（管理科学与工程专业论文）多重复合签名在电子政务中的研究与应用.pdf

国防科学技术大学研究生院硕七学位论文 摘要 近年来随着信息技术的发展，互联网给我们生活带来便利的同时，也带来种 种不安全因素。当前保证网络信息安全性的技术很多，而签名技术是其中必不可 少的部分，该技术保证了信息在数据传输中的真实性、完整性和不可否认性。因 此数字签名在信息安全中占有重要地位。 本文从多重数字签名技术的特性入手，通过分析相对实用、安全的l i 地1 9 有 序多重签名的方法及安全性问题，提出了“- y 趾g 有序多重签名的改进方案，该方 案能够有效防止各种伪造攻击和相邻用户互换签名，并且运行效率较其他改进方 案要高。 而后设计了与改进方案相兼容的广播多重签名，并与改进的有序多重签名相 结合，提出了相对安全的二层、三层多重复合签名方案。该方案与结构化多重复 合签名相比，具有不受签名顺序改变、成员加入删除等因素的影响；不用通过改 变签名成员的密钥，来适应新的签名环境的优点。 最后本文将这种多重复合签名方案应用到电子贷款审批系统中，通过多重复 合签名、数据加密技术来确保贷款单位及审批过程中数据传输的保密性、完整性， 及可认证性等安全性要求。这些特点使多重复合签名能够在公文流转、文件审批、 财务报销等方面得到很好的应用。 关键词：电子政务；信息安全；数字签名；多重复合签名；伪造攻击 第i 页 国防科学技术大学研究生院硕七学位论文 a b s t r a c t w i mt h ed e v e l o p m e n to f 证f 0 衄a t i o nt e c l l i l o l o g y ，h l t 锄e tb r i i 垮c o n 啪i e n t 0 o u rl i v 骼，a tt h es 锄et i m c ，i tc 叭s 髂v 撕o u si n s e c ef 酗。巧d i 百t a is i 鲈a t i l t l 鹊t l 伧 m o s ti m p o n 锄c e 锄o n ga1 a 唱em m l b e ro ft e d m 0 1 0 舀髓m a t 伽【赋et l l ei i l f 0 肌a t i o n s e c l l r i 呗锄di t e 咖他sn l e 缸e 鲥劬嬲m t i c 时a n d n - r e p u d i a t i o nd u 血gn l e e x c h 锄g eo fi i l f o 珊a t i o n s od i 百t a ls i 印a t i 鹏p l a y s 锄i l i l p o r t 狮tp 抓i i li i l f o m 撕0 n s e c u r i t ) ，f i e l d i i l “sp 印b y 锄a l y s i so f “一y 缸g ss e q u 锄c en m l t i - s i 朗a t u 】es c h 锄l e ，柑c hi s r e l a t i v d ys a 向a n dm o r ce 舵c t i v e ，、阳d 铝i 龋e d 锄i n 】椰o v e ds c h 锄eo fs e q u 饥 m u l t i - s i 印a t i l t h ei m p r o v e ds c h 既n en o to i l l yc 觚p r e 帕l ta 州e t yo ff o r g e 叫绷【a i 虫 b u ta l s oc 锄p r e v e n tm ec x c h 锄g ed i 百t a ls i 印栅eb e t w 咖m ea d j a c t 伽on e i 哲1 b o w u s e 瑙，锄dt l l es c h e m ea l s oh 嬲n l eb 舐e re 伍c i 饥c yc 0 m p a r et 0o t l l e rs c h e n l e s e c o n d l y ，、v ed e s i g n e d l en e ws c h 锄eo fb r o a d c 嬲t i i l gi i m l t i - s i 印a t u r ew h i c hi s c o m p a t i b l ew i mt l l ei i i l p r o v e ds c h e m e w i mt l l e s ew ep r o p o s e dm u c hs a f 打s c h 锄鹤o f t h es e c o n dl a y c rc o 埘【b i n a t i o n 埘【u l t i s i 口a t u r e觚dt l l e l i r dl a y e rc o r i 】l b i n a t i o n m u l t i - s i 印a t u r e c o m p a r e 谢t l lt h c 蛐r l l c t u r e dm u l t i s i 