（基础数学专业论文）基于（超）椭圆曲线密码体制的电子交易算法研究.pdf

摘要 s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) 协议是实现信用卡在网上安全交易的规范，是 m a s t e r c a r d 和v i s a 两大国际公司于1 9 9 6 年提出的，并受到了m i c r o s o f t ，n e t s c a p e ，v e r i s i g n 等很多公司的支持。通过电子签名，s e t 协议使得商家能够确认客户的身份，并且s e t 协议通过有效机制确保了持卡人的信用卡信息在向发卡机构传输、结账时不被商家知 u 追。 椭圆曲线密码体制( e c c ) 是v m i l l e r 和n k o b l i t z 于1 9 8 5 年分别独立的提出的， 经过二十多年的研究，e c c 已广泛应用于许多商业领域。1 9 8 9 年k o b l i t z 把椭圆曲线推 广到更高亏格的超椭圆曲线。( 超) 椭圆曲线密码体制比其他密码体制在保持相同安全 性的下使用更小的密钥，从而很好的满足了那些对密钥长度、宽带、效率要求比较高的 系统，比如智能卡、s e t 协议等。 在本论文中，作者主要做了以下几方面的工作： ( 1 ) 对距丁协议改进的一些建议 ( 2 ) 提出了一种基础椭圆曲线密码体制的电子交易算法 ( 3 ) 提出了基于超椭圆曲线密码体制的s e t 协议 ( 4 ) 超椭圆曲线密码体制的m a p l e 实现算法 关键词：椭圆曲线密码体制；超椭圆曲线密码体制；s e t 协议 a bs t r a c t s e rs h o r tf o rs e c u r ee l e c t r o n i ct r a n s a c t i o n ，i sas t a n d a r dt h a tw i l le n a b l es e c u r ec r e d i t c a r dt r a n s a c t i o n so nt h ei n t e r n e t i tw a sl a u n c h e di n19 9 6b ym a s t e r c a r di n t e r n a t i o n a la n d v i s ai n t e r n a t i o n a la n ds u p p o r t e db ym i c r o s o f t ，n e t s c a p e ，v e r i s i g n ，a n do t h e r s b yt h e e m p l o y m e n to fd i g i t a ls i g n a t u r e s ，s e tw i l le n a b l em e r c h a n t st ov e r i f yt h a tb u y e r sa r ew h o t h e yc l a i mt ob e a n di tw i l lp r o t e c tb u y e r sb yp r o v i d i n gam e c h a n i s mw i t ht h e i rc r e d i tc a r d n u m b e rt ob et r a n s f e r r e dd i r e c t l yt ot h ec r e d i tc a r di s s u e rf o rv e r i f i c a t i o na n db i l l i n gw i t h o u t t h em e r c h a n tb e i n ga b l et os e et h en u m b e r s i n c ee l l i p t i cc u r v ec r y p t o s y s t e m s ( e c c ) w e r ep r o p o s e di na r o u n d19 8 5 ，e c ch a sb e e n s t u d i e df o ra b o u tt w e n t yy e a r sa n dh a sb e e nr e c e n t l ya p p l i e di nm a n yc o m m e r c i a lp u r p o s e s i n 1 9 8 9 ，k o b l i t zg e n e r a l i z e dt h ec o n c e p to fe l l i p t i cc u r v ec r y p t o s y s t e m st oh y p e r e l l i p t i cc u l v e s o fh i g h e rg e n u s ( h y p e r ) e l l i p t i cc u r v ea r eu s e f u li nc r y p t o g r a p h ya st h e ym a i n t a i nt h es a m e l e v e lo fs e c u r i t yt h a no t h e rc r y p t o s y s t e m sb u