（计算机软件与理论专业论文）一种新的小额支付协议multipay的研究与设计.pdf

中山大学硕士学位论史 种新的小额支伺协议m u l t i p a y 的研究与设计 一种新的小额支付协议m u l t i p a y 的研究与设计 专业：计算机软件与理论 硕士生：赵博宇 指导教师：龙冬阳 摘要 随着i n t e r n e t 技术的快速发展与普及，电子商务正以其自身高效、低成本的 优势，逐步成为新兴的经营模式，其涉及的领域从银行、外贸、证券市场到贴近 我们每个人的日常购物。由于电子商务具有的便利性与开放性以及不断大幅增长 的上网人数，特别是在全球经济联系日益紧密的二卜一世纪，电子商务具有非常 广阔的发展前景。而电子支付是电子商务活动实现的关键。 就现行发展的电子支付系统来看，依支付金额的大小，可分为宏支付系统和 小额支付系统两种。宏支付系统处理的交易金额较为庞大，需要较强的密码安全 机制作为交易资料的保护及身份认证，因此需要付出较大的交易处理成本。但是 在网络上，除了有形的实体商品之外，无形的信息商品也占据了电子交易中相当 大的一部分，这些商品的价值一般都很低，因此无法承受大额支付系统带来的高 交易成本。小额支付系统由此产生。 在本论文中，我们首先介绍了研究的出发点和小额支付系统在国内外的研究 现状，以及相关的理论支持。然后较为详细的描述了目前流行的几种小额支付协 议及其特点。对其中的两个典型的小额支付协议：p a y w o r d 和m i l t i c e n t 进行了 深入的分析。因为我们新协议的设计思路主要来源于这两种协议中的一些设计理 念：支付方式与m i l l i c e n t 相似，即都是采用预先支付的方式；交易的整个流程则基 于p a y w o r d 系统的构架。总的来说，可以看作是对p a y w o r d 协议的一种改进方 案。接下来就是对我们提出的新协议m u l t i p a y 的完整描述。该协议的特色在于： 能够在兼具安全性与效率性的基础上实现了一条h a s h 链与多个商家进行交易。 这是大多数基于p a y w o r d 的小额支付方案所不具备的。但协议的通讯量会相对 较大。最后，我们将m u l t i p a y 与几种典型的小额支付协议进行对比分析，包括 分析其系统特征、理想化特性、安全特性以及多方交易性等。 关键词：小额支付、p a y w o r d 、m i l l i c e n t 、电子商务、电子支付 中山大学硕士学位论文种新的小额支付协议m u l t i p a y 的研究与殴计 r e s e a r c ha n dd e s i g no no n en e wm i c r o - p a y m e n t p r o t o c o l - - m u l t i p a y m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：b o y uz h a o s u p e r v i s o r ：d o n g y a n gl o n g a b s t r a c t a st h ei n t e r n e ts p r e a d sw i d e l ya n dr a p i d l yi nr e c e n t l yy e a r s ，e l e c t r o n i c c o m m e r c ew i t ht h ea d v a n t a g eo fh i g h e f f i c i e n c ya n dl o wc o s tb e c o m e st h er i s i n g m a n a g e m e n tm o d e ls t e pb ys t e p 。i ti si n v o l v e di nt h eb a n k ，t h ef o r e i g nt r a d e ，a n dt h e s e c u r i t i e sb u s i n e s se v e ni no u rd a l l ys h o p p i n g t h eh u g ep o p u l a t i o na n dt h e c o n v e n i e n c eo fi t so p e na r c h i t e c t u r em a k et h ei n t e m e tap r o m i s i n gm a r k e t p l a c e ， e s p e c i a l l yi n2 1 s tc e n t u r yw h i c h t h eg l o b a lc o n t a c tb e c o m e sc l o s e ra n dc l o s e r , w h i c h i nt u r nc a u s e st h ef a b u l o u sd e v e l o p m e n to fe l e c t r o u i cc o m m e r c e h o w e v e re l e c t r o n i c p a y m e n ti