（计算机软件与理论专业论文）多级代理签名的研究.pdf

重庆大学硕士学位论文中文摘要 摘要 随着电子商务的发展，电子支付、电子合同、电子投票等各种电子交易手段的 逐渐出现并普及，数字签名被提出。它可以让人们舍弃传统的印章形式，将签名信 息以电子信息的形式在网上传递，提高了企业运营的效率。但是，当原始签名人无 法进行签名时，这种形式无法带来应有的效果。代理签名在这种背景下应运而生。 代理签名是一种特殊的数字签名，其主要原理是原始签名人将自己的签名能力 或签名权委托给代理签名人，由代理签名人代表原始签名人对所指定的文档进行签 名来完成签名任务。它与数字签名的最大不同是在原始签名人和签名接收人之间增 加了代理签名人这一中间环节。也正是因为这一中间环节，产生了许多安全性和有 效性的问题。所以研究代理签名的机制最重要的就是研究该机制的安全性和有效 性。 椭圆曲线密码体制具有自身独特的优势，其1 6 0 的密钥保证的安全性足以与 r s a 算法1 0 2 4 位相媲美。选择基于椭圆曲线离散对数问题( e c d l p ) 的加密解密算 法来进行代理签名与验证将会是一种发展的趋势，随着该签名算法的逐步完善，也 能给代理签名的发展带来极大的推动作用。 本文选择基于e c d l p 的签名算法，在研究传统的代理签名方案的基础上，提 出了两种新的代理签名方案，并给出了一种新的企业授权机制。主要内容包括：第 一、对现有的各种代理签名机制进行研究，分析比较各种代理签名机制的优缺点， 主要从安全性与有效性方面进行考虑。第二、提出一种两级委托代理签名机制，通 过几个定理证明了该方案能够满足代理签名的不可伪造性、可验证性、可注销性、 可区分性、不可抵赖性以及身份证实性。第三、对本文提出的两级委托代理签名机 制进行扩展，提出一种多级委托代理签名机制，并对该机制进行有效性和安全性分 析。第四、在研究现有企业授权机制的基础上提出一种新的授权机制，该机制基于 本文提出的多级委托代理签名机制。第五、对本文提出的新的企业授权机制进行分 析，分析其优势与弊端。最后，将该新的授权机制应用到重庆铁路电子商务平台 集装箱营运信息系统中。通过对实验结果进行分析，该机制能大大增加系统的 安全性，比较适合于企业e r p 、m i s 及o a 系统的安全策略，对电子商务的发展也 起着积极的影响作用。 关键词：椭圆曲线，多级代理，r b a c ，授权机制 重庆大学硕士学位论文 英文摘要 a b s t r a c t w i t ht h ed e v e l o p m e n to fe - c o m m e r c e , e l e c t r o n i cu a n s a c t i o nm e a n s s u c ha s e - p a y m e n t , e - c o n t r a c ta n de - v o t e , e t c , a p p e a ra n db e c 【) m em o r ea n dm o r ep o p u l a r , d i g i t a ls i g n a t u r ew a sp r o p o s e d i ts u b s t i t u t e st r a d i t i o n a ls t a m pf o r m , t r a n s f e r ss i g n a t u r e i n f o r m a t i o nb ye l e c t r o n i cf o r mo n l i n e , a n di m p r o v e sc o r p o r a t i o n s w o r ke f f i c i e n c y h o w e v e r , t h i sf o r mf a i l s i ft h es i g n a t o r yc a n n o ts i g n i nt h i ss i t u a t i o nt h ep r o x y s i g n a t u r ee m e r g ea st h et i m e sr e q u i r e p r o x ys i g n a t u r ei sas p e c i a lc l a s so fd i g i t a ls i g n a t m c sw h i c ha l l o w sa no r i g i n a l s i g n e rt od e l e g a t eh i so rh e rs i g n a t u r ec a p a b i l i t yo rs i g n a t u r er i g h tt oad e s i g n a t e d p e r s o nw h oi sc a l l e dap r o x ys i g n e rt os i g no ns p e c i f i e dd o c u m e n t so nb e h a l fo ft h e o r i g 砌s i g n e r t h e1 , a m a r yd i f f e r e n c eb e t w e e np r