（计算机科学与技术专业论文）基于数据加密的敏感信息保护认证方法研究及应用.pdf

国防科学技术大学研究生院工程硕士学位论文 摘要 在分布式网络环境中，由于参与方众多，系统需要处理的信息数量庞大、类 型复杂，信息在系统的整个生命周期内更加多变，系统应用的环境更为恶劣，因 而信息的安全问题也越来越受到重视。在目前严峻的安全形势下，安全认证的作 用越来越突出，认证技术得到不断地发展和增强。但是，现有的认证方法中没有 考虑交互实体间的敏感信息保护问题，使得多数i n t e m e t 服务的应用与发展遇到了 很大的阻碍。 针对目前的认证方法未考虑敏感信息保护的问题，本文在深入分析和研究了 分布式网络环境中应用安全的基础上，基于数据加密的认证技术提出一种敏感信 息保护的认证方法s i p a ( s e n s i t i v ei n f o r m a t i 0 1 1p r o t e c t e da u t h e n t i c a t i o n ) 。在敏感信 息得到保护的前提下，s i p a 实现了安全认证和发送方的不可否认性，并且避免了 额外的签名证书的开销。本文对s i p a 方法的安全和性能进行了分析，分析结果表 明s i p a 方法具有很好的机密性、不可伪造性、公开验证性和不可否认性；而且， s i p a 方法中的签名方案在性能上要优于许多采用同样技术实现的签名方案。 同时，本文提出了基于s i p a 的多轮交互方法，实现交互双方一次性会话密钥 的协商，用于多轮交互中非敏感信息的交互，提高了陌生实体间多轮交互的效率， 也消除了直接暴露策略的安全风险。并且利用s i p a 方法的安全优势，提出s i p a t n 信任协商模型，用s i p a 的优点来弥补自动信任协商中的不足。 此外，对于分布式网络环境下两个重要的安全问题：用户私钥及其证书的撤 销问题、可信第三方的单点故障和用户欺骗问题，提出s i p a 方法中的私钥和证书 撤销机制和具有门限秘密共享功能的t s l p a ( t h r e s h o l ds i p a ) 方法，对t s i p a 方法 的安全性进行了证明，并给出t s i p a 方法的应用实例。 最后介绍了基于s i p a 的电子支付系统的设计与实现过程，给出s i p a 证书结 构，以及系统的总体框架和电子支付流程；介绍了电子支付系统中的关键实现： 数据加密技术的实现、s i p a 证书类库的实现以及系统中认证和敏感信息保护的实 现；并对原型系统的功能及安全特性进行了分析。 关键词：安全认证，敏感信息，信任协商，门限方案，私钥撤销 第i 页 国防科学技术大学研究生院工程硕士学位论文 a b s t r a c t i nad i s t r i b u t e dn e t w o r k , o w i n gt oal a r g en u m b e ro fp a r t i c i p a t o r s ，t h e r ea r eh u g e a m o u n t so fi n f o r m a t i o nw i t hc o m p l e xt y p en e e dt ob ep r o c e s s e d a tt h es a m et i m e ， i n f o r m a t i o ni sv a r i a b l ei n s y s t e ml i f e t i m e ，w h i c hr e s u l t si n w o r s ea p p l i c a t i o n e n v i r o n m e n t s o ，t h es e c u r i t yo fi n f o r m a t i o nh a sg o t t e nm o r ea t t e n t i o n d u et ot h e a u s t e r es e c u r i t ys t a t u s ，t h ee f f e c to fs e c u r i t ya u t h e n t i c a t i o nb e c o m e sm o r ei m p o r t a n t a n dt h ea u t h e n t i c a t i o nt e c h n i q u e sd e v e l o pq u i c k l y h o w e v e r ，t h ee x i s t i n ga u t h e n t i c a t i o n m e c h a n i s m sd on o tt a k ei n t oa c c o u tt h ep r o t e c t i o no fs e n s i t i v ei n f o r m a t i o nb e t w e e n t w o i n t e r a c t i v ee n t i t i e s ，w h i c hb l o c k