（计算机应用技术专业论文）电子商务的安全性研究.pdf

摘要 电子商务是目前i n t e r n e t 发展的热点，它的发展将计算机技术( 特别是 i n t e r n e t 技术) 拓展到了社会各个领域。然而，基于具有开放性的i n t e m e t 上 的电子商务虽然具有传统商务所没有的优势，但同时也必须面对些新问题 的挑战。开放性的网络，导致电子商务系统面临着多方面的破坏和攻击，如 何保护商业信息不被非法获取、盗用、篡改和破坏，安全性已经成为一个越 来越重要的问题，有时甚至可能阻碍电子商务的发展。 针对电子商务的安全问题，本论文的主要研究工作包括以下方面： 介绍了密码理论( 对称加密、公钥体制) ，阐述了它们的实现算法和 安全性、分析了算法的优缺点。然后介绍了一些主要的安全认证技术； 讨论身份认证面临的威胁，介绍了目前电子商务主要的身份认证技 术：k e r b e r o s 技术和基于p k i 的认证技术，针对目前比较流行的u s b 安全钥具体提出了一种新的身份认证协议，并对这个协议的安全性进 行了分析： 把以上提出的这个协议应用于b t o b 电子商务系统中，提出了一套安 全的身份认证解决方案： 提出一种基于e c c 和a e s 相结合的加密系统，具体阐述了该系统的 设计过程，包括密钥协定、会话密钥的生成及加密模式的选择：由于 该系统采用了改进的端对端协议，实现了使通信双方安全地密钥交 换。 关键词：电子商务；b t o b ；e c c ：a e s a b s t r a c t n o w a d a y se l e c t r o n i cc o m m e r c ei st h eh i g h l i g h to f i n t e r n e td e v e l o p m e n t ，t h e p r o g r e s so fe l e c t r o n i cc o m m e r c eh a sp e r v a d e di n t oe v e r yf i e l do ft h es o c i e t y e v e ne l e c t r o n i cc o m m e r c eh a v em a n ya d v a n t a g et h a tt r a d i t i o n a lc o m m e r c eh a s n t ， i ta l s oh a st of a c em a n yi m p o r t a n tp r o b l e m s e l e c t r o n i cc o m m e r c es y s t e m sh a v e t of a c ek i n d so fa t t a c k sa n dw r e c k sf r o mt h eo p e ni n t e r n e t h o wt op r o t e c tt h e i n f o r m a t i o no fc o m m e r c en o tt ob es t o l e n ，m o d i f i e d ，o rd e s t r o y e d ? s e c u r i t yh a s b e c o m eam o r ea n dm o r ei m p o r t a n tp r o b l e mi ne l e c t r o n i cc o m m e r c e ，s o m e t i m e s e v e nl i m i t st h ed e v e l o p m e n to fe l e c t r o n i cc o m m e r c e f a c i n gt h es e c u r i t yp r o b l e m t h em a i nc o n t r i b u t i o n so ft h i sp a p e ra r ea s f o l l o w s ： d i s c u s s e sc r y p t o l o g yt h e o r y ( p r i v a t ek e y , p u b l i ck e y ) t h e i ra l g o r i t h m s a n ds e c u r i t ya r es t a t e d ，t h ea d v a n t a g e sa n dt h ed i s a d v a n t a g e so ft h e a l g o d t h r n sf i r ea n a l y z e d ，t h e nd i s c u s s e ss o m em a i nt e c h n o l o g yo fs e c u r i t y a u t h e n t i c a t i o n ； i n t r o d u c e st h et h r e a t st oc e r t i f i c a t ea u t h o r i t y , d i s c u s s e st h em a i n c e r t i f i c a t ea u t h o r i t