（计算机应用技术专业论文）基于hash链的流式数据签名与验证研究.pdf

硕士学位论文 摘要 日前因特网上流式传输数据( 视频、音频) 的应用已经非常丰富，随之而来 的是安全问题。接收者不仅仅希望得到流畅的视频( 或音频) 播放效果，而且期 望得到的数据是真实的、完整的，具有防否认能力。而流式数据具有数据量大、 大小不可预知、传送中易部分丢失的特性，常规数字签名面向消息，需要预知整 个文件的大小及内容，并且传输中不容丢失，所以传统的面向消息的数字签名不 适用于流式数据的应用。 本文主要研究流式数据在因特网上传输的安全问题。使接收者能对发送方的 身份迸行认证，保证接收的流式数据的完整性，同时不影响流的传输速率，尽量 减小通信负荷，缩短延时，当部分流式数据丢失的情况下，仍能对接收到的数据 进行完整性安全验证。本文针对流式数据实时性要求和传输中易丢包的特点，分 析比较了现存的星型、树型、g o l l e 链型等几种典型的流式数据签名方法，考虑到 接收方资源有限的情况，基于g i l b e r t - e 1 l i o t 网络通道模型，改进了g o l l e 链型 流式数据签名方法，提出了一种h a s h 值前箕流式数据签名方案。新方案采用发送 方预先缓存流序列的方式，代替g o l l e 链型在接收方缓存流序列的设计，在不增 加整体延时的前提下，可以在发送方更灵活的构建h a s h 签名链，同时大幅度降低 了接收方的资源要求，扩大了接收范围，杜绝了g o l l e 链型产生拒绝服务攻击的 可能性。 链型流式数据签名虽然高效，却存有较高的断链率，一旦验证链断开，数据 包即使在网络传输中没有丢失，也因无法通过接收方的验证而被迫丢弃。文中结 合星型流式签名方案无断链影响和链型高效的特点，不增加签名操作的前提下， 将长序列分成小的子序列，使用星型组合子序列，给出了一种星一链型流式数据签 名和验证方案，星一链型方案明显降低了断链损失，提高了发送方h a s h 签名链的 构建速度。 本文最后给出了流式数据签名与验证系统的设计和实现。实验数据表明本文所 提签名方案能高效的处理流式数据签名的问题，并具有较高的丢包容度。 关键词：流式数据：组播；签名：验证：h a s h 链 基于h a s h 链的流式数据签名与验证研究 a b s t r a c t t h e r ea r e p l e n t y o f a p p l i c a t i o n sd e p e n d o ns t r e a m d a t a ( v i d e o ，a u d i o ) t r a n s p o r t e d o nt h ei n t e r n e t w h a tf o l l o w si st h e s e c u r i t yp r o b l e m w h a tr e c e i v e r w a n t e di sn o to n l yt h ef l u e n te f f e c to fv i d e o ( o r a u d i o ) ，b u ta l s ot h et r u s t w o r t h ya n d i n t e g r i t yo f t h er e c e i v e dd a t a o nt h eo t h e rh a n d ，s t r e a md a t ah a st h ep r o p e r t yo f l a r g e v o l u m e ，u n p r e d i c t a b l e s i z ea n d e a s y t o l o s e ，w h i l eo r d i n a r yd i g i t a ls i g n a t u r ei s m e s s a g eo r i e n t e d ，a n dr e q u i r e t h e p r e d i c t a b i l i t y o fd a t a s ow ec a n t u s et h e t r a d i t i o n a lm e s s a g eo r i e n t e dd i g i t a ls i g n a t u r eo ns t r e a md a t aa p p l i c a t i o n s t h et h e s i s m a i n l ya d d r e s s e st h es e c u r i t yp r o b l e m so fs t r e a md a t at r a n s p o r t e d t h r o u g hi n t e r n e t i te n a b l e st h er e c e i v e rt oa u t h e n t i c a t es e n d e r , g u a r a n t e et h ei n t e g r i t y o ft h es t r e a md a t ar e c e i v e d ，w h i l ea tt h es a m et i m et