周紹午

（廣州杰賽科技股份有限公司，廣東 廣州 510310）

一種基于身份的密碼體制的保密電話方案

周紹午

（廣州杰賽科技股份有限公司，廣東 廣州 510310）

針對有線和無線通信中話音保密技術(shù)實現(xiàn)及應(yīng)用困難的問題，采用基于身份的密碼體制（IBE）的信息安全技術(shù)構(gòu)建保密電話系統(tǒng)。通過對保密電話現(xiàn)狀及應(yīng)用需求的分析，結(jié)合IBE的特點對保密電話總體方案進行設(shè)計。針對系統(tǒng)中涉及的密碼算法進行比較和選取，對實際應(yīng)用管理綜合考慮和系統(tǒng)設(shè)計，實現(xiàn)一套具有系統(tǒng)架構(gòu)簡單、通信網(wǎng)絡(luò)適應(yīng)性強、應(yīng)用管理靈活、安全性高的保密電話系統(tǒng)方案。

基于身份的密碼體制保密電話密鑰管理分組加密

1　問題的提出

在傳統(tǒng)的有線和無線語音通信系統(tǒng)中，話音保密的實現(xiàn)和應(yīng)用的復(fù)雜性市場的持續(xù)需求的矛盾，一直以來都是亟待解決的問題。從國內(nèi)到國外，話音泄密事件層出不窮。有線電話、移動電話、集群對講機等系統(tǒng)都非常容易被使用各種手段進行竊聽，普通有線電話通過在電話網(wǎng)絡(luò)，通常為PSTN（Public Switched Telephone Network，公用電話交換網(wǎng)）的任何環(huán)節(jié)搭線即可實現(xiàn)竊聽；對于未加密的無線專網(wǎng)通信（如短波、超短波）的竊聽，只要打聽或者掃描到使用的頻點加上幾種有限的調(diào)制方式的設(shè)置即可進行竊聽[1]。即使是目前全球移動通信網(wǎng)絡(luò)覆蓋最廣泛的GSM移動通信網(wǎng)絡(luò)，也不是一套能夠保障信息安全的通信系統(tǒng)。GSM協(xié)議的空中接口加密算法是不安全的，同時GSM語音進入交換網(wǎng)后更是以透明方式進行傳輸。以至于國家安全部門針對手機通信的安全隱患制定了許多的制度和措施，但仍然不能徹底解決手機泄密的問題。

在實際的應(yīng)用中，對于環(huán)境保護執(zhí)法、質(zhì)量技術(shù)監(jiān)督、三防決策指揮、水電氣供應(yīng)、消防公安交通、海關(guān)緝私緝毒等涉及行政執(zhí)法和公眾利益相關(guān)領(lǐng)域的話音及數(shù)據(jù)通信，都有話音和數(shù)據(jù)安全保護的迫切需求。話音和數(shù)據(jù)的嗅探、截獲、篡改、偽造等信息安全威脅，可能導(dǎo)致執(zhí)法行動的失敗、商業(yè)秘密的泄露、重要的調(diào)度和指揮命令信息泄露或錯誤，從而導(dǎo)致威脅國家公共安全、公眾利益和經(jīng)濟政治穩(wěn)定的事故發(fā)生，造成的損失將無法估量。

由于加密導(dǎo)致的系統(tǒng)和應(yīng)用復(fù)雜性增加、效率降低，使得各種保密系統(tǒng)的應(yīng)用變得步履維艱。如何建設(shè)一套使用方便、維護方便、成本相對較低且同時安全等級較高的保密通話系統(tǒng)，成為本文主要的考慮方向。

