第2章密碼技術(shù)及應(yīng)用2.1對(duì)稱(chēng)密碼系統(tǒng)和非對(duì)稱(chēng)密碼系統(tǒng)①機(jī)密性：滿足電子商務(wù)交易中信息保密性的安全需求，可以避免敏感信息泄漏的威脅。②不可否認(rèn)：防止交易伙伴否認(rèn)曾經(jīng)發(fā)送或者接收過(guò)某種文件或數(shù)據(jù)。③驗(yàn)證：消息的接收者應(yīng)能確認(rèn)消息的來(lái)源，入侵者不可能偽裝成他人。④完整性：消息的接收者應(yīng)能夠驗(yàn)證在傳遞過(guò)程中消息沒(méi)有被竄改，入侵者不能用假消息代替合法消息。

分類(lèi)：對(duì)稱(chēng)密碼系統(tǒng)非對(duì)稱(chēng)密碼系統(tǒng)2.1.1對(duì)稱(chēng)密碼系統(tǒng)DES

DES（DataEncryptionStandard）密碼系統(tǒng)是電子商務(wù)系統(tǒng)中最常用的對(duì)稱(chēng)密鑰加密技術(shù)。

它由IBM公司研制，并被國(guó)際標(biāo)準(zhǔn)化組織ISO認(rèn)定為數(shù)據(jù)加密的國(guó)際標(biāo)準(zhǔn)。DES技術(shù)采用64位密鑰長(zhǎng)度，其中8位用于奇偶校驗(yàn)，剩余的56位可以被用戶使用。

2.1.1對(duì)稱(chēng)密碼系統(tǒng)DESDES算法DES系統(tǒng)是一種分組密碼，是為二進(jìn)制編碼數(shù)據(jù)設(shè)計(jì)的、可以對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行密碼保護(hù)的數(shù)學(xué)變換。DES通過(guò)密鑰對(duì)64位的二進(jìn)制信息進(jìn)行加密，把明文的64位信息加密成密文的64位信息。DES系統(tǒng)的加密算法是公開(kāi)的，其加密強(qiáng)度取決于密鑰的保密程度。加密后的信息可用加密時(shí)所用的同一密鑰進(jìn)行求逆運(yùn)算，變換還原出對(duì)應(yīng)的明文。

在DES系統(tǒng)中，64位密鑰中的56位用于加密過(guò)程，其余8位用于奇偶校驗(yàn)。

密鑰分成八個(gè)8位的字節(jié)，在每一個(gè)字節(jié)中的前7位用于加密，第8位用于奇偶校驗(yàn)。2.1.1對(duì)稱(chēng)密碼系統(tǒng)DES（1）DES加密過(guò)程①將明文分組，每個(gè)分組輸入64位的明文；②初始置換（IP）。初始置換過(guò)程是與密鑰關(guān)的無(wú)操作，僅僅對(duì)64位碼進(jìn)行移位操作。③迭代過(guò)程，共16輪運(yùn)算，這是一個(gè)與密鑰有關(guān)的對(duì)分組進(jìn)行加密的運(yùn)算。④逆初始置換（IP-1），它是第2步中IP變換的逆變換，這一變換過(guò)程也不需要密鑰。⑤輸出64位碼的密文。（2）DES的解密過(guò)程

DES解密過(guò)程和加密過(guò)程使用相同的算法，是加密過(guò)程的逆過(guò)程。即，如果各輪的加密密鑰分別是：

K1，K2，K3，…，K15，K16那么解密密鑰就是：

K16，K15，…，K2，K1

2.1.1對(duì)稱(chēng)密碼系統(tǒng)DES

（3）DES系統(tǒng)的安全性（1）弱密鑰和半弱密鑰

若DES密鑰置換中所產(chǎn)生的16個(gè)子密鑰均相同，則稱(chēng)為弱密鑰。若一個(gè)密鑰能夠解密用另一個(gè)密鑰加密的密文，則為半弱密鑰。（2）DES系統(tǒng)的破譯和安全使用

DES加密體制共有256個(gè)密鑰可供用戶選擇。256相當(dāng)于7.6×1016，若采用窮舉法進(jìn)行攻擊，假如1微秒窮舉一個(gè)密鑰，則需要用2283年的時(shí)間，因此看起來(lái)是很安全的。

1998年7月，美國(guó)電子新產(chǎn)品開(kāi)發(fā)基金會(huì)（EFF）花了不到25萬(wàn)美元研制了一臺(tái)計(jì)算機(jī)“DeepCrack”，以每秒測(cè)試8.8×1010個(gè)密鑰可能組合的速度連續(xù)測(cè)試了56個(gè)小時(shí)破譯了DES密碼。2.1.1對(duì)稱(chēng)密碼系統(tǒng)DES

（4）DES的改進(jìn)1）DES級(jí)聯(lián)

DES主要的密碼學(xué)缺點(diǎn)就是密鑰長(zhǎng)度相對(duì)來(lái)說(shuō)比較短。增加密鑰長(zhǎng)度，將一種分組密碼進(jìn)行級(jí)聯(lián)，在不同的密鑰作用下，連續(xù)多次對(duì)一組明文進(jìn)行加密。

三重DES是DES算法擴(kuò)展其密鑰長(zhǎng)度的一種方法，可使加密密鑰長(zhǎng)度擴(kuò)展到128比特（112比特有效）或者192比特（168比特有效）。

采用三重DES可以實(shí)現(xiàn)在不改變算法的基礎(chǔ)上增加加密強(qiáng)度，降低因擴(kuò)展加密強(qiáng)度而增加的各種開(kāi)銷(xiāo)。

