第10章密码技术应用

第1章密码学概述 第2章古典密码技术 第3章分组密码第4章公钥密码体制第5章散列函数与消息鉴别第6章数字签名技术第7章密钥管理技术第8章身份鉴别技术第9章序列密码第10章密码技术应用附录课程主要内容第10章密码技术应用本章主要内容网络通信的数据加密方式

PGP技术及应用

Kerberos身份鉴别系统安全电子交易SET

公钥基础设施PKI

PKI的定义

PKI提供的服务和应用

PKI的构成、PKI标准PKI的信任模型

PKI的运行模型PKI产品简介第10章密码技术应用10.1网络通信的数据加密方式

在网络通信中，数据加密方式主要有链路加密和端对端加密两种方式。10.1.1链路加密链路加密是指每个易受攻击的链路（两个相邻节点之间的通信线路）两端都使用加密设备进行加密，图10.1是这种加密方式的原理示意图。第10章密码技术应用10.1.2端－端加密所谓端－端加密是指在信源端系统内对数据进行加密，而对应的解密仅仅发生在信宿端系统内。也就是说，端－端加密是对两个端用户之间的信息提供无缝的加密保护，而信息对其传送中间的各个节点来说都是保密的。端－端加密原理如图10.2所示。第10章密码技术应用链路加密和端－端加密各有其优缺点。为提高安全性，可将两种加密方式结合起来使用。如图10.3所示第10章密码技术应用10.2PGP技术及应用10.2.1概述电子邮件是现代信息社会里最常用的一种网络通信应用，PGP（PrettyGoodPrivacy）作为广泛使用的保障电子邮件安全的技术之一，可为电子邮件系统和文件存储应用过程提供机密性和鉴别服务。PGP最初是由美国的菲利普·齐默尔曼（PhilipZimmermann）针对电子邮件在Internet上通信的安全问题，在1991年提出并设计的一种混合密码系统，广泛用于加密重要电子邮件和文件，或者为重要电子邮件和文件进行数字签名。PGP既是一个电子邮件加密的标准，同时也有相应的电子邮件加密软件，并能够很好地嵌入电子邮件客户端软件，PGP的发展非常迅速，已得到广泛的应用。第10章密码技术应用10.2.2运行方式和服务

PGP主要提供五种服务：鉴别、机密性、压缩、电子邮件的兼容性、分段。表10.1是这五种服务的总结。其中CAST-128是加拿大的CarlisleAdams和StaffordTavare设计的分组密码。该算法具有传统Feistel网络结构，采用16轮迭代，明文分组长度为64位，密钥长以8位为增量，从40位到128位可变。第10章密码技术应用1.鉴别服务图10.4表示PGP中通过数字签名提供鉴别服务的过程,分为五步：（1）发送方A产生消息M；（2）用散列算法SHA-1产生160位长的消息摘要H(M）；（3）发送方A用自己的私钥SKa按RSA算法对H(M)进行加密运算，并将加密运算结果EPSKa[H(M)]与M连接在一起，经ZIP算法压缩后发送；（4）接收方B对得到的消息进行解压缩，然后用发送方A的公钥PKa对消息的摘要部分EPSKa[H(M)]进行解密运算得到H(M)；（5）接收方B对收到的M重新计算消息摘要，并与（4）中得到的H(M)比较，如果一致，则认为M是真实的。第10章密码技术应用2.机密性服务PGP可利用加密算法提供机密性服务，如图10.5所示。（1）发方产生消息M及一次性会话密钥Ks。（2）用密钥Ks，按CAST-128（或者IDEA、3DES）对ZIP压缩后的消息M进行加密。（3）用接收方的公钥PKb按RSA算法加密一次性会话密钥Ks，并将结果和上一步的加密结果连接起来一起发往接收方。（4）接收方用自己的私钥SKb按RSA算法解密得到一次性会话密钥Ks。（5）接收方用（4）得到一次性会话密钥Ks解密，并解压缩得到消息M。第10章密码技术应用3.机密性与鉴别服务对同一消息M同时提供机密性和鉴别性服务，可使用图10.6的方式。发送方首先用自己的私钥SKa对消息的摘要进行数字签名，将明文消息和签名连接在一起，并使用ZIP算法对其进行压缩，然后再使用一次性会话密钥Ks按CAST-128（或IDEA或3DES）对压缩结果进行加密，同时用接收方的公钥PKb按RSA算法对会话密钥Ks进行加密，最后将两个加密结果一同发往接收方。第10章密码技术应用4.压缩压缩是指无失真、可完全恢复的数据压缩处理，它的目的是为了节省通信时间和存储空间，图10.4－10.6中Z表示ZIP压缩算法，Z-1表示ZIP的解压算法。对消息压缩后再进行加密可加强其加密的安全性，PGP压缩运算的位置设计在消息的数字签名之后、加密之前。5.电子邮件的兼容性PGP在如图10.4－10.6所示的三种服务中，传输的消息都包含有被加密的部分，加密后的这些部分由任意的8位二进制流组成。然而许多电子邮件系统只允许使用ASCII文本，为此PGP提供了Base64编码转换，将8位二进制流转换为可打印的ASCII字符串。PGP处理过程的Base64编码转换的一个显著特点是将输入消息流转换为Base64格式具有“盲目性”，即不管输入变换的消息内容是不是ASCII文件，都将变换为Base64格式。作为一种配置选择，PGP还可以只将消息的数字签名部分转换为Base64格式，从而使得接收方不使用PGP就可以阅读消息，当然，对数字签名的验证仍然需要使用PGP。第10章密码技术应用5.电子邮件的兼容性（续）PGP中消息的发送方和接收方对消息的处理过程如图10.7。第10章密码技术应用5.电子邮件的兼容性（续）发送方首先对消息的散列值进行数字签名（如果需要的话），然后再对明文消息及其签名使用压缩函数进行压缩（如果要求机密性，则用一次性会话密钥Ks加密压缩结果）。再经Base64编码变换成为Base64格式。接收方首先将接收到的结果进行Base64解码，得到原本的8位位串，然后，如果消息是密文，则用接收方的私钥SKb恢复一次性会话密钥Ks，再由一次性会话密钥Ks恢复加密的消息，并对之解压缩得到明文消息。解密后的消息存放有三种方式：（1）以解密的形式存储，不附数字签名。（2）以解密的形式存储，附有数字签名（当传递需要时，也可提供对消息完整性的保护）。（3）为机密性保护需要，以加密形式存储。6.分段与重组电子邮件通常都对能够传输的最大的消息长度有所限制，在发送方，如果消息长度大于最大长度，PGP会将消息自动分为若干消息子段并分别发送。而在接收方，PGP会首先去掉电子邮件的首部，再将各消息子段拼接在一起，重新装配成原来的消息，然后执行后续的操作。

