專利名稱:共享保密信息,產(chǎn)生數(shù)據(jù)簽名和執(zhí)行確認(rèn)的方法和通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種方法��,并借此可以在通過(guò)通信系統(tǒng)中的通訊路徑結(jié)合在一起的信息處理儀器(以后稱為“用戶”)的一個(gè)中傳輸?shù)谋C苄畔⒛軌虮挥脩艄蚕?�,并涉及使用該方法的通信系統(tǒng)����。近而,本發(fā)明是關(guān)于為由大量用戶中的一些構(gòu)成的一組共享或產(chǎn)生數(shù)字簽名��,并涉及使用該方法的通信系統(tǒng)��。另外���,本發(fā)明涉及使大量的用戶共享一確認(rèn)功能的方法�,該功能使信息的接收者可以確認(rèn)���,信息已經(jīng)從正確的傳送者(還沒(méi)有被線路上的其它設(shè)備所更改)傳送���;并涉及使用這樣方法的一通信系統(tǒng)。
通常的產(chǎn)生增加冗余數(shù)據(jù)的編碼技術(shù)是一個(gè)公知的改進(jìn)信息通信系統(tǒng)可靠性的技術(shù)之一�。
特別是能夠使在通信過(guò)程中已經(jīng)產(chǎn)生的錯(cuò)誤不是被檢測(cè)出就是被加以校正的誤差校正碼經(jīng)常被用來(lái)有效地實(shí)現(xiàn)高可靠性的通訊系統(tǒng)。
近而�����,A.Shamir證明了����,通過(guò)共享保密信息而增加冗余的編碼技術(shù)在通信系統(tǒng)中作為改進(jìn)可靠性和同時(shí)對(duì)保密信息提供保護(hù)的一工具是有效的(見“如何共享保密”ACM通信�,卷22��,1979���,11)���。
在由大量用戶組成的通信系統(tǒng)中,共享保密信息(即����,由所有用戶所保持和共享的保密信息)的保護(hù)并不僅僅依賴于由單個(gè)特定用戶所提供的物理的保密,但它可能增加可靠性(可以實(shí)現(xiàn)失效公差)��,例如可用下述兩個(gè)定義加以描述�����。
一個(gè)是可靠性���,它確保保密信息受到保護(hù)和甚至它被共享時(shí)也不會(huì)被泄露���,它被稱為保密失效公差。
另一個(gè)是可靠性��,它確保輸出將是正確的,盡管非授權(quán)的行為已經(jīng)在共享信息上執(zhí)行����;這被稱為專有權(quán)的失效公差��。值得注意的是����,物理的安全意指,由特定用戶保持的信息不泄露給任何其它用戶�����,特定用戶執(zhí)行的計(jì)算不受任何另外用戶的控制���。
更具體而言����,由所有用戶共享和保持特定的保密信息X意指���,各個(gè)單獨(dú)用戶i產(chǎn)生共同對(duì)應(yīng)保密信息X的信息段和分配產(chǎn)生的信息段到其它的一些用戶以滿足如下的要求(a)和(b)�。
(a)從t+1個(gè)用戶獲得的信息段被要求用來(lái)破譯保密信息X����。以后����,t+1�,需要用來(lái)破譯保密信息的用戶數(shù)目被稱為閥值。
(b)當(dāng)從用戶獲得的部份信息的數(shù)目低于閥值(t或更少)時(shí)�,不能獲得相關(guān)于保密信息的數(shù)據(jù)。
通常的基本的保密共享系統(tǒng)是由A.Shamir提出的(“如何共享保密”��,ACM通信�����,卷22��,1979����,11)和該系統(tǒng)是按如下完成的。
為了和具有大量用戶中的確定的源用戶保密地共享信息��,其常數(shù)項(xiàng)被描述為保密信息的-n次多項(xiàng)式f(x)隨機(jī)地選出���。并且對(duì)應(yīng)n個(gè)不同值的多項(xiàng)式f(i)(i=1��,···�,n)的值分配給用戶。分配給各個(gè)用戶的多項(xiàng)式f(i)的值是上述的信息段����。使用具有t+1個(gè)信息段的內(nèi)插多項(xiàng)式就能夠破譯保密信息(使用t或更少信息段對(duì)于獲得相關(guān)于保密信息的任何信息而言是太少了)。
以上述方式共享保密的系統(tǒng)被稱為閥值方案和假設(shè)為能夠?qū)崿F(xiàn)上述的保密失效公差�。值得注意的是,當(dāng)在從t+1或更多的用戶當(dāng)中收集的保密信息X的共享的信息段當(dāng)中存在著不正確的信息段時(shí)���,僅使用上述的定義并不能破譯初始的保密信息。即���,可以發(fā)現(xiàn)����,正確獲得共享保密信息的失效公差不再能保證了�。
為了在上述描述的共享系統(tǒng)內(nèi)充分增加可靠性,必需考慮為了保密和為了正確獲得取兩者的失效公差���。
提出的功能復(fù)制發(fā)生任何錯(cuò)誤的一用戶的作為保密共享方法的可驗(yàn)正的保密共享方法是通過(guò)在閥值方案要求(a)和(b)加下述要求(c)和(d)加以定義的����。
(c)盡管當(dāng)非正確的信息段和正確的信息段混合在一起,只要這里存在著t+1個(gè)正確的信息段����,那對(duì)于破譯初始保密信息也是足夠的。
(d)當(dāng)所有用戶已經(jīng)接收到涉及保密的信息段����,他們可以驗(yàn)證,信息段對(duì)于破譯特定的保密信息X是正確的信息段�。
M.Ben-Or,S.Goldwasser��,和A.Wigderson描述了通常的錯(cuò)誤校正編碼技術(shù)����,該技術(shù)能滿意地為具有保密通信信道的一通訊提供一可驗(yàn)證的保密共享系統(tǒng)(當(dāng)閥值t滿足于t<n/3)只要這些用戶的數(shù)目少于全部用戶的三之一,該可檢證的保密共享系統(tǒng)就可以復(fù)制有任何錯(cuò)誤的用戶�。(見非密碼失效公差分布計(jì)算的完整理論,ACM STOC1988)��。
近而,為了只要在用戶小于全部用戶有的一半時(shí)可以產(chǎn)生能復(fù)制具有任何錯(cuò)誤的用戶的可檢證的保密共享系統(tǒng),就需要附加的要求����,假設(shè)�,所有的用戶都有他們可以驗(yàn)證所有的用戶均已收到同樣信息的廣播通信信道�,下邊的兩個(gè)方法已經(jīng)公開了���。
(1)使用在零知識(shí)證法系統(tǒng)中使用的被稱為“切下和選取”的方法(見“密碼和信息社會(huì)”由Tsujii和Kasahara�,Shokodo���,在1990寫)并使用由A.Shamir提出的基本保密共享系統(tǒng)去共享初始的秘密S和去進(jìn)一步共享配合的信息段S-i(i=1���,···n)更具體而言,由可驗(yàn)證的保密共享系統(tǒng)配給的所有信息段能被視為部分的矩陣��,它是如此產(chǎn)生的以至于是對(duì)應(yīng)保密信息段S-i的保密部分����。通過(guò)使用“切下和選取”技術(shù)�����,可以滿意地執(zhí)行根據(jù)要求(a)的驗(yàn)證���,使得在決定輸出中錯(cuò)誤將要發(fā)生的概率����,指出是否執(zhí)行了譯碼保密信息的正確的共享。當(dāng)錯(cuò)誤概率通過(guò)使用為安全設(shè)置的參數(shù)減少時(shí)���,它可以忽略���,由J.Rabin和M.Ben-Or提出的方法(見可驗(yàn)證的保密共享和具有誠(chéng)實(shí)的大多數(shù)的多方協(xié)議書,ACMSTOC�,1989)是一個(gè)特定的例子。
(2)使用不是對(duì)話型的單路函數(shù)的方法和具有特定代數(shù)性質(zhì)����。為了這樣構(gòu)成的保密共享系統(tǒng)的安全,必需對(duì)密碼的假定提出要求��,使得獲得一單路函數(shù)的相反成份是很困難的��,該單路函數(shù)滿足代數(shù)性質(zhì)(計(jì)算相反成分的實(shí)際算法并不存在)��,由P.Feldman已經(jīng)提出了一特定實(shí)例(見“非相互可驗(yàn)證的保密共享的實(shí)際方案��,”IEEE FDCS����,1987)。
近而由T.Rabin,M.Ben Or(見“可驗(yàn)證的保密共享和具有誠(chéng)實(shí)的大多數(shù)的多方協(xié)議書����,ACM.STOC,1989)�����,D Beaver(見“確保多方協(xié)議和允許少數(shù)失效的零知認(rèn)證法系統(tǒng)”����,密碼術(shù)雜志,1991�,4,75—122頁(yè)����;“使用電路隨機(jī)化的有效的多方協(xié)議書”,密碼術(shù)—密碼先導(dǎo)′91�,1992)和M.Franklin和S.Habtr(見“結(jié)合編碼和信息—有效的確保計(jì)算”����,密碼術(shù)—密碼先導(dǎo)′93,1994)所描述的�,使用上述可驗(yàn)證的保密共享方法可以提供在給定的有限集內(nèi)執(zhí)行共享計(jì)算的電路。
對(duì)于上述的對(duì)話方法(1),然而�,眾所公知當(dāng)安全參數(shù)是用K(通常使用值100)表示的,要求共享一位所需的通信量對(duì)于n保密部份是n^3K^2次(這里a^b指ab)����,而這種方法不是有效的。
而對(duì)非對(duì)話的密碼方法���,對(duì)n個(gè)保密部份必須對(duì)特殊次單路函數(shù)的計(jì)算n次��。特別是當(dāng)使用保密共享過(guò)程作為部分過(guò)程以完全地執(zhí)行共享計(jì)算時(shí)�,必須執(zhí)行的保密共享過(guò)程的次數(shù)就必須增加(即�����,對(duì)共享多應(yīng)用是n2次)���。整個(gè)計(jì)算次數(shù)將不現(xiàn)實(shí)的巨大��。
如上所述�,在通常的技術(shù)中���,對(duì)話方法(1)需要大量的通信��,而編碼法(2)需要巨大次數(shù)的計(jì)算�。
在絕大多數(shù)通常的通信系統(tǒng)中,以稱為包的數(shù)據(jù)塊單元傳送信息��。甚至當(dāng)包被傳送到指定的目的地時(shí)����,所有構(gòu)成通信系統(tǒng)的設(shè)備(用戶)能接收到那些包。近而���,由于通過(guò)相同的通信訊通大量的設(shè)備被連在一起�����,這就很困難指定包的傳送源����。因此這樣的通信系統(tǒng)傾向于自己公開地主動(dòng)出擊的過(guò)程�,例如通過(guò)“竊聽”,由此�,借助于詭計(jì),不正當(dāng)?shù)孬@得了傳輸?shù)讲煌康牡氐陌?��,這里特定的設(shè)備不適當(dāng)假設(shè)為其它設(shè)備的目的地���。
讓我們討論上述通信系統(tǒng)如何保密的問(wèn)題,該上述的通信系統(tǒng)確保傳送的信息僅提供給被選作為指定的傳輸目的地的用戶和這里沒(méi)有非授權(quán)的獲取(信息被保密)�。編碼技術(shù)(Ikeno和Koyama著,“當(dāng)前編碼理論”���,頁(yè)224—225�����,IEEE)是公知的有用的技術(shù)之一�。
眾所周知����,密碼技術(shù)不僅對(duì)于執(zhí)行保持信息秘密的功能而且對(duì)于驗(yàn)證被接收信息的功能和被稱之為“電子簽名”的用于驗(yàn)證從所指定的設(shè)備接收已傳輸信息的第三者的功能都是有效的。通過(guò)使用具有數(shù)字簽名的密碼通信能預(yù)防竊聽和不正當(dāng)行為�。
特別廣泛公知的是使用KSA編碼系統(tǒng)的驗(yàn)證和數(shù)字簽名方法,該RSA編碼系統(tǒng)是公共鍵密碼系統(tǒng)之一(例如���,見“獲得數(shù)字簽名和公共鍵密碼系統(tǒng)的方法”R.Rivest����,A.Shamir和L.Adleman著���,ACM通信1978���,2��,21�,頁(yè)120—125或見USP4�,405,828)��。
不同于RSA密碼系統(tǒng)使用一公共鍵密碼系統(tǒng)的作為另一種公知數(shù)字簽名的方法是由A.Fiat和A.Shamir提出的(見“如何驗(yàn)證你自己識(shí)別和簽名問(wèn)題的實(shí)際解決方法”�,密碼術(shù)—密碼先導(dǎo)′87,計(jì)算機(jī)科學(xué)的講座注釋�,263,Spriner-Verlag���,1988��,頁(yè)186—194或見USP 4,748,668)����。依照該方法���,執(zhí)行下述過(guò)程為給定的信息提供有效的識(shí)別和數(shù)字簽名�。
(1)計(jì)算給定信息數(shù)字簽名的一設(shè)備或作為通信系統(tǒng)的可靠中心的設(shè)備隨機(jī)地從{1,···�����,N-1}選取一元素(這里N是兩個(gè)素?cái)?shù)p和q的積)和選取的元素視為計(jì)算一簽名的該設(shè)備的保密信息����。
(2)已經(jīng)選取保密元素的設(shè)備計(jì)算a1mod N(注意1滿足gcd(1�,λ(N))=1,這里λ(N)=1cm(P-1��,q-1)�����,gcd(a���,b)代表最大公約數(shù)����,和1cm(a�,b)代表最小公倍數(shù)),和使用結(jié)果作為驗(yàn)證由該設(shè)備產(chǎn)生的數(shù)字簽名的公共信息���。
(3)在通過(guò)設(shè)備執(zhí)行去產(chǎn)生一給定信息m的數(shù)字簽名過(guò)程中����,R=r^1 modN,R它是通過(guò)使用以隨機(jī)的方法在{1��,···�,N-1}選出的保密元素r而獲得的,和R/m��,該值是連續(xù)給定公共信息m而獲得的�,它們均視為輸入,通過(guò)使用預(yù)先給定的函數(shù)h計(jì)算e=h(R/m)���。此后使用上述的值作為輸入計(jì)算S=r*a^e(mod N)����。獲得的結(jié)果S和R用來(lái)作為結(jié)定信息的數(shù)字簽名�����。
(4)為了驗(yàn)證給定信息m的數(shù)字簽名(S.R)而計(jì)算S^1modN和R*(a^1)^(h(R/m))mod N��,當(dāng)結(jié)果相同時(shí)就證實(shí)了數(shù)字簽名。
依照由C.P.Schnorr提出的有效識(shí)別和獲得一給定信息的數(shù)字簽名的方法(看“Efficient Identification and Signatures ForSmart Card”Advances In Cryptology-Crypto 189�,LectureNotes In Computer Science,435�����,Springer-Verlag����,1990�,頁(yè)139-252,或看USP 4,995,082)執(zhí)行下述的過(guò)程���。
(1)計(jì)算給定信息數(shù)字簽名的設(shè)備或作為通信系統(tǒng)可靠中心的設(shè)備隨機(jī)地從{1���,···,P}中選取一元素(這里P是素?cái)?shù))��,選取的元素視為計(jì)算簽名的該設(shè)備的保密信息���。
(2)已選取保密元素的該設(shè)備計(jì)算g-amodq(這里q是這樣一素?cái)?shù)�����,p是q-1的約數(shù)和屬于有限集GF(q)的元素g的數(shù)字的數(shù)目是p)和使用計(jì)算的結(jié)果作為驗(yàn)證由該設(shè)備產(chǎn)生的數(shù)字簽名的公共信息�����。
(3)由設(shè)備執(zhí)行的為給定信息m產(chǎn)生數(shù)字簽名的過(guò)程里�,R=grmodq,它是使用從{1����,···,p}隨機(jī)選出的保密元素r獲得的���,和R/m�,它是通過(guò)連續(xù)地給定公共信息m而獲得的值�,它們均視為輸入,和使用預(yù)定的函數(shù)h計(jì)算e=h(R/m)���,此后使用上述的值作為輸入計(jì)算S=r+a*e(modp)����,獲得的結(jié)果S和R用來(lái)作為給定信息的數(shù)字簽名��。
(4)為了驗(yàn)證給定信息m的數(shù)字簽名(S��、R),計(jì)算h(g^S((g^(-a)^(h(R/m))))(mod q)/m(R/m))(注意x^y表示Xy)����,當(dāng)這結(jié)果和e相等時(shí)就驗(yàn)證了數(shù)字簽名。
依照由T.ElGamal提出的有效的識(shí)別和為給定信息獲得數(shù)字簽名的方法(看“A Pullic&—Key Cryptosystem And ASignature Scheme Based On Discrete Logarithms”�,IEEETransactions On Information Theory,IT-31�,4,1985�����,頁(yè)469—472����,American National Standard X9�,30—199x,digitalSignature Algorithm��,2月��,1992)�,執(zhí)行下述的過(guò)程。
(1)為給定信息計(jì)算數(shù)字簽名的一設(shè)備��,或作為通信系統(tǒng)可靠中心的設(shè)備隨機(jī)地從{1,···��,P}中選取一元素(這里P是素?cái)?shù))�,選取的元素視為計(jì)算簽名的該設(shè)備的保密信息。
(2)選取保密信息的設(shè)備計(jì)算(g^(-a)modq(這里q是一素?cái)?shù)�����,p是q-1的約數(shù)����,屬于有限集GF(q)的g元素的數(shù)字?jǐn)?shù)目是p)和使用結(jié)果作為驗(yàn)證由這些設(shè)備所產(chǎn)生的數(shù)字簽名的公共信息。
(3)由設(shè)備執(zhí)行的去為給定信息m產(chǎn)生數(shù)字簽字的過(guò)程中����,使用R=gTmodq,它是使用從{1����,···,p}隨機(jī)選取的保密元素r而獲得的�����,和e=h(m)���,它是從預(yù)定函數(shù)h而獲得的值��,而給定的公共信息m視為輸入�����,計(jì)算S=(e+R*a)*r-1modp����。獲得的結(jié)果S和R作為給定信息的數(shù)字簽名。
(4)為了驗(yàn)證給定信息m的數(shù)字簽名(S��,R)��,計(jì)算(g^(-a))^(g^r(nóng))^S和g^m(mod q)�,當(dāng)這些值相等時(shí)�,驗(yàn)證了數(shù)字簽名。