印a t u r es c h c i i l e ，t h i ss c h 锄鹪 c o u l di 印o a f 鼢sd u et oc h 锄西n gm e l i l b e r so rs i 驴嘲鹏o r d e rc h a n 舀n g ，锄dn e e d l l t t oc h 趾g em 锄b e r s s c c r e tk e y sf o ra d a p t i n gn e ws i 印a t u r c 晌n m e n t f i i l a l l ym es c h e n l ew 弱a p p l i e di i le l e c 仃0 nl o 觚c x 锄i n 撕o ns y s t 弧，c o n l b i n a l i o n m u l t i - s i 盟狐鹏a n d d a t a髓c r y p t i o nt e c h n o l o g yg u 觚呲e e dt l l ee l e c 缸d nl o 觚 e x a m i n a t i o nd a t ew 勰 c o n f i d 锄t i a l ，i n t e g r a l ，a u t h e n t i c ， 锄dc o u l d tb ed 锄i e d c o i l s c q u e n t l y ，t l l i sc o m b i i l a t i o nn “t i - s i 印a l l 鹏h 嬲s 撕s 伽n g 印p l i c a t i 伽i ne l e c 仃d 1 1 i c d o c 啪e n t 缸l s m i s s i o n ，d o c l 蛐te x a 面n a t i o 玛a p p r o v a l 姐ds o m ef i n a l l c i a la f f a i r s k e y w o r d s ：e - g o v e n l m e n t ；础b 咖a t i o ns e 州t y ；d i 百t a ls i 印a h 鹏； c o m b i n a t i o n m u l t i s i 印a n 鹏；f - 0 唱e r ya t t a c k 第i i 页 国防科学技术大学研究生院硕士学位论文 图表目录 图2 一l 散列函数示意图。1 l 图2 2 数字签名过程l2 图2 3 数字签名验证过程1 2 表2 1r s a 公钥因式分解所需计算机运行时间1 3 图4 1 复合签名实例3 3 图4 2 一层多重签名3 7 图4 3 二层复合多重签名3 8 图4 4 三层复合签名4 2 图5 1 系统总体结构6 0 图5 2 系统审批流程图6 l 图5 3 数字签名审批流程图6 3 图5 4 数字签名验证流程图6 4 图5 5 多重签名流程6 5 图5 6 预录入模块描述6 6 图5 7 初审模块描述6 6 图5 8 复审模块描述。6 7 图5 9 抵押贷款变更模块描述6 7 图5 1 0 系统签名模块描述6 9 第页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目：垒重复佥筌垄查电王遮鑫史鲍盈究生廑周 学位论文作者签名：主塾星垒日期：j 叼年d 月2 乞日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阋：可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：垒重复佥签名查电王邀盔主的盈塞皇廑周 学位论文作者签名：立墨豸筵日期：o 卯7 年咿月 蝈 作者指导教师签名： 硷堑近一日期：细7 年厂。月2 乙日 国防科学技术大学研究生院硕士学位论文 第一章绪论 随着网络技术和计算机软件技术的迅速发展，特别是h l t 踟1 引i n 缸锄c t 的出现 及其相关技术的迅速发展，信息革命为人们的日常生活带来便捷的同时也产生了 一些不安全因素。网络的全球性、开放性在为电子政务提供极大便利的同时，也 为信息安全带来极大的威胁，非授权访问、信息泄密、冒充合法用户、破坏数据 完整性、干扰系统正常运行等，将对数据的保密性、完整性、不可抵赖性及网上 人员的身份真实性、隐私权等带来了极大的损害【l 】。随着电子政务的应用系统逐渐 增多，这类问题显得越来越重要。为此，信息安全是当前紧需解决的一个问题。 1 1 论文的研究背景及其理论意义 1 1 1 电子政务中的信息安全 电子政务通常是指政府机构在其管理和服务职能中运用现代信息技术，实现 政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，建成 一个精简、高效、廉洁、公平的政府运作模式。 电子政务以电子形式取代了纸张，是当前国家信息化工作的重点，是深化行 政管理体制改革的重要措施。随着电子政务建设的深入发展，政府各种业务管理 对网络和计算机信息系统的依赖程度将会越来越高。