CN1484901A - 用于消息鉴权系统的门限密码方案 - Google Patents
用于消息鉴权系统的门限密码方案 Download PDFInfo
- Publication number
- CN1484901A CN1484901A CNA01819723XA CN01819723A CN1484901A CN 1484901 A CN1484901 A CN 1484901A CN A01819723X A CNA01819723X A CN A01819723XA CN 01819723 A CN01819723 A CN 01819723A CN 1484901 A CN1484901 A CN 1484901A
- Authority
- CN
- China
- Prior art keywords
- share
- message
- authentication
- key
- message authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26606—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/163—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
Abstract
用于鉴权消息的方法和设备,所述方法包括在一个装置处接收代表第一份额的数据,通过使用所述第一份额和至少两个附加份额来构建一个密钥,所述至少两个附加份额被存储在所述装置中;以及通过使用所述构建的密钥来鉴权消息。
Description
发明领域
本发明涉及用于提供消息鉴权的系统和方法。利用秘密共享的概念,该系统不需要发送全部密钥到该消息的接收者。而是,通过使用从发送者接收的至少一个份额(share)和被存储在接收者中的至少两个份额,来恢复该密钥。
发明背景
在现代电子分布网络中,消息鉴权是信息安全性的一个重要的目的。这个目的是通过给消息的接收者提供一个发送者身份的保证而满足的。由于对于以二进制序列表示的消息,不可能采用诸如密封信封那样的物理保护,所以已开发了使用密码术的数字工具。用于消息鉴权的所有的加密方法的主要弱点在于,它们使用具有固定的对称或公共密钥的算法。我们描述了一种基于秘密共享的、新的密钥输送方案,它允许每个新的消息用新的密钥被鉴权,增强系统对于攻击密钥或消息的抵抗能力。
鉴权是信息安全性的四个最重要的目的之一。另外三个是保密性、数据完整性和认可(non-repudiation)。在通信网络中,可能需要满足某些或所有这些目的。
关于保密性,将会指出,有一些应用,其中信息应当保密。加密技术是通过把数据变换成难懂的格式而提供保密性的。这是一个可逆的处理过程,以及占有正确的密钥的实体可恢复该数据。
关于数据完整性,用户需要得到保证:信息没有以未授权方式被改变。产生数据的紧凑表示的散列函数通常被使用来检验数据完整性。
最后,关于认可,当由于一方否认一个行动,例如牵涉电子交易的行动,而引起争论时,它可以通过起到裁判作用的可信的第三方的参加而被解决。
有两种基本类型的鉴权:“实体”鉴权和“消息”鉴权。消息鉴权提供消息的发起者的身份的保证。实体鉴权提供消息的发起者的身份的保证以及消息的发起者的主动参加的保证。
图6显示通信信道,其中两方(A和B)通过使用用于交换消息的协议进行通信。A方是消息M的发送者,以及B方是接收者。取决于通信网络的类型,B方在接收消息时至少想要三(3)段信息:(1)发送消息M的那方的身份保证(通常称为“消息”鉴权),(2)在传输期间消息M没有被修改的证据(数据完整性),以及(3)A方(即,发送者)在消息被发送时是处在工作的表示(通常称为“实体”鉴权)。
如上所述,消息鉴权提供A方(消息M的发起者)的身份的保证。消息鉴权也包括数据完整性的证据,因为如果在传输期间消息M被修改,则A方不能是发起者。另一方面,实体鉴权不单向B方保证A方的身份,而且也保证他的主动参加。有时,两方需要对于向任一个方向流动的消息进行互相鉴权。基于对称的或公共的密钥方案的询问应答协议,和零知识协议通常被使用于互相鉴权。
虽然消息鉴权不担保时间性或唯一性,但它在其中一方(例如,A方)在执行消息协议期间是不工作的通信中是非常有用的。为了避免再现攻击(replay attack)(即,其中一个侵权者伪装为A方,以及发送先前使用的消息以试图得到该协议),可以把时变数据(例如,序列号,时间印记,等)加到消息M中。
被称为“散列”的密码处理过程是数据完整性和消息鉴权方案的重要部分。散列函数取任意有限长度的消息,以及产生固定长度的输出。在密码的应用中,散列数值被看作为实际消息的较短的代表。散列函数可被分类为两组:(1)未加密钥的散列函数(即,该消息是唯一的输入参量),和(2)加密钥的散列函数(即,该消息和密钥是输入参量)。
未加密钥的散列函数的特定的类别包含篡改检测码(manipulation detection code,MDC)。MDC在压缩消息M的方式上是不同的。一些例子是:(a)基于块密码的散列函数,(b)基于模算术的散列函数,以及(c)定制的散列函数。
被使用于消息鉴权的加密钥的散列函数在消息鉴权码(MAC)下被分组。MAC可以被定制,使用块密码被构建,或从MDC被得出。
消息鉴权方法可以通过它们如何利用对称或公共密钥密码而被分类:(a)MAC,(b)消息加密,和(c)数字签名。
图7显示使用MAC的消息鉴权方法的方框图。消息M被输入到MAC算法,它通过使用由双方(即,发送者(A方)和接收者(B方))共享的密钥K来计算MAC。然后,A方把MAC附着到消息M上,以及把合成的信号发送到B方。
