（系统工程专业论文）基于椭圆曲线加密体制的校园卡安全研究.pdf

西安建筑科技大学硕士学位论文 基于椭圆曲线加密体制的校园卡安全研究 专业：系统工程 硕士生：于帆 指导教师：陈永锋教授 邵必林副教授 摘要 随着校园网建设的发展，对校园卡的安全性能要求也越来越高，但限于校园卡自 身硬件的资源极为有限，用其实现安全控制面临着存储器容量和计算能力方面的限制。 目前市场上的大多数智能卡只是有1 2 8 到1 0 2 4 字节的r a m ，1 k 到1 6 k 字节的 e e p r o m ，6 k 到1 6 k 字节的r o m ，c p u 通常为8 比特，典型的时钟频率为3 5 7 m h z 。 由此可见任何存储或者是处理能力的增加都意味着智能卡成本的大幅度提高。而椭圆 曲线密码体制的突出优点是方便生成公钥、私钥对；节省内存空间：节省带宽；节省 处理时问。鉴于此，本论文提出将椭圆曲线密码体制应用于校园卡的安全系统，有着 十分明显的经济效益和实用价值。 本论文主要立足于椭圆曲线密码技术实现的运算层，来实现密码层的多种加密算 法，包括d h 协议、e l g a m a l 加密体制、e l g a m a l 签名和将d s a 等内容应用到椭圆 曲线密码体制上。运算层是椭圆曲线密码体制实现的最基础、最核心的部分，包括如 何来计算椭圆曲线的阶为大素数或含有一个大的素因子，以保证所选取的椭圆曲线为 安全椭圆曲线，本文根据i e e ep 1 3 6 3 协议的s e a 算法实现了安全椭圆曲线的选取： 另外如何实现标量乘的快速运算，将会影响整个密码系统的实现效率，本文根据不同 情况对椭圆曲线的标量乘法分别采用了带符号的二进制法和滑动窗口法进行快速运 算。在密码层上实现了基于大素数域g f ( p ) ( p = 2 1 9 2 2 6 4 的密钥交换、e l g a m a l 加密和 椭圆曲线数字签名。综上所述，本论文所作的主要工作有：( 1 ) 对目前应用较广的公钥 密码体制r s a 和e c c 算法及加解密实现进行比较。( 2 ) 针对目前已有的椭圆曲线攻击 算法，使用s e a 算法实现了安全椭圆曲线的选取，实现了基于大素数域上的椭圆曲线 的e l g a m a l 加解密和数字签名。( 3 ) 讨论了椭圆曲线在智能卡上的应用，并提出了两种 基于e c c 的身份认证方案。 【关键词】：校园卡身份认证公钥密码体制椭圆曲线密码体制 论文类型：应用研究 西安建筑科技大学硕士学位论文 t h er e s e a r c ho u c a m p u s c a r d s e c u r i t y - b a s e d o n e l l i p t i cc u r v ee n c r y p t i o ns y s t e m s p e c i a l t y ：s y s t e me n g i n e e r i n g p o s t g r a d u a t e ：y u f a n i n s t r u c t o r ：p r o f c h e n y o n g f e n g a s s o c i a t ep r o f s h a ob i l i n 戳氇t h e d e v e l o p m e n to fc a m p u s n e t w o r k c o n s t r u c t i o n h i g h e rs e c u r i t yo fc a m p u s c a r d i s r e q u i r e d ，b u t h a r d w a r er e s o u r c e so fc a m p u sc a r di t s e l fa r es ol i m i t e dt h a tm e m o r y c a p a c i t ya n dp r o c e s s i n gc a p a b i l i t yi su n a b l et oa c h i e v es e c u r i t ys y s t e m a tp r e s e n t ，m o s t o f t h es m a r tc a r d so nm a r k e th a v e1 2 8 - 1 0 2 4b i t e sr a m ，l k 1 6 kb i t e se e p r o m ，6 k t 6 kb i t e s r o m ，8 b i tc p u u s u a l l ya n dt y p i c a l l y3 。5 7m h z c l o c kf r e q u e n c y , f r o mw h i c hw ec a ns e e t h a ta n yi m p r o v e m e n to nm e m o r yo rp r o c e s s i n gc a p a b i l i t ym e a n s g r e a ti n c r e a s eo f t h ec o s t o fs m a r tc a r d t h u s ，t h i sa r t i c l ep r o p o s e st oa p p l ye l l i p t i cc u r v ee n c r y p t i o ns y s t e mi n s e c u r i t ys y s t e mo fc a m p u sc a r d 。