数字签名技术在电子商务中的应用.doc

学号 学号 2006707920067079 哈尔滨师范大学哈尔滨师范大学 学士学位论文学士学位论文 题题 目目 签名技术在电子商务中的应用签名技术在电子商务中的应用 学学 生生 杨耸杨耸 指导教师指导教师 李世明李世明 讲师讲师 年年 级级 2004 级级 专专 业业 计算机科学与技术计算机科学与技术 系系 别别 计算机科学与技术计算机科学与技术 学学 院院 计算机科学与信息工程计算机科学与信息工程 1 哈哈 尔尔 滨滨 师师 范范 大大 学学 学士学位论文开题报告学士学位论文开题报告 论文题目 签名技术在电子商务中的应用 学生姓名 杨耸 指导教师 李世明 讲师 年 级 2004 级 专 业 计算机科学与技术 2008 年 3 月 2 课题来源 指导教师指定 课题研究的目的和意义 课题研究的目的 课题研究的目的 数字签名技术是当前电子商务中重要的身份认证技术 是保障网络身份安 全的重要手段之一 在 ISO7498 2 标准中 数字签名的定义为 附加在数据单元上的一些数 据 或是对数据单元所作的密码变换 这种数据和变换允许数据单元的接收者 用以确认数据单元来源和数据单元的完整性 并保护数据 防止被人 例如接收 者 进行伪造 美国电子签名标准 DSS FIPS186 2 对数字签名作了如下解 释 利用一套规则和一个参数对数据计算所得的结果 用此结果能够确认签 名者的身份和数据的完整性 在 Internet 上 每天发生的电子商务活动十分活跃 随之而来的是各式各样 的网络安全问题 尤其是 在电子商务的交易过程中 为维护交易双方的利益 难证合法性 需要确认网络上交易方的法律身份 所以要用到签名技术 而对 签名技术的研究就具有其特殊意义 课题研究的意义 课题研究的意义 在传统的商业系统中 通常都利用书面文件的亲笔签名或印章来规定契约 的合法性 并预防抵赖行为的发生 这也就是人们常说的 白纸黑字 但在电子商务等网络环境下 通过手写签名和印章进行贸易方的鉴别已是 不可能的 在互联网上 需要在买方 卖方以及服务于他们的中间商 如金融 机构 之间的进行信息交换 各交易行为汇集在一起 如签定合同 订购 付 费等 为保证交易的合法进行 需要各方提供能惟一鉴别他们自己的具有法律 效应的数字签名 不仅如此 传送过程中的文件需要通过数字签名来证明当事人身份及数据 的真实性 数据加密是保护数据真实性的最基本方法 能够防止第三者获得真 实数据 但有局限性 因为它不能象数字签名一样解决否认 伪造 篡改及冒 充等问题 因此 如何在交易的过程中为参与交易的个人 企业或国家提供可靠的标 识 成为当前研究的热点 3 国内外同类课题研究现状及发展趋势 1 国外相关技术现状国外相关技术现状 签名技术作为身份识别的重要技术 其国外主要技术有 1 1 基于加密技术的签名技术 1 对称密钥系统主要的特点是加密和解密的密钥是相同的 如 DES 2 非对称密钥系统的是加密和解密的密钥是不同的 每个用户保存着一 对密钥 公钥和私钥 如 RSA 算法 1 2 单向散列 Hash 函数 单向散列函数返回某信息串的报文摘要 摘要是一种防止信息被改动的方 法 从信息中提取一种确定格式的 符号性的信息串 即报文摘要 其中用到 的函数 H 叫做摘要函数 如 MD5 1 3 基于 PKI 的签名技术 1 4 椭圆曲线数字签名算法 1 5 手印 声音印记或视网膜的识别 1 6 以生物特征统计学为基础的识别技术 1 7 基于密码代号 个人识别码 PIN 等 2 国内相关技术的现状国内相关技术的现状 和国外的技术发展相比 我国在应用研究方面取得的成果多于核心技术方 面的研究 依然处于借鉴国外技术的阶段 山东大学王小云教授在密码学方面 取得的研究成果 代表了我国近年来在安全算法领域取得的成就 在应用领域 主要应用国外的核心技术 另一方面 结合水印技术 智能 令牌 指纹识别 虹膜识别等技术 或将多种技术混合运用等 一些软件企业也开发了相关方面的产品 如企业多级数字签名系统 MDSS 等 研究出如何对视频文件 计算机效果图 三维机械设计图 计算机程序等 进行签名的技术 从而解决了传统签名方法无法解决的签名问题 获得更高的 安全性 3 发展趋势 发展趋势 数字签名比纸制签名更安全 电子文件签名后 任何微小的文件更改都可 以被发现 数字签名文件可以任意备份 异地保存 比纸制文档存储更安全 随着密码学的发展 必然会产生新的数字签名技术 数字签名比纸制签名更安 全 同时 新的签名技术将弥补或摒弃现有签名技术中的不足 为电子商务的 安全运行提供更强的技术保障 4 课题研究的主要内容和方法 研究过程中的主要问题和解决办法 1 主要内容 主要内容 1 1 研究当前主要的数字签名技术 1 2 分析各签名技术的特点 1 3 设计一种实用的签名方案 2 研究方法 研究方法 2 1 检索 参阅相关文献 2 2 分析几种签名技术的安全性 2 3 根据上述签名技术的特点 提出一种改进的签名技术 2 4 分析提出的签名技术的安全性 3 研究的主要问题 研究的主要问题 3 1 在数字签名中如何防假冒和防篡改 3 2 为提高签名的安全强度 需增加新的因素 3 3 增加新因素后 其安全性的分析 4 解决办法 解决办法 4 1 运用 MD5 算法和增加随机数来解决假冒和篡改问题 4 2 可增加一次一密的口令机制 