（应用数学专业论文）具有灵活特性的密钥托管方案研究.pdf

中文摘要 中文摘要 密钥托管加密系统是具有备份解密能力的加密系统，它允许授权者( 包括用户、 企业职员和政府等官员等) ，在一定条件下，借助一个以上持有专用数据恢复密钥 的、可信赖的委托方所提供的信息来解密密文“密钥托管”这一概念提出后，很快 便成为密码学界和信息安全领域的学者们研究的热点问题 本文先后提出了可任意设置托管代理数量及权限的密钥托管方案、动态的基于 e 1 g a m a l 公钥体制和椭圆曲线公钥体制的( k ，n ) 门限密钥托管方案方案不仅具有 相对较好的安全性及灵活性，而且具有如下特点： ( 1 ) 用户的e 1 g a m a l ( 椭圆曲线) 私钥是由可信的密钥管理中心产生，可以有效 的防止用户发起阚下信道攻击； ( 2 ) 在监听过程中，监听机构可以对托管代理交给其的子密钥进行验证，可以 防止来自内部合法的恶意的托管代理的破坏和攻击； ( 3 ) 解决了。一次监听，永久监听问题” 关键词： 密钥托管；灵活性；e 1 g a m a l 公钥体制；椭圆曲线公钥体制；( k ，n ) 门限 英文摘要 a k e ye s c r o we n c r y p t i o ns y s t e mi sa l le n c r y p t i o ns y s t e mw i t h8b a c k u pd e c r y p - t i o nc a p a b i l i t yt h a ta l l o w sa u t h o r i z e dp e r s o n s ( u s e r s ，o f f i c e r so fa no r g a n i z a t i o n 。 a n dg o v e r n m e n to i f i c i a l s ) ，u n d e rc e r t a i np r e s c r i b e dc o n d i t i o n s ，t od e c r y p tc i p h e r - t e x tw i t ht h eh e l po fi n f o r m a t i o ns u p p l i e db yo n e o rm o r et r u s t e dp a r t i e sw h oh o l d s p e c i a ld a t ar e c o v e r yk e y s k e ye s c r o wb e c a m e so n eo ft h em o s th o ti s s u e sc o n c e r i e d b yc r y p t o g r a p g yf i e l da n di n f o r m a t i o ns e c u n t yf i e l da f t e r k e ye s c r o w c o n c 印t 嗍 p r o p o s e d a k e ye s c r o ws c h e m ew h i c hc a ns e tt h en u m b e ro fe s c r o wa g e n t sa n dt h er e s p e c t i v ei m p o r t a n c eo fe s c r o wa g e n t sa r b i t r a r i l ya n dan e w d y n a m i c ( 七，n ) t h r e s h o l d s c h e m eb a s e do ne 1 g a m a l p u b l i ck e yc r y p t o s y s t e ma n de l l i p t i cc u r v ec r y p t o e y s t e m a r ep r o p o s e db yt h i sa r t i c a l s h e m e sn o to n l yh a v eg o o ds e c u r i t y , b u tt h e ya r ea l s o f l e x i b l ea n ds c h e m e sh a v et h ef o l l o w i n gp r o p e r t i e s ： ( 1 ) t h eu s e r se 1 g a m a l ( e l l i p t i cc u r v e ) p r i v a t ek e yi sg e n e r a t e db ym a n a g e m e n t a u t h o r i t y , s oi tc a np r e v e n ts u b l i m i n a la t t a c k ； ( 2 ) m o n i t o rd e p a r t m e n tc a r lv e r i f yc o r r e c t n e s so ft h es e c r e ts h a d o ww h i c hw 鹪 g i v e nb ye s c r o wa g e n td u r i n gm o n i t o rp r o c e d u r e ，i tc a np r e v e n ta t t a c k t i o na n d d e s t r u t i o nf r o mi n t e r i o ra n dl e g i t i m a t ee s c r o wa g e n t s ； ( 3 ) t h ep r o b l e mo f 。