CN104919754B

CN104919754B - 篡改检测装置、篡改检测方法、以及程序

Info

Publication number: CN104919754B
Application number: CN201480005189.1A
Authority: CN
Inventors: 五十岚大; 菊池亮; 滨田浩气; 千田浩司
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2013-01-17
Filing date: 2014-01-16
Publication date: 2018-01-16
Anticipated expiration: 2034-01-16
Also published as: EP2947814A4; EP2947814A1; JPWO2014112550A1; US20150358152A1; WO2014112550A1; EP2947814B1; CN104919754A; US10523422B2; JP5957095B2

Abstract

能够有效地应用于保密计算，且篡改成功概率能够设定为更低。篡改检测装置包含：参数存储部，存储用于从环R向环R^q均匀对应的参数α_i,j,k(i＝0,…,q‑1；j＝0,…,q‑1；k＝0,…,q‑1)；分割部(12)，将N个值a₀、…、a_N‑1从开头起每q个进行分割而生成值向量A₀、…、A_ρ‑1；生成部(14)，利用值向量A₀、…、A_ρ‑1，将向量的乘法运算设为通过以下的式定义的函数f，从而生成由加法运算和乘法运算构成的校验和(c)；以及验证部，通过比较将向量的乘法运算设为以下的式定义的函数f而利用值向量A₀、…、A_ρ‑1生成的验证值和校验和(c)，从而对值a₀、…、a_N‑1中的任一个是否被篡改进行验证。其中，将N、q设为2以上的整数，且将ρ设为N/q以上的最小的整数。

f (\overset{&RightArrow;}{x}, \overset{&RightArrow;}{y}) : = \underset{j, k < q}{Σ} a_{0, j, k} x_{j} y_{k}, \cdot \cdot \cdot, \underset{j, k < q}{Σ} a_{q - 1, j, k} x_{j} y_{k}

Description

篡改检测装置、篡改检测方法、以及程序

技术领域

本发明涉及在既保密数据又进行数据处理的保密计算中用于检测数据篡改的篡改检测技术。

背景技术

作为以往的用于篡改检测的校验和，有记载在非专利文献1中的技术。非专利文献1中记载的校验和由加法运算和乘法运算构成，能够有效地应用于保密计算。

非专利文件1中记载的校验和将F设为域，利用随机数r∈F通过以下的式(1)生成值a₀…,a_N-1∈F的校验和c。

【数1】

在非专利文献1中，通过以下的式(2)验证校验和c。

【数2】

如果式(2)为0，则判断为值a₀、…、a_N-1均未被篡改。如果式(2)为0以外的数，则判断为值a₀、…、a_N-1中的至少一个被篡改。

现有技术文献

非专利文献

非专利文献1：S.Obana and T.Araki,“Almost optimum secret sharingschemes secure against cheating for arbitrary secret distribution”,ASIACRYPT,Vol.4284 of Lecture Notes in Computer Science,pp.364-379,2006.

发明内容

发明要解决的课题

在非专利文献1中记载的篡改检测技术中，在域F被预先决定时的篡改成功概率为N/|F|。这里，N表示校验和生成的对象数据数目，|·|表示·的元素数目。如此，篡改成功概率与数据数目N成正比，因此生成校验和的对象数据越大篡改成功概率越大。

本发明的目的在于，提供能够有效地应用于保密计算，且能够更低地设定篡改成功概率的篡改检测技术。

用于解决课题的手段

为了解决上述课题，本发明的篡改检测装置将N、q设为2以上的整数，且将ρ设为N/q以上的最小的整数，所述篡改检测装置包含：参数存储部，存储用于从环R向环R^q均匀对应的参数α_i,j,k(i＝0,…,q-1；j＝0,…,q-1；k＝0,…,q-1)；分割部，将N个值a₀、…、a_N-1从开头起每q个进行分割而生成值向量A₀、…、A_ρ-1；生成部，利用值向量A₀、…、A_ρ-1，将向量的乘法运算设为通过以下的式定义的函数f，从而生成由加法运算和乘法运算构成的校验和c；以及验证部，通过比较将向量的乘法运算设为函数f而利用值向量A₀、…、A_ρ-1而生成的验证值和校验和c，验证值a₀、…、a_N-1中的任一个是否被篡改。