图8显示使用消息加密的消息鉴权方法的方框图。消息加密可以以两种方式完成:对称密钥加密和公共密钥加密。对于对称密钥加密,消息M在发送到接收者(例如,B方)之前用对称密钥被加密。接收者(例如,B方)使用该对称密钥的副本来解密该消息。对于公共密钥加密,消息M通过使用公共密钥被加密,以及在接收者处,通过使用相应的专用密钥来解密。如图8所示,无论在那种方法下,消息M都被输入到加密算法,该算法使用密钥K(对称的或公共的)来创建加密的消息Ek(M)。
图9显示使用数字签名的消息鉴权方法的方框图。在这个方法中,发送者(例如,A方)使用专用密钥(Kprivate)对消息M进行数字签名。取决于消息M的大小,可以使用适当的签名算法。接收者(例如,B方)确信,消息M是由A生成的,因为A是拥有该专用密钥的唯一的一方。
如果固定的密钥被使用于创建MAC、消息加密和数字消息签名(即,所有三个消息鉴权类型),则安全级别将是有限的,由此使得该系统受到密码分析。
关于‘MAC’方法,由发送者和接收者共享的对称密钥,需要在它的工作期限期间被使用于所有的消息。这使得这种方法对于密钥恢复和MAC伪造的攻击是脆弱的。有两种可能的攻击:(1)对密钥空间的攻击,和(2)对MAC数值的攻击。如果该侵权者可确定MAC密钥,那么他或她将能够创建用于任何消息的MAC数值。对于‘t’比特的密钥尺寸和固定的输入,找到正确的n比特MAC的概率约为2-t。MAC伪造的目的是在不知道该密钥的情况下创建用于给定消息的MAC,或找到对于给定MAC的消息。对于n比特MAC算法,满足这个目的的概率约为2-n。总之,对于强力攻击MAC算法所需要的努力将是(2t,2n)中的最小值。
关于消息加密方法,这个方法也易于受到强力攻击。例如,对于56比特DES(对称)算法,密钥可以通过测试所有的255个DES运算被确定。更有效的攻击,如线性或差分密码分析,允许用更少的处理器时间进行密钥恢复。
关于数字签名方法,没有一个公共密钥签名算法已被证明是安全的。公共密钥算法的安全性是基于计算离散对数,或对大数进行因式分解的困难性。对于固定的公共/私用密钥对,通过使用在消息上的公共密钥或签名进行攻击是可能的。在某些应用中,发送者的公共密钥的真实性是主要的问题,它需要复杂的公共密钥基础结构。
因此,现在需要一种用于提供消息鉴权的系统,它提供更高程度的安全性,但它不使用固定的密钥。
发明概要
本发明规定一种用于提供消息鉴权的方法和设备,所述方法包括:在接收站处接收第一份额的数据代表,通过使用所述第一份额和至少两个附加份额来构建密钥,所述至少两个附加份额被存储在接收站处;以及通过使用该构建的密钥来鉴权消息。
按照本发明的第一示例性实施例,使用第一和第二份额。该第一和第二份额是在欧几里得平面上的点,以及构建密钥的步骤包含计算由该第一和第二份额在该欧几里得平面上形成的直线的Y截距。
按照本发明的第二示例性实施例,使用第一、第二和第三份额。该第一、第二和第三份额是在欧几里得平面上的点,以及构建密钥的步骤包含计算由该第一、第二和第三份额在欧几里得平面上形成的抛物线的Y截距。
按照本发明的第三示例性实施例,使用第一、第二、第三和第四份额。该第一、第二、第三和第四份额是在欧几里得平面上的点,以及构建密钥的步骤包含计算由该第一、第二、第三和第四份额在欧几里得平面上形成的曲线的Y截距。一般地,可以使用任意数目的份额,取决于所需要的安全级别。
附图简述
图1是显示按照本发明的第一示例性实施例的消息鉴权系统的方框图。
图2a是按照本发明的第一示例性实施例的鉴权密钥的确定的图形表示。
图2b是按照图1的、对于每个发射机的唯一的和非重叠的范围分配的图形表示。
图3是按照本发明的第二示例性实施例的鉴权密钥的确定的图形表示。
图4是按照本发明的第三示例性实施例的鉴权密钥的确定的图形表示。
图5是按照本发明的第一到第三示例性实施例的多个鉴权密钥的确定的图形表示。
图6是显示传统的消息鉴权系统的方框图。
图7是显示使用MAC的消息鉴权系统的方框图。
图8是显示使用消息加密的消息鉴权系统的方框图。
图9是显示使用数字签名的消息鉴权系统的方框图。
详细描述
本发明包括消息鉴权系统,其中在两方或多方之间发送的消息通过使用预先放置的秘密共享方案进行鉴权。通过使用预先放置的秘密共享方案,消息鉴权系统的安全性和灵活性(例如,通过使用不同的密钥)被增加。
本发明采用原先由Adi Shamir开发的、被称为“门限方案”的秘密共享方案的应用(见A.Shamir的“How to share a secret(如何共享秘密)”,Communications of the ACM,Vol.22,No.11,第612-613页,1979年11月)。(t,n)门限方案,诸如由Shamir提出的那种方案,涉及以一种方式把一个秘密分成n个片段(可被称为“份额”或“小段”),使得至少需要其中t(<=n)个片段来重新构建该秘密。完美的门限方案是这样的门限方案,其中只知道(t-1)个或更少的片段(“份额”或“小段”)就不能提供有关该秘密的信息。
例如,对于(2,5)门限方案,秘密被分成5个份额,但只需要两个份额就可重新构建该秘密。诸如以上描述的(2,5)门限方案可以被银行管理者使用来在五个出纳员之间分割对于主保险柜的组合。这样,任何两个出纳员一起工作都可以打开保险柜,但单独一个出纳员不能打开该保险柜。在Shamir的(t,n)门限方案中,选择更高的t的数值和把(t-1)个秘密存储在智能卡上,将增加系统对抗仅仅密码文本的攻击,但将导致更多的用于多项式构建的计算。
这样的门限方案减小在对称密钥恢复时的计算上的要求。与涉及模取幂的RSA解密相比较,对于每个新的密钥,只执行简单的运算(即,计算在x=0时的多项式的值)。另外,安全性是完全的(即,在给定(x1,y1)的知识后,该秘密的所有的数值保持相等的可能性)。
