（计算机软件与理论专业论文）关于电子支付同时生效签名的研究.pdf

论文题目 专业： 硕士生 指导教师 关于电子支付同时生效签名的研究 计算机软件与理论 榻少茵 印鉴教授 摘要 签名交换的公平性是电子支付、网上交易乃至密码学领域的基本问题。在交 易活动中，公平性是指诚实的主体相对其它主体不处于劣势。签名交换的公平性 要求交易双方或者都获得对方的签名，或者都没有获得对方的签名。这个问题先 后已有三种解决方案。即b o n e h 的实时逐步交换签名、a s o k a nn 的可信任第三 方公平性保证机制以及陈立群等学者提出的同时生效签名概念。在第三种方案 中，交易双方中的签名发起人随机产生一个秘密信息，其值影响双方模糊签名的 计算过程。在发起人公开这个秘密信息之前，任何人能且只能验证每组模糊签名 是由两个交易主体产生，但无法确定签名者。一旦签名发起人公开秘密信息，两 组签名信息立即与签名者绑定起来，达到先后产生的两份签名同时生效的目的。 第三种方案避免了前两种方案的某些弱点，因而引起注意。该方案目前已有几种 实现算法。 本文详细分析其中的基于可验证环签名的算法，做了四个工作。第一是归纳 出算法的结构属性，发现对模糊签名信息鉴别签名人，其实等价于识别算法的初 始项，掩盖初始项是签名模糊化的必要条件；第二是在上述结构属性的基础上发 现算法在模糊性方面存在漏洞：发起人和响应者的签名信息初始项是等值关联， 这种明朗的关系导致包括响应者在内的任何掌握两组模糊签名的人能够识别初 始项，从而在发起人公布其秘密信息之前暴露了模糊签名的签名者，使签名发起 人处于劣势。第三是在前两项工作的基础上给出算法的修补方案。第四是基于修 补后的同时生效签名算法，设计了网上有形商品销售的公平支付流程，并分析支 付流程的公平性和不可否认性等安全属性。为了做好铺垫工作，在上述四个工作 之前，本文还叙述支付理论和密码技术的相关内容。 关键词：同时生效签名；环签名；模糊性 t i t l e ：r e s e a r c ho nc o n c u r r e n ts i g n a t u r e so fe l e c t r o n i cp a y m e n t m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：x u a ns h a oy i n s u p e r v i s o r ：p r o f e s s o ry i nj i a n a b s t r a c t t h ef a i m e s so fs i g n a t u r ee x c h a n g ei sa ni m p o r t a n ti s s u ei nt h ef i e l do fe l e c t r o n i c p a y m e n ta n do n l i n et r a n s a c t i o n sa sw e l la sc r y p t o g r a p h y i nt h ec o u r s eo ft h et r a d e f a i r n e s sr e f e r st ot h eh o n e s t yw h i c hr e l a t i v et oo t h e rp a r t yi sn o ta tad i s a d v a n t a g e i d e a lf a i r n e s sd u r i n gt h et r a n s a c t i o n sr e q u i r e st h a tt h eb u y e r sa n ds e l l e r sc a ng e te a c h o t h e r ss i g n a t u r eu l t i m a t e l yo rn o t t h e r ea r et h r e es c h e m e sp r e s e n t l y , t os o l v e p r o b l e m so fs i g n a t u r ef a i re x c h a n g e n l ef i r s ts c h e m ei se x c h a n g i n gt h es i g n a t u r e g r a d u a l l ya tr e a lt i m ew h i c hi sm a d eb yb o n e hi n2 0 0 0 s t e p so ft h es c h e m ea r e c o m p l e xa n dt h es c h e m er e q u i r e st h et w os i d e sh i g h l yi n t e r a c t i v eo n 1 i n e t h es e c o n d s c h e m ei st h r o u g ht h ei n t r o d u c t i o no ft h et r a d i t i o n a lt 】m s t e dt h i r dp a r t yt