[摘要]安全性是電子商務(wù)發(fā)展的一個(gè)關(guān)鍵問(wèn)題。PKI以公鑰加密技術(shù)為基礎(chǔ)，結(jié)合了數(shù)字證書(shū)、數(shù)字簽名等技術(shù)。CA系統(tǒng)是PKI的核心。比較了多種公鑰密碼體制，闡述了橢圓曲線密碼體制的原理和安全性。橢圓曲線密碼體制不僅具有密鑰短和效率高的特點(diǎn)，而且具有最高的位安全強(qiáng)度。在CA系統(tǒng)中引入橢圓曲線密碼體制，能夠有效地保證電子商務(wù)交易的安全性。橢圓曲線密碼體制在電子商務(wù)中有較好的應(yīng)用前景。

[關(guān)鍵詞]橢圓曲線密碼體制 數(shù)字簽名 CA 電子商務(wù)

一、引言

1976年Diffie 和 Hellman 發(fā)表了《密碼學(xué)新方向》，提出了公鑰秘密體制的實(shí)現(xiàn)方案[1]。1978年Ron Rivest， AdiShamir 和Leonard Adleman提出了既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的RSA算法。1985年由Koblitzul和Miller開(kāi)創(chuàng)性的工作，被數(shù)學(xué)家研究了一百年的橢圓曲線在密碼領(lǐng)域中得以發(fā)揮重要作用，橢圓曲線密碼體制(ECC)的數(shù)學(xué)基礎(chǔ)是以橢圓曲線上的點(diǎn)構(gòu)成的Abelian加法群所構(gòu)造的離散對(duì)數(shù)的計(jì)算困難性[2]。為了達(dá)到較高的安全性，RSA需要1024比特的模數(shù)。ECC需用160比特的模數(shù)由此可以看出，橢圓曲線密碼體制有望成為取代RSA的下一代公鑰密碼體制。

PKI技術(shù)采用證書(shū)管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)認(rèn)證中心CA，把用戶的公鑰和其他標(biāo)識(shí)信息(如名稱、Email等)綁定在一起，從而驗(yàn)證用戶的身份。比較常用的辦法是以RSA公鑰為基礎(chǔ)，建立PKI基礎(chǔ)上的數(shù)字證書(shū)，通過(guò)把傳輸?shù)臄?shù)據(jù)信息進(jìn)行RSA加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，確保信息在網(wǎng)絡(luò)上的安全傳輸。對(duì)ECC而言，其每比特的強(qiáng)度高于RSA。把橢圓曲線密碼體制引入到CA系統(tǒng)中，是電子商務(wù)發(fā)展的趨勢(shì)。

二、橢圓曲線密碼體制

1.橢圓曲線數(shù)學(xué)定義

橢圓曲線是由三次方程維爾斯特拉斯(Weierstrass)方程:

(2.1)

所確定的平面曲線，K是一個(gè)域，可以是有理數(shù)域或復(fù)數(shù)域，還可以是有限域。ai K，i=1，2，…，6。滿足式(2.1)的數(shù)偶(x，y)稱為K域上的橢圓曲線的點(diǎn)。橢圓曲線的定義中還包含一個(gè)稱為無(wú)窮遠(yuǎn)點(diǎn)的元素，記為O。

在任一橢圓曲線E上的點(diǎn)之間，存在一個(gè)自然群運(yùn)算法則。由橢圓曲線可構(gòu)造一個(gè)橢圓曲線群，橢圓曲線上的點(diǎn)對(duì)應(yīng)于橢圓曲線群中的元素。即對(duì)橢圓曲線上的任意兩點(diǎn)P和Q，一定存在另外一點(diǎn)R，使R=P+Q。橢圓曲線構(gòu)成一個(gè)Abel群，O為單位元。橢圓曲線上的運(yùn)算規(guī)則是:若橢圓曲線上的三個(gè)點(diǎn)處于一條直線上，那么它們的和為O 。

(1) 無(wú)窮遠(yuǎn)點(diǎn)O在橢圓曲線的點(diǎn)構(gòu)成的有限群中起加法單位元的作用。

O=-O;

對(duì)橢圓曲線上的任何一點(diǎn)P，有P+ O= O+P=P。

假設(shè)P Q且Q O。

(2) 在仿射坐標(biāo)系上的一條平行于y軸的直線與橢圓曲線相交于三個(gè)點(diǎn):兩個(gè)有相同橫坐標(biāo)的點(diǎn)(P，Q)和O，P+Q+O= O。于是-P=Q。即作為P的逆元Q，在仿射坐標(biāo)系中與P的橫坐標(biāo)相同。