o n c em o n i t o r 。m o n i t o rf o r e v e r - i ss o l v e d k e y w o r d s ：e s c r o we n c r y p t i o n ；f l e x i b l y ；e 1 g a m a lp u b l i ck e yc r y p t o s y s t e m ；e l l i p t i c u r v ep u b l i ck e yc r y p t o s y s t e m ；( 七，n ) t h r e s h o l d 一一 黑龙江大学硕士学位论文 符号说明 z s元素z 属于集合s g f 0 )元素个数为p 的有限域，其中p 为素数 g f ( p )元素个数为矿的有限域，其中p 为素数 独创性声明 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得黑龙江大学或其他教育机构的学位或 证书而使用过的材料 学位论文作者签名：谢职h 签字日期：和簪上月j 日 学位论文版权使用授权书 本人完全了解黑龙江大学有关保留、使用学位论文的规定，同意学校保留并向 国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅本人授 权黑龙江大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以 采用影印、缩印或其他复制手段保存、汇编本学位论文 学位论文作者签名：谢_ j1 叼 导师签名： 纠f 弓试 签字日期：山产朗j 日签字日期洳声亏月日 学位论文作者毕业后去向： 工作单位： 通讯地址： 电话： 邮编： 第1 章绪论 1 1 引言 第1 章绪论 随着现代通信技术的飞速发展，特别是以i n t e r n e t 为代表的信息网络技术的普 及和广泛应用，使得信息应用已经日益渗透到军事、科技、文化、商业以及社会的 各个领域，人类已经开始步入信息时代信息已经成为社会发展的重要战略资源， 在社会中的地位和作用日益显著然而，当人们尽情享受信息社会所带来的好处的 同时，也需要防备它所带来的负面影响事物都具有两重性，信息安全同样存在着 隐患，可能会给人们的生活带来不便，甚至会给国家、社会带来巨大的损失，因此， 保证信息的保密性及安全性已经成为信息化建设的个核心问题 信息安全包括信息的保密性、完整性、可控性以及不可否认性信息安全涉及 许多方面，包括技术、管理制度、人员和法律等，因此要保证信息的安全决不是靠 某一项措施或者某一项技术就能奏效的密码实现的是一种变换，利用密码变换来 保护信息的秘密是最基本、最原始的一种方法然而随着信息及信息技术发展起来 的现代密码学，已经不仅仅用于解决信息的保密性，而且也用于解决信息的完整性、 可控性以及不可否认性密码学是保证信息安全的核心技术，它能够为信息安全提 供关键理论和技术，在信息安全领域起着不可替代的作用 密码学是- - f l 古老而又深奥的学科，早在四千年前，古埃及人就开始用密码来 对消息进行加密传递但是由于历史局限，1 9 4 9 年以前出现的密码学研究基本上都 是秘密进行的，密码学专家常常是凭借直觉进行密码研究和设计，而且密码技术主 要应用于军事和政府部门，因此那时的密码学技术并算不上真正的科学直到1 9 4 9 年，c s h a n n o n 发表了“保密系统的通信理论”为密码学的发展奠定了理论基础，才 使密码学成为一门真正的科学但是1 9 4 9 年至1 9 7 5 年密码学研究的主要方向是私 钥密码体制，而且发展比较缓慢1 9 7 6 年，美国密码学家w d 瓶e 和m e h e u m a n 发表了“密码学的新方向”1 1 l 开创了公钥密码学的新纪元，这使得密码学迎来了它 前所未有的快速发展时期现代密码学已经不仅仅应用于军事和政治领域，还广泛 的应用于金融、商业以及社会的各个领域，其商用价值和社会价值也得到了充分肯 定 密码学的快速发展对保密通信及电子商务等的发展都起到了良好的推动作用， 但是同时也带来了负的一面随着密码算法数量不断增多，密码算法强度不断增高， 使得有些通信可以逃避政府的监督和管理，结果将直接威胁到公共安全以及社会、 黑龙江大学硕士学位论文 经济的发展和稳定犯罪分子可以利用密码学通过干扰国家情报机构的运作而威胁 到国家安全同时对个人亦存在威胁，例如，公司职员可以利用加密技术将公司的 重要商业信息泄露给商业竞争对手从而获得利益，而且不被公司发现 为了防止以上问题的发生，密码学中出现了个新领域一密码托管加密技术 