（计算机软件与理论专业论文）入侵容忍ca方案的研究与实验.pdf

摘要 摘要 计算机技术和网络技术给人们的生活带来了便利，但网络上的种种不 安全因素给网络应用埋下了隐患。p k i 技术是目前唯一的大规模解决网络安 全问题的可行方案。 p k i 技术从2 0 世纪8 0 年代发展至今，已经具有相当的规模和应用前景。 但p k l 依然存在很多问题，尤其是作为普适性的安全基础设施，其本身的 安全更加受到关注。p k i 本身就是一个网络结构，所有用于保护网络安全的 方法和手段都可以用到p k i 身上，如入侵检测、防火墙、存取控制等。p k i 本身安全的重中之重就是对c a 私钥的保护。对于用户c a 来说，既要保证 c a 私钥的机密性又要提供不问断的在线服务。 本文首先介绍了密码学和p k i 理论的相关知识。提出了基于多项式分 享的门限r s a 签名方案，并消除了由于多项式分享所带来的求逆运算。签 名方案中密钥d 的分发增加了验证机制，即秘密分享者可验证接收的秘密 份额( 部分密钥) 是否正确。 其次，本文对所提出的门限r s a 签名方案进行了相关的证明。证明表 明签名方案具有零知识性和较好的安全性。方案的多项式分享方式为密钥 管理方案、系统扩充和门限值的改变提供了灵活的天然基础。 再次，根据门限r s a 签名，针对在线c a 问题，提出了入侵容忍c a 模型。在模型中，c a 的私钥以分享的方式分布在z 个服务器中，用其中任 意r 个即可完成对新颁发的证书的签名。该模型既能保障私钥的机密性又能 容忍一定量的入侵。 最后，在开源项目o p e n s s l 的基础上进行了相关的实验，并对系统的 安全性、可用性和效率进行分析。分析表明系统是可行的。 关键词信息安全；密码学；p c a ；秘密分享；入侵容忍 燕山大学工学硕士学位论文 a b s t r a c t c o m p u t e rt e c h n o l o g ya n dn e t w o r kt e c h n o l o g yb r i n go u rl i f ec o n v e n i e n c e a n da d v a n t a g e 。b u ta 1 1k i n d so fu n s e c u r e df a c t o r si nt h en e t w o r kl e a v en e t w o r k a p p l i c a t i o nh i d d e nt r o u b l e s u n t i ln o w , p k it e c h n i q u ei s t h es o l ev a s ts c a l e e x e c u t a b l es c h e m ef o rn e t w o r ks e c u r i t y f r o mt h e8 0 s o f2 0 t hc e n t u r y , p k ih a sb e e ni nc o n s i d e r a b l es c a l ea n d a p p l i c a b l e f u t u r e b u tt h e r ea r es t i f f m a n yp r o b l e m s a su n i v e r s a ls e c u r e i n f r a s t r u c t u r e t h es e c u r i t yo fi t so w ni se s p e c i a l l yc o n c e r n e d a s 加a sp k i i t s e l fi sc o n c e r n e d ，i ti san e t w o r k , s oa l lt h es c h e r u e sa n dm e t h o d su s e df o r n e t w o r k s e c u r i t yc a n b eu s e dt op i g ，s u c ha si n t r u s i o nd e t e c t i o n , f i r e w a l l ，a c c e s s c o n t r o le t c t h ec h i e f p r o b l e mf o rt h es e c u r i t yo f p k ii st op r o t e c tt h es e c u r i t yo f c a sp r i v a t ek e y f o ru s e rc a ，i tc o m m a n dn o to n l yp r o t e c tc a sp r i v a t ek e y s e c r e tb u ta l s on e e dc a p r o v i d es e r v i c e so n l i n eu n i n t e r r u p t e d f i r s t l y , i nt h i sp a p e r , c r y p t o g r a p h ya n dt h ep i gt h e o r ya r ei n t r o d u c e