韩金森，邹 涛，张龙军

(武警工程大学通信工程系，陕西西安 710086)

信息化在国防、内卫、经济建设、科教等领域应用广泛，在方便了人们的生产生活同时也伴随着隐患。网络的开放共享给不法之徒可乘之机;数字信息的易复制传输给了盗版侵权者可能;终端智能移动给了窃密者机会。对此，学者们提出了一系列的技术方案，如信息隐藏技术、数字水印技术、叛逆追踪技术等。叛逆追踪是用其算法来追踪盗版内容或者盗版密钥的来源，属于追根溯源防止事态严重化的主动防御补救手段。该方向兴起于20世纪末［1］，是涉及通信学、密码学、计算机科学等自然学科和法律、经济等社会学科的交叉专业。在现有发展物联网环境下，网络更加开放共享，加密信息广泛通过不安全的信道接收或者分发广播。研究叛逆追踪技术广泛应用于物联网环境下的信息数据融合、在线数据库以及基于网络的数据分发等领域显得尤为重要。

1 叛逆追踪概念

叛逆追踪(Traitor Tracing)，就是要实现在广播发布加密信息过程中，至少找出一个和叛逆行为有关的叛逆者或盗版者，并提供检举的证据和终止其解密的能力和权力。在研究叛逆追踪技术中，主要分两个方向:基于数字水印和基于广播加密。后者相对于前者具有更强的应用性和扩展性，通过学者长期的努力，从算法和机制的角度，加以有针对性的改进而满足防抵赖、抗共谋、黑盒追踪、低销高效、支持多服务等更多要求。方案原理结构，如图1所示。

图1 叛逆者追踪方案的基本模型

(1)系统初始化。主要包括安全参数设置、用户注册(数目为n)和密钥(加密公钥e和n个用户私钥d)生成。

(2)加密。就是数据发布者(DS)一方面利用会话密钥s把明文P对称加密成密文块CB，另一方面利用系统公钥e将会话密钥s加密成使能块EB。

(3)解密。就是授权用户利用获得的解密密钥di解密使能块EBi以获得会话密钥s，再利用获得的会话密钥s解密密文块CBi以获得明文块Pi。

(4)追踪。就是DS根据盗版数据或者解码器对具有叛逆行为的授权用户进行追踪，并提交叛逆证据。

2 典型的叛逆追踪方案

对于叛逆追踪技术的研究起于20世纪90年代，已有近20年历程，但目前还仍处于比较初级的阶段:一般的系统和网络采用传统的信息安全手段，显然不适合日益变化的网络攻击行为;通过理论研究虽然提出了各种新的方案，但对于实际不同的应用环境缺乏针对性。当前对于构造TTS的理论研究，主要基于RSA、ECC、CRT、T－函数等几类数学困难性问题构造的方案，虽然能够弥补不同程度的不足，但是几类方案都有各自的利弊和有进一步发展改进的空间。

2.1 基于RSA的TTS

2.1.1 方案的产生和描述

基于大整数分解困难性假设的RSA算法是目前最为成熟的公钥加密算法，利用其构造的TTS的基本模型如图1所示，具有一定的典型性。2004年，MA利用RSA算法构造了一种叛逆追踪方案［2］，可以追踪到所有的叛逆者。但该方案中设计的会话密钥固定不变，一旦泄露，盗版者就可以构造无法被追踪的盗版解码器。2006年，MA通过引入一个随机数来克服上述问题［3］，描述如下:

(1)系统初始化。注册用户n，选择大整数M=pq和向量E={e1，e2，…，en}，随机生成n维布尔向量v(i)，计算解密密钥参数di，分发解密密钥DKi。

(2)加密。密文C={Pe1modM，Pe2modM，…，PenmodM}。

2.1.2 方案分析

基于RSA的TTS安全性，依赖于大整数分解的困难性假设，密文被直接成功破解的概率可以被忽略，而且对叛逆者的追踪具有普遍性，更新撤销用户对其他合法用户不影响，另外，可以根据效率和安全性需求选择是否采用会话密钥，具有一定的灵活性;但实际工程应用中，产生大整数和大素数的条件受到限制，而且随着科技发展，计算速度大幅提高，密钥长度要得到加强，整个TTS过程中各部分的算法代价有待于提高，如表1所示。

