（应用数学专业论文）pki在ipsecvpn中的设计与实现.pdf

，。 d e s i g na n di m p l e m e n t a t i o n o fp k ii ni p s e c v p n b y z h o uy a n g s u p e r v i s o r ：z h a n gx i a n g d e n o r t h e a s t e r nu n i v e r s i t y 2 0 0 8 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研究成果除加 以标注和致谢的地方外，不包含其他人己经发表或撰写过的研究成果，也不包括本人为 获得其他学位而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论 ， 一 文中作了明确的说明并表示谢意。 学位论文作者签名：固吻 日 期： 加吁1 似 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的规定：即 学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人同意东北大学可以将学位论文的全部或部分内容编入有关数据库进行检索、交 流。 。 学位论文作者签名： 日期： 另外，如作者和导师不同意网上交流，请在下方签名；否则视为同意。 学位论文作者签名： 签字日期： 导师签名： 签字日期： r 、 l | 气 p k i 在i p s e cv p n 中的设计与实现 摘要 随着信息化的发展，信息安全倍发引起人们的关注，作为信息安全的基础p k i ( 公 钥基础设施) 越来越在各个信息领域起到举足轻重的作用，并且很多机构以及科研单位 ，在研究p k i 的应用。本文针对p k i 在网络安全方面的应用进行了研究与设计，提出了一 j - r 些新的观点。 在p k i 的应用方面，本文重点讨论p k i 在网络安全产品v p n 中的应用。本文分为 六个章节，从p k i 的发展开始谈起，介绍性的讨论了p k i 在国际以及国内的发展现状。 然后介绍了p k i 涉及到的信息安全的基础知识一密码学，包括对称密码学、公钥密码 体系、散列函数、数字签名等相关内容。重点介绍了p k i 的基础理论。结合之前介绍的 相关协议与理论，讨论了p k i 在i p s e cv p n 产品中的设计与实现，此项内容作为本文的 重点进行说明。最后对本文进行了总结和展望，讨论了后续p k i 在v p n 产品中设计的 相关内容。 。， 关键词：p k i ( 公钥基础设施) 、密码学、p k i 理论、i p s e cv p n i i i r - 麴哒鲎型翌i 堑选 ：坐地丛 d e s i g na n di m p l e m e n t a t i o no fp k ii ni p s e cv p n a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o n - b a s e d ，i n f o r m a t i o ns e c u r i t yh a sa t t r a c t e d p e o p l e ，s a t t e n t i o n p k i ( f o u n d a t i o nf a c i l i t yo fp u b l i ck e y ) ，a st h eb a s i ci n f o r m a t i o ns e c u r i t y ，p l a y sa l l ， i m p o r t a n tr o l ei nd i f f e r e n ti n f o r m a t i o na r e a sg r a d u a l l y m o r e o v e r ，m a n ys c i e n t i f i ci n s t i t u t i o n s ，广疆 a r ed o m gt h er e s e a r c ho np k i a p p l i c a t i o n i nt e r m so fp k ia p p l i c a t i o no nn e t w o r ks e c u r i t y ， t h i sa r t i c l ec a r r i e do u tr e s e a r c ha n dd e s i g n ，a n da d d r e s s e ds o m e n e wi s s u e s ，一 i nr e s p e c to fp k ia p p l i c a t i o n ，t h i sa r t i c l ef o c u s e so n n e t w o r ks e c u r i t yp r o