（计算数学专业论文）椭圆曲线数字签名及其在电子公文传输中的应用.pdf

摘要 椭圆曲线数字签名及其在电子公文传输中的应用 作者i o i 介：张军，男，1 9 7 7 年1 月出生，2 0 0 4 年进入成都理工大学信息管理学 院开始研究生学习，师从王新庄教授。专业：计算数学，研究方向：信息安全中 的计算方法，于2 0 0 7 年6 月毕业。 摘要 随着计算机技术和网络技术的逐渐成熟，政府的办公和行政方式也在发生着 变化，电子政务就是在这样的背景下产生并迅速的发展起来。世界各国都将电子 政务看作世界新一轮综合国力竞争的一个重要因素。电子公文是电子政务的重要 组成部分，是政府意志的载体和行政的重要手段。在互联网这样一个开放的环境 下保障电子公文传输的安全性和保密性就成为了个亟待解决的问题。 自从1 9 8 5 年n e a lk o b l i t z 和v s m i l l e r 提出将椭圆曲线应用到密码学当中，对 椭圆曲线密码的研究一直是个热点。由于其安全性高、计算量小、带宽要求低、 存储量小、处理速度快等特点，在椭圆曲线密码体制的研究上涌现出了大量的成 果。椭圆曲线密码体制也是本文的核心。 本文在对相关数学理论和问题的研究基础上，针对电子公文的传递与发布过 程中可能出现的安全问题的分析，将椭圆曲线数字签名引入这个过程中来加强公 文传输过程的安全性。结合椭圆曲线密码体制的优点和公文传输的方式，设计出 一套用椭圆曲线数字签名进行数字签名和身份认证的方案应用到政府的公文传 递和文件发布。并且对这一方案的安全性和抗攻击性进行了分析，证明了这种方 案在公文传输中的实用性和合理性。 关键词：椭圆曲线密码体制；数字签名；安全性；电子公文传输 a b s t r a c t t h e e l l i p t i cc u r v ed i g i t a ls i g n a t u r ea n di t sa p p l i c a t i o n i ne l e c t r o n i ca r c h i v e sd e l i v e r y i n t r o d u c t i o no ft h ea u t h o r ：z h a n gj u n ，m a l e ，w a sb o r ni nj a n u a r y ，1 9 7 7 ，e n t e r e dt h e c o l l e g eo fi n f o r m a t i o na n dm a n a g e m e n t ，c h e n g d uu n i v e r s i t yo ft e c h n o l o g yi n2 0 0 4 f o rm a s t e r sd e g r e eo fc o m p u t a t i o n a lm a t h e m a t i c s ，u n d e rt h eg u i d a n c eo fp r o f w a n gx i n z h u a n g a b s t r a c t a si n t e r a c ts p r e a d si n t om a n yf i e l d sa n dt h et e c h n o l o g yo fc o m p u t e rs c i e n c eh a s b e c o m em a t u r e ，t h eg o v e r n m e n tb e h a v i o r sa n dw a y so fa d m i n i s t r a t i o na r ec h a n g e d e g o v e r n m e n ti san e wt h i n gu n d e rs u c hb a c k g r o u n d e v e r yc o u n t r yc o n s i d e r s e g o v e r n m e n ta so n eo ft h em o s ti m p o r t a n te l e m e n t so fi n t e g r a t i v ep o w e r so fn a t i o n t h ee l e c t r o n i ca r c h i v e sa r eo n eo ft h em o s ti m p o r t a n tp a r t so fe g o v e r n m e n t ，a n dt h e y a r ea l s oc a r r i e r so ft h eg o v e r n m e n tp u r p o s ea n dm a i nw a y so fg o v e r n m e n tr e i g n h o w t oe n s u r et h e s a f e t yo ft h ee l e c t r o n i ca r c h i v e sd e l i v e r ya n dt h es e c u r i t yo ft h e g o v e r n m e n ti n f o r m a t i o ni nt h eo p e n i