（计算机软件与理论专业论文）基于ca的安全组播研究.pdf

兰她夫学硕士学位论文 壮十c a 的安令纽播研究 摘要 随着i n t e r n e t 的快速普及，出现了许多新的应用程序如电视会议、分布式 系统、计算机协同工作等。它们需要在多个计算机之间进行交互式通信。采用传 统的单播或者广播技术，都会增加网络的负担和造成带宽的浪费。组搔技术( i p m u l t i c a s t ) 正是针对这种问题提出的一种新的、高效的网络传输方案。它是基 于u d p i p 协议、面向多接收者的数据分发方式。 组播广泛的应用前景给组播技术的发展提供了一个机会，但是网络的开放性 也给组播的安全带来了极大的威胁。因此安全组播成为组捅技术研究的一个重要 热点领域。 在安全组播中，很多组播通讯需要对发送方进行身份认汪，只有被授权的发 送者才能向组成员发送消息，接收方在接受消息之前，先验证消息来源，只有通 过验证的消息才被接受。这就是安全组播中的源认证。 现有的源认证解决方案大部分都集中在处理成员认证上。我们可以将它们分 为两大类：一类基于消息认证码m a c ( m e s s a g ea u t h e n t i c a t i o nc o d e s ) ，另一 类基于公钥签名。这两种方案各自都存在先天的局限性。本文将c a 认证技术应 用到安全组播当中，建立了基于c a 的安全组播模型；在此基础上，分析和总结 了现有的两类源认证，提出了一个基于c a 的源认证方案。该方案在性能上较以 往方案有较大改进，并具有可靠的安全性。 关键词：安全组播：源认证：c a ；签名 兰# a 学硕士学位论文壮十c a 的安令纽播研究 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ei n t e r a c t ，s o m en e wk i n d so fa p p l i c a t i o n s o r w a i 罨s u c ha st vc o n f e r e n c e ，d i s t r i b u t e ds y s t e ma n dc o m p u t e rc o o p e r a t i o n w o r k i n gh a v ec o m e i n t oe x i s t e n c e t h e ya l ln e e di n t e r c o m m u n i c a t i o na m o n gm a n y c o m p u t e r s t h ea p p l i c a t i o n o ft r a d i t i o n a l t e c h n o l o g yo fu n i c a s t o rb r o a d c a s tw i l l a g g r a v a t et h eb u r d e na n dw a s t et h eb a n d w i d t ho fn e t w o r k i n g m u l t i c a s ti s t h ev e r y s o l u t i o nt ot h ep r o b l e ma n dp r e s e n t san o wa n de f f i c i e n tn e t w o r k i n gt r a n s p o r t a t i o n a p p r o a c h m u l t i c a s t i san ) 1 1 一r e c e i v e r o r i e n t e dd a t a d i s p a t c h i n gm e t h o d w h i c hi s b a s e do nu d p i pp r o t o c o l s t i l eb r o a da p p l i c a t i o np r o s p e c to fn m l t i c a s tp r e s e n t sac h a n c et od e v e l o p m c n to f n m l t i c a s tt e c h n o l o g y b u ti t b r i n g sl a r g et h r e a t t ot h es e c u r i t yo fm u l t i c a s tb yt h e o p e n e dn e t w o r k t h e r e f o r e ，s e c u r e m u l t i c a s tb e c o m e sa i m p o r t a n t h o tf i e h ti n m u l t i c a s tt e e h n i c a ir e s e a r c h h o w e v e r ，i nm a n yc a s e s ，t h e s e n d e rs h o u l db ei d e n t i f i e da n d o n l y t h e a u t h o r i z e ds e n d e rc o u l ds e n