st h ek e yf a c t o rf o ri m p l e m e n t i n ge l e c t r o n i cc o m m e r c ea c t i v i t i e s t h e r ea r et w om a j o rc a t e g o r i e so fc u r r e n t l ya d o p t e de l e c t r o n i cp a y m e n ts y s t e m s + a c c o r d i n gt ot h ea m o u n to fm o n e yd e a l tw i t h ，e x i s t i n gs y s t e m sc a nb ed i v i d e di n t o m a c r o p a y m e n t a n d m i c r o p a y m e n ts y s t e m s i nm a c r o p a y m e n ts y s t e m s ，m o r e o v e r h e a d si si n t r o d u c e db yc o m p l i c a t e ds e c u r i t ym e c h a n i s m ss u c ha sd a t ae n c r y p t i o n a n da u t h e n t i c a t i o np r o c e d u r e st op r o t e c tt h eh i g h e rv a l u e dt r m l s a c t i o nd a t a f o r s u b s t a n t i a lm e r c h a n d i s e st h a tn e e d 的b ed e l i v e r e d t h e s ea d d i t i o n a lc o s t sm a yb e i n c l u d e da n dh i d d e ni nt h er e l a t i v e l ye x p e n s i v ep a c k a g i n ga n ds h i p p i n gf e e s n e v e r t h e l e s s ，t h i si sn o tt h ec a s ef o rl o w p r i c e dp r o d u c t ss u c ha si n f o r m a t i o ns e r v i c e s ， w h i c hc a nb ed i s t r i b u t e da ta l m o s tz e r oc o s t i nt h et h e s i s ，w ef i r s t l ys k e t c ht h eo r i g i no fo u rr e s e a r c ha n dt h ec u r r e n t d e v e l o p m e n to nm i c r o p a y m e n ts t a t u sa th o m e l a n da n da b r o a d ，i n t r o d u c em e a n i n go f t h ep a p e ra n ds o m et h e o r ys u p p o r tt oi t + f o l l o w i n g ，w ea n a l y z et h ec h a r a c t e r i s t i c so f t h ec u r r e n tm i c r o p a y m e n tp r o t o c o l s ，e s p e c i a l l yt ot h em i l l i c e u tm i c r o p a y m e n ta n d t h ep a y w o r dm i c r o p a y m e n t - - t w ot y p i c a lm i c r o p a y m e n tp r o t o c o l s t h ep a y m e n t w a yo ft h en e wp r o t o c o li ss i m i l a rt ot h em i l l i c e n tw h i l et h ep r o c e d u r eo ft h et r a d ei s s i m i l a rt ot h ep a y w o r d g e n e r a l l ys p e a k i n g ，t h es c h e m ec a nb er e g a r d e da sa i m p r o v e ds y s t e mo fp a y w o r d t h e nw ew i l ld e s c r i b et h en e wp r o t o c o l - - m u l t i p a yi n 珏 中山大学硕士学位论文 种新的小额支付协议m u l t i p a y 的研究与设计 d e