（计算机应用技术专业论文）代理签名的研究与改进.pdf

辽宁科挫人学硕i 论文 摘要 摘要 本文主要研究代理签名方面的有关问题。代理签名是一种特殊的数字签名， 是原始签名人将自己的签名能力或签名权委托给代理签名人，由代理签名人代表 原始签名人对所指定的文档进行签名来完成签名任务。它与数字签名的最大不同 是在原始签名人和签名接收人之间增加了代理签名人这一中间环节。 在现实世界中，代理签名是一种常见的实践活动，其表现形式多样，应用领 域广泛。本文对传统的代理签名方案进行了系统的研究，并且在以下几个方面作 了主要工作： ( 1 ) 分析现有的、对学科发展有重要意义的两个典型代理签名方案，指出不 同方案中可能存在的漏洞。这两个方案中存在不能阻止滥用权利或者存在伪造攻 击以及效率低等缺陷，本文给出了攻击和破解过程。 ( 2 ) 为了保护原始签名人的隐私，提出了一种消息保密的代理签名方案，在 代理授权过程中，原始签名人通过盲签名的方法把消息和其他代理授权参数一起 传递给代理签名人，该方案能够保证除了指定的消息接收人外，其他人无法了解 消息内容，在一些特殊的应用中，原始签名人希望在代理签名中隐藏代理签名人 的身份，消息接收者无法从代理签名中识别代理人身份，在出现争议时，可以揭 示代理人身份，该文提出的方案能够满足上述两种要求。 ( 3 ) 在纪家慧和李大兴的基于椭圆曲线离散对数问题的代理多重签名体制的 基础上提出了两个伪造攻击，并对该方案进行了改进，提出了一种防止伪造攻击 的方案。针对该方案的不足，该文在不引入第三方的情况下提出了一种更为安全 而简洁的代理多重签名方案。 ( 4 ) 结合了代理签名和多重签名的优点，利用基于椭圆曲线上的w e i l 配对的 双线性映射和零知识证明思想，在椭圆曲线数字签名基础上，构造了一种新型的 代理多重签名方案，并对其安全性进行了分析。 关键词：椭圆曲线，代理签名，代理多重签名 辽宁科技大学硕士论叉 a b s t r a c t t h i sp a p e ri sm a i n l yf o c u s e do nt h ep r o j e c ti na s p e c to fp r o x ys i g n a t u r e p r o x y s i g n a t u r ei sas p e c i a lc l a s so fd i g i t a ls i g n a t u r e sw h i c ha l l o w sa no r i g i n a ls i g n e rt o d e l e g a t eh i ss i g n a t u r ec a p a b i l i t yo rs i g n a t u r er i g h tt oad e s i g n a t e dp e r s o nw h oi sc a l l e da p r o x ys i g n e rt os i g no ns p e c i f i e dd o c u m e n t so nb e h a l fo ft h eo r i g i n a ls i g n e r t h e p r i m a r yd i f f e r e n c eb e t w e e np r o x ys i g n a t u r ea n dd i g i t a ls i g n a t u r ei st h a tt h e r ei sa l l i n t e r m e d i a t ec o m p o n e n t ，w h i c hi sc a l l e dp r o x ys i g n e rb e t w e e no r i g i n a l s i g n e ra n d s i g n a t u r er e c e i v e r ，i sa d d e di np r o x ys i g n a t u r e i nr e a lw o r l d ，p r o x ys i g n a t u r ei sa no r d i n a r yf a m i l i a rp r a c t i c a la c t i v i t y w es t u d i e d t h et r a d i t i o n a lp r o x ys i g n a t u r e ，a n dt h ef o l l o w i n gi so u rm a i nc r e a t i v er e s e a r c hw o r k s ： ( 1 ) w ea n a l y s i st w ot y p i c a lp r o x ys i g n a t u r es c h e m e s ，w h i c hh a v ei m p o r t a n t s i g n i f i c a n c ef o rt h ed e v e l o p m e n to ft h i ss t u d yf i e l d ，s h o wa t t a c ks c e n a r i o sa g a i n s tt h e