三重DES基本原理是將128比特的密鑰分為64比特的兩組，對(duì)明文多次進(jìn)行普通的DES加解密操作，從而增強(qiáng)加密強(qiáng)度。這種方法用兩個(gè)密鑰對(duì)明文進(jìn)行三次加密。

假設(shè)兩個(gè)密鑰是k1和k2，三重DES的加密過(guò)程是：

①

使用密鑰k1進(jìn)行第一次DES加密；

②

用密鑰k2對(duì)第①步中DES加密的結(jié)果進(jìn)行DES解密；

③

將第②步中DES解密的結(jié)果再用密鑰k1進(jìn)行DES加密。2）S盒可選擇的DES算法

比哈姆（Biham）和沙米爾（Shamir）證明通過(guò)優(yōu)化S盒的設(shè)計(jì)，甚至僅僅改變S盒本身的順序，就可以抵抗差分密碼分析，達(dá)到進(jìn)一步增強(qiáng)DES算法加密強(qiáng)度的目的。3）具有獨(dú)立子密鑰的DES

這是DES的另一種變形，在每輪迭代中都使用不同的子密鑰，而不是由56比特密鑰來(lái)產(chǎn)生子密鑰。

因?yàn)?6輪DES的每輪都需要48比特密鑰，所以這種變形的DES密鑰長(zhǎng)度是768比特，這一方法可以增強(qiáng)DES的加密強(qiáng)度，大大增強(qiáng)了破譯DES密鑰的難度。

但是,比哈姆和沙米爾證明，利用261個(gè)選擇明文便可破譯這個(gè)DES變形，而不是原先所希望的2768個(gè)選擇明文，所以這種方法并不見(jiàn)得比DES更安全。（5）DES的替代算法AESAES算法三條基本要求：①對(duì)稱(chēng)密碼體制；②算法應(yīng)為分組密碼算法；③算法明密文分組長(zhǎng)度為128比特，應(yīng)支持128比特、192比特以及256比特的密鑰長(zhǎng)度2.1.2非對(duì)稱(chēng)密碼系統(tǒng)

非對(duì)稱(chēng)密碼系統(tǒng)又稱(chēng)公開(kāi)密鑰密碼系統(tǒng)。公開(kāi)密鑰密碼系統(tǒng)（簡(jiǎn)稱(chēng)公鑰體制）是現(xiàn)代密碼學(xué)最重要的發(fā)明和進(jìn)展。

公開(kāi)密鑰密碼體制最大的特點(diǎn)是采用兩個(gè)不同的加密密鑰和解密密鑰，加密密鑰公開(kāi)，解密密鑰保密，其他人無(wú)法從加密密鑰和明文中獲得解密密鑰的任何消息，于是通信雙方無(wú)需交換密鑰就可以進(jìn)行保密通信。

(1)RSA密碼系統(tǒng)1976年，斯坦福大學(xué)電子工程系的兩名學(xué)者Diffle和Hellman在《密碼學(xué)研究的新方向》一文中提出了公鑰密碼的思想：若用戶A有一個(gè)加密密鑰ka,一個(gè)解密密鑰kb，ka,公開(kāi)而kb保密，要求ka,的公開(kāi)不至于影響kb的安全。1977年，麻省理工學(xué)院三位博士Rivest，Shamir和Adleman設(shè)計(jì)一個(gè)RSA公開(kāi)密鑰密碼算法。RSA密碼算法利用數(shù)論領(lǐng)域的一個(gè)關(guān)鍵事實(shí)：把兩個(gè)大素?cái)?shù)相乘生成一個(gè)合數(shù)是件很容易的事，但要把一個(gè)大合數(shù)分解為兩個(gè)素?cái)?shù)卻十分困難。

公鑰密碼系統(tǒng)RSA

l）密鑰的生成

①任選兩個(gè)秘密的大素?cái)?shù)

p與q；②計(jì)算n，使得n=p×q>m，公開(kāi)n；③選擇正整數(shù)e，使得e與ψ(n)=（p-1）（q－1）互素，公開(kāi)

e，n和e便是用戶公鑰；④計(jì)算d，使e×dmodψ(n)=l，d保密，d便是用戶私鑰。

2）加密過(guò)程

c＝E(m)≡memodn，c即是對(duì)應(yīng)于明文m的密文。3）解密過(guò)程

m=D(c)≡cdmodn，m即是對(duì)應(yīng)于密文c的明文。RSA算法的正確性

cdmodn≡（memodn）dmodn≡m(ed)modn≡mkψ(n)+1modn≡（mkψ(n)modn）·（mmodn）≡m

關(guān)于RSA密碼算法的安全性，從算法可知，若n=p×q被因子分解成功，則非常容易計(jì)算出私有密鑰d，從而可以攻破RSA密碼系統(tǒng)。

因此，必須非常注意p、q的選取。例如，從安全素?cái)?shù)中選取p、q，具有下列特點(diǎn)的素?cái)?shù)p、q稱(chēng)為安全素?cái)?shù)：

①

p和q的長(zhǎng)度相差不大；

②

p-1和q-1有大素?cái)?shù)因子；

③

公因子(p-1,q-1)很小。【例2.1】用RSA密碼算法對(duì)明文信息"publickeyencryptions"進(jìn)行加密和還原。

首先，假設(shè)選取素?cái)?shù)p=43和q=59,則計(jì)算n=p×q=43×59=2537,ψ(n)=42×58=2436，并且選取e=13,解同余方程e×dmod2436=1得到d=937。