t a i lw h i c hc a nt r a d ew i t hd i f f e r e n tv e n d o r sw i t ho n l yo n eh a s hc h a i n t h e c h a r a c t e r i s t i c si so w n e db yo u r s e l v e sa n df e wo fm i c r o p a y m e n t sc a ns a t i s f yw i t hi t l a s t l yw ew i l lc o n t r a s tt h en e wp r o t o c o lw i t ho t h e rt y p i c a lm i c r o - p a y m e n ts c h e m e s o ns y s t e mt y p i f i c a t i o n 、d e s i r a b l ed e m a n d s 、s e c u r i t ya n a l y s i sa n dm u l t i p l ev e n d o r t r a d i n g k e y w o r d ：m i c r o p a y m e n t 、p a y w o r d 、m i l l i c e n t 、e l e c t r o n i cc o m m e r c e 、e l e c t r o n i c p a y m e n t i h 中山大学硕士学位论文 一种新的小额支付咖议m u l t i p a y 的研究与设汁 第1 章前言 随着i n t e r n e t 技术的快速发展与普及，电子商务( e c o m m e r c e ) 正以其自身 高效、低成本的优势，逐步成为新兴的经营模式，其涉及的领域从银行、外贸、 证券市场到贴近我们每个人的日常购物，具有非常广阔的发展前景。 1 i 电子支付 电子支付是电子商务的重要组成部分，是电子商务快速发展的重要保障之 一，没有电子支付的商务不是真正的电子商务。接下来，我们将介绍有关电子支 付的有关概念。 1 1 1 电子支付的概念及特征 所谓电子支付，指的是电子交易的当事人，包括消费者、厂商和金融机构， 使蠲安全逛子支付手段逮过嬲终遘孳亍的货萃支 李或瀣金瀛转。与传统熬支 寸方式 相比，电子支付具有以下特征： 电子支付是采丽先进的技术邋过数字流转宋完成信息传输的，其各种支 付方式都是采用数字他的方式进行款项支付的；丽传统的支付方式则是 通过现金的流转、票据的转让及银行的汇兑等物瑗实体的流转辩乏完成簸 顼支 寸的。 电子支付的工作环境魑基于一个开放的系统平台( 即因特网) 之中；而 传统支付瓣是表较为封耀羲系统中运作。 电子支付使用的是最先进的通信手段，如i n t e r n e t 、e x t r a n e t ：而传统支 付往用的刚是传统的通信媒介。电予支付对软、硬件设施的要求很高， 一般要求霄联网的微机、提关的软件及其它些配套设藏；面传统支付 则没有这么高的厦求。 电予支劈爨存方便，狡捷、嵩效、经济黪钱势。爝户只鬻据有一台上霹 的p c 机，便可足不出户，在很短的时间内完成憋个支付过程。支付费 雳仅福当予传统支付的凡+ 分之一，甚至凡百分之一。 1 1 。2 电子支付系统的体系结构 按照实体来划分，电子支付系统主要包括以下几个部分： o 客户 o 齑家 可倍第三方( 主要是权威中心) l _ 山大学硕士学位论文 种新的小额支付协议m u l t i p a y 的研究与设计 客尸银行 商家银行( 有时候客户银行与商家银行可能是同一银行) 1 1 3 电子支付的方式 1 ) 基于信用卡 信用卡支付是电子支付中最常用的工具，信用卡可在商场、饭店、车站等许 多场所使用。可采用刷 记帐、p o s 结帐、a t m 提取现金等方式进行支付。 电子信用卡系统的主要参与方：具有w e b 浏览器的客户，提供服务的商家， 处理信用卡的银行。如图l - 1 所示。 圈l l 2 ) 基于电子支票 电子支票楚阏络银行常稻静释窀予支付工兵。它的作瑙与纸质支票翡作雳 大同小异，不同之处在于，它将传统支票改变为带有数字签名的电子报文，或利 用其他数字电文代替传统支票的全部信患。 电子支票魄主要参与方：客户、藏家、窖户银行、囊家锼行以及票据交易题 ( 主要作用是在不同的银行间处理票据，可以由银行承担该项工作) 毫予支票豹交豢过程分鸯三个泠段： 支付阶段：客户利用电子支票购买商品阶段； 清算阶疆：交易完成后，齑家把电子支浆发送给商家银行； 兑换阶段：巅家银行和客户银行兑换电子支票。 交易流程如图1 2 所示 3 ) 基于魄子瑗众 电子现金是以电子化数字形式存在的现金货币，它把现金数值转换成一系列 麴菸蜜序列数，透过痔列数寒表示囊实孛黪货蘑。 中山大学硕士学位论史种新的小额支付协议m u l t i p a y 的研究与设计 客户银行 商家银行 图1 - 2 电子现金系统的主要参与方：客户、商家及银行。各方对电子现金有不同的 要求：客户要求奄予理盒方便灵活；巍家要求电子现金具有高度瓣可嚣性，接受 的电子现金必须能兑换成真实的货币；银行要求电予现金不能被非法使用、不能 被氆造。