換言之��,對(duì)于上述的維持保密和實(shí)現(xiàn)驗(yàn)證的信息通信系統(tǒng)��,Y.Desmedt和Y.Frankel提出來(lái)作為增加可靠性并同時(shí)保持信息秘密的工具和作為共享保密信息和共享為給定信息計(jì)算數(shù)字簽名的方法��,該結(jié)定信息是在用通信線路連接在一起的大量計(jì)算機(jī)中的�。(這里的計(jì)算機(jī)以后稱為一組簽名人���,屬于該組的每一個(gè)計(jì)算機(jī)稱為用戶,組內(nèi)計(jì)算機(jī)的數(shù)目表示為n)(看“ThresholdCryptosystem”����,Advances in Cryptology—Crypto89,435��,Springer—Verlay���,1990����,頁(yè).307—315��;和“Shared Generationof Authenticators And Signatures”�,Advances In Cryptology—Crypto 91,576���,Springer—Verlag�,1992�����,頁(yè)457—469)共享數(shù)字簽名方法的基本部分是共享由上述滿足前述的要求(a)和(b)的大量用戶組成的通信系統(tǒng)內(nèi)的保密信息,由Y.Oesmedt和Y.Frankel提出的共享型數(shù)字簽名方法使用了根據(jù)保密共享方法的RSA的保密系統(tǒng)并滿足如下要求(I)和(II)�����。
(I)t+1用戶協(xié)作對(duì)于為給定信息為一組簽名人去產(chǎn)生數(shù)字簽名是足夠的(II)當(dāng)用戶的數(shù)目少于一閥值(即t或更少)時(shí)��,不能產(chǎn)生給定信息的數(shù)字簽名�����。
在僅用要求(I)和(II)時(shí)��,然而�,當(dāng)共享數(shù)字簽名產(chǎn)生過(guò)程時(shí),如果在協(xié)作的t+1或更多用戶中有不正當(dāng)?shù)挠脩魰r(shí)��,也不能執(zhí)行數(shù)字簽名的產(chǎn)生��。
另一方面����,眾所公知�,為每一個(gè)已有任何類型錯(cuò)誤的每一個(gè)用戶產(chǎn)生數(shù)字簽名的方法可基于由前述要求(a)至(d)所定義的可驗(yàn)證的保密共享系統(tǒng)加以提供。換言之���,可以實(shí)現(xiàn)滿足下述要求的共享數(shù)字簽名系統(tǒng)���。
(I)盡管有不正當(dāng)?shù)挠脩舫霈F(xiàn)在正當(dāng)?shù)挠脩糁g�,只要有t+1正當(dāng)用戶的協(xié)作��,仍能產(chǎn)生給定信息的數(shù)字簽名�。
(II)當(dāng)用戶的數(shù)目少于閥值時(shí)(即,t或更少)不能產(chǎn)生給定信息的數(shù)字簽名���。
公知的是�����,通過(guò)使用上述可驗(yàn)證保密共享方法的共享和計(jì)算電路可以設(shè)計(jì)各種前述的數(shù)字簽名方法的共享和產(chǎn)生系統(tǒng)����。
公知的是�,對(duì)滿足上述要求(I)和(II)的共享數(shù)字簽名所要求的通信量和計(jì)算量是實(shí)際的。然而如前所述�,當(dāng)參加簽名共享和產(chǎn)生過(guò)程的用戶執(zhí)行不正當(dāng)?shù)氖挛飼r(shí),就不能產(chǎn)生簽名����。
另一方面����,如上所述�����,使用可驗(yàn)證的保密共享方法和共享和計(jì)算電路的共享數(shù)字簽名系統(tǒng)滿足要求(I)和(II)��,公知的是��,根據(jù)對(duì)活型可驗(yàn)證的保密共享方法(1)所要求的通信量是不實(shí)際的���,和根據(jù)非對(duì)話型的可驗(yàn)證的保密共享方法(2)所要求的計(jì)算量也是不實(shí)際的�����。
如上所述�,通過(guò)使用通常的技術(shù)�����,對(duì)于根據(jù)對(duì)話型可驗(yàn)證保密共享方法(1)的共享數(shù)字簽名系統(tǒng)而言���,所要求的通信量是巨大的���;通過(guò)使用通常的技術(shù),對(duì)根據(jù)非對(duì)話型可驗(yàn)證的保密共享方法(2)的共享數(shù)字簽名系統(tǒng)而所要求的計(jì)算量是巨大的��。
作為減少由于竊聽和偽裝而造成危險(xiǎn)的另一個(gè)措施�����,這里有一個(gè)被稱為Kerberos網(wǎng)絡(luò)公知的鑒別方法(看UNIX Security��,byS.Gartinkel和G.Spafford/由Hide Yamaguchi編輯����、翻譯,ASCII��,頁(yè)349—357和頁(yè)535—542����,1993),它使用了需要少量計(jì)算的一公共鍵密碼系統(tǒng)��。
將解釋特殊鑒別協(xié)議���,它們是基于由Needham和Schroeder(看R.N.Needham和M.D. Schroeder“Using Encryptionfor Authentication In Large Network of computers”CACM 21����,12,頁(yè)993-999�,Dec.1978)的鑒別協(xié)議和由Birrell的SecureRPC(Remote Procedure Call)(看A.D. Birrell“SecureCommunications Using RemotePro Cedureudurt Calls”,ACMTransaction Computersystems�,Vol.3 No.1,頁(yè)114����,2月。1985)的協(xié)議為基礎(chǔ)的��。
一般而言��,在Kerberos內(nèi)存在著為通信系統(tǒng)所有設(shè)備的管理保密信息(這相當(dāng)于等同保密鍵)的鑒別服務(wù)器���。鑒別服務(wù)器共同地使用帶有各個(gè)獨(dú)立設(shè)備i的保密鍵pKi��,這如圖31A所示�����。此后�,需要鑒別的人稱為聲明人,而提供聲明人鑒別的人稱為認(rèn)證人���。
如圖31B所示,當(dāng)聲明人A向認(rèn)證人B要求鑒別時(shí)��,A傳送具有{A��,B��,R}形式的數(shù)據(jù)161給鑒別服務(wù)器�。值得注意的是,A和B是公共識(shí)別信息項(xiàng)�,它們指定了聲明人A和認(rèn)證人B,例如設(shè)備或用戶姓名�,而R是隨機(jī)選取的數(shù)。
根據(jù)接收的數(shù)據(jù)161����,鑒別服務(wù)器反回具有{鑒別元素R,B�����,CK}^pkA形式的數(shù)據(jù)162到A����。值得注意的是�,{M}^K代表使用鍵K通過(guò)編碼信息M獲得的數(shù)據(jù)�����。鑒別元素是使用時(shí)間標(biāo)記T由{T����,A,CK}^pkB構(gòu)成的數(shù)據(jù)163����,和CK代表由鑒別服務(wù)器產(chǎn)生的和此后為A和B之間的公共鍵保密通信所使用的公共鍵。
為聲明人和認(rèn)證人之間的公共鍵保密通信的保密公共鍵以后稱為交談鍵�����。鑒別服務(wù)器以后為交談鍵作為傳送服務(wù)器�����。最后��,聲明人A發(fā)送先前描述鑒別元素163到認(rèn)證人B�����。認(rèn)證人B用它的保密主鍵PKB合成接收的鑒別元素163去認(rèn)證A,然后使用公共交談鍵CK執(zhí)行保密通信��。
通過(guò)使用Kerberos鑒別協(xié)議書���,可能因此使竊聽和偽裝造成的危險(xiǎn)減少。相應(yīng)于公共鍵的保密方法必須執(zhí)行512位或更大的位數(shù)的整數(shù)次方系列的余數(shù)的計(jì)算��,使得計(jì)算次數(shù)是巨大的��。
近而���,由于在公共鍵方法內(nèi)的Kerberos協(xié)議內(nèi)���,鑒別服務(wù)器管理著構(gòu)成通信系統(tǒng)包括由于物理原因是安全可靠的鑒別服務(wù)在內(nèi)的所有設(shè)備的保密信息,這也是所要求的(類似地���,對(duì)于公共鍵保密方法��,管理所有公共鍵的集中控制中心是要求的)����。因此,為了確保保密�,通過(guò)把它放置在一加鎖的室內(nèi)而嚴(yán)格地控制著鑒別服務(wù)器。未經(jīng)允許不許任何人入內(nèi)�。近而,由于發(fā)生失誤或由于未授權(quán)的辦理使鑒別服務(wù)器不再可靠�����,失效公差如此地加以減小���,使得整個(gè)系統(tǒng)的保密性全垮了�����。
本發(fā)明的目的是提供可驗(yàn)證的保密共享方法���,使用該方法時(shí),當(dāng)比較上述從對(duì)活系統(tǒng)(1)和保密系統(tǒng)(2)所獲得的值時(shí)���,所獲得的計(jì)算量和通信量構(gòu)成了實(shí)際幅度的次數(shù)����。
本發(fā)明是如此安放到適當(dāng)位置�����,使得它位于在對(duì)話型系統(tǒng)(1)和非對(duì)話型系統(tǒng)(2)的中間,和使用可驗(yàn)證的保密共享方法���,通過(guò)使用該方法�����,所需的計(jì)算量和通信量均構(gòu)成了實(shí)際的幅度次數(shù)����,并提出了共享的數(shù)字簽名系統(tǒng)(當(dāng)執(zhí)行非授權(quán)的用戶的數(shù)目等于或大于閥值時(shí)��,系統(tǒng)不產(chǎn)生數(shù)字簽名�,但能夠識(shí)別這樣的用戶)該數(shù)字簽名系統(tǒng)是安放在要求(I)(當(dāng)執(zhí)行非授權(quán)行為的用戶存在時(shí)系統(tǒng)不產(chǎn)生簽名)和要求(I′)(當(dāng)執(zhí)行非授權(quán)行為的用戶的數(shù)目等于或少于特定的閥值時(shí)�����,系統(tǒng)能產(chǎn)生一個(gè)簽名)之間的適當(dāng)?shù)奈恢谩?br>
本發(fā)明的另一個(gè)目的是克服了鑒別服務(wù)器可靠性的上述問(wèn)題��,使得提出了使用大量設(shè)備去共享和管理保密信息的共享鑒別服務(wù)器���。
共享鑒別服務(wù)器的要求如下(1)對(duì)于聲明人和認(rèn)證人而言���,共享鑒別協(xié)議書執(zhí)行相同的鑒別函數(shù)作為由通常的中心化管理所提供的鑒別協(xié)議書��。
(2)對(duì)聲明人和認(rèn)證人而言����,共享鑒別協(xié)議書確保相同接口(數(shù)據(jù)格式)作為由通常中心化管理所提供的鑒別協(xié)議書��。
(3)對(duì)聲明人和認(rèn)證人而言�,通過(guò)執(zhí)行和由執(zhí)行和由通常中心化的管理所提供的鑒別協(xié)議書所需要的相同量的計(jì)算而實(shí)現(xiàn)共享的鑒別協(xié)議書。
(4)上述的要求被滿足�,除非當(dāng)多于一半的構(gòu)成共享鑒別服務(wù)器的設(shè)備不再可靠。
根據(jù)一方面����,實(shí)現(xiàn)這些目標(biāo)的本發(fā)明涉及一通信系統(tǒng)的保密信息處理方法,其中�,通過(guò)保密通信信道連接大量的信息處理儀器,所有這些當(dāng)中的每一個(gè)設(shè)備與設(shè)備中的另一個(gè)通過(guò)廣播通信信道交換信息并且同時(shí)對(duì)任何剩下的設(shè)備保持信息保密�����,所有這些設(shè)備通常地和所有其它包括在內(nèi)的設(shè)備交換信息�,保密信息處理方法包括如下步驟作為大量設(shè)備并處理保密信息的第一個(gè)設(shè)備為大量第二組儀器從保密信息中產(chǎn)生一保密的數(shù)組;使用第一個(gè)設(shè)備為第二組設(shè)備從保密數(shù)組中取出第一個(gè)信息段和通過(guò)保密通信信道傳送該第一信息段到第二組設(shè)備;使用第一個(gè)設(shè)備在保密數(shù)組部分的基礎(chǔ)上執(zhí)行預(yù)定的函數(shù)���,和通過(guò)廣播通信信道廣播獲得的輸出值����;使用第二組設(shè)備產(chǎn)生隨機(jī)數(shù)����;和通過(guò)廣播通信信道廣播該隨機(jī)數(shù);使用該第一個(gè)設(shè)備為第二組設(shè)備從保密數(shù)組并結(jié)合被廣播出的隨機(jī)數(shù)產(chǎn)生第二個(gè)信息段���,通過(guò)廣播通信信道廣播第二個(gè)信息段�;使用第二組設(shè)備產(chǎn)生第三個(gè)信息段�,該信息段作為使用第一儀器為該第二組設(shè)備產(chǎn)生的第二信息段,這些信息段與被接收的第一信息段和由第二組設(shè)備產(chǎn)生的諸多隨機(jī)數(shù)相一致����;和使用第二組設(shè)備比較第三信息段和被廣播的為第二組設(shè)備的第二信息段��,驗(yàn)證保密信息是被第一個(gè)設(shè)備所共享的��。
根據(jù)另一方面�����,實(shí)現(xiàn)這些目標(biāo)的本發(fā)明涉及通信系統(tǒng)的簽名產(chǎn)生方法,其中����,通過(guò)保密通信信道連接在一起的大量設(shè)備,所有這些設(shè)備和其它設(shè)備通過(guò)廣播通信信道交換信息并對(duì)剩下的儀器保持信息秘密��,所有的設(shè)備中的每一個(gè)共同地與所有其它設(shè)備交換信息�����,簽名產(chǎn)生方法包括以下步驟使用屬于一簽名組的設(shè)備的每一個(gè)隨機(jī)地選取第一個(gè)保密信息���,和組內(nèi)的設(shè)備秘密地其享第一個(gè)保密信息��;使用諸設(shè)備在第一保密信息的基礎(chǔ)上執(zhí)行預(yù)定的第一個(gè)函數(shù)和廣播獲得的輸出值到組內(nèi)的所有設(shè)備�;
在組內(nèi)諸設(shè)備中的每一個(gè)共享第一個(gè)保密信息�,和加第一個(gè)保密信息;在組內(nèi)儀中以乘法共享輸出值��,在由乘法獲得的結(jié)果和一信息的基礎(chǔ)上執(zhí)行預(yù)定的第二函數(shù)�;在組內(nèi)設(shè)備中共享第二個(gè)保密信息和使用對(duì)執(zhí)行第二個(gè)函數(shù)所獲得的結(jié)果,即由共享和加獲得的一個(gè)結(jié)果����,和一個(gè)變?yōu)楣_的元素來(lái)計(jì)算第二個(gè)保密信息���;通過(guò)組內(nèi)所有設(shè)備共同努力對(duì)共享的第二保密信息進(jìn)行譯碼,和輸出譯碼的第二保密信息并結(jié)合共享乘法獲得的結(jié)果作為簽名����。
根據(jù)附加的一方面,完成這些目標(biāo)的本發(fā)明涉及通信系統(tǒng)鑒別方法���,其中���,大量的設(shè)備連接在一起,屬于特定組的那些設(shè)備共提供鑒別��,鑒別方法包括如下的步驟傳送包括聲明人的標(biāo)識(shí)符和認(rèn)證人的標(biāo)識(shí)符的鑒別請(qǐng)求信息從傳送鑒別請(qǐng)求的聲明人的設(shè)備和從認(rèn)證人的設(shè)備到特定組的每一個(gè)設(shè)備���;產(chǎn)生用保密鍵編碼的鑒別元素���,該保密鍵涉及認(rèn)證人和基于使用屬于特定組內(nèi)所有設(shè)備協(xié)同努力的鑒別請(qǐng)求信息�����,使用涉及聲明人的保密鍵和鑒別元素進(jìn)行編碼而產(chǎn)生的鑒別信息;傳送從特定組每一個(gè)設(shè)備的鑒別信息到聲明人的設(shè)備�����;在接收到鑒別信息的基礎(chǔ)上在聲明人的設(shè)備內(nèi)譯碼該鑒別信息����,傳送該譯碼的鑒別元素到認(rèn)證人的設(shè)備;和在認(rèn)證人的設(shè)備內(nèi)進(jìn)行譯碼該鑒別元素和傳送鑒別到聲明人���。
根據(jù)另一個(gè)方面���,實(shí)現(xiàn)這些目標(biāo)的本發(fā)明涉及具有大量信息處理設(shè)備和保密通信信道的一通信系統(tǒng),所有這些當(dāng)中的每一個(gè)設(shè)備能與另一個(gè)設(shè)備秘密地變換信息并同時(shí)對(duì)剩下的設(shè)備保密�,和廣播通信信道連接所有這些當(dāng)中每一個(gè)設(shè)備共同地傳送信息到所有其它的設(shè)備,大量信息處理設(shè)備的第一信息處理設(shè)備包括第一產(chǎn)生裝置��,用于從保密信息中產(chǎn)生預(yù)定的部分?jǐn)?shù)組�;取出裝置,用于從部分排列當(dāng)中取出為任何剩下的信息處理設(shè)備的第一信息段和傳送第一信息段到剩下的信息處理設(shè)備�,函數(shù)處理裝置,用于對(duì)第一信息段執(zhí)行預(yù)定的函數(shù)運(yùn)算�����,和廣播輸出值,過(guò)廣播通信信道到剩下的信息處理設(shè)備��;和第二產(chǎn)生裝置���,用于產(chǎn)生與用剩下信息處理設(shè)備廣播產(chǎn)生的隨機(jī)數(shù)相一致的第二個(gè)信息段�,和通過(guò)廣播通信信道廣播第二信息段�����;剩下的信息處理設(shè)備的每一個(gè)包括隨機(jī)數(shù)產(chǎn)生裝置��,用于產(chǎn)生一隨機(jī)數(shù)���,和通過(guò)廣播通信信道廣播隨機(jī)數(shù)�;第三產(chǎn)生裝置����,用于以第一個(gè)信息段和該隨機(jī)數(shù)相一致地產(chǎn)生第三個(gè)信息段,該第三個(gè)信息段由第一信息處理設(shè)備作為第二個(gè)信息段被產(chǎn)生��;和驗(yàn)證裝置��,用于比較第三個(gè)信息段和被廣播的第二個(gè)信息段�,和驗(yàn)證由第一信息處理設(shè)備所執(zhí)行的共享的秘密����。
根據(jù)另一方面�����,實(shí)現(xiàn)這些目標(biāo)的本發(fā)明涉及具有大量信息處理設(shè)備和保密通信信道的一通信系統(tǒng)���,所有這些當(dāng)中每一個(gè)設(shè)備能和其它的設(shè)備秘密交換信息而同時(shí)對(duì)剩下的設(shè)備保持信息保密;和廣播通信信道連接所有這些當(dāng)中每一個(gè)設(shè)備共同地傳送信息到所有其它的設(shè)備�,在大量設(shè)備中屬于同一組鑒名人的每一個(gè)設(shè)備包括
