調頻副載波方式應急廣播中數字簽名算法研究*

趙云輝

（北京江南天安科技有限公司，北京 100088）

0 引 言

應急廣播通常是指一個地區發生重大災害、突發事件等公共危機時，以廣播的形式向全社會提供迅速快捷的信息發布，在第一時間把需要公開的災害消息或災害可能造成的危害傳播到普通民眾，使民眾在第一時間知道發生了什么事情，應該如何撤離、避險或采用合理的方式使生命、財產、健康等損失降到最低。

應急廣播是政府及相關部門通過廣播電視方式向公眾提供應急信息的一種應急手段，是國家應急體系和國家公共服務體系的重要組成部分。在國際上，美國、日本、英國、德國、以色列等國家，都把廣播電視作為政府應急信息發布的重要通道。我們國家高度重視應對突發事件中應急廣播的作用，近年來頒布的相關規劃和文件如《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》《國家基本公共文化服務指導標準（2015－2020年）》和《全國應急廣播體系建設總體規劃》，對全國應急廣播體系建設均提出了明確要求。

我國的應急廣播系統除了發布預警信息之外，還承擔著政策宣傳和輿論引導的職責，尤其是在邊疆少數民族地區，承擔了維護社會穩定的重要職能，因此應急廣播系統的傳輸安全、信息完整性尤為重要。

目前，我國應急廣播的建設已全面開展，在最后一公里主要通過我國新農村“村村響”系統實現覆蓋。該系統采用的技術主要是調頻廣播。

1 RDS調頻廣播簡介

無線數字系統（Radio Digital System，RDS）是調頻廣播的一種實現方式，一般是指利用調頻廣播的副載波攜帶數據資料的一種工作方式。訪技術最先由歐洲廣播聯盟（European Broadcasting Union，EBU）于1984年提出，相關技術標準為EBU 3244。該技術充分利用現有調頻廣播的帶寬，采用57 kHz的副載波數據信號疊加到調頻節目頻段上，終端設備在接收音頻信號的同時可接收數字信號，數字信號內容可以是節目名稱、類型、擴展信息以及標準時間等。

按照我國調頻廣播的標準（GB4311.3-84）規定，調頻廣播頻率范圍為87.5～108 MHz。為防止調頻臺間的相互干擾，規定頻道間隔為200 kHz，最大頻偏為75 kHz，最高調制頻率為15 kHz，即調頻立體聲廣播的基帶信號理論帶寬為53 kHz，調頻單聲道廣播的基帶信號頻寬為15 kHz。因此，53～100 kHz或15～100 kHz的頻帶幾乎是閑置的，在每個頻道中可擴展出多個副信道，可以傳送數據和其他信息[1]。

RDS的數據信號傳送是以幀為基本單元，接收端一次有效的數據采集至少是一個完整的數據幀，格式如圖1所示。一幀數據由4個數據塊組成，每個數據塊包含26 bit數據位，其中高16位是信息數據，低10位是校驗碼和數據塊識別號。每幀前兩個數據塊是固定數據，后兩塊可以轉輸數據，因此每幀實際傳輸的有效數據是32 bit，即4 Byte數據。RDS的傳輸比特率是1 187.5 Hz，一幀數據的傳輸時間約為87.6 ms，也就是說每秒鐘可傳送11個數據幀的信息，除去冗余信息，有效信息載荷為44 Byte。

圖1 RDS數據幀格式

我國在1991年開始應用RDS技術，在1995年推出RDS調頻廣播國家標準（《廣播數據系統技術規范》GB/T15770-1995）），由此拉開了我國RDS技術的應用帷幕。目前，RDS調頻廣播廣泛用于智能交通、農業防災減災、政府公眾信息發布、固定和移動載體廣告、新農村“村村響”廣播、教育以及氣象信息發布等諸多領域。

2018年，由廣播電視科學研究院牽頭，推出了應急廣播信息安全保護技術標準（《應急廣播安全保護技術規范 數字簽名》GD/J 081—2018），在此標識中明確提出了采用基于數字簽名（SM2算法）的方式對RDS應急廣播傳輸的信息進行保護。

2 通用數字簽名算法簡介

SM2是國家密碼管理局于2010年12月17日發布的橢圓曲線公鑰密碼算法。SM2算法與RSA算法一樣，同屬于非對稱算法體系，屬于橢圓曲線加密算法（Elliptic Curve Cryptography，ECC）的一種。不同的是，RSA算法是基于大整數分解數學難題，而SM2算法是基于橢圓曲線上點群離散對數難題。

SM2算法可以提供加解密、數字簽名、密鑰協商等功能，可用于身份認證、數據完整性保護等方面。應急廣播領域采用的數字簽名算法是采用SM3算法對應急廣播指令進行摘要計算，然后調用SM2算法進行數字簽名。

