（计算机软件与理论专业论文）入侵容忍技术在ca中的应用研究.pdf

摘要 p k i ( p u b l i ck e yi n f r a s t r u c t u r e 公钥基础设施) 是目前解决信息安全问题最 有效的技术。p k i 基于公开密钥密码算法。在p k i 系统中，c a ( c e r t i f i c a t ea u t h o r i t y ) 是其信任中心其它设备或人之间的通信和验证都依赖于c a 所颁发的数字证书。 数字证书也就是将一个公开密钥和身份信息绑在一起，用c a 的私钥签名后得到的 数据。保护私钥不泄露是整个c a 安全的基础一般来说，c a 必须是一个在线的网络 设备，特别是直接面向用户的c a ，以便自动地提供相应的证书服务。现在，很多方 案中己将上级c a ( 给c a 发证书的c a ) 和根c a 设计为离线方式，以保证p k i 结构的安 全。但用户c a 基本上无法离线工作。联网设备遭遇网络攻击也是不可避免的当 一个黑客攻击一台c a 成功时，攻击者就有可能获得机器内的资源，从而找到c a 的私 钥。这对于p k i 系统来说是非常致命的一个内部的雇员对系统的攻击也是应该预 防的当一个雇员完全控制其中一台设备时，也应该保证他没有获得c a 的私钥。由 于硬件错误或其他原因，包括恶意攻击，使一台或多台( t 台) 设备瘫痪时，应该保 证整体p k i 的基本运作的正常因此，如何保障c a 系统的安全性已经引起广泛关注 该文着重分析了p k i 机制的关键技术，结合p k i 中关键设施c a 证书颁发中心 的私钥保密问题及其签名服务的安全需求，提出了入侵容忍思想的c a 私钥分存管 理以及证书分步签名的技术方案。着重从系统架构和理论算法两个方面保证方案 的容侵特性。通过系统的冗余配置和操作系统的异构性配置，结合r s a 门限密码 算法的分步签名方案，共同保证对系统部分主机的入侵不会导致c a 签名私钥的泄 漏，系统即使在遭受入侵的情况下，仍可以继续提供证书签发服务的能力。系统可 以同时触发密钥份额更新以及其他安全机制使系统自动恢复到正常状态，从而提 高了整个系统的安全性，使其具备了入侵容忍的特性。 关键词：入侵容忍；c ；信息安全；p k i ；数字证书；门限密码；r s a a b s t r a c t p k ii st h em o s tv a l i dw a yt os l o v et h es e c u r i t yi s s u e s i tb a s e do nt h e p u b l i ce n c r y p t i o n s c ai st h et r u s tc e n t e ro ft h ep k i t h ec o m m u n i c a t i o no f o t h e r sd e v i c e sa n dp e r s o nd e p e n d so nt h ed i g i t a lc e r t i f i c a t ei s s u e db yt h e c a d i g i t a lc e r t i f i c a t ei sad a t as i g n e db yt h ep r i v a t ek e yo ft h ec a p r o t e c t t h ep r i v a t ek e yo ft h ec ai st h ee s s e n t i a lo ft h ec as e c u r i t y i ng e n r a l ，i n o r d e rt op r o v i d et h eo n l i n ed i g i t a lc e r t i f i c a t es e r v i c e ，c am u s tb eao n l i n e n e t w o r kd e v i c e ，e s p e c i a l l yt h ec ao r i e n t e dt ot h eu s e r b u tt h ec ao r i t e n t e d t ot h eu s e rc a n n o tw o r ko f f l i n e i ta l s oc a n n tb ea v o i d e dt h a tt h eo n l i n e d e v i c ei sa t t a c k e d w h e nah a c a k e ra t t a c k e dam a c h i n es u c c e s s f u l l y ，h ew o u l d p r o b a b l yf i n dt h ec ak e y t h ea t t a c kf r o mae m p l o y e ei sa l s o s h o u l db e p r e v e n t e d w h e nh ec o n t r o l l e do n eo ft h em a c h i n e ，h ec a n n tg e tt h ec a k e y b e c a u s e o ft h eh a r d w a r ea n do t h e r f a i l u r e ，t h e p k is h o u l dw o r k w e l l s o 。