其次，將明文"publickeyencryptions"以兩個(gè)字符為一組進(jìn)行分組，得到：publickeyencryptions

第三步將明文數(shù)字化，用00表示a,01表示b,02表示c,......,23表示x,24表示y,25表示z；這樣將上述分組字符進(jìn)行數(shù)字化成如下形式：1520011108021004240413021724151908141418

現(xiàn)在，討論對(duì)明文數(shù)字m=1520的加密c=E(m)≡me(modn)=152013(mod2537)=(15202)61520(mod2537)。

由于(15202)≡1730(mod2537)，所以c≡(1730)61520(mod2537)=(17302)31520(mod2537)。

注意到17302

≡1777mod(2537)，我們有c≡(1777)31520(mod2537)=(1777)2(1777*1520)(mod2537)。因?yàn)?7772

≡1701mod(2537)以及1777×1520≡1672(mod2537)所以密文c≡1701*1672(mod2537)≡95(mod2537)=0095。2.1.2公鑰密碼系統(tǒng)RSA----與DES的比較

1）加、解密處理效率方面，DES算法優(yōu)于RSA算法。DES算法的密鑰長(zhǎng)度只有56比特，可以利用軟件和硬件實(shí)現(xiàn)高速處理；RSA算法需要進(jìn)行諸如至少200比特整數(shù)的乘冪和求模等多倍字長(zhǎng)的處理，處理速度明顯慢于DES算法。

2）在密鑰的管理方面，RSA算法比DES算法更加優(yōu)越。RSA算法可采用公開(kāi)形式分配加密密鑰，對(duì)加密密鑰的更新也很方便。DES算法要求通信前進(jìn)行密鑰分配，密鑰的更換困難，對(duì)不同的通信對(duì)象，DES需要產(chǎn)生和保管不同的密鑰。

3）在簽名和認(rèn)證方面，由于RSA算法采用公開(kāi)密鑰密碼體制，因而能夠很容易地進(jìn)行數(shù)字簽名和身份認(rèn)證。

(2)橢圓曲線密碼系統(tǒng)ECC

1985年，NealKoblitz和V.S.Miller把橢圓曲線的研究成果應(yīng)用到密碼學(xué)中，分別獨(dú)立提出在公鑰密碼系統(tǒng)中使用橢圓曲線的思想。從1998年起，一些國(guó)際化標(biāo)準(zhǔn)組織開(kāi)始了橢圓曲線密碼的標(biāo)準(zhǔn)化工作。1998年底美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）公布了專(zhuān)門(mén)針對(duì)橢圓曲線密碼的ANSI-F9.62和ANSI-F9.63標(biāo)準(zhǔn)。1998年IEEE-P1363工作組正式將橢圓曲線密碼寫(xiě)入了當(dāng)時(shí)正在討論制定的“公鑰密碼標(biāo)準(zhǔn)”的草案中。

橢圓曲線密碼系統(tǒng)ECC

Weierstrass方程和橢圓曲線

任意一條橢圓曲線總可以用一個(gè)三次方程來(lái)表示，這個(gè)三次方程一般稱(chēng)為Weierstrass方程：

y2+a1xy+a3y=x3+a2x2+a4x+a6

方程中的參數(shù)取自域F上。F可以是有理數(shù)域、實(shí)數(shù)域或者有限域

橢圓曲線上的點(diǎn)在所定義的加法運(yùn)算下形成一個(gè)阿貝爾群（Abeliangroup）。令E是由Weierstrass方程

（2.1）給出的橢圓曲線，則E上的兩點(diǎn)P和Q相加的加法法則如下：對(duì)所有的P，Q∈E，

2.2數(shù)字簽名

2.2.1數(shù)字簽名的一般過(guò)程數(shù)字簽名方案包括：系統(tǒng)初始化過(guò)程、簽名產(chǎn)生過(guò)程和簽名驗(yàn)證過(guò)程。

（1）系統(tǒng)的初始化系統(tǒng)初始化過(guò)程產(chǎn)生數(shù)字簽名方案中的基本參數(shù)集合（M,S,K,SIG,VER），其中： M：消息集合； S：簽名集合； K：密鑰集合，包含私鑰和公鑰； SIG：簽名算法集合； VER：簽名驗(yàn)證算法集合。

（2）

簽名產(chǎn)生過(guò)程（3）簽名驗(yàn)證過(guò)程（4）數(shù)字簽名的安全性理想的數(shù)字簽名協(xié)議至少需要具有如下特征：①簽名是真實(shí)的。簽名使接收者相信簽名者慎重地簽字。②簽名對(duì)選擇明文的攻擊具有不可偽造性，即B獲得了A的簽名，卻不能用A的簽名對(duì)其他消息偽造簽名。③簽名不可重用。不法之徒不可能將簽名轉(zhuǎn)移到不同的文件上。④簽名的文件不可改變。簽名后，文件不能改變。⑤簽名不可抵賴。簽名后，簽名者不能聲稱(chēng)沒(méi)有簽過(guò)名。

數(shù)字信封結(jié)構(gòu)用來(lái)保證數(shù)據(jù)在傳輸過(guò)程中的安全，數(shù)字信封結(jié)構(gòu)把待簽名的數(shù)據(jù)、時(shí)間和數(shù)字簽名結(jié)合成一個(gè)不可分割的整體，以抵抗重放攻擊和代換攻擊，確保簽名的法律效力。（5）數(shù)字信封結(jié)構(gòu)（6）簽名算法

