寧 卓,石 偉,孫知信

(南京郵電大學(xué) 物聯(lián)網(wǎng)學(xué)院，江蘇 南京 210003)

基于格的第三方移動(dòng)支付加密模型ECC-NTRU

寧 卓,石 偉,孫知信

(南京郵電大學(xué) 物聯(lián)網(wǎng)學(xué)院，江蘇 南京 210003)

隨著移動(dòng)互聯(lián)網(wǎng)以及移動(dòng)智能終端的普及，移動(dòng)支付成為越來(lái)越頻繁的支付方式。針對(duì)量子計(jì)算給傳統(tǒng)的公鑰加密系統(tǒng)帶來(lái)的威脅，利用NTRU算法的抗量子計(jì)算以及高效性加解密的特點(diǎn)，同時(shí)為了避免NTRU在簽名算法上的失效，結(jié)合ECC具有高效的簽名算法的優(yōu)勢(shì)，采用哈希鏈進(jìn)行身份認(rèn)證，設(shè)計(jì)出一種ECC-NTRU的移動(dòng)支付加密方案。通過(guò)理論分析對(duì)比，表明該方案增強(qiáng)了移動(dòng)支付加密的安全性，可以抗擊量子攻擊以及中間人攻擊,同時(shí)對(duì)比性能可知該方案可以提高加解密速率，優(yōu)化系統(tǒng)流暢度。雖然ECC-NTRU相對(duì)ECC模型增加了115 KB左右的系統(tǒng)開(kāi)銷(xiāo)，但是相對(duì)現(xiàn)在智能手機(jī)GB級(jí)別的內(nèi)存，增大的開(kāi)銷(xiāo)完全可以承受，運(yùn)行速度相比ECC快了幾百倍，這極大地提高了智能終端程序的流暢度，因而具有很強(qiáng)的實(shí)用性。

移動(dòng)支付；RSA；ECC；NTRU；量子計(jì)算

1 概 述

移動(dòng)支付是指通過(guò)手機(jī)、平板或者PDA等移動(dòng)終端，利用無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)現(xiàn)的商業(yè)交易。第三方移動(dòng)支付屬于移動(dòng)支付平臺(tái)的第三種運(yùn)營(yíng)模式，指的是非金融機(jī)構(gòu)、非電信運(yùn)營(yíng)商的第三方承建的移動(dòng)支付平臺(tái)。

具備相應(yīng)實(shí)力和信譽(yù)保障的第三方與各大銀行簽訂協(xié)議，建立自己的支付平臺(tái)，是為各個(gè)角色做到技術(shù)保障和信用擔(dān)保的平臺(tái)。傳統(tǒng)的模型是一種銀行系統(tǒng)一種支付模型，不利于跨行交易以及小額支付，而該模型打破了銀行系統(tǒng)之間的壁壘，便于小額支付。

但是在這個(gè)模型中，由于移動(dòng)終端與第三方平臺(tái)之間通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)通信，所以在這個(gè)過(guò)程中最容易受到攻擊。例如A和B之間進(jìn)行通信，其會(huì)話(huà)密鑰是通過(guò)RSA公鑰加密進(jìn)行協(xié)商，竊聽(tīng)者通過(guò)竊聽(tīng)收集到經(jīng)過(guò)RSA加密的數(shù)據(jù)，如果運(yùn)用量子算法[1]進(jìn)行破解，即可很容易獲取A和B的會(huì)話(huà)密鑰，因而安全問(wèn)題最為顯著。

第三方支付一般模型如圖1所示。

圖1 第三方支付一般模型

針對(duì)上述存在的安全性問(wèn)題，提出了一種ECC-NTRU方案。該方案結(jié)合ECC快速簽名以及NTRU[2]算法抗量子計(jì)算的特點(diǎn)，解決了傳統(tǒng)支付模型不具備抗量子計(jì)算以及效率低的問(wèn)題。

2 第三方移動(dòng)支付的安全現(xiàn)狀

常見(jiàn)的基于第三方的移動(dòng)支付主要分為兩種技術(shù)方案：第一種是基于Wap的移動(dòng)支付模式；另一種是基于J2ME的第三方移動(dòng)支付。