本发明利用Shamir的秘密共享的原理来隐藏用于鉴权消息的密钥的身份。具体地,本发明提出一种方案,其中该密钥包括由欧几里得平面上的两个或多个点形成的特定直线或曲线的Y截距。
在这个方案的最简单的实施例中,装置(例如接收机)被制造为带有已被存储在其中的份额(这常常被称为“预先放置的”共享的秘密方案,正如下面描述的)。这个被存储的份额被使用来计算该密钥,然后,该密钥被使用来得出一个消息鉴权符。该消息鉴权符可以是例如以上参照图7讨论的那种类型(例如,MAC),或可以是本领域技术人员已知的、不同的鉴权符。当消息信号被发送时,附加的或“激活的”份额随之一起被发送。将会指出,在这个方案中,“激活的”份额不需要被加密,因为如果不知道被存储的份额,则知道激活的份额并没有意义。在接收“激活的”份额时,装置通过使用一个密钥来计算该消息鉴权符,该密钥是通过找到由该存储的份额和“激活的”份额形成的直线的Y截距而被计算的。每次需要新的密钥时,可以在发送者处选择新的“激活的”份额,由此改变由该存储的份额和“激活的”份额形成的直线的Y截距。这样,可以规定和利用无穷多个密钥,而不用改变装置的硬件或软件。将会指出,上述的“装置”可包括许多不同类型的设备,诸如模拟或数字电视接收机、机顶盒、盒式磁带录像机(VCR)以及本领域技术人员已知的其他等价的设备。为了简化起见,以下的描述将集中在通常的“接收机”结构。
密钥生成和分布处理过程可以通过开发执行以下步骤的程序而被自动化:
(a)选择一个秘密S;这将是沿着欧几里得平面的Y轴的一个数值。
(b)通过使用S生成消息鉴权符。例如,这个消息鉴权符可以是MAC。
(c)构建穿过点(O,S)和另一个点(x0,y0)的一次多项式f(x)。
(d)计算在x1处的f(x),其中x1不能等于x0。
(e)随该消息和消息鉴权符(例如,MAC)分布(x1,y1)。
诸如以上描述的那样的方案常常被称为“预先放置”的共享秘密方案,因为一部分秘密被“预先放置”在装置中(例如,接收机)。在以上的例子中,“预先放置”的份额是被存储在接收机中的份额。这样的“预先放置”的共享秘密方案已由密码领域中的其他人进行讨论(参阅G.J.Simmons,“How to(really)share a secret(如何(实际上)共享秘密)”,Advances in Cryptology-CRYPTO’88Proceedings,Springer-Verlag,pp.390-448,1990;G.J.Simmons,“Prepositioned shared secfet and/or shared controlschemes(预先放置的共享秘密和/或共享控制方案)”,Advances inCryptology - EUROCRYPT’89 Proceedings,Springer-Verlag,pp.436-467,1990)。通过预先放置某些份额,密钥可以相对容易地改变,而不用改变接收机中的任何电路;只需要改变“激活的”份额。
将会指出,以上的算法概述了一种预先放置的秘密共享方案,它利用只具有两个份额(即,在欧几里得平面上一条直线的两个点)的秘密S。当然,可以从许多份额(点)计算其他秘密S,由此使得密码分析更困难。预先放置的秘密共享方案的重要方面在于:某些份额被“预先放置”在接收者处。
本发明涉及把一个秘密的至少一个份额存储在特定的位置(例如,在接收机硬件中)。被存储的份额然后结合“激活的”份额一起被使用来构建秘密。在(4,4)方案中,例如,优选地四个(4)份额中的三个(3)份额被存储在特定的位置(例如,接收机)。然后,最后的份额(也称为“激活的”份额)被发送到该位置,以便得出该秘密。重要的是指出,对于本发明,该秘密并不是份额本身,而是在份额被表示为欧几里得平面上的点时由该份额形成的直线或曲线(对于更高阶的多项式)的Y截距。
图1,2(a)和2(b)一起,显示按照本发明的第一示例性实施例的消息鉴权系统100。消息鉴权系统100包括消息源(发送者)40和消息接收者50。消息源40使用秘密密钥来从该消息生成一个消息鉴权符,它典型地随该消息被发送到接收者50。接收者50构建相同的密钥,以及使用该密钥来计算该鉴权符。如果在接收者处构建的鉴权符与随消息发送的鉴权符是相同的,则该消息被确定为可靠的。在第一示例性实施例中,从两个份额得出秘密。如上所述,每个份额由欧几里得平面上的一个点被规定。
具体地,该秘密的第一个份额(或数据点)被存储在接收者50中。第一个份额可被看作为在欧几里得平面上的单个点(例如,具有(x0,y0)的形式)。消息源40通过特定的鉴权协议把消息发送到接收者50。除了该消息以外,消息源40还发送消息鉴权符和第二(或“激活的”)份额(它是该秘密的第二部分)。类似于第一份额,该第二份额可以是来自同一个欧几里得平面的第二单个点(例如,具有(x1,y1)的形式)。
在第一示例性实施例中,消息、消息鉴权符(例如,MAC)和第二(“激活的”)份额被接收者50接收,以及在接收者内被处理。接收者50使用第二(“激活的”)份额(例如,(x1,y1))和存储的第一份额(例如,(x0,y0)),重新构建(或恢复)该密钥(即,秘密)。接收者50然后使用重新构建的密钥来生成消息鉴权符(例如,MAC)。如果在接收者50处被计算的消息鉴权符(例如,MAC)与从消息源40发送的消息鉴权符相同,则该消息被认为是可靠的。如果消息鉴权符是不同的,则该消息被拒绝。
密钥的恢复是通过利用该第一和第二份额构建多项式而达到的;构建的多项式的y截距是该密钥。例如,给定(x0,y0)和(x1,y1),通过计算在给定的有限区域中S的数值,而构建该密钥,其中:
S=f(0)=y0-((y1-y0)/(x1-x0))*(x0)
图2(a)显示本发明的第一示例性实施例的图形表示。显示示例的份额(x0,y0)和(x1,y1),以及由此而形成的直线,它与Y轴相交在特定的点(这是该密钥)。为了示意的目的,图2(a)上的曲线是通过使用实数(而不是模算术)得出的。