d u c tv p n t h e a r t i c l el sd i v i d e di n t os i x c h a p t e r st or e p r e s e n tt h ep k ia p p l i c a t i o nr e s p e c t i v e l y , p k i d e v e l o p m e n t , p k is t a t u so ft h en a t i o n a la n di n t e r n a t i o n a l ，r e l a t i v eb a s i ck n o w l e d g eo f i n t o l m a t l o n s e c u r i t y c r y p t o l o g yw h i c hi n c l u d e ss y m m e t r i c a l c r y p t o l o g y ，p u b l i ck e y c r y p t o l o g y , h a s hf u n c t i o n , d i g i t a ls i g n a t u r ee t c t h ea r t i c l em a i n l yi n t r o d u c e st h eb a s i ct l l e o r 、r o fp k i i n t e g r a t i n gt h e p r e v i o u sr e l a t i v ep r o t o c o la n dt h e o r y ，i td i s c u s s e st h ed e s i g na n d i m p l e m e n to fi p s e ev p n p r o d u c tw i t hp k i ，t h i sc o n t e n ta r er e g a r d e da sa ni m p o r t a n ts e c t i o n t on a r r a t e f i n a l l y ，t h ea r t i c l em a k e sas u m m a r ya n dp r o s p e c t s ，m e a n w h i l ed i s c u s s 龇p k i f u t u r e0 1 1v p n p r o d u c td e s i g n k e y w o r d s ：p k i 、c r y p t o l o g y 、p k it h o e r y 、i p s e cv p n v - r 。 r 、 r 气 k 。 ，、 1 2 4中国p k i 标准建设的现状6 1 3 论文的结构和所做的工作7 第二章密码学基础9 2 1 对称密钥密码体制9 2 1 1对称密码的模型9 2 1 2 分组密码和数据加密标准。l o 2 2 公钥密码体制1 0 2 3 散列函数1 1 2 4 数字签名和认证协议13 2 4 1数字签名1 3 2 4 2 认证协议1 3 2 4 3 数字签名标准1 3 第三章p k i 理论15 3 1p k i 的标准与协议l5 3 2p k i 的组件1 6 3 3 证书和认证18 3 4 3 5 第四章 3 3 1 证书l8 3 3 2 认证机构2 0 3 3 3 注册机构2 l 密钥和证书管理2 l 3 4 1密钥证书生命周期管理2 l 证书撤销。2 2 3 5 1周期发布机制。2 2 3 5 2 其他撤销选择2 2 i p s e cv p n 中p k i 的设计。2 3 目录 东北大学硕士学位论文 4 1i p s e cv p n 中p k i 的总体构架2 3 4 1 1 参考标准p k i 模型2 3 4 1 2 针对i p s e cv p n 设计的p k 模型( 包含客户端的设计) 2 4 4 2i p s e cv p n 中p k i 子系统的详细设计2 5 4 2 1p k i 用户系统的设计2 5 4 2 2p 管理系统的设计4 0 第五章i p s e cv p n 中p k i 的实现4 5 5 1i p s e ev p n 中p k i 系统的实现j 4 5 r 、 5 1 1p k i 用户系统的功能实现4 5 5 1 2p k i 管理系统的功能实现5 4 5 2i p s e ev p n 中p k i 系统的开发环境5 9 5 2 1 系统环境介绍5 9 5 2 2 开源软件介绍6 0 5 2 3 开发语言6 1 第六章总结与展望6 3 6 1 论文工作总结6 3 6 2 下阶段工作展望6 3 参考文献6 5 致谢6 9 - 1 1 - 第一章绪论弟一早珀t 匕 1 1 研究的背景和意义 随着信息技术的发展，人类的生活发生了巨大的变化，它正对全球范围内的政治、 经济、文化及社会发展各方面产生重大的影响。