r a n s p o r ts p e e di sl e s si n t e r f e r e d ， a n dc o m m u n i c a t i o no v e r l o a di s r e d u c e d ，r u n t i m ep o s t p o n ei sm i n i m i z e d ，a n da l s o a u t h e n t i c a t et h ed a t ar e c e i v e de v e ni fi ti sn o t c o m p l e t e a c c o r d i n gt o r e a l t i m e r e q u i r e m e n to fs t r e a md a t a a n dl o s a b l ec h a r a c t e r i s t i co ft r a n s p o r t a t i o n ，t h et h e s i s a n a l y s i se x i s t i n gs t r e a md a t as i g n a t u r em e t h o d ss u c ha ss t a r - s h a p e d 、t r e e s h a p e da n d g o l l ec h a i n c o n s i d e r i n gt h ec o n d i t i o no fl i m i t e dr e s o u r c eo fr e c e i v e r ，i tp r o p o s e s f o r w a r dp l a c e dh a s hc h a i nd a t as i g n a t u r es c h e m eb a s e do ng i l b e r t - e l l i o tn e t w o r k c h a n n e lm o d e la n de n h a n c e dg o l l ec h a i ns t r e a md a t as i g n a t u r em e t h o d n e ws c h e m e u s e ss e n d e rp r e c a c h e ds t r e a m s e q u e n c et or e p l a c e t h eo l dd e s i g no fg o l l ec h a i n r e c e i v e rc a c h e ds t r e a ms e q u e n c es ot h a tw ec a nc o n s t r u c tm o r ef l e x i b l eh a s hs i g n a t u r e c h a i no nt h es e n d e rs i d ea n da tt h es a m et i m eg r e a t l yr e d u c et h er e s o u r c er e q u i r e m e n t o fr e c e i v e ra n de x p a n dr e c e i v es c o p ea n dg e tr i do ft h ep o s s i b i l i t yo fd e n yo fs e r v i c e a t t a c kp r o d u c e db yg o l l ec h a i nw h i l eo v e r a l lp o s t p o n ei sn o ti n c r e a s e d a l t h o u g hc h a i n s h a p e ds t r e a md a t as i g n a t u r ei se f f i c i e n t ，b u ti t h a sh i g hr a t eo f c h a i nb r e a k o n c et h ea u t h e n t i c a t i o hc h a i ni sb r e a k ，t h ed a t ar e c e i v e dw i l lb ed r o p p e d b e c a u s eo ff a i lo fa u t h e n t i c a t i o ne v e ni fi ti sr e c e i v e di n t a c t b a s e do nt h ef a c tt h a t s t a r - s h a p e d s t r e a m s i g n a t u r e i si m m u n ef r o mc h a i nb r e a ka n de f f e c t i v e n e s so f c h a i n s h a p e ，t h e t h e s i s g i v e s as t a r c h a i ns t r e a md a t a s i g n a t u r es c h e m e ，w i t h o u t a d d i n gs i g n a t u r eo p e r a t i o n ，n e ws c h e m ed i v i d e sl o n gs e q u e n c e si n t o s e v e r a ls u b s e q u e n c e s ，a n da s s e m b l e st h e mu s i n gs t a r s h a p e d ，w i t h t h er e s u l t t h a tt h es c h e m e d e c r e a s et h er a t eo fc h a i nb r e a ki n e v i d e n c e ，i n c r e a s et h es p e e do fh a s hc h a i n c o n s t r u c t i o n f i n a l l y ，t h et h e s i si n t r o d u c e dt h ed e s i g na n dr e a l i z a t i o no f s t r e a md a t as i g n a t u r e 1 i 硕士学位论文 e x p e r i m e n ts t a t i s t i c sh a sp r o v e nt h es c h e m ep r o p o s e d h e r ec a ne f f e c t i v e l yh a n d l et h e p r o b l e m s o fs t r e a md a t as i g n a t u r ea n dh a sh i g hp a c k a g el o s et o l e r a n c e k e y w o r d s ：s t r e a m e dd a t a ；m u l t i c a s t ；s i g n a t u r e ；a u t h e n t i c a t i o n ；h a s hc h a i n i i i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：柳木荡 日期：沙缚j _ 月形日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密圉。 ( 请在以上相应方框内打“”) 作者签名： 导师签名： 日期：轳年f 月g 日 日期：孙眸n 彩 硕士学位论文 第1 章绪论 1 1 数字签名在网络安全中的应用 1 1 1 网络信息安全服务需求 在当今的数字化世界中，电子文档的结构成本低、质量高，在经济和社会生 活中的各个方面都提供了较大的方便性。世界上每天创建和保存的电子文档数量 以惊人的速度增加。 电子文档有其自己的特点，可以很容易的复制和修改，而不会被发觉。并且 电子文档与手写的文字不同，数字编码不因人而异。另夕 ，电子文档的签名在物 理上并没有与该文档的内容联系在一起。通过网络传输，接收者接收到的文档信 息可能是错误的、不可信的。接收者期望得到的信息是确实从发送方发出的，而 且中途没有被别人修改过。这就是网络信息安全的身份认证和完整性服务。 网络信息安全的的四个基本的安全服务是完整性、机密性、身份识别和认证， 以及非否认性【z j 。 _ 机密性( c o n f i d e n t i a l i t y ) 机密性服务将对敏感数据的访问权限限制 在那些经授权的个人，只有他们才能查看数据。机密性可防止向尚未 经授权的个人泄漏信息，或防止信息被加工。 _ 完整性( i n t e g r i t y ) 完整性服务可防止数据未经授权或以外改动，包 括数据插入、删除和修改等。为了确保数据的完整性，系统必须能够 检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据 没有被改动过。 一身份识别( i d e n t i f i c a t i o n ) 和认证( a u t h e n t i c a t i o n ) 身份识别和认证 服务确立了传输或消息及创建者的真实性。其目标是使数据的接收方 能够确定数据的始发者。 一非否认( n o n r e p u d i a t i o n ) 非否认服务防止个人否认先前已经执行的 动作，其目标是确保数据的接收方能够确信发送方的身份。 1 1 2 数字签名的解决方案 在电子环境中，原始消息无法与其副本进行区分，它不具有任何手写的签名， 因此必须考虑伪造的可能性，这是由于电子文档很容易在未经察觉的情况下被截 基于h a s h 链的流式数据签名与验证研究 取或篡改。因此，必须通过多种技术，保证电子文档具有与书面文档签名同样的 安全性。 包括美国在内，许多国家立法确立了电子文档具有书面文档同等的法律效 力【2 1 ，中国有关电子签名的草案已经出台。这些法律承认电子签名的有效性，确 保了电子签名的大规模使用。 数字签名是由公钥密码发展而来，它在网络安全服务，包括身份认证、数据 完整性、不可否认性以及匿名性等方面有着重要的应用。