（计算数学专业论文）口令验证以及代理签名的研究.pdf

中文摘要 随着计算机和网络通信技术的发展，口令与数字签名技术应运而生口令 是最广泛使用的一种验证用户身份合法性的方法授权的用户都拥有一个区别 于系统中其他用户的标识符i d 和秘密口令p i n 代理签名是一种特殊的签名 形式，它是由m a m b o 、u s u d u 和o k a m o t o 于1 9 9 6 年首次提出的在代理签名 中，原始签名人可以将其数字签名的权利委托给代理签名人，让代理人代替他 行使签名权 本文着重对一些口令验证方案和数字代理签名方案进行了研究，主要研究 内容包括： ( 1 ) 本文对口令验证系统作了一些理论介绍，研究、分析了口令验证系统 中各安全要素在验证过程中的地位作用及口令验证系统的内部机制，并提出 了一种新的基于伴随式译码的口令验证系统 ( 2 ) 对白国强等人发表的基于椭圆曲线的代理签名方案进行了仔细的 分析，解决了原来代理签名方案存在的一些不安全隐患，将签名过程作了一些 改进隐藏了代理签名信息，缩短了代理签名 ( 3 ) 结合基于椭圆曲线的代理签名体制和代理多重签名的基本知识，使用 双线性映射，构造了一种代理多重签名方案分析表明，该方案可有效地抵御对 代理签名的伪造攻击。满足代理签名所要求的安全特性 关键词 椭圆曲线，伴随式译码，口令验证，代理签名 a b s t r a c t ( 英文摘要) a l o n gw i t ht h ed e v e l o p m e n to fc o m p u t e ra n dn e t w o r kc o m m u n i c a t i o nt e c h - n o l o g y , p a s s w o r da n dd i g i t a ls i g n a t u r ea r i s e sa tt h eh i s t o r i cm o m e n t p a s s w o r di s t h em o s tw i d e l ym e t h o dt oa u t h e n t i c a t et h el e g a l i t yo fu s e r s a u t h o r i z e du s e r s h a v eai d e n t i f i e ri da n dp a s s w o r ds e c r e tp i nd i f f e r e n tf r o mo t h e ru s e r si nt h e s y s t e m t h ep r o x ys i g n a t u r ei so n ek i n do fs p e c i a ls i g n a t u r e ，i tw a sp r o p o s e df o r t h ef i r s tt i m eb ym a m b o 、u s u d ua n do k a m o t oi n1 9 9 6 i nap r o x ys i g n a t u r e s c h e m e ，a no r i g i n a ls i g n e ri sa l l o w e dt od e l e g a t eh i ss i g n i n gp o w e rt oad e s i g n e d p e r s o no rg r o u p ，w h oi sc a l l e dt h ep r o x ys i g n e ra n dc a ns i g nm e s s a g eo nb e h a l f o ft h eo r i g i n a ls i g n e r i nt h i sp a p e r ，t h em a i n c o n t r i b u t i o n sa x ea sf o l l o w s ： ( 1 ) m a d es o m er e s e a r c ha b o u tp a s s w o r da u t h e n t i c a t i o ns c h e m e ，a n a l y s e d t h ep o s i t i o n 、r o l eo ft h es e c u r i t ye l e m e n ti nt h ev e r i f i c a t i o np r o c e s sa n dt h e n t e r n a lm e c h a n i s mo ft h ep a s s w o r da u t h e n t i c a t i o ns c h e m e ，a n dp r o p o s e dan e w p a s s w o r da u t h e n t i c a t i o ns c h e m eb a s e do ns y n d r o m ed e c o d i n g ( 2 ) o nt h eb a s i co f7 a na g e n tb a s e do ne l l i p t i cc u r v es i g n a t u r es c h e m e 7p r o - p o s e db yb a ig u o q i a n g ，e t c ，m a d es o m ei m p r o v e m e n t st ot h i ss c h e m e ，h i d d e n t h ei n f o r m a t i o na g e n ts i g n a t u r e ，c u tt h en u m b e r so fa g e n t ( 3 ) c o m b i n e dt h eb a s i ck n o w l e d g eb a s e do ne l l i p t i cc u r v es i g n a t u r ea n d p r o x ym u l t i s i g n a t u r es y s t e mw i t ht h eb i l i n e a xm a p c o n s t r u c t e dap r o x ym u l t i - s i g n a t u r es c h e m e a n a l y s e dt h a tt h ep r o g r a mc a nr e s i s tt h ef o r g e ds i g n a t u r eo f t h ea g e n ta t t a c k ，s a t i s f yt h er e q u i r e m e n t so fp r o x ys i g n a t u r es e c u r i t yf e a t u r e s t u r e k e y w o r d s e l l i p t i cc u r v e s ，s y n d r o m ed e c o d i n g ，p a s s w o r da u t h e n t i c a t i o n ，p r o x ys i g n a - 1 l 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 、 ， 学位论文作者签名： ! 坌至玉指导教师签名：玺皇! 兰 v 嘶年6 月it 日矽，1 年1 月1 1 ，日 l l 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外， 本论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西 北大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名：、刃卫岛 伽叩年歹月 z 日 f 西北大学硕士学位论文 第一章引言 1 1 研究背景与课题意义 随着计机联网的逐步实现以及全球信息化水平的不断提高，全球经济发展 正在进入信息经济时代，网络与信息安全的重要性日趋增强计算机信息的保 密问题显得越来越重要，无论是个人信息通信还是电子商务发展，都迫切需要 保证网上信息传输的安全信息安全技术是一门综合学科，它涉及信息论、计 算机科学和密码学等多方面知识，信息安全的任务就是要采取技术手段及有效 管理让信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组 织的正常运作凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可 靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全 所要实现的目标 目前采用各种密码算法的身份认证技术【1 1 从表现形式上有：传统的静态 口令认证技术、动态口令身份认证技术、特征认证技术、基于单钥的智能卡身 份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术等 静态口令认证技术是现今大多数i t 系统所使用的最简单的访问控制方法， 通过口令的匹配来确认用户的合法性但是以静态口令为基础的认证方式面临 着很多的安全问题，已无法满足网络时代的安全需求为解决静态口令所存在 的各种问题，于是提出了动态口令的概念，它采用了基于时间或事件而产生的 一次性口令来代替传统的静态口令，从而避免了口令泄密带来的安全隐患目 前，基于动态口令的身份认证系统已应用在电子商务，电子政务，银行、证券等 诸多领域 代理签名f 2 】是指某人授权其他人替自己行使签名权的一种签名代理签 名一经提出就成了人们研究的热点目前人们已经提出了若干不同类型的代理 签名方案所谓代理多重签名方案，指两个以上的原始签名者将他们的签名权 同时指派给一个代理签名者，这个代理签名者代表多个原始签名者实现他们的 】 第一章引言 多重签名代理多重签名在现实生活中是比较常见的例如，一个公司发表的声 明涉及到财务部、开发部、销售部、售后服务部等部门，需要这些部门签名认 可，如果这类声明较多，这些部门指定一个他们都信赖的人或部门代表他们签 名，与这些部门共同生成多重签名相比，其效率大大提高 1 2 代理签名的发展现状 1 9 9 6 年，m a m b o 、u s u d a 和o k a m o t o 等提出代理签名的概念1 2 1 ，给出了解 决数字签名权力的委托问题的一种方法除了基本的代理签名，国内外的学者 又对代理签名的多种扩展形式进行了研究，比如门限代理签名，盲代理签名，前 向安全的代理签名，一次代理签名，代理多重签名，多重代理签名，多重代理多 重签名等等 门限代理签名方案【3 4 】是指结合了代理签名和门限签名两种签名特性的 签名方案门限签名是一种面向群体的数字签名方案，在一个具有a 个成员的 群体中，一个( t , n ) 门限签名方案要求t 或者更多人合作才能够代表一个群体 产生一个有效的数字签名，少于t 个则不能产生任何关于签名的有效信息 代理多重签名 5 - 9 1 是指一个代理签名人可以同时代替好几个原始签名人 进行签名继y i 等提出第一个具体的代理多重签名体制后，许多新的代理多重 签名体制及改进方案相继被提出 多重代理签名【1 0 】是一种特殊的门限代理签名多重代理签名的概念首先 由h w a n g 等人提出在一个多重代理签名体制中，一个原始签名人能够授权一 个代理群作为他的代理签名人，只有这个代理群中的所有人合作才能代替原始 签名人产生代理签名 盲签名【1 1 】的概念最早由d c h a u m 于1 9 8 2 年引进在一个盲签名中，接 收者b o b 在不让签名者a l i c e 知道所签内容的情况下而获得签名者a l i c e 的一 个盲签名，不可追踪性和无关联性是盲签名的两大特征 2 西北大学硕士学位论文 前向安全的代理签名是结合了代理签名和前向安全两种类型签名特征的签 名方案1 9 9 7 年，r a n d e r s o n 首次提出了前向安全的概念【1 2 | 1 3 本文研究内容及研究创新 1 3 1本文研究内容 本文针对口令验证和代理签名方案进行深入研究，具体作了如下工作： 一、深入研究了基于伴随式译码，分析现有的口令验证方案，提出了一个 基于伴随式译码的动态口令验证方案 二、分析现有的基于椭圆曲线的代理签名方案的基础上，提出了一个安全 性比较高的新的代理签名方案 三、进一步研究了基于双线性对的代理多重签名本文分析了现有的代理 多重签名方案的优点和不足，并提出了一个改进的基于双线性对的代理多重签 名方案 1 3 2 研究创新 本文的创新点在于以下几个方面： 一、本文提出了基于伴随式译码的动态口令验证方案，在介绍线性码和伴 随式译码的基础上，首次将伴随式译码与口令验证系统结合起来，提出一种新 型的口令验证方案给出了它的数学原理和具体实现过程，进行了方案安全性 和可操作性的分析，该方案简便、实用、存储量小、保密性和可操作性较强， 并且很好的满足了动态要求 二、对白国强等人发表的基于椭圆曲线的代理签名方案进行了分析， 解决了原代理签名方案存在的一些不安全隐患，并将签名过程作了一些改进， 隐藏了代理签名信息，缩短了代理签名 三、本文结合基于双线性对的代理签名体制和代理多重签名的基本知识， 使用双线性映射，构造了一种代理多重签名方案分析表明，该方案可有效地 3 第一章引言 抵御对代理签名的伪造攻击，满足代理签名所要求的安全特性 1 4 论文章节安排 本论文对口令验证和代理签名的应用进行了深入地研究，论文内容安排如 下： 第一章为绪论，介绍了口令验证和代理签名的研究背景和意义，分析了代 理签名基本现状，指出了本论文的主要研究内容和创新点，概括了论文的整体 安排 第二章首先介绍了椭圆曲线的理论和椭圆曲线的离散对数问题，然后介绍 了椭圆曲线上的双线性对以及一些必备的基础知识和基本工具 第三章研究了基于伴随式译码的口令验证方案首先提出了口令验证方案 的机制和基本原理，然后研究了一般的动态口令验证方案，最后提出了一个基 于伴随式译码的口令验证方案 第四章研究了基于椭圆曲线的代理签名方案 第五章研究了基于双线性对的代理多重签名，并进行了安全性分析 第六章对全文进行总结，并指出需要进一步研究内容 4 西北大学硕士学位论文 2 1 编码理论 第二章密码系统的基本理论 编码理论是指对原信号进行处理，构造成利于高可靠、高效率地传输信息 ( 保存信息、加工信息、利用信息) 的数字信号序列，并能方便恢复或解出原 信号信息的理论及应用体系编码理论的内容包括三个方面： 以保证数字信息传输和处理的可靠性为目的的差错控制编码( e r r o r - c o n t r o lc o d i n g ) ，又称为信道编码( c h a n n e lc o d i n g ) ； 以提高数字信息传输、存储处理的有效性为宗旨的信源编码( s o u r c e c o d i n g ) ； 以增加数字信息传输、存储的安全性为目标的数据加密编码( d a t a e n c r y p t i o n ) ； 差错控制编码技术类别繁多，应用面广，在上述三类编码中占有较大的比 重，因此，通常使用的编码这一术语，常常是指差错控制编码和译码 差错控制编码技术是适应数字通信抗噪声干扰的需要而诞生和发展起来 的，它是于1 9 4 8 年、著名的信息论创始人c e s h a n n o n ( 香农) 在贝尔系统 技术杂志发表的“am a t h e m a t i c a l t h e o r yo fc o m m u n i c a t i o n ” 1 3 1 一文，开创 了一门新兴学科和理论：信息论和编码理论 2 1 1 线性分组码 线性分组编码是分组码中最重要的一类码，是讨论的各种编码的基础线 性分组码的基本特征是它具有“线性”的结构，从而使得人们可以利用“线性 空间”的数学工具来研究线性分组码，使得编码器和译码器的实现更为简单 定义3 1 1 一个速率为r = 元k 的线性分组码( n ，七) ，把k ( b i t ) 的消息矢量 m = ( m 0 ，m 1 ，m t l 一1 ) 5 第二章密码系统的基本理论 线性地映射成n ( b i t ) 的码字 其中 c = ( c o ，c l ，c n 一1 ) 讹 o ，1 ，q 一1 )i = 0 ，1 ，k l 勺 o ，l ，q 一1 ) j = 0 ，1 ，竹一1 如果把所有可能的k ( b i t ) 消息全体构成消息空间m ，则消息空间中消息 的总数为m = q 七，由于码字与消息矢量一一对应，所以，全体合法码字所构成 的码字空间跄是礼维q 元矢量空间中一个含有q 七个矢量的k 维子空间，因 此，码字数目等于q 七，即 矧= q 知 所谓线性映射是指，如果c 1 、c 2 是与消息m 1 、r n 2 对应的码字，则c 1 + c 2 必 定是与m 1 + m 2 对应的码字由于码字空间既是n 维二元线性空间中的一 个k 维子空间，所以由线性代数理论知道，存在k 个线性独立的二元n 维矢量 其中 g o = ( g o o ，9 0 1 ，9 0 ，n 1 ) g l = ( 9 1 0 ，g n ，9 1 ，n 一1 ) g k 一1 = ( g k 一1 ，0 ，g k 一1 ，1 ，g k 一1 ，几一1 ) 使得任何一个码字c 瓣可表示成g o ，g l ，一1 的线性组合，即 c = m o g o + m l g l + + m k l g k 一1 = m g m = ( m o ，m l ，m k 一1 ) 6 西北大学硕士学位论文 g = 夕o 9 1 鲰一1 g 是k 几矩阵，它的k 个行就是这k 个线性独立矢量9 0 ，9 1 ，g 七一1 矩阵g 称为线性码跪的生成矩阵m 是一个k 维二元矢量，可以看成是一个 消息矢量，显然k 个线性独立的基矢量9 0 ，9 1 ，g k 一1 本身也都是码字每 个k 凡的生成矩阵g 产生一个线性分组码( n ，七) 2 1 2伴随式译码 对于给定的线型纠错码( 仃，) 【1 4 1 ，如果传输的码字x = ( x l ，x 2 ，z n ) ( 岛) ，接受矢量y = ( y l ，抛，鲰) k ( 日) ，二者的差值e = y x 称为 错误图案，其中e = ( e 1 ，e 2 ，e n ) ( 日) ，如果旎0 ，就称在第i 位置上 出现一个错误 一致校验矩阵日，已经被证明是译码的一个有效工具，假设传输的是码 子x ，则h x t = 0 如果信道引起一些错误，即e 0 ，则很有可能日y 丁0 ， 而此时的矢量s = 日y t 称为y 的伴随式，即： s = 日y t = h ( x + e ) r = h x r + h e r = h e t ( 2 1 ) 由上式( 2 1 ) 可以知道，伴随式s 提供了e 的一些信息，对于一固定 的s 一七( 目) ，方程h e t = 0 的解的集合形成了码字c 的一个陪集，即有 如下形式的( f 口) 的子集： c + 玩= x + 岛：x c 】 ( 2 2 ) 由上述理论及( 2 2 ) 式，可得到，对于q 进制线性纠错码( 几，七) ，根据码的一 致校验矩阵h ，将会得到q n k 个可能的伴随式s ，而每个伴随式将会对应q 七 7 第二章密码系统的基本理论 个元素，也就如下表所示：系统根据选定的由理论知识我们可以得到表( 1 ) 的 结果： 表l 伴随式矩阵 伴随式y = x + e 研 岛n t m 1 ，m 2 ，y 1 矿 y 2 1 ，场，k q k ； k n k l ，y a k k 2 ，k 枞矿 2 2 椭圆曲线 椭圆曲线是一门古老的研究课程，很早以前就有相当多的数学家对其复 杂的性质进行研究最早的研究动机非常单纯，仅仅是因为椭圆曲线本身深奥 而有趣的性质吸引了数学家的眼光，而没有任何的实际应用随着数学理论 的深入和发展，椭圆曲线逐渐得到了人们越来越多地注意，在实际应用中开始 发挥重要的作用目前，椭圆曲线在编码理论【1 6 】、伪随机数生成【17 】、数论算 法【1 7 ，18 】中都有非常大的帮助最近的数学进展，最引注意的结果就是费玛大定 理的证明这个定理于1 6 3 7 年由法国业余数学家费玛( p i e r r e d ef e r m a t ) 阅读 古希腊名著算术时提出的，经过3 5 8 年众多数学家的潜心研究，终于由英 国数学家怀尔斯于1 9 9 7 年6 月2 7 日证明成功而怀尔斯证明的关键就是椭圆 曲线椭圆曲线密码，即基于椭圆曲线离散对数问题的各种公钥密码体制，最早 于1 9 8 5 年由k o b l i t z 1 9 和m i l l e r 2 0 分别独立地提出，它是利用有限域上的椭 圆曲线有限群代替基于离散对数问题密码体制中的有限循环群所得到的一类密 码体制 8 西北大学硕士学位论文 2 2 1椭圆曲线的定义 设k 是一个域域k 上的w e i e r s t r a s s 方程是 y 2 + 0 1 z y + a 32z 3 + a 2 x 2 + a 4 x + 其中a l ，a 2 ，a 3 ，a 4 ，a 5 k 或 其中 当域k 的特征不为2 时，上述方程可变形为 ( 秒+ 互1 n ，z + 刊12 = z 3 + ( 五1 q i + n 2 ) x 2 - _ i - ( 主叩3 + 口4 ) z + 捆1 + 0 6 ( 2 y + a l x + a 3 ) 2 = 4 x a - i - b 2 x 2 + 2 b 4 x + b 6 当域k 的特征不为2 , 3 时，方程可继续变形，有 ( 2 y + a l x + a 3 ) 2 = 4 ( z + l b z ) 3 + ( 一圭6 ；+ 2 6 a ) ( z + 壶6 2 ) + 丽1u 3 2 一护1 2 6 4 + 6 6 ) 或 并作变换 我们得到 其判别式为 铅c4：=b一226-；+243b646：k一21 6 6 6 忙黧z 恂， y 2 = x 3 2 7 c 4 x 一5 4 c 6 1 7 2 8 a = 鼋一蠢 9 姒 眈 以 4 斗 4 + 幻 + 2 1 1 2 3 o 口 o = = = 眈 缸 如 ，il_-_-j【l_iili_一 第二章密码系统的基本理论 对于任意域k ，w e i e r s t r a s s 方程的判别式是 其中 1 7 2 8 a = 一6 ；6 3 8 6 i 一2 7 b 2 + 9 b 2 5 4 5 6 5 3 = a 2 a 6 一a l a 3 a 4 + 4 a 2 a 6 + a 2 a ；一a i 当a 0 ，域k 上的点集 e ：= ( z ，y ) l y 24 - a l x y + a 3 = z 3 + a 2 x 2 + a 4 x + a 6 ) u d ) 其中a l ，a 2 ，a 3 ，a 4 ，a 5 k ， 0 ) 为无穷远点，叫做域k 上的椭圆曲线这 时j = 雹叫做椭圆曲线e 的歹一不变量，记作歹( e ) 设e 是由以上w e i e r s t r a s s 方程定义的域k 上的椭圆曲线，我们定义e 上的加法运算法则： 设p ，q 是e 上的两个点，l 是过p 和q 的直线( 过p 点的切线，如 果p = q ) ，r 是l 与曲线e 相交的第三点设l 7 是过r 和0 的直线， 则poq 就是与e 相交的第三点 e 上的加法运算具有如下性质： ( 1 ) 如果直线l 交e 于点只q ，r ( 不必是不同的) ，则( p + q ) + r = 0 ( 2 ) 对任意尸e ，p + 0 = p ( 3 ) 对任意p jq e ，p + q = q + p ( 4 ) 设p e ，存在一个点，记作一p ，使得p + ( 一p ) = 0 ( 5 ) 对任意p ，q ，r e ，有( p + q ) + r = p + ( q + 兄) 这就是说，e 对于运算加法规则构成一个交换群既然椭圆曲线上加法运 算，也就能在椭圆曲线上定义数乘法则也就是 对任意p e ，m z ，m p = p + + p ( m 个尸相加) 0 p = 0 一m p = m ( 一p ) 1 0 西北大学硕士学位论文 2 2 2椭圆曲线离散对数问题 尽管最初d i m e 和h e l l m a n 在他们的密钥交换方案中采用离散对数问 题d l p 的时候，精确定义了d l p 是寻找在模素数乘群中生成元的对数问题， 但是这个想法可以被扩展到任意群中 设g 是一个阶为凡的有限群，o t 是g 中的一个元素我们可以这样描述g 上的离散对数问题( d l p ) ：给定p g ，寻找这样的整数x , o z n 一1 ，使 得矿= p 容易看出，如果这样的z 存在，那么就属于由o l 构造的g 的子 群中 椭圆曲线上的离散对数问题( e c d l p ) 可以描述为：给定有限域日上的 椭圆曲线e ，点p e ( 日) 的阶为扎，对于点q = l p ，0 z n 一1 ，确定z 的 问题与d l p 相比，e c d l p 的安全性更高，因为d l p 问题的计算复杂度为亚 指数时间，而e c d l p 问题的计算复杂度为全指数时间 目前，所有椭圆曲线密码体制的安全性都是建立在对椭圆曲线上的离 散e c d l p 求解困难性假设基础上的对日上d l p 的求解，目前有被称为亚 指数型的i n d e x 算法 2 1 】对于一般的离散对数问题在1 9 7 6 年公钥密码体制发 明之前就已经成为了数学中的一个研究课题，但是，到目前为止，对一般离散对 数问题的求解仍然没有很好的办法对一般的e c d l p ，目前最好的求解方法仍 是对任何有限群都有效的p o l l a r d p 方法【2 2 】及其并行化处理相比而言，如果 单从安全性角度考虑，椭圆曲线密码体制目前仍然是最好的公钥密码体制当 然，经过十几年的研究，虽然对一般e c d l p 的求解没有找到好方法，但是对两 类特殊的椭圆曲线己经有比较有效的方法，它们是针对超奇异曲线的m o v 演 化算法和针对“畸形”曲线的s m a r t 方法和s e m a e v 方法 2 3 双线性映射 m e n e z e s o k a z n o t o 和v a n s t o n e 给出了定义在有限域上的一类特殊的椭圆 曲线，并提出一个有效算法，将曲线上的两点映射到基域中的一个元素【2 3 】这 l l 第二章密码系统的基本理论 类特殊的曲线被称为超奇异曲线 双线性映射一经提出就受到广泛关注，它是当前基于身份密码技术的研究 热点。双线性映射的密码学应用起先是用于密码攻击的，用来将椭圆曲线或超 椭圆曲线上的离散对数问题归约为有限域上的离散对数问题，如使用w e i l 对 的m o v 攻击。因此，最初双线性对的存在被视为密码学的坏事，但近年来发 现了双线性对在密码学上的积极作用，即用来构造基于身份的密码系统。2 0 0 0 年j o u x 做出其突破性的工作，他提出了一个基于超奇异椭圆曲线上的双线性 对的基于身份的d e f f i e h e l l m a n 密钥协商协议，此后双线性对的许多应用 相继被给出【2 5 1 定义2 1 ：设g 1 为循环加法群，g 2 为循环乘法群g 1 ，g 2 的阶均为素数q 假 定在g 1 g 2 中计算离散对数f 可题是困难的设e ：g 1 g 2 _ g 2 为一个双线 性映射，满足以下? 个性质： 1 ) 双线性对于所有的p q g x 和所有的a ，b z 7 ，e ( a p , b q 、l = e ( p q ) 曲； 矽非遐化性存在尸g 1 ，满足e ( p p ) 1 ； 3 ) 司计算性如果p ，q g a ，则e 0 只q 、l 可以在多项式时间内有效计算 出来 一个双线性映射通常被称为一个可接受的双线性配对，g 1 上的e 是对称 的，即对一切只q g 1 ，等式e ( p q ) = e ( q ，p ) 成立 双线性映射e 可以从定义在有限域只上的椭圆曲线上的w e i l 对或t a t e 对 导出【2 6 】 1 2 西北大学硕士学位论文 第三章基于伴随式译码的口令验证系统 口令验证是一种公众熟知的身份认证方法，在计算机系统中，操作系统、 网络、数据库都采用了口令验证，人们普遍认为这是成本最低、实现最易的认 证技术，因而成为了应用最广的认证手段，几乎所有信息系统都将其作为第一 道安全防线文【2 7 】中提出了基于拉格朗日插值公式的口令验证方案；文 2 8 】 中给出了基于泰勒展式的口令验证方案和基于牛顿插值的口令验证方案，并设 计了一种基于中国剩余定理和公钥密码的动态口令验证方案；文 2 9 】中给出 了基于孙子定理和欧拉函数口令验证方案编码译码理论广泛应用于通信原理 以及信息安全中，而伴随式译码是编码译码中应用最为基本和广泛的方法，本 文首次将伴随式译码与口令验证结合在一起，提出了一个新的口令验证方案， 即：基于伴随式译码的动态口令验证系统 3 1 口令验证系统机制 口令验证系统的机制，就是系统的内部处理思想、处理方式与运行流程， 包括口令生成与检查机制、口令储存与管理机制、口令传送机制、验证机制 等研究和改进口令验证系统的内部机制，对提高系统性能、安全强度具有重 大意义 1 口令生成与检查机制 作为验证依据和验证凭证的口令信息的产生时机、产生方式、变化方式、 分布地点、检查方式等等 2 口令储存与管理机制 口令的储存包括服务端的储存、客户端的储存及用户的储存通常都是服 务端用口令文件、数据库、验证表的形式保存所有用户的验证信息作为系统验 证依据多数系统均将该依据文件加密通常，储存的信息越多、储存的时间越 长，被攻击的可能性越大 1 3 第三章基于伴随式译码的口令验证系统 3 口令传送机制 在传送方向上有用户向服务端传送和服务端向客户端传送，还会有攻击者 窃听传送在信道上有单通道传送和双通道传送在信息形式上有加密传送和 明文传送通常，传送的次数多、传送的通道单一、明文传送，就更容易被攻 破传送次数少、采用复合传送通道、加密传送，系统安全强更高 4 验证机制 包括参与验证因子、验证方式、验证时机等在验证因子上有单认证因 素与双因素认证；在认证方式上有单次提交用户名口令对、询f 1 应答、口令 卡、零知识证明等多种方式；验证时机通常都是在用户请求登录的时候参与 验证的因素越多，安全强度越高 3 2口令验证系统构成及基本原理 计算机网络安全已经引起越来越广泛的关注在诸多安全防护措施中，口 