o x ys i g n a t u r ea n dd i g i t a ls i g n a t u r ei s t h a tt h e r ei sa ni n t e r m e d i a t ec o m p o n e n t , w h i c hi sc a l l e dp r o x ys i g n e rb e t w e e n o r i g i n a l s i g n e ra n ds i g n a t u r er e c e i v e r , i sa d d e di np r o x ys i g n a t u r e j u s tf o rt h i si n t a m c d i a t e c o m p o n e n t ，i tb r i n g sal o to fs e c u r i t ya n dv a l i d i t yp r o b l e m s t h u s ，t h em o s ti m p o r t a n t t h i n go f p r o x ys i g n a t u r em e c h a n i s mr e s e a r c hi si t ss e c u r i t ya n dv a l i d i t y e l l i p t i cc u r v ec r y p t o g r a p h yh a si t su n i q u ea d v a n t a g e s ，w h o s e1 6 0b i t ss e c u r i t yk e y h a s p o t e n t i a li ns e c u r i t ya se x c e l l e n ta st h e1 0 2 4b i t so n eo f r s aa l g o r i t h m t h u s ，i t sa d e v e l o p m e n t a li i e n dt oc h o o s et h ea l g o f i t h mb a s e do ne c d l pt od op r o x ys i g n a t u r e a n dv a l i d a t i o n w i t hp e r f e c t i o no f t h i ss i g n a t u r ea l g o r i t h m , p r o x ys i g n a t u r ew i l la l s ob e d r i v e ng r e a t l y i nt h ef o u n d a t i o no fr e s e a r c h i n gt r a d i t i o n a l p r o x ys i g n a t u r em e c h a n i s m s ，t h e e c d l p - b a s e ds i g n a t u r ea l g o r i t h mw a sc h o s ei nt h i st h e s i s t w on 删p r o x ys i g n a t u r e m e c h a n i s m sa n do n en e we n t e r p r i s ea u t h o r i z a t i o nm e c h a n i m nw o r ep r o p o s e d i t i n c l u d e st h ef o l l o w i n gw o r k f i r s t l y , t h ec u r r e n tp r o x ys i g n a t u r em e c h a n i s m sw e r e r e s e a r c h e d a n dt h ev i r t u e sa n df l a w so f c u r r e n tp r o x ys i g n a t u r em e c h a n i s m si na s p e c t s o fs e c u r i t ya n dv a l i d i t ym o s t l yw 嬲a m l y s e a s e c o n d l y , at w o - l e v e lp r o x ys i g n a t u r e m e c h a n i s mw a sb r o u g h tf o w a r d , a n di tp r o v e st h a tt h i sm e c h a n i s mc a ns a t i s f yp r o x y s i g n a t u r e s e s s e n t i a lc h a r a c t e r so f u n f o r g e a b i l i t y 、v e r i f i a b i l i t y 、l o g o u t a b i l i t y 、 d i s t i n g u i s h a b i l i t y 、u n d e