汪希仁，孫戰(zhàn)輝，祝永霞

（1 新疆軍區(qū)政治部秘書群聯(lián)處新疆烏魯木齊830042）

（2 烏魯木齊民族干部學(xué)院新疆烏魯木齊830002）

1 引言

閾下信道[1]，也稱潛信道，最早是由G.J.Simmons于1978年提出的。閾下信道可以提供很多有價值的應(yīng)用，但同時它的存在也為信息安全構(gòu)成了挑戰(zhàn)，犯罪分子可以利用該信道從事危害國家安全的非法活動等。因此，封閉閾下信道是閾下信道研究的另一個重要方面。在實際應(yīng)用中，通過檢測的方法來發(fā)現(xiàn)并阻止閾下信道的使用是比較困難的。封閉閾下信道之所以困難，除了一直沒有找到理想封閉模型外，其特點決定它的安全性是無條件的和計算上不可破的。到目前為止，學(xué)術(shù)界對完全封閉閾下信道還沒形成定論。目前的封閉閾下信道較好的密碼通信協(xié)議是讓看守參與密碼協(xié)議的執(zhí)行，使發(fā)方無法嵌入閾下消息，從而實現(xiàn)對閾下信道的封閉。研究表明，ECDSA中不僅存在寬帶閾下信道，也存在窄帶閾下信道，并且，利用M iracl大數(shù)庫，在平衡傳輸信息容量與簽名時間的條件下，窄帶閾下信道在橢圓曲線數(shù)字簽名中可以被有效利用[2]。目前的封閉方案都是對DSA類簽名的封閉性研究[3-6]，而對ECDSA封閉性研究很少。ECDSA是基于橢圓曲線離散對數(shù)上的簽名，其封閉方案有自己的獨特性。基于此，本文提出了一種新的封閉ECDSA閾下信道方案。該方案令看守參與簽名的生成,但沒有偽造簽名的能力,從而在保證簽名者的簽名權(quán)力的前提下,實現(xiàn)了對因隨機會話密鑰而引入閾下信道的完全封閉。

2 封閉閾下信道理論模型

目前的閾下信道封閉模型主要分為兩類[7]：由公正方產(chǎn)生真隨機數(shù)的封閉閾下信道模型和監(jiān)督方參與的封閉閾下信道模型。

2.1 由公正方產(chǎn)生真隨機數(shù)的封閉閾下信道模型

圖1 無監(jiān)督方封閉閾下信道模型

該模型是由公正的第三方（如政府部門）或者真隨機數(shù)發(fā)生器來生成真隨機數(shù)封閉閾下信道的。每次簽名時，簽名者只能使用無關(guān)的第三方或者真隨機數(shù)發(fā)生器產(chǎn)生的真隨機數(shù)作為會話密鑰。避免了發(fā)送者選擇會話密鑰的可能，保證了會話密鑰的隨機性，從而封閉了閾下信道。

2.2 監(jiān)督者參與的封閉閾下信道模型

圖2 監(jiān)督者參與的封閉閾下信道模型

該模型中，簽名者和監(jiān)督者共同“合作”生成簽名隨機數(shù)，同時必須滿足最終會話密鑰的隱私性和隨機性[8]。在簽名隨機數(shù)產(chǎn)生的協(xié)商過程中，簽名者和監(jiān)督者都應(yīng)該保證在簽名完成前無法預(yù)知對方產(chǎn)生的隨機數(shù)，即保證自己產(chǎn)生的隨機數(shù)的隱秘性，并要求在簽名完成時能對對方的簽名隨機數(shù)進行驗證。在簽名過程中，簽名者和監(jiān)督者能相互監(jiān)督，以保證不存在欺騙行為，最終簽名由監(jiān)督者生成。因此，根據(jù)該模型，簽名者和監(jiān)督者能在公平的狀態(tài)下協(xié)商會話密鑰，并共同完成簽名，既保證了簽名隨機數(shù)的隱秘性和隨機性，又保證了簽名的隨機性和安全性，從而封閉了閾下信道。

3 封閉ECDSA閾下信道方案介紹

ECDSA是基于橢圓曲線離散對數(shù)上的簽名，其封閉方案有自己的獨特性。眾所周知，會話密鑰的隱私性和隨機性是封閉閾下信道成功與否的關(guān)鍵，因此，在新設(shè)計方案中,我們令看守W arden參與簽名的生成,并且使W arden沒有偽造簽名的能力,從而在保證簽名者的簽名權(quán)力的前提下,實現(xiàn)了對信道的完全封閉。

