（计算机应用技术专业论文）基于前向安全数字签名与xml签名的电子印章研究.pdf

硕士学位论文 摘要 电子印章是应用层的数字签名，是电子签章的一种，由于文档签名与其他 类型数据如程序，数据库数据等相比有其特殊性，本文针对文档签名的特殊性， 如签名的可见与可证实性，文档的归档特性，文档阅读的方便性等进行了分析， 指出文档实际上是一种格式化的数据，可以分为数据与格式两个部分，在此基础 上提出了对文档进行签名的要求。 前向安全是数字签名应用提出的一个新要求，在要长期保存以备验证的文 档中使用数字签名时显得更为重要，本文基于离散对数与求模珂的平方根的难题 提出了一种不需要额外存储空间的前向安全数字签名方案，该签名方案具有通常 长度的公钥与私钥，在提出该签名的同时，给出了利用求模n 的平方根的难题做 密钥进化来构造前向安全数字签名方案的必要条件，并对该方案的安全性与性能 进行了分析。本文把该前向安全数字签名方案应用在电子印章系统中，使得使用 印章进行签章的文档具有前向安全性。 在对文档的签章中，把文档数据以及签名数据用x m l 数据来表示，把文档 数据的签名转化为对通用数据对象的签名，由于x m l 签名规范是数据签名的标 准，我们在对文档签章时对其签名元素进行了扩充，满足印章与前向安全签名的 要求，同时利用文档转换来保证文档具有的相关特性。本文重点讨论了从r t f 格 式的文档到x m l 文档的转换，通过对转换程序的签名由可信的第三方来保证转换 的安全性。 最后，本文利用基于文档前向安全签名的x m l 签名技术，建立了类似p k i 的印章管理中心、印章注册机构的电子印章基础设施，给出了设计与验证的方案， 印章信息与数字水印结合完成了在文档中电子签名与印章的统一，以印章图象来 作为文档被签名的显示标志，并在数字水印中隐藏真实的文档签名信息；随后对 建立的电子印章系统与公开密钥基础设施的相关组成部分进行了比较，在p k i 基 础上实现的电子印章系统，可以考虑与p k i 整合，让电子印章系统成为p i ( i 框架 下的一部分。 关键词：电子签名：数字签名：前向安全；电子印章：可扩展的标记语言 基于前向安争数字签名与x m l 签名的电子印章研究 a b s t r a c t e l e c t r i cs e a l i sam e t h o dt os i g nad o c u m e n ta n di ti sak i n do fe l e c t r i cs i g n a t u r e t h o u g had o c u m e n th a ss o m ed i f i e r e n c ec o m p a r et oo t h e rk i n do fd a t a1 i k ep r o g r a m ， d a t ao fa d a t a b a s e ，a c c o r d i n gt h es p e c i a l i t yo f ae l e c t r i cs i g n a t u r et oad o c u m e n t ，s u c h a sv i e ww h a tw es i g n e d v a l i d a t e 也e s i g n a t u r ei nad o c u m e n td i r e c t l y , h o wt o a r c h i v e sad o c u m e n tw h i c hh a sb e e ns i g n e d ，h o wt or e a dad o c u m e n th a sb e e n a r c h i v e d ，i tp o i n t so u tt h a tad o c u m e n ti se x a c t l ys o m ed a t aw i t hs o m ef o r m a td a t a ，a d o c u m e n tc o u l db ed i s p a r t e da st w o p a r t s ，d a t aa n df o m l a td a t a a n dp u tf o r w a r dt h e r e q u i r e m e n to f ad o c u m e n ts i g n a t u r e f o r w a r d - s e c u r ei san e wr e q u i r e m e n to fd i g i r a is i g n a t u r e a n di ti se v e nm o r e i m p o r t a n tw h e ns i g n i n g ad o c u m e n tf o rad o c u m e n tu s u a l l yn e e dt ob ep u ti n p i g e o n h o l e n l i sp a p e r u s e ss o m ed i f f i c u l tm a t h e m a t i c a l p r