共享裝置,用于隨機(jī)地選取第一個(gè)保密信息和在組內(nèi)的設(shè)備當(dāng)中秘密地共享第一個(gè)保密信息�����;廣播裝置�����,用于對(duì)第一個(gè)保密信息執(zhí)行預(yù)定的第一函數(shù)運(yùn)算和廣播所獲得的值到組內(nèi)所有剩下的設(shè)備��;加法裝置���,用于共享組內(nèi)每一個(gè)設(shè)備所保持的第一個(gè)保密信息和加第一個(gè)保密信息���;處理裝置���,用于共享組內(nèi)每一個(gè)設(shè)備保持的輸出值和乘輸出值,和對(duì)用乘法獲得的結(jié)果和信息執(zhí)行預(yù)定的第二函數(shù)運(yùn)算�����;計(jì)算裝置����,用于使用乘法結(jié)果,由共享和加獲得的結(jié)果和在組內(nèi)設(shè)備共享第二信息公開的一元素和計(jì)算第二信息�;和譯碼裝置,用于通過(guò)共享第二保密信息組內(nèi)所有設(shè)備的聯(lián)合努力下對(duì)第二保密信息進(jìn)行譯碼���,和輸出譯碼的第二保密信息并且結(jié)合由共享和乘法所獲結(jié)果一起作為簽名��。
結(jié)合下述發(fā)明的優(yōu)選的實(shí)施例����,從上述討論的其它目的和優(yōu)點(diǎn)對(duì)于所屬領(lǐng)域的技術(shù)人員而言將是明顯的��,在說(shuō)明書中參考作為構(gòu)成發(fā)明一部分的并且給出發(fā)明實(shí)例的附圖��。然而,這樣的例子并不是發(fā)明的全部的各種實(shí)施例��。因此參考下述描述確定發(fā)明范圍的權(quán)利要求��。
圖1是本發(fā)明一實(shí)施例的通信系統(tǒng)結(jié)構(gòu)的方框圖�;圖2是每一個(gè)用戶使用的信息處理設(shè)備結(jié)構(gòu)的方框圖�;圖3是保密和部分矩陣之間關(guān)系的框圖;圖4是單路散列函數(shù)操作的處理的框圖��;圖5是保密共享處理過(guò)程的框圖����;圖6是保密譯碼處理過(guò)程的框圖7是解釋共享和計(jì)算處理的框圖;圖8A至8C是從輸入信息獲得散列值處理的框圖�;圖9是在共享時(shí)產(chǎn)生數(shù)字簽名的通信系統(tǒng)結(jié)構(gòu)的方框圖;圖10A和10B解釋保密鍵和公共鍵產(chǎn)生處理的過(guò)程的圖形�����;圖11是解釋共享保密線性組合處理的輸入和輸出關(guān)系的圖形����;圖12是解釋共享簽名產(chǎn)生處理過(guò)程的圖形;圖13A和13B是解釋保密鍵和公共鍵產(chǎn)生處理過(guò)程的圖形�;圖1 4是解釋保密共享乘法處理的圖形�;圖15是解釋共享保密線性組合處理的圖形��;圖16是解釋共享簽名產(chǎn)生處理過(guò)程的圖形�;圖17是解釋可驗(yàn)證的保密共享乘法處理過(guò)程的圖形;圖18是解釋可驗(yàn)證的保密共享乘法處理過(guò)程的圖形����;圖19是解釋保密共享和乘法處理過(guò)程的圖形;圖20是解釋共享簽名產(chǎn)生過(guò)程的圖形�;圖21是為鑒別執(zhí)行共享的通信系統(tǒng)結(jié)構(gòu)的方框圖;圖22是解釋共享保密線性組合處理的圖形���;圖23A和23B是共享偽隨機(jī)數(shù)產(chǎn)生處理過(guò)程的圖形�;圖24A和24B是保密鍵和編碼處理過(guò)程的圖形��;圖25A和25B是共享鑒別協(xié)議書過(guò)程的圖形�����;圖26是脫機(jī)偽隨機(jī)數(shù)產(chǎn)生處理過(guò)程的圖形���;圖27是連機(jī)保密鍵傳送處理過(guò)程的圖形���;圖28A和28B是共享鑒別協(xié)議書過(guò)程的圖形���;圖29A和29B是共享鑒別協(xié)議書過(guò)程的圖形;
圖30A和30B是共享鑒別協(xié)議書過(guò)程的圖形�;以及圖31A和31B是通常共享鑒別協(xié)議書過(guò)程的圖形;結(jié)合附圖描述本發(fā)明優(yōu)選的實(shí)施例〔實(shí)施例1〕首先描述本發(fā)明的原理圖3是保密S和P部分矩陣S之間關(guān)系的框圖���。
在這個(gè)實(shí)施例中用于保密S的部分矩陣S是保密段nxn的矩陣S=S(i����,j)〕(i�,j=1����,···,n)它是如何得到的���,這將在以后敘述�����,加被要求用于通常對(duì)話型可驗(yàn)證的保密共享系統(tǒng)所使用的部分矩陣��。
首先�����,每一列的矢量S-r(i)=S(i���,1)���,···,S(i���,n)〕(i=1��,···n)是保密S-r(i)的保密部份矢量(在特定保密的共享方法中元素j的矢量是用戶j的保密部份)和每一行的矢量���,S—C(j)=S(S(l,j〕����,···S(n,j)〕(j=1�����,···n)是保密S-C(j)的保密部份矢量。
分別對(duì)應(yīng)保密S-r(i)和S-C(j)的矢量〔S-r(1)�,···S-r(n)〕和〔S-C(1),···S-r(n)〕是保密元素的保密部份矢量��。這樣構(gòu)成部分矩陣的行矢量i(i=1����,···,n)和保密S-r(i)被傳送到用戶i作為每個(gè)用戶i的一保密信息段�����。因此���,在保密譯碼過(guò)程中。只要接收信息段的用戶不執(zhí)行非授權(quán)的行動(dòng)���,就有可能以非常高的概率驗(yàn)證是否用各個(gè)單獨(dú)用戶所廣播的信息是正確的��。
增加該實(shí)施例是為了驗(yàn)證��,甚至當(dāng)特有初始保密信息和并且已經(jīng)配給了保密信息段的用戶執(zhí)行了非授權(quán)的行動(dòng)���,驗(yàn)證是否在保密譯碼過(guò)程中被廣播的信息段是正確的,作為對(duì)應(yīng)每一個(gè)用戶i(i=1,···��,n)的保密S-r(i)的鑒別元素的一個(gè)值在保密信息段被配給之前由單路散列函數(shù)所產(chǎn)生(看“ModernCryptologicalTheory�����,”by Ikeno和Royama�����,頁(yè).224-225����,IEEE,1986)�����。
將解釋單路散列函數(shù)單路散列函數(shù)是一種函數(shù)��,使用它可以執(zhí)行數(shù)據(jù)壓縮量化��,使用該函數(shù)通過(guò)輸入值獲得輸出值的計(jì)算是容易的�,但是反過(guò)來(lái)從輸出值求輸入值的計(jì)算是困難的。在該實(shí)施例中����,然而�����,和在通常的非對(duì)話型的可驗(yàn)證的保密共享系統(tǒng)所使用的單路函數(shù)相比較����,特殊代數(shù)性質(zhì)并不是必需的�����,這樣可以使用提供高速計(jì)算的單路散列函數(shù)����。
作為單路散列函數(shù)的特殊實(shí)例,R.Merkel已經(jīng)提出了使用信息組編碼術(shù)例如DES(數(shù)據(jù)編碼標(biāo)準(zhǔn)的一單路散列函數(shù)(看“One—Way Hash Functions和DES”Advances in Cryptology—Crypto 189��,Lecture Notes In Computer Science����,Vol.345�����,Springer—Verlag,1990)圖8A至8C是單路散列函數(shù)特定結(jié)構(gòu)的圖形在圖8A中給出信息組編碼����,該編碼是使DES執(zhí)行的,和編碼電路81是從64位輸入或從56位鍵提供一64位的輸出�,(至圖8A至8C中DES是用E表示)。
然后����,圖8B給出了輸入長(zhǎng)度是119位和輸出長(zhǎng)度是112位的函數(shù)F的處理,而DES被用來(lái)作為部分處理�。標(biāo)號(hào)82指示一函數(shù)操作電路。該處理定義如下���。
首先輸入被分為兩部分K和X(注意K部分的長(zhǎng)度是55位�,而剩下部分X的長(zhǎng)度是64位)����。然后,X部分被用來(lái)作為DES的輸入���,而使用組合部分K和‘0’或獲得的值‘0’�,K被用來(lái)作為55位鍵��。用獲得的輸出和X執(zhí)行EXOR操作,而獲得的結(jié)果被視為函數(shù)F輸出左邊的64位����。使用同樣的方式,同樣的部分�,X被用來(lái)作為輸入,使組合剩下部分K和‘1’獲得的值‘1’�,K被用來(lái)作為一鍵,用獲得的輸出如X執(zhí)行EXOR操作�����。從結(jié)果的64位中的48位(右邊的48位)作為函數(shù)F剩余部分��。然后由組合兩個(gè)這樣獲得的輸出所提供的結(jié)果是函數(shù)F的112位輸出���。
隨著這個(gè)����,圖8C給出了一給定信息是輸入和單路散到函數(shù)值是輸出的處理����,標(biāo)號(hào)83代表散列函數(shù)操作單元��,該過(guò)程按如下執(zhí)行。
給定信息的前119位被用來(lái)作為上述函數(shù)F的輸入���,這樣獲得第一個(gè)112位的輸出��。然后�,該輸出再次用來(lái)作為112位的輸入����,和此后剩下的7位信息重復(fù)地輸入到函數(shù)F,最后�����,當(dāng)所有的信息被輸入所獲得的112位輸出被用來(lái)作為信息的散列值(如果這里有過(guò)少的位去輸入信息的最后7位時(shí)�,根據(jù)需要加入‘0’)R.Merkel在前述論文中陳述,用上述的計(jì)算獲得的單路散列函數(shù)(即����,當(dāng)獲得不同的輸入信息時(shí)和當(dāng)一個(gè)散列值被給出而為獲得相同的散列值是非常困難的因子)是被提供作為數(shù)組編碼的安全(當(dāng)輸入給定時(shí),從鍵獲得的輸出是隨機(jī)變化的��,和輸出給定時(shí)�,從鍵獲得的輸入是隨機(jī)變化的)例如上述所使用的DES。
近而���,在同一篇論文里���,也提出了比上述散列函數(shù)更困難的單路散列函數(shù)��。另外���,R Rivest已經(jīng)提出了不使用數(shù)組編碼的一有效的單路散列函數(shù)(看“The MD4 Massage Digest Algorithm,”Adances In Cryptology—Crgpto ′90�����,Lecture Notes InComputer Science����,Vol.537,Sprviger—Verlag���,1991.NistFederal Information Processing Standard For Secure Hash���,American National Standard X9.30-199X).
在本實(shí)施例中將描述“切下和選取處理”。
為了驗(yàn)證是否所有用戶在保密共享處理中已經(jīng)收到的保密信息段是可驗(yàn)證共享保密的類似切下和選取的信息段���,正如在通常對(duì)話型保密共享系統(tǒng)所執(zhí)行的����,配給了保密元素S的部分矩陣和散列值�����,和在與此同時(shí)配給了隨機(jī)被選取的K保密11��,···1K���,的部分矩陣和散列值���。所有涉及由所有用戶隨機(jī)確定的K/2(1i(1),···��,1i(k/s)的保密信息被廣播���。當(dāng)它是為利于k/2保密(1j(1)�����,···��,1j(k/2))時(shí)����,所有涉及1j(1)+s,···���,1j(k/2)+S的保密信息被廣播了��。當(dāng)在所有廣播信息中已出錯(cuò)的部分的數(shù)目超過(guò)t時(shí)���,它就確定,保密共享處理已是不正確了�����。
以這樣的方式能提供滿足下列要求(c’)和(d’)而不是通?����?沈?yàn)證保密共享方法要求(c)和(d)的一保密共享方法���,使用該方法����,能夠?qū)崿F(xiàn)安全地完成共享計(jì)算的方法和通信系統(tǒng)。
(c’)當(dāng)不正確信息段和正確的信息段加以混合時(shí)��,甚至帶有t+1個(gè)正確的信息段時(shí)初始的保密信息并不被譯碼���,但能夠識(shí)別執(zhí)行非授權(quán)行動(dòng)的用戶�����。
(d’)當(dāng)單獨(dú)的用戶已經(jīng)接收了保密的信息段時(shí),信息段的內(nèi)容對(duì)于保密信息X的譯碼不是正確的�����,在譯碼處理時(shí)�,可以識(shí)別執(zhí)行非授權(quán)行為的一用戶。
這些要求使得檢測(cè)出犯錯(cuò)誤的用戶即錯(cuò)誤的檢測(cè)成為可能�,甚至通過(guò)通常的方法,當(dāng)這里有在犯錯(cuò)的用戶時(shí)�,不能對(duì)保密進(jìn)行譯碼,即不能執(zhí)行錯(cuò)誤校正���。使用求(c)和(d)�,甚至當(dāng)這里是犯錯(cuò)誤的用戶時(shí)���,能夠執(zhí)行共享操作�����,近而��,使用開關(guān)要求(c1)�,檢測(cè)犯錯(cuò)誤的用戶是可能的,在給出警告之后���,處理繼續(xù)執(zhí)行���,可以獲得正確地輸出和能夠?qū)崿F(xiàn)適當(dāng)?shù)氖Ч睢?br>
在該實(shí)施例中,提出了可驗(yàn)證的保密共享方法�,該方法能夠識(shí)別執(zhí)行非授權(quán)行動(dòng)的一用戶,當(dāng)這樣用戶存在時(shí)����,甚至共享的保密不能被譯碼時(shí)也是如此。即�,這就可能提供可驗(yàn)證的保密共享方法,該方法是在上述的對(duì)話型方法(1)和編碼方法(2)之間的適當(dāng)?shù)奈恢?,它?duì)計(jì)算量和通信量的要求均在實(shí)際幅度的次數(shù)范圍內(nèi)。
圖1是一根據(jù)本發(fā)明的一個(gè)實(shí)施例的信息處理系統(tǒng)的框圖�,它包括了共享的信息處理設(shè)備����。
圖1是由系統(tǒng)用戶使用的信息處理儀11����。在下述的解釋中,使用該系統(tǒng)的每一個(gè)設(shè)備和用戶被視為是相同的��、和設(shè)備11被稱為用戶����。廣播通信信道12用來(lái)打開信息到所有的用戶11�����,和保密通訊信道13被用來(lái)作為和每一個(gè)用戶進(jìn)行保密通信���。
圖2是信息處理儀11結(jié)構(gòu)的方框圖����,在圖2中����,通信單元21被用來(lái)通過(guò)廣播通信信道12或保密通信信道13和另一個(gè)設(shè)備11通信����。一算法操作處理單元22執(zhí)行各種算法操作�,例如單路散列函數(shù),和根據(jù)在存儲(chǔ)器單元24的程序的處理決定��,和控制著各個(gè)單元部分��。一隨機(jī)數(shù)產(chǎn)生單元23例如是一個(gè)偽隨機(jī)數(shù)產(chǎn)生器��,并且用來(lái)產(chǎn)生偽隨機(jī)數(shù)��、存儲(chǔ)單元24被用來(lái)存儲(chǔ)算法操作處理單元22執(zhí)行的程序�,例如在處理過(guò)程產(chǎn)生的算法操作結(jié)果的信息,從其它設(shè)備所接收的信息和各種參數(shù)�����。
在一給定的有限集F內(nèi)執(zhí)行可驗(yàn)證的共享保密的方法將在下面專門地加以描述�。
首先,將專門地解釋保密S的部分矩陣X�����。
在給定有限集中對(duì)保密元素S的部分矩陣S=S(i����,j)〕(i��,j=1�����,···����,n〕中�,每一個(gè)行矢量S-r(i)=S(i,1)�,···S(i,n)〕(i=1��,···n)對(duì)應(yīng)著n個(gè)不同的值i1��,··in�,是tth次方的多項(xiàng)式fi的值fi(i1)���,···fi(in)�����,其中sr(i)作為常數(shù)項(xiàng)����。每列矢量S-C(j)=S(l,j)···�����,S(n����,j)〕(j=1,···�,n)的元素對(duì)應(yīng)著n個(gè)不同的值j1,···jn是有tth次方的多項(xiàng)式gj的值gj(j1)��,···���,gj(jn)���,其中S—C(j)作為常數(shù)項(xiàng)。近而���,當(dāng)兩個(gè)矢量〔S-r(1)�����,···S-r(n)〕和〔S-C(1)����,···S-C(n)〕分別是tth次方的多項(xiàng)式f和g的值f(i1,···�,in)和g(j1,···���,jh)���,其中具有保密元素S作為常數(shù)項(xiàng)。
現(xiàn)解釋該實(shí)施例的處理過(guò)程���,它可分劃為兩個(gè)處理過(guò)程保密共享過(guò)程����,配給在有限集內(nèi)的保密到所有的用戶�,使得保密在用戶當(dāng)中保持和共享�;保密譯碼過(guò)程,由所有的用戶對(duì)共享的保密進(jìn)行譯碼或識(shí)別執(zhí)行非授權(quán)行為的用戶(假如非授權(quán)行為已經(jīng)發(fā)生了)�����。
(1)保密共享過(guò)程保密共享過(guò)程是持有保密元素S的用戶d分配了它的保密部分的過(guò)程。圖5是處理過(guò)程的圖形�����,在圖5中�����,由用戶i在范圍j內(nèi)執(zhí)行對(duì)Rj�����,i的處理��。
此后�,h代表有效的單路散列函數(shù)(包括了高速計(jì)算方法)。使用由高速數(shù)組編碼形成的散列函數(shù)(看aforementioned“ModernCryptological Theory”)作為一例子�����,對(duì)于給定的K′�����,保密參數(shù)K滿足K=nk,在這種情況下����,依照切下和選取處理,保密共享處理的驗(yàn)證將失效的概率是2^(—K′(t+1))(看the aforementioned“Verifiable Secret Sharing和Multiparty Protocols With HonestMajority”���,T.Rabin和M.Ben—Or).