令验证是保护网络安全的第一道防线口令是进人系统大门的钥匙进行口令 攻击，往往是人侵手段的首选所以，研究和开发新的口令验证技术，遏制口令 攻击恶潮，对于保护网络安全具有重大意义分析口令验证系统各安全要素在 验证过程中的地位、作用、攻防特点及系统的内部机制，对于研究、设计和开 发安全有效合理的口令验证技术具有良好的导向作用 一个完整的口令验证系统，主要由请求端( 包括用户、硬权标、客户端等 部分) 、验证端( 包括服务端) 、信道、验证信息、攻击者、可信赖第三方等要 素组成，口令验证的基本原理和过程通常是：用户在注册时确定和提交自己的 验证依据信息，所有被验证者的验证依据信息由服务端储存保管用户登录时 通过客户端向服务端提交自已的验证凭证，服务端接收到后查找出该用户的验 证依据，两相比较，若验证凭证二验证依据，系统认为登录者就是自己所声称的 人，通过验证；否则，系统拒绝登录 1 4 西北大学硕士学位论文 3 3 数学原理 这里引入双向函数，单向函数夕，并作如下规定： 若映射，( z ) 是实函数，如果已知由变量值z ，我们可以求得，( z ) ，但是， 由f ( m ) 去求解z 计算上不可能；则我们称函数f ( x ) 为单向函数 若映射f ( x ) 是实函数，如果由z = a ，我们可以求得，( o ) ，而由f ( a ) 也 可求得z = a ，则称f ( x ) 为双向函数；同样，若映射f ( x ，y ) 是一个双向函数， 则由( z ，y ) = ( a ，6 ) ，我们可以求得，( o ，6 ) ，由，( n ，b ) 也可求得( z ，y ) = ( a ，6 ) 基于上述结果，以及口令验证系统的定义，现在分别对伴随式s 以及其相 应的y 进行运算，得到下表( 2 ) 塞至基王哒盟鱼夔鳆佳堕塞缝畦垂 拟用户名拟密码 只= ，( 研) 恳= ，( ) n 1 = g f ( y 1 1 ) ，( m 2 ) ，( m 矿) ) 2 = g f ( y 2 1 ) ，( 场) ，( k 口t ) ) 岛n t = ，( s o 一t ) 口n t = g f ( y q n t 1 ) ，( k n 一一2 ) ，( k n t 矿) ) 对于每一对( 弓+ 1 ，屿+ 1 ) ，这里( 1 j q n - k ) 弓= ，( 岛) ( 3 1 ) = g f ( y k l ) ，f ( y j 2 ) ，( 巧矿) ( 3 2 ) 3 4 基于动态的伴随式口令验证 对于给定的线性码( n ，后) ，系统从q n 一七个伴随式n j ( 1 j q n 一七) 中任意 选取m 个，分别存放在变量乃，乃，砌一1 中，( 由伴随式的形式，知道这 是很容易实现的) ，我们仍然用场表示矢量y ，这里0 i m ，1 jsq 七， 建立下表： 1 5 第三章基于伴随式译码的口令验证系统 表3 伴随式矩阵表 伴随式ty = x + e 乃 y o l ，y 0 2 ，k 矿 乃 m 1 ，m 2 ，m 矿 j! t m 一1 y ( m 一1 ) 1 ，k m 一1 ) 2 ，k m 一1 ) 矿 系统选取三个双向函数 ，止， ，两个单向函数，妒，对于给定的 线性码( n ，尼) ，系统从q n 一七个伴随式岛( 1 歹q 俨七) 中任意选取m 个，利用双向线性函数 进行加密，并将这m 个加密后的数据，记 为d a t a o ，d a t a l ，d a t a m 一1 ，作为公开信息发布，即： d a t a i = ( 鼠+ 1 ) o i m 一1( 3 3 ) 对于第个用户，系统根据， n = d m + r ( 3 4 ) 由公开信息，选取d a t a ，一1 ；由( 3 4 ) 式得伴随式s ( 7 ) ，再根据( 3 1 ) 式和( 3 2 ) 式，我们得到伴随式s ( r ) 对应的矸1 ，k 2 ，v 口n t ，然后再如下计算： p = c d ( 1 l p ( y r l ，k 2 ，k g 。一t ) ) ( 3 5 ) i d n = 止( ) 系统将( i d n ，e n = ( p n ，) ) 分配给用户 用户，由( i d x ，p w i ) ，登陆系统，其中 p 晰= 矗( 毋，t ) ( 3 6 ) ( 3 7 ) 系统由私有的双向函数庀以及式( 3 6 ) ，得到，再根据式( 3 4 ) ，( 3 5 ) 系统 计算得到巧，再有式( 3 7 ) ，计算得到b ，t 如果巧= 片并且时间吻合，用户 为合法用户： 1 6 西北大学硕士学位论文 由于双向函数尼的私有性，对于用户j ，只要不同时把给定的私钥 对研= ( 日，i ) 泄漏，非法用户都不能安全进入系统；并且系统引入了时间参 数t ，很好的实现了动态口令的特点 3 5 方案分析 3 5 1安全性分析 对于外部用户，除非其窃取口令，否则无法编造口令进人系统； 对于系统中的用户，如某用户j 试图以另一用户，的口令进入系统时， 他必须知道被盗用者的( i d j ，毋) ； 由于双向函数，2 的私有性，对于用户，只要不同时把给定的私钥 对( i d n ，鼬) 泄漏，非法用户都不能安全进入系统；并且系统引入了时间参 数t ，很好的实现了动态口令的特点 3 5 2 操作性分析 对于新用户的插人，不妨设第m 个，系统中心只需按上述算法原理计算 得到( 砌，e m ) ，并交付新用户保存。 