手机银行数字签名实现方案

手机银行数字签名实现方案中国工商银行股份有限公司山东省分行 李顺吉 张昆 刘伟

普通数字签名广泛应用于银行的各类系统中，例如网上银行客户可以用Ｕ盾对缴费信息进行数字签名，以确保信息的完整性、保密性、不可否认性。但是手机银行则不同，受硬件环境的约束更加严格：不够强大的ＣＰＵ、较小的内存，电池功耗受限等特点使其运算能力较低，不同输入设备使用的Ｕ盾类硬件设备接口也无法统一。各大银行目前均没有实现支持所有型号手机的数字签名系统，而普通口令卡因为安全性有限从而限制了支付额度。笔者根据手机银行特点，在基于身份的数字签名的基础上，结合门限密钥共享思想，将身份签名体制中的私钥进行拆分，提出无需证书的新型手机银行数字签名方案，使得手机银行客户仅通过口令即可对信息进行数字签名。

一、签名方案背景知识及系统参数介绍

1.基于椭圆曲线的密码系统

首先介绍循环群这一数学概念：一个非空集合Ｇ在二元运算乘法下满足结合律（对任意属于Ｇ的元素ａ、ｂ、ｃ都有（ａ＊ｂ）＊ｃ＝ａ＊（ｂ＊ｃ））；存在单位元ｅ（任意属于Ｇ的元素ａ都有ｅ＊ａ＝ａ＊ｅ＝ａ）；任意属于Ｇ的元素ａ均有逆元（存在属于Ｇ的元素ｂ，使ａ＊ｂ＝ｅ）；Ｇ中的某个元素ｇ通过与自身的＊运算生成了Ｇ中的所有元素，ｇ记为生成元，这样的代数系统记为循环群。例如：任取素数ｑ，小于等于ｑ的正整数构成循环群，１为单位元，循环群中任意非单位元ｘ均可作为生成元，对１≤ｉ≤ｑ，ｘｉ（ｍｏｄ　ｑ）的值恰好就是循环群中的所有元素。

ｑ为素数，方程ｙ２＝ｘ３＋ａｘ＋ｂ（ｍｏｄ　ｑ）的所有整数解（ｘ，ｙ）记为椭圆曲线上的点。下面的小写字母全部代表整数，大写字母代表椭圆曲线上的点。对点Ｐ及整数ｍ＜ｑ，存在另一点Ｑ满足点乘运算为Ｑ＝ｍＰ，存在另一点Ｒ满足点加运算Ｒ＝Ｐ　＋Ｑ。椭圆曲线模素数的整数解在点加和点乘运算下均构成循环群，点加循环群记为Ｇ。简单地说，ｌ为一小正整数，合适的ｑ元素下，ｙ２＝ｘ３＋ａｘ＋ｂ（ｍｏｄ　ｑｌ）的部分整数解也形成循环群，其点乘循环群记为Ｖ，则存在映射ｅ：Ｇ×Ｇ－＞Ｖ记为双线性映射。双线性映射满足：①双线性性：　对任意Ｇ上的Ｐ，Ｑ，Ｒ有ｅ（Ｐ，Ｑ＋Ｒ）　＝ｅ（Ｐ，Ｑ）＊ｅ（Ｐ，Ｒ），ｅ（Ｐ＋Ｑ，Ｒ）＝ｅ（Ｐ，Ｒ）＊ｅ（Ｑ，Ｒ），由此可知，对所有Ｇ上点Ｐ，Ｑ和所有ａ，ｂ≤ｑ，满足ｅ（ａＰ，ｂＱ）＝ｅ（Ｐ，Ｑ）ａｂ；　②非退化性：　存在Ｇ上点Ｐ，Ｑ使得ｅ（Ｐ，Ｑ）不等于Ｖ的单位元；③可计算性：　对任意Ｇ上点Ｐ，Ｑ，存在着高效算法来计算ｅ（Ｐ，Ｑ）。笔者可以用超奇异椭圆曲线上的ｗｅｉｌ对或者改造的Ｔａｔｅ对构造双线性映射。当ｑ　＞２１６０时，上述椭圆曲线系统满足下列密码学性质。

离散对数问题：给定Ｇ上点Ｐ，Ｑ，找出整数ｎ，使得Ｑ＝ｎＰ是困难的。

ＣＤＨ问题：给定三元组（Ｐ，ａＰ，ｂＰ），对整数ａ，ｂ，找出ａｂＰ。

ＤＤＨ问题：给定四元组（Ｐ，ａＰ，ｂＰ，ｃＰ），整数ａ，ｂ，ｃ，　ｃ＝ａｂ（ｍｏｄ　ｑ）是否成立。

ＧＤＨ问题：这是一类ＣＤＨ问题难解，但是ＤＤＨ问题易解的问题。

ＧＤＨ群：ＣＤＨ难解，ＤＤＨ易解的群。上述椭圆曲线上的点就是ＧＤＨ群。

2.基于身份的数字签名方案

１９８４年，ＲＳＡ创始人之一、以色列院士Ｓｈａｍｉｒ为简化电子邮件的证书管理提出了基于身份的密码体制，不使用证书，用户公钥就是用户的某个不可改变的标识，如电子邮件地址、手机号码等，私钥由管理中心通过用户公钥求出。由于公钥的选取范围大大缩小，使得根据公钥计算出的私钥范围相应减小，这一思想的有效方案在２００１年后才相继提出，大都基于椭圆曲线，并采纳为国际标准，下面介绍一个具体的ＳＯＫ数字签名方案，其签名方法简单，便于理解。

