間接公共密鑰加密的製作方法

2023-06-14 20:57:51

專利名稱：間接公共密鑰加密的製作方法
技術領域：
本發明涉及通信網絡和涉及保密和加密技術。更具體地，本發明涉及在用戶和伺服器之間加密通信數據消息的網絡結構和方法。
現代通信通常需要保密，不論是在電子商務過程中傳輸財經信息還是商業機密傳輸和其它重要商業信息。一種保護通信秘密的方法是按照對稱密碼系統或不對稱密碼系統對它們進行加密。
通常，對稱密碼系統是一組由硬體或軟體執行的指令，該指令利用對於用戶是已知而對於其它人保密的特定密鑰能夠通過各種方式將明碼文本(為加密信息)轉換為密碼文本，反之相同。對稱密碼系統的一個例子是數據加密標準(Date Encryption Standard即DES)，在數據加密標準中描述，聯邦信息處理標準公報46(1977)(「FIPS PUB46」)，重新發表為FIPS PUB 46-1(1988)和DES操作模式，FIPS PUB81(1980)，這些可以從美國政府商務部獲得。
一種不對稱加密系統一般利用兩個密鑰，一個用於加密而另一個用於解密，其中知道一個密鑰(公共密鑰)不允許推導出第二個密鑰(個人密鑰)。公共密鑰密碼系統(PKC)的各個方面在下列文章中描述，包括R.L.Rivest的「一種獲得數字籤字和公共密鑰密碼系統的方法」，Communication of ACM，vol.21，pp.120-126(1978，二月)；M.E.Hellman的「公共密鑰密碼數學」，Scientific American，vol.234，no8，pp.146-152，154-157(1979，八月)；和W.Diffie的「公共密鑰密碼的頭十年」，Proceedings of the IEEE，vol.76，pp.560-577(1988，五月)。
對於對稱或PKC系統，消息安全很大程度上取決於密鑰的長度，如同C.E.Shannon在「保密系統通信理論」，Bell System Technical Journal，vol.28，pp.656-715(1949十月)中所描述的。
許多流行的PKC系統使用了發現大質數在計算上很容易但是對兩個大質數的積分解因子在計算上很困難的事實。因此，PKC允許用戶的公共密鑰被傳遞(例如，在目錄或在公告板上)，而不允許傳遞用戶的個人密鑰。該公共密鑰概念簡化了密鑰的發布過程。示例PKC算法是數字籤字算法和保密散列算法(DSA/SHA)和RSA/MD5。
RSA算法在上面引用的R.L.Rivest文章中公開，並且通常用於用戶伺服器處理器結構，如

