（通信与信息系统专业论文）电子政务和商务中应用的数字签名研究.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 随着我国信息化建设的逐步深入，特别是电子商务、电子政务的普及，信息 安全越发显得重要。数字签名技术作为保证信息的完整性、不可抵赖性等的最 有效措旌之一，成为各方研究的热点。数字签名技术可以广泛应用于电子商务、 电子政务、电子数据交换等不同领域，为其它高级应用提供了可能。 论文对数字签名的概念、模型、方案等做了比较全面的分析和介绍，并且针 对我国电子政务的特点，改进或提出了一些模型，使之更能适应中国国情。而 且研究了p k i 的概念和在我国电子政务中可能发挥的作用，提出了一个适应我 国电子政务实际情况的p k i 信任模型，并且构想了3 g 时代的电子政务。最后 研究了电子现金中使用的h a s h 技术，说明了h a s h 技术是保证电子现金安全的 有效措施。 关键字数字签名；电子政务；公共密钥基础设施；电子现金 a b s t r a c t w i t ht h e d e v e l o p m e n to fi n f o r m a t i o nc o n s t r u c t i o n ，e s p e c i a l l yt h e p o p u l a r i z a t i o n o fe l e c t r o n i cc o m m e r c i a la n de l e c t r o n i c g o v e r n m e n t 。 i n f o r m a t i o ns e c u r i t yb e c o m e sm o r ea n dm o r ei m p o r t a n t t h et e c h n o l o g y o fd i g i t a ls i g n a t u r eb e c o m e st h er e s e a r c hf o c u st h e s ed a y s ，w h i c hi st h e m o s te f f e c t i v e w a y o f a s s u r i n g t h ei n f o r m a t i o n i n t e g r a l i t y a n d n o n e r e p u d i a t i o n i t c a nb eu s e di ne l e c t r o n i cc o m m e r c e ，e l e c t r o n i c g o v e r n m e n t ，a n de l e c t r o n i c d a t ai n t e r c h a n g ea n ds oo n ，a n dm a k i n g s o m ea d v a n c e d a p p l i c a t i o np o s s i b l e t h i sp a p e rg i v e sg e n e r a la n a l y s i sa n di n t r o d u c t i o no ft h ec o n c e p t ， m o d e l ，a n ds c h e m eo f t h ed i g i t a ls i g n a t u r e a i m i n ga tt h ef e a t u r eo ft h e e l e c t r o n i cg o v e r n m e n ti nc h i n a b r i n gf o r w a r ds o m en e wm o d e lt oa d a p t t ot h es i t u a t i o no ft h ec o u n t r y s t i l lm o r e ，r e s e a r c hi nt h ec o n c e p to fp k i a n dt h ef u n c t i o ni tm a ya c ti nt h ee l e c t r o n i cg o v e r n m e n ti no u rc o u n t r y , a l s og i v e sap k it r u s tm o d e lt oa d a p tt ot h es i t u a t i o no fe l e c t r o n i c g o v e r n m e n ti n o u rc o u n t r y , a n da s s u m et h ee g o v e r n m e ti nt h e3 g s u r r o u n d i n g a tl a s t d or e s e a r c hi n t h eh a s ht e c h n o l o g yu s e di nt h e d i g i t a lc a s h ，i n d i c a t i n gt h a tt h eh a s ht e c h n o l o g yi s a ne f f e c t i v ew a yt o g u a r a n t e e t h ed i g i t a lc a s hs e c u r i t y k e yw o r d ：d i g i t a ls i g n a t u r e ，e l e c t r o n i cg o v e m m e n t ，p l r d ，d i g i t a lc a s h 亘童窑鎏盔堂塑主堡塞皇兰焦迨塞篁! 