o b l e m l i k e d i s p e r s e l o g a r i t h ma n dq u a d r a t i cr o o th a r dp r o b l e mt op u tf o r w a r dan e wf o r w a r d s e c u r e d i g i t a ls i g n a t u r ew h i c h n e e dn o s u p e r f l u i t ys t o r a g e t 1 1 i ss i g n a t u r es c h e m e h a sak e y s l e n g t hl i k eo t h e rc o m l l o ns i g n a t u r e s a n di tg i v e ss o m ep r o p o s a lo nh o wt ou s e q u a d r a t i cr o o th a r dp r o b l e mt ol e tk e ye v o l v ei naf o r w a r d s e c u r es c h e m e t h i sp a d e r u s et h es i g n a t u r es c h e m ei nt h es e a ls y s t e ma n dg e tt h ef o r w a r d s e c u r ei nas i g n a t u r e f o rad o c u m e n t w h e l lw es e a lad o c u m e n t w et r a n s i to t h e rd o c u m e n ti n t ox m ld a t aa n d c h a n g e s t h ed o c u m e n t s i g n a t u r e t oac o m m o nd a t a0 b j e c td a t a s i g n a t u r e ， x m l s i g n a t u r es y n t a xa n dp r o c e s s i n g i sas t a n d a r dt o s i g ns o m ed a t ao b j e c t w e r e v i s ea n da d ds o m ee l e m e n tt os a r i s f yt h er e q u i r e m e n to fs e a la n df o r w a r d s e c u r e d i g i t a ls i g n a t u r e t h es e c u r i t y o ft r a n s f o r m a t i o ni s p r o t e c t e db ys i g h i n g t h e t r a n s f o r m a t i o no f t h ep r o g r a m ，a n dt h ep r o p e r t yo f t h ed o c u m e n ti sa l s or e s e r v e d a ti a s t t h i sp a p e ru s e ss o m ef o r w a r d s e c u r ed o c u r n e n ts i g n a t u r e sx m l s i g n a t u r e s c h e m et e c h n i cw h i c hw eh a v ei n t r o d u e ea b o v e ，t oe s t a b l i s has e a lm a n a g ec e n t e r ， s e a lr e g i s t e ro r g a nw h i c hi sp 尉a n a l o gf r a m e w o r k a n d g i v ea m e t h o do fs i g n a t u r e a n dv a l i d a t i o n t h em e s s a g eo fs e a le m b e di n t ot h ed i g i t a lw a t e r m a r ko fs c a lp i c t u r e ， a n du s et h es e a lp i c t u r ea sas y m b o l o f s i g n a t u r e o f ad o c u m e n t ，t h er e a ls i g n a t u r ed a t a i sa l s oap a r to ft h ew a t e r m a r ki nt h ep i c t u r e ；也e nc o m p a r et h ec o m p o n e n to fa e l e c t r i cs e a ls y s t e mw i t ht h ec o m p o