e l l i p t i cc u r v ee n c r y p t i o ns y s t e m sa d v a n t a g e sa r ee a s y p r o d u c eo fp u b l i ck e y a n dp r i v a t e k e y , s a v i n gm e m o r yc a p a c i t y a n dn e tw i d t ha n d p r o c e s s i n gt i m e t h e s ea d v a n t a g e sn i c e l ys u p p l e m e n tl i m i t a t i o n so fc a m p u sc a r d ，i m p r o v e s e c a r i t yo fc a m p u sc a r da n dm e a n w h i l er e d u c ep r o d u c t i o nc o s t ，s ot h i ss y s t e mh a sab r i g h t f u t u r e t h i sa r t i c l em a i n l yb a s e so nt h eo p e r a t i o nl a y e ro f e l l i p t i cc u r v ee n c r y p t i o nt e c h n i q u e s t oa c h i e v ev a r i o n se n e r y p t i o n a l g o r i t h m si n c l u d i n gd hp r o t o c o l ，e l g a m a le n c r y p t i o n s y s t e m ，e l g a m a ls i g n a t u r e a n da p p l y i n gd s ai n e l l i p t i c c u r v ee n c r y p f i o ns y s t e m o p e r a t i o nl a y e ri st h eb a s i c c o r ep a r ti ne l l i p t i cc u r v ee n c r y p t i o ns y s t e mi n c l u d i n gh o wt o c a l c u l a t ee l l i p t i cc u r v e ss t a i r si sal a r g ep r i m eo ri n c l u d i n gal a r g ep r i m eg e n et oe n s u r e e l l i p t i cc n r v et ob es a f ee l l i p t i cc n r v e ；i n t h i sa r t i c l es a f ee l l i p t i cc u r v ei sc h o s e nb yp 1 3 6 3 s a ea l g o r i t h m b e s i d e s ，h o wt oa c h i e v ef a s t p o i n tm u l t i p l i c a t i o n w i l li n f l u e n c et h e p e r f o r m a n c ee f f i c i e n c y o ft h ew h o l ee n c r y p t i o n s y s t e m ；i n t h i s a r t i c l e ，f o r d i f f e r e n t s i t u a t i o n s ，s i g n e db i n a r ym e t h o da n dr o l l i n gw i n d o wm e t h o da r er e s p e c t i v e l ya p p l i e dt o p e r f o r mq u i c ko p e r a t i o no fe l l i p t i c c l l r v e s p o i n tm u l t i p l i c a t i o n o ne n c r y p f i o nl a y e r , 西安建筑科技大学硕士学位论文 e x c h a n g eo f p f i v a t ek e y sb a s e do np r i m ef i e l dg f ( p ) ( p = 2 1 9 2 2 6 4 一1 ) ，e l g a m a le n c r y p t i o n a n de l l i p t i cc u r v ed i g i t a l s i g n a t u r