基于RSA的門限密碼體制研究

張久輝 左明鑫

（1.鄭州電力職業技術學院 電力工程系，河南 鄭州451450；2.鄭州科技學院 電氣工程學院，河南 鄭州450064）

1 概述

現代密碼學技術在私鑰沒有泄露的情況下基本上可以做到完善保密，也就是說偷窺者無法在可以接受的時間內將密文翻譯成明文。有時候，我們為了防止權力的過分集中，常常采用密鑰分散管理。所謂密鑰分散管理，就是把一個系統密鑰S分成N個密鑰碎片S1，S2，…，Sn，并且分發給N個具有合法性的節點P1，P2，…，Pn［1］，給定一個正整數T，且T＜N，在任何成員數t＜T的情況下都不能由他們的部分秘密中得到整個系統的秘密，只有當成員數t＞T的情況下合作才可以完成密碼運算，從而很好地解決了權力過分集中的問題。在某些不便頻繁更換密鑰的場合，密鑰自身的安全性至關重要，如何提高密鑰的安全性成了很多人研究的課題，本文將介紹所采用的具體加密算法。

2 密鑰碎片的生成

首先需要存在一個可靠的認證中心CA［2］，所謂可靠，就是假設這個CA是安全而不容易被攻破的，以及CA不會對系統信息構成威脅，這里的CA就好比大會選舉中的唱票人員，左右不了大會的投票結果。CA采用如下的方式進行密鑰碎片的生成，具體可以描述為：CA首先要建立一個矩陣A=［aij］NXn（其中i，j都是正整數，1≤i≤N，1≤j≤n）和一個列向量B=［bj］TX1，且n＞T，我們任取矩陣A中的任意T列組成的新矩陣A就可以和列向量B相乘得到一個列向量C=AB=［cj］Nx1，C就是N維向量空間里的一個元素，C就是由所有C組成的集合，所以C中應該共有個元素。矩陣和向量乘積可以用如下公式表示：

認證中心CA就把向量A中的每個列向量作為一個密鑰碎片S1，S2，…，Sn安全地發送給n個合法的節點P1，P2，…Pn。

3 密鑰碎片的分發

至于如何安全地將密鑰碎片發送到合法用戶手中，有很多種方法（包括硬件的或軟件的），由于橢圓曲線加密算法ECC［3］具有較高的安全性和難破譯性，本文采用橢圓曲線的方法將密鑰碎片發送給合法用戶。這里就需要每個合法節點用戶建立一個自己的公私鑰對［4］，認證中心CA用戶節點的公鑰對要發給用戶節點的密鑰碎片進行加密，用戶節點再用自己的私鑰對認證中心發過來的密鑰碎片進行解密。假設某個節點的橢圓曲線方程為y2=x3+x+6，私鑰為t=9，公鑰a=（2，7），b=9a=（10，9），具體用公式描述加密解密過程如下：

加密過程

解密過程

當需要改變某些節點的權利時，我們只需要相應地改變矩陣A的列向量數及其內容。比如要去掉第i個節點的權限，只需要認證中心CA去掉矩陣中的第i個列向量，同時集合C中的列向量數也要做相應地調整。在投票后，認證中心CA將收到的密鑰碎片和矩陣A的列向量進行對照，在矩陣A中不存在的列向量都被認為是無效的。當需要增加一個或幾個合法用戶節點的權限時，我們只需要簡單地在矩陣A中增加一個或幾個列向量，只要滿足增加的列向量aNj和列向量B的乘積數和C中的任一元素都不相等即可。然后用解密后的密鑰碎片組成一個新的矩陣A，再用矩陣A和列向量B相乘，把所得的列向量C與列向量C中的元素進行對照，如果滿足集合C≤C，則投票完成。從而可得，任何小于T個密鑰碎片都不能完成上面的矩陣乘法，也就是說小于T個合法節點都無法進行投票。

4 會話機制的建立

在合法節點與認證中心通信時，通信內容往往會被竊聽，為了保證通信內容的安全性，需要對節點發送給認證中心的密鑰碎片進行加密，這就是多級加密中的二級加密思想。采用RSA密碼體制對各點的密鑰碎片進行加密，各合法用戶節點用認證中心CA的會話公鑰對自己擁有的私鑰碎片中每個元素逐個進行加密。

設n=pq，其中p和q為大素數。且定義K=｛（n，p，q，a，b）：a b≡1（mod?（n））｝，其中n和b組成了公鑰，且p，q和a組成了私鑰，當需要投票時，節點Pi用公式（6）對密鑰碎片中的每個元素逐個進行加密，然后把加密后的數據發送給認證中心CA，認證中心收到節點Pi發送過來的數據后用公式（7）逐個進行解密［5］。

由

得

加密過程

解密過程

認證中心把從各個節點Pi發送過來的正確密鑰碎片經解密后，把這些密鑰碎片隨機組成一個矩陣A1，當A1的列向量數大于等于T時，任取其中T列組成新的矩陣A2，然后看A2與列向量B乘積C1是否屬于C，如果屬于C則投票完成，如果不屬于C，我們就重新選取A1中的元素T列，再與列向量B乘積，只要有一次乘積結果是C中的一個元素，投票就算完成。只有所有次選取組成的向量與B乘積都不是C中的元素時，不能打開系統秘密。

5 結語

采用多方協商的方式，使用密鑰分散管理能很好地解決權力過分集中和密鑰不便經常改變的問題，能夠抵抗中間人的攻擊，能改變合法用戶權限。但是對系統內部的攻擊卻很薄弱，這幾乎是現在信息安全方面的一個通病，再一個是過分依賴認證中心，如果認證中心不可靠，整個系統就沒秘密可言。

［1］Zhou L and Haas Z J，Securing ad hoc networks［J］.IEEE network，special issue on network security，November/December，1999.

［2］Ratna Dutta，Sourav Mukhopadhyay，Martin collier Computationally secure self-healing key distribution with revocation in wireless ad hoc networks［J］.Contents lists available at Science DirectAd Hoc Networks2010：15-17.

［3］ELGamal，Principle and Practice of Cryptograhy［M］.Beijing：Electronic Industry Press，2009：184-186.

［4］Chen kefei，Threshold RSA Cryptosystem［J］.ACT ELECTRONICASINICA，1999，27（6）：1-2.

［5］N Koblitz.Elliptic curve cryptosystems［J］.Math.Comp，1987，177（48）：203-209.