（计算机软件与理论专业论文）基于pkipmi的web系统安全设计.pdf

摘要 分析了网络环境下企业管理系统的安全需求，设计了基于p k i 和p m i 的 w e b 系统安全模型，主要包括基础设施层、访问控制组件和系统接口等三层，安 全基础设施层是整个安全框架的基础，包括p k i 和p m i 两个部分，提供身份认证和 权限验证；访问控制组件层为上层的应用接口提供可信的基础设施的调用功能； 系统接口主要提供w e b 应用系统的访问控制入口。 系统利用b s 结构，按照p k i 规范设计c a 、r a 、d t s 等，实现身份认证功能， 并对其安全和性能作出分析和比较；按照p m i 规范设计从、属性证书等，实现用 户的权限认证；并将w e b 系统安全方案应用于校园网o a 系统，支持用户单点身份 登陆方式，实现统一的权限管理体系和访问控制策略。为w e b 系统安全防护的进 一步研究打下基础。 关键词：p k i p m i ；w e b 系统；c a ；证书；角色 i i r e s e a r c ho nw e bs y s t e ms e c u r i t yb a s e do np k i p m i a b s t r a c t ：t h i sp a p e ra n a l y z e ss e c u r i t yr e q u i r e m e n t so fe n t e r p r i s ew e b s y s t e m a n dd e s i g n ss e c u r i t ym o d e lb a s e do np k i p m it h a ti n c l u d e sb a s i ci l l e ， a c c e s sc o n t r o lm o d u l e sa n ds y s t e mi n t e r f a c e b a s i ci n f r a s t r u c t u r ei st h ef o u n d a t i o no f t h em o d e la n di ti n c l u d e sp k ia n dp m it h a tr e a l i z e ss i g n a t u r ea n da u t h e n t i c a t i o no f c o n s u m e r a c c e s sc o n t r o lm o d u l e ss u p p l i e si n t e r f a c ea u t h e n t i cf u n c t i o nf r o mp k ia n d p m i s y s t e mi n t e r f a c es u p p l i e sw e bs y s t e ma c c e s sf o rc o n s u m e r a c c o r d i n gt op k ic r i t e r i o n ，c aa n dr aa n dd t sa r ed e s i g n e du s i n gb s i n f r a s t r u c t u r e p k ir e a l i z e ss i g n a t u r ea n di t ss e c u r i t ya n dp e r f o r m a n c ea r ea n a l y z e d a n dc o m p a r e d a c c o r d i n gt op m ic r i t e r i o n , a aa n da t t r i b u t ec e r t i f i c a t ea r ed e s i g n e d t h a tr e l i z e sa u t h e n t i c a t i o n w e bs y s t e ms e c u r i t ys c h e m ei sa p p l i e di ns c h o o lw e bo a s y s t e m i ts u p p o r t ss i n g l es i g n - o nm o d ea n dr e a l i z e sa u t h e n t i c a t i o na n d a c c e s sc o n t r o l s t r a t e g y t h er e s e a r c ho f w e bs y s t e ms e c u r i t yi sd e v e l o p e d o n w a r d sb yt h i sp a p e r k e y w o r d s ：p k i p m i ，w e bs y s t e m ，c a ，c e r t i f i c a t e ，r o l e 1 1 1 郑重声明 本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄袭等 违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切法律后果， 特此郑重声明。 