手机银行数字签名实现方案中国工商银行股份有限公司山东省分行 李顺吉 张昆 刘伟普通数字签名广泛应用于银行的各类系统中，例如网上银行客户可以用Ｕ盾对缴费信息进行数字签名，以确保信息的完整性、保密性、不可否认性。

但是手机银行则不同，受硬件环境的约束更加严格：不够强大的ＣＰＵ、较小的内存，电池功耗受限等特点使其运算能力较低，不同输入设备使用的Ｕ盾类硬件设备接口也无法统一。

各大银行目前均没有实现支持所有型号手机的数字签名系统，而普通口令卡因为安全性有限从而限制了支付额度。

笔者根据手机银行特点，在基于身份的数字签名的基础上，结合门限密钥共享思想，将身份签名体制中的私钥进行拆分，提出无需证书的新型手机银行数字签名方案，使得手机银行客户仅通过口令即可对信息进行数字签名。

一、签名方案背景知识及系统参数介绍1.基于椭圆曲线的密码系统首先介绍循环群这一数学概念：一个非空集合Ｇ在二元运算乘法下满足结合律（对任意属于Ｇ的元素ａ、ｂ、ｃ都有（ａ＊ｂ）＊ｃ＝ａ＊（ｂ＊ｃ））；存在单位元ｅ（任意属于Ｇ的元素ａ都有ｅ＊ａ＝ａ＊ｅ＝ａ）；任意属于Ｇ的元素ａ均有逆元（存在属于Ｇ的元素ｂ，使ａ＊ｂ＝ｅ）；Ｇ中的某个元素ｇ通过与自身的＊运算生成了Ｇ中的所有元素，ｇ记为生成元，这样的代数系统记为循环群。

例如：任取素数ｑ，小于等于ｑ的正整数构成循环群，１为单位元，循环群中任意非单位元ｘ均可作为生成元，对１≤ｉ≤ｑ，ｘｉ（ｍｏｄ　ｑ）的值恰好就是循环群中的所有元素。

ｑ为素数，方程ｙ２＝ｘ３＋ａｘ＋ｂ（ｍｏｄ　ｑ）的所有整数解（ｘ，ｙ）记为椭圆曲线上的点。

下面的小写字母全部代表整数，大写字母代表椭圆曲线上的点。

对点Ｐ及整数ｍ＜ｑ，存在另一点Ｑ满足点乘运算为Ｑ＝ｍＰ，存在另一点Ｒ满足点加运算Ｒ＝Ｐ　＋Ｑ。

椭圆曲线模素数的整数解在点加和点乘运算下均构成循环群，点加循环群记为Ｇ。

简单地说，ｌ为一小正整数，合适的ｑ元素下，ｙ２＝ｘ３＋ａｘ＋ｂ（ｍｏｄ　ｑｌ）的部分整数解也形成循环群，其点乘循环群记为Ｖ，则存在映射ｅ：Ｇ×Ｇ－＞Ｖ记为双线性映射。

双线性映射满足：①双线性性：　对任意Ｇ上的Ｐ，Ｑ，Ｒ有ｅ（Ｐ，Ｑ＋Ｒ）　＝ｅ（Ｐ，Ｑ）＊ｅ（Ｐ，Ｒ），ｅ（Ｐ＋Ｑ，Ｒ）＝ｅ（Ｐ，Ｒ）＊ｅ（Ｑ，Ｒ），由此可知，对所有Ｇ上点Ｐ，Ｑ和所有ａ，ｂ≤ｑ，满足ｅ（ａＰ，ｂＱ）＝ｅ（Ｐ，Ｑ）ａｂ；　②非退化性：　存在Ｇ上点Ｐ，Ｑ使得ｅ（Ｐ，Ｑ）不等于Ｖ的单位元；③可计算性：　对任意Ｇ上点Ｐ，Ｑ，存在着高效算法来计算ｅ（Ｐ，Ｑ）。

笔者可以用超奇异椭圆曲线上的ｗｅｉｌ对或者改造的Ｔａｔｅ对构造双线性映射。

当ｑ　＞２１６０时，上述椭圆曲线系统满足下列密码学性质。

离散对数问题：给定Ｇ上点Ｐ，Ｑ，找出整数ｎ，使得Ｑ＝ｎＰ是困难的。

ＣＤＨ问题：给定三元组（Ｐ，ａＰ，ｂＰ），对整数ａ，ｂ，找出ａｂＰ。

ＤＤＨ问题：给定四元组（Ｐ，ａＰ，ｂＰ，ｃＰ），整数ａ，ｂ，ｃ，　ｃ＝ａｂ（ｍｏｄ　ｑ）是否成立。

ＧＤＨ问题：这是一类ＣＤＨ问题难解，但是ＤＤＨ问题易解的问题。

ＧＤＨ群：ＣＤＨ难解，ＤＤＨ易解的群。

上述椭圆曲线上的点就是ＧＤＨ群。

2.基于身份的数字签名方案１９８４年，ＲＳＡ创始人之一、以色列院士Ｓｈａｍｉｒ为简化电子邮件的证书管理提出了基于身份的密码体制，不使用证书，用户公钥就是用户的某个不可改变的标识，如电子邮件地址、手机号码等，私钥由管理中心通过用户公钥求出。

