摘 要:將EIGamal公開密鑰方案的思想用于非對稱數(shù)字指紋體制的構(gòu)造，提出一種不使用一般的安全多方計(jì)算協(xié)議的非對稱數(shù)字指紋體制，該方案不僅具有較好的實(shí)現(xiàn)效率，還增加了用戶的安全性，降低了發(fā)行商的風(fēng)險(xiǎn)，而且還能確定性地跟蹤叛逆者。

關(guān)鍵詞:EIGamal加密算法;數(shù)字簽名;數(shù)字指紋;數(shù)字水印

中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A

文章編號:1004-373X(2010)03-047-02

Asymmetric Digital Fingerprinting Scheme Based on EIGamal Encryption Algorithm

HE Shaofang

(Science College，Hu′nan Agricultural University，Changsha，410128，China)

Abstract:An asymmetric digital fingerprinting scheme based on the idea of EIGamal encryption algorithm that avoids using the general multiparty computations protocol is introduced.Furthermore，this scheme has rather efficient in implementation.It increases the safety of customs，reduces the risk of distributors and allows efficient deterministic traitor tracing.

Keywords:EIGamal encryption algorithm;digital sign;digital fingerprinting;digital watermark

0 引 言

數(shù)字水印技術(shù)和數(shù)字指紋技術(shù)是近幾年發(fā)展起來的新型數(shù)字版權(quán)保護(hù)技術(shù)，數(shù)字水印是將相同的標(biāo)識嵌入到同一個(gè)電子數(shù)據(jù)中，而數(shù)字指紋是將不同的標(biāo)識嵌入到同一個(gè)電子數(shù)據(jù)中，數(shù)字指紋代表與用戶(購買者)或與該次購買過程有關(guān)的信息。當(dāng)發(fā)行商發(fā)現(xiàn)有被非法分發(fā)的授權(quán)信息時(shí)，可以根據(jù)其中所嵌的指紋信息追蹤出非法用戶。但是，傳統(tǒng)的對稱數(shù)字指紋體制[1，2]不能對非法分發(fā)者的行為進(jìn)行確定，因?yàn)榘l(fā)行商也可以分發(fā)帶有某用戶指紋的拷貝以對該用戶進(jìn)行陷害。針對此問題，Pfitzmann和SchunterDI引入了非對稱指紋的概念[3]，當(dāng)獲得了非法拷貝時(shí)，發(fā)行商可以跟蹤出非法分發(fā)者并能向?qū)徟姓咛峁┳C據(jù)，此概念一經(jīng)提出便引起了研究者的廣泛關(guān)注[4-10]。本文基于EIGamal加密算法的思想構(gòu)造了一種數(shù)字指紋體制。由于該體制主要采用的是對稱密碼體制中的加解密算法，而密鑰的計(jì)算只需進(jìn)行簡單的指數(shù)取模再求乘積即可得到，因此具有較好的實(shí)現(xiàn)效率。另外，本方案的密鑰由M(發(fā)行商)隨機(jī)選取，增加了叛逆者陷害其他無辜用戶的難度。由于用戶的個(gè)人解密密鑰對M不可見，M無法陷害無辜用戶，這增加了用戶的安全性。再者，本方案引入了第三方，避免使用一般的安全多方計(jì)算協(xié)議，并且較完全可信的第三方而言，降低了對其信任度的要求，從而降低了M的風(fēng)險(xiǎn)。

1 基于離散對數(shù)的EIGamal公開密鑰方案[11]

密鑰產(chǎn)生過程:任意選擇一個(gè)素?cái)?shù)q，g是Zp的一個(gè)生成元，再任意選擇一個(gè)小于q的隨機(jī)數(shù)x，計(jì)算y≡gxmod q，以(g，q，y)作為公開的密鑰匙，x作為秘密密鑰。

加密過程:設(shè)欲加密明文信息為m，隨機(jī)選擇一個(gè)與q-1互素的整數(shù)k，計(jì)算C1≡gk mod q，C2≡mgk mod q，密文為(C1，C2)。

解密過程:C2/Cx1 mod q。

2 基本方案描述

協(xié)議的參與實(shí)體有:發(fā)行商(M)、用戶(B)、指紋分發(fā)中心(FIC)、法官(J);基本協(xié)議有:初始化協(xié)議、帶指紋拷貝生成(即指紋嵌人)協(xié)議、跟蹤協(xié)議、審判協(xié)議。