在这种情况下如何保证网络 环境下政府信息安全成了电子政务建设的重中之重。在传统政务中，文件或通知 等是根据亲笔签名或印章来证明其真实性，签名起到认证、核准和生效的作用。 目前在网络中比较常用的是基于口令的认证方式，这是一种弱认证方式，口令在 网络传输的过程中很容易被窃取和破译，不适用于安全性较高的场合，而且其认 证过程是单向的，浏览器不能对服务器进行认证。由于当前网络中的每一次信息 数据或文件的交换都有可能受到非授权用户的数据窃取。因此，电子政务应该比 传统政务要求更安全、更可靠。如何保证这种电子形式信息的有效性、真实性、 机密性、数据的完整性、可靠性和不可抵赖性，则是开展电子政务的前提。建立 安全的电子政务，则应加强和规范电子政务网络信任体系建设，建立有效的身份 认证、授权管理和责任认定机制。同时应该建立健全信息安全监测系统，提高对 第1 页 国防科学技术大学研究生院硕士学位论文 网络攻击、病毒入侵的防范能力和网络失泄密的检查发现能力。并且还应统筹规 划电子政务应急响应与灾难备份建设；完善密钥管理基础设旌，充分利用密码、 访问控制等技术保护电子政务安全，促进应用系统的互联互通和信息共享。 1 1 2 数字签名技术在信息安全中的重要意义 如何提高信息安全是当前紧迫的一个课题，信息安全的中心内容是保证信息 在数据传输及交互中的保密性、认证性和完整性。传统的密码体制，其主要功能 是用于信息保密。而现代密码体制中的数字签名则主要是保证信息在系统的可认 证性和完整性。数字签名作为计算机数据安全的一项重要安全机制，主要用来实 现抗抵赖性服务，从而保证通信双方的利益，因此，数字签名在计算机安全网络 中占有重要地位。特别是随着网络技术的飞速发展和应用，数字签名技术己成为 计算机网络安全不可缺少的一项安全措施。目前，数字签名已应用于商业、金融、 军事等领域，尤其是在电子邮件( e m a i l ) 、电子资金转帐( e f t ) 、电子数据交换( e d i ) 、 软件分发、数据存储和数据完整性检验和源鉴别中有着广泛的应用，这就更使人 们看到了数字签名的重要性，从而受到了广泛的关注【2 】。多重签名技术是数字签名 技术的一个分支，该技术是由i t a l ( u r a k 在1 9 8 3 年提出的【3 1 ，它是一种特殊的数字 签名，与一般的数字签名技术不同，该技术要求一个文档必须经过多个签名人的 签名才有效，多重签名技术分为有序多重签名和广播多重签名两种形式，由于其 特殊性，因此该技术的研究尚处于起步阶段，但是其在电子政务、电子商务中都 有着广泛的应用，例如：公文流转、电子审批、财务报销等。 尽管我国在签名技术上特别是在散列函数的安全性上的研究取得了一些成 果，但是在数字签名技术的应用水平方面还与国外存在着一定的差距。总体来说 我国的数字签名技术尚处在初步阶段，在理论、技术、应用以及标准化方面都仍 需很大的改进。目前国内对数字签名的研究主要集中在电子商务领域，而且由于 这些方案大多仍处于实验研究阶段，真正能够在实际应用中的产品不多且许多产 品仍存在着一定的缺陷，尤其是在针对电子政务的数字签名技术的研究依然极少， 这就在很大程度上影响了我国政府信息化建设的进度。 数字签名技术在发达国家都得到了快速发展，但许多国家为了其本国的利益， 对签名技术进出口有着不同的限制规定。而美国在这方面制定了相当严格的规定， 第2 页 国防科学技术大学研究生院硕十学位论文 该国规定数字签名、密码属于军用品，如果无合适的出口许可证向国外出售相关 技术，将被视作国际军火走私，而且美国为了保证其数字签名技术的领先，限制 向中国等国家出售数字签名新产品或严格限制密钥长度。而我国也在1 9 8 9 年制定 了国家秘密技术出口审查暂行规定等方案来保证我国的最新密码签名技术不 致出口到国外。由此，在当前情况下，引进先进的数字签名技术是相对困难的。 从战略利益的角度看，我国必须走独立自主的道路，发展自己的密码应用技术。 1 2国内外研究现状及发展趋势 1 2 1 数字签名研究现状 数字签名( d i 西t a ls i 皿a t i 玳) 最早是由d i 伍e 和h e l l m m 【4 j 在1 9 7 6 年，利用公钥密 码学的思想提出的。数字签名是只有信息发送者使用公开密钥算法的主要技术， 从而产生的别人无法伪造的一段数字串，发送者用自己的私有密钥把数据加密后 传给接收者。接收者用发送者的公钥解开数据后，就可确定消息来自于谁，同时 也是对发送者发送的信息的真实性的一个确认，发送者对所发信息不能抵赖。一 个安全的数字签名必须满足以下要求：( 1 ) 接收者能够核实发送者对报文的签名， 防止冒充；( 2 ) 发送者事后不能否认对报文的签名；( 3 ) 任何人不能伪造报文和 签名；( 4 ) 保证数据的完整性，防止数据被篡改。 数字签名的概念自从提出以来，引起了密码界和计算机网络界的普遍关注， 密码学研究者根据应用环境的要求，先后设计了多种数字签名方案。