足球比分直播

基于ECC技术的网络信息安全加密设备的设计与实现.pdf

返回
基于ECC技术的网络信息安全加密设备的设计与实现.pdf_第1页
第1页 / 共59页
基于ECC技术的网络信息安全加密设备的设计与实现.pdf_第2页
第2页 / 共59页
基于ECC技术的网络信息安全加密设备的设计与实现.pdf_第3页
第3页 / 共59页
基于ECC技术的网络信息安全加密设备的设计与实现.pdf_第4页
第4页 / 共59页
基于ECC技术的网络信息安全加密设备的设计与实现.pdf_第5页
第5页 / 共59页
点击查看更多>>
资源描述:
皋于ECC技术的刚络信息安伞加密设备的设计。j实现 ABSTRACTABST RACTInternet development and appl i cat ion of inat i on systems to enableinteroperability on a global scale exchanged ination and shared itpossible.More and more Internet users to publish ination and accessto ination anytime,anywhere ination avai lability has changed theway people work,1 ive and study ways and habits.However,it should beclearly recognized that the Internet brings convenience at the same time,then brought the issue of ination security.In order to solve theproblem of ination security,all countries in the world after yearsof study scientists have made some effective solutions,PKIPubl iC KeyInfrastructurei S a total that the most effect i ve way。and based on theRSA key technology PKI solut ion i S The most commonly used.Through compare ECC technology wi th RSA Key Technolog,prove theadvantage of ECC technology,and bring forward a set of ECCbased PKItechnology solutions.The solution will be applied to the development ofencryption devices.Paper detailed the two ECCbased encryptiontechnology products ISPECl256BX2S1 1 card encryption and uKeyCl800一KEUSBKey ECC encrypt i on dev i ces Des i gn and Impl ementat i on.ISPECl256BX2S11 encryption card iS an e11iptic curve support of theseven parameters of the ECC encryption products,including four Chinesenat i onal standard curve and the curve of the three Ameri can Standard,i nthe allocation of serverside PKI system,internal hardware support forECC encryption and decryption,signature and Signed inspection,generatereally random number,SMl States secret code division optimizationalgorithm. uKeyCl800一KE iS a USBbased interface for portablecommunications network security products,the two countries to supportthe secret parameters of e11iptic curves,builtin secret States SMlalgorithm for the client’S signature user authentication.data encryptionsymmetry.By programming the hardware interface specification definedpasswordbased National Bureau of the ECC standards of internationalpopular of the two General Interface PKCSl 1 and OpenSSL had a custom2,皋于ECC技术的列络竹息安伞加密设备的设计1j实现 