tt a k i n gs m a l l e rs i z e s t h i si se s p e c i a l l yi m p o r t a n t f o rs m a l l f o o t p r i n td e v i c e sw i t hl i m i t e dc o m p u t a t i o n a lc a p a c i t i e s ，m e m o r ya n dl o w b a n d w i d t h n e t w o r kc o n n e c t i o n s ，s u c ha ss m a r tc a r d s a n db yt h eu s eo f ( h y p e r ) e l l i p t i cc u r v e c r y p t o s y s t e m s ，t h ei m p l e m e n t a t i o no fa s e t p r o t o c o lc a nb ea c c e l e r a t e d t h em a i nw o r k so ft h i sd i s s e r t a t i o nc a nb ed e s c r i b e da sf o l l o w s ： ( 1 ) s o m ei m p r o v i n gr e m a r k so fs e tp r o t o c o l ( 2 ) a ne l e c t r o n i ct r a n s a c t i o na l g o r i t h mb a s e do ne l l i p t i cc u r v ec r y p t o s y s t e mi sp r o p o s e d ( 3 ) s e tp r o t o c o lb a s e do ne l l i p t i ch y p e r e l l i p t i cc u r v ec r y p t o s y s t e mi sp r o p o s e d ( 4 ) t h ei m p l e m e n t a t i o no fh y p e r e l l i p t i cc u r v ec r y p t o s y s t e ma l g o r i t h mi nm a p l e k e yw o r d ：h y p e r e l l i p t i cc h i v ec r y p t o s y s t e m s ：e l l i p t i cc u r v ec r y p t o s y s t e m s ：s e tp r o t o c o l l l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果。除文中特别加以标注和致谢的地方外，论文中不包含其他入已经发表或撰写过的研 究成果，也不包含为获得海南师范大学或其他教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名：盔阻 日期：巡：2 学位论文著作权声明 本论文作者声明： 口本论文全部成果均为本人和指导教师合作研究取得，本人和指导教师都有权使用本成果学 术内容( 有第三方约定者除外) 。 口本论文为指导教师指导下，本人独自完成。本人独自享有本 学位论文作者签名：舀丝! 复 指导教师签名： 日 期：竺翌：6 ：f 日期：皿：羔 学位论文版权使用授权书 本学位论文作者完全了解海南师范大学有关保留、使用学位论文的规定，即：海南师范大学有 权保留并向国家有关部门或机构送交学位论文的复印件和电子文本，允许论文被查阅和借阅。本人 授权海南师范大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其它复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：墨建! 訇 e t期：盥：f 指导教师签名：望雠 八 第一章绪论 1 1 ( 超) 椭圆曲线公钥密码体制的研究背景及其意义 公钥密码思想是由w d i f f i e 和m h e l l m a n 于1 9 7 6 年提出的，现有的被公认为安全、实 用、有效的公钥密码体制有三类：一是基于大整数因式分解问题的公钥密码体系，如r s a 公钥密码体制，二是基于有限乘法群上离散对数问题的公钥密码体系，如e l g a m a l 公钥 密码体制和d s a 数字签名，三是基于代数曲线有限加法群上的离散对数问题的公钥密码 体系，典型的如椭圆曲线密码体制。在公钥密码算法中，r s a 算法应用最为普遍，但近 年来椭圆曲线密码成为它一个强有力的竞争对手，两者都已经成为国际标准。 椭圆曲线密码体制的理论基础是椭圆曲线数学理论和椭圆曲线离散对数问题，椭圆 曲线理论起源于1 9 世纪，在费尔马大定理的证明和因式分解等问题中起到了很重要的作 用，一直以来被认为是纯理论的学科，自1 9 8 5 年数学家n k o b l i t z 和v m i l l e r 分别独立提出 以椭圆曲线上的有理点构成的a b e l 群为背景结构、基于椭圆曲线离散对数问题的公钥密 码体系以来，椭圆曲线密码体制逐步成为一个研究热点。 