学位论文作者( 签名) 二o o 六年十一月十二日 奄专形 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 1 引言 目前，基于互联网环境下的企业w e b 系统使系统用户获得了丰富的信息资 源，极大的提高了企业工作效率，也带来了许多安全问题。对于传统的w e b 系统， 认证和授权功能都嵌在应用系统的内部，增加了应用的复杂性，对于用户来说， 需要设定多个用户名和口令，如果为了方便，使用简单的口令或在多个子系统中 使用相同的口令，将会带来巨大的安全隐患，一旦企业机密信息失窃，企业的损 失将不可估量；对于管理者来说，每个应用系统都对应着自己的用户数据库，需 要多个管理者来管理用户名n 令列表，管理工作相当繁琐且容易出错，不仅增 加了管理费用，并且很难使用通用的安全策略。 防火墙技术是实现网络信息安全的基本设施，采用包过滤或代理技术使数据 有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问， 保证内部网络的安全。入侵检测技术i d s 是近年出现的新型网络安全技术，通过 从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反 安全策略的行为或者是否存在入侵行为，它能提供安全审计、监视、攻击识别和 反攻击等多项功能，并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻 击源、紧急告警等，是安全防御体系的一个重要组成部分。但防火墙对于内部人 员的攻击束手无策，也不能提供保密服务和不可否认服务。入侵检测系统、安全 扫描技术只能作为安全系统的一种补充，不能解决信息安全的保密性和不可否认 性。 p k i 是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采 用加密和数字签名等密码服务所必需的密钥和证书管理，可以提供认证、完整性 和机密性等核心服务，还可支撑安全通信、安全时间戳、公正、不可否认等服务， 利用p k i 将认证功能放到了应用的外部，此时的系统用户从记忆多个用户名、多 个口令中解放出来，只需要设定和记忆单个用户名和单个口令。但是授权功能仍 嵌入到应用中，仍需要多个管理者来专门管理访问控制列表和p k i 中的公钥证 书等相关内容，为了优化系统，在p k i 的基础之上引入p m i ，将认证和授权功能 都放到应用系统的外部，对于管理者来说，只需要管理p k i 的公钥证书和p m i 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 中的属性证书a c 等相关内容。属性证书包含了一些终端实体和其它信息的属 性，并由属性机构a a ( a t t r i b u t ea u t h o r i t y ) 的私钥进行信息的数字签名，不 再需要分别管理每个应用程序的用户名d 令列表和接入控制列表，大大地减少 了管理者的工作量。因此只需要更少的管理者和更低的管理费用，也便于采用通 用的安全策略。 本文提出了基于p k i p m i 的安全解决方案：当用户提出w e b 应用系统访问 请求时，首先由p k i 进行身份论证，接着由p m i 通过角色说明属性证书、角色 分派证书进行访问权限控制，提供统一的权限管理体系和访问控制策略，只有通 过两项验证才可以访问系统资源。该方案支持单点登录，用户只需要在网络中主 动地进行一次身份认证过程，然后就可以访问其被授权使用的所有处在网络上的 资源，不需要其主动参与其后的身份认证过程，可以避免各个系统都有自己独立 的用户账户和密码，提高普通用户的工作效率，减少了系统维护人员的工作。 论文利用p k i p m i 技术，对校园网和电子公文系统进行了安全设计，该安 全方案支持用户单点身份登陆方式，提供安全的身份认证，实现统一的权限管理 体系和访问控制策略。这对w e b 应用的安全防护研究提供了一个新的拓展空间。 2 郑州大学硕士学位论文基于p i ( d p m i 的w e b 系统安全设计 2 系统模型设计 基于p k i p m i 的w e b 系统的安全模型设计如图2 - i 所示。 图2 - i 基于p k i p m i 的w e b 系统安全模型 模型包括安全基础设施层、访问控制组件和系统接d - - - - 个层次。安全基础设 施层是整个安全框架的基础，包括p k i 和p m i 两个部分，提供身份证书和属性证 书的发放、维护、撤消等管理，以及实现具体的权限验证；访问控制组件层为上 层的应用接口提供可信的基础设施的调用功能；系统接口主要提供w e b 应用系统 的访问控制接口。当用户提出w e b 应用系统访问请求时，首先由访问控制接口 截获访问请求，提取用户公钥证书( p k c ) 属性和访问请求属性，并提交给访问 控制服务组件；访问控制组件根据访问控制策略，调用p k i p m i 进行访问权限控 制，并返回结果；系统接口根据访问控制组件返回的结果决定是否同意用户访问 相应的w e b 应用系统的请求。 2 1 系统接口 系统接口提供了w e b 应用系统的接口，首先截获用户的访问请求( 该请求需 用户使用自己的p k c 证书进行签名和加密) ，提取用户p k c 属性和访问请求属 性，然后调用访问控制组件对访问申请进行权限验证，如通过则进入相应的w e b 应用系统，否则告知用户不能使用该w e b 应用系统。 