2.1 初始化協(xié)議

所有的實(shí)體產(chǎn)生經(jīng)過認(rèn)證的公鑰和私鑰對及相應(yīng)的數(shù)字簽名機(jī)制(如用戶B的密鑰對為(pkB，skB)，相應(yīng)的簽名和驗(yàn)證函數(shù)為signskB，verpkB)，并且公開他們相應(yīng)的公鑰和簽名驗(yàn)證函數(shù)，各個(gè)實(shí)體之間的少量秘密信息傳遞可以通過該公鑰密碼體制進(jìn)行，M將要發(fā)售的拷貝分成l個(gè)子塊blockj，j=1，2，…，l。

2.2 指紋嵌入?yún)f(xié)議

(1) 設(shè)用戶B是第i個(gè)向M和FIC提出購買申請的用戶，則用戶B(或稱用戶i)提交自己經(jīng)過認(rèn)證的公鑰，對i用pkB簽名得到signB，然后將(i，signB)發(fā)送給FIC。

(2) FIC收到用戶i發(fā)來的(i，signB)后，檢驗(yàn)簽名，若通過，則為用戶i隨機(jī)選取一個(gè)l×k階的矩陣A。

A=a11a12…a1k

a21a22…a2k

al1al2…alk

以A的各個(gè)行向量的元素(aj1，aj2，…，ajk)，j=1，2，…，l，為系數(shù)，在FG(q)(q為素?cái)?shù))上構(gòu)造l個(gè)多項(xiàng)式fj(x)=aj1+aj2x+…+ajkxk，j=1，2，…，l，設(shè)g是Zq的一個(gè)生成元，計(jì)算yj1=gaj1mod q，yj2=gaj2mod q，…，yjk=gajkmod q，j=1，2，…，l。

ej={q，g，yj1，yj2，…，yjk}，j=1，2，…，l，e={e1，e2，…，el}，FIC對e簽名得到signFIC，然后將(e，signFIC)發(fā)送給發(fā)行商M，同時(shí)對fj(i)簽名，然后將其連同簽名發(fā)送給用戶i，其中，fj(i)=aj1+aj2i+…+ajkik。

(3) 發(fā)行商M收到FIC發(fā)來的(e，signB，signFIC)后檢驗(yàn)FIC及用戶B的簽名，若通過，則M為用戶i秘密選取一組密鑰{sj}及一組隨機(jī)數(shù){rj}，j=1，2，…，l，將這組隨機(jī)數(shù)作為指紋分別嵌入子塊blockj，j=1，2，…，l中，得到拷貝pj，j=1，2，…，l，M選擇一個(gè)對稱密鑰密碼算法，用密鑰組{sj}對帶指紋的拷貝pj進(jìn)行加密，得到加密塊cipherj，j=1，2，…，l，再用密鑰{ej}將{sj}加密，生成hj(sj，rj)=(grj，sjyrjj1，yrjj2，…，yrjjk)mod q，M對(hj(sj，rj)，cipherj)簽名，得到signM，將((hj(sj，rj)，cipherj)，signM)發(fā)送給用戶i。

(4) 用戶i收到FIC經(jīng)過簽名的fj(i)及B發(fā)來的((hj(sj，rj)，cipherj)，signM)后，依次檢驗(yàn)FIC及B的簽名，若通過，則計(jì)算{sjyrjj1×(yrjj2)i×…×(yrjjk)ik}/(grj)fj(i)，得到解密密鑰組{sj}，用它將cipherj解密得到帶指紋的拷貝pj，j=1，2，…，l，最后將pj按順序組成有用的拷貝P。

2.3 跟蹤協(xié)議

M若發(fā)現(xiàn)非法拷貝Pfound，執(zhí)行相應(yīng)的跟蹤算法，從該拷貝中提取指紋，若提不出，則協(xié)議終止;否則提取出某一隨機(jī)數(shù)列{rj′}，j=1，2，…，l，M在銷售記錄中查找與之相等的{rj}，然后輸出相應(yīng)的pkB及{sj}，并將(({sj}，{rj}，j=1，2，…，l)，signB)作為證據(jù)。

2.4 審判協(xié)議

M將pkB及(({sj}，{rj}，j=1，2，…，l)，signB)提交給法官J，J用與pkB相應(yīng)的驗(yàn)證函數(shù)verpkB驗(yàn)證signB是否為B對i的簽名，若是則認(rèn)為用戶B是非法分發(fā)者，否則認(rèn)為B是無辜的。

3 正確性及安全性分析

3.1 正確性分析

命題:用戶i由收到的hj(sj，rj)，cipherj及fj(i)通過計(jì)算得到的密鑰組{sj}恰是M對拷貝塊pj加密用的密鑰。

證明:因?yàn)閥j1=gaj1mod q，yj2=gaj2mod q，…，yjk=gajkmod q，j=1，2，…，l



則:{sjyrjj1×(yrjj2)i×…×(yrjjk)ik}/(grj)fj(i)