d r s a t h r e s h o l ds i g n a t u r eb a s e dp o l y n o m i a li sb r ( , u g h tf o r w a r d ；f u r t h e r m o r ei n v e r s e o p e r a t i o nb r o u g h tb yp o l y n o m i a ls h a r e si se l i m i n a t e d i nt h es i g n a t u r es c h e m e ， t h ev e r i f i a b l em e c h a n i s mi sa d d e dt ot h ed i s t r i b u t i n go f p r i v a t ek e y 吐n a m e l y s h a r e rc a i lv e r i f yw h e t h e rt h es h a r ei tr e c e i v e di sc o r r e c t s e c o n d l y , s o m ed e m o n s t r a t i o n sh a v eb e e nd o n ef o r t h er s at h r e s h o l d s i g n a t u r e t h ed e m o n s t r a t i o n ss h o wt h a tt h es i g n a t u r es c h e m eh a st h ez e r o k n o w l e d g ep e r f o r m a n c ea n d b e t t e rs e c u r i t y 1 1 1 cs c h e m e u s i n gp o l y n o m i a ls e c r e l s h a r i n gi sf l e x i b l eb a s ef o rk e ym a n a g e m e n t ，s y s t e me x t e n s i o na n dt h ec h a n g eo f t h r e s h o l dv a l u e t h i r d l y , a c c o r d i n gt o t h er s at h r e s h o l ds i g n a t u r e a i m i n ga to n l i n e c a p r o b l e m , t h ei n t r u s i o nt o l e r a n tc a m o d e li sp u tu p i nt h i sm o d e l ，c a sp r i v a t e k e yi ss h a r e dt o ，s e r v e r s ，t h e n ，t h en e w c e r t i f i c a t ec a nb es i g n e du s i n gr a n d o mf p i e c e so f s h a r e s t h em o d e lc a bn o to n l yk c e pt h ec a sp r i v a t ek e y s e c r e t ，b u t n a b s t r a c t a l s ot o l e r a n c es o m ei n t r u s i o a s a tl a s t ，s o m ee x p e r i m e n t sh a v eb e e nd o n eb a s e do nt h eo p e ns o u r c ep r o j e c t o p e n s s l a n dt h e nt h es y s t e m ss e c u r i t y , u t i l i t y a n de f f i c i e n c yh a v eb e e n a n a l y z e dt o o t h r o u g ht h e s ep e r f o r m a n c ea n a l y s e s ，i ts h o w st h a tt h es y s t e mi s f e a s i b l e k e y w o r d s i n f o r m a t i o n s e c u r i t y ；c r y p t o g r a p h y ；p k i c a ；s e c r e t s h a r e s i n t r u s i o nt o l e r a n c e 1 1 1 第1 章绪论 第1 章绪论 1 1p 的发展背景 随着信息技术的发展，计算机和网络已经广泛应用到国民经济和社会 生活的各个领域及部门，成为国家事务、经济建设、国防建设、尖端科技 等重要领域管理中必不可少的工具和手段。i n t e r n e t 的不断普及、方便的接 入方式为个人、企业、政府、学校带来了极大的便利和巨大的机会。信息 技术改善了人们的生活，但，随着信息技术的发展，信息安全问题也曰益 突出”。 