（通信与信息系统专业论文）基于身份的公钥系统的研究及其在安全网关领域的应用.pdf

基于身份的公钥系统的研究及其在安全网关领域的应用 摘要 随着i n t e r n c t 的广泛应用，网络安全问题日益突现。为了确保数据在网络上 传输时的安全性，加密是一种有效的手段。早期加密系统采用对称密钥加密，通 信双方共享相同的密钥，用于加密与解密。由于对称加密系统过于依赖密钥的保 密性，不利于密钥的交换，所以人们引入了公开密钥系统。在公开密钥系统中， 通信双方各自持有一对密钥对，其中公钥公开，私钥保密，保证了密钥交换的安 全性在此种方式下，加密与解密采用不同的密钥，因此公开密钥系统又称为非 对称加密系统。 公钥系统已被广泛应用于网络安全的各个领域，主要用于加密传输数据和实 现数字签名传统的公钥系统都是基于证书体系的，即公钥的分配依靠证书来实 现证书中包含了用户的身份d 、公钥、证书的有效期以及权威机构( c a ) 对 该证书的签名，只有经过c a 签名的证书才是有效、合法的证书因而，c a 在 基于证书的公钥系统中，起着至关重要的作用，证书的签发、更新、撤销与验证 都离不开它 但是，证书的管理是要耗费一定资源的，因为c a 往往需要管理庞大的证书， 同时，还增加了通信双方进行证书认证的步骤在不降低通信安全的前提下，为 了省去这些麻烦，s h a m i r 就提出了基于身份的公钥系统【1 】在基于身份的公钥 系统中，用户的身份d 就是公钥，公钥就是用户的身份d ，这样用户就和 公钥自然地绑定了，不再需要通过证书进行绑定，同时也省去了证书认证，从而 大大简化了公钥系统的实现。 本文在深入研究基于身份的公钥系统的基础上，在基于网络处理器的安全网 关系统上，实现了基于身份的公钥系统，并且利用网络引擎资源，优化了系统性 能本文的主要工作有以下四个方面：1 ) 研究了基于证书的公钥系统和基于身 份的公钥系统，比较它们的异同，分析了基于身份的公钥系统具有的优势；2 ) 对网络处理器i x p 4 2 5 的应用进行了介绍，分析了网络处理器相比x 8 6 系列c p u 和通用嵌入式c p u 在网络处理能力方面的优势；3 ) 研究了基于身份的公钥系统 的各种算法，并将它们应用到安全网关系统之中；4 ) 利用i x p 4 2 5 的网络引擎 资源优化了基于身份的公钥系统。将基于身份的公钥系统和网络处理器同时应用 于安全网关系统设备，是本文的创新之处。 关键词：基于身份，基于证书，公钥系统，网络处理器，安全网关， 嵌入式系统，网络引擎 v t h er e s e a r c ha n da p 】p l j c a n o no f l d e n t r 】n b a s e dp u b u ck e ys y s t e m w i t hi n t e r a c ti su s e df r e q u e n t l y , t h ep r o b l e m sa b o u tn e t w o r k s e c u r i t ya p p e a rm o r eo f t e n i no r d e rt op r o t e c t d a mt r a n s f e r r e di n n e t w o r k s ，e n c r y p t i o ni sag o o dm e t h o d i ne a r l yt i m e ，e r y p t o s y s t e mu s s y m - e n e r y p t i o n ，i nw h i c ht h et w oc o m m u n i c a t o r s u s eo n es m l ek e yt od o e n c r y p t i o na n dd e c r y p t i o n n es y s t e mr e l i e so nt h es e c u r i t yo ft h ek e y t o om u c h ，a n dt h i sd o e s n tb e n e f i tt h ee x c h a n g eo ft h ek e y , s op e o p l e i n t r o d u c ep u b l i c - k e yc r y p t o s y s t e m i np u b l i c - k e yc r y p t o s y s t e m , e a c h c o m m u n i c a t o rh a sap a i ro fk e y sh i m s e l f 珏ep u b l i ck e yi so p e n e da n d t h ep r i v a t ek e yi so n l yk n o w nb yt h eo w n e r t h i sm a k e st h ee x c h a n g eo f t h ek e ys a f e r p u b l i c - k e yc r y p t o s y s t e m i su s e di nm a n ya r e a so fn e t w o r