翔图l 一3 掰示 鬟嚣 潮1 1 3 1 1 4 电子支付系统的分类 电子支 寸可分为基予身徐箱匿名的两六炎。基于身份瀚电子支讨允许恢复取 钱者的身份，从而跟踪其经济状况。匿名的电子支付不允许这样的跟踪。 按能否提供及时的嗣络验证，电子支付又可分为在线的和离线的验证方式。 中山大学硕士学位论文 种新的小额支付协议m u l t i p a y 的研究与设计 在线系统的每次交易过程都要求与第三方( 如银行) 进行在线通信，用第三方的 数据来校验对方提供的信息是否正确，包括授权、认证。由于在线系统中和第三 方的通信增加了系统的开销和处理时间，因此可能成为性能的瓶颈。无需第三方 介入交易的系统即为离线系统。由于无需在每次交易时部与第三方通信，其系统 开销比在线系统要少。 根据支付金额的数目，可将电子支付系统分为大额支付系统与小额支付系统 两种。大额的支付系统因为处理的交易金额比较大，需要更强的安全机制( 0 n s s l 与s e t ) 来保护交易资料以及身份认证。目前大额支付主要采用公钥算法进行认 证和加密。0 n d i g i c a s h 的e c a s h 和i b m 的i k p 。除了采用公钥算法，大额支付方案 采用在线的代理( 如银行) ，用以在商家接受支付之前检测客户的多次支付。例 如，e c a s h 要求客户和商家的代理在线校验整个交易，交易的处理成本很高。 网络上同时存在着一些付款金额比较低的情形，比如下载软件、电子杂志的 服务、以及下载手机铃声等，由于这些信息产品的付款金额都很低，如几分钱、 几角钱或者几元钱，使用上述的大额的支付系统已不太适合。s c h m i d t 和m u 【l e r 认为小额支付就是指的大概每笔交易在几美分到一美元之间的金额。这种支付机 制有其特殊的系统要求，即在满足一定安全性的前提下，要求有尽量少的信息传 输、较低的管理和存储要求，即速度和效率要求比较高。与大额支付方案比较， 小额支付采用单向无碰撞h a s h 函数并尽量减少公钥运算次数，因此所需的计算量 要小得多。据估计h a s h 校验签名的速度大约是r s a 的1 0 0 倍，产生签名的速度大 约是r s a 的1 0 ，0 0 0 倍。除了采用h a s h 函数，小额支付尽量避免采用代理在线校 验的方法。这就减少了代理的在线处理时间和存储要求。小额支付方案的安全性 要求相对较低，如果一个攻击者进行伪造所需的开销比其实际得到的利益还高， 则可认为该协议是安全的。 总之 ，j 、颥支付与大霰支付桶主要区溺在于：丈额支付更注重数搽的真实往帮 保密性，因此需要更高强度的密码算法和在线处理；而小额支付主要提供青效的 安全性，用于满足安全需求的时间开销与存储要求相对较低 由上嚣黪分辑可见小额支付方案要求的诗簿和存媸开镪比较邋合于遴行低 值交易浏览付费网页、下裁收费图片、音频和视频片断等类似的电子商务活动 是鐾蔫小颧支付楚葜壅应瑙领域这类交荔豹特点是餐次交荔静金额帮缦小( 可栽 只有几毛钱) 。如果采用大额支付方式，支付系统的运行成本就超过了交易会额， 这显然是行不通的，而小额支付由于萁协议结构简单，运算侠德，整个支付系统运 行成本报低，则可避免这个问题 国外的相关学者对于基于电子货币的小额支付协议进行了比较多的研究，主 要提出了m i l l i c e n t 、p a y w o r d 、m i c r o m i n t 、n e t b i l l 、m o n d e x 等支付系统。 4 。p 山大学硕+ 学位论文种新的小额支付协议m u l f i p a y 的研究与改计 m i l l i c e n t 1 , 2 1 是美国c o m p a q 公司与d i g i t a l 公司所开发的一个安全的小额 支付系统。它使用的是一种叫代币( s c r i p ) 的电子货币，并通过经纪人 进行商家与顾客间的结算。 p a y w o r d 1 】是由麻省理工学院( m i t ) 的r o n a l dr i v e s t 教授和以色列的 a d is h a m i r 教授在1 9 9 6 年共同提出来的。它是利用一连串杂凑函数运算 ( h a s hf u n c t i o n ) 所得到的值( h a s hv a l u e s ) 来作为付款的依据。 m i c r o m i n t t 2 1 也是由r o n a l dr i v e s t 教授年1 3 a d is h a m i r 教授共同提出来的。 该系统由中介商根据“k 个值杂凑函数的碰撞”的原理，制造出硬币， 并卖给用户。该硬币的制造是非常困难的，但其验证却非常简单。 n e t b i l l 0 3 1 是由b e n j a m i nc o x 、j d t y g a r 和m a r v i ns i r b u 等人在1 9 9 5 年提出 的。它使用“p u b l i ck e yk e r b e r o s ”作为认证使用者的方法。 m o n d e x 【l 刮是英国西敏寺银行发行的一种能存储电子现金的智能卡支付 系统。该系统需要预先在智能卡芯片中载入币值，并通过专用的刷卡器 来完成认证和转帐。 