h o wt op r o t e c tt h ec as e c u r i t yh a sa r i s et h ew i d e l ya t t e n t i o n t h i sp a p e re m p h a s i z e dr e s e a r c ht h ek e yt e c h n o l o g yo ft h ep k i w i t ht h e i s s u eo ft h ep r o t e c to fp r i v a t ek e yi nt h ec ac e n t e ra n dt h es e c u r i t y r e q u i r e m e n to ft h es i g n a t u r e ，i tb r i n gf o r a w a r dt h em e t h o dt h a tc a d i s t r i b u t et h ep r i v a t ek e ya c r o s ss e v e r a ls e r v e r sa n ds i g n a t u r eb ys t e p s i ts l o v et h es e c u r i t yp r o b l e mb yi n t r u s i o nt o l e r a n c em e t h o d e p l a s i z e do n t h es y s t e ma r i t e c h i t a r ea n dt h e o r ya r i t h m e t i c b yt h er e d u n d a n c y c o n f i g u r a t i o na n dt h er s at h r e s h o l dc r y p t o g r a p ht op r o v i d et h ei n t r u s i o n t o l e r a n t t h es e c u r i t ys c h e m ee n s u r et h a tt h ec o m p r o m i s eo faf e ws y s t e m c o m p o n e n t sd o e sn o tc o m p r o m i s et h ep r i v a t ek e y t h es y s t e mc a nt r i g g e r p r i v a t ek e yu p d a t e i n ga n do t h e rp o l i c i e st oe n s u r et h es y s t e ms e c u r i t y s o i th a st h ec h a r a c t e r i s t i co fi n t r u s i o nt o l e r a n c e k e y w o r d s ：i n t r u s i o nt o l e r a n c e ；c a ；i n f o r m a t i o ns e c u r i t y ；p k i ：d i g i t a l c e r t i f i c a t e ；t h r e s h o l dc r y p t o g r a p h y ；r s a 郑重声明 本人的学位论文是在导师指导下独立撰写并完成的，学位论文没 有剽窃、抄袭等违反学术道德、学术规范的侵权行为，否则，本人愿 意承担由此产生的一切法律责任和法律后果，特此郑重声明。 学位论文作者( 签每) ：峰多 唬年f 。月1日 郑州大学硕士学位论文 第一章引言 1 1 课题背景 随着计算机网络的快速发展和广泛应用，基于互联网的应用逐渐发展起来。 各行各业对网络信息系统的依赖程度也越来越高。与此同时，网络安全事件也逐年 上升，尤其是电子政务、电子商务的发展都对信息安全提出了更严格的需求。信 息安全问题正成为人们关注的焦点。传统的网络安全技术主要是通过保护和检测 手段来保障网络的安全，随着网络信息系统规模日益庞大，日益复杂的网络系统 结构、广泛采用的分布式计算环境和海量存储和高带宽的传输技术都使得现有的 信息安全技术不能满足网络安全和信息保障的需求必须有新的安全理念来保证 网络的安全性，这就是当前网络的可生存性技术。也是目前网络安全研究的新方 向而可生存性技术的核心就是入侵容忍技术入侵容忍技术结合密码学技术、 容错计算技术和计算机安全技术，提供信息系统在遭受攻击( 入侵) 的情况下，继 续保持系统的关键应用服务能力，是网络和信息安全领域的研究热点0 1 。如对已突 破防火墙、认证和加密系统的攻击，采取一些必要的措施保护关键应用的功能连 续正确运行( 既满足信息的完整性、机密性和可用性) 因此开展入侵容忍理论与 技术研究具有非常重要的意义。 