课题研究起止时间和进度安排 1 论文选题 2008 年 1 月 14 日 至 2008 年 1 月 19 日 2 搜集相关资料 检索国内外相关文献 2008 年 1 月 20 日 至 2008 年 2 月 末 3 撰写开题报告并开题 2008 年 3 月 1 日 至 2008 年 3 月 4 日 4 完成论文提纲并交老师审阅 2008 年 3 月 5 日 至 2008 年 3 月末 4 完成论文初稿 2008 年 4 月 1 日 至 2008 年 4 月 20 日 5 完成毕业论文定稿 2008 年 4 月 21 日 至 2008 年 5 月中旬 6 答辩 2008 年 5 月中下旬 至 2008 年 6 月 5 课题研究所需主要设备 仪器及药品 1 计算机一台 2 打印机一台 3 数字签名各方面的书籍及文献 4 纸张若干 5 成果验收 论文 外出调研主要单位 访问学者姓名 电脑知识与技术 康红俊 哈尔滨理工大学 王锐 哈尔滨工程大学 彭云秀 指导教师审查意见 指导教师 签字 年 月 6 教研室 研究室 评审意见 教研室 研究室 主任 签字 年 月 系 部 主任审查意见 系 部 主任 签字 年 月 学学 士士 学学 位位 论论 文文 题题 目目 签名技术在电子商务中的应用签名技术在电子商务中的应用 学学 生生 杨杨 耸耸 指导教师指导教师 李世明李世明 讲师讲师 7 年年 级级 2004 级级 专专 业业 计算机科学与技术计算机科学与技术 系系 别别 计算机科学与技术计算机科学与技术 学学 院院 计算机科学与信息工程计算机科学与信息工程 哈尔滨师范大学 2008 年 5 月 摘要 摘要 数字签名技术是当前网络安全领域的研究热点 它作为网络安全的关键性技 术之一 数字签名在社会生活的各个领域也都具有十分广阔的应用前景 本论文的研究内容主要包括以下方面 1 密码学基础的讨论 对于密码学其主要分为两大块 对称和非对称密码学 2 于目前几种比较常用的签名体制进行了分析和比较 包括 MD5 RSA DSS ECDSA 等签名体制 3 对电子签名技术在现实世界中的应用进行了分析和讨论 包括电子邮件 电子商 务等 关键字 关键字 密码学 数字签字 PKI 8 目目 录录 第一章第一章 绪论绪论 1 1 1 引言 1 1 2 内容简介 1 1 3 数字签名的研究意义 2 1 4 国内外现状 2 第二章第二章 密码学基础密码学基础 3 2 1 加密的历史 3 2 2 数据加密 3 2 3 加密算法和密钥 4 2 4 对称密钥算法 5 2 5 非对称密钥算法 5 2 5 1 非对称密钥技术的原理 5 2 5 2 对称密钥技术和非对称密钥技术的比较 6 第三章第三章 数字签名技术数字签名技术 7 3 1 数字签名简介 7 3 1 1 数字签名的定义 8 3 1 2 数字签名的原理 8 3 1 3 数字签名的特点和功能 8 3 1 4 数字签名的实施 9 3 2 数字签名方案分类 10 3 2 1 基于数学难题的分类 10 3 2 2 基于签名用户数量的分类 10 3 2 3 基于特殊用途的分类 10 3 3 用于数字签名的算法 10 3 3 1 RSA 算法 11 3 3 2 DSS 算法 11 3 3 3 MD5 算法 12 3 3 4 ECDSA 签名算法 12 3 3 5 几种常用方案的比较及分析 13 第四章第四章 公钥基础设施公钥基础设施 15 4 1 认证 15 4 2 数字证书 15 4 3 PKI 组件 17 4 3 1 认证权威机构 18 4 3 2 注册权威机构 18 4 3 3 证书库 18 4 4 证书管理 18 4 4 1 证书创建 19 4 4 2 证书使用 19 4 4 3 证书延期 19 4 4 4 证书撤销 19 4 5 认证模型 19 9 4 5 1 层次模型 20 4 5 2 交叉信任模型 21 4 5 3 网状模型 21 第五章第五章 数字签名的应用分析数字签名的应用分析 23 5 1 电子邮件和数据交换 23 5 2 数字签名在电子商务中的应用 24 5 3 在远程控制中的应用 26 5 4 数字签名在其它方面的应用 27 第六章第六章 总结与展望总结与展望 28 6 1 总结 28 6 2 展望 28 致致 谢谢 30 参考文献参考文献 31 Abstract 33 1 第一章 绪论 1 11 1 引言引言 随着计算机技术和通信技术的迅速发展和应用 人类进入了信息时代 信息技术 正从政治 经济和社会生活的各个方面改变着人类的生存和发展方式 无论是在打开 电灯 乘坐飞机 应急求助等日常事务中 还是在国家经济运行 安全防御等方面 都需要依赖于复杂的信息系统的支持 然而这个充满希望的时代也充斥着危险 当人 们通过网络来交流思想 吐露内心的秘密 商讨业务 支付金钱 甚至传递涉及国家 的重要经济 外交和军事信息时 都可能被他人窃取秘密 因此 如果人们希望继续 享用信息时代所带来的种种益处 那就必须建立有效的安全防护措施 这就是所谓的 信息安全 密码技术正是保障信息安全的有效方法之一 不仅可以利用密码来打乱所传达的 信息 以便只有我们所希望的接受者才能真正获取信息 而且通过密码技术的使用 使得现实世界的许多事情 诸如签字 订合同 发送收据等都可以通过数字信号来完 成 实际上 信息安全的范围还是挺广的 