溫圣軍 韓春曉 杜 琳 袁 剛

(國家市場監(jiān)督管理總局信息中心 北京 100820)(wenshengjun@samr.gov.cn)

電子郵件作為互聯(lián)網(wǎng)最為廣泛的應(yīng)用之一，因其內(nèi)容的敏感性及收發(fā)協(xié)議的明文傳輸特性，在身份認(rèn)證、報(bào)文傳輸及存儲方面存在安全風(fēng)險(xiǎn)，即使采用SSL進(jìn)行簡單傳輸加密，也存在單向認(rèn)證、易受中間人攻擊的可能性，導(dǎo)致個(gè)人隱私、商業(yè)機(jī)密甚至國家秘密泄露.針對上述電子郵件的安全問題，目前較好的解決方案有基于公鑰基礎(chǔ)設(shè)施(public key infrastructure, PKI)的非對稱密碼體系[1-2]和基于標(biāo)識的密碼體系[3-4](identity-based cryptography, IBC)2種.基于PKI的安全郵件系統(tǒng)[5-8]被廣泛采用，但存在成本高、管理復(fù)雜等缺點(diǎn).基于IBC的安全郵件系統(tǒng)[9-10]由于減少了繁瑣的證書/公鑰交換及驗(yàn)證環(huán)節(jié)，且使用橢圓曲線密碼算法，有效提升了系統(tǒng)效率，但I(xiàn)BC體系設(shè)計(jì)中存在負(fù)責(zé)生成私鑰的第三方信任機(jī)構(gòu)(trust authority, TA)或密碼生成中心(key generation center, KGC)，用戶私鑰完全依賴其生成，很難避免第三方以授權(quán)用戶身份進(jìn)行惡意活動(dòng)，存在密鑰托管的固有安全缺陷.本文通過分析當(dāng)前主流安全郵件系統(tǒng)設(shè)計(jì)方案的優(yōu)缺點(diǎn)及解決方法，選取無證書公鑰加密方案[11-12]作為解決密鑰托管問題的一種技術(shù)，以普及的智能終端作為令牌/指紋認(rèn)證系統(tǒng)，實(shí)現(xiàn)對用戶的安全認(rèn)證，結(jié)合國密SM3雜湊算法、SM4對稱密碼算法[13]、SM9基于身份標(biāo)識的公鑰密碼算法，在滿足安全系統(tǒng)設(shè)計(jì)數(shù)據(jù)交互真實(shí)性、完整性、機(jī)密性等安全特性的同時(shí)，降低了對第三方信任機(jī)構(gòu)或密碼生成中心的依賴度，增強(qiáng)了郵件系統(tǒng)自身的安全性.

1 基礎(chǔ)介紹

1.1 相關(guān)背景

目前，PKI證書體系已成熟應(yīng)用于安全郵件系統(tǒng)，但由于該體制需要頻繁交互驗(yàn)證及構(gòu)建基礎(chǔ)設(shè)施，存在使用繁瑣、成本較大、管理復(fù)雜等缺陷.IBC密碼體系以用戶標(biāo)識作為用戶公鑰，減少了PKI體系中對用戶公鑰的管理認(rèn)證，極大簡化了系統(tǒng)設(shè)計(jì)，降低了系統(tǒng)復(fù)雜性，但該方案由于存在可信第三方TA/KGC，用戶私鑰完全依賴其生成，TA/KGC既能夠合法取得授權(quán)從事惡意活動(dòng)，也面臨一旦被攻破導(dǎo)致系統(tǒng)安全性完全失效的可能，存在著密鑰托管的天然缺陷.

針對IBC的上述問題，解決的主要方式為盡量降低對TA/KGC的信賴度.綜合當(dāng)前的主要解決方法，可概括為(t，n)門限方案及用戶秘密方式2類.(t，n)門限方案主要采取多個(gè)授權(quán)機(jī)構(gòu)共同完成密鑰生成的關(guān)鍵任務(wù)來解決密鑰托管問題，但構(gòu)建多個(gè)授權(quán)機(jī)構(gòu)帶來了額外成本.用戶秘密方式目前主要分為基于證書和無證書2種類型，基于證書的解決方案完全克服了密鑰托管缺陷，但顯然是一種類PKI結(jié)構(gòu)，失去了IBC的優(yōu)勢.基于無證書用戶秘密方式的解決方案，在有效解決IBC密鑰托管問題的同時(shí)，保持了IBC體系簡單易用、成本較低的特點(diǎn)，是目前基于IBC體系設(shè)計(jì)安全郵件系統(tǒng)的一個(gè)發(fā)展方向，也是本文提出的安全郵件系統(tǒng)設(shè)計(jì)方案所采取的密鑰托管問題解決方案.