n ge n v i r o n m e n to fi n t e r n e t i sa ne m e r g e n t p r o b l e m t h er e s e a r c ho ne c ch a sb e e nah o t - s p o ti nr e c e n ty e a r sa f t e rn e a lk o b l i t za n d v s m i l l e rp u tf o r w a r dt h ee l l i p t i cc u r v et h e o r yc a nb eu s e dt oc r y p t o g r a p h y t h ee c c h a sa d v a n t a g e ss u c ha sm g hs e c u r i t y , e a s yc a l c u l a t i o n ，l o wb a n dr e q u e s t ，l o wm e m o r y a n dd e m a n da n dq u i c ks p e e d ，b e c a u s eo fw h i c hl o t so fp r o d u c t i o n sa p p e a r e d t h e e c ci sa l s ot h ec o r eo f t h i st h e s i s i nt h i sa r t i c l e ，b a s e do nt h er e s e a r c hd o n et ot h ep e r t i n e n tm a t ht h e o r e m s ， a c c o r d i n gt ot h ea n a l y s i so nt h es e c u r i t yp r o b l e m si nt h ep r o g r e s so ft h ee l e c t r o n i c a r c h i v e sd e l i v e r y , t h ee l l i p t i cc u r v ed i g i t a ls i g n a t u r ea l g o r i t h mi sa p p l i e dt oe n h a n c e t h es e c u r i t yo fe l e c t r o n i ca r c h i v e sd e l i v e r y c o m b i n i n gt h ea d v a n t a g e so fe c ca n dt h e w a yo ft h ea r c h i v e sd e l i v e r y , as e to fs y s t e m ，i nw h i c ht h ee c ci sa p p l i e dt od i g i t a l s i g n a t u r ea n di d e n t i f i c a t i o n ，i sd e s i g n e da n du s e dt ot h eg o v e r n m e n tf i l ed e l i v e r ya n d p r o m u l g a t i o n a tt h es a m et i m e ，t h ea t i a c kr e s i s t a n c ea n ds e c u r i t yd e g r e eo ft h i s s y s t e ma r ea n a l y z e d i ti sp r o v e dt ob eu s e f u la n dr e a s o n a b l et h a tt h ee c d s aa p p l i e d t ot h ee l e c t r o n i ca r c h i v e sd e l i v e r y k e y w o r d s ：e l l i p t i cc u r v ed i g i t a ls i g n a t u r e ；d i g i t a ls i g n a t u r e ；s e c u r i t y ；e l e c t r o n i c a r c h i v e sd e l i v e r y i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得盛都理王太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 如句年 学位论文版权使用授权书 夕月乡7 同 本学位论文作者完全了解盛都堡王态堂有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和 借阅。本人授权盛壑理王太堂可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 彬驴 年j月 之) 同 ，芦 妒铲 易乜 ：弓 名签 ： 师名导签者者作作文文沦沦位位学学 第1 章前言 第1 章前言 1 1 课题研究的意义和背景 网络的快速发展极大的带动了信息技术的高速发展，并在国民经济生活的各 个方面发挥着越来越重要的作用。