要 第一章导论 1 1 研究数字签名的意义 人类进入二十一世纪，信息化浪潮已经席卷了地球的每个角落。互联网已 经将整个世界联系起来，网络深刻的影响着人类的生活方式，它改变了传统的 事务处理方法，给我们提供了前所未有的便捷和无限的发展空间。 信息产业是当今国际经济发展的主导产业，信息安全作为信息产业发展的基 础，已经成为高科技领域所探讨的重要内容。随着计算机技术、信息通讯技术 和制造技术的迅猛发展，社会经济生活发生了显著的变化。信息已经从过去普 通的知识形态转变成关系产业升级的重要战略资源，信息技术及其产业一跃成 为当今世界经济与社会发展的主要驱动力。而作为信息交流的载体，互联网无 疑成为当今社会最显著的特征。信息化已成为当今世界经济和社会发展的大趋 势。信息化水平已成为衡量一个国家现代化和综合国力的重要标志。 为了加快我国现代化建设的步伐，进一步提高综合国力，我国国民经济信息 化建设受到了前所未有的重视。企业信息化作为国民经济信息化的核心，成为 国民经济信息化的战略重点。在江泽民主席“以信息化带动工业化”的方针指 导下，我国已经拥有2 6 5 0 万上网用户和数万家上网企业，伴随发展起来的信息 设备制造业和服务业的增长率是国民生产总值增长率的3 倍：正在紧锣密鼓筹+ 建的宽带工程更将对我国信息产业的发展产生强大的推动力。 在信息产业蓬勃发展和人们享受信息化带来的便利的同时，信息网络本身存 在着的众多软硬件方面的漏洞也逐渐暴露出来。诸如病毒、黑客、盗窃等信息 安全问题严重干扰着信息产业建设的步伐。据统计，全世界由于信息系统的脆 弱性而导致的损失每年达数亿美元，网络入侵事件每2 0 秒就会发生一次、互联 网的防火墙超过i 3 被攻破过、甚至连微软也因管理疏忽而遭到袭击 由于信息犯罪人员的智能性、犯罪手法的隐蔽性、手段的多样性、犯罪后果 的难以验证性等特点，信息犯罪已经成为信 息社会面临的头号难题。这不得不使各级政 府、各个行业和企事业单位的领导开始重视 网络安全问题，信息安全建设已成为我国国 完整世 机密性 可用性 亘塑窑堡查堂塑圭塑塞竺兰垡笙奎篁! 夏 民经济信息化建设的核心内容。 信息安全有三个原则，通常被称为“三大”( t h eb i gt h r e e ) ，它起源于对 信息资源的机密性、完整性和可用性( c i a ，c o n f i d e n t i a l i t y ，i n t e g r i t y a v a i l a b i l i t y ) 维护的需要。 一个可靠和安全的网络环境需要保证每一个原则都被合理的保护。为了保证 维持“三大”原则，并保证被存储熟悉和数据流的保密，“三大”原则是通过可 靠的安全措施实现的。这些措施包括身份验证( a u t h e n t i c a t i o n ) 、授权 ( a u t h o r i z a t i o n ) 和审计可说明性( a u d i t a c c o u n t a b i l i t y ) 等，我们通常将上 述措施简称“a 从”。 数字签名( 又称电子签名) 作为一项重要的安全技术，在保证数据的完整性、 私有性和不可抵赖性方面起着极其重要的作用。同时，随着信息技术的发展及 其在商业、金融、法律、政府等部门的普及，数字签名技术的研究将越来越重 要。 信息安全反映的是信息系统对于因系统故障、人为失误、恶意破坏以及各种 自然灾害而引起正常业务中断的抵抗能力，它包括以下四方面的内容： 完整性：是指程序和数据的存在状态应该与它们原来的存在状态相同， 信息不能被非法修改，无论这种修改是偶然无意的还是蓄谋恶意的。完 整性反映了信息的精确度与可靠性； 可用性：可用性是指无论何时，如果用户需要，信息系统就不能拒绝服 务。解决可用性问题可用通过提高信息系统的准确性、双机备份、加强 系统管理阻止非法操作等措施和方法来实现： 保密性：保密性是指信息的拥有者有权保持数据的秘密性，只有得到授 权的用户才可以获得该信息，保密性是信息安全的重要方面，在一般的 系统安全控制措施中，通常采用口令设置、身份验证、存取控制、数据 加密等技术满足信息的保密性要求； 不可抵赖性：不可抵赖性是指用户不能否认自己的行为。这点对于政府 或仲裁机构监管信息系统保证信息安全有很重要的作用。 数字签名技术利用散列函数保证数据的完整性，同时结合公钥加密与对称密 钥加密的优点，保证信息的保密性与不可抵赖性。已经证明：在大多数情况下， 安全需求不是为了数据的保密，而是保证数据的可靠性，数据源的证明或非否 认。满足这些要求的一种很好的方法就是使用数字签名。 