另外，电子政务、电子商务等网上电子业务己逐步被人们所接受，并 在得到不断普及。众多的政府和商家都纷纷介入电子政务和电子商务，希 望透过电子政务和电子商务而领先世界。以美国为例，美国国家税务局， 联邦社会保障部门都采用了电子政务系统以提高对公民的服务质量。美国 国防部，航天总署，服务管理局实施网络采购已经多年。美国国会也看到 了电子政务的好处，制定了一些法律来促进电子政务的开展，如1 9 9 8 年的 政府纸张消除方案 2 1 规定在2 0 0 3 年1 0 月前美国政府实现无纸办公，让 公民与政府的互动关系电子化。我国于2 0 0 4 年8 月2 8 日经十届全国人大 常务委员会第十一次会议通过了中华人民共和国电子签名法，并将于 2 0 0 5 年4 月1 日实施。但由于各种原因，电子商务、电子政务的安全性仍 不能得到有效的保障。如在常规的商务业务中，交易双方现场交易，可以 确认购买双方的身份。利用商场开具的发票和客户现场支付商品费用，无 须担心发生纠纷和无凭证可依。但通过网上进行电子商务交易时，由于交 易双方并不现场交易，因此，无法确认双方的合法身份，同时交易信息是 交易双方的商业秘密，在网上传输时必须保证安全性，防止信息被窃取； 双方的交易非现场交易，一旦发生纠纷，必须能够提供仲裁。因此，在电 子业务中，必须从技术上保证交易过程中能够实现身份认证、安全传输、 不可否认性、数据完整性。当然，这些都可以通过公钥密码体制的理论加 燕山大学工学硕士学位论文 以解决，然而公钥密码体制的应用受到了一定的限制。 为了解决以上问题，世界各国进行了多年的研究，初步形成了一套完 整的i n t e m e t 安全解决方案，即目前被广泛采用的p k i 技术( p u b i ck e y i r d i a s t r u c t u r e ，公开密钥基础设施) ，p k i 技术采用证书管理公钥，通过第三 方的可信任机构认证中心c a ( c e r t i f i c a t ea u t h o r i t y ) ，把用户的公钥和用 户的其他标识信息( 如名称、e m a i l 、身份证号等) 捆绑在一起，从而验证用 户的身份。 采用基于公钥密码技术构建的公钥基础设施( p k i ) 是目前公认的解决大 规模、分布式开发网络环境下信息安全问题最可行、最有效的办法1 3 , 4 。数 字证书是p k i 的核心，它就像“身份证”一样时刻伴随着电子业务的始终。 在传统的安全解决方案中，密码服务与安全应用紧密地结合在一起，每一 种网络应用都有自己的一套密钥管理方案。不仅功能大量冗余，管理维护 工作复杂，费用高，而且这种分散的、插件式的安全解决方案存在安全隐 患，互操作性也得不到保证；而p k i 以统一的方式来解决各种应用所面临 的共同问题，提供通用的安全服务和安全管理，无疑是一种更为合理的安 全解决方案。利用p k i 技术可以方便地建立和维护一个可信的网络计算环 境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身 份和所交换的信息。不难看出建立以p k i 为基础的安全解决方案，无论对 于在i n t r a n e t 上开展无纸办公等内部业务，还是对于开展电子商务、网络银 行等基于i n t e r n e t 的商业应用及电子政务等应用，都是一种好的选择。 1 2p 发展中存在的问题 p k l 的产生、发展以及相关标准的制定并不是一蹴而就的，而是从2 0 世纪8 0 年代，随着公钥技术的发展而发展的，并在实际的应用中逐步完善 的。经过这么多年的发展和实践，许多组件和服务已经进入了实用阶段。 但仍存在着许多问题。如一些国际标准还不完善；开发和维护费用高；p k i 的应用还没有形成规模，只是在局部推广，目前还没有形成一个真正能为 全民服务的p k i 体系；缺乏互操作性；p k i 本身即为一个网络系统，同样 面临着网络中的各种不安全因素，作为公钥基础设施，其本身的安全更加 2 第1 章绪论 受人关注。 1 2 1互操作问题是p k i 发展中的严重问题 尽管各个厂家和研发部门都按照现有的国际标准来开发p k i 产品。由 于这些国际标准的不完善或部分定义不清楚，各个厂家不得不根据自己的 需求开发自己特有的p k i 产品。同时，由于p k i 概念的复杂性，各个厂家 对标准的理解也会有所不同，加上设计人员和编程人员的不断添加自己的 思想，使现有产品很难进行良好的互操作。美国审计总署认为，缺乏互操 作性是美国联邦p k i 技术发展的重要障碍【5 】。 目录的互操作问题也是整个p k l 互操作问题的重要方面，它直接与证 书库的访问相关。虽然业界存在多种访问证书库的方法，如基于x 5 0 0 的 目录访问协议( d a p ) ，i e t f ( i n t e r n e t e n g i n e e r i n gt a s k f o r c e ) 支持下发展起来 的轻量级目录访问协议( l d a p ) f 6 川，加上微软公司的a c t i v ed i r e c t o r y ，但他 们之间良好互联就存在一定的困难，加上配置问题、实旋方法和管理问题， 更加加剧了互操作的困难【8 】o 缺乏广泛接受的p k i 应用程序编程标准使得许多应用的开发者不得不 选择厂商独有的a p i 。