橢圓曲線密碼體制在電子商務(wù)中的應(yīng)用

[摘要]安全性是電子商務(wù)發(fā)展的一個(gè)關(guān)鍵問(wèn)題。PKI以公鑰加密技術(shù)為基礎(chǔ)，結(jié)合了數(shù)字證書、數(shù)字簽名等技術(shù)。CA系統(tǒng)是PKI的核心。比較了多種公鑰密碼體制，闡述了橢圓曲線密碼體制的原理和安全性。橢圓曲線密碼體制不僅具有密鑰短和效率高的特點(diǎn)，而且具有最高的位安全強(qiáng)度。在CA系統(tǒng)中引入橢圓曲線密碼體制，能夠有效地保證電子商務(wù)交易的安全性。橢圓曲線密碼體制在電子商務(wù)中有較好的應(yīng)用前景。

[關(guān)鍵詞]橢圓曲線密碼體制 數(shù)字簽名 CA 電子商務(wù)

一、引言

1976年Diffie 和 Hellman 發(fā)表了《密碼學(xué)新方向》，提出了公鑰秘密體制的實(shí)現(xiàn)方案[1]。1978年Ron Rivest， AdiShamir 和Leonard Adleman提出了既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的RSA算法。1985年由Koblitzul和Miller開創(chuàng)性的工作，被數(shù)學(xué)家研究了一百年的橢圓曲線在密碼領(lǐng)域中得以發(fā)揮重要作用，橢圓曲線密碼體制(ECC)的數(shù)學(xué)基礎(chǔ)是以橢圓曲線上的點(diǎn)構(gòu)成的Abelian加法群所構(gòu)造的離散對(duì)數(shù)的計(jì)算困難性[2]。為了達(dá)到較高的安全性，RSA需要1024比特的模數(shù)。ECC需用160比特的模數(shù)由此可以看出，橢圓曲線密碼體制有望成為取代RSA的下一代公鑰密碼體制。

PKI技術(shù)采用證書管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)認(rèn)證中心CA，把用戶的公鑰和其他標(biāo)識(shí)信息(如名稱、Email等)綁定在一起，從而驗(yàn)證用戶的身份。比較常用的辦法是以RSA公鑰為基礎(chǔ)，建立PKI基礎(chǔ)上的數(shù)字證書，通過(guò)把傳輸?shù)臄?shù)據(jù)信息進(jìn)行RSA加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，確保信息在網(wǎng)絡(luò)上的安全傳輸。對(duì)ECC而言，其每比特的強(qiáng)度高于RSA。把橢圓曲線密碼體制引入到CA系統(tǒng)中，是電子商務(wù)發(fā)展的趨勢(shì)。

二、橢圓曲線密碼體制

1.橢圓曲線數(shù)學(xué)定義

橢圓曲線是由三次方程維爾斯特拉斯(Weierstrass)方程:

(2.1)

所確定的平面曲線，K是一個(gè)域，可以是有理數(shù)域或復(fù)數(shù)域，還可以是有限域。ai K，i=1，2，…，6。滿足式(2.1)的數(shù)偶(x，y)稱為K域上的橢圓曲線的點(diǎn)。橢圓曲線的定義中還包含一個(gè)稱為無(wú)窮遠(yuǎn)點(diǎn)的元素，記為O。

在任一橢圓曲線E上的點(diǎn)之間，存在一個(gè)自然群運(yùn)算法則。由橢圓曲線可構(gòu)造一個(gè)橢圓曲線群，橢圓曲線上的點(diǎn)對(duì)應(yīng)于橢圓曲線群中的元素。即對(duì)橢圓曲線上的任意兩點(diǎn)P和Q，一定存在另外一點(diǎn)R，使R=P+Q。橢圓曲線構(gòu)成一個(gè)Abel群，O為單位元。橢圓曲線上的運(yùn)算規(guī)則是:若橢圓曲線上的三個(gè)點(diǎn)處于一條直線上，那么它們的和為O 。

(1) 無(wú)窮遠(yuǎn)點(diǎn)O在橢圓曲線的點(diǎn)構(gòu)成的有限群中起加法單位元的作用。

O=-O;

對(duì)橢圓曲線上的任何一點(diǎn)P，有P+ O= O+P=P。

假設(shè)P Q且Q O。

(2) 在仿射坐標(biāo)系上的一條平行于y軸的直線與橢圓曲線相交于三個(gè)點(diǎn):兩個(gè)有相同橫坐標(biāo)的點(diǎn)(P，Q)和O，P+Q+O= O。于是-P=Q。即作為P的逆元Q，在仿射坐標(biāo)系中與P的橫坐標(biāo)相同。