yt e c h n o l o g i e so fe l e c t r o n i cc o m m e r c e ：k e r b e r o sa n d a u t h o r i t yb a s e do nt h ep k i p r o p o s e san e w c e r t i f i c a t ea u t h o r i t yp r o t o c o l b a s e do nu s b - k e yw h i c hi sp o p u l a rn o w a d a y s ，a n da n a l y s e st h e s e c u r i t yo f t h i sp r o t o c o l ； a p p l i e st h ep r o t o c o l w h i c hi s p r o p o s e da b o v ei n t ob t o be l e c t r o n i c c o m m e r c e ，p r o p o s e sas a f es o l u t i o no fc e r t i f i c a t ea u t h o r i t y ； p r o p o s e sa ne n c r y p t i o ns c h e m eb a s e do ne c ca n da e s e x p a t i a t e st h e p r o c e s so fd e s i g n ，i n c l u d i n gk e ya g r e e m e n t ，g e n e r a t i o no fc o n v e r s a t i o n k e ya n dc h o i c eo fe n c r y p tm o d e ：t h ek e ya g r e e m e n tp r o t o c o lc h o o s e s i m p r o v e ds t sp r o t o c o lw h i c hr e a l i z e ss a f ee x c h a n g eo f k e yb o t hs i d e s k e y w o r d s ：e l e c t r o n i cc o m m e r c e ；b t o b ；e c c ；a e s 哈尔滨工程大学硕士学位论文 第1 章绪论 1 1 电子商务概论 电子商务是2 0 世纪后才出现的新事物，是一种新的经济形态，它使企业、 市场、国家在经济运行中都具有不同以往的新特征。电子商务源于英文 e l e c t r o n i cc o m m e r c e ，指的是利用简单、快捷、低成本的电子通讯方 式，买卖双方不谋面地进行各种商贸活动。电子商务可通过多种电子通讯方 式来完成。但现在人们所探讨的电子商务主要是以e d i ( 电子数据交换) 和 i n t e m e t 来完成的。作为一种新型的商务模式，电子商务具有普遍性、方便性、 整体性、安全性、协调性等特征。 电子商务有以下几个应用特性： 1 商务性 电子商务最基本的特性为商务性，即提供买、卖交易的服务、手段和机 会。网上购物提供一种客户所需要的方便途径。因而，电子商务对任何规模 的企业而言，都是一种机遇。 2 服务性 在电子商务环境中，客户不再受地域的限制，象以往那样，忠实地只做 某家邻近商店的老主顾，他们也不再仅仅将目光集中在最低价格上。因而， 服务质量在某种意义上成为商务活动的关键。技术创新带来新的结果，万维 网应用使得企业能自动处理商务过程，并不再象以往那样强调公司内部的分 工。现在在i n t e m e t 上许多企业都能为客户提供完整服务，而万维网在这种服 务的提高中充当了催化剂的角色。 3 集成性 电子商务是一种新兴产物，其中用到了大量新技术，但并不是说新技术 的出现就必须导致老装备的死亡。万维网的真实商业价值在于协调新老技术， 使用户能更加行之有效地利用他们已有的资源和技术，更加有效地完成他们 的任务。 电子商务的集成性，还在于事务处理的整体性和统一性，它能规范事务 处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体。 哈尔滨工程大学硕士学位论文 这样不仅能提高人力和物力的利用，也提高了系统运行的严密性。 4 可扩展性 要使电子商务正常运行，必须确保其可扩展性。万维网上有数以百万计 的用户，丽传输过程中，不时地会出现高峰状况。对于电子商务来说，可扩 展的系统才是稳定的系统。如果在出现高峰状况时能及时扩展，就可使得系 统阻塞的可能性大为下降。电子商务中，耗时仅2 分钟的重启也可能导致大 量客户流失，因而可扩展性可谓极其重要。 5 安全性 对于客户而言，无论网上的物品如何具有吸引力，如果他们对交易安全 性缺乏把握，他们根本就不敢在网上进行买卖。企业和企业间的交易更是如 此。 在电子商务中，安全性是必须考虑的核心问题。欺骗、窃听、病毒和非 法入侵都在威胁着电子商务，因此要求网络能提供一种端到端的安全解决方 案，包括加密机制、签名机制、分布式安全管理、存取控制、防火墙、安全 万维网服务器、防病毒保护等。