（计算机软件与理论专业论文）基于pki的xdac模型的设计与实现.pdf

摘要 摘要 随着i n t e r n e t 的飞速发展，网络系统安全变得越来越重要。公钥基础设施 ( p u b l i ck e yi n f r a s t r u c t u r e ，p ) 已成为大多数重要的i n t e m e t 和无线通信的安全机 制的基础设施，例如，v p n ，w 心，3 g ； i a s s l 都利用了p 对技术。 本文首先介绍了p k i 的概念、特点和体系结构，然后详细介绍了p k i 的密码学 理论基础，讨论了对称密钥密码技术、非对称密钥密码技术、h a s h 函数、数字签 名和数字信封，分析了p k i 的体系结构，x 5 0 9 证书的内容，证书的认证过程，和 认证中心c a ( c e r t i f i c a t e a u t h o r i t y ) 的体系结构。 最后，论文提出了一个基于p k i 的x d a c ( c r o s s - d o m a i n a c c e s sc o n t r o l ， x d a c ) 应用模型。为了模型的异质平台普适性，同时也为了把重点放在认证的 应用逻辑上，我们选择了n e t 架构作为模型的开发平台，基于n e t 架构设计并 实现了简化的x d a c 模型。该模型可以用于i n t e r n e t 资源访问控制、安全通信、电 子商务等。 关键词：p ，证书，c a ，n e t ， x d a c ，x m l ，w e bs e i c e a b s t r a c t a b s t r a c t a st h ei n t e r a c ti sg r o w i n gq u i c k l y ，t h ed e m a n df o rn e t w o r ks y s t e m ss e c u r i t yi s g a i n i n gi m p o r t a n c e p u b l i ck e y i n f r a s t r u c t u r e e f f e c t i v e l y u n d e r p i n s t h em o s t i m p o r t a n ti n t e r n e ta n dw i r e l e s ss e c u r i t ym e c h a n i s m s ，f o re x a m p l e ，v p n ，w a p , 3 g a n ds s la l lm a k eu s eo fp k l f i r s t l y , t h i sp a p e ri n t r o d u c e st h ec o n c e p t i o n ，c h a r a c t e r i s t i ca n da r c h i t e c t u r e o f p k i t h e na r t i c l ee x p l a i n st h et h e o r yp k ib a s e d ，d i s c u s s e ss y m m e t r i cc r y p t o g r a p h y , a s y m r n e t r i cc r y p t o g r a p h y , h a s hf u n c t i o n ，d i g i t a ls i g n a t u r e ，a n dd i g i t a le n v e l o p e w h a t i sm o r e ，w ea n a l y z et h ea r c h i t e c t u r eo fp k i ，t h ec o n t e n to fx 5 0 9c e r t i f i c a t e s ，t h e a u t h e n t i c a t i o n p r o c e s s o fc e r t i f i c a t e s ，a n dt h ea r c h i t e c t u r eo f c a ( c e r t i f i c a t e a u t h o r i t y ) f i n a l l y , t h i sp a p e rp u t f o r w a r dap k i - b a s e dx d a c ( c r o s s d o m a i na c c e s s c o n t r o l ，x d a c ) m o d e l i n o r d e rt oa d a p ti tt om u l t i p l a t f o r mp r o p e r t ya n de m p h a s i z e t h e l o g i c o fa u t h e n t i c a t i o n ，w es e l e c tt h e n e tf r a m e w o r ka s t h e d e v e l o p m e n t p l