一方面，信息技术与政府管理、金融、 公共服务、教育、医疗和传统商务的结合带来一个巨大的新市场；另一方面，信息化在 带来高效率和友好服务的同时，也带来了威胁、风险和责任，网上信息被窃、被篡改、 被破坏的事件时有发生。因此，与人类生存空间类似，网络空间也需要安全。 p k i 作为安全技术和安全服务规范，是利用非对称密码算法原理( 公钥理论) 和第 三方认证技术来实现并提供安全服务的具有通用性的安全服务设施。用户可以利用p k i 平台提供的安全服务进行安全通信。采用基于公钥密码技术构建的公钥基础设施( p k i ) 是目前公认的解决大规模、分布式开放网络环境下信息安全问题最可行、最有效的办法。 数字证书是p k i 的核心，它就象“身份证 一样时刻伴随在电子商务过程。p k i 建立在 统一的标准和规范基础之上，为网络应用提供实体认证、数据的保密性、数据的完整性 和交易的不可否认性( 抗抵赖) 等安全服务，因而是信息安全的关键技术。作为一项基 础设施，p k i 还包括组织管理、法律法规等方面的问题，是一个宏观体系。在理论上， 需要密码学算法和认证协议的支持；在技术上，需要制定相关的标准，如证书及数字签 名的格式、各实体间的通信协议，以保证p k i 的互操作；在管理上，需要对各参与方的 各种活动进行规范，以保证p k i 的正常运作与运营；在法律上，要对电子签名赋予法律 效力，对各参与方的责任、义务进行分配，为p k i 的实施提供法律上的保障。可见，p k i 的部署与实施是个系统工程，需要社会各方包括学术界、工业界、法律界以及政府部门 的共同努力。不难看出；建立以p k i 为基础的安全解决方案，i n t r a n e t 上开展无纸办公等 内部业务，还是对于开展电子商务、网络银行等基于i n t e m e t 的商业应用，都是一种好 的选择。 本课题的研究内容来自东软网络安全事业部n e t e y ef i r e w a l l4 0v p n 功能增强项目： 证书子系统的设计、后续简易c a 的支持。 本文作者从2 0 0 6 年8 月到2 0 0 7 年1 2 月，在东软网络安全事业部参与该项目的研发， 在该项目中作为主要研发人员，独立完成详细设计与编码实现，并参与了项目在n o k i a f i r e w a l l 中的实施。 1 、个人承担本课题的主要任务有： 在i p s e ev p n 中证书支持子模块的详细设计和编码，包括内容：l 、证书命令行2 、 证书请求接口3 、证书上载接口4 、证书请求信息接口5 、证书信息接口6 、证书吊销列 表信息接口 2 、o c s p 客户端的调研与实现 3 、c a 服务器的设计与功能的调研与实现 4 、v p n 手册等相关文档的编写 第一章绪论 东北大学硕士学位论文 1 2p 发展现状 1 2 1 亚洲p k i 发展现状 中国台北： 1 9 9 7 年3 月开始实施电子政务计划 政府服务网是电子政务的基础设施载体 1 9 9 8 年2 月建立的政府c a 标志着中国台北e g o v p k i 的开始 截至2 0 0 2 年5 月2 1 日，发放证书3 7 2 ，9 5 8 张 2 0 0 2 年4 月颁布：电子签名法 e g 0 v p k i 的结构 m o i ：内务部，m o e a ：经济事务部 各个c a 的角色： g r c a ：对每个从属c a 签发c a 证书 g c a ：对所有的e g o v 机构签发证书 m o ic a ：对所有的公民签发证书 m o e ac a 对所有的工业和商业组织签发证书 基于p k i 的e 。g o v 服务例子 网上税收申报系统，电子交通调度系统，电子公文交换系统，安全电子货币交 换系统，政府电子采购系统，时间戳服务，抗抵赖服务，远程账单查询服务 p k i 在金融行业的应用 电子银行 最近几年多数银行都开通了电子银行 p k i 用于大量资金的转账 股票经纪业务 查i 垦盘芏巫鲎垡逾童：一j 簦= 主坐 规定通过互联网作股票经纪业务时要实用数字签名 中国台北的p k i 建设体系 商业c a s 商 商业p k l 日本： 日本的g p k i 结构 c o m m e r c e 日本p k i 的法律架构 3 - 堑二主竺笙 一 、 东北大学硕士学位论文 ： ：= ： 商、监函素 应用因素 p k i 的互操作实验 日本p k i 结构与活动之间的关系 c a 与c a 之间的互操作 - 技术函素 一搡佟因素 e e 1 2 2 美国p k i 发展现状 f p k i 体系 模式： 桥接c a 模式的联邦p k i ( f p k i ) 体系 核心组成： 4 c a j n 警 e e e e 与e e 之间的互操作 - 技术因素 - 操佟因紊 壅! 垦盘茎巫鲎焦逢垂笠= 童缱迨 由c a 、r a 、p m a 和c s r 组成 f p k i 的用途： 支持信息资源的安全共享 为政府部门和其他组织使用数字证书技术实现信息系统安全、安全电子商务、 安全通信等活动提供设施、规划和政策。 