2.1 基于Wap的第三方移動(dòng)支付

Wap是一種針對(duì)手機(jī)和PAD等移動(dòng)設(shè)備有限的計(jì)算資源，適用于無(wú)線(xiàn)網(wǎng)較低帶寬、高延遲應(yīng)用特點(diǎn)的標(biāo)準(zhǔn)協(xié)議。Wap安全架構(gòu)由無(wú)線(xiàn)標(biāo)記語(yǔ)言腳本(WML Script)、無(wú)線(xiàn)公鑰基礎(chǔ)設(shè)施(Wireless Public Key Infrastructure，WPKI)、無(wú)線(xiàn)個(gè)人身份模塊(Wireless SIM，WIM)和無(wú)線(xiàn)傳輸層安全(Wireless Transport Layer Security，WTLS)四部分組成，而WPKI和WTLS是安全保障的核心。

WPKI從本質(zhì)上來(lái)說(shuō)采用的是輕量級(jí)的公鑰加密算法的PKI，即安全強(qiáng)度較低的RSA以及ECC[3]。如前所述，隨著量子計(jì)算的深入研究，這些傳統(tǒng)公鑰密碼算法的安全性都將受到挑戰(zhàn)，其在無(wú)線(xiàn)網(wǎng)絡(luò)上的輕量級(jí)實(shí)現(xiàn)的安全性更受到質(zhì)疑。

WTLS類(lèi)似于Internet中的TLS安全套接層，但是考慮到無(wú)線(xiàn)網(wǎng)絡(luò)性能的局限性，因而對(duì)其進(jìn)行了簡(jiǎn)化和壓縮，導(dǎo)致的結(jié)果是Wap協(xié)議棧沒(méi)有提供可靠的傳輸層，所以存在多種攻擊，包括可選擇明文攻擊、中間人攻擊以及重放攻擊[4-5]。

2.2 基于J2ME的第三方移動(dòng)支付

J2ME是一種高度優(yōu)化的Java運(yùn)行環(huán)境，主要為智能手機(jī)、PAD、汽車(chē)導(dǎo)航系統(tǒng)等消費(fèi)類(lèi)電子設(shè)備提供Java語(yǔ)言平臺(tái)。由于J2ME技術(shù)能實(shí)現(xiàn)跨平臺(tái)運(yùn)行，即便是在不同的移動(dòng)終端平臺(tái)上，開(kāi)發(fā)的應(yīng)用程序也能實(shí)現(xiàn)同一功能。J2ME還解決了低速帶寬下Wap方式不能訪(fǎng)問(wèn)的HTML文件和各種多媒體信息等問(wèn)題，進(jìn)一步推廣了無(wú)線(xiàn)Internet的各項(xiàng)應(yīng)用。

但是利用J2ME平臺(tái)設(shè)計(jì)第三方移動(dòng)支付方案，就必須考慮到加密協(xié)議的問(wèn)題?，F(xiàn)有用于J2ME平臺(tái)的加密技術(shù)主要有XML加密技術(shù)[6]以及SET協(xié)議[7]。XML加密結(jié)合了XML技術(shù)以及現(xiàn)有的加密算法，實(shí)現(xiàn)了對(duì)XML節(jié)點(diǎn)或者不同元素加密的操作。XML加密技術(shù)的特點(diǎn)是結(jié)合了對(duì)稱(chēng)加密(包括DES、AES算法)與非對(duì)稱(chēng)加密(包括RSA或ECC加密算法)的優(yōu)勢(shì)，先通過(guò)生成的公鑰加密會(huì)話(huà)密鑰，再以高效的對(duì)稱(chēng)密碼算法實(shí)現(xiàn)對(duì)信息的加密保護(hù)。XML具有良好的可讀性、擴(kuò)展性、跨平臺(tái)性等優(yōu)點(diǎn)，這都為基于XML的加密帶來(lái)了廣闊的應(yīng)用前景。但是究其本質(zhì)，XML加密只是XML技術(shù)與傳統(tǒng)型加密技術(shù)的結(jié)合，因此J2ME平臺(tái)的安全性也是建立在RSA和ECC公鑰的加密的基礎(chǔ)之上，在量子攻擊下同樣不安全。