dm a s s a g et og r o u pm e m b e r t h er e c e i v e rw o u l di d e n t i 移 t h es o u r c eo ft h em e s s a g eb e f o r er e c e i v i n gi t ，a n dt h ea u t h e n t i c a t e dm e s s a g ea l o n ec a n 岛ea c c e p t e d w h i c hi st h es oc a l l e ds o u r c ea u t h e n t i c a t i o ni ns e c u r em u l t i c a s t t h ei n t e r e s ti nt h ee x i s t i n gs o l u t i o n st om u l t i c a s tg e n e r a l l yf o c u s e so n r e s o l v i n g m e m b e r s h i pa u t h e n t i c a t i o nw h i c hc a l l b ed i v i d e di n t ot w og r o u p s ：o n e g r o u pi s m a c b a s e d ，t h eo t h e ri sb a s e do np u b l i ck e ys i g n a t u r e t h e s et w og r o u p sa l lh a v e i n b o r nw e a k n e s s t h i s p a p e ra p p l i e s c at e c h n o l o g yt os e c u r em u l t i c a s ta n d e s t a b l i s h e sas e c u r em u l t i c a s tm o d e lw h i c hb a s e do nc at e c h n o l o g y w i t ht h i s f o u n d a t i o n ，w ep r e s e n tac a b a s e ds o u r c ea u t h e n t i c a t i o ns o l u t i o na f t e ra n a l y z i n gt w o k i n d so fs o l u t i o n sa p p l i e dn o w a d a y s t h en e ws c h e m eh a sag r e a t e rp r o m o t i o ni n p e r f o r m a n c e t h a nt h o s e a p p l i e dr e c e n t l ya n d ar e l i a b l es e c u r i t y k e y w o r d ：s e c u r em u l t i c a s t ，s o u r c e a u t h e n t i c a t i o n ，c a ，d i g i t a ls i g n a t u r e 兰州大学硬上学位论文基j ：c a 的安全组播研究 原创性声明 本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行研 究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、 观点等，均已明确注明出处。除文中已经注明引用的内容外，不包含任何其 他个人或集体已经发表或撰写过的科研成果。对本文的研究成果做出重要贡 献的个人和集体，均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名 日期：堕尘王 兰蝌丸学豫i 学箝建重： 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属兰9 1 i l 大学。本人完全了解兰州大学有关保存、使用学位论文的规定，同意学校保 存或向同家有关部门或机构送交论文的纸质版和电子版，允许论文被查阅和 借阅；本人授权兰州大学可以将奉学位论文的全部或部分内容编入有关数据 库进行检索，可以采用任何复制手段保存和汇编本学位论文。本人离校后发 表、使用学位论文或与该论文直接相关的学术论文或成果时，第署名单位 仍然为兰州大学。 保密论文在解密后应遵守此规定。 一：酶：塑蝉 兰她夫学硕士学位论文壮十c a 的安令纽播研究 第一章绪论 1 1 前言 1 p v 4 支持三种传输方式：单播、组播和广播。 单播是在一台源i p 主机和一台目的i p i e 机之间进行点对点通 信，其地址可以是i p 地址中的a 类、b 类和c 类。单播将信息。一次只 能发送给一个接受者。如果一台主机利用单播同时给很少量的接 收者传输数据，一般没有什么问题。但如果有大量主机希望获得 数据包的同一份拷贝时就很难实现。这将导致发送者负担沉重、 延迟长、网络拥塞。为保证一定的服务质量需增加硬件和带宽。 