电子政务就是政府办公行政与网络相结合的产 物，而电子公文是实施电子政务的重要手段。 我国电子政务起步较晚，但是发展很迅速。我国政府把电子政务建设作为今 后一个时期我国信息化工作的重点，采取得力措施促进我国电子政务的发展既是 我国各级政府机构自身改革和发展的需要，也是我国经济与社会发展的大局需 要，同时，也是与国际接轨，适应世界经济全球化的需要。 电子公文在政府工作中已经发挥着越来越重要的作用，如果因为电子公文安 全问题导致电子政务系统无法正常运行，政府部门将无法正常的工作。更为关键 的是电子政务涉及到许多政府重要文件和资料，其中有些内容甚至关系到国家利 益和安全。因此保障电子公文传输的安全性是一个重要而艰巨的任务。 1 9 8 5 年，肫a lk o b l i t z 和矿s m i l l e r 分别独立提出将椭圆曲线应用于公开密 钥密码体制，使得椭圆曲线这个被数学家研究了多年的数学问题，在密码学领域 发挥了重要的作用。它是目前已知的公钥体制中提供加密强度最高的一种密码体 制，具有安全性高、密钥量小、灵活性好等特点。 1 2 国内外电子公文的现状 与纸质公文相比，电子公文具有存储体积小、检索速度快、远距离快速传 递及同时满足多用户共享等优点。电子公文系统一般包括公文生成、传输、浏览、 存档、销毁等几个环节。 在我国，电子公文生成目前主要有两种形式，一是采用文档编辑软件进行 录入和排版，然后转化为特定的公文版面格式文件，另一种是基于现成的纸质公 文扫描后再转化为特定的公文版面格式文件。传输过程一般是在政府机关办公内 网内进行加密传输，为保证电子公文在传输过程中不被窃密的技术手段主要是采 用国家密码委员会认证的加密机加密的方式，来保障传输过程中的安全。浏览环 成都理i ：人学硕十学位论文 节的安全性主要是通过内外网隔离，身份认证之类的技术来实现，整个过程具有 很大的局限性。 美国是较早发展电子政务的国家，在政务活动中各部门呈交的表格资料，绝 大部分已经使用电子方式。电子公文信息交换技术的目标就是要使政府机关上下 相互之间以电子稿件方式通过计算机网络进行信息交换，严格控制公文制作、流 转、审批流程，提高公文办理效率，保障公文数据安全，并且仅在电子公文归档 管理过程中打印、保存必要的纸质档案，避免在公文传输、审批等过程中滥用纸 张。 现在已经有很多公司进行了电子公文系统的开发工作并将其运用到了电子 政务当中，但是其安全性并未通过严格认证，因此不能够绝对保证政务信息的完 整性和机密性，因此对电子公文安全性的研究还有待进一步的深入。 1 3 本文主要工作 本文针对电子政务中的信息传递中的保密性和完整性方面进行了重点分 析，主要就电子政务中如何实现安全的通信和安全文件发布进行了研究，将椭圆 曲线数字签名运用到电子政务的信息传递过程当中，结合椭圆曲线的相关理论， 构造并设计出了一套利用椭圆曲线数字签名来实现文件的加密和解密的算法，并 对算法进行了安全性分析，证明了它是行之有效的，并在算法的实现方面进行了 探索。 2 第2 章密码学基本理论与基本概念 第2 章密码学基本理论与基本概念 2 1 密码学的历史 密码学的历史十分悠久，一方面通信的双方为保护自己信息不被外人所知， 使用过许多不同的密码：令一方面为了刺探敌方的秘密又竭力破译对手的密码。 密码学的发展经历了古典密码，对称密码和非对称密码三个阶段现代密码 学仍然是对称密码和非对称密码并存且相互渗透的体系，大量混合密码体制的应 用就是很好的证明。加密与解密一直是密码学中互相对抗又互相促进的两面。 2 1 1 发送者和接收者 发送者和接收者是信息传递的两个终端，发送者通过一定的手段将消息传递 给接收者。这是最简单的信息传送模式。但是往往在信息传递的过程中会出现( 或 潜在) 这样一种人，他们会对消息进行非法的获取或者进行攻击，我们将其称为 窃听者。 2 1 2 消息与加密 消息( m e s s a g e ) 被称为明文( p l a i n t e x t ) 。用某种方法把伪装消息以隐蔽它 的内容的过程称为加密( e n c r y p t i o n ) ，被加密后的消息称为密文( c i p h e r t e x t ) ， 而接收者把密文变为明文的过程称为解密( d e c r y p t i o n ) 。如图2 - 1 。 图2 - 1 加密和解密 密码学( c r y p t o l o g y ) 作为数学的一个分支，是密码编码学和密码分析学的 统称。使消息保密的技术和科学叫做密码编码学( c r y p t o g r a p h y ) 。密码编码学 是密码体制的设计学，即怎样编码，采用什么样的密码体制以保证信息被安全地 加密。 与之相对应，密码分析学( c r y p t a n a l y s i s ) 就是破译密文的科学和技术。 密码分析学是在未知密钥的情况下从密文推演出明文或密钥的技术。密码分析者 成都理i ：人学硕十学位论文 ( c r y p t a n a l y s t ) 是从事密码分析的专业人员。 明文：是作为加密输入的原始信息，即消息的原始形式，通常用m 或p 表示。 