（计算机系统结构专业论文）pki信任模型与互操作性研究.pdf

华 中 科 技 大 学 硕 士 学 位 论 文 摘要 随着信息科学技术的发展， 电子商务逐渐繁荣并对网络安全提出了新的要求和课 题， p k i ( p u b l i c k e y i n fr a s t r u c t u r e ) 是 一种是以 密 码学 技术为 基础， 通过灵活搭 配应 用各种安全机制技术建立的，解决i n t e r n e t 上种种安全问题的框架和遵循既定标准的 密钥管理平台。 p k i 采用证书进行公钥管理，把用户公钥和用户其他标识信息捆绑在一起，为各 种安全应用提供一个基础支持。p k i 技术从提出以后得到了迅速的发展和应用，但是 随着 p k i应用范围的不断扩大，应用环境也逐渐的多元化和异构化，各 c a ( c e r ti f i c a t i o n a u t h o r i ty ) 机构 彼此 独立， 各p k i 之间 无法互通，己 经成为阻 碍p k i 大规模应用的主要障碍。 因此， 能够在各个机构已经独立建立的使用不同架构和信任 模型的p k i 间建立互操作是当务之急。 目 前的互操作模型在建立互操作前都要事先建立交叉认证或类似的协商过程，实 现起来复杂且效率低下。因此，提出一种基于证书验证代理的互操作模型。该模型引 入了p k i 域间的证书验证来实现域间互操作性。 该模型的实现方法是采用一个域间证 书验证代理服务器，由服务器代替客户端完成证书路径的构建和验证。 用户和证书验证代理服务器之间采用简单的请求一响应模式， 用户向服务器提交 验证请求，服务器处理以后给用户返回证书是否有效的处理结果。由于不需要进行域 间c a的交叉认证和用户的参与， 可以 在p k i 域之间容易的建立互操作。 服务器在构 建证书路径时，根据一定的 策略制定 优先级， 然后采用d ij k s t r a 算法搜索出 优先级高 的最短路径。这样可以减少证书的处理时间，提高服务器性能。 最后引入了带有优先级的服务器端缓存机制对服务器性能进行了优化， 并建立相 应的数学模型对优化结果进行了分析。同时对于高优先级的请求优先处理，以满足其 对实时性的要求。 关键词: 公钥基础设施，互操作性，信任模型 华 中 科 技 大 学 硕 士 学 位 论 文 ab s t r a c t wi t h t h e d e v e lo p m e n t o f in f o r m a t i o n s c ie n c e a n d t e c h n o l o g y , e l e c t r o n i c b u s in e s s b e g a n t o fl o u r i s h a n d n e w r e 咖r e m e n t s a n d p r o b l e m s re l a t e d t o n e t w o r k s e c u r i t y a p p e a r e d p k i ( p u b l i c k e y i n f r a s t r u c t u r e ) i s a fr a m e w o r k t o s o l v e s e c u r i t y p r o b l e m s o n i n t e r n e t a n d a p u b l i c k e y m a n i p u la t e p l a t f o r m t h a t c o n f o r m s t o e x i s t e d s t a n d a r d s . i t i s b a s e d o n c r y p t o g r a p h y , a n d c o n s t r u c t e d b y i n t e g r a t i n g s o m e k i n d s o f re l a t e d s e c u r i t y m e c h a n i s m s . p k i m a n i p u l a t e p u b l i c k e y b y d i g i t a l c e r ti f i c a t e s . i t b i n d s u s e r s p u b l i c k e y a n d h i s i d e n t i t y i n f o r m a t i o n t o p r o v i d e a n i n fr a s t ru c t u r e t o s u p p o rt d i ff e r e n t k i n d s o f a p p l ic a t i o n s . p k i i s d e v e l o p in g v e r y f a s t a n d w i d e l y u s e d s i n c e i t w a s