其中比较著 名的方案有：( 1 ) 基于大整数因子分解的问题：其中由m v e s t 、s h 锄i r 和a d l 锄孤 三人实现的加密算法既r s a 方案【5 】并由此产生的签名算法；r a b i n 提出的r a b i n 签名 体制【6 】，该体制与骼a 方案很相似，但是由于其无法抵御适应性攻击，因此该方案 是及其不安全的，在实际应用环境中是不可用的；( 2 ) 基于离散对数问题，其中 较完美的是e l g 锄a l 设计的密码及签名体制【_ 7 1 ，该签名体制也是许多其他签名体制 的基础，并其衍生出诸如s c h n o 盯签名体制【8 明；( 3 ) 椭圆曲线离散对数系统：椭圆 曲线公钥密码系统( e c c ) 是在1 9 8 5 年由k o b l i t z ( 美国华盛顿大学) 和m i l e “i b m 公司) 两人分别提出的【1 0 1 ，它基于有限域上椭圆曲线的离散对数计算困难性问题，与r s a 相比，它的安全性更高、算法实现性能更好。 第3 页 国防科学技术大学研究生院硕十学位论文 由于数字签名方案较多，在各种签名体制中缺乏统一的标准，因此国际标准 组织( i s o ) 和i 国际电工委员会) 于1 9 8 4 年专门为此立项，截至2 0 0 6 年底共产生 6 4 项国际标准目录。而与此同时，各国的标准化组织也为了数字签名的标准化进 行积极的工作。以美国为例，美国国家安全局与国家标准技术研究所( n i s t ) 通 力合作，在1 9 9 1 年提出了美国数字签名体制d s s 【i l ，1 2 】及其算法标准d s a 。d s a 基于 最初的e l g 锄a l 数字签名方案，它与s c h n o n 签名体制一样，运行在一个很大的有限 域中的其中一个很小的素数阶子群内，而在这个有限域的范围内，通过离散对数 难解性问题来保证其安全性。因此与e l g 锄a l 签名体制相比，d s a 在很大程度上减 少了签名的长度。此外d s s 通过散列函数s h a 1 【1 3 】来防止伪造性。尽管中国的王小 云在2 0 0 5 年理论上破解了s h a 1 。但是在实际应用中要想破解1 6 0 位s h a 1 ，仍需 要大约2 6 9 次计算，才能找到破解，因此这种方案在事实上仍然是安全的。而后 n a c c a c h e 【1 4 】等人提出了许多方法来优化d s a 。 而我国对数字签名的标准化起步同样也较晚。全国信息技术安全标准化技术 委员会( c r r s ) 在1 9 8 4 年成立，主要负责全国信息技术领域以及与i s o i e cj t c l 相对应的标准化工作，它的工作范围是负责信息和通信安全的通用框架、方法、 技术和机制的标准化，归口国内外对应的标准化工作。其技术安全包括：开放式 安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用 安全功能的接口等。我国信息安全标准化工作，虽然起步较晚，但是近年来发展 较快，通过积极采用国际标准的原则，转化了一批国际信息安全基础技术标准， 制定了一批符合中国国情的信息安全标准，同时一些重点行业还颁布了一批信息 安全的行业标准，为我国信息安全技术的发展做出了很大的贡献。据统计，我国 从1 9 8 5 年发布了第一个有关信息安全方面的标准以来到2 0 0 6 年底共制定、报批 和发布有关信息安全技术的国家标准5 1 项，为信息安全的开展奠定了基础。为了 适应电子商务、电子政务发展的需要，中华人民共和国电子签名法于2 0 0 5 年4 月1 日起正式实施。该法案的提出标志着我国在信息安全上的关注程度将逐年加 大。 1 2 2 多重签名的研究现状及发展趋势 从数字签名中派生出许多签名，诸如群签名、多重签名、代理签名、盲签名 等。而多重签名是数字签名研究领域中的一个热点，它允许多人签署同一份文件。 多重数字签名概念及方案的提出大大拓宽了数字签名的应用范围。由于多重签名 第4 页 国防科学技术大学研究生院硕士学位论文 的基础也就是数字签名，因此主要有基于以下几种多重签名方案： 1 2 2 1r s a 多重签名 1 9 8 8 年，i t a l ( i l m 和n a k a 舢】阳以及o k a 1 0 t 0 分别以r s a 为基础提出了多重签 名系统【1 5 1 。1 9 8 9 年，h 锄和鼬d s k 提出了基于r s a 的多重签名体制【1 6 1 ，该方案 允许多人对消息进行签名，但是该方案的处理和验证效率依赖于签名者的个数。 1 9 9 6 年，t z o n 争c n 锄等人在基于大整数因子分解的困难性的基础上，提出了能够 解决有序与广播多重签名的两种方案【1 7 1 ，其实该方案也是类似的r s a 签名方式。 2 0 0 3 年8 月，张键红、韦永壮等在分析文科1 8 】只适合于有序多重签名，很难实现 广播签名的特点，而文献【1 9 】提出的多重签名的签名过程需要用户两次交互来产生， 而后在以上签名的基础上，提出一种基于r s a 的多重签名方案【2 0 】，该签名方案， 签名长度是固定的，且签名的顺序可以灵活的规定，计算量较少，但是相比其他 签名，该签名方案的长度较大，可用度不是很高。 