ks e c u r i t y i tc a nb eu s e df o re n c r y p t i o na n dd i g i t a ls i g n a t u r e t r a d i t i o n a lp u b l i c - k e y c r y p t o s y s t e mi sb a s e do nc e r t i f i c a t e s t h i sm e a n s t h a tt h ed i s t r i b u t i o no f p u b l mk e y sr e l i e so nc e r t i f i c a t e s ac e r t i f i c a t ec o n t a i n si d ，p u b l i ck e y , v a l i d a t i o n d a t ea n ds i g n a t u r eo fc a o n l yt h ec e r t i f i c a t e st h a ts i g n e db y c aa r ev a l i d a t e d s oc a p l a y sag r e a tr o l ei nc e r t i f i c a t e b a s e dp u b l i c - k e y c r y p t o s y s t e m t h ed i s t r i b u t i o n ，u p d a t e ，r e c a l l a n dv a l i d a t i o no f c e r t i f i c a t e sc a n tb ed o n ew i t h o u tc 九 s i n c et h em a n a g e m e n to fc e r t i f i c a t e sc o s t sal o t ，c am u s tm a n a g ea l a r g ea m o u n to fc e r t i f i c a t e s i na d d i t i o n , v a l i d a t i o n so ft h ec e r t i f i c a t e sf o r t h et w oc o m m u n i c a t o r sa r en e e d e d i i lo r d e rt o g e tr i d o ft h e s e d i s a d v a n t a g e s ，s h a m i ri n t r o d u c e dae r y p t o s y s t e mb a s e do ni d e n t i t y i n t h i s s y s t e m , t h ei di st h ep u b l i ck e ya n dv i c ev e r s a s ot h ei di s a s s o c i a t e dw i t ht h ep u b l i ck e yn a t u r a l l y ，a n dt h ea s s o c i a t i o na n dt h e v a l i d a t i o no fc e r t i f i c a t e sa r en on e e d e d t h i ss i m p l i f i e st h er e a l i z a t i o no f p u b l i c - k e yc r y p t o s y s t e m t h i sp a p e rd o e sa d c e p r e s e a r c hi n i d e n t i t y - b a s e dp u b l i c - k e y c r y p t o s y s t e m , a n dt h e nr e a l i z i n gt h i ss y s t e mi nas e c u r i t yg a t e w a yb a s e d o nn e t w o r kp r o c e s s o r t h eu s a g eo fn e t w o r ke n g i n e sc a no p t i m i z et h e s y s t e m t h em a i nw o r ko ft h ep a p e rc o n t a i n st h ef o l l o w i n gf o u ra r e a s ：1 ) r e s e a r c hc e r t i f i c a t e b a s e dp u b l i c - k e ye r y p t o s y s t e r na n di d e n t i t y - b a s e d p u b l i c - k e yc r y p t o s y s t e m , a n dd oc o m p a r i s o n st os h o wt h ea d v a n t a g e so f i d