【数3】

发明效果

根据本发明的篡改检测技术，能够有效地应用于保密计算，且能够将篡改成功概率设定为更低。

附图说明

图1是例示篡改检测装置的功能结构的图。

图2是例示校验和生成的处理流程的图。

图3是例示校验和验证的处理流程的图。

具体实施方式

以下，详细说明本发明的实施方式。另外，在附图中对具有相同功能的结构赋予相同标号，并省略重复说明。

[第一实施方式]

本发明的第一实施方式是对在非专利文献1中记载的由加法运算和乘法运算构成的校验和应用的实施方式。

<结构>

参照图1，说明本实施方式的篡改检测装置1的结构例。篡改检测装置1具有控制部101、存储器102、输入部11、分割部12、选择部13、生成部14、验证部15、输出部16、参数存储部19。篡改检测装置1例如是对具有CPU(中央处理单元)、RAM(随机存取存储器)等的已知或专用的计算机读入特殊的程序而构成的特殊的装置。篡改检测装置1在控制部101的控制下执行各处理，输入到篡改检测装置1的数据和在各处理中获得的数据被存储在存储器102，存储在存储器102中的数据根据需要而被读取并利用于其他的处理。参数存储部19能够由例如RAM(随机存取存储器)等主存储装置、硬盘或光盘或闪速存储器等由半导体存储元件构成的辅助存储装置、关系数据库或关键值存储器等中间件等构成。

<校验和生成处理>

参照图2，按照过程的顺序详细说明本实施方式的篡改检测装置1执行的校验和生成处理的动作例。在以下的说明书，设N、q为2以上的整数，设ρ为N/q以上的最小的整数，设R为环。

在参数存储器19中预先存储有用于从环R向环R^q均匀对应的参数α_i,j,k(i＝0,…,q-1；j＝0,…,q-1；k＝0,…,q-1)。参数α_i,j,k能够通过决定环R和阶数q而求出。参数α_i,j,k可以有多个种类，但考虑到计算的难度等，期望选择在参数α_i,j,k中包含的q³个值中包括0最多的作为参数α_i,j,k。例如，若决定参数α_i,j,k使得R是域且R^q成为域R的扩展域，则能够有效地进行篡改检测。

对篡改检测装置1具有的输入部11输入N个值a₀、…、a_N-1∈R(步骤S11a)。被输入的值a₀、…、a_N-1被输入到分割部12。值a₀、…、a_N-1可以是任意的信息，但例如能够设为准同态型加密的密文或秘密分散的分散值等。准同态型加密是指具有准同态型的加密方式，是根据密文在保持被加密的状态下能够计算原来的明文之和或乘积的加密方式。准同态型加密的一例是ElGamal加密。关于ElGamal加密的细节记载在“T.ElGamal,“A public keycryptosystem and a signature scheme based on discrete logarithms”,IEEETransactions on Information Theory,vol.31,no.4,pp.469-472,1985.”等中。秘密分散是指将想要保密的数据变换为多个分散值，只要利用一定数目以上的分散值就能够恢复原来的数据，且根据少于一定个数的分散值绝对不能回复原来的数据的技术。秘密分散的一例是Shamir秘密分散。关于Shamir秘密分散的细节记载在“A.Shamir,“How to share asecret”,Communications of the ACM,vol.22,issue 11,pp.612-613,1979.”等中。

分割部12将N个值a₀、…、a_N-1从开头起每q个进行分割而生成ρ个值向量A₀、…、A_ρ-1(步骤S12a)。所生成的值向量A₀、…、A_ρ-1被输入到生成部14。在进行分割时最后的值向量A_ρ-1的元素数目不够q的情况下，利用任意的值进行填补使得元素数目成为q。例如，作为利用0进行填补的方式，当N＝11、q＝2的情况下，只要将a₀,…,a₁₀分割为A₀:＝(a₀,a₁),A₁:＝(a₂,a₃),A₂:＝(a₄,a₅),…,A₅:＝(a₁₀,0)即可。

选择部13选择随机数r∈R(步骤S13)。所选择的随机数r被输入到生成部14。选择部13也可以依次随机地选择随机数r，也可以从事先生成并存储在存储器102中的多个值中按照规定的规则选择随机数r。此外，随机数r也可以不是真的随机数而是根据任意的加密方式或Hash函数等生成的伪随机数。