表1 传统基于RSA的TTS过程代价

2.2 基于ECC双线性映射的TTS

2.2.1 方案的产生和描述

ECC(椭圆曲线密码体制)的安全性依赖于EC上加法循环群中(Bilinear Decision Diffie－Hellman，BDDH)问题求解困难性，且可证明安全。2002年Mitsynari首次构造了基于ECC的TTS［4］。其双线性映射可由SEC(超奇异椭圆曲线)上的Weil配对或Tate配对来构造［5］，再引入 OPE［6］(不经意多项式估值协议)以构造非对称性的TTS。方案［7］描述如下:

(1)系统初始化。在加法循环群G1的元中随机选择P、Q，在Zq上选取秘密多项式g(x)和秘密数b∈，得到公开密钥K，确定解密密钥K。pi

(2)加密。选择会话密钥s，M→Es(M)，DS广播密文(H，Es(M))。

(3)解密。用户i计算s，明文M=Ds(Es(M))。

(4)追踪。在乘法循环群G2的元中随机选择R，输入解密密钥为Ki的盗版解码器，输出测试消息Ci，确定匹配的用户i为叛逆者。

2.2.2 方案分析

基于ECC双线性映射的TTS方案，具备ECC安全性可证明，结构简单、构造巧妙、所耗代价小等特点;在相同安全等级情况下，密钥长度和运算速度都较RSA有明显的优势。此类构造的方案密钥被破解以及黑盒追踪在语义上都是可证明安全的，但基于ECC的方案需要通过引入OPE等方法来实现无第三方参与的非对称性和防诬陷性，改进黑盒追踪能力和可撤销性，使得其应用性更强。

2.3 基于CRT的TTS

2.3.1 方案的产生和描述

CRT(中国剩余定理)是中国数学史上的伟大发现，相对于传统的大整数分解和循环群上离散对数问题的复杂大模指数运算受到资源的限制，SUN利用CRT构造了只使用几个大模数的模乘法运算，只有二次复杂度的公钥密码算法［8］。利用CRT公钥算法构造的TTS的安全性基于两个数学难题，算法过程仅使用大模数乘法，效率较高［9］。方案描述如下:

(2)加密。选择对称加密函数E、解密函数D和哈希函数H，周期更新会话密钥s，计算密文块信息E(ks)=E(H(s))，使能块信息报头C=(z1，z2)。

(3)解密。由使能信息报头解密会话密钥ks;用会话密钥解密密文块。

(4)追踪(黑盒追踪)。计算并输入盗版解码器测试密文C'=(z'1，z'2)，判断输出结果非x，判定j为叛逆者。

2.3.2 方案分析

基于CRT的方案安全性依赖于两大数学难题，被攻击安全性同样可被证明，而且该算法只使用了大模数的模乘法运算和低阶矩阵和向量的乘法运算，在计算速度和开销上更具优势，也保持了良好的黑盒追踪和可撤销特性。

2.4 基于单圈T－函数的TTS

2.4.1 方案的产生和描述

单圈 T － 函数，2002 年，Klimov 和 Shamir［10］提出后以其高效性被广大学者关注，先后应用于分组密码［11］、流密码［12］和 Hash 函数［13］。经过数年的努力，ZHANG利用其独特的性能，构造了具有黑盒追踪能力的 TTS［14］，描述如下:

2.4.2 方案分析

基于单圈T－函数的TTS算法简单，追踪的复杂度o(m)=o(logu)，黑盒追踪效率与密钥数无关而只与桶的数量有线性关系，其安全性基于单圈函数的个数而不能以不可忽略的概率直接破解，P=lm/22n－1－n。另外，该TTS实现的硬件构成简单，有利于量产和规模化。