不过目前对于信息安全也没有一个确切的 定义 信息安全问题是在通信的过程中产生的 而通信又可分为物理层 控制层和服 务层等多种层面 从不同的观察角度 所关心的信息安全问题又有不同 用户关心的 是涉及个人隐私和商业利益的数据在通信过程中的秘密性 完整性和真实性问题 运 营商主要关心的是系统可靠性问题 信息存取控制问题 病毒问题 黑客问题等等 国家安全保密部门和行政部门关心的是国家机密信息的有效过滤和防堵 避免非法泄 露的问题 总之 信息安全应该是综合运用一切手段 使信息从信源到信宿的整个过程中 在通信的各个层面和不同的观察角度 在获取 存贮 显示 变换 处理 传递等各 个环节上保证信息的可靠性 可用性 可控性 完整性 秘密性和不可抵赖性的理论 和技术 1 21 2 内容简介内容简介 今天的信息社会里 科学技术的研究和发展及商业等方面 无一不与信息息息相 关 所以信息就是生命 信息就是时间 信息就是财富 由于信息是共享的 信息的 扩散会产生社会影响 但是如果错误的消息则可能起到相反的作用 不但浪费时间 而且还会浪费金钱 通过数字签名不但可以实现防伪的作用 而且还可以实现信息的防止抵赖的作用 这样可以加大诸如网上交易的可信性 如果网络上也解决了诚信问题 那么必然会加 大物流 实现人力资源以及自然资源等资源的合理流动 为社会繁荣做出巨大的贡献 2 1 31 3 数字签名的研究意义数字签名的研究意义 从数字签名实现的功能可以看出 数字签名作为一项重要的安全技术 在保证数 据的机密性 完整性和不可否认性方面起着极为重要的作用 从而保证通信双方的利 益 同时 随着 Internet Intranet 信息技术的飞速发展及其在商业 金融 法律 政府 军事等部门的普及 尤其是在电子邮件 E mail 电子数据交换 EDI 电子资 金转账 EFT 数据存储和数据完整性检验和源鉴别中的应用 数字签名技术的研究将 越来越重要 已经证明 在大多数情况下 安全需求不是为了数据的保密 而是保证数 据的可靠字能够 数据源的证明或非否认 满足这些要求的一种很好的方法就是使用 数字签名 国外由于信息安全研究时间较早 数字签名技术在发达国家都得到了快速发展 不同国家对密码技术有着不同的进出口限制 无论从客观环境的角度还是从主观战略 利益的角度看 发展我国自主的密码应用技术都势在必行 目前我国在密码技术的应用水平方面与国外还有一定的差距 数字签名技术的应 用尚处在初步阶段 在技术 管理以及标准化方面都有大量工作要做 国内投入实际 的应用主要集中于银行等电子商务领域 数字签名理论经过多年的研究 提出了一些 可靠的实现方案 但是由于这些方案多是基于实验研究环境 面对各种实际应用需求 应对比较困难 1 41 4 国内外现状国内外现状 密码和信息安全技术大量使用于实际的网络通信中 标准化必然是一项重要的工 作 数字签名的标准制订是其必备部分之一 影响较大的制订信息安全相关标准的组织有 ISO 和国际电子技术委员会 IEC 美 国国家标准与技术委员会 NIST 制定的美国联邦信息处理标准 FIPS 系列 Internet 研究和发展共同体制制订的标准 IEEE 制定的标准 RSA 公司制定的 PKCS 系列等等 对于我国的数字签名现状 由于我国起步较晚 因此主要是借鉴国外的经验 而 且在操作中还很不规范 鉴于此 我国于 2004 年 8 月 28 日在第十届全国人民代表大 会常务委员会第十一次会议通过了 中华人民共和国电子签名法 从而规范电子签名 的应用 3 第二章 密码学基础 2 12 1 加密的历史加密的历史 作为保障数据安全的一种方式 数据加密起源于公元前 2000 年 埃及人是最先使 用特别的象形文字作为信息编码的人 对信息进行编码曾被凯撒大帝使用 也曾用于 历次战争中 包括美国独立战争 美国内战和两次世界大战 最广为人知的编码机器 是 German Enigma 机 在第一次世界大战中德国人利用它创建了加密信息 此后 由 于 Alan Turing 和 Ultra 计划以及其他人的努力 终于对德国人的密码进行了破译 当初 计算机的研究就是为了破解德国人的密码 当时人们并没有想到计算机给今天 带来的信息革命 随着计算机的发展 运算能力的增强 过去的密码都变得十分简单 了 于是人们又不断地研究出了新的数据加密方式如对称密钥算法和公开密钥算法 今天 密码学已经从最初的军事和外交领域走向公开 它是结合数学 计算机科 学 电子与通信等诸多学科于一身的交叉学科 它不仅具有保证信息机密性的信息加 密功能 而且具有数字签名 身份验证 秘密分存 系统安全等功能 所以 使用密 码技术不仅可以保证信息的机密性 而且可以保证信息的完整性和确证性 防止信息 被篡改 伪造和假冒 密码学是以研究秘密通信为目的的 即研究对传输信息采用何种秘密的变换以防 止第三者对信息的窃取 它作为数学的一个分支 包括密码编码学和密码分析学两部 分 使消息保密的技术和科学叫做密码编码学 密码分析学就是破译密文的科学和技 术 即揭穿伪装 这两者是互相促进 共同发展的 2 22 2 数据加密数据加密 尽管加密是为了安全目的 对信息进行编码和解码这个概念十分简单 但在这里 仍需对其进行解释 数据加密的基本过程包括加密和解密 对被称为 明文 的可读 信息采用某种方法进行伪装以隐藏它的内容 变换成称为 密文 或 密码 的代码 形式 这个过程叫做加密 