(范圍1)用戶d使用隨機(jī)數(shù)產(chǎn)生單元23分別為在給定的有限集隨機(jī)選取的保密元素S和保密元素11�,···�����,1k產(chǎn)生部分矩陣S����,L1,···Lk�。如圖4所示,使用散列函數(shù)操作處理單元83獲得保密值S-r(1)���,···�����,S-r(n)����,11r(1)�����,···11-r(n)����,···11-r(n),···�,1K-r(1),···����,1Kr(n)的單路散列函數(shù)值S*。
用戶d通過(guò)保密通信信道13傳送每一個(gè)產(chǎn)生的矩陣列矢量S-C(i)���,L1-C(i)�,···����,LK-C(i)和保密S-r(i)��,11-r(i)���,···1K-r(i)(信息Bi.i)到每一個(gè)用戶i(i-1,···���,n�,包括他本身)�����,然后通過(guò)廣播通信信道12把散到值S*(信息B1����,d)廣播到所有用戶(處理R1,d)�。
(范圍2)每一個(gè)用戶i(i-1,···����,n)使用隨機(jī)數(shù)產(chǎn)生單元23來(lái)廣播隨機(jī)選取的(處理R2,i)K′位(信息B2.i)�。隨機(jī)選取的K′位的每一位被稱為Bi-1,···�����,Bi-K′,和到所有n用戶的位被稱為B1�����,···Bk����。
(范圍3)如果在第二范圍廣播的每位Bj(j=1����,···,K)是1���,用戶d廣播由用戶d在第一范圍中產(chǎn)生的部分矩陣Lj��,如果Bj是0���,用戶d廣播的是把產(chǎn)生的部分矩陣S的每一個(gè)元素和在有限集的Lj(處理R3,d)相加而獲得的結(jié)果(寫為S+Lj).由用戶d廣播的信息表示為在圖5中的B3.d����。
(范圍4)對(duì)于在范圍1中已經(jīng)秘密地接收到的信息B1.i的每一個(gè)值j(j=1�,···��,K)�,每一個(gè)用戶i(i=1,···�,n)驗(yàn)證是否列矢量Lj-C(i)和Lj-r(i)(當(dāng)在范圍2中被廣播的位Bj是1)或Lj-C(i)+S-C(i)和Lj-r(i)+S-r(i)(當(dāng)Bj是0)是等于在范圍3中部分矩陣的列矢量和保密值,當(dāng)它們不等于涉及的特定值j時(shí)�,用戶d的決定信息(信息B4.i)被廣播(處理R4.i)。
(范圍5)當(dāng)在范圍4中的決定信息被廣播時(shí)���,用戶d廣播它已經(jīng)在范圍1中秘密傳送的信息B1.j到已經(jīng)廣播了決定信息(處理R5.d)的各個(gè)單元的用戶j��。
(后處理)當(dāng)在第五范圍中廣播的信息不正確時(shí)�,或當(dāng)在第4范圍廣播的決定信息的數(shù)目大于閥值t時(shí)��,每一個(gè)用戶i(i=1��,···���,n)決定�����,用戶d已經(jīng)執(zhí)行了非授機(jī)的行動(dòng)(處理Pi)��。
每一個(gè)用戶i在范圍1至范圍5中已經(jīng)收到的全部信息示為S-i����。
(2)保密譯碼處理保密譯碼處理是通過(guò)所有的用戶從由各個(gè)用戶所保持并且通過(guò)上述保密共享過(guò)程的信息S-i中獲得保密元素S的處理,圖6是該處理的過(guò)程��。
(范圍1)每一個(gè)用戶i(i=1���,···,n)廣播保密值S-C(i)和包括在信息段S-i內(nèi)的S-r(i)(處理R1����、i)。
(范圍2)每一個(gè)用戶i(i=1����,···,n)從在范圍1廣播的值中選取t+1個(gè)值S-C(i���,1)���,···,S-C(i�,t+1)和S-r(i�,1)�����,···�,S-r(i,t+1)����。然后,通過(guò)內(nèi)插多項(xiàng)式獲得結(jié)果S(C)和S(r)�。用戶i驗(yàn)證是否兩個(gè)結(jié)果值是相等的,和保留的廣播值對(duì)于對(duì)應(yīng)S(C)=r的多項(xiàng)式是正確的值����。當(dāng)所有的值是正確的,可以確定保密元素S等于S(C)=S(r)��,譯碼過(guò)程結(jié)束���。當(dāng)不對(duì)應(yīng)同一個(gè)多項(xiàng)式的值被廣播時(shí)���,包括在信息段S-i的列矢量S-C(i)(信息B2,i)被廣播(處理R2,i)(范圍3)每一個(gè)用戶i(i=1�����,···�����,n)從在第二范圍內(nèi)被廣播的列矢量S-C(j)(j=1��,···���,n)中產(chǎn)生部份矩陣S′。然后�����,用戶i從相對(duì)于總共所有的集t1���,···��,tm(m=nCT+1/(t+1)���!(n-t-1)!)中選取列矢量集����,T1�,···�����,Tm����,所有的該集t1,···�����,tm包括由1�����,···�,n組成的t+1個(gè)不同的值。結(jié)果值S′-r(1)��,···����,S′(r)和S′-C(1)����,···�����,S′-C(n)通過(guò)內(nèi)插多項(xiàng)式而獲得的相應(yīng)的行和列���。近而��,使用內(nèi)插多項(xiàng)式由上述值可以獲得結(jié)果S′(r)和S′(c)��。用戶i驗(yàn)證是否這些結(jié)果值中的兩個(gè)是否相等和這些列矢量的所有元素對(duì)于對(duì)應(yīng)值S-C(1)�����,···,S′-C(n)和S′-r(1)�����,···���,S′-r(n)的多項(xiàng)式來(lái)說(shuō)均是正確的值����。
在集T1,···���,Tm當(dāng)中包括t+1列矢量被這樣驗(yàn)證了���,對(duì)應(yīng)不同正確部分矩陣的集的次數(shù)最大是t+1,和部分矩陣被稱為S-1�,···,S-T(這里T<t+1)��。當(dāng)這里僅存在一個(gè)正確部分矩陣(T=1)時(shí)�����,可以確定�,對(duì)于該矩陣的保密S是等于初始的保密,而非對(duì)應(yīng)的列矢量表示執(zhí)行非授權(quán)行動(dòng)的用戶�����。當(dāng)存在著兩個(gè)或更多正確的部分矩陣時(shí)����,每一個(gè)用戶i(i=1����,···����,n)廣播它所保持的(處理R3、i)的所有信息段(信息B3�,i)。
(后處理)每一個(gè)用戶i(i=1�����,···����,n)使用在第三范圍中所廣播的信息S-j(j=1,···�,n)去計(jì)算相同的單路散列函數(shù),該計(jì)算方法在上述保密共享處理中已使用�����。這樣�����,用戶i驗(yàn)證是否所有的廣播信息是正確的和對(duì)應(yīng)著在第一范圍的共享處理時(shí)被廣播的值S*�。這就可以確定,對(duì)應(yīng)正確部分矩陣(這里可能存在最多僅有一個(gè))的保密S′等于保密元素S����。另一方面,如果沒(méi)有找到正確的部分矩陣����,可以確定,保密共享用戶d已執(zhí)行了非授權(quán)的行動(dòng)(處理Pi)����。
如上所述,根據(jù)此實(shí)施例����,要求n^2k次方的通信量,而上述對(duì)于通常對(duì)話型方法(1)要求的通信量是n^3k^2次方�。近而,在該實(shí)施例中僅要求一次計(jì)算單路散列函數(shù)����,而對(duì)于通常的非對(duì)話型方法(2)要求計(jì)算一特定單路函數(shù)的n次方��。這樣�,和所能提供的通常方法所要求的通信量和計(jì)算量加以比較��,使用本發(fā)明方法的通信量和計(jì)算量均是實(shí)際的���。
〔實(shí)施例2〕如在實(shí)施例1中的可驗(yàn)證的保密共享處理和保密譯碼處理被用來(lái)作為通常安全共享方法的部分處理(看���,例如,“SecureMultiparty Protocols和Zero—Knowledge ProofSystemsTolerating A Faulty Minority”����,D. Beaver,JournalofCryptology�,1991,或“A Note On Multiparty Protocols ToCompute Multiplicative Inverses����,M.Cerecedo,T.Matsumoto�,和H.Imai,SCIS 194��,Biwako�����,Japan�,January 1994),使得能提供更有效共享操作處理系統(tǒng)�����。
在共享操作系統(tǒng)中����,共享和乘法處理和共享和加處理被用來(lái)作為基本的處理,部分加處理被用來(lái)作為部分乘法處理的部分處理���。使用共享和乘法處理和共享和加處理這兩者可以執(zhí)行在給出的有限集的一般算法操作����。將解釋作為所有處理的基本部分處理的共享和加處理��,可參看圖7使用實(shí)施例1中的處理所執(zhí)行的操作的情況��。
當(dāng)在給定有限集中兩個(gè)保密元素X和Y被共享時(shí)(在這時(shí)���,每一個(gè)用戶保持著分別對(duì)應(yīng)保密元素X和Y的保密部分X-i和Y-i)���,并不執(zhí)行通信�����,對(duì)應(yīng)在給出的有限集中的X+Y的保密部分(X+Y)-i按如下加以計(jì)算�。
首先列矢量X-(a)和Y-C(i)的元素和每個(gè)用戶保持的部分矩陣的保密值X-r(i)和Yr(i)的元素進(jìn)行相加���。這從部分矩陣的定義可以明顯地看出(行和列的元素是多項(xiàng)式的值)加的結(jié)果是X-C(i)+Y-C(i)和x-r(i)+y-r(i)是列矢量和相關(guān)于X+Y的部分矩陣的保密值���。
存儲(chǔ)為驗(yàn)證在保密譯碼過(guò)程中信息段而使用的單路散列函數(shù)值X*和Y*。當(dāng)時(shí)X+Y的加的結(jié)果執(zhí)行譯碼過(guò)程時(shí)��,這些值依需要而被使用���,和這樣驗(yàn)證了對(duì)應(yīng)保密x+y的部分矩陣X+Y�。
使用上述共享和加法過(guò)程作為部分處理可提供一般的共享的算法操作系統(tǒng)�����。
本發(fā)明并不限于在上述實(shí)施例中所描述的部分矩陣的維數(shù)��,而可以是多維數(shù)的部分矩陣。近而��,使用的函數(shù)可以是單路散列函數(shù)之外的函數(shù)�����,該函數(shù)只要確保獲得單路特性就可以���,至于切下和選取技術(shù),它并不局限于在實(shí)施例1中所特別闡述的過(guò)程�,它只要能涉及有驗(yàn)證特性而無(wú)泄露保密的任何方法。
如上所述���,依照該實(shí)施例�����,使用當(dāng)用戶執(zhí)行一非授權(quán)的行動(dòng)而能被識(shí)別的處理保密信息的方法和系統(tǒng)�,該方法和系統(tǒng)通過(guò)有效量的通信和有效量的計(jì)算就能實(shí)現(xiàn)��。
另外�����,由于通信量和計(jì)算量小于在通常情況下為處理例如一需要重復(fù)地執(zhí)行保密共享處理的一安全共享操作處理,可以減少在通信系統(tǒng)中的通信����,由于小量計(jì)算使通信成本減小了,和由于小量計(jì)算該處理能在高速下執(zhí)行��。
由屬于同一簽名組的大量用戶執(zhí)行的數(shù)字簽名共享產(chǎn)生的方法將使用上述保密共享方法���。
在這個(gè)實(shí)施例中��,使用上述的可驗(yàn)證的保密共享方法���。屬于一簽名組的用戶共享由組內(nèi)它們所有的隨機(jī)選出的保密元素和使用共享的保密作為在為譯碼共享輸出的過(guò)程中生產(chǎn)生簽名,該簽名是通過(guò)執(zhí)行共享算法操作而獲得的��。
在這個(gè)實(shí)施例中�����,因此�����,可以提供一共享的數(shù)字簽名系統(tǒng)�����,用該系統(tǒng),執(zhí)行非授僅的用戶可以被識(shí)別����,計(jì)算量和通信量?jī)烧呔趯?shí)際的幅度次數(shù)內(nèi)。
圖9是該實(shí)施例的圖形��。
在圖9內(nèi)信息處理儀11即系統(tǒng)中的用戶使用的����,廣播通信信道12����,保密通信信道13和圖1的那些部分相同。這里用戶A���,B���,C組成了一組簽名人,信息處理儀11的數(shù)組結(jié)構(gòu)如圖2所示�����。
使用這樣的安排,使用共享的數(shù)字簽名的方法將特別地闡述〔實(shí)施例3〕在該實(shí)施例中將描述����,使用由C.P.Schnorr提出的上述數(shù)字簽名的共享數(shù)字簽名的方法的特別結(jié)構(gòu)。
首先��,在{1�����,···�,P-1}中的保密元素為使用上述可驗(yàn)證保密共享方法所共享。該保密元素11��,···�����,1K是隨機(jī)的從{1��,···���,P-1}中選出�����。以這樣方式���,處理能被完成����,那里簽名人組的一特定用戶的保密元素是由該組內(nèi)的所有用戶所共享和保持��。
為共享數(shù)字簽名系統(tǒng)�,為使用保密共享方法去產(chǎn)生組的保密信息(它等同于一個(gè)保密鍵并為簽名人組內(nèi)所有用戶所共享)和對(duì)應(yīng)保密信息的公共信息(公共信息等同一公共鍵和它被用來(lái)驗(yàn)證產(chǎn)生的簽名)的過(guò)程將給予解釋。鍵產(chǎn)生過(guò)程(見圖10A和10B)����。
(范圍1至5)每一個(gè)用戶i隨機(jī)的從{1��,···���,P-1}選取保密元素a(i)和通過(guò)執(zhí)行上述的保密共享過(guò)程而在簽名人組內(nèi)的所有用戶所共享��。近而���,每一個(gè)用戶i計(jì)算g^(r(i))mod q(這里q是按上述方法選出的素?cái)?shù)),然后通過(guò)廣播通信信道廣播它�。
(范圍6)執(zhí)行保密共享過(guò)程的后處理��。使用正確地共享保密元素r(i)(i=1����,···�,n)作為輸入,使用將參照?qǐng)D7闡述的共享加而獲得的共享輸出定義為保密信息a�。近而,值A(chǔ)(i)=g^(a(i))modq���,該值在范圍1至范圍5相對(duì)于正確共享保密元素a(i)的前處理被廣播的����,并把該值加以相乘��,獲得結(jié)果A=g^amodq被用來(lái)作為驗(yàn)證由組產(chǎn)生的簽名的公共信息(公共標(biāo)號(hào))��。
為了象在共享加法那樣執(zhí)行共享一個(gè)保密元素x和公共元素a的共享乘法�����,通過(guò)用由用戶保持部分元素矩陣的每一個(gè)元素相乘獲得的結(jié)果是涉及x*a的部分矩陣的元素����。
因此�,能夠執(zhí)行兩個(gè)共享保密元素x和y和公共元素a的線性組合a*x+b*y的共享計(jì)算而無(wú)須組內(nèi)用戶之間的對(duì)話��。線性組合處理如圖11所示��。注意的是��,在圖11中給出了要被執(zhí)行處理的名稱����,和該處理的每一個(gè)用戶的輸入和輸出。用戶i(i=1����,···,n)的輸入是相對(duì)于共享保密元素x和y的信息段x-i和y-i和公共元素a和b����。輸出是相對(duì)于線性組合結(jié)果x的信息段z-i。
使用通過(guò)上述處理獲得的保密鍵���,給定信息m的數(shù)字簽名由該組產(chǎn)生了并同時(shí)被共享如下簽名產(chǎn)生處理(見圖12)(范圍1至范圍5)每一個(gè)用戶i隨機(jī)地從{1,···����,P-1}選取保密元素r(i)��,和通過(guò)執(zhí)行上述的保密共享過(guò)程使選取為簽名人組內(nèi)的所有用戶共享���。近而,每一用戶i計(jì)算g^(r(i))modq(這里q是按上述方法選取的一個(gè)素?cái)?shù))��,和通過(guò)廣播通信信道廣播它��。
(范圍6)執(zhí)行保密共享處理的后處理����。使用正確的共享保密元素r(i)=(i=1,···��,n)作為輸入通過(guò)執(zhí)行共享的加法而獲得共享的結(jié)果r����,近而計(jì)算R=g^modq,R是值R(i)=g^(r(i))modq乘積的結(jié)果并且在范圍1至5時(shí)相關(guān)于正確地共享保密元素r(i)而被廣播���。
(范圍7)每一個(gè)用戶使用通過(guò)組合給定信息m和在范圍6所獲得值R而獲得的值R/m和用上述預(yù)定的函數(shù)h計(jì)算輸出e=h(R/m)通過(guò)執(zhí)行共享的線性組合處理在簽名人組內(nèi)所有的用戶內(nèi)共享和計(jì)算S=r+h(R/m)*a���。
(范圍8至10)使用保密共享方法的保密譯碼處理對(duì)共享的保密S進(jìn)行譯碼。給定信息的簽名定義為(R��,S)。使用公共鍵和執(zhí)行數(shù)字簽名方法的簽名驗(yàn)證處理對(duì)產(chǎn)生的簽名進(jìn)行驗(yàn)證�,當(dāng)簽名不正確時(shí),可以確定這里是已執(zhí)行了非授權(quán)行動(dòng)的用戶����,保密共享萬(wàn)法的保密譯碼過(guò)程被執(zhí)行去識(shí)別這樣的用戶。
〔實(shí)施例4〕將描述使用由A.Fiant和A.Schamir提出的先前描述的數(shù)字鑒名方法的實(shí)現(xiàn)共享數(shù)字簽名方法的特殊結(jié)構(gòu)�����,首先是可驗(yàn)證保密執(zhí)行元素在{1���,…�����,N-1}內(nèi)的特殊安排����。
