韓金森，鄒 濤，張龍軍

(武警工程大學(xué)通信工程系，陜西西安 710086)

信息化在國防、內(nèi)衛(wèi)、經(jīng)濟建設(shè)、科教等領(lǐng)域應(yīng)用廣泛，在方便了人們的生產(chǎn)生活同時也伴隨著隱患。網(wǎng)絡(luò)的開放共享給不法之徒可乘之機;數(shù)字信息的易復(fù)制傳輸給了盜版侵權(quán)者可能;終端智能移動給了竊密者機會。對此，學(xué)者們提出了一系列的技術(shù)方案，如信息隱藏技術(shù)、數(shù)字水印技術(shù)、叛逆追蹤技術(shù)等。叛逆追蹤是用其算法來追蹤盜版內(nèi)容或者盜版密鑰的來源，屬于追根溯源防止事態(tài)嚴(yán)重化的主動防御補救手段。該方向興起于20世紀(jì)末［1］，是涉及通信學(xué)、密碼學(xué)、計算機科學(xué)等自然學(xué)科和法律、經(jīng)濟等社會學(xué)科的交叉專業(yè)。在現(xiàn)有發(fā)展物聯(lián)網(wǎng)環(huán)境下，網(wǎng)絡(luò)更加開放共享，加密信息廣泛通過不安全的信道接收或者分發(fā)廣播。研究叛逆追蹤技術(shù)廣泛應(yīng)用于物聯(lián)網(wǎng)環(huán)境下的信息數(shù)據(jù)融合、在線數(shù)據(jù)庫以及基于網(wǎng)絡(luò)的數(shù)據(jù)分發(fā)等領(lǐng)域顯得尤為重要。

1 叛逆追蹤概念

叛逆追蹤(Traitor Tracing)，就是要實現(xiàn)在廣播發(fā)布加密信息過程中，至少找出一個和叛逆行為有關(guān)的叛逆者或盜版者，并提供檢舉的證據(jù)和終止其解密的能力和權(quán)力。在研究叛逆追蹤技術(shù)中，主要分兩個方向:基于數(shù)字水印和基于廣播加密。后者相對于前者具有更強的應(yīng)用性和擴展性，通過學(xué)者長期的努力，從算法和機制的角度，加以有針對性的改進而滿足防抵賴、抗共謀、黑盒追蹤、低銷高效、支持多服務(wù)等更多要求。方案原理結(jié)構(gòu)，如圖1所示。

圖1 叛逆者追蹤方案的基本模型

(1)系統(tǒng)初始化。主要包括安全參數(shù)設(shè)置、用戶注冊(數(shù)目為n)和密鑰(加密公鑰e和n個用戶私鑰d)生成。

(2)加密。就是數(shù)據(jù)發(fā)布者(DS)一方面利用會話密鑰s把明文P對稱加密成密文塊CB，另一方面利用系統(tǒng)公鑰e將會話密鑰s加密成使能塊EB。

(3)解密。就是授權(quán)用戶利用獲得的解密密鑰di解密使能塊EBi以獲得會話密鑰s，再利用獲得的會話密鑰s解密密文塊CBi以獲得明文塊Pi。

(4)追蹤。就是DS根據(jù)盜版數(shù)據(jù)或者解碼器對具有叛逆行為的授權(quán)用戶進行追蹤，并提交叛逆證據(jù)。

2 典型的叛逆追蹤方案

對于叛逆追蹤技術(shù)的研究起于20世紀(jì)90年代，已有近20年歷程，但目前還仍處于比較初級的階段:一般的系統(tǒng)和網(wǎng)絡(luò)采用傳統(tǒng)的信息安全手段，顯然不適合日益變化的網(wǎng)絡(luò)攻擊行為;通過理論研究雖然提出了各種新的方案，但對于實際不同的應(yīng)用環(huán)境缺乏針對性。當(dāng)前對于構(gòu)造TTS的理論研究，主要基于RSA、ECC、CRT、T－函數(shù)等幾類數(shù)學(xué)困難性問題構(gòu)造的方案，雖然能夠彌補不同程度的不足，但是幾類方案都有各自的利弊和有進一步發(fā)展改進的空間。

2.1 基于RSA的TTS

2.1.1 方案的產(chǎn)生和描述

基于大整數(shù)分解困難性假設(shè)的RSA算法是目前最為成熟的公鑰加密算法，利用其構(gòu)造的TTS的基本模型如圖1所示，具有一定的典型性。2004年，MA利用RSA算法構(gòu)造了一種叛逆追蹤方案［2］，可以追蹤到所有的叛逆者。但該方案中設(shè)計的會話密鑰固定不變，一旦泄露，盜版者就可以構(gòu)造無法被追蹤的盜版解碼器。2006年，MA通過引入一個隨機數(shù)來克服上述問題［3］，描述如下:

(1)系統(tǒng)初始化。注冊用戶n，選擇大整數(shù)M=pq和向量E={e1，e2，…，en}，隨機生成n維布爾向量v(i)，計算解密密鑰參數(shù)di，分發(fā)解密密鑰DKi。