（１）系统初始化模块：设Ｇ和Ｖ分别是阶为ｑ的椭圆曲线上的加法循环群和乘法循环群，ｅ：Ｇ×Ｇ－＞Ｖ，Ｐ为Ｇ的随机生成元。定义Ｈａｓｈ函数Ｈ：｛０，１｝－＞Ｇ，选［１．．ｑ］上随机数　作为系统主密钥，令Ｑ＝ｓＰ，系统公钥（Ｇ，Ｖ，ｑ，ｅ，Ｐ，Ｑ，Ｈ）。　

（２）用户初始化模块：ＩＤ为经过管理中心确认的用户身份信息，管理中心计算　Ｂ＝Ｈ（ＩＤ），　Ａ＝ｓ＊Ｂ，用户私钥　Ａ，用户公钥即为身份信息　ＩＤ。

（３）签名产生模块：消息ｍ为二进制串，选　［１．．ｑ］上随机数ｒ，令Ｕ＝Ａ＋ｒＨ（ｍ），　Ｗ＝ｒＰ（Ｕ，Ｗ）为签名信息。笔者记此模块为ｓｉｇｎ（Ａ，ｒ，ｍ）。

（４）　签名验证模块：验证者收到ｍ和签名（Ｕ，Ｗ），当且仅当该等式成立时接受签名：

ｅ（Ｐ，Ｕ）＝ｅ（Ｑ，Ｈ（ＩＤ））＊ｅ（Ｗ，Ｈ（ｍ））。

数字签名的安全性证明可以采用归约的方法，笔者此前曾证明如果ＳＯＫ方案能够被成功伪造，那么上述ＧＤＨ问题也可以被成功破解，但是ＧＤＨ问题已被证明难解的，那么可以得出ＳＯＫ方案是安全的。显然，这一体制和上述算法可以有效地利用到手机银行中，使用客户的手机号作为公钥ＩＤ。但是，私钥的存储仍然需要硬件设备，下面笔者介绍门限密钥共享体制。

3.（t，n）门限密钥共享体制

设ｔ，ｎ为正整数且ｔ≤ｎ，（ｔ，ｎ）门限密钥共享体制是一种ｎ个受托人共享一个主密钥ｓ的方法。密钥管理中心设计算法产生ｎ个子密钥并秘密分发给ｎ个受托人管理，其中ｔ个以上受托人可以根据自己的子密钥联合计算出主密钥ｓ。目前大都使用多项式差值方法：（１）管理中心选取ｎ个非零整数ｘｉ（１≤ｉ≤ｎ）分配给ｎ个受托人，可以公开。（２）管理中心秘密选取ｔ－１个不公开的整数ａ１，ａ２…ａｔ－１，令ｆ（ｘ）＝ｓ＋ａ１＊ｘ１＋…＋ａｔ－１＊ｘ（ｔ－１），计算ｙｉ＝ｆ（ｘｉ　）其中（１≤ｉ≤ｎ），管理中心秘密将　ｙｉ分配给　ｐｉ。（３）ｔ个受托人若恢复主密钥ｓ，提供可信中心ｙｉｓ＝ｆ（ｘｉｓ　）　（１≤ｊ≤ｔ），方程组∑ａｋ ｘｋ ｙ　有唯一解（ｓ，ａ１，ａ２…ａｔ－１），因为ｆ（ｘ）的次数最多为ｔ－１。可信中心通过方程组得到主密钥ｓ。门限数字签名方法不需要计算出主密钥，仅需ｔ个受托人提供各自签名信息即可。

笔者稍作改变，银行方为每位真实客户生成一个虚拟客户，同真实客户共享由真实客户公钥计算出的客户私钥，形成（２，２）门限数字签名体制。真实客户用自己设置的口令作为私钥，管理中心根据真实客户公钥和口令信息计算出虚拟客户私钥并秘密发送给银行，客户对信息做数字签名后，虚拟客户在银行可信中心进行二次签名。目前没有可行的基于身份的门限数字签名方法能够满足上述要求，因为这需要参与者的私钥是主动且是随机生成的。但笔者的方法是只有两个受托人的情况，可以将（２，２）门限数字签名体制退化到另外一种形式：仅需多项式　ｙ１＝ｆ（ｘ１　）＝ｓ＋ａ１＊ｘ１，　ｙ２＝ｆ（ｘ２　）＝ｓ＋ａ１＊ｘ２，真实客户的口令信息是主动生成的，设为ｗ＝ｓ＋ａ１＊ｘ１。令ｘ１＝１，ｘ２＝－１，ｗ＝ｓ＋ａ１。以ＳＯＫ签名为例，手机银行客户首先运行２．３　签名产生模块中的ｓｉｇｎ（ｓ＋ａ１　，ｒ，ｍ），银行端虚拟客户然后运行２．３　签名产生模块中的　ｓｉｇｎ（ｓ－ａ１　，ｒ，ｍ），二次签名所产生的结果等同于运行２．３　签名产生模块中的ｓｉｇｎ（ｓ，ｒ，ｍ）。根据循环群性质，椭圆曲线所构成群上固定二点的加减法仅能计算出唯一的值，客户手机号是确定的，银行方虚拟客户私钥是确定的，因此客户对自己的私钥所产生的签名不可否认。因为笔者简单的密钥分拆后所做的两次签名与原方案的签名是同构的，如果笔者的方案被攻击，则可以用相同的方法攻击原方案，所以ｔ－１

Ｋ－０

ｉｓ

ｉｓ