诸如参照第一示例性实施例描述的那样的方法,允许一个以上的消息源40共享该存储的(第一)份额(x0,y0),它被存储在接收者50处。每个消息源40然后将自由选择它自己的“激活的”(第二)份额(即(x1,y1)),由此,规定很宽的范围的秘密。用相同的y截距(即,相同的密钥)构建多项式的概率是低的。然而,可能的第二(“激活的”)份额的范围可被分配以使得每个业务提供者具有唯一的和非重叠的范围(见图2(b))。
为了考虑按照本发明的第一示例性实施例的例子,假设点(x0,y0)=(17,15)和(x1,y1)=(5,10),以及p=23。穿过(x0,y0)和(x1,y1)的一次多项式:
f(x)=a1x+a0(mod23)
可以通过求解以下方程而被构建:
a1(17)+a0=15(mod23)和
a1(5)+a0=10(mod23)
解(a1,a0)=(10,6)给出多项式:
f(x)=10x+6(mod23)
通过计算f(0)可以发现秘密S的数值:
S=f(0)=6(mod23)
因此,按照以上的例子,该秘密S的值,从而是密钥,将是6(mod23)。当然,这个秘密的值将随着每个不同的(x1,y1)的数值而改变。
图3显示按照本发明的第二示例性实施例的、利用三个份额的密钥恢复方案(与第一示例性实施例的两个份额不同)。在第二示例性实施例,密钥的恢复是通过利用第一、第二和第三份额(例如,(x0,y0),(x1,y1),(x2,y2))构建二次多项式(即,抛物线)而得到的;构建的二次多项式的y截距是该密钥。
为了考虑按照本发明的第二示例性实施例的例子,假设点(x0,y0)=(17,15),(x1,y1)=(5,10),和(x2,y2)=(12,6),以及p=23。穿过点(x0,y0),(x1,y1)和(x2,y2)的二次多项式:
f(x)=a2x2+a1x+a0(mod23)
可以通过求解以下方程而被构建:
a2*(172)+a1*(17)+a0=15(mod23)
a2*(122)+a1*(12)+a0=6(mod23)和
a2*(52)+a1*(5)+a0=10(mod23)
解(a2,a1,a0)=(10,20,5)给出多项式:
f(x)=10x2+20x+5(mod23)
通过计算f(0)可以发现秘密S的数值:
S=f(0)=5(mod23)
如图3所示,第一、第二和第三份额可被表示为欧几里得平面上的点。为了示意的目的,图4上的曲线是通过使用实数(而不是模算术)得出的。
图4显示按照本发明的第三示例性实施例的、利用四个份额的密钥恢复方案。在第三示例性实施例中,密钥的恢复是通过利用第一、第二、第三和第四份额(例如,(x0,y0),(x1,y1),(x2,y2),(x3,y3))构建三次多项式(即,曲线)而得到的;构建的三次多项式的y截距是该密钥。
为了考虑按照本发明的第三示例性实施例的例子,假设点(x0,y0)=(17,15),(x1,y1)=(5,10),(x2,y2)=(12,6)和(x3,y3)=(3,12),以及p=23。穿过点(x0,y0),(x1,y1),(x2,y2)和(x3,y3)的三次多项式:
f(x)=a2x3+a2x2+a1x+a0(mod23)
可以通过求解以下方程而被构建:
a3*(173)+a2*(172)+a1*(17)+a0=15(mod23)
a3*(123)+a2*(122)+a1*(12)+a0=6(mod23)
a3*(53)+a2*(52)+a1*(5)+a0=10(mod23)
a3*(33)+a2*(32)+a1*(3)+a0=12(mod23)
解(a3,a2,a1,a0)=(18,19,0,22)给出多项式:
f(x)=18x3+19x2+0x+22(mod23)
通过计算f(0)可以发现秘密S的数值:
S=f(0)=22(mod23)
如图4所示,第一、第二、第三和第四份额可被表示为欧几里得平面上的点。为了示意的目的,图4上的曲线是通过使用实数(而不是模算术)得出的。
也可使用多个份额来构建通信网中便利的密钥输送方案。代码鉴权,数字网中一个重要的问题,可被用作为案例研究。在将来,处理音频/视频数据的、复杂的家庭娱乐设备将通过数字分布网(例如,卫星,电缆,地面,互联网)接收用于各种应用的软件。对于传递该内容的业务提供者和利用该内容的设备制造商而言,这种代码源的标识是一个基本要求。业务提供者将想要得到保证:他们的应用只被授权的设备接收和使用。而设备制造商又关心使用他们的设备的、未授权的业务。假设在给定的广播系统中,不同的设备组以不同的方式被授权。下面给出的例子将讨论预先放置的秘密共享如何可被使用来建立需要的密钥分级结构。
考虑具有用于代码鉴权的三个(3)不同的鉴权级别的广播系统:
(1)级别1接收机-在广播“区域”中所有的接收机被指配以一个公共的份额(即,对于该区域中所有的接收机公共的一个份额);
(2)级别2接收机-在特定的组内所有的接收机被指配以一个附加的公共份额(即,对于特定的组中所有的接收机公共的另一个份额);以及
(3)级别3接收机-每个接收机被指配以一个唯一的附加份额。
上述的接收机可以结合“激活的”份额被使用来鉴权某些消息。由于级别1接收机只包括一个份额而级别2接收机包括2个份额,以及级别3接收机包括3个份额,所以每个接收机将提供不同的密钥组。因此,在广播区域中所有的接收机(即,级别1接收机)将具有接收和鉴权一般消息的能力,但只有级别2接收机将具有接收和鉴权某些附加消息的能力,以及只有级别3接收机将具有接收和鉴权某些其他附加消息的能力。将会指出,被放置在级别1-3接收机中的份额包括“预先放置的”信息,它可以结合“激活的”份额一起被使用来计算秘密(例如,该密钥)。