所有可能明文的有限集称为明文空间，通常用肼或p 来表示。 密文：是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c 表示。所有可能密文的有限集称为密文空间，通常用c 来表示。 加密函数e 作用于m 得到密文c ，可用数学公式表示为：e ( m ) = c 。 相反的，解密函数作用于密文c 而产生肘，可表示为：d ( c ) = m 。 由于加密解密是一个互逆的过程，因此m = d ( f ( 肘) ) 是恒成立的。 2 1 3 算法与密钥 密码算法( a l g o r i t h m ) 也叫密码( c i p h e r ) ，是指用于加密和解密的数学函数。 通常情况下，有两个相互关联的函数，一个用于加密，另一个则用于解密。这些 函数都是建立在数学问题难解的基础之上的。 如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的 ( r e s t r i c t e d ) 算法。受限制的算法具有历史意义，但是按现在的标准，它的保密 性已经远远不够。现代密码学用密钥( k e y ) 解决了这个问题，密钥用k 表示。足 可以是很多数值罩的任意值。密钥k 的可能值的范围叫密钥空间( k e y s p a c e ) 。 在引入了密钥足以后，加密和解密的过程就变成了： c = e ( m ) m = d ( c ) 很显然也有m = d 。( 反( m ) ) 。图2 2 就表示了这一过程，这种加( 解) 密 的方式也称为对称算法( s y m m e t r i cm g o f i t h m ) 。这种算法对密钥的管理要相当的 谨慎，因为加密和解密只用一个密钥，用加密密钥就可以推算出解密密钥，反之 亦然。 密钥 密钥 图2 2 同密钥加密和解密 4 第2 章密码学基本理论与基本概念 还有的算法在加密和解密的过程中分别使用两个不同的密钥，也就是加密用 加密密钥足，解密用解密密钥k ：，相应的变化为 c = 昧( m ) m = d f 2 ( c ) m = d r 2 ( 幺l ( 嬲) ) 由于加密和解密的过程使用的是不同的密钥k 。和k ：，因此这种密码算法又 称为非对称密钥算法。见图2 3 。 加密密钥解密密钥 2 2 密码学分类 图2 - 3 不同密钥的加解密 根据密码算法中加密与解密密钥是否相同，我们可以对密码学进行分类，如 果加密和鳃密使用同一密钥，这种密码算法称为对称密码学，而加密和解密使用 不同密钥则称为非对称密码学。 2 2 1 对称密码学 对称密码学也被称为单密钥加密，它是指在加密和解密时使用同一密钥，或 实质上等同的密钥( 即由一个密钥很容易得出另一个密钥) 。其加解密过程如图2 - 4 所示( 分别用a 表示发送者，b 表示接收者，c 表示窃听者) 。 图2 - 4 对称密码算法通信过程 成都理i ：人学硕十学伉论文 可以看出，对称密码算法实施过程比较简单，系统消耗时间少，能以低成本 加密大量的数据。但是它的缺点也是同样突出。 第一是它需要一个绝对安全的通信信道来传递密钥，要找到这样的安全信道 是几乎不可能的。 第二是密钥量过于庞大，不利于管理。试想，a 和b 通信选择的密钥与a 和 c 通信选择的密钥肯定是不同的，否则，a 所发出的消息会被b 和c 同时破译， 这显然违背a 的初衷。因此假设a 要与9 9 个人通信，他必须有9 9 个不同的密钥， 管理起来是相当困难的，很容易产生混淆。我们再考虑，在这样1 0 0 ( 包括a ) 个人组成的团体当中，两两要互相通信，那么他们每个人都会有9 9 个不同的密 钥，因此密钥总量将达到1 0 0 9 9 个，可见随着通信范围的扩大密钥量的增长是 十分惊人的。 对称密码学是过去很长一段时间广泛使用的密码体制，因此也对密码学的发 展起到了很大的推动作用。历史上出现过的对称密码又可以分成两个类，一类是 分组密码( b l o c kc i p h e r ) ，分组密码是将要加密的信息分成固定长度的分组， 分别对组里的每个信息段进行运算，分组密码由此得名。比较出名的分组密码算 法有d e s 、3 - d e s 、r c 5 、a e s 等。另一类是序列密码( s t r e a mc i p h e r ) ，序列密 码是对消息的每个数据位进行加密的，以r c 4 为代表。 2 2 2 非对称密码学 图2 3 所表示的密码算法，由于加密和解密是使用不同的密钥，即用作加密 和解密的密钥是不同的，而且已知其中一个并不能推算出另一个( 在一个有效时 间之内) ，因此被称为非对称密码。非对称密码算法可以将加密密钥公开给任何 入，而只需要将解密密钥来进行保密，因此又叫公开密钥密码算法，简称公钥密 码( p u b l i ck e yc i p h e r ) 。公开密钥学是由d i f f i e 和h e l l m a n 两人在1 9 7 6 年提 出的。 由于加密密钥是公开的，任何人都可以用公布的加密密钥来加密信息，但是 只有使用相应的解密密钥才能够解密信息。这样就实现了加密密钥和解密密钥的 分离。加密密钥称为公钥( p u b l i ck e y ) ，解密密钥称为私钥( p r i v a t ek e y ) 。 