为了帮助企业创建和实现这些方案，国际上 多家公司联合开展了安全电子交易的技术标准和方案研究，并发表了s e t ( 安 全电子交易) 和s s l ( 安全套接层) 等协议标准，使企业能建立一种安全的 电子商务环境。 6 协调性 商务活动是一种协调过程，它需要雇员和客户，生产方、供贷方以及商 务伙伴间的协调。 为提高效率，许多组织都提供了交互式的协议，电子商务活动可以在这 些协议的基础上进行。电子商务是迅捷简便的、具有友好界面的用户信息反 馈工具，决策者们能够通过它获得高价值的商业情报、辨别隐藏的商业关系 和把握未来的趋势。因而，他们可以作出更有创造性、更具战略性的决策。 电子商务的分类： 1 按商业活动运作方式可分成完全电子商务和不完全电子商务两类： ( 1 ) 完全电子商务：即可以完全通过电子商务方式实现和完成整个交易过 程的交易； ( 2 ) 不完全电子商务：即指无法完全依靠电子商务方式实现和完成完整交 哈尔滨工程大学硕士学位论文 易过程的交易，它需要依靠一些外部要素，如运输系统等来完成交易。 2 按电子商务应用服务的领域范围可分为四类，即企业对消费者、企业 对企业、企业对政府机构、消费者对政府机构的电子商务。 ( 1 ) 企业对消费者( 也称商家对个人客户或商业机构对消费者即b t o c ) 的 电子商务 商业机构对消费者的电子商务基本等同于电子零售商业。目前，i n t e r n e t 上已遍布各种类型的商业中心，提供各种商品和服务，主要有鲜花、书籍、 计算机、汽车等商品和服务。b t o c 工作流程如图1 1 所示： 图1 1b t o c 电子商务工作流程 ( 2 ) 企业对企业( 也称为商家对商家或商业机构对商业机构即b t o b ) 的电 子商务 商业机构对商业机构的电子商务是指商业机构( 或企业、公司) 使用 i n t e r a c t 或各种商务网络向供应商( 企业或公司) 订货和付款。商业机构对商 业机构的电子商务发展最快，已经有了多年的历史，特别是通过增值网络 ( v a l u e a d d e d n e t w o r k ，v a n ) 上运行的电子数据交换( e d i ) ，使企业对企 业的电子商务得到了迅速扩大和推广。公司之间可能使用网络进行订货和接 受订货、合同等单证和付款。b t o b 工作流程如图1 2 所示： 哈尔滨工程火学硕士学位论文 图1 2b t o b 电子商务工作流程 f 3 1 企业对政府机构的电子商务 在企业一政府机构方面的电子商务可以覆盖公司与政府组织间的许多事 务。目前我国有些地方政府已经推行网上采购。 ( 4 ) 消费者对政府机构的电子商务 政府将会把电子商务扩展到福利费发放和自我估税及个人税收的征收方 面。 3 按开展电子交易的信息网络范围可分为三类，即本地电子商务、远程 国内电子商务和全球电子商务。 ( 1 ) 本地电子商务通常是指利用本城市内或本地区内的信息网络实现的 电子商务活动，电子交易的地域范围较小。本地电子商务系统是利用i n t e m e t 、 i n t r a n e t 或专用网将下列系统联结在一起的网络系统：一参加交易各方的电 子商务信息系统，包括买方、卖方及其他各方的电子商务信息系统；二银 行金融机构电子信息系统：三保险公司信息系统；四商品检验信息系统； 五税务管理信息系统：六货物运输信息系统；七本地区e d i 中心系统 ( 实际上，本地区e d i 中心系统联结各个信息系统的中心) 。本地电子商务 系统是开展有远程国内电子商务和全球电子商务的基础系统。 4 哈尔滨工程大学硕士学位论文 ( 2 ) 远程国内电子商务是指在本国范围内进行的网上电子交易活动，其交 易的地域范围较大，对软硬件和技术要求较高，要求在全国范围内实现商业 电子化、自动化，实现金融电子化，交易各方具备一定的电子商务知识、经 济能力和技术能力，并具有一定的管理水平和能力等。 ( 3 ) 全球电子商务是指在全世界范围内进行的电子交易活动，参加电子交 易各方通过网络进行贸易。涉及到有关交易各方的相关系统，如买方国家进 出1 5 1 公司系统、海关系统、银行金融系统、税务系统、运输系统、保险系统 等。全球电子商务业务内容繁杂，数据来往频繁，要求电子商务系统严格、 准确、安全、可靠，应制订出世界统一的电子商务标准和电子商务( 贸易) 协议，使全球电子商务得到顺利发展。 1 2 电子商务的安全性需求及意义 随着全球信息化进程地不断深入，信息技术的应用越来越广泛地渗透到 社会发展的各个领域，在极大推动生产力发展的同时，人们对信息网络的依 赖程度也目益提高，也因此使国家和社会面临着日益严重的信息安全威胁， 国家政治、经济、文化、国防等各个领域面临传统的安全挑战，国家安全和 社会稳定受到新的安全威胁，并表现得更为尖锐复杂1 2 】。 电子商务的安全要素很多，归纳起来，主要有信息的机密性，信息的完 整性，不可抵赖性及身份认证性四种，其它还有数据传输的可靠性以及一些 人为的因素，如道德素质，法制观念等0 1 。 ( 1 ) 信息的机密性，又称数据保密性，它是指在电子商务的信息传播中， 信息不会被非法窃取，或即使被窃取，窃取者也不能读懂信息，这就要求对 数据进行加密。这样才能为电子商务的应用及全面推广创造一个可靠的环境。 ( 2 ) 信息的完整性，它是电子商务应用的基础，包括两层含义：一是数据 传输的真实性，即信息在网络传输过程中没有被篡改，保持与原信息的一致 性；二是数据传输的统一性，即数据传输的次序和模式的固定性，不能任意 改变。只有保持信息传输的完整性，才能保证商务交易的公正性与合法性。 ( 3 ) 不可抵赖性，又称不可否认性，是指信息的发送方或接收方在发送或 接收信息之后，有充分的证据证明双方已经发生过的收发行为，而这些证据 一般也是对双方公开的，这样就保证了收发双方都不能对收到和发送的信息 哈尔滨工程大学硕士学位论文 抵赖，减少了交易纠纷。 ( 4 ) 身份认证性，是指在电子商务的网上交易过程中，能够确定对方的真 实身份及从事的真实业务，尤其在涉及到一些敏感信息如信用卡，账号等的 真实有效性的时候，以防止不必要的利益损失。 1 3 论文主要的研究内容及意义 1 3 1 主要研究内容 本文对电子商务中的安全技术进行了简单的介绍，并对其中的身份认证 技术进行了比较深入的研究和探讨，根据x 5 0 9 协议，提出一种应用于u s b k e y 的身份认证协议，并给出一套安全的b t o b 电子商务身份认证系统的 解决方案。 另外，本文主要研究了目前比较著名的几种密码体制以及它们的优缺点， 其中着重研究椭圆曲线密码体制e c c 和高级加密标准a e s 加密算法，针对 r s a 公钥算法的长密钥带来的运算速度慢和密钥的存储管理难等，考虑到 r s a 公钥算法的专利权已经失效，本文研究了一种基于e c c 和a e s 相结合 的加密系统。 本文主要做了以下几个方面的工作： ( 1 ) 研究了目前的身份认证的现状和面临的威胁，讨论了主要的身份认证 技术，使用目前比较新的技术u s b k e y 硬件技术，并针对u s b k e y 提出 了一种身份认证协议，这个协议可用于b t o b 电子商务中； ( 2 ) 另外研究了一种基于椭圆密码体制e c c 和高级加密标准a e s 相结合 的加密系统。密钥交换协议是采用端对端协议，但是原端对端协议存在瑕疵， 本课题先改进端对端协议，使之免受完善拒绝攻击，然后使用改进后的端对 端协议实现通信双方的密钥交换，消息的通信使用高级加密算法a e s 实现。 1 3 2 研究工作的意义 本文所提出的身份认证手段是采用最近一段时间才出现的u s b k e y 密 钥技术，所采用基于椭圆曲线e c c 的身份认证协议充分利用了椭圆曲线密码 体制的优点：若要达到同样的安全强度，e c c 算法所需的密钥长度远比r s a 6 哈尔滨工程大学硕士学位论文 算法短，适应了u s b k e y 存储容量有限的缺点，满足了身份认证的需求。 另外基于e c c 和a e s 相结合的加密系统结合了对称密钥和非对称密钥的优 点，密钥交换协议采用了改进的端对端协议，有效地抵抗了完善拒绝攻击， 使通信双方安全地实现密钥的交换，加密文件使用高级加密标准( a e s ) ， 无论是实现速度还是安全强度均高于d e s 和3 d e s ，且分组长度可为1 2 8 位。 该方案在电子商务和通信等领域将会有很好的发展前景。 1 3 3 论文的结构 论文共分4 章： 第1 章介绍了电子商务安全的相关概念、内容及国内外研究的现状，并 给出本文的研究内容及研究工作的意义。 第2 章介绍目前主要的加密算法的实现原理，对它们的安全性进行了分 析，另外介绍了一些安全认证技术。 第3 章介绍电子商务身份认证受到威胁的手段及身份认证的主要实现方 法，并介绍目前比较典型的认证系统：k e r b e r o s 协议和基于p k i 的系统，针 对目前比较流行的u s b k e y 提出了一种新的身份认证协议，并对该协议的 特点和安全性进行了分析。 第4 章介绍了混合密码体制产生的条件，针对各种加密算法的优缺点提 出了一种具体的基于椭圆曲线密码体制和高级加密算法相结合的加密系统， 密钥交换则采用了改进后的端对端协议，并给出了这个加密系统的具体的设 计和实现。 哈尔滨工程大学硕士学位论文 第2 章电子商务安全技术概述 2 。1 加密技术 电子商务处理过程中的安全保障技术，包括数据安全、网络安全和系统 安全。数据作为信息的载体，其安全性是电子商务安全性的基础，而数据加 密是信息加密的主要手段1 4 1 。目前，加密算法很多，根据密钥性质不同，可 分为传统密码体制和公开密钥密码体制两大类。在传统密码体制中，加密密 钥与解密密钥是相同的( 或者从加密密钥很容易推导出解密密钥) ，因此，传 统密码体制又称为对称密码体制。传统密码体制中最有代表性、使用最广泛 的是1 9 9 7 年美国国家标准局颁布的d e s 算法( 数据加密标准算法) 。现代公 开密钥密码体制中，加密密钥与解密密钥是不相同的，加密密钥对于解密过 程并不适用。在公开密钥密码体制中又称为非对称密码体制，这种密码体制 的代表是r s a 体制。 2 1 1 对称密码体制 对称密码体制是一种传统密码体制，也称为私钥密码体制。在对称加密 系统中，加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双 方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去， 这样就可以实现数据的机密性和完整性。