p k i ( p u b l i ck e yi n f r a s t r u c t u r e 公钥基础设施) 是目前解决信息安全问题最 有效的技术p k i 基于公开密钥密码算法。在p k i 系统中，c a ( c e r t i f i c a t ea u t h o r i t y ) 是其信任中心其它设备或人之间的通信和验证都依赖于c a 所颁发的数字证书 数字证书也就是将一个公开密钥和身份信息绑在一起，用c a 的私钥签名后得到的 数据。保护私钥不泄露是整个c a 安全的基础脚。一般来说，c a 必须是一个在线的网 络设备，特别是直接面向用户的c a ，以便自动地提供相应的证书服务。现在，很多方 案中已将上级c ( 给c a 发证书的c a ) 和根c a 设计为离线方式，以保证p k i 结构的安 全。但用户c a 基本上无法离线工作。联网设备遭遇网络攻击也是不可避免的。当 一个黑客攻击一台c a 成功时，攻击者就有可能获得机器内的资源，从而找到c a 的私 钥。这对于p k i 系统来说是非常致命的。一个内部的雇员对系统的攻击也是应该预 防的当一个雇员完全控制其中一台设备时。也应该保证他没有获得c a 的私钥。由 第1 页 郑州大学硕士学位论文 于硬件错误或其他原因，包括恶意攻击，使一台或多台( 吨s n o 碗唧饪 扣_ l卫s h 蝴文呸掰p 蜘 图2 4p k c s 定义的签名流程图 在上述标准规定的摘要结构中要注意，实际摘要的信息除了对数据计算摘要 值以外还要增加所使用摘要算法( 目前常用如m d 5 s 眦等) 的信息。保证鉴定者和 签发者所使用的摘要算法一致对信息的签名( s i g n a t u r e ) 附加在信息m 的后面以 备验证时使用签发组织的私钥是保密的，公钥进行公开给任何需要签定信息的 机构这样就通过双钥体制建立了对信息数字签名的签发和鉴定机制。再来 看看x 5 0 9 标准定义的数字证书结构：证书版本号、证书序列号、c a 机构签名算法 的i d 号、证书有效期、证书颁发者c 的x 5 0 9 名称( 即对证书颁发者身份的详细 描述) 、证书持有者的x 5 0 9 名称( 即对证书持有者身份的详细描述) 、持有者的公 钥信息、证书颁发机构的识别号码和证书持有者的识别号码( 这两项是在版本2 里 新增的) 、最后一项就是证书颁发机构c a 对上面所有证书信息的数字签名。除了 一些满足相关应用的参数信息外，数字证书与传统证书有着同样的特征：持有人的 身份表述、颁发机关的描述和身份证的可鉴别性( 数字签名) 。( x 5 0 9 标准是用于 在分布网络中存取信息数据库的目录检索服务的协议标准，是方便目录服务器的 存取信息而制定的，提供给目录服务标准化结构便于访问) 。通过上面的描述，着 第1 3 页 郑州大学硕士学位论文 重分析数字证书的第一个作用：对证书持有者身份的颁发和鉴定在技术上是如何 保证的 ( 5 ) 数字证书的使用 回到纸质媒介的传统方式总是便与我们对问题的理解。传统的无论合同、具 有法律效用的个人签名文件、支票等等，都是靠鉴别签发人独一无二的笔迹或者 专用图章来证明其合法性，这些手段在科技日新月异的今天伪造起来己经更加容 易。而在信息化革命来临之时，越来越多具有法律效率的文档本身已经数字化， 这是传统的签名方式就加不适应新技术的变革我国电子签名的立法工作即将完 成，而不久的将来我们每个人可能就会用电子签名取代传统的签名方式 再来看刚才分析的证书标准结构，我们注意到，证书本身包括证书持有者的 公钥这个公钥正是实际中是用来验证书持有者自身的数字签名，当然，持有者自 己保存与此公钥相对的私钥，目前比较多的保存在专用智能卡内部这相当于提 示我们对某项交易或者数据文档进行确认( 签名) 时，我们只需插入智能卡( 应用c a 机构颁发给我们的私钥进行签名运算，运算在卡内进行) 而代替了原来在纸面文件 签名这里的签名和验证过程和前面描述的以机构对它所颁发的证书进行的签名 操作是完全一致的 这个信任机制是链式的，以证书颁发机构提供给证书申请者证书( 包括相关私 钥) ，其数字签名保证证书中持有人身份的可信性和持有者密钥与持有人保持唯一 可鉴别的所属关系。证书持有者使用数字证书和相关私钥进行交易时，其私钥和 公钥分别用来签发和验证证书持有者行为的有效性。 我国的金卡工程规划，金融机构将逐渐从目前广泛使用的带有磁性介质存储 卡逐渐过渡到存储个人详细信息、相关信用等级、私钥等信息的智能卡。新型的 智能卡一个最大的区别在于卡内集成有c p u ，r o h 等设备，它己不是提供简单的存 储，而是在卡内进行加密、签名操作，做到用户的私钥不出卡的安全加密操作。 2 2 4p k i 的主要组成 p k i 在实际应用上是一套软硬件系统和安全策略的集合，一个典型的p k i 系统 如图所示，其中包括p k i 策略、软硬件系统、证书机构c a ，注册机构r a ，证书发布 系统和p k i 应用等。 一般情况下，在p k i 中有两种类型的策略：一是证书策略，用于管理证书的使 第1 4 页 郑州大学硕士学位论文 用，比如，可以确认某一c a 是在i n t e r n e t 上的公有c ，还是某一企业内部的私 有c a ；另外一个就是c p s ( c e r t i f i c a t ep r a c t i c es t a t e m e n t ) 。