【導(dǎo)讀】導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。對(duì)本研究提供過(guò)幫。提下，學(xué)校可以公布論文的部分或全部?jī)?nèi)容。名技術(shù)的發(fā)展趨勢(shì)及現(xiàn)狀。自學(xué)MATLAB仿真語(yǔ)言，并用MATLAB對(duì)某種典型的數(shù)字簽名進(jìn)行仿真，對(duì)其安全性能指標(biāo)進(jìn)行分析。特點(diǎn)及其在保密通信領(lǐng)域的應(yīng)用。展，己經(jīng)成為密碼學(xué)的重要研究熱點(diǎn)之一。目前國(guó)內(nèi)對(duì)于橢圓曲線公鑰的快速實(shí)現(xiàn)、智能卡應(yīng)用等研究較多。面，隨著網(wǎng)上交易的頻繁，這將成為今后研究的熱點(diǎn)。然而，在現(xiàn)有的研。究中它在進(jìn)行大型安全交易的電子商務(wù)領(lǐng)域中研究比較有限。和非對(duì)稱體制,并對(duì)二者進(jìn)行了對(duì)比，指出了公鑰加密體制的優(yōu)點(diǎn)所在；了其系統(tǒng)架構(gòu)，并對(duì)ECDSA數(shù)字簽名進(jìn)行了成功的仿真。

　　

【正文】 有限域 )2)(( 11 dqqGF ? 上選擇橢圓曲線 E39。并計(jì)算其階，根據(jù)此值，利用 Weil定 理計(jì)算該曲線在其擴(kuò)域 GF(q)上的階，若此階符合安全標(biāo)準(zhǔn)，我們?cè)僬仪€ E39。在域 GF(q)上的嵌入 E，則 E即為所需的安全橢圓曲線。 (4)方法四 首先給出具有安全條件的曲線階，然后構(gòu)造具有此階的橢圓曲線。 第 4 章 基于橢圓曲線的數(shù)字簽名 21 第 4 章 基于橢圓曲線數(shù)字簽名的實(shí)現(xiàn) 數(shù)字簽名 數(shù)字簽名能夠?qū)崿F(xiàn)電子文檔的辨認(rèn)和驗(yàn)證。數(shù)字簽名是傳統(tǒng)文件手寫(xiě)簽名 的模擬，能夠?qū)崿F(xiàn)用戶對(duì)電子形式存放的消息認(rèn)證。 數(shù)字簽名的目的是什么呢 ?簽名者要留下證據(jù)來(lái)證明他辦了這件事，所謂“白紙黑字”，親手寫(xiě)下的名字就是一個(gè)最好 的依據(jù)。在政治、軍事、外交等活 動(dòng)中簽署文件，商業(yè)活動(dòng)中鑒定契約、合同，以及日常生活中寫(xiě)信等，都是采用手寫(xiě)簽名或蓋印章的方式來(lái)起到認(rèn)證和鑒別的作用。兒百年來(lái)，用這種方式解決了許多復(fù)雜的問(wèn)題。隨著信息時(shí)代的到來(lái)，電子商務(wù)、辦公自動(dòng)化等數(shù)字化業(yè)務(wù)的興起，文件將不再是實(shí)實(shí)在在的物理實(shí)體，而是以電子形式進(jìn)行存儲(chǔ)和傳輸，傳統(tǒng)的手寫(xiě)簽名和印章方式己經(jīng)很難再適用，需要一種能夠?qū)﹄娮游?件進(jìn)行認(rèn)證的新的手段。 所謂數(shù)字簽名 ,是以電子化形式 ,使用密碼方法 ,在數(shù)字消息中嵌入一個(gè)秘密信息 ,以驗(yàn)證這個(gè)秘密信息是否正確來(lái)達(dá)到識(shí)別的目的。 它的實(shí)質(zhì)是一種密碼變換。數(shù)字簽名是認(rèn)證理論和密碼學(xué)研究的一個(gè)新課題 ,現(xiàn)在己經(jīng)是網(wǎng)絡(luò) 安全中最流行的一個(gè)話題 ]15,12[ 。數(shù)字簽名，要能起到認(rèn)證和識(shí)別的目的，至少 要達(dá)到以下要求 : (1)要求一 不可否認(rèn)性。簽名者事后不能否認(rèn)自己的簽名。 (2)要求二 可驗(yàn)證性。接收者能驗(yàn)證簽名，而任何其他人都不能偽造簽名。 (3)要求三 可仲裁性。當(dāng)雙方發(fā)生爭(zhēng)執(zhí)時(shí)，可以由一個(gè)公正的第三方出面解決爭(zhēng)端。 數(shù)字簽名方案一般包括三個(gè)過(guò)程 :系統(tǒng)的初始化過(guò)程、簽名產(chǎn)生過(guò)程和簽名驗(yàn)證過(guò)程。