ABSTRACTdevelopment,the success of the ISPECl256BX2S1 1 card encryption and ECCtwo uKeyCl800KE In the allocation of encryption products to OpenCAbasedplat,CA,presented the country with a secret key ECC certificate.GB ECC for the standard curve in the PKI system of internal promotion toopen a channel technology,with a national standard ECC encryptionproducts in the field of ination security and advanced applications.Keywords ECC,encryption equipment,ination security3綦于ECC技术的嗍络信息安伞加密设备的设计1j实现 第一章绪论第一章绪 论随着通讯网络特别是INTERNET的高速发展,利用网络作为信息交流和信息处理变得越来越普遍,社会的传统事务和业务运作模式受到前所未有的冲击。目前,无论是国家政府还是企业会融都正融入这场网络革命中,从其原来的传统经营模式向网络模式演化。未来的电子政务、电子商务、电子业务将成为不可逆转的发展趋势。在与同俱增的网络活动中,人们越来越关心信息安全这个问题。目前,RSA算法己广泛应用到网络安全的各个领域,其特点是数学原理简单,在应用过程中容易实现,但其单位安全强度相对较低。1985年Neil Koblitz和VictorM订1er提出基于椭圆曲线理论的椭圆曲线密码系统Ecc体系,其安全性建立在椭圆曲线离散对数的难解性的基础上,在同等密钥长度的条件下其安全性远高于RSA算法并且目前已正式列人了IEEE 1363标准,在信息安全有着广阔的应用前景。1.1网络信息安全概述信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。1.1.1网络信息安全的内容和目标1硬件安全即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够讵常工作。2软件安全即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。4基十ECC技术的网络信息安伞加密设备的设计oj实现 第一章绪论3运行服务安全即网络中的各个信息系统能够J下常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。4数据安全即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。1.1.2网络信息安全的目标1保密性保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。2完整性完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。3可用性可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。4可控性可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。5不可抵赖性在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。1.1.3网络协议和软件的安全缺陷因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都足保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其皋十ECC技术的网络信息安伞加密设衙的设计oj实现 第一章绪论实现代码保密,这样不利于TCP/IP网络的发展。进人2006年以来,网络罪犯采用翻新分散式阻断服务DDOS攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。 WWW.1unwenwang.com在线调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸’’电脑,而足出自于域名系统DNS服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意足借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNSH艮务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。美国司法部的一项调查资料显示,1998年3月至U2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空问的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大。被病毒破坏全部数据的占14%,破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。