比较著名的对称密钥算法有：美国 的d e s 及其各种变形，比如t r i p l ed e s 、g d e s 、n e w d e s 和d e s 的前身 l u c i f e r 、欧洲的i d e a 、日本的f f a l n 、l o 一9 l 、s 虹p j a c k 、r c 4 、r c 5 以及以代换密码和置换密码为代表的古典密码等。在众多的常规密码中影响 最大的是d e s 密码。对称密码算法的优点是计算开销小，加密速度快，是目 前用于信息加密的主要算法。它的局限性在于存在着通信的双方之间确保密 钥安全交换的问题。另外，对称加密系统仅能用于对数据进行加解密处理， 提供数据的机密性，不能用于数字签名。下面将主要介绍d e s 加密算法、 a e s 高级加密算法。 哈尔滨工程大学硕士学位论文 2 1 1 1d e s 加密算法 1 概述 d e s ( 3 d e s ) 是使用时间最长，应用领域最广的一种算法，是美国政府 机关为了保护信息处理中的计算机数据而使用的一种加密方式，是一种常规 密码体制的密码算法，目前已广泛使用。d e s 主要采用替换和移位的方法加 密。它用5 6 位密钥对6 4 位二进制数据块进行加密，每次加密可对6 4 位的输 入数据进行1 6 轮编码，经一系列替换和移位后，输入的6 4 位原始数据转换 成完全不同的6 4 位输出数据。 2 算法的实现 d e s 的实现过程可描述为如下三步： ( 1 ) 对输入的分组迸行固定的“初始置换”i p ，我们可以将这个初始置换写 为 ( l o ，) 一i p ( 输入分组) 这里l o 和凡称为“( 左，右) 半分组”，都是3 2 比特的分组。i p 是固定 的函数，它是公开的； ( 2 ) 将下面的运算迭代1 6 轮( i - 1 ，2 ，1 6 ) ： l + 一r i 1 r - l i iof ( r i 1 ，k i ) 这里的k l 称为“轮密钥”，它是5 6 比特输入密钥的一个4 8 比特的子串，f 称 为“s 盒函数”( “s ”表示代换) ，是个代换密码。这个运算的特点是交换两 半分组，就是说，一轮的左半分组输入是上一轮的右半分组的输出。交换运 算是一个简单的换位密码，目的是获得很大程度的“信息扩散”； ( 3 ) 将1 6 轮迭代后得到的结果( l 1 6 ，r 1 6 ) 输入到i p 的逆置换来消除初始置 换的影响。这一步的输出就是d e s 算法的输出，最后一步为 输出分组* - i p ( r i 6 ，l 1 6 ) 加密和解密算法都是用这三个步骤，仅有的不同就是如果加密算法中使 用的轮密钥是k l ，k 2 ，k 1 6 ，那么解密算法中使用的轮密钥就应当是k 1 6 ， k 1 5 ，k 1 ，这种排列轮密钥的方法称为“密钥表”，可记为 ( k 1 ，k 2 ，k 1 6 ) = ( k 1 6 ，k 15 ，k 0 哈尔滨工程大学硕士学位论文 图2 1 为d e s 算法结构图： 左半部分il 位的扩展 密钥卜_ + | 4 8 位异或 s 盒 3 2 位异或 单轮运算 _ 1 右爿唧分 输入6 4 位明文 初始置换i p 1 6 轮运算 逆初始置换i p 输出6 4 位密文 图2 1d e s 算法结构图 d e s 算法仅使用最大为6 4 位的标准算术和逻辑运算，运算速度快，密 钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于 在专用芯片上实现f 5 】。 3 ，安全性分析 d e s 的密钥量为：2 5 6 = 7 2 1 0 1 6 = 7 2 0 5 7 5 9 4 0 3 7 9 2 7 9 3 6 ，其密钥空间还是很 大的，根据目前d e s 的分析情况可知，1 6 次迭代的d e s 是基本安全的，其 可以对抗大多数的密码分析方法，破译它的计算量都在2 ”以上。差分密码 分析需要2 4 7 个选择明文和2 4 7 次加密运算。但是随着计算机计算速度的提高 和分布式计算的兴起，一般认为d e s 已经不够安全，d e s 的主要缺点是密钥 长度太短。在现有的技术条件下，用穷举法寻找正确密钥已趋于可行。 由于这个原因，后来又提出了三重d e s 或3 d e s 系统，3 d e s 是d e s 算 法扩展其密钥长度的种方法，可使加密密钥长度扩展到1 2 8 比特( 1 1 2 比 特有效) 或1 9 2 比特( 1 6 8 比特有效) 。其基本原理是将1 2 8 比特的密钥分为 6 4 比特的两组，使用3 个不同的密钥对数据块进行( 两次或) 三次加密，该 方法比进行普通加密的三次快。其强度大约和1 1 2 比特的密钥强度相当。 2 1 1 2a e s 高级加密标准 1 概述 啥尔滨工程大学硕士学位论文 i i i 新的高级加密标准( a e s ) 规范是美国标准与技术研究院( n i s t ) 于2 0 0 2 年5 月2 6 日制定的。a e s 是旧式数据加密标准( d e s ) 的后续标准。d e s 于1 9 7 7 年被批准为联邦标准，它在1 9 9 8 年之前一直是可行的，从那时起， 硬件、软件和密码分析学理论的组合发展允许将用d e s 加密的消息在5 6 小 时内解密。