n e n to f p k i ，i tc o n s i d e r si m p l e m e m te l e c t r i cs e a l s v s t e mo nt h ef u n d a m e n t a lo fp k i ，a n dl e te l e c t r i cs e a ls y s t e mb e c o m eap a r to fp k i f r a r n e w o r k k e y w o r d s ：e l e c t r i cs i g n a t u r e ；d i g i t a ls i g n a t u r e ；f o r w a r d - s e c u r e ；e l e c t r i cs e a l ； x m l l i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名： 廖跻 目期：? 棚年妒月日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“4 ”) 作者签名： 导师签名： 目期：”钟年叶月绣日 日期： d 弋年譬月讴日 硕士学位论文 第一章绪论 电子印章是电子签名的一种，电子签名的形式是多种多样的，可以包含广泛 的内容，关于电子签名的定义及电子签名对象的定义在不同的环境下各不相同， 但必须具备数据的完整性与签名的不可否认性( 含身份认证) ，电子签名的这两个 特征在实际的应用中具有重要的意义，与机密性组成了系统安全最重要的部分。 本章分析了当前电子签章应用的迫切性，介绍了数字签名与电子印章系统的进展， 最后介绍了本文的工作。 1 1 引言 中国当今互联网发展迅速，用户数量增多。截至到2 0 0 3 年6 月，中国的网 民人数已经达到6 8 0 0 万人，与去年同期相比增长率为4 8 5 ，网民数量高居全球第 二。电子商务交易量也日趋增多，网上购物以及进行交易的人数占4 0 7 。在 i n t e r n e t 飞速发展的今天，使用网络来进行数据交换已经是司空见惯的事，如何 保证数据的机密性、完整性，对数据源的身份认证以及对交换过程的不可否认性 认证，是众多的网络安全研究者研究的问题，为了均衡单个应用系统安全的代价 及加强安全系统之间的可互操作性，解决安全性问题的方向是通过安全基础设施 来解决；程序、数据、文档是计算机处理的主要对象，程序主要完成相关的逻辑 任务处理数据是程序加工处理的主要对象，文档则是静态书面信息的电子形式。 如果不采用特别的安全措施，在网上文档的传递在i n t e r n e t 的传输中，象普通邮 政系统中的信封都没有，发的电子邮件与文档都是明信片，信息没有任何机密性 可言，可以随意被删除或丢弃。对文档的安全处理形式，传统的方式是手写签名， 以信封密封，然后以安全的方式传递；而在电子形式下的处理，对应于电子签名， 数字信封。安全的传输途径与方法。对于电子签名的手段，传统的方式有录像、 录音、数字水印等，直到数字签名出现后，电子签名变得比手写签名具有更高的 安全性，文档的签名再也无法复制。 中国传统的印章已经有了两千多年的历史，从最早的虎符( 分成两半的带有 符号或图形的物品，相当于公钥与私钥) ，到现在仍在使用的物理印章，印章的功 能主要是安全认证，传统的印章保护包括印章图象，印章使用的油墨，到使用的 纸张进行防伪，但由于伪造技术的升级，传统印章的使用已经出现信任危机，需 要新的安全手段来对文档完整性与不可否认性进行认证。 通常的签名包括纸笔的手写签名形式，文档的印章图象与图章，传真或备忘 基于前向安全数字签名与x 札签名的电子印章研究 录上的收据等等，电子签名对应于通常签名的作用，也应具有完整性，身份认证 与不可否认性，电子签名的形式多种多样，包括录象、录音、图象( 数字水印) 、 数字签名、以及其他形式的各种能用于签名的电子数据，电子签名所面临的内容 是数据对象，包含的范围是非常广泛的，可以包含各种形式的文档，数据，程序， 本文要讨论的电子印章系统的签名对象主要是文档：电子签名主要有三重含义， 第。一，用于赞成某些行动，如网络与实际生活中的各种万人签名活动等，第二， 用于接受某些项目或服务，如签署合同，契约等，第三证明文档中的信息或行动 的状态，如政府部门发布的公告，布告等。 电子签名的对象是电子记录，包含数据库、音像档案，录音记录，各种形式 的文档程序等等，对电子签名最简单直接的定义是：签名者对电子记录应用的电 子形式的签名，签名者意图使其与物理签名具有同等的效力。在法律上，根据美 国联邦法律全球及国家商业法案中的电子签名( e - s i g n ) ，“电子签名( e l e c t r i c s i g n a t u r e ) 的意思是属于或逻辑上关联于合同或其他记录的电子声音，符号或过 程，并且他的意图是签署记录的人的执行或采纳” 电子签名的意义，第一是非否认性，其中又包括两重含义，签名者要与签名 对应，别人不能冒充，要保证密钥保存与签名方法的安全性，密钥的保存问题的 安全性涉及到法律上的举证问题，而签名方法的安全性问题主要是技术问题，在 技术上要保证每个人拥有唯一的密钥，而且签名不能伪造；第二是数据的完整性， 数据的完整性涉及到技术上的不能更改( h a s h 等) ，与保管上的不能更改( 法律上 的最佳证据链、监护链等) ，电子签名的第三个意义是身份的认证，广义的身份认 证包含两种认证情况，一种是普通的认证，即证明签名的对象是某类人，另一类 即是身份鉴定，指明签名的就是某人或者某个机构，在不同的环境下这两种认证 的可能性都是存在的。 