專利名稱:用于提供數(shù)字證書功能的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于提供數(shù)字證書功能的方法,例如涉及用于提供具有隱式驗(yàn)證的數(shù)字證書功能的方法����。此外����,本發(fā)明還涉及被安排來(lái)實(shí)現(xiàn)所述方法的設(shè)備和系統(tǒng)。此外���,本發(fā)明涉及當(dāng)實(shí)現(xiàn)所述方法時(shí)所產(chǎn)生的數(shù)字證書和相關(guān)聯(lián)的數(shù)據(jù)����。
背景技術(shù):
數(shù)字證書是密碼實(shí)體,其在實(shí)現(xiàn)密碼系統(tǒng)時(shí)是有用的��。數(shù)字證書被定義為由證明權(quán)威機(jī)構(gòu)(CA)對(duì)相應(yīng)的串或消息m所發(fā)布的數(shù)字簽名�。通過(guò)發(fā)布這種證書,CA由此擔(dān)保了串m的可靠性�。其它設(shè)備能夠通過(guò)檢查簽名來(lái)驗(yàn)證串m的可靠性。
通常����,頻繁地使用公鑰技術(shù)來(lái)實(shí)現(xiàn)數(shù)字證書。在這種技術(shù)中����,證明權(quán)威機(jī)構(gòu)(CA)擁有公-私鑰對(duì),其中PCA�����、SCA分別標(biāo)示公鑰和私鑰�����。此外,CA可操作來(lái)使用其私鑰SCA來(lái)發(fā)布與串m有關(guān)的證書���,其由CertCA(m)來(lái)標(biāo)示��。方便地��,如果E(y���,x)標(biāo)示使用密鑰y來(lái)加密項(xiàng)x,那么證書CertCA(m)可以采取如方程式1(Eq.1)所描述的形式CertCA(m)=E(SCA��,m) Eq.1不過(guò)用于證書CertCA(m)的候選形式也是潛在可能的����。為了降低證書CertCA(m)的數(shù)據(jù)大小,證書更有利地采取如方程式2(Eq.2)所描述的形式CertCA(m)=E(SCA�,h(m)) Eq.2其中h標(biāo)示用于把任意長(zhǎng)度的輸入映射到長(zhǎng)度n的輸出上以提供數(shù)據(jù)壓縮的單向散列函數(shù),即使得h(.)����,{0,1}*→{0�����,1}n���。從而�,任何設(shè)備于是通過(guò)酌情相對(duì)于m或h(m)檢查使用CA的公鑰PCA的解密證書CertCA(m)���,能夠顯式地驗(yàn)證已知串m的可靠性����。在這種驗(yàn)證過(guò)程中��,不要求CA在驗(yàn)證期間保持在線�����。
通常����,證書的共同使用將把設(shè)備的公鑰綁定到其相應(yīng)的身份,例如使用上述證書CertCA(m)來(lái)把設(shè)備的公鑰Pdev關(guān)聯(lián)到其身份���。在這種情況下����,串m優(yōu)選包括設(shè)備的公鑰Pdev以及其身份和用于限定綁定的附加信息,例如與所述設(shè)備經(jīng)由某個(gè)安全認(rèn)證信道接收私鑰Sdev時(shí)有關(guān)的期滿時(shí)間限制��。
可以使用已知的對(duì)稱密鑰技術(shù)來(lái)獲得用于允許驗(yàn)證串m可靠性的類似功能�����。對(duì)于這種對(duì)稱技術(shù)來(lái)說(shuō)���,CA具有秘密密鑰KCA��,它根據(jù)情況依照方程式3或4(Eq.3或4)使用所述秘密密鑰KCA來(lái)產(chǎn)生關(guān)聯(lián)的證書CertCA(m)CertCA(m)=E(KCA�,m) Eq.3或CertCA(m)=E(KCA���,h(m)) Eq.4其連同串m一起被公開(kāi)���。如果擁有串m的拷貝和證書CertCA(m)的設(shè)備希望驗(yàn)證所述串m的拷貝的可靠性,那么所述設(shè)備必須向CA提供所述證書CertCA(m)和串m�����。在接收證書CertCA(m)時(shí)�,CA會(huì)使用CA的秘密密鑰KCA來(lái)解密所接收的證書CertCA(m),繼而隨后驗(yàn)證根據(jù)所接收證書CertCA(m)所導(dǎo)出的串m等于所接收的串m����。在這種情況下,如上所述串m有利地包括密鑰材料及其它屬性���。然而�,對(duì)稱密鑰技術(shù)具有與其相關(guān)聯(lián)的問(wèn)題��,即為了認(rèn)證目的CA需要保持在線并且設(shè)備要求提供從所述設(shè)備到所述CA的認(rèn)證信道����,例如基于共享秘密的認(rèn)證信道。
從而����,基于上述公鑰技術(shù)的證書允許實(shí)現(xiàn)更靈活的密碼系統(tǒng),它與要求在線CA的對(duì)稱密鑰技術(shù)相對(duì)比不要求對(duì)所述CA提供在線連接���。然而�,公鑰技術(shù)的技術(shù)問(wèn)題在于就實(shí)現(xiàn)該技術(shù)的硬件和這種硬件的功率消耗而言要昂貴的多�����。