b ro u g h t f o r w a r d . b u t w i t h i t s a p p l i e d r a n g e e x p a n d i n g c o n t i n u a l l y , e n v i r o n m e n t s t h a t p k i i s a p p l i e d a r e q u i t e d i ff e r e n t . c a s ( c e rt i f i c a t i o n a u t h o r i t i e s ) a r e i s o l a t e d t o e a c h o t h e r . l a c k o f a b i l i t i e s t o c o n n e c t d i ff e r e n t p k i s i s p e r c e i v e d as t h e l e a d i n g b a r r i e r t o w i d e - s c a l e d e p l o y m e n t o f p k i . t h e r e f o r e , a c q u i r i n g i n t e r o p e r a b i li t y b e t w e e n p k i s t h a t h a v e b e e n d e p l o y e d b y d i ff e r e n t o r g a n i z a t i o n s i s c r i t i c a l l y u r g e n t p r o b l e m t h a t s h o u l d b e d i s p o s e d im m e d i a t e l y . e x i s t i n g i n t e r o p e r a b i l i t y m o d e l s n e e d p k i s t o d i g it a l l y c e rt i f i c a t e e a c h o t h e r o r d e p l o y s i m i l a r n e g o t i a t i o n p r o c e s s b e f o r e h a n d . me t h o d s o f t h i s k i n d a r e c o m p l e x t o b e i m p l e m e n t e d a n d i n e ff i c i e n t . t h e r e f o r e , a n e w in t e r o p e r a b i l i t y m o d e l b as e d o n d e l e g a t e d c e rt i f ic a t e v a l i d a t io n i s p r o p o s e d . i n t e r - p k i c e rt i f i c a t e v a l i d a t i o n i s i n t r o d u c e d t o a c h i e v i n g i n t e r o p e r a b i l i t y b e t w e e n d i ff e r e n t p k i d o m a i n s . t h e w a y t o i m p l e m e n t t h i s m o d e l i s u s i n g a d e l e g a t e d c e r ti fi c a t e v a l i d a t i o n s e r v e r t o f u l fi l l t h e t a s k o f c e rt i fi c a t e p a t h c o n s t ru c t i o n a n d v a l i d a t i o n o n b e h a l f o f p k i c l i e n t s . a s i m p l e r e q u e s t - r e s p o n s e m o d e l i s u s e d in c o m m u n i c a t i o n s b e t w e e n u s e r s a n d c e rt i f i c a t e v a l i d a t i o n s e r v e r . t h a t i s , t h e u s e r c r e a t e s a r e q u e s t a n d s e n d s i t t o t h e s e r v e r , a n d t h e n t h e s e r v e r c r e a t e s a r e s p o n s e a b o u