密钥托管加密系统是具有备份解密能力的加密系统，它允许授权者( 包括用户、 企业职员和政府官员等) ，在一定条件下，借助一个以上持有专用数据恢复密钥的、 可信赖的委托方所提供的信息来解密密文同时用户在自己的密钥丢失或损坏的情 况下也可以求助于密钥托管机构来恢复自己丢失的密钥1 2 j 密钥托管技术一经提出就受到了广泛的关注，目前仍是密码学界和信息安全领 域的学者们研究的热点课题但是由于密钥托管加密技术是集密钥管理、密码、认 证、数字签名、零知识证明、密钥共享等知识于一身，因此实现起来又一定的困难， 自从2 0 世纪9 0 年代中期以来，已有很多类型的密钥托管方案被提出，密钥托管加 密技术的研究已经取得了较大的发展，但远未成熟 1 2 密钥托管的组成 个密钥托管加密系统逻辑上可分为三个组成部分t 用户安全成份、密钥托管 成份和数据恢复成份1 2 - s ! 图i - i 给出了密钥托管加密系统的组成示意图 聂据恢复反份豫c 田i - i 密甥托管加密系统的组皮示意圈 第1 章绪论 ( 1 ) 用户安全成份u s c ( u s e rs e c u r i t yc o m p o n e n t ) 用户安全成份是由能够提供数据加解密能力并且能够支持密钥托管功能的硬 件设备或者软件程序构成u s c 用密钥加密明文数据，在传送时将个数据恢复域 d r f ( d a t er e c o v e r yf i e l d ) 和密文一起传送给对方 ( 2 ) 密钥托管成份k e c ( k e ye s c r o wc o m p o n e n t ) 这一成份由密钥托管机构操作，用于管理数据恢复密钥的存储、传送或使用 它可以是公钥证书管理系统的一部分或般密钥管理系统的一部分 ( 3 ) 数据恢复成份d r c ( d a t ar e c o v e r yc o m p o n e n t ) d r c 主要由协议、专用算法和必要的设备组成，能够从密文和k e c 所提供的 包含于d r f 的信息中恢复明文d r c 的功能主要有： 实时解密；能实时对截获信息进行解密； 滞后操作：可以对以前截获和记录的通信进行解密； 透明性：无须汇集各方知识也可参与解密； 独立性：一旦获得密钥，d r c 可以利用自己的资源进行解密而不依赖于k e c 1 3 密钥托管的功能 密钥托管的主要功能有 6 1 ： ( 1 ) 防抵赖性在商务活动中，通过数字签名即可验证身份以防止抵赖，但是一 旦当用户改变了自己的密钥，他就可以抵赖自己没有进行此次商务活动为了防止 抵赖可以采用以下两种办法，一种是用户在改变密钥时必须向证书授权中心c a 说 明，不能自己私自改变；另一种是密钥托管，当用户抵赖时，其他托管人就可以出 示他们所存储的密钥来合成用户的密钥，从而使用户无法抵赖 ( 2 ) 政府监听在法律授权下，政府、法律职能部门或合法的第三方为了跟踪、 截获犯罪嫌疑人员的通信，需要获得通信双方的密钥，这时合法监听者就可以通过 用户的委托人来收集密钥片后得到用户的密钥，从而实施监听 ( 3 ) 密钥恢复如果用户遗忘了密钥或者密钥受到损坏，可以通过从委托人那 里收集密钥片来恢复自己的密钥 一3 一 黑龙江大学硕士学位论文 1 4 美国托管加密标准 为了保证为用户提供更好的、更安全的通信方式的同时，又允许政府为了公众 和国家的安全监听某些通信，美国政府于1 9 9 3 年4 月1 6 日提出了托管加密标准 e e s ( e s c r o w e de n c r y p t i o ns t a n d ) ，也称c l i p p e r 建议 7 1 1 9 9 4 年2 月美国政府公 布采用e e s 8 1 e e s 是通过个防窜扰的芯片( c l i p p e r 芯片) 来实现的，它主要有 两个特征： 1 s k i p j a c k 算法c l i p p e r 芯片采用了s k i p j a c k 私钥密码算法，用于加解密用户间 通信的消息 9 1 2 法律实施访问域l e a f ( l a we n f o r e m e n ta c c e s sf i l e d ) 政府等法律实施部门 为了公众和国家的安全可以在法律授权下，对法律实施访问域l e a f 进行访问， 从而实现对用户通信的解密 1 4 1s k i p j a c k 私钥密码算法 s k i p j a c k 私钥算法是由n s a ( n a t i o n a ls e c u r i t ya g e n c y ) 1 9 8 5 年开始设计，1 9 9 0 年完成评价。