包含如何在实践 中增强和支持安全策略的一些操作过程的详细文档。它包括c a 是如何建立和运作 的，证书是如何发行、接收和废除的，密钥是如何产生，注册的，以及密钥是如 何存储的，用户是如得到它的等等叭1 证书机构c a 是p k i 的信任基础，它管理公钥的整个生命周期，其作用包括： 发放证书、规定证书的有效期和通过发布证书废除列表( c i c l ) 确保必要时可以废除 证书。c a 是实现整体p k i 机制的技术核心，保证p k i 所提供服务的安全性。 注册机构r a 提供用户和c 之间的一个接口，它获取并认证用户的身份，向c 提出证书请求它接受用户的注册申请，审查用户的申请资格，并决定是否同意 c a 给其签发数字证书r a 起到衔接p k i 机制与社会中传统授权机构的作用，其具 体实施要配合具备某专业领域的资格审查的机构，如银行的营业部、机构认识部 门等它是保证申请人资格合法性和真实性的关键 证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务目 录服务器可以是一个组织中现存的，也可以是p k i 方案中提供的 图2 5p k i 组成框图 一个p k i 系统包括证书机构c 、注册机构r a 和相应的p k i 存储库。c a 用于 签发并管理证书：r 可作为c a 的一部分，也可以独立，其功能包括个人身份审核、 c r l 管理、密钥产生和密钥对备份等：p k i 存储库包括l d a p 目录服务器和普通数据 库，用于对用户申请、证书、密钥、c r l 和日志等信息进行存储和管理，并提供一 定的查询功能。 第1 5 页 郑髑大学硕士学位论文 2 2 5p k i 的密钥和证书管理 ( 1 ) p k i 证书管理 证每的申请一般采取申请者提供给r a 个人资料，r a 审核后交给c a 来颁发这 一过程。在颁发证书时按照我们前面介绍证书格式生成证书，最后用自己的私钥 对其签名，保证其真实性并防止篡改“钉 认证中心还涉及到c r l ( 证书吊销列表) 的管理。用来管理在证书有效期内由用 户提出吊销的证书。吊销的原因主要是用户将数字证书对应的签名( 加密) 私钥泄 漏，造成其它人可以假冒其证书。这和我们丢失身份证或者信有卡去挂失的道理 是一样的。在申请人提出挂失请求后，请求经过审核交给c 机构，在把申请人需 要吊销的证书信息加入c r l 表，并且进行数字签名保证其有效性，然后更新c r l 然后c 将不同格式的c r l 输出给注册机构，公布到安全服务器上，这样的相关应 用都可以通过访问服务器得到c r l c i l l 的增加也使得所有基于证弗的安全应用在 验证一个特定证书的合法性时，除了需要颁发证书机构以本身的证书，用其公钥 验证签名的合法性以外，还需要在该c a 机构的安全服务器上下载最新的c r b ，查 询该证书是否被吊销对于c r l 的解决始终是一个不太令人满意的方案，由于吊 销机制本身存在一定的时延所以用户对自己的证书尤其是是私钥的保存还是要 提高重视的 ( 2 ) c a 的密钥管理“目 密钥管理主要是指密钥对的安全管理，包括密钥产生、密钥备份、密钥恢复和 密钥更新等。 1 密钥产生。密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用 户保留，公钥和其他信息则交于以中心进行签名，从而产生证书正规的商用证 书，密钥对一般由以中心的专用机器直接产生。 2 密钥备份和恢复。在一个p k i 系统中，维护密钥对备份至关重要如果没有这 种措施，当密钥丢失后，将意味着加密数据的完全丢失，对于一些重要数据，这 将是灾难性的。企业级的p k i 产品至少应该支持用于加密的安全密钥的存储、备 份和恢复。密钥一般用口令进行保护，而口令丢失则是管理员最常见的安全疏漏 之一。所以，p k i 产品应该能够备份密钥，即使口令丢失，它也能够让用户在一定 条件下恢复该密钥，并设置新的口令。 第1 6 页 郑州大学硕士学位论文 3 密钥更新对每一个由c a 颁发的证书都会有有效期，密钥对生命周期的长短由 签发证书的c a 中心来确定，各c 系统的证书有效期限有所不同，一般大约为2 3 年当用户的私钥被泄漏或证书的有效期快到时，用户应该更新私钥这时用户 可以废除证书，产生新的密钥对，申请新的证书。 总之，在一个p k i ( 特别是c a ) 中，信息的存储是一个非常核心的问题，它包 括两个方面：一是以服务器利用数据库来备份当前密钥和归档过期密钥，该数据库 需高度安全和机密，其安全等级同以本身相同：另外一个就是目录服务器，用于分 发证书和c r l ，一般采用l d a p 目录服务器 2 2 6p k i 中c a 的信任模型 许多不同的机构都构建了自己的c ，那么不同的c 之间是如何相互信任的? 不 同c a 签发的用户证书可不可以相互信任? 这就我们要进一步探讨的问题c a 的层 次信任结构：上下级所属关系如图2 6 所示 图2 6 层次信任结构模型 在这种所属关系中，c a i 和c a 2 作为直接面向用户的c a 机构，都是根c a 的下 属机构。