={sj(gaj1)rj×(gaj2)rji×…×(gajk)rjik}/(grj)fj(i)

={sjgrj(aj1+aj2i+…+ajkik)}/(grj)fj(i)

={sjgrj#8226;fj(i)}/(grj)fj(i)=sj， j=1，2，…，l



3.2 安全性分析

(1) 發(fā)行商M的安全性

因?yàn)槊荑€組{sj}及隨機(jī)數(shù)組{rj}，j=1，2，…，l，都是發(fā)行商秘密隨機(jī)選取的，所以未授權(quán)用戶i無法偽造({sj}，{rj}，j=1，2，…，l)，這保證了不誠實(shí)用戶無法獲得電子數(shù)據(jù)，發(fā)行商的利益得到了保障。另外，M公開的只是其拷貝的加密版本，FIC獲得的只是用于解密的子密鑰，并未獲得原拷貝，這與完全利用可信的第三方比較，本文的方案減少了對可信方信任度的要求，這降低了M的風(fēng)險(xiǎn)，由于引入了第三方，這就避免了使用一般的安全多方計(jì)算協(xié)議[3]，更有助于在實(shí)際中的應(yīng)用。

(2) 用戶的安全性

一方面，用戶的個(gè)人解密密鑰fj(i)對發(fā)行商M是不可見的，因此，M想要陷害無辜用戶是不可能的。另一方面，對于用戶來說，由于密鑰組{sj}及隨機(jī)數(shù)組{rj}由M秘密選取，其他任一用戶都無法仿造({sj}，{rj}，j=1，2，…，l)，因此無法誣陷誠實(shí)用戶。

4 結(jié) 語

本文基于EIGamal加密算法的思想構(gòu)造了一種數(shù)字指紋體制。由于該體制主要采用的是對稱密碼體制中的加解密算法，而密鑰的計(jì)算只需進(jìn)行簡單的指數(shù)取模再求乘積即可得到，因此具有較好的實(shí)現(xiàn)效率。另外，本方案的密鑰由M隨機(jī)選取，增加了叛逆者陷害其他無辜用戶的難度。由于用戶的個(gè)人解密密鑰對M不可見，M無法陷害無辜用戶，這增加了用戶的安全性。再者，本方案引入了第三方FIC，避免使用一般的安全多方計(jì)算協(xié)議，并且較完全可信的第三方而言，降低了對其信任度的要求，從而降低了M的風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]Blakley G R，Meadows C，Prudy C B.Finger-printing Long Forgiving Messages[A].Advances in Cryptogogy-CRYPTO′85[C].Berlin，1985:180-189.

[2]Boneh D，Shaw J.Collusion-secure Fingerprinting for Digital Data[J].IEEE Trans.on Inform.Theory，1997(44):1 897-1 905.

[3]Pfitzmann B，Schunter M.Asymmetric Fingerprinting[A].Advances in Cryptology-EUROCRYPT′96[C].Berlin:Springer，1996:84-95.

[4]Pfitzmann B，Waidner M.Asymmetric Fingerprinting for Large Collusions[A].Proc.of the 4th ACM Conf.on Computer and Communications Security[C].Zurich:ACM Press，1997:151-160.

[5]Pfitzmann B，Waidner M.Anonymous Fingerprinting[A].

Advances in Cryptology-EUROCRYPT′ 97[C].Berlin:Springer，1997:88-102.

[6]Camenisch J.Efficient Anonymous Fingerprinting with Group Signatures[A].Advances in Cryptology-Asiacrypt 2000[C].Berlin:Springer，2000:415-428.

[7]Memon N，Wong P W.A Buyer-seller Water-marking Protocol[J].IEEE Trans.on Image Processing，2001，10(4):643-649.

[8]Domingo-Ferrer J.Anonymous Fingerprinting Based on Committed Oblivious Transfer[A].Public Key Cryptography′99[C].Berlin:Springer，1999:43-52.

[9]呂述望，王彥，劉振華.非對稱數(shù)字指紋技術(shù)[A].全國第四屆信息隱藏研討會(huì)論文集[C].北京:機(jī)械工業(yè)出版社，2002.

[10]Wang Y，Lu S W，Liu Z H.A New Asymmetric Fingerprinting Framework Based on Secret Sharing[A].Commucications and Multimedia Security[C].Dordrecht:Kluwer，2002:29-40.

[11]楊波.現(xiàn)代密碼學(xué)[M].北京:清華大學(xué)出版社，2007.