由于公钥的选取范围大大缩小，使得根据公钥计算出的私钥范围相应减小，这一思想的有效方案在２００１年后才相继提出，大都基于椭圆曲线，并采纳为国际标准，下面介绍一个具体的ＳＯＫ数字签名方案，其签名方法简单，便于理解。

（１）系统初始化模块：设Ｇ和Ｖ分别是阶为ｑ的椭圆曲线上的加法循环群和乘法循环群，ｅ：Ｇ×Ｇ－＞Ｖ，Ｐ为Ｇ的随机生成元。

定义Ｈａｓｈ函数Ｈ：｛０，１｝－＞Ｇ，选［１．．ｑ］上随机数　作为系统主密钥，令Ｑ＝ｓＰ，系统公钥（Ｇ，Ｖ，ｑ，ｅ，Ｐ，Ｑ，Ｈ）。

　（２）用户初始化模块：ＩＤ为经过管理中心确认的用户身份信息，管理中心计算　Ｂ＝Ｈ（ＩＤ），　Ａ＝ｓ＊Ｂ，用户私钥　Ａ，用户公钥即为身份信息　ＩＤ。

（３）签名产生模块：消息ｍ为二进制串，选　［１．．ｑ］上随机数ｒ，令Ｕ＝Ａ＋ｒＨ（ｍ），　Ｗ＝ｒＰ（Ｕ，Ｗ）为签名信息。

笔者记此模块为ｓｉｇｎ（Ａ，ｒ，ｍ）。

（４）　签名验证模块：验证者收到ｍ和签名（Ｕ，Ｗ），当且仅当该等式成立时接受签名：ｅ（Ｐ，Ｕ）＝ｅ（Ｑ，Ｈ（ＩＤ））＊ｅ（Ｗ，Ｈ（ｍ））。

数字签名的安全性证明可以采用归约的方法，笔者此前曾证明如果ＳＯＫ方案能够被成功伪造，那么上述ＧＤＨ问题也可以被成功破解，但是ＧＤＨ问题已被证明难解的，那么可以得出ＳＯＫ方案是安全的。

显然，这一体制和上述算法可以有效地利用到手机银行中，使用客户的手机号作为公钥ＩＤ。

但是，私钥的存储仍然需要硬件设备，下面笔者介绍门限密钥共享体制。

3.（t，n）门限密钥共享体制设ｔ，ｎ为正整数且ｔ≤ｎ，（ｔ，ｎ）门限密钥共享体制是一种ｎ个受托人共享一个主密钥ｓ的方法。

密钥管理中心设计算法产生ｎ个子密钥并秘密分发给ｎ个受托人管理，其中ｔ个以上受托人可以根据自己的子密钥联合计算出主密钥ｓ。

目前大都使用多项式差值方法：（１）管理中心选取ｎ个非零整数ｘｉ（１≤ｉ≤ｎ）分配给ｎ个受托人，可以公开。

（２）管理中心秘密选取ｔ－１个不公开的整数ａ１，ａ２…ａｔ－１，令ｆ（ｘ）＝ｓ＋ａ１＊ｘ１＋…＋ａｔ－１＊ｘ（ｔ－１），计算ｙｉ＝ｆ（ｘｉ　）其中（１≤ｉ≤ｎ），管理中心秘密将　ｙｉ分配给　ｐｉ。

（３）ｔ个受托人若恢复主密钥ｓ，提供可信中心ｙｉｓ＝ｆ（ｘｉｓ　）　（１≤ｊ≤ｔ），方程组∑ａｋ ｘｋ ｙ　有唯一解（ｓ，ａ１，ａ２…ａｔ－１），因为ｆ（ｘ）的次数最多为ｔ－１。

可信中心通过方程组得到主密钥ｓ。

门限数字签名方法不需要计算出主密钥，仅需ｔ个受托人提供各自签名信息即可。

笔者稍作改变，银行方为每位真实客户生成一个虚拟客户，同真实客户共享由真实客户公钥计算出的客户私钥，形成（２，２）门限数字签名体制。

真实客户用自己设置的口令作为私钥，管理中心根据真实客户公钥和口令信息计算出虚拟客户私钥并秘密发送给银行，客户对信息做数字签名后，虚拟客户在银行可信中心进行二次签名。

目前没有可行的基于身份的门限数字签名方法能够满足上述要求，因为这需要参与者的私钥是主动且是随机生成的。

但笔者的方法是只有两个受托人的情况，可以将（２，２）门限数字签名体制退化到另外一种形式：仅需多项式　ｙ１＝ｆ（ｘ１　）＝ｓ＋ａ１＊ｘ１，　ｙ２＝ｆ（ｘ２　）＝ｓ＋ａ１＊ｘ２，真实客户的口令信息是主动生成的，设为ｗ＝ｓ＋ａ１＊ｘ１。