簽名算法一般由公鑰密碼算法（RSA、ELGamal、DSA、ECDSA等），對(duì)稱(chēng)密鑰密碼算法（DES，AES等）和單向散列函數(shù)（MD2、MD4、MD5或SHA等）構(gòu)成。

（7）數(shù)字簽名的分類(lèi)

數(shù)字簽名方案的分類(lèi)：建立在大整數(shù)素因子分解基礎(chǔ)上的數(shù)字簽名方案；建立在有限域的離散對(duì)數(shù)問(wèn)題上的數(shù)字簽名方案；建立在橢圓曲線離散對(duì)數(shù)問(wèn)題上的數(shù)字簽名方案。

還可以按照數(shù)字簽名能夠滿足實(shí)際需要的特殊要求來(lái)進(jìn)行分類(lèi)：滿足一般需求的基本數(shù)字簽名、滿足特殊需要的特殊數(shù)字簽名以及滿足多人共同簽名需要的多重?cái)?shù)字簽名等等。2.2.2基于RSA密碼體制的數(shù)字簽名

（l）密鑰的生成

①任選兩個(gè)秘密的大素?cái)?shù)

p與q；②計(jì)算n，使得n=p×q>m，公開(kāi)n；③選擇正整數(shù)e，使得e與ψ(n)=（p-1）（q－1）互素，公開(kāi)e，n和e便是用戶公鑰；④計(jì)算d，使e×dmodψ(n)=l，d保密，d是用戶私鑰。

（2）簽名過(guò)程

S≡mdmodn，S是對(duì)應(yīng)于明文m的數(shù)字簽名。簽名者將簽名S和明文m一起發(fā)送給簽名驗(yàn)證者。

（3）驗(yàn)證簽名過(guò)程

m’

≡Semodn，若m’=m，則簽名得到驗(yàn)證。2.2.3基于DSA密碼體制的數(shù)字簽名（l）密鑰的生成①公開(kāi)密鑰p：512位到1024位的素?cái)?shù)

q：160位長(zhǎng)，并與p－1互素的因子

g＝h(p-1)/qmodp

其中h小于p-1，并且g>1。

y=gx

modp

（一個(gè)p位的數(shù)）；②私人密鑰x，一個(gè)<

q

的160位的數(shù)；（2）簽名過(guò)程

k

選取一個(gè)小于q的隨機(jī)數(shù)

r(簽名)=(gkmodp)modq

s(簽名)=(k-1(H(m)+xr))modq

（3）驗(yàn)證簽名過(guò)程：

w=s-1modq

u1=(H(m)×w)modq

u2=(rw)modq

v=(g

u1×y

u2modp)modq 如果v=r，則簽名被驗(yàn)證2.2.4基于ECC密碼體制的數(shù)字簽名1992年在NIST的第一次征求DSS標(biāo)準(zhǔn)評(píng)論時(shí)，ScottVanstone首先提出橢圓曲線數(shù)字簽名算法ECDSA

ECDSA于1998年被接受為ISO標(biāo)準(zhǔn)（ISO14888-3）

1999年成為ANSI（AmericanNationalStandardsInstitute）標(biāo)準(zhǔn)（ANSIX9.62）

2000年成為IEEE標(biāo)準(zhǔn)（IEEEP1363）以及FIPS標(biāo)準(zhǔn)（FIPS186-2）(1)ECDSA主域參數(shù)

(2)ECDSA密鑰對(duì)

確定橢圓曲線的主域參數(shù)D=(q,FR,a,b,G,n,h)，便可確定ECDSA的密鑰對(duì)。假設(shè)需要進(jìn)行數(shù)字簽名的簽名實(shí)體為A。

實(shí)體A可以按如下算法產(chǎn)生簽名所需要的私鑰和公鑰：1.在區(qū)間[1，n-1]中選取一個(gè)隨機(jī)數(shù)或者偽隨機(jī)數(shù)d；2.計(jì)算Q=dG；3.實(shí)體A的公鑰是Q，私鑰是d。(3)ECDSA簽名的產(chǎn)生產(chǎn)生橢圓曲線數(shù)字簽名的算法描述如下：①選取一個(gè)隨機(jī)數(shù)k，1≤k≤n-1；②計(jì)算kG=(x1,y1)，以及r=x1modn；如果r=0，轉(zhuǎn)步①；③計(jì)算k-1modn；④計(jì)算e=SHA-1(m)；⑤計(jì)算S=k-1(e+dr)modn，如果S=0，轉(zhuǎn)步①；⑥實(shí)體A對(duì)消息的簽名是（r,S），算法結(jié)束。(4)ECDSA簽名的驗(yàn)證

輸入?yún)?shù)為A的數(shù)字簽名（r,S），簽名消息m，實(shí)體B所需要的主域參數(shù)D=(q,FR,a,b,G,n,h)以及A的公鑰Q；輸出為接受或者拒絕簽名。驗(yàn)證過(guò)程如下：①驗(yàn)證r和S是[1,n-1]中的整數(shù)；

②計(jì)算e=SHA-1(m)；③計(jì)算w=S-1modn；④計(jì)算u1=ewmodn；u2=rwmodn；⑤計(jì)算X=u1G+u2

Q，記X的坐標(biāo)為(x1,y1)，如果

X=O，就拒絕簽名；否則計(jì)算v=x1modn；⑥當(dāng)且僅當(dāng)v=r時(shí)，接受簽名，算法結(jié)束。2.2.5特殊數(shù)字簽名