这也是互操作性问题的一个关键口】。 1 2 2 p k i 本身的安全问题 p k i 作为提供安全服务的基础设施，其本身的安全性受到极大的关注。 如果p k i 本身不安全，则依附于其安全性的应用系统就没有安全可言。数 字证书的安全是使用证书的系统最为关注的，而证书是由p k i 系统所颁发 的。攻破p k i 的证书颁发系统，就可以颁发假的证书从而轻易地攻击其他 使用证书的系统。证书颁发系统是整个使用p k i 的网络系统的安全关键。 c a 是证书颁发系统的核心部件，它负责数字证书的签发和管理。这些数字 证书被信任的基础既是c a 用自己的私钥对证书的签名。因此，c a 的私钥 在整个p k i 中至关重要。c a 的私钥一旦遗失或泄漏，该c a 签发的所有证 书就只能全部作废，c a 的权威性也就不复存在。耍保障c a 私钥的安全， 最简单也最常用的办法就是将c a 的私钥实现物理上的隔离，即离线方式， 从设备管理上实现c a 私钥的安全性。这种方法是非常安全的，但只适用 燕山大学工学硕士学位论文 p k l 体系中的上级c a 和根c a ，对于用户c a ( 面向大量用户) 来说，基本上 无法采用离线的方式工作。在线方式通过w e b 方式传递信息，方便了用户， 却需要在黑客猖獗的网络上保障c a 私钥的安全和c a 服务器的稳定。 1 2 3p k i 系统应该提供不间断服务 p k i 系统必须能够提供不间断的服务，当发现有错误的证书的时候，必 须马上撤销该证书。如果系统不能及时撤销有害证书，有人可能利用有害 证书做一些危险的事情，可能危及整个p k i 的安全和信用。 用户查询证书的时候也是随机的，这需要p 随时提供服务。当用户 需要查询的时候，应该能够查询到证书，否则会影响正常的交易。 当发现问题时，可能需要及时进行密钥恢复，以防止敌对分子通过p 进行非法活动。如果不能及时恢复密钥，会延误时机，可能会对整个p k i 的用户甚至国家造成损失。 1 3 p k i 安全研究 国际上开展了p k i 的安全性研究，推出了p k i 安全的评测标准，如美 国国家标准化技术研究所的p k i 评测标准1 9 。该标准参照通用评价准则对 p k i 系统进行了安全分级。美国律师协会也针对法律和技术对p k i 的评测 推出了一个详细的方法【1 0 j 。 在p k i 系统的安全技术上，仍旧以旧的系统安全技术为主。p k i 系统 本身就是一个大的计算机网络系统，所以，各种系统安全技术，如存取控 制技术，加密技术，防火墙，入侵检测系统等都可以用于p k i 的安全防护。 这些系统安全技术能够大大改善p k i 系统的安全性能。 p k i 体系中最重要的是c a 私钥的安全性，因此，针对证书颁发机构( 主 要指c a ) 和非对称算法，研究新的安全机制和方法成为许多研究工作者正 在研究的课题。尤其是利用入侵容忍技术构建入侵容忍c a 成为其中的一 种新的安全机制。 1 4 入侵容忍c a 的研究现状 入侵容忍技术是一种新兴的安全技术，该技术是从另外一个侧面来解 4 第1 章绪论 决问题。入侵容忍技术不将防御和保护作为重点，而注重保证在有攻击或 部分攻击成功的情况下，系统能能够正常工作，保密信息不会泄漏。 入侵容忍技术的研究很早就开始了，早在1 9 8 6 年，d o b s o n 和r a n d e l l 就发表了一篇文章。文章指出了一个利用不安全并且不可靠的部件来构建 安全可靠的系统的方法【1 1 1 。1 9 9 1 年，y v e sd e s w a r t e 等就分布式计算机系统 中的入侵容忍也发表了文章【i2 1 。美国国防部也加紧了对入侵容忍技术的研 究，在信息保障计划中包含了入侵容忍技术。同时，d a r p a ( t h ed e f e n s e a d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ) 资助了很多这样的项目，其中包括i t u a 项目i t t c 项目等。对于i t u a 项目来说，其主要设想就是利用不可预言和 适应性来设计入侵容忍技术，其技术手段是通过种先进的冗余管理技术 产生一种对攻击者来说是无法预测的资源调配和复杂的响应，使攻击者很 难进行攻击计划或协作下一步的攻击【1 3 j 。i t t c 项目是由s t a n f o r d 大学的研 究小组利用门限密码学设计的入侵容忍系统。该系统实现了两个应用示范， 个为入侵容忍的w e b 系统，另一个是入侵容忍的c a 系统i l “。至此，入 侵容忍技术才真正的用在了c a 中，用以保证c a 私钥的安全。国际上还有 许多关于入侵容忍技术的研究，在此就不一一列举了。 可以说，入侵容忍c a 的研究是从i t t c 项目开始的。关于入侵容忍 c a 的研究，还有中国科学院信息安全国家重点实验室的弹性c a 系统【1 引， 他们的c a 系统现在已在内部开始试用，西安电子科技大学的张险蜂等人 也对入侵容忍c a 进行了研究，提出了一个基于门限e c c 的入侵容忍c a 方案【1 6 l 。