第10章密码技术应用10.2.3密钥和密钥环密钥是PGP中的重要概念。如表10.2所示：PGP所用的密钥有四类：分组加密算法所用的一次性会话密钥、基于口令短语的密钥、公钥加密算法所用的公钥和私钥。PGP必须满足以下三个要求：（1）能够产生不可预测的会话密钥。（2）允许多个用户拥有多个公-私钥对，这将使得用户和他的密钥对不存在一一对应的关系，因此必须对密钥进行标识。（3）PGP的每一个实体必须维护自己的公-私钥对文件，以及保存有全部潜在通信方公钥的公钥列表文件。

第10章密码技术应用1.PGP的会话密钥用户每次执行PGP，都将会产生一个不同的会话密钥。这样不管用户将相同消息加密给相同的接收方多少次，都难以看到两个完全相同的输出。会话密钥的生成方法基于ANSIX9.17标准所描述的伪随机数生成算法，下面以IDEA会话密钥生成为例介绍该伪随机数生成器的基本原理。如图10.8所示，DTi：第i个生成阶段开始的日期/时间值

Vi：第i个生成阶段开始的种子值Ri：第i个生成阶段产生的伪随机数ki：第i个生成阶段的IDEA密钥第10章密码技术应用2.密钥标识符PGP中允许接收方拥有多个公-私钥对，而且事实上通常用户也的确拥有多个公-私钥对，那么接收方怎么知道会话密钥是用他的哪个公钥加密的呢?有两种可以解决此问题的办法：一种办法是发送方将所用接收方的公钥与报文一起发送，接收方确认是自己的公钥后，再进一步处理。这种方法的缺点是对资源的浪费太多，因为RSA的公钥长度可达数百位十进制数。另一种办法是对每一个用户的每一个公钥都指定一个唯一的标识符，称为密钥ID，发送方使用接收方的哪一个公钥就将这个公钥的ID发给接收方，只需要传输很短的密钥ID。

PGP采用的解决方法是用每个公钥最后的64位表示该密钥的ID，即公钥PKa的密钥ID为PKamod264。由于264以足够大，因而密钥ID重合的概率极小。PGP在数字签名时也需要对密钥加上标识符。报文的数字签名部分包含了需要使用的公钥的64位密钥ID。当报文被收到时，接收者验证该密钥ID是它所知道的发送者的公钥，然后用来验证其数字签名。第10章密码技术应用3.PGP的消息格式如图10.9所示，PGP中发送方A发往接收方B的消息由三部分组成：消息部分、消息的数字签名（可选）以及会话密钥部分（可选）。其中EPPKb表示用接收方B的公钥加密，EPSKa表示用发送方A的私钥加密运算（即发送方A的签名），ECKs表示用一次性会话密钥Ks的加密，ZIP表示ZIP压缩运算，R64为Base64编码。发送消息前，对整个消息做Base64编码。第10章密码技术应用4.密钥环PGP为每个用户都建立了两个表型的数据结构，一个用于存储用户自己的密钥对，另一个用于存储该用户知道的其他各用户的公钥。这两个表型的数据结构分别称为私钥环和公钥环，如表10.3、10.4所示。在私钥环中，每行表示该用户的一个密钥对，其中公钥ID和用户ID可作为该行的标识符，方便索引。公钥环存储的是该用户所知道的其他用户的公钥，公钥ID和用户ID可作为该行的标识符，方便索引。第10章密码技术应用4.密钥环密钥环在报文传输过程中的使用方法如图10.10所示，其中PRNG表示伪随机数发生器。假设用户A使用PGP，选择消息既要被签名也要被加密的模式，将消息M安全发送给用户B，需要执行的过程如下：（l）对消息签名：PGP从A得私钥环中取出A的被加密私钥。然后输入通行短语恢复用户A的私钥。再利用解密得到的A的私钥SKa产生消息签名。（2）对消息加密：PGP产生一个会话密钥Ks，对消息及签名进行加密，然后从公钥环中取出B的公钥PKb，加密会话密钥，以形成会话密钥部分。第10章密码技术应用4.密钥环接收方B的消息接收过程如图10.11，分为以下两步：（1）解密消息：PGP从会话密钥部分取出B的公钥ID，根据公钥ID从用户B的私钥环中取出相应的被加密的私钥，然后提示用户B输入通行短语以恢复私钥SKb，再使用用户B的私钥恢复出会话密钥Ks，并进而解密消息。（2）鉴别消息：PGP从签名部分取出A的公钥ID，根据公钥ID从A的公钥环中取出公钥PKa，恢复出消息摘要，然后对收到的消息重新计算消息摘要，并与恢复出的消息摘要进行比较，只有相同才确认消息鉴别。第10章密码技术应用10.2.4公钥管理和信任关系如何保护公钥不被他人假冒和篡改是最为困难的问题，也是公钥密码体制一个必须要解决的问题，PGP由于可用于各种环境，所以未建立严格的公钥管理方案，而是提供了一种解决公钥管理问题的结构。1.公钥管理方案任何用户要使用PGP和其他用户进行安全通信，必须建立一个公钥环，以存放其它用户的公钥，并要确保其中的公钥是用户的合法密钥，要减小用户公钥环中包含虚假公钥的可能性，必须采取有效措施，实际的措施有：