st h ed e v e l o p m e n to fi n t e m e ts e r v i c e s i na l l u s i o nt oa u t h e n t i c a t i o nm e t h o d sn e g l e c tt h ei s s u eo fs e n s i t i v ei n f o r m a t i o n p r o t e c t e dc u r r e n t l y , w i t l lt h eg r o u n d w o r ko fa n a l y s ea n dr e s e a r c ht h ea p p l i c a t i o n s e c u r i t y i nt h ed i s t r i b u t e dn e t w o r k t h o r o u g h l y , w ep r o p o s eas i p a ( s e n s i t i v e i n f o r m a t i o np r o t e c t e da u t h e i c a t i o n ) m e c h a n i s mb a s e do nd a t ae n c r y p t i o n i tr e a l i z e s a u t h e n t i c a t i o na n dn o n r e p u d i a t i o nw i t ht h es e n s i t i v e i n f o r m a t i o nu n d e rp r o p e r p r o t e c t i o nt h u sa v o i dt h ec o s tb r o u g h ta b o u tb ys i g n a t u r ec r e d e n t i a l s i nt h i sp a p e r , w e a n a l y z et h es e c u r i t ya n dp e r f o r m a n c eo fs i p am e c h a n i s m o u rr e s u l ts h o w st h a ts i p a h a sg o o dc o n f i d e n t i a l i t y , n o n - f a l s i f i c a t i o n , p u b l i c - v a l i d a t i o na n dn o n r e p u d i a t i o n a n d t h ep e r f o r m a n c eo fs i p ao u t p e r f o r m so t h e rs c h e m e sb a s eo nt h es a m et e c h n i q u e s i m u l t a n e i t y ，w ep e r p o s eam u l t i r o u n di n t e r a c t i o nm e c h a n i s mb a s e do ns i p a ， w h i c ha c h i e v e st h en e g o t i a t i o no fs e s s i o n k e yb e t w e e nt w oi n t e r a c t i v ee n t i t i e s ，a n dc a n i m p r o v et h ee f 矗c i e n c yo fm u l t i r o u n di n t e r a c t i o na n de l i m i n a t et h ev e n t u r eo fd i v u l g e p o l i c ys t r a i g h t l y w ea l s oi n t r o d u c es i p a t n ( s i p a t r u s tn e g o t i a t i o n ) m o d e lb a s e do n s i p at om a k eu pf o rt h ed e f i c i e n c yo fa u t o m a t e dt r u s tn e g o t i a t i o n f u r t h e m o r e ，f o rt h et w oi m p o r t a n ts e c u r i t yp r o b l e mi nt h ed i s t r i b u t e dn e t w o r k ，w e f i r s ti n t r o d u c eam e c h a n i s mt h a ti sd i s p o s er e v o c a t i o no fp r i v a t e k e y sa n dc r e d e n t i a l