这几种c a 方案都是基于简单加和的形式在多个服务器中共享私 钥的，前两种方案是基于r s a 算法的，后一种是基于椭圆曲线签名算法的。 在效率上椭圆曲线要高于r s a 算法，但r s a 算法从公布之日起，逐渐得 到了广泛的接受，并且实现的方法在公钥加密算法中居于统治地位。因此， 可以说，针对r s a 算法的c a 系统将具有良好的广泛性和较好的应用适用 性。 1 5 本文的研究内容 本课题所研究的入侵容忍c a 技术就是直接针对p k i 体系展开的。浚 燕山大学工学硕士学位论文 技术即要保证c a 私钥的安全，又要保证c a 2 4 小时在线服务。由于单一服 务器存在太多安全隐患，为了保障c a 服务器的安全和稳定，根据容错和 分布的概念”也2 1 ，本文采用了多服务器方案。将c a 私钥利用s h a m i r 的 l a g r a n g e 多项式秘密分享思想分成，份，分别存在，个服务器中，并且各个 部分完全不相同，不能从部分密钥推出其他部分密钥。当签发证书时，可 以从中随机选取f 部分密钥“z ) 。每部分密钥分别对证书( 待签发的) 进行 签名，最终通过合成这f 个部分签名，计算出整个c a 私钥的签名。本文主 要研究的主要内容有： ( 1 ) 构建基于多项式秘密分享思想的r s a 门限签名，并消除多项式方式 分享所带来的求逆运算。 ( 2 ) 使用可验证分发协议消除秘密分发过程中存在的分发者欺骗问题， 即秘密分享者能够验证自己接收到的秘密份额是否正确。 ( 3 ) 设计入侵容忍c a 系统模型，使得秘钥以分享的方式存在各个服务 器中这一事实对于r a 来讲是透明的，即改动的只是c a ，新的c a 可以毫 无声色的替代传统c a 应用到p k i 体系中。 ( 4 ) 进行相应的试验并对系统的安全性、可用性和效率进行分析，通过 对这些性能的分析说明系统是否可行。 1 6 本章小结 本章介绍了p k i 的发展背景及其在发展过程中产生的问题。其中p k i 自身的安全性问题最为重要。为了解决p k i 的安全问题，人们将入侵容忍 技术应用到了p k i 中。本章简单的介绍了一下入侵容忍技术和入侵容忍c a 的研究现状，同时对本课题的研究内容做了一下简单的介绍。 第2 章密码学及p k i 理论 第2 章密码学及p k 理论 密码学的最初使用大概可以追溯到4 0 0 0 多年前的古埃及人对古老密码 学的应用：而在近代，密码学则在第二：次世界大战中发挥了举足轻重的作 用。密码学理论和技术是信息安全的核心。信息安全涉及的范围远远广于 密码学的范畴；但是，密码学却一直是信息安全的最重要的研究领域和基 础工具之- - 2 3 5 1 。 密码学是研究数据的加密、解密、以及认证的科学。一般说来，有两 种加密数据的基本方法：一种是使用对称密钥，另一种就是使用非对称密 钥。前者就是所说的对称密钥密码学；而后者是公钥密码学。 2 1 对称密钥密码体制 2 1 1 基本原理 一个密码体制所使用的加密密钥和解密密钥相同，这种密码体制就称 为单钥密码体制或者对称密码体制。它是在2 0 世纪7 0 年代后期公钥密码 体制之前使用的唯一一种加密机制。 对称加密方案有5 个组成部分，如图2 1 所示。 明文输入加密模块解密模块 明文输出 图2 - 1 对称加密的简化模型 f i g u r e2 - is i m p l i f i e dm o d e l o fs y m m e t r y c r y p t o g r a p h y 明文：作为算法输入的原始信息。 加密算法：加密算法可以对明文进行多种置换和转换。 7 方 燕山_ 人学工学硕士学位论文 保密密钥：保密密钥也是对算法的输入。算法实际进行的置换和转换 由保密密钥决定。 密文：作为输出的混合信息。它由明文和保密密钥决定。对于给定的 信息来讲，两种不同的密钥会产生两种不同的密文。 解密算法：这是加密算法的逆向算法。这以密文和同样的保密密钥作 为输入，并生成原始明文。 重要的是要注意：对称加密的安全性取决于密钥的保密性，而不是算 法的保密性。也就是说，如果知道了密文和加密及解密算法的知识，解密 消息也是不可能的。 在一些简单和复杂的实例中都有应用的对称密码已经存在了好几千 年，而且新的对称密码也不断地被发明。比较早的例子是众所周知的 r o t - 1 3 ，现代一点的例子包括d e s ，i d e a ，还有近来在商用产品和i n t e m e t 标准中使用的b l o w f i s h ，r c 5 ，c a s t - 1 2 8 ，以及美国n i s t ( 虱家标准技术研 究所) 发起的a e s 候选方案( 如a e s ) t 2 6 1 。 2 1 2 对称密码的局限性 尽管对称密码有一些很好的特性( 如运行占用空间小，加解密速度能 达到数十兆秒或更多) ，但由于同一个密钥既用于加密也用于解密，因此 单独使用对称密码时有严重的缺陷： 2 1 2 ，i 需要进行密钥交换使用对称密码，在进行通信以前，密钥必须先 在一条安全的单独通道上进行传输，尽管在某些情况下是可行的，但在某 些情况下会非常困难或极其不便。 2 1 2 2 密钥管理困难对于一个巨大的团体来说，密钥管理会变得很困 难。举例来说，a l i c e 和b o b 两人之间的密钥必须不同于a l i c e 和t o m 两人 之间的密钥，否则给b o b 的消息的安全就会受到威胁。