基于双线性映射的公钥叛逆者追踪吕锡香1,杨波2,裴昌幸1(11西安电子科技大学综合业务网理论与关键技术国家重点实验室,陕西西安710071;21华南农业大学信息学院,广东广州510640)摘要:基于椭圆曲线上Weil配对理论提出一种新的叛逆者追踪方案,利用Weil配对的双线性特性并结合简单多项式在方案中实现了以前方案所不具有的密钥托管,使得方案具有全程托管功能,允许托管代理用一个简单的密钥解密任意公开钥所加密的密文,有利于系统管理者管理整个系统,也有利于有关部门对整个行业实施监管.在同等安全级别下,相对于传统基于有限域上离散对数问题的叛逆者追踪,该方案在效率上占有相当优势.关键词:叛逆者追踪;广播加密;电子版权保护中图分类号:TP911.22文献标识码:A文章编号:100122400(2006)0620935204Public2keytraitortracingbasedonthebilinearmapLΒXi2xiang1,YANGBo2,PEIChang2xing1Abstract:AnewtraitortracingschemeisproposedbyusingtheWeilpairinginellipticcurves.TheproposedschemeshowsthattheWeilpairingenablesustoaddaglobalescrowcapabilitytothetraitortracingsystem.Asingleescrowkeyenablesthedecryptionofciphertextsencryptedunderanypublickey,whichisessentialforthesystemmanagertomanagetheglobalsituation.Theauthoritiescanalsosupervisetheentiremarketandforbidthespreadofbadinformationwiththeglobalescrowcapability.Inaddition,withthesamesecurity,thisscheme,whoseoperationsareonellipticcurves,ismoreefficientthanthepreviousschemesbasedonthediscrete-logproblemoverthegroupG.当大规模的数字产品通过广播信道分发给授权用户时,一般情况下,数据都是以加密的方式分发并且只有授权用户才能解密,这时数据提供者会给每个授权用户提供一个包含解密密钥的硬件或软件解码器.但是,这种加密不能阻止一些授权用户(叛逆者)将他们的解密密钥泄露给非授权的用户(盗版者).为了解决这一难题,Chor和Fiat等在1994年提出了叛逆者追踪的概念并且给出了一种叛逆者追踪方案,用以阻止授权用户泄漏其解密密钥.其基本的指导思想是让所有的用户秘密钥都不相同,并且使得每一个分发过的秘密钥都能够追踪到特定解码器的最初拥有者,这相当于在用户的解密密钥里加入了指纹信息.在这之后,人们陆续设计了许多叛逆者追踪方案,包括对称的[1～3]、非对称的[4～7](能够提供不可否认性)、基于公钥密码体制的[2～4,7]等.这些陆续提出的一系列设计巧妙的方案确实逐步发现并解决了许多关键性的问题,例如,防共谋安全,不可否认性等等.近年来随着椭圆曲线上的双线性映射在密码学上的应用和发展,人们先后设计了几收稿日期:2006201210基金项目:国家自然科学基金项目(60372046);国家部委重点实验室基金项目资助(51436040204DZ0102)作者简介:吕锡香(19782),女,西安电子科技大学博士研究生1能允许托管代理用一个简单的密钥解密任意一个数字产品供应商所加密的密文,这一点有利于系统管理者管理整个系统,也有利于有关部门对整个行业的监管;(2)由于运算是在椭圆曲线E(Fq)上点的加法群中(其中q=pm,p是素数),在相同安全级别下运算效率提高很多.双线性映射1设G1和G2是两个阶为素数的群,并且在G1和G2中求解离散对数是困难的.那么存在这样的可计算双线性映射e:G1×G1→G2.实际中G1代表椭圆曲线E(Fq)上点的加法群(其中q=pm,p素数),而G2代表有限域乘法群的子群.此双线性映射有下面两个特性:(1)双线性对所有的P,Q∈G1有e(aP,bQ)=e(P,Q)ab;(2)非退化性如果P是G1的生成元,那么e(P,P)是G2的生成元.基于双线性映射的叛逆者追踪方案2方案具有全程托管功能.这种全程托管功能允许托管代理解密任意一个数字产品供应商所加密的密文,这一点有利于系统管理者管理整个系统,也有利于有关部门对整个行业的监管,禁止有害信息的传播.211初始化设G^是BDH参数产生器(双线性Diffie2Hellman参数产生器),给定秘密参数k∈Z+,系统管理员执行如下算法:(1)输入k执行算法G^以产生素数q、两个阶为q的群G1和G2、双线性映射e:G1×G1→G2.设P是群G1的生成元,R是G3的任意元,g=e(P,R).1(2)选择两个秘密随机数s∈Z3,b∈Z3和Zq上的一个秘密随机多项式F...