其基本特征是公开一定 的信息以便使验证者验证签名，但该信息不足以伪造签名。 签名人签名过程是：对要签名的明文应用散列函数以生成一个摘要，其次， 使用加密签名函数将签名人的私有密钥应用于要签名的数据以生成一个数字签 名，通过某种关联方式，比如封装( e n v e l o p e ) ，将数据和数字签名发送给接收者， 见。图1 1 。 ? 图1 1 签名过程 在收到数据和相应的数字签名之后，接收者的验证过程是：通过签名人的 公开密钥应用验证函数，以找出收到的签名是否是用签名人的私有密钥生成，并 验证计算出的摘要与传输来的接收摘要是否相同，最后，验证签名人的公共密钥， 见图1 2 。 i 兮 名者的公 成功失败 图1 2 签名验证过程 在书面文件上签名是确认文件的一种手段，其作用有两点：第一，因为自己 的签名难以否认，从而确认了文件已签署这一事实；第二，因为签名不易仿冒， 从而确定了文件是真的这事实。数字签名与书面文件签名有相同之处，采用数 字签名，也能确认以下两点：第一，信息是由签名者发送的；第二，信息自签发 2 硕士学位论文 后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修 改而有人作伪，或冒用别人名义发送信息，或发出( 收到) 信件后又加以否认等 情况发生。 如果第三方冒充发送方发出了一个文件，因为接收方在对数字签名进行解密 时使用的是发送方的公开密钥，只要第三方不知道发送方的私有密钥，解密出来 的数字签名和经过计算的数字签名必然是不相同的。提供了安全的确认发送方身 份的方法。 实现数字签名有很多方法，应用广泛的数字签名方法主要有三种，即：r s a 签名 2 4 , 2 5 、d s s 签名【3 9 】和h a s h 签名1 2 0 , 2 2 1 。这三种算法可单独使用，也可综合在 一起使用。用r s a 或其它公开密钥密码算法的最大方便是没有密钥分配问题( 网 络越复杂、网络用户越多，其优点越明显) 。公开密钥可以保存在系统目录内、未 加密的电子邮件信息中、电话黄页( 商业电话) 上或公告牌里，主要是放在认证 中心( c a ) ，网上的任何用户都可获得公开密钥。而私有密钥是用户专用的，由 用户本身持有，它可以对由公开密钥加密信息进行解密。 r s a 算法是1 9 7 8 年由r r i v e s t ，a s h a m i r ，l a d l e m a n 提出的一种用数论 构造的公钥算法【2 剞，它的安全性是基于分解大整数的困难性假定，至今还未能证 明大数分解是n p 问题，也未发现多项式时间的分解算法。r s a 算法中数字签名 技术实际上通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征， 文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字 签名。一个最简单的哈希函数是把文件的二进制码相累加，取最后的若干位。哈 希函数对发送数据的双方都是公开的。 d s s 数字签名是由美国国家标准化研究所和国家安全局共同研发的。由于 它是由美国政府颁布实施的，主要用于与美国政府做生意的公司，其他公司则较 少使用，它只是一个签名系统，而且美国政府不提倡使用任何削弱政府窃听能力 的加密软件，认为这才符合美国的国家利益。 h a s h 签名是最主要的数字签名方法，也称之为数字摘要法( d i g i t a ld i g e s t ) 或数字指纹法( d i g i t a lf i n g e rp r i n t ) 。它与r s a 数字签名不同，该数字签名方法 是将数字签名与要发送的信息紧密联系在起，它更适合于电子商务活动。将一 个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加了可 信度和安全性。数字摘要( d i g i t a ld i g e s t ) 加密方法包括安全h a s h 编码法( s h a - s e c u r eh a s h a l g o r i t h m ) 和m d 5 ( m ds t a n d a r df o rm e s s a g ed i g e s t ) 。m d 5 采用单 向h a s h 函数将需加密的明文“摘要”成一串1 2 8 b i t 的密文，这一串密文亦称为 数字指纹( f i n g e rp r i n t ) ，它有固定的长度，且不同的明文摘要必定一致。s h a 比m d 5 有更好的安全性，它生成的摘要信息是1 6 0 位。 基于h a s h 链的流式数据签名与验证研究 1 1 3 流式数据安全的新要求 流式数据是个较长( 可能无限) 的位序列1 4 ，它由服务器发给接收方。流 一般是按照某个速率发送，这个速率是发送者和接收者协商的结果，也可能是 个请求响应( d e m a n d r e s p o n s e ) 协议，接收者重复的发送附加数据的请求。流与 消息不同的主要特性是接收者不必接收全部数据，只须按照数据输入速率处理， 一般情况下，接收者不会缓存大量的未处理数据。