若P=(x，y)，則-P=(x，-y)，P+(-P)=P-P=O。

(3) 在P和Q之間作一條直線與橢圓曲線交于一點(diǎn)R’，R’和R關(guān)于x軸對(duì)稱。根據(jù)橢圓曲線上加法的運(yùn)算規(guī)則，P+Q+R’= O，P+Q=-R’，從而P+Q=R。即P+Q為第三個(gè)交點(diǎn)的關(guān)于x軸的鏡像。由于該操作的操作對(duì)象和運(yùn)算結(jié)果均為橢圓曲線上的點(diǎn)，因此，該操作又簡(jiǎn)稱為點(diǎn)加運(yùn)算。

(4) 若P=Q，P+P+Q= O，即2P+Q= O，從而2P =R，此時(shí)稱為倍點(diǎn)運(yùn)算，倍點(diǎn)運(yùn)算是點(diǎn)加運(yùn)算的特例。

E(K)上的點(diǎn)關(guān)于運(yùn)算“+”構(gòu)成Abel群，橢圓曲線密碼體制使用Abel群來(lái)構(gòu)建。橢圓曲線上的點(diǎn)加運(yùn)算的結(jié)果一定是橢圓曲線上的一個(gè)點(diǎn)。若有一條曲線上的點(diǎn)加運(yùn)算的結(jié)果不在該曲線上，則該曲線不是橢圓曲線。

橢圓曲線上的點(diǎn)能夠相加，但不能相乘。給定一個(gè)整數(shù)k和橢圓曲線的點(diǎn)P，將P加到自身k次，記為kP，稱為橢圓曲線上的點(diǎn)的數(shù)乘運(yùn)算(scalar multiplication)。習(xí)慣上，數(shù)乘運(yùn)算也稱標(biāo)量運(yùn)算。其中關(guān)鍵的基本步驟是對(duì)點(diǎn)P加倍的倍點(diǎn)運(yùn)算，即求解2P=P+P。倍點(diǎn)是點(diǎn)加運(yùn)算的特例。

2. 橢圓曲線數(shù)字簽名

數(shù)字簽名可用于數(shù)據(jù)認(rèn)證、數(shù)據(jù)完整性和不可否認(rèn)性。橢圓曲線數(shù)字簽名算法(ECDSA)是數(shù)字簽名(DSA)的橢圓曲線版本，現(xiàn)在已經(jīng)被ISO、ANSI、IEEE、NIST等組織采納為標(biāo)準(zhǔn)[3]。

簽名方案:

⑴ 選擇 k∈R[1， n-1];

⑵ 計(jì)算 R = kP;

⑶ 計(jì)算 r =Rx mod n (Rx是R的橫坐標(biāo))，如果r=0，返回⑴;

⑷ 計(jì)算 e = H(m) ，H是一種加密Hash算法，m是待簽名的信息;

⑸ 計(jì)算s = k -1(e + rd) mod n ，如果s = 0，返回⑴;

⑹ 簽名為(r，s)。

驗(yàn)證方案:

⑴ 驗(yàn)證r和s是不是在[1，n-1]區(qū)間的正整數(shù);如果不是，則(r， s)不是有效的簽名。

⑵ 計(jì)算e = H(m);

⑶ 計(jì)算w = s-1 mod n，u1 = ew mod n，u2 = rw mod n;

⑷ 計(jì)算T = u1P + u2Q，T ≠ O;

⑸ 計(jì)算v = Tx mod n (Tx是T的橫坐標(biāo));

⑹ 如果v=r，簽名被驗(yàn)證通過(guò)。

3. 認(rèn)證系統(tǒng)

(1) CA系統(tǒng)結(jié)構(gòu)

CA系統(tǒng)是通信雙方相互信賴的第三方，主要用途是為客戶發(fā)放和驗(yàn)證數(shù)字證書，是PKI的核心。CA中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對(duì)應(yīng)[4]。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。數(shù)字證書機(jī)制解決了數(shù)據(jù)傳輸?shù)陌踩浴鬏敂?shù)據(jù)的完整性、身份確認(rèn)和不可否認(rèn)性。

CA可按照一定的信任模型來(lái)組織，通常組織成層次模型。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)網(wǎng)上信息交流的信任鏈。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名相關(guān)聯(lián)，最終通過(guò)安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)根CA。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。在數(shù)字證書認(rèn)證過(guò)程中，CA是作為權(quán)威的、公正的、可信賴的第三方，其作用至關(guān)重要。