t w h e t h e r t h e c e r t i fi c a t e i s v a l i d a ft e r t h e v a l i d a t i o n p r o c e s s f i n i s h e d . i n t e r o p e r a b i l i t y i s e a s y t o b e a c q u i r e d b e c a u s e n o c r o s s - c e r t i f i c a t i o n i s d e p l o y e d . wh e n c e r ti f i c a t e p a t h b e i n g c o n s t ru c t e d , p r i o r i t i e s o f e a c h c e r t i f i c a t e c a n b e s e t u n d e r c e rt a i n p o l i c i e s . t h e n s h o rt e s t a n d o p t i m i z e d p a t h c a n b e d i s c o v e r e d u s i n g d ij k s t r a a l g o r i t h m . b y e m p l o y i n g t h i s a p p r o a c h t i m e o f c e rt i f i c a t e s p r o c e s s i n g i s r e d u c e d a n d p e r f o r m a n c e o f t h e s e r v e r i s e n h a n c e d . s e r v e r s i d e c a c h e m e c h a n i s m i s u s e d t o o p t i m i z e t h e p e r f o r m a n c e o f t h e s e r v e r . m a t h e m a t i c m o d e l i s c o n s t ru c t e d t o a n a l y z e t h e o p t i m i z a t i o n . i n o r d e r t o m e e t t h e r e q u i r e m e n t o f s o m e u s e r s t h a t h a s s p e c i a l r e s p o n s e t i m e l i m i t s , t h e re q u e s t s o f t h e m i s p u t t o a q u e u e t h a t h as a h i g h e r p r i o r it y . k e y w o r d s : p u b l i c k e y i n fr as t r u c t u r e j n t e r o p e r a b i li t y , t rus t mo d e l 1 1 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他 个人或集体已 经发表或撰写过的研究成果。 对本文的研究做出贡献的个人和集体， 均己在文中以明确方式标明。 本人完全意识到本声明的法律结果由本人承担。 学 位 论 文 作 者 签 名 : il 本 日 期 : ， 吟年,5 月 尸日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即:学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权华中科技大学可以 将本学位论文的全部或部分内容编入有关数 据库进行检索，可以 采用影印、缩印 或扫描等复制手段保存和汇编本学位论文。 保密口 ， 本论文属于 不 保 密e o ( 请在以上方框内打 年解密后适用本授权书。 d ， ) 学 位 论 文 作 者 签 名 : 石春 日 期 :? ) b 斗 年夕月位日 指导教师签名: 日 期 : 么 呼 年f 月l z f9 华 中 科 技 大 学 硕 士 学 位 论 文 1 绪论 1 . 1 课题背景 随着信息科学技术的 迅速发展， 互联网开始逐渐改 变人类的社会生活方式。 各种 新的 应 用不 断涌现。电 子 商务 作为一 种传统商 务的 新形式， 通过 现代信息技术手段， 以 数字 化 通讯网 络和计算机装置替 代传统交易中 的 纸介质信息 载体， 从 而实 现商品 和 服务 交 易 及管 理活 动的 无 纸 化， 并 且 具 有高 效、 低 成本、 网 络 化 和 全球 化等 优 势。电 子商务 在 上世纪9 0 年 代在欧 美发 达国 家出 现以 后， 逐 渐发展 和活跃起来。 