基于格的第三方移動支付加密模型ECC-NTRU

寧 卓,石 偉,孫知信

(南京郵電大學 物聯網學院，江蘇 南京 210003)

基于格的第三方移動支付加密模型ECC-NTRU

寧 卓,石 偉,孫知信

(南京郵電大學 物聯網學院，江蘇 南京 210003)

隨著移動互聯網以及移動智能終端的普及，移動支付成為越來越頻繁的支付方式。針對量子計算給傳統的公鑰加密系統帶來的威脅，利用NTRU算法的抗量子計算以及高效性加解密的特點，同時為了避免NTRU在簽名算法上的失效，結合ECC具有高效的簽名算法的優勢，采用哈希鏈進行身份認證，設計出一種ECC-NTRU的移動支付加密方案。通過理論分析對比，表明該方案增強了移動支付加密的安全性，可以抗擊量子攻擊以及中間人攻擊,同時對比性能可知該方案可以提高加解密速率，優化系統流暢度。雖然ECC-NTRU相對ECC模型增加了115 KB左右的系統開銷，但是相對現在智能手機GB級別的內存，增大的開銷完全可以承受，運行速度相比ECC快了幾百倍，這極大地提高了智能終端程序的流暢度，因而具有很強的實用性。

移動支付；RSA；ECC；NTRU；量子計算

1 概 述

移動支付是指通過手機、平板或者PDA等移動終端，利用無線網絡實現的商業交易。第三方移動支付屬于移動支付平臺的第三種運營模式，指的是非金融機構、非電信運營商的第三方承建的移動支付平臺。

具備相應實力和信譽保障的第三方與各大銀行簽訂協議，建立自己的支付平臺，是為各個角色做到技術保障和信用擔保的平臺。傳統的模型是一種銀行系統一種支付模型，不利于跨行交易以及小額支付，而該模型打破了銀行系統之間的壁壘，便于小額支付。

但是在這個模型中，由于移動終端與第三方平臺之間通過無線網絡通信，所以在這個過程中最容易受到攻擊。例如A和B之間進行通信，其會話密鑰是通過RSA公鑰加密進行協商，竊聽者通過竊聽收集到經過RSA加密的數據，如果運用量子算法[1]進行破解，即可很容易獲取A和B的會話密鑰，因而安全問題最為顯著。

第三方支付一般模型如圖1所示。

圖1 第三方支付一般模型

針對上述存在的安全性問題，提出了一種ECC-NTRU方案。該方案結合ECC快速簽名以及NTRU[2]算法抗量子計算的特點，解決了傳統支付模型不具備抗量子計算以及效率低的問題。

2 第三方移動支付的安全現狀

常見的基于第三方的移動支付主要分為兩種技術方案：第一種是基于Wap的移動支付模式；另一種是基于J2ME的第三方移動支付。

2.1 基于Wap的第三方移動支付

Wap是一種針對手機和PAD等移動設備有限的計算資源，適用于無線網較低帶寬、高延遲應用特點的標準協議。Wap安全架構由無線標記語言腳本(WML Script)、無線公鑰基礎設施(Wireless Public Key Infrastructure，WPKI)、無線個人身份模塊(Wireless SIM，WIM)和無線傳輸層安全(Wireless Transport Layer Security，WTLS)四部分組成，而WPKI和WTLS是安全保障的核心。

WPKI從本質上來說采用的是輕量級的公鑰加密算法的PKI，即安全強度較低的RSA以及ECC[3]。如前所述，隨著量子計算的深入研究，這些傳統公鑰密碼算法的安全性都將受到挑戰，其在無線網絡上的輕量級實現的安全性更受到質疑。

WTLS類似于Internet中的TLS安全套接層，但是考慮到無線網絡性能的局限性，因而對其進行了簡化和壓縮，導致的結果是Wap協議棧沒有提供可靠的傳輸層，所以存在多種攻擊，包括可選擇明文攻擊、中間人攻擊以及重放攻擊[4-5]。

2.2 基于J2ME的第三方移動支付

J2ME是一種高度優化的Java運行環境，主要為智能手機、PAD、汽車導航系統等消費類電子設備提供Java語言平臺。由于J2ME技術能實現跨平臺運行，即便是在不同的移動終端平臺上，開發的應用程序也能實現同一功能。J2ME還解決了低速帶寬下Wap方式不能訪問的HTML文件和各種多媒體信息等問題，進一步推廣了無線Internet的各項應用。