该过程的逆过程为解密 即将该编码信息转化为其原来的 形式的过程 如图 2 1 所示 图 2 1 加密和解密 明文 加密 密文 解密 原始明文 4 2 32 3 加密算法和密钥加密算法和密钥 密码算法 algorithm 是用于加密和解密的数学函数 通常情况下 有两个相关 的函数 一个用于加密 另一个用于解密 如果算法的保密性是基于保持算法的秘密 即算法必须保密 这种算法称为受限 制的 restricted 算法 这种算法属于最初级的加密方法 不能满足现代的加密要求 大的或经常变换的用户组织不能使用它们 因为如果有一个用户离开这个组织 其他 的用户就必须改换另外不同的算法 如果有人无意暴露了这个秘密 所有人都必须改 变他们的算法 而且 受限制的密码算法不可能进行质量控制或标准化 每个用户组 织必须有他们自己的惟一算法 这样的组织不可能采用流行的硬件或软件产品 因为 窃听者可以买到这些流行产品并学习算法 现代密码学用密钥 key 解决了这个问题 密钥用 K 表示 K 可以是很多数值里的 任意值 密钥 K 的可能值的范围叫做密钥空间 keyspace 加密和解密运算都是用这 个密钥 即运算都依赖于密钥 并用 K 作为下标表示 这样 加 解密函数 如式 2 1 2 2 2 3 所示 EK M C 2 1 DK C M 2 2 DK EK M M 2 3 图 2 2 使用一个密钥的加 解密 有些算法使用的加密密钥与解密密钥不相同 如图 2 3 所示 也就是说加密密钥 K1与相应的解密密钥 K2不同 在这种情况下 如式 2 4 2 5 2 6 所示 EK1 M C 2 4 DK2 C M 2 5 DK2 EK1 M M 2 6 明文 加密 密钥 K 密文 解密 原始明文 密钥 K 5 图 2 3 使用两个密钥的加 解密 所有这些算法的安全性都基于密钥的安全性 而不是基于算法细节的安全性 这 就意味着算法可以公开 也可以被分析 可以大量生产使用算法的产品 即使偷听者 知道算法也没有关系 只要他不知道使用的具体密钥 就不可能阅读消息 2 42 4 对称密钥算法对称密钥算法 对称密钥算法有时又叫传统密码算法 就是加密密钥能够从解密密钥中推算出来 反过来也成立 在大多数对称密钥算法中 加 解密密钥是相同的 这些算法也叫秘密 密钥算法或单密钥算法 它要求发送者和接收者在安全通信之前 商定一个密钥 对 称密钥算法的安全性依赖于密钥 只要通信需要保密 密钥就必须保密 对称算法可分为两类 对位流或字节流进行操作运算的算法称为序列密码或流密 码 另一类算法是对明文的一组位进行运算 这些位组称为分组或块 相应的算法称 为分组密码或块密码 2 52 5 非对称密钥算法非对称密钥算法 早在上世纪 70 年代 密码学领域有两个重要的发展 其一是前面所提到的公共领 域加密算法的标准化 其二便是公钥加密思想的出现 这些对后来的通信安全有着十 分重要的作用 进入计算机网络时代后 对称密钥加密的缺点越来越显著 其根本原 因是加解密使用的密钥是相同或可推导的 这就导致了密钥分发 密钥管理 密钥更 改等一系列的问题 而这些问题在非对称密钥技术 或称公开密码体制 中得到了解决 2 5 12 5 1 非对称密钥技术的原理非对称密钥技术的原理 1976 年 美国学者 Dime 和 Henman 为解决信息公开传送和密钥管理问题 提出一 种新的密钥交换协议 允许在不安全的媒体上的通讯双方交换信息 安全地达成一致 的密钥 这就是 公开密钥系统 相对于 对称加密算法 这种方法也叫做 非对称 加密算法 与对称加密算法不同 非对称加密算法需要两个密钥 公开密钥和私有密钥 公开 明文 加密 加密密钥 K1 密文 解密 解密密钥 K2 原是明文 6 密钥与私有密钥是一对 如果用公开密钥对数据进行加密 只有用对应的私有密钥才 能解密 如果用私有密钥对数据进行加密 那么只有用对应的公开密钥才能解密 因 为加密和解密使用的是两个不同的密钥 所以这种算法叫做非对称加密算法 非对称加密算法实现机密信息交换的基本过程是 甲方生成一对密钥并将其中的一 把作为公用密钥向其它方公开 得到该公用密钥的乙方使用该密钥对机密信息进行加 密后再发送给甲方 甲方再用自己保存的另一把专用密钥对加密后的信息进行解密 甲方只能用其专用密钥解密由其公用密钥加密后的任何信息 非对称加密算法的保密性比较好 它消除了最终用户交换密钥的需要 但加密和 解密花费时间长 速度慢 它不适合于对文件加密而只适用于对少量数据进行加密 最常用的非对称密钥加密算法是 RSA 算法 它是由 Rivest Shamir 和 Adleman 提 出的 尽管还有其他一些非对称加密方案 但是 RSA 算法是当前 XML 安全标准中规定 的惟一一种这样的加密方案 2 5 22 5 2 对称密钥技术和非对称密钥技术的比较对称密钥技术和非对称密钥技术的比较 1 在加密 解密的处理效率方面 对称密钥技术优于非对称密钥技术 因为一 般 DES 密钥的长度只有 56 位 可以利用软件和硬件实现高速处理 RSA 算法需要进行 诸如 200 位整数的乘幂和求模等多倍字长的处理 处理速度明显慢于 DES 算法 2 在密钥的管理方面 非对称密钥技术比对称密钥技术更加优越 因为非对称 密钥技术可采用公开形式分配密钥 对加密密钥的更新也很容易 并且对不同的通信 对象 只需对自己的解密密钥保密即可 