据 联合国 贸易 和发 展会议报告 数字显示， 2 0 0 2 年美国网 上零售额约为4 3 4 . 7 亿美元， 欧 盟约为 2 8 2 .9 亿 美 元， 至于 企 业 对企 业电 子 商 务 交 易， 亚 太 地区由2 0 0 2 年的 约1 2 0 0 亿 美元 增至2 0 0 3 年的2 0 0 0 亿美元， 预计2 0 0 4 年将达到3 0 0 0 亿美元。 传统的面对面的交易和作业变成以 跨越时空的 互相不见面的方式进行， 但是，网 络本身的开放性和匿名性给这些活动带来了很大的 风险和安全问 题。以黑客入侵、 病 毒、 计 算机欺 诈等为 代表的计 算 机犯罪 给社 会带 来了巨 大的 损失， 根据美国计 算机安 全协会和f b i 共同举办的最新一期计算机犯罪及安全调查， 2 0 0 3 年，由于信息盗窃、 金融诈骗、内 部人士网 络滥用、 病毒等电 脑犯罪所造成的 损失达2 .0 1 7 亿美元。 电 子商务、电子政务的发展和现实的网络安全威胁对网 络安全提出了更高的要 求， 对于网 络安全服务的要求概括起来主要有以 下几种r l , 1 )信息的机密性 这是传统意义上的数据安全， 机密性是指保护被传输的 数据免受被动攻击12 1 。被 动攻击本质上是偷听或监视， 其目 的是从传输中获取信息。由 于互联网的开放性， 要 防止截取信息是困难的。 一般来说， 应该对传输的 信息进行一定强度的加密， 这样即 使攻击者获取传输的信息，也无法解密密文。 2 )信息的完整性 信 息 在传 输 过 程中 可 能 被 攻 击 和 截 取， 攻 击 者 对其 进 行 篡改， 如 对购买 商品 的出 货 地址 单 位发 奖 金的 金 额、 信件的内 容 进 行改 变; 插 入 或删 除 传输消 息 或 信息的 某 些 部分， 让 接收 方 接 收 错 误的 信息。 信 息的 完整 性 要求 发 送 方 最 初发 送的 数 据 和接收 方 接 收 的 信 息 应该 保 持 一 致， 信 息 接 收 方 可以 验 证 收 到 的 信 息 是 否 是 完 整， 是 否 被 人 一一一一- 一 - - - 一 - - - - - - - - 一 - - 一 - - - - i 华 中 科 技 大 学 硕 士 学 位 论 文 篡改。 3 )鉴别和认证 其功能是能向接收方确保发送的消息的确是来自它所宜称的源。 一个攻击者可以 冒充管理员发布命令、调阅机密文档:冒充网络控制程序，骗取或修改使用权限、密 钥等信息; 接管合法用户， 欺骗系统，占 用合法用户的资源等。 身份真实性要求交易 或作业参与方的身份不能被假冒或伪装， 网上交易时能够有效地鉴别与确定交易双方 的真实身份。 4 )不可否认性 在网上可能产生抵赖或否认行为。 如预订飞机票后不承认， 否认曾经发送过某条 信息或内容， 购买者下了定货单不承认， 商家卖出的商品质量问题而不承认原有的交 易等。 不可否认性要求信息的发送方不能否认曾经发送的信息， 不能否认自己己 经完 成的交易或行为。 为实现前面所述的安全要求，人们提出了很多安全机制， 大体可以分为两类:非 密码学安全机制和密码学安全机制。 非密码学安全机制包括用户名和口令、 生物特征、 奇偶比特和循环冗余校验等，基于密码学的安全机制主要是基于三类加密技术: 对称 加 密 技 术( s y m m e t r ic a l g o ri th m s ) (3 1 、 非 对 称 加 密 技 术( a s y m m e t r ic a l g o ri th m s ， 也 称公开密钥技术) 及单向散列技术 ( o n e - w a y h a s h a l g o r i t h m s ) 。 这些技术都有适用环 境和不足，都不足以单独解决所面临的复杂安全问题。 p k i ( p u b l ic k e y i n fr a s t r u c t u r e ) a 1 是 一 种 是以 密 码 学 技 术 为 基 础， 通 过 灵 活 搭 配 应用上面所述技术建立的，解决 i n t e r n e t 上种种安全问题的框架和遵循既定标准的密 钥管理平台。p k i 利用数字证书将公钥和实体绑定在一起，并使其他实体可以验证这 种绑定。电子商务环境中，客户和商家采用不见面，没有物理接触的方式进行交易， 双方必须采用加密技术保证通信信息 ( 如信用卡帐户等信息)的 保密性，同时要保证 加密密钥的安全分配和彼此身份的认证，p k i 利用非对称密码技术提供上述服务，要 求通信双方得到彼此公钥并认证身份。具体实现时，p k i 通过采用证书权威 c a ( c e rt i f ic a t e a u t h o ri ty ) 来 分发 密 钥 和鉴定 彼此 身 份 等。 p k i 是软件、加密技术以及网上安全通信和安全交易所需服务的集合。p k i 系统 是一个可信的、 权威的认证中心15 1 。它将数字证书、公钥密码技术和c a集合成一个 完 备的 网 络 安 全 架 构。 