并于1 9 9 8 年3 月公布s k i p j a c k 私钥算法的特点具体描述如下： 算法采用单密钥，密钥长度为8 0 比特 明文和密文的长度均为6 4 比特 每次加解密计算轮数为3 2 轮 可采用电码本( e c b ) ，密码分组连接( c b c ) ，6 4 比特输出反馈( o f b ) 和l 、8 、1 6 、3 2 、 或6 4 比特密码反馈( c f b ) 四种工作模式中的一种或几种 1 4 2l e a f l e a f 是同所有的被加密的消息一起传送的，并且能够为用于通信加密的会话 密钥s k 的传送提供一种安全机制这样，只有被授权的政府官员才可以获得密钥 s k ，并且可以利用会话密钥s k 解密通话信息 l e a f 是会话密钥s k 、初始向量、标识符u i d 和单元密钥k u 的个函 数通过用k u ( 8 0 比特) 加密s k 得到加密后的s k ，再对加密后的s k 、u i d ( 3 2 比特) 、和认证符e a ( 1 6 比特) ( e a 是由和其他变量计算所得) 进行分组，然后 再用族密钥k f 对其全部进行加密由于s k 是经过两次加密的，所以在没有获得 k f 和k u 的情况下是无法得到s k 的其中认证符e a 的作用是保护l e a f 免受 篡改，防止授权的政府官员恢复s k l e a f 的生成见图1 2 一4 一 第l 章绪论 ，、 l = 夕 i s ku d队 蝴 j 3 撇蜥 9 l l e a f 图1 - 2 l e a f 的生成图 1 5 密钥托管的研究现状及发展趋势 自从1 9 9 3 年美国政府颁布密钥托管加密标准e e s 以来，密钥托管加密技术一 直是密码学界研究的热点问题人们一直试图在用户的隐私权与法律授权下政府机 构的监听权之间寻找出一种折衷方法 1 9 9 3 年，m i c a l i 提出公平的密码系统 1 0 l ，该方案由用户自己产生私钥，并且将 密钥分为两个部分，然后使用一种可验证的托管协议将两部分私钥分别交付给两个 托管方，托管方可以利用相关协议来验证用户托管私钥的正确性由于该方案的密 钥由用户自己产生，可以保证密钥的私密性然而几年后k i l i a n l 指出该托管方案 由用户自己单独产生私钥，无法避免。阈下信道攻击” 1 9 9 5 年，d e s m e d t 提出了一种使得到附加信息( l e a f ) 的执法机构能够跟踪收 信方的有效算法，允许个人利用e 1 g a m a l 公钥密码体制对信息加密【1 1 】但k n u d s e n 等很快指出该方案的缺陷：存在三种欺骗执法机构跟踪的非规定协议 1 2 1 1 9 9 5 年s h a m i r 提出了部分密钥托管的思想【1 3 1 ，即用户只托管密钥的一部分， 而不是全部其目的是保证在监听时延迟恢复密钥，从而阻止监听机构大规模实施 监听事件的发生监听机构在授权情况下恢复任意用户的密钥时必须花费一定的时 间代价执行预先计算，从而实现对用户密钥的迟延恢复然而恢复个人的密钥并 一5 一 墨垄垄盔兰亟兰篁堡窒 不难，但大规模恢复用户密钥在计算上是不可行的 为了防止监听机构滥用监听权利，1 9 9 5 年h e 和d a w s o n 提出种带有时戳的密 钥托管方案，该方案使监听者无法对某通话进行永久监听 t 4 1 同年，a k l e n s t r a 等人又提出了时间约束下的密钥托管方案【1 5 】，允许政府等监听机构在某一段时间 内对用户的通话进行监听 为了防止托管用户逃避监听机构的监听，1 9 9 5 年k i l i a n 和l e i g h t o n 提出了一 种安全密钥托管观念，密钥由用户和密钥托管机构共同产生，防止由于用户不诚实 而破坏系统安全 1 6 】 1 9 9 6 年，n e c h v a t a l 提出y l - j 限密钥托管的概念【1 7 1 ，该方案利用秘密共享方案 把用户的密钥拆分成若干子密钥，分别交给n 个托管机构托管，当且仅当k ( k n ) 个托管机构合作才能恢复密钥 1 9 9 8 年，b u r m s t e r 等人提出了具有时控特性密钥托管体制 a s l ，设法使用户被 托管的密钥是时间t 的函数，其目的在于解决以往许多密钥托管方案存在的。一次 监听，永久监听”问题 与此同时我国学者也为密钥托管技术的发展作出了许多贡献，参见文献【1 9 卜【2 8 】 以往密钥托管方案大都采用的s h a m i r 门限分割方案，1 9 9 8 年，王育民等提出 了一种新的密钥分割门限方案及密钥托管体制【1 9 1 ，该密钥分割方案简单易行，非 常具有新颖性 2 0 0 0 年，我国学者宋荣功，杨义先等基于r s a 公钥体制提出了个不依赖于 物理设备的软件密钥托管加密方案【刎，该方案不仅具有抗窜扰特性，同时能对消 息源和宿的进行追踪 2 0 0 2 年，我国学者曹珍富，李继国提出了基于e 1 g a m a l 体制的门限密钥托管 方案【2 1 1 ，解决了。一次监听，永久监听问题” 2 0 0 3 年曹珍富又提出了两类强壮的门限密钥托管方案。