不仅用于联邦政府和机关之间的安全通信和商务活动，同时也支持州政府、地 方政府、商业界和大众的安全通信和商务。 f p k i 信任树层次 策略批准机构( p a a ) ：这是联邦p k i 的根节点。p a a 批准二级节点的安全策 略； 策略产生机构( p c a ) ：也叫策略认证机构，这是联邦p k i 的二级节点，定义 下级产生公钥证书的节点的安全策略； 认证机构( c a ) ：这是联邦p k i 的三级节点，依据p c a 定义的安全策略，为下 级用户( 可能是下级c a ) 签发和维护数字证书、c r l 结构等； 用户：数字证书、相应私有密钥的持有者。用户利用数字证书和私有密钥进行 数据的保护、身份鉴别等安全行为。 p p a 、p c a 和c a 组成证书管理机构( c m a ) 。 桥c a 联邦桥c a 用于实现代理c a 之间的交叉认证 其不是信任锚( 根信任起点) ，仅对代理c a 提供认证 代理c a 负责为终端设备提供认证功能 1 2 3欧洲p 发展现状 欧洲： 1 9 9 7 年4 月，欧盟发表了“欧洲电子商务的主导权 报告，随后成立了e e s s i 组织。负责同e s t i 合作开发欧洲电子签名技术标准。 欧洲已经通过g s n 类的协议规范，建立电子签名标准化等。 欧盟1 5 国2 0 0 1 年6 月开始使用数字签名法 欧洲的p k i 基础建设 欧洲在p k i 基础建设方面致力相当多心血，尤其针对b 2 b 交易。 颁发了9 3 1 9 9 9e c 法规，强调技术中立、隐私权保护、国内与国外相互认证以 及无歧视等原则。 欧洲e u r o p k i 第一章绪论 东北大学硕士学位论文 目标：解决各国p k i 之间的协同工作 策略： 积极资助相关研究院所、大学和企业研究p k i 相关技术 资助p k i 互操作行相关技术研究 并建立c a 网络及其顶级c a 欧洲c a 网络中的c a e u r o p 顶级c a 欧洲企业信息化发起委员会( e e t i c ) c a 意大利c a 丹麦c a 西班牙c a 斯洛文尼亚c a 挪威c a 英国c a 爱尔兰c a 奥地利c a 欧洲桥c a 2 0 0 0 年l o 月：成立欧洲桥c a 指导委员会 2 0 0 1 年3 月2 3 日：欧洲桥c a 正式成立 1 2 4中国p k i 标准建设的现状 信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重 要依据。从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准往往成 为保护国家利益、促进产业发展的一种重要手段。 1 9 8 4 年7 月建了数据加密技术委员会。 1 9 9 7 年8 月改组成为全国信息技术标准化委员会的信息安全技术分委会。 公安部、安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息 安全的行业标准。 截至2 0 0 2 年初，我国正式颁布的信息安全相关国家标准已达4 0 多项。 2 0 0 2 年4 月1 5 日全国信息安全标准化技术委员会在北京正式成立。该技术委员会 的成立着我国信息安全标准化工作，步入了“统一领导、协调发展 的新时期。 全国信息安全标准化技术委员会下设工作组 信息安全标准体系与协调工作组( w g l ) ：研究信息安全标准体系；跟踪国际信息 安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目 及设立新工作组的建议；协调各工作组项目。 密码算法与密码模块k m i 工作组v p n 工作组( w g 3 ) 信息安全评估工作组( w g 5 ) ：调研国内外测评标准现状与发展趋势；研究提出我 国统- - n 评标准体系的思路和框架；研究提出信息系统和网络的安全测评标准思路和框 架；研究提出急需的测评标准项目和制定计划。 信息安全管理工作组( w g 7 ) ：信息安全管理标准体系的研究；国内急用的标准调 研；完成一批信息安全管理相关基础性标准的制定工作。 p k i p k i 工作组( w g 4 ) 国内外p k i p m i 标准体系的分析；研究p k i p m i 标准体系；国内急用的标准调 研；完成一批p k i p m i 基础性标准的制定工作。 w g 4 工作组成立和开展工作 2 0 0 2 年7 月2 6 日，全国信息安全标准化技术委员会w g 4 ( p k i p m i ) 工作组第 一次会议在北京召开。冯登国任组长，吴亚非和袁文恭任副组长。 w g 4 小组第次全体会议 ， 讨论修改了w g 4 工作组工作章程 技术讨论和具体分工 研究了p k i p m i 工作组明年工作计划与三年规划 确定了工作组下半年的工作规划和工作重点 确定制订的标准和具体分工 国家标准( x 5 0 9v 4 n 3 ) 的转化工作和信息安全有关专用术语 国内外p k i p m i 标准现状的分析 p p m i 标准体系 基于x 5 0 9 的国内证书x 5 0 9c 证书格式规范 p k i 组建最小互操作规范 x 5 0 9 在线证书状态查询协议 x 5 0 9 cp k i 证书管理协议 参加行业标准的制订 p 系统安全保护等级评估准则 p 系统安全保护等级技术要求 1 3 论文的结构和所做的工作 本文针对p k i 在i p s e cv p n 中的应用进行了研究，论文的结构如下： 第一章绪论。简述了论文中的研究对象、研究目的和所完成的工作等基本情况。 第二章密码学基础。介绍了p k i 中涉及到的密码学的基本知识对称密码学，公 钥密码学，散列函数，数字签名等。 7 - 第一章绪论 东北大学硕士学位论文 第三章p k i 理论。概述了p k i 系统的组成、信任模型与p k i 系统能够提供的服务。 总结了评价p k i 方案的原则，并列出了p k i 的有关标准。 第四章i p s e cv p n 中p k i 的设计。简述了标准p k i 的模型，并针对i p s e ev p n 系 统提出自己模型。设计模型框架、函数接口、命令行调用等。 第五章i p s e ev p n 中p k i 的实现。详细叙述了p k i 系统实现的细节，包括功能实 现、开发环境、编程语言等。 第六章总结与展望。介绍了本系统的一些不足，并给出了下一阶段需要完成的工作。 垒a ! 盘堂塑茎焦逢塞笠三童窒璺鲎塾丝 第二章密码学基础 2 1 对称密钥密码体制 2 1 1 对称密码的模型 对称密码方案有5 个基本成分： 明文：原始可理解的消息或数据，作为算法的输入。 加密算法：加密算法对明文进行各种代换和变换。 密钥：密钥也是加密算法的输入。密钥独立于明文和算法。算法根据所用的特定密 钥而产生不同的输出。算法所用的代换和变换也依靠密钥。 密文：作为算法的输出，看起来是完全随机而杂乱的消息。它依赖于明文和密钥。 对于给定的消息，不同的密钥产生不同的密文，密文是数据的随机流，并且其意义是不 可理解的。 解密算法：本质上是加密算法的逆运行。输入密文和密钥，输出原始明文。 传统密码的安全使用要满足如下两个要求： 加密算法必须是足够强的。至少，我们希望这个算法在对手知道它并且能够得到一 个或者多个密文时也不能破译密文或计算出密钥。这个要求通常用一种更强的形式表述 为：即使对手拥有一定数量的密文和产生每个密文和明文，他也不能破译密文或发现密 钥。 发送者和接收者必须在某种安全的形式下获得密钥并且必须保证密钥安全。如果有 人发现该密钥，而且知道响应的算法，那么就能读出使用该密钥加密的所有通信。 密码编码学 密码编码学系统具有以下三个独立的特征： 1 、转换明文为密文的运算类型：所有的加密算法都基于两个原理：代换和置换，代 换是将明文中的每个元素( 如位、字母、位组或字组等) 映射成另一个元素；置 换是将明文中的元素重新排列。上述运算的基本要求是不允许有信息丢失( 即所 有的运算是可逆的) 。大多数密码体制，也称为乘积密码系统，都使用了多层代 换和置换。 第二章密码学基础东北大学硕士学位论文 2 、所用的密钥数：如果发送方和接收方使用相同的密钥，这种密码就称为对称密码、 单密钥密码、秘密钥密码或传统密码。如果收发双方使用不同的密钥，这种密码 就称为非对称密码、双钥或公钥密码。 3 、处理明文的方法：分组密码每次处理输入的一组元素，相应地输出一组元素。流 密码则是连续地处理输入元素，每次输出一个元素。 密码分析学 攻击密码体制的典型目标是恢复使用的密钥，而不是仅仅恢复出单个密文对应 的明文。攻击传统的密钥体制有两种一般的方法： 密码分析学：密码分析学攻击依赖于算法的性质和明文的一般特征或某些明密 文对。这种形式的攻击企图利用算法的特征来推导出特别的明文或使用的密钥。 穷举攻击：攻击者对一条密文尝试所有可能的密钥，直到把它转换为可读的有 意义的明文。平均而言，获得成功至少要尝试所有可能密钥的一半。 2 1 2 分组密码和数据加密标准 流密码与分组密码 流密码每次加密数据流的一位或一个字节。古典流密码的例子有密钥自动产生的 v i g e n e r e 密码和v e m a m 密码。分组密码是将一个明文组作为整体加密并且通常得到的 是与之等长的密文组。典型的分组大小是6 4 位或1 2 8 位。 数据加密标准 使用最广泛的加密体制是数据加密标准( d e s ) ，它于1 9 7 7 年被美国国家标准局采 纳为联邦信息处理4 6 ( f i p sp u b4 6 ) 。这个算法本身指的是数据加密算法( d e a ) 。 d e s 采用了6 4 位的分组长度和5 6 位的密钥长度。他将6 4 位的输入经过一系列变换得 到6 4 位的输出。解密则使用了相同的步骤和相同的密钥。 