在有1 0 0 0 个用户团 体中，a l i c e 需要保持至少9 9 9 个密钥，因为对其他的用户情况也一样，这 样这个团体一共需要有将近5 0 万个不同的密钥。随着团体的不断增大，存 储和管理这么大数据的密钥很快就会变得难以处理( n 个用户的团体需要 2 个不同的密钥，包括那些用户留给自己的) 。考虑到这些密钥还不是永 第2 章密码学及p k i 理论 久性的密钥，为了防止使用同一个密钥加密太多的数据，这些密钥将会在 一段时间内更换，情况就变得更难以想象。 2 1 2 3 对称密钥算法单独使用不能提供完善的不可抵赖服务不可抵赖 是通信双方或交易的多方有争议时进行裁决的重要手段，需要一个可以事 后随意选择的第三方进行仲裁。对称算法天生不具有这种能力，无法满足 不可否认的技术要求。 2 2 公钥密码体制 公钥密码体制的思想首先由w h i t e f i e l dd i f f i e 和m a r t i nh e l l m a n i 2 7 j 于 1 9 7 6 年提出的，这开辟了密码学的新纪元。这类密码体制基于陷门单向函 数的概念。单向函数是一些易于计算但难于求逆的函数；而陷门单向函数 是在己知一些额外信息的情况下易于求逆的单向函数，这些额外信息就是 所说的“陷门”。 2 2 1 公钥密码体制概述 公钥密码体制使用两个不同的密钥，一个为公开密钥( p u b l i ck e y ) 一个 为私有密钥( p r i v a t ek e y ) 。每个用户将自己的私钥密钥保密，并将公开密钥 公丌。公开密钥密码的安全性基于这样的前提，即知道公开密钥不能得到 对应的私有密钥。而知道私有密钥，可以在多项式时间内计算出公钥。 国际上已提出了许多种公钥密码体制，如基于大整数因子问题的r s a 体制和r a b i n 体制、基于有限域上的离散对数问题的d i f f i e h e u m a n 公钥体制和e 1 g a m a l ”】体制、基于椭圆曲线上的离散对数问题的d e f i l e h e l l m a n 公钥体制和e l g a m a l 体制、基于背包问题的m e r k l e h e l l m a n 3 1 1 体制 和c h o r - r i v e s t 体制、基于代数编码理论的m e e l i e c e 体制、基于有限自动机 理论的公钥体制等等 3 2 。 2 2 2 公钥加密技术的应用 2 2 2 1 解决了对称密码体制中的密钥管理问题由于加密和解密使用的 是不同的密钥，因而无需安全地传递密钥。图2 2 给出了公开加密算法加密 和解密的过程。a l i c e 要发送给b o b 一条加密信息，只需用b o b 的公开密钥 9 燕山大学工学硕士学位论文 f 可以从一些公开途径获得) 对信息进行加密传递给b o b 。b o b 收到信息后， 用自己的私钥密钥进行解密。这样，即使加密的信息误传给其他人，或被 攻击者截获，都不用担心信息的泄漏。因为只有正确的接收者拥有解密的 私钥。 图2 2 公钥密码体制的加密和解密 f i g u r e2 - 2 t h e e n c r y p t i o na n dd e c r y p t i o n p r o c e s so fp u b l i ck e y c r y p t o g r a p h y 2 , 2 2 2 对数据信息进行数字签名公钥体制可以提供数字签名以保证发 信人无法抵赖曾发过该信息，同时也确保信息报文在传递过程中未被篡改。 直接数字签名仅涉及通信双方。它假定接收方知道发送方的公开密钥。当 信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。图 2 3 给出了公开密钥算法进行数字签名的过程。 a l i c e a l i c e 的私有密 钥 a l i c e 的公开密 钥 图2 - 3 公钥密码体制的数字签名过程 f i g u r e2 - 3t h ed i g i t a ls i g n a t u r ep r o c e s so f p u b l i ck e yc r y p t o g r a p h y 2 2 2 3 对加密信息的通信双方进行身份认证身份认证就是指用户必须 提供他是谁的证明，例如甲是个雇员、乙是某个公司的经理等等。目前采 用的身份认证技术主要有三种：固定密码身份认证( 如普通的p a p 认证、人 1 0 匡瞅 一 岔盆一 岔盈| | 微 第2 章密码学及p k i 理论 体指纹、虹膜等生理上的认证) 、动态密码身份认证( 如动态口令等) 和采用 数字证书方式p ”。 其中采用动态密码身份认证和数字证书认证方式都是建立在公开密钥 加密体制的基础上。在动态密码身份认证中，验证方首先为每个注册用户 生成了一个随机秘密s ，并采用某种对称加密算法对其加密存储；同时，用 于加密的密钥k 和原始秘密值s 则存于某种便携安全存储介质中交给用户 保管，在服务器端没有密钥备份。这样，只有用户才是密钥的唯一支持者。 采用数字证书方式，认证更加方便。