有p k i 的 支 持 ， 常 见 安 全 应 用 如s s l ( s e c u r e s o c k e t l a y e r ) 11 1 h t t p s ( h y p e rt e x t t r a n s f e r p r o t o c o l s e c u r e ， 安 全 超 文 本 传 输协 议)17 , s e t ( s e c u r e 一 喇 一一一一 一. -一一. -一. 一 2 华 中 科 技 大 学 硕 士 学 位 论 文 e l e c t r o n i c t r a n s a c t i o n ) 18 1 等都能较为全面的提供上述安全服务， p k i 是解决以电 子商 务为代表的公网信息传输安全问 题的 全面解决方案19 1 1 .2 国内外p i g研究及发展现状 目 前p k i 的研究正在迅速发展和紧锣密鼓的进行着。 网络安全技术的发展和研究 需要遵循安全协议和标准，因此，各种标准正在制订和完善中。国际电信联盟提出了 x .5 0 9 建 议书 和 基于x .5 0 9的p k i 的 基本 框架 ，其他的p k i 相关 标 准 还 有o p e n p g p ( o p e n p re t t y g o o d p r i v a c y ) , s p k i ( s i m p l e p u b l i c k e y i n fr a s t r u c t u r e ) 等。 许多 著名的 信 息安全公司也纷纷提出自己的 安全标准，这其中影响最大的就是 r s a数据安全公司 的p k c s ( p u b l i c c r y p t o g r a p 饰s t a n d a r d ， 公 共密码标准) 系 列标 准， 虽然p k c s 还算 不上公认的 真正意义上的标准， 但是它己 经在企业界得到了广泛的应用， 甚至其中的 某些标准 ( 例如描述证书请求的p k c s # 1 0 )已经成为事实上的标准。 在他们的基础上，由i e t f ( i n t e rn e t e n g i n e e r i n g t a s k f o r c e , i n t e r n e t 工程任务组) 的安全领域的p k i x y作组( p u b l i c k e y i n f r as t r u c t u r e x . 5 0 9 w o r k i n g g r o u p ) 进一步完 善基于x . 5 0 9 的p k i 框架，并且制定一系列基于x .5 0 9数字证书，用于i n t e rne t 上电 子商务的协议1 1 0 1 。这包括适合于 i n t e rn e t 上使用的 x . 5 0 9 v 3证书标准， c r l v 2 ( c e rt i f i c a t e r e v o v a t i n l i s t v 2 ) 证书撤销列表标准，适合于证书和证书撤销列表存储 的l d a p v 2 ( l i g h t d ir e c t o r y a c c e s s p r o t o c o l v 2 ) 1 1 11 轻 量 级目 录 存 取 标 准， 在线 证书 状态 协 议o c s p ( o n l in e c e rt if ic a t e s t a t u s p r o t o c o l ) 等。 这 些 标 准中 的 大多 数己 经 作为 标准 被广泛地采用，也有一些正处于制订和研究阶段。 由 美国国防部 ( d o d ) 和n a t i o n a l s e c u r i t y a g e n c y ( n s a ) 推动的d o d p k i 研究 在积极进行中。除此之外， 还有许多非正式的标准化小组正在对p k i 进行研究， 这些 研究成果将在很多细节方面指导相应公司的产品生产。 加拿大政府公开密钥基础设施 g o c p k i ( t h e g o v e r n m e n t o f c a n a d a p u b l i c k e y i n f r a s t ru c t u r e ) 是世界上最早的大规模 政 府p k i 计 划， 并且己 取得 一定 成 效。 1 9 9 9 年1 2 月1 3 日 ， r s a s e c u r it y , i b m , m i c r o s o ft , e n t ru s t , b a lt i m o r e t e c h n o l o g i e s等公司即宣布成立了 p k i技术的业界团体 “ p k i f o r u m 。 该团体将通过相互验证， 提高p k i 的可信度， 促进电子商务应用技术的普及。 在具体应用方面，p k i 的发展非常快，已经从几年前的理论阶段过渡到目 前的产 品阶段，并且出现了大量技术、产品和解决方案，正逐步走向成熟。