对称密钥技术要求通信前对密钥进行秘密分 配 密钥的更换更困难 对不同的通信对象 对称密钥要产生和管理不同的密钥 3 在安全性方面 DES 和 RSA 算法的安全性都很好 还没有在短时间内破译它 们的有效方法 4 在签名和认证方面 对称密钥算法从原理上不可能实现数字签名和身份认证 但非对称密钥算法能够容易地进行 因此 通常把两种技术结合起来实现最佳性能 即用公钥算法技术在通信双方之间传送通信与对称密钥 用对称密钥来对实际传输的 数据加密解密 7 第三章 数字签名技术 3 13 1 数字签名简介数字签名简介 大家都知道 只要会写字的人 他写出来的字就会存在一个笔迹问题 只要他在 某个地方写上了自己的名字 那意义就不同凡响了 尤其当他又是个大人物的时候 所以很多使用各种手段想要得到 某首长 的批示 数字签名就是模仿这个原理而来 所谓数字签名 就是只有信息发送者才能产生的别人无法伪造的一段数字串 这段数 字串同时也是对发送者发送信息真实性的一个证明 其实归根到底 在书面文件上签 名有两个作用 一是因为自己的签名难以否认 从而确定了文件已签署这一事实 二 是因为签名不易冒仿 从而确定了文件是真实的这一事实 因此 数字签名就可以用 来防止电子信息因容易被修改而有人造假 或冒用他人名义发送信息 或发出 收到 信件后又加以否认等情况的发生 结合散列函数和非对称加密算法 可以实现数字签 名 数字签名是一个加密的信息摘要 附在消息后面 以确认发送者的身份和该信息 的完整性 举例说明 若 A 向 B 发送消息 其创建数字签名的步骤为 如下图 3 1 1 利用散列函数计算原消息的摘要 2 用自己的私钥加密摘要 并将摘要附在原消息的后面 消息 散列算法 消息摘要 签名操作 数 字 签 名 发 送 方 私 钥 收到的消息 散列算法 消息摘要 验证操作 发 送 方 公 钥 数 字 签 名 Yes 通过 No 失败 图 3 1 签名的生成过程 图 3 2 签名的认证过程 8 B 接收到消息 对数字签名进行验证的步骤为 如上图 3 2 所示 1 将消息中的原消息及其加密后的摘要分离出来 2 使用 A 的公钥将加密后的摘要解密 3 利用散列函数重新计算原消息的摘要 4 将解密后的摘要和自己用相同散列算法生成的摘要进行比较 若两者相等 说明消息在传递过程中没有被篡改 否则 消息不可信 了解数字签名及其验证的过程后 可以发现这一技术带来了以下三方面的安全性 1 信息的完整性 由散列函数的特性可知 若信息在传输过程中遭到篡改 B 重 新计算出的摘要必然不同于用 A 的公钥解密出的摘要 所以 B 就确信信息不可信 2 信源确认 因为公钥和私钥之间存在对应关系 既然 B 能用 A 的公钥解开加 密的摘要 并且其值与 B 重新计算出的摘要一致 则该消息必然是 A 发出的 3 不可抵赖性 这一点实际上是第 2 点的理由阐述 因为只有 A 持有自己的私 钥 其它人不可能冒充他的身份 所以 A 不可能否认他发过这一则消息 3 1 13 1 1 数字签名的定义数字签名的定义 数字签名是指附加在数据单元上的一些数据 或是对数据单元所做的密码变换 这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性 并保护 数据 防止被人 如接收者 进行伪造 签名机制的本质特征是该签名只有通过签名者的私有信息才能产生 也就是说 一个签名者的签名只能惟一的由他自己产生 当收发双方发生争议时候 第三方 仲裁 机构 就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出 从而实现 不可否认性安全服务 3 1 23 1 2 数字签名的原理数字签名的原理 数字签名技术的实现方法有多种 使用对称密码体制的数字签名 使用公开密钥密 码技术的数字签名 使用公开密钥密码技术和杂凑函数的数字签名 实际实现过程中 第一种方案需要信任的中间人 比较繁琐 而单纯采用公开密钥密码算法对长文件签 名效率太低 将其与杂凑函数结合可以节约时间 步骤如下 l 发送方 A 用事先商量好的哈希函数算法计算消息的消息摘要 2 A 用其私钥对消息摘要加密 然后对摘要值签名 3 A 将消息及签名后的消息摘要发送给接收方 B 4 B 首先用和 A 事先商量好的哈希算法计算收到的消息摘要 再用 A 的公钥解密 A 签名的摘要值 对比两个计算结果 若一致 则签名有效 这种数字签名因为只需对哈希值进行签名 速度有了很大提高 而根据哈希特性 不同消息很难产生相同的哈希值 因此确保对哈希值签名和对消息签名一样安全 同 时 9 签名和源消息可以分开存储 接收者对源消息和哈希值的存储量要求大大降低 3 1 33 1 3 数字签名的特点和功能数字签名的特点和功能 数字签名有如下特点 1 接收者能够确认或证实签名者的签名 2 任何人都不能伪造签名 3 签名者发出签名的消息后 不能否认自己所签发的消息 4 第三方可以确认收发双方之间的消息传递 但不能伪造这一过程 这样当通信 双方关于签名的真伪发生争执时 可由受信任的第三方来解决双方的争执 数字签名机制作为保障网络信息安全的重要手段 可以解决伪造 篡改 冒充 抵 赖等问题 所提供的功能主要有以下几方面 1 防伪造 其他人不能伪造对消息的签名 因为签名密钥即私钥只有签名者自己 知道 其他人不可能构造出正确的签名数据 