其中 為有限域（ 的特征為p），q為有限域元素的個數(shù)；

FR為有限域中元素的表示方法(用多項式表示或正規(guī)基表示)；

封閉ECDSA閾下信道方案如下：

假設(shè)通信雙方為Alice和Bob，看守為W arden。，首先W arden秘密選取2個大數(shù)，滿足然后協(xié)議執(zhí)行如下：

4 方案的安全性分析

令 k=k'k"， 則 最 終 的 簽 名，這和普通的ECDSA簽名沒區(qū)別，因此除了對看守之外第三者是安全的?？偨Y(jié)起來，主要有以下3種情況：

情 況 1. 看 守 W arden 在 第 3 步 試 圖 通 過破解'。這相當于有橢圓曲線上的離散對數(shù)問題，是不可行的；

5 方案的封閉性分析

下面從封閉寬帶信道、窄帶閾下信道、失敗終止式窄帶閾下信道和布谷鳥信道四種信道逐一來說明該方案的封閉性。

與簽名者Alice和接收者Bob共享其私鑰dA試圖建立寬帶閾下信道。他將閾下信息作為進行簽名，但由于接收者Bob不知道看守的會話密鑰k"的值，也就無法從中計算出k'，因此成功封閉了寬帶閾下信道。

簽名者Alice如果想建立失敗-終止信道，必須以(r,s)為載體。從協(xié)議中看出，盡管Alice可以得到但對一無所知。顯然，在不知道 情況下計算簽名（r,s）是不可能的。因此，Alice由于不能控制而不能建立窄帶閾下信道，包括1比特的失敗-終止信道。

在第1步，W arden選擇隨機數(shù)k"和β 向Alice承諾。由于W arden不知道k'的值，因此他無法通過第3步來控制r的值。如果第3步W arden試圖改變了承諾的k"，就必須找到一個k"，滿足這在計算上是基于橢圓曲線離散問題的。而假如看守W arden沒有使用 ，即第1步生成的第4步Alice利用可以檢測到是否使用了因此W arden也無法建立“布谷鳥”信道。

需要說明的是，該協(xié)議要求k'k"不能重復(fù)使用，因為第二次使用該信道時，Alice或看守W arden由于掌握首次簽名部分信息能有建立窄帶閾下信道的可能。

6 結(jié)束語

該方案令看守參與簽名的生成,確保會話密鑰的隨機性，封閉了窄帶和寬帶閾下信道；但看守由于沒有偽造簽名的能力,從而實現(xiàn)了對布谷鳥信道的封閉；從而在保證簽名者的簽名權(quán)力的前提下,簽名由看守最終生成，成功阻止簽名者生成失敗終止式信道。同時，該協(xié)議完成僅需要發(fā)送者和看守之間進行三次交互，而且都是數(shù)乘運算，因此協(xié)議通信量小，實現(xiàn)簡單，可以說以很小的代價實現(xiàn)了對因隨機會話密鑰而引入閾下信道的完全封閉。

[1]G.J.Simmons.The Prisoner’s Channel and the Sublim inal Channel[C],Proceedings of CRYPYO’83.Plenum Press,1984:51- 67.

[2]張秋余,孫戰(zhàn)輝.橢圓曲線數(shù)字簽名中閾下信道通信研究[J].計算機應(yīng)用,201030(1):196- 197

[3]祁明,隆益民,卓光輝.封閉閾下信道的若干新型簽名方案[J].計算機工程與應(yīng)用,2000(6):22- 24.

[4]朱有根.抗閾下信道的盲簽名方案[J].寧波大學(xué)學(xué)報（理工版）,2002,15(2):62- 63.

[5]董慶寬,張串絨,肖國鎮(zhèn).數(shù)字簽名中的閾下信道封閉協(xié)議[J].西安電子科技大學(xué)學(xué)報（自然科學(xué)版）,2004,31(1):87- 90.

[6]張彤,楊波,王育民李真富.封閉閾下信道的若干方法[J].通信學(xué)報,2002,23(4):17- 21.

[7]李恕海,王育民.封閉閾下信道的理論模型[J].中山大學(xué)學(xué)報，2004，43suppl(2):34- 37.

[8]謝瑜華.閾下信道封閉和檢測技術(shù)研究[D].長沙:湖南大學(xué),2009:27- 29.