so f u s e r so ft h es i p a ，a n dt h a nw ep r o p o s et s i p a ( t h r e s h o l ds i p a ) m e c h a n i s mt or e s o l v e t h ei s s u eo fs i n g l e p o i n tf a i l u r eo ft r u s t e da u t h o r i t ya n dl a s e rc h e a t w ea l s oa t t e s tt h e s e c u r i t yo ft s i p a ，a n dd e s c r i b ea i la p p l i c a t i o ni n s t a n c eo ft s i p a w ef m a l l yi n t r o d u c et h ed e s i g na n di m p l e m e n t a t i o no fe l e c t r o n i cp a y m e n ts y s t e m b a s e do ns i p a f i r s to fa l l ，w ed e p i c t et h es t r u c t u r eo fs i p ac r e d e n t i a l s ，t h ef r a m e w o r k o fs y s t e ma n dt h ef l o wo fe l e c t r o n i cp a y m e n t t h e n , w ep r e s e n tt h ek e yi m p l e m e n t a t i o n o fs y s t e m ：d a t ae n c r y p t i o nt e c h n i q u e s ，c l a s sl i b r a r i e so fs i p ac r e d e n t i a l s ，a u t h e n t i c a t i o n a n ds e n s i t i v ei n f o r m a t i o ni nt h es y s t e m f i n a l l y ，w ea n a l y s et h ef u n c t i o na n ds e c u r i t y c h a r a c t e r i s t i c so fo u rp r o t o t y p es y s t e mi nt h ee n d k e yw o r d s ：s e c u r i t ya u t h e n t i c a t i o n ，s e n s i t i v ei n f o r m a t i o n ，t r u s tn e g o t i a t i o n ， t hr e s h o l ds c h e m e s ，r e v o c a t i o no fp r i v a t ek e y s 第i i 页 国防科学技术大学研究生院工程硕士学位论文 表 目录 表3 1e c c 和r s a 在同等安全条件下所需密钥长度( 单位：b i t ) 3 5 表3 2s i p a 签名方案与其他签名方案的性能比较3 6 第1 v 页 国防科学技术大学研究生院工程硕士学位论文 图2 1 图2 2 图2 3 图2 4 图2 5 图2 6 图2 7 图2 8 图3 1 图3 2 图3 3 图3 4 图4 1 图5 1 图5 2 图5 3 图5 4 图5 5 图 图 图 图 图目录 对称加密的简化模型6 d e s 加密算法框图7 k e r b e r o s 认证系统8 公钥密码体制1l r s a 公钥加密算法11 p k i 简化模型1 2 基于身份的加密体制示例1 4 自动信任协商的工作原理15 s i p a 过程示例- 2 2 s i p a 方法的认证流程2 6 s i p a 方法的多轮交互2 7 s i p a l n 协议3 2 t s p a 方法的应用实例4 6 系统中s i p a 证书结构4 8 电子支付系统总体框架5 0 银行为客户颁发s i p a 证书5 0 电子支付流程5 2 o b j e c t 和c e r t 类图5 6 a u t h c e r t 和n a m e c e r t 类图5 7 h a s h 和o b j e c t h a s h 类图5 7 s i g n a t u r e 类图5 8 客户向支付平台发送消息时实现的认证5 9 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目： 基王数握加蜜曲熟盛信息握坦丛逛左法班究巫廑厦一 学位论文作者签名：隧! 