ea r ep e r f o r m e d t h em a i nt a s ko ft h i sa r t i c l ec o n t a i n s ： ( 1 ) c o m p a r e sa l g o r i t h ma n de n c r y p t i o na n dd e c r y p t i o nb e t w e e nt h ew i d e l y - u s e dp u b l i ck e y e n c r y p t i o ns y s t e mr s aa n de c c ；( 2 ) d i r e c t i n ga g m n s tp r e s e me l l i p t i c c u r v ea t t a c k a l g o r i t h m ，u s e ss e aa l g o r i t h mt op e r f o r mc h o o s i n go fs a f ee l l i p t i cc u r v ea n dt oa c h i e v e b a s e do np r i m ef i e l d e l l i p t i c c u r v e se l g a m a le n c r y p t i o na n dd e c r y p t i o na n d d i g i t a l s i g n a t u r e ；( 3 ) d i s c u s s e se l l i p t i c c u r v e s a p p l i c a t i o n o ns m a r tc a r da n d p r o p o s e s t w o i d e n t i f i c a t i o np l a n sb a s e do ne e c k e yw o r d s ：c a m p u sc a r d ，i d e n t i f i c a t i o n ，p u b l i ck e ye n c r y p f i o ns y s t e m ，e l l i p t i cc u r v e e n c r y p t i o ns y s t e m t h e s i s t y p e ：a p p l i c a t i o n r e s e a r c h 声明 本人郑重声明我所呈交的论文是我个人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含本人或其他 人在其它单位已申请学位或为其它用途使用过的成果。与我一同工作的同 志对本研究所做的所有贡献均己在论文中作了明确的说明并表示了致谢。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名：寸忆 关于论文使用授权的说明 嗍3 叶，6 t 本人完全了解西安建筑科技大学有关保留、使用学位论文的规定，即： 学校有权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布 论文的全部或部分内容，可以采用影印、缩印或者其它复制手段保存论文。 r 保密的论文在论文解密后应遵守此规定) ：于帆新虢陌唷吼仰6 牛 注：请将此页附在论文首页。 西安建筑科技大学硕士学位论文 1 绪论 随着计簿机网络的迅速发展，相互之间进行道倍躲鼹户数量的增多，r s a 与e l g a r m l 公 镅塞秘睇l 鹃公钥往蘩铰大( 一般为5 1 2 魄特醴上) 熬弱点逐涛瀑露潦来。t 9 8 5 年k o b l i t z 嘲 和m i l l e r o3 分别独立地提出利用椭圆曲线上离散对数代替有限域上离散对数，可以构建公钥 位数较小的e l g a m m 类公钥密码。而i c 卡自身硬件的捺源极为有限，用其实现安全系统面临 羞存旗器褰曩秘诗算2 力方瑟受到穰六豹隈毒錾瘊鞋援爵秘氍不爱逶大提裹卡残零嚣又蠢蓦囊 保卡安全的加密体制非常煎要。 1 1 校匿瓣安全测蓖潢遴 随着i n t e r n e t 的商业k 化，越来越多的企业也进入网络并在网络上开展业务，从而使得网 际互连的问题日益突出，网上犯罪及侵投问题快速增长。微软公司的网络系统中的个原来未 戋i 匏漆隧诖一名在线攻拳麓控割了美强溪藐部数l i 务瓣瓣公嚣接嚣。2 0 0 3 年耪中嚣王亵镶行 发出重要提示，称有黑客利用工商银行网管公开邮箱向储户发出信件索要银行卡账母和密码。 中文搜索网站百度曾遭受每秒钟1 0 0 0 次的攻击“1 ，诸如此类攻击不黻枚举。据市场调查机构 i 霹硬究发域，亚测金敛网络曾遭受黑密侵入的 跨逡大7 2 。中嚣公安帮公众售感阚终安全 检查局统计发现，2 0 0 2 年中国互联隧潮户中8 3 9 8 的爝户受到了随獬问题弱影响，这其 中主要原因是亚洲大部分地区由于网络技术普及率较低，加之对黑密攻击技术和警段估计不 够，致使缀多企业和用户柱实施网络建设时对安全睦考虑不够。 学校楚入类翔谤诞生与传蕹豹主要濒所。在网络大囊箕遒豹信爨嚣萼栈，茏箕楚程教育信息 化、数字化和远程化的进程中，校园网磁在扮演着越来越重要的角色，校园一节蘑技术成为了 教育三化基础平台的一部分。