如果某一椭圆曲线上的有理点构成有限交换群，该群的阶包含一个较大的素因子， 则其上的离散对数问题是计算上难解的数学问题。由于在一般椭圆曲线有理点加法群中 没有亚指数时间算法解椭圆曲线离散对数问题e c d l p ( 除了个别特殊的椭圆曲线以外) ， 椭圆曲线密码成了目前公认的比较安全的公钥密码体制。在公钥密码体制中，椭圆曲线 密码体制( e c c ) 是目前已知的对每比特所提供加密强度最高的一种体制。我们熟知的 r s a 所利用的是大整数素因子分解的困难问题，目前对于一般情况下的大整数素因子分 解的最好算法的时间复杂度是亚指数级的。当e c c 的密钥使用2 3 4 b i t 后) t 获得的安全强度 七t , r s a 的密钥使用2 0 4 8 b i t 时所获得的安全强度还高出许多，而它们之间的密钥长度却相 差达9 倍，当e c c 的密钥更大时它们之间差距将更大，e c c 密钥短的优点是非常明显的， 这使得e c c 对存储空间、传输宽带、处理器的速度要求较低，这一优势对于资源环境有 限的移动用户终端具有极其重要的意义。 经过了2 0 多年的研究，近几年椭圆曲线密码体系已经被广泛应用于实际中，如著名 的m o t o r o l a 公司将把椭圆曲线密码体制应用于其c i p h e r n e t d ? ，而提出s e t ( s e c u r e e l e c t r o n i ct r a n s a c t i o n ) 的v i s a 和m a s t e r c a r d 公司都计划使用椭圆曲线密码体制。在国际 上，美国国家标准与技术研究所( a n s i ) 公布的a n s i x 9 6 2 和刖6 3 标准、i e e e - p 1 3 6 3 工作组正在制定的公钥密码标准也都采用椭圆曲线密码体制。在国内，。2 0 0 3 年5 月1 2 日 海南师范大学硕士学位论文 中国颁布的无线局域网国家标准g b l 5 6 2 9 1 1 中采用的密码算法就有椭圆曲线密码算法。 可以预计，椭圆曲线公钥密码体制将逐步深入到有关信息安全的各个方面。 作为椭圆曲线的一个推广，n e a lk o b l i t z 在1 9 8 9 年提出了超椭圆曲线密码体制 ( h e c c ) ，它是基于有限域上超椭圆曲线j a c o b i a n 上的离散对数问题。超椭圆曲线密码 体制是以有限域上超椭圆曲线的j a c o b i a n 上的离散对数问题为基础，比起e c c 来，使用 h e c c 的一个显著的优势就是在同等安全水平下，超椭圆曲线密码要比椭圆曲线密码所 用的基域小，可以使用更短的密钥长度，从而可以使用更少的宽带和存储空间，更适用 于智能卡中，且h e c c 可以模拟基于一般乘法群上的如r s a 、e i g a m a l 等几乎所有协议。 在亏格g 4 的前提下，在同样的定义域上，亏格越大超椭圆曲线越多，可以选取用于 密码中的安全曲线的余地越大。由于超椭圆曲线密码体制比其他的密码体制有许多优 点，所以近几年对超椭圆曲线密码体制的研究也日益被人们重视。 超椭圆曲线密码当前还主要处于理论研究阶段，还有大量未解决的问题。从已有的 h e c c 的实现来看，超椭圆曲线密码的实现速度要比椭圆曲线密码实现速度慢，一个重 要原因是超椭圆曲线j a c o b i a n 上的基本运算比椭圆曲线有理点群的基本运算复杂的多。 所以如何寻找有效算法计算超椭圆曲线j a c o b i a n 的阶，如何提高超椭圆曲线j a c o b i a n 的基本运算速度和标量乘的计算速度，从而提高超椭圆曲线密码的整体实现速度是超椭 圆曲线密码走向实用的一个非常重要的问题。研究超椭圆曲线密码有着重大的理论和实 际意义，超椭圆曲线密码是e c c 的一个推广，所以用于超椭圆曲线密码上的一些普遍 的技术和方法可以用在e c c 上，从而也对目前已经走向实用化的e c c 无论是在理论上 还是实现上都有益处。 超椭圆曲线密码体制的实现还有很多需要进一步改进的地方，下面给出目前在 舵c c 研究中需要解决或比较关注的问题： ( 1 ) 寻找有效计算超椭圆曲线j a c o b i a n 群的阶的有效算法； ( 2 ) 提高超椭圆曲线j a c o b i a n 群的基本运算速度； ( 3 ) 如何提高椭圆曲线j a c o b i a n 群上的标量乘法算法运算，从而加快整个超椭圆曲 线密码体制的实现速度； ( 4 ) 进一步提高明文嵌入到超椭圆曲线上除子的方法； ( 5 ) 针对j a c o b i a n 的攻击需要进一步的研究，有助于提高超椭圆曲线密码体制的安 全性： 第一章绪论 ( 6 ) 超椭圆曲线密码体制的标准化实现。 1 2s e t 协议的研究背景及其意义 电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全性问 题。在网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被人盗用， 商家则希望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明对方的身 份，以防止被欺骗。