n i a b i l i t ya n di d e n t i f l a b l i t yb yp r o v i d i n gt h et h e o r e m s t h i r d l y , b y e x t e n d i n gt w o - l e v e lp r o x ys i g n a t u r em e c h a n i s m , am u l t i l e v e lp r o x ys i g n a t u r e m e c h a n i s mw s sp r o p o s e d , a n dt h ev a l i d i t ya n ds e c u r i t yo fi tw a s a n a l y s e o f o u r t h l y , b a s e do nr e s e a r c h i n gc u r r e n te n t e r p r i s ea u t h o r i z a t i o nm e c h a n i s m , an e wa u t h o r i z a t i o n 重庆大学硕士学位论文英文摘要 m e c h a n i s mw a sb r o u g h tf o w a r d , w h i c hb a s e d0 1 1t h em u l t i l e v e lp r o x ys i g n a t u r e m e c h a n i s m f i r h l y , t h ea d v a n t a g e sa n df l a w so ft h en e we n t e r p r i s ea u t h o r i z a t i o n m e c h a n i s mw e r ea n a l y s e d l a s t l y , t h i sn e wa u t h o r i z a t i o nm e c h a n i s mw a sa p p l i e di n t o c h o n g q i n gr a i l w a ye - c o m m e r c ep l a t f o r m - - - - c o n t a i n e rr u n n i n gi n f o r m a t i o ns y s t e m t h er e s u l ti n d i c a t e st h a tt h i sm e c h a n i s me n h a n c e ss y s t e m ss e c u r i t y , a n di sf i tf o rt h e s e c u r i t ys t r a t e g i e so fe r p , m i sa n do a m o r e o v o ri th a ss u p p l e m e n t a le f f e c tf o rt h e d e v e l o p m e n to f e - c o m m c l v 七 k e y w o r d s ：e l l i p t i cc u r v e ，m u l t m e v e lp r o x y , r b a c ，a u t h o r i z a t i o nm e c h a n i s m i r 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重鏖盍堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：之岛 签字日期：岬年厂月5 口日 学位论文版权使用授权书 本学位论文作者完全了解重鏖太堂有关保留、使用学位论文的 冤定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 念文被查阅和借阅。本人授权重庆太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 呆存、汇编学位论文。 保密() ，在年解密后适用本授权书。 本学位论文属于， 不保密( v ) 。 ( 请只在上述一个括号内打“”) 学位论文作者签名：i 缸耵 导师签名： 签字日期：印钌肌日 删蚴 签字日期：厶哆净y - y i ；d 日 重庆大学硕士学位论文1 绪论 l 绪论 1 1 研究意义 进入2 l 世纪，随着计算机网络技术进一步迅猛发展，建立在网络基础上的商业 运行模式电子商务，日渐成熟和完善，并且随着全球经济一体化进程的加快，在 世界范围内日渐得到普及和应用。信息的共享和高速传递大大地方便了人们的生活， 但与此同时，交易的风险性和不确定性也大大增加，安全问题已经成为电子商务发展 的瓶颈。电子商务系统安全的关键是保证数据和交易过程的安全，因此对其安全性 要求较高，要求电子商务系统具备网络信息的保密性、完整性、真实性和不可否认 性。数据保密性是指对敏感文件进行加密，信息不会被未授权的第三方所获，即使文 件被截获，文件内容也不会被窃取。