1 2 2 2e l g a m a i 多重签名 e 1 g 锄a 1 签名体制是基于离散对数的基础上提出的，也是近几年研究的热点。 基于e 1 g 锄a l 的数字签名有很多种变形，同样基于e l g 锄a l 的多重签名也有很多 种衍生方式。 h 锄l 在1 9 9 4 年提出了一种基于m 她e l g 锄a l 签名的多重签名方案【2 1 1 ，该方 案只适用于有序多重签名，而后j ij i a - h u i 等人在1 9 9 6 年提出基于s c h n o r r 的两种多 重签名方案【捌，分别解决有序多重签名和广播多重签名。但是上述两种方案不仅 容易受到伪造攻击【2 3 1 ，而且通过伪造公钥可以伪造所有成员的签名【冽。文献【2 5 】基 于d s a 的数字签名思想，对s 岫的多重签名的安全性进行了改进，文献【2 6 】描述 了两种多重签名方案，但都没有对恶意签名重播和签名延迟进行处理。2 0 0 5 年， 褚红伟，葛玮提出了一种基于s c h n o r r 算法的多重签名方案【2 7 1 ，尽管该方案能够较 好地防止签名重发攻击和恶意签名延迟等攻击。但是该方案仍然不能有效的抵抗 伪造攻击。 1 9 9 9 年，“，y 锄g 设计了两种多重数字签名方案【2 8 】，一种适用于有序多重数字 签名，另一种适用于广播多重数字签名，这种新方案具有系统初始化简单，数字 签名具有随机性等特性，因此这样的多重数字签名方案具有更高的实用性和安全 性。同年，谭凯军等以美国数字签名标准d s s 为基础，设计了一种广播多重数字 第5 页 国防科学技术大学研究生院硕士学位论文 签名【2 9 1 ，但它要求每个签名者把k 和r 都发送给所有的签名者和验证者，这就无 形之中增加了系统的通信成本和安全隐患。同样在1 9 9 9 年，卢建朱等人利用h 锄 和x u 提出的一个特殊数字签名算法，提出了一种与d s a 验证方案类似的两种多 重数字签名方案：有序多重数字签名和广播多重数字签名【划。与谭凯军的方案【2 9 】 相比，该方案要求每个签名者仅把r 传播给所有的签名者和验证者，且在签名的过 程中相应参数的选取是随机的，降低了通信成本，提高了安全性。2 0 0 1 年，崔新 春等提出了一种新的多重签名方案【3 ，该方案是在文献【2 8 1 的基础上进行简单的变 形，但是该方案仍然无法有效抵抗各种伪造攻击。2 0 0 3 年，王庆梅等人，在文献 【3 2 1 的基础上提出了一种具有消息认证功能的多重数字签名方案【3 3 】。而后又有一些 文献【3 4 3 s 】将e l g 锄a l 签名体制和r s a 签名体制结合起来组成新的签名方案，但事 实上结合起来的签名方案并不比单一的签名体制更安全。 1 2 - 2 - 3 椭圆曲线多重签名 尽管上述方案形式各异，但安全性都是基于大数分解问题或离散对数问题。 而椭圆曲线上的离散对数问题与乘法群上的离散对数问题相比难度相当，而运行 速度却有提高，因此，现在一些学者把椭圆曲线的加密算法应用到多重签名领域。 2 0 0 3 年，h w a n gj j 利用椭圆曲线上的配对提出了两个基于身份的多重签名方 案【3 6 1 ，该算法具有匿名和非匿名的签名者。2 0 0 4 年，文献【3 7 】提出了基于椭圆曲线 和身份认证机制的多重签名方案，它以单向散列函数的功能取代签名验证方的角 色，而且签名大小为固定的长度。文献【3 8 】提出了一个不同性质的椭圆曲线方案。 在该方案中的每个签名成员具有不同的签名责任，而且签名验证者可以在不恢复 整个消息的前提下对部分消息进行验证。文献【”1 提出了结构多重签名的概念，并 基于g d h ( g a pd i 伍e h e l l i i l a l l ) 问题和椭圆曲线给出了一个安全的多重签名方案。 该方案能适合于有序、多重或两者混合的多重签名，更重要的是，它对以前的一 些结构多重签名方案的安全缺陷进行了修正，具有良好的实用价值。但是该方案 签名的顺序必须固定，同时签名成员不能添加或者删除，否则每个签名用户的密 钥与公钥又要重新生成。 2 0 0 5 年卢鹏菲，詹雄泉等提出了基于椭圆曲线的有序多重数字签名方案m 】， 尽管该方案计算量较少，但是签名验证的过程太依赖于签名中心，从而造成效率 不是很高。文献【4 1 4 2 】尽管在文献【删的基础上作了一定的改进，但是没有从根本上 第6 页 国防科学技术大学研究生院硕士学位论文 解决过于依赖签名中心，效率不高的缺点。椭圆曲线的多重签名的研究，尽管已 经取得了一些进展，但是现在对其的签名验证的效率问题还是今后研究的重点 1 3 论文主要内容和结构安捧 本文对多重签名进行了分析，通过对l i 吼1 9 有序多重签名进行改进，并重新 生成一种广播多重签名。而后结合两种签名方案，从而提出一种多重复合签名方 案，给出了包括二层多重签名和三层多层签名的具体方案，论文的主要研究内容 和结构安排如下： 第一章，绪论。