a t f o r m ，u n d e rw h i c hw ed e s i g na n di m p l e m e n t t h es i m p l i f i e dx d a cm o d e l t h i s m o d e lc a nb e a p p l i e d t or e s o u r c ea c c e s sc o n t r 0 1o nt h ei n t e m e t ，s e c u r e c o m m u n i c a t i o na n de l e c t r i cc o m m e r c e k e y w o r d ：p k i ，c e r t i f i c a t e ，c a ，n e t ， x d a c ，x m l ，w e b s e r v i c e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人己经发表 或撰写过的研究成果，也不包含为获得鑫洼盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：嚆盱，出签字日期：工 乡 年，月，口日 j 学位论文版权使用授权书 本学位论文作者完全了解苤鲞盘堂有关保留、使用学位论文的规定。 特授权盔壅盘茔可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：畜v 毒 u 签字曰期：一二呻弓年，月，口日 导师签名 冶秘英 签字日期：z 一叼年f 月 o 日 第一章公钥基础设施p k i 技术概述 第一章公钥基础设施p k i 技术概述 1 1 公钥基础设施p k i 系统 由于电子商务、网上银行及网上证券交易的飞速发展，i n t e m e t 的安全性令 人瞩目。为此越来越多的安全协议如：s s l 、s e t 、s m i m e 、t l s 等得到广泛应 用。但是其中最新发展起来的安全技术和安全服务规范却是公共密钥基础设施 p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 。 用于安全的基础设施与一般基础设施一样，必须遵循同样的原理，即同样是 为了向实体提供服务。安全基础设施就是为整体应用系统提供安全基本框架，它 可以被应用系统中任何需要安全应用和对象使用。安全基础设施的“接点”必须 是同一的、便于使用的，就象t c p i p 栈和墙上的电源插座一样。只有这样，那 些需要使用这种基础设施的对象在使用安全服务时，才不会遇到困难。 这个具有一般性的安全基础设施首先应该是适用于多种环境的框架。这个框 架避免了零碎的、点对点的，特别是那些没有互操作性的解决方案，引入了可管 理的机制以及跨越多个应用和计算平台的一致安全性。 安全基础设施的主要目的就是实现应用支持的功能。安全基础设施能够让应 用程序增强自己的数据和资源的安全，以及其他数据和资源交换中的安全。怎样 使这种增强安全功能变得简单方便，易于实现是最重要的。这样它就必须： 具有易于使用、众所周知的界面。 基础设施提供的服务可预测且有效。 应用设备无需了解基础设施如何提供服务。 安全基础设施必须具有这些同样友好的接入点，为应用实体提供安全服务。 应用实体无需知道基础设施是如何实现安全服务的，只要求安全基础设施能够提 供一致有效的安全服务才是最重要的。 p k i 是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通 用性的安全基础设施。p k i 是遵循标准的利用公钥加密技术为网上电子商务、电 子政务的开展，提供一整套安全的基础平台，能够为所有网络应用透明地提供采 用加密和数字签名等密码服务所需要的密钥和证书管理。 使用基于公钥技术平台的用户建立安全通信信任机制的基础是：网上进行的 任何需要提供安全服务的通信都是建立在公钥的基础之上的，而与公钥成对的私 钥只掌握在与之通信的另一方。这个信任的基础是通过公钥证书的使用来实现 第一章公钥基础设施p k i 技术概述 的。公钥证书就是一个用户的身份与他所持有的公钥的结合，在结合之前，由一 个可信任的权威机构c a 来证实用户的身份，然后可信任的c a 对该用户身份及 对应公钥相结合的证书，进行数字签名，以证明其证书的有效性。 p k i 首先必须具有可信任的权威认证机构c a ( c e r t i f i c a t e a u t h o r i t y ) ，在公钥 加密技术基础上实现证书的产生、管理、存档、发放以及证书作废管理等功能， 并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及为p k i 体系中的各成员提供全部的安全服务。如：实现通信中各实体的身份认证、数据 保密性、数字完整性以及不可否认性服务等。 p k i 必须具有认证机构c a 、证书库、密钥备份及恢复系统、证书作废处理 系统，p k i 应用接口系统等主要组成部分。构建实施一个p k i 系统也将围绕这些 部分来进行。 