迪日期： 2 0 0 t 9 年12 月2 7f i 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目： 基王数据加蜜的熟盛信息埕坨达适友逵研究厘虞囝 学位论文作者签名：隘垒日期：2o o 罗年12 月2 7 日 n 0 矿，、 作者指导教师签名： 季重日期：多一7 年iz - 月 7 日 国防科学技术大学研究生院工程硕士学位论文 第一章绪论 1 1 引言 随着互联网的出现和广泛普及，涌现出一批新型的基于互联网的应用与服务， 如电子商务服务、基于i n t e r n e t 的计算网格系统、软件即服务、社会网络、网上银 行业务等等。这些应用和服务的出现，使得网络在我们的社会和日常生活中扮演 着越来越重要和关键的角色。一些新型的网络在线服务，如在线拍卖网站、网上 购物商场、二手货交易网站以及各种各样的网上论坛的出现无不显示出这种社会 化的深刻变化。在信息化社会中，互联网在政治、军事、金融、交通、电信、文 教等方面发挥越来越大的作用。社会对于互联网的依赖也日益增强，使得财富和 秘密信息高度集中于计算机网络中，伴随着网络信息产业发展而产生的i n t e m e t 和 网络信息安全问题，也越来越受到人们的关注。据美国商业周刊的调查报告显示， 有超过百分之八十的公司声称，安全问题是阻碍其与客户或合作伙伴进行电子商 务业务的主要原因。当前人们面临的网络安全问题越来越严峻，对信息资源的合 法访问以及有效保护的要求也越来越强烈。 未来的互联网必然朝着分布式计算和分布式服务的方向发展，因为个人电脑 不可能完成所有的数据任务，将数据处理转移到网上去是一种必然的趋势。信息 技术的发展使得分布式、多用户在线系统的应用越来越广泛，同时也推动着相关 应用领域不断提出更新、更为复杂的需求，由此引发的分布式环境下的安全问题 也越来越受到重视。在分布式环境下，由于资源请求方和资源提供方相互之间的 生疏性，首先遇到的问题，便是安全的身份认证和彼此之间信任关系的建立。安 全认证是互联网应用赖以维持的根本和保证，也是i n t e m e t 上的服务提供方对资源 实施有效地访问控制的前提。不过，分布式环境下的交互实体并不希望在认证过 程中，将自己的敏感信息暴露给对方。现实生活中，i n t e m e t 上的用户总是希望自 己的隐私信息得到保护，但又希望能够获得尽可能多的方便快捷的服务。在目前 严峻的安全形势下，安全认证的作用越来越突出，认证技术得到不断地发展和增 强。但是，现有的认证方法中没有考虑交互实体间的敏感信息保护，使得多数 i n t e m e t 服务的应用与发展遇到了很大的阻碍。 此外，在开放的互联网中，由于参与主体的数量规模大、网络运行环境具有 异构性以及动态性等特点，并且网络中的资源实体通常是由不同的权威机构来管 理，如何在分布式计算环境中的通信实体间建立信任关系成为一个重要问题。由 于信息安全的隐患往往源于多个方面，在分布式的陌生实体间建立信任关系的过 程中，很有可能会泄露通信实体并不希望让对方所知道的敏感信息。能否在保护 第1 页 国防科学技术大学研究生院工程硕士学位论文 敏感信息的前提下，在生疏的交互实体间有效地建立信任关系，对分布式安全的 发展提出了重要的挑战。 1 2 1 现有认证方法的不足 1 2 研究现状 计算机的普及和网络技术的飞速发展，使得各种各样的身份识别技术也不断 出现，例如基于智能卡的身份认证方法和基于生物特征的身份认证方法等。随着 现代密码理论的发展，基于数据加密技术进行身份认证成为越来越广泛的身份认 证方式。 在密码学发展过程中形成了两种密码体制【1 】：一种是对称加密体制，该体制中 加密密钥和解密密钥是同一个密钥；另一种是公钥密码体制，加密和解密用的是 不同的两个密钥。密码学中的身份认证主要通过数字签名来实现。其中，对称加 密认证体制中最典型的应用是k e r b e r o s 【2 ，3 】认证系统，该认证方法使用安全认证服 务器作为整个方案中的可信第三方来提供认证服务。k e r b e r o s 已经作为一个 i n t e m e t 标准被发布，并且是远程认证的重要标准。公钥密码认证体制中应用得最 广泛的是基于p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 4 , 5 】的认证，该认证方法一般使用x 5 0 9 证书，x 5 0 9 是由国际电信联盟( i t u t ) 锘l j 定的数字证书标准，它被使用在i ps e e 和s s l 等重要的网络安全应用中。k e r b e r o s 认证和基于p k i 的认证是现代网络认 证中最重要的两种认证方法。 k e r b e r o s 最初是由麻省理工学院为a 也e n a f 6 】项目开发的，它的模型是基于 n e e d h a m s c h r o e d e r 的可信第三方协议，可以提供安全的网络认证，允许用户访问 网络中不同的主机。k e r b e r o s 提供了一种在开放网络环境中实现对主体进行身份认 证的方法，这些网络主体可以是普通用户或网络服务器。该方法中的身份认证不 要求对主机地位的信任，同时也不用依赖于主机操作系统的认证。