Ⅲ博¨圳6皋于ECC技术的网络信息安伞加密设需的设汁1j实现 第一章绪论1.2本文的主要研究内容在网络信息安全的现状分析中我们提到,网络信息安全的目标是满足网上信息传输的保密性、完整性、可用性、可控性和不可抵赖性的需求,而PKIPulicKeyIntrastructure,中文名称为公钥基础结构就是为了满足这一要求的统一技术框架,其安全技术主要包括公钥加密技术、数字签名和验证技术。随着传统RSA非对称密钥的安全实效的临近,我们需要寻找一套基于密码体系的解决方案。椭圆曲线理论的椭圆曲线密码系统ECC体系,其安全性建立在椭圆曲线离散对数的难解性的基础上,在同等密钥长度的条件下其安全性远高于RSA算法,具有高安全性、低消耗、运算速度快的特点,完全可以做为传统RSA密码体系臂代品应用于将来的网络信息安全应用领域。本文的主要研究内容是ECC技术在两款加密设备中的实现和应用解决方案。ISPECl256BX2S11 PCI加密卡是北京华大信安科技有限公司和上海华申智能卡应用系统有限公司共同研制的计算机安全模块。此加密卡的主要功能包括1用户访问权限控制;2ECC算法数据加/解密;3数字签名/验证;4消息鉴别码MAC的产生、验证;5单向散列HASH运算;6密钥的产生、存储、保护、销毁等管理;7硬件随机数发生器。ISPECl256BX2S1 1 PCI加密卡的主要特点有1硬件接口符合PCI接口规范;2支持算法SCB2、ECC;3密钥产生采用通过权威机构认证的物理噪声源芯片作硬件随机数发生器,用以产生各种密钥;4密钥存储密钥可安全存放在密码卡内,确保只有授权用户才能获取;5支持多进程、多线程应用。uKeyCl800一KE USBKey是本文介绍的另一款面向客户端用户的便携式ECC安全加密产品。该产品由上海华申智能卡应用系统有限公司和北京中电华大电子设计有限责任公司共同开发,产品的主要特性是1符合ISO 7816,{USB技术规范;2支持多应用;3支持多级目录管理;7皋于ECC技术的网络竹息安伞加密设薪的设计.与实现 第一章绪 论4支持多种文件类型透明文件、记录文件、明细文件、口令PIN文件、密钥文件、ECC公钥和私钥文件;5支持3DES加密算法、SSF33算法和ECC算法;6支持安全数据传输,提供明文、加密、校验和加密校验四种传输模式;7携带DES协处理器;8携带模运算处理器;964K EEPROM存储器;10 EEPROM擦写寿命大于100,000次;11 数据保存时间10年;12 工作电压5 V;13 时钟频率l’5 MHz;通过对两款ECC加密设备在设计过程中所牵涉到的中断响应,系统框架,卡片操作系统等关键技术的解释,从总体上为两款硬件产品在实际研发提供了一些思路。作为硬件加密设备,产品仅仅有硬件的设计往往是不够的,必须要实际应用于软件平台,才能体现出硬件产品的功能。本文介绍的PKI应片j体系是基于OpenCA丌源平台所构建的,在硬件加密产品的应用接入中,由于采用的是非国际标准或者美国标准的ECC曲线参数协议,而是用了我们两款ECC加密产品中内置的中国国家标准的ECC曲线标准,因此,在协议和数据封包上会和开源平台的接口层有冲突,因此,本文通过对硬件抽象层的几个标准接口的修改做了详细介绍。在客户端应用层中,通过对PKCS11标准接口的改造,合理的定义了针对国家标准曲线的算法标识,开发专用的PKCSgll接口,软件层对这些算法标识做了专门的调用,以期达到应用层和标准接口的无缝连接,从而能够成功调用uKeyCl800一KE设备中的硬件加解密功能。在服务器的后台应用中,本文对OpenSSL Engine技术做了详细阐述,利用这一技术,加密厂商能够方便的将自己的加解密模块嵌入到OpenSSL标准接口中,针对国标ECC曲线算法,我们通过声明标准接口中的ECDSA和ECDtl的结构,将OpenSSL中的ECC签名和密钥交换函数成功的指向到厂商自定义的接口函数中,当OpenCA调用OpenSSL标准接口来进行运算的时候,当牵涉到ECDSA和ECDH函数时,OpenSSL会自动调用专用Engine中的厂商算法,在本课题中即实现对我们ECC ISPECl256BX2S1 1 PCI加密卡的硬件加解密功能的调用。通过硬件层设计和软件层改造的介绍,本文成功的将ECC加密产品应用于传统的PKI应用体系中,为困标ECC加密产品的应用技术提供了一个合理的解决方8基十ECC技术的旧络竹息安伞力¨密砹矫的设计’j实现 第一章绪论案。1.3论文的结构安排本论文主要分为五章。第一章描述在网络信息高速发展的阶段所面临的各种信息安全问题,同时阐述应对这种状况,我们在网络信息安全领域应该达到的目的。第二章着重介绍ECC技术的发展早程和ECC技术的优势,对传统RSA密码体制向ECC密码体制的过渡问题进行了阐述。第三章针对ECC技术在网络安全领域的应用所设计到的几个关键技术作了介绍。第四章对两款ECC加密设备ISPECl256BX2S11加密卡和uKeyCl800一KEUSBKey的结构和功能做了介绍,针对产品设计中的关键问题做了技术性描述。第五章为ECC加密设备制定了适合设备特性的接口规范EDPI,同时具体说明了如何通过改造当今国际上几个通用的标准加密接口PKCSI 1接口和OpenSSL接口来实现基于OpenCA所创建的CA平台上对“ISPECl256BX2S1 1加密卡“和“uKeyCl800-KE USBKey”的调用,完成基于ECC国标曲线的硬件加解密和签名功能。第六章针对本课题中采用国家密码局制定的ECC标准所丌发的演示系统提出了不足,并且对将来对整个ECC产业的发展提出了必要的建议,同时对论文做了简要的总结。