2 2 访问控制组件 访问控制组件提供独立于具体应用的统一的安全访问控制策略，通过身份认 证、授权认证服务组件，为上层的应用提供可信的基础设施的调用功能，提供对 用户的身份和访问权限进行在线授权，判断该用户是否具有访问该w e b 应用功能 的权利。授权服务组件实现对用户的身份和访问权限进行在线授权，包括p k c 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 证书申请服务组件和a c 证书申请服务组件。系统通过p k c 证书申请服务组件接 受用户在线身份认证证书的申请，并通过p k i 系统进行证书的发放，生成p k c 证书；通过a c 证书申请服务组件接受用户的授权申请，并通过调用p m i 系统对 用户进行授权( 角色分配) ，生成角色分配a c 证书。授权前必须对用户身份进 行认证( 通过访问控制服务组件实现) ，角色分配a c 证书存放在l d a p 目录中， 不发放给用户。访问控制服务组件根据访问控制接口的不同请求，执行不同的流 程。其主要提供两个功能，一是通过调用p k i 系统对用户身份进行认证；二是 通过调用p m i 系统对用户访问权限进行验证。 2 3 安全基础设施 安全基础设施层包括p k i 和p m i 系统。公钥基础设施p k i ( p u b l i ck e y i n f r a s t r u c t u r e ) 是一种以公钥加密技术为基础技术手段实现电子交易安全的技 术。p k i 是由加拿大的e n t r u s t 公司开发的，支持s e t 协议、电子证书和数字签 名等。p k i 是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供 采用加密和数字签名等密码服务所必需的密钥和证书管理“3 。利用p k i 技术，在 浏览器和w e b 服务器之间建立基于s s l 协议的安全连接，通信双方利用数字证 书验证对方的身份，然后共同协商一个会话密钥，加密通道的信息，从而实现应 用层的透明。 权限管理设施p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 实际提出了 一个新的信息保护基础设施，能够与p k i 和目录服务紧密地集成，并系统地建立 起对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了 授权服务所需过程啪。建立在p k i 基础上的p m i ，以向用户和应用程序提供权限 管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管 理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、 与具体应用系统开发和管理无关的访问控制机制，极大地简化应用中访问控制和 权限管理系统的开发与维护，并减少管理成本和复杂性。 p k i 证明用户是谁，p m i 证明这个用户有什么权限，能干什么，p m i 需要p k i 为其提供身份认证。 4 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 3p h i 系统设计 3 1p k i 的组成 一个基本的p k i 系统如图3 1 所示，包括认证中心c a ( c e r t i f i c a t i o n a u t h o r i t y ) 、数据证书库、密钥备份及恢复系统、证书作废处理系统和客户端证 书处理系统等部分嘲。 图3 1 p ki 系统的基本组成 3 1 1 认证中, l , c a 证书机制是目前被广泛采用的一种安全机制，使用证书机制的前提是建立 c a 以及配套的r a ( r e g i s t r a t i o na u t h o r i t y ) 注册审批机构系统。c a 是证书的 签发机构，是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、 可信任性和公正性的第三方机构，它负责生成、分发和撤消数字证书，通过所 谓的认证过程将一个公共密钥值与一个人、一台计算机或一个主体联系起来，并 对它们的身份及与公钥的匹配关系进行认证和证明。 数字证书是用来确认安全电子商务交易双方身份的工具。由于它由证书管理 中心做了数字签名，因此，任何第三方都无法修改证书的内容，任何信用卡持有 人只有申请到相应的数字证书，才能参加安全电子商务的网上交易。 数字证书的内部格式是由c c i t tx 5 0 9 国际标准所规定的，它必须包含以 下几点： 证书的版本号； 数字证书的序列号； 证书拥有者的姓名； 郑州大学硕士学位论文 基于p k i p m i 的w e b 系统安全设计 证书拥有者的公开密钥； 公开密钥的有效期； 签名算法； 办理数字证书的单位； 办理数字证书单位的数字签名。 3 1 2 数字证书库 数字证书库是c a 颁发证书和撤消证书的集中存放地，可供用户进行开放式查 询，获得其他用户的证书和公钥。证书库支持分布式存放，允许采用数据库镜像 技术将c a 签发的证书与本组织有关的证书和证书撤消列表存放到本地，以提高查 询效率。 