但是利用J2ME平臺設計第三方移動支付方案，就必須考慮到加密協議的問題。現有用于J2ME平臺的加密技術主要有XML加密技術[6]以及SET協議[7]。XML加密結合了XML技術以及現有的加密算法，實現了對XML節點或者不同元素加密的操作。XML加密技術的特點是結合了對稱加密(包括DES、AES算法)與非對稱加密(包括RSA或ECC加密算法)的優勢，先通過生成的公鑰加密會話密鑰，再以高效的對稱密碼算法實現對信息的加密保護。XML具有良好的可讀性、擴展性、跨平臺性等優點，這都為基于XML的加密帶來了廣闊的應用前景。但是究其本質，XML加密只是XML技術與傳統型加密技術的結合，因此J2ME平臺的安全性也是建立在RSA和ECC公鑰的加密的基礎之上，在量子攻擊下同樣不安全。

綜上所述，現有的第三方移動支付加密協議存在的共有缺陷就是不具有抗量子計算能力，且一旦提高安全等級，密鑰尺寸和計算量就會大幅提高，其算法的實現性能將會制約其在移動支付環境下的實用性。因而，研究一種高效且具有抗量子效應的基于第三方的移動支付加密模型成為當務之急。

2.3 抗量子計算的格加密技術

隨著量子計算的研究深入，國內外掀起了研究抗量子計算密碼的高潮。而基于格上困難問題設計的加密方案，作為后量子時代的典型代表，是最有希望解決保密性問題的途徑之一。

1996年，Ajtai給出了一個結論[8]：基于某些格問題的任意一個密碼體制，其安全性等價于最難情況下的密碼體制的安全性，并提出了基于格中最難情況下的u-SVP(unique Shortest Vector Problem)的AD加密體制。該方案具備可證明安全性，但系統效率很低，達不到實用要求(具體數據見表1)。

表1 基于格的公鑰方案的效率的對比

GGH[9]方案是第二類方案的代表，該方案沒有安全性證明，且已經被攻破。后來Regev首次提出機器學習中奇偶性學習問題(Learning from parity With Error，LWE)，并且在此基礎上建立公鑰算法。該體系算法安全性高，但是也存在密鑰尺寸大、效率低的問題[10-11]。

NTRU[2]是基于多項式環的公鑰密碼方案，是迄今為止最實用的基于格的公鑰密碼方案。該體制建立在多項式環的基礎上，加密算法避免了大整數冪的模運算，只涉及多項式的加減和乘運算，因而效率很高。但是NTRU的安全性證明沒有得到有效解決。2009年，Hirschhorn推薦了一組參數選擇和填充方案[12]，使NTRU可以抵抗絕大部分攻擊，因而至今還沒有一種針對它的有效攻擊方案出現。然而NTRU還沒有比較理想的簽名方案，現有的基于NTRU兩個典型簽名方案包括R-NSS[13]和NTRUSign[14]。其中R-NSS已經被攻破[15]，而NTRUSign存在致命攻擊[16]。

綜上所述，針對NTRU在實用中尚缺乏實用的簽名算法的困境，文中擬結合現有的ECC算法高效簽名以及NTRU算法高效加解密且抗量子計算的優點，設計一種基于第三方的移動支付加密模型ECC-NTRU。

3 一種結合NTRU與ECC算法的加密支付模型(ECC-NTRU)

由于NTRU暫時沒有比較出色的簽名算法，因而需要結合其他公鑰加密算法來保障支付過程的保密性以及不可否認性。在同等安全條件下，ECC加密以及解密速度均比RSA要快很多，所以文中選擇ECC作為簽名算法。NTRU算法具有較高的加解密速率且抗量子計算，因而選擇NTRU為整個過程數據加密，同時為抗擊中間人攻擊，設計了一種哈希鏈的用戶認證模型。具體過程如下所示：

第一階段：賬號申請，即安裝證書(見圖2(a))。

(1)使用第三方支付模型之前首先得下載支付客戶端。

(2)根據客戶端指示申請第三方賬號。

圖2 第三方移動支付安全模型

第二階段：認證過程(見圖2(b))。

(1)用戶把自己的IDA以及hashN-1(yA)并運算IDA||hashN-1(yA)發送給第三方平臺，第三方根據用戶的IDA，計算hash(hashN-1(yA)),判斷hash (hashN-1(yA))是否等于對應的尾鏈值hashN(yA),如果相等則表示該用戶認證成功。