oe n s u r e f a i m e s sw h i c hi sm a d eb ya s o k a nn h o w e v e r , t h ec o m p l e x i t yo ft h ep r o t o c o lw i l l i n c r e a s e t h ed i s a d v a n t a g ei st h a tt h et l s t e dt h i r dp a r t yw i l lb e c o m eab o t t l e n e c ki n t r a n s a c t i o n a l s ot h es c h e m ed o e sn o tr u l eo u tt h ep o s s i b i l i t yt h a tt h et r u s t e dt h i r d p a r t yc o n s p i r e sw i t ho n eo ft h ep a r t i e si nt r a n s a c t i o n s t h et h i r ds c h e m ei st h e c o n c u r r e n ts i g n a t u r em e c h a n i s mw h i c hi sm a d eb yl i q u n c h e ni n2 0 0 4 t h es p o n s o r g r a s p st h es e c r e ti n f o r r n a t i o nw h i c hi m p a c t so nb o t hs i d e so ft h ef u z z ys i g n a t u r e a c c o r d i n gt ot h ep r o t o c 0 1 b e f o r et h es p o n s o rd i s c l o s e s t h es e c r e ti n f o r m a t i o n n o o n ek n o w st h er e l a t i o n s h i pb e t w e e nt h es i g n a t u r ea n dt h ep a r t i e s t h e yo n l yk n o wt h a t t h ef u z z ys i g n a t u r ei sf r o mt h et w op a r t i e sa tt h et r a n s a c t i o n h o w e v e r , o n c et h e s i g n a t u r es p o n s o r sr e l e a s et h es e c r e ti n f o r m a t i o n t h es i g n e di n f o r m a t i o nw o u l db e b a n dt ot h es i g n e rt oa c c o m p l i s ht h eg o a lo fc o n c u r r e n ts i g n a t u r e t h et h i r ds c h e m e a v o i d st h ew e a k n e s so ft h ef i r s tt w os c h e m e s ，a n di th a ss e v e r a la l g o r i t h m st oc a r r y o u t ad e t a i l e da n a l y s i sb a s e do nc o n c u r r e n ts i g n a t u r eh a sb e e n d o n ei nt h i sp a p e r ，a s i ss u m m a r i z e di nt h ef o l l o w i n g t h ef i r s t ：ih a v es u m m e du pt h eb a s i ca t t r i b u t e so ft h e a l g o r i t h m a n df o u n dt h a ti d e n t i f i c a t i o no fs i g n e r si nf u z z ys i g n a t u r ei n f o r m a t i o ne q u i v a l e n tt oi d e n t i f i c a t i o no ft h ei n i t i a li t e r n f r o mw h i c hac o n c l u s i o ni sm a d et h a tt h ei n i t i a li t e mc o v e r e d u pi san e c e s s a r yc o n d i t i o no ff u z z ys i g n a t u r e t h es e c o n d ：o nt h eb a s i so