开发p k i 的厂商 如e n t r u s t , b a l t i m o re t e c h n o l o g i e s , r s a s e c u r i t y , v e r i s ig n 和m i c r o s o ft 等都推出了自 一一一一一-种 一一 3 华 中 科 技 大 学 硕 士 学 位 论 文 己 可应用的p k i 产品。 比 较有代表性的主要有、 e ri s i g n 和e n t r u s t . v e ri s i g n 作为r s a 的控股公司，借助r s a成熟的安全技术，提供了p k i 产品，为用户之间的内部信息 交互提供安全保障。 国内的p k i 研究和认证服务起步较晚， 经过几年的发展全国建立起了4 0 多家c a 中心，如:中国金融认证中心、中国电信认证中心、上海c a中心、北京天威诚信和 吉大正元等公司。其总发证量为5 0 万份左右。但是，比起中国7 0 0 0 万的上网人群， 5 0 万的证书数实在是微乎其微，还有着巨大的发展空间。 2 0 0 4 年3 月2 4日，国务院 原则通过中华人民共和国电子签名法草案，使国内p k i 的发展进入一个全新的时期。 随着p k i 应用范围的 不断扩大， 应用环境也逐渐的多元化和异构化。 信任模型显 示了一个p k i 的整体框架， 是进行p k i 设计时首先要解决的问题。已经存在的多种主 流的信任模型，在安全特性、可扩展性、路径构造及验证都存在区别，没有一种单一 的模型能够满足当前的所有应用需求。因此，多种模型的同时存在是不可避免的，所 以在使用不同的信任模型、 不同的系统架构的p k i 系统之间建立互操作性， 对于当前 的p k i 的应用和发展有着非常重大的意义。 1 .3 研究设计目 标及本文结构安排 本文将要完成的主要研究工作有: 1 ) 研究p k i 用到的主要密码学算法和安全机制，分析它们各自 的长处， 缺点， 适用的场合; 2 )分析和研究存在的信任模型，建立信任模型的分析比 较标准，对主要的几种 模型进行分析评价; 3 ) 研究分析实现互操作性的主要问 题和障碍; 4 )提出实现域间互操作性的证书验证代理模型，并对模型进行整体的结构设计 和实现; 5 )引入带有优先级的服务器端缓存机制对服务器性能进行优化，并建立相应的 数学模型对优化结果进行分析。同时对于高优先级的请求优先处理，以满足其对实时 性的要求，最后还将对模型进行测试。 基于上面所述的研究目 标，本文第2 章要研究p k i 的关键密码技术和安全机制， 并分析p k i 的总体框架。 第3 章将对目前存在的信任模型和互操作模型的深入研究和 比较，分析它们各自的优势和弱点，包括实现和应用的难度，管理复杂性，可扩展性 .-一 一一-一一-一 4 华 中 科 技 大 学 硕 士 学 位 论 文 等等。 第4 章将分析几种实现互操作的模型方案， 提出 基于证书验证代理的互操作实现 模型。 对该模型进行系统设计和实现，确定整个模型的工作流程和所用的主要数据结 构， 引入带有优先级的服务器端缓存机制对服务器性能进行优化， 并建立相应的数学 模型对优化结果进行分析。同时对于高优先级的请求优先处理，以满足其对实时性的 要求。 第 5 章是全文总结和后续工作展望。 一一-一一一-一- 5 华 中 科 技 大 学 硕 士 学 位 论 文 2 p k i 技术研究 2 . 1 概述 对称密码体制的应用遇到密钥分配问题。 非对称密码体制的出现解决了对称密钥 的分配， 但又产生了公钥信任在大范围内传播问题。 最终p k i 用证书管理公钥， 较好 解决了密钥管理方面的问题，使得公钥密码体制在其诞生的二十年后得到了广泛应 用， p k i 的理论基础是各种密码体制。本章将对p k i 所用到的密码学技术及机制进行 论述和研究。 2 .2 p k i 中密码编码技术研究 密码编码系统根据所用密钥的数量可分为对称密码算法和非对称密码算法， 如果 发送者和接收者双方使用相同的密钥，则该系统称为对称加密、 秘密密钥加密或单密 钥加密。 如果发送者和接收者各自 使用一个不同的密钥来加密和解密，则该系统称为 非对称加密、公开密钥加密或双密钥加密。 2 .2 . 1 对称密钥算法分析 对 称密钥算法 1 3 是指 加密密 钥和解密密 钥相同 的 密码 算法。 信息的发 送者和信息 的接收者在进行信息的传输与处理时，必须共同持有该密码 ( 称为对称密钥) 。对称 密码算法接受明文作为输入，然后使用一个对称密钥进行加密， 输出明文的一个加密 版本 ( 密文) 。对称密钥加密技术加密速度快，密钥长度短，破译非常困难。 但是，因为接收者需要得到对称密钥解密， 容易在传输对称密钥的时候受到中途 拦截和窃听等被动攻击， 在公开的计算机网络上密钥安全传输和管理是一个严峻的 问题。