(2)步驟(1)完成后把該用戶哈希鏈的尾鏈值改為hashN-1(yA)，并發送給第三方平臺。若N≤2則重新生成哈希鏈并把對應的尾鏈值發送給第三方平臺。

第三階段：支付過程(見圖2(c))。

(1)客戶端要發送信息m給第三方，首先C1=HASH(m)形成消息摘要。

(4)客戶端將第三步加密信息發送給第三方。

該方案是利用NTRU效率和安全性高的優點，并彌補NTRU在數字簽名方面的缺陷，但是引進兩種公鑰加密算法增加了系統開銷，對于移動終端來說也是不利的。

4 ECC-NTRU性能分析

由于移動終端的通信方式是易于被攻擊的無線信號，因而需要分析其終端是否能夠抵抗中間人攻擊。此外考慮到該加密模型在移動終端的實用性，還需要分析其效率和系統開銷。

抗中間人攻擊：該方案中引入哈希鏈來對用戶身份進行認證，若非法用戶截取用戶數據，想獲取身份認證，但其缺乏哈希鏈的驗證，因而無法冒取；此外用戶與第三方通信的數據包都是通過NTRU加密的密文，非法用戶即使截取到數據包也不能獲取有用的信息。

不可否認性：該方案中為了避免了NTRU在簽名算法上的不足，引入ECC簽名算法確保支付過程的不可否認性。ECC算法的安全性高于RSA,因而其安全可以得到有效保障。

ECC-NTRU的安全強度：ECC-NTRU模型中，終端與第三方平臺的數據都要通過NTRU公鑰進行加密后傳輸，因而其安全性等價于NTRU的安全性。利用LLL[17]算法及其改進算法可以求解低維度NTRU格中難題，但是如果格的維數很大，LLL算法也不能解決。文獻[18]給出了破解NTRU粗略時間算法。NTRU公鑰密碼體制估計的破解時間如表2所示。

表2 NTRU公鑰密碼體制估計的破解時間

注：MIPS-years 表示以每秒處理100萬條指令的處理器運算一年為單位。整個實驗在400 MHz的Celeron處理器上進行，所使用的攻擊算法為LLL算法。

上述攻擊方法是指數時間算法，攻擊者不能對NTRU密碼體制實施有效攻擊。因此，在現階段NTRU公鑰密碼體制具備足夠高的安全性。

ECC-NTRU的系統開銷：用哈希鏈作為身份認證相對于其他方法的優勢就是效率很高，其速度是基于復雜問題簽名算法的10 000倍[19]。該模型中通信的數據包都需要NTRU加密，因而其加解密的速度主要看NTRU的效率。表3為NTRU與ECC的模型對比，可知NTRU加解密速度是ECC的幾百倍。

表3 ECC-NTRU模型與ECC模型對比

注：硬件環境為1 GHz的Pentium III處理器，軟件環境為NTRU加密包和ECC加密包。

但是在ECC-NTRU模型中，為了避免NTRU算法在簽名方面的缺陷，加入ECC算法做簽名，這樣帶來的缺陷是，移動終端會運行兩套公鑰加密算法，必然會增加系統開銷，這對移動終端來說是不利的。若開發移動終端的NTRU加解密模塊采用NTRU官網給出的ntru-1.2.jar版本的開發包，其大小為115 KB，那么ECC-NTRU相對于ECC加密模型只增加了約115 KB的系統消耗，但是其加解密速度增加了近幾百倍。

綜上所述，雖然ECC-NTRU相對ECC模型增加115 KB左右的系統開銷，但是相對現在智能手機GB級別的內存，增大的開銷完全可以承受。此外ECC-NTRU其運行速度相比ECC快了幾百倍，這極大地提高了智能終端程序的流暢度。

5 結束語

研究了現有基于第三方的移動支付的技術，分析了這些技術的特點，并針對這些技術的缺陷以及無線支付的特點提出了一種基于格的ECC-NTRU加密模型。分析表明該方案具有抗量子計算、效率高、安全等優點，但也增大了系統開銷。未來的研究方向是：改進現有的NTRU簽名算法，提高其效率和安全性；把NTRU加密算法融入WAB技術或者XML加密技術。

[1] Shor P W.Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer[EB/OL].(1995-08-27).http://lanl.arxiv.org/pdf/quant-ph/9508027.

[2] Hoffstein J,Pipher J,Silverman J.NTRU:a ring-based public key cryptosystem[C]//Algorithmic number theory symposium.Portland:Springer,1998:267-288.

[3] Schoof R.Elliptic curves over finite fields and the computation of square roots mod p[J].Mathematics of Computation,1985,44(170):483.