（1）用物理手段，直接从用户那里取得公钥。（2）通过电话验证用户的公钥。（3）通过可信第三方T（假设用户已可靠拥有T的公钥）。（4）通过可信的数字证书管理机构CA（CertificateAuthority）获取用户的公钥。在后两种措施中，用户A为获取B的公钥，必须首先获取可信赖的第三方或证书管理机构的公钥，并相信该公钥的有效性。所以最终还取决于证书管理机构A对第三方或证书管理机构的信任程度。

第10章密码技术应用2.PGP中的信任关系PGP设定对公钥的信任有两种情况：（1）直接来自所信任的人的公钥。（2）有可信任者（并可靠拥有他的公钥）签名的公钥，但公钥的拥有者也许并不认识。PGP建立信任关系的方法是用户在建立公钥环时，以一个公钥证书作为公钥环中的一行。其中用三个字段来表示对该公钥证书的信任程度，它们都包含在称为信任标志字节的结构中，其取值与具体含义如表10.5。第10章密码技术应用2.PGP中的信任关系假定用户A已有一个公钥环，PGP对公钥环的信任处理过程如下：（1）当A在公钥环中插入一新的公钥时，PGP必须为拥有者可信字段指定一个标志。（2）当新的公钥插入公钥环时，可以在该公钥上附加一个或多个签名，以后还可以为这个公钥增加更多的签名。（3）密钥信任字段的取值是由它的各签名信任字段的取值计算的。图10.12是一个信任关系与密钥合法性之间关系的示例。图中圆节点表示密钥，圆节点旁边的字母表示密钥的拥有者。第10章密码技术应用图10.12PGP信任关系示例的说明图中，实线圆圈节点表示其用户的公钥被用户USERT认为是合法的，而虚线圆圈节点则不是。该图可说明以下几个问题：（1）除节点L外，所有被USERT信任的用户（包括完全信任和部分信任）的公钥都被USERT签署。（2）两个被部分信任的签名可用于证明其它密钥，例如A和B被USERT部分信任，则PGP认为A和B同时签署的公钥H是合法的。（3）由一个完全信任的或两个部分信任的签名者签署的公钥被认为是合法的，但这一公钥的拥有者可能不被信任签署其它公钥。（4）图中S是一个孤立节点，具有两个未知的签名者。用户必须通过数字签名来声明密钥的合法性，或者告知密钥的签名者是完全可信任的。PGP才能认为这个公钥是合法的。最后要指出的是，同一公钥可能有多个用户ID，这是因为用户可能修改过自己的用户名（即ID）或者在多个用户名下申请了同一公钥的签名。3.公钥的吊销用户如果怀疑与公钥对应的私钥已经泄漏，或者只是为了避免同一公钥-私钥对的使用时间过长，就可吊销自己目前正在使用的公钥。

第10章密码技术应用10.2.5基于PGP的电子邮件通信安全PGP可以和OutlookExpress等电子邮件工具集成应用，非常方便地实现对信息的加密、签名、解密和验证签名的操作。如使用支持PGP外挂程序的电子邮件，我们可以使用PGPmail工具栏来实现上述功能。如图10.13所示当使用支持PGP/MIME的电子邮件软件系统实现电子邮件自动加密或解密时，要求通信双方都使用PGP以及支持PGP/MIME标准的软件，并在PGP设置对话框的mail栏中选中使用PGP/MIME功能、默认加密新消息、默认对新消息签名、自动解密/验证这几个选项（如图10.14所示）。第10章密码技术应用1.加密和签名电子邮件在通信双方已产生密钥对并且已交换各自的公开密钥后，就可以对电子邮件信息及文件附件进行加密了。如果用一个支持外挂程序的电子邮件软件，可通过选择其工具条上响应的工具来对信息进行加密和签名。如果与使用支持PGP/MIME标准的电子邮件软件的用户通信，在发送电子邮件时，按照上面的设置，可以实现自动对信息和文件附件进行加密和签名。如果使用的电子邮件软件不支持外挂程序，可以拷贝邮件内容到剪切板，并执行适当的功能（如图10.15所示）。如果想包括任何文件附件，可在将其加到电子邮件中之前，从Windows的资源管理器中对其进行加密和签名（如图10.16所示）。第10章密码技术应用PGP对消息加密和签名的具体操作。以OutlookExpress为例，假设按图10.14中的设置，发送邮件之前会自动使用PGP完成加密和签名工作。如果没有选中前四项，就需要人工手动进行：和平常一样使用OutlookExpress编辑新的邮件。完成内容编辑之后，使用PGP功能菜单当中的对当前窗口加密、签名或者加密/签名功能，来选择进行加密或签名工作。然后PGP会让用户指定接收方应该使用的公钥-私钥对，如图10.17所示。如果当前列表中没有接收方的公钥，或者用户想更新接收方的公钥，可以选择向密钥管理服务器更新公钥。如果用户选择了签名功能，会出现通行短语的对话框（如图10.18），要求用户选择自己使用的私钥，并输入通行短语，以解密私钥，进行签名。点击OK，PGP自动完成签名和加密功能。最后点击“发送”，像平常一样将PGP处理后的邮件发送出去。第10章密码技术应用2.解密和验证签名当收到使用PGP加密或签名后的邮件，用户必须同样使用PGP才能解密并验证其数字签名如果用一个支持外挂程序的电子邮件软件，可以通过选择其工具条上的适当项目来解密和验证签名。假如电子邮件软件支持PGP/MIME标准，则读电子邮件时，可以通过点击邮件中附带的解密图标来解密和验证签名。如果使用的电子邮件软件不支持外挂程序，也可拷贝邮件内容到剪切板，并从那里执行适当的功能。仍然以OutlookExpress为例，介绍使用PGP对消息解密和验证签名的具体操作。假设PGP设置中没有设置自动解密/验证功能。打开电子邮件内容，密码文本块将出现在电子邮件信息内容窗口中，如图10.19所示。第10章密码技术应用2.解密和验证签名在电子邮件软件包的工具条上点击“解密”图标，出现要求PGP输入通行短语的对话框，如图10.20所示。输入通行短语并点击OK，信息将被解密。同时在邮件内容信息之前，会有签名验证信息，包括签名状态、签名者（密钥ID）、签名时间、验证时间等内容，可以很清楚的验证签名是否有效，如图10.21所示。用户可以通过复制，保存解密状态的电子邮件，或存储它原来的加密版本，使它仍然保持机密性。

第10章密码技术应用10.3Kerberos身份鉴别系统10.3.1Kerberos系统概述Kerberos身份鉴别系统最初是美国麻省理工学院（MIT）为雅典娜工程（ProjectAthena）项目而开发的，其模型基于Needham－Schroeder的可信第三方协议，是目前应用广泛，也相对较为成熟的一种身份鉴别机制。Kerberos第5版弥补了第4版中存在的安全漏洞，不仅完善了Kerberos第4版所采用的基于DES的加密算法，而且还允许用户根据实际需要选择其他加密算法，其安全性得到进一步提高，并在1994年成为Internet的提议标准（RFC1510）。Kerberos采用对称密钥加密技术来提供可信任的第三方鉴别服务。这种鉴别存在一个密钥分发问题，即通信双方如何知道他们的共享密钥。Kerberos采用如下机制来解决这个问题：它建立一个公正的第三方密钥分发中心（KDC，KeyDistributionCenter），KDC负责给通信双方生成共享密钥，并通过票据（Ticket）给通信双方分发共享密钥。第10章密码技术应用10.3.2Kerberos鉴别模型Kerberos鉴别系统有三个参与方：客户机、应用服务器、密钥分发中心KDC，如图10.22所示。客户机可以是用户，也可以是处理事务所需的独立的软件程序。KDC是通信双方即客户机和应用服务器都信任的公正的第三方。KDC由鉴别服务器（AS）和票据授予服务器（TGS）组成。KDC的鉴别服务器AS有一个拥有一个存储了它与所有客户共享的秘密密钥的数据库，对于个人用户来说，秘密密钥是一般其口令的散列值。由于KDC知道每个客户的秘密密钥，故而能够产生消息向一个实体证实另一个实体的身份。KDC还能产生会话密钥供客户机和服务器使用，会话密钥用来加密双方间的通信消息，通信完毕后，立即销毁会话密钥。第10章密码技术应用第10章密码技术应用10.3.3Kerberos协议鉴别过程Kerberos鉴别过程中常用的一些符号的说明。

C：客户机；AS：鉴别服务器；TGS：票据分发服务器；S：应用服务器；IDtgs：TGS的身份标识；IDc：客户机的身份标识；IDs：应用服务器的身份标识；ADC：客户机的网络地址；Tickettgs：客户用来访问TGS的票据；Tickets：客户用来访问应用服务器S的票据；Ktgs：TGS和AS的共享密钥；Kc：客户机和AS的共享密钥；Ks：应用服务器与AS的共享密钥；Kc,tgs：客户机和TGS的共享密钥；Kc,s：客户机和应用服务器的共享密钥；Authenticatorc：客户机C的鉴别码，客户机C用Authenticatorc来证明它是票据的合法持有者；Lifetime：表示票据的有效时间，包括开始时间和截至时间；T：时间标记，表示鉴别码产生的时间；addr：客户端网络地址TS：时间同步允许标志，TS=1表示允许AS验证客户的的时钟是否与AS的时钟同步；第10章密码技术应用10.3.3Kerberos协议鉴别过程Kerberos使用两种凭证：票据（Ticket）和鉴别码（Authenticator）。票据由AS和TGS分发，票据用于秘密地向服务器发送持有票据的用户的身份鉴别信息。票据单独使用并不能证明任何人的身份。票据包含有：要访问的服务器的身份标识、客户机的身份标识、客户机网络地址、票据有效的起止时间和一个随机的会话密钥。票据格式如下：TC,S={IDS,IDC,ADC,Lifetime,KC,S}Ks鉴别码由客户机生成，客户机每次需要使用服务器上的服务时，都要产生一个鉴别码。鉴别码可以用来证明客户机的身份。它只能使用一次而且有效期很短。鉴别码包含：客户机身份标识、客户机的网络地址和时间标记。这些信息由票据内包含的会话密钥KC,S加密。鉴别码格式如下：

Authenticatorc=

{IDC,ADC,T}Kc,s使用鉴别码可达到两个目的：

(1)鉴别码包含由票据内的会话密钥加密的明文。这可证明鉴别码的发送者也知道会话密钥。

(2)鉴别码包含时间标记，可防止重放攻击。

第10章密码技术应用10.3.3Kerberos协议鉴别过程Kerberos鉴别包括域内鉴别和跨域鉴别1.Kerberos域内鉴别过程域内鉴别包括三个阶段，即鉴别服务交换，票据许可服务交换和客户机/服务器鉴别交换。如图10.22所示，共分六个步骤来完成。①C→AS：IDc||IDtgs||TS1②AS→C：EKc[Kc,tgs||IDtgs||Lifetime1||Tickettgs]Tickettgs=EKtgs[Kc,tgs||IDc||ADc||IDtgs||Lifetime1]③C→TGS：IDs||Tickettgs||AuthenticatorcAuthenticatorc=EKc,tgs[IDc||ADC||T1]④TGS→C：EKc,tgs[Kc,s||IDs||Lifetime2||Tickets]Tickets=EKs[Kc,s||IDc||ADC||IDs||Lifetime2]

⑤C→S：Tickets||Authenticatorc⑥S→C：EKc,s[T2+1]（进行双向鉴别）Authenticatorc=EKc,s[IDc||ADc||T2]第10章密码技术应用2.跨域鉴别上面介绍的Kerberos协议的鉴别过程都是在一个域中实现的。鉴别协议提供了一种支持不同域间鉴别的机制。支持跨域鉴别的Kerberos鉴别系统需要满足以下条件：（1）每个互操作域中的Kerberos鉴别服务器要与另一个域中的Kerberos鉴别服务器共享一个密钥。（2）两个Kerberos鉴别服务器都必须相互注册。这个方案需要不同域中的Kerberos鉴别服务器相互信任。当这些需求都满足时，Kerberos跨域鉴别如图10.23所示。这个机制可表述如下：一个用户要得到另一域内一个应用服务器的服务，就需要获得那个应用服务器的许可票据。用户的客户程序遵循通常的过程来获得对本地的TGS的访问，然后向本地的TGS请求一张访问远程的TGS（在另一域的TGS）的许可票据。接着客户向远程TGS申请一张访问位于该远程TGS域范围内特定应用服务器的许可票据。第10章密码技术应用第10章密码技术应用2.跨域鉴别图10.23中的符号意义及其细节描述如下：①请求本地TGS票据C→AS：IDc||IDtgs||TS②分发本地TGS票据AS→C：EKc[Kc,tgs||IDtgs||Lifetime1||Tickettgs]③请求远程TGS票据C→TGS：IDtgsrem||Tickttgs||AuthenticatorC其中IDtgsrem表示域B中的TGS的身份标识。④分发远程TGS票据

TGS→C：EKc,tgs[Kc,tgsrem||IDtgsrem||Lifetime2||Tickettgsrem]其中Kc,tgsrem表示C和域B中TGS的会话密钥；Tickettgsrem表示访问域B中TGS的票据。⑤请求远程应用服务器票据

C→TGSrem：IDsrem||Tickettgsrem||Authenticatorc其中IDsrem表示域B中的应用服务器的身份标识；TGSrem表示域B中的票据分发服务器。⑥分发远程应用服务器票据

TGSrem→C：EKc,tgsrem[Kc,srem||IDsrem||Lifetime3||Ticketsrem]其中的Kc,srem表示客户C和域B中的应用服务器的会话密钥；IDsrem表示域B中的应用服务器的身份标识。⑦请求远程服务C→Srem：Ticketsrem||Authenticatorc第10章密码技术应用10.3.4Kerberos的局限性Kerberos协议由于其安全性高，使用简单方便，是目前使用较多的身份鉴别系统。但是其自身也存在一些安全缺陷：1．不能抵抗口令猜测攻击用户秘密密钥KC和用户的口令有关，用户不重视口令的选择，入侵者可以通过收集票据并对此解密，如果票据足够多，口令的恢复是可能的。2．不能抵抗重放攻击虽然时间戳是专门用于防止重放攻击的，但是票据的生存期较长，容易被重放攻击；对鉴别码而言，也有机会实施重放攻击。3．时间同步问题在网络环境中实现良好的时钟同步，是一个很难的课题。4．密钥的存储问题Kerberos鉴别中心要求保存大量的共享秘密密钥5．鉴别域之间的信任问题鉴别域之间相互信任和协调不方便，系统的可扩充性不强。第10章密码技术应用10.4安全电子交易SET10.4.1概述安全电子交易SET（SecureElectronicTransaction）是1996年由MasterCard与Visa两大国际信用卡公司联合制订的安全电子交易规范，是专门为电子商务交易而开发的安全协议。SET协议结合了对称加密算法的快速、低成本和公钥密码算法的可靠性，有效的保证了在开放网络上传输的个人信息、交易信息的安全，而且它还解决了SSL协议所不能解决的交易双方的身份鉴别问题。SET本身不是支付系统，它只是一组安全协议和规范，使用户可以用安全的方式在开放的网络上使用现有信用卡支付的基础设施。SET协议在安全性方面主要解决五个问题：（1）保证信息在互联网上安全传输，防止数据被黑客或内部人员窃取；（2）保证电子支付参与者信息的相互隔离，客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息；（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证，保证网上支付的安全。（4）保证网上交易的实时性，使所有的支付过程都是在线的；（5）仿效电子数据交换（EDI，ElectronicDataInterchange）的形式，提供一个开放式的标准!规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能,并且可运行在不同的硬件和操作系统平台上。第10章密码技术应用10.4.1概述（续）SET协议可保证电子交易信息的机密性、数据完整性、相关实体身份的可鉴别性和不可否认性（或称抗抵赖性），具有下面一些特点：（1）信息的机密性：SET使用DES等对称加密技术提供机密性保护，保证信用卡用户的帐号和支付信息是安全的。同时采用双重签名技术将信用卡信息直接从客户方通过商家发送到商家的开户行，而不容许商家访问客户的账户信息。（2）数据的完整性：SET使用基于SHA散列值的RSA数字签名提供了信息完整性。特定的报文还要使用SHA的HMAC来实现完整性保护。保证支付信息在传输时不被修改。（3）身份鉴别：SET协议使用数字证书来鉴别交易涉及各方的身份，为在线交易提供一个完整的可信赖环境。（4）不可否认性：SET交易中数字证书的发布过程也包含了商家和客户在交易中存在的信息。客户用SET发出一个商品的订单，以后客户不能否认发出过这个订单，商家不能否认收到过这个订单。（5）跨平台的操作性：SET协议使用规范的协议和信息格式来保证电子交易操作可以在不同的软硬件平台上正常进行。第10章密码技术应用10.4.2SET系统的商务模型图10.24给出了SET系统的商务模型示意。在SET交易过程中，包括有以下六个参与实体：（1）持卡人（Cardholder）（2）商家（Merchant）（3）发卡行（Issuer）（4）收单行（Acquirer）（5）支付网关（PaymentGateway）（6）证书管理机构CA（CertificateAuthority）第10章密码技术应用10.4.3基于SET的交易过程基于SET的完整交易过程分为以下步骤：持卡人注册获取证书、商家注册获取证书、购买请求、付款授权、扣款获取。整个交易过程信息在持卡人、商家、支付网关、认证中心和银行系统之间流动，如图10.25所示。第10章密码技术应用10.4.3基于SET的交易过程（续）（1）持卡人注册申请证书持卡人在参加网上电子交易之前首先要向证书管理机构CA申请证书。证书中包含该持卡人的帐号，公钥信息，有效期等信用卡信息。（2）商家注册申请证书商家在接收持卡人SET指令或通过网关处理SET交易时，同样需要请求证书，其申请流程和持卡人申请流程类似。一般采取离线方式。（3）购买请求如图10.26所描述了购买请求的流程。①持卡人发送初始购买请求②商家响应请求并发送证书③持卡人接收响应并发送请求④商家处理请求消息⑤持卡人接收购买响应第10章密码技术应用10.4.3基于SET的交易过程（续）（4）扣款授权商家在向持卡人提供所购商品或服务以前，首先向支付网关发出扣款授权指令，如图10.27所示。①商家请求授权：商家处理持卡人订单时，将产生授权请求消息，将加密后的授权请求消息以及持卡人购买请求中经加密的付款指令信息一起发送给支付网关。②支付网关处理授权请求：支付网关接收到授权请求后执行如下处理：a）解密请求信息，检验商家签名证书；校验经私钥签名的请求信息。b）解开付款指令信息，校验持卡人签名证书；核查数字签名。c）确认消息后，将请求发送给银行。收到银行的授权响应消息后，产生一份包含支付网关签名书的响应消息；两次加密后发送给商家。③商家处理响应商家接收到授权响应后，按确认的订单内容向持卡人提供相应数量的商品或服务，至此商家完成一项订单处理。第10章密码技术应用10.4.3基于SET的交易过程（续）（5）获取扣款一个购物过程完成以后，商家为了得到货款就要向支付网关发出扣款请求。扣款过程如图10.28所示。①商家请求支付:处理完一个订单后，商家请求支付。在请求授权消息和请求付款消息间存在一个时间差。首先，商家软件产生一个包括定购数量和事务处理标识符的扣款请求；接着对扣款请求依次产生消息摘要、数字签名和数字信封，并将加密后的信息发送给支付网关；②网关处理扣款请求:接收到扣款请求后，支付网关依次解开加密信息；通过现有的信用卡处理系统实现扣款后，支付网关产生加密响应消息，然后发送给商家；③商家接收响应:商家接收到扣款响应后，通过一系列的解密后将响应消息存储起来，这些响应消息将用于商家和收单行间的转账和对账处理。实际上:持卡人和商家在整个证书有效期内只需进行一次证书申请过程，因此销售过程通常只包括：购买请求、付款授权和获取扣款三个步骤。第10章密码技术应用10.4.4SET的双重数字签名机制基于SET安全协议的电子支付系统可以实现交易的机密性、认证性、数据完整性和不可否认性等功能。它通过以下机制确保电子支付的安全性：(1)使用数字证书验证交易各方身份的真实性和合法性；(2)使用数字签名技术确保数据的完整性和不可否认性；SET通过双重数字签名实现了对所获信息的分离，即它提供给商家的只是订购信息OI（OrderInformation）；提供给收款银行的只是支付信息PI（PayingInformation）。这种安全机制充分保证了消费者的账户信息和订购信息的安全性。图10.29描述了在SET中双重签名产生过程。

消费者分别取得PI的报文摘要和OI的报文摘要，然后将其连接起来，再计算出已连接起来的报文摘要。最后消费者对最后的报文摘要用私钥进行签名就得到了双重签名，其操作过程如下（其中DS表示双重数字签名）：DS=EKRc[h(h(PI)||h(OI))]第10章密码技术应用10.4.4SET的双重数字签名机制SET的购买请求及验证如图10.30所示。假设商家获得了DS、OI、PIMD和客户的公钥KUc，就可以计算下面两个数值：h(PIMD||h(OI))和EKUc[DS]如果银行获得了DS、PI、OIMD和客户的公钥，就可以计算下面的数值：h(h(PI)||OIMD)和DKUc[DS]通过以上过程：1）商家收到订购信息OI，并且可验证该签名，但不能获得客户的支付信息。2）银行收到支付信息PI，并且可验证该签名，但不能获得客户的订购信息。3）客户将订购信息OI和支付信息PI连接起来，并且能够证明这个连接关系。

这将使得商家、银行或者客户要伪造或抵赖消费信息都变得不可行。

第10章密码技术应用10.4.5SET的支付流程我们从一完整的购物处理流程来看SET是如何工作的，如图10.31所示。（1）客户浏览商品明细清单。（2）客户选择要购买的商品。（3）客户填写订单。（4）客户选择付款方式。

此时SET开始介入。（5）客户发送给商家一个完整的订单信息OI及支付信息PI，并发出客户的数字证书和数字签名。（6）商家接受订单后，向客户的金融机构请求支付认可。（7）商家发送订单确认消息给客户，即商家数字证书及数字签名验证结果。（8）商家给客户装运货物，或完成订购的服务。（9）商家向客户的金融机构请求支付。整个交易过程的前三个步骤不涉及SET协议，从第（4）步一直到第（9）步，SET协议起作用。在处理过程中，通信协议、请求消息的格式、数据类型的定义等，SET协议都有明确的规定。在操作的每一步，客户、商家、网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替。

第10章密码技术应用10.5公钥基础设施PKI公钥基础设施（PKI，PublicKeyInfrastructure）是网络安全建设的基础与重要工作，是电子商务、政务系统安全实施的有力保障，下面介绍PKI应用中的一些问题：PKI的定义和服务、认证策略、证书管理协议等。10.5.1PKI的定义公钥基础设施PKI是一个基于公开密钥理论与技术实施和提供安全服务的具有普适性的安全基础设施的总称，一般可认为PKI是生成、管理、存储、分发和撤销基于公开密码的公钥证书所需要的硬件、软件、人员、策略和规程的总和。一个完整的PKI应该至少包括以下11个部分：（1）证书机构（CA，CertificateAuthority）又称证书管理中心，负责具体的证书颁发和管理，属于可信任的第三方范畴，其作用类似颁发身份证的机构。证书机构CA作为PKI管埋实体和服务的提供者，必须经由相关的政策来保证CA是可信的，并且通过公正的第三方测试从技术上保障CA是安全的。（2）注册机构（RA，RegistrationAuthority）即证书注册审批机构。负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。RA系统是整个CA中心得以正常运营不可缺少的一部分。第10章密码技术应用10.5.1PKI的定义（3）证书库为使用户容易找到所需的公钥证书，必须有一个健壮的、规模可扩充的在线分布式数据库存放CA创建的所有用户公钥证书。证书库可由WEB、FTP、X.500目录等来实现。（4）证书撤消列表在PKI环境中公钥证书是有有效期的。PKI中引入证书撤消表CRL，该表列出当前己经作废的公钥证书。用户在使用某用户的公钥证书时必须先查CRL，以便确认公钥的可用性。（5）密钥备份和恢复在很多环境下（特别是在企业环境下），由于丢失密钥造成被保护数据的丢失是完全不可接受的。一个解决方案就是为多个接收者加密所有数据，但对于高度敏感数据，这个方法是不可行的。一个更可行和通用的可接受的方法是备份并能恢复私钥。（6）自动密钥更新通过用户用手工操作的方式定期更新证书在某些应用环境中是不现实的。一种有效解决方法是由PKI本身自动完成密钥或证书的更新，完全无需用户的干预。无论用户的证书用于何种目的，都会检查有效期，当失效日期到来时，启动更新过程。第10章密码技术应用10.5.1PKI的定义（7）密钥归档密钥更新（无论是人工还是自动）的概念，意味着经过一段时间，每个用户都会有多个失效的旧公钥证书和至少一个有效公钥证书。这一系列证书和相应的私钥组成用户的密钥历史档案。PKI必须保存所有密钥，以便正确的备份和恢复密钥，查找出正确的密钥来实现解密数据。（8）交叉认证建立一个单一的全球性PKI是事实不可实现的。不同的环境的用户间安全通信就需要有一种“交叉认证”机制，即在不同CA间建立信任关系。（9）支持抗抵赖服务PKI本身无法提供真正的抗抵赖服务，但是PKI必须提供所需要的证据、支持决策，提供数据源鉴别和可信的时间戳等信息。（10）时间戳支持抗抵赖服务的一个关键条件就是在PKI中使用时间戳。PKI中必须存在用户可信任的权威时间源。（11）客户端软件在客户/服务器运行模式下，除非客户端发出请求服务。否则服务器通常不会响应客户端。客户端软件独立于所有应用程序之外，完成PKI服务的客户端功能。第10章密码技术应用10.5.2PKI提供的服务和应用PKI主要提供了以下三种主要安全服务。（1）鉴别（认证）服务PKI提供的鉴别认证服务采用了数字签名技术，签名产生于以下三个方面数据的绑定值之上：①被鉴别的一些数据；②用户希望发送到远程设备的请求；③远程设备生成的随机质询信息。第①项支持PKI的数据源鉴别服务，后两项支持PKI的实体鉴别服务。（2）完整性服务PKI提供的完整性服务可以采用两种技术之一。第一种技术是数字签名，第二种技术就是消息鉴别码MAC。（3）机密性服务PKI提供的机密性服务采用了类似于完整性服务的机制，例如要在实体A和实体B间的通信提供机密性服务:①实体A随机生成一个对称密钥；②用对称密钥加密数据；③将加密后的数据、实体A的公钥以及实体B的公钥加密后的对称密钥发送给实体B。第10章密码技术应用10.5.2PKI提供的服务和应用PKI提供的上述安全服务恰好能满足电子商务、电子政务、网上银行、网上证券等金融业交易的安全需求。具体应用如下：（1）电子商务应用电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。买方通过自己的浏览器上网，登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时，互相之间需要验证对方的证书以确认其身份，这被称为双向认证。在双方身份被互相确认以后，建立起安全通道，并进行讨价还价，之后向商场提交订单。订单里有两种信息:一部分是订货信息，包括商品名称和价格；另一部分是提交银行的支付信息，包括金额和支付账号。买方对这两种信息进行"双重数字签名"，分别用商场和银行的证书公钥加密上述信息。当商场收到这些交易信息后，留下订货单信息，而将支付信息转发给银行。商场只能用自己专有的私钥解开订货单信息并验证签名。同理，银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后，通知起中介作用的电子交易市场、物流中心和买方，并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行，实现了安全、可靠、保密和不可否认性。第10章密码技术应用10.5.2PKI提供的服务和应用（2）电子政务应用电子政务包含的主要内容有：网上信息发布、办公自动化、网上办公、信息资源共享等。按应用模式也可分为政府-公众模式（G2C，GovernmenttoCitizen)、政府-商务模式（G2B，GovernmenttoBusiness)以及政府-政府模式（G2G，GovernmenttoGovernment)，PKI在其中的应用主要是解决身份认证、数据完整性、数据机密性和抗抵赖性等问题。例如，一个机密文件发给谁，或者哪一级公务员有权查阅某个机密文件等，这些都需要进行身份认证。与身份认证相关的还有访问控制，即权限控制。认证通过数字证书进行，而访问控制通过属性证书或访问控制列表（ACL）完成。有些文件在网络传输中要加密以保证数据的机密性；有些文件在网上传输时要求不能被丢失和篡改；特别是一些机密文件的收发必须要有数字签名等。只有PKI提供的安全服务才能满足电子政务中的这些安全需求。（3）网上银行应用

网上银行是指银行借助于互联网技术向客户提供信息服务和金融交易服务。银行通过互联网向客户提供信息查询、对账、网上支付、资金划转、信贷业务、投资理财等金融服务。网上银行的应用模式有B2C（BusinessToCustomer）个人业务和B2B（BusinessToBusiness）对公业务两种。第10章密码技术应用10.5.2PKI提供的服务和应用（3）网上银行应用（续）