3 1 3 密钥备份及恢复系统 当用户由于某种原因丢失了密钥，使得密文数据无法被解密时，p k i 提供的 密钥备份和恢复解密密钥。当用户证书生成时，加密密钥即被c a 备份存储；当需 要恢复时，用户只需向c a 提出申请，c a 就会为用户自动恢复。值得注意的是密钥 备份及恢复只是针对解密密钥，签名密钥不作备份。 3 1 4 证书作废处理系统 证书作废处理系统是p k i 的一个重要组件，与我们日常生活中的各种证件一 样，都有它的有效期。如果长期使用同一个密钥就会有被破译的危险，因此证 书的有效期是有限的，证书和密钥必须由p k i 系统自动进行定期的更换，超过其 有效期限就要被作废处理。有效期结束前，p k i c a 会自动启动更新程序，产生新 证书，作废旧证书并处理掉。 3 1 5 客户端证书处理系统 为了方便客户操作，在客户端装有软件，申请人通过浏览器申请、下载证书， 并可以查询证书的各种信息，对特定的文档提供时间戳请求等。 3 2c a 设计 p k i 的核心是创建认证中心c a ，实现数字证书服务，包括了证书申请、颁发、 使用及备份还原证书，实现安装、吊销、导入导出证书等管理服务。 6 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 系统主要采用基于s s 模式的w e b 方式( 如图3 - 2 所示) 提供操作界面，实 现数字证书生成、申请、颁发、使用证书，备份还原证书，实现安装、吊销、导 入导出证书等管理服务。对于申请、审批、越权、失败等各个方面的记录，都有 日志记录。 s q l 、a c e e s s i i s 服务器 图3 2 基于b s 模式的结构图 基于8 s 模式的结构分3 层： ( 1 ) 数据库层 数据库层负责存储系统的各种数据，本系统中利用s q l 数据库作为底层数据 库系统放数字证书，将用户信息和证书存放在数据库的表中，主要的数据表有： 己注册用户表、申请待批表、当前有效证书表、拒发证书申请表、过期证书表、 黑名单表、管理员表等。 证书表中的字段主要有：证书的版本号、数字证书的序列号、证书拥有者的 姓名、证书拥有者的公开密钥、公开密钥的有效期、签名算法、办理数字证书的 单位、办理数字证书单位的数字签名等。 ( 2 ) 应用逻辑层 应用程序逻辑层是系统实现的核心，该层又可以分为三个模块： 数据库操作层用于专门和数据库打交道，这部分的内容主要是一些数据库操 作的函数，以便 s p x 页面和业务逻辑层实现模块的调用。业务逻辑层负责实现 系统的主要业务逻辑，比如注册信息检验、用户身份判断、信息的分类、权限判 断、身份判断等。页面层负责生成用户的界面以及接受用户的操作信息，它要调 用数据库操作层和业务逻辑层来实现。比如证书的发布、查看证书信息等均属于 郑州大学硕士学位论文基于p k l p m i 的w e b 系统安全设计 页面层。 ( 3 ) 客户端层 在该网络系统中，i e 浏览器就是客户端，本系统在这一层的主要功能是实 现用户注册、用户登录、信息查询等。 用户可以使用i e 浏览器访问c a 服务器，下载c a 的数字证书，申请数字证 书，对用户进行身份检查认可后便批准用户的证书申请，然后操作员对证书申请 表进行数字签名，并将申请及其签名一起提交给c a 服务器。c a 操作员获得登记 中心操作员签发的证书申请，发行证书或者拒绝发行证书，然后将证书通过硬拷 贝的方式传输给登记中心服务器。 利用c a 对用户身份认证如下： ( 1 ) 用户请求身份认证时，先对c a 服务器进行数字签名，并将数字签名与 数字证书一同发送给c a 服务器。 ( 2 ) 服务器通过数字证书库验证用户公钥证书的真实性( 库中是否存在该 证书) ，再通过c r l 证书库验证证书的有效性( 该证书是否被吊销) ，然后利用用 户公钥证书中的公钥对用户数字签名进行验证。 ( 3 ) 如果有任何一项验证未通过，则向终端用户发送拒绝服务消息；通过 用户的身份认证后，将c a 服务器的公钥证书和数字签名传给终端用户。 ( 4 ) 终端用户收到上述信息后，通过c a 的证书对服务器进行身份认证，从 而实现了用户与c a 服务器之间的双向认证。 3 3 注舷枫构r a 的设计 为了提高c a 信任度，提供用户的详细身份和资料，可以建立一个或多个注 册中心r a ，与c a 集成，从而减轻c a 的工作量，提高p k i 效率嗍。其主要功能为： 验证申请者身份，批准证书及撤销请求。 r a 系统可采用b s 结构，建立一个w e b 服务器。考虑到r a 需要与用户及c a 交换信息，且信息保密，所以，r a 管理系统包括用户公共界面和r a 管理员界面。 c a 应该先为r a 颁发证书，用户首先验证r a 的证书，即对r a 服务器进行身份认 证，以免伪服务器欺骗而造成信息泄露。经过认证后，用户再提交证书申请、撤 消或更新请求。r a 管理员审核用户提交的信息，用自己的私钥进行签名，再通 3 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 过带外方式提交请求提交系统和c a 管理系统处理。c a 处理后仍以带外方式将证 书和新的c r l 复制到证书库w e b 服务器，r a 再通知用户获取证书。注册中心r a 与c a 及用户的结构如图3 - 3 所示。 