（1）盲簽名：簽名者簽署不知道內(nèi)容的文件時(shí)，使用盲簽名。盲簽名具有匿名的性質(zhì)，在電子貨幣和電子投票系統(tǒng)中得到廣泛的應(yīng)用。（2）雙重簽名：當(dāng)簽名者希望驗(yàn)證者只知道報(bào)價(jià)單，中間人只知道授權(quán)指令時(shí)，能夠讓中間人在簽名者和驗(yàn)證者報(bào)價(jià)相同的情況下進(jìn)行授權(quán)操作。（3）群簽名：允許一個(gè)群體中的成員以群體的名義進(jìn)行數(shù)字簽名，并且驗(yàn)證者能夠確認(rèn)簽名者的身份。群簽名中最重要的是群密鑰的分配，要能夠高效處理群成員的動(dòng)態(tài)加入和退出。群密鑰管理分為集中式密鑰管理和分散式密鑰管理。（4）門(mén)限簽名：在有n個(gè)成員的群體中，至少有t個(gè)成員才能代表群體對(duì)文件進(jìn)行有效的數(shù)字簽名。門(mén)限簽名通過(guò)共享密鑰方法實(shí)現(xiàn)，將密鑰分為n份，只有當(dāng)將超過(guò)t份的子密鑰組合在一起時(shí)才能重構(gòu)出密鑰。門(mén)限簽名在密鑰托管技術(shù)中得到了很好的應(yīng)用，某人的私鑰由政府的n個(gè)部門(mén)托管，當(dāng)其中超過(guò)t個(gè)部門(mén)決定對(duì)其實(shí)行監(jiān)聽(tīng)，便可重構(gòu)密鑰。2.2.5特殊數(shù)字簽名

（5）代理簽名：允許密鑰持有者授權(quán)給第三方，獲得授權(quán)的第三方能夠代表簽名持有者進(jìn)行數(shù)字簽名。代理機(jī)制：全權(quán)代理、部分代理和授權(quán)代理（6）門(mén)限代理簽名：將密鑰分配給n個(gè)代理者，只有超過(guò)t個(gè)人聯(lián)合時(shí)才可以重構(gòu)密鑰。通過(guò)這樣的方法可以限制代理者的權(quán)限。門(mén)限代理簽名實(shí)際上是門(mén)限簽名和代理簽名的綜合應(yīng)用。（7）不可否認(rèn)的門(mén)限代理簽名：用來(lái)防止門(mén)限代理簽名中的t個(gè)簽名者同謀重構(gòu)簽名，該方案中參與代理簽名的t人均不可否認(rèn)其簽名。（8）報(bào)文還原簽名：具有報(bào)文還原功能的數(shù)字簽名方案，它使得簽名收方利用簽名資料便可還原消息。2.2.5特殊數(shù)字簽名

（9）多重?cái)?shù)字簽名：需要多人對(duì)同一文件進(jìn)行簽名后文件才生效的數(shù)字簽名。

（10）廣播多重?cái)?shù)字簽名：發(fā)送者將消息同時(shí)發(fā)送給每一位簽名者進(jìn)行數(shù)字簽名，簽名完畢后將結(jié)果發(fā)送到簽名收集者計(jì)算整理，最終發(fā)送給簽名驗(yàn)證者。

（11）順序多重?cái)?shù)字簽名：消息發(fā)送者預(yù)先設(shè)計(jì)一種簽名順序，將這種簽名按順序發(fā)送到每一位簽名者進(jìn)行數(shù)字簽名，最終發(fā)送給簽名驗(yàn)證者。

（12）基于ID號(hào)的多重?cái)?shù)字簽名：1996年，chou和Wu提出了兩種基于ID號(hào)的多重?cái)?shù)字簽名協(xié)議，分別適用于廣播多重?cái)?shù)字簽名和順序多重?cái)?shù)字簽名。該簽名算法為每個(gè)簽名者分配ID號(hào)，算法基于大數(shù)因子分解難度，使用認(rèn)證機(jī)構(gòu)CA。2.2.5特殊數(shù)字簽名

（13）簽名權(quán)限各異多重?cái)?shù)字簽名：該方案特征是參與簽名的各人均持有不同的簽名權(quán)限，系統(tǒng)可以識(shí)別每個(gè)簽名者，但不能保證每個(gè)簽名者只有一個(gè)簽名權(quán)限。

（14）使用自鑒定公鑰的ELGamal型多重?cái)?shù)字簽名：該算法由Yuh-ShihngChang于2000年提出，它通過(guò)驗(yàn)證多重?cái)?shù)字簽名來(lái)進(jìn)行公鑰的鑒定。其優(yōu)點(diǎn)是減少了一般簽名算法將公鑰保存在PKI中而驗(yàn)證算法時(shí)必須先從PKI中檢索得到公鑰的過(guò)程，缺點(diǎn)是簽名中需要較多的參數(shù)。

（15）基于文件分解的多重?cái)?shù)字簽名：該方案由Tzong-ChenWu于2001年提出。當(dāng)對(duì)一個(gè)內(nèi)容廣泛、包含不同主體的文件進(jìn)行多重?cái)?shù)字簽名時(shí)，可以按主題將文件分解為一些不相交的子文件，讓各個(gè)簽名者分別對(duì)自己熟悉的部分而不是對(duì)整個(gè)文件進(jìn)行簽名，驗(yàn)證時(shí)可以通過(guò)群體的公共密鑰進(jìn)行驗(yàn)證。2.2.5特殊數(shù)字簽名（16）Internet上順序多重?cái)?shù)字簽名方案：該方案由Motomi和Miyaji于2001年提出，該方案允許簽名者修改文件，并且簽名順序任意，還可以增加或減少簽名者人數(shù)。這種方案的好處是適應(yīng)在Internet上對(duì)文件進(jìn)行簽名的特點(diǎn)：簽名人數(shù)和順序可能事先無(wú)法估計(jì)。