給定保密S的部分矩陣將特別地加以解釋(見圖3)����。來(lái)自{1��,…,N-1}的特定保密S相關(guān)的部分矩陣S=S(i����,j)〕(i,j=1����,…,n)是這樣一個(gè)式子����,那里每一個(gè)行矢量(S-r(i)=S(i,1)…����,S(i,n)〕i=1…���,n)的元素被定義如下S(i���,j)=S-r(i)*q-r(i,1)^(j)*q-r(i�����,2)^(j^2)*…*q-r(i,t)(j^t)mod N(j=1��,…����,n)元素q-r(i,1)…q-r(i�,1)是從{1,…�,N-1}中選出的,使得滿足下面的要求�,每一個(gè)列矢量(S-C(j)=〔S(1,j)�����,…���,S(n���,j)〕,j=1����,…���,n)被定義如下S(j�,i)=S-C(j)*q-C(j,1)^(K)*q-C(j��,2)^(i^2)*…*q-C(j����,t)^(i^t)mod N(i=1,…��,n)元素q-C(j��,1)…����,q-C(j,t)是從{1�,…,N-1}中選出����,使得滿足下列要求�����,近而具有上述值的兩矢量〔S-r(1)�,…�,S-r(n)〕和〔S-C(i),…��,S-C(n)〕滿足對(duì)從{1����,…,N-1}中取出的q-r(1)����,…q-r(t),q-C(1)��,…���,q-C(t)的如下要求S-r(j)=S*q-r(1)^(j)*q-r(2)^(j^2)*…*q-r(t)^(j^t)mod N(j=1����,…��,n),和
S-C(i)=S*q-C(1)^(i)*q-C(2)^(i^2)*…*q-C(t)^(i^t)mod N(i=1��,…��,n)�����,這里S代表初始保密保密共享過(guò)程分配給保密部分���,使得保密元素S能有被屬于同一簽名人組的所有用戶所共享和保持,譯碼這樣共享的秘密或識(shí)別執(zhí)行非授權(quán)行為(如果有這樣行動(dòng)發(fā)生了)的用戶的保密譯碼過(guò)程以在第一實(shí)施例的處理(1)和(2)執(zhí)行的方法加以執(zhí)行�����。在保密譯碼處理(2)中���,不使用多項(xiàng)式內(nèi)插而進(jìn)行如下的計(jì)算�,以便從包括在每一個(gè)行矢量(S-r(i)=〔i��,1)���,…���,S(i�,n)〕i=1���,…����,n)的t+1元素(S(i�����,j0)���,…�����,S(i��,jt)〕中獲得值S-r(i)S-r(i)^(n����!)=Prod-K(S(i���,jk)^(prod-1(1*n�����!/(1-K)))mod N這里ProdK(f(K)代表當(dāng)k=j(luò)0��,…�,jt時(shí)f(k)的乘積值,和Prod-1(g(1))代表值g(1)中的t=j(luò)0�����,…jt(1≠R)時(shí)g(1)的乘積值���。
類似地,為了從在每一個(gè)列矢量(S-((i)=〔S(1��,j)�����,…��,S(n����,j)〕j=1�����,…�����,n)的t+1個(gè)元素(S(i0��,j)��,…��,S(it��,j)中獲得值S-C(j)要執(zhí)行如下的計(jì)算�����。
S-C(j)^(n����!)=Prod-k(S(ik,j)^(Prod-1(1*n�����!/(1-k)))modN為了從部分矢量〔S-r(1)^(n��!)�,…,Sr(n)^(n���!)或〔S-C(1)^(n��!)…��,S-C(n)^(n�����!)的t+1個(gè)元素(S-r(i0)^(n!)����,…,S-r(it)^(n���!)或(S-C(j0)^(n��!)����,…S-C(jt)^(n!)中獲得保密S����,執(zhí)行下述的計(jì)算(當(dāng)S-r(i)^(n!))時(shí)
S^(n��!*n���!)=Prod-k(S-r(k)^(n�!*Prod--1(1*n��!/(1-k)))modNS=(S^(n�!*n!))^u*(S^1)^mod N注意�,然而,那個(gè)由A�,F(xiàn)iant和A,Shamir提出的數(shù)字簽名方法所使用的1是如此選取�����,使得u和V滿足u*n!*n��!*+V*1=1���,共享保密S的值S^1modN在以下將加以描述的簽名產(chǎn)生處理中加以計(jì)算���。
可以這樣的方式處理,那里在簽名人組內(nèi)的特定用戶保持的保密元素能被組內(nèi)所有用戶共享和保持����,使用這個(gè)保密共享方法為組內(nèi)簽名人產(chǎn)生的保密信息(這是等同于為組內(nèi)所有用戶共享的保密鍵)和為保密信息(這等同于為驗(yàn)證該組所產(chǎn)生的簽名而使用的公共鍵)鍵產(chǎn)生處理的共享數(shù)字簽名系統(tǒng),下面將解釋這一過(guò)程�。
(范圍1至5)每一個(gè)用戶i隨機(jī)地從(1,…�����,N-1}選取保密元素a(i)和通過(guò)執(zhí)行上述的保密共享過(guò)程使做出的選取為簽名人組內(nèi)所有的用戶所共享�����。近而��,每一個(gè)用戶i計(jì)算a(i)^1modN(1是上述方法選取的元素)和通過(guò)廣播通訊訊道廣播它�����。
(范圍6)執(zhí)行保密共享處理的后處理��。使用正確的共享的保密元素a(i)(i=1�����,…n)作為輸入�����,和由如下共享乘法獲得的共享輸出被定義為保密信息a�。近而,在相對(duì)于正確地共享保密元素a(i)的范圍1至5的預(yù)處理時(shí)被廣播的值A(chǔ)(i)=a(i)^1mod N加以相乘�����。獲得的結(jié)果A=a^1mod N被用來(lái)作為驗(yàn)證由組產(chǎn)生的簽名的公共信息���。
參照?qǐng)D14將在范圍6中解釋使用的共享的乘法過(guò)程��。
當(dāng)在{1����,…,n}內(nèi)的兩個(gè)保密元素X和Y是保密共享處理所共享時(shí)(每一個(gè)用戶i保持著對(duì)應(yīng)保密元素X和Y的保密部分X-i和y-i)��,通訊并不執(zhí)行��,包括在{1��,…���,N-1}的乘積X*Y的保密部分按如下加以計(jì)算���。
從部分矩陣的定義可以明顯地看出,由列矢量X-C(i)和Y-C(i)和每一個(gè)用戶保持的部分矩陣的保密值X-r(i)和Y-r(i)加以相乘而獲得的結(jié)果X-C(i)*C(i)和X-r(i)*Y-r(i)是部分矩陣X*Y的列矢量和保密值��。存儲(chǔ)在保密譯碼過(guò)程中驗(yàn)證信息段而使用的兩個(gè)單路散列函數(shù)值X*Y*����,在乘積結(jié)果X*Y的譯碼過(guò)程中,根據(jù)需要而使用它們?nèi)ヲ?yàn)證與保密X*Y相一致的部分矩陣X*Y���。
類似地一共享保密元素X和公共元素a的指數(shù)乘積被共享���,每一個(gè)用戶具有的部分矩陣的元素和公共元素a的指數(shù)相乘而獲得的結(jié)果是x^a部分矩陣的元素、這樣把在上述過(guò)程共享的兩個(gè)保密元素X和Y和公共元素ab加以組合為X^a*Y^b可以被共享和計(jì)算而無(wú)需加入組內(nèi)用戶間的相互對(duì)話�����,如它在圖11中那樣��,該過(guò)程在圖15中給出����。
通過(guò)上述處理而獲得的保密鍵被組使用為給定的信息m產(chǎn)生共享的數(shù)字簽名如下。
(范圍1至5)每一個(gè)用戶i隨機(jī)地從{1����,…,N-1}中選取一個(gè)保密元素r(i)��,通過(guò)執(zhí)行上述保密共享過(guò)程使選取為簽名人組內(nèi)所有的用戶所共享��。近而���,每一個(gè)用戶i計(jì)算r(i)^1mod N(這里1是上述方法選取的元素)��,和通過(guò)廣播通訊訊道廣播它����。
(范圍6)執(zhí)行保密共享處理的后處理,使用正確地共享保密元素r(i)(i=1���,…��,n)作為輸入�����,使用上述的共享乘法可以獲得共享的結(jié)果r���。近而計(jì)算R=r^1mod N,它是在范圍1至5中相對(duì)于正確的共享保密元素r(i)被廣播的值R(i)=r(i)^1mod N的乘法的值�����。
(范圍7)每一個(gè)用戶使用通過(guò)組合給定信息m和在范圍6獲得的值R而獲得的值R/m為輸入和用上述預(yù)定的函數(shù)h計(jì)算輸出e=h(R/m)���,使用共享線性組合處理使得S=r*a^(h(R/m)被簽名人組內(nèi)所有用戶所共享和加以計(jì)算�。
(范圍8至10)使用保密共享方法的保密譯碼處理對(duì)共享保密S進(jìn)行譯碼�����,給定信息的簽名被定義為(R��,S)。使用公共鍵a和使用數(shù)字簽名方法的簽名驗(yàn)證的處理對(duì)產(chǎn)生的簽名進(jìn)行驗(yàn)證����。當(dāng)簽名不正確時(shí)��,可以確定這是已經(jīng)執(zhí)行了非授僅行動(dòng)的用戶����,保密共享方法的保密譯碼的過(guò)程被執(zhí)行去識(shí)別這樣的用戶。
〔實(shí)施例5〕在該實(shí)施例中將描述使用由T.EIGamal(美國(guó)國(guó)家標(biāo)準(zhǔn)�,數(shù)字簽名算法)提出的數(shù)字簽名方法的共享數(shù)字簽名方法的特殊結(jié)構(gòu)。
在實(shí)施例1描述的方法被用來(lái)作為簽名人組內(nèi)的特定用戶選取的共享保密元素的和為組內(nèi)所有用戶所持有的一特殊方法?����,F(xiàn)在闡述使用保密共享方法去產(chǎn)生組的保密信息(這等效于由簽名人組的所有用戶所共享的保密鍵)和保密信息的公共信息(等效于公共鍵的公共信息被用來(lái)驗(yàn)證產(chǎn)生的簽名)的過(guò)程和共享數(shù)字簽名的系統(tǒng)��。鍵產(chǎn)生過(guò)程(見圖10A和10B)(范圍1至范圍5)每一個(gè)用戶i隨機(jī)地從{1�����,…���,P-1}選取保密元素a(i)和這樣的選取通過(guò)執(zhí)行上述的保密共享過(guò)程為簽名人組所有的用戶所共享���。近而�,每一個(gè)用戶i計(jì)算g^(a(i))mod q(這里q是按上述方法選取的素?cái)?shù))和通過(guò)廣播通訊訊道廣播它�。
(范圍6)執(zhí)行保密共享處理的后處理。使用正確地共享保密元素a(i)(i=1����,…,n)作為輸入�����,由如下共享加法而獲得的共享輸出定義為保密信息a����。在范圍1至5的相對(duì)于正確共享保密元素a(i)的處理時(shí)被廣播的值A(chǔ)(i)=g^(a(i))modq被相乘,獲得的結(jié)果A=g^mod q被用來(lái)作為驗(yàn)證由組產(chǎn)生的簽名的公共信息(公共鍵)�����。
當(dāng)在{1���,…�,P-1}內(nèi)的兩個(gè)保密元素X和Y為保密共享過(guò)程所共享時(shí)(每一個(gè)用戶i持有對(duì)相對(duì)保密元素X和Y的保密部分X-i和Y-i時(shí))并不執(zhí)行通訊,包括在(1����,…,P-1)內(nèi)的和X+Y的保密部分(X+Y)-i依照實(shí)施例1所述方法計(jì)算����。
當(dāng)在保密共享處理中共享{1,…���,P-1}的兩個(gè)保密元素X和Y時(shí),不執(zhí)行通訊�,包括在{1,…�,P-1)內(nèi)的積X*Y的保密部分(X*Y)-i按如下方式計(jì)算。
當(dāng)一特定的用戶d在{1��,…��,P-1)內(nèi)執(zhí)行可驗(yàn)證的共享保密S時(shí)�,它安全地由保密S和先前共享的X計(jì)算共享的積S*X。這個(gè)過(guò)程被稱為可驗(yàn)證的保密共享和乘法處理�。可驗(yàn)證的保密共享和乘法處理(見圖17和18)此后h代表為實(shí)施例1中的有效的單路散列函數(shù)�,對(duì)于特定的常數(shù)安全參數(shù)k′滿足k=nk′。
(范圍1)用戶d使用隨機(jī)數(shù)產(chǎn)生單元23去產(chǎn)生保密元素S和從{1,…����,P-1}中隨機(jī)選出的保密元素11,…����,1k的部分矩陣。計(jì)算保密值S-r(1)���,…S-r(n)���,11-r(1),…���,11r(n)����,…�,1k-r(1),1k-r(n)的單路散列函數(shù)值S*(見圖4)���。
用戶d傳送列矢量S-(i)����,L1-C(i),…�,LK-C(i)和每一個(gè)產(chǎn)生的部分矩陣的保密S-r(i),11-r(i)���,…����,1K-r(i)通過(guò)保密通訊訊道到每一個(gè)用戶i(i=1����,…��,n����,包括它自己)。和散列值S*(圖17的B1����、d)通過(guò)廣播通訊訊道廣播到所有的用戶(在圖17中表示為處理R1����、d)�。
(范圍2)每一個(gè)用戶i(i=1,…���,n)使用在范圍1中收到的保密S-r(i)�����,11-r(i)�,…�����,1K-r(i)和先前共享X的X-r(i)作為輸入�����,計(jì)算t-r(i)=S-r(i)*X-r(i)����,ml-r(i)=11-r(i)*X-r(i),…�����,mk-r(i)*X-r(i)mod N。隨機(jī)數(shù)23被使用去產(chǎn)生部分矩陣(它被稱為T(i)���,M1(i)…MK(i)���,而先前共享的保密X的部分矩陣X-r(i)被稱為X(i))作為獲得的結(jié)果,然后計(jì)算保密值t(i)-r(i)�,…,t(i)-r(n)�����,ml(i)-r(1)����,…,ml-r(n)�,…��,mk(i)-r(i)…�,mk(i)-r(n)的散列函數(shù)值(見圖4)。每一個(gè)用戶i傳送列矢量T-C(j)�,M1-C(j),…��,MK-C(j)和每一個(gè)產(chǎn)生的部分矩陣的保密t(i)-r(j),ml(i)-r(j)�����,…�,mk(i)-r(j)通過(guò)保密廣播訊道到每一個(gè)用戶j(j=1,…����,n,包括它本身)和散列值S*通過(guò)廣播通訊訊道被廣播到所有的用戶(在圖17中表示為處理R2�����、i)���。用戶i已經(jīng)廣播的信息表示為圖17中的Bs�、i�����。
(范圍3)每一個(gè)用戶i(i=1��,…���,n)使用隨機(jī)數(shù)產(chǎn)生裝置去廣播隨機(jī)選取的位(圖17中的過(guò)程R3�、i)。隨機(jī)選取的K′位的每一個(gè)被稱為Bi-1���,…����,Bi-k和整個(gè)n個(gè)用戶的位數(shù)的每一個(gè)被稱為B1���,…���,Bk,用戶i乙經(jīng)廣播的信息在圖17中表示為B3����、i。
(范圍4)如果在范圍3中廣播的每一位Bj(j=1�����,…����,k)是1,那么用戶d廣播在第一范圍中由用戶d產(chǎn)生的部分矩陣���。如果Bj是0�,用戶廣播通過(guò)加產(chǎn)生的部分矩陣S和在有限集的Lj而獲得的結(jié)果(寫為S+Lj)(圖17的處理R4�、d)。由用戶d廣播的信息在圖17中表示為B4�����、d����。
(范圍5)對(duì)于在范圍1中已經(jīng)保密收到的信息B1,i的每一個(gè)值j(j=1���,…����,k)����,每一個(gè)用戶i(i=1,…���,n)驗(yàn)證是否列矢量Lj-C(i)和Lj-r(i)(當(dāng)在第二范圍廣播的Bj是1時(shí))����,或Lj-C(i)+S-C(i)和Lj-r(i)+S-r(i)(當(dāng)Bj為0時(shí))等于列矢量和在第4范圍廣播的部分矩陣的保密值。當(dāng)它們不等于相關(guān)的特定值j時(shí)��,決定信息是由用戶d廣播的(在圖17中處理R5�����、i)����。由用戶i廣播的信息在圖17和18中表示為B5、i���。
(范圍6)如果在第3范圍廣播的每一位Bj(j=1����,…�����,k)是1,每一個(gè)用戶i廣播在第二范圍內(nèi)由用戶i所產(chǎn)生的部分矩陣Mj(i)����,如果Bj是0���,用戶d廣播結(jié)果(寫的T(i)+Mj(i))��,該結(jié)果是通過(guò)加已產(chǎn)生的部分矩陣T(i)和有限集的Mj(i)(mod P)獲得的(在圖18處理R6�����、i)�����,近而����,用戶d廣播在第5范圍確定的用戶i的列矢量���,用由戶d廣播的信息在圖18表示為B6�����、i����。
(范圍7)對(duì)于每一個(gè)j(j=1,…��,k)�����,用戶i驗(yàn)證在第5和第6范圍中廣播的信息�,當(dāng)正確的矩陣數(shù)大于閥值t和在第三范圍廣播的位Bj(j=1,…�����,k)是1時(shí)�,下列的部分矩陣被廣播(1j-r(i)^(-1)*Mj(i)-X(i)當(dāng)Bj是0時(shí),下面的部分矩陣被廣播���。
(S-r(i)-1j-r(r))^(-1)*(T(i)+Mj(i))-X(i)(在圖18的處理R7����、i)��,按前述執(zhí)行部分矩陣的線性組合(對(duì)于每一個(gè)元素),用戶i已經(jīng)廣播的信息在圖18表示為B7�����、i�����。