生成部14利用值向量A₀、…、A_ρ-1和随机数r生成校验和c(步骤S14)。所生成的校验和c和随机数r被输入到输出部16。具体来说，生成部14通过以下的式(3)计算校验和c。

【数4】

此时，向量的乘法运算利用通过式(4)、(5)来定义的函数f进行计算。

【数5】

输出部16输出校验和c和随机数r(步骤S16a)。

<校验和验证处理>

参照图3，按照过程顺序详细说明本实施方式的篡改检测装置1执行的校验和验证处理的动作例。

向篡改检测装置1具有的输入部11输入N个值a₀、…、a_N-1∈R和随机数r∈R以及校验和c(步骤S11b)。被输入的值a₀、…、a_N-1被输入到分割部12。被输入的随机数r和校验和c被输入到验证部15。

分割部12将值a₀、…、a_N-1从开头起每q个进行分割而生成值向量A₀、…、A_ρ-1(步骤S12b)。分割的方法与校验和生成处理中的分割部12的处理相同。此外，通过预先存储在校验和生成处理中生成的值向量A₀…、A_ρ-1，从而能够省略步骤S12b的处理。

验证部15利用值向量A₀、…、A_ρ-1和随机数r以及校验和c，生成用于表示值a₀、…、a_N-1中的任一个是否被篡改的验证结果(步骤S15)。验证结果被输入到输出部16。

具体来说，验证部15评价以下的式(6)。如果式(6)为0，则判断为值a₀、…、a_N-1的任一个均未被篡改。若式(6)是0以外的值，则判断为值a₀、…、a_N-1中的至少一个被篡改。

【数6】

此时，向量的乘法运算与校验和生成处理一样，利用通过式(4)、(5)来定义的函数f进行计算。

输出部16输出验证结果(步骤S16b)。

<效果>

在非专利文献1中记载的校验和将校验和生成对象的数据数目设为N，将环R的元素数目设为p，从而篡改生成概率最高为N/p。如果环R是固定的，且例如设p＝2，则可以说几乎没有篡改检测的影响。

第一实施方式的校验和以值向量A₀、…、A_ρ-1∈R^q作为单位来计算，从而能够将篡改成功概率抑制为较低。例如，将Z设为整数环，将p设为质数，将q设为2以上的整数，从而将环R设为素域即Z/pZ时，篡改成功概率能够设为N/p^q左右。因此，根据可任意设定的扩展阶数q，能够获得任意的低篡改成功概率。

[第二实施方式]

本发明的第二实施方式是应用于能够将篡改成功概率抑制为比非专利文献1中记载的校验和更低的校验和的实施方式。

<结构>

参照图1，说明本实施方式的篡改检测装置2的结构例。第二实施方式的篡改检测装置2的结构与第一实施方式的篡改检测装置1相同，但选择部和生成部以及验证部的处理不同。篡改检测装置2具有控制部101、存储器102、输入部11、分隔部12、选择部23、生成部24、验证部25、输出部16、参数存储部19。篡改检测装置2是对具有例如CPU(中央处理单元)、RAM(随机存取存储器)等的已知或专用的计算机读入特殊的程序而构成的特殊的装置。篡改检测装置2基于控制部101的控制而执行各处理，被输入到篡改检测装置2的数据和各处理中获得的数据被存储在存储器102中，在存储器102中存储的数据根据需要被读取而被用于其他的处理。

<校验和生成处理>

参照图2，按照过程的顺序详细说明本实施方式的篡改检测装置2执行的校验和生成处理的动作例。在以下的说明中，设M、N、q为2以上的整数，且M<N，设ρ为N/q以上的最小的整数，设R为环。

步骤S11a至步骤S12a的处理与第一实施方式相同，因此这里省略其说明。

本实施方式的选择部23选择M个随机数r₀、…、r_M-1∈R(步骤S23)。所选择的随机数r₀、…、r_M-1被输入到生成部24。选择部23也可以依次随机地选择M个随机数r₀、…、r_M-1，也可以从事先生成且被存储在存储器102中的多个值中按照规定的规则选择M个随机数r₀、…、r_M-1。