s e s c h e m e s f 2 ) ap r o x ys i g n a t u r es c h e m ew a sp r o p o s e dt op r o t e c to r i g i n a ls i g n e r sp r i v a c y i n d e l e g a t i o na u t h o r i z a t i o n ，t h eo r i g i n a ls i g n e re n c r y p t st h em e s s a g ea n do t h e rd e l e g a t i n g p a r a m e t e r st ot h ep r o x ys i g n e r t h es c h e m ee n s u r e st h a tt h ep r o x ys i g n e ra n do t h e r s e x c e p tt h ev a l i dr e c e i v e rc a nn o tg e ta n yi n f o r m a t i o nf r o mt h em e s s a g e i ns p e c i a l a p p l i c a t i o n ，t h eo r i g i n a ls i g n e rw a n t st oc o n c e a lt h ei d e n t i t yo ft h ec o r r e s p o n d i n gp r o x y s i g n e ri nt h ep r o x ys i g n a t u r e t h er e c e i v e rc a nn o tr e c o g n i z et h ei d e n t i t yo ft h ep r o x y s i g n e rf r o mt h ep r o x ys i g n a t u r e i nt h ec a s eo fal a t e rd i s p u t e ，t h eo r i g i n a ls i g n e rc a n r e v e a lt h er e a li d e n t i t yo ft h ep r o x ys i g n e rw i t ht h eh e l po ft h eo r i g i n a ls i g n e rf r o mt h e p r o x ys i g n a t u r e i nt h ep a p e r ，an e wp r o x ys i g n a t u r es c h e m es h o u l ds a t i s f yt h i s r e q u i r e m e n t ( 3 ) w ep r e s e n t e dt w of o r g e r ya t t a c k so nap r o x ym u l t i s i g n a t u r es c h e m eb a s e do n e l l i p t i c c u r v e sd i s c r e t el o g a r i t h mp r o b l e mp r o p o s e db yj ia n dl i f u r t h e r m o r e ，t h e y p r e s e n t e dan e wm o d i f i e da n ds e c u r es c h e m et op r e v e n tt h et w of o r g e r ya t t a c k s i nt h i s p a p e r ，am o r es e c u r ea n dc o m p a c tp r o x ym u l t i s i g n a t u r es c h e m ew h i c hw i t h o u tt h e p a r t i c i p a n to f t h i r dp a r t yh a sb e e np r o p o s e d ( 4 ) i nt h i sp a p e r , w eh a v et h ee x c e l l e n c e so fb i l i n e a rp r o j e c t i o no fw e i l - p a i r i n ga n d z e r o k n o w l e d g ep r o o f o nt h eb a s i so fe l l i p t i cc u r v es i g n a t u r e ，w ep r e s e n t san e wp r o x y 辽宁科技大学硕士论又 m u l t i s i g n a t u r es c h e m e ，as i m p l es e c u r i t ya n a l y s i so ft h en e w l yp r o p o s e ds c h e m ew a s a l s og i v e n k e yw o r d s ：e l l i p t i cc u l w e ，p r o x ys i g n a t u r e ，p r o x ym u l t i - s i g n a t u r e 1 1 1 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得辽宁科技大学或其它教育机构的学位或证书而使用过的材料，与 我同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示了谢意。 