若P=(x，y)，則-P=(x，-y)，P+(-P)=P-P=O。

(3) 在P和Q之間作一條直線與橢圓曲線交于一點(diǎn)R’，R’和R關(guān)于x軸對(duì)稱。根據(jù)橢圓曲線上加法的運(yùn)算規(guī)則，P+Q+R’= O，P+Q=-R’，從而P+Q=R。即P+Q為第三個(gè)交點(diǎn)的關(guān)于x軸的鏡像。由于該操作的操作對(duì)象和運(yùn)算結(jié)果均為橢圓曲線上的點(diǎn)，因此，該操作又簡(jiǎn)稱為點(diǎn)加運(yùn)算。

(4) 若P=Q，P+P+Q= O，即2P+Q= O，從而2P =R，此時(shí)稱為倍點(diǎn)運(yùn)算，倍點(diǎn)運(yùn)算是點(diǎn)加運(yùn)算的特例。

E(K)上的點(diǎn)關(guān)于運(yùn)算“+”構(gòu)成Abel群，橢圓曲線密碼體制使用Abel群來(lái)構(gòu)建。橢圓曲線上的點(diǎn)加運(yùn)算的結(jié)果一定是橢圓曲線上的一個(gè)點(diǎn)。若有一條曲線上的點(diǎn)加運(yùn)算的結(jié)果不在該曲線上，則該曲線不是橢圓曲線。

橢圓曲線上的點(diǎn)能夠相加，但不能相乘。給定一個(gè)整數(shù)k和橢圓曲線的點(diǎn)P，將P加到自身k次，記為kP，稱為橢圓曲線上的點(diǎn)的數(shù)乘運(yùn)算(scalar multiplication)。習(xí)慣上，數(shù)乘運(yùn)算也稱標(biāo)量運(yùn)算。其中關(guān)鍵的基本步驟是對(duì)點(diǎn)P加倍的倍點(diǎn)運(yùn)算，即求解2P=P+P。倍點(diǎn)是點(diǎn)加運(yùn)算的特例。

2. 橢圓曲線數(shù)字簽名

數(shù)字簽名可用于數(shù)據(jù)認(rèn)證、數(shù)據(jù)完整性和不可否認(rèn)性。橢圓曲線數(shù)字簽名算法(ECDSA)是數(shù)字簽名(DSA)的橢圓曲線版本，現(xiàn)在已經(jīng)被ISO、ANSI、IEEE、NIST等組織采納為標(biāo)準(zhǔn)[3]。

簽名方案:

⑴ 選擇 k∈R[1， n-1];

⑵ 計(jì)算 R = kP;

⑶ 計(jì)算 r =Rx mod n (Rx是R的橫坐標(biāo))，如果r=0，返回⑴;

⑷ 計(jì)算 e = H(m) ，H是一種加密Hash算法，m是待簽名的信息;

⑸ 計(jì)算s = k -1(e + rd) mod n ，如果s = 0，返回⑴;

⑹ 簽名為(r，s)。

驗(yàn)證方案:

⑴ 驗(yàn)證r和s是不是在[1，n-1]區(qū)間的正整數(shù);如果不是，則(r， s)不是有效的簽名。

⑵ 計(jì)算e = H(m);

⑶ 計(jì)算w = s-1 mod n，u1 = ew mod n，u2 = rw mod n;

⑷ 計(jì)算T = u1P + u2Q，T ≠ O;

⑸ 計(jì)算v = Tx mod n (Tx是T的橫坐標(biāo));

⑹ 如果v=r，簽名被驗(yàn)證通過(guò)。

3. 認(rèn)證系統(tǒng)

(1) CA系統(tǒng)結(jié)構(gòu)

CA系統(tǒng)是通信雙方相互信賴的第三方，主要用途是為客戶發(fā)放和驗(yàn)證數(shù)字證書(shū)，是PKI的核心。CA中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶名稱與證書(shū)中列出的公開(kāi)密鑰相對(duì)應(yīng)[4]。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書(shū)。數(shù)字證書(shū)機(jī)制解決了數(shù)據(jù)傳輸?shù)陌踩?、傳輸?shù)據(jù)的完整性、身份確認(rèn)和不可否認(rèn)性。

CA可按照一定的信任模型來(lái)組織，通常組織成層次模型。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)網(wǎng)上信息交流的信任鏈。每一份數(shù)字證書(shū)都與上一級(jí)的數(shù)字簽名相關(guān)聯(lián)，最終通過(guò)安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)根CA。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書(shū)。在數(shù)字證書(shū)認(rèn)證過(guò)程中，CA是作為權(quán)威的、公正的、可信賴的第三方，其作用至關(guān)重要。