常 用对称密钥算 法包括d e s ( d a t a e n c r y p t i o n s t a n d a r d ) , t r i p l e - d e s( 三重 d e s ) 14 1 , r c 2 , r c 4 , r c 5 , r c 6 1 5 i , a e s ( a d v a n c e d e n c r y p t i o n s t a n d a r d ) 1 6 等 等 。 其中r c 4 是在单个数据位上进行运算的序列密码， 其他的是在固定长度的数据分组上 运算的分组密码算法。 r c 4比 所有的分组密码算法都快， 并且支持可变长度的密钥长 度。 a e s 称为下一代高级加密标准。 是在多个被提名算法中， 通过比较他们加密速度， 一叫 一一一- - 一 - - - - - 一- 一 - - - - - - 一 - - 一 一 - 6 华 中 科 技 大 学 硕 士 学 位 论 文 加密的强 度以 及支持的密 钥长 度来 选取的。 最后由d a e m e n , 助m e n 提交的助n d a e l 胜 出 ， 支 持1 2 8 位 的 密 钥 11 7 1 最典型的最著名的对称加密算法是d e s ，它是i b m在2 0 世纪7 0 年代晚期开 发的( 1 , d e s 是一种分组密码， 使用6 4 位的分组， 其密钥长度固定为5 6 位， 但随着 计算机的计算能力的不断增长，d e s的5 6 位密钥对于强力穷举攻击己经显得强度不 够了。 后来， t ri p l e - d e s 是对d e s 的改 进， 对每一个分组采用三个不同的密钥加密三 次。 d e s 和t ri p l e - d e s 正 逐渐被a e s 所取 代。 对称加密算法的原理可以表述如下: 定义:e 一 加密方法w一 明文 加解密:m = e k ( w) m- 秘文k - 密钥 w = e k ( m) 对称密钥加密技术有以下优点: 1 )加密速度快; 2 )安全性高; 3 )密文结构紧凑，加密后得到的密文和最初的明文大小相差不大。 对称加密算法适合于少量用户的大量数据的加密， 但是当要求进行加密通信用户 多的时候， 它就会带来问题。 如果有n个用户都要和所有其他用户进行通信。 那么每 对用户就需要一个密钥。所有用户进行通信的所需要的密钥数量用式 ( 2 . 1 )计算。 c r ,2 = n ( n - 1 ) / 2 ( 2 . 1 ) 复 杂 度为。 时) ， 也 就 是说n个 用户 几乎 需 要n 2 个密 钥。 分发 大 量的 密 钥 会带 来密钥的安全性问题，而且对数量巨大的密钥也需要复杂的密钥存储和管理。另外， 由于对称密钥加密技术的本身特性， 如果要用于p k i 签名和不可否认性时， 需要一个 第三方仲裁机构，所以不太适合用于这一用途。 2 .2 . 2 非对称密钥算法研究 为了解决对称密钥算法存在的密钥分发和实现数字签名两大问题，1 9 7 6年 w h i t fi e l d d i f fi e 和m a rt i n e . h e l l m a n 提出非对称密钥加密算法的想法【 1 9 1 ，随后出 现了 许多非对称密钥算法，目 前公认比 较安全和有效的公钥算法主要有 d - h算法、 r s a 算法、d s a算法和e c c算法等。目 前r s a算法使用的较为广泛。 非对称密钥算法的特点如下: 1 )这种算法有两个密钥:一个对外公开的公钥，一个安全保存的私钥; 一-月 一一一一-一一， 一 一 一一 7 华 中 科 技 大 学 硕 士 学 位 论 文 2 ) 仅仅知道密钥算法和加密密钥而要得到解密密钥，在计算上是不可行的; 3 ) 使用两个密钥的任何一个都可以 用来加密，且都可以用另一个来解密。 非对称算法的有如下的优点: 1 )不必发送密钥给接收者，对外只公布公钥，所以，不存在私钥在传送过程中 被窃听的问题; 2 )对于大量用户通信的情况，每个用户只需要一对公私钥就可以，n各用户只 需要n对公私钥就可以，这将使密钥存储和管理变得容易; 3 )由于只有一个用户持有他的私钥， 所以这个私钥可以作为一种他身份的特征。 这使公钥加密技术可以用作数字签名和不可否认性服务。 它的缺点有:由于非对称密码学技术一般都基于复杂度和困难度都很大的数学问 题， 如: d - h中的离散对数问题， r s a中的大素数相乘分解问题等。 所以就需要较长 的密码长度， 这就使非对称密码技术比对称密码技术在加密的速度方面相差很远。在 同等强度下，一般来说，非对称加密技术比对称加密技术慢 1 0到 1 0 0倍。而且产生 的密文比明文更长。 通过以上可以看出，非对称密码技术与对称密码技术的优缺点是互补的， 如果能 够结合这两种加密技术的优点，就可以产生一个加密速度快，密钥管理简单，又支持 数字签名技术，而且密文长度稳定的组合加密技术。 在p k i 的实现中就是要灵活的应 用这两种技术。下面具体介绍一下r s a算法。 