签名：董汹日期：业z ：芷： 关于论文使用授权的说明 本人完全了解辽宁科技大学有关保留、使用学位论文的规定， 即：学校有权保留送交论文的复印件，允许论文被查阅和借阅：学校 可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手 段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名： 耋釜蛸 导师签名： 至要f 三 日期：出心 辽宁科技大学硕士论又第一章绪论 1 1 引言 第一章绪论 随着现代通信技术和计算技术的迅速发展，尤其是网络技术的迅猛发展，计 算机网络已经进入到了人类社会的诸多领域，人类社会已经进入信息时代。安全 便利的通信己成为人们追求的目标，由于数字签名可以实现网络身份认证、数据 完整性保护和不可否认性，在电子商务系统中充当重要的角色。自从公钥密码体 制诞生以来，越来越多适用于不同应用领域的数字签名方案和算法被设计出来， 同时这些数字签名方案也面临着来自各界的攻击。因此，怎样设计出安全实用的 数字签名方案，以及怎么合理正确的分析数字签名算法的安全性以防止不合法的 恶意攻击，即数字签名算法的构造和算法的分析是数字签名技术发展的两个重要 的研究方向。 在人们的同常生活及工作中，许多事务和文件需要经过当事者签名来加以认 可。在传统的以书面文件为载体的事务处理当中，通常采用印章、手写签字、指 纹等方式作为书面签名。书面签名得到司法部门认可，具有法律意义。而随着信 息时代的来临，人们越来越希望通过数字通信网络进行迅速的、远距离的数据传 输和交易。在数字化的信息社会晕，传统的手写签名和印章等书面签字方式已经 难以发挥作用，因此，人们迫切的需要一种类似于书面签名功能的数字化的签名 方法。数字签名技术应运而生。这就是数字签名产生的背景。 数字签名是给电子文档进行签名的一种电子方法，它可靠、方便又安全。它 是以密码学的方法对数据文件产生的一组代表签名者身份与保障数据完整性的数 据信息，是传统的手写书面签名的电子形式。数字签名与书面签名的主要区别在 于，+ 手写签名和印章等书面签名是模拟的，因人而异。数字签名是数字串，是因 消息而异的，同一当事者对不同文件的数字签名可以是不相同的。某一文件的书 面签名可被伪造者复制到不同的文件上，而任一文件的数字签名都不可能被直接 复制到不同的文件上生成伪造签名，数字签名可用来保护信息的真实性、完整性 和信息的来源。随着计算机网络的发展与普及，安全、高效、完整的传递数据信 息变得日益重要。这决定了数字签名理论将是信息完整性和认证性的关键技术之 一，也是电子商务及网络安全的关键技术之一。 数字签名是现代密码学中最容易被社会接受的一部分，也最有机会被政府和 辽宁科技大学硕士论文第一章绪论 工商业等部门推广使用。过去依赖于书面签字或盖章的各种业务都可以使用数字 签名代替，它是实现电子贸易，电子支票，电子货币，电子购物，电子出版及知 识产权保护等系统安全的重要保障。目前，数字签名还是主要应用于传统的书面 签名的数字化领域，在信息安全，包括身份认证的重要工具。因此在认证加密系 统中也有着举足轻重的应用和研究价值。数字签名还是分布式计算中许多理论协 议的一个重要的构成模块。 数字签名的概念出现以后，人们提出了多种不同的数字签名体制。随着数字 签名的深入研究，产生了适用于不同环境下的数字签名。如d c h a u m1 1 于1 9 8 3 年 提出了盲签名，侄签名者在仅看到盲化文件的情况下，实现对原文件的签名，从 而实现了电子货币的匿名性。d c h a u m 和a n t w e r p e n 于1 9 8 9 年提出了不可否认签 名 2 ，适用于保护电子出版物的知识产权，可防止复制或散布签字者签署文件的 可能性，使签名的验证需要在签字者合作的情况下才可实现。1 9 9 1 年b p f i t z m a r m 提出了防失败( f a i l s t o p ) 签名算法 3 ，该算法使得假如签名密钥被泄漏，签名被 伪造时，签名者可以产生一个证据证明他并未签署过这样一个签字。这样可证明 该系统不能再使用。在普通数字签名方案中，无论是签名者还是验证者，都只有 一个用户参加，这在实际应用中具有很大的局限性。1 9 8 3 年，i t a k u r ae ta 1 提出了 多重签名的概念 4 。群签名则是相对较新的一类数字签名，它是c h a u m 和v a n h e i s t 于1 9 9 1 年首先提出的一种数字签名方案 5 。群签名在电子选举，电子拍卖， 电子现金中有着重要的应用。