k e r b e r o s 认证系 统能为网络中的所有实体提供一个统一的认证管理机制，运用k e r b e r o s 系统中的 票据，使得一次性签发机制得以实现，每张票据在有效期到来之前，可多次用来 连接应用服务器。并且，k e r b e r o s 能够支持分布式环境下的认证服务和双向认证服 务。不过，k e r b e r o s 认证系统仍然存在几个潜在的安全弱点，比如：在票据有效期 内，旧的认证符可能被存储和重用；另外，k e r b e r o s 基于对称加密体制，而密钥管 理一直是对称加密体制中一个比较棘手的问题，如果密钥管理出了差错，攻击者 获得一个用户的密钥后就可以假冒该用户的身份申请票据，从而导致整个认证过 程是无效的。并且k e r b e r o s 使用对称加密算法，仅能保证数据的安全性，而无法 保证数据的完整性，这是该协议的一个主要弱点。 第2 页 国防科学技术大学研究生院工程硕士学位论文 基于p k i 的认证方法是随着公钥密码体制的出现而发展起来的，它的产生使 得分布式网络环境下安全和高效地获取公钥成为可能。该认证方法充分利用了公 钥密码学的优势，使得密钥的管理变得简单，认证的思路变得清晰，促进了密码 学的大规模应用。但同时，基于p k i 的认证方法也有一些不足之处，主要表现在： 需要维护个复杂的证书链机构，认证中心的开销很大；用户要保存其他用 户的证书及证书验证路径，用户的开销也很大。缺乏有效的证书撤销机制，对 私钥是否泄漏还没有一个具体的方法来判断。该认证方法中对用户私钥的撤销 需要通过证书撤销机制来实现，不够灵活，而且开销也不小。 k e r b e r o s 认证系统和基于p k i 的认证方法都在目前的i n t e r n e t 服务中得到了广 泛的应用，并且都是目前的安全认证技术中重要的标准。但是，这两种认证方法 都没有考虑分布式网络环境下通信实体间的敏感信息保护，使得基于这些认证方 法的i n t e r n e t 应用与服务不能得到更加广泛和有效的推广。 针对公钥管理的繁琐与复杂，1 9 8 4 年，s 1 1 a m i r 【7 】以一种异乎寻常的悟性开创了 基于身份的公钥密码体制，该体制中直接将用户的身份作为公钥，以此来简化公 钥密码体制中的公钥管理问题。基于身份的密码( i d e n t i t yb a s e de n c r y p t i o n ) 体制 的优点是避免了传统的p k i 系统中证书维护成本高和证书链处理过于繁琐等弊端， 更加适合在分布式环境中应用。不过，基于i b e 的认证方法也存在一定的缺陷， 比如该体制中私钥生成中心的单点故障问题，另外该认证方法也不能提供通信实 体间的敏感信息保护，不适合应用于敏感资源的访问和有效控制，使得该方法的 广泛应用遇到了很大的障碍。 1 2 2 敏感信息保护的现状 在具有多个安全自治域的分布式应用中，为了实现多个虚拟组织问的资源共 享和协作，需要通过一种有效的机制在数目庞大、动态分散的个体和组织间建立 信任关系。不过，实体间的信任关系常常是动态地建立和调整，需要依靠协商方 式达成协作或实现资源访问的目的，并能维护实体的自治性、隐私性等安全需要。 为解决上述问题，w i n s b o r o u g h 等人i s 】提出了自动信任协商( a u t o m a t e dt r u s t n e g o t i a t i o n ) 的概念，并成为当前一个重要研究方向。a t n 通过信任证书和访问控 制策略的交互披露，资源的请求方和提供方逐步地建立信任关系。自动信任协商 中的访问控制策略提供了一种方法来规范敏感证书和敏感策略的交换，从而保护 了用户的敏感证书信息、敏感访问控制策略和个人隐私。 在a t n 中，信任证书和访问控制策略是特殊的资源，可能包含敏感信息( 比 如证书持有者的私人信息) 。很多学者对a t n 中敏感信息的保护进行了深入研究。 w i n s b o r o u g h 和l i 等人【9 1 0 】引入属性确认策略( 硼d b u t e da c k n o w l e d g e m e n tp o l i c y ， 第3 页 国防科学技术大学研究生院工程硕士学位论文 a c k ) 的概念，属性确认策略主要用来避免协商双方中的一方对另一方的非授权猜 测，以达到保护证书中属性的目的。不过，a c k 策略方案要求对协商方之间的非 敏感资源也制订保护策略，当涉及的属性组特别庞大时，势必会导致协商过程中 生成太多的冗余策略，这对策略的管理和应用都是不小的负担。 基于签名的无记忆信封( o b l i v i o u ss i g n a t u r e b a s e de n v e l o p e ，o s b e ) 1 1 , 1 2 1 协议是 通过检查用户提交的数字签名是否为指定证书的签名，以此决定该用户是否有权 获取信息。o s b e 协议可使用多种签名算法来实现，它提供了一种使用签名防止信 息泄露的框架。