目前，我国电子签章条例已经通过，有了相关的法律依据；有相当成熟完善 的p k i c a 认证技术在等待走进应用；我国有几十年管理经验的印章管理模式及完 善的印章法律体系，但是日益猖獗的伪造技术及传统印章的安全技术不足，无纸 化办公的盛行，造成了传统的印章使用的缺陷，需要建立一套完善的电子印章系 统来替代传统印章在数字环境下对文档进行签章。 1 2 数字签名进展 电子签名是一般化的概念，凡是具有签名功能的电子手段均可称之为电子签 名。而数字签名，由于历史的原因，已经被特指为利用公钥密码和散列算法而生 成的签名。数字签名是电子签名的一种，起源公开密钥密码术的出现。早在1 9 7 6 年d i f f i e 提出公钥密码思想的时候，就认为“签名”是公钥密码的一个重要应 硕士学位论文 用，只是当时并未叫数字签名，而是称之为“单向鉴别”( o n e w a y a u t b e n tic a ti o n ) 数字签名是电子签名中最重要的一种形式，自从1 9 7 7 年4 月，r o nr i v e s 等 发现了利用大素数乘积分解难题的r s a 算法“3 ，数字签名才开始走向实际的应用， t e h a re i g a m a l 于1 9 8 5 年发现了一种基于离散对数的数字签名”“，1 9 9 1 年，n i s t 宣布了一个类似的数字签名标准中的d s a 算法”3 ，该算法也与1 9 9 1 年德国密码员 c l a u ss c h n i r r 的专利算法”相似，1 9 8 5 年，n e a lk o b l i t z 与v i c t i rm i l l e r 提 出的椭圆密码术的思想，更加难于破解，也可以用于数字签名”“”“1 ( e c d s a ， e 1 1 i p t i cc u r v ed i g i t a ls i g n a t u r ea i g o r i t h m ，目前i e e ep 1 3 6 3 ( s t a n d a r d s p e c i f i c a t i o n sf o rp u b l i ck e yc r y p t o g r a p h y ) 的执行标准) ，椭圆曲线加密方 法能够用很短的密码实现很高的安全性。1 9 9 0 年，我国学者王新梅基于纠错码构 造了一种数字签名方案”，1 9 9 2 年a l a b b a d i 和w i c k e r 针对x i n m e i 方案进行了 选择明文攻击1 ，2 0 0 0 年王新梅通过引进单向h a s h 函数和时戳对x i n m e i 方案 进行了修正”“ 对应于应用中不同的签名要求，1 9 8 3 年d a y i dc h a u m 发明了盲签名”的概念， 并给出了使用r s a 算法的第一个实现方案1 ，盲签名即签名者看不见要他签名的 文档内容，而且签名者也不知道最终的签名结果，虽然签名者( 或任何其他人) 能验证此签名确实有效，通过盲签名，可保护消费者的隐私。1 9 9 0 年，d a v i d c h a u m 提出了不可抵赖的签名( 隐形数字签名) ”，该签名在得到签名者许可的 情况下才能验证签名，可广泛用于软件的发售签名等授权验证签名的情况。1 9 9 1 年d a y i dc h a u m 提出了群签名( 团体签名) 的签名体制“。这种体制允许群成员 之一代表这个群体对消息签名，任何知道群公钥的人可以验证签名的正确性，没 有人可以知道是群中哪一位签的名。但有一个可信任的第三方一一称为群管理员， 在签名出现争议时，他可以确定签名者的身份1 9 9 5 年m m a m b o ，k u s u d a ，e o k a m o t 0 提出了代理签名概念”，代理签名需要在签名者的授权下进行，般应 有时间限制。 1 9 9 7 年，a n d e r s o n 中提出了前向安全的概念。，前向安全的数字签名定义 了公私钥对的使用期限由多个时间段组成，在不同的时段使用不同的私钥来签名， 在一个时间段终止后，签名者用旧的签名私钥经过一个单向函数生成新时间段的 签名私钥，随后立即删除旧的签名私钥，而验证的公钥在整个签名生命期中始终 保持不变。在这种情况下保证了当前私钥的泄露或破译，不影响以前时间段的签 名的安全性。r o s sa n d e r s o n 在提出前向安全的数字签名同时“，提出了两种简 单的解决方式：第一种方式具有与签名时段数线性长度的公钥与私钥，具体的做 法是假如签名时段数为r ，利用通常的方法生成r 个公钥私钥对，使用丁个公钥按 顺序的连接为前向安全签名的公钥，而使用对应的，个私钥按顺序的连接为前向 基于前向安争数字签名与涮l 签名的电子印章研究 安全签名的私钥，当第f 个时段签名完成后，删除前向安全签名的私钥中第i 个签 名的私钥，验证时根据签名的时段采用第i 个公钥验证。