c h a u m 还在1 9 9 4 年引入了指定证实人签名 6 ，解 决了一种实际应用中可能遇到的问题，即签名接收者希望与签名者以交互方式来 验证签名的有效性。1 9 9 6 年m a m b o 等人提出了代理签名的概念，用以解决实际中 可能存在的签名权利的委托和代理问题 7 。近年来，随着因特网的快速发展，电 子商务的呼声日益高涨。但阻碍电子商务普及的一个重要因素在于人们对电子商 务的安全性的担忧。电子商务安全问题之一是虚拟环境下身份认证问题。身份认 证问题须通过数字签名解决，因此数字签名得到广泛研究。数字签名的推广应用， 还需要得到法律上的支持和保障，以数字签名代替传统的书面签名，其技术本身 并不困难，用户可以手书签署使用这类系统的协议。数字签名的信誉可以通过技 术本身来保障，建立数字公正系统同样也需要法律保障，所涉及到的法律立项应 包括签名的撤消，纠纷的仲裁，防止伪造等犯罪事件，等等。一些国家已经有这 方面的工作，美国、德国、印度等国也相继通过了数字签名法案，使数字签名得 到司法机关认可。并且美国、俄罗斯、韩国等也相继研制出各自的数字签名算法 标准d s a 8 、g o s te 9 、k c d s a 1 0 。日本、欧共体也f 在加紧对数字签名标 准的研究。我国也出台了数字签名法草案。 2 辽宁科技大学硕士论文 第一章绪论 本文对一种具有特殊性质的数字签名代理数字签名进行研究。 1 2 本文所作的工作 现实生活中，人们经常需要将自己的某些权利，如签名权委托给可靠的代理 人，让代理人代表本人签署文件等。1 9 9 6 年，m a m b o 等人】提出的代理签名体制 满足了数字信息化发展的需要，由于实际应用需求不同，人们已经提出了许多类 型的代理签名方案。 但是，随着信息技术的不断发展，在许多情况下不仅需要单个人的签名，而 且需要多个人合作对同一份消息进行签名。为了适应这种需要，一种更为安全、 方便的电子签名方案代理多重签名方案 1 2 1 被提出。所谓代理多重签名方案是 指两个以上的原始签名者将他们的签名权同时指派给一个代理签名者，这个代理 签名者代表多个原始签名者实现他们的多重签名。代理多重签名在现实生活中是 比较常见的，例如，一个公司发表的声明涉及到财务部、开发部、销售部、售后 服务部等部门，需要这些部门签名认可，如果这类声明较多，这些部门指定一个 他们都信赖的人或部门代表他们签名，与这些部门共同生成多重签名相比，其效 率大大提高。代理多重签名具有非常重要的作用，可以应用于电子商务和移动代 理等环境。 目前所提出的代理签名方案大多基于一般群上的离散对数问题。近年来，基 于椭圆曲线离散对数问题的椭圆曲线密码体制因其所具有的安全性高、密钥长度 短和带宽要求低等优势，受到了越来越多的关注，将成为以后公钥密码体制发展 的主流方向。该文结合了代理签名和椭圆曲线密码体制的优点，提出了一个改进 的代理签名方案，极大地提高了代理签名生成和验证的效率并缩短了代理签名的 长度。 本文的研究贡献是，为了保护原始签名人的隐私，提出了一种消息保密的代 理签名方案，该方案不同于以往的代理签名方案，它在代理签名中隐藏了代理签 名人的身份，该方案在实际应用中是有需求的，例如为了保密当前人事关系，原 始签名人希望对外保密代理签名人的身份，消息接收者无法从代理签名中识别代 理人身份，在出现争议时，可以揭示代理人身份；此外，在该代理签名中保护了 消息的秘密性，在代理授权过程中，原始签名人通过盲签名的方法把消息和其他 代理授权参数一起传递给代理签名人，该方案能够保证除了指定的消息接收人外， 其他人无法了解消息内容。本文提出的方案能够满足上述两种需求。 本文的另一个研究就是利用了基于椭圆曲线上的w e i l 配对的双线性映射和零 辽宁科技大学硕士论文第一章绪论 知识证明，构造了一个新型的代理多重签名方案，在该方案中只有签名接收人才 能验证和向第三方证明签名的有效性，即使是签名人也不能验证或证明签名的有 效性，签名的使用完全由签名的接收人控制，它最适用于对签名接收人的私密消 息进行签名。 1 3 本文的组织结构 数字签名及其相关课题的研究是现代密码学和信息安全最活跃的领域之， 是一个十分重要且有极大应用价值的研究课题。代理数字签名作为种特殊的数 字签名体制，可以实现普通数字签名无法解决的代理问题。然而，已提出的大多数 代理签名方案在安全性、效率以及可行性等方面仍不够理想。因此设计安全、高 效、可行的代理签名方案具有重要的现实意义。本文在这方面进行了一些有益的 尝试和探索。 本文共分为6 部分： 第二章介绍了椭圆曲线 椭圆曲线密码系统，与r s a 、d s a 等公钥密码系统相比，具有密钥短、运算 量小等优点，并具有更高的安全性，这些优点使椭圆曲线密码系统成为近年来的 研究热点。 第三章介绍了代理签名的概念、要求、分类，概述了代理签名的背景、现状和进 展，并对典型的代理签名方案做了分析。 在现实世界里，人们经常需要将自己的某些权利委托给可靠的代理人，让代理 人代表本人去行使这些权利。在这些可以委托的权利中包括人们的签名权，委托 签名权的传统方法是使用印章，因为印章可以在人们之间灵活地传递。数字签名 是手写签名的电子模拟，但是数字签名不能提供代理功能。