o s b e 协议的基本要求是：接收方读取消息时，必须要拥有同发送 方已经协定好的一致的签名。例如，当a l i c e 要发送消息给b o b 时，o s b e 要求 m i c e 和b o b 协定好b o b 将要解密的消息的签名。这样便有可能泄露应使用哪些证 书来解密消息，从而可能会泄露相应证书的敏感信息。 秘密握手协议( s e c r e th a n d s h a k e s l 1 3 - 1 6 能用于隐私保护的认证。使用s h 不需 要用户隐藏或抑制证书的某些部分来获得隐私。用户能呈现他们的证书，接收实 体不能够知道由不同组织颁发的证书的任何信息。s h 要求陌生实体间交互认证时 使用相同颁发者的证书，这使得s h 在分布式环境下的应用存在很大的困难。 h o l t 等人【1 7 , 1 8 】提出了隐藏证书的概念，隐藏证书基于椭圆曲线加密的原理， 具有很好的信息保密性和数据完整性，可以防止敏感信息的泄露，适用于信任协 商中的敏感信息保护。不过，目前的隐藏证书技术并不提供协商方之间的认证功 能，这也给隐藏证书技术在分布式网络环境的广泛应用造成了很大的障碍。 1 3 主要工作 针对目前的安全认证方法未考虑通信实体间的敏感信息泄露，不能提供敏感 信息保护的问题，本文在深入分析和研究了分布式网络环境中应用安全的基础上， 基于数据加密的认证技术提出一种敏感信息保护的认证方法s i p a ( s e n s i t i v e i n f o r m a t i o np r o t e c t e da u t h e n t i c a t i o n ) ，给出能提高通信实体间交互效率的s i p a 多 轮交互方法，并提出一个s i p a 信任协商模型。同时，针对分布式应用中两个重要 的安全问题，提出相应的解决方案。具体来说，本文的主要工作如下： 提出了敏感信息保护的认证方法s i p a ，给出该方法的认证流程。s i p a 方 法充分利用了隐藏证书技术的优势，在敏感信息得到保护的前提下，实现了认证 功能和发送方的不可否认性，并且避免了额外的签名证书的开销。本文对s i p a 方 法的安全和性能进行了分析，分析结果表明s i p a 方法具有很好的机密性、不可伪 造性、公开验证性和不可否认性；而且，s i p a 方法中的签名方案在性能上要优于 许多采用同样技术实现的签名方案。 针对信任协商中一次通信需要多轮交互的情况，提出了基于s i p a 的多轮 第4 页 国防科学技术大学研究生院工程硕士学位论文 交互方法，实现交互双方一次性会话密钥的协商，用于多轮交互中非敏感信息的 交互，提高了陌生实体间多轮交互的效率，也消除了直接暴露策略的安全风险。 针对现有自动信任协商技术出现的问题和不足，提出s i p a t n ( s i p at r u s t n e g o t i a t i o n ) 信任协商模型。用s i p a 的优点来弥补自动信任协商中的不足。 针对分布式网络环境下用户私钥及其证书的撤销问题，提出s i p a 方法中 的私钥和证书撤销机制。 针对分布式安全应用中，可信第三方的单点故障和用户欺骗问题，提出了 门限秘密共享的s i p a 方法t s i p a ( t h r e s h o l ds i p a ) ，对t s i p a 方法的安全性进行 了证明，并给出t s i p a 方法的应用实例。通过证明，可以看出t s i p a 方法能够有 效地解决可信第三方的单点故障和用户欺骗问题。 使用j a v a 语言开发出一个s i p a 证书类库系统，并在此基础上利用s i p a 方法中对消息明文和发送方签名进行保护的思想，采用相关的数据加密技术实现 一个具有敏感信息保护和认证功能的电子支付原型系统。 1 4 论文结构 本文的结构安排如下： 第一章简要描述了目前分布式网络环境下的应用存在的挑战，介绍了安全认 证技术存在的问题，对利用密码学的认证方法和敏感信息保护技术的研究现状进 行了分析，简单介绍了本文的主要工作。 第二章系统地介绍了目前广泛使用的基于数据加密的认证技术，分析了这些 认证技术存在的缺陷；并详细介绍了信任协商中的敏感信息保护技术，重点探讨 和分析了四种主要的敏感信息保护技术。 第三章详细介绍了本文提出的s i p a 方法，给出该方法的认证流程，并介绍了 基于s i p a 的多轮交互方法，然后介绍s i p a 信任协商模型，最后对s i p a 方法的 安全性和性能进行了仔细分析。 第四章介绍和分析了s i p a 方法应用的安全扩展问题，简单介绍了针对相应安 全问题的解决方案，然后介绍了s i p a 方法中用户私钥和证书的撤销机制，以及具 有门限秘密共享功能的t s i p a 方法，对t s i p a 方法的安全性进行了证明。 第五章详细介绍了基于s i p a 的电子支付系统的设计与实现过程，并对实现的 原型系统的功能和安全性进行了分析。 第六章对本文的主要贡献和创新进行总结，并介绍了对于未来工作的展望。 