事实上，在很多应用中接收者 都只存储相关联的很少量的流数据。特殊情况下，发送者自己不能存储整个序列， 也就是说，他不能存储他已经发送出去的信息，只知道已经发送，却不知道有关 已发送数据的其它任何消息。 流式数据的应用包括数字视频和音频，现在常规的通过i n t e r n e t 传输，电视 观看者也通过不同的方式，例如通过直接的广播卫星，短距离通过电缆线、无限 电、电话线等。这些包括预先存储的，也包括现场直播。除了音频和视频采用流 式数据传输，还有信息输送( i n f o r m a t i o nf e e d ) ( 例如，新闻输送、证券信息输送 等) 最好采用流式传输。i n t e r n e t 和新兴的交互式t v 工业提供另一种信息资源f 】， 例如a p p l e t s ，多而繁琐的a p p l e t s 可能是很大的程序，它被组织成几个模块。消 费者的机器最初下载和执行起始模块，并且当进程执行的时候，附加的模块被下 载和随后执行，消费者的机器将会丢弃无用的模块。a p p l e t s 的结构被两个因素决 定，第一个是消费者机器的可存储的有效的大小是有限制的( 例如，在新兴的交 互式t v 工业，机顶盒必须是廉价的，因此资源是有限的) ；第二个，在i n t e r n e t 的环境下，下载代码的有效带宽是有限的，并且a p p l e t s 必须被设计成能尽快的开 始执行。一些功能强大而完善的a p p l e t s 有很多数据是由服务器产生的不工作的组 件，因此a p p l e t s 很适合这种请求响应流模式。 流式传输的数据，考虑到实时和效率，一般情况下采用“u d p ”传送，如图 1 3 ，这“尽量传送”的方式不能保证发送的数据被全部接收，可能因为网络拥塞 等原因，会有一部分数据在传输中丢失，而接收方容忍在一部分数据丢失的情况 下，使用没有丢失的数据。 由上述可知。不可能期望接收者先接收整个流再对其验证，面向消息的签名 模式不能直接的用来对流数据签名，如果一个流是无限长的( 例如2 4 小时播报的 新闻频道) ，那么让接收者接收整个流是不可能的，并且当一个流是有限但很长的 时候，接收者不能违反这个约束条件一一流需要按照输入速率处理，不能有过多 的延时。 流式数据一般情况下不需要保密，如广播、a p p l e t s 。接收者关心最多的还是 信息来源的可靠性和接收信息的完整性，也就是信息安全四个基本服务中的认证 和完整性服务，如果接收者不全部丢弃接收到的流式数据及其验证信息，他也应 4 硕士学位论文 能使用防否认服务。 接收方 图1 3u d p 传输 显然，针对流式数据的特点及其安全需求，应该有一套适合流式数据应用的 签名和验证方案。 1 2 流数据签名技术的研究概况 1 9 9 7 年6 月，r o s e r j 0g e n n a r o 首次提出了流式数据的签名概念“3 ，基本思 想是对一个包签名保证许多包的安全，从而减少了签名操作，提高了效率，所提 方案分为离线方案和在线方案。但是r o s e r i o 仅仅考虑了实用和效率，没有考虑 网络传输数据丢失可能。文献 1 还介绍了一种h a s h 表的流式数据签名方案，是 把每一个包的h a s h 值存在一个表中，对这个h a s h 表签名，并发送给接收端，这 个方案的不足是接收方必须存放一个较大的h a s h 表，对接收方的要求较高，且在 发送第一个数据包前发送h a s h 表，会有不小的延时。文献 4 提出了一种星型的 流式数据签名方案，采用每个数据包单独验证的思想，有效的防止了丢包情况， 但是每个数据包需要带大量的验证信息，增加了通信负荷。星型方案可以使用认 证树来进行改进，发送者仅需要签名和发送裉节点。但是为了认证每一个信息， 发送者还必须发送整个到根节点的认证路径给接收者，这就要求每个信息块上要 附带的是o ( 1 0 9 k ) 大小验证信息值。而且随着包的增加，树越大，h a s h 的操作数 增长的越快，h a s h 操作数大概是数据包数的两倍，而且要保存每个数据块的h a s h 路径。文献 7 3 提出了两个签名方案t e s l a 和e m s s 。t e s l a 数据包使用m a c 认证， 高效，但它需要同步发送者和接收者的时钟。e m s s 为了防止丢失，每一个包的h a s h 存在多个地方，e m s s 选择是随机的。斯坦福的p h i l i p p eg o l l e 提供的方案是基 于非循环图的增链型签名方案。1 g o l l e 链型签名方案的基本思想是把流分成序 列，序列中每个包的h a s h 值附加到后面的数据包上，对最后序列中最后一个数据 包附加了h a s h 值后，对最后一个包签名。6 0 l l e 签名方案的效率较高，对接收端 的要求较高，接收端在得到签名包验证序列前，必须存储这个序列，这需要较大 的缓存，而且会产生拒绝服务攻击。 圜争 i 一一 一 坚蛆 兰 量： 一 - 一 芝 一圈幸 基于h a s h 链的流式数据签名与验证研究 上述签名方案共同的基本思想是对一个数据包签名，同时保证多个包的安全， 从而减少签名操作，提高效率。另外一个主要的研究方向是设计快速数字签名方 案。