1 认证机构证书的签发机构，它是p k i 的核心，是p k i 应用中权威的、 可信任的公正的第三方机构。 2 证书库是证书的集中存放地，提供公众查询。 3 密钥备份及恢复系统用户的解密密钥进行备份，当丢失时进行恢 复，而签名密钥不能备份和恢复。 4 证书作废处理系统证书由于某种原因需要作废，终止使用，这将通 过证书撤销列表c r l ( c e r t i f i c a t er e v c o c a t i o nl i s t ) 来完成。 5 p k i 应用接口系统是为各种各样的应用提供安全、一致、可信任的 方式与p k i 交互，确保所建立起来的网络环境安全可信，并降低管理技 术。 1 2 公钥基础设施p k i 的特点 p k i 是一个用公钥概念与技术来实施并提供一套安全服务的具有一般通用 性的安全基础设施。它的特点是： 1 节省费用。在一个大型组织中，实施统一的安全解决方案，比起实施 多个有限的解决方案，费用要节省得多。 2 互操作性。安全基础设施具有很好的互操作性，因为每个应用程序和 设备以相同的方式访问和使用基础设施。 3 开放性。任何先进技术的早期设计，都希望在将来能和其他企业间实 现互操作性。 4 一致的解决方案。安全基础设施为所有的应用程序和设备提供了可靠 的、一致的解决方案。 5 可验证性。安全基础设施为各种应用系统和设备之间的安全交互提供 第一章公钥基础设施p k i 技术概述 了可能，因为所有的交互采用统一的处理方式。也就是说，基础设施 的操作和交互可以被验证是否正确，这个独立的、可信任的验证机构 就是认证机构c a 。 6 可选择性。这里的可选择性是指基础设施提供者可选择性。基础设施 提供者可以是一个企业内部的特设机构，也可以从社会上的候选者中 选择。 1 3 公钥基础设施p k i 的内容 公钥基础设施p k i 的内容包括：认证机构，证书库，证书撤销，密钥备份与 恢复，密钥自动更新，密钥历史档案，交叉认证，时间戳。客户端软件等。 1 3 1 认证机构 认证机构是p k i 的核心组成部分，一般简称为c a ，通常称为认证中心。它 是数字证书的签发机构。p k i 服务系统的关键问题是如何实现密钥的管理，公钥 机制涉及到一对密钥，即公钥和私钥，私钥只能由证书持有者秘密掌握，无需网 上传输：而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥 的管理问题，目前较好的解决方案是引进证书机制。 证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形 同网络计算环境中的一种身份证，用于证明某一主体( 如人、服务器等) 的身份 以及其公开密钥的合法性。在使用公钥体制的网络环境中，必须有一个可信的机 构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关 系。c a 正是这样的机构。它的职责归纳起来有： 验证并标识证书申请者的身份： 确保c a 用于签名证书的非对称密钥的质量； 确保整个签证过程的安全性，确保签名私钥的安全性； 证书资料信息( 包括公钥证书序列号、c a 标识等) 的管理； 确定并检查证书的有效期限： 确保证书主体标识的唯一性，防止重名； 发布并维护作废证书列表； 对整个证书签发过程做日志记录： 向申请人发出通知。 1 3 2 证书库 证书库是c a 颁发证书和撤销证书的集中存放地，它象网上的“黄页”一样， 是网上的一种公共信息库，供广大公众进行开放式查询。证书及证书撤销信息的 分发方法是发布( p u b l i c a t i o n ) ，其想法是将p k i 的信息放在一个广为人知的、公 第一章公钥基础设施p k i 技术概述 开且容易访问的地点。这对那些大用户群体来说尤其重要，因为这个群体内的人 们相互之间都难以认识，这种发布就显得更有吸引力。因为，证书公钥最终是要 能够被他人获得而使用的，经常的使用是一含端实体能够和另一个端实体进行加 密通信，或者能验证另一个端实体的数字签名。 在公钥密码学发表的当初，就有人提出一种新想法：公钥可以以一种类似电 话簿的形式被发布和散发。目前，一般企业里的做法是将证书及证书撤销信息发 布到一个证书资料库里。证书库或资料库是一般意义上的术语，它所指的是一种 逻辑上集中的数据库，它可以在需要的时候存储或发布信息。由于证书的不可伪 造性，因此，可以在数据库中公布，而无需对资料库做任何形式的要求来保护这 些证书。 目前，对一个企业来说，通常的做法是将证书和证书撤销信息发布到一个数 据库中，称为目录服务器，它采用l d a p 目录访问协议，其标准格式采用x 5 0 9 系列。客户端可以通过多种访问协议从资料库里查询信息，并且可以做到实时查 询证书和证书撤销信息，而不需要太多的访问控制。 客户端与资料库可以通过不同的方式取得通信，如在客户端安装一个配置文 件，在系统初始化时，自动读入其中所指定的l d a p 服务器的i p 地址或d n s 。 在撤销的时候客户端可以从证书里的信息直接决定目标资料库的位置。 资料库应该支持分布式存放，即c a 机构所签发的证书，可以采用数据库镜 像技术，将其中一部分与本组织有关的证书和证书撤销列表存放到本地，以提高 证书的查询效率。