即使在恶意托管人 个数大于或等于门限值时仍然无法获取系统密钥或用户密钥 近几年来人们所提出的密钥托管方案不仅对方案的安全性有很高的要求，而且 越来越注重方案的灵活性，因此提出许多具有灵活特性的密钥托管方案，可参见文 献【2 9 】一【3 7 】 本文研究正是在这样的背景下展开的，通过对已有的密钥托管方案的细致研究， 发现其安全性漏洞并予以改进、完善，力求在此基础上设计出既具有安全性又具有 灵活特性的密钥托管方案，希望能对密码学的发展作出贡献 一6 一 第1 章绪论 1 6 本文主要工作 本文先后提出了可任意设置托管代理数量及权限的密钥托管方案、动态的基于 e 1 g a m a l 公钥体制和椭圆曲线公钥体制的( k ，n ) 门限密钥托管方案方案不仅具有 相对较好的安全性，而且具有灵活性，并具有如下特点： ( 1 ) 用户的e 1 g a m a l ( 椭圆曲线) 私钥是由可信的密钥管理中心k m c 产生，可 以有效的防止用户发起闽下信道攻击 ( 2 ) 在监听过程中，监听机构可以对托管代理交给其的子密钥进行验证，可以 防止来自内部合法的恶意的托管代理的破坏和攻击 ( 3 ) 解决了。一次监听，永久监听”问题 1 7 本文章节安排 本文共分5 章，结构安排如下： 第1 章为绪论，主要介绍了信息安全和密码学，介绍了密钥托管的定义、组成、 功能、托管加密标准以及密钥托管的研究现状和发展趋势 第2 章简单介绍了在本文提出的密钥托管方案中所用到的理论知识，包括数学 和密码学两个方面数学方面的知识包括素数、本原元、模运算、群和域的定义以 及离散对数等密码学方面简单介绍了私钥密码体制、公钥密码体制、e 1 g a m a l 公 钥密码体制以及有限域上椭圆曲线密码体制 第3 章提出了可任意设置托管代理数量及权限的密钥托管方案，并对其安全性 和灵活性进行了分析 第4 章和第5 章介绍了文献【1 9 】提出的新的密钥分拆方案，对其动态性进行 了分析，在此基础上分别提出动态的基于e 1 g a m a l 公钥体制和椭圆曲线密码体制 的( k ，n ) 门限密钥托管方案，并对其安全性和灵活性进行了具体分析 最后对本文研究的内容进行总结 黑龙江大学硕士学位论文 2 1 数学相关知识 第2 章理论基础 本文研究的内容建立在许多数学理论和密码学知识上，融合了许多知识本章 重点介绍了与本文研究工作有关的数学相关概念、定义、以及密码学相关知识 2 1 1 素数 只能被1 和自身整除的数称为素数【3 踟2 是个素数，其他的素数诸如7 3 ，2 5 2 1 ， 2 3 6 5 3 4 7 7 3 4 3 3 9 等，素数的个数有无限个素数在密码学中有很多应用，例如在e l - g a m a l 公钥密码体制和椭圆曲线( e e c ) 公钥密码体制中都需要生成大素数( 5 1 2 位，甚至更长) 素数的生成大多数是先产生随机数，然后再用素数测试法来检验其是否为素数， 因此素数测试法则是关系到该密码体制是否安全的关键因素之一素数测试法主要 有s o l o v a y - s t r a s s e n 和m i l l e r - r a b i n 测试法，参见文献【3 9 卜【4 0 】 2 1 2 模运算 如果d = b + k n 对某些整数七成立，那么q 三b ( m d d 神如果a 为正，b 在 0 和n 之间，那么可将b 看作口被讥整除后的余数有时b 被称作口模n 的余数 有时a 被称作与b 模n 同余( 用三表示同余) 模运算满足交换律、结合律和分配 律【4 1 1 2 1 3 本原元 p 是个素数，且夕小于p ，如果从0 到p 一1 的每个数b ，都存在某个数口 使得夕口三b ( m o d p ) ，那么称g 是模p 的本原元( p r i m i t i t i v e ) ，也称夕是模p 的生 成元( g e n e r a t o r ) 4 2 1 例如，3 是1 9 的个本原元： 3 1 8 = 3 8 7 4 2 0 4 8 9 三1 ( m o d1 9 ) 3 7 = 2 1 8 7 三2 ( m o d1 9 ) 3 1 = 3 三3 ( m o d1 9 ) 3 1 4 = 4 7 8 2 9 6 9 三4 ( m o d1 9 ) 3 4 = 8 1 兰5 ( m o d1 9 ) 3 8 = 6 5 6 1 三6 ( m o d1 9 ) 一g 一 3 8 = 7 2 9 三7 ( r o o d1 9 ) 3 3 = 2 7 兰8 ( r a o d1 9 ) 3 2 = 9 三9 ( r o o d1 9 ) 3 n = 1 7 7 1 4 7 三1 0 ( , n o d1 9 ) 3 1 2 = 5 3 1 4 4 1 三1 1 ( r o o d1 9 ) 3 1 s = 1 4 3 4 8 9 0 7 三1 2 ( , n o d1 9 ) 3 1 7 = 1 2 9 1 4 0 1 6 3 三1 3 ( m o d1 9 ) 3 1 s = 1 5 9 4 3 2 3 三1 4 ( , n o d1 9 ) 3 s = 2 4 3 三1 5 ( r o o d1 9 ) 3 1 0 = 5 9 0 4 9 兰1 6 ( , n o d1 9 ) 3 1 6 = 4 3 0 4 6 7 2 1 三1 7 ( r o o d1 9 ) 3 0 = 1 9 6 8 3 兰1 8 ( m o d1 9 ) 从1 到1 8 的每个数都可以由3 a ( r o o d1 9 ) 来表示本原元并不是唯一的，例 如2 ，3 ，1 0 ，1 3 ，1 4 ，1 5 都是1 9 的本原元 2 