（17）報(bào)文還原ELGamal型多重?cái)?shù)字簽名方案：具有報(bào)文還原功能的多重?cái)?shù)字簽名方案，它使得多重簽名接收方利用簽名資料便可還原消息。2.3密鑰管理所有的密鑰都有時(shí)間期限，密鑰的使用周期稱(chēng)為密鑰周期。密鑰周期由以下幾個(gè)階段構(gòu)成：

密鑰生成；密鑰修改；密鑰封裝； 密鑰恢復(fù)；密鑰分發(fā)；密鑰撤銷(xiāo)

2.3.1密鑰的生成與修改(1)密鑰的生成:密鑰生成方法主要有不重復(fù)密鑰生成法和重復(fù)密鑰生成法兩種。

不重復(fù)密鑰生成法：產(chǎn)生密鑰的加密算法是三重DES，V0是一個(gè)秘密的64位種子，Ti是時(shí)間標(biāo)記。生成隨機(jī)密鑰Ri

。2.3.1密鑰的生成與修改

重復(fù)密鑰生成法：由一個(gè)初始密鑰生成多個(gè)密鑰

首先，如果初始密鑰在密鑰空間中是隨機(jī)的，則由其生成的密鑰也應(yīng)該是隨機(jī)的。其次，密鑰生成的方法可以用迭代法，即可由一個(gè)初始密鑰生成一個(gè)新密鑰，接著再用新密鑰作為初始密鑰生成一個(gè)新密鑰，依此類(lèi)推，不斷衍生出新的密鑰。最后，密鑰生成過(guò)程具有不可逆性，即由后繼密鑰不能推出其前導(dǎo)密鑰。(2)密鑰的修改

當(dāng)一個(gè)合法的密鑰即將過(guò)期時(shí)，就要自動(dòng)產(chǎn)生新的密鑰。可以使用密鑰生成的方法重新生成密鑰、從舊的密鑰中產(chǎn)生新的密鑰。（3）密鑰的保護(hù)

保護(hù)密鑰安全的最直接的方法是讓密鑰駐留在密碼裝置之內(nèi)，當(dāng)密鑰數(shù)量很大且經(jīng)常需要修改時(shí)，這種方法的開(kāi)銷(xiāo)太大、幾乎不可能實(shí)現(xiàn)。

另一種可用的方法是由系統(tǒng)對(duì)這些密鑰進(jìn)行加密并控制它的使用。

使用一個(gè)密鑰來(lái)保護(hù)許多其他密鑰的原理被定義為主密鑰原理，極少量的主密鑰駐留在密碼裝置之中將是安全、現(xiàn)實(shí)的。2.3.2密鑰的封裝和恢復(fù)

密鑰恢復(fù)的類(lèi)型

1）密鑰托管——由政府或一個(gè)可信賴的第三方機(jī)構(gòu)托管代理，持有用戶真正的密鑰或相應(yīng)的密鑰分量。2）密鑰封裝——采用若干個(gè)可信賴的第三方機(jī)構(gòu)來(lái)獲得以加密形式封裝的密鑰，并確保只有稱(chēng)為恢復(fù)代理的特定的可信賴的第三方機(jī)構(gòu)可以執(zhí)行解封操作以恢復(fù)埋藏在其中的密鑰信息。

典型的密鑰恢復(fù)系統(tǒng)

1）美國(guó)的托管加密標(biāo)準(zhǔn)EES2）信息信托公司(TIS)的密鑰恢復(fù)系統(tǒng)

2.3.3密鑰的分發(fā)和撤銷(xiāo)（1）密鑰的分發(fā)對(duì)稱(chēng)密鑰密碼體制中密鑰的分發(fā)密鑰分發(fā)技術(shù)分為人工和自動(dòng)方式兩大類(lèi)人工方式分發(fā)密鑰主要采用信使來(lái)傳遞密封郵件自動(dòng)方式主要有主密鑰分發(fā)方式和密鑰分發(fā)中心方式

密鑰分發(fā)中心方式在某個(gè)特定的網(wǎng)絡(luò)中設(shè)置一個(gè)密鑰分發(fā)中心KDC，用戶的通信密鑰由KDC集中管理和分配。網(wǎng)絡(luò)中需要保密通信的用戶各自都有一個(gè)和KDC共享的秘密密鑰。如果兩個(gè)用戶A和B需要進(jìn)行一次秘密會(huì)話，則：①用戶A向KDC請(qǐng)求一個(gè)與B通信的會(huì)話密鑰；②KDC先產(chǎn)生一個(gè)隨機(jī)的會(huì)話密鑰Ks，接著分別用與A共享的秘密密鑰Ka、與B共享的秘密密鑰Kb對(duì)Ks加密，得到