e n t i t y b a s e dp u b l i c - k e ye r y p t o s y s t e m ；2 ) i n t r o d u c et h ea p p l i c a t i o n so f n e t w o r kp r o c e s s o ri x p 4 2 5 ，a n dc o m p a r ei tw i t hx 8 6c p ua n dg e n e r a l e m b e d d e dc p u ；3 ) r e s e a r c ht h ea r i t h m e t i c s0 fi d e n t i t y - b a s e dp u b l i c - k e y e r y p t o s y s t e ma n da p p l yt h e mi n t os e c u r i t yg a t e w a y ；4 ) l l s en e t w o r k e n g i n e so fi x p 4 2 5t oo p t i m i z ei d e n t i t ) ，- b a s e dp u b l i c - k e ye r y p t o s y s t e m t h eu s a g eo fi d e n t i t y b a s e d p u b l i c - k e yc r y p t o s y s t e ma n d n e t w o r k p r o c e s s o rw i l ld oag r e a to p t i m i z a t i o nf o rt h es e c u r i t yg a t e w a ys y s t e m , w h i c hi sa l li n n o v a t i o no ft h i sp a p e r k e y w o r d s ： i d e n t i 幻r - b a s e d ,c e r t i f i c a t e - b a s e d ，p u b l i c - k e y c r y p t o s y s t e m , n e t w o r kp r o c e s s o r , s e c u r i t yg a t e w a y , e m b e d d e d s y s t e m , n e t w o r ke n g i n e v 学位论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及 取得的研究成果据我所知。除文中已经注明引用的内容外，本论文 不包含其他个人已经发表或撰写过的研究成果对本文的研究做出重 要贡献的个人和集体。妁已在文中作了明确说明并表示谢意 作者签名： 0 钰罗 学位论文授权使用声明 本人完全了解华东师范大学有关保留，使用学位论文的规定，学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电 子版和纸质版有权将学位论文用于非赢利目的的少量复 5 1 | 并允许论 文进入学校圈书馆被查阅有权将学位论文的内容编入有关数据库进 行检索有权将学位论文的标题和摘要汇编出版保密的学位论文在 解密后适用本规定 学位论文作者签名：磁多 日期：兰翌：! ：! m 导师戳：如 华东师范大学硕士学位论文 1 绪论 1 1 公钥密码学的研究与应用背景 伴随着人类历史的开始，密码的应用也开始了从古代的战争中的密码传 信，到现代战争中的密码发报机，密码学的发展围绕着无休无止的加密与解密 而发展在目前网络高速发展的时代，网络安全形势日益严峻在每时每刻， 互联网上正发生着不计其数的攻击，窃密等黑客行为强如美国中情局的电脑 系统也会被黑客入侵，更别提大多数一般用户的电脑了 在种种黑客攻击中，窃密是对网络用户危害最大的攻击之一举一个典型 的窃密攻击的例子，一家a 跨国零售企业的分店，在每天歇业后，会把一天的 销售额、卖出货品清单、库存货品清单等等数据通过i n t e r a c t 传送到a 公司总 部的数据库中( 假设分店与总部是位于2 个国家的，并且它们之间没有专用网 络连接) 如果有一家b 公司正好是a 公司的竞争对手，并且b 公司雇佣了一 位电脑黑客把a 公司在i n t e r a c t 上传输的数据截取了下来，那么a 公司的商业 机密就被它的竞争对手所完全掌握，更可怕的是，b 公司可以伪装成a 公司， 通过i n t e m e t 来给a 公司的分公司发布指示，彻底搞乱他们的运作! 由于网络上窃密攻击的危害巨大，所以密码学被应用到了网络安全之中， 对网络传输数据加密来保障网络安全早期，人们使用对称密码算法来加密数 据，由于对称密码算法在密钥分发上的不便，公钥密码算法被引入其中公钥 密码算法使用公钥私钥对，公钥公开，私钥保密，解决了对称密码算法中密钥 分发的不便。 d i f f i e 和h e t t m a n 2 提出了公钥密码学的概念，m e r l d e 3 也同时提出了相类 似的概念d i f f i e 在【4 l 中详细介绍了公钥密码学的历史和发展。