綜上所述，現(xiàn)有的第三方移動(dòng)支付加密協(xié)議存在的共有缺陷就是不具有抗量子計(jì)算能力，且一旦提高安全等級(jí)，密鑰尺寸和計(jì)算量就會(huì)大幅提高，其算法的實(shí)現(xiàn)性能將會(huì)制約其在移動(dòng)支付環(huán)境下的實(shí)用性。因而，研究一種高效且具有抗量子效應(yīng)的基于第三方的移動(dòng)支付加密模型成為當(dāng)務(wù)之急。

2.3 抗量子計(jì)算的格加密技術(shù)

隨著量子計(jì)算的研究深入，國(guó)內(nèi)外掀起了研究抗量子計(jì)算密碼的高潮。而基于格上困難問(wèn)題設(shè)計(jì)的加密方案，作為后量子時(shí)代的典型代表，是最有希望解決保密性問(wèn)題的途徑之一。

1996年，Ajtai給出了一個(gè)結(jié)論[8]：基于某些格問(wèn)題的任意一個(gè)密碼體制，其安全性等價(jià)于最難情況下的密碼體制的安全性，并提出了基于格中最難情況下的u-SVP(unique Shortest Vector Problem)的AD加密體制。該方案具備可證明安全性，但系統(tǒng)效率很低，達(dá)不到實(shí)用要求(具體數(shù)據(jù)見(jiàn)表1)。

表1 基于格的公鑰方案的效率的對(duì)比

GGH[9]方案是第二類(lèi)方案的代表，該方案沒(méi)有安全性證明，且已經(jīng)被攻破。后來(lái)Regev首次提出機(jī)器學(xué)習(xí)中奇偶性學(xué)習(xí)問(wèn)題(Learning from parity With Error，LWE)，并且在此基礎(chǔ)上建立公鑰算法。該體系算法安全性高，但是也存在密鑰尺寸大、效率低的問(wèn)題[10-11]。

NTRU[2]是基于多項(xiàng)式環(huán)的公鑰密碼方案，是迄今為止最實(shí)用的基于格的公鑰密碼方案。該體制建立在多項(xiàng)式環(huán)的基礎(chǔ)上，加密算法避免了大整數(shù)冪的模運(yùn)算，只涉及多項(xiàng)式的加減和乘運(yùn)算，因而效率很高。但是NTRU的安全性證明沒(méi)有得到有效解決。2009年，Hirschhorn推薦了一組參數(shù)選擇和填充方案[12]，使NTRU可以抵抗絕大部分攻擊，因而至今還沒(méi)有一種針對(duì)它的有效攻擊方案出現(xiàn)。然而NTRU還沒(méi)有比較理想的簽名方案，現(xiàn)有的基于NTRU兩個(gè)典型簽名方案包括R-NSS[13]和NTRUSign[14]。其中R-NSS已經(jīng)被攻破[15]，而NTRUSign存在致命攻擊[16]。

綜上所述，針對(duì)NTRU在實(shí)用中尚缺乏實(shí)用的簽名算法的困境，文中擬結(jié)合現(xiàn)有的ECC算法高效簽名以及NTRU算法高效加解密且抗量子計(jì)算的優(yōu)點(diǎn)，設(shè)計(jì)一種基于第三方的移動(dòng)支付加密模型ECC-NTRU。

3 一種結(jié)合NTRU與ECC算法的加密支付模型(ECC-NTRU)

由于NTRU暫時(shí)沒(méi)有比較出色的簽名算法，因而需要結(jié)合其他公鑰加密算法來(lái)保障支付過(guò)程的保密性以及不可否認(rèn)性。在同等安全條件下，ECC加密以及解密速度均比RSA要快很多，所以文中選擇ECC作為簽名算法。NTRU算法具有較高的加解密速率且抗量子計(jì)算，因而選擇NTRU為整個(gè)過(guò)程數(shù)據(jù)加密，同時(shí)為抗擊中間人攻擊，設(shè)計(jì)了一種哈希鏈的用戶(hù)認(rèn)證模型。具體過(guò)程如下所示：