用于產(chǎn)生共用秘密數(shù)據(jù)項(xiàng)(例如用于證明目的)的方法是已知的�。例如�����,在所公開(kāi)的國(guó)際PCT專利申請(qǐng)WO 2004/028075中描述了一種用于在第一用戶設(shè)備和第二用戶設(shè)備之間產(chǎn)生共用秘密數(shù)據(jù)項(xiàng)的方法�。所述方法涉及每個(gè)用戶設(shè)備對(duì)各自的互補(bǔ)數(shù)據(jù)項(xiàng)執(zhí)行互相對(duì)稱的操作����。這些互補(bǔ)數(shù)據(jù)項(xiàng)分別基于至少部分保密的唯一量。對(duì)稱操作的結(jié)果在用戶設(shè)備中被用為上述秘密數(shù)據(jù)項(xiàng)�����。特別地是���,所述方法基于定義屬于GAP Diffie-Hellmann問(wèn)題的互補(bǔ)數(shù)據(jù)��,其在阿貝爾簇(Abelian Variety)中被定義�����。更特別地是��,阿貝爾簇通過(guò)成為橢圓曲線而具有單一維數(shù)����。
從而發(fā)明人認(rèn)識(shí)到用于提供數(shù)字證明功能的已知方法具有各種問(wèn)題,包括硬件成本��、硬件操作功率消耗����、需要認(rèn)證信道以及要求CA在線可用的一個(gè)或多個(gè)����。這些問(wèn)題促使發(fā)明人設(shè)計(jì)本發(fā)明以試圖至少部分解決這些問(wèn)題。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種用于提供數(shù)字證明功能的候選方法�。
依照本發(fā)明的第一方面,提供了一種用于在包括證明權(quán)威機(jī)構(gòu)(CA)和至少第一(A)和第二(B)設(shè)備的網(wǎng)絡(luò)中提供數(shù)字證明功能的方法��,其中所述第一(A)和第二(B)設(shè)備可連接來(lái)與所述權(quán)威機(jī)構(gòu)(CA)通信����,所述方法包括步驟(a)在所述權(quán)威機(jī)構(gòu)(CA),產(chǎn)生秘密P��,應(yīng)用所述秘密P來(lái)為代表第一設(shè)備(A)的數(shù)據(jù)串(mA)簽名��,繼而把所簽名的串傳送到所述第一設(shè)備(A)����;(b)把秘密信息從所述權(quán)威機(jī)構(gòu)傳送到所述第二設(shè)備(B)����,所述秘密信息用于驗(yàn)證所述串(mA)的可靠性��,所述第二設(shè)備(B)可操作來(lái)使用所述秘密信息來(lái)產(chǎn)生用于驗(yàn)證所述串(mA)可靠性的第二密鑰(kAB2)����;(c)在所述第一設(shè)備(A)使用與所述第二設(shè)備(B)有關(guān)的公共信息來(lái)產(chǎn)生第一密鑰(kAB1),如果所述串(mA)是可信的那么易于產(chǎn)生所述第一密鑰(kAB1)����;(d)應(yīng)用所述第二密鑰(kAB2)以便保護(hù)從所述第二設(shè)備(B)傳送到所述第一設(shè)備(A)的數(shù)據(jù);并且(e)在所述第一設(shè)備(A)�,應(yīng)用所述第一密鑰(kAB1)以便訪問(wèn)所保護(hù)的從所述第二設(shè)備(B)傳送到所述第一設(shè)備(A)的數(shù)據(jù)。
由于驗(yàn)證或認(rèn)證所保護(hù)的數(shù)據(jù)并不要求證明權(quán)威機(jī)構(gòu)的在線可用性��,所以該方法是有益的����。
優(yōu)選地是,在所述方法中����,在驗(yàn)證期間不要求在線訪問(wèn)權(quán)威機(jī)構(gòu)的情況下實(shí)現(xiàn)在步驟(e)訪問(wèn)所保護(hù)的數(shù)據(jù)。
優(yōu)選地是,在所述方法中���,秘密P是二變量的多項(xiàng)式�。
優(yōu)選地是��,在所述方法中���,第一密鑰(kAB1)是使用與第二設(shè)備相關(guān)的公共串所估算的多項(xiàng)式�����。
優(yōu)選地是,在所述方法的步驟(a)中���,所簽名的串被秘密地從權(quán)威機(jī)構(gòu)傳送到第一設(shè)備(A)���。更優(yōu)選地是,通過(guò)使用加密技術(shù)來(lái)實(shí)現(xiàn)這種秘密通信��。
優(yōu)選地是�����,在所述方法中�,在第一設(shè)備(A)驗(yàn)證所傳送的受保護(hù)數(shù)據(jù)是顯式的��。作為選擇��,在所述方法中����,在第一設(shè)備(A)驗(yàn)證所傳送的受保護(hù)數(shù)據(jù)是隱式的����。
優(yōu)選地是,所述方法基于以下至少一個(gè)Blom方案�����、基于身份的加密(IBE)�����。
依照本發(fā)明的第二方面�����,提供了一種通信系統(tǒng)�����,包括依照相互通信布置的證明權(quán)威機(jī)構(gòu)(CA)和多個(gè)設(shè)備,所述系統(tǒng)可依照本發(fā)明第一方面的方法來(lái)操作�����。
依照本發(fā)明的第三方面���,提供了一種在可依照本發(fā)明第一方面的方法來(lái)操作的通信網(wǎng)絡(luò)中用于數(shù)據(jù)驗(yàn)證的數(shù)字證書���。