图3 - 3 r a 与c a 及用户的结构图 建立r a 后，用户进行申请如下： ( 1 ) 注册机构先审核，r a 查看目前系统中的申请人员，从列表中找出相应 的用户，核对用户信息，如果同意用户申请证书请求，必须对证书申请信息进行 数字签名，操作员也有权利拒绝用户的申请。r a 操作员与c a 服务器之间的所有 通信都采用加密和签名，具有安全性、抗否认性，保证了系统的安全性和有效性。 ( 2 ) c a 发行证书。登记中心通过硬拷贝的方式向c a 传输用户的证书申请 与操作员的数字签名，c a 操作员查看用户的详细信息，并且验证操作员的数字 签名，如果签名验证通过，则同意用户的证书请求，颁发证书。然后c a 将证书 输出。如果c a 操作员发现签名不正确，则拒绝证书申请，c a 颁发的数字证书中 包含关于用户及c a 自身的各种信息，能唯一标识用户的姓名及其他标识信息； 证书持有者的公钥用于为证书持有者加密敏感信息；签发个人证书的认证机构的 名称；个人证书的序列号；个人证书的有效期( 证书有效起止日期) 。 ( 3 ) 注册机构证书转发。从c a 处得到新的证书，首先将证书输出到l d a p 服务器以提供目录浏览服务，最后c a 操作员向用户发送一封电子邮件，通知用 户证书已经发行成功，并且把用户的证书序列号告诉用户到指定的网址去下载自 己的数字证书。并且告诉用户如何使用安全服务器上的l d a p 配置，让用户修改 浏览器的客户端配置文件以便访问l d a p 服务器，获得他人的数字证书。 ( 4 ) 用户获取数字证书。用户使用证书申请时的浏览器到指定的网址，键入 自己的证书序列号，服务器要求用户必须使用申请证书时的浏览器，因为浏览器 需要用该证书相应的私钥去验证数字证书。只有保存了相应私钥的测览器才能成 功下载用户的数字证书。这时用户打开浏览器的安全属性，就可以发现自己已经 9 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 拥有了c a 颁发的数字证书，可以利用该数字证书与其他人以及w e b 服务器( 拥 有相同c a 颁发的证书) 使用加密、数字签名进行通信。 数字证书的撤消过程如下： ( 1 ) 由用户提出申请。用户向登记中心c r l 操作员发送一封签名加密的邮件， 声明自己自愿撤消证书。 ( 2 ) 登记中心同意证书撤消。r a 操作员键入用户的序列号，对请求进行数 字签名。 ( 3 ) c a 撤消证书。c a 查询证书撤消请求列表，选出其中的一个，验证操作 员的数字签名，如果正确的话，则同意用户的证书撤消申请，同时更新c r l 列表， 然后将c r l 以多种格式输出。 ( 4 ) 登记中心转发证书撤消列表。操作员导入c r l ，以多种不同的格式公 布于众。 ( 5 ) 其他用户得到c r l 。用户浏览安全服务器，下载或浏览c r l 。 3 4 数字时间戳服务d t s 鳇设计 ( 1 ) 数字时间戳d t s 企业w e b 系统中存在大量的支付、订单信息，需要通过电子合同实现，电子 合同不仅要求机密性，还需要对日期和时间等信息采取安全措施，数字时间戳服 务d t s 能够通过数字时间戳，提供电子文件发送时间的安全保护。1 ，其中，时间 服务器通过国家授时中心提供可信时间服务；时间戳签发服务器用来签发可信的 时间戳；时间戳证据存储服务器保存每次签发的时间戳服务的详细信息，提供可 信的、不可抵赖的、可审查的电子证据。 数字时间戳( d i g i t a lt i m e - s t a m p ，简称d t ) 是一个经d t s 数字签名后形 成的凭证文档，用于证明消息的收发时间，包括三个部分： 带时间戳的文件的数字摘要( d i g i t a ld i g e s t ，简称叻) ； d t s 收到文件的日期和时间( 由d t s 的时间服务器产生，用t 表示) ； d t s 的数字签名 ( 2 ) d t s 与c a 的集成与设计 因为d t s 的重要性，在p k i 系统设计中，需要d t s 与用户及c a 交换信息， l o 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 且信息保密，所以，d t s 系统以w e b 方式实现。c a 应该先为d t s 颁发证书，用户 首先验证d t s 的证书，以免伪服务器欺骗而造成信息泄露。用户再提交信息时， d t s 服务器在信息中加入数字时间戳，并保存数据电文，再将数据传给用户。d t s 与c a 及用户的结构如图3 4 所示。 图3 4d t s 与c a 及用户的结构 当发端方a 向接收者b 发送信息时，先向f i r s 申请，d t s 保存、并发送数字 时间戳，发端方再将带有时间戳的密文发送给合同接收者；同理，接收者也可以 按照合同发端方的操作进行，从而提供数据的可仲裁性。p k i 通过对双方身份、 收发时间、内容等的认证，保证了通信安全。 3 5p k i 系统的安全性分析 p k i 采用非对称加密算法，即由原文加密的密钥不同于由密文解密的密钥， 以避免第三方获取密钥后将密文解密，p k l 支持s e t 、s s l 、v p n 、m i m e 等协议， 其加密部分一般采用1 2 8 位对称加密，数字签名部分采用1 0 2 4 位非对称加密算 法。