在郝以后，已经针对用d e s 加密的数据成功进行了许多其他攻击， 现在，d e s 已过了其有用的生存期。 在1 9 9 9 年下半年，由研究员j o a nd a e m e n 和v i n c e n tr i j m e n 创建的 g i j n d a e l 算法被n i s t 选作最符合安全性、实现效率、多功能性和简单性等设 计准则的提议。尽管a e s 和r i j n d a e l 这两个术语有时会互换使用，但它们截 然不同。a e s 正日益成为加密各种形式的电子数据的实际标准，这些数据包 括用于商业应用程序( 如银行和金融交易、电信以及私有和联邦信息) 中的 数据。a e s 处理以1 2 8 b i t 数据块为单位的对称密钥加密算法，可以用长为1 2 8 ， 1 9 2 和2 5 6 位的密钥加密。 2 。算法的实现 美国国家标准和技术研究所( n i s t ) 经过三轮候选算法筛选，从众多的 分组密码中选中r i j n d a e l 算法作为高级加密标准( a e s ) 。r i j n d a e l 密码是一 个迭代型分组密码，其分组长度和密码长度都是可变的，分组长度和密码长 度可以独立的指定为1 2 8 比特，1 9 2 比特或者2 5 6 比特。a e s 的加密算法的 数据处理单位是字节。1 2 8 位的比特信息被分成1 6 个字节，按顺序复制到一 个4 4 的矩阵中，称为状态( s t a t e ) ，a e s 的所有变换都是基于状态矩阵的 变换。用n r 表示对一个数据分组加密的轮数( 加密轮数与密钥长度的关系如 表2 1 所示) 。在轮函数的每一轮迭代中，包括四步变换，分别是字节代换运 算( b y t e s u b 0 ) 、行变换( s h i f t r o w s o ) 、列混合( m i x c o l u m n s 0 ) 及轮密钥的添 加变换a d d r o u n d k e y 0 ，其作用就是通过重复简单的非线形变换、混合函数 变换，将字节代换运算产生的非线性扩散，达到充分的混合，在每轮迭代中 引入不同的密钥，从而实现加密的有效性1 6 1 。 表2 1 是三种不同类型的a e s 加密密钥分组大小与相应的加密轮数的对 照表。加密开始时，输入分组的各字节按表2 2 的方式装入矩阵s t a t e 中。如 输入a b c d e f ( m i l m n o p ，则输入块影射到如表2 2 的状态矩阵中。 哈尔滨工程大学硕士学位论文 表2 1 对照表 a e s 类型密钥长度分组大小加密轮数 a e s 1 2 84 字4 字1 0 a e s 1 9 26 字4 字1 2 a e s 2 5 68 字4 字1 4 表2 2 状态矩阵 aeim bfjn c gk0 dhlp ( 1 ) 字节代换运算( b y t e s u b 0 ) 字节代换运算是一个可逆的非线性字节代换操作，对分组中的每个字节 进行操作，对字节的操作遵循一个代换表，即s 盒。s 盒由有限域g f ( 2 8 ) 上 的乘法取逆和g f ( 2 ) 上的仿射变换两步组成。仿射变换遵循如下的运算规则： 00 10 l1 11 l1 11 0l 0 o 11 11 o1 o0 00 1o l1 11 + ( 2 ) 行变换s h i f t r o w s ( ) 行变换是一种线性变换，其目的就是使密码信息达到充分的混乱，提高 非线性度。行变换对状态的每行以字节为单位进行循环右移，移动字节数根 据行数来确定，第0 行不发生偏移，第一行循环右移一个字节，第二行移两 个，依次类推。如图2 2 给出了行变换的一个示例 a 1a 2a 3 a 4 卜 a 1a 2a 3a 4 b 1b 2b 3 b 4 变换为) b 2b 3b 4b 1 y c lc 2c 3c 4 c 3c 4c 1c 2 d 1d 2d 3d 4 d 4d ld 2 d 3 图2 2 行变换示例 ( 3 ) 列混合变换m i x c o l u t m m 0 1 l 0 o 0 l 1 0 _ 曩 期 撇 m 舢 榔 舶 却 1 0 0 0 l 1 l l 0 0 0 1 1 1 1 l仃 = n n 弘 h 拈托 哈尔滨工程大学硕士学位论文 列变换就是从状态中取出一列，表示成多项式的形式后，用它乘以一个 固定的多项式a ( x ) ，然后将所得结果进行取模运算，模值为x 4 + 1 。其中 a ( x ) = 0 3 x 3 + 0 2 ) x 2 + 0 1 ) x + 0 2 ) ，这个多项式与x 4 + 1 互质，因此是可逆的。 列混合变换的算术表达式为：s ( x ) - x ) o s ( x ) ，其中。s ( x ) 表示状态的列多项 式。 ( 4 ) 轮密钥的添加变换a d d r o u n d k e y 0 在这个操作中，轮密钥被简单地异或到状态中，轮密钥根据密钥表获得， 其长度等于数据块的长度n b 。 3 安全性分析 a e s 的引进使3 d e s 变得不必要，加长和可变的密钥及1 2 8 、1 9 2 和2 5 6 比特的数据分组长度为各种应用要求提供了大范围可选的安全强度。由于多 重加密多次使用密钥，那么避免使用多重加密就意味着使用中必须使用的密 钥数目的减少，因此可以简化安全协议和系统的设计。