2 2 公钥密码体制 公钥密码学与r s a r s a 算法是在1 9 7 8 年，由美国麻省理工学院( m r r ) 的r o nr i v e s t ， a d is h a m i r 和 l e o n a r da d l e m a n 在题为获得数字签名和公开钥密码系统的方法的论文中提出的。它 是一个基于数论的非对称密码体制，是一种分组密码体制。其名称来自于三个发明者的 姓名首字母。它的安全性是基于大整数因数分解的困难性，而大整数因数分解问题是数 学上的著名难题，至今没有有效的方法予以解决，因此可以确保r s a 算法的安全性。 r s a 算法是公钥算法的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签 名的产品和标准使用的都是r s a 算法。 r s a 算法是第一个既能用于数据加密也能用于数字签名的算法，因此它为公用网络 _ 1 0 垄i ! 盘鲎塑圭茎焦途塞 筮三童窒璺鲎塞熊 ” 上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一对r s a 密钥，其中之 一是保密密钥，由用户保存；另一个为公开密钥，可对外公开，甚至可在网络服务器中 注册，人们用公钥加密文件发送给个人，个人就可以用私钥解密接受。为提高保密强度， r s a 密钥至少为6 0 0 位长，一般推荐使用1 0 2 4 位。 算法原理 1 、密钥生成 ( i ) 生成两个大的质数( 素数) p 和q ( 2 ) n - p + q ( 3 ) m o - 1 ) 幸( q - 1 ) ( 4 ) 生成较小的数e ，使e 与m 互质 ( 5 ) 生成d ，使d * e m = l 至此公钥为e 和n ，私钥为d 和n 。至于p ，q ，m 马上丢弃 2 、加密过程 产生密文c 的公式为： e = p e n ( 即p 的e 次方除以n 求余) 可见加密是用公钥进行的，加密只牵涉到明文和公钥。至此可以把密文传出去了， 这样就是被截获也搞不懂原文是什么。 3 、解密过程 收到密文c 后产生明文( 解密) p 的公式为： p = e k 1 n ( 即c 的d 次方除以n 求余) 可见解密只牵涉到私钥和密文。因此从整个过程来看，只要你保管好私钥，不泄密， 可以放心的把密文和公钥公开。 2 3 散列函数 h a s h 函数简介 h a s h ，一般翻译做”散列”，也有直接音译为”哈希”的，就是把任意长度的输入( 又 叫做预映射，p r e i m a g e ) ，通过散列算法，变换成固定长度的输出，该输出就是散列 值。这种转换是种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的 输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。 数学表述为：h = h ( 旧，其中h ( ) 一单向散列函数，m 一任意长度明文，h 一固定 长度散列值。 d a m g a r d 和m e r k l e 定义了所谓“压缩函数( c o m p r e s s i o nf u n c t i o n ) ，就是将一个固 定长度输入，变换成较短的固定长度的输出，这对密码学实践上h a s h 函数的设计产生 了很大的影响。h a s h 函数就是被设计为基于通过特定压缩函数的不断重复“压缩 输入 第二章密码学基础 东北大学硕士学位论文 的分组和前一次压缩处理的结果的过程，直到整个消息都被压缩完毕，最后的输出作为 整个消息的散列值。尽管还缺乏严格的证明，但绝大多数业界的研究者都同意，如果压 缩函数是安全的，那么以上述形式散列任意长度的消息也将是安全的。 m d 5 和s h a l 可以说是目前应用最广泛的h a s h 算法，且它们都是以m d 4 为基 础设计的。 认证函数 可以用来产生认证符的函数分为如下三类： 消息加密：整个消息的密文作为认证符、 消息认证码( m a c ) ：它是消息和密钥的函数。它产生定长的值，以该值作为认证 符。 散列函数：它是将任意长的信息的消息映射为定长的散列值的函数，以该散列值作 为认证符。 消息认证码 消息认证码，又称m a c ，也是一种认证技术，它利用密钥来生成一个固定长度的 短数据块，并将该数据块附加在消息之后。在这种方法中假定通信双方，比如a 和b ， 共享密钥k 。若a 向b 发送消息时，则计算m a c ，它是消息和密钥的函数，即m a c = c ( k ，m ) ，其中： m 一输入消息 c - m a c 函数 ， k 一共享的密钥 m a c 消息认证码 消息和m a c 一起被送发给接收方。接收方对收发的消息用相同的密钥进行相同的 计算得出新的m a c ，并将接收到的m a c 与其计算出的m a c 进行比较，如果我们假定 只有收发双方知道该密钥，那么接收到的m a c 与计算得出的m a c 相等，则： 1 、接收方可以相信消息未被修改。 2 、接收方可以相信消息来自真正的发送方。 如果消息中含有序列号，那么接收方可以相信消息顺序是正确的，因为攻击者无法 成功地修改序列号。 散列函数 单向散列函数( h a s h ) 函数是消息认证码的一种变形。和消息认证码一样，散列函 数的输入是可变大小的消息m ，输出是固定大小的散列码h ( m ) 。与m a c 不同的是， 散列码并不使用密钥，它仅是输入消息的函数。散列码有时也称为消息摘要，或散列值。 散列码是所有信息位的函数，它具有错误检测能力，即改变消息的任何一位或多位，都 会导致散列码的错误。 1 2 壅a ! 盘兰亟芏焦坌塞 笠三童窒璺茎壑壁 2 4 数字签名和认证协议 2 4 1 数字签名 数字签名是公钥密码学发展过程中最重要的概念之一，它可以提供其他方法难以实 现的安全性。 对数字签名的要求 消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方自身 发生的攻击，这种攻击可以有多种形式。 在收发双方不能完全信任的情况下，就需要除认证之外的其他方法来解决这些问题。 数字签名是解决这个问题的最好方法，它的作用相当于手写签名。数字签名必须具有下 列特征： 它必须能验证签名者、签名日期和时间 它必须能认证被签的消息内容 签名应能由第三方仲裁，以解决争执 因此，数字签名具有认证功能。 2 4 2 认证协议 相互认证 相互认证是一个重要的应用领域，相互认证协议可以使通信双方确信对方的身份并 交换会话密钥。 保密性和及时性是认证的密钥交换中两个重要的问题。为防止假冒和会话密钥的泄 漏，用户标识和会话密钥这样的重要信息必须以密文的形式传送，这就需要事先已有能 用于这一目的密钥或公钥。因为可能存在消息重放，所以及时性非常重要。 2 4 3 数字签名标准 美国国家标准与技术协会( n i s t ) 发布的联邦信息处理标准f i p s1 8 6 ，称为数字签 名标准( d s s ) 。d s s 使用安全散列算法( s h a ) ，给出了一种新的数字签名方法，即 数字签名算法( d s a ) 。d s s 最初提出于1 9 9 1 年，1 9 9 3 年根据公众对于其安全性的反 馈意见进行了一些修改。1 9 9 6 年又稍做修改。2 0 0 0 年发布了该标准的扩充版，即f i p s 1 8 6 2 该最新版本还包括基于r s a 和椭圆曲线密码的数字签名算法。 1 3 壅! ! 盘堂塑鲎焦逾塞 ： 笠三童至! ! 墨途 第三章p k i 理论 3 1p k i 的标准与协议 x 5 0 9 ( 1 9 9 3 ) 信息技术之开放系统互联 x 5 0 9 是由国际电信联盟( i t u t ) 制定的数字证书标准。在x 5 0 0 确保用户名称惟 一性的基础上，x 5 0 9 为x 5 0 0 用户名称提供了通信实体的鉴别机制，并规定了实体鉴 别过程中广泛适用的证书语法和数据接口。 x 5 0 9 的最初版本公布于1 9 8 8 年。x 5 0 9 证书由用户公共密钥和用户标识符组成。 此外还包括版本号、证书序列号、c a 标识符、签名算法标识、签发者名称、证书有效 期等信息。这一标准的最新版本是x 5 0 9v 3 ，它定义了包含扩展信息的数字证书。该版 数字证书提供了一个扩展信息字段，用来提供更多的灵活性及特殊应用环境下所需的信 息传送。 p k c s 系列标准 ， p k c s 是由美国r s a 数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中 包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的 格式等方面的一系列相关协议。到1 9 9 9 年底，p k c s 已经公布了以下标准： p k c s # 1 ：定义r s a 公开密钥算法加密和签名机制，主要用于组织p k c s # 7 中所描 述的数字签名和数字信封。 p k c s # 3 ：定义d i f f i e h e l l m a n 密钥交换协议。 p k c s # 5 ：描述一种利用从口令派生出来的安全密钥加密字符串的方法。使用m d 2 或m d 5 从口令中派生密钥，并采用d e s c b c 模式加密。主要用于加密从一个计算机 传送到另一个计算机的私人密钥，不能用于加密消息。 p k c s # 6 ：描述了公钥证书的标准语法，主要描述x 5 0 9 证书的扩展格式。 p k c s # 7 ：定义一种通用的消息语法，包括数字签名和加密等用于增强的加密机制， p k c s # 7 与p e m 兼容，所以不需其他密码操作，就可以将加密的消息转换成p e m 消息。 p k c s # 8 ：描述私有密钥信息格式，该信息包括公开密钥算法的私有密钥以及可选 的属性集等。 