1 - 4 群、域 定义2 1 集合g 和二元运算一起称为群( g ，) ，如果这个二元运算满足下 面的条件： 1 vo ，b g ，有8 b g ；( 封闭性) 2 v 凸，c g ，有( o 6 ) c = 口( 6 c ) ；( 结合律) 3 存在惟一的元素e g ，使得对任意口g 有e 口= 口b = 口，元素e 称为 单位元；( 单位元) 4 v 口g ，存在惟一的元素b g ，使得口扫= b 口= e 【可逆性) 在表示群( g ，) 时，通常省略运算符号，用g 来表示个群若这个二元运算 满足条件1 和2 ，则称g 为个半群 定义2 2 如果集合g 中的元素个数是有限的，那么称群g 为有限群，否则称 为无限群 定义2 3 如果对v 口，b g ，均有口b = 6 d ，则称群g 为阿贝尔群阿贝尔 群也称交换群 定义2 4f 是至少含有两个元素的集合，f 同时具有两种运算：。+ ”( 加法) 和。，( 乘法) ，如果满足以下条件，则称( 只+ ，) 为一个域【4 3 】 黑龙江大学硕士学位论文 1 f 中的元素关于“+ ”构成阿贝尔群，记加法单位元为0 ； 2 f ( o ) 关于。构成阿贝尔群； 3 va ，b ，c f ，分配率成立即： a ( b + c ) = a b + b c 域中元素的个数称为阶，若一个域的阶是有限的，则称为有限域或g a l o i s 域， 反之则称为无限域根据有限域的定义可以得到以下结论嗍。 1 如果p 为素数，则集合f = 【o ，1 ，2 ，p 一1 ) 在模p 加法和模p 乘法运算 下构成阶为p 的域，称为素域，用g f ( p ) 或昂表示 2 如果p 为素数，p ( x ) 是系数在有限域e f ( p ) 中的m 次不可约多项式，则系 数在e f ( p ) 中且次数低于m 的多项式及零多项式在模p ( z ) 加法和模p ( z ) 乘法运 算下构成阶为矿的有限域，用g f ( p n ) 或b m 表示 2 1 5 离散对数问题 简单的说，离散对数问题就是乘方过程的求“逆”，根据代数结构不同可将离散 对数问题分为以下两类 定义2 5 一般离散对数问题( g d l p ) 。设g 是个礼阶有限循环群，g g 是g 的个生成元，元素a g 是g 中任一元素给定g 、d ，求整数z ，z o ，1 ，竹一1 ) ，使得g 。= n ，称为一般离散对数问题 定义2 6 椭圆曲线上的离散对数问题( e c d l p ) ：e 是定义在有限域g f 白) 上的椭圆曲线，点p e ，阶为佗，点q 为点p 的倍数点给定p 、q ，求整数 z ，z ( o ，l ，n 一1 ) ，使得q = z p ，称为椭圆曲线上的离散对数问题 2 2 密码学相关技术 2 2 1 私钥密码体制 私钥密码体制是从传统的移位密码和代换密码发展而来私钥密码体制也称对 称钥密码体制通信过程中使用相同的密钥进行加解密运算，密钥由通信双方事先 商定好，且对其他人是保密的 在许多密码系统中，私钥密码体制是系统安全的个重要组成部分用私钥加 密易于构造伪随机数生成器、流密码、消息认证以及杂凑函数等等，进而成为消息 认证技术、数据完整性检测、实体认证协议的核心组成部分 第2 章理论基础 1 9 7 7 年美国政府颁布了数据加密标准d e s ( d a t ee n c r y p t i o ns t a n d a r d ) ，从此 私钥密码体制得到了迅猛发展私钥密码体制主要分为流密码和分组密码两大类， 分组密码是私钥密码体制的主要发展趋势，d e s 是典型的分组密码，可参见文献 【4 5 】 【5 1 1 在私钥密码体制中，由于加解密使用的是同个密钥，要求通信前不同的用户 应约定使用不同的密钥，这至少产生两个问题t ( 1 ) 密钥的分发当用户增多时，就要产生更多的密钥，因此要保证通信安全对 于n 个用户的通信需要产生礼( n 一1 ) 2 对密钥，如此巨大的密钥量不仅消耗很多 网络资源，也给密钥的分配和管理带来了极大的困难 ( 2 ) 密钥的协定如果通信用户双方互不认识，密钥的协定如何执行也是个 问题 2 2 2 公钥密码体制 d i f f e 和h e l l m a n 提出了公钥密码体制的思想，解决了私钥密码体制存在的密 钥分发管理问题 公钥密码体制是指在个密码系统中使用两个不同的密钥对信息进行加密和解 密运算公钥密码体制也称非对称密码体制在公钥密码体制中，不仅加密算法可 以公开，加密密钥也是公开的，但解密密钥是保密的加密密钥简称公钥( p u b l i c k e y ) ，解密密钥简称私钥( p r i v a t ek e y ) 任何人都可以使用公钥进行加密，但只有 掌握私钥的人才可以进行解密 目前，公认的比较安全及实用的公钥密码体制主要有： 1 基于大整数分解难题的r s a 公钥密码体制； 2 基于有限域上离散对数难题的e 1 g a m a l 公钥密码体制； 3 基于椭圆曲线上离散对数难题的e e c 公钥密码体制 下面简单的介绍e 1 g a m a l 和e e c 公钥密码体制，r s a 公钥密码体制可参见 文献【5 2 卜【5 