w o n g 等人提出了f e i g e f i a t s h a m i r 优化签名方案e f f s “1 。这个优化方案和 r s a 的验证速率比起来具有小的指数，签名比d s a 快了两倍。一次性签名方案的 签名速度显著提高，但它产生的签名文件太大。 1 2 1 星型签名方案 星型方案中是把整个流按一定的大小分成相等的块，比如，每m 个包组成一 块，如图1 4 所示，图中m = 8 。 图1 4 星型文摘关系及传输格式 块摘要是m 个包摘要简单的连接，用 ( ) 表示消息摘要函数，数据包文摘分 别是d ，d 。块签名s i g n ( d 。一。) 是块的摘要签名，使用的算法是数字签名算法。 包文摘和块文摘的关系可以使用一级树表示，如图1 4 ，称作认证星( s t a r ) 。 如果每一个包都单独验证，每一个包需要带上自己的认证信息。这种认证信 息称作包签名信息( 包含块签名，包序号，其它包的文摘) ，假设图中第三个包被 接收。它的验证过程如下，验证者先计算接收到的文摘以，块文摘 d ：一。= h ( d 。，d ：，d ：，d 。，d 。) ，这里d 1 ，d ：，d 。，d 8 是在包签名中。验证者调用验证 操作来验证4 _ 8 ，例如，确定d 一。是否等于协- 8 ，在块中的签名s i g n ( d 1 一。) 。如果 破一。= d ，。，则接收到的包得到验证通过。 方案的优点：星型每个包可以单独验证，能容忍任何程度的丢包。 方案的不足：存在发送方延时，发送前要等待在发送方先存集一个块的数据 包，且每个包的添加的验证信息较多，增加了通信负荷，而且随着块中包数的增 加，每一块附加的值就越多。 1 2 2 树型签名方案 上面的星型解决方案可以使用认证树的方法进一步改进：把流分成的块作为 一一个二叉树的叶子节点并且每一个内部节点作为一个值，是它所有的子孙节点的 6 硕士学位论文 h a s h 。这种方法下，发送者仅仅去签名和发送树的根节点。然而，为了去验证每 个块，发送者必须发送整个认证路径( 比如，从块到根节点的所有中间节点， 加上他们的兄弟节点) 给接收者。这就意味着如果一个流有七个块时，加到每一 个块后面的认证信息就是o ( 1 0 9 k ) 。 树型包含星型，星型是树型的一个特例。在树型链中，块文摘的计算是认证 树的根节点。包文摘是深度为2 的认证树的叶子节点，和其它树的节点起计算 子节点的消息摘要，块的签名就是用私钥对块d 。摘要加密。 图1 5 树型文摘关系及传输格式 为了单独的验证一个包，验证者需要验证它到根节点的路径。例如，在图中 虚线的路径第三个包，每个路径上的节点需要验证。验证者计算接收到的数据包 的摘要巧，和树中的每一个祖先。也就是说反一= 溉，d 。) ，d ：一。= h ( d 1 - 2 硝一。) 和d ：一。= h ( d ：。d s 一。) ，这里d 。，d 1 一：，d 5 一。是包传输中自带的。验证者调用验证 操作来确定计算出的d ：一。是否等于在块签名中s i g n ( d , 。) 得出的d 1 一。如果 d ；。= d 】。那么接收到的数据包通过验证。 方案的优点：星型每个包可以单独验证，方案的容许丢包，比星型减少了通 信负荷。 方案的不足：存在发送方延时，发送前要等待在发送方先存集一个块的数据 包，且每个包的有效载荷较少，随着块中包数的增加，每一块附加的值就越多， h a s h 值的计算次数也会显著增加。 1 2 3 链型签名方案 斯坦福大学的g o l l e 等人在2 0 0 1 年提出了一种链型流式数据签名和验证方 案。链型签名方案的基本思想是把考虑到网路通道的丢包是突发在某个时刻，连 续丢包。 链型签名方案不同于星型和树型的是它的数据包验证不是独立的，每个包的 7 基于h a s h 链的流式数据签名与验证研究 # e ! ! ! ! ! ! = _ ! g = ! = = = e e = = = = = j # _ 自= = ! ! = 目= = ! = ! 自 # ! = = = e # ! 自= e = _ 目目_ e = j 日e 自= 目_ 一i i _ 自目_ e _ _ _ d _ _ _ | _ # 的丢失都对其它包的验证有着域多或少的影响。 穗型方案瓣优点就是每个毽瓣热豹验诞羡息鞍少，双 嚣提裹了效率。缺点怒 当链中含的包较多时，有较商的断链率。 链型方寨泌星型耧懿型帮要较好戆牲能，特裂楚每个数据包黔带静验涯羡塞 较少。本文的将在第2 章重点分析g o l l e 链型签名方案，并提出了一种改进方案。 1 3 流式数据签名系统的评价 1 3 1 流式数据签名验证系统的基本要求 使用网络传输流式数据时，流被分成包序列发送和接收。流式数据签名和验 证的主要问题就是保证流式数据传输实时性和容许丢包。 1 保证流传输效率 如果要对流式数据签名，不可避免会增加签名和验证时间，并在流上附加验 证信息，便于接收方验证。增加签名和验证过程、附加验证信息，却不增加流传 输中的过多延时，是设计流式数据签名方案的一个基本要求。 2 容许丢包 丢包处理，如果一个包序列接收是不完全时，理想情况下是能验证所有没有 丢失的数据包。