依照本發(fā)明的第四方面,提供了一種易于通過(guò)應(yīng)用依照本發(fā)明第一方面的方法來(lái)驗(yàn)證的加密數(shù)據(jù)��。優(yōu)選地是����,所述數(shù)據(jù)包括音頻和視頻節(jié)目?jī)?nèi)容。
應(yīng)當(dāng)理解的是,在不脫離本發(fā)明范圍的情況下,易于依照任何組合來(lái)組合本發(fā)明的特征。
現(xiàn)在將僅以舉例形式���,參考下列圖來(lái)描述本發(fā)明的實(shí)施例�����,其中圖1是包括與兩個(gè)設(shè)備通信的證明權(quán)威機(jī)構(gòu)的通信網(wǎng)絡(luò)的示意圖��,所述權(quán)威機(jī)構(gòu)和設(shè)備可操作來(lái)使用依照本發(fā)明的數(shù)字證明互相通信����。
圖2是在圖1所描繪的網(wǎng)絡(luò)中證書分布的示意圖���;圖3是依照本發(fā)明的顯式串證明的示意圖����;圖4是依照本發(fā)明的隱式串證明的示意圖;和圖5是用于依照本發(fā)明實(shí)現(xiàn)數(shù)字證明功能的系統(tǒng)的示意圖。
具體實(shí)施例方式
發(fā)明人設(shè)想基于多項(xiàng)式來(lái)提供數(shù)字證明功能是可行的���。這種方法與上述公鑰技術(shù)相比實(shí)現(xiàn)起來(lái)潛在地更為廉價(jià)����,并且與上述要求在線服務(wù)器的對(duì)稱密鑰技術(shù)相比還能夠提供更靈活的益處。
概括地講���,本發(fā)明涉及一種用于提供如圖1中所描述的數(shù)字證明功能的方法�����。在圖1中�����,示出了總體上由10來(lái)表明的通信網(wǎng)絡(luò)���,包括證明權(quán)威機(jī)構(gòu)(CA)20、第一設(shè)備(A)30和第二設(shè)備(B)40����。權(quán)威機(jī)構(gòu)20和設(shè)備30、40耦合使得它們能夠互相通信。網(wǎng)絡(luò)10可以被實(shí)現(xiàn)為通信系統(tǒng)�,其中證明權(quán)威機(jī)構(gòu)(CA)20是服務(wù)器或數(shù)據(jù)庫(kù),并且所述設(shè)備是經(jīng)由所述網(wǎng)絡(luò)10耦合到所述服務(wù)器或數(shù)據(jù)庫(kù)的用戶設(shè)備。
在該方法的第一步驟中����,CA20選擇或產(chǎn)生隨機(jī)秘密P。然后CA20使用秘密P來(lái)為代表第一設(shè)備A30的公開(kāi)串mA簽名�,然后如圖1中的箭頭50所描繪的�����,CA20把所簽名的串mA秘密地傳送到第一設(shè)備A30����。
在該方法的第二步驟中,第二設(shè)備B40從CA20獲得某個(gè)秘密信息�����,所述秘密信息由箭頭60標(biāo)示�����,并且由此使所述第二設(shè)備B40能夠產(chǎn)生密鑰KAB以便隱式地或顯式地驗(yàn)證串mA的可靠性�。
在該方法的第三步驟中,如果由設(shè)備B所使用的串mA是可信的,那么第一設(shè)備A30通過(guò)使用第二設(shè)備B40上某個(gè)公開(kāi)可用的信息70可操作來(lái)產(chǎn)生密鑰KAB���。
在該方法的第四步驟中��,第二設(shè)備B40使用其密鑰KAB來(lái)保護(hù)由箭頭80所表示的從第二設(shè)備B40傳送到第一設(shè)備A30的數(shù)據(jù)(INFO)。第一設(shè)備A30可操作來(lái)使用其密鑰KAB來(lái)訪問(wèn)所述數(shù)據(jù)(INFO)���。
盡管圖1概括地描繪了本發(fā)明的方法���,然而現(xiàn)在將更詳細(xì)地闡明其步驟。系統(tǒng)10利用多項(xiàng)式來(lái)提供數(shù)字證書功能���,更具體地說(shuō)是基于Blom密鑰設(shè)置方案的推導(dǎo),如在1983年的出版物“Non-public keydistribution”中所描述���,Advances in Cryptology-Proceedingsof Crypto 82����,第231-236頁(yè)���,在此通過(guò)引用加以結(jié)合以供參考����。
在Blom方案中����,網(wǎng)絡(luò)具有N個(gè)用戶,并且利用M位密鑰來(lái)把網(wǎng)絡(luò)中所發(fā)送的每個(gè)消息譯成密碼,所述密鑰對(duì)于所涉及的每個(gè)源-目的地用戶對(duì)來(lái)說(shuō)是唯一的�����。所述方案可操作來(lái)構(gòu)造密鑰方案��,所述密鑰方案要求在每個(gè)用戶存儲(chǔ)盡可能少的位數(shù)。在該方案中�,所要求的位數(shù)作為由S所標(biāo)示的用戶存儲(chǔ)的大小����。當(dāng)網(wǎng)絡(luò)中有N個(gè)用戶使得每個(gè)用戶由在0到N-1范圍內(nèi)的唯一用戶號(hào)i來(lái)定義時(shí)����,用戶i的用戶地址ai可如方程式5(Eq.5)所描述的被表示為向量ai=(ai0,ai1�����,...���,ai(l-1))Eq.5其中l(wèi)=logb(N)并且其中如方程式6(Eq.6)所描述的包括底數(shù)b中的用戶號(hào)。