在这里，比如用户b 和用户c 之间的相互信任是根据它们相同的签发机 构c a 2 所颁发的证书中所公开的私钥来验证其签名，在这里c a 2 是用户b ，c 的第 三方信任机构。但是用户b ，c 和用户a 之间通过这种上溯关系仍无法相互信任， 这就需要继续上溯到上一级跟c a ，这时通过验证c 1 与c a 2 的证书中签名项与根 c a 所公布的证书公钥来核实，来确定信任相互的信任。在实际应用中，由客户端 程序自行判断交易双方的证书是否属于同一受信机构，如果不是，继续上溯其签 名机构( 中介c a ) 的证书和它的上级机构是否属于同一受信机构，直到找到为止。 目前大多数的层次在5 级之内都可以上溯到根c a 第1 7 页 郑州大学硕士学位论文 2 2 7p k i 标准的发展前景 第一代p k i 标准主要包括美国r s a 公司的公钥加密标准( p 硒c s ) 系列、国际电信 联盟的i t u - tx 5 0 9 ，i e t f 组织的公钥基础设施x 5 0 9 ( p u b l i ck e yi n f r a s t r u c t t i r ex 5 0 9 ，p k i x ) 标准系列、无线应用协议( w i r e l e s sa p p l i c a t i o np r o t o c o l ，w a p ) 论坛的无线公钥基础设施( w i r e l e s sp u b l i ck e yi n f r a s t r u c t u r e ，i w k i ) 标 准等。第一代p k i 标准主要是基于抽象语法符号( a b s t r a c ts y n t a xn o t a t i o no n e ， a s n 1 ) 编码的，实现比较困难：另外其相关的应用对技术的封装并不令人满意， 使得大量使用者觉得对与签名、加密、验证等操作过于繁琐，这也在一定程度上 影响了标准的推广2 0 0 1 年，由微软、v e r s i g n 和w e b m e t h o d s - - - 家公司发布了】口虬 密钥管理规范( x 虬k e ym a n a g e m e n ts p e c i f i c a t i o n 。q 6 ) ，被称为第二代p k i 标 准( e x t e n s i b l em a r k u pl a n g u a g 可扩展标识语言) 旨在提出针对不同应用、 不同平台以统一信息传输应用标准，由于安全问题的日益突出，则把与p k i 相关的 加密标准引入其内x k h s 由两部分组成：) 0 儿密钥信息服务规范( 儿k e yi n f o r m t i o ns e r v i c es p e c i f i c a t i o n ，x - k i s s ) 和x m l 密钥注册服务规范( ) 珏儿k e y r e g i s t r a t i o n s e r v i c es p e c i f i c a t i o n ，x - k r s s ) x - k i s s 定义了包含在x m l - s i g 元素中 的用于验证公钥信息合法性的信任服务规范，使用x - k i s s 规范，x 虬应用程序可通 过网络委托可信的第三方c a 处理有关认证签名、查询、验证、绑定公钥信息等服 务x - k r s s 则定义了一种可通过网络接受公钥注册、撤销、恢复的服务规范：) 叫， 应用程序建立的密钥对，可通过x - 腿s s 规范将公钥部分及其它有关的身份信息发 给可信的第三方c a 注册。目前x k m s 已成为w 3 c 的推荐标准，并己被微软、v e r s i g n 等公司集成于他们的产品中( 微软己在a s p n e t 中集成了x k h s ，书中签名项与根c 所公布的证书公钥来核实，来确定信任相互的信任。v e r s i g n 己发布了基于j a v a 的 信任服务集成工具包t s i k ) p k i 与x m l 的结合意味着对p k i 的安全服务进行更完善 的封装，利用x 1 4 l 的扩展结构标识数字签名以及加密后的数据，而对于用户本身来 说隐藏了过于复杂的技术细节。 第1 8 页 邦州大学硕士学位论文 第三章基于入侵容忍技术的c a 模型 3 1 入侵容忍的技术手段 目前的入侵容忍的主要技术手段可以分为两大类。 ( 1 ) 基于容错计算技术的入侵容忍方法 这种方法主要采用一些容错计算技术实现系统或者应用的入侵容忍将防止 故障与容忍技术相结合，m i g u e l c o r r e i a , p a u l o v e r i s s i m o 和n u n of e r r e i r an e v e 提出基于信任要塞模型( f o r t r e s s mo d e l of t r u s t ) 的安全群组通信( g r o u p c o m m u n i c a t i o n ) 的安全体系结构在该结构中，只有被称为可信适时计算基( t t c b ， t r u s t e dt i m e l yc o m p u t i n gb a s e ) 的一个很小的部分是完全可以信任的，而系统 