m a m b o ，u s u d a 和 o k a m o t 于1 9 9 6 年首次提出代理签名( p r o x ys i g n a t u r e ) ，m a m b o 等指出代理签名方 案应满足不可否认性、可验证性、不可伪造性、可区分性、可识别性等性质并且 给出了三类代理签名：完全代理签名，部分代理签名和具有授权证书的代理签名。 代理签名在移动代理、电子商务和电子投票等方面有广泛的应用。但是，现存 的代理签名方案仍有一些问题尚待解决和完善。 指出典型的代理签名方案中可能存在的漏洞，给出了详细的攻击过程，并且 对方案进行了分析和改进。 第四章介绍了代理多重签名。 在代理签名方案基础上提出的一种称之为代理多重签名的新型签名方案在电 第一章绪论 子政务、电子金融等实践领域都有着重要的应用，因此引起了人们极大的兴趣。 本章介绍了种典型的代理多重签名方案，对其安全性做了分析；并且对纪家慧 和李大兴提出的代理多重签名方案做了分析和改进，使该方案具有更高的安全性， 并且提高了效率。 第五章介绍了改进的代理签名方案 为了保护原始签名人的隐私，提出了一种消息保密的代理签名方案，该方案 能够保证除了指定的消息接收人外，其他人无法了解消息内容。采用v j s u a lc _ 十 实现了该方案的签名部分，并且与e c d s a 方案进行了比较，证明了该方案的耗时 短的优点。本文还利用基于椭圆曲线上的w e i l 配对的双线性映射和零知识证明思 想，在椭圆曲线数字签名基础上，构造了一种新型的代理多重签名方案，并对其 安全性进行了分析。 第六章是总结和展望 最后指出了代理签名这方面研究目前所存在的问题及几个值得重视的研究方 向。当前的代理签名方案还存在着这样那样的问题，所以我们将重点研究代理签 名方案的安全性，效率以及实用性，通过系统分析归纳及深入探讨代理签名的各 类方案，找出现有方案安全漏洞或弱点，从而有助于完善公钥基础设施的研究， 推动信息社会的发展。 1 4 本章小结 本章介绍了本文的研究背景、意义，以及研究现状，对文章的结构作了说明。 皇立i 羔垫查! 兰坠芝堡皇- 一 堑三墨塑堕些些垒塑童旦竺型 第二章椭圆曲线公钥密码体制 2 1 椭圆曲线的定义 设k 是个给定域，称在射影平面j p 2 ( ) 上形式如( 2 1 ) 的等式为w e i e r s 仃a s s 方程。 y 2 z + 口l x y z + a 3 f z 2 = j3 + a 2 x 2 z + a 4 x z 2 + d 6 2 3( 2 1 ) 其中q ，。2 ，码，6 1 4 ，口e 为域k 中的数，假设其满足j a c o b i 条件，即若下式成立 时： f ( x ，y ，z ) = y 2 z + a l x y z + a 3 y z 2 ( x3 + 日2 x 2 z + d 4 x z 2 + a 6 2 3 1 ( 2 2 ) 下列方程组( 2 3 ) - 7 午k 上无解- ，由w e i e r s t r a s s 方程所确定的曲线为椭圆曲线， 8 f fa x = 0 8 f 8 y = 0 t6 f a z = 0 i f ( x ，y ，z ) = 0 显然，对椭圆曲线 远点，记为0 。 ( 2 3 ) 使坐标分量z = 0 的唯一的点是( 0 ，1 ，o ) ，称该点为无穷 对于方程( 2 1 ) ，令x = 考，y = 号，则( 2 1 ) 可变为 2j1 y + a v r ) + a 3 y = t 。+ a 2 x 2 - _ a 4 t + 臼6口，k 这时( 2 1 ) 的全部解s 可表示为如下形式： s = ( x ，y ，1 ) k 5 1 ( x ，y ) 为方程( 2 4 ) 的解) u ( o ，1 ，o ) ) 记= ( z ，y ) k 2 i ( ，y ) 为方程( 2 4 ) 的解 k - j 并作由s 到s 的映射如下： ( 2 4 ) ( 2 5 ) ( 2 6 ) 【戈，y ，i ) - - + ( z ，奶 ( 0 ，1 ，o ) 斗o ( 2 7 ) 显然这一映射是一对一的且是满的。于是，对于椭圆曲线，可用方程( 2 4 ) 的 解集合，外加一个无穷远点0 来表示，这时称( 2 4 ) 为曲线的仿射方程。相对于此， 方程( 2 ，1 ) 称为曲线的射影方程。 列i 于方程( 2 1 ) 或方程( 2 4 ) ，为了表述方便，以如下形式定义也，轧，玩，瓦， 辽宁科技大学硕士论又第二章椭圆曲线公钥密码体制 6 2 = 口卜4 a 2 6 4 = d l a 3 + 2 a 4 b 6 = 口；+ 4 a 6 l b 8 = 口；“6 + 4 a 2 口6 一仃i 口3 a 4t 口2 日； j c 。= 6 ；一2 4 b 4 h = 一6 i + 3 6 b 2 b 4 2 1 6 b 6 ( 2 8 ) 则椭圆曲线( 足) 的判别式定义为式( 2 9 ) = 一6 ；6 b 一8 b ：一2 7 b ：十9 6 2 轧6 6 ( 2 9 ) e ( k ) 的j 不变量定义为式( 2 1 0 ) 3 邶) 。