d i 腼e 和h e u m a n 还利用基于素数模的整数乘法群的指数运算，给出了一种公钥密码学的密钥协 商算法r i v e s t 、s h a m i r 和a d l e m a n 提出了经典的r s a 公钥加密和数字签名方 案【5 1 ，这一算法至今还有着广泛的应用e i g a m a l 公钥密码算法是第一个基于 离散对数问题困难性的公钥加密和数字签名的方案【6 】。s m i t h 和s k i n n e r 7 ， g o n g 和h a r n i 8 ，l e n s t r a 和v e r h e u l 都研究了如何简洁地表示子群的元素问题， 他们分别给出了g f ( p 2 ) 的p + l 阶子群，g f ( 矿) 的矿+ p + 1 阶予群，g f ( 矿) 的，一p + 1 髟卜子群的元素的简洁表示。在他们提出的著名的l u c 、g h 和 华东师范大学硕士学位论文 x t r 公钥密码体系中，分别使用了子群元素的表示法，这种表示法比有限域元 素表示法分别小2 、1 5 和3 倍。k o b l i t z 和m i l l e r 在1 9 8 5 年分别提出了利用定 义在有限域上的椭圆曲线的点群来构造离散对数密码体系的方法【9 】。 1 2 基于身份的公钥系统的应用与研究现状 s h a m i r 在【1 】一文中，首先提出了一种崭新的公钥密码和签名思想。这种新 的公钥系统，不同于公钥密码系统，具有将任意个给定的字符串作为公钥的 能力没有了数学限制的束缚，用户就可以任意地选定其所希望的公钥 假设确实存在这样的一种新体系，很自然地，人们会把每一个人的身份m 作为各人独有的公钥所谓d ，可以包括姓名，电子邮箱地址，身份证号等任 何可以唯一确定一个人的字符串或其组合。于是，一个人的身份就是他的公钥。 需要注意的是，一个人的身份并没有任何特殊的数学意义，它所具有的是特殊 的社会意义因此并不是说基于数学角度的考虑，我们必须选择身份作为公钥， 而是在这一机制下，我们在数学上可以用任何串做公钥，于是，我们选择了具 有特殊社会意义的身份 一旦我们使用身份作为公钥，我们就不再需要有公钥的交换，不再需要公 钥目录，即不再需要所谓c a 的存在。因为当我们与一个具体的人通信时，必 定已经知道了他的身份，两这也就是他的公钥了。因此，这一体系就被称为基 于身份的公钥体系 在基于身份的体系中，我们依然需要一个可信任第三方，并不是如c a 那 般用于公钥的查询，而是用于私钥的生成。必须要注意的是，在基于身份的体 系中，用户不再能够自行计算自己的私钥。因为从本质上来说，每个人的身份j 都不过是一个特定的字符串，其中并没有任何个人所独有的秘密信息所以 a l i c e 如果可以计算“a l i c e ”所对应的私钥，那么她同样可以计算“b o b ”所对 应的私钥因此，私钥生威者( p k g ) 是该体系中不可或缺的部分每一个用 户，都需要持有自己身份的有效证明，向p k g 要求自己的身份d 所对应的私 钥。 p k g 之所以能够根据用户身份计算相应的私钥，是因为它在创建伊始，就 确定了整个系统的系统参数，以及与之相对应的保密信息。系统参数是整个体 系中所有用户共有的，而保密信息，称为主密钥( m a s t e rk e y ) ，则只有p k g 知道。p k g 就是运用主密钥，结合系统参数和用户身份m ，计算得到用户的私 钥，用户负责对自己的私钥保密 与c a 不同，任何一个用户，都只需要与p k g 进行一次通信，在获得自已 华东师范大学硕士学位论文 的私钥后，所有加解密和签名工作，都可以在单机上完成。甚至于，当p k g 完 成了所有私钥计算后，可以不再存在，因为在整个系统的通信中，都无需可信 任第三方的参与当然，已经公布的系统参数依旧是所有用户共有的。 基于身份的公钥系统不仅使得我们不再需要c a ，其可以将任意字符串作 为公钥的能力也令其有了更多的应用 s h a m i r 在最初提出基于身份的思想时，就介绍了理想的电子邮箱所谓理 想的电子邮箱，也就是只要发信者知道收信者的邮箱地址，就能够发送只有他 才可以阅读的邮件，也可以立即验证只有他才能产生的签名。并且加密和验证 过程对于用户来说几乎是透明的，因为只要具备了对方的地址( 对于任何邮件 来说这都是必须的) ，在单机上就可以完成计算 在s h a m i r 关于基于身份体系的论述中，几乎都是围绕智能卡所展开这也 是很自然的既然所有的安全运算都可以在单机上完成，那么就可以制作一张 专用的智能卡它具有一个微处理器、输入输出端口、以及r a m 和r o m 。当 一个用户向p k g 申请，p k g 就将私钥烧录进r o m 中。此后，该用户只要这一 张卡，就可以通过输入腧出端口进行安全计算 在传统的基于证书的公钥体系中，证书是很常用的，而很多证书都有期限 限制一旦某一用户的证书过期，他就必须向所有人告知自己的新证书而在 本体系中，假设证书期限是一年，我们可以充分利用公钥可以是任一字符串的 特点，将公钥设置为“h 3 c u l r e n t - y c a r ”于是，用户就必须每年向p k g 申请新 的私钥，同样起到了期限的设置作用，而且不需要告知其他人 与上面一个问题类似，我们甚至可以将公钥设置为“m l l a l n t d a t c ”，这 样，用户就必须每天申请私钥这一用途一般可以在公司内部实现。