图5显示多份额方案如何通过使用欧几里得平面被构建。正如将会理解的,三个不同的鉴权级别相应于三个y截距(即,“区域密钥”,“组密钥”,“单独的密钥”)。一次多项式(相应于级别1或“区域”鉴权)包括穿过“激活的份额”和级别1公共份额的直线。二次多项式(相应于级别2或“组”鉴权)包括穿过“激活的份额”、级别1公共份额和级别2份额的抛物线。三次多项式(相应于级别3或“单独的”鉴权)包括穿过“激活的份额”、级别1公共份额、级别2份额和级别3份额的曲线。在以上的例子中,将会指出,“激活的”份额被使用来计算每个不同的密钥(即,单独的、组的和区域的)。为了示意的目的,图5上的曲线是通过使用实数(而不是模算术)得出的。
通过使用以上的例子,下面的表描述在份额与不同的鉴权级别之间的关系:
| 点 | 一次级别1 | 二次级别2 | 三次级别3 |
| 激活的份额=(5,10) | 是 | 是 | 是 |
| 级别1公共份额=(17,15) | 是 | 是 | 是 |
| 级别2份额=(12,6) | 是 | 是 | |
| 级别3份额=(3,12) | 是 |
虽然上述的方法和设备是在用于在用户之间传递鉴权消息的消息鉴权系统的上下文中描述的,但本发明的原理也可被应用到用于提供对多媒体内容的条件接入的方法和设备。
上述的方法和设备的某些优点包括:
(a)减小在密钥恢复时对于接收机的计算的要求(即,对于每个密钥,只执行简单的运算)。这与涉及到模取幂的RSA解密形成对比。
(b)安全性是“完美的”。换句话说,给定激活的份额后,秘密的所有的数值保持相等的可能性。对于较高次多项式,在给定激活的份额后确定秘密的任务变得甚至更加困难。
(c)对于在发送者与接收者之间共享的、给定组的“预先放置的”信息,可以容易地得出以及经常使用不同的密钥(即,通过改变该“激活的”份额)。
(d)不同的鉴权级别可以通过把不同的份额指配给各个接收者而被规定。
(e)安全性不依赖于未被证明的数学假设(即,RSA的安全性是基于整数因式分解问题的难度)。
上述的方案有效地组合了对称和公共密钥系统的优点。“预先放置的”信息可被看作为接收者的私用密钥。要被构建的对称密钥由作为ECM的一部分发送的公共信息确定。由于密钥不是在消息源处生成的,所以在分布中不需要附加的密码来保护它们。
上述的方案的有效性可以以各种方式被增加,包括:
(1)把密钥规定为共享的秘密的函数:通常,该密钥可以通过估计在秘密的数值处预先规定的函数而被生成。例如,如果共享的秘密(例如,函数f(x)的Y截距)是实数7,则该密钥可被规定为7的平方根。这样,即使某人发现该秘密,他也不一定具有计算该密钥的能力。替换地,一旦获得多项式的系数,就可以使用任何其他的定义。对于实际的目的,该函数可能需要具有熵保留性质(即,熵(秘密)=熵[f(秘密)])。
(2)使得多项式函数的次数(从而是发现该秘密所需要的份额的数目)成为时间相关的秘密系统参量:例如,规定该秘密的多项式f(x)的次数将逐日或逐小时等地改变。密码分析将成为对于敌手的更高要求的任务,因为他们将不得不首先确定该多项式的次数。
(3)在传输之前掩蔽该激活的份额:与消息一起发送的激活的份额然后可以由接收者在预先规定的处理过程中被去掉屏蔽。掩蔽的例子将是使用该激活的份额的散列数值用于鉴权,但代之以发送该激活的份额。然后,接收者执行散列,以确定该实际的数值。
(4)加上冗余的激活的份额:与该实际的激活份额一起发送的附加的激活份额由接收机在预先规定的处理过程中被滤出。
以上提到的改进的任何组合将用来在传输过程中隐藏激活的份额的真实值,以及引入对于消息的附加安全级别。
虽然以上的讨论主要集中在使用MAC作为消息鉴权符,但本领域技术人员将会认识到,可以使用其他的消息鉴权方法,而不背离本发明的范围(例如,消息加密;见本申请的图8和说明)。
虽然本发明是就秘密共享方案(它在形成一个秘密时可以使用一次、二次和三次多项式方程)描述的,但本领域技术人员将会看到,可以使用任何次的多项式方程(例如,四次、五次等等)。事实上,最好使用更高次的多项式函数,因为由于必须被估计的份额数增加,所以它们比较低阶的多项式函数提供附加的安全性。而且,虽然以上的说明集中在具有单个智能卡(例如,智能卡42)的系统,但本领域技术人员将会理解,可以使用多个智能卡,每个智能卡具有被存储在其中的一个或多个份额值。
Claims (20)
1.一种用于鉴权消息的方法,所述方法包括:
在一个装置处接收代表第一份额的数据;
使用所述第一份额和至少两个附加份额来构建密钥,所述至少两个附加份额被存储在所述装置中;以及
使用所述构建的密钥来鉴权消息。
2.权利要求1的方法,其中所述第一、第二和第三份额是在欧几里得平面上的点。
3.权利要求1的方法,其中鉴权消息的步骤包括使用一个消息鉴权码来鉴权该消息。
4.权利要求1的方法,其中鉴权消息的步骤包括通过使用一个解密密钥来鉴权该消息。
5.一种用于提供消息的鉴权的方法,所述方法包括:
在一个装置处接收消息鉴权符和所述消息;
在所述装置处接收代表第一份额的数据;
使用所述第一份额和第二与第三份额来构建密钥,所述第二与第三份额被存储在所述装置中;以及
使用所述构建的密钥和所述消息鉴权符来鉴权所述消息,
其中构建所述密钥的步骤包括计算在所述欧几里得平面上由所述第一、第二和第三份额形成的曲线的Y截距。
6.权利要求5的方法,其中消息鉴权符包括消息鉴权码。
7.一种用于鉴权从第一装置发送到第二装置的消息的系统,所述第二装置执行以下步骤:
接收消息和消息鉴权符;
接收代表第一份额的数据;使用所述第一份额和第二与第三份额来构建密钥,所述第二与第三份额被存储在所述第二装置中;以及
使用所述构建的密钥和所述消息鉴权符来鉴权所述消息,
其中构建所述密钥的步骤包括计算在所述欧几里得平面上由所述第一、第二和第三份额形成的曲线的Y截距。