该方案由于时段私钥之 问没有任何关系，所以具有删除以前的私钥具有完全的单向性，但前向安全的公 钥与私钥随时段数线性增长( 尤其验证用的公钥，始终保持r 个普通签名公钥长， 当丁较大时相当累赘) ，当时段数较大时不可能用来实现。a n d e r s o n 提出的第_ 二 种方案的公钥长度较短，而私钥仍然具有与时段数成线性关系的长度，具体的做 法是产生象方式一中一样的r 个公钥私钥对( p 。，j ) 其中1 ，t ，产生一个附 加的公私钥对( p ，5 ) ，签名口= s g n ，( 川p ，) ，是_ ，时段的对，个公钥的签名，删除掉 签名私钥s ，前向安全的签名的公钥为p ，签名使用的私钥为( 品，q ，屯，c r 2 ，j ，听) 当进入时段后，删除( s j - i 仃- 1 ) ，此时的签名私钥为( s i , 盯，8 f + 1 ，盯+ 1 ，s t , 盯，+ ) ，消 息，在，时段的签名为： ，记做 在验证时使用 暖( 口) = 1 与阢( 川q ，叻= l 进行验证，其中公式一验证使用了s ，签名消息，公 式二验证了q 是第，个时段的公钥，只有两式同时成立，才能通过验证。该方式 在每次删除( s 。，盯。) 的情况下也提供了纯粹的前向安全性，但私钥太长依然给实 施带来麻烦。 m i h i rb e l l u r e 与s a r ak m i n e t 提出了另外的两种前向安全的签名方式“”， 我们记为方式三与方式四，方式三的公钥与私钥都是固定的长度，但签名很长， 随签名时间段线性增长，签名的生成验证时间较长，具体的做法采用证书链形式， 刚开始生成公钥私钥对( ，) ，p o 是前向安全签名的公钥，是第0 个私钥，在第 个新时段开始时，生成一个公私钥对( a ，岛) ，令c r = s g n 。( 1 i i p ，) ，删除岛，在第 二阶段消息的签名记做( 1 ，( s g n 。) ，p 。，盯。) ，验证时用仇验证p l ，用p l 验证消息 签名。同样的，在第j 个时段的签名为( j ，( 黝虬，咖) ，p ，盯，p 。，吼) ，验证时用用风 验证p 。，用p 。验证p 2 ，用p - l 验证p ，用p ，验证签名。该方式签名的公钥与私 钥都是正常的长度，但签名太长，而且验证的速度也与签名的时间段数成线性关 系，不利于实际的使用。在方式四中m i h i rb e l l u r e 与s a r ak b l i n e r 提出了一 种二叉树构造的前向安全的数字签名方案( 也是利用证书链) ，其中公钥具有通常 签名的公钥长度，私钥与签名的长度与签名时间段数的对数成线性关系( 1 0 9 ，丁) ， 不过签名私钥与签名始终具有较长的长度，不象前面的方式中长度是逐渐增长的。 1 9 9 9 年m i h i rb e l l a r e 与s a r ak m i n e t 提出了一种基于求模聆平根的难 题的密钥进化与签名方案“，该方案基于f i a t s h a m i r 证实方案与0 n g s c h n o r r 证实方案构造，以，个长度的公私钥对利用消息单向抗冲突函数产生的散列( 散列 的长度为，) 做随机种子来进行签名，密钥的进化采用求二次剩余所以，签名的 公钥为( p ，p ：，pf ) ，其中p 。= j ；，s ，( 1 i r ) 为随机数模门的二次剩余 ( n 为两个大素数的乘积) ，第，时段的私钥为( s ? 。，s ；，j ；。) ，签名时采用一个随 机的模胛的二次剩余月，以( ，r 2 ”。，r ( g ) “，( s ) t ，( s ? ) 。) 作为签名，验证时检验 4 硕十学位论文 是否有( r ( s ；) “( s ；7 ) 。( s ；7 ) 。) 2 “。= r 2 ”。( p p 知计) 决定签名是否正确，其中 q f ：c ，是由消息哈希产生的位列。这是自a n d e r s o n 提出前向安全的数字签名提 出的第一个实用的前向安全签名方案，具有固定的公私钥长度与签名长度，但在 取消息散列长度为f 时，签名与验证相当于，个常规签名的公私钥长度，而且使 用散列做随机种子也存在不安全的因素”4 “。 2 0 0 0 年，m i c h e la b d a l l a 与l e o n i dr e y z i n 提出了一种对m i h i rb e l l a r e 与s a r ak m i n e t l 9 9 9 年方案的改进。，该方案具有更短的密钥长度，因此也更 加使用。该方案采用了一一种树型结构利用消息的散列作为随机序列选择二叉树的 结点进行，结果用数学公式表示为：初始私钥s 。选用随机的小于n 的整数( 以为 选定的两个大素数的乘积) ，时间阶段签名的私钥为j 。2 “m o d ，公钥为 p = 1 ，s m o d n ，签 名时选用随机数 尺z ： ， 口= h ( j ，y ，m ) ，z = 船；m o d n ，签名为( ，( z ，盯) ) ，验证时采用】，= z 2 “1 甜。