（计算机应用技术专业论文）基于pki的匿名数字证书的研究与实现.pdf

at h e s i si nc o m p u t e ra p p l i c a t i o n1 e c h n o l o g y r e s e a r c ha n di m p l e m e n t a t i o no f a n o n y m o u s d i g i t a lc e r t i n c a t eb a s e d o np k i b yw a n gb i n g s u p e r v i s o r ：p r o f 色s s o rz h o u f u c a i n o r t h e a s t e r nu n i v e r s i 够 j u n e2 0 0 9 一 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取 得的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰 写过的研究成果，也不包括本人为获得其他学位而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说 明并表示谢意。 学位论文作者签名：王鲁 日 期：方d 。罗7 。s 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位 论文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文 的全部或部分内容编入有关数据库进行检索、交流。 作者和导师同意网上交流的时间为作者获得学位后： 半年口一年一年半口两年口 学位论文作者签名：主乡 签字日期：。罗，7 、岁 新躲嬲万 签字日期。夕哆、7 厂 o tr ， i 、j 东北大学硕士学位 计算机和网 注的信息安全问 的核心是认证中 密和数字签名等 泄露了证书持有者的个人信息。因为根据x 5 0 9 证书标准，在由c a 发布的数字证书的 主体名域中会标有证书持有者的真实名称。当证书持有者向服务提供者或站点出示证书 时，用户的真实身份信息也就泄露了。这种基于x 5 0 9 标准的实名数字证书就不能用在 保护用户个人隐私的匿名服务中，如网上交易或电子投票等。 为了满足现代通信中的安全性与隐私性的要求，本文在对p 体系进行深入研究的 基础上提出了一个在现行的p k i 体系中发布匿名数字证书的方案一基于p c a 的匿名证 书发布方案，并根据此方案设计了一个基于p 的匿名证书发布模型，该方案的提出解 决了以往方案中的计算复杂，难于应用到现行的p 体系中等问题，并且该方案发布的 匿名证书具有匿名性和有条件的可追踪性等特点。并在对此方案进行详细分析的基础 上，又提出了一个权限分离的匿名证书发布方案，最后依据此方案开发了一个匿名数字 证书系统。 为了设计一个具有通用性、开放性和共享性的匿名数字证书系统，根据权限分离的 匿名证书发布发案开发的匿名数字证书系统也采用了通用的x 5 0 9 证书标准，着重实现 了匿名数字证书的申请、签发、追踪和撤销功能。由c a 服务器实现实名证书的签发， 由b i 和a i 服务器共同来实现匿名证书的签发和追踪功能。通过使用系统签发的匿名数 字证书即可以在信息传输中验证用户身份，保证信息传递的安全性、合法性和完整性等， 还可以在通信过程中有效地保护用户的隐私，适用于各种匿名服务中。 关键词：公钥基础设施：c a ；数字证书：匿名数字证书 一i i 、。；f-|一 ， ， 钆 一r j 二 东北大学硕士学位论文 摘要 r e s e a r c ha n di m p l e m e n t a t i o no f a n o n y m o u s d i g i t a lc e r t i 6 c a t eb a s e do np k i a b s t r a c t t h es o c i e t yh 弱t e r e di n t ot h ei n f o m l a t i o na g ew i t l lm ed e v e l o p m e n to fc o m p u t e r 肌d n e 抑o r kt e c h n o l o 西e s ，t h u s ，m es e c u r i t yp r o b l e mo fi n f o n n a t i o nh a sb e c o m em e 如n d 锄e n t a l m a t 既a tp r e s 饥t ，p u b l i ck e yi n 行a s t m c t u r e ( p k i ) i st h em o s tp o p u l