3 數字簽名和驗證的實現過程

應急廣播信息安全保護技術標準對調頻廣播傳輸信息保護進行了具體規定，采用基于SM2和SM3算法的數字簽名方式，輸出了74 Byte的驗證數據，包括4 Byte UTC時間、6 Byte簽名數字證書編號和64 Byte數字簽名。

應急廣播指令的發送端將傳輸覆蓋指令、簽名時間打包，使用發送端私鑰對其計算數字簽名；發送端將計算的數字簽名附加在應急廣播指令、簽名時間、發送端數字證書編號數據后面進行打包傳輸；應急廣播指令接收端接收到傳輸覆蓋指令后，調取指令發送端數字證書進行簽名驗證，如果驗證成功則接收端對傳輸覆蓋指令進行處理，如果失敗則丟棄此指令。應急廣播傳輸覆蓋指令數字簽名機制如圖2所示[2]。

圖2 應急廣播傳輸覆蓋指令數字簽名機制

應急廣播針對SM2算法的具體數字簽名的過程如下：

（1）設待簽名的應急廣播傳輸覆蓋指令為M，M的數字簽名為(r,s)，發送端A的私鑰為dA，公鑰為PA，IDA表示SM3算法的用戶標識，entlenA表示IDA的長度。SM2算法使用的橢圓曲線方程的參數包括a、b、G的坐標xG和yG、PA的坐標xA和yA。

先使用SM3算法計算參數的雜湊值ZA

步驟3：使用隨機數發生器生成隨機數k∈ [1,n-1]；

步驟4：基于k計算橢圓曲線上的點，(x1,y1)=[k]G；

步驟5：計算r=(e+x1)modn，若r=0或r+k=n則返回步驟3；

步驟 6：計算s=((1+dA)-1×(k-r×dA))modn，若s=0則返回步驟3；

步驟7：將r和s轉換為字符串，M的數字簽名為(r,s)，其中r和s長度各為32 Byte；

應急廣播針對SM2算法的驗證簽名過程如下：

設接收到的應急廣播傳輸覆蓋指令為M′，其簽名為 (r′,s′)，運算過程如下：

步驟1：檢驗r′∈[1,n-1]是否成立，若不成立則驗證不通過；

步驟2：檢驗s′∈[1,n-1]是否成立，若不成立則驗證不通過；

步驟 5：將r′、s′轉換為整數，計算t=(r′+s′)modn，若t=0則驗證不通過；

步驟 6：基于t計算橢圓曲線上的點 (x1′,y1′)=[s′]×G+[t]×PA；

步驟 7：基于x1′計算R，R=(e′+x1′)modn；若R=r′則驗證通過，否則為不通過[3]。

4 調頻廣播中存在的問題及分析

應急廣播信息保護標準中采用了SM2和SM3算法實現的標準數字簽名流程，能夠有效實現對應急廣播信息發送端的驗證和對應急廣播指令信息完整性的驗證。調頻廣播方式也采用了此標準的簽名方式進行傳輸指令的保護。具體措施：在RDS終端音柱上增加專用硬件密碼模塊，密碼模塊中保存了相應的信息發送端的公鑰，實現了數字簽名和驗證流程；通過音柱的主控單元與密碼模塊進行通信，實現對終端接收的信息進行安全驗證。

基于RDS的技術特性，在實際應用中陸續發現了一些問題，包括誤碼率高、數字簽名的數據接收時間長、應急廣播指令處理延遲等。通過對現場數據的抓取及采用駐留終端內的測試程序進行業務邏輯分析，最終發現產生這些問題的原因如下。

（1）RDS傳輸數據慢。通過前述介紹可知，RDS傳輸數據通過數據幀實現，一幀只能傳送4個有效數據字節。RDS的理論傳輸比特率是1 187.5 Hz，一幀數據的傳輸時間約為87.6 ms，也就是說每秒鐘最多可傳送11個數據幀的信息，除去冗余信息，有效數據為44 Byte。同時，由于RDS一般采用空中無線傳輸方式，干擾較多，傳輸的數據幀越多，出現誤碼的幀也越多，中間任何一幀出現誤碼均需要重傳。因此，在實際使用中，一般傳輸耗時是理論時間的1.5～5倍，數據越長，因誤碼而重傳的耗時也越多。實際測試中，完整接收完數字簽名信息所需的時間為3～5 s。