公司每天 给员工分发当天的新私钥，一旦某成员离开，则停止分发给他私钥，那么他在 该组织内的权限在第二天就被取消了。 另外，使用这种方式，发信者甚至可以通过日期限制，规定收信者只有在 未来的某一天才可以看信。 具有如此美好的特性与广泛的应用，s h a m i r 所提出的基于身份的公钥系统 无疑是很诱人的，但它在实现上却具有相当大的难度。 其主要难点在于，基于身份的体系必须满足两点要求 ( 1 ) 如果拥有主密钥，根据给定的公钥计算私钥是容易的； ( 2 ) 如果拥有公，私钥对，计算主密钥是困难的 这一限制是苛刻的，而r s a 体制就无法同时满足这两个要求。如果p k g 给出统一的模数n ，那么只要拥有一对公，私钥对，就可以将n 分解，从而不再 有任何秘密。而如果i 1 是由d 生成的伪随机函数，那么即使是p k g 也无法通 华东师范大学硕士学位论文 过公钥计算私钥 就是因为这样的困难，s h a m i r 在他的先后两篇论文中，都只给出了签名模 式的具体实现，并没有给出加密模式的实现。而此后十多年中，这方面的研究 主要集中在日本，但一直没有真正满足要求且实用的算法诞生 一直到2 0 0 2 年。d a nb o n e h 和m a t t h e wf r a n k l i n 才在【1 0 l - 文中，运用代 数几何中椭圆曲线上的运算，给出了第一个真正意义上的基于身份的加密体系。 基于椭圆曲线上的对的系统使用了群间的双线性映射来建立一种联系，这种联 系通过对身份m 作h a s h 来创建加密模式。b o n e h - f r a n k l i n 的基于身份的加密 系统在【1 1 】中有了更加大的进展h o r w i t z 和伽n 【1 2 】、g e n t r y 和s f l v e r b e r g 1 3 】 将基于身份的加密系统发展成可扩展的系统，提升了p k g 的工作性能，并且提 出了可扩展的p k g 的思想，非常具有意义g e n w y 同样利用基于身份的公钥系 统，提出了一种新型的基于证书的公钥系统，在这个系统中，身份d 不再是用 户姓名之类的标识，而是一个定义好的证书【1 4 】。b c n o i tl i b c r t 和j e a n - j a c q u e s q u i s q 叫嘧应用对，创建了一种基于身份的签名模式，这种模式将所有方面的 应用归为一种操作p 5 1 3 本论文的主要工作 安全网关设备是在实际网络环境中起到保障通信安全的系统一般而言， 安全网关设备具有过滤数据包，阻断非法连接和加密通信数据等等功能传统 的安全网关设备一般是具有网络处理能力的嵌入式系统，使用x 8 6 系列的c p u 或者通用嵌入式c p u 作为其核心处理器，而具有独立网络处理引擎的网络处理 器的出现，使得现代的安全网关设备的性能大幅提高 在本文中，我们把基于身份的公钥系统应用到基于网络处理器的安全网关 设备之中，将两种新技术结合，大幅提升了安全网关设备在数据加密和签名方 面的性能。 本文主要进行了以下四个方面的工作： ( 1 ) 研究了基于证书的公钥系统和基于身份的公钥系统，比较它们的异同， 分析了基于身份的公钥系统所具有的优势： ( 2 ) 掌握了网络处理器i x p 4 2 5 的应用分析了网络处理器相比x 8 6 系列 c p u 和通用嵌入式c f u 在网络处理能力方面的优势； ( 3 ) 研究了基于身份的公钥系统的各种算法。并将它们应用到安全网关系 统之中： ( 4 ) 使用网络处理器p 4 2 5 的网络引擎资源，将原本算法中的加密、h a s h 华东师范大学硕士学位论文 等软件实现改由网络引擎来实现，以此来优化基于身份的公钥系统。这是本文 的一大创新之处 本文将从以下几个方面进行展开；第二章介绍公钥密码学的基础知识，引 入基于身份的公钥系统的概念，并将之与基于证书的公钥系统进行比较，突出 其优势；第三章介绍基于身份的公钥系统的各种算法，为以后这些算法的应用 作铺垫；第四章介绍基于网络处理器i x p 4 2 5 的安全网关系统的设计，本文实现 的公钥系统正是运行在这个系统设备之上的；第五章是本文的核心，介绍了 w p - - i b p k c s ( 应用w e l l 对的基于身份的公钥系统) 在安全网关系统上的实现； 第六章是测试与实验，对w p - - i b p k c s 的各种功能进行测试，证明其满足一定 的安全性。 华东师范大学硕士学位论文 2 公钥密码学的基本知识 在本章中，我们将介绍密码学的一些基本知识。首先介绍早期的对称密码 学，再介绍非对称密码学，即公钥密钥学。在公钥密码学中，我们将对r s a 、 e i g a m a l 和椭圆曲线等公钥密码算法作一一的描述。最后，我们将引入基于证 书的公钥系统和基于身份的公钥系统，对这两者进行比较，显示出基于身份的 公钥系统的优势基于身份的公钥系统也是本文研究的重点内容，在第一章中 的介绍为后文的研究和分析打下基础 第一章将从以下几个方面展开：对称密码学，公钥密码学，基于证书的公 钥系统和基于身份的公钥系统。 