2 防篡改 数字签名与原始文件或其摘要一起发送给接收者 一旦信息被篡改 接收者可通过计算摘要和验证签名来判断该文件无效 从而保证了数据的完整性 3 防重放攻击 如在电子商务中 公司 A 向公司 B 发送了一份商品定单 如果有 攻击者中途截获定单并发送多份给公司 B 这样会导致公司 B 以为公司 A 订购了多批商 品 在数字签名中 通常采用了对签名报文加盖时间戳或添加处理流水号等技术 可 以防止这种重放攻击 4 身份鉴别 这是手写签名和数字签名最基本的功能 手书签名时一般通过对方 的笔迹或现场验证 在数字签名中 接收方同样可以鉴别发送方的身份 5 防抵赖 数字签名可鉴别身份 不可能伪造 则签名后的报文可作为签名者签 名动作的证据 防止抵赖 要防止接收者的抵赖 可以在数字签名系统中要求接收者 返回一个自己签名的表示收到的报文 给发送者或受信任第三方 由此双方均不可抵 赖 6 机密性 数字签名中报文不要求加密 但在网络传输中 可以将报文信息加密 已保证信息的机密性 数字签名的应用比较广泛 例如网上银行通过 Internet 向可户提供信息查询 网 上支付 资金划转 信贷业务等金融服务 电子商务能完成企业间 企业与消费者之 间在网上商业活动 网上证券能在网上完成股票交易 网上证券信息服务 网上银行 证券转账业务等 所有这些都需要身份鉴别 防篡改 防抵赖等功能 即使用数字签 名 3 1 43 1 4 数字签名的实施数字签名的实施 实现数字签名有很多方法 目前采用较多的是非对称加密技术和对称加密技术 虽然这两种技术实施步骤不尽相同 但大体的工作程序是一样的 用户首先可以下载 或者购买数字签名软件 然后安装在个人电脑上 在产生密钥对后 软件自动向外界 传送公开密钥 由于公共密钥的存储需要 所以需要建立一个鉴定中心 CA 完成个人 10 信息及其密钥的确定工作 鉴定中心是一个政府参与管理的第三方成员 以便保证信 息的安全和集中管理 用户在获取公开密钥时 首先向鉴定中心请求数字确认 鉴定 中心确认用户身份后 发出数字确认 同时鉴定中心向数据库发送确认信息 然后用 户使用私有密钥对所传信息签名 保证信息的完整性 真实性 也使发送方无法否认 信息的发送 之后发向接收方 接收方接收到信息后 使用公开密钥确认数字签名 进入数据库检查用户确认信息的状况和可信度 最后数据库向接收方返回用户确认状 态信息 不过 在使用这种技术时 签名者必须注意保护好私有密钥 因为它是公开 密钥体系安全的重要基础 如果密钥丢失 应该立即报告鉴定中心取消认证 将其列 入确认取消列表之中 其次 鉴定中心必须能够迅速确认用户的身份及其密钥的关系 一旦接收到用户请求 鉴定中心要立即认证信息的安全性并返回信息 3 23 2 数字签名方案分类数字签名方案分类 3 2 13 2 1 基于数学难题的分类基于数学难题的分类 根据公开密钥密码算法建立的数学基础 数字签名方案可分为基于大整数素因子 分解问题的签名方案 如 RSA 和基于有限域离散对数问题的签名方案 如 DSA 3 2 23 2 2 基于签名用户数量的分类基于签名用户数量的分类 根据签名用户的数量 数字签名可分为单个用户签名的数字签名方案和多个用户 签名的数字签名方案 或称多重签名方案 多重签名方案根据签名的过程不同 可分 为顺序多重签名和广播多重签名两种 3 2 33 2 3 基于特殊用途的分类基于特殊用途的分类 1 群签名 群体的一个成员以整个群体的名义进行数字签名 并且验证者能够确 认签名者的身份 2 盲签名 当签名者签署一份不知道内容 或不必知道内容 的文件时需要使用盲 签名 3 门限签名 在 n 特成员的群体中 至少有 t 个成员才能代表群体对文件进行有 效的数字签名 4 代理签名 允许密钥持有者授权给第三方 该第三方能够代表密钥持有者进行 数字签名 5 门限代理签名 该方案是门限签名和代理签名的综合应用 目的是控制代理签 名中授权的第三方不会滥用签名 该方案把密钥分配给 n 个代理者 只有超过 t 个代 理者联合才可以重构密钥进行签名 6 不可否认的门限代理签名 用来防止门限代理签名中的 t 个签名者同谋重构签 名 该方案中参与代理签名的 t 人均不可否认其签名 7 故障停止式签名 该方案是针对一个非常强的攻击者能够伪造一个签名的可能 性而设计的 它提供一个增强的安全性 即使攻击者能够伪造关于某一消息的签名 随后也能以很高的概率证明攻击者的签名是伪造的 11 3 33 3 用于数字签名的算法用于数字签名的算法 事实上数字签名不是一种具体的技术实现 它是基于各种加密技术组合的解决方 案 数字签名包括签名算法和验证算法 目前主要使用的签名算法有 RSA 和 3DES 还 有哈希算法 最常用的非对称密钥加密算是 RSA 算法 它是由 Rivest Shamir 和 Adleman 提出的 尽管还有其他一些非对称加密方案 但是 RSA 算法是当前 XML 安全标 准中规定的惟一一种这样的加密方案 3 3 13 3 1 RSARSA 算法算法 RSA 的工作原理 首先随机生成一个公钥和私钥对 然后使用生成的公钥通过 RSA 算法加密数据 最后用生成的私钥解密被加密的数据 它是第一个既能用于数据加密 也能用于数字签名的算法 它易于理解和操作 也很流行 算法的名字以发明者的名 字命名 Ron Rivest Adi Shamir 和 