电子商务的快速发展对安全提出了更高的要求，原有的s s l ( s e c u r e s o c k e tl a y e r ) 等协议已无法满足电子交易中的安全需求。针对这种情况，由美国v i s a 和m a s t e r c a r d 两大信用卡组织联合i b m 、c y b e r c a s h 、n e t s c a p e 等国际上多家机构，共 同制定了应用于i n t e r n e t 上的以信用卡为基础进行在线交易的安全规范，这就是“安全 电子交易( s e c u r ee l e c t r o n i ct r a n s a c t i o n ，简称距丁) ，其实质是一种应用在i n t e r n e t 上、 以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。s e t 妥善地解 决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。 s e t 协议采用了公钥密码体制和x 5 0 9 数字证书标准，主要应用于保障网上购物信息的 安全性，s e t 支付系统主要由持卡人( c a r d h o l d e r ) 、商家( m e r c h a n t ) 、发卡行( i s s u i n g b a n k ) 、收单行( a c q u i r i n gb a n k ) 、支付网关( p a y m e n tg a t e w a y ) 、认证中心( c e r t i f i c a t e a u t h o r i t y ) 等六个部分组成，s e t 已获得厄阡标准的认可，是电子商务的发展方向。 s e t 主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保 证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性，与安 全套接层协议( 观协议：s e c u r es o c k e t l a y e r ) 相比，s e t 协议有以下几个优点： ( 1 ) 在认证要求方面，早期的s s l 并没有提供商家身份认证机制，虽然在s s l 3 0 中可以通过数字签名和数字证书可实现浏览器和w e b 服务器双方的身份验证，但仍不能 实现多方认证，相比之下，s e t 的安全要求较高，所有参与s e t 交易的成员( 持卡人、 商家、发卡行、收单行和支付网关) 都必须申请数字证书进行身份识别。 ( 2 ) 在安全性方面，s e t 协议规范了整个商务活动的流程，从持卡人到商家，到 支付网关，到认证中心以及信用卡结算中心之间的信息流走向必须采用的加密、认证都 制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。而观 只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规 范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性，因此s e t 的 安全性比s 乩高。 海南师范大学硕七学位论文 由于s e t 具有提供消费者、商家和银行之间的认证，确保了交易数据的安全性、完 整可靠性和交易的不可否认性，特别是保证不将消费者信用卡信息暴露给商家等优点， 因此它成为了目前公认的信用卡的网上交易的国际安全标准。在s e t 规范中有如下规 定： ( 1 ) 必须提供良好的交易资料保密能力，交易资料传送过程中需要加密保护，以 防止资料被窃取； ( 2 ) 在电子交易过程中，交易资料必须确保没有被第三者修改过，交易双方必须 能确认资料的完整性： ( 3 ) 必须提供对持卡人的身份确认，以及其使用帐户的合法性； ( 4 ) 提供对特约商店的身份确认，以及其与付款银行间的联系； ( 5 ) 确保使用良好的安全管理机制进行电子交易： ( 6 ) 开发的系统不应该只依靠网络传输层所提供的安全机制； ( 7 ) 开发的系统只要符合加以标准协议，就可在各种软硬件平台上使用。 从广泛查阅相关文献可以看出，当前对s e t 协议的研究主要集中在三个方面，第一 个方面是针对s e t 协议流程本身所存在的漏洞如安全漏洞等研究，第二方面则是对s e t 协议性能方面的改进研究，如加密算法、协议流程等的简化，第三个方面是对s e t 协议 支付系统的扩展，如其适用范围等的研究。 虽然s e t 协议规范了客户、商店、支付网关、收单银行、发卡银行的资料传送与 身分识别以及电子签名等等机制，安全性大大提高。自1 9 9 6 年4 月s e t 协议面市以来， 得到了i b m 、h p 、m i c r o s o f t 、n e t s c a p e 、v e r i f o n e 、g e t 、v e r i s i g n 等许多大公司的支持， 促进7 s e t 的发展，但s e t 仍然存在一些问题： ( 1 ) 协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书， 否则，商家提供的货物不符合质量标准，客户提出疑议，责任由谁承担； ( 2 ) 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是 由签署证书的客户发出的； ( 3 ) s e t 技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据， 是否应当将数据保存在客户、商家或收单银行的计算机里。