2 1 对称密码学介绍 密码体系按照密钥类型可以划分为对称密码体系和公钥密码体系对于对 称密码体系，通信的双方使用一致的密钥进行加密和解密首先，通信双方需 要在一条既保密又保真的安全信道上进行密钥交换，使得双方都拥有同一把密 钥，然后，加密与解密就能够进行了 对称密码算法可以分为两种类型：分组密码和序列密码分组密码是在数 据的固定长度的小分组上进行运算的，分组的长度一般为6 4 位。分组密码有 d e s 、3 d e s 、r 晓、r c 5 和r c 6 等多种算法，其中d e s 是目前最常用的对称 密码算法，3 d e s 是为了增强d e s 加密的强度而改进得到的三重d e s 加密算法。 序列密码是在单个数据位上进行运算的，最著名的序列密码算法是r c a 相对 而言，分组密码比序列密码更加常用【1 6 】 由于通信双方共用一把密钥，因而加密、解密速度快，所以对称密码体系 的最大优势就是效率高但是，正是由于只有一把密钥，对称密码体系存在着 严重的缺点 第一，密钥交换存在安全隐患。对称密码体系要求交换密钥的信道既是保 密的，又是保真的在不是很安全的信道条件下，交换密钥存在着很大的风险， 因为一旦密钥外泄，则通信双方的密码系统都被攻破了 第二，不利于密钥的管理。当有n 个实体需要相互进行安全通信时，每一 个实体就要保留( n 一1 ) 把密钥。显然，n 很大时，密钥的数量将会很庞大， 非常不利于管理。 华东师范大学硕士学位论文 2 2 公钥密码学介绍 d i f f i e ，h e l l m a n 和m e r k l e 针对对称密码体系的上述缺陷，提出了公钥密码 体系【2 ，3 】。公钥密码体系仅要求在保真的通信信道上进行密钥交换，不要求 信道是保密的。每一个通信实体选择一个密钥对( c ，d ) ，其中e 是公钥，在通 信时需要相互交换，d 是私钥，需要自己保密进行通信时，a 首先用b 的公 钥加密数据，然后把密文传送给b ，b 再用自己的私钥进行解密，就可得到明 文了。 在公钥密码体系中，密钥对的选择要保证从公钥求出私钥是十分困难的， 相当于求解一个困难的计算问题。构成常用公钥密码体系的困难问题有以下三 种数论问题：整数的因子分解问题( 对应r s a 公钥系统) ，离散对数问题( 对 应e 1 g a m a l 公钥系统) ，椭圆曲线离散对数问题( 对应e c c 公钥系统) 2 名1 1 0 s a 公钥系统 r i v e s t 、s h a m i r 和a d l e m a n 在1 9 7 7 年提出了r s a 公钥系统【5 】到目前为 止，r s a 是最为成功的公钥密码算法 r s a 的公钥由一对整数( 一，暑) 组成，其中，一是r s a 的运算模，它是两 个长度相同的保密随机素数p 和口的乘积e 称为加密指数，是满足l 心 口， 且g o d ( e ，口) = 1 的整数，其中o - - - - ( p - - 1 ) ( 口一1 ) 私钥d 称为解密指数， 是满足1 叔中且e d - - - - 1 ( m o d 中) 的整数。已经证明，从公钥对( n ，e ) 计算 出私钥d 等价于从以分解出因子p 和口 r s a 密钥对的生成： 输入：安全参数l e n g t h 步骤：1 选择两个随机素数p 与口，两者的长度同为l e n g t h 2 ； 2 令n 亍p g ，驴= ( p - - i ) ( 口一1 ) ； 3 选择任意整数e ，满足1 留中且g c d ( e ，毋) = 1 ； 4 计算整数d ，d 满足1 叔中且e d - - - - - 1 ( r o o d 中) 。 输出：r s a 公钥对( 以，e ) 和私钥d 有了r s a 公钥和私钥，就可以进行加密与解密运算了r s a 加密算法基 于以下算式，即对于一切整数m ，都有m 对- m ( m o d n ) 。加密得到的密文 c - m 。m o d n ，解密后的明文肘一c 。m o d n m 。m o d n - m ( m o d 撑) - 拼，其中明 文朋【0 ，捍一1 】r s a 公钥系统的安全性是建立在从密文c 和公钥对( e ，开) 计算明文m 的困难性之上的。这个问题相当于求c 的m o d 忍的p 次方根，被认 为与整数分解一样困难。 华东师范大学硕士学位论文 2 2 2e i g a m a l 公钥系统 1 9 8 4 年，e i g a m a l 提出了离散对数公钥加密和离散对数公钥签名算法f 6 】。 下面将介绍基本e 1 g a m a l 公钥加密算法。 在离散对数体系中，除了密钥对以外，还需要一组公开参数，两者是联系 在一起的。公开参数组有p ，q 和g 三个参数，其中p 是素数，窖是p - - 1 的素 因子，占f 1 ，p 一1 】，占的阶为口，即t = q 是满足g - 1 ( r o o d 力的最小正整数。 私钥x 是从区间【1 。q - 1 c s 随机选择的一个整数，相应的公钥y g m o d p 对于给定的参数组( p ，q ，g ) 和公钥y ，来确定私钥z ，是一个离散对数的问 题。 参数组的生成： 输入：安全参数l e n g t h ，t 步骤：1 选择一个t 位的素数q 和一个l e n g t h 位的素数p ，使得口可以整 除p - - l ； 2 选择一个口阶元素g ； 2 1 任意选择一个 【1 ，p - 1 ，令g j l t ，- t ) 啊m o d p ； 2 2 若g = 1 ，则转到步骤2 1 ； 输出：参数组，霉，g ) 密钥对的生成： 输入：参数组，q ，g ) 步骤：1 私钥x 为区间【1 灯一1 】内的一个随机整数； z 公钥y i l l g 。m o d p 输出：私钥x 和公钥y 发送方利用公钥y 加密明文m ，得到密文c ：- 聊m o d p ，同时把 c a - g m o d p 连同密文白起发给接受方，其中k 是发送方随机选择的整数。 接受方利用私钥 x计算 明文 m - c 2 c ；一( m y m o d p ) ( g hm o d 力- ( m y m o d p ) ( y m o d p ) - m 攻击者若要恢复出明文肼，必须计算出y m o d p ，而根据参数组，口，g ) 公钥y 和c 1 - g m o d p 来计算y m o d p 被称为d i f f i e - - h e u m a n ( d h p ) 闯题， 解d h p 问题被认为与解离散对数问题一样困难。 2 2 3 椭圆曲线公钥系统 离散对数公钥体系也可以抽象到一个有限循环群上，比如椭圆曲线群上。 k o b l i t z 和m i i i c r 在1 9 8 5 年分别提出了利用定义在有限域上的椭圆曲线的点群 来构造离散对数密码体系的方法【9 】。椭圆曲线密码算法( e c c ) 出现时间比r s a 华东师范大学硕士学位论文 短，但是到目前为止它也经受住了对它的攻击。 令p 是一个素数，疋是模p 的有限域。令e 是e 上的椭圆曲线，p 是e ( f ) 上的点，设p 的阶是素数露，则集合 = 一， ，( 矗一1 ) op2 2 n 是由p 生成的椭圆曲线循环子群，n 就是这个集合元素的个数。素数p ，椭 圆曲线方程e ，点p 和阶n 构成公开参数组私钥是在区间【l ，万一1 】内随机选 择的正整数d ，相应的公钥q = d p 由参数组q ，e ，p ，再) 和公钥q 去求解 私钥d 的问题是椭圆曲线离散对数问题( e c d l p ) 麟密钥对的生成： 输入：e c c 参数组( p ，e ，p 露) 步骤：1 在区间【1 ，露一1 】里选择一个随机整数d 作为私钥； 2 公钥0 = a e 输出：私钥d 和公钥q 用椭圆曲线实现加密和解密的运算与e 1 g a m a l 公钥算法比较类似首先把 明文m 表示成椭圆曲线上的一个点m ，然后再加上七q 进行加密，其中七是属 于【l ，万一1 1 的随机整数发送方把密文c 1 一k p 和c 2 - k q + m 发给接受方，接 受方用自己的私钥d 先计算出d c z - d 尸) - k ( d e ) - t q ，接着就可以得到明文 m - c 2 一七q 。攻击者若想要恢复出明文 以则必须计算出七q ，而从参数组， e ，p ，万) ，公钥q 和c i i l lk p 计算k q 是椭圆曲线的d i f f i e - - h e l l m a n 问题。 在大多数应用中，e c c 都不需要密码加速器；只使用整型计算单元它就可 以运行得很好此外，e c c 与r s a 相比，计算更加简单，用较小的密钥就可 以达到和使用较大的r s a 密钥同等水平的安全性 2 3 基于证书的公钥系统 由上述分析的三种具体的公钥系统可知，公钥，私钥对是公钥系统的基础。 公钥公开，私钥保密，这很好地解决了对称加密系统存在的密钥交换问题。但 是，由于公钥是公开的，而且总是被放在容易访问到的地方，攻击者就有机会 用自己的公钥去替换别人的公钥，以此来冒用合法者的身份与其他人通信，窃 取信息这样的替换公钥攻击，仅仅使用公钥，私钥对是无法抵御的，因为拥有 一对公钥私钥并不足以确立一个值得信赖的身份 k o h n f e l d e r 最早提出了使用证书的来确立可信任身份的方案【1 7 】。这个方案 有4 点要求： ( 1 ) 任何人都可以读取证书来确定证书拥有者的姓名和公钥； ( 2 ) 任何人都可以验证证书是来自管理机构，还是伪造的； ( 3 ) 只有管理机构才能制作和更新证书； 华东师范大学硕士学位论文 ( 4 ) 任何人都可以验证证书的时效性 目前应用最广的公开密钥系统是基于证书体系的，满足上述方案的四点要 求。公钥的分配使用证书来实现。证书中包含了用户的m 、公钥、证书的有效 期以及权威机构对该证书的签名。权威机构就是c a ( c e n i 丘c a t c a u t h o r i t y ) ，用 于证书的签发、更新、撤销与验证，在公开密钥系统中起着非常重要的作用。 使用基于证书体系的安全通信过程如下所示： ( 1 ) a 生成一个公钥密钥对； ( 2 ) a 向c a 申请一张证书，里面含有自己的m 与公钥等信息；c a 经过 确认a 的m ，签发这张证书； ( 3 ) a 用自己的私钥加密待传输的数据，然后把证书和加密后的数据一同 传送给b ( 4 ) b 接收到a 的证书后，进行验证，若验证无误，则从证书中提取出 公钥，将加密的数据解密，得到明文 从上述过程可以看出，c a 和证书是通信安全的至关重要的保障。