4 】 2 2 3e i g a m a l 公钥密码体制 e 1 g a m a l 公钥密码体制是由t e 1 g a m a l 于1 9 8 5 年提出的，该密码体制既可 以用于加密，也可用于数字签名，而且具有很好的安全性，所以得到了很广泛的应 用e 1 g a m a l 公钥密码体制具体描述如下： 设首先选取大素数p 以及有限域g f 0 ) 上的个本原元g ，并将p 和g 公开 ( 1 ) 密钥的生成 黑龙江大学硕士学位论文 系统中的每个用户可以秘密随机选取整数& ，1 & p 一1 ，计算k 三 g s ( r o o dp ) ，公开k ，将k 作为自己的公钥，保存瓯为自己的私钥 ( 2 ) 加密运算 假设用户a 需要向用户b 发送消息m ，m o ，1 ，2 ，p 一1 ，用户a 可以 按如下算法来加密消息m ： s 1 , 用户a 秘密的随机选取一个整数七，1 k p 一2 ，计算m 三矿( m o dp ) ； s 2 ：用户a 计算蚝三m 咭( r o o dp ) ； s 3 ：将( m ，k ) 作为密文发送给用户b ( 3 ) 解密算法 b 收到( m ，k ) 后计算：m 三k ( 砰b ) - 1 ( r o o d p ) 解密的正确性是因为； m三g k ( r o o d p ) y 2 三m 堙( m o dp ) y b三g s s ( m o d p ) 所以。 k ( 泸) 1 三m - 罐( 9 七) 。1 ( r o o dp ) 三m 夕七( 夕七s b ) 一1 ( r o o dp ) 兰m ( r o o dp ) e 1 g a m a l 公钥密码体制的安全性是基于在有限域上求解离散对数问题的困难 性 s 0 1 到目前为止，尚无求解有限域上离散对数问题的有效算法，所以在p 选取足 够大时，e 1 g a m a l 公钥密码体制是足够安全的为了抵抗已知的对e 1 g a m a l 公钥密 码体制的攻击，p 应该至少是1 6 0 位以上的十进制数，并且要求p 一1 至少含有一 个大的素因子 2 2 4 有限域上椭圆曲线公钥密码体制 1 9 8 5 年n e a lk o b l i t z 和v i c t o rm i l l e r 将椭圆曲线思想引入到密码学中，使其 成为构造公钥密码体制的一个有力工具在椭圆曲线密码算法出现后，由于其具有 所需计算量小、速度快、安全性较高等优点，迅速引起了密码学界的关注，基于椭圆 曲线的公钥密码体制( e l l i p t i cc u r v ec r y p t o g r a p h y ，e e c ) 得到了极大的发展有 限域上椭圆曲线公钥密码体制具体描述如下： 第2 章理论基础 定义2 7 设p 3 是一素数，有限域g f ) 上的椭圆曲线是个被称为无穷 远点的特殊点纱和满足同余方程t y 2 兰x 3 - f 凹+ b ( r o o dp ) 的点( x ，y ) e f ( v ) c f ( p ) 组成的集合e ，其中a ，b g f ( p ) ，4 a 34 - 2 7 b 2 0 ( r o o dp ) 定义2 8e 是有限域c f ( p ) 上的椭圆曲线，点p e ，p 的阶是满足n p = 土：三2 汐的最小正整数n n 定义2 9e 是有限域o f ( p ) 上的椭圆曲线，点p e ，如果对于e 中其他不 同于p 的点q ，都存在某个整数m ，使得q = 仇p ，那么称p 是e 的基点 ( 1 ) 密钥的生成 选取有限域g f ( p ) 上的一条椭圆曲线e 和e 上的个基点g = ( ：t o ，y o ) ，g 的阶为佗，e 和g 是系统共用参数，公开系统中的每个用户可以秘密随机选取整 数1 鼠亿计算r = g ，然后公开r ，将r 作为自己的公钥，保存为 自己的私钥 ( 2 ) 加密运算 假设用户a 需要向用户b 发送消息m ，用户a 可按将如下算法加密消息m ： s 1 ：将要发送的消息m 变换为椭圆曲线e 上的点尸m = ( x m ，) ； s 2 ；用户a 随机选择个整数k ，计算p = 后g ； s 3 ：用户a 计算g = 嘞- fk p ，为b 的公钥； s 4 ：将( p ，c ) 作为密文传送给b ( 3 ) 解密运算 b 收到( 只c ) 后，计算t c s b p = p m + k p b s s k c = p m + k p s k p b = 再把f k 逆向译码变换成消息m 有限域上椭圆曲线公钥密码体制与其他公钥密码体制相比具有以下优点 5 6 1 。 