p k i 技术可以提供信息的保密性和访问控制的有效手段，它保证了利用公钥 加密后的数据；也提供了在网络通信之前相互认证的有效方法、在通信过程中保 证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。 3 5 1 信息完整性 信息的完整性，是数据传输的真实性，即信息在网络传输过程中没有被篡改， 保持与原信息的一致性。常用的信息完整性验证方法有两种：一种是采用信息认 证码( m e s s a g ea u t h e n t i c a t i o nc o d e ) 简记为m a c ；另一种是窜改检测码( m e s s a g e d e t e c t i o nc o d e ) ，简记为m d c “1 。姒c 利用h a s h i 弱数和密钥k 将要发送的明文x 或 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 密文y 变换成r 位消息认证码h a s h ( k ，x ) 或称为认证符附加在x 或y 之后送出，以x + a s 或y + a s 表示，其中“+ ”符号表示序列的链接。h a s h 函数又称为单向散列 函数( o n ew a yh a s hf u n c t i o n ) ，其作用是对整个消息进行变换，产生一个长度 固定但较短的数据序列，这一过程可看作是一种压缩编码( c o m p r e s s e d e n c o d i n g ) 。m d c 利用一个函数将要发送的明文数据变换成r 位的窜改检测码d s 附 加在明文之后，再一起加密实现保密认证。 接受者收到发送的信息序列后，按照发送端同样的方法对接收的数据或解密 后的数据的前面部分进行计算，得到相应的r 位数字a r 或d r 而后，与接收恢复 后的a s 或d s 逐位进行比较，若全部相同，就可认为收到的信息是合法的，否则 检出消息有错或被窜改过。当主动攻击者在不知道密钥的情况下，随机选择r 位碰运气，其成功伪造消息的概率为2 。 3 5 2 信息机密性 信息的机密性，又称数据保密性，是指在信息传输中，不会被非法窃取，或者 即使被窃取，窃取者也不能读懂信息，主要应用加密技术。加密一般可分为对称 式加密体制和非对称式加密体制两种。对称密钥密码技术要求加密解密双方拥有 相同的密钥，用于解决数据本身加密问题，对称加密现代的对称加密方式多用繁 复的数学算法进行。1 。p k i 中最常见的是美国数据加密标准d e s ( d a t ae n c r y p t i o n s t a n d a r d ) ，如图3 - 5 所示。 生成1 6 轮迭代 需要的子密钥 6 4 位明文数据 初始置换 乘积变换 ( 在密钥控制下1 6 次迭代) 逆初始置换 “位密文数据 图3 - 5d e s ，j i 密算法 对称加密由于它的简便性，所以应用较为广泛，但是密钥需要在网络上进行 1 2 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 传输，一旦被非法获得，信息就有可能造成泄露，并且密钥管理困难。为了解决 这种问题，在p k i 体系中使用了非对称式加密体制，即在使用证书的情况下，发 送者使用接收方的公钥对需要传输的信息进行加密处理，接收方则利用其私有的 密钥进行解密，以将密文恢复成可识别的明文信息。 由于对称加密算法存在密钥管理困难、传送密文前要使用安全信道交换密钥 等缺点，1 9 7 6 年，斯坦福大学的d i f f i e 和h e l l m a n 正式提出非对称密码体制。 非对称密码体制，又称公钥密钥加密，其基本思想为： 给定两个密钥e 、d ，一个公开发布，称为公开密钥( p u b l i c - k e y ) ：另一个 由用户自己秘密保存，称为私有密钥( p r i v a t e k e y ) ，用e 求d 是计算上不 可行的： 加密规则：设e 是一个公钥，可以在一个类似于电话号码薄中公布；d 是 一个私钥，只由个人保管，用e 加密的数据只能用d 解密。 非对称密钥加密需要使用一对密钥来分别完成加密和解密操作，一对密钥由 公钥和私钥组成，公钥被广泛发布。私钥是个人安全持有的，不公开的。用公钥 加密的数据只能够被私钥解密。反过来，使用私钥加密的数据也只能用公钥解密。 p k i 中常用的非对称密码算法有r s a ，算法如下： ( 1 ) 选取两个足够大的质数p 和q ； ( 2 ) 计算p 和q 相乘所产生的乘积n = p x q ； ( 3 ) 找出一个小于n 的数e ，使e 与( p - 1 ) ( o - 1 ) 互为质数； ( 4 ) 另找一个数d ，使其满足( e d ) m o d ( p 一1 ) ( o - 1 ) = 1 ； ( 5 ) ( n ，e ) 即为公开密钥，( n ，d ) 即为私有密钥； ( 6 ) 加密和解密的运算方式为：密文c = ( r ) m o dn ； 明文m = ( c d ) 哟dn 。 这两个质数无论哪一个先与原文密码相乘，对文件加密，均可由另一个质数 再相乘来解密嘲。但要用一个质数来求出另一个质数，则是非常困难的。因此将 这一对质数称为密钥对。 利用公钥机制我们可以设计如下通信过程： ( 1 ) 甲公开发布他的公钥； ( 2 ) 乙用甲的公钥加密明文得到密文并传送给甲； 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 ( 3 ) 甲用它从不公开的私钥对该密文解密。 