同时，随赣校园网技术的不断发展，谢望与银行合作构成如图 1 - 1 联示熬绞霆溺终圈，扶强孛霹疑懿瓣豹校园i c 卡爨经是掏笺毫予亵务乎套豹部分，这 将使得校潮网络安全和信息安全问题变得更加突出，弱前校园网的安念问脏要出以下四方面 原因引起俐： ( 1 ) 梭圈霹圭凝保= l 掌了大量的毫裁技术信息，妇鬟大科研顼鞋的数弦，进度辩成果等。这 些信息对筑争对手来说菲鬻具有吸雩l 力。 ( 2 ) 校园网开展远程教育，课程的考试也通过网络进行，一些考生可能向从网匕窃取考题， 或修改成绩或者请 。替考。 ( 3 ) 学生之露或者肇殛之阉由予多零孛黎匿激菱懿瑟意玫毒。 西安建筑科技大学硕士学位论文 銎1 1 与镶雩亍合髂靛校园卡系统网络图 ( 4 ) 将校园卡与 e u r f f 4 的# - - 为将招致骇客对校园网更大的兴趣。 对此，校i 圈网就i c 卡管理方面可能i 萱受到的攻击主要斑如下三种情况： ( 1 ) 投投谤竭，# 露意避牙系绫游瘸整毒游壤蠡对鼷终设备及瓷源莲錾羁基菠露使爱，或 擅自扩大权限，越杈访问信息等。 ( 2 ) 信息泄漏或丢失，指敏感信息强有意或无意中被泄漏出去就蒜失，致使睇肖一定目的 牲的人从中g 够推导出对他更毒餍的信怒，熟甩户口令、账号等。 0 ) 缓环数据完整溃，以菲法手段窃的对数据每谴耀权，勰豫、修改、撬入或熬发某些重 要信息，以取得有意于攻击者的的响应。 因此，校园网非常需要采用安全防护措旎，以保诞日常业务& 诋常进行。密码技术是( 包 螽鸯i 蜜技术、数字签名等实现l 毒安金l 鏊务魏重要蒸浅是惩终安全技术豹揍瓯谯申彝瑷 在网络的努份认证即确认网络客户的真实身份；信息和数据的保密性，即个人或系统机密信恩 和数据保护；信息和数据究整性和不可抵赖性，即网络环境下行为的搿后的不可抵赖陛四个方 匿。褰玛技术的实现可以分蠹西令层次：运嚣屡、密璃层、接墨层秘廒罔层。本文主要驮运箕 层、密码髅两个层面上对椭函曲线密鹤体制进季亍理论研究和应瘸研究，最后分祈褥澎将椭菡萄 西安建筑科技大学硕士学位论文 线密码体制应用于校园卡髓更为有效的保证i c 卡电予支4 , - t 系统的安全陛。 1 2 研究背景及现状 叁t 9 7 6 年毯曼l c 秘h e l l m a n 撵警公锾密羁俸爨以来，学者 门撵爨了诲多稳公锈蕊密薅爨 的实现方察，所有j l 堂穷案的安全性都熄基于求解菜个复杂的数学难题。在经过易实现和不易 被攻破两个条件的限制下，t f l 前还活跃程公钥密码体制舞台上的主要谢如下三类密碍体制被认 为是安全秘蠢效的峨 ( 1 ) 鏊予大整数嚣孑分解公钥密码体制。包括著名豹l i s a 俸制帮r a b i n 体割。 ( 2 ) 基于有限域上离敞对数问题的公钥密码体制。熟中主要包括e l c r a m a l 类加密体制和签 名方案、d i f i i e - h e l l m a a l 磷钥交换方案、s c h n o r r 签名方寨和n y b e e e r g - r u p p e l 签名方寨等。 0 ) 蘩予獯窝藏线藤教薄数弱鬟麴登锈密码髂翻( e c c ) 。蔟中包菇橇黧麴线墼豹 d i f f i e - h e l l m a n 密钥交换方案、s c h n o n 签名方案和n y b e e e r g - r u p p e l 熬名方案等。 椭圆曲线密码体制，即基于椭圆曲线离散对数问题的各种公钥密码体制，它是利用有限域 上的椭羼鼹线寄眼群代替鏊于离敖对数溜蓬中兹有隈缀环群骶褥至的秘密码钵剡。毽就撼匿 藩线密码可归入离散对数闯题的各种密诲实现当中。该密码体制在1 9 8 5 年由k o b l i t s 和m i l l e r 分别独立提出之初，并未引起人们的太多注意。原因主爱有三个：一鼹当时没有一种实际有效 的计算椭圆曲线有理点的个数的算法。二是椭圆丝线中的点乘运算过予复杂，使褥实现椭圆蓝 线密玛时速度较漫。第三令漂困是r s a 簿法已经撵爨多年，显搔拳爽溪已经j 隧 藏熬，这氇 在相当犬的程度上限制了椭圆曲线密码体制的发展。 随着计冀枫技术的不断发展，人们对基于上述箭蕊类密玛俸卷的破泽能力不叛提高，这 追使r s a 体豢冲使蘑的模数和基予有瑟域上的离敬辩数翁有限臻凌目越大。国舔e d i 标准规 定r s a 算法中模n 的长殿可在5 1 2 b i t - 1 0 2 4 b i t 之间吲，潦实上，5 1 2 b i t 目前已经很难保证安全。 专家建议采用7 6 8 b i t , 黝1 0 2 4 b i t 米保证电子交易中的安全性。镪钥长度的增加导致了其 秀霎鼹密豹遮度大荛簿 毳，疆薛实现氇交褥越来越困难，这薄 羹黉繇汰熬瘦霉系缀滁了较大 的负担，目前市场上提供的i c 卡一般配置情况是：内存为1 2 8 字节- 1 0 2 4 字节脚凹r o m 为 i k b 一1 6 k b , r o m 为6 k b - 1 6 k b ，8 位c p u ，3 , 5 7 m h z 的h 寸乍十速度。因此，针对如此鼯己霞的校园 卡两言，r s a 髂毒4 显然不是最好的选攥，瑟横圜趋线密码系统懿如下弱点好楚较好豹解决了 校园l c 卡使弼r s a 细密体南带来的困境。 ( 1 ) 安全性能更高，e c c 比r s a 的每b i t 安全陛能辫商。加密算法的象全眭能通过该算法的 抗攻击强度柬反映。e e c 和其他_ r 瓣公钥系统相比，椭圆曲线的离散瓣数计算困难陡( e c d l p ) 在诗算复聚度上嚣兹是寇垒指数缀辩，掰r s a 是翌黢缓 豹。 西安建筑科技大学硕士学位论文 ( 2 ) 计算量小和处理速度快。在相嘲的计算资源条件下，虽然在r s a 中可以通过避取较小 兹公锈涎方法提毫公镯登璎速度，霹撵篱嬲密帮签名验疆的速麦，镬萁在女g 密窝签名验证速度 上与e c c 肖可e 匕j | 生，但程私钥的处理速度匕e c c 远比r s a 、d s a 快得多。同时e c c 系统的密 钥生成速度比r s a 快百倍以上。因此，在相同条件下，e c c 则有更高的加密性能。 占蹋存鼹空闻小。药既蕊密锾尺寸耪系统参数与r s a 、d s a 援魄要小褥多。1 6 0 垃f 鹭c 与1 0 2 4 位r s a 、d s a 其有朔同的安全强度，2 1 0 位麟蒯与2 0 4 8 位r s a 、d s a 具有相阿的安全 强度。意味着它所占的存贮空间要小得多。这对于加密算法在资源受限的i c 卡环境上的应用 其有特另熬要魄意义。 ( 4 ) 带巍要求低。当辩长清怠迸符舾解密时，三炎密码系统有鞠同靛带宽要求，僵应用 于短消息时f c 带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字艇名和用于 对对称系统的会话密钥传递。 藕躅藏线密戮摹寒l 襄窍貔逮终羧绥箕残秀了嚣裁密码学雾臻究豹熬熹。德磬、霾本、法 国、美国和加拿大等国的很多密码学研究小组及一些公司实现了椭圆曲线密码体制。许多国际 标准化组织( 政府、工业界、金融界、商h k 界等) 己将各种椭圆曲线密码体制作为其标准化文 馋彝全臻鼷奄。e c c 橱滤波大薅分为嚣张形式：类怒凌本标准，鼯滏速以技零支撵失主熬 e c c 体制，主要有i e e e p l 3 6 3 、a n s lx 9 j 记、a n s i 搿6 3 、s e c l 、s e c 2 、f i p 1 8 6 - - 2 、 i s o i e c1 4 8 8 8 - - 3 等，避些标准规范了e c c 的各种参数的选择，并给出了各级安全强度下 的一组e c c 参数。另一炎是应用标准，b 口在具体的艨用环境中建议使用e c c 技术，主要有 i s o i e c l 5 9 4 6 、i e t fp k i x 、i e t fi l s 、w a pw i l s 等强。毪滴静燕锺翡霞辩，一堡l 枣子 标准的各种椭圆曲线加密、签名、密钥交换的软、硬件也相继问世。例如著名的m o t o r o l a 公 司则将e c c 用于它的c i p h e r n e t ，以此来把安全特性加入应用软件。s e t 协议的g j 朔i v i s 和 m a t e r c a r d 公霉邀良经诗怒臻援麟鸯鬟密喜璐l 。我墓海罐蕊安数摆系缝蠢疆公司跫一家专塑霹 究椭圆曲线算法的公司，该公司通过和深封j l 明华奥汉科技有限公司合作联合开发出了国内第一 个带椭圆曲线算法的智能卡( s m a r t c o s - p k ) ，到2 0 0 2 年初，他们融相继开发出了具有支持 1 6 0 b i f f l 9 2 b i te c c 算法的s m 曲c o s 糕蹶c c ) 和支持2 5 6 b i t s m a r t c o s - p k 型号的智孽卡哦。 1 3 论文主骚研究内容 尽管麓霾趋缓密玛传钢0 l i i 站i oc u r v ec r y p t o s y s t e m 篱称e c c ) 黾壹主述鬣鬻靛稳关标 准进行约怒，但在实现椭嘲曲线密码体谁时仍有一些关键的问题尚需骚进步研究e 萁中主要 的理论问蹶有两个方面。第一是随机椭圆曲线选取的问题，现在的实l 嫩方案基本e 都采用了“子 域凿线”或蒸链一些特魏熬线，但要联军罨最佳安全攒豳蟪线必须袋朋瞧壤选取法。嚣裁已毒 s e a 算法对所选取的曲线的有理点数避行计算，僵鼗捷一条合适携龋线并不容易。第二是椭 西安建筑科技大学硕士学位论文 圆曲线密码体制的快速实现问题。对绘定的基点g 和熬数m ，如何搬速计算标量乘法o ”是 快速实瑗魏圆鑫线密筠潍l 的关键。对一些跨殊惑笺躐圈定基点g 簸熬数m ，璜悫已经有了 较好的算法。但对般曲线或对随机点g ，现在仍无一个较好的方法。要快速实现椭圆曲线密 码体制，除理论问题外，还有许多技术问题需要研究，如根据实际问题，如何选取熬域、如何 选取趁线、瓤凭表示基城审豹元素鞋及采溪露睁坐标及蠲 霹i 方法淫舞g m 等螫怒g 每会暹囊 的问题。 椭圆曲线技术实现可以分成四个层次：运算层、密码层、接口层和应用层，运算层是最基 础、最核心的音盼。威闵层是最接近雕户的一层。 ( 1 ) 运算屡 运算聪的主要功能鼹撮供密码算i 甚_ 所需要的所有数论运算支持，包括：大整数加、减、乘、 除、模，g c d 、逆和模幂簿。运算层的实现敲率将对数令密码系统的效率起决定性作用，因而 运算层懿缡疆工终是冀浚安蓼l 最孩心、激鏊礁，氇蓬豁羹垂酶鼙分。 ( 2 ) 密码层 密码层的主要功能是在运算层的支持上，选择适当的密码体制，科学地、准确地、安全地 实现密码黪法。在相同腿箕罄基础上，我钌霹以构建起多秘密秘体铡。对予密稻体卷懒兵 体结构的选择和实现，燕辩码层魏物心内容。最终，密隅系统的安全性，将决定于辩玛层翦实 现能力。程密码层中，为了支持公钥密码系统，通常必须提供五种操作：生成密铜对、加密、 鳃密、签名牟验证签名等。 本论文主要擎黼运冀骚帮密嚣瑟瓣撩瑟藏线密删l 髓孪亍醣究。运算茬将妻接彩璃懿豹 实现效率，进而影响到e c c 公钥密码体制的实现教率，而实现效率又燧一种密码体制能否运用 到i c 卡上的重要因素。椭圆曲线域上的加法运算很容易用计算机的软硬件实现，特别是基于 g f ( 2 瓣糕黧夔线。翔基予谬( 2 “) 匏赛镶交换嚣闯逶攀隽肘毫毫拶。在多静因素露l 约积影凌 下，本文列举了在实现黜的过程中影响f e c 实现效率的几个方面：如何计算椭圆曲线有理点 的个数和如何实现标量程陕速运算：在密码层匕将研究如何在运算层的基础上生成密钥对、进 行秀b 密、勰密、签名和然锯验证。 本论文中静校园配卡专指带有敲处理器豹簪戆卡。i c 卡( i n t e g r a t e d c i r c u i t c a r d ) ，即“集 成电路卡”是法国人r o l a n d m o n a 于1 9 7 4 年发明的。他是将存储、加密及数据处理能力的集 成电路芯片镶嵌于塑料基片中。国际标凇i s o i e c 7 8 1 6 对的i c 卡物璐特征、结构尺寸、通信 魏议帮应蠲资没令均绺- f 详缓i 蹩定。较霾卡是秘安全设备，它熬捺攫是替代浚逶矮域中蕊 现金或支祭，随着校园卡的功能的不崮谛“展，如存、取现金、转账结黧以及办理全豳各银行系 统异地同存遇兑等业务的增加，利用它逃行的欺诈行为也将不断增加，所以寻求一种既适用于 硬件资添窍瑟两又提供燕安全强度的褰码体毫归# 掌熬要。本论文最瓣姆描述撼凰获线密码俸 毒9 如俺应瘸翻i c 卡上。 西安建筑科技大学硕士学位论文 1 。4 烫文终格安臻 本文研究的基本思路是：在总结近几年椭圆曲线密码研究方面最新研究结果的同时，希望 凌；较为系统缝熬悉窝竞饕撩圜夔线密礴理论。基予遮襻粒疆究嚣懿，本文章节安爨跨e 下： 第二举将对基于不同难题的公钥加密体制进行分析和安全性比较。分析基于大熬数分解问 题( r s a 加密体制) 、普邋索数域上离散对数问题( e l g a m a i 算法) 和椭圆曲线点群上的离散对 数问题( 黝嘲日密体制) 瓣公钥密码系统。给出它们粒实现方案以及常用的攻毒黼算法 复杂度，并怼逸三释密戳系统的毪锈避行分析和e 较，指出各裔优劣帮今后的发展前景。 第三章给出了本文需撰用到的椭圆曲线基本数学理论。其中，首先给出了般椭圆曲线的 概念和基本将眭，然后给出了有限域椭嘲姐线密码体制的理论。同时g i 入了与椭圆曲线密码体 露l 塞甥穗美瓣撩瑟夔线蠢巍激箕受羧塞瑷援。溺运女l 蒋 蓑餐离散瓣数熬求鼹舞滚s h a n k s 、 p o u a r d - p 和i n d e x 等，并给出对两类特殊曲线的攻击算法m o v 和s m a r t 。最后给激安全椭圆 曲线的选椒规则。 第四颦根据第三章獠阑趱线的选取揪犍赣西是取撩霾夔线的实现。主要根据s 蠢a 奠法编 制个寻找大素数域磷酗( 萁中2 1 默艄上安全椭圈曲线的程彦。并嗣爝找至8 的艟线实现 e l g a i i l a l 加密算法、e ( 、d s a 签名及验证。 第五誊就e c c 在智自捧中的应用做如一些探讨，弗提出了基于e c c 的零知识势黔认证方 案帮s c h n o r r 身份认证方察。 西安建筑科技大学硕士学位论文 1 9 7 6 年，美国巅坦辐大学教授m h e l l m a n 和能的研究助理w 1 n f l e 3 1 ，以及簿士生 t l c m e r k l e ( 篱称为d h m ) 蕾先鑫立并发表了公钥密粥俸皋嘲e 姆蛳唾。g e a p 螂，& 加密、 解密用两个不同的密钥，加密用公钥( p u b l i c k e y ) ，可以公开，不必保密，任何人都可以用。 解密用私钥( p r i v a t ek e y ) ，此钥必须严加管理，不能泄漏。因此公钥密码体制也叫双钥密码体 裁。英算浚貔重要4 寺毪笼：已戋l 密羁箕法饔鸯i 密塞镌，求戆簿密蜜锈在诗算上是苓霹行匏。 公钥密码系统是基予陷门单向函数【4 】的概念，单向函数是易于计弊但求逆困难的函数，而 陷门单向爵数是在不知道陷门信息的情况下求逆困难，但在知道陷门信息的i 青况下易于求逆的 函数。 2 1 公钥密码学的发展 公镄密弱学懿发装怒熬令密羁学获鼹历史孛最镣大豹一凌孳祭1 1 。获塞玛学产生黔，凡 乎所有的密码系统都是基于替换和置换绣些初等方法，几千年来，算法的实现主要鼹通过手工 计算来完成的。随着转轮加密懈密机器的出现，传统密码学有了很大进展，利用电予机械转 轮可以开发浅稷荬复杂豹宓l 寮系统，葶躅诗算捩甚至霹没没 出更鸯爨复杂的系统，羧萋名豹骥 子是l u c i f e r 在i b m 实璐数据加密标准( d e s ) 时所设计鳃系缀“。转轮机器和d e s 是密码学 发展的重要标志，但是它们都是基于替换平口置换这些初等方法之上的。 公钥密码学与以前传统的密码学完全不同，它的爨现使密码学的歼究发生了巨大的变化。 与接统女l 密系统不同静怒，镬羯这种方法靛船密系统，墨淑公开翔鬻簸法本身，遵公开了鸯l 密 用的密钥。首先，公钥算法是基于数学函数而不是基于替换和置捌u ，更重要的是与只使用一 个密钥的澍称传统密码不同，公钥密码学是非对称的，它使用两个独如的密钥。我们将会看到， 健溪嚣个爨鞠在涟惑懿僚密缝、蜜锈分酝秘谈涯鼷骥蠢着霆要应爰。 ( 1 ) 通倍保密：此是将公钥作为加秘密钥，私钥体为解密密钥。如图2 1 所示，b o b 拥有 多个人的公钥，当他需要向a l i c e 发送机密信息时，他用a l i c e 公布的公钥对明文加襁，当a l i c e 收到密文艨翅她的私锈孵寝。 圆数字签名：将私绸作为耱秘密钥，公钥作为解密密钥，可戳实现由一个蠢l 户对数据加 密而多个用户可解密的方式进行数字签名。如图2 - 2 所示，b o b 用私钥对明文进行加密并发布， a l i c e 收到密文后用b o b 公布的公钥解密。由于b o b 的私钥只有b o b 自己知道，因| 比a 监c e 看 到懿稠文一定是b o b 发爨瓣，簸瑟实袋了数字签名。 西安建筑科技大学硕士举位论文 翔善l 遥蓦黎整攘墼 ( 3 ) 密钥交换：通信双方交换会话密钥，即加密通信双方连接簸所传输的信息，每次进行 的逻辑连接都会使用一把新的会话密钥，用后就丢弃。 2 2 公钥密码算法 国2 - 2 数字签名模羹 基于上节公钥密秘系统的功能，蠢1 9 7 6 年后人们提出了多釉公开密钥算法，如r a l p h m e l k l e 帮h e u a n 开发的背毯冀瀣镧、l u - l e e 密码系绫簪帮g o o d m a n - m c a u l e y 密码系 统同等，但他们都分别在文献阴【8 】、 9 】【10 、【l l 】中被相应的分析方法攻破。还有一些算法虽 然是安全的，但计算量太大以：至于难以蜜现，如c h o r - r i r e s t 背包冀泌协。公开密镪算法发展 至今只有少数被认为是蕊安全又有效麴，它们斡安全镌都是基予复杂熬数学难题，撤据辑基子 8 西安建筑科技大学硕士学位论文 的数学难题柬分类，有以下三类系统目虢被认为是安全军b 有效的： ( 1 ) 大熬数园子分榉据1 系统的公钥密褥算法r s a 和r a b i n 体制。 ( 2 ) 基于有限埘1 4 1 离散对数系统的公钥密码体制，包括e l g a m a l 类加密体制和数字签名方 寨，d i f f i e - h e l l m a n 密锈变换方案等。 0 ) 基于椭西馥线域璃敬对数系统的公钥密码算法。其中包括椭濒藏线型的d i t t i e - h e l l m a n 密钥交换方案，椭圆曲线趔的m q v 密铜交换方案；椭圆曲线型的数字签名算法、椭圆曲线型 的s d m o r r 煞：g 方案$ 1 1n y b e r g - r u p p e l 签名方案等。 2 2 1 基予太整数分解难题的r s a 1 9 7 8 年，k r i v e 鼢& s h a m i r 和l a d l e m a n 提出嘈用数论知识构造鼬b 密冀海简称为 r s a 系统) ，它是迄今兔l 在理论主最惫成熬豹公锾密弱系统。它静安全往是基予大整数素因 子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决， 因此可以确保r s a 算法的安全性。大多数使用公钥密码进行加密和数字签名的产品都使用 r s a 算法，该算法杰瑗安生活孛褥羁广泛应鼹。r s a 方法豹凭点主鼗在于愿瑾筠攀，易于霞 用。但是，随着分解大整数方法的进步及完善、计黜隧度的提高以及计算机网络的发展( 可 以使用成千。e 万台机器同时进行大整数分解) ，作为r s a 加解密安全保障的大整数要求越来越 大，为了像谣使用r s a 臻鹚系统豹安全瞧，其密钥的健数妻在增援，e 鲸l ，譬裁般认为 l i s a 需要1 0 2 4 位虢上的字长才有安全保障。但是，密褥长度的增翻鼯致了其加解鬻的速度大 为降f 氐，硬件实现也变得越来越难以忍鼹，这对使用r s a 的应用带辩乏了很重的负掇，对进行 大量安全交易的电子商务更是如此，从而使得其应用魏围越来越受墅憾4 约。 一r s a 黧法描述 1 算法过程【1 1 随掇选取嚣大安全豢数，p 积q ( 1 ) 计算n = p 翅( n 公，于) ，并计算n 的致拉溺数中( n ) = ( 矿1 ) * ( a - 1 ) ( 2 ) 随机选取整数e ，使得g c d ( e ，m ( n ) ) = 1 ( 3 ) 计葵d ，使褥d e s l ( m o d 审( n ) ) ，即d 是e 农模辔( n ) 下的豢法逆元 礤) 鸯h 密遥程：c ( 觳) = m 。r o o d n ( 5 ) 解密过程：m ( 明文户c d m o d n r s a 算法的公钥为：n ，e 私钥为：d 2 。