a ra i l de 疏c t i v es c h e n l et o s o i v et h i sp m b l e m t h ek e m e lo fp k ii sc e n i f i c a t i o na u m o d t y ( c a ) ，a n dc a p r 0 v i d e st h e s e r v i c e ss u c h 雒e i l c r y p t i o n 锄dd i 西t a ls i 印a t u r ef o ra l ln e t 、o r k 印p l i c a t i o n sw i t ht h ed i 酉t a l c e n i f i c a t i o n ， a i l d f i n a l l y i tc a l la c h i e v es e c 嘶t yc o 舢m u n i c a t i o i l s w 1 l i l e u s i n gd i 西t a l c e n i f i c a t e ，i tr c v e a l st 1 1 e 硼v a t ei n f 0 肌a t i o na b o u tm eo w n e ri n 锄a u m e n t i cm a l l l l 既b e c a u s e o ft l l ex 5 0 9s t a l l d a r d ，c ai s s u e st 1 1 ec e r t i 6 c a t ew i mr e a ln 锄ei na 旭鲫b j e c tn 锄ef i e l d w h e l lm eo w n e ro fn l ec e r t i f i c a t es h o w sm ec e r t i f i c a t et 0s e i c ep r o v i d e ro fw e bs i t e s ， m e a n w l l i l e l e 缸1 l ei d e n t i f i c a t i o no ft h eo w r l l e ri sd i s c o v 硎t l l i sk i n do ft i u en 锄e c e n i f i c a t eb 嬲c do fx 5 0 9i s i n c a p a b l eo f 锄o n y m o u ss e r 啊c e sm a tp r o t e c to fp r i v a c y i n f o 肌a t i o n ，跚c h 嬲e - p a y m e n ta n de l e c 仃o n i cv o t i n g 1 1 1o r d e rt 0m e e tt h ed e m a i l df o rs e c u r i t ya i l dp r i v a c y b 嬲e do nt h es t u d yo fp k i s y s t e i n t l l i sp 印e rp r 0 v i d eas c h e m ef o ri s s u i n ga n o n y m o u sc e n i f i c a t ei nc u r r t l yp k is t s t e m ，m a ti s s c h 啪ef o ri s s u i n g 锄o n y m o u sc e n i f i c a t eb a s e do np c a ，t l l c i l d e s i 印 锄 a n o n y m o u s c e n i f i c a t ei s s u i n gm o d e la o c o r d i n gw i mt h es c h e i l l ep r 0 v i d e t l l i ss c h e m es o l v e st l l ep r o b l 锄s o fc o n l p u t a t i o n a l l ye x p e l l s i v ea n dh a r d l ya p p l i c a b l et 0m ee x i s t i n gp i np r e v i o 邯s c h e m e t h e 锄o n y m o l l sc e n i f i c a t ei s s u i n gi n 廿l es c h e r i l eh 弱m ec h 盯a c t 嘶s t i co f 锄o n y m i t y 锄d c o n d i t i o n a l 位a c ea _ b l e t h e nt 1 1 r o u 曲t l l ei m p r 0 v e i i l e n to fp r e v i o u ss c h e i l l e p r o v i d e a s 印a r a t i o m o f a u t l l o r i t y姐o n y m o u sc c n i f i c a t ei s s u i n gs c h e l l l e ， s o l v e st t l e p r o b l e m so f p r e 啊o u ss c h 锄e ，觚dt l l e nd e v e l o pa n 锄o n y m o u s c e n i f i c a t es y s t e m i i lo r d e rt 0d e s i 弘e 锄趴o n y m o u sc e r t i f i c a t es y s t 锄w h i c hi sw i d e l yp r o v i d e dw i m g e i l e r a l i t y o p e n n e s sa n ds h a r a b i l i t y t l l i ss y s t 锄i m r o d u c ex 5 0 9 s t 孤d a r da c h i e v i n gm e 如n c t i o n so fi s s u i n gc e r t i 6 c a t e ，a c c e r a b l i n gc e n i f i c a t e 孤dr e v o k i n gc e r t m c a t e i np r a c t i c e ，c a s e r v e ri sr e s p o n s i b l ef o ri s s u i n gr e a ln 锄ec e r t i f i c a t e ，锄db i 锄da is e r v e ra r er e s p o n s i b l ef o r i s s u i n g 锄da c c e a b l i n ga n o n y m o u sc e n i f i c a t e i ti sn o to n l yu s e df o rv a l i d a t i n gi d e n t i t yo fn e t u s e r s ， p r o t e c t i n gv a l i d i t y 锄di n t e 目a l i t yo ft r a n s f 折e d m e s s a g e s ，b u t a l s o p r o t e c t i n g u s e r s p r i v a c y i ti s 印p l i c a b l et oa nk i n d so fa n o n y m i t ys e i c e s k e y w o r d s ：p u b l i ck e y i n 仔a s t r u c t u r e ；c a ；d i 百t a lc e n i f i c a t e ；锄o n ) 1 n r i o u sd i 萄t a lc e r t i f i c a t e i i i 、： 0 j i 氩 i 0 0 ， - 东北大学硕士学位论文 目录 独创性声明_ i 摘要i i a b s t r a c t i i i 第1 章绪论1 1 1 研究背景1 1 2 国内外研究现状2 1 3 论文内容与结构安排3 第2 章p 体系概述5 2 1 密码学基础5 2 1 1 对称密码技术5 2 1 2 公钥密码技术6 2 1 3 散列函数9 2 1 4 数字签名1o 2 1 5 数字信封13 2 2p k i 体系简介1 3 2 2 1p k i 定义。1 4 2 2 2p 的特点1 4 2 2 - 3p 的组成15 2 3p 提供的服务1 6 2 3 1 认证1 7 2 3 2 完整性l7 2 3 3 机密性1 7 2 4p k i 相关标准18 2 4 1x 5 0 9 标准18 2 4 2p k c s 标准18 2 4 3p k 标准1 9 2 5 数字证书1 9 2 5 1 数字证书概述。2 0 2 5 2x 5 0 9 证书2 0 2 5 3 数字证书的种类。2 l 2 4 本章小结2 2 一i v 一 sl 东北大学硕士学位论文目录 第3 章基于p c a 的匿名证书发布方案2 3 3 1 方案的提出2 3 3 2 方案的描述2 4 3 2 1 方案的详细描述2 4 3 2 2 方案分析2 6 3 3 本章小结2 9 第4 章权限分离的匿名证书发布方案3 1 4 1 方案的描述3 2 4 1 1 方案的详细描述3 2 4 1 2 方案分析3 6 4 2 方案的应用3 8 4 3 方案的比较3 9 4 4 本章小结4 0 第5 章权限分离的匿名证书发布发案在证书系统中的应用4 1 5 1 匿名数字证书系统的主要功能4 l 5 2 匿名数字证书系统的总体设计4 2 5 2 1 系统的总体结构4 2 5 2 2 系统的工作流程4 3 5 3 匿名数字证书系统的详细设计及实现4 4 5 3 1 申请匿名数字证书4 6 5 3 2 签发匿名数字证书5 1 5 3 3 追踪匿名数字证书5 3 5 3 4 撤销匿名数字证书5 4 5 4 本章小结5 6 第6 章总结一5 7 参考文献5 9 致j 谢6 3 一v c 鼍 j ， ! i ： ( 1 】 东北大学硕士学位论丈 1 1 研究背景 随着信息的电子化和网络的不断发展，一个国家的信息化水准和网络的发展程度己 经成为判断国家实力的重要标准之一。在此背景下，信息安全问题日益受到广泛关注。 从信息安全保密技术要实现的目标来看，一般包括身份认证、授权控制、审计确认、数 据保密、数据完整和可用性6 个方面【l 】。身份认证是网络安全应用系统中的第一道防线， 目的是验证通信双方的真实身份，防止非法用户假冒合法用户窃取敏感数据。身份认证 通过了，才谈得上授权控制和审计确认，也只有在进行安全可靠的身份认证的基础上， 各种安全系统才能最有效地发挥安全防护的作用【2 】。 在这种形势下，对于身份认证技术的研究也逐渐发展起来。身份认证是对系统中的 主体进行验证的过程，用户必须提供他是谁的证明。在现实生活中，我们每个人的身份 主要是通过各种证件来确认，如身份证、学生证和户口本等。计算机系统和计算机网络 是一个虚拟的数字世界，一切信息包括用户的身份信息都是用一组特定的数据来表示 的，计算机只能识别用户的数字身份，如果不能保证以数字身份操作的操作者就是这个 数字身份的合法拥有者，也就是说如果不能保证操作者的物理身份与数字身份相对应， 那么将不能保证用户的信息安全【3 1 。在安全的网络通信中，涉及的通信各方必须通过某 种形式的身份验证机制来证明它们的身份，验证用户的身份与所宣称的是否一致，然后 才能实现对于不同用户的访问控制和记录。 目前在m t e n l e t 上使用基于公共密钥的身份认证机制，具体而言，就是使用符合 x 5 0 9 的身份证明。p 日( p u b l i ck e yh l f t r u 孤鹏) 是通过使用公开密钥技术和数字证 书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。数字证书是p 里最基本的元素，所有安全操作都是要通过数字证书来实现。p k i 通过数字证书进行认 证，在这里数字证书是一个可信的第三方证明，通过它，通信双方可以安全地进行互相 认证而不用担心对方是假冒的。通过第三方可信任机构即认证中心c a ( c e n i f i c a t e a u t h o r i t y ) ，把用户的公钥和用户的其它标识信息( 如名称、e m a i l 、身份证号等) 捆 绑在一起，在互联网上验证用户的身份【4 】。利用r s a 公开密钥算法在密钥自动管理、数 字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三 东北大学硕士学位论文第l 章绪论 方认证系统。c a 为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身 份的合法性。 目前，p 技术已趋于成熟，其应用己覆盖了从安全电子邮件、虚拟专用网络( v p n ) 、 电子商务、电子政务等众多领域，许多企业和个人已经从p 技术的使用中获得了巨大 的收益。尽管如此，人们在使用数字证书的同时，对个人隐私的问题也越来越关注，当 我们考虑到网络上的个人隐私问题时，不难看出p 不能很好的保护个人隐私，因为授 权机构必须公布其签名发布的证书，而证书里包含用户的个人信息，这就造成了用户个 人信息的泄露，这有可能给不法分子以可乘之机【5 】。出于公正、商业机密性和保护用户 隐私的动机，诸如电子现金、电子投票、电子选举、匿名通信等一些具体应用，客观要 求保密用户的身份和位置信息。信息安全和匿名业务的需求使得匿名技术的研究逐步深 入。那么如何在p 体系中使用数字证书证明自己身份的同时，又不向验证者泄露自己 的个人信息? 这就是本文主要解决的问题，本文在现有的p 平台的基础上，提出了一 种基于p c a 的匿名证书发布方案，并进行了分析和改进，而后提一种权限分离的匿名 证书发布方案，并对此方案予以实现。 1 2 国内外研究现状 我国的p k i 技术从1 9 9 8 年开始起步，由于政府和各有关部门对p k i 产业的高度重 视，其发展也比较迅速。自1 9 9 8 年国内第一家以实体形式运营的上海c a 成立起，我 国出现了很多c a ，如：以中国人民银行为首的1 2 家金融机构推出中国金融认证中心 c f c a 、中国电信认证中心c t c a 、广东电子商务认证中心等。 随着近年来我国信息化建设的加速，基于p 的数字证书机制在我国的应用从无到 有，现在我国3 0 多个省级行政单位，一些大型的企事业单位如银行系统，税务系统等 ， 都建立了c a 中心，初步建立基于p 的数字证书机制。2 0 0 4 年，我国通过电子签名 法，明文规定基于数字证书电子签名具有与传统的手写签名相同的法律效力，椽大推 动了我国电子商务，电子政务等网上交易活动的发展【l 】。 我国关于匿名数字证书的研究很少，而国外这方面的研究则开始的比较早。2 0 0 7 年1 2 月在w i l ( i p e d i a 上发表了一篇题为“d i 西t a lc e n i 矗c a t e ”的文章，文章中对匿名数 字证书的发展过程作了详细的介绍，在这个领域中c h a 啪做了大量的工作，他在1 9 8 5 年首先提出了匿名系统的概念，理论上这个系统允许用户使用不同的匿名参与多个组织 的通信。随后，c h 卸m 又设计了一个基于r s a 的盲签名方案，而后与e v e n s e 共同研究 一2 一 r；毒j 、 0 东北大学硕士学位论文第l 章绪论 提出了一个基于r s a 的匿名证书方案，但是这要求在所有的处理中都要有一个可信的 第三方来参与【6 】，这在一个分布的环境中是难以实现的。1 9 9 5 年，c h e n 通过使用基于 离散对数的盲签名技术设计了一个可行的方案，但是她的方案假定了可信方应该禁止在 不同的用户之间传输证书。在2 0 0 1 年，l y s y a n s k a y a ，r i v e s t ，s a l l a i 和w b l f 共同研究对 此方案进行了改进，解决了这个问题，但是他们的方案的计算代价比较大，因为方案中 需要计算单向哈希函数和并且也用到了零知识证明。 2 0 0 8 年在一篇题为a ne 伍c i ts y s t e mf o rt r a c e a b l ea n o n y m o u sc e n i f i c a t e ”的文 章中，c 锄e n i s c h 和l y s y 觚s k a y a 首先提出了一个无链接的匿名证书系统，这个系统允 许用户在需要的时候能够证明拥有证书，而不需要链接到每一个参与证书发布的组织， 以及提供了一个可选择的匿名证书撤销功能。他们引入基于强r s a 签名和群签名方案 【7 1 ，但是由于使用了零知识证明，计算上仍然很复杂。f r i e d m 舭和r e s n i c k 提出了一个 通过盲签名产生匿名证书的方案，虽然它采用了是盲签名技术，但是使用了集中的管理 与发布方法，这样并不能验证匿名证书的内容8 】【9 1 。因此，以上方案虽然都能实现发布 匿名数字证书的功能，但都存在各自的缺点。 1 3 论文内容与结构安排 本文的主要研究内容如下： ( 1 ) 对p 技术进行详细研究，包括p 理论基础、基本组成、相关标准，为后面 的基于p 平台的匿名证书的研究奠定理论基础。 ( 2 ) 提出基于p c a 匿名证书发布方案，并对此方案进行了详细的分析。 ( 3 ) 对基于p c a 的匿名证书发布方案进行详细分析后，提出使用盲签名的权限分离 的匿名证书发布方案。 ( 4 ) 根据提出的权限分离的匿名证书方案，构造了一个匿名数字证书系统。 文章的组织与安排如下： 第一章主要交待课题的研究背景和国内外的研究现状，阐述本课题的主要研究内容 并介绍论文的组织结构。 第二章介绍了p k i 密码学理论基础、基本组成、p k i 相关标准等问题。 第三章提出了基于p c a 的匿名证书发布方案。 第四章针提出了权限分离的匿名证书发布方案。 第五章基于权限分离的匿名证书方案设计了一个匿名数字证书系统。 一3 一 第l 章绪论 一4 一 rtl薄 ， 东北大学硕士学位论文 第2 章p k i 体系概述 p k i 体系是在公钥密码学的基础上发展起来的，所以在本章中先介绍p k i 体系的密 码学基础，然后再介绍p k i 体系的定义、组成、标准等内容。 2 1 密码学基础 加密技术是保护信息安全的重要手段之一，它是结合数学、计算机科学、电子与通 讯等诸多科学于一身的交叉科学，使用加密技术不仅可以保证信息的机密性，而且可以 保证信息的完整性和正确性。数据加密的基本思想是通过变换信息的表示形式来伪装需 要保护的敏感信息，使非授权者不能了解信息的内容。 2 1 1 对称密码技术 对称密码技术又称单密钥或常规加密技术，加密用密钥和解密用的密钥是同一个密 钥。它要求发送者和接收者在安全通信之前，商定一个密钥。对称密码技术的安全性依 赖于密钥，泄漏密钥就意味着任何人都能对消息进行加密解密。只要通信需要保密，密 钥就必须保密。对称密码技术可分为两类：一次只对明文中的单个位运算的算法称为序 列算法或序列密码，另一类算法是对明文的一组位进行运算，这些位组称为分组，相应 的算法称为分组算法或分组密码。对称密码算法可以表示为： 露( m ) = c ( 2 1 ) 巩( c ) = m ( 2 2 ) 其中，e 表示加密算法，m 表示明文，c 表示密文，d 表示解密算法，k 表示共享 的加密和解密密钥【1 0 1 。 使用对称密码技术进行数据加密的过程如图2 1 所示。 在对称加密中，消息的发送方和接收方事先通过安全的方式获得了共享的密钥，发 送方用共享密钥对明文进行加密转化为人们不能直接理解的无规则和无意义的密文，当 接收方收到密文后，用共享密钥对密文进行解密，从而恢复出明文。 一5 一 东北大学硕士学位论文第2 章p 体系概述 2 1 2 公钥密码技术 图2 1 对称加密过程 f 培2 1p r o c 懿so fs ) ，n 1 i i l e t r i ce i l c 帅t i o n 公钥密码技术是在试图解决常规加密面临的两个最突出的问题：密钥分配和数字签 名的过程中发展起来的。1 9 7 6 年w d i 街e 和m h e l l m a i l 创造性是提出了公开密码体制。 这一体制的最大特点是采用两个密钥将加密和解密分开：一个公开作为加密密钥，叫做 公钥( p u b l i ck e y ) ；一个为用户专用，作为解密密钥，叫做私钥( p r i v a t ek e y ) ，通信双 方无须事先交换密钥就可以进行保密通信。要从公钥或密文分析出来明文或私钥，在计 算上是不可行的。若以公钥作为加密密钥，私钥作为解密密钥，则可以实现多个用户加 密的消息只能由一个用户解读：反之，以私钥作为加密密钥，而以公钥作为解密密钥，则 可实现一个用户加密的消息可使多个用户解读。前者可用于保密通信，后者可用于数字 签名。 公钥加密算法可以表示为： c = 廓( m ) ( 2 3 ) m = ( c ) = ( m ) ( 2 4 ) 其中，p u k 和p r k 是通信双方产生出的一对密钥，p u k 是公钥，p r k 是私钥【1 0 1 。 使用公钥密码技术进行数据加密的过程如图2 2 所示。 在公钥密码体制中，每一用户产生一对密钥，用来加密和解密消息。每一用户将其 中的一个密钥存放于公开的寄存器或其他可访问的文件中，该密钥称为公钥，另一密钥 是私钥。如上图所示，每一用户可能拥有若干其他用户的公钥。若b 0 b 想发消息给灿i c c ， 则b 0 b 用a 1 i c e 的公钥对消息加密，a l i c e 收到消息后，用其私钥对消息解密。由于只有 砧i c e 知道其自身的私钥，所以其他的接收者均不能解密出消息。 一6 一 、 一 t 。 东北 的密钥管理问题，经过对公钥密码技术的初步学习和研究，总结了几点关于公钥密码算 法的优缺点，具体描述如下： ( 1 ) 使用公钥密码技术时，用一个密钥( 公钥或私钥) 加密的信息只能用另外一个对 应的密钥( 私钥或公钥) 来解密。 ( 2 ) 公钥密码技术没有密钥分发问题，通信双方事先不需要通过保密信道交换密钥， 所以非对称加密不必担心密钥被中途拦截。 ( 3 ) 密钥持有量大大减少。 ( 4 ) 公密钥密码技术还提供了对称密钥密码技术无法或很难提供的服务，如与哈希函 数联合运用组成数字签名。 使用公钥密钥密码技术的主要缺点是：加解密速度慢、耗用资源大。一般来说，实 用的加解密方案都综合运用了对称密码技术和公钥密码技术。 公钥密码体制提出以后，人们基于不同的计算问题，提出了大量的公钥密码算法。 最具代表意义的有r s a 算法，d h 算法，椭圆曲线e c c 算法。由于本文方案中主要采 用的是r s a 和d h 算法，所以下面将重点介绍这两种算法。 ( 1 ) r s a 算法 r s a 算法是由r r i v e s t ，a s h 锄i r 和l a d l e m 锄于1 9 7 7 年在美国麻省理工学院开 发，1 9 7 8 年首次公布。r s a 公钥密码算法是目前因特网上进行保密通信和数字签名的 最有效的安全算法之一。r s a 算法的安全性基于数论中大素数分解的困难性，所以， r s a 需采用足够大的素数。因子分解越困难，密码就越难以破译，加密强度就越高。 r s a 是一种分组密码，其中的明文和密文都是对于某个n 的从o 到n 1 之间的整数。 明文以分组为单位加密，其中每个分组是小于某个数n 的二进制值。也就是说，分组大 一7 一 东北大学硕士学位论文第2 章p 体系概述 小必须小于等于l o g ：甩；实践中分组大小是kb i t ，其中2 k n 2 k + 1 。对于明文块m 和密 文块c 加解密的形式如下： 加密：c = m 。m o d 解密：m = c d m o d = ( m 。) 4m o d = m 耐m o d 这一算法的描述如下【3 】： 选取两个保密的大素数p 和g ； 计算，l = p 木g ； 计算甩的欧拉函数，( 刀) = ( p 一1 ) 宰( g 一1 ) ； 选择整数e ，满足l p ( ，z ) ，且8 与( ，1 ) 互质； 计算d ，使d 奉8 = 1 m o d 中( 刀) 。 根据以上步骤，得到公开密钥尸= ( p ，刀) ，私有密钥艘= ( d ，p ，g ) ，其中p 为加密 指数，d 为解密指数。 r s a 的安全性是基于对大整数分解的困难性这一假设，这一假设在数学上至今没有 有效的方法得到解决。若不能对r s a 的模数以成功地进行分解为p 和g ，就无法得到解 密指数d ，从而保证了无法进行有效的攻击。但是随着计算能力的提高和分解算法的进 一步改进，原来被认为是不可能分解的大整数己经被成功分解了，因此在使用r s a 算 法时对其密钥的选取要特别注意大小要合适。在目前的计算条件下，建议选取，l 长为 1 0 2 4 比特或2 0 4 8 比特。 ( 2 ) d h 算法 d i 衔e 和h e l l m a l l 首次提出了公钥算法，给出了公钥密码学的定义，该算法通常称 为d i 币e h e l l m a i l 密钥交换，许多商业产品都使用了这种密钥交换技术。 该算法的目的是使两个用户能安全地交换密钥，以便在后续的通信中用该密钥对消 息加密。该算法本身只限于进行密钥交换。 d i 伍e - h e l l i i l 锄算法的有效性建立在计算离散对数是很困难的这一基础上。关于素 数的模幂运算相对容易，而计算离散对数却非常困难，对于大素数，求离散对数被认为 是不可行的。简单地说，我们可如下定义离散对数。首先定义素数p 的本原根，本原根 是一个整数，且其幂可以产生1 到p l 之间的所有整数。也就是，若口是素数p 的本原 根，则 一r 一 对于任意整数6 和素数p 的本原根a ，我们可以找到惟一的指数f ，使得： 6 兰口m o d p 这里o f ( p 一1 ) 指数f 称为6 的以口为底的模p 离散对数或指标，记为f 帆，( 6 ) 。 d i m e h e l l m a n 密钥交换算法的描述如下： 选取一个大素数p 和整数g ，l g p ，p 和g 无需保密，g 为p 的本原根； 用户a 选取一个大的随机整数， p ，并计算艺= g 以m o d p ； 用户b 选取一个大的随机整数， p ，并计算= g m o d p ： 用户a 将匕传给用户b ，用户b 将匕传给用户a ； 用户a 计算后= ( 匕) 以m o d p ，用户b 计算七= ( 匕) m o dp ，显然有 k = k k g x _ x bm o a p o 至此，用户a 和用户b 得到了相同的密钥七，于是，双方就可以用尼作为加密和解 密密钥，用对称密钥算法进行保密通信。 2 1 3 散列函数 散列函数在密码等信息的安全存储以及消息的签名中都扮演着重要的角色。通过计 算消息的摘要，只需更少的数据被更复杂的非对称加密算法所签名，而且仍然能保证消 息的完整性。而在信息安全技术中，经常需要验证消息的完整性，散列( h 硒h ) 函数提 供了这一服务。散列是一个执行单向加密的特殊数学函数，意味着一旦算法被执行，就 无法根据密文重新得到产生它的明文。散列函数对不同长度的输入消息，产生固定长度 的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要( m e s s a g ed i g e s t ) 。 具体可以表述为，散列函数日( 肘) 作用于任意长的消息m ，返回一固定长度为朋的杂 凑值( 散列值) i l ，即i i l = h ( m ) 。j l l 是多对一映射，因此不能从j l 求出原来的m ，但可 以验证任一给定序列y 和m 是否有相同的杂凑值。单向散列函数应具有以下特点：给定 膨，计算 很容易；给定j i l ，计算m 很难；给定膨，要找到另一条消息肘满足 一o 一 东北大学硕士学位论文第2 章p 体系概述 日( m ) = 日( m ) 很难。一个安全的哈希函数日必须具有以下属性： ( 1 ) h 能够应用到大小不一的数据上； ( 2 ) h 能够生成大小固定的输出； ( 3 ) 对于任意给定的x ，日( 工) 的计算相对简单； ( 4 ) 对于任意给定的代码j l ，要发现满足h ( x ) _ h 的x 在计算上是不可行的； ( 5 ) 对于任意给定的块x ，要发现满足日( j ，) = 日( x ) 的j ，在计算上是不可行的； ( 6 ) 要发现满足h ( x ) = 日( j ，) 的( x ，y ) 对在计算上是不可行的。 各种p 应用中提供可选的单向散列函数有许多种如，m d 4 ，m d 5 ，s h a ，i d e a 等等，在大多数应用中主要采用m d 5 和s h “1 1 1 。 ( 1 ) m d 5 算法 m d 5 ( m e s s a g ed i g e s ta 1 9 0 r i t h m 一5 ) 算法是由r r i v e s t 在1 9 9 1 年设计的。m d 5 按5 1 2 位数据块为单位来处理输入，产生1 2 8 位的消息摘要。 ( 2 ) s h s h a 一1 算法 s h a ( s e c u r eh 柚舢g o d t h m ) 算法由n i s t 开发，并在1 9 9 3 年作为联邦信息处理 标准公布。在1 9 9 5 年公布了其改进版本s h a 1 。s h a 与m d 5 的设计原理类似，同样 也按5 1 2 位数据块为单位来处理输入，但它产生1 6 0 位的消息摘要，具有比m d 5 更强 的安全性。 2 1 4 数字签名 数字签名( d i 百t a ls i 印a n 鹏) 是一个加密的消息摘要，附在消息后面，以确认发送 者的身份和该信息的完整性。数字签名的基本原理是：发送方生成报文的消息摘要，用私 钥对摘要进行加密形成数字签名。然后，这个数字签名将作为报文的附件和报文一起发 送给接收方。接收方首先从接收到的原始报文中计算出新的消息摘要，再用发送方的公 钥对报文附件的数字签名进行解密，比较两个消息摘要，如果值相同，接收方就能确认 该数字签名是发送方的，其过程如图2 3 所示。 一l o 一 一 、 j 东北大学硕士学位论文第2 章p 体系概述 ： ： ： ： t l 图2 3 签名与验证过程 f i g 2 3p c 锚so fs i g n a t l l 赡锄dv t 丽匆 数字签名方案通常包括三个过程【1 2 】：系统的初始化、签名产生和签名验证。系统的 初始化过程产生数字签名方案用到的所有参数；签名产生过程中，签名者利用给定的签 名算法对消息产生签名；签名验证过程中，验证者利用公开的验证方法对给定消息的签 名进行验证，得出签名是否有效的结论。具体如下： ( 1 ) 系统的初始化过程 产生签名方案的基本参数( m ，s ，k ，s i g ，v e r ) ，其中，m 是消息集合，s 是签 名集合，k 是密钥( 公钥和私钥) 集合，s i g 是签名算法集合，v e r 是签名验证算法集 厶 口o ( 2 ) 签名的产生过程 对于k 密钥集合k ，相应的签名算法为s i g l c s i g ，s i g l 【：m _ s 。对任意的消息m m ，有萨s i g k ( m ) ，s s 为消息m 的签名，将( m ，s ) 传送到签名验证者。 ( 3 ) 签名验证过程 对于k 密钥集合k ，有签名验证算法，v e r k ，v e r ，v 盯k ，：mxs _ t m e ，f a l s e ) ， v e r k ，( x ，y ) = 1 m e ，y = s i 瓢( x ) ；否则v e r k ，( x ，”= f a l s e ，y s i g l ( ( x ) 。签名验证者收到( m ，s ) 后，计算v e r k ( m ，s ) ，若v e r k ( m ，s ) = t m e ，签名有效；否则，签名无效。 实现数字签名的算法有很多，目前采用较多的是公钥加密技术。应用广泛的数字签 一1 1 东北大学硕士学位论文第2 章p 体系概述 名方法主要有r s a 签名、d s s 签名、h a s h 签名、盲签名和代理签名等【1 3 1 。 ( 1 ) r s a 签名【1 4 1 实际上是通过一个h a s h 函数来实现的，它最大的特点是能充分反映 文件的特征，如果文件发生改变，数字签名的值也必将发生变化，不同的文件将得到不 同的数字签名。r s a 的签名方案和r s a 的密码算法很相似，不同的是签名算法用的是 私钥，验证算法用的是公钥，这样能够保证持有公钥的所有参与者都能够对签名进行验 证。 ( 2 ) d s s 签名也用h a s h 函数，它产生的h a s h 码和为此次签名产生的随机数k 作为签 名函数的输入，签名函数依赖于发送方私钥和一组参数，这些参数为一组通信伙伴所共 有，这些参数构成全局公钥。签名由s 和r 两部分组成。接收方对接收到的信息产生l 础 码，这个h a s h 码和签名一起作为验证函数的输入，验证函数依赖于全局公钥和发送方 的公钥，若验证函数的输出等于签名中的r ，则签名有效。 ( 3 ) 盲签名：有时我们需要某人对一个文件签名，但又不让他知道文件内容，这就叫 做盲签名( b l i n ds i 盟a t u