概述了信息安全的重要意义，以及签名技术在信息安全中的 重要作用。分析了数字签名的发展及标准化的指定，以及多重数字签名的国内外 研究发展情况及研究热点。 第二章，多重签名的理论基础。简要地介绍了本文用到的一些概念和相关理 论，并对相关理论进行了分析。首先，介绍了数论的几个基础知识，然后介绍了 离散对数问题及散列函数，而后在这些基本知识的基础上简述了r s a 、e l g a m a l 、 椭圆曲线的几种常用数字签名技术，最后简要介绍了多重签名。 第三章，l i 舰l g 有序多重签名的安全性分析及改进。本章通过分析了l i y a n g 有序多重签名的安全性，指出其容易受到伪造攻击的原因，同时通过验证公钥机 制，给出了一种新的安全的有序多重签名方案。与原方案相比，改进方案能够有 效抵抗伪造攻击和防止相邻用户的互换签名，而且效率较高。 第四章，基于“- y 抽g 改进方案的多重复合签名。本章首先提出了一种新的广 播多重签名，该方案与第三章提出的l i y a n g 有序多重签名的改进方案相兼容，而 后提出了二层和三层的基于l i g 改进方案的多重复合签名方案，通过对其的安 全性进行分析，证明这两种多重复合签名方案的正确性和安全性。 第五章，多重复合签名在抵押贷款审批中的应用。通过一个具体实例，说明 了多重复合签名在实际中的应用，提出了抵押贷款合同审批的业务流程、模块划 分及对系统的安全性要求，最后给出了几个核心代码的实现。 第六章，结束语。总结了本文的主要研究内容和贡献，并提出了存在的不足 之处和今后进一步努力改进的方向。 第7 页 国防科学技术大学研究生院硕七学位论文 1 4 论文主要工作与创新 论文的主要工作与创新如下： ( 1 ) 在对l i 讹i g 有序多重签名安全性分析的基础上，拓展了针对该方案的 伪造攻击，同时证明了其他文献对其的改进方案仍然能够受到伪造攻击，并且通 过证明，指出其他改进方案不能防止相邻用户互换签名，造成签名顺序的混乱。 ( 2 ) 设计了一个新的有序多重签名方案，与原签名方案相比，运算量相同， 与其他改进方案相比省去了两次指数求幂的过程，从而提高了系统的效率，并且 能够解决伪造攻击和相邻用户的互换签名等安全性问题。 ( 3 ) 提出了一种新的安全的广播式多重签名方案。与原方案相比，在安全性 相等的基础上，效率更高，而且与本文提出的l i y 觚g 有序多重签名的改进方案相 兼容，从而可以更好的在实际中应用。 ( 4 ) 将有序多重签名与广播多重签名结合起来，组成一种新的安全实用的多 重复合签名方案。并且给出了二层、三层复合签名方案，与其他的复合签名方案 相比，该方案使用起来更灵活，不受签名顺序改变、成员加入删除等因素的影响， 从而不用通过改变签名成员的密钥，来适应新的签名环境，而且实现起来更加简 便明了。 ( 5 ) 将多重复合签名应用于电子政务中的公文审批，既能很好的提高办公效 率，同时又能在一定程度上保证系统的安全性。同时在数据的传输过程中采用加 密的方法，防止秘密数据的泄漏。 第8 页 国防科学技术大学研究生院硕士学位论文 第二章多重签名的理论基础 2 1 预备知识 公钥密码体制于1 9 7 6 年由d i 街e 和h d h i 砌提出的，这一体制的最大特点就 是采用两个不同密钥将加密和解密能力分开。目前，大多数公钥密码体制都是基 于一些数学难题构造的。 2 1 1 数论基本知识 2 1 1 1 欧拉函数 定义2 1 1 1 欧拉f 函数：设f ( n ) 是整数1 a n 中满足g c d ( a ，n ) = 1 的个数。 在这里g c d ( m 柚表示m 、n 的最大公约数。 定理2 1 1 1 ： ( 1 ) f ( 1 ) = l 。 ( 2 ) 如果n 是素数，则f ( 由= n - 1 。 ( 3 ) 如果g c d ( m ，n 户l ，则f ( 聊沪f ( 1 n ) + f ( n ) 。 ( 4 ) 如果i l = p 产p p ，其中p l ，p 2 p i 是n 的素因子，则 f ( n 户m ( 1 - l p 1 ) + ( 1 - 1 p 2 ) 幸( 1 l p i ) 2 1 1 2 本原根 本原根在一些教材或文献中又称为生成元，它是d i 伍e 和h e l l m 锄提出的公钥密 码体制的基础。 定义2 1 1 2 本原根：如果g 的阶m 等于f ( p ) ，则称g 为p 的本原根( 生成元) 。如 果g 是p 的本原根，则g ，9 2 ，g p 在m o dp 下互不相同且都与p 互素。特别 地，如果g 是素数p 的本原根，则g ，9 2 ，g p - 1 在m o d p 下都不相同。 定理2 1 1 2 ：设对素数p 而言，g 是p 的一个本原根 ( 1 ) 如果p 是整数，那么g ，兰1m o dp ，当且仅当p 三0m o d ( p 1 ) 。 ( 2 ) 如果j 和k 都是整数，那么g 兰g m o dp ，当且仅当j 三km o d ( p 一1 ) 。 