广播是在一台源i p t 机和网络中所有其它的i p 主机之间进行 点对多通信。广播地址是全】地址，通过广播可以在i p 子网内广播 数据包，所有在子网内部的主机都将收到这些数据包。广播意味 着网络向子网主机都投递一份数据包，不论这些主机是否乐于接 收该数据包。广播的使用范围非常小，只在本地子网内有效，因 为路由器会隔离广播通信。广播传输增加非接收者的开销。 组播是指在网络中将数据包以尽力传送的形式发送到网络中 的某个确定节点子集，这个子集称为组播组( m u l t i c a s tg r o u p ) 。 组播的基本思想是源主机只发送一份数据，这份数据中的目的地 址为组播组地址，组播组中的所有接收者都可接收到同样的数据 拷贝，并且只有组播组内的主机( 耳标主机) 可以接收该数据， 网络中其它主机不能收到。组播组用d 类i p 地址，其范围是 2 2 4 0 0 0 到2 3 9 2 5 5 2 5 5 2 5 5 。组播成员在网络上的分布是随意 的，可能会很分散，也可能很集中。用户可以动态地变更他与一 个组播组的关系，这种成员关系记录在路由器中，路由器根据这 些信息来决定是否转发一个组播报文。组播提高了数据传送效率， 减少了主干网出现拥塞的可能性。 兰 j h a 学硕士学位论文 基于c a 的安全组捕研究 1 2 组播的历史 实际上，组播的出现已经有一段时间了。早在二十世纪八f 年代初，斯坦福大学实施了第一次多目的通话，1 9 9 2 年i n t e r n e t 工程特别小组( i e t f ) 定义和发布了一个组播的网络标准，用于 建立组播主干网络( b i b o n e ) ，即在i n t e r n e t 上运行的单路广播和组 播综合网络。一些大的网络供应商如c is c o 和l u c e n t 也开始销售支 持组播的网络产品。从此组播的应用和研究开始越来越广泛和普 及。现在组播技术几乎得到了所有的有影响的计算机软硬件公司 的支持。 1 。3 组播的用途 通常谈到组播往往和视频会议、视频点播联系起来，的确， 第一个组播网络是视频网络，但是现在视频只是组播的应用之一。 它还应用于许多其他领域如多媒体应用、数据分发、实时数据组 播以及网络游戏和仿真等。 1 3 1 多媒体应用 现在越来越多的组播多媒体软件得到应用。常见的视频会议 软件允许会议的参加者交互共享音频、视频。它克服了以往要租 用昂贵的专线的缺点，而且通讯速度快，可容纳更多的与会者。 还有一种基于u n i x 的自板工具，它允许用户共享公共的电子白板， 使得众多的参加者在一个图文环境下交互操作和交流。 1 3 2 数据分发 数据分发是组播应用的另一领域。通过使用组播，一个公司 可以采用p u s h 的模式进行文件和数据的更新。这项技术允许公司 每天向他们的分布在各地的子公司或办公机构发布新的信息。如 连锁总店向各个连锁分店发布或更新统一的商品价格表等。它不 仅节省时间，而且能够作到使数据与远地站点的交互完全自动化。 兰她夫学硕士学位论文 壮十c a 的安令纽播研究 t 3 3 实时数据组播 实时数据组播应用的最好例子是将股票信息发送到交易大厅 的工作站，越来越多的金融和投资公司使用组播将信息送给他们 的客户。 1 3 4 网络游戏和仿真 组播很适合网络游戏和仿真应用的使用。它可用于有大量参 与者的游戏和仿真。参与的p c 机只需进入组播组就可接受或发送 游戏和仿真数据。这一技术将游戏空间分成众多的映像网格，每 一网格对应一个组播组，处于同一网格中的参与者可以接受或发 送和游戏进展有关的仿真数据。当玩家离开了这个空间进入另一 空间时，他便离开了这个组播组而加入另一个组。 1 4 组播研究的热点领域 传统的组播技术是建立在开放的网络上，管理简单。为了满足 更高层次的实际应用的要求，必须在技术和性能上加以改进和提 高。现在针对组播技术的中的传输不可靠( 使用的是用户数据报 协议) ，不安全( 无加密解密及成员管理等) 等特点及不同领域 的拥塞控制要求，组播技术的研究热点主要集中在提高组播的可 靠性、安全性和对拥塞控制协议的多样性的研究上。 1 4 1 可靠组播 当前，支持组播的标准传输层协议只有u d p ( 用户数据报协 议) ，因而组播报文的传输是不可靠的。i p 层的组播通信只提供 尽力型服务，不保证组播数据报文的可靠传输。研究高效和可靠 的可靠组播机制，完成类似单播服务中t c p 的可靠传输功能，成 为组播协议研究中的个重要热点。 1 4 2 安全组播 兰她夫学硕士学位论文壮十c a 的安令纽播研究 安全组播通讯不能简单地利用单播安全机制。 首先，身份认证不再局限于一对一的形式，而是一个群组成 员相互认证的形式，所以群组成员的认证机制必须具有可扩展性。 其次，组播是一个丌放的传输系统，任何非组成员都可以随 时向组播组发送垃圾信息，因此组播通讯容易受至i j d o s ( 拒绝服务) 类型的攻击，导致正常的组播业务质量下降，因此有必要进行传 送认证，只允许合法的组成员在组内传送信息。 第三，组播传输过程中的成员关系是动态变化的，具有不确 定性。组成员的动态加入和退出，就要求保证组播通讯的后向安 全( 以使退出组的成员无法访问当前正在进行的组通讯) 和前向 安全( 一个新加入的组成员无法访问以前的通信内容) ，所以组 会话密钥需要根据组成员的变化情况随时更新。 