令ｘ１＝１，ｘ２＝－１，ｗ＝ｓ＋ａ１。

以ＳＯＫ签名为例，手机银行客户首先运行２．３　签名产生模块中的ｓｉｇｎ（ｓ＋ａ１　，ｒ，ｍ），银行端虚拟客户然后运行２．３　签名产生模块中的　ｓｉｇｎ（ｓ－ａ１　，ｒ，ｍ），二次签名所产生的结果等同于运行２．３　签名产生模块中的ｓｉｇｎ（ｓ，ｒ，ｍ）。

根据循环群性质，椭圆曲线所构成群上固定二点的加减法仅能计算出唯一的值，客户手机号是确定的，银行方虚拟客户私钥是确定的，因此客户对自己的私钥所产生的签名不可否认。

因为笔者简单的密钥分拆后所做的两次签名与原方案的签名是同构的，如果笔者的方案被攻击，则可以用相同的方法攻击原方案，所以ｔ－１Ｋ－０ｉｓｉｓ具有保密性和完整性。

二、系统构架详解1. 手机银行客户初始化系统的基本功能手机银行客户初始化系统的基本功能包括：客户信息初始化、虚拟客户私钥生成和银行端虚拟客户私钥存储。

管理系统初始化模块：生成密钥管理中心的主公／私钥及其他相关信息。

虚拟客户私钥生成模块：密钥管理中心接收客户注册信息，根据客户提供的口令私钥和手机号公钥信息生成虚拟客户私钥并发送给为客户服务的银行。

银行端虚拟客户私钥存储模块：银行接收到虚拟客户私钥信息，进行存储。

这里，客户初次注册和修改注册运行过程相同。

（具体流程见图１、图２）2. 手机银行客户数字签名系统的基本功能手机银行客户初始化系统的基本功能包括：客户数字签名、虚拟客户二次数字签名和数字签名验证。

客户数字签名模块：客户录入口令私钥信息，手机银行进行数字签名。

虚拟客户二次数字签名模块：客户数字签名及手机号等信息发送到银行，银行计算中心找出对应的虚拟客户私钥，进行二次数字签名。

签名验证模块：银行计算中心用客户手机号、即公钥对最终数字签名做验证。

三 、系统流程及功能1.密钥管理中心系统初始化功能设Ｇ和Ｖ分别是阶为ｑ的椭圆曲线上的加法循环群和乘法循环群，Ｐ为Ｇ的随机生成元。

定义Ｈａｓｈ函数Ｈ：｛０，１｝－〉Ｇ，选［１…ｑ］上的随机数　作为密钥管理中心系统主密钥，令Ｑ＝ｓＰ，系统公钥（Ｇ，Ｖ，ｑ，ｅ，Ｐ，Ｑ，Ｈ）。

　2. 手机银行客户初始化流程及功能具体流程设计如图３所示。

（１）提供注册信息：用户将手机号及其它固定信息经银行确认后作为身份ＩＤ。

客户在不少于２～１６０范围（如１１个中文字符，一个中文字符可以确定１５位二进制代码）中随机选择口令，范围可以是键盘字符或中文字符，客户通过安全信道（网上银行等）将身份和口令信息发送到密钥管理中心。

密钥管理中心管理系统初始化模块虚拟客户私钥生成模块手机银行客户提供注册信息接收注册回执银行计算中心银行安全自助渠道虚拟客户私钥存储模块图1 手机银行客户初始化系统的架构图2 手机银行客户数字签名系统的架构手机银行客户客户签名模块无线通信渠道银行计算中心二次数字签名模块数字签名验证模块接收回执信息业务处理手机银行客户银 行密钥管理中心提供注册信息接收回执信息银行安全渠道虚拟私钥保存生成回执信息系统总初始化虚拟私钥生成图3 手机银行客户初始化处理流程相关功能（２）虚拟客户私钥生成模块功能：管理中心接收到客户注册信息后，将客户口令信息转换为１６０位客户私钥ｗ，计算Ｂ＝Ｈ（ＩＤ），Ａ＝ｓＢ，Ｃ＝Ａ－ｗＰ。

管理中心通过安全信道将Ｃ发送给银行。

（３）　虚拟客户私钥保存模块功能：银行为真实客户建立一个虚拟客户，将Ｃ等必要的虚拟客户信息记录在安全数据库中。

（４）　回执模块：银行将注册结果信息通过安全信道返回给手机银行客户，具体流程见图４。

曲线，椭圆曲线密码体制私钥短，仅需１６０位就能达到１０２４位ＲＳＡ相同的安全强度，大大降低了计算量，特别适用于ＣＰＵ不够强大、内存较小、电池功耗受限的无线便携设备。

在安全性上，从方案可以看出，客户私钥、签名的结构与ＳＯＫ方案是相同的，若攻击者从客户方伪造成功，那么他可以使用相同的方法伪造ＳＯＫ签名方案，确保了签名信息的保密性。

根据签名和验证算法，消息ｍ在传输过程中若有改动，验证中Ｈ（Ｍ｜｜ＩＤ）也会相应变化，无法通过验证算法，从而确保信息完整。