这种漏洞可能使这些数据以 后受到潜在的攻击。 根据相关资料可以看出，当前对s e t 协议的理论研究、安全性研究已经十分成熟， 但是对s e t 协议效率的改进尚未达到满意的效果。而在我国，信用卡支付这种方式还没 4 第一章绪论 有普及，因此s e t 协议在我国的使用也相对较少。 对s e t 协议的研究可以按照下面几个方面进行，这些问题的研究具有很强的现实意 义，应该是今后研究中关注的方向。 ( 1 ) 逼近s e t 原协议的理论研究模型； ( 2 ) 协议安全漏洞及改进方法的研究； ( 3 ) 拓展s e t 协议的安全目标的研究； ( 4 ) 提高协议的执行效率的研究，这是以后的重点： ( 5 ) s e t 协议的应用性研究，如何使s e t 协议符合我国的国情。 第二章s e t 协议分析及其改进 2 1 姬丁协议的流程以及安全机制 2 1 1 什么是s e n 议 什么是s e n 议? s e t 是s e c u r ee l e c t r o n i ct r a n s l a t i o n 的缩写，即安全电子交易协议， 是一个在互联网上实现安全电子交易的协议标准。最初由v i s a 和m a s t e rc a r d 合作开发完 成，是为了在i n t e m e t 上进行电子交易时保证信用卡支付的安全而设立的一个开放的规 范，它定义了加密信息的格式和付款支付交易过程中各方传输信息的规则，详细而准确 地反映了交易各方之间存在的各种关系。s e 砌议提供了持卡人、商家和银行之间的认 证，确保了网上交易数据的机密性、完整性和交易的不可抵赖性。距砌议主要使用的 技术有：对称密钥加密、公共密钥加密、h a s h 函数、数字签名技术等。 2 1 2s e r l 办议的运作方式 网上购物的流程与实际购物的流程十分的接近，持卡人在商家的眦b 服务器上浏览 商品，然后挑选预购商品，选定付款方式，最后向商家发送订单和付款指令。姬嘴这 些信息加密，保证商家看不到持卡人的信用卡信息，银行看不到持卡人的订单信息。商 家接到订单信息后向持卡人发回订单确认信息，收到款后，商家向持卡人发货。 s e r l 办议的主要参与者有持卡人、商家、银行、支付网关、认证中心，s e 砌议的核 心技术有双重签名、数字信封等。下面以一个简单的实例来说明距砌、议的运作方式： ( 1 ) 持卡从决定购买商家8 的某些商品，持卡人向商家发出购买请求； ( 2 ) 商家回应购买请求； ( 3 ) 持卡人验证商家身份，向商家发送订单信息和支付信息，其中支付信息对于商 家来说是不可见的( 用银行公钥加密) ： ( 4 ) 收到持卡人的订单后，商家通过支付网关向持卡人的银行请求支付认可，支付 网关认证商家身份，在银行确认与批准交易后，认证中心向商家返回持卡人的认证信息； ( 5 ) 商家返回订单的确认信息，并发送货物； ( 6 ) 银行返回消费收据给持卡人并把货款从持卡人帐户中转移至商家帐户，交易完 成。 在步骤( 3 ) 过程中，为了消费不被他人利用，支付信息和订单信息必须以某种方 式连接在一起，距砌、议使用了双摘要以及双重签名来保证支付信息和订单信息的关联 性和可信性。流程如下：持卡人利用肌媚函数先将订单信息和支付信息分别生成消 6 第二章s e t 协议及其改进 息摘要，再把两条消息摘要连接并用h a s h 函数作用生成新的消息摘要即双摘要，并用 自己的私钥对双摘要进行数字签名，形成双重签名，双重签名的实现模型如图2 1 所示。 图2 1 双重签名的实现 2 1 3s e t i 协议的安全机制 s e 砌议采用的安全措施，几乎全部以数据加密技术为基础，可以说没有加密技术， 就没有安全电子交易。s e t i 办议把公钥密码体制和对称密码体制完美的结合在一起，充 分利用了d 酹效率高、速度快和r s a 安全性高的特点，使密钥管理更简单。在距砌议下 的一个电子购物结算交易中，s e t 吏用非对称加密算法r s a 算法来完成数字签名和数字 信封，而对称加密采用d e s 算法作为s e n 议的默认算法用来保护敏感的金融数据，而 安全h a s h 函数算法则使用s h a 1 算法来完成数字签名以及消息摘要。 2 1 4r s a 公钥密码体制在s e 砌议中的应用 在s e n 议中，距砌议把公钥密码体制的安全有效性和对称密码体制的快速、低 成本完美的结合在一起，s e 砌- 议中公钥加密算法采用的是r s a 密码体制，协议中使用 到尺融算法的地方有：数字签名的生成和校验、数字信封的生成和解密。下面详细说明 兄蚋在范砌议中的应用。 ( 1 ) 数字信封的生成和解密：数字信封又称为数字信套，主要目的是保证数据的 机密性。在。踞砌议中，当要将数据机密地传递时，持卡人首先随机生成一个对称密钥 足，然后利用对称密钥脯订单信息、支付信息摘要、双重签名、持卡人的数字证书进 行对称加密( 加密算法用三重d 醪) 生成信息密文，而密钥k 用商家的公钥加密( 加密 算法用r s a ) 生成密钥密文，即数字信封，持卡人再把信息密文、密钥密文一起发送给 商家。