完整性是指信息在存储和传输时不会被破坏或 修改，同时要防止数据传递过程中信息的丢失和重复，即接收方收到的数据与原始数 据相同。真实性是指对数据和信息的来源进行保证，以确保发送方的真实身份。不 可否认性是指发送方对自己发送的信息不能抵赖，接收方对收到的事实不能否认，保 证交易过程的不可抵赖性。在实际应用中，安全需求不仅仅是为了数据的保密性，更 是为了保证数据的可靠性、数据源的证明或不可否认性。满足这要求的方法之一 就是使用数字签名。 此外，在现实世界里，人们经常需要将自己的某些权利委托绘可靠的代理人， 让代理人代表本人去行使这些权利。在这些可以委托给他人的权利中包括人们的签 名权【1 1 。例如，某公司的经理需要到外地出差。为了不影响公司的业务，该经理可 以委托一个可靠的助手。让该助手在他出差期间代表他在一些重要文件上签字。委 托签名权利的传统方法是使用印章，因为印章可以在人们之间灵活地传递。在电子 化社会，以及办公自动化中，一种称为类似于现实中代理的新型签名方案被提出来， 即代理签名。由于这种签名机制在许多领域都有着重要的应用，因此引起了人们的 极大兴趣。这种代理签名的目的是当某签名人( 这里称为签名授权人) 因公务或身 体健康等原因不能行使签名权力时，将签名权委派给其它人替自己行使签名权。代 理签名可以解决这一问题。 1 2 课题的发展现状及存在的问题 1 2 1 发展现状 1 9 9 6 年，m a m b o 、u s u d a 和o k , m n o t o 1 0 捷出了代理签名的概念给出了解决 这个问题的一种方法。文献【1 翔指出了代理签名方案应满足不可否认性、可验证性、 不可伪造性、可区分性等六条性质。由于代理签名在实际应用中起着重要作用，所 重庆大学硕士学位论文1 绪论 以代理签名一提出便受到广泛关注，国内外学者对其进行了深入的探讨与研究。迄 今为止，人们已提出了多种代理签名方案n 剖。首先，m a m b o 、u s u d a 和o k a m o t o 1 捌 提出了完全代理签名、部分代理签名和具有授权证书的代理签名。z h a i 珂3 】提出了 具有授权证书的部分代理签名和门限代理签名。s u n 、l e e 和h w 锄矿1 指出殂l a l 讨3 1 和k i m 、p a r k 和w o n 5 】的门限代理签名方案是不安全的，并给出了一个改进方案。 李继国、曹珍富1 6 】进一步指出s u n 、l 佛和h w a n g 4 方案不能抵抗公钥替换攻击， 并给出了一个更安全的不可否认门限代理签名方案。后来，s u n 7 提出了具有已知 签名者的有效不可否认门限代理签名方案，具有一些较好的性质。但h w a n g 、l i n 和l ，u 【8 1 指出s u n 7 1 的方案也是不安全的，并给出相应的改进。s u n 和c h c n 9 以及 s u n t l 0 1 提出了具有跟踪接收者的时戳代理签名。最近，伊丽江等1 1 卅1 与祁明、h a m 1 4 】 分别提出了一个新的代理签名方案：代理多重签名。李继国等【1 5 】与王晓明、符方 伟【1 6 1 分别指出他们的方案是不安全的，并给出了相应的改进。 不可否认性是代理签名的重要性质，现存的大部分代理签名方案不具有不可否 认性。在实践中，不可否认性是非常重要的。例如，当签名滥用发生争议时，权威 机构必须确定谁是代理签名的真正签名者。m a m b o 掣1 0 】和k i m 等阁称他们的代 理保护代理签名方案具有不可否认性，但s u n 和h s i e h 1 7 增出了他们的代理签名 方案是不安全的，并给出了相应的改进。l e e ，h w a n g 和w 抽9 1 8 】也指出办锄9 3 1 的不可否认代理签名方案是不安全的。h w a n g 和s h i 【1 9 】提出的方案能对原始签名 者和代理签名者进行公平安全保护。李继国等圆】对代理签名的不可否认性进行了 较深入的研究。由此可见，关于不可否认代理签名方案尚待进一步研究。 1 2 2 存在的问题 代理签名的安全性：目前很多代理签名方案【】存在安全隐患。例如，伪造 攻击，公钥替换攻击【”1 等。因此，设计一个能同时抵抗现存各种攻击的代理签名 方案是比较困难的问题。 执行效率问题：目前的代理签名方案，尤其是门限代理签名方案和多重签名 方案计算复杂性高、通信量大、执行效率低。因此，简单、有效的代理签名方案有 待进一步研究。 原始签名者在线问题：现有代理签名方案几乎都是原始签名者、代理签名者 和接收者之间进行的交互协议。由于在每次代理签名中都有原始签名者的参与，这 就违背了代理签名的初衷。因为我们由代理签名产生的背景知道，正是由于原始签 名者到外地出差或由于事务繁忙而无法脱身才将签名权可信的代理签名者来行使 其权力的一种行为。因此，从本质上来说，真正的代理签名在签名过程中不可能有 原始签名者的参与。 如何有效解决签名权不断转移的多重代理签名问题及代理签名权的撤销问 2 重庆大学硕士学位论文l 绪论 题? 如何利用盲签名、定向签名、零知识签名等特殊签名方案来实现代理签名? 针对代理签名只能提供授权的认证而不能提供保密性。1 9 9 9 年，g a m a g e 等 m 】通过组合代理签名和加密技术扩展了代理签名的概念，提出了代理签密的概念， 解决了这一问题。