ft h ea b o v ep r o p e r t ym e n t i o n e d a l g o r i t h ml o o p h o l eh a sb e e nf o u n d t h ei n i t i a li t e mf o r t h es i g n a t u r ei n f o r m a t i o nw h i c hb e l o n gt ot h es p o n s o ro rr e s p o n d e n ti sa ne q u i v a l e n ta s s o c i a t i o n t h ei n i t i a li t e mw o u l db ei d e n t i f i e db ya n yp e r s o ni n c l u d i n gt h er e s p o n d e n tw h og r a s p st w of u z z ys i g n a t u r e s 。w h i c hd u et ot h i sc l e a rr e l a t i o n s h i p b e f o r e t h es p o n s o rg i v e so u tt h es e c r e ti n f o r m a t i o n f u z z ys i g n a t u r eo ft h es i g n e rw o u l db ee x p o s e d ，s oi t sd i s a d v a n t a g e o u st ot h es p o n s o r t h et h i r d ：t h ep a t c ha l g o r i t h ms c h e m ei s g i v e no nt h eb a s i so ft h ef o r m e rt w op i e c e so fw o r k 刀把f o r t h ：a c c o r d i n gt ot h ep a t c h a l g o r i t h m ，t h ed e s i g no ft h eo n 1 i n er e t a i lp a y r m e n to faf a i rp r o c e s sa n da n a l y s i so ft h ep r o c e s so fp a y m e n to faf a i r , n o n r e p u d i a t i o na n ds e c u r i t yh a v e b e e ni n d i c a t e d a p a r t f r o mt h ea b o v ef o u rp i e c e so fw o r km e n t i o n e d 。t h i sa r t i c l ea l s om a k e sad e s c r i p t i o no fd e s c r i b e st h et h e o r yo fp a y m e n ta n dt h er e l a t e dc r y p t o g r a p h yc o n t e n t k e y w o r d s ：c o n c u r r e n ts i g n a t u r e ；r i n gs i g n a t u r e ；a m b i g u i t y 论文原创性声明内容 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和集 体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期：多喇 年1 1 月日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 学位论文作者签名 毒师繇彬 日期z 筘缉t1 月1 日 日期：碲j 月 i 1 3 中山大学硕士学位论文 关于电子支付同时生效签名的研究 第一章前言 1 1 论文的研究背景 本文作者一直对电子商务的公平支付问题感兴趣。“先付款后交货”使买家 承受较大的风险，而“先交货后付款”则使卖家承受较大的风险。公平支付的实 质是签名信息的公平交换。如何实现签名信息的公平交换，这是电子支付、网上 交易乃至密码学领域的一个基本问题。l i q u nt h e n 在2 0 0 4 年的欧密会上提出同 时生效签名( c o n c u r r e n ts i g n a t u r e s ) 协议，无论是谁先签名，双方的签名信息 都是同时生效。该协议改变了签名信息公平交换的思维模式，其摆脱第三方的特 点免除了过去一些交换方式的缺点。随后出现了关于同时生效签名协议的几种实 现算法。其中，西安电子科技大学综合业务网国家重点实验室贾仁超等提出“一 种基于可验证环签名的同时生效签名 ，把关于一个签名者的可验证环签名方法 引入到交易双方两个签名的行为中，算法简明扼要，满足签名系统所要求的不可 伪造性和可鉴别性。