最后，由于组播大多用来传输海量的多媒体信息，很多应用 具有实时要求，这需要更有效的数据加密机制。因此，安全组播 机制是组播研究的另一热点领域。 1 4 3 拥塞控制 组播中拥塞控制协议的研究是另一热点研究领域。由于组播 应用领域广泛，所以一种组播的拥塞控制协议不可能满足所有的 需求，必须针对不同的应用设计不同的协议。需求的多样性导致 了组播拥塞控制协议指标的多样性。其中有两个重要的评价目标： 可扩展性和t c p 友好。可扩展性是指随着组规模的增大，拥塞控制 协议在性能下降前可以支持的用户数量；t c p 友好保证组播流量和 t c p 流量能公平地竞争带宽。这两个评价目标在一定程度上是对 立的，组播拥塞控制协议需要根据实际需求在两者间作出权衡。 1 。5 安全组播的研究现状 安全组播是近年才开始得到人们重视的一个新兴领域。国内 外在这方面的研究主要集中在以下两点： 组播的访问控制及成员管理，它是通过组密钥管理来解决： 4 兰她天学硕士学位论文壮十c a 的安令纽播研究 组播报文的源认证。 现在已经有大量的著述讨论组播密钥管理方案，已提出的组 播密钥管理方案，可分成三类，即集中控制式、分布式和分层分 组式。集中控制式的方案是在组中安排一个节点负责全组的密钥 生成、分发和更新。这个节点通常被称为根( r o o t ) 或组控制器 ( g r o u pc o n t r o l l e r ，简称g c ) 。在分布式的组播密钥管理中，参与 通信的节点是对等的，通过某种密钥协商算法生成组密钥。而分 层分组式的管理方案则将参与组播的成员进行分组。每个小组 ( s u b g r o u p ) 存在一个控制节点。这些控制节点组成了组播密钥管 理的第一层次。小组内部的密钥管理属于第二层次。这两个层次 可以独立地选择采用集中控制的管理方式或是分布式的管理方 式。这三种方案都各有优缺点。 相对于组播密钥管理方案来说，源认证方案的研究文献不是 很多。我们可以把已经提出的源认证方案分为两大类：一类是基 于公开密钥签名，另一类是基于消息认证码m a c ( m e s s a g e h u t h e n t i c a t i o i lc o d e s ) 。这两类方案都存在明显的缺点。前者由 于公钥签名的运算速度慢，所以该方案的整体速度难以令人满意， 在实际的安全组播应用中是不现实的。后者虽然速度相对较快， 但该类方案有的运算开销大，有的需要通讯上的同步或较多时延， 这些影响了它们实际应用。因此源认证技术研究有待深入。 1 6 论文的组织 本文在介绍了相关的密码学知识和c a 技术之后，着重讨论了安 全组播技术，将c a 认证技术应用到安全组播当中，建立了基于c a 的安全组播模型；在此基础上，在分析和总结了现有的两类源认证 方案后，提出了一种基于c a 的源认证方案。该方案应用c a 的认证技 术，有效克服了现有的两类方案的缺点。论文的后续内容组织如下： 第二章为密码学介绍，介绍了密码学的重要概念，包括对称密 钥机制、非对称密钥机制、单向散列函数及代表算法： 第三章为e a 技术，介绍了c a 认证的关键技术； 兰撼夫学碗士学位艳2 - 基于c a 的安命纽播研究 第四章为安全组播，详细讨论了安全组播技术，建立了基于c a 技术的组播密钥管理模型；分析和总结了现有的源认证方案，提出 了一种基于c a 的源认证新方案，并对其性能进行了分析。 第五章为总结及展望。 6 兰撼走举醺j _ = 学链谴文 攀 c a 的蛊会组播碰究 第二章密码学介绍 2 1 基本概念 密码学( c r y p t o l o g y ) 是研究秘密书写的原理和破译密码的 方法的一门科学。它包括密切相关的两方面内容：其一是密码编 码学( c r y p t o g r a p h y ) ，研究书写出好的密码体制的方法，保护 信息不被侦察：其二是密码分析学( c r y p t a n a l y s i s ) ，研究攻破一 个密码系统的途径，恢复被隐藏信息的本来面目。 值得注意的是，密码编码学不是要掩盖敏感信息的存在，而 是将它转换成难以理解的信息。一个成功的密码编码系统可以将 敏感信息转换成这样的乱码：即使窃听者获得了乱码，也无法从 中恢复出敏感信息。 2 1 1算法 所谓算法，是指为完成特定任务而制定的一系列详细的操作步 骤。密码学中的算法就是指一系列的公式、法则或程序，规定明 文和密文之间的变换方法。 在古代，密文的安全与否完全依赖于算法本身的保密与否。而 在当代，情况发生了本质的改变。密文的安全性不再依赖于算法 本身的保密性，而是依赖于密钥甚至是算法所建立的理论基础的 安全与否。算法本身则是公开的。现在有许多众所周知的代表性 算法，包括美国国家数据加密标准d e s ( d i g i t a le n c r y p t i o n s t a n d a r d ) ，国际数字加密算法i d e a ( i n t e r n a t i o n a ld i g i t a l e n c r y p t i o na 1 9 0 r i t h e m ) 、高级加密标准a e s ( a d v a n c e d e n c r y p t i o ns t a n d a r d ) ，公钥密码体制的代表算法r s a ( 它的名字 是由三个发明人r o n r iv e s 、a d i s h a m i r 和l e o n a r d a d le m a n 的 人名首字母的组合而成) 等。 