尝 2 1 0 ) 根据k 的特征值c h a r ( k ) ，可得到以下几种简单形式 1 ) c h a r ( k ) 2 , 3 此时，一般形式的方程( 2 4 ) 可以化为如下形式： y 2 = 工+ 甜+ b 以6 k( 2 1 1 ) 此时，a = 一1 6 ( 4 a 3 + 2 7 b 2 ) ，j ( k ) = 一1 7 2 8 ( 4 a ) 3 。 2 ) c h a r ( k ) = 2 可分以下两种情况对方程( 2 4 ) 进行化简。 ( t ) j ( e 1 0 方程( 2 4 ) 可化为如下形式： y 2 + x y = x 3 + d 2 x 2 + ( 2 1 2 ) 其中，吼，瓯k 。对方程( 2 1 2 ) ，显然有：= 口6 ，j ( e ) = 二。 + “ e 1 6 ( 2 ) 火占) = 0 方程( 2 4 ) 可化为如下形式： y 2 + a 3 y = x 3 + 口4 x + d 6 ( 2 1 3 ) 其中，。，a 。k ，对方程( 2 1 3 ) 有：= a ；，( e ) = 0 。 在椭圆曲线密码学中，只研究( 2 1 1 ) 和( 2 1 2 ) 形式的椭圆曲线。( 2 1 1 ) 和 ( 2 ，1 2 ) 所代表的椭圆曲线的特征值不同，但二者有着紧密的联系，其理论和研究 方法是相通的。因此，本文只研究( 2 1 1 ) 所表示的椭圆曲线。 设p = q “，其中q 为大于3 的素数，m 0 ，则p 定义了有限域。在有限域 中有如式( 2 1 4 ) 所示椭圆曲线： e ( c ) ：y 2 = x 3 + a x + b“，b ( 2 1 4 ) 辽宁科技大学硕士论文第二章椭圆曲线公钥密码体制 如果有( y ) 只满足等式( 2 1 4 ) ，则称( x ，y ) 为椭圆曲线上的个有理点， 椭圆曲线的全部有理点与无穷远点0 构成了椭圆曲线上的所有点。椭圆曲线密码 系统就是在椭圆曲线的这些点构成的有限群上构建的，因此不对椭圆曲线和椭圆 盐线上的点加以区分，通常以椭圆曲线e ( 只) ：y2 =z3 + a x + b 来指代曲线上的所有 点。椭圆曲线上点的总数为椭圆曲线的阶，汜为 e ( f o ) 。 无穷远点o 在椭圆曲线的点构成的有限群中起加法幺元的作用，其作用相当 于整数加法群中的0 。横坐标相同、纵坐标相反的两个点互为逆点，互逆的两个点 相加为o 。 2 2 椭圆曲线密码协议 现有的椭圆曲线密码系统均是从其他群中平移而来，并未产生新型密码系统， 而这种平移主要是对基于离散对数问题的密码系统。设g 是个有限群，口，b g ， 若存在f 整数n 使得口”= b ，则n 称为群g 中b 的以口为底的离散对数，记为 n = l o g 。b 。给定口，b g ，求n = l o g 。b 称为g 中的离散对数问题，特别地，若 尸，q e ( k ) ，求h 使得n p = q ，称为椭圆曲线离散对数问题。 2 2 1 椭圆曲线密码交换协议 利用椭圆曲线可按如下方式实现密钥交换。 给定椭圆曲线e ( f ) ( 其中是z ，或其他有限域) ，阶为疗的点g e ( ) ( 即 是素数) ，a 和b 选择一个共同定义的椭圆曲线e ( 吒) 和一个基点g = ( ，y 。) 。 密钥交换算法如下： ( 1 ) a 选择一个比”小的整数i q 。，作为a 的私有密钥，只= 1 l a g 作为公开密钥， 这个公开密钥是e 。( d ，b ) 中的一个点： ( 2 ) b 类似地选择一个私有密钥胛。并计算一个公丌密钥只： ( 3 ) a 产生秘密密钥k = n 。匕，b 产生秘密密钥k = 只。 因为：k = n 最= n a ( h 。g ) = n 。( n 。g ) = 只= k ；所以步骤3 的两个计算将得 到相同的结果。 为了破译这个密码方案，攻击者需要能够在给定g 和七g 时计算k ，而这个被 认为是十分困难的。这星秘密密钥是一对数值。如果这个密钥要用作常规加密的 会话密钥，就必须产生单个的数值，我们可以仅仅使用x 坐标或者y 坐标的某个简 单函数。 辽宁科技大学硕士论文 第z - 章椭圆曲线公铝密码体制 2 2 2 椭圆曲线加密系统 椭圆曲线加密系统是对其他公钥加密系统的一种变形。下面介绍一种加解密 算法： 加密： s t e p l ：编码 用户首先对信息m 进行分组( 如字符为单位) ，使其成为有限域上的明文信息 块m 。然后将m 经编码嵌k n 椭圆曲线上的点只，。这种“编码”不同于加密，任 何一个合法用户都可解码恢复明文。记分组数为p z i m ，约定0 n u m p 2 5 6 卜l ， 要找这样的x ，使之满足2 5 6 m x 2 ”o ) 。另外，椭 圆曲线的参数选择还要防止所有其他的己知攻击方法，这样所选得的e c d l p 才会 被认为对于当今的计算水平是难解的。 需要注意的是，e c d l p 的难解并没有数学上的证明。目前还没有证明不存在 求解e c d l p 的有效算法。事实上，得出这样的证明将会是轰动的结果。例如，若 能证明e c d l p 不存在多项式时间算法，则就意味着证明了p n p ，而后者是计 算机科学的基本理论中著名的公开问题。而且没有任何的理论证明e c d l p 是难解 的，例如不知道e c d l p 是否是n p 困难的，并且不太可能证明其为n p 困难的， 因为已知e c d l p 同时属于n p 和c o n p 。 然而，通过许多年的考验说明了e c d l p 的难解性。首先，自从1 9 8 5 年椭圆 曲线密码被提出以来，该问题被许多学者研究，到目前还没有发现亚指数时间的 通用算法。其次，s h o u p 己经证明了求解阶为素数一的一般群的离散对数问题下界 为”，这里群的元素为随机的比特串，并且只能通过假定的预言器进行群运算。 虽然s h o u p 的结论不能得出求解e c d l p 确实是困难的( 因为椭圆曲线群的元素有 特殊含义并且不是随机表示的) ，但是这给出了从理论上证明对一些群的离散对数 问题是难解的希望。 2 3 1 椭圆曲线密码体制的主要优点 同基于有限域上离散对数问题的公钥密码体制相比，椭圆曲线密码体制有以 下三个方面的主要优点。 ( 1 ) 安全性高 攻击有限域上离散对数问题的方法有指数积分法，其运算复杂度为： o ( e x p _ ( 1 0 92p ) ( 1 0 92 ( 1 0 9 2p ) 2 ) 其中，模数p 是素数。目前，攻击椭圆曲线上的离散对数问题的方法只有大步、小 步法，该方法的运算复杂度为： o ( e x p ( 1 0 9 24 p 。) ) 其中，p 是椭圆曲线所形成的a b e l 群的阶的最大素因子。因此，椭圆曲线密码 o 疆宁科技大学硕士论文 第二章椭圆曲线公钥密码体制 体制比基于有限域上的离散对数问题的公钥密码体制更安全。 ( 2 ) 密钥长度小 由攻击两类密码体制的算法复杂度可知，在相同的安全性能条件下，椭圆曲 线密码体制所需要的密钥长度远小于基于有限域上的离散对数问题的公钥密码体 制的密钥长度。 ( 3 ) 算法灵活性好 在有限域饼( 尸) 确定的情况下，其上的循环群也就确定了。但g p l ( j d ) 上的椭 圆曲线却可以通过改变曲线参数得到不同的曲线，从而形成不同的循环群。因此， 椭圆曲线有丰富的群结构和多选择性，也正因如此，使得椭圆曲线密码体制能够 在保持与r s a d s a 体制同等安全强度的情况下其密钥长度可以大大缩短。 2 3 2 椭圆曲线公钥密码体制的攻击现状 椭圆曲线公钥密码体制( e c c ) 的安全性基于求解椭圆曲线离散对数问题的困 难性。从目前的研究结果看，椭圆曲线上的离散对数问题比有限域上的离散对数 问题更难以处理。迄今为止，还没有出现类似于解有限域上离散对数问题 i n d e x c a l c u l u s 算法柬解决一般椭圆曲线上的离散对数问题。这就意昧着可以在椭 圆曲线公钥密码中采用较小的数就可以达到与使用更大的有限域同样的安全性。 e l 前已知的解椭圆曲线离散对数问题的最好算法是p o l l a r d p 因子分解算 法，需要大约胛2 步，其中，是p 的阶的最大素因子。1 9 9 4 年，v o o r s c h o t 和 w i e n e r 提出了一种并行p o l l a r d p 因子分解算法的技术，这一技术使得如果使用 m 个处理器，则在得到离散对数之前，每个处理器就可以提供胛2 m 步运算。 因此，为r 避免该攻击，必须选取一个曲线和一个被素数，整除的点尸，使得 2 m 对所有可行的m 值足够大。最好一本身就是一个素数。 作为一个具体的例子，v o o r s c h o t 和w i e n e r 估计，如果r 大约为1 0 ”，则花费 大约1 0 0 0 0 0 0 0 美元可以建造一个m = 3 2 5 0 0 0 个处理器的机器，用大约3 5 天可以 计算一个对数。 超奇异椭圆曲线在诸如i e e ep 1 3 6 3 ，a n s l x 9 6 2 等所有椭圆曲线公钥密码的 标准中，都被禁止使用，因为有一个方法( m o v 约简方法) 能有效地将这些曲线 上的离散对数问题约简到有限域上的离散对数问题，从而可应用i n d e x c a l c u l u s 算 法求解。 另一类弱的椭圆曲线是“反常( a n o m a l o u s ) 曲线”，这是定义在e 上的椭圆 曲线e ( f q ) ，撑e ( e ) 恰好等于q 。对这类曲线的攻击是由s e m a v e ，s m a r t 以及s a t o h 辽宁科技大学硕士论文第二章椭圆曲线公钥密码体制 和a r a k i 分别独立发现的。同超奇异曲线一样，做一个简单的测试就可以使曲线避 免于这个攻击。该类曲线在所有椭圆曲线公钥密码的标准中被禁止。 对椭圆曲线公钥密码的安全性估计及对椭圆曲线离散对数问题的攻击可参阅 文献 1 3 ， 1 4 。 2 4 椭圆盐线标准与研究现状 2 4 1 当前e e e 的标准化工作 i e e e 、i s o 、a n s i 等标准化组织f 在着手制定有关的标准【1 5 】 ( 1 ) i e e ep 1 3 6 3 椭圆曲线系统已被纳入i e e e 公钥密码标准p 1 3 6 3 中，包括加密、签字、密码 协议机制等。对z 。和e 。上的椭圆曲线系统都支持。对于e 。情况，支持任意子域 的多项式基和正规基。 ( 2 ) a n s ix 9 椭圆曲线数字签名算法( e c d s a ) 标准是x 9 f 1 工作组提出的一个草案。