本文作者对其算法结构进行分析，发现两组签名信息的初始 项存在等值关联，这种明朗的关联关系在特定条件下使得模糊签名过早结束模糊 期。包括签名响应者在内的掌握两组签名信息的人能够在发起人公开秘密信息之 前向其他人证明每组签名的签名者，因而构成一个能导致伤害签名发起人的模糊 性漏洞。在这种背景下本文对算法缺陷的修补及修补后的应用展开研究。 1 2 电子支付系统概述 任何市场交易活动都伴随资金的往来。交易双方的资金往来称为支付。电子 支付( e l e c t r o n i cp a y m e n t ) 是采用电子信息化手段实现的支付。随着电子信息 化技术的进步，电子支付的形态也在不断改变。上个世纪七十年代出现的信用卡 专用网支付被认为是早期的电子支付。随着九十年代i n t e r n e t 的普及应用，电 子支付逐渐采用费用更低、应用更方便的公众网i n t e r n e t 作为运行平台，因此， 今天的电子支付有时也被称为网络支付或i n t e r n e t 支付。下边是电子支付( 网络 支付) 的一个定义： 电子支付( 网络支付) 是指以金融电子化网络为基础，以商用电子化工具和各 中山大学硕士学位论文 关于电子支付同时生效签名的研究 类交易卡为媒介，采用现代计算机技术和通信技术作为手段，通过计算机网络特 别是i n t e r n e t ，以电子信息传递形式来实现的资金流通和支付 1 。 基于i n t e r n e t 与w e b 技术的电子商务，其基本运作模式是在i n t e r n e t 对每 笔交易的信息流、物流、资金流和商流实现控制和处理 1 。服务于电子商务资 金流的电子支付已经成为市场各方关注的焦点，是企业最关注的核心问题之一， 必须保证安全可靠和具有一定的支付效率。图卜1 描述了以银行网络为基础、运 行在i n t e r n e t 的电子支付基本情况。 i n t e m e t fl金融网络 l ! ! 型兰兰f - 芰藤磊。1 翌至! 空鲞 信用卡车协商呵勘li 厂吾磊t 艮务器l 兰兰竺兰ii 银行a 蘸i ii 客户开户银行b ! 支付结算业务 商家开户银行a 图1 1以金融网络为基础，运行在i n t e m e t 的电子支付示 与传统的支付方式相比较，电子支付具有以下特征： ( 1 ) 电子支付主要在开放的公众网i n t e r n e t 中，采用数字化方式在银行网给 系统的支持下完成款项支付结算。 ( 2 ) 电子支付具有方便、快捷、高效、经济的优势。既方便了客户，又提高 了商家资金运作效率，也方便了银行的处理。 ( 3 ) 电子支付具有轻便性和低成本性。由于电子信息系统的建立和维护开销 都很小，且i n t e r n e t 的应用费用很低，接入非常简便，使得普通消费者与小公 司也有机会使用网络支付系统，无论小公司还是大企业都可从中受益。 ( 4 ) 电子支付可以提高开展电子商务的企业资金管理水平。银行和商家在服 务器平台上开展网络营销提高商业效益。在企业网上通过信息化管理系统对客户 关系管理、供应联管理与内部业务实现无缝连接。 ( 5 ) 银行提供网络支付结算的支持使客户的满意度与忠诚度上升，这为银行 与商家实现良好的客户关系管理提供了支持。 2 中山大学硕士学位论文关于电子支付同时生效签名的研究 ( 6 ) 电子支付与结算具有较高的安全性和一致性。支付的安全性是保护买卖 双方不会被非法支付和抵赖，一致性是保护买卖双方不被冒名顶替。运用现代加 密与认证技术，比传统的支付结算安全可靠。但运行机理和支撑环境的高科技性 质使电子支付的安全性和公平性面临着许多急待解决的问题。 电子支付按支付方式可分为四大类 2 ：电子现金，信用卡，电子钱包和电 子支票。 1 电子现金 电子现金是一种以数据形式存在的现金货币。它把现金数值转换成为一系列 的加密序列数，通过这些序列数来表示现实中的各种金额的币值。用户在开展电 子现金业务的银行开设账户并在账户存钱后，就可以在接受电子现金的商店购 物。e - c a s h 就是电子现金的一种实例。它是由d i g i c a s h 公司研制的，是一种 在线的软件解决方案。 ( 1 ) 电子现金的支付过程 顾客用现金或存款申请兑换e c a s h 现金，银行对其使用的电子现金进行 “盲签名”来实现电子现金的完全匿名，客户用授权的e - c a s h 现金进行支付， 电子现金便通过网络转移到商户，商户联机向e - c a s h 银行验证真伪以及是否被 重复使用过，商家将收到的e - c a s h 现金向银行申请兑付，e - c a s h 银行收回 e - c a s h 现金，保留其序列号备查，再将等值的货币存入商家的银行账户。 ( 2 ) 电子现金存在的问题 e - c a s h 在当前还存在不少问题：首先，只有少数商家接受电子现金，而且 只有少数几家银行提供电子现金开户服务；其次，e - c a s h 对于硬件和软件的技 术要求都较高，需要一个大型的数据库存储用户完成的交易和e - c a s h 序列号以 防止重复消费，因而成本较高；第三，由于电子货币仍以传统的货币体系为基础， 因此从事跨国贸易就必须要使用特殊的兑换软件；第四，如果某个用户的硬盘损 坏，电子现金丢失，钱就无法恢复，这个风险使许多消费者都不愿承担。