第5 页 国防科学技术大学研究生院工程硕士学位论文 第二章相关工作 2 1 基于数据加密的认证技术 2 1 1 利用对称加密的认证 如果网络环境未能提供有效的认证保护手段，则非法用户会很容易获取网络 中任意服务器提供的服务。这种情况下最大的安全威胁是假冒，即攻击者可假装 是某一用户以获得访问服务器的特权，从而进行安全攻击。为防止这种假冒，首 先要提供的便是安全的身份认证技术。利用对称加密的认证技术是目前互联网上 使用较为广泛的认证技术。本小节首先简要介绍一些对称加密体制的知识，然后 仔细分析一下k e r b e r o s 认证系统。 2 1 1 1 对称加密体制概述 对称加密技术也被称为传统加密技术【1 9 】，是公钥密码产生之前唯的一种加 密技术，也是目前应用最为广泛的一种加密技术。在对称加密体制中，所有的加 密算法都是基于两个原理：代换和置换。代换是将明文中的每个元素映射成另一 个元素；置换是将明文中的元素重新排列。使用加密算法进行运算的基本要求是 不允许信息丢失( 也就是说，所有的运算都是可逆的) 。 对称加密方案有以下五个组成部分( 如图2 1 ) ： 明文：算法的输入，是原始的消息和数据； 加密算法：加密算法对明文进行各种代换和置换； 秘密密钥：也是算法的输入，算法所用的特定的代换和置换依赖于密钥； 密文：算法的输出，看上去完全杂乱的数据，依赖于明文和密钥； 解密算法：解密算法本质上是加密算法的逆运算，输入密文和密钥可以用解 密算法恢复出明文。 妒妒 共享密钥k共享密钥k 图2 1 对称加密的简化模型 图2 1 的简化模型中，x 代表输入的明文，k 代表收发双方共享的秘密密钥， e 和d 分别代表加密和解密算法，y = 五【k 羽表示将密钥k 和明文x 作为加密算 法e 的输入产生的密文为y ，x = d 陇明表示将密钥k 和密文】，作为解密算法d 第6 页 国防科学技术大学研究生院工程硕士学位论文 的输入产生明文k 使用最广泛的对称加密体制是数据加密标准( d a ：t ae n c r y p t i o ns t a n d a r d , d e s ) 2 0 l ，它是由美国i b m 公司研制的，于1 9 7 7 年被美国国家标准局采纳为联邦 信息处理标准4 6 。这个算法本身被称为数据加密算法( d e a ) 。 d e s 算法可以描述如下：d e s 采用了6 4 位的明文分组长度和5 6 位的密钥长 度。它包含1 6 轮的处理过程，由原始的5 6 位密钥，产生1 6 个子密钥，分别用于 每一轮。图2 2 是d e s 算法的框图。 “比特明文5 6 比特密钥 “比特霉文 图2 2 d e s 加密算法框图 图2 2 的左边是d e s 算法对于明文的处理过程，可分为三个阶段，首先是对 明文进行初始置换，用于重排明文分组的6 4 比特数据。然后是具有相同功能的1 6 轮变换，每轮中都有代换和置换运算，第1 6 轮变换的输出分为左右两半，并被交 换次序。最后经过一个逆初始置换产生出“比特的密文。 图2 2 的右边是算法中密钥的使用方法。密钥首先进行一次置换运算，对于加 密过程的每一轮，通过一个左循环移位和一个置换产生一个子密钥。其中每轮的 置换都相同，但由于密钥被重复迭代，因此每轮产生的子密钥都不相同。 d e s 的解密过程本质上和加密过程是一样的。规则如下：将密文作为d e s 算 法的输入，但是，要按逆序使用子密钥墨。这表示，局6 用于第一轮的迭代，局5 用于第二轮的迭代，依此类推，直到k l 用于最后一轮的迭代。 2 1 1 2k e r b e r o s 认证系统 k e r b e r o s 是m i t 作为a t h e n a 6 j 计划的一部分开发的认证服务系统，k e r b e r o s 第7 页 国防科学技术大学研究生院工程硕士学位论文 系统建立了一个中心认证服务器用以向用户和服务器提供相互认证。系统的目的 是解决以下问题：在开放的分布式环境中，用户希望访问网络中的服务器，而服 务器则要求能够认证用户的访问请求，并且只有通过认证的用户才允许访问服务 器，以防止未经授权的用户得到服务和数据。k e r b e r o s 使用了一个涉及客户端、应 用服务器和一个k e r b e r o s 服务器的协议，该协议是设计用来对抗针对客户端服务 器对话安全多种威胁的。k e r b e r o s 使用的加密算法是d e s 。 图23 给出了k e r b e r o s 认证系统的认证过程，图中的符号表示如下：c - - 用户； a s _ 认证服务器；t 0 s 一票据授权服务器；v 一应用服务器。 k e r b e r o s 认证系统中，a s 和系统中其他服务器共享一个唯一的密钥，该密钥 通过物理方式或其他安全方式分发，使得a s 能够以一种安全的方式把消息发送到 应用服务器。a s 提供一个票据用于专门的应用服务，将会使得用户在一个登录会 话期间为每个服务请求一个新票据，这对用户来说是麻烦的，因此需要对一个专 门的票据授权服务( t i c k e t g r a n t i n gs e r v i c e ，t g s ) 。