安全毽译徐 西安建筑科技大学硕士学位论文 r s a 的安全性完全依赖于分解大整数的困难性假定，之所以为假定是至今在理论和时间上 还未琵爨分舞大整数裁鼹疹3 ) j h n ，强暴r s a 稳摸数n 被或功分瓣为i o * q ，委立静获褥审( n ) = ( p - 1 ) 女( q 一1 ) ，从而能够确定e 模中( n ) 的乘法逆元d ，即d ：e - t m o d ( n ) ，因此攻击成功。 那么炼蔼有不通过分觞大整数的其它攻击途径呢? 现在已经证明由n 直接确定巾( n ) 等 贽于鼹n 豹分簿， 壁是出e 鞠n 壹接确定d 氇不 分孵n 寒褥窖易。闲子势解润霆豹讨渣已经 有很长的所史，解决j 塞卜随越的常用方法有数域筛选法( n u m b e rf i e l ds i e v e 简称为n f s ) 陶、 二次筛选法( q u a d r a t i cs i e v e 简称为q s ) 1 6 1 、p o l l a r d 的m o n t ec a r l o 算法【1 1 和椭嘲曲线法f l 司 等，但鳓薤被认为最有效的分解算法慰羧喊筛选法。如果要对数n 避辫子分解的话，n f s 算法 劈释的辩闯珐哥卜蓬为u j ： 。( 1 9 2 3 + o ( 1 ) ) ( 1 n ( n ) ) ( 1 3 ) ( 1 n ( 1 n ( ”) ) ) ( 2 7 3 ) o 其窀算法努瓣豹对弱甓诗壤舞h l ： ，( 1 9 2 3 + 。( 1 ) ) ( 1 n ( n ) ) ( 17 2 ) ( 1 n ( 1 n ( 月) ) ) ( 1 2 ) 1 9 7 0 霉，被认为是纛法分解熬一个4 1 位数，在卡年蓐分鼹予窀鹾揍长毂数仪用了尼令小 时“8 1 。随着分解算法的不断发展，到1 9 9 4 年，由l e n s t r a 领导的个数学家，j 、组弼璐方法费 时8 个月成功分解了4 2 8 位的数0 9 1 ，如果采用n f s 方法运个时间还可以缩短十分之婀。从而 可以看出r s a 的安全睫瞧在不断地接受挑战，为了得至惺够的安全憾，不得不采取更长的密 锈， 琵今r s a 豹密锈长瘦一簸采取t 0 2 4 毪特，这辍眵潦汪在筏鸯敬数学知识基穗lr s a 燕 密体制是安全的。在电子商务的s e t 协议中规定：用户使用1 0 2 4 比特的r s a 密铜，认证中 心c a 使用2 0 4 8 比特的r s a 密钥。 二基于r s a 密码体制的i c 卡应角及阈境 i c 卡把县有存储、加密和数据处濒能力的芯片镶予塑料基片之中，为现代信息处理和传 递提供秘全新的手段，在金融、商业、交通等锈蟛旷“泛瘟用。要僚i 疆i c 卡应用的安全可靠， 需大量采麓信惠安全技术，如：数字鸯# 密、数字签名釉身份认i 珏i 等。下面讨论弼户：终端瑟i c 卡与处理终端之间的安全问题，包括： ( 1 ) 终端确认持卡人怒i c 卡的合法用户； ( 2 ) 终臻凑汲跫卡戆合法熬； ( 3 ) i c 卡确认终端及与其相关主机繇统是合法的； 以上要求通过基于终端系统即i c 卡的密码识别来实现，包括两个过程： f l 拎入鉴舅l 卜葫卡入涯爨鱼己是畲法主人； 圆节点签舅l 卜_ _ i c 卡与终端之闻的糟互谈证过程； 西安建筑科技大学硕士学位论文 下面简单讨论基于l i s a 体制的节点鉴别机制，鉴别过程如图2 - 3 所示 持卡人 l l 曼曼一 田 广一一一一一 1 一一 l 安全 i询问。 应用 _ 1 i i i l 应辏决 i 一：差鲨一一一一一：一 蓄龙怒l c 专豹令链纯：发卡方为每聚卡确定嚣令大素数p 蛙，诗舞n - 一p q 。邃窀公瑟密锈 e 后，计算d = l e ( m o d ( p - i ) ( q - 1 ) ) ，将司妒作为秘密密锈存入i c 卡中。假设发卡方使用x 5 0 9 t 2 1 数字证书渊，采用2 0 4 8 b i t 的签名算法，设1 w 是卡的标示号瞄l ，则该卡的数字证书c e r t o w n ) 也将被同时写入。 节点艇别过程如下嗍： ( 1 ) 终端向i c 卡发遴随机数z ； l c 卡属秘密密锈d 鸯l 密z ，并穆续粟x 、数字诞书c e r t 、檬忝字 谨、公锈n 等发送匿 终端： ( 3 ) 终端对收到的证书进行验证，用公钥对x 解密，判定i c 卡的合法性； 扶疑点会绥霹鼓鳃i 蓬，怒实瑗r s a 密燃l ，裴传鹫卡痤瀵慰强下条馋： ( 1 ) i c 卡必须有足够的存储能力，以便存放密钥、电子证书以及系统参数( 通常是几千字 节) 。 ( 2 ) e 卡要有一定豹诗算l 力遨露大数的模撩数运算( 加密过程中模数n 长度大于 5 1 2 b i t ) 。 ( 3 ) i c 卡还要有相当好的通信能力，自与终端进行一定数量的数据通信。 琵上遮$ 孛耱爨汪实现豹蔻握是配卡麴硷撂可隧接受、交易嘣翻硪蔓忍受( 遴囊应在尼秒 锌内) 。甜潮际e d i 标准规定r s a 算法中模n 的长度可在5 1 2 b i t 1 0 2 4 b i t 之闯。事爽上，5 1 2 b i t ：怠。 西安建筑科技大学硕士学位论文 目前已很嘴屎迁安全型。对于较敏感的商业应用，专家建议最好采用1 0 2 4 - 2 0 4 8 b i t 。欲提高i c 卡熬安全瞧，藏