商家在收到信息密文、密钥密文后，先用自己的私钥对密钥密文解密得到信息密 文的解密密钥髟，再用密钥k 解密信息密文得到订单信息、支付信息摘要、双重签名、 持卡人的数字证书，完成数字信封的解密。数字信封的好处是提高了加密速度，避免了 对称密钥的分发。 ( 2 ) 订单信息和支付信息的确认：商家在获取了持卡人的订单信息、支付信息摘 要、双重签名、持卡人的数字证书后，先验证持卡人的数字证书的真伪，如果证书是真 7 海南师范大学硕士学位论文 的，就从证书中提取持卡人的公钥，用它对双重签名进行解密( r s a 解密算法) ，得到 订单信息和支付信息的双摘要。商家利用h a s h 函数把订单信息生成订单信息摘要，把 它和支付信息摘要连接在一起生成新的消息摘要，如果这个消息摘要和从双重签名中得 到的双摘要一致，则确认订单信息和支付信息在发送途中没有被更改。同样，银行也可 以通过相同的验证方法来验证订单信息和支付信息在发送途中没有被更改。 2 2 s e z l 办议白勺功台皂 距砌议实现的功能有： ( 1 ) 实现信息的保密性。为实现网上交易，卖方和银行必须使顾客相信他们提供 的银行卡信息受到保护，只有特定的被授权者才能看到，必须保证结算卡账户和结算信 息在网络上传输时得到安全措施的保护，防止银行卡号、密码和交易日期等在网上传输 时被他人截获。距砰0 用双重数字签名、数字信封等技术来保证信息在传输过程中的安 全性，距弛采用了相应的技术使商家无法看到消费者的账户信息，增加了交易的安全 性。 ( 2 ) 保证数据的完整性。通过s e 砌议，接收者可确认信息在传输过程中是否被人 篡改，如果任何信息在传送中被篡改，交易将无法正确地进行。为消除潜在的欺诈，s e t 利用数字摘要技术将发送的摘要与生成的摘要进行对比，以此来确保收到的信息与发送 方发出的信息内容相同。 ( 3 ) 完成身份认证。懿? 晰准提供了通过认证中心对证书加以认证的方法来确保进 行电子交易的各方面能够相互信任。s e 丁是一个基于可信的第三方认证中心的方案c a ， c a 在s e 黝演了很重要的角色，证书是核心，s e r 使用基于x 5 0 9v 3 的数字证书，通过 数字整数和r s a 签名来达到对持卡人和商家、支付网关以及银行的身份认证。 ( 4 ) 不可否认性。由于交易双方在发出信息时是经过自己的私钥作过数字签名的， 面私钥只有用户自己保管的，因此可以认为只有拥有该私钥的人才能发出经过其数字签 名的信息，即保证了消息的不可否认性。 ( 5 ) 广泛的适用性。s e 砌议己成为事实上的标准，可以运行在不同的硬件和操作 系统平台上，在多种网络环境下都可以使用。 ( 6 ) 保证网上交易的实时性。所有的支付过程都是在线的，满足电子商务的需要。 2 3 距丁协议的缺陷分析 2 3 1s e t 协议的便捷性的分析 8 第二章s e t 协议及其改进 我们从分析s e t 协议的流程出发： ( 1 ) 持卡人注册阶段：首先，为保证姬胶易的顺利进行，持卡人要到c a 机构进 行注册，申请c a 颁发的数字证书，该数字证书中内嵌了持卡人的账号、有效期等信息。 因为账户是私人敏感信息，所以这里就决定了在以后的交易中传输证书需要加密。 ( 2 ) 购买请求阶段：持卡人在线向商家提交购买订单，此信息中既包含定购指令 o l ( o r d e r i n gi n s t r u c t i o n s ) ，又包括支付指令p i ( p a y m e n ti n s t r u c t i o n s ) ，消息摘要 m d ( m e s s a g ed i g e s t ) r 扣既有们的摘要，又有的摘要，还有o i + p i 的摘要，并且商家 只能解析优，支付网关只能解析p ，。对于这两个接受者，对其不应看到的信息，接收 到的只是消息摘要。 ( 3 ) 支付认证阶段：商家要将持卡人发送过来的信息加密处理后发送给支付网关， 由网关来证实持卡人是否有支付能力，告知商家是否向持卡人配送实物。 ( 4 ) 支付清算阶段：商家向支付网关发出请求，将货款从持卡人账户转到商家的 账户上。 我们针对完成距砌议流程中需要进行的安全措施的次数可以作一个大致的统计， 发现每个阶段都需要多次进行几种安全措施，使得一个距咬易的时间花费至少要1 5 分 钟至2 5 分钟。下表列出了各阶段对每种安全措施所需要的次数的统计： 表2 1s e r i 办议各阶段对每种安全措施所需要的次数的统计 各交易阶段购物请求支付认证支付清算 传递验证对方证书 422 消息摘要( m d 5 )522 数字签名( 尺饼) 332 数字信封( r s a ) l22 对称加密( d e s ) 122 由表中可以看出对于交易金额很小的支付而言过程太过于繁琐，交易时间太长，成本太 高，互操作性比较差，这是s e 砌议没有很好的推广开来的一个重要原因。 2 3 2 距砌议中信息或数字商品交易的原子性分析 踞砌议的设计中顾及了在交易中的各个方面，全面地考虑了商家、银行的利益， 充分相信商家、银行的诚信，但它忽视了站在消费者的角度来设计整个交易过程的细节。 