(范圍8)對(duì)于每一個(gè)j����,0(j�,0=1,…���,k)���,每一個(gè)用戶i(i=1,…��,n)使用在第4范圍廣播的信息��。當(dāng)B0是1時(shí)����,1j-r(0)被譯碼�,下面計(jì)算列矢量��,當(dāng)計(jì)算列矢量獲得的結(jié)果是相等的和對(duì)應(yīng)著值0時(shí)���,它得到驗(yàn)證(1j-r(0))^(-1)*Mj(0)-r(i)-X(0)-r(i)當(dāng)B0是0����,(S-r(0)+1j-r(0))被譯碼和下面計(jì)算的列矢量可驗(yàn)證矢量計(jì)算結(jié)果是相同的和對(duì)應(yīng)著值0(S-r(0)+1j-r(0)^(-1)*(T(0)-r(i)+Mj(0)-r(i))-X(0)-r(i)����。當(dāng)結(jié)果不能驗(yàn)證為對(duì)應(yīng)著給定的值0時(shí),用戶0的決定信息被廣播(圖18的處理R8�����、i)��。用戶i已經(jīng)廣播的信息在圖18中表示為R8.i���。
(范圍9)當(dāng)決定信息在范圍8廣播給用戶0時(shí)����,他廣播它自己的列矢量(圖18的處理R9.0),用戶i已經(jīng)廣播的信息在圖18內(nèi)表示為R9.i����。
(范圍10)每一個(gè)用戶i驗(yàn)證所有的廣播信息和廣播已經(jīng)執(zhí)行了非授權(quán)行的用戶0的決定信息(在圖18的處理R10.i),用戶i已經(jīng)廣播的信息在圖18中表示為B10���、i�����。
(后處理)正確的共享部分矩陣S(i)*X(i)的共享的線性組合為所有用戶所執(zhí)行(每一個(gè)用戶i的處理表示在圖18中的處理Pi),這樣正確部分矩陣S*X被共享和計(jì)算����,當(dāng)由于非授權(quán)的行動(dòng)不能產(chǎn)生矩陣時(shí),錯(cuò)誤的用戶被識(shí)別和結(jié)果被廣播���。
通過(guò)上述過(guò)程��,特定用戶i已經(jīng)隨機(jī)地從{1�,…��,P-1}中選取的保密元素S被可驗(yàn)證的共享����,和同時(shí)計(jì)算保密S和先前可驗(yàn)證共享保密X的乘積S*X�。其次將描述通過(guò)執(zhí)行上述的處理以獲得兩個(gè)共享保密X和Y的計(jì)算過(guò)程�,該過(guò)程如圖19。
(范圍1至10)每個(gè)用戶i隨機(jī)地從{1����,…,P-1}中選取保密元素r(i)�,和對(duì)選出的元素執(zhí)行上述可驗(yàn)證的共享過(guò)程,和同時(shí)計(jì)算r(i)*Y���。
(范圍11)通過(guò)使用先前共享的加執(zhí)行為所有用戶j1(1=1�����,…���,m)和為它們可驗(yàn)證地共享被正確執(zhí)行的保密計(jì)算r=r(i)+r(j1),…��,r(jm)和r*y=r(j1)*y+r(j2)*y+…+r(jm)*y�����。
(范圍12)對(duì)保密和U=X-r執(zhí)行共享的加。
(范圍13—15)所有的用戶對(duì)保密U進(jìn)行譯碼��,(范圍16)對(duì)保密線性組合Z=r*y-U*y=X*y執(zhí)行共享的計(jì)算���。
通過(guò)上述過(guò)程�����,兩個(gè)共享的保密元素X和Y的積X*y能被加入該組的用戶所共享和計(jì)算��、使用上述處理獲得的保密鍵�����,給定信息m的數(shù)字簽名被組按如下方式所共享和產(chǎn)生。簽名產(chǎn)生處理(見圖20)(范圍1至5)每個(gè)用戶i隨機(jī)地從{1�,…,P-1}中選出保密元素r(i)�,使用上述保密共享處理使得該選取為簽名人組的所有用戶所共享,近而����,每一個(gè)用戶i計(jì)算g^(r(i))modq(這里q是用上述方法選取的素?cái)?shù))和通過(guò)廣播通訊訊道廣播它。
(范圍6)執(zhí)行保密共享處理的后處理����,使用正確地共享保密元素r(i)(i=1�����,…���,n)作為輸入,通過(guò)執(zhí)行共享的加法獲得共享的結(jié)果r�����。近而計(jì)算R=g^r(nóng)mod q�,該R是值R(i)=g^(r(i))modq的乘積,它是相對(duì)正確的共享保密元素r(i)在范圍1至5中被廣播的����。
(范圍7)每一個(gè)用戶使用給定的信息m作為輸入去計(jì)算上述預(yù)定函數(shù)h的輸出e=h(m)。然后�,使用共享線性組合處理,b=(e+R*a)被簽名人組內(nèi)的所有用戶所共享和被計(jì)算�����。
(范圍8至17)這里S=b*r^(-1)為使用上述共享乘積的簽名人組的所有用戶所共享和計(jì)算�����。為了避免共享r^(-1)g^((r(i)^-1)mod q的倒數(shù)元素處理,而在隨機(jī)數(shù)產(chǎn)生處理中不使用g^(r(i))mod q(參看范圍1—5)�。
(范圍18至20)使用保密共享方法的保密譯碼處理對(duì)共享的保密進(jìn)行譯碼。給定信息m的簽名定義為(R�����,S)�。使用公共鍵和執(zhí)行數(shù)字簽名方法和簽名驗(yàn)證過(guò)程來(lái)驗(yàn)證已產(chǎn)生的簽名。當(dāng)簽名是不正確時(shí)����,可以確定,這是執(zhí)行非授權(quán)行動(dòng)的用戶�,執(zhí)行保密共享方法的保密譯碼處理就是識(shí)別這樣的用戶。
本發(fā)明并不局限于在上述實(shí)施例3至5中所描述的部分矩陣的維數(shù)�����,而可以是多維部分?jǐn)?shù)矩陣�。近而使用的函數(shù)不是確保獲得單路特性的單路函數(shù)���。至于切下和選取技術(shù)�����,這并不局限于實(shí)施例1中解釋的特殊過(guò)程���,而可以是驗(yàn)證特性而不泄露秘密的任何方法�。
如上所述�,依照本發(fā)明,它可以提供共享的數(shù)字簽名方法�����,當(dāng)被連接到通訊系統(tǒng)的大量計(jì)算機(jī)(簽名人)組成的組的正確簽名人數(shù)大于閥值t時(shí)�,由組產(chǎn)生一簽名,當(dāng)簽名人執(zhí)行一非授權(quán)行動(dòng)時(shí)�����,能識(shí)別該簽名人���,把發(fā)明和通常的共享數(shù)字簽名方法加以比較�����,甚至當(dāng)非授權(quán)的行動(dòng)發(fā)生時(shí)正確地簽名也能產(chǎn)生����,該實(shí)施例的方法僅需要有效量的通訊和計(jì)算。
近而��,和既不能識(shí)別犯錯(cuò)誤的用戶又不能產(chǎn)生簽名的通常的共享數(shù)字簽名方法加以比較�,使用該方法可以識(shí)別犯錯(cuò)誤的用戶,因而本發(fā)明的方法安全多了�。
更具體而言,由于需要計(jì)算最大量是指數(shù)乘法�����,要求為加入簽名組的每一個(gè)簽名人的計(jì)算量被假設(shè)為實(shí)質(zhì)上和后者通常數(shù)字簽名方法所需計(jì)算量相同�。每一個(gè)簽名人所需的通訊量是1*n^2*k次方(這里n代表用戶數(shù),k代表安全參數(shù)�����,和1代表使用整數(shù)的長(zhǎng)度)���,因而比前者通常的數(shù)字簽名方法所需的通訊量要實(shí)際的多���。
假設(shè),在保密譯碼處理時(shí)包括t+1個(gè)不同列矢量的m=n���!/((t+1)���!(n-t-1)!)的集數(shù)相一致(見范圍3實(shí)施例1內(nèi)的保密共享處理)�,如果n不是非常的小(n<20)識(shí)別犯錯(cuò)的用戶實(shí)際上是困難的。因此��,當(dāng)用戶數(shù)小時(shí)����,依該實(shí)施例的保密共享方法是有效的。甚至當(dāng)用戶的數(shù)目是小的時(shí)候�����,通?�?沈?yàn)證的保密共享方法卻要求不切合實(shí)際的通訊和計(jì)算量�。
如上所述使用該實(shí)施例的簽名產(chǎn)生方法可以減少所需的通訊和計(jì)算量。另外�����,由于少量的通訊使得在通訊系統(tǒng)的通訊和通訊成本可以減少,由于少量的計(jì)算����,可以執(zhí)行高速的處理。
〔實(shí)施例6〕將描述在通訊系統(tǒng)中使用大量?jī)x器執(zhí)行共享的鑒別的實(shí)施例�。
圖21是依本發(fā)明的一個(gè)實(shí)施例的通訊系統(tǒng)的圖,本發(fā)明具有共享和執(zhí)行鑒別信息處理儀器���。
在圖21中����,廣播通訊訊道12和保密通訊訊道1 3如圖1的那些具有相同的功能�。儀器14是儀器AS(1),…����,AS(k)(以后稱為″成員″),它們是共享鑒別服務(wù)器�。為有效起見,在該情況下成員的數(shù)目被定義相對(duì)比較小�����,20或更少��。
構(gòu)成通訊系統(tǒng)的全部?jī)x器的數(shù)目可以遠(yuǎn)大于成員的數(shù)目,而它們通過(guò)保密通訊訊道13被聯(lián)接到諸成員��。通過(guò)正常(不可靠的)通訊訊道16執(zhí)行儀器之間的通訊��。當(dāng)一個(gè)儀器傳送另一個(gè)儀器具有的服務(wù)請(qǐng)求時(shí)(即�,文件傳送���,遠(yuǎn)程呼叫等等)�,進(jìn)行這樣請(qǐng)求的儀器被稱為″掛號(hào)用戶″(client)�����,接收這樣請(qǐng)求并提供這樣服務(wù)的儀器被稱為″服務(wù)器″在圖21�,儀器15是儀器C/S(1),…��,C/S(n)�,它們作為掛號(hào)用戶和一服務(wù)器。值得注意的是一成員可以是掛號(hào)用戶或是一服務(wù)器�。
在該實(shí)施例中,掛號(hào)用戶和服務(wù)器被用來(lái)作為相互的鑒別和通訊內(nèi)容的鑒別���。近而���,掛號(hào)用戶和服務(wù)器共享執(zhí)行保密通訊的保密鍵����。另外��,由于保密信息為成員所共享以控制和計(jì)算信息�����,在該實(shí)施例中的鑒別服務(wù)器比通常的鑒別服務(wù)器更可靠��。當(dāng)掛號(hào)用戶要求識(shí)別自己要求服務(wù)器服務(wù)時(shí)�,要求鑒別的掛號(hào)用戶被稱為聲明人,而給出鑒別的服務(wù)器被稱為認(rèn)證人��、包括成員在內(nèi)的通訊系統(tǒng)的各個(gè)單獨(dú)的儀器被安排在圖2所示的數(shù)組結(jié)構(gòu)內(nèi)�����。
共享鑒別協(xié)議書的基本部分是上述的VSS(可驗(yàn)證的保密共享的)協(xié)議書�����?���!补蚕肀C芫€性組合處理〕當(dāng)在給定的有限集兩個(gè)保密元素X和Y被上述的兩個(gè)可驗(yàn)證的保密共享處理所共享時(shí)(在此時(shí)����,每一個(gè)用戶i保持分別對(duì)應(yīng)保密元素X和Y的保密部分X-i和Y-i)�,通訊并不執(zhí)行���,對(duì)應(yīng)在給定的有限集的和X+Y的保密部分(X+Y)-i按如下加以計(jì)算�。
首先把列矢量X-C(i)和Y-C(i)的元素和保密值X-r((i)的元素和由每一個(gè)用戶保持的部分矩陣Y-r(i)相加��,從部分矩陣的定義(行和列元素是多項(xiàng)式的值)可以明顯看出�,相加的結(jié)果X-C(i)+Y-C(i)和X-r(i)+Y-r(i)是列矢量和相對(duì)X+Y的部分矢量的保密值。
存儲(chǔ)在保密譯碼處理中用來(lái)驗(yàn)證信息段所使用的單路散列函數(shù)值X*和Y*���。當(dāng)對(duì)加的結(jié)果X+Y執(zhí)行譯碼處理時(shí)根據(jù)需要使用這些值���,這樣,就驗(yàn)證了對(duì)應(yīng)保密X+Y的部分矩陣X+Y���。
近而�,為了執(zhí)行一共享的保密元素X和公共元素a的共享的乘法��,乘以用戶保持的部分矩陣的一個(gè)元素獲得的結(jié)果是相對(duì)X*a的部分矩陣的元素,這樣��,通過(guò)上述的過(guò)程����,可以執(zhí)行兩個(gè)共享保密元素X和Y公共元素a和b的線性組a*X+b*y的計(jì)算而無(wú)需組內(nèi)用戶之間的對(duì)話。
在上述的方法中�,保密可以為使用可驗(yàn)證方法的成員間所共享。
其次將闡述在成員的共享產(chǎn)生偽隨機(jī)數(shù)的共享偽機(jī)保密產(chǎn)生協(xié)議書��?��!补蚕淼膫坞S機(jī)數(shù)保密產(chǎn)生協(xié)議〕作為共享鑒別服務(wù)器的成員AS(1)����,…���,AS(K)輸出共享的隨機(jī)保密r的保密部分r(i)(i=1�����,…���,k)到控制r的成員AS(i)����。協(xié)議按圖23A和23B的所示的內(nèi)容實(shí)現(xiàn)�����。
每一個(gè)成員AS(i)產(chǎn)生被表示為在一個(gè)有限集內(nèi)的一個(gè)元素的偽隨機(jī)保密ri(處理81)����。
通過(guò)執(zhí)行上述的可驗(yàn)證的保密共享過(guò)程使AS(i)保密地共享偽隨機(jī)保密ri。由于每一個(gè)成員都執(zhí)行該過(guò)程�,每一個(gè)成員AS(j)(j=1���,…���,k)保持著各個(gè)成員的保密部分r1(j),…���,rm(j)��,值得注意的是m(≤k)已經(jīng)被證明和保密的共享已經(jīng)正確地執(zhí)行了的成員的數(shù)目(處理82)���。
每個(gè)成員AS(j)加保密部分在一塊而產(chǎn)生r(j)=r1(j)+…rm(j)�,該值是相對(duì)于AS(j)的偽隨機(jī)保密r的保密部分(處理83)����。
偽隨機(jī)保密r是任何人均不能知道的數(shù),除非大多數(shù)成員在一塊秘密策劃了�,共享的偽隨機(jī)保密是以上述的方式產(chǎn)生了,和所產(chǎn)生的為隨機(jī)保密能夠作為聲明人和認(rèn)證人之間的交談鍵����。
現(xiàn)解釋在成員之中執(zhí)行共享的保密鍵編碼的協(xié)議,處理隨情況而變化���,在該情況下保密鍵編碼的數(shù)據(jù)是共享的保密數(shù)據(jù)�,在該情況下數(shù)據(jù)是公共數(shù)據(jù)���?��!补蚕淼谋C軘?shù)據(jù)的共享的保密鍵編碼/譯碼〕圖24A是解釋該協(xié)議的圖,一被形成N個(gè)數(shù)組m1����,…,mN,并且是有長(zhǎng)度為N的信息被定義為m�����。注意�����,VSS協(xié)議書在有限集GF(2L)上加以執(zhí)行����,保密部分m1(i),…�����,mN(i)被假設(shè)為在成員AS(i)中保密地共享���。近而,和信息m一樣具有相同長(zhǎng)度的保密鍵pk被劃分為每一個(gè)具有L長(zhǎng)度的N個(gè)數(shù)組pk1����,…,Pkn.這些數(shù)組在上述成員中保密地共享����,使得成員AS(i)具有各個(gè)單獨(dú)的保密部分pk(i)����,…��,pkN(i)���。
為了通過(guò)使用保密鍵pk對(duì)信息m執(zhí)行保密鍵編碼處理����,每一個(gè)成員對(duì)在給定有限集的每一個(gè)數(shù)組執(zhí)行加法如下d(i)=m1(i)+pk1(i)��,…���,cN(i)=mN(i)+pkN(i)���。
由于VSS協(xié)議書的的格式是半相等的,C1(i)�����,…���,cN(i)對(duì)應(yīng)著通過(guò)劃分編碼的語(yǔ)句C為每個(gè)長(zhǎng)度為L(zhǎng)的N個(gè)數(shù)組而獲得的保密部分C1�����,…���,CN���。因此,使用前述的保密譯碼處理對(duì)編碼語(yǔ)句e進(jìn)行譯碼�����,該編碼的語(yǔ)句C成為公共的了����。
具有保密鍵pk的通訊系統(tǒng)的儀器能夠從公共編碼語(yǔ)句C中譯出初始的信息m。注意���,保密鍵pk僅使用一次而決不再次使用?!补矓?shù)據(jù)的共享的保密鍵編碼/譯碼〕對(duì)公共信息m而言,當(dāng)使用上述編碼協(xié)議時(shí)�����,通過(guò)把從已經(jīng)為公共的編碼語(yǔ)句C中減去信息m而使保密鍵pk為第三者所知,因?yàn)樵趫D24B中的協(xié)議為公共數(shù)據(jù)所使用���。
如在前例中所很好地給出的����,信息m為具有長(zhǎng)度為L(zhǎng)的N個(gè)數(shù)組m1�,…,mN所形成����,信息m的內(nèi)容為成員所公知的公共數(shù)據(jù),保密鍵pk是信息m的兩倍長(zhǎng)和被分為長(zhǎng)度L的2N數(shù)組pKN-1���,pKN-2�����,…��,pKN-����!和pKN-2,pK為成員間保密地共享和成員AS(i)各個(gè)單獨(dú)地保持保密部分pk1-1(i)�����,pk1-2(i)���,…�,pkN-1(i)����,pkN-2(i)。
為了通過(guò)使用保密鍵pk為信息m實(shí)現(xiàn)保密鍵pk編碼處理��,每一個(gè)成員AS(i)在給定的有限集上為每一個(gè)數(shù)組執(zhí)行如下的算法操作���,在下述的表示中·代表乘法和+代表加法C1(i)=m1·pk1-1(i)+pk1-2(i)…���,CN(i)=mN·pkN-1(i)+pkN-2(i)。
由于VSS協(xié)議書的信息對(duì)于由劃分編碼的語(yǔ)句C為每一個(gè)具有長(zhǎng)度L的N數(shù)組而獲得的保密部分C1���,…�,CN所對(duì)應(yīng)線性組合C1(i)����,…CN(i)是半一致的。因此�����,編碼語(yǔ)句C被使用執(zhí)行前述保密解碼處理進(jìn)行解碼��,并成為公共的��。