亘南交通大学硕士研究生学位论文第3 页 1 2 数字签名的研究现状 1 2 1 数字签名的发展 自从1 9 7 6 年迪菲和赫尔曼提出数字签名概念以来，数字签名技术引起了学 术界尤其是密码学界和计算机网络界的广泛重视，特别是随着i n t e r n e t 、i n t r a n e t 的飞速发展和广泛应用，数字签名技术获 ：导了更加广泛的研究和应用。 i s o 于1 9 8 4 年9 月专门为此立项，指定由s c 2 0 下属的w g 2 负责制定该标 准，这表明了i s o 对数字签名的重视。s c 2 0 将数字签名正式分为三类：带印章 的数字签名、带影子的数字签名和使用h a s h 函数的数字签名：1 9 8 8 年5 月提 出了“数据加密：使用h a s h 函数的数字签名”建议草案，即d p 9 7 9 6 ：1 9 8 9 年 1 0 月该草案提升为d i s 9 7 9 6 。与此同时，各国的标准化组织对数字签名的标准 化工作也紧锣密鼓地进行，尤其是美国，n i s t 在1 9 9 1 年推出了美国数字签名 算法标准- - d s a d s s 数字签名算法标准，1 9 9 4 年5 月在联邦记录中公布，1 9 9 4 年1 2 月被采纳。 在理论方面，1 9 8 9 年c h a u m 和a n t w e r p e n 提出了不可抵赖的签名，不可抵 赖的签名是一种特殊的数字签名：签名的接收者没有签名者的帮助接受者就不 能验证签名，这在某种程度上保护了签名者的利益。 不可抵赖的签名由确认协议、否认协议和一个签名算法组成。在确认协议中， 验证者可以通过与签名者的对话来验证签名的合法性，签名者没有机会对一个 无效签名的合法性作伪造的说明，如果合法性验证没有通过，则验证者能够通 过否认协议判断出签名是无效的还是签名者不诚实。不可否认的签名在许多应 用中优于数字签名，比如一个软件发行商可利用不可否认签名来给他的产品签 名，用户要想证实产品的真实性必须与发行商合作，这样发行商就可以控制产 品的使用：只有经过合法授权的用户才能使用产品。 1 9 9 1 年d a v i d 等人又提出了群签名理论，它允许群中的各个成员以群的名 义匿名的签发消息，群签名是具有以下特性： ( 1 ) 只有群成员才能代表群给消息签名； ( 2 ) 签名的接收者能验证签名的有效性，但不能看出产生签名的是群的哪个 成员； ( 3 ) 在事后有异议的情况下，即可由群的所有成员，也可由一个可信管理机 构来识别这个签名者。 另外，经过几十年的发展，数字签名的理论已经得到的长足的发展，能够满 亘壅奎塑查兰塑主堑壅兰兰笙迨奎蔓! 基 足不同要求的数字签名方案层出不穷，如：盲数字签名、一次数字签名、不可 否认的数字签名、具有消息恢复的数字签名等等。这些我们将在以后的论述中 介绍。 1 2 2 数字签名的应用现状 1 数字签名的应用 从数字签名实现的功能可以看出，数字签名技术作为计算机数据安全的一项 重要安全机制，主要用来实现抗抵赖性服务，从而保证通信双方的利益，因此 其在计算机网络安全通信中占有重要的地位。数字签名技术已成为计算机网络 安全必不可少的一项安全措施。 目前，数字签名技术已应用于商业、金融、政治、军事等领域，特别是在电 子邮件( e m a i l ) 、电子资金转帐( e f t ) 、电子数据交换( e d i ) 、电子现金( e c a s h ) 、 软件分发数据存储和数据完整性检验和源鉴别中的应用，更使人们看到了数字 签名的重要性。 数字签名技术在软件分发中的应用示例： ( 1 ) 软件商用自己的签名密钥对软件进行签名； ( 2 ) 软件商将签了名的软件和对应于签名密钥的验证密钥供应给用户： ( 3 ) 用户使用验证密钥确认软件的来源及其版权，从而合法使用。 从上述过程可以分析出，如果用户没有验证密钥，则无法使用该软件，从而 保证了软件商的利益。同时，具有验证密钥和签了名的软件的用户可以以此来 保证软件的合法性及自己的使用权。 签名作为一种传统的个人身份标志，在很多领域都有不同于其它特征的使用 优势，在银行金融系统、商业交易过程、法律认证程序中，使用签名代表个人 身份已经沿用了几个世纪。签名鉴别就是通过对输入的手写字迹进行分析，得 出字迹是否是由某特定人书写的结论。它与汉字识别不同，汉字识别关心的是 手写字迹的内容，其目的是识别出具体每个字是什么，而签字鉴别关心的是签 字是真是假，即是由何人书写的。在线签名鉴别系统获取数据方便快速，存储 和管理简洁，适应了现代电子社会的效率要求：而这种身份认证方法，又符合 人们的传统习惯，心理上接受容易，因而必将在金融界和商业上广泛应用，如 电子商务、家庭购物、在线股票交易、自助银行等。现在在电子商务中已经十 分广泛地应用了数字签名技术，交易双方的身份认证、电子支付、电子现金、 数字证书等都是数字签名的应用实例。认证中心( c a ) 就是承担网上安全电子交 易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常 亘蜜銮塑盔兰堕主塑室兰兰篁笙窒蔓! 要 是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的 管理。