的其它部件均容易受到内部和外部的攻击根据这种体系结构，在出现一些故障 的情况下，这个系统可以正常工作k a t e r i n ag o s e v a - p o p s t o j a n o v a 和f e i y iw a n g 等人利用状态转移图模型给出了入侵容忍系统的动态行为这个模型有助于描述 己知和未知的安全攻击通过将已知的安全脆弱点( v u l n e r a b i l i t y ) 映射到这个状 态图，我们可以确定合适的故障空问这个故障空间是我们在设计入侵容忍的系 统时应该加以考虑的在这个方向上，如何将可适应性( a d a p t i o n ) 、可重构性 ( r e c o n f i g u r a t i o n ) 和故障弱化( g r a c e f u ld e g r a d a t i o n ) 等技术用于容忍入侵系统 的设计，以及用解析和测量的方法评估相关系统的安全性能是有待进一步研究的 问题 ( 2 ) 基于门限密码技术的入侵容忍方法 这种方法主要采用门限密码技术实现系统或者应用的入侵容忍。这类入侵容 忍方法比较符合信息保障要求，将门限密码学方法和冗余技术相结合，l i d o n gz h o u 和y g m u n tj h a a s 为a dl l o c 网络提出了一种新的安全方案。在这个方案中，作者利 用路由路径的冗余性实现了信息的可用性( a v a i l a b i l i t y ) ，基于信任的分布化 ( d i s t r i b u t i o no ft r u s t ) 策略达到了入侵容忍的目的。他们通过在一些系统部件 中引入一定的冗余度，基于门限密码技术将秘密信息分布于多个系统部件，而且 有关的秘密从来都不在一个地方重构，从而达到容忍攻击的目的。与相关的密码 技术包括安全的多方计算、门限密码技术等，有关的研究状况可见主要参考文献。 第1 9 页 郑州大学硕士学位论文 建立容忍入侵的理论与技术体系，入侵容忍方法将检测对象定位在入侵 故障的结果上只要入侵或者故障的表现是可以处理的，则相关的故障入侵就是 可以处理的，而不管这样的故障入侵是己知的还是未知的从而提高了系统抵御 入侵故障的能力。所以，这种技术不仅可以保证业务的可用性和连续性，而且还 可以维护系统和相关信息的机密性。与此相反，一般的入侵检测系统将检测的对 象确定为一些特殊的入侵行为，从而极大地限制了入侵检测方法的检测能力根 本原因在于，网络行为学在理论上不成熟，还不能很好地处理海量网络信息流中 已知的入侵和其变种、以及新的入侵“” 。 3 2a v i 模型介绍 容忍入侵的首要问题在于定义当前应用的脆弱点，然后用容侵的方式对其提 供冗余，使其具备容侵的特点这里所说的脆弱点和入侵监测所要检测攻击行为 和入侵模型是不同的传统的入侵检测方法，是检测信息系统或所提供应用和服 务不正常行为的方法属于一种入侵后的被动防御技术通常，入侵检测与响应 系统只关注一些已定义或已知的攻击，在对其行为特征分析后建立起模型来识别 入侵行为的发生但实际中由于攻击的形式千变万化，新的攻击技术和手段不断 出现，不能给所有各级行为一个精确的定义和描述，造成漏检率和误报成为不可 避免的，使系统故障安全漏洞防不胜防因此，容忍入侵的思想着重分析攻击者 的目的，因为在千变万化的手段背后，系统的脆弱点才是攻击者所看重的。图3 1 说明了a v i 模型： 图3 1a v i 参考模型 a v i 参考模型解释如下a ：攻击( a t t a c k ) 有意违反一个或多个安全属性的恶意 交互的故障( 入侵企图) ；v ：脆弱点( v u l n e r a b i l i t y ) 在系统的需求获取、规格化、 设计和配置或使用中产生的可以被利用造成入侵的一个意外的故障，或一个恶意 第2 0 页 郑州大学硕士学位论文 或非恶意的有意图的故障；i ：入侵( i n t r u s i o n ) 由成功地利用一个脆弱点产生的 恶意的、外部引起的故障( 成功的攻击) ， 由于关心的是信息系统或服务所表现出的故障( 失效) 状态并通过自适应恢复 和重构机制转入系统和服务的正常状态，而不是追究故障发生的原因和来源，从 而极大地简化了对未知入侵处理的难度，因而更加有效和简单。在实际中，主要 通过冗余配置，容错技术等方法加强对脆弱点的进一步防护，使其具备容侵特性： 即在信息系统遭受入侵，即使系统的某些部件出现故障或遭受攻击者破坏，但整 个系统仍可连续提供关键服务或某些降级的服务，不至于系统崩溃或者敏感信息 的泄漏。 3 3c a 的安全性问题 在前一章中我们介绍的p k i 中的关键技术数字证书，其合法性的技术保障是颁 发机构c a 对其的签名，而数字签名的有效性依赖于合法的私钥持有者根c a 与中 介c a 的信任关系、中介c 与其颁发证书的用户之间的信任关系是链式的信任结构， 在这个信任链中，个人用户的私钥泄漏造成其他人伪造其签名的可能和证书失效， 而中介c a 的私钥泄漏造成所有下级用户证书的失效，根的私钥泄漏后果更为严重， 结果是其下级中介c a 的证书无效以至于最终用户证书的失效。