8.一种消息鉴权系统,包括:
至少一个消息源;以及
至少一个消息接收机,用于接收由该至少一个消息源发送的消息、消息鉴权符和第一份额;
其中所述至少一个消息接收机包括用于鉴权该消息的、被存储在其中的第二和第三份额,所述第二和第三份额结合所述第一份额一起被使用来鉴权所述消息。
9.权利要求1的方法,其中所述第一份额和所述至少两个附加份额是在至少二次多项式函数上的点。
10.权利要求1的方法,其中至少两个附加份额包括至少三个附加份额,以使得所述第一份额和所述至少三个附加份额是在至少三次多项式函数上的点。
11.权利要求1的方法,其中密钥包括从该第一份额和至少两个附加份额计算的秘密值。
12.权利要求1的方法,其中密钥包括从该第一份额和至少两个附加份额计算的秘密值的函数。
13.权利要求1的方法,其中该第一份额和至少两个附加份额包括在多项式函数上的点。
14.权利要求13的方法,其中多项式函数的次数周期地改变。
15.权利要求1的方法,还包括以下步骤:
在该装置处接收该第一份额之前,掩蔽该第一份额。
16.权利要求15的方法,还包括以下步骤:
从该第一份额的被掩蔽版本计算该第一份额。
17.权利要求1的方法,还包括以下步骤:
传送第一份额和至少一个冗余的份额。
18.权利要求17的方法,还包括以下步骤:
在接收所述第一份额之后,滤出所述至少一个冗余的份额。
19.一种用于运行消息鉴权系统的方法,包括以下步骤:
把消息、消息鉴权符和第一份额从发送站传送到接收站;
在接收站接收所述消息、所述消息鉴权符和所述第一份额;
使用所述第一份额和至少两个附加份额来构建密钥,所述至少两个附加份额被存储在该接收站;以及
使用所述构建的密钥和所述消息鉴权符来鉴权该消息。
20.一种消息鉴权系统,包括:
发送机;以及
接收机,用于接收由该发送机发送的消息、消息鉴权符和第一份额,
其中该接收机包括用于鉴权该消息的、被存储在其中的第二和第三份额,所述第二和第三份额结合所述第一份额一起被使用来鉴权所述消息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US25378100P | 2000-11-29 | 2000-11-29 | |
| US60/253,781 | 2000-11-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1484901A true CN1484901A (zh) | 2004-03-24 |
Family
ID=22961673
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA01819723XA Pending CN1484901A (zh) | 2000-11-29 | 2001-09-24 | 用于消息鉴权系统的门限密码方案 |
| CNA018196888A Pending CN1483259A (zh) | 2000-11-29 | 2001-09-24 | 用于条件接入系统的加密技术方案 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA018196888A Pending CN1483259A (zh) | 2000-11-29 | 2001-09-24 | 用于条件接入系统的加密技术方案 |
Country Status (8)
| Country | Link |
|---|---|
| EP (2) | EP1348276A2 (zh) |
| JP (2) | JP2004515160A (zh) |
| KR (2) | KR20030094217A (zh) |
| CN (2) | CN1484901A (zh) |
| AU (2) | AU2002212977A1 (zh) |
| BR (2) | BR0115575A (zh) |
| MX (2) | MXPA03004822A (zh) |
| WO (2) | WO2002045337A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103647641A (zh) * | 2005-06-08 | 2014-03-19 | 皇家飞利浦电子股份有限公司 | 用于移动躯体传感器网络的预分配确定性密钥 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7594275B2 (en) * | 2003-10-14 | 2009-09-22 | Microsoft Corporation | Digital rights management system |
| US7620187B1 (en) | 2005-03-30 | 2009-11-17 | Rockwell Collins, Inc. | Method and apparatus for ad hoc cryptographic key transfer |
| JP4776378B2 (ja) * | 2006-01-11 | 2011-09-21 | 日本電信電話株式会社 | 複数鍵認証端末装置及び複数鍵認証管理装置及び複数鍵認証システム及びプログラム |
| JP4916915B2 (ja) * | 2007-02-28 | 2012-04-18 | Kddi株式会社 | 端末装置、データ管理装置およびコンピュータプログラム |
| JP4909796B2 (ja) * | 2007-04-24 | 2012-04-04 | Kddi株式会社 | 秘密情報管理システム、秘密情報管理方法およびプログラム |