认证中心依据认证操作规定( c p s ：c e r t i f i c a t i o np r a c t i c es t a t e m e n t ) 来实施服 务操作。相关细节我将在后面详细阐述。 2 国外数字签名立法情况 随着数字签名在信息安全及日常生活中发挥越来越重要的作用，建立规范和 管理数字签名的法规一一数字签名法也成为发展的必然。数字签名法的作用就 是确认网络行为人的身份，标识网络行为人的信用度。 2 0 0 0 年6 月，美国首先通过法律赋予了数字签名的文件与纸质文件同等法 律效力，这里的数字签名包含我们讨论的数字化手写体签名，从而为签字鉴别 技术的发展注入了新的活力，真正使数字签名的发展达到了有法可依的水平。 而欧洲在这方面发展甚至比美国还要快，欧盟在1 9 9 9 年1 2 月1 3 日通过了 欧洲议会及欧盟理事会在集体范围内关于数字签名的指令( d i r e c t i v e ) 。与此 相应地，其成员国如法国于2 0 0 0 年3 月1 3 曰，其议会也接收了修改民法典的 提案，正式接受了数字签名。该指令是欧盟系列指令的发展结果，指令指出目 的是方便数字签名的使用并使其法律效力得到承认。 指令包括说明，十五条正文以及四个附件，其主要内容包括：确定数字签名 效力的原则；给数字签名及相关概念下了定义；确定了成员国国内及国际数字 签名认证服务的市场准入：对数字签名数据的保护；生效与修改；在指令附件 中对于数字签名认证提供商、数字签名的产生装置、数字签名的安全核对提出 了技术上和法律上的具体要求。 除此之外很多国家都制定了数字签名法，除了欧美发达国家之外，很多发展 中国家也都制订了数字签名法，特别是亚洲的周边国家和地区，如马来西亚、 韩国、菲律宾、香港特别行政区等。同时，许多国际组织也制定相关的法律文 件，如联合国国际贸易法委员会的电子商务示范法和数字签名统一规则( 草 案) 。 3 我国数字签名的法律现状 我国有关信息安全的立法不少，除了各种法律，还有行政规章等。但它们通 常都是条块分割，各个部门分管。由于网络的开放性，是融合了很多资源在一 起，各部门分管的制度很不适合网络这个特殊的载体。另外，我国的网络信用 安全立法几乎是空白，关于电子认证和电子证据方面的法律规范更是少。 现在这方面的问题已经引起了各界的重视，2 0 0 0 年全国人大三次会议期间， 三十名人大代表联名提出电子商务立法的一号议案。上海市2 0 0 0 年1 月制定了 酉南交通大学硕士研究生学位论文第6 页 上海市电子商务价格管理暂行办法( 数字证书部分) ；海南省2 0 0 1 年4 月颁 布了政府规章海南省数字证书认证管理试行办法；北京市工商局2 0 0 2 年8 月出台电子商务监督管理暂行办法。 广东已经于2 0 0 2 年底通过了广东省电子交易条例，这是全国首部有关电 子商务管理方面的法规。主要内容有三个方面：确立数字签名的法律地位、规 范认证机构的管理和规范电子交易服务提供商的管理。根据该条例，数字签名 是指以电子方式表现的用于鉴别身份的任何字母、字符、数字或其他代码等电 子记录，包括数字签名、口令、密钥、生物特征( 眼膜、指纹) 等鉴别方式。 它从技术上较好地解决了身份识别、防篡改、防抵赖等问题。条例第八条规定： “在电子交易过程中，安全的数字签名与书面签名具有同等效力。” 我国有关数字签名的立法是地方快于中央，这是数字签名法规化的一个必要 的过程，这样可以为建立国家性质的数字签名法积累必要的经验。其实在其他 国家也是这样，比如美国，其最早制定数字签名的是犹他州，最终也发展到全 国性的立法。 1 2 3 数字签名研究中存在的问题 数字签名经过多年的研究，也提出了很多比较可靠的可选方案，但是这些方 案大都和实际应用有一定的距离。面对实际生活中的各种各样的需求，现存的 数字签名方案应对比较困难。尤其是在某些特殊场合( 如电子政务) ，有针对性 的数字签名研究仍然是空白，这大大的影响了我国信息化建设的进度。 另外，现有的数字签名方案实用性比较差，方案复杂、效率不高、开销过大 的问题普遍存在，如何简化操作也是数字签名研究中急需解决的问题。 1 2 4 数字签名的研究方向 经过多年的发展，数字签名的研究已经呈现出百花齐放的景象，出现了很多 分支。这些分支能够满足不同用户的需要，也是今后研究的方向。下面我简单 介绍一下现在数字研究的一些热点。详细情况我将在以后的论文中根据需要展 开讨论。 数字指纹：“数字指纹”也叫“消息摘要”，发送方从报文文本中生成一个 1 2 8 位的散列值( 即报文摘要) ，然后用自己的私钥对这个散列值进行加密来形成 数字签名。这个数字签名将和报文一起发送给接收方。报文的接收方首先从接 收到的原始报文中计算出散列值( 或消息摘要) ，接着再用发送方的公开密钥来 对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认 该数字签名是发送方的。在实际应用中，为了不让报文的内容泄露，在发送报 西南交通大学硕士研究生学位论文第7 页 文前，先用接收者的公用密钥对报文加密，再进行数字签名，这样，对报文签 名确认无误后，只有接收方才能用自己的私用密钥解开密文。 数字签名协议的一个基本特征是文件的签署者知道他们所签署的内容。