KsA和KsB并將KsA和KsB發(fā)送給A；③A用與KDC共享的秘密密鑰Ka解密KsA

，恢復(fù)Ks；④A將另外一個(gè)未解密的KsB發(fā)送給B；⑤B用與KDC共享的秘密密鑰Kb解密收到的未解密的KsB

，恢復(fù)Ks；⑥A、B用Ks進(jìn)行一次安全的會(huì)話。2.3.3密鑰的分發(fā)和撤銷(xiāo)公開(kāi)密鑰密碼體制的密鑰分發(fā) 在公開(kāi)密鑰密碼體制中進(jìn)行安全密鑰的分發(fā)最重要的問(wèn)題是確保公鑰的完整性。 假設(shè)交易伙伴雙方是A和B，A想要得到B的公鑰。 第一種方法是A可以采用人工方式獲得B的公鑰，B通過(guò)信使將密鑰交給A。 第二種方法是B將其公鑰email給A，A可以用單向函數(shù)對(duì)該公鑰生成一個(gè)160位的信息摘要并以16進(jìn)制顯示，這一特點(diǎn)稱(chēng)作密鑰的指紋。然后A打電話給B，讓B在電話中對(duì)證指紋，如果雙方一致則該公鑰被認(rèn)可。 最常用的方法是采用數(shù)字證書(shū)來(lái)實(shí)現(xiàn)密鑰分發(fā)。數(shù)字證書(shū)由一個(gè)大家都信任的證書(shū)權(quán)威機(jī)構(gòu)的成員來(lái)簽發(fā)，該成員稱(chēng)為認(rèn)證中心（CA）。2.3.3密鑰的分發(fā)和撤銷(xiāo)（2）密鑰的撤銷(xiāo)

密鑰撤銷(xiāo)包括清除舊密鑰的所有蹤跡。舊密鑰在停止使用后，可能還要持續(xù)保密一段時(shí)間。2.4身份認(rèn)證技術(shù)

身份證明可以依靠下述三種基本途徑之一或者它們的組合來(lái)實(shí)現(xiàn)：

1）所知：個(gè)人知道或者掌握的知識(shí)，如密碼、口令等；

2）所有：個(gè)人擁有的東西，如身份證、護(hù)照、信用卡、鑰匙等；

3）個(gè)人特征：如指紋、筆跡、聲音、血型、視網(wǎng)膜、虹膜以及DNA等。

身份認(rèn)證技術(shù)可以從身份的真實(shí)性和不可抵賴性兩個(gè)方面來(lái)保證交易伙伴是值得信賴的。

2.4.1身份認(rèn)證協(xié)議

身份認(rèn)證系統(tǒng)的組成

1）一方是出示證件的人，稱(chēng)作示證者，又稱(chēng)申請(qǐng)者，由他提出某種要求；

2）另一方是驗(yàn)證者，驗(yàn)證示證者出示證件的正確性和合法性，決定是否滿足示證者的要求；

3）第三方是攻擊者，會(huì)竊聽(tīng)和偽裝示證者騙取驗(yàn)證者的信任。

4）認(rèn)證系統(tǒng)在必要時(shí)也會(huì)有第四方，即可信賴的仲裁者參與，調(diào)解糾紛。身份認(rèn)證技術(shù)又稱(chēng)為身份證明技術(shù)、實(shí)體認(rèn)證等。2.4.1身份認(rèn)證協(xié)議

（1）常用的身份認(rèn)證技術(shù)1）變換口令2）提問(wèn)－應(yīng)答3）時(shí)間戳4）一次性口令5）數(shù)字簽名6）零知識(shí)技術(shù)

好的身份認(rèn)證協(xié)議通常結(jié)合了上述或類(lèi)似的多個(gè)技術(shù)2.4.1身份認(rèn)證協(xié)議

（2）常用的身份認(rèn)證方法

1）口令和個(gè)人識(shí)別碼（PINs）2）個(gè)人令牌3）生物統(tǒng)計(jì)學(xué)4）Kerberos認(rèn)證機(jī)制5）基于公鑰密碼體制的身份認(rèn)證2.4.2不可否認(rèn)機(jī)制

不可否認(rèn)機(jī)制——來(lái)源不可否認(rèn)、接收不可否認(rèn)、提交不可否認(rèn)（1）不可否認(rèn)機(jī)制的實(shí)施階段

為某一特定通信提供不可否認(rèn)機(jī)制服務(wù)包括5個(gè)階段，依次是：①不可否認(rèn)的請(qǐng)求。②生成記錄。③分發(fā)記錄。④核實(shí)記錄。⑤保留記錄。2.4.2不可否認(rèn)機(jī)制

（2）來(lái)源不可否認(rèn)機(jī)制1）來(lái)源不可否認(rèn)機(jī)制涉及的爭(zhēng)議：①接收者聲稱(chēng)已經(jīng)收到了一條消息，但被認(rèn)定的發(fā)送者否認(rèn)曾生成過(guò)該消息；②接收者聲稱(chēng)收到的消息和被認(rèn)定的發(fā)送者聲明發(fā)送的消息不同；③接收者聲稱(chēng)收到了一條于特定時(shí)間生成的特定消息，但被認(rèn)定的發(fā)送者否認(rèn)在該時(shí)間生成過(guò)那個(gè)特定消息。2）爭(zhēng)議的真實(shí)情況①發(fā)送方在撒謊（或接收了誤傳）；②接收者在撒謊（或接收了誤傳）；③出現(xiàn)了計(jì)算機(jī)或者通信錯(cuò)誤；④有攻擊者介入欺騙了當(dāng)事雙方。2.4.2不可否認(rèn)機(jī)制

3）實(shí)現(xiàn)來(lái)源不可否認(rèn)機(jī)制的方法①要求發(fā)送方對(duì)文件進(jìn)行數(shù)字簽名②通過(guò)可信任的仲裁者的數(shù)字簽名來(lái)實(shí)現(xiàn)③通過(guò)可信任的仲裁者對(duì)消息摘要的數(shù)字簽名來(lái)實(shí)現(xiàn)④內(nèi)嵌可信任的仲裁者⑤上述各種機(jī)制的組合2.4.2不可否認(rèn)機(jī)制