发送者和接收者用公钥算法进行通信的加密和解密过程有下面几个步骤。 1 ) a 查找到b 的公钥，显然这是可行的，因为公钥的公开并不会影响到通 6 第2 章密码学基本理论与基本概念 信的保密性。b 可以将自己的公钥公布到公共数据库备查，或者通过网 络等非安全信道发送给a 。 2 ) a 采用公钥算法并以b 的公钥作为加密密钥对原始信息进行加密，得到 密文。 3 ) a 将密文发送给b ，他可以采取一切手段，只要将密文送达b 即可。 4 ) b 收到密文以后，使用自己的私钥对密文解密，还原出原始信息。 这个过程可以用图2 5 来表示。 图2 - 5 公钥密码算法通信过程 从上述过程我们可以看出，相比较对称密码学而言，用非对称密码进行保密 通信具有以下优点。 第一是双方不需要通过一个安全信道交换密钥，这就最大程度上保证了密钥 可以不被泄露。 第二是密钥空间大大减少，避免了烦琐的密钥管理。在通信的过程中，作为 每个个体，只需要一对公钥和私钥就可以完成通信。 常见的公开密钥算法的密码体制有r s a 算法、p o h l i g h e l l m a n 算法、r a b i n 算法、e 1 g a m a l 算法、e c c 算法等。 7 成都理i ：人学硕十学位论文 3 1 相关数学背景 第3 章数字签名相关知识 密码学是数学的一个分支，因此它跟数学的关系可以说是密不可分的，尤其 是建立在计算难题之上的公钥密码学更是如此。 3 1 1 大数分解问题 所谓大数分解问题就是把两个大素数( 1 0 0 2 0 0 个十进制数或者更大) 相乘 得到一个合数十分容易，反之要把一个大合数分解成两个素因数却十分困难。基 于这一点，r o nr i v e s t ，a d is h a m i r 和l e na d l e m a n 三位麻省理工学院 m i t ( m a s s a c h u s e t t si n s t i t u t eo ft e c h n o l o g y ) 年轻教授于1 9 7 7 年提出了这样一种密 码算法。 为了产生两个密钥，选取两个大素数p 和g ，计算乘积： 胛= p q 然后随机选取加密密钥e ，使得p 和( p 1 ) ( g 一1 ) 互素。最后用欧几罩德扩展 算法计算解密密钥d ，以满足： e d ；l m o d ( ( p 一1 ) ( g 1 ) ) 那么此时就有： d z e m o d ( ( p 1 ) ( g 1 ) ) 于是就得到公丁f 密钥p 和丹，私人密钥d 。两个素数p ，g 不再需要，但是千 万不可泄露。 r s a 算法的加密：加密消息m 时，首先将它分成比h 小的二进制组，得到消 息段坍，加密公式为： q = 所，e ( m o d n ) 解密公式为： m ，= c ，d ( m o d n ) 直到现在，r s a 仍然被广泛应用与加密和数字签名。选取的素数位数越多， 安全性就越高。 第3 章数字签名相关知识 3 1 2 有限域上的离散对数问题 域是对常见的数系及其基本特性的抽象。域由一个集合f 和两种运算共同组 成。这两种运算分别为加法( 用。表示) 和乘法( 用固表示) ，并且满足下列算 术特性： 1 ) 对于加法运算构成加法交换群，单位元o 用表示； 2 ) 对于乘法运算构成乘法交换群，单位元i 用表示； 3 ) 分配律成立：对于所有的口，b ，c f ，都有( a o b ) 固c = a o c o b 圆c ) 。 若集合f 是有限集合，则称此域为有限域。 有限域上的离散对数问题可以描述为：给定有限域，元素g ，工，寻找 一个素数p ，使得在e 中g 。= h ( m o d p ) ，在已知x 和g 时计算h 很容易，但是只 知道g ，h 计算j 则相当困难。 3 1 3 椭圆曲线的离散对数问题 椭圆曲线理论是代数几何、数论等多个数学分支的一个交叉点，一直被认为 是纯理论学科。随着1 9 8 5 年n e a lk o b l i t z 和v s m i l l e r 分别提出将其用于公开密 钥密码体制( p u b l i ck e yi n f r a s t r u c t u r e ) 以来，在这方面取得了大量的成果。 所谓椭圆曲线是指是由韦尔斯特拉斯( w e i e r s t r a s s ) 方程： y 2 + q x y + a 3 y = j 3 + a 2 x 2 + 口4 x + 口6 所确定的平面曲线。其中系数a 。( f 1 , 2 6 ) 定义在某个域上，可以是有理数域、 实数域、复数域，还可以是有限域e ，椭圆曲线密码体制中用到的椭圆曲线都 是定义在有限域上的。 给定一个定义在有限域上的椭圆曲线e ，两点p ，q e ( ) ，等式： q = 妒2 巳坐二丝 j 个尸相加 表示点q 是由点p 经过和自身的工次相加所得，于是离散对数问题可以定义 为给定p 和q 来求解x 。已知z 和点p 求点q 比较容易，反之已知点q 和点p 求x 却是相当困难的，这个问题称为椭圆曲线上点群的离散对数问题。 9 成都理i ：人学硕十学位论文 3 2h a s h 散列函数与数字摘要 h a s h 散列函数是一种未证明的单向函数，经h a s h 函数对消息处理所得到的 固定长度的输出被称为数字摘要( d i g i t a ld i g e s t ) 。 