经管存 在种种问题，电子现金的使用仍呈现增长势头。因此，随着较为安全可行的电子 现金解决方案的出台，电子现金一定会像商家和银行界预言的那样，成为未来的 网上贸易方便的交易手段。 孛垂大学矮学位论文 关予逛子支付同时生效签名的研究 2 信焉卡 信用卡是种主要的，使耀最广泛的银行卡。信用卡与其它银行卡的一个主 要差别在于：信用卡不仅是一种支付工具，同时也是一种信用工具。使用信用卡 可以透支消费，给用户带来了方便，但也给银行带来了恶意透支的问题。目前， 信用卡的支付主要有四种类型：无安全措施的信用卡支付，通过第三方代理人的 支付，简单信用卡加密，s e t 信用卡方式。 3 电子钱包 电子钱包是电子商务活动中顾客购物常用的一种支付工具，是在小额购物或 购买小产品时常用的新式钱包。网上赡物使用电子钱包需要在电子钱包服务系统 中进行。电子商务活动中电子钱包软件通常都是免费提供的。用户可以直接使用 与囱己银行账号相连接的电子商务系统服务器上的电子钱包软件，也可以通过各 种保密方式利用互联网上的电子钱包软件。目前世界上有v i s a ，c a s h 和m o n d e x 等电子钱包服务系统。 使用电子钱包的顾客通常要在有关银行开立账户。在使用电子钱包时，将电 子钱包通过电子钱包应焉软件安装到电子商务服务器上，利用电子钱包服务系统 就可以把自己赡各种电子货币或电子金融卡的数据输入进去。在发生收付款时， 如顾客需用电子信用卡付款，顾客只要单击一下相应图标就可完成。这种电子支 付方式也成为单击或点击支付方式。 在电子钱包内只能装电子货币，即装入电子现金，电子零钱，安全零钱，电 子信用卡，在线货币，数字货币等。这些电子支付工具都可以支持单击支付方式。 4 。电子支票 电子支票是以种纸质支票的电子替代品两存在的，用来吸引不想使用现 金，而宁可使媚信用方式的个人和公司。电子支票仿真纸面支票，不过是用电子 方式启动，使用电子签名做背书，而且使用数字证书来验证付款者，付款银行和 银行帐号。电子支票的安全认证工作是由公开密钥算法的电子签名来完成的。 n e t c h e q u e 是由南加州大学的信息科学研究院开发的面向支票结算的支付 系统，它使用传统的支票处理方法，在互联网上得j 以实现。n e t c h e q u e 系统中除 客户，商家与银行外还引入7 第三方l ( e r b e r o s 服务器来提供客户签发支票 的信用攮保缀务，并与银行合l 乍完成整个支付过程。 n e t c h e q u e 业务流程如下： 4 中山大学硕士学位论文关于电子支付同时生效签名的研究 ( 1 ) 客户签发支票：首先生成支票明文部分，然后从k e r b e r o s 服务器获 得一个标签t c ，得以证明服务器对这张支票的信用授权。客户在用t c 向开户 行证明身份，并获得加密证明文件a c ，明文+ t c + a c 构成一张完整的电子支票。 ( 2 ) 支票通过公开网络传给商家。 ( 3 ) 商家收到支票后，根据t c 和a c 验证客户的身份以及信用，再对明 文部分进行背书，加上商家的名称，背书时间等。 ( 4 ) 背书后支票传给商家的开户行，开户行通过验证确认是否接受支票， 并通知商家。 1 3 电子支付的同时生效签名机制 由于“一手交钱，一手交货”的传统交易方式在网络环境难以实现，因而“先 付款后交货，还是先交货后付款”及相关问题一直是商业谈判的重要议题，也是 安全交易领域的重要研究课题。无论是在诚信还是在博弈方面，先交的一方承担 着较大的风险，交易协议的公平性和交易行为的不可否认性是这个研究课题的核 心问题。基于i n t e r n e t 的支付公平性问题的关键是签名信息的公平交换。 签名信息的公平交换问题先后已有三种解决方案。第一种方案是b o n e h 于 2 0 0 0 年提出的实时逐步交换签名 2 7 ，这种方案需要复杂的步骤并要求双方具 有很强的在线交互性。第二种方案是a s o k a nn 等提出的可信任第三方公平性保 证机制 2 8 ，虽然解决了第一种方案的困难，但也带有协议复杂和第三方成为交 易瓶颈的缺点，特别地，存在第三方与某个交易方发生共谋的问题。第三种方案 是陈立群等学者于2 0 0 4 年提出的同时生效签名概念 2 9 ，交易双方中的签名发 起人随机产生一个秘密信息，其值影响双方模糊签名的计算过程。在发起人公开 这个秘密信息之前，任何人能且只能验证每组模糊签名是由两个交易主体产生， 但无法确定签名者。一旦签名发起人公开秘密信息，两组签名信息即与签名者就 绑定起来，达到先后产生的两份签名同时生效的目的。第三种方案避免了前两种 方案的弱点，无论是买家先签发对银行的付款命令，还是卖家先签发提交给客户 的提货单，在签名活动发起人公布秘密信息之前，两个签名都是无效的，仅当发 起人公布其秘密信息，两个签名才同时发生效力。因而降低或消除了先签名者所 承担的风险。这样看来，第三种方案可能是目前较为为理想的方案之一。 孛出大学琰学位论文美予电子支付同时廷效签名兹研究 交易行为不可否认性的关键是在协议过程中产生让对方或第三方掌握的电 子证据，这种瞧子证据能证明交易行为的发生且获褥法律承认。