对于老用户( p m ，e m ) 的退出，系统只需利用( 8 ) 式反计算得到m ，并存 储m 即可。 1 7 第四章基于椭圆曲线的代理签名方案的改进 第四章基于椭圆曲线的代理签名方案的改进 本章针对白国强【3 1 】等人在基于椭圆曲线的代理数字签名中提出的方 案作了一些改进，解决了原来代理签名方案存在的一些不安全隐患，并对新提 出的方案作了安全性分析 4 1基于白国强等人的椭圆曲线代理签名方案 4 1 1 初始化过程 假定e 是定义在有限域c f ( p ) 上的一条椭圆曲线，p e 是e 中一个阶 为孔的基点，将e ，n 和p 公开；假定a 为原始签名人，a 的私钥为h ，公钥 为r 公钥心与私钥h 之间有关系n = k a p 4 1 2 委托过程 a 将其签名的权力委托给代理签名人b ，首先选取随机数，并计算p 记q o = k o p = ( z o ，u o ) ，其中x o ，y o e ；然后计算加兰x om o d 几 口三( k a + 7 0 k o ) r n o d 礼( 4 1 ) a 将盯秘密地发送给b ，将q o 可以公开地发送给b ，以下称( 口，q o ) 为a 给j e i 的委托信息b 收到一组委托信息( 仃，q o ) 后，验证以下等式是否成立： a p = 段+ r o q o( 4 2 ) 如果不成立，则b 必须拒绝接受委托信息( 仃，q o ) ；反之，则说明( o - ，q o ) 确实 来自于a 4 1 3 签名过程 在代理签名的产生过程中，j e i 首先选取随机数k ，0 七 n ，然后计算后p 1 8 西北大学硕士学位论文 记k p = ( z ，) ，其中x ，y e ；之后b 计算 r 三zm o dn ，8 = k - 1m + ，口) m o d 他 则( 仇，r ，8 ，q o ) 一起构成了对消息m 的代理签名 4 1 4验证过程 任何一个验证人c 收到代理签名( m ，r 8 ，q o ) 后，利用a 的公钥y a 和b 的公钥如进行下列计算： c 三s 一1m o d 凡； u l 三m cm o dn ，t 2 兰7 cm o dn ； 计算，u p + u 2 ( y a + r o q o + y b ) = ( o l ，p ) ； 计算o lm o dn = r 如果o lm o dn = r ，则代理签名( m ，8 ，q o ) 得到 验证 4 2 方案中存在的问题 ( 1 ) 在原始签名人a 秘密地将委托信息( 仃，q o ) 传送给代理签名人b 的 同时，a 和b 均已经掌握了委托消息( 盯，q o ) ，因此a 可以冒充b 生成代理签 名，从而来欺骗任何一个验证人c 事后否认其对消息仇的代理签名。 在代理签名的生成过程中，假设a 利用自己生成的委托信息( ( 盯，q o ) 对 消息m 1 进行签名，首先随机选取一个数k 1 ，然后按照以下步骤生成代理签名： 计算k i p ，记k i p = ( x l ，y 1 ) ，其中x l ，y l e r l = x l r o o dn 8 1 = 坷1 ( m a + r l a ) m o dn 验证人c 验证过程如下： t 正：+ u ： ( r + r o q 。) = m 1 c 1 p + r l c l ( 七a p + r o k o p ) = c l p ( m l + r a ( k a + r o k o ) ) 1 9 第四章基于椭网曲线的代理签名方案的改进 = s f l ( m l + r a a ) p = k i p = ( x l ，y 1 ) 可见满足验证人c 的验证过程，从而，验证人和接收人都会以为这个伪造 代理签名( m ，r ，8 ，q o ) 是来自代理签名人b 的 ( 2 ) 由签名过程和验证过程，可以知道，授权人4 要代理签名的信息m 对代理签名人b 和验证人c 是公开，如果用户名a 要签名的信息m 是绝对 隐私的，则无法用此方案完成代理签名过程，失去了代理签名方案的一般性。 4 3改进后的方案 4 3 1 系统初始化 a 表示原始签名人，b 表示代理签名人，c 代表签名验证人同样椭圆曲线 机制按上述方案这里将e ，扎和p 公开；a 的私钥为x a ，公钥为弛公钥y a 与私钥x a 之间有关系y a = z a p ；b 的私钥为x b ，公钥为如公钥拈与私 钥z b 之间有关系y b = x b p 4 3 2 委托过程 1 ，a 选取随机数，并计算k o p 记q o = k o p = ( x o ，y o ) ，其中z o ，y o e ； 然后计算r o _ - - x o m o d 几 口三( x a + r o k o ) m o d n ( 4 3 ) 2 , a 计算凰= h a s h ( y b ，m ) ，将盯秘密地发送给j