网上银行的交易方式是点对点的，即客户对银行。客户浏览器端装有客户证书，银行服务器端装有服务器证书。当客户上网访问银行服务器时，银行端首先要验证客户端证书，检查客户的真实身份，确认是否为银行的真实客户；同时服务器还要到CA的目录服务器，通过LDAP协议查询该客户证书的有效期和是否进入“黑名单”；认证通过后，客户端还要验证银行服务器端的证书。双向认证通过以后，建立起安全通道，客户端提交交易信息，经过客户的数字签名并加密后传送到银行服务器，由银行后台信息系统进行划账，并将结果进行数字签名返回给客户端。这样就做到了支付信息的机密和完整以及交易双方的不可否认性。（4）网上证券应用网上证券广义地讲是证券业的电子商务，它包括网上证券信息服务、网上股票交易和网上银证转账等。一般来说，在网上证券应用中，股民为客户端，装有个人证书；券商服务器端装有Web证书。在线交易时，券商服务器只需要认证股民证书，验证是否为合法股民，是单向认证过程，认证通过后，建立起安全通道。股民在网上的交易提交同样要进行数字签名，网上信息要加密传输；券商服务器收到交易请求并解密，进行资金划账并做数字签名，将结果返回给客户端。第10章密码技术应用10.5.3PKI的构成PKI在实际应用上是一套软硬件系统和安全策略的集合，一个典型的PKI系统如图10.32所示，其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书管理系统和PKI应用等。PKI安全策略；证书机构CA；注册机构RA；证书发布系统；

PKI的应用非常广泛，包括在Web服务器和浏览器之间的通信、电子邮件、电子数据交换（EDI）、信用卡交易和虚拟专用网（VPN）等。第10章密码技术应用10.5.3PKI的构成(续)一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图10.33所示。安全服务器：面向普通用户，用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。安全服务器与用户的通信采取安全信道方式。CA服务器：整个证书机构的核心，负责证书的签发。CA首先产生自身的私钥和公钥,然后生成数字证书，并且将数字证书传输给安全服务器。注册机构RA：登记中心服务器面向登记中心操作员，在CA体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。LDAP服务器：提供目录浏览服务，负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。数据库服务器：证书机构中的核心部分，用于证书机构中数据（如密钥和用户信息等）、日志和统计信息的存储和管理。第10章密码技术应用10.5.4PKI标准伴随着PKI技术的不断完善与发展，应用的日益普及，为了更好地为社会提供优质服务，PKI标准化就成了一种必然的趋势。涉及PKI的标准可分为两个部分：一类是与PKI定义相关的，而另一类是与PKI的应用相关的。1．与PKI定义相关的标准在PKI技术框架中，许多方面都有严格的定义，如用户的注册流程、数字证书的格式、CRL的格式、证书的申请格式以及数字签名格式等。国际电信联盟ITUX.509协议，是PKI技术体系中应用最广泛、也是最为基础的一个国际标准。它的主要目的在于定义一个规范的数字证书的格式，以便为基于X.500协议的目录服务提供一种强认证手段。PKCS（Public-keyCryptographyStandards）是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，到1999年底，PKCS已经公布了十五个标准（在此没有列举，见课本相关表述）。2．与PKI应用相关的标准国际上相继已发布了多个与PKI的应用领域相关的标准，如安全的套接层协议SSL、运输层安全协议TLS、安全的多用途互联网邮件扩展协议S/MIME和IP安全协议IPSec等。第10章密码技术应用10.5.5PKI的信任模型选择信任模型(TrustModel)是构筑和运作PKI所必需的一个环节。信任模型主要阐述了以下几个问题:1.一个PKI用户能够信任的证书是怎样被确定的?2.这种信任是怎样被建立的?3.在一定的环境下,这种信任如何被控制?在详细介绍PKI的信任模型之前，先介绍几个相关的概念。信任：在ITU-T推荐标准X.509规范中，对“信任”的定义是：如果实体A认为实体B会严格地像它期望的那样行动，则实体A信任实体B。信任域：信任域指的是一个组织内的个体在一组公共安全策略控制下所能信任的个体集合。信任模型：信任模型是指建立信任关系和验证证书时寻找和遍历信任路径的模型。信任锚：在信任模型中，当可以确定一个实体身份或者有一个足够可信的身份签发者证明该实体的身份时，才能作出信任该实体身份的决定。这个可信的身份签发者称为信任锚。简单的说，信任锚就是PKI信任模型中的信任起点。第10章密码技术应用10.5.5PKI的信任模型1.单CA信任模型这是最基本的信任模型,也是在企业环境中比较实用的一种模型。如图10.34所示,在这种模型中,整个PKI体系只有一个CA,它为PKI中的所有终端实体签发和管理证书。PKI中的所有终端实体都信任这个CA。单CA信任模型的主要优点是:容易实现,易于管理,只需要建立一个根CA,所有的终端实体都能实现相互认证。这种信任模型的局限性也十分明显：不易扩展到支持大量的或者不同的群体用户。终端实体的群体越大,支持所有必要的应用就越困难。2.CA的严格层次结构信任模型CA的严格层次结构信任模型如图10.35所示，作为信任的根或信任锚CA，所有实体都信任它。它只为子CA颁发证书。子CA是所在实体集合的根。单CA信任模型是严格层次结构的一种特例。第10章密码技术应用10.5.5PKI的信任模型3．CA的分布式信任模型分布式信任模型也叫网状信任模型，在这种模型中，CA间存在着交叉认证。如果任何两个CA间都存在着交叉认证，则这种模型就成为严格网状信任模型。分布式信任模型把信任分散到若干个CA上。如图10.36所示。每个实体都将自己的发证ＣＡ作为信任的起点，各ＣＡ之间通过颁发交叉证书进行交叉认证，从而扩展信任关系，最终形成一种网状结构。在该模型中，每个ＣＡ直接对其所属用户实体颁发证书。ＣＡ之间没有上下属关系，而是通过交叉证书联系在一起。因此，如果没有命名空间的限制，那么任何ＣＡ都可以对其他的ＣＡ发证。当一个组织想要整合各个独立开发的PKI体系时，采用这种模