方法和签名方法的特点，将会使用不同的分布式c a 的r s a 参数的初始化方法。 3 匿名双向认证系统的初始化设计 硕i ：论文 3 匿名双向认证系统的初始化设计 匿名双向认证系统初始化设计描述的是系统生命周期的第一阶段，也是其他各生命 周期的基础。因为在系统初始化时尚未处于易被攻击、破坏的环境下，故可以认为此时 处于安全环境，因此为了提高初始化的效率，在匿名双向认证系统初始化设计中，采用 基于d c a c r s a 和d c a s h r i n k 的方法来对系统进行初始化。 3 1 系统信任关系图 系统内部的信任关系是实现匿名双向认证的基础，本节主要介绍系统不同层次域节 点之间是如何建立信任关系形成一棵信任树的。 系统上下级域之间的信任关系通过证书链进行，因此不同域问的信任关系可以通过 追溯它们的证书链直到共同的祖先域即可实现。整个系统建立后的信任关系构成了如下 的信任树。 图3 1 1 系统信任关系树示意图 如图3 1 1 所示，根域分布式c a 用其私钥给所有一级域的分布式c a 签发证书，并 将自己的证书发送给它们。一级域的分布式c a 又用其私钥给其下属的所有二级域的分 布式c a 签发证书，并将自己的证书和祖先分布式c a 的证书发送给它们，以此类推。 这样，当不同域问的节点进行双向认证时，就可以追溯各自的证书链直到公共祖先分布 式c a 的证书，从而可以认证对方的证书，完成信任关系的建立。例如，如果一级域 n 1 中某节点a 想和二级域l 的某个节点b 进行双向认证，那么a 可以通过根域证书里 的根域分布式c a 的公钥认证一级域1 的域证书，从中取得一级域1 分饰式c a 的公钥； 然后，a 再利用一级域1 分布式c a 的公钥认证二级域1 的域证书，从而取得二级域1 1 2 硕上论文基于r s a 的匿名双向认证系统的设计与实现 分布式c a 的公钥；最后，a 用二级域1 分布式c a 的公钥认证b 的证书。同理，b 也 可追溯相同的证书链认证a 的证书。双方通过双向认证后，即可建立信任关系。 3 2 域的初始化 本节根据以下步骤初始化一个域： 第一步：新建一安全、可信节点d e a l e r 加入域。 第二步：d e a l e r 用cr s a 方法生成域分布式c a 的r s a 参数：n 、e 、d ，并在域内 广播公布( n ，e ) 作为域分布式c a 的公钥。 第三步：d e a l e r 从域中选取n 个相对更安全、可靠的节点，并用2 2 中方法将d 分 存到域中的a 个节点中去，这n 个节点即为域的分布式c a 节点。同时，d e a l e r 用 d c as h r i n k 中方法将拉格朗同多项式函数的非常数项系数全部分存到这n 个节点中。 第四步：域中除d e a l e r 外的每个节点i 用cr s a 方法生成自己的r s a 参数m 、岛、 d ，并发送公钥( m ，乞) 给d e a l e r 来请求证书。 第五步：d e a l e r 根据收到的每一个签发证书请求( m ，岛) 做以下操作： 1 ) 标记该节点为可完全信赖( 为以后担保新结点加入做准备) ； 2 ) 用域分布式c a 的私钥d 为域中每个节点i 签发证书，节点i 的证书内容包括( ， 已) ，信赖状态，证书有效日期等信息； 3 ) d e a l e r