1.2 IBC密碼體系基礎(chǔ)

IBC密碼體系的概念最早由以色列密碼學(xué)家Shamir(原PKI體系的設(shè)計(jì)者之一)于1984年提出，其最大特點(diǎn)是將實(shí)體標(biāo)識本身用作實(shí)體公鑰，不再依賴證書和證書管理系統(tǒng)，極大簡化了管理密碼系統(tǒng)的復(fù)雜性，在國際國內(nèi)得到了廣泛推廣應(yīng)用.現(xiàn)階段，IEEE P1363.3的基于標(biāo)識的密碼技術(shù)工作組正在進(jìn)行相關(guān)算法的標(biāo)準(zhǔn)化工作，ISO/IEC已完成2個(gè)基于標(biāo)識的簽名算法標(biāo)準(zhǔn)化.在國內(nèi)，國家密碼管理局已于2016年正式公布SM9標(biāo)識密碼算法，該算法采用橢圓曲線上的雙線性對作為基礎(chǔ)數(shù)學(xué)工具，可使用如郵件地址、手機(jī)號等具有唯一性的標(biāo)識作為用戶公鑰，進(jìn)行數(shù)據(jù)加密和身份認(rèn)證，非常適合電子郵件保護(hù).

1.3 無證書密碼學(xué)基礎(chǔ)

為有效解決IBC中的密鑰托管問題，Sattam等人[11]于2003年提出了無證書公鑰密碼學(xué)(certificateless public key cryptography, CL-PKC)的概念.在CL-PKC中，用戶的完整私鑰由TA或KGC提供的部分私鑰和用戶定義但TA/KGC不知道的秘密值組合生成.Al-Riyami和Paterson提出的算法(簡稱AL-P)可概括為安裝、用戶秘密值選取、部分私鑰生成、完整私鑰生成、公鑰生成5個(gè)部分.設(shè)定IG為線性Diffie-Hellman問題參數(shù)生成器，k為輸入?yún)?shù).AL-P算法各部分功能簡要描述如下：

1) 安裝，由KGC執(zhí)行.

Step1.以k為輸入?yún)?shù)，運(yùn)行IG，生成(G1，G2，e)，其中G1,G2為素?cái)?shù)q和e的階群，并滿足G1×G2→G2；

Step2.任意選擇P∈G1；

Step3.隨機(jī)選擇主密鑰s∈*q，計(jì)算P0=sP；

Step5.KGC公布系統(tǒng)參數(shù)(G1,G2，e，n，P，P0，H1,H2)，安全保存主密鑰s.

2) 用戶秘密值選取，由用戶執(zhí)行.

設(shè)定IDm為用戶m標(biāo)識，任意選取xm∈*q作為秘密值，計(jì)算Xm=xmP并提交Xm給KGC.

3) 部分私鑰生成，由KGC執(zhí)行.以Xm和IDm∈{0,1}*為輸入，計(jì)算用戶m的部分私鑰Dm.

Step1.Qm=H1(IDm‖Xm)；

Step2.Dm=sQm∈G1.

4) 完整私鑰生成，由用戶執(zhí)行，生成完成私鑰Sm.計(jì)算Sm=XmDm=xmsQm∈G1.

5) 公鑰生成，由用戶執(zhí)行，生成用戶公鑰對Pm.

Step1.計(jì)算Xm=xmP，Ym=xmQm；

Step2.形成Pm=(Xm，Ym).

2 系統(tǒng)設(shè)計(jì)

依據(jù)前述分析，本文的安全郵件系統(tǒng)除具備郵件系統(tǒng)的常用功能外，應(yīng)滿足高安全性要求，即在具備郵件傳輸機(jī)密性、完整性、真實(shí)性的同時(shí)，能夠保證避免TA/KGC獲取合法授權(quán)進(jìn)行可能的惡意活動(dòng)的安全特性.