i=Σm=0l-1aimbm---Eq.6]]>還依照方程式7到9(Eq.7到9)定義了累積函數(shù)ffm(x�,y)=fm(y�,x) Eq.7其中x�,y∈{0�,1���,2���,...,b-1} Eq.8m∈{0,...����,l-1}Eq.9在Blom方案中��,于是由方程式10(Eq.10)來(lái)描述用于在用戶i和j之間通信的密鑰kijkij=Σm=0l-1fm(aim,ajm)---Eq.10]]>其中假定函數(shù)fm(.,.)具有伽羅瓦域(Galois field)GF(2M)的子集作為它們各自的數(shù)值范圍并且除可換性之外不具有任何其它屬性。在依照Blom方案計(jì)算密鑰kij中�����,用戶i始終使用fm(aim,.)并且從而只是必須存儲(chǔ)用于每個(gè)函數(shù)的b值����。
Blom方案在伽羅瓦域GF(q)中使用多項(xiàng)式p(x��,y)�����,所述多項(xiàng)式p(x�,y)屬性為p(x�����,y)=p(y���,x)并且每個(gè)用戶與伽羅瓦域GF(q)中的唯一元素i相關(guān)聯(lián)���,其中元素i可用來(lái)標(biāo)識(shí)所述用戶��。還假定q的數(shù)量級(jí)為2M����,用于利用M位來(lái)表示伽羅瓦域GF(q)的元素。為了產(chǎn)生用于用戶i和j的密鑰,估算多項(xiàng)式p(i�����,j)���。從而����,具體用戶i只需知道多項(xiàng)式p(i,y)使得每個(gè)用戶只知道整個(gè)多項(xiàng)式的一部分��,所述多項(xiàng)式由方程式11(Eq.11)定義p(x�,y)=(x0����,x1,…����,xn-1)A(y0,y1�,…��,yn-1)TEq.11其中A是對(duì)稱的n×n元素矩陣���。
每個(gè)用戶只需采用向量bi的形式存儲(chǔ)n個(gè)系數(shù),所述bi如方程式12(Eq.12)所描述
bi=(i0����,i1�����,...�����,in-1)AEq.12于是密鑰kij的計(jì)算首先涉及計(jì)算(j0���,j1,...�����,jn-1)且繼而執(zhí)行此向量和向量bi的標(biāo)量乘法。
本發(fā)明使用基于多項(xiàng)式的證書功能,例如在Blom方案中所用。一般地說(shuō)�����,如在圖2中所描述����,CA選擇隨機(jī)秘密P(y�����,x)且繼而使用所述秘密來(lái)為公共的串mA簽名以便產(chǎn)生用于設(shè)備A的簽名。CA例如通過(guò)加密來(lái)向設(shè)備A秘密地發(fā)送此簽名�。同樣已經(jīng)從CA獲得某個(gè)秘密信息的任何設(shè)備B可以顯式地或隱式地驗(yàn)證mA的可靠性,使得所述設(shè)備B使用公共的串mA來(lái)產(chǎn)生密鑰kAB�;如果串mA是可信的�����,那么只有設(shè)備A通過(guò)使用關(guān)于所述設(shè)備B的某個(gè)公共信息也能夠產(chǎn)生此密鑰kAB�。從而���,設(shè)備B能夠使用密鑰kAB來(lái)保護(hù)它向設(shè)備A所發(fā)送的數(shù)據(jù)。
在圖2中�,實(shí)現(xiàn)了初始設(shè)置階段����,其中CA選擇隨機(jī)、秘密且對(duì)稱的二變量多項(xiàng)式P(x���,y)使得對(duì)于所有x和y來(lái)說(shuō)P(x,y)=P(y,x)�。CA按照y=mA來(lái)估算多項(xiàng)式P(y���,x)以便獲得多項(xiàng)式P(mA�����,x)�����,其中P(mA�,x)是關(guān)于mA的簽名��。然后CA把此單變量的多項(xiàng)式P(mA�����,x)發(fā)送到設(shè)備A�����。此外���,在設(shè)置階段中�,CA向設(shè)備B秘密地發(fā)送多項(xiàng)式P(b���,x)���,其中b是關(guān)于設(shè)備B的某個(gè)公共串����。串mA和b都是公共串,其可以存儲(chǔ)在公共數(shù)據(jù)庫(kù)中或可以分別向設(shè)備A���、B給出�。
在上述設(shè)置階段之后�����,如果設(shè)備B顯式地想要驗(yàn)證其占有的串mA版本的可靠性��,例如在圖3中所描述,那么所述設(shè)備B執(zhí)行驗(yàn)證步驟��。在驗(yàn)證步驟中,設(shè)備B選擇隨機(jī)數(shù)r。此后���,設(shè)備B通過(guò)使x=mA來(lái)估算多項(xiàng)式P(b�,x)以便獲得密鑰kAB=P(b�����,mA)。接下來(lái)��,設(shè)備B使用密鑰kAB來(lái)加密隨機(jī)數(shù)r���,即設(shè)備B確定E(kAB����,r)并且向設(shè)備A發(fā)送此加密。
一旦收到加密E(kAB���,r)����,設(shè)備A就估算多項(xiàng)式P(mA���,x)��,其中x=b以便獲得所導(dǎo)出密鑰k’AB=P(mA����,b)��。接下來(lái)���,設(shè)備A向設(shè)備B發(fā)送數(shù)字r’=D(kAB’�,E(kAB,r)),其中D標(biāo)示解密�。然后只有驗(yàn)證時(shí)數(shù)字r=r’����,那么設(shè)備B才接受mA的可靠性。在設(shè)置階段之后的這種驗(yàn)證中�����,并不涉及CA����,不過(guò)要求設(shè)備A在線可用�。圖3對(duì)應(yīng)于依照本發(fā)明的顯式認(rèn)證�。