[4] 何毅俊.WAP中WTLS安全性研究[D].長沙:中南大學,2007.

[5] 劉輝洲.WTLS分析與設計[D].濟南:山東大學,2010.

[6] 車 葵,牛曉太, 邢書濤. XML加密方法的研究與實現[J].計算機工程與設計,2008,29(20):5180-5183.

[7] 張若巖.基于SET協議的移動支付系統的研究與實現[D].西安:西北大學,2008.

[8] Ajtai M.Generating hard instances of lattice problems[C]//Proceedings of the 28th annual ACM symposium on theory of computing.New York:ACM,1996:99-108.

[9] Goldreich O,Goldwasscr S,Halevi S.Public-kcryptosystcms from lattice reduction problems[C]//Crypto'97.Santce Barbara:Springer,1997:112-131.

[10] Lyubashevsky V,Peikert C,Regev O.On ideal lattices and learning with errors over rings[J].Journal of ACM,2013,60(6):1-23.

[11] Wei Ping,Wu Liqiang,Yang Xiaoyuan,et al.A public cryptosystem from R-LWE[C]//IEEE 3rd international conference on communication software and networks.[s.l.]:IEEE,2011:508-513.

[12] Jaulmes é,Joux A.A chosen-ciphertext attack against NTRU[C]//Advances in cryptology.Berlin:Springer,2000:20-35.

[13] Hoffstein J，Pipher J，Silverman J H.NSS:an NT-RU lattice-based signature scheme[C]//Advanced in cryptology-Eurocrypt’01.Berlin:Springer-Verlag,2001:123-127.

[14] Hoffstein J,Pipher J,Silverman J H,et al.NTRUSign:digital signatures using the NTRU lattice[C]//Proceedings of CTRSA’03.San Francisco:[s.n.],2003:122-140.

[15] Gentry C,Szydlo M.Cryptanalysis of the revised NTRU signature scheme[C]//Advances in cryptology-Eurocrypt’02.Berlin:Springer-Verlag,2002:299-320.

[16] Nguyen P Q,Regev O.Learning a parallelepiped: cryptanalysis of GGH and NTRU signatures[M]//Advances in cryptology-Eurocrypt’06.Berlin:Springer-Verlag,2006:271-288.

[17] Lenstra A K,Lenstra H W,Lovasz L.Factoring polynomials with rational coefficients[J].Mathematische Analen,1982,261(4):515-534.

[18] Silverman J H.Estimated breaking times for NTRU lattices[EB/OL].1999-03-09.http://www. ntru.com.

[19] 施榮華,翁麗萍,王國才.基于單向哈希鏈的Ad Hoc網絡密鑰協商協議[J].湖南大學學報:自然科學版,2011,38(3):77-81.

A Secure M-payment Model Combing NTRU with ECC

NING Zhuo,SHI Wei,SUN Zhi-xin

(School of Internet of Things,Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

With the popularity of wireless Internet and smart phones,mobile payment has become more and more frequent.For the threat of quantum computation to the traditional public-key encryption system,using the features of anti-quantum computing and high efficiency for encryption and decryption of NTRC algorithm and avoiding the failure of NTRU in signature,combined with ECC with the advantages of efficient signature algorithm,adopting Hash chain to identity authentication,a mobile payment encryption scheme of ECC-NTRU is designed.By comparison with theoretical analysis,it shows that the scheme is to enhance the security of the encryption mobile payment and fight the attack of quantum and middle.At the same time comparative performance shows this scheme can improve the encryption speed and fluency.Although the ECC-NTRU increases system overhead by about 115 KB compared with ECC,the increasing cost can afford in comparison with smart phones with level of GB of memory,running faster than ECC hundreds,which greatly improves the fluency of intelligent terminal program with very strong practicability.

mobile payment;RSA;ECC;NTRU;quantum attack

2015-06-05

2015-10-14

時間：2017-01-04

國家自然科學基金資助項目(60973140,61170276,61373135);江蘇省產學研項目(BY2013011);江蘇省科技型企業創新基金項目(BC2013027);江蘇省高校自然科學研究重大項目(12KJA520003)

寧 卓(1975-),女,博士,研究方向為入侵檢測技術、網絡安全、網絡行為學；孫知信，教授，研究方向為網絡安全理論與技術、保密通信、網絡環境下的軟件與安全技術。

http://www.cnki.net/kcms/detail/61.1450.TP.20170104.1017.018.html

TP301

A

1673-629X(2017)01-0084-05

10.3969/j.issn.1673-629X.2017.01.019