9皋于ECC技术的网络信息安伞力¨常设备的设计oj实现 第二章ECC技术的发腱第二章ECC技术的发展2.1 ECC技术发展概论2.1.1应用现状椭圆曲线密码E1liptic Curve Cryptography,ECC是一种较晚出现公钥密码算法,也是当今公钥密码学研究领域最热门的课题。二十世纪七十年代后期,Oi ffie和Hellman提出的公钥密码思想使密码学的研究发生了巨大的变化,它指导人们寻找各种数学难题来构造一类称为单向陷门函数的数学函数,单向陷门函数是公钥密码算法的基础,而构架单向陷门函数的数学难题就是公钥密码安全性的基石。目前已知的,可以用来构建公钥密码的数学难题主要有以下三种1大整数因子分解问题简记为IFP;2离散对数问题简记为DLP;3椭圆曲线上的离散对数问题简记为ECDLP。世界上首个具体的公钥密码系统是在1978年由Rivet、Shamir和Adelman提出来的简称为RSA,它的安全性是基于IFP的困难性。RSA提出促使密码研究者花费了巨大的精力去研究IFP的求解算法,其中最有效的是亚指数算法一NFSNumber Field Sieve。随着解决IFP的算法进步与完善、计算设备和技术的进步,人们不得不使用更大的整数来实现RSA,为保障RSA的安全性。目前一般认为RSA所需的大整数模长在1024比特以上,并且有在2010年前升为2048比特的趋势,这使得RSA的实现代价变得越来越难以承受,而应用的效率也越来越低,已经成为制约RSA应用的主要瓶颈。1985年Neal Koblitz和Victor Miller分别独立提出基于ECDLP的ECC密码系统,自此ECC在密码学界数学界引起了广泛的越来越热烈的研究兴趣。经过诸多知名密码学家和数学家近二十年的研究表面,ECC所基于的ECDLP较IFP和DLP更难解,目前人们能找到最有效的求解ECDLP的算法Pollard rho也是指数级时问复杂度的。而近几年数学家和密码学家们已经证明的一些结论暗示着ECDLP甚至可能不存在亚指数时间复杂度的求解算法,这暗示着ECC可能是唯一无法用亚指数算法破解的公钥密码。密码学界对ECC的理论研究主要集中在两个方面ECDLP求解算法研究、ECC机制设计与安全性分析。lO綦十ECC技术的网络信息安伞加密设备的设计‘j实现 第一二章ECC技术的发展1985年,以Scott Vanstone博士为首的加拿大Waterloo大学的几个世界级密码学家成立了Certicom研究小组,经过多年的努力,Certicom探索出了如何在商界高效、安全、低成本来实现和推广ECC技术和产品的方法。由于开发出了一系列ECC的核心技术,并丌始在商界得到广泛应用,Certicom一举成名。从1997年开始,全球各大公司和机构开始竞相采用Certicom的ECC技术或与之建立战略联盟。其中包括Motorola、Pitney Bowes、3Com/Palm Computing、NTT,CyberCash,HP,American Express,Visa International,AvantGo,NewcomTechnology、Puma Technol ogy、Schl umberger、CyberSafe、Compaq、Rai nbow、Oracle、Siemens、CiSCO、Sony、NEC、FAA、NAVAIR、NSA等几百家全球性大公司以及美国政府等政府机构和团体。晗12005年3月2日,Certicom公司的网站WWW.certicom.com上发布消息NSA指定ECC为用于美国政府部门数字签名和密钥交换的排他性的公钥密码技术NSA Names ECC as the Exclusive Technology for Key Agreement and DigitalSignature Standards for the U.S.Government,请见附件。这是美国政府对ECC产业的一次重大政策支持,意味着ECC在世界范围内有着光明的应用前景。RSA公司也在极力推动ECC技术的应用。RSA正在考虑制定ECC应用标准PKCSgl3,希望能象PKCSI对规范和推广RSA的应用那样在国际上广泛形成统一的ECC应用标准,RSA公司也在研究属于自己的ECC技术并已有专利申请请参考RSA公司发布的信息RSA Receives Patent for E1liptic CurveECCInteroperabi 1 i ty。ECC在我国的产业化J下处于起步阶段,我国的商用密码管理政策规定商用核心密码算法和技术必须采用国内自主研究的成果而不得采用国外的,我国应当开发和应用属于自己的商用ECC技术和产品。国家政策对ECC技术的重视将使得ECC在未来几年内迅速成为我国密码市场的主流公钥密码技术。我国已经拥有了自主知识产权的ECC国家标准算法,完整实现ECC国家标准算法的芯片已经研发成功,ECC国家标准算法的推出将规范和推动ECC技术和产品在我国的发展和应用,正式揭开ECC在我国实现大规模产业化的序幕。伴随我国社会信息化进程而不断增强的信息安全需求,伴随网络信息发展而不断扩展的网上业务的保密和认证需求,使得ECC在我国具有潜在的巨大市场。如我国迫切期待建设的庞大的PKI系统及其上的各种应用系统,将是ECC技术广泛应用的天地,必将成为ECC产品市场迅速成长主要牵引力。2003年5月12日中国颁布的无线局域网国家标准GBl5629.11中也采用了ECC算法,并包含了全新的WAPIWLAN Authentication and PrivacyInfrastructure安全机制。WAPI结合ECC技术和对称密码技术非常完美的解决
展开阅读全文
收藏
下载资源

加入会员免费下载





足球比分直播