e c d s a 给出一种采用椭圆曲线实现的数字签名算法，它类似于n i s t 的数字签名算法。 a n s ix 9 ，6 3 是由x 9 f 1 中的一个新的工作小组提出的椭圆曲线密钥协商和传输协 议标准。它给出几种采用椭圆曲线实现的密钥协商和密钥传输的方法。 ( 3 ) i s o e c 有后缀的数字签名( d i g i t a ls i g n a t u r ew i t ha p p e n d i x ) ) ) c d1 4 8 8 8 3 给出对 任意长的消息实现有后缀椭圆曲线数字签名算法，它类似于e l g m a l ，特别类似于 d s a 签字算法。 ( 4 ) a i s o i e c 互联网工程任务组i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) 提出的密钥确定协 议o a k l e yk e y 描述一种密钥协商协议，类似于d i f f i e h e l l m a n 协议。 ( 5 ) a t m 异步传输模式( a t m ) 论坛技术委员会提出的a t m 的安全性规范草案给出 a t m 网的安全机制。所提供的安全业务包括机密性、认证性、数据的完整性和接 入控制。它支持各种系统，包括对称系统、非对称系统和椭圆曲线系统。 辽宁科技大学硕士论文第二章椭圆曲线公钥密码体制 2 4 2 安全现状 c e r t i c o m 公司的e c c 2 k 1 0 8 挑战是选择基于有限域g f ( 2 ”9 ) 的k o b l i t z 椭圆 曲线，系统的主要安全参数即所选基点的阶是1 0 8 比特。2 0 0 0 年4 月r o b e r th a r l e y 等人利用大约9 5 0 0 台计算机联网经过四个月将其攻破，他们采用并行的p o l l a r d p 算法。 e c c 2 k 一1 0 8 的攻破所做的工作相当于r s a - 1 5 5 分解( 5 2 1 位长的r s a 模数) 工作的5 0 倍，所以h a r l e y 等人的工作非常有意义，使我们更加相信e c d l p 的困 难性和椭圆曲线密码系统的安全性。据c e r t i c o m 预测解决e c c 2 k 一1 6 3 挑战需要 e c c 2 k 一1 0 8 攻破工作的一亿倍。 2 4 3 研究应用现状 在标准化的同时，一些基于标准( 或草案) 的各种椭圆曲线加密、签名、密 钥交换的软、硬件也相继问世。美国r s a 数据安全公司在1 9 9 7 年公布了包含e c c 的密码引擎工具包b s a f e 4 0 ；以加拿大c e r t i c o m 为首的安全公司和工业界联合也 研制、生产了以椭圆曲线密码算法为核心的密码产品，还提出了各种安全条件下 对椭圆曲线离散对数攻击的悬赏挑战。著名的m o t o r a l a 公司则将e c c 用于其它的 c i p h e rn e t ，以此来把安全性加入应用软件：s e t 协议的创立者v i s a 和m a s t e r c a r d 公司都计划使用e c c 等。可以相信，e c c 技术在信息安全领域中的应用会越来越 广。 2 0 0 2 年9 月1 8 2 0 同，s u n n e t w o r k 2 0 0 2 大会暨展示会在旧金山m o s c o n e 中心 举行。在这次大会中提出了用于i m e m e t 计算机界最综合性的安全方案；由1 2 项 薪的网络安全发布组成，包括用于o p e n s s l 项目的椭圆曲线加密技术( e c c ) 的 发展计划，e c c 被称为“周边防卫与安全w e b 服务器”的新的i f o r c e s m 安全解 决方案等，s u n 公司把其“椭圆曲线”加密技术捐赠给开发源代码工程o p e n s s l 。 椭圆曲线密码技术已逐步用于网络安全协议中。 2 5 本章小结 总结了椭圆曲线密码系统的理论，对e c c 的数学理论基础、基予e c c 的密码 协议、e c c 的安全性、标准及研究现状等进行了分析和讨论。 辽宁科技大学硕士论文第三章代理签名研究 第三章代理签名研究 代理签名是一个相对比较新的概念，它是由m a m b o 等人于1 9 9 6 年提出来的， 在m a m b o 等人明确提出代理签名的概念以前，人们在讨论其他一些问题时，如分 布网络环境中的身份认证、访问控制等，已接触到签名权利的代理问题。并且根 据实际需要，给出和应用了一些完全委托型代理签名。 3 1 代理签名的发展背景 我们先用一些实例来说明代理签名在社会中的应用。 ( 1 ) 某个公司的经理在某一段时间内，由于健康或其他原因而不能行使数字签 名权，那么，该经理不得不委托他的秘书代表他在这段时间内行使他的数字签名 权。 ( 2 ) 某一软件公司为了向客户证实它出品的程序的可靠性，需要以公司的名义 对所有这些程序进行数字签名。由于程序太多公司经理无法亲自检测每个程序， 并在这些程序上签名。一个比较实际的做法是：公司经理将代表公司生成数字签 名的权力委托给每个程序员，让他们各自以公司的名义为他们创作的程序生成数 字签名。 (