m o d n 验证盯= 日( ，y7 ，m ) 如果成立。则通过验证，该方案密钥长度比m i h i rg e l l a r e 与 s a r ak m i n e r 方案的密钥长度大大缩短了，但由于采用散列做随机种子也存在 不安全的因素“。 2 0 0 1 年g e n ei t k is 与l e o n i dr e y z i n 提出一种新的签名方案使签名与验 证的效率都大大提高”“，只需计算两次指数模n 的剩余，但密钥产生时间及密钥 的进化时间都与时间段的长度成正比。具体的做法是取n 是两个大素数的乘积， 随机取t l z ：，利用一个伪随机数与随机种子s e e d 产生e ，满足 2 ( 1 + ( f 一1 ) j r ) p ， 2 + i r ) ，其中i = 1 , 2 ，t ，令 = e 2 e3 。e r m o d ( n ) ， s 1 = r j 2 m o d n ，v = 1 j i 。m o d n ，2 = f p m o d n ，取私钥s k i = ( 1 ，t ，胛，置，f 2 ，p l ，s e e 印， 公钥为】d k = ( v ，t ) ，在，时段密钥进化时用首先用s e e d 产生e 。，p ，计算 s ，+ 】= f + 1 2 3 。m o d n ，计算r ，+ 2 = f ；甚1r o o d n ，并返回+ 1 时段的私钥 ( ，+ 1 ，丁，疗，s 。，t j 。e ，+ ，s e e d ) ，在，时段签名时使用该时段的私钥进行签名，随机选 取，z ：，y = ，“r o o d n ，仃= 何( ，p ，j ，m ) ，z = 坩。m o d 月，签名的结果为( z ，盯，e ，) 。 在验证时用固定的公钥进行验证，艘= ( ”，v ) ，如果签名的结果中的e 2 l ( 1 + i t ) 或者e ，是偶数，则签名验证失败，如果满足上述条件，令y 。= z 。v 4 m o d 蚱，如果 盯= h ( ，e ，m ) 则验证成功，否则失败。 2 0 0 2 年t a lm a l k i n 与d a n i e lm i c c i a n c i o 提出了一种时间段不受限制的前 向安全的数字签名”“，签名的时间段不必要有一个预先设定的长度限制，即没有 一个固定的密钥对生存期，签名的密钥生成、密钥进化、签名与验证及签名的长 度该方案实际上不依赖于任何固定的签名算法，可以由任何两种签名算法或前向 安全签名算法由定义的加法与乘法运算组合，而且具有比以往任何前向安全的签 名算法更高的效率，由于该组合算法不依赖于任何确定的数字签名算法，所以该算 法的实现的效率由实现该前向安全的算法确定。 基于前向安全数字签名与删l 签名的电子印章研究 2 0 0 3 年，m a c i e jk o p r o w s k i 提出了一种精细的前向安全的数字签名方案”3 。， 该方案在同一时间段内也使用了前向安全的技术，对同一时问段内的签名有一个 序列号控制，可以向权威机构使用另一安全密钥作废该时间段内序列号f 以后的 签名。该方案基于离散对数构造，在，时段的签名时，选择e ，屯，e ，共个大素数， 计算e = n 。；，e ，m o d ( p ( n ) ，选择对随机的的二次剩余g ：，死，x j ，计算 g = ( g o ) 8 ，h = ( ) 8 ，x = ( x j ) 。，麒= ( n ，g ，h ，x ，j ) ，s k o = ( o ，g o ，h o ，x o ) ，在签名时 计算蓦：( 磊) l 弘，h ，：( 瓦) ，x i ：( 毛) u 4 ，选择一个随机元口。 o ，1 ) ，计算 y = x ，g ? 厅? 。”，计算g ：+ 。= ( 9 3 6 ， 十= ( ) 6 ，x ：。= ( x ；) 6 ，脒，。= ( f + 1 ，或。，囊。，x ：。) 签名为( f ，( p ，y ，口) ) ，下一签名密钥为s k , 。，在验证时主要检验是否有 y 。= x 9 8 。”f 。在整个时段的签名时可以固定e i , 岛，g ，以减少运算量，但签名 的公钥很长，而且效率较地低，该签名的好处是提供更精细的前向安全签名的控 制。 2 0 0 3 年7 月，秦波等提出了一种前向安全的数字签名方案“”，基于离散对 数与模疗的平方根的难题构造，该方案的私钥进化具备前向安全性，但由于签名 时使用的是一个私钥函数的固定值进行签名，所以签名并不具备前向安全性，在 分析离散对数与模n 平方根结合的基础上，我们给出了如何基于模玎平方根的密 钥进化如何与基于离散对数的签名安全结合的条件，本文还通过对秦波方案的分 析，设计了一种新的前向安全的数字签名方案，并证明了其安全性，分析了其性 能，相对其他方案来说该方案是一种非随机种子依赖的算法，其密钥进化速度快， 密钥也较短，签名速度较快，在软件环境下的运行也可以获得较为理想的处理速 度，是一种实用的前向安全签名方案。 1 3 印章系统概况 电子印章是电子签名的一种，目前实现电子印章的方式多种多样，有简单模 仿物理印章图象的电子印章，可以利用w o r d 中的公式编辑器e q u a t i o i 3 或 p h o t o d r a w 等绘图工具制作印章，对印章图象进行相关的美化操作后拷贝到需盖 章的文档中。这种电子印章可以被简单复制，没有什么安全性。 有基于数字水印的电子印章系统，将文件的散列值以印章的图像特征提供的 密钥加密，将加密的结果以水印的形式隐藏在印章的图象中，这种方式电子印章 需要从印章进行验证，多用于加密，使用的好处可以不必记忆很长的密码，另一 种是手写签名的电子签名，同样利用签名与摘要结合，可以提供一种不能复制的 电子签名，但一般不用于认证，在进行认证时需要签名方的参与。这种形式的实 现如政府公文电子印章系统2 0 与江西金格网络科技有限责任公司的 i w e b o f f i c e 文档控件，用基于文件的加密实现。 硕士学位论立 还有一种基于数字签名的电子印章，具有比物理印章更高的安全程度，方便 的认证方式，在管理与实现上相对复杂。例如北京诚利通数码技术有限公司( 中 国) 的电子签章系统( e s s ) ，由支持p k i 技术的带c p u 的i c 卡、i c 卡读写器利 支持各种应用的软件组成。i c 卡用于存放单位或个人数字证书及做签名运算，i c 卡读写器用于i c 卡和计算机相连。软件用于完成不同环境下的电子签章，i c 卡 的插拔由程序自动监测，卡中的数字证书不会残留在内存或硬盘中。这种实现的 方式对硬件的要求较高，要求有配套的i c 卡设备及驱动程序。也有利用u 盘做 印章的存储工具的，相对来说费用高一些，但使用更方便，不需要专门的读卡器， 可以直接利用计算机上的u s b 接口。如亿赛科技有限公司的电子印章系统、百成 电子印章系统与华玺电子印章系统( 采用u s b 接口的电子令牌存储电子盖章过程 中用到的密钥和数字证书，硬件为北京飞天诚信公司的e p a s s l 0 0 0 ) 。 上述的印章系统在安全上没有考虑当印章对应的私钥泄露后的情况，虽然从 数学上说私钥被破译的可能性很小，但往往人员或管理上存在安全漏洞，会造成 印章对应的私钥泄露，一旦印章对应的私钥泄露，所有用该印章签章的文档( 协 议、合同等) 全部可以被伪造，即该文档将不再具有法律效力。传统的解决私钥 泄露的方法是采用密钥通过秘密信道分散地存储在不同的机器上”“，但这种方 式对单个用户代价太大，而且这种劈分密钥后分散存储的方式也没有想象的安全， 由于系统的某些公共的漏洞而很容易被破解。另一种方式是使用第三方的时间标 记”，但在给用户带来了经济上负担的同时，要求用户在线签名，给用户带来了 极大的不便。由于上述的基于数字签名的印章系统都使用普通的数字签名( 一般 都为r s a 算法) ，一旦印章的私钥被泄露，则用该印章签章的文档都可以被伪造， 给签名后需要长期保存的文档造成了一个突出的安全问题，证实者可以利用泄露 的私钥伪造任何时间该私钥签名的文档，签名者可以通过故意泄露签名私钥来回 避承担任何时间签署文档内容的责任。基于数字签名进展，我们可以用前向安全 的数字签名来解决这个问题。本文在考虑前向安全数字签名的基础上1 “，指出 了文献 2 7 中前向安全的数字签名方案由于使用了后继密钥的信息来签名当前消 息，实际上并不是前向安全的，并根据文献【2 7 】中的密钥生成、进化、签名、验 证算法构造一种新的前向安全数字签名方案，该方案基于求离散对数与模，2 平方 根( n 为两个大素数的乘积) 的逆的两个数学难题构造，求离散对数的问题保证了签 名不能伪造，求模n 平方根( h 为两个大素数的乘积) 保证了密钥的单向进化，签名 时只使用当前签名私钥的信息，与后继的私钥无关。使用的公私钥长度与普通数 字签名近似，且与签名时问段的数量无关，密钥的进化可以具有很高的速度( 只 需计算一次二次剩余) ，可以使用短时间进行密钥演进，从而从量上更进一步提高 前向安全性。本文将该签名用于印章系统，使电子印章的使用具有了前向安全性， 使电子印章具备了更加实用的价值。 7 基于前向安全数字签名与x m l 签名的电子印章研究 另外，上述的印章系统在基于文档的签名的特征上也有不足，对签名文档的 阅读一般都要求使用w o r d 格式，给u n i x 下的没有安装o p e no f f i c e 的用户造成不 便，没有考虑签名后文档的归档以及归档后的验证问题，在文档中利用相关的格 式隐藏数据的问题，以及对文档关键数据的选择签名问题等等。