2　保密電話的現(xiàn)狀

在數(shù)據(jù)的信息安全方面，各種加密技術(shù)相對較多。而對于語音加密方面，之前由于數(shù)據(jù)帶寬的限制，一直沒有較好的解決方案。多數(shù)話音方案停留在模擬語音的加密上。從專利檢索的信息看，成都三零瑞通公司的《一種基于GSM語音通道傳輸加密話音的方法》（公開號：CN101765106A）、《一種基于GSM發(fā)送加密話音的裝置》（公開號：CN201663696U）、《一種基于PSTN接入的傳送IP保密話音的方法及裝置》（公開號：CN102523228A）和中興通訊公司的《CDMA系統(tǒng)中加密話音數(shù)據(jù)的傳輸方法》（公開號：CN1567792A）等專利，主要采用在GSM音頻編碼過程進行插入和修改，在保證編碼效率的同時加入了對模擬語音的加密編碼，按原有的GSM話音方式（CSV）進行傳輸。國外對通過語音通道實現(xiàn)GSM的話音保密通信也有相應(yīng)的研究，如英國薩里大學(xué)（University of Surrey）針對GSM聲碼器增強型全速率（EFR）編碼實現(xiàn)了1 200～1 700bps的保密電話通信，東南大學(xué)針對GSM聲碼器全速率（FR）編碼實現(xiàn)了2 400bps的保密話音通信。這些方案的設(shè)計方向也主要是進行模擬語音的加密后傳輸。

在基于數(shù)字的加密方面，目前的研究以使用標(biāo)準(zhǔn)的PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）建立身份認(rèn)證和數(shù)據(jù)安全傳輸?shù)姆桨妇佣啵绾教炜乒ば畔⒓夹g(shù)研究院的《基于GSM網(wǎng)絡(luò)實現(xiàn)無線身份認(rèn)證和數(shù)據(jù)安全傳輸?shù)姆椒ā罚ü_號：CN1688176A）。在傳統(tǒng)的公鑰基礎(chǔ)設(shè)施中，信息安全體系的安全保障是通過數(shù)字證書來體現(xiàn)的。數(shù)字證書的本質(zhì)是用權(quán)威機構(gòu)來為用戶進行數(shù)字簽名，且該簽名是無法進行偽造[2]。這種信息安全管理體制存在許多與數(shù)字證書的管理相關(guān)的問題，如證書撤銷、證書存儲和分配、用戶證書的認(rèn)證核查等。這些操作需要占用大量的處理資源、帶寬資源和管理資源[3]，從而使得基于這類PKI體系的應(yīng)用系統(tǒng)存在著設(shè)備造價高、資源需求大和維護管理困難等問題。

3　基于身份的密碼體制

基于身份的密碼體制（IBE）是一種新的并正在發(fā)展中的公鑰密碼算法，其設(shè)計思想最初由以色列密碼學(xué)家Adi Shamir提出。普通的公鑰體制中的公鑰（即公共密鑰）由公鑰算法與私鑰（即私有密鑰）成對產(chǎn)生，而基于身份的密碼體制的公鑰可以直接使用身份的信息，如IP地址、電話號碼、身份證號碼、電子郵箱地址或其組合等。其對應(yīng)的私鑰由一個可信中心的PKG（Private Key Generator，私鑰生成器）根據(jù)公鑰產(chǎn)生。

第一個使用基于身份的加密方案是2001年由美國密碼學(xué)家Boneh和Franklin利用橢圓曲線的雙線性映射Weil配對原理設(shè)計的，此后基于身份的密碼體制得到了廣泛的發(fā)展和應(yīng)用。2002年，Gentry等人提出了一個安全實用的分層IBE方案，Lynn提出了提供不可否認(rèn)性的可驗證的IBE方案[4]；2003年，Canetti等人提出了適應(yīng)性身份選擇密文攻擊安全模型，并在其IBE方案中提出標(biāo)準(zhǔn)模型下的安全性分析；2005年，Boneh提出了帶有關(guān)鍵字檢索的IBE方案，Sahai等人提出了允許將生物特征作為公鑰，即用戶身份與加密的公鑰之間可以存在一定誤差的模糊IBE方案[4]；2006年后，Boyen等人提出了匿名IBE和匿名分層IBE的具體實現(xiàn)方案，并給出了不使用雙線性對的IBE方案。