如在圖4中所描述,設(shè)備B只能夠根據(jù)串mA的內(nèi)容來(lái)向設(shè)備A發(fā)送特許信息X����。信息X例如是音頻或視頻內(nèi)容;此外,串mA優(yōu)選包括關(guān)于是否向設(shè)備A授權(quán)播放所述內(nèi)容的指示�����。從而���,在本發(fā)明的實(shí)際使用中,設(shè)備A發(fā)送請(qǐng)求“Req(X)”以便請(qǐng)求把信息X發(fā)送給它��。響應(yīng)于接收到請(qǐng)求“Req(X)”���,設(shè)備B首先獲取串mA。然后它使用串mA來(lái)驗(yàn)證是否允許設(shè)備A訪問(wèn)信息X���,即“Ver mAwrt X”�。如果設(shè)備B發(fā)現(xiàn)實(shí)際上允許設(shè)備A訪問(wèn)信息X�,那么所述設(shè)備B計(jì)算密鑰“kAB=P(b����,mA)”且繼而繼續(xù)使用所述密鑰kAB來(lái)加密所述信息��,即“E(kAB���,X)”�����,并且向所述設(shè)備A發(fā)送所述加密�。
一旦收到所述加密���,那么設(shè)備A就計(jì)算密鑰“kAB’=P(mA����,b)”且繼而按照“X’=D(kAB’�,E(kAB,X)”來(lái)計(jì)算內(nèi)容。在由設(shè)備B所使用的串mA是可信的情況下,設(shè)備A會(huì)計(jì)算密鑰的屬性值,即密鑰kAB和kAB’會(huì)是相應(yīng)的�,因此設(shè)備A能夠訪問(wèn)信息X。相反地,在mA被修改為串mA’的情況中�,設(shè)備B不能顯式地驗(yàn)證mA’的可靠性�����,而是會(huì)產(chǎn)生密鑰kAB’=P(b�,mA’)并且用它來(lái)加密信息X�����;由于并入本發(fā)明的Blom方案的性質(zhì),設(shè)備A不能只知道m(xù)A’和P(mA��,x)就計(jì)算密鑰kAB’�����,于是所述設(shè)備B隱式地驗(yàn)證了串mA的可靠性�。在這兩種情況中,如果設(shè)備B是消息的發(fā)起者�,例如B向發(fā)送到設(shè)備A的消息添加了消息認(rèn)證代碼,那么設(shè)備A能夠驗(yàn)證可靠性。
盡管圖3和相關(guān)聯(lián)的描述對(duì)應(yīng)于顯式認(rèn)證,然而圖4對(duì)應(yīng)于隱式認(rèn)證���。
如上所述的本發(fā)明在不要求在線訪問(wèn)CA 20來(lái)證明串mA的可靠性這一方面表面上類似于公鑰證書�����。由于在本發(fā)明中優(yōu)選利用Blom方案,所以在兩個(gè)設(shè)備A、B之間交互作用中所出現(xiàn)的修改串mA會(huì)依照與正常公鑰證書類似的方式導(dǎo)致失敗的可靠性檢驗(yàn)。然而���,在本發(fā)明和公鑰證書系統(tǒng)之間存在顯著差異�。
在圖1到4所圖示的方案中��,設(shè)備B要求來(lái)自設(shè)備A的幫助以驗(yàn)證串mA的可靠性����,因此要求所述設(shè)備A是可在線訪問(wèn)的��;這種在線訪問(wèn)與公鑰證書形成對(duì)比�����,所述公鑰證書按照CA公鑰的資料來(lái)適應(yīng)驗(yàn)證,即公共驗(yàn)證���。
此外,圖1到4的方案依靠設(shè)備A�����、B使證書P(mA����,x)、P(b��,x)分別保持保密����;然而����,所述設(shè)備A與使用秘密和私有密鑰的流行密碼系統(tǒng)相對(duì)比不總是得益于使證書P(mA�,x)保持保密�����。在本發(fā)明中�����,設(shè)備A可以被認(rèn)為是不暴露其私有信息的適應(yīng)設(shè)備����;此外����,P(mA�,x)不只能夠充當(dāng)證書而且還能夠作為設(shè)備A的私鑰起作用�,在這種情況下對(duì)于設(shè)備A來(lái)說(shuō)公開(kāi)證書P(mA�����,x)是不利的���。
在圖1到4的方案中��,公鑰證書的安全性取決于某個(gè)計(jì)算困難的問(wèn)題,例如離散對(duì)數(shù)問(wèn)題或大質(zhì)數(shù)因子分解�。由上面所描述本發(fā)明提供的安全性取決于Blom方案的性質(zhì),所述方案提供了n個(gè)安全屬性。從而,如果n是秘密P(y,x)的多項(xiàng)式的冪,那么要求潛在的攻擊者使用n個(gè)以上多項(xiàng)式來(lái)形成P(mA��,x)并且能夠產(chǎn)生證書P(mA’�����,s)����。在本發(fā)明的方案中,設(shè)備A���、B只在有限域中使用多項(xiàng)式計(jì)算和對(duì)稱的密鑰加密,所述對(duì)稱密鑰加密與公鑰操作相比在計(jì)算上沒(méi)那么昂貴。
在圖1到4中所圖示的本發(fā)明可以基于除Blom方案之外的其它方案來(lái)實(shí)現(xiàn)。例如��,如上所述的本發(fā)明可以被安排來(lái)使用基于身份的加密(IBE)作為Blom方案的候選方式�。IBE被定義為公共密鑰加密算法,其中公鑰可以是任何串并且計(jì)算相應(yīng)的私鑰使得它與所述公鑰相匹配。IBE清楚地不同于其它公開(kāi)密鑰算法��,其中只有私鑰可以被任意地選擇或者公鑰及其互補(bǔ)私鑰都不可以被任意地選擇����。
在本發(fā)明中使用Blom方案的優(yōu)點(diǎn)在于用來(lái)估算證書P(y�����,x)的值可以被任意地選擇且由此允許任何信息被存儲(chǔ)在此值中。此外,此值是公共的且由此基本上充當(dāng)公鑰���。此外�����,Blom方案當(dāng)在本發(fā)明中使用時(shí)比使用IBE在計(jì)算上更為簡(jiǎn)單���。
應(yīng)當(dāng)理解�,在不脫離由所附權(quán)利要求所定義的本發(fā)明范圍的情況下,易于修改在上面所描述的本發(fā)明的實(shí)施例。
在圖1到4所描繪的本發(fā)明中�����,設(shè)備A、B導(dǎo)出密鑰P(mA��,b)=P(b,mA)�;便利地是,此密鑰被稱作“主密鑰”����。常常希望根據(jù)此主密鑰來(lái)導(dǎo)出隨機(jī)密鑰�,使得為每個(gè)會(huì)話產(chǎn)生新的隨機(jī)密鑰��?�?梢詽撛诘厥褂弥辽賻装賯€(gè)標(biāo)準(zhǔn)協(xié)議來(lái)根據(jù)公用主密鑰導(dǎo)出隨機(jī)密鑰,如A.Menezes、P.van Oorschot和S.van Stone于1996年在出版物“Handbook of Applied Cryptography”中所描述���,CRC Press出版�,在此通過(guò)引用加以結(jié)合以供參考�����。
從而在本發(fā)明的范圍內(nèi)��,使用串mA來(lái)存儲(chǔ)應(yīng)當(dāng)可驗(yàn)證的信息�。在許多實(shí)際情況中�,實(shí)際上并不直接把例如節(jié)目?jī)?nèi)容之類的信息存儲(chǔ)到串mA中�����,這是因?yàn)檫@可能會(huì)不方便地使串很長(zhǎng)�。為了解決笨重串大小的這種問(wèn)題�����,優(yōu)選使用上述的單向散列函數(shù)����,串包括如方程式13(Eq.13)所描述信息的較小編輯的版本,也稱為“摘要(digest)”m=h(mD1) Eq.13將要描述本發(fā)明的進(jìn)一步實(shí)施例���,如上所述的利用證明功能的實(shí)施例����。
在圖5中�����,示出了總體上由200表明的簡(jiǎn)單內(nèi)容管理系統(tǒng)�。系統(tǒng)200包括內(nèi)容權(quán)利權(quán)威機(jī)構(gòu)(CRA)210�,所述內(nèi)容權(quán)利權(quán)威機(jī)構(gòu)210可操作來(lái)向所述系統(tǒng)200內(nèi)包括的設(shè)備發(fā)布內(nèi)容權(quán)利�;這些內(nèi)容權(quán)利允許設(shè)備播放例如某個(gè)內(nèi)容片�。方便地由RCi來(lái)標(biāo)示用于播放給定內(nèi)容Ci的權(quán)利。在實(shí)踐中��,方便地CRA 210被實(shí)現(xiàn)為“電子商店”���,例如因特網(wǎng)網(wǎng)站���。系統(tǒng)200進(jìn)一步包括第一和第二內(nèi)容管理器(CM1�,CM2)220����、230��,優(yōu)選分別被實(shí)現(xiàn)為包含或可以訪問(wèn)內(nèi)容的信任服務(wù)器�����,所述內(nèi)容優(yōu)選為未加密的內(nèi)容�。CM1����、CM2220、230例如被實(shí)現(xiàn)為對(duì)接到因特網(wǎng)的機(jī)頂盒或其它置信設(shè)備�。此外,系統(tǒng)200還包括分別由300���、310���、320所標(biāo)示的設(shè)備D1、D2��、D3��,這些設(shè)備可操作來(lái)再現(xiàn)內(nèi)容�,例如重放內(nèi)容。設(shè)備300���、310�����、320優(yōu)選在實(shí)踐中被實(shí)現(xiàn)為視頻或音頻再現(xiàn)設(shè)備�,諸如視頻顯示器或音頻設(shè)備����。
現(xiàn)在將參考圖5來(lái)描述系統(tǒng)200的操作����。
在系統(tǒng)200中�,設(shè)備D1 300例如通過(guò)付款來(lái)獲得用于播放由C1、C2和C3所標(biāo)示的節(jié)目?jī)?nèi)容直到確定時(shí)間限制T1的權(quán)利��。類似地���,設(shè)備D2例如還通過(guò)付款來(lái)獲得用于播放內(nèi)容C1和C2直到確定時(shí)間T2的權(quán)利��。此外����,設(shè)備D3獲得用于播放內(nèi)容C2直到時(shí)間T3的權(quán)利����。獲取用于設(shè)備D1�����、D2���、D3的這些權(quán)利使設(shè)備能夠分別公開(kāi)地接收相應(yīng)的數(shù)據(jù)內(nèi)容串mD1���,mD2��,mD3�����,如由方程式14����、15和16(Eq.14�����,15和16)所方便地描述并包括在圖5中mD1=D1‖RC1‖RC2‖RC3‖T1Eq.14mD2=D2‖RC1‖RC2‖RC3‖T2Eq.15mD3=D3‖RC2‖T3Eq.16其中‖標(biāo)示拼接�����。