另外a e s 的广泛应用 将促进同样强度的新杂凑函数的出现 新的a e s 无疑将取代d e s ，成为对所有形式的电子信息进行加密的实际 标准。 2 1 壁公开密码体制 在公钥密码系统中，加密和解密使用的是不同的密钥( 相对于对称密钥， 人们把它叫做非对称密钥) ，这两个密钥之间存在着相互依存关系：即用其中 任一个密钥加密的信息只能用另一个密钥进行解密。这使得通信双方无需事 先交换密钥就可进行保密通信。其中加密密钥和算法是对外公歼的，人人都 可以通过这个密钥加密文件然后发给收信者，这个加密密钥又称为公钥；而 收信者收到加密文件后，它可以使用他的解密密钥解密，这个密钥是由他自 己私人掌管的，并不需要分发，因此又称为私钥，这就解决了密钥分发的问 题。 自从1 9 7 6 年公钥密码的思想提出以来，国际上已经提出了许多种公钥密 码体制。用抽象的观点来看，公钥密码就是一种陷门单向函数。我们说一个 函数f 是单向函数，即若对它的定义域中的任意x 都易于计算f ( x ) ，而对f 的值域中的几乎所有的y ，即使当f 为已知时要计算f ( y y ：在- k l - 算上也是不可 哈尔滨工程大学硕士学位论文 行的。若当给定某些辅助信息( 陷门信息) 时则易于计算f l ( y ) ，就称单向函 数f 是一个陷门单向函数。公钥密码体制就是基于这一原理而设计的，将辅 助信息( 陷门信息) 作为秘密密钥。这类密码的安全强度取决于它所依据的 问题的计算复杂度。 在公钥密码体制中，密钥对的选择要保证公钥求出私钥等价于求解一个 困难的计算问题。构成常用公钥密码基础的困难问题有如下的数论问题： 整数的因子分解问题，其困难性是r s a 公钥密码安全性的基础。 离散对数问题，其困难性是e l g a m a l 公钥密码及其变体( 如数字签名算 法) 安全性的基础。 椭圆曲线离散对数问题，其困难性是椭圆曲线公钥密码安全性的基础。 2 1 2 1r s a 加密算法 1 。概述 当前最著名、应用最广泛的公钥系统r s a 是在1 9 7 8 年，由美国麻省理 工学院( m i t ) 的r i v e s t 、s h a m i r 和a d l e m a n 在题为获得数字签名和公开 钥密码系统的方法的论文中提出的。它是个基于数论的非对称( ( 公开钥) 密码体制，是一种分组密码体制。其名称来自于三个发明者的姓名首字母。 它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数 学上的著名难题，至今没有有效的方法予以解决，因此可以确保r s a 算法的 安全性。r s a 系统是公钥系统的最具有典型意义的方法，大多数使用公钥密 码进行加密和数字签名的产品和标准使用的都是r s a 算法。 2 算法的实现 产生一对公开密钥和秘密密钥的方法如下：取两个足够大的质数p 、q ， p 和q 的乘积为r l 。由p 和q 算出另一个数z = ( p - 1 ) ( q 1 ) ，再选取一个与z 互 质的奇数e ( 称为公开指数) 。对于这个e 值，可以找出另个值d 满足e x d = l m o d ( z ) ，( n ，e ) 和( n ，d ) 这两组数分别为公开密钥和秘密密钥，或简称公 钥及私钥。 对于明文m ，用公钥( n ，e ) 加密得到密文c 。 c2m 。m o d ( n ) ， ( 2 - 1 ) 对于密文c ，用私钥( n ，d ) 解密可得到明文m 。 哈尔滨工程大学硕士学位论文 m = c d m o d ( n ) 2 - 2 ) ( 2 2 ) 式的数学证明用到了数论中的欧拉定理，具体过程这里不赘述。 同法，也可定义用私钥( n ，d ) 进行加密后，则用公钥( n ，e ) 进行解 密。然而只根据n 和e ( 不是p 和q ) 要计算出d 是不可能的。因此，任何人 都可对明文进行加密，但只有授权用户( 知道d ) 才可对密文解密。 3 安全性分析 r s a 算法是第一个既能用于数据加密也能用于数字签名的算法，因此它 为公用网络上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一 对r s a 密钥，其中之一是保密密钥，由用户保存；另一个为公开密钥，可对 外公开，甚至可在网络服务器中注册，人们用公钥加密文件发送给个人，个 人就可以用私钥解密接受。为提高保密强度，r s a 密钥至少为5 0 0 位长，一 般推荐使用1 0 2 4 位。 该算法基于下面的两个事实，这些事实保证了r s a 算法的安全有效性： ( 1 ) 已有确定一个数是不是质数的快速算法； ( 2 ) 尚未找到确定一个合数的质因子的快速算法。 r s a 算法的保密强度，随其密钥的长度增加而增强。但是，密钥越长， 其加解密所耗的时间也越长。因此，要根据所保护信息的敏感程度，攻击者 破解所要花的代价和系统所要求的反应时间来综合考虑决定。尤其对于商业 信息领域更是如此。 从理论上计算，攻破r s a 密钥的时间如表2 3 所示： 表2 3 攻破r s a 密钥的时间 密钥长度( b i t )1 0 d2 0 03 0 05 0 07 5 01 0 0 0 时间3 0 秒 3 天9 芷 1 兆年 2 x 1 0 9 芷6 x 1 0 1 5 矩 当密钥长度大于5 1 2 位时，以有限的人生攻破密钥是无法实现的。 