2.1 整體設(shè)計(jì)

依據(jù)實(shí)現(xiàn)功能，安全郵件系統(tǒng)主要分為私鑰生成模塊(KGC)、標(biāo)識(公鑰)管理模塊、算法模塊、客戶端模塊、其他輔助模塊5部分.如圖1所示，KGC與用戶合作，調(diào)用算法模塊產(chǎn)生主密鑰、系統(tǒng)參數(shù)及用戶完整私鑰及秘密值公鑰.標(biāo)識(公鑰)管理平臺對用戶標(biāo)識進(jìn)行管理.客戶端模塊在用戶生成完整私鑰后，結(jié)合標(biāo)識(公鑰)管理平臺相關(guān)數(shù)據(jù)，調(diào)用算法模塊進(jìn)行郵件加/解密、簽名/認(rèn)證、完整性計(jì)算等操作，配合輔助模塊完成加密郵件的收發(fā).

圖1 國密安全郵件系統(tǒng)整體設(shè)計(jì)架構(gòu)圖

系統(tǒng)中各組成部分的功能具體為：

1) KGC.私鑰服務(wù)器，調(diào)用AL-P的安裝算法，生成主密鑰s及系統(tǒng)參數(shù)(G1，G2，e，n，P，P0，H1，H2)，接收用戶秘密值計(jì)算后的值Xm，生成部分私鑰Dm.

2) 算法模塊.集成AL-P算法(含安裝、用戶秘密值選取、部分私鑰生成、完整私鑰生成、用戶公鑰生成5個(gè)子模塊)，國密公鑰算法SM9(簽名/認(rèn)證)，國密對稱密碼算法SM4(數(shù)據(jù)加解密)，國密雜湊密碼算法SM3(完整性驗(yàn)證).

3) 客戶端.包括郵件系統(tǒng)部署、郵件內(nèi)容加密存儲，提供基于標(biāo)準(zhǔn)郵件協(xié)議的郵件收發(fā)，實(shí)現(xiàn)郵件收發(fā)加解密，調(diào)用算法模塊進(jìn)行真實(shí)性、完整性驗(yàn)證.

4) 用戶.選擇秘密值xm，計(jì)算并發(fā)送Xm給KGC. KGC生成Dm后，調(diào)用算法模塊計(jì)算完整私鑰Sm及公鑰Pm.通過標(biāo)識(公鑰)管理平臺預(yù)注冊用戶標(biāo)識、進(jìn)行公鑰存儲等.

5) 標(biāo)識(公鑰)管理平臺.進(jìn)行標(biāo)識管理、公鑰存儲發(fā)布，支持用戶注冊及自管理.

6) 輔助模塊(除用戶外).智能終端以指紋、人臉認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證，在終端安全存儲區(qū)(即隱私空間)實(shí)現(xiàn)秘密值安全存儲.防病毒、反垃圾、旁路監(jiān)控功能部件及防火墻作為郵件系統(tǒng)的外圍安全輔助防護(hù)措施，統(tǒng)一構(gòu)建安全郵件系統(tǒng)的安全保護(hù)機(jī)制.

2.2 通信過程

假設(shè)用戶Alice向用戶Bob發(fā)送加密郵件，選擇各自郵件地址為用戶標(biāo)識IDAlice,IDBob，即IDAlice=alice@a.com，IDBob=bob@b.com，郵件內(nèi)容為T，Alice的定義秘密值為kAlice，Bob的定義秘密值為kBob，具體通信過程如圖2所示：

圖2 國密安全郵件系統(tǒng)通信流程圖

在圖2中，Alice向Bob進(jìn)行安全郵件通信時(shí)，分為預(yù)處理、公鑰驗(yàn)證、加密、簽名及最后的封裝發(fā)送5個(gè)環(huán)節(jié)，完成對發(fā)送對象的公鑰驗(yàn)證、明文加密簽名及最后的發(fā)送操作.具體的各階段計(jì)算過程為：

1) 預(yù)處理階段.通信雙方在自域范圍內(nèi)的標(biāo)識管理平臺進(jìn)行預(yù)注冊，標(biāo)識管理平臺收集用戶提供的自身標(biāo)識ID、公鑰P并進(jìn)行存儲、發(fā)布.

2) 公鑰驗(yàn)證階段.Alice作為會(huì)話發(fā)起方，首先在Bob所在域的標(biāo)識管理平臺獲取Bob的公鑰及標(biāo)識ID并作公鑰驗(yàn)證.

3) 報(bào)文加密階段.對需要發(fā)送的明文T，Alice首先任意選定隨機(jī)數(shù)r，結(jié)合僅有自己擁有的秘密值xAlice及Bob公鑰XBob生成雙方會(huì)話密鑰，再生成本次報(bào)文加密使用的對稱密碼算法主密鑰K，調(diào)用算法模塊進(jìn)行報(bào)文加密后形成密文T′.