在代理签密方案中，只有指定的接收者能够解密和验证代理签密 的有效性。当代理签名人否认他所签的代理签密时，如何保护接收者的利益? 如何利用向前安全数字签名方案1 4 3 】的思想设计具有不可否认性的向前安全 代理签名方案和向前安全代理签名方案? 如何利用现有的代理签名方案设计安全有效的多级代理签名方案也是尚待 解决的问题。 1 3 本文研究方向和主要研究内容 1 3 1 研究目的 代理签名一提出便受到广泛的关注，国内外的学者都对其进行了深入的探讨和 研究并取得了丰富的研究成果。但是要同时满足代理签名的不可伪造性、可验证性、 不可否认性、可区分性、代理签名者的不符合性以及可识别性，尤其是同时满足强 代理签名的强不可伪造性、强可识别性、强不可否认性和防止滥用等性质，在现有 的算法上还或多或少存在一些缺陷。 以基于椭圆曲线的代理签名【2 1 丑, 2 3 1 为例，此方案中任何人都无法获得a 的私钥 这一点椭圆曲线签名机制即可保证，而且b 不能利用a 给的委托信息，产生新的委托 信息，从而冒充a 发出另一要委托信息给别的代理签名人，从委托过程可以看出代理 签名密钥与a 的密钥直接相关，代理签名密钥仃；露。+ r o k om o d n 在此方案中一旦 a 赋予代理签名人签名权利，他可以通过宣布q o 无效撤销此代理的签名权力因此 方案满足基本的不可伪造性，密钥依赖性以及可注销性【明。方案中a 生成。和q 可直接对消息l e t 按代理签名的生成过程，产生有效的代理签名，而此签名显然可以通 过验证，这样，原始签名人就可以生成有效的代理签名，即此方案不满足代理签名的 不可伪造性不同代理签名人如果在得到相同o ( q o 是公开传送的，任何人都有机会 知道) 的情况下。一定生成相同的代理签名，因此代理签名的可区分性也不能实现因 为代理签名人并没有任何身份信息供原始签名人或签名验证人跟踪，签名人在生成 数字签名后。可以对它加以否认，因此不满足不可抵赖性，进而此方案也不具备身份 证实性。 因此，本课题主要研究目的是在现有的代理签名方案的基础上，以安全性和效 率为出发点，对现有代理签名方案和算法进行改进与优化，在此基础上设计一个高 效安全的多级代理签名方案。 重庆大学硕士学位论文1 绪论 1 3 2 研究内容 利用现有的攻击方法对现有代理签名机制进行研究； 代理签名方案的改进与设计： 提出多级代理签名机制； 多级代理签名机制的应用。 1 4 本文主要研究成果 本文主要研究成果如下： 在现有代理签名机制的基础下提出了一种两级委托代理签名机制； 在新方案的基础上提出了一种多级委托代理签名机制，并对该方案的正确性 和有效性进行了验证； 将此多级委托代理签名机制应用于企业授权机制中。 4 重庆大学硕士学位论文 2 理论基础 2 理论基础 2 1 密码学基础 密码学( c r y p t o 鲫h y ) 一词来源于古希腊的c r y p t o 和g r a p h e i n ，意思是密写。 密码学是- - 1 7 古老又年轻的学科，其历史可以追溯到几千年以前。古代的行帮暗 语和一些文字猜谜游戏等，实际上就是对信息的加密。这种加密方法通过原始的 约定，把需要表达的信息限定在一定的范围内流通。古典密码学主要应用于政治、 军事和外交等领域。而现代密码学也是从战争开始发展起来的，1 9 5 2 年，信息论 创始人数学家香农( c e s h a n n o n ) 在贝尔系统技术杂志e us y s t e mt e c h n i c a l j o u r n a l ) 上发表了经典论文保密系统的通信理论( t h ec o m m u n i c a t i o nt h e o r yo f s e c r e c ys y s t e m s ) 这篇文章在第二次世界大战结束后即被解密。也正是这篇文章， 开启了现代密码学的发展，使密码学成为一门科学。 密码学主要包括两个方面：密码编码学( c i y p t o g r a p h y ) ，简称为犏密学，和密码 分析学。研究密码变化的规律并用之于编制密码以保护秘密信息的科学，称为密 码编码学，从事此行的叫密码编码者( c r y p t o g r a p h e r ) 。研究密码变化的规律并用之 于密码以获取信息情报的科学，称为密码分析学，也叫密码破译学，从事密码分 析的专业人员称为密码分析者( e r y p t a n a l y s 0 。前者是实现对信息保密的，后者是实 现对信息反保密的，密码编码学和密码分析学相辅相成，共处于密码学的统一体 中，密码学即是二者的矛盾统一体。 假设发送者( s e n d e r ) 想发送消息给接收者( r , ，：e i v e r ) ，且想要安全的发送信息； 他想确信窃听者不能阅读发送的消息。 没有加密的信息( m e s s a g e ) 称为明文( p l a i n t s 0 。用某种方法伪装消息以隐藏它 的内容的过程称为加密( o n c r y p t i o n ) ，加密后的信息称为( c i p h e r t e x 0 ，而把密文转变为 明文的过程称为解密( d e c r y p t i o n ) 。 