由上所述���,由于協(xié)議書書使用個(gè)兩種類型的鍵pkj-1和pkj-2(j=1���,…,N)不管是否信息m成為公共數(shù)據(jù)這都沒(méi)有機(jī)會(huì)泄露保密鍵pk���。雖然使用短L進(jìn)行編碼容易些��,犯錯(cuò)誤的人修改語(yǔ)句C為錯(cuò)誤編語(yǔ)句C′以提供錯(cuò)誤信息m′的概率是2-L��,出于安全的原因L值不能選得非常小���,這樣�����,合適的L值是約為32���。
至于譯碼,在公共分解保密鍵pk和編碼話句C為每一個(gè)長(zhǎng)度L使用保密鍵的通訊系統(tǒng)的儀器執(zhí)行pkj-��,pkj-2和Cj(Cj-pkj-2)/pkj-1的算法操作以獲得mj���,通過(guò)這個(gè)過(guò)程����,初始信息m能夠被譯碼����。保密鍵pk僅能使用一次和在這種情況下絕不再使用?��!茶b別協(xié)議〕使用上述的協(xié)議通過(guò)共享鑒別服務(wù)器��,而不使用通常的中心化的鑒別服務(wù)器可以實(shí)現(xiàn)帶有公共鍵的鑒別如下鑒別協(xié)議通訊����,通過(guò)通訊聲明人從共享的鑒別服務(wù)器接收鑒別信息,和通過(guò)通訊聲明人為認(rèn)證人提供鑒別數(shù)據(jù)��,這被稱為″連機(jī)處理″���。
作為執(zhí)行連機(jī)處理的前提,在共享鑒別服務(wù)器和作為聲明人或認(rèn)證人之間的保密鍵共享過(guò)程和由共享鑒別服務(wù)器的交談鍵產(chǎn)生過(guò)程是必要的�,每一次能執(zhí)行脫機(jī)處理,在連機(jī)處理時(shí)保密鍵或交談鍵是需要的�,但連機(jī)處理所需要的時(shí)間和通訊時(shí)間被延長(zhǎng)了。
當(dāng)脫機(jī)處理是先于連機(jī)處理時(shí)��,能有效地執(zhí)行連機(jī)處理���,″脫機(jī)處理″和連機(jī)處理將參看圖25A和25B分別地加以描述��?��!裁摍C(jī)處理〕事先必須在共享鑒別服務(wù)器的成員間共享的信息是相對(duì)于所有儀器的該保密鍵的信息,正如在共享保密鍵編碼/譯碼協(xié)議書中闡述的�����,然而,在信息編碼或譯碼之后����,在聲明人和共享的鑒別服務(wù)器之間必須配置保密鍵。這樣���,必須產(chǎn)生很多鍵�����,通過(guò)如下的保密鍵傳送處理可執(zhí)行該處理�,被用來(lái)作為聲明人和認(rèn)證人之間交談鍵的共享偽隨機(jī)保密產(chǎn)生過(guò)程在脫機(jī)處理期間也被執(zhí)行如下���?�!脖C苕I傳送處理〕要求鑒別的通訊系統(tǒng)的儀器j執(zhí)行保密共享處理先于共享��,在成員之間���,任意地選取了偽隨機(jī)保密pkj-1,…��,pkj-M的有效的大數(shù)M�����,成員AS(i)這樣接收到偽隨機(jī)保密的保密部分pkj-1(i),…�����,pkj-M(i)��,如果儀器j不正確地共享保密����,僅僅儀器j不接收使用它自己保密鍵的鑒別服務(wù)��。因此��,為驗(yàn)證是否共享的信息是正確的后處理在這種情況下就不是必需要執(zhí)行了�����,通過(guò)它所有的成員驗(yàn)證j不是錯(cuò)誤的語(yǔ)句的廣播通訊訊道沒(méi)有必要被提供在儀器j和成員之間(見圖27)���。
在這個(gè)過(guò)程中��,j保持有效大的保密鍵pkj-i(i=1����,…,M)為一個(gè)表���,而每一個(gè)成員h(h=1���,…,k)保持保密部分pkj-i(h)(i=1�,…,M)為一個(gè)表�。如上所述,由于保密鍵僅使用一次����,j和每一成員h分別保持指針(index)pkj和pkj(h),它們指示表中下次使用的鍵����,當(dāng)它能這樣做時(shí),儀器j產(chǎn)生一個(gè)新的保密鍵�,當(dāng)通訊系統(tǒng)不使用時(shí),共享該保密鍵和持續(xù)地加以更新�。〔偽隨機(jī)保密產(chǎn)生處理〕如圖26所示���,當(dāng)在保密鍵傳送處理時(shí)����,是在聲明人和認(rèn)證人之間使用的交談鍵的共享的偽隨機(jī)保密r1,…RQ���,在脫機(jī)處理時(shí)被產(chǎn)生和被保持在表中�。為了產(chǎn)生共享的偽隨機(jī)保密�,如同在共享的偽隨機(jī)保密產(chǎn)生協(xié)議書中所描述的那樣,所有的成員必需執(zhí)行偽隨機(jī)保密共享過(guò)程�����,然而����,由于所有的成員并不在同時(shí)執(zhí)行那個(gè)處理����,當(dāng)沒(méi)有處理被執(zhí)行時(shí)和通訊系統(tǒng)不被使用時(shí),它們能夠執(zhí)行處理和然后共享產(chǎn)生的偽隨機(jī)保密到其它的成員���。然后����,每一個(gè)成員保持共享的偽隨機(jī)保密r1(j)…,rQ(j)和使用時(shí)指示它的位置的指針為一個(gè)表��?�!策B機(jī)處理〕從共享的鑒別服務(wù)器獲得的連機(jī)鑒別協(xié)議書通訊系統(tǒng)掛號(hào)用戶P(聲明人)傳送到服務(wù)器V(認(rèn)證人)的鑒別元素將通過(guò)步S1至S4加以執(zhí)行����。
(步驟1)掛號(hào)用戶P通過(guò)正常的通訊訊道傳送給共享鑒別服務(wù)器的成員包括信息(id-P,id-V�����,S}的要求的信息101(見圖28A)����,該要求信息被稱為AUTH-REQUEST。注意id-P代表掛號(hào)用戶P�,id-V代表特定服務(wù)器V的數(shù)據(jù),S代表任意選取的隨機(jī)數(shù)���。
(步驟2)已經(jīng)收到AUTH-REQUEST的成員執(zhí)行下述步S21至S26的過(guò)程(見圖28B)����。
(步驟21指示當(dāng)前時(shí)間的時(shí)間標(biāo)記被廣播和公共的時(shí)間被確認(rèn)。
(步驟22)當(dāng)使用共享保密數(shù)據(jù)的共享保密鍵編碼協(xié)議書時(shí)��,用作為聲明人和認(rèn)證人之間的交談鍵(k1��,…���,cka的偽隨機(jī)保密rz�����,…����,rz+a-1通過(guò)定義pkv-x���,…,pkv-x+a-1為保密編碼鍵而被編碼����。值得注意的是,a代表指示偽隨機(jī)保密數(shù)和z和x代表偽隨機(jī)表和保密鍵pk表的開始的指針�。在這時(shí),z和x分別被更新為z=2+a和x=x+a編碼獲得的結(jié)果為CT-1��,…,CT-a�。
(步驟23)使用公共數(shù)據(jù)的共享保密鍵編碼協(xié)議書,和聲明人標(biāo)識(shí)符的公共時(shí)間標(biāo)記id-P被使用在步22�,對(duì)保密鍵pk表的2b保密鍵,pkv-x���,…�,pkv-x+2b加以編碼�。然后指針x被更新x=x+2b+1。編碼獲得的結(jié)果是CT-a+1�����,…�,CT-a+b。該結(jié)果和步22獲得結(jié)果相加到一塊��,該值再與在執(zhí)行步22更新前的指針x相加��。獲得結(jié)果被定義為鑒別元素��。
(步驟24)使用共享保密數(shù)據(jù)的共享保密鍵編碼協(xié)議書��,使用在步S22獲得的為認(rèn)證人的編碼語(yǔ)句CT-1��,…,CT-a+b和在步S22使用的公共鍵ck1���,…��,cka��,和通過(guò)使用2a+b保密鍵pkp-y���,…pkp-y+2a+b作為編碼鍵進(jìn)行編碼。注意�����,y代表指示聲明人保密鍵表開始的指針�����,它被更新為Y=Y(jié)+2a+b+1����,這樣編碼的結(jié)果是CCT-1����,…����,CCT-2a+b����。
(步驟S25)使用公共數(shù)據(jù)的共享保密鍵編碼協(xié)議書,對(duì)在步S1已變?yōu)楣驳膫坞S機(jī)保密S和認(rèn)證人標(biāo)識(shí)符的id-V使用從在步S24使用的保密鍵表的2C保密鍵pkp-y��,…���,pkp-y+2c進(jìn)行編碼���。指針y被更新為y=y(tǒng)+2c+1。這樣編碼的結(jié)果為CCT-2a+b+1��,…�,CCT-2a+b+c。這樣的結(jié)果與在步S24的結(jié)果相加�����,最終的結(jié)果是CCT-1��,…CCT-2a+b+c。
(步驟S26)執(zhí)行保密譯碼處理譯出保密共享的CCT-1����,…CCT-2a+b+c。譯碼獲得的結(jié)果作為鑒別信息102并結(jié)合在步S24更新的指針y通過(guò)正常的通訊訊道傳送給掛號(hào)用戶P�,他即是聲明人。
(步驟3)聲明人P參考收到的指針y和包括在他自己保密鍵表里的保密鍵pkp-y���,…�����,pkp+2a�����;b�;2c和使用公共數(shù)據(jù)的共享保密鍵譯碼協(xié)議書去從收到數(shù)據(jù)CCT-1�,…,CCT-2a+b+c中譯出偽隨機(jī)保密ck��。然后�,聲明人P驗(yàn)證譯出的S和id-v是正確的,當(dāng)它們被驗(yàn)證時(shí)���,譯出的偽隨機(jī)保密ck作為認(rèn)證人的公共鍵加以存儲(chǔ)�,和傳送譯出的鑒別元素103到認(rèn)證人(見圖29A)�。
(步驟4)參考包括在鑒別元素內(nèi)的指針X和包括在它自己的保密鍵表內(nèi)的保密鍵pkv-y,…���,pkv-y+a�;2b����,認(rèn)證人V使用公共數(shù)據(jù)的共享保密鍵譯碼協(xié)議書從收到的鑒別元素中譯出時(shí)間標(biāo)記和聲明人的標(biāo)識(shí)符id-p,和使用共享保密數(shù)據(jù)的共享的保密鍵譯碼協(xié)議書去譯出偽隨機(jī)保密ck����。認(rèn)證人然后驗(yàn)證譯出的時(shí)間標(biāo)記和譯出的標(biāo)識(shí)符id-p是正確的,當(dāng)他們被驗(yàn)證時(shí)�����,對(duì)聲明人P給出鑒別���,和譯出的偽隨機(jī)保密ck作為與認(rèn)證人相結(jié)合的公共鍵加以存儲(chǔ)(見圖29B)��?!矊?shí)施例7〕在實(shí)施例6中,當(dāng)犯錯(cuò)誤的人竊聽聲明人傳送給認(rèn)證人的鑒別元素和存儲(chǔ)了鑒別元素時(shí)��,犯錯(cuò)誤的人提交鑒別元素到認(rèn)證人和能夠要求認(rèn)證人提供聲明人并沒(méi)有要求的服務(wù)�,因此,聲明人被干擾了�����,該行動(dòng)被稱為回應(yīng)攻擊���。
在該實(shí)施例中�����,因此�����,為了防止回應(yīng)攻擊交換的時(shí)間信息被附加地提供給在步S3的實(shí)施例6中連機(jī)處理時(shí)由聲明人傳送給認(rèn)證人的鑒別元素�,這個(gè)過(guò)程在圖30A和30B給出����。在本實(shí)施例中的處理與實(shí)施例6中的內(nèi)容相同,例外的是��,在步S3′和S4′的過(guò)程附加到連機(jī)處理的步S3和S4上。下面將解釋僅僅步S3′和S4′的過(guò)程����。(步S3 )在實(shí)施例的步S3過(guò)程執(zhí)行后,聲明人使用獲得的交談鍵ck和編碼新的時(shí)間標(biāo)記T2和為獲得{T2��,id-p}^ck的聲明人的標(biāo)識(shí)符id-p���。聲明人傳送認(rèn)證人與鑒別元素相結(jié)合的{T2,id-p}^ck���。
(步驟4′)認(rèn)證人執(zhí)行實(shí)施例6中的步24的過(guò)程去譯出鑒別元素和使用獲得的交談鍵ck去譯輔助信息{T2�����,id-p}^ck����,認(rèn)證人驗(yàn)證時(shí)間標(biāo)記T2和聲明人的標(biāo)識(shí)符id-p�����,當(dāng)T2是舊的一個(gè)時(shí)�����,他并不接收服務(wù)請(qǐng)求。
如上所述���,依照該實(shí)施例����,這就可以提供一個(gè)比通常中心化管理鑒別服務(wù)器性能有較高可靠性和安全性的鑒別服務(wù)器����。
當(dāng)共享鑒別服務(wù)器的大多數(shù)儀器是可靠的時(shí),可以提供下述內(nèi)容���。
使用共享的鑒別協(xié)議��,向聲明人和認(rèn)證人提供和通常中心化管理提供的鑒別協(xié)議的功能相同的鑒別功能�,實(shí)現(xiàn)了高失效公差����。
由于共享鑒別協(xié)議的連機(jī)處理為聲明人和認(rèn)證人確保了為通常鑒別協(xié)議接口一樣的接口(數(shù)據(jù)格式),通常鑒別服務(wù)器能夠容易地由本實(shí)施例中的鑒別服務(wù)器的取代�����。
對(duì)聲明人和認(rèn)證人而言,共享鑒別協(xié)議的連機(jī)處理能夠提供和通常的鑒別協(xié)所要求的相同的計(jì)算量�����。
雖然本發(fā)明已經(jīng)描述了具有特定特殊情況的優(yōu)選的形式���,在不脫離本發(fā)明的精神和范圍的情況下可以實(shí)現(xiàn)許多明顯不同的實(shí)施例�,應(yīng)當(dāng)理解發(fā)明并不局限在特定的實(shí)施例內(nèi)�����,它應(yīng)由所附的權(quán)利要求加以確立��。
權(quán)利要求
1.一種通信系統(tǒng)的保密信息處理方法��,其中���,大量的信息處理設(shè)備通過(guò)保密通信信道連接在一起,通過(guò)該信道所說(shuō)該設(shè)備中的每一個(gè)和所說(shuō)設(shè)備的另一個(gè)交換信息��,并且與此同時(shí)使所說(shuō)的信息對(duì)剩下的設(shè)備保密����,通過(guò)該信道所說(shuō)的設(shè)備與所有其它包括的設(shè)備共用地交換信息���,所說(shuō)的保密信息處理方法包括如下步驟從保密信息處產(chǎn)生用于第二設(shè)備的一個(gè)保密數(shù)組,這種產(chǎn)生是通過(guò)使用所說(shuō)的多個(gè)設(shè)備的用以處理所說(shuō)的保密信息的第一設(shè)備進(jìn)行的�;使用所說(shuō)的第一個(gè)設(shè)備從為所說(shuō)的第二組設(shè)備的所說(shuō)保密數(shù)組中取出第一個(gè)信息段,和通過(guò)所說(shuō)保密通信信道傳送所說(shuō)的第一個(gè)信息段到所說(shuō)的第二組設(shè)備����;使用所說(shuō)第一個(gè)設(shè)備對(duì)所說(shuō)保密數(shù)組的一部分執(zhí)行一預(yù)定的函數(shù)和通過(guò)所說(shuō)廣播通信信道廣播獲得的輸出值;使用所說(shuō)第二組設(shè)備產(chǎn)生隨機(jī)數(shù)�����,和通過(guò)所說(shuō)廣播通信信道廣播所說(shuō)的隨機(jī)數(shù)����;使用所說(shuō)的第一個(gè)設(shè)備,從所說(shuō)保密數(shù)組和被廣播的與此相一致的所說(shuō)的隨機(jī)數(shù)中產(chǎn)生所說(shuō)第二組設(shè)備的第二組信息段�����,和通過(guò)所說(shuō)廣播通信信道廣播所說(shuō)第二組信息段����;使用所說(shuō)第二組設(shè)備產(chǎn)生第三組信息段,該信息段被產(chǎn)生如同使用所說(shuō)第一個(gè)設(shè)備為所說(shuō)第二組設(shè)備產(chǎn)生所說(shuō)第二組信息段一樣,第二組信息段與所說(shuō)的第一組被接收的信息段和所說(shuō)的由第二組設(shè)備產(chǎn)生的所說(shuō)的隨機(jī)數(shù)相一致���;和使用所說(shuō)第二組設(shè)備����,比較所說(shuō)的第三組信息段和被廣播的所說(shuō)第二組設(shè)備的所說(shuō)的第二組信息段���,和驗(yàn)證所說(shuō)的保密信息被所說(shuō)的第一個(gè)設(shè)備所共享����。
2.如權(quán)利要求1的保密信息處理方法��,其中����,在所說(shuō)的驗(yàn)證步驟中��,當(dāng)所說(shuō)的比較結(jié)果并不匹配時(shí)�����,所說(shuō)第二組設(shè)備通過(guò)廣播通信信道廣播一信息�,并且在被廣播的所說(shuō)信息和的基礎(chǔ)上執(zhí)行驗(yàn)證。
3.如權(quán)利要求1的保密信息處理方法���,近而包括使用所有所說(shuō)第二組設(shè)備在傳送到所說(shuō)第二組設(shè)備的所說(shuō)第一個(gè)信息段的基礎(chǔ)上對(duì)所說(shuō)保密信息進(jìn)行譯碼的步驟�。
4.如權(quán)利要求3的保密信息處理方法,其中����,在所說(shuō)的譯碼步驟中,所說(shuō)第二組設(shè)備分別單獨(dú)地根據(jù)所說(shuō)收到的第一信息段執(zhí)行計(jì)算和根據(jù)計(jì)算的結(jié)果執(zhí)行譯碼�。
5.如權(quán)利要求1的保密信息處理方法,其中���,所說(shuō)的保密數(shù)組是確定用于所說(shuō)保密信息的矩陣和隨機(jī)選取的保密元素�����,和所說(shuō)矩陣的行矢量和列矢量被定義為所說(shuō)的第一信息段�����。
6.如權(quán)利要求1的保密信息處理方法���,其中,所說(shuō)預(yù)定的函數(shù)是一單路函數(shù)��。
7.如權(quán)利要求1的保密信息處理方法,其中�,所說(shuō)的保密元素信息是在有限集中的一元素,在所說(shuō)的產(chǎn)生步驟中�,執(zhí)行對(duì)所說(shuō)在有限集內(nèi)的所說(shuō)元素進(jìn)行計(jì)算。
8.一種如通信系統(tǒng)的簽名產(chǎn)生方法��,其中�����,大量的信息處理設(shè)備通過(guò)保密通信信道連接在一起����,通過(guò)該信道的所說(shuō)該設(shè)備與其它的設(shè)備交換信息,并且對(duì)剩下的設(shè)備保持信息保密��,通過(guò)該信道的每一個(gè)所說(shuō)的設(shè)備公共地與所有其的設(shè)備交換信息����,所說(shuō)的簽名產(chǎn)生方法包括如下步驟使用屬于同一簽名人組的每一個(gè)所說(shuō)的設(shè)備隨機(jī)地選取第一個(gè)保密信息��,和所說(shuō)組的所說(shuō)設(shè)備保密地共享第一個(gè)保密信息����;使用所說(shuō)設(shè)備對(duì)所說(shuō)第一個(gè)保密信息執(zhí)行預(yù)定的第一函數(shù)和廣播獲得的輸出值到組內(nèi)所有的所說(shuō)的設(shè)備。共享在組內(nèi)所說(shuō)的設(shè)備中所說(shuō)的每一個(gè)設(shè)備的第一個(gè)保密信息,和加所說(shuō)的第一個(gè)保密信息����;共享所說(shuō)組內(nèi)所說(shuō)設(shè)備乘積的輸出值,和對(duì)由乘法所獲結(jié)果和一信息執(zhí)行預(yù)定的第二函數(shù)��;共享所說(shuō)組內(nèi)所說(shuō)設(shè)備的第二保密信息和使用執(zhí)行第二函數(shù)獲得的結(jié)果計(jì)算所說(shuō)第二保密信息����、由共享和加獲得的結(jié)果和變?yōu)楣驳囊辉兀缓屯ㄟ^(guò)在所說(shuō)組內(nèi)所有所說(shuō)設(shè)備的共同努力譯出共享的所說(shuō)第二保密信息��,輸出所說(shuō)的譯出的第二保密信息并且結(jié)合通過(guò)共享和乘法獲得的所說(shuō)的結(jié)果為簽名�。
9.如權(quán)利要求8的簽名產(chǎn)生方法,其中�����,在所說(shuō)的計(jì)算步驟中���,執(zhí)行所說(shuō)第二保密信息的線性組合處理�。
10.如權(quán)利要求8的簽名產(chǎn)生方法�����,其中,在所說(shuō)的計(jì)算步驟中�,使用包括所說(shuō)第二保密信息的指數(shù)乘法的乘積,執(zhí)行組合處理����。
11.如權(quán)利要求8的簽名產(chǎn)生方法,其中���,在所說(shuō)的計(jì)算步驟中�,執(zhí)行線性組合處理和所說(shuō)第二保密信息的乘法���。
12.如權(quán)利要求8的簽名產(chǎn)生方法����,其中�,所說(shuō)第二函數(shù)是一單路函數(shù)。
13.如權(quán)利要求8的簽名產(chǎn)生方法�,其中,所說(shuō)第一保密信息是在一有限集的一元素��,并且在所說(shuō)加法步驟中執(zhí)行對(duì)所說(shuō)有限集的加�����。
14.如權(quán)利要求8的簽名產(chǎn)生方法����,其中,所說(shuō)共享第一保密信息的步驟包括如下的步驟從所述第一保密信息處����,產(chǎn)生用于第二組設(shè)備的一個(gè)保密數(shù)組,這種產(chǎn)生是通過(guò)使用屬于所述簽名人并處理所述第一保密信息的一個(gè)第一設(shè)備進(jìn)行的���;使用所說(shuō)第一個(gè)設(shè)備為所說(shuō)的第二組設(shè)備的所說(shuō)保密數(shù)組取出第一個(gè)信息段和通過(guò)保密通信信道傳送所說(shuō)第一個(gè)信息段到所說(shuō)第二組設(shè)備����;使用所說(shuō)第一個(gè)設(shè)備對(duì)所說(shuō)保密數(shù)組的部分執(zhí)行預(yù)定的函數(shù)運(yùn)算����,和通過(guò)所說(shuō)廣播通信信道廣播獲得的輸出值;使用所說(shuō)第二組設(shè)備產(chǎn)生隨機(jī)數(shù)和通過(guò)廣播通信信道廣播所說(shuō)的隨機(jī)數(shù)�����;使用所說(shuō)第一設(shè)備從所說(shuō)保密數(shù)組和被廣播的與此一致的隨機(jī)數(shù)為所說(shuō)的第二組設(shè)備產(chǎn)生第二信息段����,和通過(guò)所說(shuō)廣播通信訊道廣播所說(shuō)第二信息段��;使用所說(shuō)第二組設(shè)備產(chǎn)生第三個(gè)信息段��,該信息段如同使用所說(shuō)第一設(shè)備為所說(shuō)第二組設(shè)備產(chǎn)生所說(shuō)第二信息段那樣被產(chǎn)生�,由所說(shuō)第二組設(shè)備產(chǎn)生的所說(shuō)隨機(jī)數(shù)與被接收的所說(shuō)第一信息段相一致��;和使用所說(shuō)第二組設(shè)備����,比較所說(shuō)第三信息段和廣播的所說(shuō)第二組設(shè)備的所說(shuō)第二信息段,和驗(yàn)證所說(shuō)保密信息被所說(shuō)第一個(gè)設(shè)備共享�����。
15.一種通信系統(tǒng)的鑒別方法��,其中����,大量的設(shè)備被聯(lián)接在一起,和其中屬于同一特定組的那些設(shè)備共同提供鑒別���,所說(shuō)的鑒別方法包括如下步驟傳送包括聲明人和認(rèn)證人標(biāo)識(shí)符的鑒別請(qǐng)求信息��,從傳送鑒別請(qǐng)求的所說(shuō)聲明人的設(shè)備和從認(rèn)證人的設(shè)備傳送到所說(shuō)特別組的每一個(gè)所說(shuō)的設(shè)備��;產(chǎn)生鑒別元素����,該元素是使用保密鍵進(jìn)行編碼���,該保密是涉及所說(shuō)的認(rèn)證人和根據(jù)使用屬于所說(shuō)特定組的所有設(shè)備共同努力的所說(shuō)鑒別請(qǐng)求信息��,和產(chǎn)生使用與所說(shuō)聲明人相關(guān)的保密鍵進(jìn)行對(duì)所說(shuō)的鑒別元素編碼的鑒別信息�;從所說(shuō)特定組的每一個(gè)所說(shuō)的設(shè)備��,傳送所說(shuō)的鑒別信息到所說(shuō)的聲明人的所說(shuō)的設(shè)備�;根據(jù)收到的所說(shuō)的鑒別信息在所說(shuō)的聲明人的所說(shuō)的設(shè)備內(nèi)對(duì)所說(shuō)的鑒別信息進(jìn)行譯碼,并傳送所說(shuō)的被譯碼的鑒別元素到所說(shuō)認(rèn)證人的所說(shuō)的設(shè)備��;和在所說(shuō)認(rèn)證人的所說(shuō)設(shè)備內(nèi)對(duì)所說(shuō)的鑒別元素進(jìn)行譯碼�,和傳送鑒別到所說(shuō)的聲明人。
16.一種如權(quán)利要求15的鑒別方法���,近而包括協(xié)作傳送的步驟�����,從所說(shuō)特定組的所說(shuō)設(shè)備到所說(shuō)的聲明人和所說(shuō)認(rèn)證人的所說(shuō)的設(shè)備��,公共鍵被用來(lái)對(duì)所說(shuō)設(shè)備兩者之間的通信進(jìn)行編碼����。
17.一種如權(quán)利要求15的鑒別方法,其中��,使用一個(gè)公共鍵���,用于所述聲明的所述設(shè)備和認(rèn)證人所述設(shè)備之間的保密通信���,并且包括在所述鑒別信息內(nèi)的公共鍵被傳送到所說(shuō)聲明人的所說(shuō)設(shè)備。
18.一種如權(quán)利要求15的鑒別方法�����,其中�����,在傳送所說(shuō)鑒別元素的所說(shuō)步驟中����,用來(lái)對(duì)所說(shuō)聲明人和所說(shuō)認(rèn)證人的所說(shuō)設(shè)備之間的通信進(jìn)行編碼和其本身包括在所說(shuō)鑒別信息內(nèi)的公共鍵被傳送到認(rèn)證人的所說(shuō)設(shè)備。
19.一種如權(quán)利要求15的鑒別方法,近而包括了使用可證明的保密共享處理��,和使用所說(shuō)的特定組的所說(shuō)設(shè)備和用在所說(shuō)聲明人和所說(shuō)認(rèn)證人的設(shè)備之間用來(lái)進(jìn)行編碼通信的公共鍵協(xié)同地產(chǎn)生作為共享的偽隨機(jī)保密的處理步驟�����。
20.一種如權(quán)利要求15的鑒別方法�,其中�,在所說(shuō)的產(chǎn)生步驟中,通過(guò)把要被編碼的數(shù)據(jù)分別大量的數(shù)組和加不同的保密鍵到預(yù)定的有限集內(nèi)的所說(shuō)數(shù)據(jù)組執(zhí)行保密鍵的編碼����。
21.一種如權(quán)利要求15的鑒別方法,其中��,在所說(shuō)產(chǎn)生步驟中���,通過(guò)把要被編碼的數(shù)據(jù)分配到大量的數(shù)組�����,通過(guò)使用不同的保密鍵與在一預(yù)定的有限集的所說(shuō)數(shù)據(jù)相乘�����,和通過(guò)進(jìn)一步加不同的保密鍵到乘法的結(jié)果來(lái)執(zhí)行保密鍵的編碼��。
22.一種如權(quán)利要求15的鑒別方法����,近而包括共享和配給與通信系統(tǒng)每一個(gè)設(shè)備相關(guān)的保密鍵到所說(shuō)特定組的所說(shuō)設(shè)備的執(zhí)行保密共享處理的步驟。
23.一種如權(quán)利要求15的鑒別方法�,其中在所說(shuō)的產(chǎn)生步驟中,使用為所說(shuō)聲明人和所說(shuō)認(rèn)證人的的所說(shuō)設(shè)備的公共鍵把所說(shuō)的鑒別元素和時(shí)間標(biāo)記在一起編碼��,其結(jié)果被傳送�����,而在所說(shuō)的鑒別步驟中����,所說(shuō)認(rèn)證人的所說(shuō)設(shè)備對(duì)通過(guò)使用公共鍵從所說(shuō)聲明人的所說(shuō)設(shè)備處接收的信息進(jìn)行譯碼和驗(yàn)證所說(shuō)的時(shí)間標(biāo)記。
24.一種如通信系統(tǒng)�����,它有大量的信息處理設(shè)備��;保密通信信道��,通過(guò)該信道每一個(gè)所說(shuō)的設(shè)備保密地和另一個(gè)設(shè)備交換信息而同時(shí)對(duì)剩下的設(shè)備保持信息保密;和廣播通信信道和通過(guò)該信道����,每一個(gè)所說(shuō)的設(shè)備公共地傳送信息到所有其它的設(shè)備;所說(shuō)大量信息處理設(shè)備中的第一信息處理設(shè)備包括第一產(chǎn)生裝置����,用于從保密信息產(chǎn)生預(yù)定的部分?jǐn)?shù)組;提取裝置�,用于從所說(shuō)部分配置中為任何剩余的信息處理設(shè)備取出第一信息段,和用于傳送所說(shuō)第一信息段到所說(shuō)剩余的信息處理設(shè)備����;函數(shù)處理裝置��,用于對(duì)所說(shuō)第一信息段執(zhí)行預(yù)定的函數(shù)運(yùn)算����,和通過(guò)廣播通信信道廣播這樣獲得的輸出值到剩余的信息處理裝置;和第二產(chǎn)生裝置�,用于產(chǎn)生第二信息段,該信息段與所說(shuō)剩余信息處理設(shè)備廣播的隨民數(shù)相一致��,和通過(guò)所說(shuō)廣播通信信道廣播所說(shuō)第二信息段����;并且每一個(gè)所說(shuō)剩余信息處理設(shè)備包括隨機(jī)數(shù)產(chǎn)生裝置����,用于產(chǎn)生隨機(jī)數(shù)和通過(guò)廣播通信信道廣播所說(shuō)隨機(jī)數(shù)����;第三產(chǎn)生裝置,用于以所說(shuō)第一個(gè)信息段和所說(shuō)隨機(jī)數(shù)相一致地產(chǎn)生第三信息段�,該第三信息段是被產(chǎn)生作為根據(jù)所說(shuō)第一個(gè)信息處理設(shè)備的所說(shuō)第二信息段;和鑒別裝置���,用于比較第三信息段和被廣播的所說(shuō)第二信息段�����,和驗(yàn)證由所說(shuō)第一個(gè)信息處理設(shè)備執(zhí)行的保密共享�。
25.一種如權(quán)利要求24的通信系統(tǒng)���,其中����,所說(shuō)信息處理設(shè)備包括當(dāng)所說(shuō)的比較結(jié)果并不匹配時(shí)����,用于通過(guò)所說(shuō)廣播通信信道廣播信息的信息廣播裝置��,其中���,所說(shuō)的驗(yàn)證裝置根據(jù)被廣播的全部信息進(jìn)行驗(yàn)證。
26.一種如權(quán)利要求24的通信系統(tǒng)���,其中���,所說(shuō)的信息處理設(shè)備具有譯碼裝置,用于根據(jù)被傳送的所說(shuō)第一信息段使用所有所說(shuō)的信息處理設(shè)備對(duì)所說(shuō)的保密信息進(jìn)行譯碼���。
27.一種如權(quán)利要求24的通信系統(tǒng)�����,其中所說(shuō)信息處理設(shè)備具有計(jì)算裝置,用于根據(jù)被傳送的所說(shuō)第一信息段執(zhí)行計(jì)算和其中��,所說(shuō)的譯碼裝置根據(jù)所說(shuō)的計(jì)算結(jié)果譯出所說(shuō)的保密信息�。
28.一種如權(quán)利要求24的通信系統(tǒng),其中����,所說(shuō)的部分?jǐn)?shù)組是由所說(shuō)保密信息和隨機(jī)選取的保密元素所定義的部分矩陣�,和所說(shuō)部分矩陣的行矢量和列矢量是對(duì)應(yīng)保密的保密部分��,所說(shuō)行矢量和所說(shuō)列矢量的元素是所說(shuō)矢量和所說(shuō)列矢量的保密部分�����。
29.一種如權(quán)利要求24的通信系統(tǒng)��,其中���,所說(shuō)預(yù)定的函數(shù)是單路函數(shù)���。
30.一種如權(quán)利要求24的通信系統(tǒng),其中���,所說(shuō)的保密信息是一有限集的元素�,和其中所說(shuō)的產(chǎn)生裝置在所說(shuō)有限集進(jìn)行運(yùn)算�����。
31.如一通信系統(tǒng)系統(tǒng)����,它具有大量信息處理設(shè)備�,保密通信訊道�����,通過(guò)該信道每一個(gè)所說(shuō)的設(shè)備和另一個(gè)其它設(shè)備交換信息而保持對(duì)剩余的設(shè)備進(jìn)行保密���,和廣播通信信道��,通過(guò)該信道每一個(gè)所說(shuō)的設(shè)備公共地傳送信息到每一個(gè)其它的設(shè)備����,在所說(shuō)大量設(shè)備當(dāng)中屬于同一組簽名人的每一個(gè)所說(shuō)的設(shè)備包括共享裝置��,用于隨機(jī)地選取第一個(gè)保密信息和用于與所說(shuō)組的所說(shuō)設(shè)備共享所說(shuō)的第一保密信息���;廣播裝置��,用于對(duì)所說(shuō)第一保密信息執(zhí)行預(yù)定的第一函數(shù)運(yùn)算和用于廣播所得到的信息到所有所說(shuō)組內(nèi)的所有剩余的設(shè)備加法裝置,用于共享所說(shuō)組內(nèi)的所說(shuō)設(shè)備中的每一個(gè)所持有的第一保密信息和用于加所說(shuō)第一個(gè)保密信息��;處理裝置�,用于共享由所說(shuō)組內(nèi)所說(shuō)設(shè)備的每一個(gè)所說(shuō)設(shè)備保持的所說(shuō)輸出值和乘所說(shuō)輸出值��,用于對(duì)乘法的結(jié)果和一信息執(zhí)行預(yù)定的第二函數(shù)運(yùn)算�;計(jì)算裝置���,用于使用所說(shuō)的乘法結(jié)果���,共享和加所獲得的結(jié)果和在所說(shuō)組內(nèi)的所說(shuō)設(shè)備間為共享第二信息而成為公共的一元素去計(jì)算所說(shuō)第二信息;和譯碼裝置����,用于在共享第二保密信息的所說(shuō)組內(nèi)的所說(shuō)所有儀器的協(xié)同努力而對(duì)所說(shuō)第二保密信息進(jìn)行譯碼和用于輸出譯出的第二保密信息和共享和和乘得到的結(jié)果作為簽名。
全文摘要
本發(fā)明的目的是通過(guò)實(shí)際的計(jì)算量和實(shí)際的通信量去執(zhí)行可驗(yàn)證的保密共享����,近而,使用該處理����,產(chǎn)生共享的數(shù)字簽名,或提供共享的鑒別服務(wù)器���。
文檔編號(hào)H04L9/00GK1132429SQ95115810
公開日1996年10月2日 申請(qǐng)日期1995年7月28日 優(yōu)先權(quán)日1994年7月29日
發(fā)明者喬斯·曼紐爾·塞雷塞多, 巖村惠市 申請(qǐng)人:佳能株式會(huì)社