與公開(kāi)接收串mD1�����、mD2�����、mD3相關(guān)聯(lián),設(shè)備D1����、D2、D3還分別秘密地接收相應(yīng)的多項(xiàng)式P(h(mD1)��,x)����、P(h(mD2),x)����、P(h(mD3),x)���,其中P(y,x)是如上所述的足夠高次冪的隨機(jī)對(duì)稱多項(xiàng)式��,由內(nèi)容權(quán)利權(quán)威機(jī)構(gòu)(CRA 210)來(lái)選擇用于設(shè)備D1�����、D2、D 3的多項(xiàng)式�。
CRA 210接受CM1、CM2是信任服務(wù)器并且它們分別秘密地接收多項(xiàng)式P(h(CM1)��,x)�、P(h(CM2),x)�����,這兩個(gè)服務(wù)器用于存儲(chǔ)內(nèi)容C1����、C2、C3����。
在操作中,設(shè)備D1向CM1發(fā)送請(qǐng)求以便請(qǐng)求內(nèi)容C3����。此請(qǐng)求包括所請(qǐng)求內(nèi)容的引用,即IDC3�����,以及如在方程式14中所提供的串mD1。當(dāng)接受此請(qǐng)求時(shí)�����,CM1220驗(yàn)證用于所請(qǐng)求內(nèi)容C3的權(quán)利RC3是否包括在內(nèi)容串mD1中��,并且還驗(yàn)證發(fā)送所述請(qǐng)求的時(shí)間是否早于時(shí)間T1�。如果發(fā)現(xiàn)與來(lái)自設(shè)備D1 300的請(qǐng)求相關(guān)聯(lián)所做的所有檢查都有效,那么CM1220執(zhí)行以下步驟(a)CM1220計(jì)算串mDi的較小編輯的版本��,即串m=h(mD1)���;(b)CM1220根據(jù)上面的(a)來(lái)估算多項(xiàng)式P(h(CM1)��,x)以便獲得多項(xiàng)式解密密鑰K�,其中x=m�����;(c)CM1220使用來(lái)自上面(b)的K來(lái)計(jì)算內(nèi)容C3的加密版本����,即E(K��,C3);(d)CM1220向設(shè)備D1 300發(fā)送內(nèi)容C3的加密版本E(K���,C3)��。
當(dāng)在設(shè)備D1 300收到從CM1220所發(fā)送的加密數(shù)據(jù)E(K���,C3)時(shí),設(shè)備D1 300估算多項(xiàng)式P(h(mD1)���,x)來(lái)獲得解密密鑰K’���,其中x=h(CM1)。接下來(lái)�,設(shè)備D1處理所加密的數(shù)據(jù)E(K,C3)以便依照方程式17(Eq.17)來(lái)導(dǎo)出數(shù)據(jù)內(nèi)容C3的解密版本C3’C3′=D(K′���,E(K���,C3)) Eq.17假定設(shè)備D2310從CM2230請(qǐng)求內(nèi)容C3,所述設(shè)備D2沒(méi)有用于數(shù)據(jù)內(nèi)容C3的權(quán)利�����。當(dāng)CM2接收對(duì)內(nèi)容C3的請(qǐng)求并且串mD2=D2‖RC1‖RC2‖T2時(shí),CM2會(huì)注意到RC3并非是mD2的一部分���,且由此它不向設(shè)備D2310發(fā)送數(shù)據(jù)內(nèi)容C3�����。清楚地是��,設(shè)備D2310可以向CM2發(fā)送修改的串m’D2=D2‖RC1‖RC3‖T2�����。CM2會(huì)接受此修改的串��,按照x=h(m’D2)來(lái)估算P(h(CM2)��,x)以便獲得密鑰K’并且向設(shè)備D2發(fā)送E(K’�,C3)�����。然而����,當(dāng)設(shè)備D2只能訪問(wèn)多項(xiàng)式P(h(mD2)��,x)時(shí)它不能計(jì)算密鑰K’。因此���,設(shè)備D2310不可能解密所接收的內(nèi)容���。此外,設(shè)備D2310基本上不可能修改其內(nèi)容權(quán)利并且獲得對(duì)內(nèi)容C3的訪問(wèn)��。
清楚地是����,在系統(tǒng)200中,每個(gè)設(shè)備D可以從每個(gè)CM請(qǐng)求內(nèi)容并且所述CM能夠顯式地或隱式地驗(yàn)證內(nèi)容權(quán)利����。在系統(tǒng)200中,類似于在使用公鑰安全性技術(shù)的其它相關(guān)系統(tǒng)中���,CRA 210只在內(nèi)容遞送期間發(fā)布不要求在線的內(nèi)容權(quán)利中起作用����。設(shè)備D無(wú)法修改內(nèi)容權(quán)利或期滿時(shí)間,這是因?yàn)樗鼈儫o(wú)法產(chǎn)生由CM用來(lái)加密或解密內(nèi)容的密鑰��。
在所附權(quán)利要求中�����,在括號(hào)內(nèi)所包括的數(shù)字及其它符號(hào)用來(lái)幫助理解權(quán)利要求而并不旨在依照任何方式限制權(quán)利要求的范圍����。