第9 页 国防科学技术大学研究生院硕士学位论文 2 1 1 3 分数计算 在数论中b am o dn 并不表示两整数直接相除，然后对n 取模。而是代表b 木口1 m o dn ，这里的口_ 1 意味着模n 运算满足口_ 1 木a 兰1 dn 的情况。因此口1 并不表示 是一个分数，它仍然是一个整数，但它的性质与分数性质相似。 2 1 2 离散对数问题 很多密码系统的安全性都是基于数论上的某个困难性问题，例如大整数因子 分解困难性或离散对数求解困难性。所谓一个问题是困难的，指的是任何一个算 法都不能通过合理数量的资源( 如时间、内存等) 来解决这个问题。而其中的离 散对数问题是公钥密码体制的一个基本问题，它的安全性决定了很多密码算法的 安全性，如d i 伍e h e l l m 觚密码协议和e l g 锄a l 型签名体制及其变形等。 定义2 1 2 1 离散对数问题：设g 是一个有限n 阶循环群，g 是g 是的本原根，y g 。若整数x 满足0 x n 并且，其中y = g 。m o dn 。则x 称为y 以g 为底的离散对数， 把求x 的问题称为离散对数问题。如果g 不是g 的一个本原根，那么该问题就转化为 求最小的整数x ，使得y = g 。m o dn 成立。 定义2 1 2 2 广义离散对数问题：设g 是一个有限n 阶循环群，g 是g 是的本原根， y g 。若整数x 满足o x 一 o ，1 ) k 来表示。 散列函数由于其特定的性质，因此在签名方案中通常适用对消息的散列函数 而不是消息本身。在密码学领域中，判断一个散列函数是一个安全的散列函数除 了人们要求h 嬲h 函数必须容易计算。而且，至少还要满足下面几个性质： ( 1 ) 单向性：给定一个散列函数h ，根据h ( m ) 求出m 在计算上是不可行的， 或者说h 是一个单向的不可逆的函数。 ( 2 ) 弱抗冲突( w e a kc 0 1 l i s i o n - 懈；i s t a l l t ) ：对于一个给定的x ，很难找到一个x x ；使得h ( x ) = h ( x ) 【矧。 ( 3 ) 强抗冲突( s 仃o n gc o l l i s i o n - 麟i s t a l l t ) ：很难找到一对( x ，x ) ，并且x x ， 使得h ( x ) = h ( x ) 【韧。 弱抗冲突的散列函数，是在给定x 下，考察与给定的x 有无无冲突性；而强抗 冲突的散列函数是考察输入任意两个元素的无冲突性。判断一个散列函数的安全 性取决于其抗各种攻击的能力，几乎所有的散列函数的破解，都是指的破坏上面 的第三条性质，即找到一个碰撞。 现在常用的散列函数有砌v 鹤t 发明的m d 系列、n i s t ( 美国国家标准技术研究 所) 提出的s h a 系列。对于对散列函数一般有三种基本攻击方法：穷举攻击法、生 日攻击法、中途相遇攻击法。值得一提的是中国的王小云先后给出了m d 5 ，s h a o 的碰撞，以及s h a 1 的理论破解。在散列函数的破解方面作出了很大的贡献。 第l l 页 国防科学技术大学研究生院硕七学位论文 2 2 几种常用经典签名算法 数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签 名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证。数字签 名是一种加密措施，使接收方能够验证数据完整性和确认数据发送者身份，并可 由第三方确定签名和所签数据真实性。不同于传统签名，数字签名是基于公开密 钥密码体制，依据一定的加密算法构造的。数字签名签名一般按照以下原理进行 工作： ( 1 ) 签名人对于一个消息，用自己的私钥对消息进行加密处理，然后把消息 以及处理后的结果发送给其他人。签名过程如图2 2 所示： 图2 2 数字签名过程 ( 2 ) 验证方在收到消息和加密结果后使该用户的公开密钥将该用户的处理进 行还原，如果还原的结果与消息相符，则说明该签名人签名有效，否则签名无效， 验证过程如图2 3 所示： 图2 3 数字签名验证过程 第1 2 页 国防科学技术大学研究生院硕士学位论文 2 - 2 1r s a 数字签名 r s a 签名体制是继d i 伍e 和h e l l i l l 觚提出数字签名思想后第一个数字签名方 案。它是一种比较安全的方案。 息) 。 2 2 1 1 签名方案 l 、系统建立 ( 1 ) 生成两个大素数p 和q ，计算n 印幸q ，公布n ，秘密保存p 、q 。 ( 2 ) 签名用户随机选择l 毋2h ( m ) 乃0 勺m o d = l，= l= l= l，= l，；l ( p - n 。，jfilji g 兜矽2 荟_ 。善。协克矽m o dp = g 善”m ) 宰史矽( g ( 嘉。