1 安全性能更高 墨垄婆奎堂亟兰垡迨窒 e e c 的加密算法的安全性能一般是通过该算法的抗攻击强度来反映的，与其 它几种公钥密码系统相比，其抗攻击性具有绝对的优势e e c 的安全性是基于在椭 圆曲线上求解离散对数的困难性，而椭圆曲线上求解离散对数的困难性在计算复杂 度上目前是完全指数级的，而r s a 等是亚指数级，这说明e e c 的安全性更高 2 计算量小且处理速度快 在私钥处理( 解密和签名) 方面，e e c 的处理速度远比r s a 快，总的速度比 r s a 也快很多同时系统的密钥生成速度也要比r s a 快百倍以上，因此在相同条 件下，e e c 的加密性能更高 3 存储占用空间小 e e c 的密钥和系统参数与其他公钥密码体制相比要小的很多1 6 0 位e e c 与 1 0 2 4 位r s a 具有相同的安全强度，这意味着e e c 所占的存储空间要小的多这 对于加密算法在资源受限环境上( 如智能卡等) 的应用方面具有特别重要的意义 4 宽带要求低 在对较长的消息进行加密时，e e c 与r s a 具有相同的宽带要求，但是在对短 消息进行加密时，e e c 对宽带的要求却低的多而公钥密码系统大多都用于短消息 加密，这使得e e c 在无线网络领域具有更广泛的应用前景 2 3 本章小结 本章首先介绍了与本文相关的数学理论知识，包括群、域的概念、离散对数问题 等知识然后介绍了相关的密码学知识，包括私钥密码体制、公钥密码体制、e 1 g a m a l 公钥密码体制以及有限域上椭圆曲线公钥密码体制等 第3 章可任意设置托管代理数量及权限的密钥托管方案 第3 章可任意设置托管代理数量及权限的密钥托管方案 3 1 引言 目前已有的大多数密钥托管方案均要求恢复密钥的托管代理数量相等，没有考 虑到托管代理数量的灵活性，并且也没有考虑托管方的权重文献【3 1 】给出了一种 允许托管代理数目灵活的密钥托管方案，文献【3 2 】给出了可灵活设置托管代理的密 钥托管方案，前者考虑到托管代理数目的灵活性，后者考虑到托管方的权重，但是 这两个方案都存在“一次监听，永久监听”问题，这对合法的用户来说是不公平的 为了提高系统的灵活性和安全性，本章在文献【3 1 】和文献【3 2 】的基础上，基于 e 1 g a m a l 公钥密码体制，设计了个可任意设置托管代理数量及权重的密钥托管方 案，该方案具体描述如下 3 2 系统描述 设密码系统中有个可信的密钥管理中心k m c ，这里假设k m c 是完全可信 的，负责密钥的分发与管理；有一个最信赖的托管代理，记为p + ；其他n 个托管 代理，他们的集合记为：p = p 1 ，恳，r ) ，还有个法律授权机构和监听机构， 负责监听授权和监听，将两个部门合并称为法律执法部门，记为e 定义3 1xcp 是能行恢复集，如果x 中成员和p 合作能够恢复密钥这 里不要求所有恢复集成员个数相同 3 3密钥的产生与托管 ( 1 ) k m c 选取大素数p ，q ，满足引p 一1 ，选取有限域c f ( p ) 上的个g 阶本 原元9 ，公开p ，q ，g ( 2 ) k m c 选取s g f ( q ) ，将s 通过安全秘密信道传给用户a ，用户a 将8 作 为自己的私钥 ( 3 ) k m c 随机选取整数s 1 ，s 2 ，8 n g f ( q ) ，计算y i 三严( r o o dp ) ，y 三 9 8 ( r o o dp ) ，将y i 以及y 公开，并将每一个鼠通过安全信道传给每个托管代理 只( t = 1 ，2 ，佗) 黑龙江大学硕士学位论文 ( 4 ) 对每个能行恢复集x ，k m c 都选取个d x g f ( q ) ，计算拟三g d x ( m o d p ) ， 将驮公开，并将d x 通过安全信道传给最信赖的托管机构p ( 5 ) 对于p 中的每个能行恢复集x ，k m c 计算： t x 三( 8 一d x s i ) ( r o o dg ) x ( 6 ) 将x ，致公开 每个托管代理收到s t 后，计算9 8 t ( r o o dp ) ，通过与公开的玑比较，若一致则 认为托管的内容是有效的，否则认为托管的内容是无效的 p 收到d x 后，计算每个g d x ( m o dp ) ，通过与公开的皴比较，若一致，则 认为托管的内容是有效的，否则认为托管的内容是无效的 3 4 用户间的通信 用户a 向用户b 发送消息m ，s 七是会话密钥，由a ，b 事先协商，t 是时 戳，日是公开的h a s h 函数a 向b 发送 e x ( m ，s k ) ，l e a f ，其中l e a f = e 2 ( s k ，y ) ，zs ( h ( m ，印) ，a 的证书) 其中易是个私钥密码算法( 如e e s 、a e s 等) ，易是e 1 g a m a l 公钥密码算法，即： e 2 ( s k ，y ) = ( t ，u ) = ( g 七，y 七8 k ) ，k g f ( q ) a 的证书由k m c 颁发，其中有a 的签名公钥s ( h ( m ，t ) ) 是a 用其签名私 钥对h ( m ，t ) 的签名 为了避免文献【5 7 】中所提到的使用e 1 g a m a l 算法签名所产生的阈下信道攻击， 此处的签名算法可采用r s a 签名算法，系统参数由k m c 事先选好，此处不详细 介绍 当b 收到 毋( m ，s 七) ，l e a f 后，由s 七恢复m ，求h ( m ：t ) ，并验证h ( m ，t ) 是否满足签名方案，若满足签名方案，b 可确认收到的m 是有效的 3 5 电子监听 监听机构首先获取监听a ，b 的通信许可证书，并将证书分别