h a s h 值以如下的方式产生的：h = h ( m ) ，其中彪是变长的消息，昱( 彤) 是 定长的散列值。h a s h 散列函数h 必须具有以下的性质： 1 ) 能用于任何大小的数据分组； 2 ) 日能产生定长的输出； 3 ) 对任何给定的x ，h ( x ) 要相对易于计算，使得硬件和软件实现成为实际 可行； 4 ) 对任何给定的h ，寻找z 使得h ( x ) = h 在计算上是不可行的，这是单向性， 也叫做不可逆性； 5 ) 对任何给定的分组x ，寻找不到不等于x 的y ，使得h ( x ) = h ) 成立， 也就是映射必须是严格的一一对应，这是弱抗冲突性； 6 ) 寻找对任何的数对( 五力使得h ( x ) = h ( y ) 在计算上是不可行的，这是强抗 冲突性。 3 3 p k i 与数字证书 3 3 1 公钥基础设施p k p k i ( p u b l i ck e yi n f r a s t r u c t u r e ，公开密钥基础设施) 产生于2 0 世纪8 0 年代， 它是在公开密钥理论和技术的基础上发展起来的一种综合性安全平台，能够透明 地为所有的网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理， 从而保证网上传递信息的安全、真实、完整和不可抵赖性。利用p k i 可以方便的 建立和维护一个可信的网络环境，从而使人们在这个环境瞿能够确认彼此的身份 和所交互的信息，能够安全的进行各种活动。 p k i 是采用公钥密码技术提供安全服务、具有普遍适用性的安全基础设施， 它具有如下特点。 1 0 第3 章数字签名相关知识 1 1 互操作性：p k i 具有很好的互操作性，因为每个应用程序和设备都以相同 的方式访问和使用p k i ； 2 ) 开放性：一个基于开放的，国际标准化公认的p k i 比一个专有的点对点的 技术方案更可信和方便； 3 1 一致的解决方案：p k i 为所有的应用程序和设备提供了可靠的、一致的解 决方案。一致性解决方案使管理开销小和简单，这是p k i 的重要优势。 4 ) 可验证性：p k i 为各种应用系统和设备之间的安全互提供了可能，因为所 有的交互采用统一的处理方式。也就是说，p k i 的操作和交互可以被验 证的，这个独立的、可信任的验证机构就是c a 。 p k i 一般包括五个个关键环节：认证权威机构c a ( c e r t i f i c a t ea u t b o f i 锣) 、注 册权威机构r a ( r e g i s t r a t i o na u t h o r i t y ) ，证书库c r ( c e r t i f i c a t er e p o s i t o r y ) 、密 钥备份与恢复系统、以及客户端系统，协议则包括互操作协议和管理协议。 p k i 所提供的常用服务，其中有证书生成、证书注销、证书和证书注销列表 的发布、存储和检索证书与证书注销列表、证书更新、时间戳等。 3 3 2 认证中心与数字证书 认证中心( c a ：c e r t i f i c a t e a u t h o r i t y ) 是数字证书的签发机构，它对某个主体 ( 如人、组织或某个服务器等) 的公钥进行公证，以证明主体的身份与它的公钥相 匹配。认证中心对自己颁发的证书进行签名，从而保证了其颁发的证书的合法性 与权威性。与一般公钥一样，认证中心的公钥也是公开的：但是，其必须保证自 己私钥的高度机密性，一旦泄露，将影响其管理下的所有实体的安全。概括地说， c a 的功能有：证书发放、证书更新、证书撤销和证书验证。 数字证书是认证中心颁发并进行数字签名的数字凭证，它们是数字签名技术 的最重要应用领域。数字证书持有者在网络上用数字证书作为身份凭证，从实质 上来讲是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密 钥的文件。证书一方面可以用来向系统中的其它实体证明自己的身份，另一方面 由于每份证书都携带着证书持有者的公钥，所以证书也可以向接收者证实某人或 某个机构对公开密钥的拥有，同时也起着公钥分发的作用。 成都理l ：人学硕十学位论文 图3 - 1c a 的功能 1 ) 证书发放 认证中心接到用户的证书申请，首先将申请的内容输入数据库，并根据申请 的内容确认用户的合法性，如果非法，则拒绝服务；如果合法，则进一步确定给 该用户颁发证书的类型( 个人证书、企业证书、政府证书等) 。确认证书类型后， 认证中心产生出两个证书，其中一个证书只写入c a 数据库，而另一个证书则在 写入c a 数据库的同时也写入w e b 证书数据库，其他用户可以查询得到。 2 ) 证书查询 证书查询分为两类：一类是证书申请的查询，即证书申请人向c a 查询证书 申请的处理结果；另一类是用户证书查询，任何用户都可以通过c a 的对外w e b 服务器查询到某个用户的公开证书信息。 3 ) 证书归档 证书在过了使用的期限以后，应当予以撤消，但是撤消的证书不能就直接删 除，因为有可能有些在证书使用期内的信息还需要使用该证书进行验证，因此有 必要将过期证书进行归档。 