2 1 2 密钥 兰她夫学硕士学位论文壮十c a 的安令纽播研究 现代的加密算法，其操作步骤是公开的。所以密钥就成了保证 密文安全的屏障。对于相同的明文，使用不同的密钥，在用相同 的加密算法处理后所得到的密文是不同的。因此密钥就象搅拌器 一样，又称加密变量。 密钥的长度因算法和安全要求的不同而不同。从d e s 的5 6 位 长到r s a 的3 0 9 2 位。密钥和明文是加密算法的输入，在分组密码 的加密过程中，密钥将作用于每一个分组，而流密码则作用于每 一位。 在对称加密算法中，加密密钥和解密密钥是相同的( 或至少可 很容易地由一个推算出另一个) ，而在非对称加密算法中，加密密 钥和解密密钥是不相同的。其加密密钥是公开的，又称公钥，其 解密密钥是私密的，又称私钥。 一个密钥的生成如果是基于某一程序化的算法或其它非随机 方法，那么这个密钥将容易被猜出来，从而认为是弱密钥。攻击 者若自己预测出密钥甚至是仅仅能缩小密钥可能的取值范围，那 么这个加密方法将很容易被攻破。但是在完全随机条件下生成强 密钥是有一定困难的，这就是随机数的产生。一般而言，不管程 序设计得如何复杂、完美，计算机中生成的随机数不能称为完全 意义上的随机数，而是伪随机数，这种算法统称为伪随机数生成 器。它是由一个种子数开始，尽量随机地将其处理成符合一定要 求的整数。之所以称它为伪随机数是因为它看起来象随机生成的， 但实际上它却是由一确定的种子数扩充得到的。这个伪随机数用 于密钥生成算法的输入，从而生成密钥。 2 1 3 加密算法分类 传统密码体制按对明文加密方式的不同而分为两大类：分组 密码( b 1 0 c kc i p h e r ) 和流密码( s t r e a mc i p h e r ) 。两种密码对 明文有着截然不同的处理方法。 2 1 3 1分组密码 兰她夫学硕士学位论文 壮十c a 的安令纽播研究 分组密码是将明文分成等长的组，逐组进行加密处理，然后依 次将形成的密文组合并成密文。解密过程和加密过程相似，仍然 按等长的组逐组进行解密处理。例如若明文长度是1 k 字节，分组 长度是5 1 2 位，则加密时，首先处理明文的头5 12 位数据，将其 加密，然后处理紧接着的5 12 位信息，依次类推，直到处理完所 有的明文信息。同样，解密时，仍然是以5 1 2 位长度为一个分组， 先处理密文的头5 1 2 位数据，将其解密，然后处理密文的下一个 5 1 2 位长的分组，依次类推，直到解密完成。 2 1 3 2 流密码 流密码是依次一位一位地处理明文信息，即在加密时，将加密 运算只对明文的一位走一遍，然后处理下一位，直到最后一位； 解密和加密时一样，将解密运算按位操作直至完成。就上例而言， 明文长度是8 1 0 2 4 位，故要操作8 1 9 2 次才能将明文处理成密文， 解密过程正好相反，需要进行8 1 9 2 次解密操作。 由于操作位长的不同，一般而言，分组密码处理速度上要优 予流密码， 2 1 4 密码系统 一个密码系统是一个集合，它由五部分组成： 加密算法( e n c r y p ta 1 9 0 r i t h m ) ：由加密密钥控制的加密 变换的集合； 解密算法( d e c r y p ta l g o r i t h m ) ：由解密密钥控制的解密 变换的集合； 明文空间( p l a i n t e x t ) ：全体明文的集合； 密文空间( c i p h e r t e x t ) ：全体密文的集合； 密钥空问( k e y ) ：全体密钥的集合，通常密钥分加密密钥 和解密密钥，它们因不同的密码系统而可能相同，也可能 不同。 一个密码系统的安全性主要由两个因素决定，一个是算法的 9 兰她夫学硕士学位论文壮十c a 的安令纽播研究 安全性，另一个是密钥空间的大小。密码系统用数学表达如下： c = e 。( m ) ； m = d 。( c ) 这里e 。代表加密算法，d 。代表解密算法，m 和c 分别代表明 文和密文，k 。代表加密密钥，k 。代表解密密钥。 下图给出了密码系统的模型【1 i 。 信道 图2 1密码系统模型 一个密码系统的基本要求是： 知道k 。时容易计算c = e 。( m ) ； 知道k d 时容易计算m = d 。( c ) 。 不知道k 。时由c = e 。( m ) 不易推导出m 。 2 1 5 密码体制分类 传统上将密码体制分为两类：对称加密和非对称加密。在一 些实际应用中，为了克服这两类密码体制的弱点，在密钥协商阶 段和秘密通讯阶段分别通过不同的密码体制实现。这种方法介于 两个密码体制之间者，习惯上称为混合密码体制。 2 1 5 1 对称加密 对称加密( s y m m e t r i ce n c r y p t i o n ) ，如下图所示，就是加密 密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称 加密算法中，加密密钥和解密密钥是相同的。 