从整体的布局来看，证书和证书撤销信息的查询，不应该成为 整个p k i 操作的瓶颈。为了获得及时的服务，资料库的访问和查询操作时间必 须尽量的短，证书和证书撤销信息必须尽量小，这样才能减少总共要消耗的网络 带宽。 当p k i 所支持的环境扩充到几十万或上百万用户时，p i g 信息的及时和强有 力的分布机制就显得非常关键，如目录服务器的分布式存放。这是任何一个大规 模的p k i 系统成功实施的基本需求，也是创建一个有效的认证机构c a 的关键技 术之一。 1 3 3 证书撤销 认证机构c a 签发证书来为用户的身份和公钥进行捆绑，可是在现实物理世 界中，由于种种原因，还必须存在一种机制来撤销这种捆绑关系，将现行的证书 撤销。这种撤销的原因通常有：用户身份姓名的改变、私钥被窃或泄露、用户与 其所属企业关系变更等。这样就必须存在一种方法警告其他用户不要再使用这个 公钥。在p k i 中，这种警告机制被称做证书撤销。所使用的手段为证书撤销列 表或称c r l 。 4 第一章公钥基础设施p k i 技术概述 在这里，证书撤销信息更新和发布的频率是非常重要的。一定要确定合适的 间隔频率来发布证书撤销信息，并且要将这些信息及时地散发给那些正在使用这 些证书的用户，在某些情况下，这种间隔可能相当长，如几个小时甚至几天一次； 而在某些场合，就是几分钟的间隔都是不能接受的。两次证书撤销信息发布之间 的问隔称为撤销延迟。撤销延迟必须作为证书策略一部分来规定，在给定一个应 用领域，其撤销措施必须遵照相应的策略。 证书撤销的实现方法有很多种。一种方法是利用周期性的发布机制，如证书 撤销列表c r l ，这是常用的一种方法；另一种方法是在线查询机制，如在线证 书状态协议o c s p 。 1 3 4 密钥备份和恢复 用户由于某种原因丢失了解密数据的密钥，则被加密的密文无法解开，造成 数据丢失。为了避免这种情况发生，p k i 提供了密钥备份与解密密钥的恢复机制， 这就是密钥备份与恢复系统。 在一个可操作的p k i 环境中，在证书的生命周期内，都会有一少部分用户 丢失他们的私钥，通常可能是由于以下原因： 遗失或忘记口令。虽然用户的加密私钥在物理上是存在的，但实际上不 可使用。 介质的破坏。如磁盘和i c 卡遭到破坏。 在很多环境中，特别是在一些企业中，由于丢失密钥造成被保护数据的丢失 是不可接受的。例如，在某项业务中的重要文件被对称密钥加密，而对称密钥又 被某个用户的公钥加密起来，假如改用户的解密密钥私钥丢失了，这些文件将无 法恢复，可能会对这次业务造成严重损失甚至停止，这是不可接受的事情。 密钥的备份与恢复形成了p k i 定义的重要部分。 一个证书的生命周期主要包括三个阶段，即证书初始化注册阶段、颁发阶段 和取消阶段。而证书密钥的备份与恢复就发生在初始注册阶段和证书的颁发阶 段。 1 密钥证书生命周期 密钥证书的生命周期如图1 - 1 所示。主要分为初始化颁发取消三 个阶段。其中初始化阶段是终端用户实体在使用p k i 的支持服务之前，必须经 过初始化进入p k i ，它由以下几步组成： 终端实体注册。 密钥对产生。 证书创建和密钥证书分发。 证书分发。 第一章公钥基础设施p k i 技术概述 密钥备份。 其中颁发阶段旦私钥和公钥证书已被产生即可进入颁发阶段。主要包括： 证书检索远程资料库的证书检索。 证书验证确定一个证书的有效性。 密钥恢复不能正常解读加密文件时，从c a 中恢复。 密钥更新当一个合法的密钥对将要过期时，新的公私密钥自动产生 并颁发。 其中取消阶段是密钥证书生命周期管理的结束。包括如下的内容： 证书过期证书的自然过期。 证书撤销宣布一个合法证书( 及相关私钥) 不再有效。 密钥历史维护个有关密钥资料的连续记录，以便对以后过期的密 钥所加密的数据可以被解密。 密钥档案为了密钥历史的恢复、审计和解决争议的目的，密钥历史 档案由c a 储存。 由此可见，密钥备份与恢复贯穿在这个生命周期的每个阶段。 图卜l 密钥证书生命周期管理 2 密钥备份 用户在申请证书的初始阶段，如果注册声明公私钥对是用于数据加密，出 于对数据的机密性安全需求，那么在初始化阶段，可信的第三方机构c a ，即可 对该用户的密钥和证书进行备份。当然，一个用户的密钥是否由可信任的第三方 机构c a 来备份，这是一个安全管理策略问题。一般c a 机构的安全策略，能满 足用户的可信任的需要。 用于数据签名目的的私钥绝对不能备份，因为数字签名是用于支持不可否认 第一章公钥基础设施p k i 技术概述 性服务的，不可否认性服务要与时间戳服务相配合，即数字签名有时间性要求， 私钥不能备份和恢复。 3 密钥的恢复 密钥的恢复功能发生在密钥管理生命周期的颁发阶段，它的功能就是将终端 用户因为某种原因而丢失的加密密钥予以恢复。这种恢复由可信任的密钥恢复中 心或c a 来完成。密钥恢复的手段可以从远程设备恢复，也可由本地设备恢复。 为了可扩展性与将p k i 管理员和终端用户的负担减到最小的原故，这个恢复过 程必须尽可能最大限度地自动化、透明化。任何综合的生命周期管理协议都必须 包括对这个能力的支持。