3 技术难点和发展方向

叛逆追踪研究，是信息安全方向上研究价值高、生存周期长的课题，虽然已经历近20年，但日益发展的信息安全技术要求叛逆追踪的研究也要与时俱进，由理论性研究向应用性研究过渡，这就需要基于各种算法的TTS能够更好地发挥各自的优点，趋利避短地应用到特定的环境和系统中。基于RSA的TTS，存在密钥长度的耐用性差、计算复杂度高的不足，但是该方案的安全性强，适合用于配置高、计算能力强的环境;基于ECC的TTS，计算效率比RSA的高，受到了很多学者关注，经过文献［15］等的改进，具有了多服务、防诬陷的功能;基于CRT的TTS，速度和开销上都具有明显的优势，甚至达到对称加密的速度对于应用环境的运算速度要求不高;基于单圈T－函数的TTS，算法只有模2加，硬件只用移位寄存器，生产成本低。近年来对于叛逆追踪的研究，几乎都要求实现黑盒追踪，安全而可行，下一步研究的方向，要面临向实际应用的过渡，侧重于多服务、抗重放、防抵赖易构建、能量产的研究。

4 结束语

介绍了叛逆追踪技术的概念和原理，分析了基于不同数学难解问题的几种方案。学者们能利用密码算法的安全性构造叛逆追踪方案，在确保完成准确追踪的基础上，重点考虑运算速度和追踪效率，实现黑盒追踪、可撤销、抗重放、防抵赖等良好性质，逐步从理论向实际应用过渡。在进入物联网时代的机遇，叛逆追踪技术的应用将带来更安全的信息服务。

［1］BENNY C，AMOS F，MONI N，et al.Tracing traitors［J］.IEEE Trans on Inform Theory，2000，46:893 －910.

［2］马华，曹正文.基于RSA加密算法的叛逆追踪方案［J］.西安电子科技大学学报:自然科学版，2004，31(4):611－613.

［3］马华，杨波.改进的基于修改RSA的叛逆者追踪方案［J］.西安电子科技大学学报:自然科学版，2006，33(3):422－424.

［4］MITSUNARI S，SAKAI R，KASAHARA M.A new traitor tracing［J］.IEICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，2002，E85－A(2):481－484.

［5］BONEH D，FRANKLIN M.Identity based encryption from the weil pairing［C］.Proc.of The 21st Annual International Cryptology Conference on Advances in Cryptology.London.UK:Springer－Verlag，2001:213 －229.

［6］NAOR M，PINKAS B.Oblivious Transfer and Polynomial E-valuation［C］.NY，USA:Proc.of the 31st Annual ACM Symposium on Theory of Computing，1999:245 －254.

［7］吕锡香，张卫东，杨文峰.基于双线性映射的非对称公钥叛逆者追踪［J］.计算机工程，2009，35(3):4 －6.

［8］孙秀娟，金民锁，姜文彪.基于CRT的公密码算法应用研究［J］.重庆科技学院学报:自然科学版，2010，12(6):162－164.

［9］张学军，王东勇，曾智勇，等.一种新的具有附加特性的叛逆者追踪方案［J］.西安电子科技大学学报，2007，34(2):274－278.

［10］KLIMOV A，SHAMIR A.A new class of Invertible mappings［J］.LNCS，2002(2523):470 －483.

［11］KLIMOV A.Applications of t－ functions in cryptography［D］.The State of Israel: Weizmann Institute of Science，2005.

［12］ALEXANDER K，ADI S.New cryptographic primitives based on multiword t－ functions［J］.LNCS，2004(3017):1 －15.

［13］KLIMOV A，SHAMIR A.Cryptographic applications of tfunctions［J］.LNCS，2003(3006):248 － 261.

［14］张玉丽，蔡庆军.一个高效的基于单圈T－函数的叛徒追踪方案［J］.计算机工程，2009，45(11):97 －98.

［15］张学军，周利华，王育民.改进的基于双线性映射叛逆者追踪方案［J］.北京邮电大学学报，2006，29(6):17－20.