1 0 兰撼走举醺j _ = 学链谴文攀 c a 的蛊会组播碰究 圃慧固滁圜 发送方 ：i 接受方 这类算法要求发送方和接受方在安全通信之前，商定一个密 钥。密钥与明文信息是独立的或互不相干的，它一般是一个数量 可观的密钥空间中的某个值。对同一个明文，使用不同的密钥， 将得到不同的密文。因此，密文的输出依赖于特定的密钥。其安 全性依赖于密钥，泄露密钥就意味着任何人都可以对消息加密或 解密。只要通信需要保密，密钥就需要保密。 对称加密的加密和解密可表示为： c = e 。( m ) ； m = d 。( c ) 2 1 5 2 非对称加密 非对称加密理论是在7 0 年代被提出来的并被证明是可行的。 它是与对称加密思想完全不同的理论。它的加密密钥可以公之与 众，任何人都可以得到并用它来加密信息，但形成的密文只有拥 有对应的解密密钥的人才能解密。解密密钥是私密的，又称私钥。 这就象一个加了锁的信箱，任何人都可以往信箱里投入信件( 加 密过程) 而只有拿着信箱钥匙的人才能打开信箱看到信件( 解密 过程) 。非对称加密如下图所示： 兰她_ k 学硕圭学位论文 皋十c a 的安令纽播研究 回筹圆滁圃 发送方! ： 接受方 在非对称加密中公钥和私钥没有数学相关性，即用数学方法 不能由一个密钥推算出另一个密钥 非对称加密的出现解决了对称加密算法中的许多问题，如发 送方和接收方不用再密秘的协商共享密钥，如果接收方不只一个， 而是成百上千时发送方不用再管理这么多的密钥，而只是简单地 将自己的公钥公布出来，并允许众多的接收方来访问此公钥从 而共同商定一个安全的通信通道。 当然非对称加密也同样存在密钥安全问题，即私钥的安全性。 一旦私钥不再安全，整个加密系统将不再安全。 非对称加密的加密和解密可表示为： c = e 。，( m ) ； 龋= d 。；( c ) 2 1 5 3 混合加密 对称加密和非对称加密各有优缺点。 对称加密的优点是快速，但也有很多难以克服的缺点，如密 钥的协商，以及难以适应多用户等。非对称加密的优点是易于管 理，算法灵活，正好可以克服对称加密的缺点。但它有自身的缺 点就是速度慢。这样一种混和加密的思想就应运而生，即用非对 称加密来完成共享密钥的协商而加密算法用对称加密来完成，这 样既有了对加密的快速又有了非对称加密的易于管理和灵活。 1 2 兰她夫学硕士学位论文壮十c a 的安令纽播研究 2 2 代表算法 2 2 1d e s 算法 d e s 是一个对称算法，其加解密算法是相同的，所用密钥也 是相同的，当然具体到每一轮加解密所用的予密钥的次序是相反 的。分组长度是6 4 位，密钥长度也是6 4 位但其中的8 位用于奇 偶校验( 不参加运算) 。 其大致过程是：通过一个初始置换，将明文分组分成左半部 和右半部分各3 2 位长。然后进行1 6 轮完全相同的运算，这些运 算称为函数f ，在运算过程中数据与密钥结合。经过1 6 轮后，左、 右半部分合在一起经过一个末置换( 初始置换的逆置换) 后算法 结束。过程见下图 2 】： l i 尸r 口oj 臣豆亘回 电二二望三三l k ， ； j 垂二r a = l f ( r u k 2 ) ：二一 一 - - x 二童正 匝歪奎亘囹 专 = 二 一 图2 4d e s 算法 一一 兰她夫学硕士学位论文壮十c a 的安令纽播研究 具体在每一轮中，先将密钥位进行移位( 每轮移位不同) ，然 后从5 6 位中选出4 8 位：数据右半部分的3 2 位通过一个扩展置换 扩成4 8 位，并与4 8 位密钥异或：通过8 个s 一盒，将这4 8 位替 代成新的3 2 位数据；再将该3 2 位数据嚣换一次。这四步操作构 成函数f 。然后，将其输出与左半部分异或，从而形成新的右半部 分，原先的右半部分则为下一轮的左半部分。这样共进行1 6 次运 算。 d e s 算法是7 0 年代中期由美国国家标准局( n b s ) 公布的， 它源自i b m 。由于其密钥空间相对较小，在1 9 9 8 年被强力攻击击 破。现在攻击一个d e s 算法只需不到2 4 小时。鉴于此，n b s 于 2 0 0 1 年发布了更安全的加密标准a e s 算法，但它作为现代密码算 法的代表所起的作用功不可没。 2 2 1r s a 算法 在非对称加密的算法中，应用最广泛最具代表性的当属1 9 7 6 年出现的r s a 算法，它的名字是以三个人r o n r i v e s t 、a d i s h a m i r 和l e o n a n d a d l e m a n 的名字命名的。 r s a 的安全基于大数分解的难度。其公开密钥和私人密钥是 一对大数( 1 0 0 到2 0 0 个十进制位) 的函数。从公开密钥和密文中 恢复出明文的难度等价于分解上述两个大素数之积。其密钥产生 过程为：选取两个大素数p 和q ，为了获得最大程度的安全性，两 数的长度一样，计算乘积 n 2p + q 随机选取加密密钥e ，使e 和( p 一1 ) ( q 1 ) 互素。解密密 钥d 由欧氏扩展算法求得，满足： e d ；lm o d ( p 1 ) ( q 1 ) 则有： d = e 1 m o d ( p 1 ) ( q 一1 ) e 和n 是公开密钥，d 是私人密钥。