本实施方式的生成部24利用值向量A₀、…A_ρ-1和随机数r₀…、r_M-1生成校验和c(步骤S24)。所生成的校验和c和随机数r₀、…、r_M-1被输入到输出部16。具体来说，生成部24通过以下的式(7)计算校验和c。

【数7】

此时，向量的乘法运算与第一实施方式相同，利用通过式(4)、(5)定义的函数f进行计算。

式(7)中，函数d(i,j)是决定对于第i个值a_i的第j个随机数r_j的阶数的函数。其中，设i、i’为自然数，且i≠i’，从而在任意的j(其中j<M)满足d(i,j)≠d(i’,j)。即，随机数r₀、…、r_M-1的阶数的组合必须成为每A_i不重复的组合。

例如，如果是设为ρ＝3、M＝2的情况下，则只要如c＝A₀r₀+A₁r₁+A₂r₀r₁进行计算即可。此外，如果是设为ρ＝4、M＝2的情况下，则可以如c＝A₀r₀+A₁r₁+A₂r₀r₁+A₃r₀ ²r₁进行计算，也可以如c＝A₀r₀ ²r₁+A₁r₀r₁+A₂r₁+A₃r₀进行计算。

M只要是2以上且小于ρ则可以是任意的值，但若设为超过log₂ρ的最小的整数，则能够将对于随机数r₀、…、r_M-1的所有的阶数设为1以下，因此最有效。例如，如果是设为ρ＝7、M＝3的情况下，则能够如c＝A₀r₀+A₁r₁+A₂r₀r₁+A₃r₂+A₄r₀r₂+A₅r₁r₂+A₆r₀r₁r₂那样，能够将所有的随机数的阶数设为1以下。

输出部16输出校验和c和随机数r₀、…、r_M-1(步骤S16a)。

<校验和验证处理>

参照图3，按照过程的顺序详细说明本实施方式的篡改检测装置2执行的校验和验证处理的动作例。

步骤S11b至步骤S12b的处理与第一实施方式相同，因此这里省略其说明。

验证部25利用值向量A₀、…、A_ρ-1和随机数r₀、…、r_M-1以及校验和c，生成用于表示值a₀、…、a_N-1中的任一个是否被篡改的验证结果(步骤S25)。验证结果被输入到输出部16。

具体来说，验证部25评价以下的式(8)。若式(8)为真，则判断为值a₀、…、a_N-1都未被篡改。若式(8)为假，则判断为值a₀、…、a_N-1中的至少一个被篡改。

【数8】

此时，向量的乘法运算与校验和生成处理相同，利用通过式(4)、(5)来定义的函数f进行计算。

在式(8)中，函数d(i,j)是与式(7)的函数d(i,j)相同的函数。

输出部16输出验证结果(步骤S16b)。

<效果>

第二实施方式的校验和中，在以值a₀、…、a_N-1∈R作为单位进行了计算的情况下，设校验和生成对象的数据数目为N，设环R的元素数目为p，从而篡改成功概率最高为logN/p。比非专利文献1中记载的校验和还低，且环R还是固定的，若设为例如p＝2，则可以说几乎没有篡改检测的影响。

第二实施方式的校验和通过以值向量A₀,…,A_ρ-1∈R^q作为单位进行计算，从而能够将篡改成功概率抑制为较低。例如，在将Z设为整数环、将p设为质数，将q设为2以上的整数，从而将环R设为素域即Z/pZ时，篡改成功概率能够设为logN/p^q左右。因此，根据可任意设定的扩展阶数q，能够获得任意低的篡改成功概率。

[应用例]

本发明的篡改检测技术可考虑各种利用方法。例如，考虑将基于准同态型加密的密文和基于秘密分散的分散数据向第三方管理的服务器托管的情况。此时，可考虑有恶意的黑客侵入了服务器并篡改数据的情况、服务器本身具有恶意而篡改所托管的数据的情况、服务器被病毒感染而篡改数据的情况等风险。通过对所托管的数据生成并赋予本发明的校验和，从而服务器能够对被保密的数据保持被保密的状态而进行数据处理，进而还能够防止数据篡改。

[程序、记录介质]