（2）數字簽名產生的數據長，導致接收時間長。目前，采用的標準SM2數字簽名算法產生的數據簽名內容為64 Byte（其中為32 Byte，為32 Byte），再加上附加簽名信息UTC時間4 Byte，簽名的證書編號6 Byte，總計為74 Byte。一般RDS應急廣播指令是4～8 Byte，傳輸1～2個數據幀可以完成，耗時很短。目前的數字簽名信息是74 Byte，即附加的數據理論傳輸時間需要近2 s；需要傳輸19個數據幀才能傳送完成，中間任何一幀出現誤碼均需要重傳。實際測試中，完整接收完數字簽名信息所需時間為3～5 s。需要發送的數據過長，是導致RDS方式接收誤碼率高、延時大的主要原因。

5 簽名算法的優化設計

由于應急廣播的技術標準已頒布，解決此問題的方式不是改用其他模式或算法，而是選擇優化SM2數字簽名算法，最大可能減少簽名輸出的數據，由此達到減少RDS傳輸所需時間，優化密碼模塊對數據簽名驗證過程，減少處理延時，最終達到RDS模式應急廣播實現高效播發。

對此算法的改進核心思想是：最大限制減少簽名輸出數據，以此實現減少RDS傳輸時間、降低出錯概率的目的。

具體的改進如下。

初始過程：

步驟1：使用隨機數發生器生成隨機數k∈ [1,n-1]；

步驟2：基于k計算橢圓曲線上的點，(x1,y1)=[k]×G；

步驟3：重復上述操作，生成255組k及(x1,y1)；

上述3個步驟由系統在初始階段進行，完成后將此255組數據設成本裝置的預存數據（可根據裝置的安全存儲區容量設定要生成的組數，為了保證隨機性，最少生成10組，最多255組），在密碼模塊初始發行階段就置入，同時為每組數據編制索引（0x01～0xFF），供后續計算使用。

簽名過程如下：

步驟3：從預制庫中隨機選取一個k及對應的(x1,y1)；索引號定義為K；

步驟4：計算r=(e+x1)modn，若r=0或r+k=n則返回步驟3；

步驟 5：計算s=((1+dA)-1×(k-r×dA))modn，若s=0則返回步驟3；

步驟6：將s轉換為字符串，M的數字簽名為K||s，33 Byte長，其中K為1 Byte長，s為32 Byte長。

驗證簽名過程如下：設接收到的應急廣播傳輸覆蓋指令為M′，收到的簽名為s′′=K||s′

驗證運算過程如下：

步驟1：根據K從密碼模塊預制區中找到(x1,y1)；

步驟2：檢驗s′∈[1,n-1]是否成立，若不成立則驗證不通過；

步驟 5：計算r′=(e′+x1)modn

步驟6：計算t=(r′+s′)modn，若t=0則驗證不通過；

步驟 7：基于t計算橢圓曲線上的點 (x1′,y1′)=[s′]×G+[t]×PA；

步驟 8：基于x1′計算R，R=(e′+x1′)modn；若R=r′則驗證通過，否則為不通過；

上述算法中比較耗時的是初始過程（生成隨機數并計算SM2曲線上的點，生成批量的數據后將其安裝到裝置內，后續不需要更新），而此步驟是在預制過程實現，并不占用后續的計算時間。預制過程雖然在驗證過程中重新計算了一次r值，但是相對于驗證過程來說，增加的時間開銷極小，實測過程中密碼模塊驗證的時間增加在10 ms以內。

通過上述算法優化，應急廣播標準中要求的附加保護數據輸出僅為43 Byte，減少了31 Byte，對RDS傳輸通道來說，之前需要傳輸需要19個數據幀才能完成傳送74 Byte的保護數據，而現在只需要11個數據幀就可以完成傳輸，理論時間不超過1 s，大大縮減了傳輸時間。

從基于上述算法實現的密碼模塊在實際項目中的應用情況來看，RDS方式下應急廣播附加保護數據的理論傳輸時間減少了一半。通過應用本裝置進行實際測試，整合多次測試結果來看，平均時間為1.3 s，較算法未優化前的平均時間3 s減少了1.7 s，提升效果明顯；由于傳輸時間的縮短，減少了RDS傳輸過程中出現誤碼的幀，提升了RDS廣播指令的傳輸效率，可見此模式對RDS方式的應急廣播具有有效性。

6 結 語

國產密碼算法的廣泛應用為各行業帶來了更安全的保護，但是一個算法或一個模式不是萬能的，根據各自不同的業務形態進行適當的優化會帶來更好的用戶體驗。本文設計的數字簽名算法在實際應用中取得了很好的效果。應急廣播作為我國面向社會大眾的宣傳機構，是與廣大群眾溝通的橋梁。針對應急廣播的業務特點設計保護應用，才能為應急廣播提供更安全、更高效的服務。本文描述的數字簽名優化算法同樣適用于其他對數據傳輸有限制的領域，在保證一定安全性的前提下，減少要傳輸的驗證數據。