第一階段：賬號(hào)申請(qǐng)，即安裝證書(shū)(見(jiàn)圖2(a))。

(1)使用第三方支付模型之前首先得下載支付客戶(hù)端。

(2)根據(jù)客戶(hù)端指示申請(qǐng)第三方賬號(hào)。

圖2 第三方移動(dòng)支付安全模型

第二階段：認(rèn)證過(guò)程(見(jiàn)圖2(b))。

(1)用戶(hù)把自己的IDA以及hashN-1(yA)并運(yùn)算IDA||hashN-1(yA)發(fā)送給第三方平臺(tái)，第三方根據(jù)用戶(hù)的IDA，計(jì)算hash(hashN-1(yA)),判斷hash (hashN-1(yA))是否等于對(duì)應(yīng)的尾鏈值hashN(yA),如果相等則表示該用戶(hù)認(rèn)證成功。

(2)步驟(1)完成后把該用戶(hù)哈希鏈的尾鏈值改為hashN-1(yA)，并發(fā)送給第三方平臺(tái)。若N≤2則重新生成哈希鏈并把對(duì)應(yīng)的尾鏈值發(fā)送給第三方平臺(tái)。

第三階段：支付過(guò)程(見(jiàn)圖2(c))。

(1)客戶(hù)端要發(fā)送信息m給第三方，首先C1=HASH(m)形成消息摘要。

(4)客戶(hù)端將第三步加密信息發(fā)送給第三方。

該方案是利用NTRU效率和安全性高的優(yōu)點(diǎn)，并彌補(bǔ)NTRU在數(shù)字簽名方面的缺陷，但是引進(jìn)兩種公鑰加密算法增加了系統(tǒng)開(kāi)銷(xiāo)，對(duì)于移動(dòng)終端來(lái)說(shuō)也是不利的。

4 ECC-NTRU性能分析

由于移動(dòng)終端的通信方式是易于被攻擊的無(wú)線(xiàn)信號(hào)，因而需要分析其終端是否能夠抵抗中間人攻擊。此外考慮到該加密模型在移動(dòng)終端的實(shí)用性，還需要分析其效率和系統(tǒng)開(kāi)銷(xiāo)。

抗中間人攻擊：該方案中引入哈希鏈來(lái)對(duì)用戶(hù)身份進(jìn)行認(rèn)證，若非法用戶(hù)截取用戶(hù)數(shù)據(jù)，想獲取身份認(rèn)證，但其缺乏哈希鏈的驗(yàn)證，因而無(wú)法冒??；此外用戶(hù)與第三方通信的數(shù)據(jù)包都是通過(guò)NTRU加密的密文，非法用戶(hù)即使截取到數(shù)據(jù)包也不能獲取有用的信息。

不可否認(rèn)性：該方案中為了避免了NTRU在簽名算法上的不足，引入ECC簽名算法確保支付過(guò)程的不可否認(rèn)性。ECC算法的安全性高于RSA,因而其安全可以得到有效保障。

ECC-NTRU的安全強(qiáng)度：ECC-NTRU模型中，終端與第三方平臺(tái)的數(shù)據(jù)都要通過(guò)NTRU公鑰進(jìn)行加密后傳輸，因而其安全性等價(jià)于NTRU的安全性。利用LLL[17]算法及其改進(jìn)算法可以求解低維度NTRU格中難題，但是如果格的維數(shù)很大，LLL算法也不能解決。文獻(xiàn)[18]給出了破解NTRU粗略時(shí)間算法。NTRU公鑰密碼體制估計(jì)的破解時(shí)間如表2所示。

表2 NTRU公鑰密碼體制估計(jì)的破解時(shí)間

注：MIPS-years 表示以每秒處理100萬(wàn)條指令的處理器運(yùn)算一年為單位。整個(gè)實(shí)驗(yàn)在400 MHz的Celeron處理器上進(jìn)行，所使用的攻擊算法為L(zhǎng)LL算法。

上述攻擊方法是指數(shù)時(shí)間算法，攻擊者不能對(duì)NTRU密碼體制實(shí)施有效攻擊。因此，在現(xiàn)階段NTRU公鑰密碼體制具備足夠高的安全性。