基于身份的密碼體制具有以下主要特點：

（1）與基于證書的密碼體制有許多共同點：兩者都屬于公鑰密碼體制；至少具有公鑰和私鑰2個密鑰，其中公鑰可以公開，用于加密或驗證，私鑰保密存儲，用于解密或簽名；信息安全系統(tǒng)的安全性依賴于橢圓曲線離散對數(shù)求解、離散對數(shù)求解和大整數(shù)分解等數(shù)學(xué)難題[5]；已知公鑰，無法計算出私鑰，已知公鑰和密文，不能計算出明文等[6]。

（2）用戶的身份信息（用戶的公鑰）可以直接得到，不需要像基于證書的密碼體制中需要到CA（Certificate Authorit，電子商務(wù)認(rèn)證授權(quán)機構(gòu)）獲取用戶公鑰并對簽名進行驗證來確認(rèn)，使得CA的證書管理得到極大的簡化，減輕了CA的系統(tǒng)負(fù)擔(dān)。

（3）用戶私鑰的生成過程比較簡單。在IBE中，用戶的私鑰可由PKG計算生成，主要輸入?yún)?shù)為用戶公鑰和系統(tǒng)的安全參數(shù)。而在基于證書的密碼體制中，用戶的公鑰和私鑰是由CA同時成對產(chǎn)生的。

4　保密電話總體方案

4.1系統(tǒng)總體設(shè)計

本保密電話方案是基于PSTN有線電話的數(shù)據(jù)通道或者移動電話的GPRS、EDGE、3G或4G數(shù)據(jù)通道來實現(xiàn)，相當(dāng)于是一種加密的VoIP（Voice over IP，IP承載語音）技術(shù)?？紤]到本方案中數(shù)據(jù)帶寬的要求，根據(jù)不同的話音編碼方式及協(xié)議開銷，帶寬要求在30~120kbps，有線的ADSL調(diào)制解調(diào)和各種移動通信的數(shù)據(jù)通道在正常情況下均能滿足要求（此處不考慮移動通信網(wǎng)絡(luò)在終端數(shù)據(jù)并發(fā)裕量設(shè)計不足的情況）。

對于方案中的基于身份的密碼體制的算法方案選擇，由于系統(tǒng)相對簡單和應(yīng)用專一，對IBE體制中的PKG負(fù)荷、分層IBE、匿名IBE等特性沒有要求，因此考慮直接選用經(jīng)典的且已被大量使用的Boneh-Franklin方案[4]來實現(xiàn)本方案設(shè)計。

對于話音流的加密，本方案采用成熟的對稱加密方法AES（Advanced Encryption Standard，高級加密標(biāo)準(zhǔn)）進行加解密。加解密的密鑰來自于基于IBE體制的相互認(rèn)證和密鑰協(xié)商過程，從而解決加解密速度和系統(tǒng)硬件開銷的問題。

系統(tǒng)終端的主要握手過程如圖1所示：

圖1　系統(tǒng)終端的握手過程

4.2主要功能特點

系統(tǒng)主要功能特點如下：

（1）采用基于身份的密碼體制，有效地避免了傳統(tǒng)公鑰體系中復(fù)雜的證書管理過程。在基于身份的密碼體制中直接以用戶的身份信息作為公鑰，系統(tǒng)中不需要有CA，在達到相同級別的信息安全保障能力的同時簡化了證書管理等處理過程，很大程度上降低了系統(tǒng)的整體開銷，避免了傳統(tǒng)PKI在實施過程中的復(fù)雜性。

（2）解決電話被叫方的認(rèn)證問題。本方案由主叫方采用被叫方的公共信息對數(shù)據(jù)進行加密后，發(fā)送給被叫方進行臨時通話密鑰的生成，加密的信息需要被叫方擁有對應(yīng)的私鑰（合法的被叫方）才能解密信息和進行握手。