(2)加密。密文C={Pe1modM，Pe2modM，…，PenmodM}。

2.1.2 方案分析

基于RSA的TTS安全性，依賴于大整數(shù)分解的困難性假設(shè)，密文被直接成功破解的概率可以被忽略，而且對叛逆者的追蹤具有普遍性，更新撤銷用戶對其他合法用戶不影響，另外，可以根據(jù)效率和安全性需求選擇是否采用會話密鑰，具有一定的靈活性;但實際工程應(yīng)用中，產(chǎn)生大整數(shù)和大素數(shù)的條件受到限制，而且隨著科技發(fā)展，計算速度大幅提高，密鑰長度要得到加強，整個TTS過程中各部分的算法代價有待于提高，如表1所示。

表1 傳統(tǒng)基于RSA的TTS過程代價

2.2 基于ECC雙線性映射的TTS

2.2.1 方案的產(chǎn)生和描述

ECC(橢圓曲線密碼體制)的安全性依賴于EC上加法循環(huán)群中(Bilinear Decision Diffie－Hellman，BDDH)問題求解困難性，且可證明安全。2002年Mitsynari首次構(gòu)造了基于ECC的TTS［4］。其雙線性映射可由SEC(超奇異橢圓曲線)上的Weil配對或Tate配對來構(gòu)造［5］，再引入 OPE［6］(不經(jīng)意多項式估值協(xié)議)以構(gòu)造非對稱性的TTS。方案［7］描述如下:

(1)系統(tǒng)初始化。在加法循環(huán)群G1的元中隨機選擇P、Q，在Zq上選取秘密多項式g(x)和秘密數(shù)b∈，得到公開密鑰K，確定解密密鑰K。pi

(2)加密。選擇會話密鑰s，M→Es(M)，DS廣播密文(H，Es(M))。

(3)解密。用戶i計算s，明文M=Ds(Es(M))。

(4)追蹤。在乘法循環(huán)群G2的元中隨機選擇R，輸入解密密鑰為Ki的盜版解碼器，輸出測試消息Ci，確定匹配的用戶i為叛逆者。

2.2.2 方案分析

基于ECC雙線性映射的TTS方案，具備ECC安全性可證明，結(jié)構(gòu)簡單、構(gòu)造巧妙、所耗代價小等特點;在相同安全等級情況下，密鑰長度和運算速度都較RSA有明顯的優(yōu)勢。此類構(gòu)造的方案密鑰被破解以及黑盒追蹤在語義上都是可證明安全的，但基于ECC的方案需要通過引入OPE等方法來實現(xiàn)無第三方參與的非對稱性和防誣陷性，改進黑盒追蹤能力和可撤銷性，使得其應(yīng)用性更強。

2.3 基于CRT的TTS

2.3.1 方案的產(chǎn)生和描述

CRT(中國剩余定理)是中國數(shù)學(xué)史上的偉大發(fā)現(xiàn)，相對于傳統(tǒng)的大整數(shù)分解和循環(huán)群上離散對數(shù)問題的復(fù)雜大模指數(shù)運算受到資源的限制，SUN利用CRT構(gòu)造了只使用幾個大模數(shù)的模乘法運算，只有二次復(fù)雜度的公鑰密碼算法［8］。利用CRT公鑰算法構(gòu)造的TTS的安全性基于兩個數(shù)學(xué)難題，算法過程僅使用大模數(shù)乘法，效率較高［9］。方案描述如下:

(2)加密。選擇對稱加密函數(shù)E、解密函數(shù)D和哈希函數(shù)H，周期更新會話密鑰s，計算密文塊信息E(ks)=E(H(s))，使能塊信息報頭C=(z1，z2)。

(3)解密。由使能信息報頭解密會話密鑰ks;用會話密鑰解密密文塊。

(4)追蹤(黑盒追蹤)。計算并輸入盜版解碼器測試密文C'=(z'1，z'2)，判斷輸出結(jié)果非x，判定j為叛逆者。

2.3.2 方案分析

基于CRT的方案安全性依賴于兩大數(shù)學(xué)難題，被攻擊安全性同樣可被證明，而且該算法只使用了大模數(shù)的模乘法運算和低階矩陣和向量的乘法運算，在計算速度和開銷上更具優(yōu)勢，也保持了良好的黑盒追蹤和可撤銷特性。

2.4 基于單圈T－函數(shù)的TTS

2.4.1 方案的產(chǎn)生和描述

單圈 T － 函數(shù)，2002 年，Klimov 和 Shamir［10］提出后以其高效性被廣大學(xué)者關(guān)注，先后應(yīng)用于分組密碼［11］、流密碼［12］和 Hash 函數(shù)［13］。經(jīng)過數(shù)年的努力，ZHANG利用其獨特的性能，構(gòu)造了具有黑盒追蹤能力的 TTS［14］，描述如下:

2.4.2 方案分析

基于單圈T－函數(shù)的TTS算法簡單，追蹤的復(fù)雜度o(m)=o(logu)，黑盒追蹤效率與密鑰數(shù)無關(guān)而只與桶的數(shù)量有線性關(guān)系，其安全性基于單圈函數(shù)的個數(shù)而不能以不可忽略的概率直接破解，P=lm/22n－1－n。另外，該TTS實現(xiàn)的硬件構(gòu)成簡單，有利于量產(chǎn)和規(guī)?；?/p>