當(dāng)解釋說(shuō)明書及其關(guān)聯(lián)的權(quán)利要求時(shí)諸如“包括”、“包含”���、“合并”�、“含有”�����、“是”和“具有”之類的表達(dá)將被依照非排它性方式來(lái)解釋���,即被解釋為還允許那些未被顯式定義的其它項(xiàng)或組件存在�。單數(shù)參考符號(hào)還將被解釋為復(fù)數(shù)參考符號(hào)���,反之亦然�。
權(quán)利要求
1.一種用于在包括證明權(quán)威機(jī)構(gòu)(20)和至少第一和第二設(shè)備(30,40)的網(wǎng)絡(luò)(10)中提供數(shù)字證明功能的方法���,其中所述第一和第二設(shè)備(30��,40)可連接來(lái)與所述權(quán)威機(jī)構(gòu)(20)通信��,所述方法包括步驟(a)在所述權(quán)威機(jī)構(gòu)(20),產(chǎn)生秘密P����,應(yīng)用所述秘密P來(lái)為代表第一設(shè)備(30,A)的數(shù)據(jù)串(mA)簽名����,繼而把所簽名的串傳送(50)到所述第一設(shè)備(30,A)�;(b)把秘密信息從所述權(quán)威機(jī)構(gòu)(20)傳送(60)到所述第二設(shè)備(B,40)��,所述秘密信息用于驗(yàn)證所述串(mA)的可靠性����,所述第二設(shè)備(40,B)可操作來(lái)使用所述秘密信息以產(chǎn)生用于驗(yàn)證所述串(mA)可靠性的第二密鑰(kAB2)��;(c)在所述第一設(shè)備(30,A)使用與所述第二設(shè)備(40����,B)有關(guān)的公共信息來(lái)產(chǎn)生第一密鑰(kAB1),如果所述串(mA)是可信的那么易于產(chǎn)生所述第一密鑰(kAB1)�����;(d)應(yīng)用所述第二密鑰(kAB2)以便保護(hù)從所述第二設(shè)備(40����,B)傳送到所述第一設(shè)備(30,A)的數(shù)據(jù)�;并且(e)在所述第一設(shè)備(30,A)�����,應(yīng)用所述第一密鑰(kAB1)以便訪問(wèn)所保護(hù)的從所述第二設(shè)備(40��,B)傳送到所述第一設(shè)備(30�,A)的數(shù)據(jù)。
2.如權(quán)利要求1所述的方法����,其中在驗(yàn)證期間不要求在線訪問(wèn)權(quán)威機(jī)構(gòu)(20)的情況下實(shí)現(xiàn)在步驟(e)訪問(wèn)所保護(hù)的數(shù)據(jù)��。
3.如權(quán)利要求1所述的方法����,其中所述秘密P是二變量的多項(xiàng)式�����。
4.如權(quán)利要求1所述的方法���,其中所述第一密鑰(kAB1)是使用與第二設(shè)備(40,B)相關(guān)的公共串所估算的多項(xiàng)式���。
5.如權(quán)利要求1所述的方法���,其中在步驟(a),所簽名的串被秘密地從所述權(quán)威機(jī)構(gòu)(20)傳送到所述第一設(shè)備(30��,A)��。
6.如權(quán)利要求5所述的方法�,其中使用加密技術(shù)來(lái)秘密地傳送所簽名的串。
7.如權(quán)利要求1所述的方法���,其中在所述第一設(shè)備(30���,A)驗(yàn)證所傳送的受保護(hù)數(shù)據(jù)是顯式的�����。
8.如權(quán)利要求1所述的方法��,其中在所述第一設(shè)備(30����,A)驗(yàn)證所傳送的受保護(hù)數(shù)據(jù)是隱式的����。
9.如權(quán)利要求1所述的方法,所述方法基于以下至少一個(gè)Blom方案�����、基于身份的加密(IBE)���。
10.一種包括依照相互通信布置的證明權(quán)威機(jī)構(gòu)(CA����,20)和多個(gè)設(shè)備(30,40)的通信系統(tǒng)(10)����,所述系統(tǒng)(10)可依照如權(quán)利要求1所述的方法來(lái)操作。
11.一種在可依照如權(quán)利要求1所述的方法來(lái)操作的通信網(wǎng)絡(luò)(10)中用于數(shù)據(jù)驗(yàn)證的數(shù)字證書����。
12.一種易于通過(guò)應(yīng)用如權(quán)利要求1所述的方法來(lái)驗(yàn)證的加密數(shù)據(jù)。
13.如權(quán)利要求12所述的加密數(shù)據(jù)���,所述數(shù)據(jù)包括音頻和/或視頻節(jié)目?jī)?nèi)容����。
全文摘要
描述了一種用于提供證明功能的方法�。所述方法包括(a)在證明權(quán)威機(jī)構(gòu)(20)�,產(chǎn)生秘密P,應(yīng)用所述秘密P來(lái)為代表第一設(shè)備(30���,A)的數(shù)據(jù)串(m
文檔編號(hào)H04L9/08GK1981477SQ200580022987
公開(kāi)日2007年6月13日 申請(qǐng)日期2005年7月4日 優(yōu)先權(quán)日2004年7月8日
發(fā)明者T·A·M·克弗納爾, G·J·施里詹 申請(qǐng)人:皇家飛利浦電子股份有限公司