国内有关小额支付协议的探索还属于刚刚起步阶段，有北邮、西安电子科技 大学、华中科技大学以及上海交大等做过相应的探讨9 8 j 5 1 1 5 , 6 , 1 6 , 1 7 】 1 。目前，华 中科技大学在这方面的研究成果比较多 1 2 论文的研究内容 本文针对小额支付机制的特点，利用散列函数及对称密钥加密等安全技术建 立了一个功能较为完游的多方交易小额支付系统- - m u l t i p a y 。 本文审匏漫诗基予p a y w o r d 支嚣系统穆黎，针对理玲黢蒸予p a y w o r d 瓣支 付系统的交易单一性( 即同一条支付链只能用于和同一个商家进行交易) 问题提 出了我们的解决方案。该方案吸取了原有p a y w o r d 系统的些优势，如在支付 过程中以h a s h 链取代了数字签名，从两使计算憋耗费大大降低以及将崧豢每次 交易静金颧进行累积，最后以大颧支付统一清黧镣。舅一方搿，原有酌p a y w o r d 系统具脊一些缺陷，如用户可能进行超支支付及双重花费等欺骗。针对这些缺陷， 国内外的一些学者提出了相应的改进方案口。l 1 但前一阶段的研究重点主要放 杰妇俺浚遴蒙有系统的交晏公平瞧及原子登戆瓣踅土，霹予多方交曩淫( 一条支 付链可用于和多个商窳进行交易) 的研究可以说诱属于初步探索阶段1 4 , 7 , 1 0 , 1 7 q s i 本 沧文即鼹针对这一特性进行研究的。在我们的方案中，由于系统具有多方交易性， 用户只浠要管理一条支 孪链中躲搬废信息即可。当该条支付镶熙宠蜃，用户以薮 的支彳寸链采取代它，并将蘸支付链瓣j 除。采用这种方法，当巍家的数量增多时， 系统的存储量与计算鬣将会大大减小，系统效率也随之提高。遮也是本设计的最 中山大学硕士学位论文 种新的小顿支付协议m u l t i p a y 的研究与设计 大特色。 1 3 论文结构 在第二章我们将对相关的密码学知识加以介绍，这些密码学基本概念是我们 理解后续几章内容的基础。在第三章我们首先系统的分析了现有的各类小额支付 系统的不同构造方法、特点、现状及可能的发展趋势。然后详细介绍了其中两个 极具代表性的小额支付系统：p a y w o r d 与m i l l i c e n t 。在这一部分，我们将致力于 达到两个目标： 通过对这两个现存的典型的小额支付协议进行对比分析，得到些对我 们有启示作用的想法( 即我们设计中所能采用的方法) ： 结合国内外相关资料及自己的研究来分析p a y w o r d 的现存缺陷，因为我 们的设计也是基于p a y w o r d 构架的，我们希望在提出的设计中能够尽量 避免或弥补这些缺陷。 这一章是我们设计小额支付协议的理论来源，也可以说是为接下来的一章做 的准备工作。第四章进入协议的设计部分，在这一章，我们完整的描述了新协议 的交易流程，相对于p a y w o r d 而言，该系统能够在兼具安全性与效率性的基础上 实现一条h a s h 链与多个商家进行交易的目的。第五章是我们对新协议作的一些分 析，包括分析其系统特征、理想化特性、安全特性等。采用的是与其他典型支付 系统作对比的方法，尤其是将其与其他也可以进行多方交易的支付方案进行了对 比。在第六章，我们将会对整篇论文进行总结并展望我们未来工作的研究方向。 中出大举鞭+ 学位论文 种新的，j 、额支付游议m u l t i p a y 的臻究与设计 第2 章密码技术 2 1 密码学的基本理论 密褥学( 源于蠢麓疆k r y p t d sa n dg r d p h e i n ，“隐藏黪书焉”) ，传统意义上来 说，是研究如何把信息转换成一种隐蔽的方式并阻止其他人得到它。在过去，密 码学一般被用在重要的交流活动中来确保隐敝性，如在间谍和反间谍之间，或外 交官和总部联系之闻游。但在近几十年来，密码学的应矧已逐濒得到普及，涉及 蚕的鬏域氇磊趋广泛，特别是在激予商务活动中，密码技术发挥了其不可替代的 作用。接下来，我们将简单介绍贱密码学的錾本概念及理论，详细内容可参见 【i 9 ，2 0 2 1 1 密码与弱令熬区翱 在现代社会中，大多数人都接触过密码。然而，在这些所谓的密码当中，有 一部分并不是真正意义上的密码，有些最多只能称其为口令。口令，好比一道关 卡。毽戆鲍目令是，只鸯豫逶过翻令验证，方麓逐一步攥董筝。然瑟，羟暴育久麓 够绕过口令验证，就可以获得其想器拥有的所有信息。比如，在w i n d o w s 登陆时 的密码，它实际上就燃一个口令。而密码，则韪鼹对所要保护的信息进行煎新编 玛鲍，其它餍户在没育掌握密码的情况下，是不鼹获褥任何黠爨己舂露的信患鲍。 郡么，寮鹞究竟是 卡么程? 为了解释密码的概念，我们先需要弓| 入一些密鹃学中 用到的撼本术语。 2 1 。2 基本术语 明文：指的是蹶嫡的信息，也就是需要被密码保护的信惑。 加密：是把原始信息转换成不可读形式( 术语是：密文) 的过程。 解密：是加密的逆过程，从加密过的信息中褥到原始信息。 2 2 密码学基本模型 密妫，包括加密与耪密蕊个过程。这两个邋稷实际上对应强个变换。为了叙 述的方便，我们将黼文爝m ( 渚怠) 或p ( 明文) 表示，宅可熊是沈特流( 文本 文件、饿图、数字化的语音流或数字化的视频图像) 。至于涉及到计算机，p 是 简单地二逃制数据。明文可被传送或存储，无论在哪种情况，m 指待加密的消 惑。麴密爱酶密文瑟c 表示，它壤蹩二透澍数掇，有露亵m 一舞大，鸯时鞘大 ( 通过雁缩和加密的结合，c 有可能比p 小些。然而，单单加密通常达不到这一 7 中出走学颈学像论文 静薪嚣枣鬏支付静谨m u k i p a y 熊醑究与爱汁 点) 。加密函数露，作用于m 樽到密文c ，用数学表示为： e ( m ) ( 2 - 1 ) 稳反逮，瓣密函鼗d ，撵鬻予c 产生徽； d f ( c ) = m ( 2 2 ) 先加密后辫解密消息，原始的明文将恢复出来，下磷的等式必须成立： d 。( ( m ) ) = mf 2 - 3 ) a 、b 为两个通信实体。暇设a 要与b 避行秘密通信。萁通信过程实际如图 2 一l 所示。 a 将明文m 朋密钥e k 对其加密形成c ( c = ( m ) ) 后，然后将c 传给b ，b 通过 密锈萎l 对e 送孬菸密缮翻骧文r e ( m = d k ( e ) ) 。在a 、b 潮实际上存在疆个透售逶 道，一个是传送c 的公开通邋( 不安全信道) 另一个是传送密钥的秘密通道。 图2 1 按下来，我们通过举两个非常简单的例子来说明一下，到底什么州做加密过 程。 1 。最古老的躺销算法；古罗码c a e s a r 密粥 该方法是逡避绘出一个密鹦本，将2 6 令罗骂字母一浚鸯雩到不瓣使嚣来实 现加密的，如图2 2 所示： 密码本 国2 , - 2 8 中由大学鞲士学位论文 一种新的夺额支付静滚m u t d p a y 的研究与最计 明文m c a e s a r w a sa g r e a t s o l d i e r 毒毒 密文c f d h v d uz d v d j u h d wv r o g l h u 可见，如果要对一条信息搬密，只要对照密玛本，将信息中的檩应字母换成 与它对应的下面静字辑繇可，同毽，艇密时，觚下看起，将蜜文中的字母稳应换 成与它对应的上面的字母就可以完成信息的解静，这可以说是最简单的加解密过 程。 2 常用的简单加密算法：异或 异或的基本规则如图2 - 3 所示 图2 3 爝黪或运算( 不辩进位趣法) 避行柏簿密黪过程如图2 。4 所示，其中p 弋表 明文，k 代表密锈，e 为密文。 加 解 明文：001l 密朝；0010l 密文：0 110 c = pok 寤：文：0 l1 0 密翎： 00 l01 明文：0011 图冬4 p = c k 这种加密方法简革易行，但邋常不太安全，因为明文与密文都是在公开通道 中山大学硕上学位论文种新的小额支付办议m u l t i p a y 的研究与设计 进行传输，完全有可能被攻击者截获，在已知明文p 与密文c 的条件，密钥k 可以简单的通过k = c o p 来求出。 2 3 密码学特性 密码学通常用来保证安全的通讯，我们希望通过安全通讯来获得以下四个特 性： l 保密性：只有应该收到的接收者能够解密信息，其他人拿到文件也无法 获悉里面的内容。 2 数据完整性：接收者可以确定信息在传送的过程中有无更改。 3 认证性：接收者可以认出发送者，也可以证明声称者的发送者确实是真 正的发送者。 4 不可抵赖性：发送者无法抵赖曾经送出这个消息。 密码学能提供有效的机制来达到以上四个目标。然而，有些目标并不总是必 要的，有时还是不切实际的，例如消息的发送者可能希望具有匿名性，此时，不 可抵赖性就不合适了。 2 4 常用的加密技术 嚣蔫簸鬻强翁热密技术可分为两季孛；对称( 秘密密锈) 翔密法( s y m m e t r yk e y e n c r y p t i o n ) 和非对称( 公开密钥) 加密法( p u b l i c 。k e ye n c r y p t i o n ) 。 2 4 1 对称加密算法( s y m m e t r yk e ye n c r y p t i o n ) 对称加密法又可称之为秘密密铺栩密法( p r i v a t e k e ye n c r y p t i o n ) 。在对称加 密方法中，对信息的加密和解密都使用相同的密铜，其加解密的整个过程如图 2 ，5 所示。资料先以明文的方式输入，经由加密算法的运算之后，可以得到一个 对应夔整文，然爱鞋密文在隧终上传送给接竣方，谈竣方毂囊以屠，再懿聪褰算 法将密文解密而得到明文。加密的过襁除了明文之外，还包括了加密算法和加密 密钥，加密密钥的值和明文是相互独立的，相同的加密算法若使用不同的加密密 钥则所得到粒结果是不样的。至于解密密钥是秘细密密钥楣嗣魄，这也是对称 式加密静爨来。 对称加密的安全性和几个因素相关，首先是加密算法。加密算法的强度必须 够强，让只知道密文的人，想要只单独利用密文来遂行解密而得到明文是不可能 达爨约。辫羚一个亵安全淫穗关我跫翔解密密锾的僚密壤，燕麟寝密锈麓否安全 对安全性而言是很重要的一个因素。一般来说，加躲密的算法避公开的，因此我 中山大学硕士学位论文 种新的小额支付协没m u l t i p a y 的研究与殴计 们能做到的是对加解密密钥的保密而不是对算法保密。 传送帮接收方均宥柑目密铜 图2 - 5 对称的加解密算法有非常广泛的应用，包括将加解密算法做在i c 卡上的形 式，可以使成本降到最低。并且对称式加解密的速度非常快，执行速度大约是非 对称加解密的1 0 0 0 倍。所以对称式加解密算法依然有其存在的价值。 常用的对称加解密算法有d e s 、i d e a 、3 d e s 等等。其中数据加密标准d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 使用最普遍，被i s o 采用作为数据加密的标准。 2 4 2 非对称加密算法( a s y m m e t r yk e ye n c r y p t i o n ) 非对称加密法又称为公开密钥加密法( p u b l i c k e ye n c r y p t i o n ) 。在非对称加密 体系中，加密和解密所使用的密钥是不相同的，这是和前面对称加密算法不同之 处。密钥被分解为一对( 即一把公开密钥或加密密钥和一把专门密钥或解密密 钥) 。这对密钥中的任何一把都可作为公开密钥( 加密密钥) 通过非保密方式向 他人公开，而另一把则作为专用密钥( 解密密钥) 加以保存。公开密钥用于对机 密性的信息进行加密，专用密钥则用于对加密过的信息解密。专用密钥只能由生 成该密钥对的贸易方掌握，公开密钥则可广泛发布，但它只对应于生成该密钥的 贸易方。贸易方a 只能用其专用密钥解密由其公开密钥解密后的任何信息。贸 易方利用该方案实现机密信息交换的基本过程如下：( 如图2 6 所示) 1 贸易方a 生成一对密钥并将其中的一把作为公开密钥向其他贸易方b 、 c 公开： 2 如b 要传送信息给a ，得到该公开密钥的贸易方b 将使用该密钥对机密 信息进行加密后再发送给贸易方a ： 3 贸易方a 再用自己保存的另一把专用密钥对加密后的信息进行解密。获 得贸易方b 所发送的信息。 中山大学硕士学位论文 种新的小额支付协议m u i t i a y 的研究与蛙汁 图2 6 更为重要的是，利用公开密钥加密法还可以鉴别出信息的发送者。以上面的 例子来说，如果b 用a 的公开密钥能解开某条密文，而a 是其专用密钥的唯一 拥有者，则可判定这条密文只能是a 发送的。可以用此加密法来验证信息的来 源以及资料的完整性。不过，所有拥有a 的公开密钥的接收者都可以轻易的解 开a 所发送的密文，因此不能保证该信息的秘密性。 r s a ( r e c e i v es h a m i r a d l e m a n ) 算法是非对称加密领域内最为著名的算法，但 是它存在的主要问题是会用到相当多的指数算法，其算法的运算速度较慢。因此， 在实际的应用中通常不采用这一算法对信息量大的信息( 如大的e d i ，e l e c t r o n i c d a t ai n t e r c h a n g e 交易) 进行加密。对于加密量大的应用，公开密钥加密算法通常 用于对称加密方法密钥的加密。 由于非对称密钥加密法执行速度和对称的加密算法相比要慢许多，所以常采 用将信息利用对称式加密，然后再将加密的密钥利用非对称加密起来，最后将这 两个信息一起传送给接收方。这样既可以具有对称加密法速度快的优点，又可以 解决密钥分布( k e yd i s t r i b u t i o n ) 的问题。 目前公开密钥加密算法有：r s a 、f e r t e z z a 、e i g a m a 等，其中使用最广的还 是r s a 算法。r s a 的密钥长度从4 0 位到2 0 4 8 位可变，密钥越长，加密的效果 就越好，但加解密的开销也大。所以在安全与性能之间折衷，一般取6 4 位。其 中一个比较知名的应用是s s l ，在美国与加拿大s s l 使用的是1 2 8 位的算法。 2 4 3 单向杂凑函数( o n e w a yh a s hf u n c t i o n ) 杂凑函数【l “2 0 】( h a s hf u n c t i o n ) 是将任意长度的输入数字串m 转换成较短 的定氏输出数字串h 的函数，即h = h ( m ) 。通常输出数字串h 的长度要比输入 数字串m 的长度要短许多。若杂凑函数h 为单向函数，则称其为单向杂凑函数。 中由丈掌磺学位论文一种新的小额支付协议m u l t i p a y 鹩姘究与凌计 对于单向杂凑函数，我们不能从h 求出原来的m ，但可以验证任意给定序列m 是 否与鹾骞穗同黪象凑篷。它只熊“肇瘫”诗雾：鄯基稔入袋惑诗篓出函数蕊是 菲常简革的，但反过来由函数值撼断出输入信息是非常困难的。 单向杂凑函数的符号为h ( m ) ，令h = h ( m ) ，其中m 是要进行运算的信息， 丽计算出的值为h 。 攀麓杂凑函数必缀其有叛下特性： i 输入信息m 可以为任意长度，输出数据串长度固定； 2 易计算，给定任何m ，容翁算出h ( m ) ； 3 擎舞函数：给定掰霸嚣，浓h = t 4 ( m ) 豢彝，餐反遭浓绘定h 帮h ，求 m = h 。( 矗) 在计算上是不可行的。 4 唯一性，又叫冲突性。可分为弱免冲突年口强免冲突两种： 弱免冲突是指绘定瀵息甜，要寻找另一信息膨，满足 h ( m ) = h ( m ) 在诗算上不可行。 强免冲突是指随机找出两个不同的信息吖和肘，满足 t - t ( m 卜h ( m ) 在计算上不可行。 然瓣，只要输入m 豹个数够多，裁会产生不嗣夔输久嬲；，掰，均可蕤产生 相同的输出杂凑函数的值h ( m ，) = h ( m ) = y ，这就是“2 个值”的碰撞( “2 一 w a y ”c o l l i s i o n ) 除了“2 个僮”的碰撞外，遥窍“k 个僮的磁撞”( “k w a y ”c o l l i s i o n ) 。躲 果有个不嗣输入德肼，掰：，掰。经过杂凑函数运算嚣，所得蓟静缎都等 于二y ，遮时就称为k 个值的碰撞。根据估计，臻产生第一次的k 个值的磷撞大 约需要搿2 “”“( 其中n 为输出y 的位数，也就是长度) 个输入值经过杂凑函 数数运舞，才可爨褥翻。毽是魏暴我搦检验赣入毽匏数嚣是锫到第一次获个筐 的碰撞输入值的c 倍的话( 也就怒如果第一次“k 个值的碰擒”需要检验w 个 输入值才出现，我们现在校验c w 个输入值) ，那我们应该可以得到大约c 个 k 个馕黪磁撞。因此如莱我们将k 镶提赢的话，鄢会褥到鼹拿影响： 1 疆得到第一次k 个值的碰攘必须检验甏多的输入值才能得到，即得到第 一次k 个值的碰撞的门槛会跟着提高； 2 如果已经超过第一次的碰撞的门槛，那么之后得到的磁撞的速度会燹快。 冀畜“c o l l i s i o n r e s i s t a n c e ”黪聿生豹萃囊杂凑龋数 壹至少为1 2 8 位方蔻有效豹 防止“生日攻击法”的轻易得逞。 单向杂凑函数按熟是否有密钥控制可分为两大类：一类有密钥控制，以h ( e ， ( m ) ) 凌示，成为密秘杂凑函数；受一类无密镄控簇，为一般杂凑函数。 无密钥控翻的单向杂凑函数，其杂凑值只是输入数字串的函数，任何入都可 l l 山大学硕+ 学位论文种新的小额支付协议m u l t i p a y 的研究与蹬计 以计算，因而不具有身份认证功能，只用于检测接收数据的完整性。而有密钥控 制的单向杂凑函数，其杂凑值不仅与输入有关，而且与密钥有关，只有持该密钥 的人才能计算出相应的杂凑值，因而具有身份验证的功能。 假设发送者利用不带密钥的h a s h 函数对发送的文件产生了一个摘要或数字 拇印( d i g i t a lf i n g e r ) ，然后把该文件和摘要一同发送给接收者。这样就给黑客留 下了可乘之机，使其可以对信息进行假冒。黑客首先对网络进行监听，截获发送 来的文件，然后对文件进行修改，并利用同样的h a s h 函数对修改后的文件进行 处理，产生假冒的h a s h 结果。然后，黑客把修改后的文件和假冒的h a s h 值发送 给原始的接收者。接收者根据发送来的文件检查h a s h ，错误的认为文件是完整 的。 如果发送者使用密钥的h a s h 函数来产生h a s h 值的话，由于黑客不知道密钥 ( 发送文件瓣时嫔一般不会把密钥辩警誊在文件上) ，所以，即俊黑容产生了缀莺 的h a s h 络暴，接收者利甭密钥进行验证的时候，同样会发现文件遭霹了修敬， 从而保证了传输文件的完整性。利用上述方法产生的h a s h 结粜就成为消息校验 码m a c ( m e s s a g e a u t h e n t i c a t i o nc o d e s ) 粪登戆散强函数鸯：m d 5 ，s h a i ，h m a c ，g o s t 等。 r o nr i v e s t 于1 9 9 0 年提出了m d 4 杂凑算法，输入信息可任意长，压缩后输 出为1 2 8 俄。m d 5 是m d 4 的改进形式。s h a 算法的基本框架与m d 4 类似，具 有较高的安全牲。s h a 输入潢息的长度小于2 5 4 像，输出压缝蕊为1 6 0 像，愿 后送绘d s a ( d i g i t a ls i g n a t u r ea l g o r i t h m ) 计算就消息酶签字。s h a 与m d 4 、 m d 5 的比较如表2 t 所示。 袭2 1 i 国4 。s 凇辩s h a s h 值 1 2 8 b i t1 6 0 b i t1 2 8 b i t 分缎处理长度 5 1 2 b i t5 1 2 b l t5 1 2 b i t 蒸本字长3 孙i t 3 2 b i t3 2 b i t 步数唾8 ( 3 1 6 )8 0 ( 4 2 0 )6 4 ( 4 1 6 ) 淆感长度 2 i t2 劓b i t 不限 萎本遴辑透数 33毒 常数个数 34 6 4 漶度约为m d 4 的3 4 纯为m d 4 的1 7 这种对消息h a s h 值的签字要比对消息直接进行签字的效率更高。计算接收 l4 中山大学硕士学位论文 种新的小额支付协议m u l t i p a y 的研究与殴计 消息的h a s h 值，并与收到的h a s h 值的签字证实值( 即解密后恢复的h a s h 值) 相比较进行验证。伪造一个消息，其h a s h 值与给定的h a s h 值相同在计算上是不 可行的，找两个不同消息具有同一h a s h 值在计算上也是不可行的。消息的任何 改变将以高概率得到不同的h a s h 值，从而使验证签字失败。目前还不知如何对 s h a 进行密码攻击，由于它的杂凑值为1 6 0 b i t ，对抗穷举攻击的能力更强一些。