ECC-NTRU的系統(tǒng)開(kāi)銷(xiāo)：用哈希鏈作為身份認(rèn)證相對(duì)于其他方法的優(yōu)勢(shì)就是效率很高，其速度是基于復(fù)雜問(wèn)題簽名算法的10 000倍[19]。該模型中通信的數(shù)據(jù)包都需要NTRU加密，因而其加解密的速度主要看NTRU的效率。表3為NTRU與ECC的模型對(duì)比，可知NTRU加解密速度是ECC的幾百倍。

表3 ECC-NTRU模型與ECC模型對(duì)比

注：硬件環(huán)境為1 GHz的Pentium III處理器，軟件環(huán)境為NTRU加密包和ECC加密包。

但是在ECC-NTRU模型中，為了避免NTRU算法在簽名方面的缺陷，加入ECC算法做簽名，這樣帶來(lái)的缺陷是，移動(dòng)終端會(huì)運(yùn)行兩套公鑰加密算法，必然會(huì)增加系統(tǒng)開(kāi)銷(xiāo)，這對(duì)移動(dòng)終端來(lái)說(shuō)是不利的。若開(kāi)發(fā)移動(dòng)終端的NTRU加解密模塊采用NTRU官網(wǎng)給出的ntru-1.2.jar版本的開(kāi)發(fā)包，其大小為115 KB，那么ECC-NTRU相對(duì)于ECC加密模型只增加了約115 KB的系統(tǒng)消耗，但是其加解密速度增加了近幾百倍。

綜上所述，雖然ECC-NTRU相對(duì)ECC模型增加115 KB左右的系統(tǒng)開(kāi)銷(xiāo)，但是相對(duì)現(xiàn)在智能手機(jī)GB級(jí)別的內(nèi)存，增大的開(kāi)銷(xiāo)完全可以承受。此外ECC-NTRU其運(yùn)行速度相比ECC快了幾百倍，這極大地提高了智能終端程序的流暢度。

5 結(jié)束語(yǔ)

研究了現(xiàn)有基于第三方的移動(dòng)支付的技術(shù)，分析了這些技術(shù)的特點(diǎn)，并針對(duì)這些技術(shù)的缺陷以及無(wú)線(xiàn)支付的特點(diǎn)提出了一種基于格的ECC-NTRU加密模型。分析表明該方案具有抗量子計(jì)算、效率高、安全等優(yōu)點(diǎn)，但也增大了系統(tǒng)開(kāi)銷(xiāo)。未來(lái)的研究方向是：改進(jìn)現(xiàn)有的NTRU簽名算法，提高其效率和安全性；把NTRU加密算法融入WAB技術(shù)或者XML加密技術(shù)。

[1] Shor P W.Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer[EB/OL].(1995-08-27).http://lanl.arxiv.org/pdf/quant-ph/9508027.

[2] Hoffstein J,Pipher J,Silverman J.NTRU:a ring-based public key cryptosystem[C]//Algorithmic number theory symposium.Portland:Springer,1998:267-288.

[3] Schoof R.Elliptic curves over finite fields and the computation of square roots mod p[J].Mathematics of Computation,1985,44(170):483.

[4] 何毅俊.WAP中WTLS安全性研究[D].長(zhǎng)沙:中南大學(xué),2007.

[5] 劉輝洲.WTLS分析與設(shè)計(jì)[D].濟(jì)南:山東大學(xué),2010.

[6] 車(chē) 葵,牛曉太, 邢書(shū)濤. XML加密方法的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2008,29(20):5180-5183.

[7] 張若巖.基于SET協(xié)議的移動(dòng)支付系統(tǒng)的研究與實(shí)現(xiàn)[D].西安:西北大學(xué),2008.

[8] Ajtai M.Generating hard instances of lattice problems[C]//Proceedings of the 28th annual ACM symposium on theory of computing.New York:ACM,1996:99-108.

[9] Goldreich O,Goldwasscr S,Halevi S.Public-kcryptosystcms from lattice reduction problems[C]//Crypto'97.Santce Barbara:Springer,1997:112-131.