数字证书是将用户信息和公钥信 息捆绑在一起的电子文档，由认证机构c a 对其签名，检查证书管理者的 公共密钥对证书是否有效，验证证书是否被修改，验证证书是否过期，检 验证书是否被取消。 2 3p 的引入 使用公钥密码体制需要一些技术的保障。比如，个人用户应该有能力 保护自己的私有密钥；当需要知道对方的公开密钥时，网络应该提供一种 手段让用户得到对方的公开密钥，并且应该有技术保证所得到的密钥就是 对方的。同时，查询、使用和验证也应该有一个一致的标准，在密钥生成， 发布和使用时也需要有一个合理的规范以保证大规模网络下的互操作性 能。所有这些，是实施公钥密钥技术过程中必须解决的技术问题。这些技 术问题不能解决，公开密钥密码仍旧不能投入大规模使用。 以公开密钥密码的原理为基础设计和建设的，为网络应用提供安全服 务的基础设施就是p k i ，即公开密钥基础设施。p i l l 较好地解决了公开密钥 密码体制应用中存在的问题。 早在二十世纪八十年代，美国学者就提出了p k i 的概念。希望将安全 和应用分离，利用公开密钥的算法和原理，实施建设一种普遍适用的安全 基础设施，通过一个标准的统一的接口，为其他应用提供安全服务。这样 的构想符合工业发展的趋势，具有很好的可操作性。p k i 的倡议得到了全球 的支持，到9 0 年代达到了高峰。 p i e d 是p u b l i ck e yi n f r a s t r u c t u r e 的缩写，翻译过来就是公开密钥基础设 燕山大学工学硕士学位论文 施。它是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的 一种基础设旌队 说p k i 是基础设施，就意味着它具有基础设施的许多特点。一个基础 设施可视作个普适性基础。电子通信基础设施( 也就是网络) 和电力供应基 础设施就是我们熟悉的例子。作为前者，局域啜j ( l a n ) 允许不同的机器之间 为不同的目的交换数据；作为后者，电源插座可以让各种电力设备获得运 行所需的电压和电流。可是，他们的最终原理是相同的，即，只要遵循需要 的原则，不同的实体就可以方便地使用基础设施提供的服务。用于安全的 设旄必须遵循同样的原理，同样是要提供基础服务。安全基础设施是为整 个组织( “组织”是可以被定义的) 提供安全的基本框架，可以被组织中的任 何安全的应用和对象使用。安全基础设施的“接入点”必须是统一的，便 于使用，就像t c p 1 p 栈和墙上的电源插座一样。只有这样，那些需要使用 这种基础设施的对象在使用安全服务时，才不会遇到太多的麻烦。作为基 础设旖，p k i 与使用p k i 的应用系统是分离的。离开应用系统后，p k i 本身 没有任何用处。类似的比如：电力系统基础设施离开电气设备就不能正常 发挥作用，公路基础设施离开了汽车也不能发挥作用。这种基础设施的特 征使得p k i 系统设计和开发的效率大大提高，p k i 系统的设计、开发、生 产及管理都可以独立地进行而不需要考虑应用的特殊性。 有了p k i ，安全应用程序的开发者不用再关心那些负责的数学运算和模 型，而直接按照标准使用一种插座( 接口) 。用户也不用关心如何进行对方的 身份鉴别而可以直接使用标准的插座，正如在电力基础设施上使用电吹风 一样。 2 4p 组件 p k i 涉及到多个实体之间的协作过程：认证机构( c a ) 、注册机构( r a ) 、 证书库、密钥恢复服务器和终端实体。 2 4 1认证机构( c a ) 在p k i 中，认证机构负责签发、管理和撤销一组终端实体的证书。c a 负责完成认证终端实体的作用，并在分发证书信息之前对其迸行签名。c a 第2 蕈密码学及p k i 理论 最终负责所有终端实体身份的真实性。在提供这些服务的过程中，c a 必须 向所有由它认证的终端实体和可能使用这些认证信息的可信主体提供自己 的公钥。像终端实体一样，c a 也以数字签名证书的形式提供它自己的公钥。 然而，c a 的证书略微有点不同：它的拥有者域和签发者域含有相同的名字。 因此，c a 证书是自签名的。 c a 可以分为两类：公共c a 和私有c a 。公共c a 通过i n t e r n e t 运作， 向公众提供认证服务；这类c a 不仅对终端用户进行认证，而且还对组织 进行认证。私有c a 通常在一个公司的内部或者其他的封闭网络内部建立； 这类c a 倾向于仅仅向它们自己区域内的终端用户签发证书，为它们的网 络提供更强的认证和访问控制。 2 4 2 注册机构( r a ) 尽管注册的功能可以直接由c a 来实现，专门用一个单独的机构即注 册机构( r a ) 来实现注册功能是很有意义的。例如，随着在某个p k i 域里的 终端实体用户的数目增加或是终端实体在地理上很广泛的分布，集中登记 注册的想法就遇到了麻烦。多个r a ( 有时也叫局部注册机构) 将有助于解决 这一问题。r a 的主要目的就是分担c a 的一定功能以增强可扩展性并降低 运营成本。可以说，r a 是用户和c a 的接口，是c a 的证书发放、管理的 延伸。它负责证书申请者的信息录入、审批以及证书发放等工作。同时， 对发放的证书完成相应的管理功能。r a 系统是整个c a 中心得以正常运营 不可缺少的一部分。 