如何利用文档的 签名特性，给出一个针对文档的签名方法，是本文关心的另一个问题，在对计算 机的处理对象程序、数据、文档进行签名时，尤其是对程序、数据进行签名已经 有了先例，对程序的认证，如j a v a 利用p k i 提供的数字签名技术来对程序的提供 者进行认证，以决定是否允许运行该程序，这种形式在使用a p p l e t 时犹为常见”“； 在利用数字签名技术对j a v a 程序进行签名时，在数据的签名领域，i n t e r n e t 网 络上标准的制定者i e t f 组织已经提供了参考的标准，主要运用对x m l 签名的形 式对格式化的数据进行签名“”“；对于文档的签名标准尚未有统的标准提出： 尽管美国与欧洲的许多国家都提出了相关的电子签名法案”，但都采用一种技术 中立的方式提出，并没有提供一种解决文档签名的标准文档的签名特性之一是可 公示性，如合同、契约、布告、公告等，要求签名可以为文档的阅读者对谁签署 了该文档有一目了然的效果；特点之二是签名者不一定是文档的产生者，如合同， 这样就产生了签名者如何准确地读取文档的全部内容的问题，文档的特定格式是 签名者准确全面地阅读需签署文档的障碍，如特定的阅读器只支持自己的格式， 显示时可能使阅读者只读了该文档的一部分，或是隐藏了部分信息：文档的其他 特点还包括文档独自的格式可能不是需签署内容的一部分，签名者只想签名内容 及特定的格式：签名文档需要归档，以备日后的验证等：文档的这些独有的特性 要求有合适的方式来实现，以满足在通用文档环境下对文档签名的要求。本文设 计了一种基于p k i 的电子印章对文档的转换物中间文档x m l 文档进行签名，解决 文档签名中的特殊问题，利用x m l 文档的文本特性方便全面地阅读文档，可以选 择性地对文档格式签名，初始文档的转换造成了签名与特定的文档中的文档格式 描述符无关，文档的转换工具由可信任的软件工具开发商实现，杜绝了转换时的 作弊的问题，文档可以在不同的阅读器下验证；文档的签名用数字水印形式隐藏 在电子印章的图象中，作为文档的一部分，解决了文档的归档问题。 1 4 本文的主要工作 互联网为电子政务和电子商务的开展提供了舞台，对于电子政务来说，无纸 化是必然的趁势。在没有“电子印章”的时候，电子公文的接受者不但无法确定 自己收到文件的真实性，而且，也不能保证文件内容在网络传输中是否因为技术 或者人为的因素发生变化。网上交易作业的安全性是不能回避的问题。交易主体 的身份被盗用、传输的电子文件被篡改等等，都是电子商务和电子政务5 顷利开展 8 硕士学位论文 的严重障碍。本文在分析设计完成电子印章系统的同时，对前向安全的数字签名 与基于文档的x m i 签名进行了相关的研究，并完成了以下工作： 1 分析了文档的签名要求，指出文档实际上是格式化的数据，可以分为格式与 数据两部分，并在此基础上提出了对文档进行电子签章的要求。 2 在原有的前向安全数字签名的基础上，提出了一种新的前向安全的数字签 名，该签名的公私钥长度较短，不随签名时间段的数量影响，签名速度较快， 且有较高的密钥进化速度，适宜做短时间的密钥进化以在量上提高前向安全 性。 3 利用x m l 签名相关特性与规范提出了一种以x m l 文档为中心的数据签名方 案，使文档的传输满足通用的x m l 数据标准的基础上，满足文档的签名特性 要求。 4 对从w o r d 到r t f 、x m l 格式的文档转换进行了详细的讨论，并完成文档转换 的实施。 5 利用p k i 相关技术建立了以类似印章中心为基础的电子印章系统，对电子签 章的过程与验证过程进行了分析，比较了p k i 相关技术与电子印章系统，对 在p k i ( 公开密钥基础设趋) 下建立电子印章系统给出了有益的建议。 基于前向安全数字签名与) 【l l l 签名的电子印章研究 第二章印章签章分析 电子签名必须以相关的法律作为依据，以相关的密码学技术作为后盾。不满 足相关法律的电子签名在使用中不受相关的法律保护，从而在使用时没有相应的 法律效力，丽不以相关密码学为基础的电子签名，由于安全性得不到保障同样很 难具有实际的签名意义。本章在分析了相关的法律之后，介绍了用于构造后一章 前向安全签名的密码学基础，最后分析了文档签名在相关的法律和密码学框架下 应该注意的问题。 2 1 电子签名中的法律问题 正在使用电子商务的用户要求在技术上、法律上确定一套合理的电子签名框 架的方案，无论是公司用户、个人用户，还是签名的第三方、最终用户，都需要 确保电子交易的有效，具有约束力，并确信在交易中使用的规则与措施：为电子 商务提供支持服务的提供商也迫切需要建立电子签名的立法，以明确自己对用户 或第三方潜在的责任与义务；电子签名的形式是多种多样的，电子签名法案的重 要特性之一是保持技术的中立性，以便在技术进步时采用更为安全更为实用的技 术来实现电子签名。 1 美国全球及国家商业法案 全球及国家商业法案中的电子签名( e - s i g n ) “2 1 于2 0 0 0 年1 月2 4 目在美国 第一百零六届国会第二次会议中由参议院与众议院联合颁布的；在商务中的电子 记录与电子签名中规定了有效性通用规则，限制和义务规则，电子签名有效的条 件，免除优先权等。 2 欧盟数字签名指令 欧盟于1 9 9 9 年1 2 月颁布了欧盟数字签名指令“，欧盟颁布这一指令是建议 性的，在指令中为各成员国使用电子签名提供了统一的方法，目的是促进电子签 名的使用以及法律对其的承认，它为电子签名确立了法律的框架和一定的验证服 务，以保证各成员国国内市场合理地使用电子签名，该法案并没有讨论有关合同 法和其他法律义务的有效性与结论，也不影响国家和地区法律中的规则与限制。 3 中国的立法情况 我国关于电子签章的立法包括全国性的法律与地方法律，全国性的法律如刚 刚通过的中华