所以，对于c a 机构 证书服务的破坏以及对c a 私钥的篡改和获取，是很多攻击行为的最终目的对c a 机构私钥的保护问题以及证书签发的策略，就成为我们所关注的脆弱点目前c a 机构的防范措施，主要还停留在应用访问控制和入侵监测的方法来保护系统安全， 比如采取安全服务器或者专用加密机的加密信道来接收由r a 机构收集来的用户资 料，再生成证书申请和相关的用户密钥对( 可能由专用机器提前生成) 后，用自身 私钥进行签发目前大多数都采取保守的安全策略一离线签发证书。用于签名的 一般是专用机器，且c a 私钥存储于内部做到不出机，当然这台机器本身也是与外 界网络采取物理隔离的方式。这些都由相关安全策略保证，比如系统每天在白天 接收传来的用户信息，而夜间切断外界网络，完全在系统内部证书的生成和签发。 这样做是取牺牲效率的方式来保证安全，在用户申请量不大或者要求非常严格的 高等级证书中仍然推荐这种方式但现在很多应用要求更高的时效性，在线证书 的申请和颁发如何安全的实现，有没有一种在保证私钥安全和签发证书服务的稳 定性的前提下更快捷的方式“”。在这里我们要有以下保证： 第2 1 页 郑州大学硕士学位论文 ( 1 ) 证书保证在线签发，保证服务的快捷性 ( 2 ) 证书的签名服务不易因攻击而受到破坏和中断 ( 3 ) 整体系统在线的情况下保证c a 私钥的安全，不易被窃取和篡改 3 4 入侵容忍的c a 服务器模型 为了保证整体系统在线，已经不能用物理隔离的方案来保护系统，采取v p n 构 建安全局域网的方案还是可行的，这使用访问控制的策略构成第一道方线。在线 证书颁发系统包括签名代理服务器( 直接与外网相连) ，但这里的代理服务器并不 存放以私钥，它只完成接收请求、向系统内部发出签名申请等工作，关键的签名 操作不是在这里执行，这里除了未经过处理的用户信息和最后已经制作好的用户 证书以外，并无其他敏感信息内部、，p n 可以采取i p s e c 的方式进行加密保护对 于代理服务器( 同时连接内外网) 进行i p 地址筛选的策略，对内网地址段发出和接 收的信息采取加密连接的方式当然为了进一步确保安全，可以应用入侵监测机 制在代理服务器上以检查来自外网是否有可疑的入侵行为 图3 2 多代理服务器的系统构架 为了保证证书的签名服务不易因攻击而受到破坏和中断，首先采取多代理服务 器的系统构架( 如图3 2 所示) ，由于签名代理p r o x y 是直接与外网连接的部分，是 最容易受到攻击的部分，所以采取这种冗余配置来提供服务保证。即在单独代理 第2 2 页 郑州大学硕士学位论文 服务器被攻击和破坏时其它代理仍可以工作，保证系统的正常运行另外还可以 采取在不同代理服务器上安装不同操作系统的方式来提高攻击的难度。到这里为 止第一代和第二代的安全机制己经应用于系统的保护，但考虑前面提到的不足， 我们在系统内部构造入侵容忍的机制主要结合( t ，n ) 门限密码算法对c a 签名私 钥进行分拆，这样每个机器只存放私钥部分份额。不同于简单的重复性冗余配置， ( t ，n ) 门限密码算法提供的冗余性有其基于数学理论的安全性保障。下面只对于 ( t 。n ) 门限方在实际中的意义做一说明：( t ，n ) 门限指把秘密k 分拆成n 个份额，秘 密k 的重构可以通过获得n 个份额中的任意叮个份额来实现，而当获得的份额数小于 t 时，无法通过计算分析的手段获得秘密k 。通过结合门限密码的秘密分拆方案， 就保证了内部系统在遭受入侵时，有如下的入侵容忍特性： ( 1 ) 对单个份额的获取无法恢复出私钥，并且只要获取的私钥份额数在安全门限t 以下时，私钥本身仍然安全通过对私钥的分布式存放保证了系统遭受入侵后 私钥不会轻易泄漏改善了原来私钥完整存放于某一台机器上容易泄漏的问 题 。 ( 2 ) 私钥份额根据触发机制更新( 而私钥本身不变) ，这样攻击者己经获得的旧的私 钥份额完全失效，这就保证攻击者无法通过在一段时间内多次攻击，靠累计获 取私钥份额的做法来最终恢复私钥私钥份额的更新机制可以结合入侵检测机 制和私钥份额本身的一致性协议，这样保证了系统遭受入侵以后或者私钥分额 被篡改时启动份额更新机制，系统具有弹性的自我恢复机制，从不安全的状态 恢复到安全状态 ( 3 ) 内部采取使用私钥份额分步签名的方式，由于( t ，n ) 门限本身提供了冗余特性， 可以对于采取用不同的私钥份额组执行多次执行对同一证书的签名，这样即使 个别私钥份额遭到篡改，采取多次签名表决的的方案仍可以提供正确的签名， 这就保证了签名服务即使在系统受到入侵并其部分遭到破坏的情况下，仍能提 供服务。 3 5 入侵容忍系统的安全状态分析 入侵容忍系统具有在遭受攻击时，保障服务( 签名颁发证书) 持续进行的能力， 并且具有自我恢复的适应机制。图3 3 是系统在受到攻击后的状态转化。