但有 时候我们不想让签署者知道( 或者不能准确知道) 自己签署的文件内容，这时 候就需要使用到一些特殊的协议，例如：盲签名。 “盲”签名在电子支付中作用很大，顾客需要发出包含银行帐号或别的重要 信息的付款报文，由收款者作出数字签名才能生效，但帐号之类的信息又不宜 泄露给签名者，以保证安全。这种情况可以使用“盲签名方案”。其原理是：在 给签名者进行签名之前，发送者先用种秘密的算法对信息进行加密，然后再 交由签名者进行签名。签名者发回签名后，发送者利用签名者的公开密钥验证 签名。这样，运用盲签名方案，别人包括发送者无法代替或冒充签名者的签名， 而签名者也不知道他所签署的报文的真实内容。 其他数字签名技术，如“数字时间戳系统”签名方案：将不可篡改的时间信 息纳入数字签名方案； “指定批准人签名方案”：某个指定的人员可以自行验证签名的真实性，其 他任何人除非得到该指定人员或签名者的帮助，不能验证签名； “一次性签名方案”：能签署单个报文的签名方案： “不可抵赖签名方案”：在签名和验证的常规成分之外添上“抵赖协议”，则 仅在得到签名者的许可信号后才能进行验证。 1 3本论文研究的主要内容、难点及创新 本文从阐述决策数字签名基本理论入手，探讨数字签名研究的各个方面， 然后进入电子政务的内容，分析数字签名在电子政务中的应用前景，利用现 有的数字签名方案建立了能够满足电子政务的一些特殊需求的模型。随后展 开讨论我国的金卡工程，讨论电子货币中应用的数字签名技术，最后是总结 论文的成果。 虽然数字签名的研究进行了很多年，也取得了很多成果，但是对于近年 来兴起的电子政务，有针对性的研究电子政务中使用的数字签名技术还未深 入，很多领域仍是空白。尤其是结合中国国情的研究更少，所以可以借鉴的 经验不多。本文创新的将其它学科的成功经验引入电子政务的数字签名技术 的研究中，提出了一些新的方案和研究方向，希望能对今后的研究有所帮助。 堕查茎堡盔兰堡主塑塞兰兰篁堡塞蔓! 壅 第二章数字签名简介 2 ，1 数字签名的由来 所谓签名，就是在传统的以书面文件为基础的事务处理中，为约束双方行为， 防止欺诈行为而采取的交易双方在书面文件上署名的方法。书面签名的形式包 括手写签名、郎章、指邻等，无论何种形式的签名都必须符合以下钓条件： 签名是可信的。签名是文件的接受者相信签名者是慎重的在文件上签名 的： 签名是不可伪造的。签名可以证明签名者的身份； 签名是不可重用的。签名是文件的一部分，其它人不可能将签名转移到 其它的文件上： 经过签名的文件是不可改变的。在文件签名后，文件不能改变： 签名是不可抵赖的。签名者事后不能否认自己签过名。 签名就意味着双方对文件中规定的权利义务的认可，具有法律效应。这样， 如果出现纠纷，有关当事人只需向某权威机构出示签名文件，由它来鉴别签名， 判定文件是否真实有效，并据此明确双方的权利、义务和责任。从而有效地解 决纠纷，制止敬诈行为。 然而现实生活中，签名只能在一定范围内保证自己的合法性。不法之徒会利 用各种方法伪造签名、将签名转移、或者改变已经签名的文件。但是签名仍然 具有不可替代的作用。 在现在信息化的环境下，人们希望通过数字通信网络进行迅速的、远距离的 文件签名，这时信息的交换都是以电予文件的形式。由于其特殊性，我们可以 轻易的复截文件或将一个签名从一个文件复制到另外的文件中；经过签名的文 件也可以被修改丽不被发现。在这样的条件下，我们要有一种有力的方法保证 信息的安全。保证通信双方的权益。数字签名就在这样的要求下产生了。 数字签名是防止通信双方发生否认、伪造、篡改、冒充等的一种认证技术， 是传统文件手写签名的模拟。虽然数字签名采取的是和传统签名截然不同的技 术，但作为签名它还是必须达到所有签名方式都应达到的要求。 数字签名与传统手写签名的主要差别在于： 签署文件方面。一个手写签名是所签文件的物理部分，而数字签名不是， 堕蜜交遥鱼太学硕士研究生学位论文第9 页 所以要使用其它的办法将数字签名与所签文件“绑定”； 验证方面。一个手写签名是通过和一个真实的手写签名相比较来验证 的。而数字签名是通过一个公开的验证算法来验证： 签名的复制。一个手写签名不容易被复制，因为复制品通常比较容易被 区分出来。两数字签名很容易被复制，因为一个文件的数字签名的复制 品和原文件是一样的。所以要使用数字时问戳等特殊的技术避免数字签 名的重复使用。 2 2 数字签名中使用的密码技术 数字签名中使用的密码技术大体分为公钥密码体制和私钥密码体制( 对称密 码体制) ，并且应用了多种不同的密码技术，比如时间标记，单向散列函数等。 2 2 1 对称密钥体制 基于密钥的算法通常有两类：对称算法和公开密钥算法。 对称算法也叫私钥密码算法或者单密钥算法等。它的特点就是加密密钥能够 从解密密钥中得到，反之也成立。在大多数对称算法中，加密密钥和解密密钥 是相同的，算法要求发送者和接收者在通信前商定好密钥。对称算法的安全性 依赖于密钥，因为算法一般都是公开的，密钥泄漏就意味着任何人都能对消息 进行加密解密运算。对称算法可分为两类：流密码和分组密码。 如果一方( a l i c e ) 想对一个消息进行签名，并且传送给另外一方( b o b ) ， 她可以使用对称密码来实现。 