4 ) 证书撤消 由于在证书使用过程中用户的私钥泄露、丢失，或者是证书过了有效期一定 的时期，必须对证书进行撤消。也就是将证书从w e b 证书数据库和c a 中心的 数据库中剔除。 用户必须通过向证书中心申请证书来获得在网络进行通信的身份和权限，证 书申请和受理过程如下。 1 2 第3 章数字签名相关知识 图3 2 证书受理过程 认证中心除了颁发证书之外的另一个任务是建立证书服务器，将生成的证书 按照不同的安全级别进行分类储存，建成一个证书库。另一方面提供证书的查询。 3 4 数字签名 数字签名是为了保护在网络中传输的信息而产生。数字签名i s 0 7 4 9 8 2 标准 中定义为：附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这 种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整 性，并保护数据，防止被人( 例如接收者) 进行伪造。美国电子签名标准( d s s ， f i p s l 8 6 2 ) 对数字签名作了如下解释：利用一套规则和一个参数对数据计算所 得的结果，用此结果能够确认签名者的身份和数据的完整性。 数字签名实际上是公钥密码学加密的逆过程，即用私钥进行加密而用公钥进 行解密，就可以确认消息是否由私钥的所有者发出的。用私钥加密而用公钥解密， 就可以用于数字签名，这是公钥算法的一大优势。 数字签名作为保障信息安全的重要手段之一，有着不可替代的重要作用，尤 其是在保障网络通信安全方面，数字签名有如下的作用： 1 ) 防伪造。其他人不能伪造对消息的签名，因为私有密钥只有签名者自己知 道，所以其他人不可以构造出正确的签名结果数据。 2 ) 可鉴别身份。在网络环境中，由于不存在认识或者不认识这样直观的概念， 成都理【：人学硕十学位论文 接受方必须能够鉴别和确认发送方的身份。 3 ) 防篡改( 防破坏信息的完整性) 。数字签名将文件作为一个整体进行签名， 签名和文件形成了一个混合的整体数据，不可能篡改，从而保证了数据的 完整性。 4 ) 防抵赖。数字签名可以鉴别身份，不可能冒充伪造，那么，只要保存好签 名的报文，就好似保存好了手工签署的合同文本，也就是保留了证据，签 名者就无法抵赖。 3 4 1 数字签名生成 数字签名是达到保持信息完整性、需要用到如下一些参数，并且为了达到一 定的安全性要求，需要对这些参数进行是的规定。 1 ) 模素数p ，2 “1 p 2 ，5 1 2 蔓l 1 0 2 4 且为6 4 的整数倍； 2 ) 素数g ，j l q l p - 1 ，2 1 5 9 q l ： 4 ) x ( 0 ，g ) 的随机或伪随机整数； 5 )y = g m o d p 6 ) k ( o ，g ) 的随机或伪随机整数； 整数p ，q 和g 可以被公开，而x , y 分别是私钥和公钥，参数x ，k 是用于数字签 名的私钥，所以必须保密，同时k 必须每次签名的时候做更换。 数字签名的生成是由下面两个方程所生成的： i ，= ( g m o d p ) m o d q 卜= ( k - ( s h a i ( m ) + x r ) r o o d q 其中k 。1 表示k 关于模g 的逆，即肚m o d q = 1 。s h a i ( m ) 是消息m 的一 个长度为1 6 0 字节的数字摘要，( ，j ) 共同构成对消息的签名。 1 4 第3 章数字签名相关知识 3 4 2 数字签名验证 对于接收者来说，p ，q ，g 和签名者的公钥是己知的，假设接收者收到的消息 和签名分别为m7 和( r ，s ) ，y 是签名公钥。验证的过程如下。 1 ) 检验o ， q , o j 叻m o d q - 2 = ( ( ，) 们m o d q 4 ) 计算：v = ( ( ( g ) 1 0 ) “) r o o d p ) m o d q ； 5 ) 如果v ：，7 ，则消息被通过验证，否则签名为假。 由于我们的系统是采用的椭圆曲线数字签名，其验证过程如下。 1 ) 验证七，是否介于【l ，一1 】，如果结果为否，则签名为假 2 ) 计算e = h ( m ) ； 3 ) 计算_ ，= ，。m o d n ： 4 ) 计算t 1 = e j m o d n ，t 2 = g m o d n ： 5 ) 计算j = ，l p + t 2 9 = ( ，乃) ，若x = 0 签名为假。 6 ) 计算x ，r o o d n 与比较，若两者相等，则签名为真，否则为假a 数字签名的一般过程如图所示： 图3 - 3 数字签名生成和验证 成都理i ：人学硕十学位论文 3 4 3 几种数字签名算法 从非对称密码运用到数字签名以后，出现了许多数字签名算法，这里介绍几 种有代表性的数字签名算法。 1 ) r s a 签名算法 r s a 是基于大数分解难题的一种公钥密码体制，因此可以使用它来进行数字 签名。签名过程如下。 ( 1 ) 确定参数：n = p q ，p 和口是两个素数： ( 2 ) 随机选签名密钥e ，并计算出d ，使得： e d i 1 m o d ( p 1 ) ( g 一1 ) 若选择的e 不符合要求则重新选择直到找出适合的为止； ( 3 ) 将e 和r 公开，p ，q 和d 保密，得到r s a 的参数集为k = ( 厅，p ，q ，p ，d ) ； ( 4 ) 对要加密的消息m ，计算：c = m 。r o o d n ，c 就是对消息m 的签名。 签名的验证过程类似于解密的过程。只需要检验c 4m o d n = m 是否成立， 就可以判别签名的真伪。由于只有签名者知道d ，所以其他人不可能伪造正确的 签名，也就容易验证( m ，c ) 是否是发送方发的信息及签名。 2 ) s c h n o r r 签名算法 s c h n o r r 签名算法是建立在计算离散对数的难题之上的一种非对称密码体制。 首先选取两个素数p 和g ，g 是p 一1 的素因子。然后选择a ( a 1 ) ，满足 a 4 ；1 r o o d p 。选择小于q 的随机数作为私钥，然后计算v = 口”m o d p 作为公钥。 在s c h n o r r 签名算法中引入了单向散列函数日( m ) ，该算法的签名过程如下。 ( 1 ) 选择一个小于g 的随机数r 并计算x = a 7 m o d p ； ( 2 ) 将消息m 与x 相结合，计算其散列值e = h ( m ，x ) ； ( 3 ) 计算y = ( ，+ s e ) m o d q ，( p ，y ) 即为数字签名； 验证过程也要用到单向散列函数。 ( 1 ) 计算，= a y y 。m o d p ； 1 6 第3 章数字签名相关知识 ( 2 ) 计算并验证e = h ( m ，x ) 是否成立，若成立则签名有效，否则无效。 3 ) e i g a 【i l a i 签名算法 e i g a m a l 也是基于离散对数问题的签名算法。首先选择大素数p 和g ，g 是 p 一1 或者p l 的大素数因子。再选择一个g 【1 ，p 】并且满足9 9 ；l m o d p 。p ， g 和g 都公开。 对消息m 签名之前，首先选择私钥x 口，计算公开密钥y = g 。m o d p 。选 择后 g ，且后，g 互素，若g 本身就是素数，则一切小于它的数都可以选择，计 算r = g r o o d p ，s 满足方程m = ( x a + k b ) m o d ( p 一1 ) ，( ，j ) 为消息肘的签名。 验证过程只需要判别方程y 。= g ”m o d p 是否成立，成立则签名有效，否则 无效。 e 1 g a m a l 存在很多变形，但核心都是基于离散对数问题的计算复杂度。 4 ) d s a 签名算法 d s a 是s c h n o r r 和e i g a m a l 算法的变型，美国国家标准技术研究所于9 4 年公 布了数字签名标准( d s s ) ，标准中采用的数字签名算法便是d s a ，密钥长度为 5 1 2 - 1 0 2 4 。 p 为5 1 2 1 0 2 4 位的素数：q 为1 6 0 位，且g 是p - 1 的素因子，g 为满足 g = h ”1 “m o d p ， 是满足h 【1 ，p 一1 】的任意整数，日为单向散列函数，x ( 0 ，q ) 为用于签名的私钥，y = r o o d p 为公开密钥p 、q 、g 及h 为系统p ，q ，g 和h 是系统的参数，与公钥_ y 均要公开。明文为m ，且o m ，。对m 签名过程如下。 签名者任选一整数j 】 ，0 4 、后 7 ) 验证n g = 0 。 8 ) 计算( g + 1 ) 2 n ，比较是否 = h 。 9 ) 验证抗m o v 攻击和是否存在反常性。 1 0 ) 如果上述条件都满足，则此曲线为所选的曲线，否则就是非法曲线。 选择一条椭圆曲线来用于密码算法是椭圆密码体制的基础。有两种常用的方 法来选择满足要求的椭圆曲线。一种是随机生成法，也就是随机产生一条椭圆曲 线并计算它的阶，直到得到一条符合要求的安全椭圆曲线为止，这种方法看似简 单，实际上操作起来非常的复杂，因为我们要求所选的椭圆曲线的阶含有大素数 因子，而实际上在所有椭圆曲线中，阶含有大素数因子的椭圆曲线非常少。另一 种方法是构造法，就是按照一定的要求来构造椭圆曲线，这种构造椭圆曲线的方 法效率比第一种高出许多。 1 ) 有限域c 上的椭圆曲线的生成 设p 的长度为z ，v = 一1 ) 1 6 0 ) w = l - 1 6 0 v 一1 ( 1 ) 任意选择一个长度为1 6 0 字节的字符串s ； ( 2 ) 计算h = s h a l ( s e e d e ) ； ( 3 ) 用表示提取从h 最右边起的w 位所构成的字符串； 成都理i ：人学硕十学位论文 ( 4 ) 用z 表示二进制扩展为1 6 0 字节的二进制字符串s 的整数； ( 5 ) f o ri = lt ovd o j ，= a s c l l ( ( z + i ) m o d 2 1 6 0 ) ： 红= s h a l ( s ，) ) ( 6 ) h 表示由瑰( 扛o ，l v ) 合并而成的字符串： h = h o l l 魄l l h h ，； ( 7 ) 用c 表示二进制扩展是字符串h 的整数； ( 8 ) 如果c = 0 或者和+ 2 7 z o m o d p ，返回( 1 ) ；