密钥的恢复和密钥的备份一样，只适用于用户的加密密 钥，签名私钥不应备份，因为这样将影响提供不可否认性的能力。 1 3 5 密钥自动更新 一个证书的有效期是有限的，这样规定既有理论上的原因，又有实际操作的 因素。在理论上诸如关于当前非对称算法和密钥长度的可破译性分析同时在实 际应用中，证明密钥必须有一定的更换频度，才能得到密钥使用的安全性。因此， 在很多p k i 环境中，一个已颁发的证书需要有过期的措施，以便更换新的证书。 这个过程称为“密钥更新或证书更新”，它与证书作废撤销是两个概念。 对p k i 用户来说，实践证明用手工操作的方式定期更新自己的证书是一件 令人头痛的事情。因为用户常常会忘记自己的证书己过期，他们往往是在实际使 用中，经过认证失败时才发现问题，这时为时已晚。为此，用户必须完成密钥更 新过程，否则他们无法继续获得p k i 的相关服务。 为解决密钥更新的复杂性和人工干预的麻烦，应由p k i 本身自动完成密钥 或证书的更新，完全不需要用户的干预。它的指导思想是：无论用户的证书用于 何种目的，在认证时都会在线自动检查有效期，当失效日期到来之前的某时间间 隔内，自动启动更新程序，生成一个新证书来代替旧证书，新旧证书的序列号也 不一样。 1 3 6 密钥历史档案 经过一段时间后，每个用户都会形成多个“旧”证书和至少有一个“当前” 的证书。这一系列旧证书和相应的私钥就组成了用户密钥和证书的历史档案，简 称密钥历史档案。 记录整个密钥历史是一件十分重要的事情，比如说甲自己五年前加密的数据 或其他人用甲的公钥为甲加密的数据，无法用现在的私钥解密。那么，甲就需要 从他的密钥历史档案中找到合适的证书验证甲五年前的数字签名。 与密钥更新相同，管理密钥历史档案也应当由p k i 自动完成。在一个p k i 的系统中，若让用户自己去查找正确的私钥或用每个密钥去尝试解密数据，这对 7 第一章公钥基础设施p k i 技术概述 用户来说是无法容忍的，p k i 必须保存所有密钥，以便正确地备份和恢复密钥， 查找正确的密钥以便解密数据。 因为加密密钥最后过期，所以如果没有采取适当措施，没有将已过期的密钥 采取适当办法存储器来，就存在着加密后的数据可能变得无法恢复的危险。因此， 即使密钥资料过期了，可靠地和安全地存储它们是必须的。在p k i 中称为密钥 历史。 对要保存密钥历史的需求，主要是面向数据机密性服务。具体地说，就是被 用做解密的私有密钥资料才被存储，其目的是，在将来对加密密钥已加密的数据 进行恢复。而对于那些用于数字签名目的的密钥只能够通过密钥档案，适当地满 足这种要求。 密钥档案是对一般被c a 或其他信任机构所支持的密钥资料，包括密钥或证 书的长期储存。密钥档案与密钥历史不同，密钥档案主要用于审计和交易争端时 使用。所以，被用做审计目的的密钥档案及帮助解决争议，特别是与时间戳和公 证服务相结合的意义上，密钥档案不同于密钥历史。 密钥历史一般直接与终端实体相结合，以便在访问己过期的密钥加密的数据 时，方便地提供对该终端实体过期密钥资料进行访问；而密钥档案一般是由第三 方提供的服务，并且它涉及与许多终端实体有关的密钥资料的储存。因此，密钥 档案提供的服务包括：公证和时间戳服务、跟踪审计和终端实体的密钥历史恢复。 当局部密钥历史丢失或被破坏后。密钥档案服务是必需的。一个给定的终端实体 的密钥历史，可以由密钥档案设备存储起来，以便将来响应来自密钥历史所有者 的请求，或其他无终端实体己被授权访问该密钥资料的人的请求。 另外，在此必须指出的是，当试图验证一个已过期的密钥资料所创建的数字 签名时，密钥档案设备可能是必需的。因为，在这种情况下，要求恢复对该数字 签名有用的公钥证书。 1 3 7 交叉认证 建立一个管理全世界所有用户的单一全球性的p k i 是不太可能实现的。比 较可行的现实模型是：建立多个p k i 域，进行独立的运行和操作，为不同的地 理环境和不同的行业用户团体服务。 在一个国家内或在全世界范围内，在一系列独立开发的p k i 域中，至少其 中有一部分互联是不可避免的。由于业务关系的改变或其他一些原因，不同p k i 的用户团体之间必须进行安全通信。 为了在以前没有联系的p k i 之间建立信任关系，导致了“交叉认证”的概 念。在没有一个统一的全球p k i 环境下，交叉认证是一个可以接受的机制，因 为它能够保证一个p k i 团体的用户验证另一个p k i 团体的用户证书。 8 第一章公钥基础设施p k i 技术概述 交叉认证是p k i 中信任模型的概念。它是一种把以前无关的c a 连接在一起 的有用机制，从而使得它们在各自主体群之间实现安全通信。交叉认证的实际构 成方法，就是具体的交换协议报文。 交叉认证从c a 所在域来分有两种形式： 如果两个c a 属于相同的域，即在一个组织的c a 层次结构中，某一层 的一个c a 认证它下面一层的一个c a ，这种处理被称做域内交叉认证。 如果两个c a 属于不同的域，即在一家公司中的c a 认证了在另一家公 司中的c a ，这种处理被称做域间交叉认证。 交叉认证可以是单向的，也可以是双向的。c a i 可以交叉认证c a ：，即c a 2 没 有交叉认证c a l ；与此相反，c a i 与c a 2 可以互相交叉认证，这种相互交叉认证 导致了两个不同的交叉证书，这是常见的情况。 在x ，5 0 9 标准中给出了如下定义：从c a l 的观点来看，把它当做主体，而由 其他c a 来颁发证书，被称做“正向交叉证书”；被c a i 颁发的证书则叫做“反 向交叉证书”。如果一个x 5 0 9 目录被用做证书资料库，那么正确的正向和反向 交叉证书可以被存储在每个相关的c a 目录项中的交叉证书对结构中。这个结构 可以构造证书路径如图1 2 所示。 c a , 目录实体 交叉证书对 正向交叉证书 主体= c a i 颁发者= c a 2 反向交叉证书 主体= c a 2 颁发者= c a c a 2 目录实体 交叉证书对 正向交叉证书 主体= c 省2 颁发者= c a - 反向交叉证书 主体= c a l 颁发者= c a 2 图卜2c a i 与c a 2 之间相互交叉认证 表示了c a l 与c a 2 两个c a 的证书目录，分别存放了各自的交叉证书对，实 现了c a t 与c a 2 之间互相交叉认证。 交叉认证的目的，是被用做在不同的依托方群体中扩展信任。交叉认证的方 法有： 。 一个给定的c a 可以承认另一个c a 在其所控制的范围内被授权颁发证 书。 允许不同的p k i 域建立互操作路径。 交换根c a 的密钥并用外部域的根c a 的密钥填充每个终端实体的软、 9 第一章公钥基础设施p k i 技术概述 硬件。 1 3 8 支持不可否认性 p k i 的不可否认性是用于技术保证实体对他们的行为的诚实。通常指的是对 数据来源的不可否认和接收后的不可否认，一个p k i 用户经常执行与他们身份 相关的不可否认的操作，如甲对一份文档进行数字签名申明该文档出于他。由于 业务活动是不可中断的，因此要求用户在将来任何时候都不能随意破坏这种关 系。如甲签了某份文件，几个月之后，不能否认他的数字签名，或者说成别人获 取了他的签名私钥，是别人假冒他签名，并没有取得他的同意等，这样的行为称 为否认。 p k i 必须能够支持避免或阻止这种否认这就是不可否认性的特点。诚 然，一个p k i 本身无法提供真正的、完全的不可否认性服务。需要人为因素来 分析、判断证据，并做出最后的抉择。然而，p k i 必须提供所需要的技术上的证 据支持决策，提供数据来源认证和可信的时间戳数据的签名。 如果一个公司需要用p k l 支持不可否认性，那么维护多密钥对和多个证书 就是必要的了。要真正支持不可否认性，有一个必要条件，就是参与具有不可否 认性特征的操作，其私钥是不能被其他任何一方所知道的。否则，实体就会随便 地宣称这个操作不是我本人所为是另外一方执行了那个操作。这样，不可否认性 的要求就不能得到满足。 因此，如果一个证书及其相关的私钥是用于支持不可否认性的，它就永远地、 绝对地不能被任何一个其他实体所知道，其中包括可信任的实体c a 。在有些情 况下，这种密钥只能装载在防篡改的硬件加密模块中产生，或者能在i c 卡中产 生，签名私钥不出卡，也不能复制。与之相反，不是用于不可否认性的密钥，如 加密密钥，如前所述，它可在一个可信任机构( 如c a ) 中进行备份，并可以存 放在软件里。由于这两种需求的冲突，使得一个组织中的p i g 实体就得用有至 少两对不同的密钥及相关的证书。 1 3 9 时间戳 时间戳也称为安全时间戳，它是个可信的时间权威用一段可认证的完整的 数据的时间戳。最重要的不是时间本身的精确性，而是相关时间日期的安全性。 支持不可否认性服务的一个关键因素就是在p k i 中使用安全时间戳，就是浇时 间源是可信的，时间值必须被安全地传送。 p k i 中必须存在用户可信任的权威时间源，权威时间源提供的时间并不需要 正确，仅仅需要用户作为一个“参照”时间，以便完成基于p k i 的事务处理。 如事件a 发生在事件b 的前面等。一般p k i 中都设置个时钟系统统一p k i 的 时间。要求实体在需要的时候向这些权威请求在数据上盖上时间戳。一份文档上 i 0 第一章公钥基础设施p k i 技术概述 的时间戳涉及到对时间和文档内容的杂凑值( 哈希值) 的数字签名。权威的签名 提供了数据的真实性和完整性。 1 3 1 0 客户端软件 客户端软件是一个全功能、可操作p k i 的必要组成部分。只有客户端提出请 求服务，服务器端才会做响应处理。客户端软件的功能有： 询问证书和相关的撤销信息。 在一定时刻为文档请求时间戳。 作为安全通信的接收点。 进行传输加密或数字签名操作 能理解策略，知道是何时和怎样去执行取消操作。 证书路径处理等。 没有客户端软件，p k i 无法有效地提供很多服务。客户端软件应当独立于所 有应用程序之外，去完成p k i 服务的上述客户端功能。应用程序应通过标准接 入点与客户端软件连接，作为p k i 的客户端软件，应用程序是在使用基础设施。 客户端p k i 软件是一个运作上要考虑的问题，在设计一个公司的跨平台、 多设备的p k i 实施结构时，管理者必须要注意到这一点，认真考虑这种结构模 犁。 