RA是數(shù)字證書及其相關(guān)業(yè)務(wù)的受理及審核機(jī)構(gòu)，負(fù)責(zé)證書申請(qǐng)的審批，將合法的申請(qǐng)上傳給CA。RA是CA的證書發(fā)放、管理的延伸。

證書庫(kù)是證書的集中存放地，是網(wǎng)上的一種公共信息庫(kù)，用戶可以從此處獲得其他用戶的證書和公鑰。系統(tǒng)必須確保證書庫(kù)的完整性，防止偽造、篡改證書。

(2)CA系統(tǒng)設(shè)計(jì)

根據(jù)安全橢圓曲線選取的原則，CA中心確定橢圓曲線的各個(gè)參數(shù)，確定有限域和基點(diǎn)。生成CA自身的公鑰、私鑰對(duì)。

就密鑰的產(chǎn)生方式而言，有分布式和集中式兩種模型。在分布式模型中，密鑰在本地產(chǎn)生;在集中式模型中，密鑰由CA或其他可信任實(shí)體產(chǎn)生。集中式模型中，所有的密鑰都在同一個(gè)系統(tǒng)里產(chǎn)生，因此可以有很好的設(shè)備支持，如加密硬件、隨機(jī)數(shù)發(fā)生器等。兩種模型在密鑰的傳送上有所區(qū)別:分布式模型的密鑰在本地產(chǎn)生后，私鑰就一直留在本地，公鑰傳遞給CA，用來(lái)構(gòu)造數(shù)字證書。集中式模型中，CA要額外將私鑰分發(fā)出去，通過(guò)手工方式或者安全協(xié)議SSL分發(fā)。

當(dāng)客戶申請(qǐng)數(shù)字證書時(shí)，CA生成用公鑰、私鑰對(duì)供對(duì)方使用。CA中心使用自己的私鑰對(duì)客戶公鑰進(jìn)行數(shù)字簽名，然后產(chǎn)生數(shù)字證書返回給客戶，持有證書的客戶可以相互進(jìn)行安全的數(shù)據(jù)通信。

曲線的選取是影響橢圓曲線密碼系統(tǒng)安全性的決定因素。如果自己定義橢圓曲線的參數(shù)，一方面橢圓曲線建立的代價(jià)太大，另一方面，不能從密碼分析的角度驗(yàn)證參數(shù)選取對(duì)系統(tǒng)安全的影響。在系統(tǒng)中采用NIST推薦的曲線，可以采用P-192，P-224，P-384，P-521作為有限域的階。

三、總結(jié)

在電子商務(wù)發(fā)展的今天，人們不僅希望網(wǎng)絡(luò)傳輸?shù)陌踩阅軌蛉找嫣岣撸蚁Ｍ诰W(wǎng)絡(luò)傳輸中能夠保護(hù)更多的通信數(shù)據(jù)。如果繼續(xù)使用目前通用的RSA公鑰體制，勢(shì)必會(huì)造成隨著安全性能的提高、通信量的增加而導(dǎo)致的網(wǎng)絡(luò)負(fù)荷激增、響應(yīng)時(shí)間延遲等一系列矛盾。橢圓曲線密碼在相同密鑰長(zhǎng)度下安全性能和計(jì)算效率更高，勢(shì)必會(huì)替代RSA公鑰算法。引入橢圓曲線密碼體制的CA中心，能夠申請(qǐng)、簽發(fā)、驗(yàn)證、撤銷ECC證書以及備份和恢復(fù)用于解密的ECC私鑰，并將ECC證書應(yīng)用于系統(tǒng)中各個(gè)通信終端之間的安全通信，提高了電子商務(wù)交易的安全性和效率。

參考文獻(xiàn)

[1] 周玉潔，馮登國(guó). 公開密鑰密碼算法及其快速實(shí)現(xiàn). 國(guó)防工業(yè)出版社，2002.9

[2] 肖攸安.橢圓曲線密碼體系[M].華中科技大學(xué)出版社.2006

[3] 孫家澤，張榮.橢圓曲線數(shù)字簽名軟件設(shè)計(jì)與實(shí)現(xiàn)[J]，西安郵電學(xué)院學(xué)報(bào)， 2008.9

[4] 陳良臣，孫功星.基于CA的移動(dòng)終端安全郵件系統(tǒng)的研究與設(shè)計(jì)， 計(jì)算機(jī)應(yīng)用研究， 2008.8