在电子商务交易中，首先，当商家从支付网关得到客户正确支付后，s e 砌、议却不能保 证商家一定会发货给顾客，即不能确定商品的原子性( 必须保证购买者如果付了款就一 定能得到商品，购买者如果得到了商品则一定付了款，不存在付了款而得不到商品或得 9 海南师范大学硕士学位论文 了商品而未曾付款) 。其次，商家从支付网得到客户正确支付后，距砌议同样不能保证 商家发送给顾客的商品就是顾客所订购的商品，即距砌议不满足确认发送原子性( 需要 有对客户购买的和商家销售的商品内容及品质的双方确认，即协议保证购买者得到他所 订购的商品，商家发送了客户所订购的商品) 。 2 3 3 距砌议其他存在的一些缺陷 ( 1 ) s e 砌议目前只局限于信用卡支付方式，对其他方式没有给出很好的解决方案。 ( 2 ) 范砌议只支持b 2 碳式的电子商务，目前对于最具前途和影响的b 2 b 电子商 务交易却不支持。 ( 3 ) 距砌议的技术规范中没有提及在交易处理完成后，如何安全地保存或者销毁 有关交易的数据。 2 4 膪丁协议的改进方案 2 4 1 改进思路 ( 1 ) 保持协议的基本流程不变。 ( 2 ) 在s e 砌议的框架下，一方要想验证另一方的数字证书，必须要遍历地区c a 、 品牌c a 、根c a ，这需要花费不少的时间，而在一个完整的交易过程中，要验证对方证 书8 次，因此我们可以在这方面对协议进行改进，以加快交易速度。 ( 3 ) 在s e r t 办议的框架下，一个完整的交易过程需要数字信封5 次，数字签名8 次， 对称加密5 次，这些过程都用到了加解密技术，而加解密的时间对密钥的长度是敏感的， 因此我们可以根据交易金额的大小来选择不同长度的密钥，已达到金额小的交易速度快 的目的。 ( 4 ) 交易的重要信息要有支付网关根据交易金额不同保存不同的时间，如果交易 双方对交易异议，可在规定时间内由支付网关来进行仲裁。 2 4 2s e t 协议的改进措施 ( 1 ) 可以定义不同级的保密要求，从而对加密强度作调整。一个完整的距破易流 程中，加密解密的时间开销占很大的比例。用户可以根据交易额的大小，选择不同的保 密要求。选择较高的保密要求，其加密密钥的长度可以相应增长，加密解密需要的延迟 就更长，安全性也就更高。如果用户对安全性要求低的话，完成一个交易的延迟就会有 显著减少，这样就可以根据实际需要，来调整加密强度满足不同用户的需求。 ( 2 ) 保留证书的批纹来防止重复验证对方的证书。一次传递验证证书所花费的时 1 0 第二章距丁协议及其改进 间相当可观，所以可以考虑在第次验证完c a 的数字证书以后，可以将这个证书缓存起 来，以后的传递验证c a 证书就要以直接和本地缓存中的比较，这样时间就大大缩短了。 由于一次交易的时间相对于证书作废的时间( 一般是一年) 比较短，所以安全性一般不会 降低。 ( 3 ) 采用最新的椭圆曲线加密算法代替r s a 。在s e r l 办议中，数字签名和数字信封 采用的非对称密钥加密算法都是r s a 算法，由于一次交易中要涉及多次的r s a j n 密和解 密，所以采用更快的非对称密钥加密算法对整个系统的影响是显著的。 ( 4 ) 支付中心在向电子商家发送授权响应的同时会保存交易的一些重要信息，保 存时间的长短依据交易金额的等级而定。这样如果交易双方发生纠纷时可以由支付中心 出面进行仲裁。 第三章基于椭圆曲线密码体制的电子交易算法 3 1 椭圆曲线密码体制的基本理论 定义3 1 1 域k 上的椭圆曲线e 是指由w e i e r s t r a s s 方程： y + a l x y + a 3 y 。x 。+ a 2 x + a 4 工+ a 6 1 所确定的平面曲线。其中口l 、a ，、a ：、a 。、a 。k 且0 ，a 是e 的判别式，具体定义如 下： = 一d ；d 8 - 8 d ：- 2 7 d ；+ 9 d 2 d 4 d 6 d 2 = + 4 a 2 d 4 = 2 a 4 + 以i 口3 d 6 = 以；+ 4 a 6 。 d 8 = a ? a 6 + 4 a 2 a 6 一q a 3 a 4 + 口2 一口； e 在k 上的有理点连同无穷远点一构成一个加法交换群e ( k ) ，条件a 0 确保椭圆曲线 是“光滑”的，即曲线所有点都没有两个或者两个以上的切线。 在本文中，我们选用素域g f ( p ) ( p 是大于3 的素数) 上的椭圆曲线y 2 = 工3 + 甜+ 易， 其中a 、易z 。，且= 4 a 3 + 2 7 b 2 0 。 椭圆曲线有理点加法群的运算规则由如下规定：设p = ( 而，y 。) ，a = ( 恐，y 2 ) 是椭圆 曲线e 上的两个不同的有理点，则p 与q 的和尺定义如下：首先画一条连接p 和q 的直 线，这条直线与椭圆曲线相交于第三点，过这个点作x 轴的垂线，这条垂线与椭圆曲线 的另外一个交点就是p 与q 的和尺点。如果p 与q 重合，则直线p q 退化为过p 点的 切线，切线与椭圆曲线相交于第二点，过这个点作x 轴的垂线，这条垂线与椭圆曲线e 的另外一个交点就是p 与q 的和尺点。 具体的可通过如下公式计算： ( 1 ) 若p = ( 再，y 1 ) e ，则- p = ( 五，- y j ) 且尸+ ( 一p ) = 。 ( 2 ) 若q = ( x 2 ，y 2 ) e 且a 一p ，贝0p + q = ( 恐，y 3 ) 。