如果某个参与者 由于否认他的行为丽造成对方利益的损失，对方可以拿出电子证据向权威机构请 求仲裁。相对于不可否认性，交易公平性具有更为丰富的内涵。n s o k a n 定义的 公平性是指诚实的参与者相对其它参与者不处于劣势 9 。这个定义可能会产生 各种不同的量化机制。同时生效签名机制只是公平签名的一个量化机制。目前这 个机制已经出现几种算法 3 3 - 3 6 。 l 。4 论文主要成果和内容安排 同时生效签名是安全签名交换的新体制，其旦的是在无第三方支持下解决因 签名先后带来的交易不公平问题。这种新体制由于不需要交易双方实时交互，不 需要引入第三方，因而引起注意。文 3 3 把可鉴别环签名思想弓i 入到同时生效签 名体制中，建立了这个新体制的实现算法。为了叙述方便，本文把其实现算法简 称为j k l 算法。本文的研究工作是继续发展j k l 算法。主要成果是： 1 分析出j k l 算法结构特征，整p 签名信息中初始项与签名者对方的对应关 系，以及两组签名信息之间的初始项等毽关联； 2 。基于结构特征发现j k l 算法的模糊性漏洞，即在签名发起人公布秘密信息 之前，掌握两组签名信息的任何人均能鉴别签名者，使签名模糊性失去，由于签 名响应者正好掌握两组签名信息，使发起人在交易中处于劣势； 3 建立对j k l 算法模糊性漏洞的一个修补方案，即对两组签名信息之间的初 始项关联施加傈护，使任何人在发起人公布秘密信息之前无法识别签名信息的初 始项； 4 提出基于同时生效签名的公平网络零售业务流程，该业务流程满足安全电 子支付协议所要求的公平性和不可否认性，满足电子商务协议设计的原予性，即 资金原子性、产品原子性和确认发送原子性。 本文内容安排如下： 前圈章是与本文研究成果有关的基本知识，包括第一章绪论对电子支付系统 的概述、第二章对电子支付系统安全技术的筒述、第三章对电子支付协议的介绍、 6 中山大学硕士学位论文关于电子支付同时生效签名的研究 第四章对公平性和不可否认性的叙述。 第五章是本文对同时生效签名机制的研究工作。第一节介绍签名信息公平交 换的发展，第二节介绍与本文研究目标相关的环签名，在这个基础上在第三节报 告本文在基于可验证环的同时生效签名的研究工作，其中第一小节叙述j k l 算 法，第- d , 节是本文对其分析得出的算法结构特征，第三小节根据结构特征指出 j k l 算法的模糊性漏洞并分析其潜在的威胁，第四小节是基于漏洞的产生原因提 出一个修补方案。 第六章是本文提出的应用同时生效签名协议的有形商品网络销售业务流程， 其中签名协议采用本文对j k l 算法的修补方案。对业务流程协议的公平性、不可 否认性、机密性、电子商务协议设计的原子性、产品内容保护和隐私保护进行了 分析。 7 孛囊大学颞士学使论文关予电子支付霜时生效签名豹研究 第二章电子支付系统中的安全技术 电子支付安全技术的基础是现代密码学。支付协议的实现系统是密码算法的 集合。本章首先叙述与电子支付有关的密码学概念和方法，然后介绍电予支付系 统的安全需求和电子商务协议的一般设计原则，为盾文本人在支付公平性方面的 研究工作做好铺垫。 2 1 密码学的基础知识 本节叙述与电子支付公平性有关的密码学概念和方法。支付的公平性是建立 在信息安全的基础上的。安全性主要是指：信息不被窃取、伪造和篡改；信息发 送者的身份确认；防止收发双方的抵赖行为等。密码学作为最有效的核心技术在 保护信息的保密性、完整性和认证性等方面发挥着关键作用 3 】。 密码学是关于信息系统安全的一门科学。它包括两个分支流：密码编码学 ( c r y p t o g r a p h y ) 和密码分析学( c r y p t a n a l y s i s ) 4 。前者的耳的是通过对信息编 码实现信息隐藏和认证；后者研究破译密码的分析方法。两者互相对立，而又互 相促进向前发展。 变换消息是密码技术的基本操作，变换算法称为密码算法。为了使变换有多 种交化以迷惑敌手，往往需要一些参数影响着变换，这些参数称为密钥。在密钥 的参与绍用下，把有意义的明文变换为无意义的密文的变换称为加密算法，其逆 交换称为解密算法。著交换在密钥的作用下把消息变换为一种“证据”，耀来说 明某个实体对消息内容的认可，则称变换为签名算法，相应的逆变换称为验证算 法。密码算法有公开和保密两类，密钥也有公开和保密两类。 2 1 1 密码体制及其分类 现代密码学允许算法公开。密文安全性完全依赖予对密钥的保密。为了完整 地播述一个密码算法，需要明确定义明文集合、密文集合、密钥集合、消息变换 和反变换这五个要素。这五个要素的集合称为密码体制。根据加密密钥和解密密 钥是否相同可将密码体制分成两大类：对称密码体制( 或称为单密钥密码体制) 和非对称密码体制( 或称双密钥密码体制) 。 8 中山大学硕士学位论文 关于电子支付同时生效签名的研究 1 对称密钥密码体制( s y m m e t r i cc r y p t o g r a p h y ) 对称密钥密码体制又称为单密钥密码体制，加密密钥和解密密钥大多数情况 下是相同的，但也有情况是能简单地互相推算。 