尽管r a 可实现的功能各异，但它应当被设计成支持下列之一或更多 功能的r a ： ( 1 ) 作为初始化进程的一部分建立并确定个体的身份； ( 2 ) 代表终端用户启动和c a 的认证进程( 包括终端用户相应属性的注 册) ： ( 3 ) 生成代表用户的密钥资料； ( 4 ) 执行一定的密钥证书生命周期管理功能，例如产生撤销请求或代表 用户进行密钥恢复操作。 燕山大学工学硕十学位论文 2 4 3 证书库 证书库就是证书集中存放地，是网上的一种公共信息库，用户可以从 此处获得其他用户的证书和公钥。在投入使用之前，证书和相应的公钥需 要公布出去。如果提供某种公共机制以支持公开的证书分发的话，那么证 书库通常是发布证书的地方。通常用作p k i 组成部分的证书库是目录，有 时是x 5 0 0 的目录，更为常见的是l d a p 目录。l d a p 实际上是对用于在 目录中定位信息的访问方法和协议的描述。一个l d a p 兼容的目录可以实 现为任何东西，从普通文件到关系数据库，甚至可以是一个x 5 0 0 的目录， 前提是它必须遵从l d a p 的要求。 2 4 4 密钥备份及恢复 公私密钥对可能是在本地的某个像w e b 浏览器这样的应用程序的密钥 存储中生成的，也可能是在某个像智能卡这样的物理设备上生成的。或者， 密钥对也可能是在某个集中的密钥产生服务器上创建的。无论哪一种情况， 都需要有这样一种机制，使得加密密钥可以被存档，并且如果它们被丢失 了也应该可以恢复。如果用户丢失了用于脱密数据的密钥，则密文数据将 无法被脱密，造成数据丢失。为了避免这种情况出现，p k 应该提供备份与 恢复脱密密钥的机制。密钥的备份与恢复应该由可信的机构来完成。值得 强调的是，密钥备份与恢复只能是针对脱密密钥，签名密钥是不能做备份 的。 2 4 5 自动密钥更新 在很多p k i 环境中，一个证书的有效期往往是有限的，因此一个已颁 发的证书需要过期，以便更换新的证书，这个过程称为“密钥更新或证书 更新”。绝大多数p k i 用户发现用手工操作的方式定期更新自己的证书是一 件令人头痛的事情。用户常忘记自己证书“过期”的时间，他们往往是在 认证失败时才发现问题，那时就显得太晚了。 解决方法是通过“自动密钥更新”来完成，即：由p k l 本身自动完成 密钥或证书的更新，完全无需要用户的干预。无论是用户的证书用于何种 目的，都会检查有效期，当失效日期到来时，启动更新过程，生成一个新 1 4 第2 章密码学及p k i 理论 的证书来代替旧证书，但用户请求的事务处理继续进行。 2 5 数字证书 数字证书在一个身份和持有者所拥有的公私密钥对之间建立了一种联 系。你可以信赖一个特定的颁发机构，由它根据你要达到的目标来确定你 的身份。接下来就是要生成一份可以证实你已经获得了一个有效身份的文 件。数字证书就是这一文件的电子形式。如果你要在电子领域使用“身份” 的话，你需要生成一份数字文件或者证书，这份文件或者证书应该提供足 够的信息，使得别人能够说服他们自己相信你就是该身份的合法的持有者。 在p i e d 领域，当谈及证书时，常指x 5 0 9 证书。而其它的证书如 s p k i ( s i m p l ep k i ) 证书主要用于授权，p g p ( p r e t t yg o o dp r i v a c y ) i 正书用于个 人电子邮件和文件。 x 5 0 9 证书是国际电信联盟电信( i t u t ) 部分标准和国际标准化组织 ( 1 s o ) 的证书标准。作为i t u i s o 目录服务系列标准的一部分，x 5 0 9 是定 义公钥证书结构的基本标准。尽管x 5 0 9 已经定义了证书的标准字段和扩 展字段的具体要求，仍然有很多的证书在颁发时需要一个专门的协议子集 来进一步说明。i n t e m e t 工程任务组( i e t f ) p k ix 5 0 9 工作组就制定了这样 一个协议子集，即r f c 2 4 5 9 。虽然r f c 2 4 5 9 是专门为i n t e m e t 的应用环境 而制定的，但它里面的很多建议都可以应用于企业环境，并且它的前后一 致性应该尽可能地得到贯彻执行。证书洋例见附录1 ，图2 - 4 给出了x ，5 0 9 第3 版的证书格式1 “。 图2 - 4 中的字段说明： ( 1 ) 版本号一标示证书的版本( 版本1 、版本2 或是版本3 ) ； ( 2 1 序列号一由证书颁发者分配的本证书的唯一标识符； ( 3 ) 签名一签名算法标识符( 由对象标识符加上相关参数组成) ，用于说明 本证书所用的数字签名算法。例如，s h a 一1 和r s a 的对象标识符就用来说 明该数字签名是利用r s a 对s h a - 1 杂凑加密； ( 4 ) 颁发者一证书颁发者的可识别名( d n ) ，这是必须说明的； ( 5 1 有效期一证书有效的时间段。本字段由“n o t v a l i d b e f o r e ”和“n o t 燕山大学工学硕士学位论文 v a l i da f t e r ”两项组成，他们分别由u t c 时间或一般的时间表示f 在r f c 2 4 5 9 中有详细的时间表示规则) ； ( 6 ) 主体证书拥有者的可识别名一此字段必须是非空的： ( 7 ) 主体公钥信息一主体的公钥( 以及：簿法标识符卜