其中 屯= k 2 一玉一x 2 y 32 l c ( x 1 一x 3 ) 一y 1 1 2 第三章基于椭圆曲线密码体制的电子交易算法 且 乏= _ ) ，2 一咒 屯一 3 彳十口 2 y l i f p a i f p = a 椭圆曲线上的有理点能够相加，不能相乘，但可以定义一种数量乘法运算：将一个 正整数和椭圆曲线上的有理点相乘，简称“数乘”。若n 是一个正整数，而p 是椭圆曲 线上的一个有理点，则数量乘法咒尸的运算结果就是对点p 自身累加n 次。例如： 2 p = p + p ，5 p = p + p + p + p + p ，其中关键步骤就是对点p 的倍点运算，即求解 2 p = p + p 。 设e 是定义在域上的椭圆曲线，椭圆曲线e ( ) 的有理点的个数记为# e ( ) ，并 称其为域上椭圆曲线e 的阶。因为w 毒把坶f m s j 方程对于每个工最多有两个解，所 以我们有稃e ( ) 【1 ，2 q + 1 ，胁s s 已定理给出了秤e ( ) 更精确的界。 定理3 1 1 ( 协s s e 定理) 设e 是定义在域c 上的椭圆曲线，则 q + l 一2 石 e ( c ) 留+ 1 + 2 石 区间 q + l - 2 , j q ，+ 1 + 2 - q 称为胁s s e 区间。胁5 s p 定理的另外一种描述是：若e 是定义在 域上的椭圆曲线，贝j j # e ( f q ) = q + l - t ，其中的f 的绝对值l f l 2 q ，f 称为域乞上椭 圆曲线的迹。因为2 q 小于目，所以我们有存e ( c ) = q 。 定义3 ：1 2 椭圆曲线离散对数问题( e c d l p ) ：给定定义于有限域c 上的椭圆曲线e ， 有理点p e ( c ) ，p 的阶为咒，q e ，寻找整数口【1 ，n - 1 ，使得a = a p 。 虽然目前e c d l p 的难解并没有数学上的证明，但通过许多年的考验说明了e c d 卯 的难解度。首先，自从1 9 8 5 年椭圆曲线密码体制被提出以来，该问题被许多学者研究， 到目前位置还没有发现亚指数时间的通用算法，其次，已经证明了求解阶为n 的一般群 的离散对数问题的下界为i ，这给出了从理论上证明对一些群的离散对数问题的难解 的希望。 安全的椭圆曲线参数组的选择要能使得e c d l p 抵抗所有已知的攻击，为了防止针对 海南师范大学硕+ 学位论文 特殊类型椭圆曲线的攻击，应随机选择满足撑( ) 能被大素数整除的椭圆曲线，另外 还会出于安全性或者实现的原因而有其他的约束。 一组安全椭圆曲线主要参数包括：定义在有限域g f ( p ) ( p 是大于3 的素数) 上的椭圆 曲线e ，g f ( p ) 的特征是p ，e 在g f ( p ) 上的有理点的个数襻e ( g f ( p ) ) 可被一个大素数 n 整除，一个基点g 。我们可记所涉及的参数为： d = ( p ，r ，口，6 ，g ，n ，i ) ，( d ，q ) 。 其中 - p 是大于3 的素数； 豫是有限域中元素的表示方法： a 、易g f ( p ) ，定义g f ( p ) 上的椭圆曲线e ：y 2 = 工3 + 似+ 6 ： g = ( ，y c ) 是e ( g f ( p ) ) 中的一个有理点，g 的阶为玎。i 1 是一个素数，且满足 n 2 1 6 0 及n 4 , 1 7 ； h = # e ( g f ( p ) ) n 称为余因子，h 远小于n ，利用h 可以较快的找到满足上面条 件的基点g ，随机取g e ( g ，( p ) ) ，计算 g ，如果h g 0 ，则令g = h g ， 否则重取g ； d 是私钥，q = d g 是公钥。 将d = ( p ，职，a ，b ，g ，n ，j 1 ) ，q 公开，d 保密。 有了上面一组椭圆曲线参数后，我们就可以利用椭圆曲线离散对数问题来设计加 密、解密以及签名算法，用椭圆曲线模拟实现基本e i g a m a l 方案的加密和解密过程分别 由算法3 1 1 和算法3 1 2 给出，首先把明文m 表示成椭圆曲线上的一个有理点m ，然 后再加上七q 进行加密，其中七是随机选择的正整数，q 是接受者的公开密钥。发方把 密文g = k p 和c 2 = m + k q 发送给接收方，接收方用自己的私钥d 计算 d c , = d ( 舻) = k ( d p ) = i i ：q 。 进而可恢复出明文m = c - k q 。攻击者若想要恢复出明文m ，则需要计算j ；：q ，而从公 1 4 第三章基于椭圆曲线密码体制的电子交易算法 开的参数组q 和c l = k p 来计算尥则是困难的。 算法3 1 1 椭圆曲线加密算法 输入：椭圆曲线参数组d = ( p ，f r ，a ，b ，g ，终，j f l ) ，公钥q ，明文m 。 输出：密文( c 1 ，q ) 。 1 ) 明文m 表示成e ( g f ( p ) ) 上的有理点m ； 2 ) 随机选择k 【1 ，n l 】； 3 ) 计算c 1 = k g ； 4 ) 计算c 2 = m + k q ； 5 ) 返回( c l ，c 2 ) 。 本文中这种加密算法记为e c c 。 算法3 1 2 椭圆曲线解密算法 输入