1 4 论文的主要工作 p k i 已成为大部分重要i n t e m e t 及无线通信安全机制的基础核心技术，例如， v p n s 、w a p 、3 g 以及h t t p s 都利用了p k i 技术。换句话说，公共密钥基础设 施p k i 是i n t e r a c t 和无线通信安全的基础核心技术。我们的主要工作是提出了一 种基于p k i 的交叉域访问控带1 ( c r o s s - d o m a i na c c e s sc o n t r o l ，x d a c ) 模型，并 在n e t 构架下利用p k l 实现了个简化的x d a c 模型。 x d a c 模型是在w 曲服务器和支持使用普通的具有s s l 功能浏览器进行访 问的网页的基础上进行扩展。客户端代理监控网页的请求，联系客户机c a 来获 得票据，将票据发送到服务器。服务器根据客户机所发送的票据是否是合法票据 来控制网页的访问。 论文在分析p k i 与认证中- t j , c a 体系结构的基础上，提出了一个基于p k i 的 x d a c 模型，为了系统异质平台的普适性，同时也为了把重点放在认证的应用逻 辑上，我们选择了n e t 架构作为我们的开发平台，并在n e t 构架下利用p k i 实现 了一个简化的x d a c 模型。该模型可以用于i n t e r n e t 资源访问控制、安全通信、电 子商务等。 第二章p k i 的密码学基础 第二章p k i 的密码学基础 p i g 的理论基础是基于密码学的。密码学包括密码编码学和密码分析学，密 码体制的设计是密码编码学的主要内容，密码体制的破译是密码分析学的内容。 密码编码技术和密码分析技术是相互依存，相互支持，密不可分的两个方面。 从密码体制方面而言，密码体制有对称密钥密码技术和非对称密钥密码技 术。对称密钥密码技术要求加密解密双方拥有相同的密钥，而非对称密钥密码 是由公开密钥和私有密钥组成，而且公开密钥和私有密钥在计算上是不能相互推 算出来的。 p k i 技术虽然主要是基于非对称密钥密码技术，即公开密钥密码技术，但同 时也交叉使用对称密钥密码技术，两者取长补短，相辅相成，使p k i 能够成为 方便灵活地提供安全服务的安全基础设施。 本章主要介绍p k i 中常用的密码技术包括：加密解密技术( 对称密钥密码 技术，非对称密钥密码技术，h a s h 函数) ，数字签名和数字信封等。 2 1 加密解密技术 加密是指使用密码算法对数据做变换，由明文变成密文，使得只有密钥的持 有人，才能恢复数据的原貌，即解密，将密文还原为明文。主要目的是防止消息 的非授权泄漏。 现代密码学的基本原则是：一切秘密寓于密钥之中。算法是公开的，密钥是 保密的。常用的加密，解密技术有：对称密钥密码技术，非对称密钥密码技术和 数据摘要。 2 1 1 对称密钥密码技术 对称密钥密码技术，也称为单钥密码技术。即加密密钥和解密密钥是相同 的。设加密密钥k 。，解密密钥为畅，则k 。= k 。，密钥必须特殊保管。对称密 钥密码技术的特点是，保密强度高，计算开销少，处理速度快，适合大文件加 解密。在p k i 中它与非对称密钥密码技术相结合，实现了很多安全服务手段。 对称密钥密码技术的缺点是密钥分发管理困难。目前对称密钥加密强度一般使用 1 2 8b i t 。 其过程如图2 - 1 所示。 对称密钥密码体制从加密模式上可分为流密码( 序列密码) 和分组密码( 块 密码) 两大类。在p k i 中常用的是分组密码算法。分组密码的工作方法是将明 第二章p k i 的密码学基础 文分成固定长度的( 块) 。设计分组密码算法的核心技术是：在相信复杂函数可 以通过简单函数迭代若干圈得到的原则下，充分利用非线性运算。 密钥世。 密钥k 。 k 。g )y = j k 。g ) ：y = k 。g )k 。c v ) z = 月已) 十一发方冉一收方一 图2 - 1 对称密钥加解密 1 9 9 7 年，n i s t 向密码学界征寻一个用于新的高级加密标准( a e s ) 候选算 法的提议。n i s t 规定候选算法必须满足下面的要求： 密码必须是没有密级的 算法的全部描述必须公开披露 密码必须可以在世界范围内免费使用 密码系统支持至少1 2 8b i t 长的分组 密码支持的密钥长度至少为1 2 8 、1 9 2 、2 5 6 b i t 在1 9 9 8 年8 月，已提交了1 5 个候选算法用于a e s 。2 0 0 0 年1 0 月2 日，n i s t 披露选择r i j n d a e l 作为a e s 的获胜者。候选算法和最后的a e s 获胜者都是基于 以下不同的特征而选择出来的： 安全性 - 容易实现，硬件和软件性能以及内存需求 密码的灵活性和简洁性 负责评估过程的n i s t 官员确信他们所评估的1 5 个候选算法中，r i j n d a e l 提 供了安全性、良好的软件和硬件性能、低内存需求以及灵活性的最好组合。 a e s 的候选算法r i j n d a e l 是一个使用可变分组和密钥长度的迭代分组密码。 它是由比利时的j o a n d a e m e n 和v i n c e n t r i j m e n 设计的。