根据接收到数据包的验证程度，可有两种验证模式： 1 ) 强验证，传输中存在丢包时，一个流式数据包不是丢失就是被验证，只有 被验证通过的数据包才能使用。 2 ) 弱验证，在存在丢包的情况下，允许接收一些没有验证的数据包。 本文仅仅讨论强验证模式，不管何种原因，任何没有通过验证的包都要丢弃。 文中采用强验证的原因如下： 1 ) 对于一些应用来说，只有验证后的内容才能接收。例如，一个输送证券信 息的流，可以允许一部分的信息丢失，但是只有验证过的信息才能显示。接收者 宁愿丢弃，也不愿意接收错误信息。 2 ) 强验证方案只要稍加扩展，很容易的被弱验证方式采用，反之，就不是很 容易。 尽可能的保留足够信息验证接收到的数据包，是设计流式数据签名与验证方 案的另一个基本要求。 3 外界环境需求。存在一个发送方和接收方都信任的认证中心( c e r t i f i c a t e a u t h e n t i c a t i o n ，c a ) ，接收方要验证发送方的身份，发送方必须有一个证明自己 身份的证书，是由双方共同信任的c a 签署，采用x 5 0 9 的通用格式。这个证书 是经过c a 签名的，且对外公开，任何人可以在网上下载。 8 硕士学位论文 接收方接收流式数据前的工作： 1 ) 接收方从服务器下载证书，得到发送方的公钥： 2 ) 使用c a 的公钥，验证证书是否有效； 3 ) 如果验证通过，安装证书到自己的机器中： 4 ) 开始接收和验证服务器发送的流式数据。 1 3 2 流式数据签名系统的评价标准 流式数据传输的特点是：1 ) 要求较少的延时：2 ) 发送时不能预知整个流的 大小和内容；3 ) 容许部分数据丢失；4 ) 广播时，接收者可以随意开始或中止接收 流式数据；5 ) 使用流式数据后一般不保存。 根据流式传输的特点及流式数据的安全服务需求，一个较好的流式数据签名 方案，需要在发送方和接收方引入较少的延时，不能增加过多的网络通信负荷， 存在数据丢包时仍能够验证，任何人可以在任何时间开始接收数据，也可以随时 的退出，对于不保存流数据的情况下，存在较好的防否认机制。 主要由以下几个参数评价签名与验证方案； 丢包容度，流式数据在网络传输过程中发生丢失数据包的情况，主要是网络 本身的原因，不是签名和验证方案所能控制的。签名方案设计中，一些数据包的 丢失可能影响其它包的验证，假设当b 个连续包丢失时，签名验证方案仍能验证 其它数据包，那么b 的最大值就是这个流式数据签名与验证方案的丢包容度。丢 包容度越大越好。 验证率，即在接收到的数据包中，能验证的包数占接收到数据包总数的比率。 例如发送方向接收方发了一个含有1 2 0 个包的流数据，由于网络原因，其中2 0 个包丢失，接收方接收到了1 0 0 个包，而方案因为在传输中丢失了2 0 ，所以只有 验证8 0 个包的足够信息，那么这个方案的验证率就是8 0 。验证率越高越能显 示方案的抗丢包能力。理想的情况是1 0 0 。即只要接收到数据包，接收方就有 足够的信息验证它。 发送方延时，即添加签名后，发送方比不加签名需要多耗费的时间，系统期 望延时较少。 接收方延时，即接收方验证接收到的数据包需要的验证时间。该参数越小越 好。 网络通信新增负荷，即发送方在流式数据中添加的验证信息的大小，这个参 数越小越好。 基于h a s h 链的流式数据签名与验证研究 1 4 本文的主要工作 目前i n t e r n e t 上流式数据的应用十分广泛。对流数据的签名保证其可靠性的 问题，在实质b - 与n n 规则消息是不同的。传统的签名是面向消息的，并且需要 接收方在验证签名之前处理整个消息。但是，发送者发送的流式数据可能是很长 ( 或无限) 的位序列，接收者基本上依照输入数率上使用接收的数据，不能有太 显著的延迟。因此，对于接收者来说，在验证和使用之前接收整个流是不现实的。 传统的面向消息的数字签名不适用于流式数据的应用。 本文在分析了现存的几个典型的流式数据签名与验证方案后，提出了一个有 效的对流式数据签名的方案一一星一链型流式数据签名与验证方案。新方案对下列 两种情况均适用。第一种是对于有限流的情况，这时发送者完全知道整个数据流 ( 例如，一段电影) ；第二种是针对潜在的无限流，其大小对于发送者不可知( 比 如现场直播) 。本文还证明了设计的安全性。新的签名方案也可以用在其它方面， 比如在通信代价较高的通道上传送长文件时，使用本方案，只要传送必要的文件 内容即可等。 本文围绕安全系统中的流式数据签名与验证机制，在保持高效传输和可丢失 特性的前提下，进行具体深入的分析和改进主要的工作如下： ( 1 ) 综述了网络信息安全服务需求、常规数字签名、流式数据签名，综合分 析关于流数据签名与验证的研究，引入了流式数据签名与验证的中流数据的概念、 应用及其相关的概念：丢包容度、验证率等。给出了流式数据签名与验证系统的 基本要求和评价标准。 ( 2 ) 重点分析了g o l l e 链型签名方案，基于g i l b e r t e 1 l i o t 网络通道模型， 改进了g o l l e 链型流式数据签名方法，提出了一种h a s h 值前置流式数据签名方案。 