（3）由用戶進行根密鑰信息的生成、更新、保存和管理工作，用戶自己進行證書的生成和分發(fā)工作，與保密設(shè)備生產(chǎn)廠商無關(guān)，與提供鏈路的運營商無關(guān)，保證了密鑰的高度安全性。

（4）可實現(xiàn)一臺保密電話同時加入兩個或者多個保密電話網(wǎng)絡(luò)分組，在不同保密電話網(wǎng)中使用，并實現(xiàn)各安全電話分組間相互隔離，適用于身兼多職、隸屬于多個部門管理系統(tǒng)中的保密電話應(yīng)用。

4.3密碼體系的設(shè)計

（1）基于身份的簽名和驗證

最早在1984年，Shamir給出了第一個IBS（Identity-Based Signatures，基于身份的簽名）方案，之后2002年P(guān)aterson提出了在橢圓曲線配對下的IBS方案，2003年Cha和Cheon在Boneh-Franklin的方案基礎(chǔ)上給出證明在ROM（Random Oracle Model，隨機預(yù)言模型）下的安全性的簽名方案，直到2008年Narayan和Parampalli簡化了公共參數(shù)后提出標(biāo)準(zhǔn)模型下的IBS方案SS（Standard Signature，標(biāo)準(zhǔn)簽名）。大多數(shù)基于身份的簽名方案在隨機預(yù)言模型下都被證明是安全的[7]。

本方案采用CC-IBS簽名方案實現(xiàn)認(rèn)證過程的簽名和驗證，CC-IBS即Cha和Cheon設(shè)計的實用的基于身份的簽名方案，該方案已經(jīng)有許多文獻[8]進行了論述，本文不再贅述。

（2）基于身份的加解密

數(shù)據(jù)加密算法選用Boneh-Franklin方案來實現(xiàn)。算法中主要包括：系統(tǒng)初始化算法Setup、用戶私鑰生成算法PKG、加密算法Encrypt和解密算法Decrypt。

◆初始化

輸入：安全參數(shù)t；輸出：系統(tǒng)參數(shù)params，主密鑰master-key。

◆用戶私鑰生成

輸入：系統(tǒng)參數(shù)params，主密鑰master-key，用戶身份ID∈{0,1}*；輸出：用戶私鑰dID。

◆加密

輸入：系統(tǒng)參數(shù)params，明文M∈m，明文接收者公鑰（即身份）ID∈{0,1}*；輸出：密文C。

◆解密

輸入：系統(tǒng)參數(shù)params，密文C∈c，接收者私鑰dID；輸出：明文M。

系統(tǒng)參數(shù)params包括：隨機數(shù)s、素數(shù)q及對應(yīng)的循環(huán)群G1、G2、素數(shù)q對應(yīng)的雙線性映射e、G1上的生成元g等參數(shù)，還包括下文選用的hash函數(shù)。

（3）密鑰協(xié)商及密鑰導(dǎo)出

密鑰協(xié)商及密鑰導(dǎo)出是通過一系列的握手和數(shù)據(jù)交換，使通信雙方可安全地獲得同一個根密鑰并導(dǎo)出多個密鑰的過程，通信雙方以外的任何機構(gòu)即使獲得全部握手信息也無法導(dǎo)出根密鑰。本方案的密鑰協(xié)商算法采用ECDH算法，該算法具體可參照ISO/IEC 15946標(biāo)準(zhǔn)。ECDH是基于橢圓曲線密碼實現(xiàn)的Diffie-Hellman密鑰交換協(xié)議，其安全性基于橢圓曲線離散對數(shù)的困難性。

通信雙方通過三次握手協(xié)議幀的傳輸和計算即可完成簽名認(rèn)證和密鑰協(xié)商。根密鑰通過密鑰導(dǎo)出可生成加密密鑰、完整性校驗密鑰、密鑰更新種子等派生密鑰。

本方案中密鑰導(dǎo)出采用的散列算法為SHA-256，是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）2002年發(fā)布的SHA系列散列算法之一。SHA-256采用256位的消息摘要長度，是一種迭代hash函數(shù)。迭代hash函數(shù)可以方便地實現(xiàn)和直接處理可變長度的輸入，同時可在通信系統(tǒng)傳輸時從接收數(shù)據(jù)的第一個塊就開始計算，以節(jié)約數(shù)據(jù)存儲空間和縮短計算延遲。

（4）數(shù)據(jù)對稱分組加密

本方案選擇128bit的AES算法的CCM模式作為對稱分組加密算法。AES的CCM模式既具有保密又具有認(rèn)證功能。其數(shù)據(jù)完整性校驗采用的CBC-MAC（Cipher Block Chaining-Message Authentication Code，密碼本反饋鏈接模式）在密碼學(xué)上已經(jīng)是較成熟的模式[9]。CBC-MAC的保護范圍包括全部的MPDU（MAC層協(xié)議數(shù)據(jù)單元）和部分MAC（媒體接入控制）的幀頭信息。AES的加密部分使用計數(shù)器的運行模式，即AES-CTR。AES-CTR主要用準(zhǔn)計數(shù)器產(chǎn)生一系列分組作為AES的明文輸入，由AES加密后輸出密文生成定長的密鑰流，再與要加密的明文數(shù)據(jù)異或產(chǎn)生對應(yīng)的密文[9]。

AES輸入的數(shù)據(jù)塊為128bit，密鑰長度也是128位。理論上說，要求有nbit的安全水平，所有的密碼值至少應(yīng)為2nbit[10]。因此，128bit的密鑰長度只能提供64bit的安全水平?？紤]到在本保密電話方案中，密鑰協(xié)商在每次通話時都會進行重新生成密鑰和每次通話產(chǎn)生的數(shù)據(jù)量非常有限，128位的AES已經(jīng)能夠提供足夠的安全水平。

4.4應(yīng)用及管理設(shè)計

（1）密鑰分發(fā)及管理

近代密碼學(xué)對于密碼系統(tǒng)安全的觀點認(rèn)為：密碼系統(tǒng)的安全應(yīng)完全取決于密鑰的安全（不被非法獲得），而不是取決于密鑰算法、安全協(xié)議、保密裝置本身的保密，即保密算法、安全協(xié)議是可以公開的。因此，信息安全系統(tǒng)的密鑰管理在整個系統(tǒng)中變得非常重要。密鑰管理首先是個技術(shù)問題，又同時涉及人員管理、行政管理、流程管理的問題，密鑰管理包括了密鑰的產(chǎn)生、存儲、分配、使用、更新、銷毀等。綜合考慮到保密電話的使用和管理的情況，本方案的使用管理和密鑰管理方式如下：

◆管理部門的計算機軟件生成根密鑰及安全參數(shù)，存儲到IC卡上；

◆將IC卡插到保密電話上，由保密電話分布式生成各自的用戶證書，并存儲到本機上；

◆完成證書生成工作后，IC卡拔出收回。

該方案無需考慮PKG和用戶之間私鑰傳輸安全通道的問題，規(guī)避了使用計算機應(yīng)用軟件作為主體生成和下載、轉(zhuǎn)存證書的使用復(fù)雜性，在降低密鑰管理難度的同時提高了批量裝機配置的效率，較適合大型及中小型的保密電話網(wǎng)絡(luò)的建設(shè)和管理。

（2）電話分組及應(yīng)用

在實際的使用場景中，人員多重職務(wù)和單位多重職能是不可避免的。本方案中，用戶可以不必為多個保密電話系統(tǒng)設(shè)置多臺保密電話，使用中只要將存儲不同的根證書和安全參數(shù)的IC卡連接到保密電話上，保密電話即可生成歸屬于多個保密電話網(wǎng)絡(luò)的用戶私鑰，并且多個保密電話網(wǎng)絡(luò)之間相互隔離，同時每套保密電話分組可自行進行密鑰管理且互不影響，如圖2所示：

圖2　保密電話網(wǎng)絡(luò)分組示意圖

5　結(jié)束語

本方案已經(jīng)申請了國家發(fā)明專利，專利名稱為：《一種語音數(shù)據(jù)的通信方法及其裝置》（專利號：2008102199175）[1]。應(yīng)用本方案可以方便地實現(xiàn)安全等級高且應(yīng)用和管理方便的保密語音電話系統(tǒng)，為政府、公共服務(wù)、金融、企事業(yè)等單位的保密語音應(yīng)用提供很好的選擇和高強度的安全保障。

[1] 周紹午,吳月輝. 一種語音數(shù)據(jù)的通信方法及其裝置:中國, 2008102199175[P/OL]. 2008-12-12[2011-02-02]. http://www.pss-system.gov.cn/sipopublicsearch/search/ searchHome-searchIndex.shtml.

[2] 胡亮,趙闊,袁巍,等. 基于身份的密碼學(xué)[M]. 北京: 高等教育出版社, 2011.

[3] 李巍. 代理環(huán)簽名體制研究[D]. 西安: 西安電子科技大學(xué), 2011.

[4] 曾夢岐,卿昱,譚平璋,等. 基于身份的加密體制研究綜述[J]. 計算機應(yīng)用研究, 2010,27(1): 27-31.

[5] 張新方. 基于身份密碼體制的研究[D]. 濟南: 山東大學(xué), 2008.

[6] 李海峰,馬海云,徐燕文. 現(xiàn)代密碼學(xué)原理及應(yīng)用[M]. 北京: 國防工業(yè)出版社, 2013.

[7] 任錫灃. 幾類特殊的代理簽名方案研究[D]. 杭州: 杭州電子科技大學(xué), 2012.

[8] 徐麗娟. 基于身份密碼體制的研究及應(yīng)用[D]. 濟南: 山東大學(xué), 2007.

[9] 田海博,彭志威,王育民. WLAN的安全實現(xiàn)機制[J]. 中興通訊技術(shù), 2003(2): 23-25.

[10] 龐遼軍,王育民. WiMAX安全機制研究[J]. 中興通訊技術(shù), 2005,11(2): 27-29.★

周紹午：工程師，學(xué)士畢業(yè)于武漢水利電力大學(xué)，碩士畢業(yè)于中山大學(xué)電子與通信工程專業(yè)，現(xiàn)任廣州杰賽科技股份有限公司電子信息系統(tǒng)工程分公司技術(shù)總監(jiān)，主要研究方向為信息安全技術(shù)、無線寬帶接入技術(shù)、物聯(lián)網(wǎng)技術(shù)。

An Identity-Based Encryption Secure Telephone Solution

ZHOU Shao-wu
(GCI Science & Technology Co., Ltd., Guangzhou 510310, China)

According to diffi culties in voice encryption technology implementation and its applications, a secure telephone system was constructed by identity-based encryption (IBE) information security technology. In the light of status and application demand of secure telephone, overall solution of secure telephone was designed according to features of IBE. Cryptographic algorithms relevant to the system were compared and selected, and then the actual application management was considered and designed to implement a secure telephone solution with simple system architecture, strong communication network adaptability, fl exible application management and high security.

Identity-Based Encryption (IBE)secure telephonekey managementblock cipher

10.3969/j.issn.1006-1010.2015.16.015+3

A

1006-1010(2015)16-0077-05

TN918.7

2015-06-30

責(zé)任編輯：袁婷yuanting@mbcom.cn

引用格式：周紹午. 一種基于身份的密碼體制的保密電話方案[J]. 移動通信, 2015,39(16): 77-81.