明文用1 1 1 表示，它可能是位序列、文本文件、位图、数字化的语音序列，或 数字化的视频图像等等。对于计算机，m 指简单的二进制数据。密文用c 表示，它 也是二进制数据。加密的过程实质是由明文m 到密文c 的函数，我们称之为加密函 数e ，用数学公式表示：e ( m ) = c 。 相反地，解密的过程实质是由密文c 到明文m 的函数，我们称之为解密函数d ， 解密函数的数学公式为；d ( c ) = r t l 。 在一个密码体制中，要求解密变换是加密交换的逆变换，故下面的等式必须成 立：d 饵咖) ) = r d 。 密码算法( a l g o r i t h m ) 也叫密码( c i p h e r ) ，是用于加密和解密的两个数学函数( 通常 5 重庆大学硕士学位论文2 理论基础 是两个相关的函数；一个用于加密，一个用于解密) 。如果算法的保密性是基于保 持算法的秘密，这种算法称为受限制( r e s t r i c t e d ) 的密码算法。受限制的密码算法虽 然具有历史意义，但按照现在的标准，它们的保密性远远不够。因为如果有人无 意泄露了算法的秘密，所有人都必须改变他们的算法，而且受限制密码算法还有 更大的坏处就是密码算法不能进行质量控制或标准化，存在管理上的许多不便。 现代密码学用密钥( k e y ) 解决这个问题。密钥用k 表示，k 可以是很多数值里的 任意值。密码k 的可能的取值范围叫做密钥空f 司( k e ys p a c e ) ，引入密钥k 后的加密 解密函数可以写成如下形式，为了不失一般性，我们设加密密钥为丸，解密密钥 为屯，晚和屯可能相同也可能不同。 加密：& ( 神= c 解密：d 。( c ) = m 其中& 是由加密密钥恕确定的加密变换，d 是由解密密钥岛确定的解密交 换。并有( & ( 嗍= 珊成立。 2 2 公钥加密体制 如果一个密码体制的加密密钥与解密密钥相同，即k , = l q ，则称为对称密码体 制( s y m m e t r i ck e ye r y p t o s y s t e m ) 或单密钥密码体制、秘密密钥密码体制。由于加密 和解密的密钥相同，对称密码体制的安全性取决于密钥的保密，它要求发送者和 接受者在安全通信前，商定一个密钥，其安全性依赖于密钥的安全性嗍。 对称密码体制的代表有1 9 7 7 年美国国家标准局( n b s , n a t i o n a lb u r e a uo f s t a n d a r d s ) 公布的数据加密标准d e s ( d a t ae n e r y p t i o ns t a n d a r d ) ，1 9 9 2 年出现的国际 数据加密算法i d e a ( i n t e r n a t i o n a ld a t ae n e r y p t i o n a l g o r i t h m ) ，2 0 0 1 年美国国家标准 技术研究所n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r da n dt e e l m o l o g y ) i e 式公布的高级加 密标准a e s ( a d v a n c e de n e r y p t i o ns t a n d a r d ) 等即】。 对称密码体制具有很高的保密强度，可以承受较高级破译力量的分析和攻击， 且加解密速度快。但对称密钥体制加密解密使用的是相同的密钥，所以在一个大 范围的网络上，密钥的分发和管理是一件很困难的事情，使它难以满足系统的开 放性要求，无法解决消息确认问题。 若一个密码体制的加密和解密分别用两个不通的密钥实现，即k c 与k d ，则称 为非对称密码体制或双密钥密码体制。在一个非对称密码体制中，由加密密钥k 计算解密密钥】c d 是困难的，公开k c 不会损害l 【d 的安全性，则可以将k 公开，这样 的密码体制称为公钥密码体制( p u b l i c - k e yc r y p t o s y s t e m ) ，其中1 ( e 和k 是成对出现 的，它们形成密钥对，k 叫做公开密钥( p u b l i ck e y , 简称公钥) ，k d 叫做私人密钥 ( p r i v a t ek e y , 简称私钥) 。 6 重庆大学硕士学位论文2 理论基础 公钥密码体制思想的提出来自w d i t i i e 和m e h e l l m a n 在1 9 7 6 年发表的密 码学的新方向( n e wd i r e c t i o ni nc r y p t o g r a p h y ) - - 文。其第一个算法是由r m e r k l e 和m h e l l m a n 开发的背包算法。迄今为止最著名、使用最广泛的是由r r i v e r s t 、 a s h a m i r 和l a d l e m a a 三位教授于1 9 7 7 年提出的r s a 公钥密码体制。另外比较 著名的还有e i g a m a l 公钥密码体制，r a b i n 方案等 4 9 1 。 公钥密码体制是数字签名的基础，它能适应开放性的使用环境，密钥管理相对 简单，能抵抗选择明文攻击，安全性好。