[10] Lyubashevsky V,Peikert C,Regev O.On ideal lattices and learning with errors over rings[J].Journal of ACM,2013,60(6):1-23.

[11] Wei Ping,Wu Liqiang,Yang Xiaoyuan,et al.A public cryptosystem from R-LWE[C]//IEEE 3rd international conference on communication software and networks.[s.l.]:IEEE,2011:508-513.

[12] Jaulmes é,Joux A.A chosen-ciphertext attack against NTRU[C]//Advances in cryptology.Berlin:Springer,2000:20-35.

[13] Hoffstein J，Pipher J，Silverman J H.NSS:an NT-RU lattice-based signature scheme[C]//Advanced in cryptology-Eurocrypt’01.Berlin:Springer-Verlag,2001:123-127.

[14] Hoffstein J,Pipher J,Silverman J H,et al.NTRUSign:digital signatures using the NTRU lattice[C]//Proceedings of CTRSA’03.San Francisco:[s.n.],2003:122-140.

[15] Gentry C,Szydlo M.Cryptanalysis of the revised NTRU signature scheme[C]//Advances in cryptology-Eurocrypt’02.Berlin:Springer-Verlag,2002:299-320.

[16] Nguyen P Q,Regev O.Learning a parallelepiped: cryptanalysis of GGH and NTRU signatures[M]//Advances in cryptology-Eurocrypt’06.Berlin:Springer-Verlag,2006:271-288.

[17] Lenstra A K,Lenstra H W,Lovasz L.Factoring polynomials with rational coefficients[J].Mathematische Analen,1982,261(4):515-534.

[18] Silverman J H.Estimated breaking times for NTRU lattices[EB/OL].1999-03-09.http://www. ntru.com.

[19] 施榮華,翁麗萍,王國(guó)才.基于單向哈希鏈的Ad Hoc網(wǎng)絡(luò)密鑰協(xié)商協(xié)議[J].湖南大學(xué)學(xué)報(bào):自然科學(xué)版,2011,38(3):77-81.

A Secure M-payment Model Combing NTRU with ECC

NING Zhuo,SHI Wei,SUN Zhi-xin

(School of Internet of Things,Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

With the popularity of wireless Internet and smart phones,mobile payment has become more and more frequent.For the threat of quantum computation to the traditional public-key encryption system,using the features of anti-quantum computing and high efficiency for encryption and decryption of NTRC algorithm and avoiding the failure of NTRU in signature,combined with ECC with the advantages of efficient signature algorithm,adopting Hash chain to identity authentication,a mobile payment encryption scheme of ECC-NTRU is designed.By comparison with theoretical analysis,it shows that the scheme is to enhance the security of the encryption mobile payment and fight the attack of quantum and middle.At the same time comparative performance shows this scheme can improve the encryption speed and fluency.Although the ECC-NTRU increases system overhead by about 115 KB compared with ECC,the increasing cost can afford in comparison with smart phones with level of GB of memory,running faster than ECC hundreds,which greatly improves the fluency of intelligent terminal program with very strong practicability.

mobile payment;RSA;ECC;NTRU;quantum attack

2015-06-05

2015-10-14

時(shí)間：2017-01-04

國(guó)家自然科學(xué)基金資助項(xiàng)目(60973140,61170276,61373135);江蘇省產(chǎn)學(xué)研項(xiàng)目(BY2013011);江蘇省科技型企業(yè)創(chuàng)新基金項(xiàng)目(BC2013027);江蘇省高校自然科學(xué)研究重大項(xiàng)目(12KJA520003)

寧 卓(1975-),女,博士,研究方向?yàn)槿肭謾z測(cè)技術(shù)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)行為學(xué)；孫知信，教授，研究方向?yàn)榫W(wǎng)絡(luò)安全理論與技術(shù)、保密通信、網(wǎng)絡(luò)環(huán)境下的軟件與安全技術(shù)。

http://www.cnki.net/kcms/detail/61.1450.TP.20170104.1017.018.html

TP301

A

1673-629X(2017)01-0084-05

10.3969/j.issn.1673-629X.2017.01.019