（3）接收不可否認(rèn)機(jī)制1）接收不可否認(rèn)機(jī)制涉及的爭(zhēng)議①發(fā)送者聲稱(chēng)已經(jīng)發(fā)出了一條消息，但被認(rèn)定的接收者否認(rèn)曾收到過(guò)該消息；②發(fā)送者聲稱(chēng)發(fā)出的消息和被認(rèn)定的接收者聲明接收的消息不同；③發(fā)送者聲稱(chēng)發(fā)送了一條于特定時(shí)間生成的特定消息，但被認(rèn)定的接收者否認(rèn)在該時(shí)間接收過(guò)那個(gè)特定消息。2）對(duì)于消息來(lái)源的爭(zhēng)議，真實(shí)情況可能是：①某一方在撒謊；②出現(xiàn)了計(jì)算機(jī)或通信錯(cuò)誤；③攻擊者介入欺騙了他們。2.4.2不可否認(rèn)機(jī)制

實(shí)現(xiàn)接收不可否認(rèn)機(jī)制的方法有：①通過(guò)要求接收方對(duì)文件進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)②通過(guò)可信任的接收代理來(lái)實(shí)現(xiàn)③通過(guò)累進(jìn)的接收?qǐng)?bào)告來(lái)實(shí)現(xiàn)

2.4.2不可否認(rèn)機(jī)制

（4）提交不可否認(rèn)機(jī)制涉及的爭(zhēng)議有：①發(fā)送者聲稱(chēng)已經(jīng)發(fā)出了一條消息，但被認(rèn)定的接收者否認(rèn)曾收到過(guò)該消息，而且認(rèn)為發(fā)送者根本沒(méi)有發(fā)送該消息；②發(fā)送者聲稱(chēng)發(fā)送了一條于特定時(shí)間生成的特定消息，但被認(rèn)定的接收者否認(rèn)在該時(shí)間接收過(guò)那個(gè)特定消息。如果發(fā)送者和接收者都說(shuō)了真話，那么就是計(jì)算機(jī)系統(tǒng)出了故障或者攻擊者欺騙了他們。

2.5信息認(rèn)證技術(shù)信息認(rèn)證的主要工作：①證實(shí)報(bào)文是由其聲明的發(fā)送者產(chǎn)生的；②證實(shí)報(bào)文的內(nèi)容在其被發(fā)出后沒(méi)有被修改過(guò)（證實(shí)報(bào)文的完整性）；③確認(rèn)報(bào)文的序號(hào)和時(shí)間是正確的；④如果收、發(fā)雙方發(fā)生爭(zhēng)執(zhí)，仲裁者必須能夠進(jìn)行公正的裁決。

（1）基于私鑰密碼體制的信息認(rèn)證

設(shè)通信雙方A和B，A、B的共享密鑰為KAB，M為A發(fā)送給B的報(bào)文。為防止報(bào)文M在公共信道被竊聽(tīng)，A將M加密后再傳送，C為密文.

2.5.1信息完整性認(rèn)證協(xié)議

（2）基于公鑰密碼體制的信息認(rèn)證

基于公鑰密碼體制的信息認(rèn)證主要利用數(shù)字簽名技術(shù)和單向散列函數(shù)技術(shù)實(shí)現(xiàn)。設(shè)SA為A的私鑰，SB為B的私鑰，KPA為A的公鑰，KPB為B的公鑰，則A對(duì)報(bào)文M的散列值H(M)的簽名為SigSAH(M)。

2.6訪問(wèn)控制機(jī)制

訪問(wèn)控制是指控制訪問(wèn)電子商務(wù)服務(wù)器的用戶以及訪問(wèn)者所訪問(wèn)的內(nèi)容，限制訪問(wèn)者對(duì)重要資源的訪問(wèn)。

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。

訪問(wèn)控制一是限制訪問(wèn)系統(tǒng)的人員的身份，這可以通過(guò)身份認(rèn)證技術(shù)實(shí)現(xiàn)；二是限制進(jìn)入系統(tǒng)的用戶所做的工作，這可以通過(guò)訪問(wèn)控制策略(AccessControlPolicy)來(lái)實(shí)現(xiàn)。

2.6.1訪問(wèn)控制概述

主體、客體和授權(quán) 主體(Subject)又稱(chēng)為發(fā)起者(Initiator)，是一個(gè)主動(dòng)的實(shí)體，是可以訪問(wèn)該資源的實(shí)體，通常指用戶或代表用戶執(zhí)行的程序。 客體（Object）是需要保護(hù)的資源，又稱(chēng)作目標(biāo)（target）。 主客體的關(guān)系是相對(duì)的。

授權(quán)（Authorization）規(guī)定主體可以對(duì)客體執(zhí)行的動(dòng)作，(例如讀、寫(xiě)、執(zhí)行或拒絕訪問(wèn))。

訪問(wèn)控制規(guī)定了主體對(duì)客體訪問(wèn)的限制，并在身份識(shí)別的基礎(chǔ)上，根據(jù)身份對(duì)提出資源訪問(wèn)請(qǐng)求加以控制。在訪問(wèn)控制中，客體是指資源（文件、設(shè)備、信號(hào)量）等；主體是指對(duì)客體訪問(wèn)的活動(dòng)資源，主體是訪問(wèn)的發(fā)起者，通常是指進(jìn)程、程序或用戶。訪