但是算法一般比较复杂，加解密速度慢。 2 3 数字签名 2 3 1 数字签名的基本概念 在日常生活中，经常需要人们签署各种信件和文书，传统上都是用手写签名或 印鉴。签名的作用是认证、核准和生效，签名是用来确定需要对该文件负责的某 个人。 随着信息时代的来临，人们希望对越来越多的电子文件进行迅速的、远距离的 签名，这就是数字签名。数字签名是手写签名的电子模拟，主要用于对数字消息 ( d i g i t a lm e s s a g e ) 进行签名，以防消息的冒名伪造或篡改，亦可用于通信双方的身份 鉴别。数字签名以电子形式存储消息签名，因此，签名之后的消息能通过计算机 网络传输。数字签名广泛应用在密钥分配，电子商务、电子银行和电子政务等许 多领域。 数字签名与传统的手写签名有很大的差别。 首先，手写签名是被签署文件的物理组成部分，而数字签名不是，所以所使用 的数字签名方案必须设法使签名绑”到所签名的文件上。 第二，手写签名不易拷贝，而数字签名正好相反，因此必须阻止一个数字签名 消息被重复使用，一般通过要求消息本身带有诸如日期等信息来达到阻止签名被 重复使用的目的。 第三，手写签名是通过一个与真实的手写签名比较来进行验证，而数字签名是 通过一个公开的验证算法来验证，数字签名是由0 和1 组成的数字串，它因消息 而异，当出现争端时，它能够为仲裁者提供足够的证据来进行裁决，因此，其安 全性远远高于手写签名。此外，数字签名依托于计算机网络，其时效性也远远大 于手写签名。 数字签名应具有以下特征： 签名是可信的：任何人都可以验证签名的有效性。 签名是无法伪造的：除了合法的签名人之外，其他任何人伪造其签名是困难 的。 7 重庆大学硕士学位论文2 理论基础 签名是不可重复使用的：对一个消息的签名不能通过复制变为另一个消息的 签名。否则，任何人都可以发现消息与签名之间不一致性，从而可以拒绝签名的 消息。这可以防止签名滥用。 签名的消息是不可改变的：经签名的消息不能被篡改。否则，任何人可以发 现消息与签名之间的不一致性。 签名具有不可否认性：签名人事后不能否认自己的签名。 数字签名机制提供了一种鉴别方法，以解决以下问题： 伪造：接收者伪造一份文件，声称是对方发送的 抵赖：发送者或接收者事后不承认自己发送或接收过文件 篡改：接收者对收到的文件进行局部的篡改 冒充：网上的用户冒充另一个用户发送或接收文件 随着计算机信息网络的迅速发展，特别是电子商务的兴起，数字签名的使用 越来越普遍。数字签名是防止信息欺诈行为的重要保障。 数字签名的过程指报文发送方将报文文本带入哈希函数生成一个1 2 8 位的数 列值，即消息摘要，消息摘要代表文件的特征，其值随着文件的变化而变化，也就是说， 不同的文件得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送 方用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数 字签名将作为报文的附件和报文一起发送给报文的接收方，报文的接收方首先从收 到的原始报文中计算出1 2 8 位的散列值( 消息摘要) ，接着再用发送方的公开密钥来 对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能够确认数 字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可否认性，从数 字签名的过程可以看出，数字签名应当满足下列要求：接收方能够确认或证实发送方 的签名，但不能伪造。发送方发出签名的消息给接收方后，就不能再否认所签发的消 息。接收方对收到的签名消息不可否认，即有收报认证。为了实现数字签名的目的， 发送方需要向接收方提供足够的非保密信息，以便使其能够验证消息的签名，但又不 能泄露用于产生签名的机密信息，以防他人伪造签名。 数字签名与数据加密是完全独立的，要保证电子商务交易的安全应该使用安全 数字签名，即对数据在签名的同时又加密，这样才能保证只有某一特定的用户才能 在核实签名的同时解密。利用公开密钥算法不仅可用于数字签名，而且可用于对报 文的加密，因此可实现安全的数字签名。其主要实现过程如下。 签名并加密：发送方用自己的秘密密钥对报文进行变换，得到数字签名，然 后利用接收者的公开秘钥对数字签名进行加密； 发送：将加密后的签名附在报文之后一起发出，如果接收方没有发送方的公 开秘钥，还必须将包含发送者公开密钥的数字证书发送给接收方； 8 重庆大学硕士学位论文2 理论基础 解密并验证：接收方用自己的秘密密钥对报文进行解密，得到一个数字签名 的明文；再用发送方的公开秘钥核实解密后的明文，同样得到一个数字签名，将两 个数字签名进行对比，如果相同，则证明签名有效，否则无效。 下面给出基于公钥密码的一般数字签名方案的签名产生阶段和签名验证阶段。 假设o 要发送文件给p ： o 用其保密的私钥对消息辨加密。密文仃就是o 对消息的签名 o 将签名的消息( ，l ，仃) 传送给p 。 p 用0 的公钥6 进行解密，得到，i l ，如果强= m ，则确认仃是消息m 的有效 签名；否则为无效签名。 因为私钥是保密的，只有o 自己知道，所以只有0 能对任何消息进行正确签 名，另外一方面，由于公钥是公开的，所以任何人都可以验证签名的有效性。