两个素数p 和q 不再需要， 1 4 三燮兰! 燮竺i 望： 整主垒箜塞全笙堡壁窒 应该舍弃，绝不能泄露。 对明文m 加密时，将m 分成比n 小的数据分组m i ，加密后 的分组c 。为： c i = m i 。m o dn 密文c 则由所有这些密文分组c i 合并而成 解密时，对每一分组c i 计算： m i = c i 4 ( m o d n ) 至目前为止，该算法已经受住了深入的密码分析。密码分析 者既不能证明r s a 是安全的也不能证明它是不安全的。 r s a 的最大的弱点是其运算速度，它比d e s 慢两个数量级。 2 2 3 单向散列函数 单向散列函数h ( m ) 作用于一任意长度的信息m 输出一固 定长度的散列值h ，函数表达如下 h = h ( m ) 它满足如下条件： 由m 到h 很容易计算，但反之很难 给定m 要找到另一m 7 满足h ( m ) = h ( m 7 ) 很难单向散 列函数的重要之处就是赋予m 唯一的指纹主要用于数字 签名和完整性检测 单向散列函数中的另一重要概念是抗碰撞。所谓抗碰撞指对 一单向散列函数h ，要找出两个消息m 和m 7 使得 h ( m ) = h ( m 7 ) 很困难。 现在已有很多的单向散列函数投入应用如m d 5 和s h a l 等，其中r s a 公司的r o n r i v e s t 发明的m d 5 算法具有一定的代表 性。 m d 5 是m d 4 的改进版，对任意的输入信息，输出1 2 8 位的散 列值。它以5 1 2 位为一分组对输入信息进行处理，每一一分组再划 分为1 6 个3 2 位子分组。算法的输出由四个3 2 位分组组成，将它 兰她_ k 学硕i 学位论文 皋十c a 的安令纽播研究 们级联成一个1 2 8 位的散列值。处理过程大致为： 首先填充消息使其长度正好为一个比5 1 2 的倍数仅小6 4 位的 数。然后在其后附加6 4 位的消息填充前的长度。 初始化四个3 2 位变量： a = 0 x 0 12 3 4 5 6 7 b = o x 8 9 a b c d e f c = 0 x f e d c b a 9 8 d = 0 x 7 6 5 4 3 210 接着进行算法的主循环，循环的次数是消息中5 1 2 位分组数 目。将上面四个变量复制到另外的变量中：a 到a ，b 到b ，c 到 c ，d 到d 。 主循环有四轮，每轮很相似。每一轮进行1 6 次操作。每一次 操作对a 、b 、c 和d 中的三个做一次非线形函数运算，然后将所得 结果加上第四个变量、文本的一个子分组和一个常数。再将所得 结果向左环移一个不定的数，并加上a 、b 、c 和d 中之一。最后用 该结果取代a 、b 、c 和d 中之一。所有四轮结束之后，得到经过取 代之后的新的a 、b 、c 和d ，然后各自分别与相应的a 、b 、c 和 d 相加，得到新的a 、b 、c 和d 。然后用这组新的a 、b 、c 和d 重复上述步骤处理消息的下一个分组，直到处理完消息的所有分 组。最后所得的a 、b 、c 和d 依次级联成1 2 8 位的输出。 各轮的操作分别表示为如下函数： f f ( a ，b ，c ，d ，m i ，s ，t i ) 三a = b + ( a + f ( b ，c ，d ) + m + t ) s ； g g ( a ，b ，c ，d ，m i ，s ，t i ) - - - - - - a = b + ( a 十g ( b ，c ，d ) + m + t ) s ； h h ( a ，b ，c ，d ，m i ，s ，t i ) 三a ；b + ( a + h ( b ，c ，d ) + m + t ) s ； i i ( a ，b ，c ，d ，m i ，s ，t i ) 兰a = b + ( a + i ( b ，c ，d ) + m + t ) s ； 其中f ( x ，y ，z ) 、o ( x ，y ，z ) 、h ( x ，y ，z ) 和i ( x ，y ，z ) 分别表示四个 非线形函数： f ( x ，y ，z ) = ( x 八y ) v ( ( 1x ) 八z ) ； g ( x ，y ，z ) = ( x 八z ) v ( y ( 1z ) ) ； h ( x ，y ，z ) = x o yo z ； 1 6 兰她天学硕i 学位论文 壮十c a 的安令纽捅研究 i ( x ，y ，z ) = yo ( x v ( - iz ) ) ； 认证机构 有效日期 ( 起婚日鞠和柱止日精) 对象名称 对象公i 茸珐标识符l 钥信息j 2 铜 i 认证机柯唯一标识符 对象信思 认证 j i构的签名 图3 2 数字证书 认证机梅的私钥 繁 t 其各个域的说明如下： 证书版本号 该域是标明该证书的格式所执行的标准，现在的通行的 x 5 0 9 是第三版。 证书序列号： 每个c a 所颁发的数字证书都有该证书颁发机构生成的序列 号，就象身份证的号码一样，每个证书对应一个唯一的序 列号。 