七门 m o dp = ( g 而g 而g t ) m m ) 卉，夕( ( g 毛) 1 ( g 七2 ) 厂2 ( g 屯) ) m o dp ：( j ，l 木j ，2 木y j ) m 呻吏矿( 中幸哆幸幸) m o dp = i = i ( y ，) h ( m ) i = i ，夕i = i 乎m o d p = i = i ( y ，) h ( m n l o d p ，= i，= i，= i，= i 因此，如果+ 以前得签名用户都按正常签名顺序，则等式 g 毛兀，夕= 兀( y ，) l l ( m ) m o dp 必定成立，同样可以证明，当所有用户都签完名后等式 ，= l，芒l n一 g “兀，夕= 兀( y ，) m m ) m o dp 必定成立。 ，= l，= l 第2 l 页 国防科学技术大学研冗生阮坝士字倪论又 3 2 2 可跟踪性 签名用户u 可以通过g 毛史哆5 史( y ，) m m ) m 。d p ，来验证u q 用户的 签名是否有效，而y l ，y 2 ，y ，为阢+ 。之前其他用户的公钥，因此u f + l 可以跟踪 到之前用户的签名，从而可以确认签名人。因此任何签名人对消息进行签名后， 都不能对结果进行抵赖。同理，所有用户都签完名后，消息验证者【，也能根据等 式g 妻矽2 真( y j ) k m ) m o d p ，跟踪所有用户的签名，从而所有签名者都不能对 签名进行抵赖，否则等式g hn ，夕= 疗( j ，) m m 也就不成立。 j = -j = i 3 2 3 抗破解性 该签名是以e l g 组试签名体制为基础的，尽管系统公布p ，g ，并且用户公布 自己的公钥y ；、巧。但是由于m = g 而m o dp ，根据离散对数难解性问题，知道y ， g ，p ，想要求出而，在计算上是不可行的。同理= g 吒m o dp ，知道，g ，p ，求 解岛也是不可行的。 假设用户u ，想要实现伪造签名，要使签名能通过验证，必须使等式 g 而卉厂夕= 血( y ，产m m o dp 成立，尽管各用户公布了( 少。，y 2 y ，) 和( ，吃 ) ，求得g 毛2 岛( j ，) m m ) 垂矽m o dp 很容易的。但是，想要求出量难度也就是 求解离散对数的难度，无法求出量，也就无法将( ，q ，m ) 发送给下一个签名者。同 理通过计算求出s 。也是几乎不可能的。 第2 2 页 国防科学技术大学研究生院硕士学位论文 3 3 对该方案的攻击 l i - y a n g 多重签名方案在正确性、可跟踪性以及匿名性上是成功的。虽然该方 案不能直接进行伪造攻击，但是由于该方案没有对签名者的公钥进行验证，因此 容易造成有些恶意成员伪造公钥，然后再进行伪造攻击。同样一些成员联合勾结 也能对此方案进行各种攻击。 3 3 1 伪造攻击 3 3 1 1 对原方案的伪造攻击 文献【5 1 1 对该方案进行分析后，提出通过伪造某个y ，实现两种伪造攻击的方 法 ( 1 ) 签名者中任何一个签名者都能直接伪造出一个u ，玑对消息 m 有效的有序多重数字签名。 ( 2 ) 签名者能伪造u ，对消息m 的有序多重签名。 通过证明可以得知，如果某个签名者u ；截获了该签名者之前任何人u ，的签名 ( 0 ，0 ，m ) ，则可以伪造，对消息m 的有序多重签名。 因此其实( 2 ) 可以扩展为能伪造u 厂，u 厂+ l 对消息的m 的有序多重签 名。其中f 必须满足( 1 f g 血，尹= f i ( y ，) h ( m ) m o dp ，故可以通过伪造公钥，实现对该方案的伪造攻击。 3 3 1 2 对改进方案的伪造攻击 文献【5 2 1 提出了一种新的有序多重签名方案，该方法在原方案的基础上作了以 下改进： ( 1 ) 3 1 2 节签名阶段，用户在处将签名结果( 1 ，j ，m ) 换为( ，s 。，s ：，墨，m ) 。 ( 2 ) 3 1 3 节验证阶段，令l p ，夕m o d ( p 1 ) ，s = r 木s 。m o d ( p 1 ) ；u ，将处的验 证签名结果换为r 置g s = n ( y ，) r 叫m m o d p 尽管该方案在一定程度上增加了安全性，但是仍然不能有效解决伪造攻击。 仍然可以采取文献【5 1 】中的第一种攻击方案，以能直接伪造出一个u 。，u ：，u 对m 有效的有序多重数字签名。方法如下： ( 1 ) 用户u f 随机取一个 1 ，p 一2 ，计算j ，：= g 而m o dp ( 2 ) 令y ；= 建y ；1j ，：m o d p ，公布其公钥为m j ： ( 3 ) 随机选择七， 1 ，p 一2 ，计算厂，= g 后m o dp ；j = 1 n 。 ( 4 ) 计算j ：= 而h ( m ) 一0 后m o d ( p 一1 ) ，并将( 1 ，2 ，j ：，m ) 发送给u ， = l 第2 4 页 国防科学技术大学研究生院硕士学位论文 证明：g j ：= g k 吣荟。屯】= ( g 而) g 荟。七，m c h d p 又因为耍垆2 兜( g 一) 乃n 川p = g ( 善一肿d p 得9 1 - 矗，夕= ( 矿) 。曲m o d