由于不存在密钥的带内传输，这样就解决了互联网交易的数据保密问题。而 数据不被篡改，交易双方能互相验证身份，交易发起方对自己的数据不能否认这 三个问题都是数字签名实现的。 3 5 3 身份真实性 基于用户私钥的专有性，数字签名可以实现对数据发送者的身份进行确认。 数字签名是通过单向h a s h 函数和公钥算法共同实现的。单向h a s h 函数将报文映射 为定长的消息摘要，l l p h a s h 值，若报文有细微改动，贝l j h a s h 值完全不同，单向是 指从h a s h 值无法推知报文值。该编码法采用单向h a s h 函数将需加密的明文“摘 要”成一串1 2 8 b i t 的密文，这一串密文亦称为数字指纹( f i n g e rp r i n t ) ，它有固 定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要 必定一致，这串摘要便可成为验证明文是否是“真身”的“指纹”了。 把数字摘要技术( 如h a s h 函数) 和公钥加密算法结合起来，可以在提供数 据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改， 而真实性则保证是由确定的合法者用h a s h 函数产生的摘要，而不是由其他人假 冒。而把这两种机制结合起来就可以产生所谓的数字签名“”。数字签名过程如图 3 6 所示： 图3 - 6数字签名过程 数字签名过程如下： 用安全h a s h 编码法将明文编码，产生1 2 8 位的数字摘要； 发送方a 用自己的私用密钥对摘要再加密，这就形成了数字签名； 将原文和加密的摘要同时传给对方； 接收方b 用发送方的公钥对摘要解密，同时对收到的文件用h a s h 编码加 1 4 郑州大学硕士学位论文 基于p k i p m i 的w e b 系统安全设计 密产生又一摘要； 将两个摘要相互对比，如两者一致，则说明传送过程中信息没有被破坏 或篡改过；否则不然。 数字签名就是这样通过这种加密方法来防止电子信息因易被修改而有人作 伪；或冒用别人名义发送信息；或发出( 收到) 信件后又加以否认等情况发生。 3 5 4 不可否认性 不可抵赖性，又称不可否认性，是指信息的发送方或接收方在发送或接收信 息之后，有充分的证据证明双方已经发生过的收发行为，而这些证据一般也是对 双方公开的，这样就保证了收发双方都不能对收到和发送的信息抵赖，减少了交 易纠纷。 以电子合同为例，c a 通过数字证书保证了身份真实性，p k i 在c a 基础上设 计数字时间戳服务d t s ，通过数字时间戳可以保证了电子合同发送和接收时间的 可靠性，形成电子签名法中承认的电子证据，从而实现了可仲裁性和不可否认性。 当合同发端方a 向接收者b 发送信息时，先从d t s 处得到数字时间戳，再使用数 字签名和数字信封技术向b 发送带有数字时间戳的加密信息，实现过程如下： ( 1 ) 发端方a 请求d t s 签发数字时间戳 发端方a 将需要加时间戳的文件用哈希函数加密形成数字摘要叩( d d 将用 来验证数据的完整性) ，进行数字签名，再从c a 的证书库中查出d t s 的数字证书 ( d t s 的公钥包含在证书中) ，利用d t s 的公钥在数字签名的基础上添加数字信 封，发送到d t s 。 ( 2 ) d t s 签发、保存、并发送数字时间戳 d t s 利用自己的私钥解密数字信封，从c a 的证书库查出发端方a 的数字证 书，通过a 的公钥( 包含在a 的数字证书中) 解密a 的数字签名，得到数字摘要 d d ； d t s 通过时间服务器提供可信时间t ，时间戳签发服务器将时间t 与数字摘 要d d 相连接，d t s 对( d d | | t ) 进行数字签名，形成数字时间戳d t ： 在时间戳证据存储服务器中保存签发的带有时间戳的数据电文，如果发生争 议，将提供可信的电子证据。 d t s 利用a 的公钥为数字时间戳d t 添加数字信封，发送给合同发端方a 。 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 ( 3 ) 发端方将带有时间戳的密文发送给合同接收者 发端方a 对d t 及合同进行数字签名，利用接收者b 的公钥再添加数字信封， 发送给b 。 接收者b 利用自己的私钥解密数字信封，利用a 的公钥解密a 的数字签名， 得到数字时间戳d t ；从c a 的证书库查出d t s 的数字证书，通过d t s 的公钥解密 d t ，得到数字摘要d d ；通过数字摘要d d 可以验证合同的完整性。 同理，接收者也可以按照合同发端方的操作进行。 p k i 通过对合同各方身份、收发时间、内容等的认证，保证了电子合同的可 仲裁性和不可否认性。 3 6p k i 性能分析 在企业w e b 系统中，需要进行电子订单和电子支付等活动，企业、客户和银 行之间需要经过多次数据交换才能完成身份认证、订单确认和支付过程，一次订 单的支付活动需要进行r s a 运算6 次以上，效率较低；并且不能隔离客户的订 单信息和信用卡信息，企业在得到获得订货信息时，也得到了客户的信用卡 信息，对客户的隐私保护不够。 