4) 簽名階段.主要完成對r的加密及報(bào)文T雜湊值T*的簽名，用于接收方對報(bào)文的完整性驗(yàn)證.

5) 封裝發(fā)送.依據(jù)郵件系統(tǒng)的部署環(huán)境，客戶端使用POP(S)/SMTP(S)/IMAP(S)、Web端采用https等郵件傳輸協(xié)議，按照相關(guān)封裝標(biāo)準(zhǔn)進(jìn)行格式封裝后發(fā)送.

Bob在收到郵件后，經(jīng)數(shù)據(jù)提取、公鑰驗(yàn)證、解密、認(rèn)證最終完成郵件系統(tǒng)的安全接收.

3 安全性分析

基于國密SM3雜湊算法、SM4對稱密碼算法及SM9標(biāo)識密碼算法，結(jié)合無證書密鑰生成機(jī)制設(shè)計(jì)的郵件系統(tǒng)，在有效解決密鑰托管缺陷的同時(shí)，保證了郵件系統(tǒng)數(shù)據(jù)交互機(jī)密性、完整性、真實(shí)性要求.

1) 機(jī)密性：以SM4對稱密碼算法保證郵件內(nèi)容的加密傳輸，每次生成密鑰K后，使用SM9密碼算法中的標(biāo)識公鑰對密鑰進(jìn)行再次加密形成K′后，與密文封裝成標(biāo)準(zhǔn)格式(如RFC 5751:Secure/Multipurpose Internet Mail Extensions Version 3.2 Message Specification)，接收方使用私鑰解密后可得密鑰K，進(jìn)而得到明文，無需密鑰交互即可達(dá)到一次一密的機(jī)密性.

2) 完整性：以SM3雜湊算法生成明文的摘要數(shù)據(jù)，與密文及加密后的對稱密鑰K′一起進(jìn)行標(biāo)準(zhǔn)格式封裝，接收方在解密得到明文后，同樣以SM3生成雜湊值，與封裝的原摘要數(shù)據(jù)進(jìn)行比對獲證數(shù)據(jù)完整性.顯然，中間人無法獲取明文便無法偽造雜湊值，即完整性既依賴于SM3算法本身，也依賴SM4對稱加密算法以及SM9簽名算法.

3) 真實(shí)性：應(yīng)用SM9標(biāo)識密碼算法，發(fā)送方使用完整私鑰對加密數(shù)據(jù)進(jìn)行簽名，接收方可使用發(fā)送方的公鑰對數(shù)據(jù)的來源真實(shí)性進(jìn)行核驗(yàn).偽造真實(shí)性的可能性取決于獲取另一個(gè)私鑰，使得同一個(gè)公鑰能夠進(jìn)行解密，這對SM9所采用的ECC密碼算法來說是困難的，從而保證了郵件系統(tǒng)數(shù)據(jù)的真實(shí)性.

4) 密鑰托管安全：從系統(tǒng)設(shè)計(jì)的密鑰生成過程可知，用戶私鑰的生成過程中，由于用戶定義秘密值k的參與，使得TA/KGC無法獲取用戶的完整私鑰，進(jìn)而無法取得授權(quán)身份，有效避免其進(jìn)行惡意活動(dòng)，保證了郵件系統(tǒng)的密鑰托管安全.

4 結(jié) 語

對比基于PKI/CA及IBC的安全郵件系統(tǒng)解決方案，本文提出的采用無證書密碼學(xué)的IBC安全郵件系統(tǒng)解決方案，由于節(jié)省了證書管理等環(huán)節(jié)，在結(jié)合KGC完成私鑰生成后，即可脫離TA/KGC完成郵件安全收發(fā)，用戶定義的秘密值雖然參與完整私鑰的生成，但第三方無法獲取相關(guān)信息，既有效克服了PKI/CA體系成本高、管理復(fù)雜的缺點(diǎn)，又防止了密鑰托管方進(jìn)行惡意行為的可能，在具備經(jīng)濟(jì)易用特點(diǎn)的同時(shí)，克服了IBC體系中的密鑰托管固有缺陷，提升了郵件系統(tǒng)的整體安全性，加之系統(tǒng)全部采用國密算法，在黨政機(jī)關(guān)和大型企事業(yè)單位的外網(wǎng)公務(wù)電子郵件系統(tǒng)應(yīng)用方面具有顯著優(yōu)勢和廣泛應(yīng)用前景.