Leonard man 但 RSA 的安全性一直未能得到理 论上的证明 它经历了各种攻击 至今未被完全攻破 1 RSA 算法 RSA 是完整的加密系统 它支持公钥 私钥对的生成 加密以及数字签名 Carol 为了加密消息以发送给 Bob Bob 首先必须生成一个密钥对 并和 Carol 共享公钥 公 钥由两个数字组成 模数 n 和公共指数 e 私钥也由两个数字组成 相同的模数 n 和私有 指数 d 通过随机选择两个大的质数 p 和 q 并把它们一起相乘 就可以创建模数 所 选择的指数 e 必须与 p 1 q 1 互质 也就是说 e 与这个数必须不具有相同的因数 质数 d 必须满足等式 d e mod p l q 1 1 然后 如果 Carol 的明文是 M 那么 她就能够通过计算 C Me mod n 把它加密成密文 C Bob 通过计算 M Cd mod n 就可 以恢复明文 第一步 Bob 选择大的质数 p 和 q 并使它们相乘 从而得到 n 第二步 Bob 选择一个公共指数 e 它与 p 1 q 1 互质 第三步 Bob 计算私有指数 d e 1 mod p l q 1 第四步 Bob 与 Carol 共享公钥 数字 n 和 e 第五步 Carol 使用 C Me mod n 把 M 加密成 C 并把 C 发送给 Bob 第六步 Bob 使用 M Cd mod n 把 C 解密成 M 注意 如果密文 C 在传输过程中被窃听了 别人想从它推断出 M 使用 M Cd mod n 其中只有 d 为未知数 想推出 d d e 1mod p 1 q 1 就必须知道 p 和 q 它们只有分解 n 才能得到 2 RSA 的安全性 RSA 的安全性依赖于大数分解 但是否等同于大数分解一直未能得到理论上的证明 因为没有证明破解 RSA 就一定需要作大数分解 假设存在一种无须分解大数的算法 那它肯定可以修改成为大数分解算法 目前 RSA 的一些变种算法已被证明等价于大数 分解 不管怎样 分解 n 是最显然的攻击方法 现在 人们已能分解多个十进制位的 大素数 因此 模数 n 必须选大一些 因具体适用情况而定 对于短期安全性 n 的长 12 度至少应该为 1024 比特 而长期安全性则要求 n 至少为 2048 比特 3 3 23 3 2 DSSDSS 算法算法 讨论 DSS 签名体制实际上讨论其对应的 DSA 算法 DSA Digital Signature Algorithm 数字签名算法 用作数字签名标准的一部分 它是另一种公开密钥算法 它不能用作加密 只用作数字签名 DSA 使用公开密钥 为接受者验证数据的完整性和 数据发送者的身份 它也可用于由第三方去确定签名和所签数据的真实性 DSA 算法的 安全性基于解离散对数的困难性 这类签字标准具有较大的兼容性和适用性 成为网 络安全体系的基本构件之一 DSA 签名算法中用到了以下参数 p 是 L 位长的素数 其中 L 从 512 到 1024 且是 64 的倍数 q 是 160 位长且与 p 1 互素的因子 其中是小于 p 1 并且满足大于 1 的任意数 x 是小于 q 的数 另外 算法使用一个单向散列函数 H m 标准指定了安全散列算法 SHA 三个 参数 p q 和 h 是公开的 且可以被网络中所有的用户公有 私人密钥是 x 公开密钥 是 y 对消息 m 签名时 1 发送者产生一个小于 q 的随机数 k 2 发送者产生 r 和 s 就是发送者的签名 发送者将它们发送给接受者 3 接受者通过计算来验证签名 如果 v r 则签名有效 DSA 签名 1 公开密钥 p 512 位到 1024 位的素数 q 160 位长 并与 p 1 互素的因子 其中 h 是小于 p 1 并且满足大于 1 的任意数 2 私人密钥 x 小于 q 3 签名 k 选取小于 q 的随机数 4 验证 如果 v r 则签名被验证 3 3 33 3 3 MD5MD5 算法算法 经过一些初始化处理后 MD5 以 512 位分组来处理输入文本 每一分组又划分为 16 个 32 位子分组 首先填充消息使其长度恰好为一个比 512 位的倍数仅小 64 位的数 填充方法是附一个 1 在消息后面 后接所要求的多个 O 然后在其后附上 64 位的消息 长度 填充前 这两步的作用是使消息长度恰好是 512 位的整数倍 算法的其余部分要 求如此 同时确保不同的消息在填充后不相同 接着进行算法的主循环 循环的次数 是消息中 512 位消息分组的数目 主循环有四轮 MD4 只有三轮 每轮很相似 算法的 输出由四个 32 位分组组成 将它们级联形成一个 128 位散列值 3 3 43 3 4 ECDSAECDSA 签名算法签名算法 椭圆曲线数字签名算法 ECDSA 设计的数学原理是基于椭圆曲线离散对数问题的难 解性 EC 点上离散对数的研究现状表明 所使用的 ECDSA 密钥至少需要 192 比特 才能 13 保证有足够的中长期安全 椭圆曲线是指由韦尔斯特拉斯 Weierstrass 方程 y2 a1xy a3y x3 a2x2 a4x a6 所确定的平面曲线 定义 F 为一个域 其中 ai F i 1 2 6 F 可为有理解域 实数域 复数域 也可为有限域 GF q 在椭圆曲线密码体制中 F 一般为有限域 由 有限域椭圆曲线上的所有点外加无穷远点组成的集合 