在下图中 触发系统进行更新机制的安全策略包括定时更新、根据私钥份额的一致性检验结 第2 3 页 郑州大学硕士学位论文 果、当然还有根据入侵检测系统发来的警告为了减少系统在连续遭受入侵后， 私钥份额泄漏超过安全门限的发生，我们可以提高定时更新的频率和采取严格的 入侵检测的模型匹配等策略“叮 周3 3 系统状态转化图 另外一个提高系统安全性和效率，并且增加攻击私钥难度的方法就是改变 ( t ，n ) 门限策略( t ，n ) 门限中，n 增大的意义在于增加系统冗余即在分步签名 时，通过增加执行子签名运算的单元来提高系统的运算效率同时具有越多个子 签名的机器同时计算部分签名，系统在处理大量的证书时就具有越多并行的计算 线程，代理服务器只需要合并子签名得出最后的结果而t 的增大，执行同样一次 签名时子签名于运算次数增多，系统总体运算量加大，但同时加大攻击者的难度， 使其需要获得更多的份额才可恢复私钥为入侵监测等安全技术以及系统重配置 等安全策略提供更多的时间以恢复系统，从整体上提高给系统冗侵以更大的弹性 在实际中，可以根据需要提供服务的数量以及实际的安全需求，按照上述原则决 定具体的( t ，n ) 。 第2 4 页 郑州大学硕士学位论文 第四章c a 私钥的共享方法和基于r s a 的签名方案 4 i 秘密共享方法 秘密共享体制是将秘密s 在一组参与者p 中进行分配，使其中的每个合格子集 都能恢复s ，并且使p 的每个不合格子集都不能恢复s 秘密共享体制为将秘密分给 多人掌管提供了可能现己提出多种门限算法，门限方案是通过经典的s l t a m i r 的 秘密共享方案达到的 4 1 1s h 埘i r 门限密码算法啪 秘密共享机制是建立在s h 棚i r 门限密码算法基础上的简单地说，( t ，n ) 秘密 共享体制是把一个秘密( 数字化的消息) ，通过计算分拆成n 个份额而这里的门限 t 的含义是，获得n 个份额中的任意t 个份额就可以通过计算完全恢复出秘密：而当 获得的份额数小于t 时，份额无法恢复秘密门限算法广泛用于入侵容忍体制是由 于它提供了我们所要求的“容忍”特性首先，对于企图通过入侵手段获取秘密 份额的攻击者，获取单独的秘密份额无法恢复出秘密，而要在短时间内获取门限 值t 个秘密份额才有意义这就提供了分布式系统容忍的特性，即使系统某些组件 遭受入侵，但敏感信息不至于泄漏其次，对于企图通过篡改秘密份额来破坏系 统的攻击者，其对单个份额的破坏不会使秘密无法恢复，而只有当其破坏的份额 大于n _ t 时，系统才无法恢复出秘密。s h 圳i r 秘密共享算法提供了一种弹性的冗余 机制，具体的安全策略制定者可以通过选取合适( t ，n ) 以符合自己的需求 s h a m i r 算法的思想是通过有限域内随机选取系数构造多项式，秘密d 被放在多 项式的常数项。p 是一个大质数，x e z p ，是要共享的秘密信息n 是参与秘密共享 的服务器的数量，t 是重构门限，在z p 空间内任意选取t 一1 次的多项式f ，使得 f ( o ) = d 。每个秘密份额被计算后分发给参与者p 。，通过t 秘密份额可以重构出秘密 具体拆分步骤：随机选取t - 1 次多项式f ( x ) z p x 。令秘密d = f ( o ) ，随机选择适 当小的互异元素x l ，x 2 ，x n e z p ，计算y i = f ( x i ) r o o dp ( i = l n ) 。 4 1 2 秘密的重构算法 对秘密的直接重构通过拉格朗开插值公式来计算。 第2 5 页 郑州大学硕士学位论文 n c x 卜扣，f l 嚣m o a p s 。，就是分拆私钥d 得到的私钥份额，重构秘密即求解下式： 蝴5 扣，豇去m o a 矿砉吼，豇去m 击p p 为拆分秘密时选取的大素数，x j 。x 。，分别是当前份额s i r 听对应x 值和其它份额所 对应的x 值。通过观察最右边的式子，实际上对私钥d 的重构就是对t 个( t 即为安 全门限) 带有私钥份额s “的子式进行求和运算，但求和是在有限域内进行的注意 这里还用到了拆分时所选取的x 的值，由于秘密共享份额的随机性主要取决于每次 t _ 1 阶多项式的随机选取( 秘密份额生成以后，系数销毁) ，而x 只起到在重构是保 证份额之间的对应关系的作用所以在实际计算中我们可以定义固定的x 值来方便 计算 4 1 3s t l 枷i r 算法存在的问题 对于生命周期长、敏感性高的秘密信息来说，s h 删i r 门限密码体制存在一定 的安全隐患由于在整个秘密份额的生命周期内，攻击者可能有机会获取足够多 秘密份额以恢复出秘密这就涉及到如何有效的保证主秘密不改变也不重构的前 提下进行秘密份额的更新。通过这种方式，攻击者在一个周期内获得的份额在子 秘密更新之后就失效了 s h 埘i r 算法主要提供了秘密的拆分方案，每次对秘密份额的更新只有采取重 新选取随机的多项式系数，并与秘密一同构造多项式的方法来生成新的秘密额。 由于份额的更新需要用到主秘密本身，而对于开放的网络环境这又是想尽力避免 的。另外一个问题是有效性检验：对于秘密份额在生存期内是否遭到破坏，s h a m i r 算法也并未提出有效的检验方案只能用格朗日插值公式重构秘密的法，来对结 果进行比较：如果结果正确说明份额未遭到破坏这里同样要用到主秘密本身。所 以我们希望在使用密钥时，能够实现在不重构秘密的情况下，通过使用秘密份额 经过一定算法来达到与使用密钥相同的效果 为了真正实现密钥的分散管理，必须有这样一种机制，使得参与签字的秘密 共享者可用他们的部分密钥计算“部分签字”，这些部分签字可用来生成对消息 的真正签字，而不泄露任何关于密钥和部分密钥的信息。针对这些问题的引出， 招2 6 页 郑州大学硕士学位论文 主动秘密共享体制应运而生了，它可以有更有效的解决份额