对称密钥密码体制的工作流程如图2 1 所示： 明 文 m 图2 - 1 对称密码体制的工作流程示意图 明 文 m 双方在安全通信之前必须商定一个密钥。任何获得密钥的人都能对消息进行 加密和解密。对称密码体制的优点是保密强度高，处理速度快。缺点是密钥的保 管和分发的难度较高，以及难于实现数字签名。常用的对称密码算法有d e s 、 t r i p l ed e s 、a e s 、b l o w f i s h 和r c 4 等。 2 非对称密钥密码体制( a s y m m e t r i cc r y p t o g r a p h ) 非对称密钥密码体制是由d l i f f i l e 和h e l l m a n 于1 9 7 6 年提出的一种新型密 码体制。这种体制现在有时候也称为公开密钥密码体制和双密钥密码体制。每个 用户有两个不同的密钥，一个保密，称为私钥；另一个公开，称为公钥。由公钥 计算私钥是困难的。用任何一个密钥加密，可用另一个密钥解密。该密码体制的 优点是密钥的管理与分发较为简单，且具有数字签名和身份认证的功能。若用公 钥加密和私钥解密，可实现不必事先协商密钥的保密通信( 图2 2 ) 。若用私钥加 密和公钥解密，可实现数字签名( 图2 3 ) 。体制的缺点是算法速度慢。 著名的公钥密码体制包括：r s a 、d i f f i e h e l l m a n 、d s a 和椭圆曲线密码算 法等。公钥密码体制的安全性基础主要是数学中的困难问题。例如，r s a 体制是 基于大数因子分解问题，e i g a m a l 体制是基于离散对数问题。 接收者公钥接收者私钥 上上 明文1 公钥体制加密卜_ = = 二一公钥体制解密l 明吝 叫l密文lp 图2 - 2 利用公钥体制实现不必协商密钥的保密通信 9 孛山大学琰士学霞论文关予毫子支传溺时生效签名熬磷究 发送者私钥 密文 - 发送者公钥 图2 3 利用公钥体制实现对传递文档的数字签名 下面是公钥密码体制的两个著名的实现算法。 1 ) r s a 公钥体制 参数：选择大素数p 与q 保密；公开n = p q ： 求( r 1 ) = ( p 1 ) ( q 1 ) 并保密； 求满足条件( e ，( p ( r 1 ) ) = 1 的e 并作为公开的加密密钥； 求满足d e = lm o d ( p ( r 1 ) 的d 作为解密密钥并保密。 其中( p ( n ) 是 1 n 中与n 互素的元素数目，称为欧拉函数。 欧拉函数具有性质： ( 1 ) 若n l 和n ：互素，则o ( n t n 。) = 9 ( 羚t ) 9 ( 秘。) ； ( 2 ) 若珏与m 互素，则蚴- 1m o dn ； ( 3 ) 若p 为素数，则( p ) = p l 。 公钥：e ，n ；私钥：d 对任意明文m ( 要求小于加密模式n ) ， 加密过程：c = e ( m ) = m 8m o dn ，即对明文m 用公开密钥e 加密为c 。 解密过程：m = d ( c ) = c m o dn ，即对密文c 用保密钥d 解密为m 。 解密正确性的理论证明： d ( c ) - _ c d - _ _ m d 。：m k ( p 抽p 1m o dn # 以下证明d ( c ) = m 。 情况1 设( m ，n ) = 1 ，由欧拉函数性质，m o p ( r 1 ) 黧1m o dn ，故d ( c ) = m 。 情况2 设( i n ，r 1 ) l ，因n = p q ，故最大公约数( m ，n ) 必含p 或q ，不妨设为p 。 由于规定m n ，所以( m ，n ) 不能同时含p 和q ，故令( m ，n ) = p 并写成m = c p ，l c q 由欧拉瑟数性质，矿摊- 1m o dq ，故对往何k 总有疗妒玲警趣= - im o dq 。又因 9 ( 羚) = ( p 一圭) ( q - 1 ) ：( p 一圭) 9 ( 遥) ，故上式可表示为一鲫- 1m o dq ，从而i l l n - 1 = a q ， a 是某个整数。最后，在式子两边乘以m = c p ，碍到一“h 1 一萨( a q ) ( c p ) = ( a c ) n ， 亦即d ( c ) ：m k p + 1 - - - - i l lm o dn 证毕。 1 0 中山大学硕士学位论文关于电子支付同时生效签名的研究 r s a 体制的安全性基于以下计算上的困难性：当n 比较大时， 对公开的n 难于分解因子n = p q 。难于计算n 的欧拉函数q ( n ) 。 由公钥e 难于计算私钥d 。由密文c 难于计算明文m 。 目前要使r s a 体制成为安全体制，p 和q 均为5 1 2 位，那么n 就是1 0 2 4 比 特的模数。分解这样长度的整数就大大超出了现有的分解因子算法的能力。 2 ) e 1 g a m a l 公钥体制 参数：谨慎选择素数p ，仅是模p 的本原元素。 每个用户秘密选定整数d p ，公开p = 0 c 8m o dp 。 公钥：( p ，仅，d ) ，私钥：d 设h l i c e 要向b o b 作保密通信，明文是m e 0 ，p - 1 。 