连同按照 弦切法 所定义的 加法运算构成一个有限 Abel 群 在此有限 Abel 群上 定义标量乘法 Scalar Multiplication 为 mP P P P m 个 P 相加 若 mP Q 定义 m logpQ 为椭圆曲 线点群上的离散对数问题 此问题无多项式时间内的求解算法 ECDSA 的设计正是基于 这一问题的难解性 在此 讨论定义在有限域 GF 2m 上的椭圆曲线数字签名算法 今定义椭圆曲线方程为 y2 xy x3 ax2 b a b GF 2m 则椭圆曲线的域参数为 D m f x a b P n 其中 f x 为 GF 2m 的多项式基表示的 不可约多项式 P 表示椭圆曲线上的一个基点 n 为素数且为点 G 的阶 ECDSA 算法密钥对的生成过程为 在区间 1 n 1 上选择一个随机数 d 计算 Q dP 则 Q 为公钥 d 为私钥 ECDSA 算法的签名生成过程可简述如下 若签名的消息为 e 则在区间 1 n 1 上 选择一个随机数 k 计算 kG xl y1 r xl mod n s k 1 e dr mod n 如果 r 或 s 为零 则重新计算 否则生成的签名信息为 r s ECDSA 算法的签名验证过程可简述如下 若公钥为 Q 签名的消息为 e 计算 w s 1 mod n u1 ew mod n u2 rw mod n X u1P u2Q xl y1 如果 X 为无穷远点 则拒绝签名 否则计算 v xl mod n 如果 v r 则接受签名 否则拒绝签名 3 3 53 3 5 几种常用方案的比较及分析几种常用方案的比较及分析 1 MD5 签名体制与 DSS 签名体制的比较 MD5 签名体制中 MD5 算法是对 MD4 消息摘要算法的扩展 对任意长度的输入计算 出一个 128 比特的散列值 而 DSS 签名体制中 其对应的散列算法有 SHA 1 SHA 256 SHA 384 SHA 512 这些算法分别产生 160 256 384 512 比特的散列值 数 字签名为了实现防伪的作用 其原理就应用到了单向散列函数的不可逆性 即对于任 意的输入不可能产生两个相同的散列值 从而起到指纹的作用 一旦发现产生相同散 列输出的任意的两个输入 就认为该散列的生日攻击是成功的 目前 我国的王小云 教授已经破解了 MD5 和 SHA 1 所以 只有采取提高摘要的长度 从而提高生日攻击的 难度 在 MD5 签名体制和 DSS 签名体制中 只有后者提供了扩展摘要的散列的算法 结论不言而明 当然这并不意味着可以高枕无忧了 而是应该未雨绸缪 寻找新的杂凑 函数和改进措施 提高安全性 2 DSS 签名体制与 RSA 签名体制 14 DSS 签名体制中 它指定了一种数字签名算法是美国政府的 Capstone 计划的一部 分 该签名算法是 Schnorr 和 ElGamal 签名算法的变种 DSA 算法的安全性也依赖于整 数有限域上的离散对数问题 安全强度和速度均低于 RSA 算法 其优点是不涉及专利 问题 DSA 的一个重要特点是两个素数公开 这样 当使用别人的 P 和 Q 时 即使不知 道私钥 也能确认它们是否是随机产生的 还是做了手脚 而 RSA 做不到 另外 对 于 DSA 它是另一种公开密钥算法 但它不能用作加密 只能用作数字签名 3 RSA 签名体制与 ECDSA 签名体制 RSA 签名体制的数学基础是基于数论中大素数分解的困难性 椭圆曲线数字签名算 法 ECDSA 设计的数学原理是基于椭圆曲线离散对数问题的难解性 相对于 RSA 等密码 体制而言 椭圆曲线加密体制是比较新的技术 椭圆曲线数字签名算法 ECDSA 和 RSA 与 DSA 的功能相同 并且数字签名的产生与认证速度要比 RSA 与 DSA 快 于 1985 年 N Kobliz 和 Miller 提出将椭圆曲线用于密码算法 分别利用有限域 上椭圆曲线的点构成的群实现了离散对数密码算法 椭圆曲线密码其根据是有限域上 的椭圆曲线上的点群中的指数级的难度 从目前已知的最好求解算法来看 160 比特的 椭圆曲线密码算法的安全性相当于 1024 比特的 RSA 算法 此后 有人在椭圆曲线密码 算法实现了类似 ELGamal 的加密算法 以及可以恢复明文的数字签名方案 另外 人 们也在探索在椭圆曲线上实现类似 RSA 算法 15 第四章 公钥基础设施 公钥基础设施 Public Key Infrastructure 简称 PKI PKI 的基本定义十分简单 所谓 PKI 就是一个支持公钥管理体制的基础设施 提供鉴别 加密 完整性和不可否 认性服务的基础设施 在讲解 PKI 的各个组成部分之前 我们有必要先认识一下认证和数字证书 之后还 将介绍几种常用的认证模型 4 14 1 认证认证 公钥密码术可能会有密钥分发问题 但并不像对称密码术的密钥分发问题严重 公钥并不需要像对称密钥那样经常改变 尽管对称密钥在每次消息加密之后都应改变 然而 非对称公钥和私钥能够用于很多数字签名和数字信封中 这要归功于破解非对 称密钥相当困难 而且攻击者也难于在使用相同密钥进行多次对称加密的过程中通过 相似性而获得好处 更为重要的是 公钥的真实性可以通过可信的第三方建立 如果 Ezra 确定自己所 有的公钥属于 Fran 她就可以非常有信心地使用这个密钥 受到 Fran 私钥的拥有者和 Ezra