使用对称密码体制的数字签名方案中，需要一个可信的第三方( t r e n t ) ，他 能同时与a l i c e 和b o b 通信。t r e n t 和a l i c e 共享秘密密钥畅，和b o b 共享秘密 密钥。通信各方在协议开始之前需要商议好密钥，密钥可以多次重复使用。 利用对称密码进行数字签名的步骤如下： ( 1 ) a l i c e 用畅加密她准备发送给b 0 b 的消息m ，并把它传送给t r e m ； ( 2 ) t r e n t 用心解密消息； ( 3 ) t r e m 把这个解密消息和他收到的a l i c e 消息的声明一起用加密： r 4 1t r e m 把加密的消息传送给b o b ； ( 5 ) b o b 用岛解密消息包，这样他就得到了a l i c e 所发的消息m 和t r e n t 的证书，证明消息是来自a l i c e 。 一亘璧至塑查兰塑主塑塞兰兰篁迨塞 蔓! 旦夏 a l i c e t r e n t b o b 似) ” 作为中间人或可信第三方的t r e n t 如何确定消息是来自a l i c e 而不是其它的 顶冒者? 由于只有他和a l i c e 共享他们两人的秘密密钥，所以t r e n t 如果能够正 确的解密消息，就能证明消息确实是来自a l i c e 。 这样的协议是否满足签名的基本要求，下面我们将分析它的安全性。 ( 1 ) 这样的签名是可信的。t r e n t 是可信的仲裁者，他可以认定消息来自于 a l i c e ，并且可以向b o b 保证签名的真实性： ( 2 ) 这个签名是不可伪造的。只有a l i c e 和t r e n t 知道密钥局，因此只有 a l i c e 可以用酌加密消息发送给t r e m 。如果有人冒充a l i c e ，t r e n t 在 协议的第二步就可发现； ( 3 ) 这个签名是不可以重复使用的。如果b o b 想把t r e n t 的证书附到另外的 消息上，a l i c e 就会被人顶冒。这时候仲裁者( t r e n t 或其它的) 可以要 求b o b 同时提供消息和利用a l i c e 的私钥加密后的消息，然后用配解 密。由于b o b 不知道畅，所以他无法提供加密后的消息，或者仲裁者 无法正确解密b o b 提供的经过加密的消息，这样就可以揭穿b o b ； ( 4 ) 签名文件是不能改变的。b o b 如果想在接收后改变消息内容，仲裁者可 以利用上面描述过的相同的方法识破他： ( 5 ) 签名是不可抵赖的。即使a l i c e 以后声称没有发送消息给b o b ，t r e n t 会证明事实。 如果b o b 想把a l i c e 签名的文件给c a r o l 看，他又不能直接将自己的私钥交 给她，他可以通过t r e n t 转交。 ( 1 ) b o b 将消息和t r e n t 关于消息是来自与a l i c e 的声明用岛加密并发送给 t r e n t ； ( 2 1t r e n t 用妫解密消息包； 亘里至塑盔兰塑主婴塞兰堂垡笙窒塑! ! 要 ( 3 ) t r e n t 检查他的数据库，并确认原始消息是来自a l i c e ； ( 4 ) t r e n t 用他和c a r o l 共享的密钥k c 重新加密消息包，把它传送给c a r o l ： ( 5 ) c a r o l 解密消息包，这样她就得到能够阅读消息和t r e n t 证实消息来自 a i i c e 的证书。 虽然这个协议是可行的，但是对于仲裁者t r e n t 来讲，他的工作将是十分繁 重。他不得不忙于加密解密消息，充当通信双方的中闻人：并且他还必须备份 自己收到的消息，以便日后查证。他将成为一个大系统中的瓶颈。 更严重的问题在于t r e n t 的安全，他必须保证自己的绝对安全，不能泄漏任 何数据和他与其它用户共享的密钥。如果有人攻破了他，整个系统将不再安全。 所以，利用对称密码体制的数字签名协议只能用在小系统或者有特殊要求的系 统中。 2 2 2 公开密钥体制 在对称密码体制中由于加密密钥和解密密钥是可以相互推导的。密钥暴露会 使系统变得不安全。对称密码体制的一个严重缺陷在于：通信双方在传送密文 之前必须要使用一个安全信道预先通信密钥k 。在实际中，找到一个满足要求 的安全信道是很不容易的。 而公钥密码体制可以解决密钥交换的问题。在公钥密码系统中，解密密钥和 加密密钥是不同的，并且很难从一个推导出另外一个。公钥密码算法的密钥都 是对的，个是私钥，用户自己保存并保密；另外一个是公钥，用户可以将 它分发给任何需要的人。这样通信双方不用预先交换密钥就可以建立保密通信 了。现在密码研究的重点是公钥密码，人们也提出了很多的算法，如r s a 、椭 圆曲线等。这些算法我们将根据需要加以讨论。 利用公钥密码体制进行数字签名的协议比较简单，具体如下： f 1 1a l i c e 用她的私人密钥加密文件，从而对文件签名； f 2 1a l i c e 将她签名的文件传给b o b ； f 3 1b o b 用a i i c e 的公开密钥解密文件，从而验证签名。 奴( 训 利用公钥密码体系构建的数字签名系统比利用对称密码体系的系统方便，它 西南交通大学硕士研究生学位论文第，2 页 不需要中间人t r e n t 去签名和验证。b o b 只需要证明a l i c e 的公开密钥就可以了。 协议双方也不需要t r e n t 来解决争端，如果b o b 在第三步的时候不能得到正确 的消息，就证明签名是无效的。 这个协议满足签名的要求： 签名是可信的。当b o b 用a l i c e 的公开密钥验证消息时，他就知道文件 是由a i i c e 签名的； 签名是不可伪造的。因为只有a l i c e 知道她的私人密钥，也就是只有a l i c e 可以用她的私钥进行签名； 签名是不可重用的。签名是文件的函数，并且不可能转换成其它的文件； 被签名的文件是不可改变的。如果改变了文件内容，用a l i c e 的公开密 钥将无法得到正确的消息； 签名是不可抵赖的。b o b 不用a l f c e 的协助就可以验证她的签名。 但是，这个系统并不是没有漏洞的，如果b o b 假冒a l i c e ，将事前保存的用 a l i c e 私钥加密的消息转发给另外一个用户，如c a r o l 。c a r o l 收到消息后，用 a l i c e 的公钥解密，得到正确的消息。就认为b o b 是a l i c e ，这是b o b 就可以做 一些坏事，而将责任推给a l i c e 。所以，数字签名系统中还需要利用其它一些密 码技术来保证协议的安全。 2 2 3 其它密码技术 正如上面我们提到的，b o b 如果将签名和文件一起重用，可能嫁祸给a l i c e ， 比如是一张由a l i c e 签名的数字支票。 在b o b 取得这张支票后，可以去银行验证签名并兑换现金。在他兑换之前 保留了数字支票的无数个副本。过一段时间，b o b 又去另外一家银行兑换支票， 银行验证签名后会支付给b o b 现金。如此循环反复，只要a l i c e 一天不去银行 检查，b o b 就一天不会被发现。 为了解决这个问题，数字签名经常会包括时间标记。在签名时将时间和日期 的信息和文件一同签名。银行在验证b o b 提供的数字支票的时候会将时间标记 存储到数据库中。当b o b 第二次想兑现a i i c e 的支票的时候，银行会发现时间 标记和数据库中的某项记录相同，就可以认定b o b 的欺诈行为。 由于公钥密码算法的速度相当较慢，如果采用它对一个大文件进行数字签名 效率太低。为了节约时间，我们需要减少文件的大小，单项散列函数可以帮助 我们实现这个功能。 单向列函数又叫杂凑( h a s h ) 函数，它是能将任意长度的消息压缩到某一 亘童茎鎏盔兰塑主塑壅生兰竺迨塞篁! ! 要 固定长度的消息摘要( m e s s a g ed i g e s t ) 的函数。 h = h f m l 单向散列函数还具有如下单向性： 给定 磊很容易计算h ： 给定h ，根据h ( m ) = h 计算m 很难； 给定要找到另一消息m 。并满足h ( m ) = h ( m ) 很难。 在利用h a s h 函数的时候，a l i c e 并不对整个消息签名，而只对消息的消息摘 要签名，协议如下，在这个协议中，单向散列函数和数字签名算法是事先商议 好的。 ( 1 ) a l i c e 计算消息的消息摘要； ( 2 ) a l i c e 用她的私人密钥加密消息摘要，做为她对消息的签名； f 3 ) a l i c e 将消息和摘要传送给b o b ； ( 4 ) b o b 用a l i c e 发送的消息计算消息摘要，然后用数字签名算法对摘要进 行运算，同时用a l i c e 的公开密钥对解密消息摘要。如果得到的摘要和 自己计算匹配就证明签名是有效的。 h = 日( m ) o ( ( ( 功，旧) 使用h a s h 函数可以大大提高签名速度，并且由两个不同消息产生相同的1 6 0 位的散列值的概率是1 2 1 6 0 。因此，使用散列函数的签名和直接对消息是一样安 全，并且还会有其它的好处： f 1 ) 它可以破坏数字签名方案的某些数学结构，提高方案的安全性； ( 2 1 可以将文件和签名分开保存。用户可以无需泄漏签名所对应的消息，而 只公开签名。比如对消息m 的签名是y = s i g 。( ) ，其中h = h ( m ) ，用 户可以将眠y ) 公开。而保密m 。这样做，可以降低接受者对消息和签 名的存储量。档案系统可以验证文件的存在而不需要保存它们的内容s 数据库只需要保存各个消息的消息摘要。当用户将消息摘要交给数据 库，数据库对提交的消息摘要加上时间标记并保存。日后产生争端，数 据库可以通过查验消息摘要解决： ( 3 1 可以将签名变换和加密变换分开，允许使用对称密钥体制实现保密，而 要堕至鎏盔兰塑主墅壅生兰焦鲨塞蔓! ! 要 用公开密钥体制实现数字签名。这样可以提高整个系统的完整性和机密 性。 2 3 数字签名方案及安全性分析 2 3 1 数字签名方案的分类 按照不同的标准，数字签名方案有不同的分类方法。 如果按照数字签名所基于的数学难题分类，数字签名方案可分为基于离散对 数问题的签名方案和基于素因子分解的数字签名方案。e i g a m m 型数字签名方 案和d s a 签名方案就是基于离散对数的数字签名方案，而r s a 则是基于素因 子分解的方案。如果将离散对数问题和素因子分解问题结合起来，又可以产生 同时基于离散对数和素因子分解的数字签名方案。二次剩余问题可以认为是素 因子分解的特殊情况，如r a b i n 数字签名方案等。 根据签名用户的情况，可以将数字签名方案分为单个用户签名的数字签名方 案和多用户数字签名方案。多个用户的数字签名方案又称为多重数字签名方案。 根据签名过程不同，又可细分为有序多重签名和广播数字签名。 根据接收者验证签名的方式可将数字签名分为真数字签名( t r u ed i g i t a l m g n a t u r e ) 和仲裁数字签名( a r b i t r a t e dd i g i t ms i g n a t u r e ) 。在真数字签名中，签名 者直接把消息发送给接收者，接收者无需求助于第三方就能验证签名。而在仲 裁数字签名中，签名者要把签名经由可信第三方发送给接收者，接收者不能直 接验证签名；签名的可信性是通过仲裁者来保证的。 从计算能力上分，可将数字签名分为无条件安全的数字签名和计算上安全的 数字签名。一般的数字签名都是计算上安全的数字签名；无条件安全一般实用 性不大。 一般数字数字签名又可以分为一次性和非一次性签名等等。这里我们就不 一列举了。而且有些数字签名方案同时具有几种不同的性质，不能把某一数字 签名归于某一类。本论文也没有按照某一种分类介绍数字签名，而只是选取了 一些有代表性的方案讨论。 签名方案主要由两个算法组成，即签名算法和验证算法。签名算法中的基本 参数为( m ，s ，k ，s i g ，v e r ) ，其中：m 一所有可能消息的有限集合，s 一所有可能 签名的有限集合，k 一所有可能密钥的有限集合，即密钥空间，其中包含私钥和 公钥；跚一签名算法集合，陋r 一签名验证算法集合。 对于密钥集合k ，相应的签名算法为s 辔。s i g ，s i g k ：m s ，对于任意的 西南交通大学硕士研究生学位论文第1 5 页 消息肼m ，有j s 为消息肘的签名，将似，j ) 发送给签名验证者。 对于密钥集合k ，有签名验证算法 w 咯：m x s 哼t r u e ，f a h e ) ，、f t r u e ， w k b j 2 i ，a b p ， y = s i r , f ( x ) y s i r , k ( x ) 签名验证者收到伸，矽后，计算v e r k ( z ，y ) ，若v e t k ( x ，y ) = t r u e ，签名有效： 否则签名无效。 2 3 2 数字签名算法d s a 和数字签名标准d s s d s a 是基于离散对数的一种签名方案，它的机制如下： f 1 1 初始过程 选择大素数p ，2 。1 p 2 。，5 1 2 工 1 0 2 4 ，且三是“的倍数，即比特 长度在5 1 2 到1 0 2 4 之间，长度增量为6 4 b i t , 选择素数q ，要求是咖。的素因子，并且2 ”9 q 2 ”o ，即比特长度为1 6 0 b i t g = 矗p 一1 ) “m o d p ，其中h 是整数，并且j l 。 用户的密钥x 是一个随机或伪随机整数，其中o x q ；公开密钥是 y = g 。m o d p 。 + ( 2 ) 签名过程 对于待签名的消息m ，用户选择一个随机数k ，1 ，则，s ，x 。d ) e = t p r o b ( s 0 d e t ( mc ，因此 可获得签名者身份( 其公钥弘) 。 要妻奎堂查兰耍主壁塞兰堂焦笙奎蔓! ! 垦 若坩( 弛s ，y o ) = t r u e ，算法v e r 以消息r n 、签名5 、群权威和群成员公钥 弘和对应证书a 为输入，输出签名者身份信息s i ；对于输入的消息肌、签名s 、 群权威、群成员公钥肼以及签名者身份信息s ，签名者身份校验谓词v i 输出 如下： 呱小 刚= 愁意k 墨v 即 孙q 知 签名者身份是可以证实的，即群权威无法向验证方提供错误的签名者身份信 息，从而陷害与签名无关的群成员，“捏造”出他签名的证据；签名者身份的证 实不应该影响到签名者以前及将来的签名。 群数字签名可以应用到很多场合，比如投标。所有参加投标的公司组成一个 群，成员可以匿名使用群数字签名签他的标书，当投标结束后，中标的那个签 名可以被识别出来，而所有的其它投标的签名者仍然是匿名的。如果签名者反 悔，无需签名者的合作，他的身份就能够被揭露。 下面我们介绍硌p - w 可变群签名并分析它的安全性。 1 9 9 5 年p a r k 和l e e 根据，次i 一十非交互的群签名方案。1 9 9 6 年，k i m 、p a r k 和w o n 根据这7p 可变群签名方案( c o n v e r t i b l e g r o u ps i g n a t u r e ) ，称为k p - w 群方案不仅具有群签名的特性， 而且还有如下特性：公开一些秘者的群签名转化为一般的签 名，任何人都可以验证签名的有i 初始阶段：选择n = p q = ( 2 彦p p ，q ，f ，p 和q 。为相异