| GB2451505A (en) | 2007-08-01 | 2009-02-04 | Iti Scotland Ltd | Key distribution in a network using key shares in a secret sharing scheme |
| US7958354B1 (en) | 2008-02-14 | 2011-06-07 | Rockwell Collins, Inc. | High-order knowledge sharing system to distribute secret data |
| JP2008167505A (ja) * | 2008-03-26 | 2008-07-17 | Dainippon Printing Co Ltd | 公開鍵暗号処理システムおよび方法 |
| JP5608509B2 (ja) * | 2010-10-21 | 2014-10-15 | Kddi株式会社 | 鍵管理システム、鍵管理方法及びコンピュータプログラム |
| US11170094B2 (en) | 2016-01-27 | 2021-11-09 | Secret Double Octopus Ltd. | System and method for securing a communication channel |
| WO2017130200A1 (en) * | 2016-01-27 | 2017-08-03 | Secret Double Octopus Ltd | System and method for securing a communication channel |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610614B1 (en) * | 1999-02-17 | 2009-10-27 | Certco, Inc. | Cryptographic control and maintenance of organizational structure and functions |
-
2001
- 2001-09-24 KR KR10-2003-7006413A patent/KR20030094217A/ko not_active Application Discontinuation
- 2001-09-24 EP EP01977153A patent/EP1348276A2/en not_active Withdrawn
- 2001-09-24 BR BR0115575-0A patent/BR0115575A/pt not_active IP Right Cessation
- 2001-09-24 WO PCT/US2001/029790 patent/WO2002045337A2/en active Application Filing
- 2001-09-24 AU AU2002212977A patent/AU2002212977A1/en not_active Abandoned
- 2001-09-24 MX MXPA03004822A patent/MXPA03004822A/es active IP Right Grant
- 2001-09-24 JP JP2002546357A patent/JP2004515160A/ja not_active Withdrawn
- 2001-09-24 AU AU2001296294A patent/AU2001296294A1/en not_active Abandoned
- 2001-09-24 CN CNA01819723XA patent/CN1484901A/zh active Pending
- 2001-09-24 BR BR0115573-3A patent/BR0115573A/pt not_active IP Right Cessation
- 2001-09-24 CN CNA018196888A patent/CN1483259A/zh active Pending
- 2001-09-24 EP EP01981324A patent/EP1366594A2/en not_active Withdrawn
- 2001-09-24 JP JP2002546354A patent/JP2004515159A/ja not_active Withdrawn
- 2001-09-24 MX MXPA03004599A patent/MXPA03004599A/es active IP Right Grant
- 2001-09-24 KR KR10-2003-7006964A patent/KR20040010565A/ko not_active Application Discontinuation
- 2001-09-24 WO PCT/US2001/029842 patent/WO2002045340A2/en active Search and Examination
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103647641A (zh) * | 2005-06-08 | 2014-03-19 | 皇家飞利浦电子股份有限公司 | 用于移动躯体传感器网络的预分配确定性密钥 |
| CN103647641B (zh) * | 2005-06-08 | 2017-07-11 | 皇家飞利浦电子股份有限公司 | 识别传感器和最大化无线系统的可扩展性、弹性和性能的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| MXPA03004822A (es) | 2003-09-25 |