p k c s # 9 ：定义一些用于p k c s # 6 证书扩展、p k c s # 7 数字签名和p k c s # 8 私钥加密 信息的属性类型。 p k c s # 1 0 ：描述证书请求语法。 p k c s # 1 l ：称为c y p t o k i ，定义了一套独立于技术的程序设计接口，用于智能卡和 p c m c i a 卡之类的加密设备。 p k c s # 1 2 ：描述个人信息交换语法标准。描述了将用户公钥、私钥、证书和其他相 关信息打包的语法。 p k c s # 1 3 ：椭圆曲线密码体制标准。 _ 1 5 第三章p k i 理论东北大学硕士学位论文 p k c s # 1 4 ：伪随机数生成标准。 p k c s # 1 5 - 密码令牌信息格式标准。 o c s p 在线证书状态协议 o c s p ( o n l i n ec e r t i f i c a t es t a t u sp r o t o c 0 1 ) 是i e t f 颁布的用于检查数字证书在某一交 易时刻是否仍然有效的标准。该标准提供给p k i 用户一条方便快捷的数字证书状态查询 通道，使p k i 体系能够更有效、更安全地在各个领域中被广泛应用。 l d a p 轻量级目录访问协议 l d a p 规范( r f c l 4 8 7 ) 简化了笨重的x 5 0 0 目录访问协议，并且在功能性、数据表 示、编码和传输方面都进行了相应的修改。1 9 9 7 年，l d a p 第3 版本成为互联网标准。 目前，l d a pv 3 已经在p k i 体系中被广泛应用于证书信息发布、c r l 信息发布、c a 政 策以及与信息发布相关的各个方面。 3 2p k i 的组件 认证机构 公钥密码学技术的基本前提是两个陌生人能够安全地通信。例如，当g e o r g e 想发送 机密信息给l i s a 时( g e o r g e 和l i s a 在此之前从来未见过面) ，他将设法获得l i s a 的一 个公钥，然后用l i s a 的公钥加密后，传送给l i s a 。由于用户可能成千上万，实体数以百 计，获得公钥最为实际的方法是指定数目相对较少的权威实体，这种权威对很大一部分 人( n - - i 能是全体用户) 是可信的。权威将公钥对和身份捆绑起来。这样的权威在p k i 术 语中称为。认证机构 ( c a s ) 。他们通过对一个包含身份信息和相应公钥的数据结构 进行数字签名来捆绑用户的公钥身份。 尽管c a 不是每个可想象得到的p k i 的必须部分( 特别是范围有限并且相对封闭的 环境中，用户可以作为自己的权威机构) ，但c a 是很多大规模p k i 的关键组成部分， 是我们扩展后p k i 定义的一部分。 证书库 证书机构颁发了一个证书来捆绑用户的身份和公钥，必须使用某种稳定可靠的、规 模可扩充的在线资料库系统，这就是证书库p k i 系统的一个组成部分。 证书撤销 c a 签发证书来捆绑用户的身份和公钥。可是在实现环境中，必须存在一种机制来 撤销这种认可。通常的原因包括用户身份的改变或私钥遭到破坏，所以必存在一种方法 警告其他用户不要再使用这个公钥。在p k i 中这种告警机制被称为证书撤销。 密钥备份和恢复 在任何可操作的p k i 环境中，每个固定的周期内( 例如，每月或每年) 都会有一部 一1 6 一 壅j ! 盘茎塑鲎焦迨耋 箜三童k ! 堡途 分用户丢失他们的私钥。这可能是由于很多原因所致，这些原因包括： 1 、遗失口令( 虽然用户的加密私钥物理上存在，但实际上已经不可使用) 。 2 、媒介的破坏( 例如硬盘或智能卡遭到破坏) 。 在很多环境下( 特别是企业环境下) ，由于丢失密钥造成被保护数据的丢失是完全 不可接受的。在某项业务中的重要文件被对称密钥加密，而对称密钥又被某个用户的公 钥加密。假如相应的私钥丢失，这些文件将无法恢复，可能会对这次业务造成严重伤害 甚至停止。 自动密钥更新 一个证书的有效期是有限的，这既可能是理论上的原因，诸如关于当前非对称算法 和密钥长度进行分析的只是现状，也可能是基于实际估计的因素，很多p k i 环境中，一 个已颁发的证书需要有“过期 ，以便更新的证书，这个过程被称为“密钥更新或证书 更新”。 密钥历史档案 密钥更新的概念，意味着经过一段时间，每个用户都会拥有多个“旧 证书和至少 。 一个“当前 的证书，这一系列证书和相应的私钥组成用户的密钥历史档案。记录整个 密钥历史是十分重要的。因为用户5 年前加密的数据无法用现在的私钥解密。用户需要 从他的密钥历史档案中找到正确的解密密钥来解密数据。类似的，需要从密钥历史档案 中找到合适的证书验证用户5 年前的签名。 类似于密钥更新，管理密钥历史档案也应当由p k i 自动完成。在系统中，需要用户 自己查找正确的私钥或用每个密钥去尝试解密数据，这对用户来说是无法容忍的。p i e d。 必须保存保存所有密钥，以便正确地备份和恢复密钥，查找正确的密钥以便解密数据。 交叉认证 一个管理全