r i j n d a e l 支持长度为1 2 8 、 1 9 2 和2 5 6b i t 的分组和密钥。m j n d a e l 使用的轮数依赖于分组和密钥的长度。如 果分组长度是1 2 8b i t ，k 是密钥长度的b i t 数，则轮数r 为k 3 2 + 6 。也就是说， 若密钥长度分别为1 2 8 、1 9 2 和2 5 6b i t 。则对应的轮数分别为l o 、1 2 、1 4 。 r i j n d a e l 是一个面向字节的密码。用一个1 2 8b i t 的明文分组作为初始状态。 此状态经过许多次依赖于密钥的变换，最后的状态是一个1 2 8b i t 的密文分组。 第二章p k i 的密码学基础 一个状态可被看作一个4 x 4 的字节矩阵【a 。jf ， 0 ，1 ，2 ，3 。初始状态ao 是 1 2 8b i t 的明文分组的第一个字节，。，是第二个字节，a 。是第五个字节，4 ，是 这个1 2 8 b i t 明文分组的最后一个字节。注意，我们使用记号( 4 ， 来表示1 6 个字 节的4 4 状态矩阵：a ，表示这个状态的一个元素，它包含一个字节。 m j n d a e l 利用4 个基本运算将一个状态a = ( 4 ，) 变换为一个新状态 b = 旧) 。这些基本运算描述如下： 1 字节替换：字节替换运算是一个非线性置换，它独立地作用于状态中的 每一个字节。这个运算相当于一个8 8 的矩阵乘以一个单独的字节，其中这个字 节的各个b i t 可以表示为一个8 1 的列向量。如果我们把状态中一个给定字节的 各个b i t 表示为a 。q 口口，那么字节替换运算就相当于下面的运算： + 其中b o b b 6 7 是字节替换运算后字节的b i t 表示。这个运算利用一个2 5 6 字节的查找表或s 盒可以非常有效地实现。 2 移位行运算：这是状态中字节的循环移位运算。这个运算可以表示为 b 。= a “，】m o d 4 。因此，第一行的字节是不移动的。第二行的字节移动1 列位置， 第三行的字节移动2 列位置，第四行的字节移动3 列位置。 3 混合运算：由一个线性变换对状态a 的每一列4 实行变换。这个变换相 当于一个4 4 的矩阵乘以这个状态中单个列( 表示为4 1 列向量) 的字节。运 算如下述方式进行： 0 20 3 o l0 2 o l0 1 0 30 1 0 10 1l | a o 0 3 0 1 0 20 3k 0 1 0 2 恬 这里a ，是状态的给定列的字节，4 4 矩阵的每一项是十六进制数值( 例如， 0 1 表示b i t 串0 0 0 0 0 0 1 0 ) ，抚是混合列运算后的列的字节。 4 轮密钥加法：每一轮的轮密钥r k 是使用密钥编排函数由密钥得到的。 轮密钥的长度与加密分组的长度是相同的。轮密钥也可以用与明文的分组类似的 方式表示为4 x 4 的矩阵。在轮密钥加法运算所得到的状态b 的字节e ，可以表示 4 l 1 0 0 0 1 1 o m 讲m 以m m 徘嘶 ，。，。，。l 1lll，j 1 1 1 1 o o o l l l l 0 0 0 1 1 1 1 0 o 0 1 1 1 l o 0 o 1 l 1 1 o 0 0 1 1 1 l 1 o o l l l 1 1 0 o l l l l 1 0 0 1 l 1 l 1 o o o 廓阢如如加尻以肌 第二章p k i 的密码学基础 为b 。= a 。o r k 。，其中，a u 是在轮密钥加法运算前状态的第f 行和第，列位 置上的字节，r k ，是轮密钥第i 行和第，列位置上的字节。 注意，r i j n d a e l 使用的所有基本操作都是可逆的。 1 密钥编排 轮密钥是由密钥经过密钥编排而得到的。密钥编排由两部分组成：密钥扩展 和轮密钥选择。密钥编排可咀描述为：密钥用一个密钥扩展函数扩展后，为 轮密钥产生适当的b i t 数。所需要的轮密钥b i t 总数等于n ( r + 1 ) ，其中n 为 分组长度，r 为轮数。因此，如果使用的分组长度为1 2 8 b i t ，轮数为1 0 ，那 么就需要1 0 4 8 b i t 。经过密钥扩展后，最高位的1 2 8 b i t 就用作第一轮的轮密钥， 扩展密钥的下一个1 2 8 b i t 分组作为第二轮的轮密钥，等等。最后，最低位的 1 2 8 b i t 用作最后一轮的轮密钥。 2 密钥扩展函数 有两种形式的扩展参数：一种用于密钥长度小于或等于1 9 2 b i t 的密码， 另一种用于密钥长度大于1 9 2 b i t 的密码。在描述密钥扩展函数时采用下面的 记号： r 是轮数。 n 是密码所使用的以3 2 b i t 字为单位的分组长度。 k 是以3 2 b i t 字为单位的密钥长度。 s u b b y t e ( s ) 表示对状态s 的字节进行替换运算。 r o t b y t e ( w ) 表示对一个字w 中的字节进行循环置换运算；例如，如果输 入为一个字，其字节为( a ，b ，c ，d ) ，则产生的输出为( b ，c ，d ，a ) 。 r c 口是一个由8 b i t 常数组成的数列，它们在计算中使用。r c 1 l = 0 x 0 1 ，