p k i 利用混合加密技术实现快速的运算；利用仲裁者和盲签名技术，保护客 户的隐私权；实现较高的性能。基于仲裁者的盲签名的认证流程( 如图3 7 ) 。 图3 - 7 基于仲裁者的盲签名的认证流程 如上所述，假定发送者a 、接收者b 、仲裁者u 都已得到c a 的认证。 其中，发送者a 的( 私钥，公钥) 为( j ( d ，k ) ， 接收者b 的( 私钥，公钥) 为( ，) ， 仲裁者u 的( 私钥，公钥) 为( k 棚，l ( - u ) 。 1 6 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 3 6 1 发送方的操作步骤 ( i ) 发送方a 利用共享的对称密钥k 加密明文m ，生成d e s ( m ) ； ( 2 ) 发送方a 利用单向h a s h 函数将明文m 生成数字摘要h ( m ) ； 再将对称密钥k 与h ( m ) 连接，进行数字签名，记为： s l ：d ( h ( m ) i lk ，k d ) ： ( 3 ) 发送方a 用接收者b 的公开密钥k 。对s 。加密，记为： s 萨e ( s l ，j ( e 。) ； ( 4 ) 令c i = d e s ( m ) | is 。； c 1 是发送方a 利用混合加密算法和带数字摘要的数字签名生成的密文，只有b 可以解密； ( 5 ) 发送方a 利用单向h a s h 函数将c l 生成数字摘要h ( c i ) ； 将自己的标识符i d , 、接收方b 的标识符i d 。附加到h ( c i ) 的头部，进行签名， 记为：。 s 萨d ( i d i 风| jh ( c i ) ，j ( d ) ； ( 6 ) 发送方a 用仲裁者u 的公开密钥l ( 。i 对s 。加密，记为： s 4 = e ( s 3 ，k 州)； ( 7 ) 令c = i d ls 。| | c l ，发送方a 将c 发给第三方仲裁者u 。 3 6 2 仲裁者的操作步骤 ( 1 ) 仲裁者u 收到c ，c = i d ls 。i ic 1 ，根据标识符i d ，得知是a 发 来的签名报文，首先利用单向h a s h 函数将c l 生成数字摘要h ( c 1 ) ；再验证s m ； ( 2 ) 仲裁者用自己的私钥i ( d i 对s 。解密，得到s 船； d ( s 。，k 删) = d ( e ( s 。，) ，k 叫) = s 。； ( 3 ) 仲裁者用a 的公钥l ( e 验证： e ( ，k ) = e ( d ( i d aii 现l h ( c i ) ，k d ) ，k ) = i d , | | i d b ih ( c i ) ； ( 4 ) 仲裁者比较c 中的id 和上一步解密所得的i d 是否相等，验证发送方 的身份，来判断报文的真实性。如果相等转向下一步，否则拒绝通信； ( 5 ) 仲裁者比较第( 1 ) 步中的h ( c i ) ，和第( 3 ) 步解密所得的h ( c i ) 是否相等，验证报文的完整性。如果相等转向下一步，否则拒绝通信； ( 6 ) 仲裁者验证了发送方的身份、数据的真实性和完整性，在i d 后面附 1 7 郑州大学硕士学位论文基于p k i p m i 的w e b 系统安全设计 加一个数字时间戳t 及密文h ( c 1 ) ，用自己的私钥l ( m 】进行数字签名，记为： s 。；= d ( i d at | | h ( c 1 ) ，i ( 删) ； c 1 和h ( c i ) 对仲裁者是保密的，仲裁者对密文h ( c 1 ) 进行数字签名，属 于盲签名： ( 7 ) 仲裁者u 用接收者b 的公开密钥i ( b 对s 。加密，记为： s u2 = e ( s u l k m ) ； ( 8 ) 令c 2 = s 。：| | c 1 ，u 把c 2 发送给接收方b 。 3 6 3 接收方的操作步骤 ( 1 ) 接收方b 收到c 2 ，c 2 = s 。| | c 1 ，先验证s 用自己的私钥i ( 越对 s 。解密，得到s u l d ( s ) = d ( e ( s m ，k j ，k 。) = s 。； b 利用单向h a s h 函数将c 1 生成数字摘要h ( c i ) ： ( 2 ) 接收方b 用仲裁者u 的公钥解密s 。得到： e ( s u l = e ( d ( i d t ，鼬，i ( e u ) = i d | i t | | h ( c 1 ) ； b 根据时间戳t 可判断报文的时间顺序，避免重放攻击； b 比较第( 1 ) 步中的h ( c i ) ，和第( 2 ) 步解密所得的h ( c 1 ) 是否相等， 验证报文的完整性。如果相等转向下一步，否则拒绝通信： ( 3 ) 接收方b 接下来处理c i ，c i = d e s ( m ) l | s 。先来处理s 。； ( 4 ) 接收方b 用自己的私钥l ( d b 对s 。解密，得到s d ( s 。，k 0 = d ( e ( s 。i ( e b ) ，k 堋) = s 。； ( 5 ) 接收方b 用发送者a 的公钥k 对s 。解密，得到： e ( s m ，k e ) = e ( d ( h ( m ) ilk ，k “) ，k 。) = h ( m ) jk ； ( 6 ) 接收方b 利用上一步解密出的对称密钥k ，解密在第( 3 ) 步得到的 ：d e