2 。1 。2 2e c c 椭圆曲线密码体制 1 概述 椭圆曲线密码体制，即基于椭圆曲线离散对数问题的各种公钥密码体制。 最早于1 9 8 5 年由m i l l e r 和k o b l i t z 分别独立地提出，它是利用有限域上椭圆 l5 哈尔滨工程大学硕士学位论文 曲线的有限点群代替基于离散对数问题密码体制中的有限循环群所得到的一 类密码体制。与其他公钥密码系统相比，椭圆曲线密码体制有着以下技术优 势：安全性更高，计算量小，处理速度快，存储空间占用少，带宽要求低。 另外利用椭圆曲线建立密码体制具有两大潜在的优点：一是有取之不尽的椭 圆曲线可用于构造椭圆曲线有限点群：二是不存在计算椭圆曲线有限点群的 离散对数问题的亚指数算法。因此椭圆曲线密码系统被认为是下一代最通用 的公钥密码系统【7 】。 近几年来，对椭圆曲线密码技术而言，域操作算法己研究得比较成熟， e c c 的安全性也已得到人们的普遍认同。但对e c c 的研究并没有停止，依 然是密码学研究中的热点领域。 2 算法的实现 椭圆曲线是由w e i e r s t r a s s 方程y 2 + a l x y + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 所确定的平 面曲线，其中系数a i ( i _ 1 ，6 ) 定义在某个域上，可以是有理数域、实数 域、复数域，还可以是有限域，椭圆曲线密码是基于有限域上椭圆曲线有理 点群的一种密码系统。 有限域f q 上的椭圆曲线e ( f q ) 是定义在仿射平面上的3 次方程y 2 ； x 3 + a x + b 的所有解与无穷远点o 的并集，记做 e ( f q ) = ( ( x ，y ) iy 2 = x 3 + a x + b ，( x ，y ) f qf q ) u o ) ( 2 - 3 ) 其中，q 为素数：f q 的特征值c h a r ( f q ) 2 ，3 ；a ，b f q ，且4a 2 + 2 7b 2 4 0 。 e ( f q ) 中的点数称为椭圆曲线的阶数，记做# e ( f q ) ，且q + l 一2 , q 茎# e ( f q ) 翔+ l + 2 q 。椭圆曲线e ( f q ) 上的点集对点的加法构成阿贝尔群，椭圆曲 线上的点满足： ( 1 ) 单位元o ：p + o = o + p = p ，一o = o ( 2 ) 逆元- p ：若p = ( x ，y ) o 。则p = ( x ，- y ) 且p + ( 一p ) = 0 ( 3 ) 结合律：p 、r 、t e ( f q ) ，则( p + r ) + t = p + ( r 十t ) 椭圆曲线上的运算包括点的加法和点的数乘： ( 1 ) 点的加法 令p i 、p 2 e e ( f q ) ，p 1 = ( x l ，y 1 ) ，p 2 - - - - - ( x 2 ，y 2 ) ，贝0p l + p 2 = ( x 3 ，y 3 ) 6 哈尔滨工程大学硕士学位论文 ry 2 一y 3 l 丽p i ：# ：p 2 e ( f a ) ，其中，x 3 = - - 1 t2 - x l x 2 ，y 3 = u ( x i x 3 ) 一y l ，u l 姓p l _ p 2 l2y 1 但) 点的数乘 令p = ( x ，y ) o ，k 为整数，则k p = ( x ，y ) + ( x ，y ) + ( x ，y ) + + ( x ，y ) ( k 一1 次加法) 。点p 的阶数n 是满足n p = o 的最小整数。 在椭圆曲线密码体制中，一般在e ( f 。) 上选取p = ( x ，y ) 作为公共基点，要 求这个公共基点的阶n 为个素数阶，并使n 足够大，p 为生成元，阿贝尔 群 = ( p ，2 p ，3 p ，n p e e ( f q ) 是由点p 生成的n 阶循环子群，以 来构建密码体制。 给定椭圆曲线e ( f q ) ，点p e ( f q ) ，p 的阶数为n 。对于给定点r e ， 求整数x 0 ，n - 1 】，使得x p = r ，这就是e c d l p ，e c d l p 是一个n p c 问题。 在这里将介绍两种经典的离散对数公钥密码体制移植到椭圆曲线密码 系统。 1 狄菲赫尔曼( d i f f i e h e l l m a n ) 公钥系统 d i f f i e h e l l m a n 密钥交换方案中的有限乘法群f 。事实上可以换为椭圆曲 线有限加法群。因此，当我们用椭圆曲线加法群替换f a 后所得到的方案就称 为椭圆曲线型的d i f f i e h e l l m a n 密钥交换方案。方案具体如下： 设e 是定义于某有限域f q 上的椭圆曲线有限加法群，p 是e 的一个点， 是e 的包含点p 的一个循环子群，其阶为n ，系统公开e ，p ，n 。 ( 1 ) a l i c e 随机选取整数k a ，满足l 垒a 虫，计算q a = k a p ，并将q _ 发送给 b o b 。 ( 2 ) b o b 同样随机选取整数k b 。满足1