本发明并不限定于上述的实施方式，在不脱离本发明的宗旨的范围内当然能够适当进行变更。在上述实施例中说明的各种处理不仅按照记载的时序执行，根据执行处理的装置的处理能力或根据需要，也可以并列地或者单独执行。

此外，当通过计算机来实现在上述实施方式中说明的各装置中的各种处理功能的情况下，通过程序来记述各装置应具有的功能的处理内容。然后，通过由计算机来执行该程序，从而在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序能够预先记录在计算机可读取的记录介质中。作为计算机中可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意的记录介质。

此外，该程序的流通通过将记录了该程序的DVD、CD-ROM等可移动型记录介质进行销售、转让、出借等而进行。进而，也可以设为将该程序预先存储在服务器计算机的存储装置中，经由网络从服务器计算机向其他计算机转发该程序，从而使该程序流通的结构。

执行这样的程序的计算机例如首先将记录在可移动型记录介质中的程序或从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取在自己的记录介质中存储的程序，按照所读取的程序执行处理。此外，作为该程序的其他的执行方式，也可以设为计算机从可移动型记录介质直接读取程序，按照该程序执行处理，进而也可以设为在每次从服务器计算机向该计算机转发程序时，依次按照接受的程序执行处理。此外，也可以设为如下结构：从服务器计算机对该计算机不进行程序的转发，而是通过仅通过其执行指示和结果取得而实现处理功能的、所谓的ASP(Application ServiceProvider)型的服务，执行上述的处理。另外，设本方式中的程序中包含作为供电子计算机进行的处理所需的信息的基于程序的数据(不是对于计算机的直接的指令而是具有规定计算机的处理的性质的数据等)。

此外，在本方式中，设为通过在计算机上执行规定的程序，构成本装置，但也可以设为将这些处理内容的至少一部分通过硬件来实现。

Claims

1.一种篡改检测装置，其中，

将N、q设为2以上的整数，且将ρ设为N/q以上的最小的整数，

所述篡改检测装置包含：

参数存储部，存储用于从环R向环R^q均匀对应的参数α_i,j,k(i＝0,…,q-1；j＝0,…,q-1；k＝0,…,q-1)；

分割部，将N个值a₀、…、a_N-1从开头起每q个进行分割而生成值向量A₀、…、A_ρ-1；

生成部，在校验和生成时，利用所述值向量A₀、…、A_ρ-1，将向量的乘法运算设为通过以下的式定义的函数f，从而生成利用加法运算和乘法运算或者乘积之和运算而计算的校验和；以及

【数9】

<mrow> <mi>f</mi> <mrow> <mo>(</mo> <mover> <mi>x</mi> <mo>&RightArrow;</mo> </mover> <mo>,</mo> <mover> <mi>y</mi> <mo>&RightArrow;</mo> </mover> <mo>)</mo> </mrow> <mo>:</mo> <mo>=</mo> <munder> <mo>&Sigma;</mo> <mrow> <mi>j</mi> <mo>,</mo> <mi>k</mi> <mo><</mo> <mi>q</mi> </mrow> </munder> <msub> <mi>&alpha;</mi> <mrow> <mn>0</mn> <mo>,</mo> <mi>j</mi> <mo>,</mo> <mi>k</mi> </mrow> </msub> <msub> <mi>x</mi> <mi>j</mi> </msub> <msub> <mi>y</mi> <mi>k</mi> </msub> <mo>,</mo> <mn>...</mn> <mo>,</mo> <munder> <mo>&Sigma;</mo> <mrow> <mi>j</mi> <mo>,</mo> <mi>k</mi> <mo><</mo> <mi>q</mi> </mrow> </munder> <msub> <mi>&alpha;</mi> <mrow> <mi>q</mi> <mo>-</mo> <mn>1</mn> <mo>,</mo> <mi>j</mi> <mo>,</mo> <mi>k</mi> </mrow> </msub> <msub> <mi>x</mi> <mi>j</mi> </msub> <msub> <mi>y</mi> <mi>k</mi> </msub> </mrow>

验证部，在校验和验证时，通过比较将向量的乘法运算设为上述函数f而利用待验证的值向量A₀、…、A_ρ-1而生成的利用加法运算和乘法运算或乘积之和运算而计算的验证值和所述校验和，验证待验证的值a₀、…、a_N-1中的任一个是否被篡改。