RA是數(shù)字證書(shū)及其相關(guān)業(yè)務(wù)的受理及審核機(jī)構(gòu)，負(fù)責(zé)證書(shū)申請(qǐng)的審批，將合法的申請(qǐng)上傳給CA。RA是CA的證書(shū)發(fā)放、管理的延伸。

證書(shū)庫(kù)是證書(shū)的集中存放地，是網(wǎng)上的一種公共信息庫(kù)，用戶可以從此處獲得其他用戶的證書(shū)和公鑰。系統(tǒng)必須確保證書(shū)庫(kù)的完整性，防止偽造、篡改證書(shū)。

(2)CA系統(tǒng)設(shè)計(jì)

根據(jù)安全橢圓曲線選取的原則，CA中心確定橢圓曲線的各個(gè)參數(shù)，確定有限域和基點(diǎn)。生成CA自身的公鑰、私鑰對(duì)。

就密鑰的產(chǎn)生方式而言，有分布式和集中式兩種模型。在分布式模型中，密鑰在本地產(chǎn)生;在集中式模型中，密鑰由CA或其他可信任實(shí)體產(chǎn)生。集中式模型中，所有的密鑰都在同一個(gè)系統(tǒng)里產(chǎn)生，因此可以有很好的設(shè)備支持，如加密硬件、隨機(jī)數(shù)發(fā)生器等。兩種模型在密鑰的傳送上有所區(qū)別:分布式模型的密鑰在本地產(chǎn)生后，私鑰就一直留在本地，公鑰傳遞給CA，用來(lái)構(gòu)造數(shù)字證書(shū)。集中式模型中，CA要額外將私鑰分發(fā)出去，通過(guò)手工方式或者安全協(xié)議SSL分發(fā)。

當(dāng)客戶申請(qǐng)數(shù)字證書(shū)時(shí)，CA生成用公鑰、私鑰對(duì)供對(duì)方使用。CA中心使用自己的私鑰對(duì)客戶公鑰進(jìn)行數(shù)字簽名，然后產(chǎn)生數(shù)字證書(shū)返回給客戶，持有證書(shū)的客戶可以相互進(jìn)行安全的數(shù)據(jù)通信。

曲線的選取是影響橢圓曲線密碼系統(tǒng)安全性的決定因素。如果自己定義橢圓曲線的參數(shù)，一方面橢圓曲線建立的代價(jià)太大，另一方面，不能從密碼分析的角度驗(yàn)證參數(shù)選取對(duì)系統(tǒng)安全的影響。在系統(tǒng)中采用NIST推薦的曲線，可以采用P-192，P-224，P-384，P-521作為有限域的階。

三、總結(jié)

在電子商務(wù)發(fā)展的今天，人們不僅希望網(wǎng)絡(luò)傳輸?shù)陌踩阅軌蛉找嫣岣?，而且希望在網(wǎng)絡(luò)傳輸中能夠保護(hù)更多的通信數(shù)據(jù)。如果繼續(xù)使用目前通用的RSA公鑰體制，勢(shì)必會(huì)造成隨著安全性能的提高、通信量的增加而導(dǎo)致的網(wǎng)絡(luò)負(fù)荷激增、響應(yīng)時(shí)間延遲等一系列矛盾。橢圓曲線密碼在相同密鑰長(zhǎng)度下安全性能和計(jì)算效率更高，勢(shì)必會(huì)替代RSA公鑰算法。引入橢圓曲線密碼體制的CA中心，能夠申請(qǐng)、簽發(fā)、驗(yàn)證、撤銷ECC證書(shū)以及備份和恢復(fù)用于解密的ECC私鑰，并將ECC證書(shū)應(yīng)用于系統(tǒng)中各個(gè)通信終端之間的安全通信，提高了電子商務(wù)交易的安全性和效率。

參考文獻(xiàn)

[1] 周玉潔，馮登國(guó). 公開(kāi)密鑰密碼算法及其快速實(shí)現(xiàn). 國(guó)防工業(yè)出版社，2002.9

[2] 肖攸安.橢圓曲線密碼體系[M].華中科技大學(xué)出版社.2006

[3] 孫家澤，張榮.橢圓曲線數(shù)字簽名軟件設(shè)計(jì)與實(shí)現(xiàn)[J]，西安郵電學(xué)院學(xué)報(bào)， 2008.9

[4] 陳良臣，孫功星.基于CA的移動(dòng)終端安全郵件系統(tǒng)的研究與設(shè)計(jì)， 計(jì)算機(jī)應(yīng)用研究， 2008.8