3 技術(shù)難點和發(fā)展方向

叛逆追蹤研究，是信息安全方向上研究價值高、生存周期長的課題，雖然已經(jīng)歷近20年，但日益發(fā)展的信息安全技術(shù)要求叛逆追蹤的研究也要與時俱進，由理論性研究向應(yīng)用性研究過渡，這就需要基于各種算法的TTS能夠更好地發(fā)揮各自的優(yōu)點，趨利避短地應(yīng)用到特定的環(huán)境和系統(tǒng)中。基于RSA的TTS，存在密鑰長度的耐用性差、計算復(fù)雜度高的不足，但是該方案的安全性強，適合用于配置高、計算能力強的環(huán)境;基于ECC的TTS，計算效率比RSA的高，受到了很多學(xué)者關(guān)注，經(jīng)過文獻［15］等的改進，具有了多服務(wù)、防誣陷的功能;基于CRT的TTS，速度和開銷上都具有明顯的優(yōu)勢，甚至達到對稱加密的速度對于應(yīng)用環(huán)境的運算速度要求不高;基于單圈T－函數(shù)的TTS，算法只有模2加，硬件只用移位寄存器，生產(chǎn)成本低。近年來對于叛逆追蹤的研究，幾乎都要求實現(xiàn)黑盒追蹤，安全而可行，下一步研究的方向，要面臨向?qū)嶋H應(yīng)用的過渡，側(cè)重于多服務(wù)、抗重放、防抵賴易構(gòu)建、能量產(chǎn)的研究。

4 結(jié)束語

介紹了叛逆追蹤技術(shù)的概念和原理，分析了基于不同數(shù)學(xué)難解問題的幾種方案。學(xué)者們能利用密碼算法的安全性構(gòu)造叛逆追蹤方案，在確保完成準(zhǔn)確追蹤的基礎(chǔ)上，重點考慮運算速度和追蹤效率，實現(xiàn)黑盒追蹤、可撤銷、抗重放、防抵賴等良好性質(zhì)，逐步從理論向?qū)嶋H應(yīng)用過渡。在進入物聯(lián)網(wǎng)時代的機遇，叛逆追蹤技術(shù)的應(yīng)用將帶來更安全的信息服務(wù)。

［1］BENNY C，AMOS F，MONI N，et al.Tracing traitors［J］.IEEE Trans on Inform Theory，2000，46:893 －910.

［2］馬華，曹正文.基于RSA加密算法的叛逆追蹤方案［J］.西安電子科技大學(xué)學(xué)報:自然科學(xué)版，2004，31(4):611－613.

［3］馬華，楊波.改進的基于修改RSA的叛逆者追蹤方案［J］.西安電子科技大學(xué)學(xué)報:自然科學(xué)版，2006，33(3):422－424.

［4］MITSUNARI S，SAKAI R，KASAHARA M.A new traitor tracing［J］.IEICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，2002，E85－A(2):481－484.

［5］BONEH D，F(xiàn)RANKLIN M.Identity based encryption from the weil pairing［C］.Proc.of The 21st Annual International Cryptology Conference on Advances in Cryptology.London.UK:Springer－Verlag，2001:213 －229.

［6］NAOR M，PINKAS B.Oblivious Transfer and Polynomial E-valuation［C］.NY，USA:Proc.of the 31st Annual ACM Symposium on Theory of Computing，1999:245 －254.

［7］呂錫香，張衛(wèi)東，楊文峰.基于雙線性映射的非對稱公鑰叛逆者追蹤［J］.計算機工程，2009，35(3):4 －6.

［8］孫秀娟，金民鎖，姜文彪.基于CRT的公密碼算法應(yīng)用研究［J］.重慶科技學(xué)院學(xué)報:自然科學(xué)版，2010，12(6):162－164.

［9］張學(xué)軍，王東勇，曾智勇，等.一種新的具有附加特性的叛逆者追蹤方案［J］.西安電子科技大學(xué)學(xué)報，2007，34(2):274－278.

［10］KLIMOV A，SHAMIR A.A new class of Invertible mappings［J］.LNCS，2002(2523):470 －483.

［11］KLIMOV A.Applications of t－ functions in cryptography［D］.The State of Israel: Weizmann Institute of Science，2005.

［12］ALEXANDER K，ADI S.New cryptographic primitives based on multiword t－ functions［J］.LNCS，2004(3017):1 －15.

［13］KLIMOV A，SHAMIR A.Cryptographic applications of tfunctions［J］.LNCS，2003(3006):248 － 261.

［14］張玉麗，蔡慶軍.一個高效的基于單圈T－函數(shù)的叛徒追蹤方案［J］.計算機工程，2009，45(11):97 －98.

［15］張學(xué)軍，周利華，王育民.改進的基于雙線性映射叛逆者追蹤方案［J］.北京郵電大學(xué)學(xué)報，2006，29(6):17－20.