2.如权利要求1所述的篡改检测装置，其特征在于，

包含选择部，选择随机数r，

所述生成部通过计算以下的式来生成所述校验和c，

【数10】

<mrow> <mi>c</mi> <mo>:</mo> <mo>=</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>0</mn> <mo>&le;</mo> <mi>i</mi> <mo><</mo> <mi>&rho;</mi> </mrow> </munder> <msub> <mi>A</mi> <mi>i</mi> </msub> <msup> <mi>r</mi> <mrow> <mi>i</mi> <mo>+</mo> <mn>1</mn> </mrow> </msup> </mrow>

所述验证部在以下的式为0时判断为待验证的值a₀、…、a_N-1中的任一个均未被篡改，在以下的式为0以外的数时判断为待验证的值a₀、…、a_N-1中的至少一个被篡改，

【数11】

<mrow> <munder> <mo>&Sigma;</mo> <mrow> <mn>0</mn> <mo>&le;</mo> <mi>i</mi> <mo><</mo> <mi>&rho;</mi> </mrow> </munder> <msub> <mi>A</mi> <mi>i</mi> </msub> <msup> <mi>r</mi> <mrow> <mi>i</mi> <mo>+</mo> <mn>1</mn> </mrow> </msup> <mo>-</mo> <mi>c</mi> <mo>.</mo> </mrow>

3.如权利要求1所述的篡改检测装置，其特征在于，

在将M设为2以上的整数，且设为M<N，将i、i’设为自然数，且设为i≠i’，j<M，且在任一个j将d(i,j)设为d(i,j)≠d(i’,j)的函数，

所述篡改检测装置包含选择部，其选择M个随机数r₀、…、r_M-1，

所述生成部通过计算以下的式，生成所述校验和c，

【数12】

<mrow> <mi>c</mi> <mo>:</mo> <mo>=</mo> <munder> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo><</mo> <mi>&rho;</mi> </mrow> </munder> <msub> <mi>A</mi> <mi>i</mi> </msub> <munder> <mo>&Pi;</mo> <mrow> <mi>j</mi> <mo><</mo> <mi>M</mi> </mrow> </munder> <msup> <msub> <mi>r</mi> <mi>j</mi> </msub> <mrow> <mi>d</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </msup> </mrow>

所述验证部，在以下的式为真时判断为待验证的值a₀、…、a_N-1中的所有值均未被篡改，在以下的式为假时判断为待验证的值a₀、…、a_N-1中的至少一个被篡改，

【数13】

<mrow> <mi>c</mi> <mo>=</mo> <munder> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo><</mo> <mi>&rho;</mi> </mrow> </munder> <msub> <mi>A</mi> <mi>i</mi> </msub> <munder> <mo>&Pi;</mo> <mrow> <mi>j</mi> <mo><</mo> <mi>M</mi> </mrow> </munder> <msup> <msub> <mi>r</mi> <mi>j</mi> </msub> <mrow> <mi>d</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </msup> <mo>.</mo> </mrow>

4.一种篡改检测方法，其中，

将N、q设为2以上的整数，且将ρ设为N/q以上的最小的整数，将α_i,j,k(i＝0,…,q-1；j＝0,…,q-1；k＝0,…,q-1)设为用于从环R向环R^q均匀对应的参数，

所述篡改检测方法包含：

分割步骤，分隔部将N个值a₀、…、a_N-1从开头起每q个进行分割而生成值向量A₀、…、A_ρ-1；

生成步骤，在校验和生成时，生成部利用所述值向量A₀、…、A_ρ-1，将向量的乘法运算设为通过以下的式定义的函数f，从而生成利用加法运算和乘法运算或者乘积之和运算而计算的校验和；以及

【数14】

验证步骤，在校验和验证时，验证部通过比较将向量的乘法运算设为上述函数f而利用待验证的值向量A₀、…、A_ρ-1而生成的利用加法运算和乘法运算或乘积之和运算而计算的验证值和所述校验和，验证待验证的值a₀、…、a_N-1中的任一个是否被篡改。

5.一种计算机可读取的存储介质，其上存储有计算机程序，该计算机程序被处理器执行以实现权利要求4所述的篡改检测方法。