如果 o 否认签名的事实，则p 可将o 产生的密文出示给仲裁者，仲裁者用o 的公钥去 证实其签名的确实性了；反之，若p 将收到的密文消息进行伪造篡改，则其不能用 o 的公钥进行加密，仲裁者很容易证明是伪造的。 但是，并不是每一个公钥密码体制都可以按照上述方式来设计数字签名方案， 只有满足了d b ( & ( = 掰的公钥密码体制才可按上述方式来设计数字签名方 案。 在公钥密码体制中，密钥对的选择要保证从公匙求出私钥等价于要求解一个困 难的计算问题。构成常用公钥密码基础的困难问题有如下数论问题： 整数的因子分解问题，其困难性是r s a 公钥密码安全性的基础。 离散对数问题，其困难性是e 1 g a m a l 公钥密码及其变体安全性的基础 椭圆曲线离散对数问题，其困难性是椭圆曲线公钥密码安全性的基础。 2 3 2r s a 签名方案 r s a 密码以发明者r i v e s t , s h a m i r 和a d l e m a n 的名字的首字母命名，他们在公 钥密码的概念提出来之后不久，于1 9 9 7 年提出了这种公钥密码【4 9 1 。 r s a 密钥生成 r s a 密钥对用算法2 1 生成。其公钥由一对整数( 靠，0 组成，其中栉是r s a 的 运算模，它是两个同样长度的保密随机素数p 和g 的乘积。加密指数p 是满足 l e 妒且g c d ( e ，) = 1 的整数，其中= 一l x q - 1 ) 。私钥d 也称为解密指数。它 是满足l d 妒且e d ；l ( m o d 妒) 的整数。已经证明，从公钥对伽，力计算出私钥d 等 价于从行分解出因子p 和g 。这一问题被称为整数的因子分解问题p ) 。 1 ) 算法2 1r s a 密钥对生成 输入：安全参数，。 输出：r s a 公钥( n ，力和私钥d 。 9 重庆大学硕士学位论文2 理论基础 乳随机选择两个素数p 和叮，p 和q 的长度同为，2 b 计算疗= p 吁和= ( p d ( q 一1 ) 。 c 任意选择整数p ，e 满足l p 尹且g c d ( e ，妒) = l 。 d 计算整数d ，d 满足l d 毋且e d = l ( m o d 矿) 。 e 返回( 刀，b d ) 。 ) r s a 加密方案 r s a 加密和签名方案基于以下理论依据，即对于所有的整数册，都有 埘。r e ( r o o d n 、。 r s a 公钥密码的基本加密和解密过程分别如算法2 2 和2 3 所示。解密的原理 是根据上式导出的一f - 。) 4 ；m ( m o d 哟。安全性建立在从密文c = m 。m o d n 和公 钥( p ，刀) 计算明文m 的困难性之上。这个问题就是求f 的m o d n 的p 次根，被认为与 整数分解一样困难( 尚未证明) 。 1 ) 算法2 2 基本r s a 加密 输入：r s a 公钥o ，d ，明文册 0 ，疗一1 】 输出：密文c 。 扎计算c = 矿m o d n b 返回( 0 。 2 ) 算法2 3 基本r s a 解密 输入：r s a 公钥( 一，0 ，r s a 私钥d ，密文f 。 输出：明文m 。 a 计算m = c o r o o d n 。 b 返回( 肌) r s a 公钥密码的签名和签名验证过程分别如算法2 4 和2 5 所示。签名者首 先利用密码学杂凑函数日，计算消息历的摘要| | i = 日( 掰) ，摘要值h 称为消息m 的 短指纹。然后，签名者用自己的私钥d 计算m o d n 的p 次根j ，即j = h 4 m o d n 。最 后，签名者把消息m 和自己的签名j 一起发给验证方。验证方根据收到的消息重新 计算消息的摘要h = 日( m ) ，并从s 恢复出摘要h = j m o d n 。若 = ，则验证方认为 签名j 是真实的。签名方案的安全性建立在伪造者在不知道私钥d 的情况下计算 h m o d n 的p 次根的困难性之上。 3 ) 算法2 4 基本r s a 签名生成 输夕k ：r s a 公钥o ，p ) ，r s a 私钥d ，消息m 。 输出：签名j 。 乱计算 = 日( 小) ，其中日是一个杂凑函数。 b 计算j = h 。m o d n 。 1 0 重庆大学硕士学位论文 2 理论基础 c 返回( s ) 。 4 ) 算法2 5 基本r s a 签名验证 输入：r s a 公钥( 行，0 ，消息m ，签名s 。 输出：接受或拒绝签名。 乱计算h = h 伽) 。 b 计算h = s m o d n 。 c 若j j l = ，则返回( 接受签名，) ；否则，返回( 矩绝签名 ) 。 r s a 运算中最费时的运算是模幂运算，如在加密中的m m o d n 和解密中的 c 4m o d n 。为了提高加密和签名验证的效率，可以选择小的加密指数p ，在实际中 常采用p = 3 和e = 2 1 6 + 1 。解密指数d 与1 一样长。因此，采用小加密指数的r s a 加密和签名验证就比r s a 解密和签名生成快得多。 2 3 3 离散对数体制的数字签名 第一个离散对数l ) 体制是d i f l i e 和h e l l m a n 于1