这表示a s 给客户端一个票据，该 票据能被用来获得更多的票据。 服务器v 国23 k e r b e r o s 认证系统 由圉23 可以看出，k e r b e r o s 认证协议可分为三个阶段，下面对这三个阶段的 主要思想做出解释。 第一阶段：认证服务交换，用户从a s 获得票据授权票据。 c a s ：用户c 向认证服务器a s 发送“认证服务请求”a sr e q ，通知a s 它将和票据授权服务器t g s 通信。 a s c ：a s 向c 发出一个应答，该应答由从用户的口令导出的密钥加密，使 得只有c 能解读。应答的内容包括c 与t g s 会话所使用的密钥i ( c 啦和a s 向c 第8 页 国防科学技术大学研究生院工程硕士学位论文 发放的“票据授权票据”t g t ，t g t 用a s 和t g s 共享的长期密钥加密。 第二阶段：票据授权服务交换，用户从t g s 获得服务授权票据。 c t g s ：用户c 向票据授权服务器t g s 发送“票据授权请求t g sr e q 。 t g sr e q 中除了请求的明文信息，还包括第一阶段获得的t g t 。当t g s 收到该 请求后，可使用和a s 共享的长期密钥进行解密，获得会话密钥k 慨。 t g s c ：t g s 向c 发出一个应答，该应答由密钥k ，懈加密。应答的内容包 括c 和应用服务器v 将使用的会话密钥v 和一个服务授权票据，该服务授权票 据使用t g s 与v 的共享密钥加密。 第三阶段：用户和服务器的认证交换，用户从服务器获得服务。 c v ：用户c 向应用服务器v 发送“应用服务请求 a pr e o 。a pr e o 中 包含第二阶段获得的服务授权票据和一个认证符。v 使用和t g s 共享的密钥解密 服务授权票据，得到会话密钥k v ，并由k v 解密认证符，以验证c 的身份。 v c ：服务器v 对c 的请求给出“应答 a pp e p 。 由以上过程可以看出，a s 和t g s 在系统中的作用有些类似：它们统称为密钥 分配中一6 , ( k d g ) 。把k d g 分为两部分，是基于实际应用考虑的，因为该系统的需 求可能会是一个相当大的网络“领域，该领域中应用服务器可能属于不同的网 络域，应用服务器在不同的网络域中由不同的t g s 管理。因此，即使用户从某个 固定的站点登陆a s ，也可以得到多个t g s 提供的服务，进而得到更多的应用服务 器提供的服务。 k e r b c r o s 是基于对称加密体制的可信第三方认证鉴别协议，可以提供安全的网 络认证，允许用户访问网络中不同的主机。k e r b e r o s 提供了一种在开放网络环境中 实现对主体进行身份认证的方法，这些主体可以是普通用户或网络服务器。该方 法中的身份认证不要求对主机地位的信任，同时也不用依赖于主机操作系统的认 证。网络上的k e r b c r o s 作为一个可信任的第三方来提供认证服务。k e r b e r o s 认证 系统能为网络中的所有实体提供一个统一的认证管理机制，而一般的认证协议仅 局限于客户与服务器两者之间的交换过程。k e r b e r o s 票据的使用，使得一次性签发 机制得以实现，在票据有效期到来之前，每张票据可多次用来连接应用服务器。 同时，k e r b e r o s 还支持分布式环境下的认证服务和双向认证服务。不过，k e r b e r o s 认证系统仍然存在着几个潜在的安全弱点，例如：在票据有效期内，旧的认证符 可能被存储和重用；并且认证符的正确性是基于网络中所有时钟保持同步，如果 能欺骗主机，使其时间发生错误，那么旧的认证符就会很容易地实现重放。另外 k e r b e r o s 基于对称加密体制，因而在认证服务器a s 和票据授权服务器t g s 上都 要存放大量的密钥，而密钥的管理一直是对称加密体制中一个比较棘手的问题， 如果密钥管理出了差错，攻击者获得用户的密钥后就可以假冒该用户的身份申请 第9 页 国防科学技术大学研究生院工程硕士学位论文 票据，从而导致整个认证过程无效。并且使用对称加密算法，仅能保证数据的安 全性，而无法保证数据的完整性，这是该协议的一个主要弱点。 2 1 2 基于公钥密码体制的认证 2 1 2 1 公钥密码体制介绍 公钥密码体制的概念【2 1 】是在解决对称加密体制中最难解决的两个问题时提出 的，这两个问题是密钥分发和数字签名。 对称加密体制在进行密钥分发时，要求通信双方已经有一个共享密钥，或者 借助于一个密钥分发中心。对第一个要求，可用物理方式传送通信双方最初共享 的密钥，该方法成本很高，而且依赖于传送者的可靠性。第二个要求则完全依赖 于密钥分发中心的可靠性。 数字签名考虑的是如何为数字化的消息或文件提供消息源的认证功能。若使 用对称密码进行签名，由于通信双方共享此密钥，任何一方均可以伪造另一方进 行签名。 1 9 7 6 年，w d i f f i