新方案采用发送方预先缓存流序列的方式，代替g o l l e 链型在接收方缓存流序列 的设计，在不增加整体延时的前提下，可以在发送方更灵活的构建h a s h 签名链， 同时大幅度降低了接收方的资源要求，扩大了接收范围，杜绝了g o l l e 链型产生 拒绝服务攻击的可能性，并证明了h a s h 值前置签名方案的安全性。 ( 3 ) 使用g i l b e r t e 1 1 i o t 分析了链型流式数据签名方案的断链性，结合星型 流式签名方案无断链影响和链型高效的特点，不增加签名操作的前提下，将长序 列分成小的子序列，使用星型组合子序列，给出了一种星一链型流式数据签名和验 证方案，做了验证实验，实验结果表明星一链型方案明显降低了断链损失，提高了 发送方h a s h 签名链的构建速度。 ( 4 ) 针对流式数据使用后即丢弃的特点，讨论了基于h a s h 链的流式数据签名 与验证方案中的防否认策略。 硕士学位论文 1 5 本文的内容结构 本文的内容结构为： 第一章对网络信息安全服务需求、常规数字签名、流式数据签名以及流式数 据签名的研究现状进行综述，并给出流数据签名与验证系统的基本要求和评价标 准。 第二章重点描述和分析了g o l l e 提出的链型流式数据签名与验证方案，列出 g o l l e 签名方案性能和安全方面的不足，提出h a s h 值前置的改进方案，并进行性 能和安全性讨论比较。 第三章在h a s h 值前置的改进方案上基础上，针对链式签名在序列中包含较 多数据包的情况下存在较高断链率的缺陷，提出一种星链式的数据签名方案，并 讨论了流式数据签名与验证方案中防否认策略。 第四章设计与实现流式数据签名与验证系统。 。结论总结相关工作，并指出进一步研究的方向与需要解决的问题。 基于h a s h 链的流式数据签名与验证研究 第2 章h a s h 值前置链型流式数据签名研究 2 1 引言 数字签名是保证信息真实性和完整性的密码学方法，它确保接收者得到数据 确实由发送方形成发送的，且在网络传输中没有被修改过，自己接收到的信息和 发送者所签发的一致。发送方，即公钥识别的实体，不能在签名发送信息后否认 曾签发过这个信息。数字签名技术的出现，从技术上保证了网络信息安全中的完 整性、认证和非否认性服务，从而促使了电子商务、网上银行等互联网业务的大 规模发展。 网络上流式数据的传输的应用，对网络安全服务提出了新的要求。主要是流 式数据不同于传统的消息报文，具有数据量大、大小不可预知、传送中容许部分 丢失的特性，传统的面向消息的数字签名方案不适合流式数据的应用。 本章重点分析了目前较为高效的g o l l e 链型流式数据签名与验证方案，该方 案资源消耗较大，易受攻击。针对g 0 1 l e 链型签名方案的不足，使用在发送方预 先缓存流序列的方式，代替g o l l e 链型在接收方缓存流序列的设计，提出了一种 h a s h 值前嚣的流式数据签名与验证方案。新方案把接收端存储验证链的延时转移 到了服务器发送方，较少的占用接收方资源，并增强了接收方的安全性。 2 2g o l l e 链型流式数据签名方案 2 2 1b u r s t 网络通道模型 星型和树型两个典型的设计基本上没有考虑网络通道的特性，认为网络传输 中的丢包是任意的、随机的产生，所以星型和树型方案中的数据包验证都是单独 验证，任何一个包的丢失都不会对其它的验证包造成丝毫影响，他们的缺点就是 每个包都附带大量的信息来证明自己是安全可靠的。 g o l l e 指出网络传输中的丢包大部情况下不是恶意的，网络传输中的丢包也 是有一定的规律，就像p a x s o n 在文献 1 4 1 中所展示的那样，在i n t e r n e t 上，丢包 是在突发( b u r s t ) 情况下，连续的丢失一定数量的数据包，而不是毫无规律的随 机丢失。g o l l e 采用了这种b u r s t 网络通道模型，他的设计目标就是设计一种流式 签名方案，来对付这种b u r s t 丢包，并认为星型和树型的设计其实是种不必要 的过度行为1 8 1 ( o v e r k i l l ) 。 本文是对g o l l e 链型签名方案的改进，也是基于这种基本的b u r s t 网络通道模 犁。 硕士学位论文 2 2 2g 0 1 l e 链型流式数据签名与验证方案 r e i h a n e h 称g o t l e 的设计是流式签名技术的一个大突破，是流式数据签名方 案的典范【j j 。 g o l l e 链型签名方案采用b u r s t 网络通道模型，即认为网络中传输的包不是随 机的、互不相干的丢失，而是在突发的产生连续数据包丢失。 g o l l e 链型方案设计的基本思想是把流式数据按照某种方式分成许多的包序 列，序列中每个包的h a s h 值附加到在后面的数据包上，对序列中最后一个包签名， 一次签名确保整个序列的可认证和传输完整性。 g o l l e 链型签名方案的基本形式如图2 1 所示，发送方需要有1 个包缓冲和1 个h a s h 值缓冲。对于每个流式数据序列，发送方先把第1 个数据包放置在发送包 缓冲中，计算其h a s h 值并置于h a s h 值缓冲中，然后发送出第1 个数据包。等第2 个数据包到达发送包缓冲中，就把h a s h 值中