| KR20030094217A (ko) | 2003-12-11 |
| JP2004515160A (ja) | 2004-05-20 |
| AU2002212977A1 (en) | 2002-06-11 |
| EP1348276A2 (en) | 2003-10-01 |
| WO2002045337A3 (en) | 2002-09-06 |
| BR0115573A (pt) | 2003-07-29 |
| JP2004515159A (ja) | 2004-05-20 |
| WO2002045337A2 (en) | 2002-06-06 |
| CN1483259A (zh) | 2004-03-17 |
| WO2002045340A2 (en) | 2002-06-06 |
| AU2001296294A1 (en) | 2002-06-11 |
| WO2002045340A3 (en) | 2002-10-17 |
| EP1366594A2 (en) | 2003-12-03 |
| KR20040010565A (ko) | 2004-01-31 |
| BR0115575A (pt) | 2003-07-29 |
| MXPA03004599A (es) | 2003-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | Research on a covert communication model realized by using smart contracts in blockchain environment | |
| US5956407A (en) | Public key cryptographic system having nested security levels | |
| Ullah et al. | Elliptic Curve Cryptography; Applications, challenges, recent advances, and future trends: A comprehensive survey | |
| US7715565B2 (en) | Information-centric security | |
| US7200752B2 (en) | Threshold cryptography scheme for message authentication systems | |
| Mandal et al. | Symmetric key image encryption using chaotic Rossler system | |
| CN1151554A (zh) | 用于统计目的的信息项无记名计数系统 | |
| CN1820482A (zh) | 产生并管理局域网的方法 | |
| CN101032117A (zh) | 基于多项式的认证方法 | |
| CN1879072A (zh) | 提供断开鉴别的系统和方法 | |
| CN1419760A (zh) | 使多点传送内容与多个接收者中的每一个唯一关联的方法和系统 | |
| CN1484901A (zh) | 用于消息鉴权系统的门限密码方案 | |
| US9544144B2 (en) | Data encryption | |
| CN1778065A (zh) | 基于生物特性身份的加密方法和设备 | |
| CN115348006B (zh) | 一种后量子安全的访问控制加解密方法、装置和系统 | |
| Chidambaram et al. | Enhancing the security of customer data in cloud environments using a novel digital fingerprinting technique | |
| Kim et al. | Honey chatting: A novel instant messaging system robust to eavesdropping over communication | |
| CN1332919A (zh) | 在分布加密中采用共享的随机性 | |
| Olaniyi et al. | A survey of cryptographic and stegano-cryptographic models for secure electronic voting system | |
| CN1241353C (zh) | 自动可恢复自动可认证密码系统 | |
| US20020057797A1 (en) | Resilient cryptographic scheme | |
| CN1864407A (zh) | 便携式安全模块配对 | |
| Bhivgade et al. | Multi-factor authentication in banking sector | |
| Singh et al. | Enhanced Honey Encryption Algorithm on e-mail with Increased Message Space | |
| Sharfuddin et al. | A Novel Cryptographic Technique for Cloud Environment Based on Feedback DNA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |