CN101179374B - 通信设备、通信系统及其方法 - Google Patents

Abstract

本发明提供了一种基于具有两种争议仲裁模式的扩展认证部分加密方案的通信设备、通信系统及其方法。在单接收者形式中，发送者可以向接收者发送经认证的部分加密消息，并且只有接收者能够解密和验证该消息。可以设置秘密解除模式或秘密保持模式，来确定在争议仲裁中是否公开秘密消息。在多接收者形式中，安全转送中心被用来将从发送者接收的消息转送给多个接收者。发送者只需要加密和签名单个发送消息，该消息由对于不同接收者的不同消息组成。安全转送中心解密并验证从发送者接收的消息，并根据转送策略信息将消息转送给每个指定的接收者。

Description

通信设备、通信系统及其方法

技术领域

本发明涉及通信网络，更具体地，涉及能够保持秘密性和认证性的通信设备、通信系统及其方法。

背景技术

加密和签名是最重要和基础的密码运算。它们被广泛使用在许多安全应用中，例如VPN、移动通信系统中的认证、广播加密等。作为基本的安全工具，加密和签名总是被一起使用，以对任何给定的消息进行加密和签名。也就是说，发送者的设备对消息进行加密和签名，然后将其发送到接收者的设备。在接收到该消息之后，接收者的设备对消息进行解密，并验证发送者的签名。在验证成功之后，接收者确信该消息的真实性。也就是说，接收者相信他/她已经接收了来自正确的发送者的正确的消息。还存在另一个优点。如果由于某个原因，发送者否认他/她发送的消息，则接收者可以向第三方出示证据证明该消息确实是该发送者发送的。

有一个例子。Alice向Bob发送一个消息，并且该消息的内容最好对任何第三人保密。例如，Alice打算从Bob那里借钱，并发送该事务的电子消息。该消息必须被加密，并且被签名，以提供认证。但是，如果事后Alice否认从Bob处借钱，则Bob可以向第三方提供证据证明Alice的确签署了该消息。

有一种认证方案被称为AES(authenticated encryption scheme，认证加密方案)。其首先出现在K.Nyberg和R.A.Rueppel的A New SignatureScheme Based on the DSA Giving Message Recovery，ACM Computer &Communications Security，vol.1，pp.58-61，1993中。然后作出了改进，并出现在P.Horster，M.Michels和H.Petersen，Authenticated EncryptionSchemes with Low Communication Costs，IEEE Electronics Letters，vol.30，no.15，pp.1212-1213，1994，以及W.B.Lee和C.C.Chang，Authenticated Encryption Scheme without using a One Way Function，IEEEElectronics Letters，vol.31，no.19，pp.1656-1657，1995中。最重要的是，在T.S.Wu和C.L.Hsu，Convertible Authenticated EncryptionScheme，The Journal of Systems and Software，vol.39，no.3，pp.281-282，2002；G.Wang，F.Bao，C.Ma和K.Chen，Efficient AuthenticatedEncryption Schemes with Public Verifiability，IEEE Vehicular TechnologyConference(VTC 2004)-Wireless Technologies for Global Security，IEEEComputer Society，2004；以及美国专利No.6396928中，实现了在争议仲裁中使用的加密和签名。

图14是示意性地示出了单接收者形式的传统认证加密方案的示图。发送者的设备使用生成签名所需的一次随机秘密整数k以及接收者的公钥，来得到加密钥。利用加密钥和对称加密算法(在某些方案中不需要)，消息M被加密为密文c。最后，密文c和签名(r，s)被发送给接收者的设备。在接收到认证解密消息之后，接收者的设备使用接收者私钥来解密密文，并利用发送者的公钥来验证签名。如果发生争议，接收者公开解密后的消息M以及签名(r，s)，受信第三方(TTP)于是可以验证该签名。

除了AES之外，还有其他系列的提供加密和签名(即，签密)的方案。要获得更多的信息，请参见Yuliang Zheng，Digital Signcryption orHow to Achieve Cost(signature & encryption)_cost(signature)+cost(encryption)，B.S.KaliskiJr.，editor，Proc.of Crypto’97，Volume 1294 ofLNCS，pages 165-179，Springer-Verlag，1997；H.Petersen和M.Michels，Cryptanalysis and Improvement of Signcryption Schemes，IEEProceedings-Computers and Digital Techniques，Volume 145，pages 149-151，1998(同时参见美国专利No.6396928)；以及Jun-Bum Shin，Kwangsu Lee和Kyungah Shim，New DSA-verifiable Signcryption Schemes，P.J.Lee和C.H.Lim，editors，Proc.of ICISC’02，Volume 2587 of LNCS，pages 35-47，Springer-Verlag，2002。上述方法使用与图14几乎相同的步骤。对于签密，基于陷门置换(trapdoor permutations)也提出了许多方法，例如Yevgeniy Dodis，Michael J.Freedman，Stanislaw Jarecki和ShabsiWalfish，Optimal Signcryption from any Trapdoor Permutation，2004Cryptology ePrint Archive，Report 2004/020，可在http://eprint.iacr.org/2004/020/在线获得；美国专利申请公开No.2004/0205337；以及日本专利申请早期公开No.2004-228916。由于这类方法要求总是低效的具有长输出的填充和陷门置换，所以在本申请的环境中是不理想的；因此，它们不在本说明书中进行讨论。

利用传统的方案，当发生争议时，为了让TTP验证签名，接收者被迫在证据中公开最初的秘密消息。

但是，存在某些情形，其中即使需要争议仲裁，接收者也不希望暴露秘密消息。例如，Bob不希望让其他人直到他借钱给Alice。如果出现争议，Bob可能只希望警告Alice她不能否认她的签名，并且通过证明该消息明确地是由Alice签署的，来达到目的。在这种情况中，即使对于TTP，Bob也不希望在签名的证据中暴露秘密消息自身的内容。

接收者也可能希望仅公开消息的一部分，而希望确保消息中的其他信息保密。例如，如果出现争议，Bob会希望证明Alice从他这里借了钱，但是可能不希望让其他人，包括TTP，知道他向Alice借出的钱的实际金额。在这种情况中，Bob将发现最好是向TTP出示关于实际的借钱行为的证据，同时将有关的实际金额的信息保密。

利用传统的方案，难以满足上述要求。

另外，在发送者需要向不同的接收者发送不同的消息时，传统的方案是低效的。参考图15和图16描述一个示例。图15是示出了根据传统方案的多接收者模型的示图。图16是示出了应用图15所示的传统方案的示例的框图，其中发送者的设备向位于安全内网中的多个接收者的设备发送消息。

利用传统方案，基本上是仅仅对要被发送到不同接收者的每个消息重复AES过程，如图15所示。现在，参考图16，n个接收者的设备REC₁，REC₂，…，REC_n位于安全内网1600中，安全内网1600例如是企业的局域网。发送者的设备在内网的外部，并且只能通过高价的信道CH用处理器能力弱的终端来连接到内网。利用传统方案，如果发送者需要分别向多个接收者发送不同的消息M1，M2，…，M2，则发送者的设备必须分别地对每个消息引用AES过程。即，发送者的设备必须对每个消息执行加密和签名操作，然后将密文c₁，c₂，…，c_n和签名(r，s)₁，(r，s)₂，…，(r，s)_n分别发送给接收者的设备REC₁，REC₂，…，REC_n。可见，发送者的设备执行与要被发送的消息数目相同的加密和签名操作。发送者的设备上的计算负担很重。此外，由于n对密文和签名是通过发送者的设备和内网之间的高价的信道被发送的，因此成本高。

因此，希望具有这样的一种通信系统和方法，其能够1)保持所有消息的保密性，同时提供它们的认证性；2)涉及尽可能低的计算负担；以及3)要求尽可能少的发送数据。

发明内容

如上所述，传统通信系统和方法中存在许多缺点。在争议仲裁时，现有方法强迫公开所争议的消息的秘密内容，这并不总是希望的。此外，发送设备必须对整个发送消息加密，不论消息中是否存在不敏感的信息。该运算在大素数有限域中进行，并且在实现上是低效的。此外，当有多个接收者时，发送设备必须为每个消息加密内容并生成签名。这在计算上是非常低效的。另外，发送设备不得不发送具有不同的签名的不同的消息，这是非常浪费带宽的过程。

鉴于现有技术中的上述问题作出了本发明。本发明提供了一种基于具有两种争议仲裁模式的扩展认证部分加密方案(EAPESTDAM)的通信设备、通信系统及其方法。

根据本发明的一个方面，提供了一种发送设备，包括：消息选择单元，其适合于选择至少一个消息的明文和一个或多个秘密；耦合到消息选择单元的加密单元，其适合于将秘密加密为密文；耦合到消息选择单元的签名单元，其适合于通过对每个秘密的哈希值与明文的组合进行签名，来生成签名；和耦合到通信网络的发送单元，其适合于将具有签名的明文和密文发送到接收设备。

根据本发明的另一个方面，提供了一种发送设备的方法，包括：选择至少一个消息的明文和一个或多个秘密；将秘密加密为密文；通过对每个秘密的哈希值与明文的组合进行签名，来生成签名；以及将具有签名的明文和密文发送到接收设备。

根据本发明的另一个方面，提供了一种接收设备，包括：接收单元，其适合于接收具有签名的被部分加密的消息；耦合到接收单元的提取单元，其适合于从被部分加密的消息提取明文和密文；耦合到提取单元的解密单元，其适合于将密文解密为一个或多个秘密；和耦合到提取单元和解密单元的验证单元，其适合于通过检查每个秘密的哈希值与明文的组合是否是用该签名被签名的，来验证该消息。

根据本发明的另一个方面，提供了一种接收设备的方法，包括：接收具有签名的被部分加密的消息；从被部分加密的消息提取明文和密文；将密文解密为一个或多个秘密；以及通过检查每个秘密的哈希值与明文的组合是否是用该签名被签名的，来验证该消息。

接收设备可以设置仲裁模式。在争议仲裁中，如果仲裁模式被设置为秘密解除模式，则接收设备向受信第三方发送明文、秘密和所接收的签名；并且，如果仲裁模式被设置为秘密保持模式，则接收设备向受信第三方发送明文、每个秘密的哈希值以及所接收的签名。

在本发明的多接收者形式中，提供了一种安全转送中心。该中心是一种特殊的接收设备，其根据转送策略信息向多个接收者的设备转送数据。安全转送中心向每个接收者的设备转送：明文、被转送策略信息设置为不公开给该接收者的秘密的哈希值、被转送策略信息设置为要公开给该接收者的秘密、以及所接收的签名。转送策略信息可以由发送设备的转送策略设置单元设置，并被保存在安全转送中心的转送策略单元中。转送策略信息可以是二元矩阵。

根据本发明的另一个方面，提供了一种通信系统，包括至少一个发送设备和至少一个接收设备。发送设备包括：消息选择单元，其适合于选择消息的明文和秘密；加密单元，其适合于将秘密加密为密文；签名单元，其适合于通过对秘密的哈希值与明文的组合进行签名，来生成签名；和第一发送单元，其适合于将具有签名的明文和密文发送到接收设备。接收设备包括：接收单元，其适合于接收从发送设备发送的数据；提取单元，其适合于从所接收的数据提取明文和密文；解密单元，其适合于解密密文；和验证单元，其适合于通过检查从密文解密出的秘密的哈希值与明文的组合是否是用该签名被签名的，来验证所接收的数据。

根据本发明的另一个方面，提供了一种用于通信系统的方法。通信系统包括至少一个发送设备和至少一个接收设备。该方法包括由发送设备执行的以下步骤：选择消息的明文和秘密；将秘密加密为密文；通过对秘密的哈希值与明文的组合进行签名，来生成签名；以及将具有签名的明文和密文发送到接收设备。该方法还包括由接收设备执行的以下步骤：接收从发送设备发送的数据；从所接收的数据提取明文和密文；解密密文；以及通过检查从密文解密出的秘密的哈希值与明文的组合是否是用该签名被签名的，来验证所接收的数据。

根据本发明的另一个方面，提供了一种通信系统，包括至少一个发送设备、至少一个安全转送中心以及多个接收者的设备。发送设备包括：消息选择单元，其适合于选择多个消息的明文和一个或多个秘密，每个消息被指定要转送给至少一个接收者；加密单元，其适合于将秘密加密为密文；签名单元，其适合于通过对每个秘密的哈希值与明文的组合进行签名，来生成签名；和第一发送单元，其适合于将具有该签名的明文和密文发送到安全转送中心。安全转送中心包括：接收单元，其适合于接收从发送设备发送的数据；提取单元，其适合于从所接收的数据提取明文和密文；解密单元，其适合于解密密文；验证单元，其适合于通过检查从密文解密出的一个或多个秘密中的每个秘密的哈希值与明文的组合是否是用该签名被签名的，来验证所接收的数据；和第二发送单元，其适合于将数据转送到多个接收者的设备，其中被转送给任何接收者的设备的数据至少包括：明文、不公开给该接收者的秘密的哈希值、要公开给该接收者的秘密、以及所接收的签名。

根据本发明的另一个方面，提供了一种用于通信系统的通信方法。该通信系统包括至少一个发送设备、至少一个安全转送中心以及多个接收者的设备。该方法包括由所述发送设备执行的以下步骤：选择多个消息的明文和一个或多个秘密，每个消息被指定要转送给至少一个接收者；将秘密加密为密文；通过对每个秘密的哈希值与明文的组合进行签名，来生成签名；以及将具有该签名的明文和密文发送到安全转送中心。该方法还包括由安全转送中心执行的以下步骤：接收从发送设备发送的数据；从所接收的数据提取明文和密文；解密密文；通过检查从密文解密出的一个或多个秘密中的每个秘密的哈希值与明文的组合是否是用该签名被签名的，来验证所接收的数据；以及将数据转送到多个接收者的设备，其中被转送给任何接收者的设备的数据至少包括：明文、不公开给该接收者的秘密的哈希值、要公开给该接收者的秘密、以及所接收的签名。

根据本发明，用户可以确定在争议仲裁中是否将秘密消息公开给TTP，并且消息的任何部分可以被加密或不加密。所使用的运算群是基于希望的实现方式而选择的。例如，可以选择ECC群用于较快的实现方式。此外，因为不需要陷门置换，所以操作更加简单和灵活。

当有多个(n个)接收者时，发送设备仅需要生成一个签名，而不是n个签名，这显著地降低了发送设备的计算负担。因此，发送设备仅需要发送一个签名，而不是n个签名，这显著地降低了通信带宽。此外，可以设置策略，使得任何秘密消息或者没有消息可以被公开给任何指定的接收者，从而提供了灵活的通信方案。

附图说明

结合附图，从下面对本发明优选实施例的详细描述，将更好地理解本发明，附图中类似的参考标记指示类似的部分，其中：

图1是示出了根据本发明一个实施例的发送设备的示例性配置的框图；

图2是示出了根据本发明一个实施例的接收设备的示例性配置的框图；

图3是示意性地示出了根据本发明单接收者形式的一个实施例的系统模型的示图；

图4是示出了根据本发明一个实施例的由发送设备执行的加密和签名操作的流程图；

图5是示出了根据本发明一个实施例的由接收设备执行的解密和验证操作的流程图；

图6是示出了根据本发明一个实施例的在秘密保持模式中由TTP执行的争议仲裁过程的流程图；

图7是示出了根据本发明多接收者形式的一个实施例的发送设备的示例性配置的框图；

图8是示出了根据本发明多接收者形式的一个实施例的安全转送中心的示例性配置的框图；

图9是示意性地示出了根据本发明多接收者形式的一个实施例的系统模型的框图；

图10是示出了根据本发明多接收者形式的一个实施例的由发送设备执行的加密和签名操作的流程图；

图11是示出了根据本发明一个实施例的由安全转送中心发送设备执行的转送操作的流程图；

图12是示出了根据本发明多接收者形式的一个实施例的由每个接收者的设备执行的验证操作的流程图；

图13是示出了根据本发明多接收者形式的一个应用的框图；

图14是示出了发送者向一个接收者发送消息的传统认证加密方案的示图；

图15是示出了发送者向多个接收者发送消息的传统认证加密方案的示图；以及

图16是示出了发送者需要向多个接收者发送消息的传统方案的示例性应用的框图。

具体实施方式

下面将参考附图描述本发明。在下面的详细描述中，提出了许多具体细节，以便提供对本发明的完全理解。但是，对于本领域的普通技术人员来说很明显，没有这些具体细节中的一些，本发明也可以被实现。在其他情况中，公知的结构和技术没有详细示出，以避免不必要地使本发明模糊。

本发明提供了一种基于具有两种争议仲裁模式的扩展认证部分加密方案(extended authenticated part-encryption scheme with two dispute arbitrationmodes，下文中称为EAPESTDAM)的通信设备、通信系统和方法。

在根据本发明的通信系统中，发送者可以向接收者发送经认证的部分加密的消息(消息的一部分不需要被加密，并且可以以明文发送)，并且只有该接收者能够解密和验证该消息。可以设置秘密解除模式和秘密保持模式，来确定在争议仲裁中是否向TTP公开消息中所包含的一个或多个秘密。此外，当单个发送者需要向多个接收者发送消息时，作为接收者的代表的被称为SDC(安全转送中心)的设备被用来转送消息。在SDC的帮助下，发送者的设备只需要对单个发送消息(该消息包含对于不同接收者的不同的独立消息)采用一次EAPESTDAM。在接收到消息之后，SDC解密并验证经EAPESTDAM处理的消息。最后，SDC将所有消息，连同可以被任何接收者验证的发送者的签名，转送给其分别指定的接收者设备。尤其是，可以基于预设的策略，将对单个接收者的消息选择为对其他接收者公开/不公开。

本发明具有两种形式：单接收者形式和多接收者形式。它们分别被称为单接收者EAPESTDAM和多接收者EAPESTDAM。

[单接收者EAPESTDAM]

将参考图1～图6描述本发明的单接收者形式的实施例。

在单接收者形式中，由三种参与者：发送设备、接收设备以及TTP。TTP仅当需要争议仲裁时才是必须的，并且可以包括一个或多个TTP。

在许多情形中，发送的消息中的某些内容被公开给除了希望的接收者之外的其他方是并不要紧的。因此，本发明的一个重要特征是被发送给接收者的消息中包括明文M_p和涉及秘密M_s的密文c，其中发送者能够选择消息中的保密内容，并将其指定为秘密M_s，而其他不敏感的内容被指定为明文M_p。

图1是示出了根据本发明一个实施例的发送设备的示例性配置的框图。发送设备100例如是发送者的终端，其主要包括用于选择消息的明文和秘密的消息选择单元101、被耦合到消息选择单元101的用于执行加密操作的加密单元102、被耦合到消息选择单元101的用于执行签密操作的签名单元103、以及被耦合到通信网络的用于经由网络发送数据的发送单元104。

图2是示出了根据本发明一个实施例的接收设备的示例性配置的框图。接收设备例如是接收者的终端，其主要包括被耦合到通信网络的用于接收从发送设备发送的数据的接收单元201、被耦合到接收单元201的用于提取所接收的数据的明文和密文的提取单元202、被耦合到提取单元202的用于执行解密操作的解密单元203、被耦合到提取单元202的用于执行验证操作的验证单元204、用于设置用于争议仲裁的秘密解除/秘密保持模式的模式设置单元205、以及被耦合到通信网络的用于基于所设置的仲裁模式向TTP发送相关数据的发送单元206。

发送设备100和接收设备200中的每个都可以被实现为能够与另一设备通信的任何设备。发送设备100或者接收设备200可以被实现为移动电话、个人数字助理(PDA)、个人计算机(PC)或者其中设立的部件等等。

虽然未在图中示出，但是依赖于具体的实现方式，发送设备100和接收设备200中的每个可以包括本领域中公知的任何其他部件。例如，发送设备100还可以包括输入单元，例如键盘、点选设备、触摸板、能够从外部设备接收数据的接口等，用于来自任何外部设备或者由接收发送者输入的数据和命令。但是，如果发送设备100是自动设备，并且消息以及它们的明文/秘密模式被预设在设备中，则这样的输入单元可能不是必要的。同样，接收设备200可以包括允许接收者输入用于选择争议仲裁模式的命令的输入单元。但是，如果争议仲裁模式是根据预设的规则而自动选择的，则这样的输入单元可能不是必须的。

此外，当发送设备100或接收设备200被实现为移动电话时，其还可以包括天线、显示单元、扬声器等。此外，发送设备100可以包括接收设备200的部件，以便其也可以在通信网络中用作接收装置，反之亦然。

下面参考图3描述根据本发明的单接收者EAPESTDAM的系统的模型。

假设发送者和接收者都具有彼此的公钥(可以使用证书授权机构(CA)授权的证书)。秘钥/公钥以及用于加密/解密和签名/验证的其他可能的参数被分别保存在发送设备和接收设备的加密/解密和签名/验证单元中。这些参数是本领域中公知的，因此这里省略对它们的详细描述。

首先描述由发送设备100执行的过程。消息选择单元101将消息划分为明文M_p和秘密M_s。该操作可以基于由发送者输入的选择。一次随机秘密整数k被生成用于加密单元102或签名单元103的加密和签名操作。签名单元103生成(r，s)，其是利用整数k对明文M_p和H(M_s)的Schonor签名。这里，H(M_s)是秘密消息M_s的哈希值。此外，加密单元102利用从接收者的公钥以及签名操作中所使用的一次随机秘密整数k得到的密钥，对秘密消息M_s加密，以得到密文c。然后，发送设备通过发送单元104向接收设备发送M_p||c||r||s。

如这里所使用的，符号“||”表示位串串联。请注意，在本说明书和附图中，数据串的串联顺序是可以改变的。例如，可以使用c||M_p||r||s或r||s||M_p||c来代替M_p||c||r||s，只要相关方保持了每个部分被安排的顺序的一致性。此外，位串串联仅仅是用于举例说明本发明的概念的一个示例。可以使用任何用于将数据连接/打包在一起的其他方法来代替位串串联。在本说明中，在“||”被插入在发送消息的不同部分之间时，可以宽泛地理解为所有这些部分被发送到目的地。

接着，描述由接收设备200执行的过程。在接收单元201从发送设备接收到M_p||c||r||s之后，提取单元202从所接收的数据中提取明文M_p和密文c。解密单元203利用接收者的私钥和(r，s)对密文c进行解密，以得到M_s。然后，验证单元204可以验证发送者的签名。

如果出现争议，接收者可以请求TTP进行仲裁。根据本发明，可以为仲裁设置两种模式中的一种。如果接收者不希望向TTP公开M_s，则模式设置单元205设置秘密保持模式。该操作可以基于由接收者输入的选择。在秘密保持模式中，接收设备的发送单元206向TTP发送M_p||H(M_s)||r||s。TTP可以容易地验证签名，但是M_s的内容对TTP是保密的。

另一方面，如果可以让TTP知道M_s的内容，则接收者可以通过模式设置单元205设置秘密解除模式。在秘密解除模式中，发送单元206向TTP发送M_p||M_s||r||s。TTP可以容易地验证签名，同时M_s的内容被公开。

与图14所示的传统方案相比，根据本发明的单接收者EAPESTDAM具有是否在争议仲裁中向TTP发送秘密消息的明文的选项。

上面描述了单接收者EAPESTDAM的基本概念。下面参考图4～图6描述根据本发明单接收者EAPESTDAM的一个实施例的详细过程。

首先，系统参数被建立。下面列出了系统参数和函数。

—群(G，+)＝<g>，其中g∈G，并且g是具有大素数阶q的G的生成子。群G的离散对数问题是困难的，即，要从给定一对(g₁，kg₁)∈G×G知道整数k，在计算上是不可行的。元素kg₁表示g₁的k次加法。(例如，GF(p)的q阶子群，q阶ECC主群)

—发送者的私钥/公钥对(x_s ∈R Z_q ^*，S＝x_s g)。符号_RZ_q ^*表示从集合Z_q ^*随机选择。

—接收者的私钥/公钥对(x_r ∈_R Z_q ^*，R＝x_r g)。

—发送设备具有接收者的公钥R，并且接收设备以及TTP具有发送者的公钥S。可以使用CA系统。

—输出长度为l_H的一般哈希函数。符号H_x()表示H()的x位截断。

—令符号||表示位串串联。

—令符号⊕表示XOR操作。

—v＝l_s mod l_H， $u=\left\{\begin{array}{c}((l_s-v)/l_H)+1,v\&NotEqual;0;\\ (l_s-v)/l_H,v=0;\end{array}\right.,$ 用于将消息分段为u个块，

其中每个块的长度是l_H，除了如果v≠0则最后一个块的长度是v。

—令c₀是具有固定长度l_H的位串，该位串的位可以都是1或都是0或者其他任何预设的值。

如上所述，要被发送的消息被划分为消息M_p和M_s，其中M_s是长度l_s的秘密消息，M_p是不需要加密的部分。秘密消息M_s被分段为u个块(M_s1′，M_s2′，…，M_su′)。每块的长度为l_H，除了如果v≠0则最后一块M_su′的长度为v。这里，为了匹配哈希函数的输出长度，秘密消息M_s被分段为块。依赖于具体的应用，如果需要对M_s进行分段，则这样的步骤可以被省略。对于以后描述的实施例也是如此。

另外，仲裁模式被设置。例如，标志MODE可以被设置用于指示仲裁模式。如果MODE＝0，则是秘密解除模式；如果MODE＝1，则是秘密保持模式。

此外，发送和接收设备的加密/解密和签名/验证单元可以保持相关的系统参数和函数。但是，在替换的实施例中，可以在发送设备100中单独提供系统参数单元，其与加密单元102和签名单元103相耦合。系统参数单元可以被用来集中地保存可能在加密和签名操作中使用的系统参数。并且，系统参数单元可以和加密单元102和签名单元103分担一些计算工作。例如，下面将提到的随机整数k可以由系统参数单元生成。类似地，也可以在接收设备200中提供系统参数单元，其耦合到解密单元203和验证单元204，并用于保存在解密和验证操作中使用的系统参数。

图4是示出了根据本发明一个实施例的由发送设备执行的加密和签名操作的流程图。

首先，消息选择单元101设置消息的明文M_p和秘密M_s。在步骤S401处，生成随机整数k∈_R Z_q ^*。该步骤可以由加密单元102或者签名单元103或者系统参数单元执行。

然后，在步骤S402～S410，加密单元102对消息的秘密M_s进行加密。具体地说，对于i＝1到i＝u-1，计算c_i＝M_si′⊕H(c_i-1||kR)。然后，对于M_su′，如果v≠0，则c_u＝M_su′⊕H_v(c_u-1||kR)；否则，c_u＝M_su′⊕H(c_{u- 1}||kR)。最后，得到密文c＝c₁||c₂||…||c_u。

在步骤S411处，签名单元103对M_p和M_s签名，以得到签名(r，s)，其中r＝H(M_p||H(M_s)||kg)，w＝r mod q，并且s＝(k+w x_s)mod q。

最后，在步骤S412处，发送单元104向接收者发送M_p||c||r||s。

加密操作已经被描述为在签名操作之前进行。但是，也可以在加密操作之后进行签名操作，或者同时执行两者。

图5是示出了根据本发明一个实施例的由接收设备执行的解密和验证操作的流程图。

在接收单元201从发送者接收到M_p||c||r||s之后，提取单元202从接收的数据中提取明文M_p和密文c。然后，解密单元203对密文c进行解密，以获得秘密消息M_s′。具体地说，在步骤S501，计算w＝r mod q and Q＝(sR-w x_r S)。在步骤S502～S504，对于i＝1到i＝u-1，计算M_si′′＝c_i⊕H(c_{i- 1}||Q)。在步骤S505，计算 ${M_{{\mathrm{su}}^{\&prime;}}}^{\&prime;}=c_u\&CirclePlus;H_{l_{c_u}}\left(c_{u-1}\right|\left|Q\right),$ 其中

是c的最后的块的长度。然后，在步骤S506，得到M_s′＝M_s1′′||M_s2′′||…||M_su′′。

为了验证被解密的M_s′，验证单元204在步骤S507计算t＝x_r ^-1 mod q以及r′＝H(M_p||H(M_s)||tQ)，并在步骤S508将r′与从发送者接收的r相比较。如果r′＝r，则签名是有效的，并且接收者接受该消息(步骤S509)。否则，签名是无效的，并且接收者可以放弃该消息(步骤S510)。

如果在发送者和接收者之间发生争议，例如，发送者试图否认他/她向接收者发送了消息，则接收者可以向TTP出示证据用于仲裁。根据由模式设置单元205设置的仲裁模式，秘密消息M_s可以被选择为公开或不公开。

如果秘密保持模式被设置(MODE＝1)，则发送单元206向TTP发送M_p||H(M_s)||r||s。图6是示出了在秘密保持模式中由TTP执行的争议仲裁过程。在步骤S601，TTP计算w＝r mod q和L＝sg-wS。在步骤S602，计算r′＝H(M_p||H(M_s)||L)。在步骤S603，TTP检查是否保持了r′＝r。如果是，则签名是有效的(步骤S604)。否则，签名是无效的(步骤S605)。由于发送的是M_s的哈希值，而不是M_s本身，因此TTP可以验证消息的签名，但M_s的内容将对TTP保密。

如果秘密解除模式被设置(MODE＝0)，则接收设备的发送单元206向TTP发送M_p||M_s||r||s。然后，TTP计算w＝r mod q，L＝sg-wS以及r′＝H(M_p||H(M_s)||L)。如果保持了r′＝r，则签名是有效的；否则，签名是无效的。在该模式中，M_s的内容被公开给TTP。

根据本发明，只有发送者可以生成消息的签名，因此保持了认证能力。同时，实现的部分加密，其中发送者可以选择加密消息的任何部分。由于消息的一部分可以不经历加密和签名操作，所以计算强度和复杂度被降低。并且，维持了指定能力，其中只有接收者能够解密密文并验证消息的签名，并且TTP只有在接收者的帮助下能够验证签名。此外，对接收者提供了两种争议仲裁模式，用来确定在争议仲裁期间是否公开秘密。

[多接收者EAPESTDAM]

基于单接收者EAPESTDAM，提出了多接收者EAPESTDAM。将参考图7～图13描述本发明多接收者形式的实施例。

图7是示出了用在多接收者EAPESTDAM中的发送设备的示例性配置。发送设备700的配置类似于图1所示的发送设备100的配置，除了发送设备700还可以包括转送策略设置单元105。转送策略设置单元105被用于设置转送策略信息。即，指定M_s的每个部分的希望的接收者。这里省略对与图1说是的部件类似的部件的详细描述。

在多接收者EAPESTDAM中，被称作SDC(安全转送中心)的设备被用来为接收者处理安全问题。SDC可以被认为是一个特殊的接收设备，其将从发送设备接收的消息转送到多个接收者。图8示出了根据本发明的一个实施例的SDC的示例性配置。

如图8所示，SDC 800的配置类似于图2所示的接收设备200的配置，除了SDC 800不需要模式设置单元205，并且SDC 800还包括转送策略单元801。转送策略单元801保存用于将消息转送给不同接收者的转送策略信息。例如，它保存后面将描述的二元矩阵。策略信息可以是从发送设备发送的。根据转送策略单元801中所保存的策略信息，发送单元206将消息发送给每个接收者。

下面参考图9描述根据本发明多接收者EAPESTDAM模型。

假设发送者希望向n个接收者发送不同的消息，这些接收者的设备被分别表示为REC₁，REC₂，…，REC_n。通过发送设备的消息选择单元101，发送消息被划分为明文M_p和秘密部分M_s，其中M_s由秘密M_s1，M_s2，…，M_sn组成，其中M_si(1≤i≤n)是对于第i个接收者的设备REC_i的秘密消息。此外，发送设备的转送策略设置单元701设置用于将正确的信息发送到其希望的接收者的转送策略信息。例如，转送策略信息可以是n×n的二元矩阵E，该矩阵E的元素被表示为E_ij(1≤i≤n，1≤j≤n)。如果E_ij＝1，则秘密M_si被设置为公开给第j个接收者。另一方面，如果E_ij＝0，则秘密M_si被设置为不公开给第j个接收者。

发送设备的签名单元103生成(r，s)，其是M_p和H(M_s1)，H(M_s2)，…H(M_sn)的Schonor签名。H(M_si)(1≤i≤n)是秘密M_si的哈希值。发送设备的加密单元102利用从SDC的公钥和在签名过程中使用的一次随机秘密整数k得到的密钥对秘密部分M_s加密，以得到密文c，其中M_s由M_si(i＝1 to n)组成。然后，发送设备经由发送单元104向SDC发送M_p||c||r||s。

SDC的接收单元201接收到M_p||c||r||s之后，SDC的提取单元202提取明文M_p和密文c。SDC的解密单元203利用其私钥和(r，s)对密文c进行解密，以获得M_s1，M_s2，…，M_sn。然后，SDC的验证单元204利用发送者的公钥验证签名。如果验证被确认，则对于全部n个接收者，SDC经由发送单元206向第i个接收者设备REC_i发送M_p||E_i(M_s1)||E_i(M_s2)||…||E_i(M_sn)||r||s，其中如果E_ij＝1则E_i(M_sj)＝M_sj；如果E_ij＝0，则E_i(M_sj)＝H(M_sj)。E_ij是从SDC的转送策略单元801获取的。

从而，每个接收者设备得到了消息，并且能够验证签名。在发给一个接收者设备的消息中，指定给该接收者的内容被公开，二没有指定给该接收者的内容对该接收者保密。

如上所述，转送策略信息决定秘密部分M_s的那个部分要被公开给特定的接收者。该策略可以通过发送者和接收者和/或SDC之间的协商来设置。策略也可以仅由发送者或者第三方(例如组管理员)设置。策略信息可以预先确定，并保存在SDC的转送策略单元801中。或者，策略信息可以随发送消息一起被发送给SDC。

在上述实施例中，转送策略信息由发送设备的转送策略设置单元701设置。但是，在策略不是由发送者设置的情况中(例如由组管理员设置)，发送设备的转送策略设置单元701可以被取消。此外，如果策略是固定的(例如，自由M_p和M_si要被公开给第i个接收者)，则SDC简单地将M_p||H(M_s1)||…||H(M_si-1)||M_si|||H(M_si+1)||…||H(M_sn)||r||s发送给第i个接收者的设备REC_i。在该情况中，发送设备的转送策略设置单元701和SDC的转送策略单元801都可以被省略。

在上述实施例中，转送策略信息被表示为二元矩阵E。但是，策略信息也可以具有其他配置，并且可以通过各种方式传达。

下面参考图10～图12描述根据本发明的多接收者EAPESTDAM的一个实施例的详细过程。

以与单接收者EAPESTDAM类似的方式建立系统参数。系统参数和函数列出如下。

—群(G，+)＝<g>，其中g∈G，并且g是具有大素数阶q的G的生成子。群G的离散对数问题是困难的，即，要从给定一对(g₁，kg₁)∈G×G知道整数k，在计算上是不可行的。元素kg₁表示g₁的k次加法。(例如，GF(p)的q阶子群，q阶ECC主群)

—发送者的私钥/公钥对(x_s ∈_R Z_q ^*，S＝x_s g)。符号_RZ_q ^*表示从集合Z_q ^*随机生成。

—SDC的私钥/公钥对(x_r ∈_R Z_q ^*，R＝x_r g)。

—发送设备具有SDC的公钥R，并且SDC以及所有的接收者的设备具有发送者的公钥S。

—输出长度为l_H的一般哈希函数。H_x()表示H()的x位截断。

—令符号||表示位串串联。

—令符号⊕表示XOR操作。

—v＝l_s mod l_H， $u=\left\{\begin{array}{c}((l_s-v)/l_H)+1,v\&NotEqual;0;\\ (l_s-v)/l_H,v=0;\end{array}\right.,$ 用于将消息分段为u个块，

其中每个块的长度是l_H，除了如果v≠0则最后一个块的长度是v。

—令c₀是具有固定长度l_H的位串，该位串的位可以都是1或都是0或者其他任何预设的值。

如在单接收者EAPESTDAM的实施例中所讨论的，相关的系统参数可以被保存在相应的加密/解密和签名/验证单元中。但是，也可以提供系统参数单元来集中地保存这些参数。

发送设备的消息选择单元101将发送消息分为M_p和M_s。M_p是不敏感的明文，M_s是长度l_s的秘密部分，其中M_s＝M_s1||M_s2||…||M_sn。秘密M_si是对于第i个接收者的(1≤i≤n)。

二元n×n矩阵E被设置。如果E_ij＝1(1≤i≤n，1≤j≤n)，则E_i(M_sj)＝M_sj，即，秘密M_sj被设置为要公开给第j个接收者。如果E_ij＝0，则E_i(M_sj)＝H(M_sj)，即，秘密M_sj被设置为不公开给第j个接收者。该矩阵可以由发送设备的转送策略设置单元701设置，并被SDC的转送策略单元801保存。矩阵可以预先被发送给SDC。

秘密部分M_s被分段为u个块(M_s1′，M_s2′，…，M_su′)，每个块的长度为l_H，除了如果v≠0则最后一个块M_su′的长度为v。

图10是示出了根据本发明的多接收者EAPESTDAM的一个实施例的由发送设备执行的加密和签名操作的流程图。

首先，在步骤S1001，加密单元102或签名单元103随机生成整数k∈_R Z_q ^*。如果在发送设备中设置了单独的系统参数单元，则整数k的生成可以由该单元执行。

然后，在步骤S1002～S1008，加密单元102对秘密部分M_s加密。具体地说，对于i＝1到i＝u-1，计算c_i＝M_si′⊕H(c_i-1||kR)。然后，对于M_su′，如果v≠0，则c_u＝M_su′⊕H_v(c_u-1||kR)；否则，c_u＝M_su′⊕H(c_u-1||kR)。最后，得到密文c＝c₁||c₂||…||c_u。

在步骤S1009，签名单元103对M_p和M_s签名，以获得签名(r，s)，其中r＝H(M_p||H(M_s1)||H(M_s2||…||H(M_sn)||kg)，w＝r mod q，并且s＝(k+w x_s)mod q。

最后，在步骤S1011，发送单元104向SDC发送M_p||c||r||s。

上述步骤的顺序可以改变。例如，签名操作可以在加密操作之前进行，或者两者可以同时进行。

图11是示出了根据本发明一个实施例的由SDC执行的转送操作的流程图。

在接收单元201从发送设备接收到M_p||c||r||s之后，提取单元202从接收的数据中提取明文M_p和密文c。解密单元203对密文c解密，以得到秘密消息M_s′。具体地说，在步骤S1101，计算w＝r mod q以及Q＝(sR-wx_c S)。在步骤S1102-S1104，对于i＝1到i＝u，计算 ${M_{{\mathrm{si}}^{\&prime;}}}^{\&prime;}=c_i+H_{l_{\mathrm{ci}}}\left(c_{i-1}\right|\left|Q\right),$ 其中l_ci＝l_H(1≤i≤u-1)并且l_cu＝l_c-(u-1)l_H。然后，在步骤S1105，得到M_s′＝M_s1′||M_s2′||…||M_su′＝M_s1′′||M_s2′′||…||M_sn′′。

顺便提及，将M_s′分为M_s1′||M_s2′||…||M_sn′||可以基于M_si(1≤i≤n)的长度进行，并由解密单元203执行。每个长度可以由发送设备在消息M_p中指定，或者在秘密消息M_s的开头指定。此外，可以利用结束标识END来标识消息的划分，例如END＝0x0000。然后，在加密之前，执行(M_s1||END)||(M_s2||END)||…||(M_sn||END)填充。然后，填充后的秘密消息被加密为c，并与M_p一起被签名。因此，在解密之后，得到了(M_s1||END)||(M_s2||END)||…||(M_sn||END)，并且结束标识END可以被认为是M_si的结束。从而，SDC划分M_s′，并丢弃END。

但是，本领域的技术人员可以设计各种方案来分割消息。例如，任何预定的符号或代码可以被用来指示每个M_si的起始位置、结束位置、长度等中的任何一个。这样的指示符可以通过任何编码方法，被插入到M_s中，或者嵌入到M_p中，或者其他另外的消息中。或者，系统可以预先规定固定的分割长度用于对每个接收者的消息。然后，发送设备根据预定的分割方案准备或压缩对每个接收者的秘密消息，并且SDC相应地分割消息。

在从密文c解密出M_s′之后，验证单元204在步骤S1106计算t＝x_r ^-1mod q和r′＝H(M_p||H(M_s1′)||H(M_s2′)||…||H(M_sn′)||tQ)，并在步骤S1107检查是否保持了r′＝r。如果r′≠r，则签名是无效的，并且SDC可以放弃该消息(步骤S1111。如果r′＝r，则签名是有效的，并且SDC在步骤S1108～S1110，通过发送单元206将消息转送到每个接收者的设备。具体地说，对于i＝1到n，SDC将M_p||E_i(M_s1)||E_i(M_s2)||…||E_i(M_sn)||r||s转送到第i个接收者的设备REC_i，其中E_i()是通过转送策略单元801中所保存的转送策略信息(例如，二元矩阵E)确定的。根据转送策略信息，只有被指定给第i个接收者的内容才公开给该第i个接收者。

图12是示出了根据本发明一个实施例的由每个接收者的设备执行的验证操作的流程图。

对于每个接收者设备REC_i，在接收M_p||E_i(M_s1)||E_i(M_s2)||…||E_i(M_sn)||r||s之后，接收者的设备REC_i可以验证发送者的签名。在步骤S1201，REC_i计算w＝r mod q，以及L＝sg-wS。在步骤S1202，REC_i计算r′＝H(M_p||H(M_s1)||H(M_s2)||…||H(M_sn)||L)。然后，在步骤S1203，REC_i检查是否保持了r′＝r。如果是，则签名是有效的(S1204)。否则，签名是无效的(S1205)。

由于每个接收者的设备所接收的消息可以利用签名(r，s)被验证，所以如果在发送者和接收者之间出现争议，接收者可以向TTP提供证据进行仲裁。该模式中的争议仲裁的过程与上述单接收者EAPESTDAM中的类似。

下面参考图13说明根据本发明的多接收者EAPESTDAM的效果。图13是示出了引用根据本发明的多接收者EAPESTDAM的一个示例的框图。

参考图16中所示的情形，发送者需要向不同的n个接收者发送不同的消息，这些接收者的设备分别被表示为REC₁，REC₂，…，REC_n。接收者的设备位于安全内网1300内，但是发送设备在安全内网1300外部。发送设备只能通过信道CH与该内网连接。通常，信道CH是昂贵的，并且其带宽非常有限。相比而言，内网1300的带宽是充裕的，并且通信成本低。

根据本发明，发送设备将针对每个接收者的全部消息组合为(M_p，M_s)，对M_s加密，对M_p||H(M_s1)||H(M_s2||…||H(M_sn)签名，以得到签名(r，s)，并向SDC发送M_p||c||r||s。然后，SDC将消息转送到每个希望的接收者的设备。

可以看出，发送设备加密消息中的一部分，然后生成对于整个发送消息的单个签名。与传统方案(加密和签名必须执行多次，次数等于要发送的消息的数目)相比，发送设备的计算负担降低了。尤其当发送设备是处理器能力弱的终端时，这正是所希望的。

此外，根据本发明，通过昂贵的信道CH发送的是一个目的地(SDC)的M_p，c，(r，s)。与传统方案(密文和签名对通过信道CH被发送给每个接收者)相比，在信道CH上发送的比特数减少了。因此，信道CH的花费和带宽被节省。

另外，设计良好的内网通常被公共网络(信道CH)更加安全。降低通过公共网络发送的数据意味着数据安全性的改善。

综上所述，利用本发明的多接收者EAPESTDAM，只有发送者可以生成消息的签名，因此维持了认证能力。同时，实现了部分加密，其中发送者可以选择加密消息的任何部分。此外，维持了指定能力，其中只有SDC可以解密密文，只有针对某个接收者的内容被公开给该接收者，并且接收者可以在SDC的帮助下验证签名。更重要的是，发送设备可以在一个过程中向不同的接收者的设备发送不同的消息，并且可以设置转送策略信息来确定针对单个接收者的消息是否被公开给任何其他的接收者。在本发明的方案中，与单独加密和签名不同的消息相比，发送者将发现带宽和计算资源两者的极大的节省。

[替代实施例]

各种加密方法可以用于实现本发明。下面描述本发明的一些替代实施例，其中M_s是通过与图4和图10所示的方法不同的方法而加密的。由于其他过程与上述实施例中的类似，因此这里仅示出加密的过程。

首先，给出如下定义：

—一般哈希函数。符号H_q(.)表示H(.)mod q。

—令

表示最大整数，其小于x。

—令

v＝l_s mod l_q， $u=\left\{\begin{array}{c}((l_s-v)/l_q)+1,v\&NotEqual;0;\\ (l_s-v)/l_q,v=0;\end{array}\right.,$ 于是秘密消息M_s被分段为u个块(M_s1′，M_s2′，…，M_su′)，其中每个块的长度为l_q，除了如果v≠0则最后一个块M_su′的长度为v。因此，对于每个M_si′，有

—令c₀是具有固定长度l_q的位串，该位串的位可以都是1或都是0或者其他任何预设的值。

对于单接收者EAPESTDAM，在发送设备处加密M_s的相应操作如下：1)随机生成整数k∈_R Z_q ^*；2)对于i＝1到i＝u，计算c_i＝(M_si′+H_q(c_i-1||kR))mod q；然后，3)c＝c₁||c₂||…||c_u。

对于多接收者EAPESTDAM，在发送设备处加密M_s的操作如下：1)随机生成整数k∈_R Z_q ^*；2)对于i＝1到i＝u，计算c_i＝(M_si′+H_q(c_i-1||kR))mod q；然后，3)c＝c₁||c₂||…||c_u。

在SDC处解密密文c的相应操作如下：1)计算w＝r mod q，和Q＝(sR-w x_r S)；2)对于i＝1到i＝u，计算M_si′′＝(c_i+H_q(c_i-1||Q))mod q；然后，3)M_s′＝M_s1′||M_s2′||…||M_su′＝M_s1′′||M_s2′′||…||M_sn′′。

上面已经参考附图详细描述了本发明。虽然在附图中，所描述的单元被示出为单独的块，但是它们中的任何一个都可以与其他单元相组合称为一个部件，或者被分为多个部件。

本发明的元素可以实现为硬件、软件、固件或者它们的组合，并且可以用在它们的系统、子系统、部件或者子部件中。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

本发明可以以其他的具体形式实现，而不脱离其精神和本质特征。例如，特定实施例中所描述的算法可以被修改，而系统体系结构并不脱离本发明的基本精神。因此，当前的实施例在所有方面都被看作是示例性的而非限定性的，本发明的范围由所附权利要求而非上述描述定义，并且，落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。

Claims (32)

1.一种通信设备，包括：

消息选择单元，所述消息选择单元适合于选择至少一个消息的明文和一个或多个秘密；

耦合到所述消息选择单元的加密单元，所述加密单元适合于将所述一个或多个秘密加密为密文；

耦合到所述消息选择单元的签名单元，所述签名单元适合于通过对所述一个或多个秘密中的每个秘密的哈希值与所述明文的组合进行签名，来生成签名；和

耦合到通信网络的发送单元，所述发送单元适合于将具有所述签名的所述明文和所述密文发送到接收设备。

2.根据权利要求1所述的通信设备，其中：

所述发送单元适合于将具有所述签名的所述明文和所述密文发送到用于将数据转送到多个接收者的设备的安全转送中心；并且

所述消息选择单元适合于选择要公开给全部所述多个接收者的明文，以及一个或多个秘密，所述一个或多个秘密中的每个秘密要公开给所述多个接收者中的至少一个。

3.根据权利要求2所述的通信设备，还包括耦合到所述发送单元的转送策略设置单元，所述转送策略设置单元适合于设置转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者。

4.根据权利要求3所述的通信设备，其中，所述转送策略信息是二元矩阵，所述二元矩阵的每个元素对应于所述一个或多个秘密中的一个以及所述多个接收者中的一个，其中，所述元素的一个值指示相应的秘密要公开给该接收者，并且所述元素的另一个值指示相应的秘密不公开给该接收者。

5.一种通信方法，包括：

选择至少一个消息的明文和一个或多个秘密；

将所述一个或多个秘密加密为密文；

通过对所述一个或多个秘密中的每个秘密的哈希值与所述明文的组合进行签名，来生成签名；以及

将具有所述签名的所述明文和所述密文发送到接收设备。

6.根据权利要求5所述的通信方法，其中：

所述接收设备是用于将数据转送到多个接收者的设备的安全转送中心；并且

所述一个或多个秘密中的每个秘密要公开给所述多个接收者中的至少一个，并且所述明文要公开给全部所述多个接收者。

7.根据权利要求6所述的通信方法，还包括：

设置转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个的接收者；以及

将所述转送策略信息发送给所述安全转送中心。

8.根据权利要求7所述的通信方法，其中，所述转送策略信息是二元矩阵，所述二元矩阵的每个元素对应于所述一个或多个秘密中的一个以及所述多个接收者中的一个，其中，所述元素的一个值指示相应的秘密要公开给该接收者，并且所述元素的另一个值指示相应的秘密不公开给该接收者。

9.一种通信设备，包括：

接收单元，所述接收单元适合于接收具有签名的被部分加密的消息；

耦合到所述接收单元的提取单元，所述提取单元适合于从所述被部分加密的消息提取明文和密文；

耦合到所述提取单元的解密单元，所述解密单元适合于将所述密文解密为一个或多个秘密；和

耦合到所述提取单元和所述解密单元的验证单元，所述验证单元适合于通过检查所述一个或多个秘密中的每个秘密的哈希值与所述明文的组合是否是用所述签名被签名的，来验证所述消息。

10.根据权利要求9所述的通信设备，还包括：

模式设置单元，所述模式设置单元适合于设置仲裁模式；和

耦合到所述模式设置单元的发送单元，

其中，如果所述模式设置单元将所述仲裁模式设置为秘密解除模式，则所述发送单元向受信第三方发送所述明文、所述一个或多个秘密、以及所述接收单元接收的签名；并且

如果所述模式设置单元将所述仲裁模式设置为秘密保持模式，则所述发送单元向所述受信第三方发送所述明文、所述一个或多个秘密中的每个秘密的哈希值、以及所述接收单元接收的签名。

11.根据权利要求9所述的通信设备，还包括发送单元，所述发送单元适合于向多个接收者的设备转送数据，

其中，被转送给所述多个接收者的设备中的任何一个接收者的设备的数据至少包括：所述明文、不公开给该接收者的秘密的哈希值、要公开给该接收者的秘密、以及所述接收单元接收的签名。

12.根据权利要求11所述的通信设备，还包括耦合到所述发送单元的转送策略单元，所述转送策略单元适合于保存转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者，并且其中，所述发送单元根据由所述转送策略信息定义的转送策略来转送数据。

13.根据权利要求12所述的通信设备，其中，所述转送策略信息是二元矩阵，所述二元矩阵的每个元素对应于所述一个或多个秘密中的一个以及所述多个接收者中的一个，其中，所述元素的一个值指示相应的秘密要公开给该接收者，并且所述元素的另一个值指示相应的秘密不公开给该接收者。

14.一种通信方法，包括：

接收具有签名的被部分加密的消息；

从所述被部分加密的消息提取明文和密文；

将所述密文解密为一个或多个秘密；以及

通过检查所述一个或多个秘密中的每个秘密的哈希值与所述明文的组合是否是用所述签名被签名的，来验证所述消息。

15.根据权利要求14所述的通信方法，还包括：

设置仲裁模式；

如果所述仲裁模式被设置为秘密解除模式，则向受信第三方发送所述明文、所述一个或多个秘密、以及所述接收步骤接收的签名；以及

如果所述仲裁模式被设置为秘密保持模式，则向所述受信第三方发送所述明文、所述一个或多个秘密中的每个秘密的哈希值、以及所述接收步骤接收的签名。

16.根据权利要求14所述的通信方法，还包括向多个接收者的设备转送数据，

其中，被转送给所述多个接收者的设备中的任何一个接收者的设备的数据至少包括：所述明文、不公开给该接收者的秘密的哈希值、要公开给该接收者的秘密、以及所述接收步骤接收的签名。

17.根据权利要求16所述的通信方法，还包括保存转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者，并且其中，所述数据根据由所述转送策略信息定义的转送策略被转送。

18.根据权利要求17所述的通信方法，其中，所述转送策略信息是二元矩阵，所述二元矩阵的每个元素对应于所述一个或多个秘密中的一个以及所述多个接收者中的一个，其中，所述元素的一个值指示相应的秘密要公开给该接收者，并且所述元素的另一个值指示相应的秘密不公开给该接收者。

19.一种通信系统，包括至少一个发送设备和至少一个接收设备，其中：

所述发送设备包括：

消息选择单元，所述消息选择单元适合于选择消息的明文和秘密；

加密单元，所述加密单元适合于将所述秘密加密为密文；

签名单元，所述签名单元适合于通过对所述秘密的哈希值与所述明文的组合进行签名，来生成签名；和

第一发送单元，所述第一发送单元适合于将具有所述签名的所述明文和所述密文发送到所述接收设备；并且所述接收设备包括：

接收单元，所述接收单元适合于接收从所述发送设备发送的数据；

提取单元，所述提取单元适合于从所述接收的数据提取所述明文和所述密文；

解密单元，所述解密单元适合于解密所述密文；和

验证单元，所述验证单元适合于通过检查从所述密文解密出的秘密的哈希值与所述明文的组合是否是用所述签名被签名的，来验证所述接收的数据。

20.根据权利要求19所述的通信系统，还包括受信第三方，并且所述接收设备还包括模式设置单元和第二发送单元，所述模式设置单元适合于设置仲裁模式，

其中，如果所述模式设置单元将所述仲裁模式设置为秘密解除模式，则所述第二发送单元向所述受信第三方发送所述明文、所述解密出的秘密、以及所述签名，并且所述受信第三方验证所述解密出的秘密和所述明文的组合是否是用所述签名被签名的；并且

如果所述模式设置单元将所述仲裁模式设置为秘密保持模式，则所述第二发送单元向所述受信第三方发送所述明文、所述秘密的哈希值、以及所述签名，并且所述受信三方验证所述秘密的哈希值和所述明文的组合是否是用所述签名被签名的。

21.一种用于通信系统的方法，所述通信系统包括至少一个发送设备和至少一个接收设备，所述方法包括：

由发送设备执行以下步骤：

选择消息的明文和秘密；

将所述秘密加密为密文；

通过对所述秘密的哈希值与所述明文的组合进行签名，来生成签名；以及

将具有所述签名的所述明文和所述密文发送到所述接收设备；以及

由所述接收设备执行以下步骤：

接收从所述发送设备发送的数据；

从所述接收的数据提取所述明文和所述密文；

解密所述密文；以及

通过检查从所述密文解密出的秘密的哈希值与所述明文的组合是否是用所述签名被签名的，来验证所述接收的数据。

22.根据权利要求21所述的通信方法，其中，所述通信系统还包括受信第三方，并且所述方法还包括：

由接收设备设置仲裁模式；

如果所述仲裁模式被设置为秘密解除模式，则从所述接收设备向所述受信第三方发送所述明文、所述解密出的秘密、以及所述签名，并且由所述受信第三方验证所述解密出的秘密和所述明文的组合是否是用所述签名被签名的；并且

如果所述仲裁模式被设置为秘密保持模式，则从所述接收设备向所述受信第三方发送所述明文、所述秘密的哈希值、以及所述签名，并且由所述受信三方验证所述秘密的哈希值和所述明文的组合是否是用所述签名被签名的。

23.一种通信系统，包括至少一个发送设备、至少一个安全转送中心以及多个接收者的设备，其中：

所述发送设备包括：

消息选择单元，所述消息选择单元适合于选择多个消息的明文和一个或多个秘密，每个消息被指定要转送给所述多个接收者中的至少一个；

加密单元，所述加密单元适合于将所述一个或多个秘密加密为密文；

签名单元，所述签名单元适合于通过对所述一个或多个秘密中的每个秘密的哈希值与所述明文的组合进行签名，来生成签名；和第一发送单元，所述第一发送单元适合于将具有所述签名的所述明文和所述密文发送到所述安全转送中心；并且所述安全转送中心包括：

接收单元，所述接收单元适合于接收从所述发送设备发送的数据；

提取单元，所述提取单元适合于从所述接收的数据提取所述明文和所述密文；

解密单元，所述解密单元适合于解密所述密文；

验证单元，所述验证单元适合于通过检查从所述密文解密出的一个或多个秘密中的每个秘密的哈希值与所述明文的组合是否是用所述签名被签名的，来验证所述接收的数据；和

第二发送单元，所述第二发送单元适合于将数据转送到所述多个接收者的设备，其中被转送给所述多个接收者的设备中的任何一个接收者的设备的数据至少包括：所述明文、不公开给该接收者的秘密的哈希值、要公开给该接收者的秘密、以及所述接收单元接收的签名。

24.根据权利要求23所述的通信系统，其中，所述发送设备还包括转送策略设置单元，所述转送策略设置单元适合于设置转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者。

25.根据权利要求23所述的通信系统，其中，所述安全转送中心还包括转送策略单元，所述转送策略单元适合于保存转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者，并且其中，所述第二发送单元根据由所述转送策略信息定义的转送策略来转送所述数据。

26.根据权利要求24或25所述的通信系统，其中，所述转送策略信息是二元矩阵，所述二元矩阵的每个元素对应于所述一个或多个秘密中的一个以及所述多个接收者中的一个，其中，所述元素的一个值指示相应的秘密要公开给该接收者，并且所述元素的另一个值指示相应的秘密不公开给该接收者。

27.根据权利要求23所述的通信系统，其中，所述安全转送中心和所述多个接收者的设备位于安全内网中，并且所述发送设备位于所述安全内网外部。

28.一种用于通信系统的通信方法，所述通信系统包括至少一个发送设备、至少一个安全转送中心以及多个接收者的设备，所述方法包括：

由所述发送设备执行以下步骤：

选择多个消息的明文和一个或多个秘密，每个消息被指定要转送给所述多个接收者中的至少一个；

将所述一个或多个秘密加密为密文；

通过对所述一个或多个秘密中的每个秘密的哈希值与所述明文的组合进行签名，来生成签名；以及

将具有所述签名的所述明文和所述密文发送到所述安全转送中心；并且

由所述安全转送中心执行以下步骤：

接收从所述发送设备发送的数据；

从所述接收的数据提取所述明文和所述密文；

解密所述密文；

通过检查从所述密文解密出的一个或多个秘密中的每个秘密的哈希值与所述明文的组合是否是用所述签名被签名的，来验证所述接收的数据；以及

将数据转送到所述多个接收者的设备，其中被转送给所述多个接收者的设备中的任何一个接收者的设备的数据至少包括：所述明文、不公开给该接收者的秘密的哈希值、要公开给该接收者的秘密、以及所述接收步骤接收的签名。

29.根据权利要求28所述的通信方法，还包括：

由所述发送设备设置转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者；以及

从所述发送设备向所述安全转送中心发送所述转送策略信息。

30.根据权利要求28所述的通信方法，还包括由所述安全转送中心保存转送策略信息，所述转送策略信息为所述一个或多个秘密中的每一个定义该秘密要被公开给的一个或多个接收者，并且其中，所述数据是根据由所述转送策略信息定义的转送策略被转送的。

31.根据权利要求29或30所述的通信方法，其中，所述转送策略信息是二元矩阵，所述二元矩阵的每个元素对应于所述一个或多个秘密中的一个以及所述多个接收者中的一个，其中，所述元素的一个值指示相应的秘密要公开给该接收者，并且所述元素的另一个值指示相应的秘密不公开给该接收者。

32.根据权利要求28所述的通信方法，其中，所述安全转送中心和所述多个接收者的设备位于安全内网中，并且所述发送设备位于所述安全内网外部。

Images