签名算法标志符： 用于说明颁发机构所使用的签名算法； 认证机构： 说明证书颁发机构的具体名称； 有效日期： 每个证书都有一个具体的有效同期，该域指明该证书有效 日期的开始日期和截止日期； 对象公钥信息： 该域包括两方面内容，一个是公钥信息，另一个是该公钥 兰撼走举醺j _ = 学链谴文 攀 c a 的蛊会组播碰究 所适用的加密算法： 认证机构唯一标识符： 指明颁发机构对应的标识符，如果该颁发机构是一个大型 的p k i 系统的一个子机构，则该系统将会对每一个颁发机构 赋予一个唯一的标志符。 对象信息； 说明该证书拥有者的身份信息诸如名称、邮箱等能唯一说 明该用户身份的信息。 认证机构签名： 该域是颁发机构使用签名算法对所有证书信息( 本域信息 除外) 的一个签名。 当用户向某一服务器提出访问请求时，服务器要求用户提交 数字证书。收到用户的证书后，服务器利用ca 的公开密钥对c a 的签名进行解密，获得信息的散列码。然后服务器用与ca 相 同的散列算法对证书的信息部分进行处理，得到一个散列码，将 此散列码与对签名解密所得到的散列码进行比较，若相等则表明 此证书确实是ca 签发的，而且是完整的未被篡改的证书。这样， 用户便通过了身份认证。服务器从证书的信息部分取出用户的公 钥，以后向用户传送数据时，便以此公钥加密，对该信息只有用 户可以进行解密。 3 1 3 数字签名 数字签名技术是c a 认证的核心技术之一，它的实现基础就是 加密技术。它可以鉴别他人是否对传输的数据进行破坏，以及如 何确定发信人的身份。 签名过程如下： 发送者a 1 ic e 对报文m 进行哈稀运算： h = h ( m ) 其中h ( ) 代表哈稀函数； 然后对运算结果h 用其私有密钥k 。进行加密运算： 兰她夫学硕士学位论文 皋十c a 的安令纽播研究 c = e 一( h ) 其中e 。( h ) 表示用密钥k 。对h 进行加密。这样就得到了对报文 m 的数字签名。 验证过程如下： 接受者b o b 对收到的签名报文c ，用a 1 ic e 的公开密钥进行解 密运算： h = d 。( c ) 其中d 。( c ) 表示用密钥k ，。对c 进行解密运算。得到报文m 的哈 希值：然后用与发送者h l i c e n 同的哈稀函数对收到的报文m 进行 哈稀运算： h7 = h ( m ) 比较h 和h 7 ，相同则证明收到的报文是k l i c e 发送的而且没有被 改动：否则签名验证失败。 由于a i ic e 的私有密钥仅为a 1 i c e 一个人拥有，从而能够保障 签名的唯一性，即保证：数据由k l i c e 自己签名发送，a i i c e 不能 否认或难以否认；数据自签发到接收这段过程中未曾作过任何修 改，签发的文件是真实的。假若a l i c e 要抵赖曾发送报文给b o b 。 b o b 可将m 及c 出示给第三者。第三者很容易用k ，。去证实a 1 ic e 确实 发送消息m 给b o b 。反之，如果是b o b 将m 伪造成m 7 ，则b o b 不能在第 三者面前出示e 。( h ( m ，) ) 。这样就证明b o b 伪造了报文。 3 2c a 认证中心 c a 是p k i 的核心，是一个可信的实体。负责发放和管理数字 证书。对于一个大型的应用环境，认证中心往往采用一种多层次 的分级结构，各层c a 按照目录结构形成一棵树。各级的认证中心 类似于各级行政机关，上级认证中心负责签发和管理下级认证中 心的证书，最下一级的认证中心直接面向最终用户。而对于小型 的p k i 应用系统，则只有一个独立的c a ，它是上述结构一个特例。 实际上就是一个简化的c a 认证中心。c a 可以自己创建，也可以 是一个第三方机构。 兰撼走举醺j _ = 学链谴文 攀 c a 的蛊会组播碰究 3 2 1c a 功能 c a 认证中心主要有以下几种功能： 证书的颁发 中心接收、验证用户( 包括下级认证中心和最终用户) 的数 字证书的申请，将申请的内容进行备案，并根据申请的内 容确定是否受理该数字证书申请。如果中心接受该数字证 书申请，则进一步确定给用户颁发何种类型的证书。新证 书用认证中心的私钥签名以后，发送到目录服务器供用户 下载和查询。为了保证消息的完整性，返回给用户的所有 应答信息都要使用认证中心的签名。 证书的更新 认证中心可以定期更新所有用户的证书，或者根据用户的 请求来更新用户的证书。 证书的查询 证书的查询可以分为两类，其是证书申请的查询，认证 中心根据用户的查询请求返回当前用户证书申请的处理过 程；其二是用户证书的查询，这类查询由目录服务器来完 成。目录服务器根据用户的请求返回适当的证书。 证书的作废 当用户的私钥由于泄密等原因造成用户证书需要申请作 废时，用户需要向认证中心提出证书作废的请求，认证中 心根据用户的请求确定是否将该证书作废。另外一种证书 作废的情况是证书已经过了有效期，认证中心自动将该证 书作废。认证中心通过维护证书作废列表( c e r t i f i c a t e r e v o c a t i o nl is t ，c r l ) 来完成上述功能。 证书的归档 证书具有一定的有效期，证书过了有效期之后就将作废， 但是我们不能将作废的证书简单地丢弃，因为有时我们可 能需要验证以前的某个交易过程中产生的数字签名，这时 2 7 兰挑夫学硕士学位论文 皋十c a 的安令纽播研究 我们就需要查询作废的证书