r s a 1z o 1是r iv e s t , s h a m ir 和a d le m a n 于1 9 7 8 年在 美国 麻 省理 工 学院 研 制出 来的 ， 它是一种比较典型的公开密钥加密算法， 也是迄今为止理论上最为成熟和完善的一种 公钥密码体制。该算法利用了数论领域的一个事实， 那就是虽然把两个大质数相乘生 成一个合数是件十分容易的事情，但要把一个合数分解为两个质数却十分困难。 r s a算法建立在正整数求余运算基础上， 同时还保持了指数运算的性质。 在r s a 算法中，n的长度是控制该算法可靠性的重要因素。与d - h算法相比， r s a算法具有 明显的优越性，因为它无须收发双方同时参与加密过程， 非常适合于电子邮件系统的 加密。 r s a算法密钥生成过程如下x2 1 . 1 ) 用户首先选择一对不同的大素数p 与q 使得n 二 p q , n m ， 这里m为要加 密的明文段作为整数时的大小; 2 ) 选择一个正整数e ， 使得e 与 ( p - 1 ) ( q - 1 ) 互素: 一一 一 - -一 一一 一 一一 一- - - 8 华 中 科 技 大 学 硕 士 学 位 论 文 3 ) 利用辗转相除法， 计算d ， 使得 ( e d ) m o d ( p - 1 ) ( q - 1 ) = 1 0 得到的( e , n ) 是用于加密的公共密钥，可以 公开出去， ( d , n ) 是用于解密的专用 密钥，必须保密。其中m o d 是指整数求余运算。 加密过程使用( e , n ) 对明文m进行加密， 算法为: c = r d mo d n 2 . 2 ) 这里的c 即是 m加密后的密文。 解密过程使用( d , n ) 对密文c 进行解密， 算法为: m =c d m o d n ( 2 .3 ) 求得的m即为对应于密文c 的明文。 在 p k i 的实现中，所需要的非对称加密算法主要以r s a为主。为增强它的安全 性和抗攻击性，针对它存在的弱点，使用一些特殊的手段进行弥补。 现在针对r s a的攻击【2 2 主 要有以 下方面: i )随机数的安全性 由于 r s a密文是通过公开渠道传播的，攻击者可以获取密文。假设攻击者得到 了发往接受者的一份密文c ， 攻击者想得到明文， 即 需要得到 m= 了 。为了 恢复 m , 攻击者取一个随机数 r ， r n ， 攻击者有接受者的公钥( e ,n ) 。攻击者用式 ( 2 . 4 )计算 出x o x = r mo d n ( 2 . 4 ) 攻击者再将临时密文与要解密的秘文c 相乘， 如式 ( 2 .5 ) 0 y = x * c m o d n ( 2 . 5 ) 设置一个t , 它的值按照式 ( 2 .6 )取。 t z t m o d n ( 2 . 6 ) 攻击者a知道r s a具有下面的 一个特性 如果 二r m o d n ，那么 二 分m o d n 这样有数论的知识可以得到式 ( 2 . 7 ) 0 ( r ) * ( x 0 ) m o d n 一1 ( 2 .7 ) 攻击者想办法让接受者对y 用自 己的 私匙签名，结果为u 。然后，攻击者只要 简单的按式 ( 2 . 8 )计算，就可以得到明文。 m 二t * u mo d n ( 2 , 8 ) 综合上面各式，计算如下: t * u m o d n 一 ( r i) * ( y d ) m o d n - 一 一一一一- - - - 一 一 一- - - 一- 一 - 一一 一 - - 一一 9 华 中 科 技 大 学 硕 士 学 位 论 文 一 ( r 1) * ( x d ) ( e ) m o d n = ( e d ) m o d n = m 要防止这种攻击的办法就是不要对外来的随机信息签名，或者只对信息的 md 5 特征值签名。 2 )过小的加密指数e . 因为要计算明文和密文的e 次方，所以e 越小，加解密速度越快，但是如果e 过 小就会出现问题。如:c =m m o d n，如果m . 比n 还小，那么如果想得到明文，只 需对密文开e 次方就得到密文。针对这个问题，可以使用比较大的e 。在实现中可以 选用一个很大的数来表示，它使m “ 远大于n 。 3 ) r s a的计时攻击法(2 3 1 大量的实验发现， r s a的基本运算是乘方取模， 这种运算的特点是整个运算过程 中所耗费的时间与乘方次数对应。 在特定的硬件条件下，如果成方次数多，运算时间 明显增多，反之亦然。这样如果能够监视到 r s a解密的过程，并对它计时，他就能 算出d 的大概范围， 从而减小分解p 4 的 难度。 在实现p k i 的签名计 算的时候，可 以通过一些变化技巧使它加密时间恒定来达到目的。 在加密前对分段加密数据的选择 变化的选择数据长度，使待加密数据作为整数的大小相互接近。 4 )密钥长度的选择 通过前面对称密钥加密技术中 对密钥长度的讨论，作为p k i 理论基石的r s a密 钥至少应该为 1 0 2 4位。这样可以保证在可以预见的将来，即使机器的运算速度按照 摩尔定律递增，也是很难攻破。 2 0