在系統(tǒng)的初 始化過(guò)程中要產(chǎn)生的數(shù)字簽名方案中用到的一切參數(shù)，有公開(kāi)的，也有秘密的。在簽名產(chǎn)生的過(guò)程中用戶利用給定的算法對(duì)消息產(chǎn)生 簽名，這種簽名過(guò)程可以公開(kāi)，也可以不公開(kāi)。在簽名驗(yàn)證過(guò)程中，驗(yàn)證者利用公開(kāi)驗(yàn)證算法對(duì)給定簽名的消息進(jìn)行驗(yàn)證，得出簽名的有效性。 數(shù)字簽名一般的工作流程是：信息的發(fā)送方首先通過(guò)運(yùn)行一個(gè)哈希函燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 22 數(shù) (hash function ]17[ )，對(duì)要發(fā)送的報(bào)文生成消息摘要，然后用自己的私鑰對(duì)這個(gè)消息 摘要生成數(shù)字簽名，將這個(gè)數(shù)字簽名和報(bào)文一起發(fā)送給接收方。接收方在收到后， 對(duì)數(shù)字簽名和報(bào)文進(jìn)行一定的運(yùn)算，通過(guò)判斷運(yùn)算結(jié)果就可以確認(rèn)發(fā)送方 和報(bào)文的真實(shí)性。 橢圓曲線代理簽名體制 主要參數(shù)的選擇 選取一個(gè)基域 qF ，一個(gè)定義在 qF 上的橢圓曲線 E 和 E 上一個(gè)為素?cái)?shù)階p 的 G 點(diǎn)， G 可以公開(kāi)。全局參數(shù)組為（ q， FR， a， b， G， n， h）。 密鑰的生成 （ 1）步驟一 選擇一個(gè)隨即整數(shù) ]1,1[, ?? ndd ii ； （ 2）步驟二 計(jì)算 GdQ ii ? ，若 iQ 的橫坐標(biāo)為 0，則返回（ 1）； （ 3）步驟三 實(shí)體的公鑰為 iQ ，私鑰為 id ； 這里，記原始簽名 A 和代理簽名 B 的公鑰和私鑰對(duì)為 ),)(,( 2211 dQdQ ，其中 GdQGdQ 2211 , ?? 。 代理簽名協(xié)議 （ 1） 委托過(guò)程 步驟一： A 隨即選取一個(gè)整數(shù) ]1,1[ ?? nk ； 步驟二：計(jì)算 ；ndrddnkGK m o d),(m o d 121 ?? 步驟三： A 計(jì)算 BKkKd ）秘密的發(fā)給并將（ , 111 ?? ?? ； 第 4 章 基于橢圓曲線的數(shù)字簽名 23 步驟四： B 驗(yàn)證等式 步驟五： B 計(jì)算 221 Qd???? （ 2） 簽名過(guò)程 步驟一： B 隨即選取一個(gè)整數(shù) ]1,1[ ?? nk ； 步驟二：計(jì)算 ndrGdnkGK m o d)。,(m o d 1111 ??? ； 步驟三： B 計(jì)算 )(1 mSHAe? ； 步驟四：計(jì)算 nrdeks m o d)( 11 ?? ? ，如果 s=0，則返回（ *）；式中（ r,s,K）就是 B對(duì)消息 m的簽名。 （ 3） 簽名過(guò)程 222 KKQv ????? 計(jì)算 ),()( 211 ddrvsGeX ??? ? ；若 X=0，則拒絕這個(gè)簽名；否則計(jì)算ndv mod1? ，當(dāng)且僅當(dāng) rv?1 時(shí)接受這個(gè)簽名。 其正確性可由下面算式證明： 安全性分析 ]13[ ： nKKQnk K GGdnGkKdGm o d*m o dm o d)(1111???????rddGkeGkeGrGrekeGrsGervsGeGGdkKdGGdGdkGKGdKKQv????????????????????????????),()())(()()((21111111122222222222????燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 24 （ 1）基本的不可偽造性 在該代理簽名協(xié)議 ]12[ 中， B雖然得 到 K 和 1? ，但是他不能推算出 1d ，這是由于從 K 不能得到 k，因此不能獲得 1d ，從而無(wú)法偽造 A 的簽名。 （ 2）代理簽名的不可偽造性 由于只有 B 知道（ ? ， K），因?yàn)橹挥?B能生成有效的代理簽名，甚至 A 都不能偽造該代理簽名。 （ 3）代理簽名的可區(qū)分性 代理簽名是由 (r， s， K)三部分組成，因此很容易將代理簽名和原始簽名區(qū)分開(kāi)。同時(shí)由于在簽名過(guò)程中 用到了各自的公鑰，很容易與他人的代理簽名區(qū)分開(kāi)。 （ 4）不可抵賴性 由于任何人都無(wú)法偽造 A 的普通數(shù)字簽名，所以不能否認(rèn)他的有效的普通數(shù)字簽名。同樣，除了 B 以外，任何人都不能偽造B 的代理簽名，所以 B 也不能否認(rèn)一個(gè)有效的代理數(shù)字簽名。 （ 5）可識(shí)別性 在本協(xié)議中，如果 A 在向 B 發(fā)送 ( 1? K)時(shí)候，將 K 和B 的身份保存在一起，那么當(dāng) A 看到一個(gè)有效的代理簽名 (r， s， K)的時(shí)候，就可以通過(guò) K 確認(rèn) B 的身份。 （ 6）密碼依賴性 在該協(xié)議中， 1? 是 A 密鑰 1d 的函數(shù)， ? 是 A 的密鑰 1d 和 B 的密鑰 2d 的函數(shù)，即它依賴于 1d 和 2d 。 （ 7）可注銷(xiāo)性 A 如果想注銷(xiāo) B 擁有的代理簽名 ? ，那么 A 可以公布K 不再有效，從而 B 所生成的所有代理簽名隨之失效。 橢圓曲線數(shù)字簽名的計(jì)算機(jī)實(shí)現(xiàn) 橢圓曲線數(shù)字簽名方案的建立 A為簽名方，即為發(fā)送方， B為驗(yàn)證方，即為接收方： (1)步驟一 用戶 A選定一個(gè) Hash函數(shù)。 (2)步驟二 用戶 A建 立橢圓曲線域參數(shù) T=(p， a， b， Qn， h)，根據(jù)情況選擇適當(dāng)安全強(qiáng) 度的密鑰數(shù)據(jù)長(zhǎng)度； (3)步驟三 用戶 B通過(guò)可靠的方式獲得 A所選擇的 Hash函數(shù)和建立的橢圓曲線域參數(shù) T。 第 4 章 基于橢圓曲線的數(shù)字簽名 25 橢圓曲線數(shù)字簽名算法 Input：待簽名消息 m； Output：對(duì)待簽名消息 M的數(shù)字簽名 S為整數(shù)對(duì) (r,s)； Actions： 選擇一 臨時(shí) FCC密鑰對(duì) (k,R)，其中 ),( RR yxR? 與域參數(shù) T相關(guān)；令 ifnxr R ，)(mod? r=0,return to step 1；計(jì)算待簽名的 hash值 H=Hash(M)；將 H換成整數(shù) e；計(jì)算： ))(m o d(1 nrdeks A?? ? ； If s=0,return to step 1。 Output： S=(r,s)為數(shù)字簽名。 橢圓曲線驗(yàn)證算法 驗(yàn)證方 B驗(yàn)證從簽名方 A發(fā)來(lái)的數(shù)字簽名是否正確，從而判斷接收到的消 息是否真實(shí)或?qū)Ψ绞欠駷檎鎸?shí) 的實(shí)體。 Input:首先輸入 待驗(yàn)證的數(shù)字消息 M，然后， A對(duì)消息 M產(chǎn)生的數(shù)字簽名S=(r， s)。 Output： 如果判斷簽名為 U對(duì)數(shù)字消息 M的簽名，則 output=“ valid” , 否則 output=“ invalid” Actions: 步驟一 If ]1,1[, ?? nsr ,output=invalid， stop； 步驟二 計(jì)算待簽名的 hash值， H=Hash(M)； 步驟三 將 H換成整數(shù) e； 步驟四 計(jì)算 )(mod11 nesu ?? )(mod12 nrsu ?? ； 步驟五 計(jì)算 QAuGuyxR RR 21),( ??? ， If R=0， output “invalid”and stop； 步驟六 另 )(mod nxv R? ； 步驟七 比較 v和 r， if v=r,output=“valid”； if rv? ,output=“invalid”。 燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 26 橢圓曲線數(shù)字簽名方案及仿真實(shí)現(xiàn) 根據(jù) ECDSA 的原理 ]14[ ，我們用 C 語(yǔ)言開(kāi)發(fā)了二元域 上的應(yīng)用程序。下面給出了 ECDSA方案的簽名流程圖（圖 41）和驗(yàn)證流程圖（圖 42）。 圖 41 ECDSA 算法簽名流程圖 圖 42 ECDSA 算法驗(yàn)證簽名流程圖 根據(jù)流程圖，我們以 NIST 推薦的橢圓曲線為例，編程實(shí)現(xiàn) ECDSA 的Y N N Y 計(jì)算 ),( 11 yxkG? 和 )(mHe? )(mod1 qexr ?? 輸出簽名 計(jì)算 )(m od ndrks ?? 計(jì)算 )(mod1 nexr ?? 判定 r=0 隨 機(jī)或者偽隨 機(jī)數(shù) k s=0 A 1,1 ??? nsr N Y N Y N 計(jì)算 ),( 11 yxrQsGX ??? 計(jì)算 )(mHe? 接受簽名 拒絕簽名 )(mod11 qexr ?? 根據(jù)接收到的（ m,r,s） X=0 Check rr?1 Y 第 4 章 基于橢圓曲線的數(shù)字簽名 27 簽名算法及驗(yàn)證過(guò)程。由于篇幅有限，這里只列出重要的參數(shù)和結(jié)果。 主要參數(shù)如下。 （密文） m： 163 位有限域； FR： Gaussion Normal Basis,T=4； A： 0x00 00000000 00000000 00000000 00000000 00000001； B： 0x00 00000000 00000000 00000000 00000000 00000001； XG ： 0x02 FE13C053 7BBCl1AC AA07D793 DE4E6D5E 5C94EEE8； YG ： 0x02 89070FB0 5D38FF58 321F2E8O 0536D538 CCDAA3D9； N ： 0x04 00000000 00000000 000201O8 A2EOCCOD 99F8A5EF； H： 2； 其中 A， B， XG， YG， N， H為 ECC簽名系統(tǒng)參數(shù) ,可 以根據(jù)情況設(shè)置。 FR2約簡(jiǎn)多項(xiàng)式為： 1)( 367163 ????? xxxxxf 私鑰： Ox00x5584d4bf0x7562818e 0x97eda7b0x85626bde 0x5689e56c； 公鑰： 0x3 0x4c6750fd 0xa319d548 0x89ae53d2 0x9ae4a5bl 0x898c949d0x7 0x3c409530 0xld297132 0x5la04080 0xb6ffe820 0xlca09450； 簽名 : 437352739857664o0635793O43549692756158435592O6632358259431O21O854879224414194207883244929923159093。 橢圓曲線數(shù)字簽名密鑰對(duì)生成、對(duì)消息文件簽 名以及驗(yàn)證簽名的過(guò)程(見(jiàn)圖 41 和圖 42)該程序都采 用 163 位推薦橢圓曲線 ,目前可按受的安全強(qiáng)度為 112 位 ,所以它的安 全性是足夠的。 橢圓曲線加密體制的安全性分析 基于模數(shù)運(yùn)算的整數(shù)因式分解問(wèn)題和離散對(duì)數(shù)問(wèn)題都存在亞指數(shù)時(shí)間復(fù)雜度的通 用算法。目前采用最快的算法計(jì)算這兩類(lèi)問(wèn)題所需的時(shí)間復(fù)雜度 為： }))ln ( lnln)1(1( e x p { ppOO ? （ 41） 燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 28 其中 P為模的大小。對(duì)于橢圓曲線離散對(duì)數(shù)問(wèn)題，雖然也可以使用對(duì)一般群都有效的 baby— step— gi— ant— s