她查得b o b 的公钥e = ( p ，仪，p ) 。 随机取整数k 0 ，p 一1 。 加密计算：对任意明文i l l e 0 ，p 1 。随机取整数k e 0 ，p 一1 。 密文为( c 1 ，c 2 ) ，其中c l = 。m o dp ，c 2 = m 3 。m o dp 。 解密计算：c 2 ( c 1 8 ) 。1m o dp = m p 。( c 1 8 ) 。1m o dp 2 m0 【8 。( c 1 8 ) 一1m o dp 2mc 1 。( c l o ) 一1 m o dp = i l l 离散对数问题还未出现多项式时间算法。为防止己知的攻击，素数p 的十进 制位数大于3 0 0 ，并且p - 1 含有较大的素因子。 2 1 2 数字信封 数字信封是对称密码与非对称密码的混合体制。用随机产生的对称密钥加密 报文，用对方公钥加密对称密钥，然后把报文的密文和密钥的密文一起传给对方。 这种算法结构既利用了对称密钥加密算法的快速优点，也发挥了非对称密钥密码 算法能实现不必协商密钥就能实现保密通信的优越性能。算法见图2 - 4 。 收方公 随机 密钥 报文m 发送方 、厂j 接收方 图2 4 数字信封技术 1 l 孛灰大学磺学位论文关子电子支付曩孵生效签名酶璎究 例如，用户矗要把报文m 加密传送给用户8 ，数字信封步骤如下： 王。a 随机产生对称密钥k ； 2 a 用k 加密报文m ； 3 a 用对方b 的公钥加密k ； 4 a 把m 的密文和k 的密文发给b ； 5 b 用融己的私钥还原k ； 6 。b 用k 还原m 。 2 。1 3 数字签名( d i g i t a ls i g n a t u r e ) 数字签名是指绑定消息和签发人的密码体制，在电子支付、网络交易以及现 代密码学应用的多个领域有广泛的应用。其实现依赖公钥密码算法。签名体制包 括签名和验证两个部分。签名使用签名者私钥，验证使用签名者公钥，任何人均 可验证签名信息。基本算法是签名者使用私钥加密报文，把明文和密文一起发送。 验证者用签名者公钥对密文解密，把结果与明文比较，如果致，可以确定： l 。消息确实由掌握签名密钥的人形成，即保证认证性，使其他人无法冒认； 同时也使签名人事后不能否认签名行为，即保证不可否认性。不可否认协议中均 用对消息或确认的数字签名作为发送和接收该消息的不可否认证据。 2 报文未被篡改，即保证完整性，任何人包括接收方无法篡改报文而不留下痕 迹。 电子支付系统实现数字签名的常用算法有r s a 、r a b i n 、e i g a m a l 、s c h n o r r 、 d s s 和g o s t 等公钥签名体制。 小报文签名可直接用私钥加密报文，见圈2 5 。 摄文 签名者私钥 图2 - 5短报文签名 1 2 签名者公钥 中山大学硕士学位论文荚于电子支付同时生效签名的研究 对于大报文，为了提高速度，先用h a s h 函数生成报文的摘要，然后用私钥 加密摘要，把报文连同摘要密文发出。验证者先用签名者公钥还原摘要，用h a s h 涵数生成报文摘要，对照两个摘要，确定签名真伪。见图2 - 6 。关于h a s h 函数， 留在下一小节介绍。 了 撤瞰 7 l h a s h l 摘要 公钥 密码 系统报文摘要密文 签名者私锈 圈2 - 6长报文签名 报文 签名者公钥 2 圭4 淞s h 函数 h a s h 丞数又称为散列函数，其基本功能是把任意= 迸制数据以较高的效率 映射为固定长度的输出数据( 称为散列僮或摭要) 。在应用上一般是公开的。设消 息为m ，散列值为h ，则h a s h 函数表示为h = h ( m ) 。为了达到应用上的安全性， h a s h 函数应该至少满足以下要求 5 ： 1 输入数据的长度可以是任意的； 2 输出数据的长度是固定的； 3 函数计算是相对容易的； 4 反函数计算是困难鲶( 称为h a s h 函数的单商性或原像稳露性) ； 5 给定m ，寻找m ，满足h ( 囝= h ( m 1 ) 是困难的( 称为弱抗冲突性或第二原像稳固) ； 6 寻找m ，和m 2 使满足h ( m ，) = h ( m z ) 是困难的( 称为强抗冲突性或碰撞稳固) ； 7 消息m 每一比特的改变，对应的散列值必有明显的变化。 h a s h 函数在电子支付乃至现代密码学中有广泛的应用 3 7 。除了应用于完 整性验证之外，在签名技术中，利用h a s h 函数可以把对长报文的签名简化为对 箕摘要的签名。在电子交易中常用于构造不可否认的证据。随着新应用需求的产 生，戡现了结构更为复杂化的h a s h 函数，例如带陷f 了的变色龙h a s h 蘧数 3 8 。 1 3 孛山大学颈学链论文关予逛予支键屈野生效签名兹研究 2 薹。5 数字证书( d i g i t a lc e r t i f i c a t e ，d i g i t a li d ) 数字涯书是网络通信中标志通信各方身份的一组数据，用于证实一个用户的 身份和对网络资源的访问权限，广泛用于电子商务的各个环节。例如通过交换数 字证书并用其标识身份的公开密钥影响交易操作的过程，交易者就不必担心对方 身份的真实性。数字证书是用户向基于i