如果 没有c a 和证书，公钥与用户m 就无法有效绑定，那公钥的合法性就值得怀疑 了，攻击者就可以用自己的公钥去替换别人的公钥，胃用合法者的身份c a 必须能够很好地、有效地管理证书。所以，对于基于证书的体系，c a 与证书 既是一种必不可少的保障，也是一种沉重的负担 公钥基础设旌( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) 是一个利用公钥密码学技 术，在开放的i n t e r n e t 网络环境中提供数据加密及数据签名服务的、统一的技术 框架p k i 的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安 全的网络运行环境，使得用户可以在多种应用环境下方便地使用加密和数字签 名技术，保证数据的机密性、完整性和有效性，确保网络安全 一个有效的p k i 系统既是安全的，又是透明的，用户在获得数据加密和签 名服务时，不需要详细了解p k i 是怎么管理证书和密钥的。对于基于证书的体 系，p 的核心就是c a ，c a 管理的证书绑定了用户d 和用户公钥证书可 以同时发布在目录服务器上，方便证书的获取同时对于失效的证书，c a 也 会将其归入证书撤销列表来撤销它 2 4 基于身份的公钥系统 由于基于身份的公钥系统对于c a 依赖性，其应用时有一些不便。例如： 通信双方都要从c a 那边认证公钥，而且每次通信时，一方还要将自己的公钥 传给另一方。这些都减少了网络带宽的利用率，降低了通信的效率，并且由于 增加了认证公钥、交换公钥的环节，给了攻击者更多的可乘之机，无形中也降 华东师范大学硕士学位论文 低了安全性能。 2 a 1 简介 为了摆脱c a 与证书，s h a m i r 在文献1 1 】中提出了基于身份的公钥体系，在 传统的公钥体系中，公钥，私钥是成对生成的，公钥公开，私钥保密在基于身 份的公钥体系中，公钥就是用户的d ，私钥由密钥生成中心p k g ( p r i v a t e k e y c e n t e r ) 生成。因为公钥不需重新计算，所以整个过程中就不需要c a ，而且私 钥也只需生成一次，直到过期 基于身份的体系必须满足以下安全性的要求：依靠p k g 的主密钥可以轻松 计算出m 对应的密钥，而通过i d ( 公钥) ，私钥对却很难反推出p k g 的主密 钥。由于满足上述要求十分困难，所以s h a m i r 只给出了签名体制的具体实现， 并没有给出密码系统的实现。直到2 0 0 2 年，d a nb o n e h 和m a t t h e wf r a n k l i n 才 在【l o 】一文中，运用代数几何中椭圆曲线上的运算，给出了第一个真正意义上 的基于身份的加密体系 基于身份体系的加密过程如下： ( 1 ) s e t u p ：接受正整数k 作为输入，算法如下： 步骤l ：以j i 为参数运行g 前面也说过，参数生成算法有4 个输出，分 别是大素数口，两个口阶群g 1 ，g 2 ，以及映射0 ；g i x g l 一g 2 。 步骤2 ；从g l 选择一个生成元 并随机选择s z 。，令f - s p 步骤3 ：选择正整数捍，定义明文空间m - o 矿和密文空间c - q 。 o 驴 并定义h a s h 函数i ： 0 册一g 1 以及日：g 2 一 o 妒，它们都可以在分析时 被看作随机语言的 。 综合以上信息，最终公布系统参数p a r a m - ( 蠢g 1 ，g ：，a ，以，p ，0 ，风j h ：) ， 主密钥( m a s t e r k e y ) 就是s 厄 ( 2 ) e x t r a c t ：给定m e o , 1 作为输入，算法首先计算q d - h i ( 缈) g l ， 然后计算私钥d = s q m 注意，q m 也是群的生成元，根据s 的取值，私钥也 是在g 1 上随机分布的 ( 3 ) e n c r y p t ：首先，计算q - 日l f f d ) e g l ，然后随机选择，乙，计算 g m - 占，) e g 2 ，c - ( r p mo 日2 ( g d r ) ) ( 4 ) d e c r y p t ：根据c 一帜叼计算m h 2 ( g d ，【厂) ) o 矿 其中，加密的数据可以正常还原，因为 辛( d m ，u ) - 占0 q ，r p ) 占( q 口，p ) 一( q ，s e ) - 舍( q 由，j ：岫) 7 - g 口 可以证明，如果算法g 满足b d h 假设，那么这个方案满足“基于身份的 选择密文安全性”( 啪一m c c a ) 。 从i b e 的加密过程可以看出，加密使用的公钥就是m ，与用户的身份相对 华东师范大学硕士学位论文 应；解密使用的私钥是去p k g 申请而来的，每份私钥均与公钥，也就是用户身 份( m ) 相对应。所以，当a 发送加密信息给b 时，只需用b 的i d b 去加密信 息，然