圖1所示，利用產生下列密碼文本的伺服器密鑰[e，n]對消息加密M』＝ Me模n該RSA加密操作對於當前具有有限計算能力的用戶是計算複雜的，例如行動電話機和個人數字助理(PDA)。結果，只有極少用戶可接受這種加密所需要的時間。
在例如圖2所示的用戶-代理-伺服器結構中，用戶能夠使用代理的更高計算能力以卸下複雜RSA加密算法並且減少用戶的響應時間。舉一個例子，用戶可以簡單地將明碼文本消息M傳遞給代理，代理隨後執行全部RSA加密。另一個例子，更好的例子，用戶可以利用比RSA稍微簡單的算法對明碼文本M「稍微加密」形成密碼文本m，然後安全地將「稍微加密」消息m傳遞給代理，代理隨後執行全部加密，形成密碼文本M』。(可以認為在用戶和代理之間需要一定形式的授權)。
這種例子的問題是缺少端對端，用戶-伺服器安全。實際上，用戶必須信任代理，因為代理很容易訪問明碼文本M。本申請人的發明在將計算複雜的加密算法卸載給非受託代理的同時實現端對端，用戶-伺服器安全，即沒有將明碼文本洩露給代理。
在B.Schneier的應用密碼系統第二版，節48和236，第85-86頁和540-541頁，John Wiley Sons(1996)，中描述了計算加密數據問題的概況。Y.Desmedt的「授權和籤字的共同生成」，密碼系統的進展-密碼91，計算機科學論文集，vol.537，pp457-469，Springer-Verlag(1991)描述了團體籤字，這是一個給定數量個人集體產生單一保密籤字而不需要在個人之間相互影響和不將保密密鑰洩露給他們中的任何人的方案。
在A.Fox的「移動中的安全利用Kerberos的間接授權」ProceedingsMobicom 96(1996)中所描述的Charon協議提供了利用Kerberos授權協議的間接授權。
網際網路上文章M.Blaze的「自主代理密碼系統」，WWW.research.att.com，AT T-Research(Feb.23，1998)描述了自主代理密碼系統，在該系統中利用代理密鑰的自述代理功能將密鑰k1的密碼文本轉換為另一個密鑰lk2的密碼文本。
在J.Feigenbaum，「加密問題舉例，或，…你是否能夠利用他人的優點而不必信任他」，Advances in Cryptology-Crypto『85，Lecture Notesin Computer Science，vol.218，pp.477-488，Springer-Verlag(1986)，描述了一種計算加密後數據的方法，其中甲方缺少計算能力執行計算並且讓另一個具有更多計算能力的未受託乙方進行部分計算。計算結果由原來的甲方使用以利用更簡單的運算來計算最終結果。
Blaze的美國專利5696823描述了一種方式，使用塊分組對稱加密的未受託高帶寬設備代表保密低帶寬設備。PKC用於在對稱密碼系統協議中授權或密鑰交換，而不用於信息數據的加密。該專利適合對稱加密，而不適合公共密鑰加密「漫天飛」的問題。主機不僅起代理的作用；如果有可能加密和解密一個消息主機進行的計算必須被執行，並且解密後的明碼文本位於不安全設備中。因此，該主機只針對保密密鑰是「未受託」的，而不是針對被加密的數據。
TMatsumoto的「利用不安全輔助設備加速保密計算」，Advances inCryptology-Crypto『88，Proceeding，Santa Barara，Capp.497-506，Springer-Verlag(1988)Kavamura S的「用於模塊求冪的快速伺服器輔助保密計算協議」，8272 IEEE Journal on Selected Areas inComunication，Vol.11，No.5，pp778-784(June，1993)，每篇文章都描述了在用戶-伺服器環境下的計算密碼系統算法的方法。用戶執行計算不複雜的變換，然後讓伺服器執行更計算複雜的算法。該操作的結果然後由用戶使用以利用更簡單的算法計算最終結果。在一個方面，這些文獻中描述的系統都設計得對未受託伺服器隱瞞保密密鑰。
這些公開的內容都沒有解決本發明人的發明所解決的問題，即在將計算複雜的加密算法卸載給未受託代理的同時提供端對端，用戶伺服器安全，即不洩露明碼文本該代理。
本發明概述本發明通過提供一種在用戶和伺服器之間提供保密通信的網絡結構和方法解決本領域中的某些缺陷，本發明能夠由代理伺服器執行計算複雜的加密計算，而不是由用戶執行。換句話說，本發明的方法能夠使用戶將某些計算複雜的加密計算委託給代理伺服器。委託這些計算有「削弱」用戶(例如，設備的特點是具有有限的處理能力、傳輸帶寬和/或存儲器)。委託這些計算能夠使薄弱用戶利用更先進加密算法，由此增強用戶和伺服器之間的通信鏈路安全。
本發明有利地使用戶將計算委託給未受託代理伺服器。一個未受託代理伺服器不訪問數據消息。未受託代理伺服器的使用進一步增強了在用戶和伺服器之間傳輸數據的安全。另外，本發明提供一種間接加密的系統和方法，通過利用用戶空閒計算周期和通過利用更低計算強度的密碼系統功能有效地減少了PKC算法例如RSA所需要的在用戶端的在線時間。
在本發明的一個方面，一種加密信息的方法包括步驟產生一個隨機數值；根據該隨機數值和與信息的預定接收者有關的公共密鑰來計算第二數值；利用以公共密鑰為基礎的隨機數值對該信息進行掩碼操作；傳遞被掩碼的信息和第二數值給未受託代理；和在未受託代理中根據掩碼的信息、第二數值和公共密鑰對該信息加密。該方法進一步包括將加密的信息傳遞給預定接收者的步驟。掩碼步驟可以包括用隨機數值乘以該信息。
在一個或幾個具有公共密鑰的伺服器和一個或幾個用戶之間適合保持RSA公共密鑰加密的通信對話的通信網絡環境中，本發明的另一個方面提供一種在用戶和伺服器之間傳輸信息同時利用未受託代理計算服務的方法，包括步驟在位於通信網絡中的處理器中產生一個隨機數值；在位於用戶的處理器中根據該隨機數值和與網絡上伺服器有關的公共密鑰計算第二數值；利用該隨機數值對信息消息掩碼；將掩碼後的信息消息傳輸給未受託代理；和從未受託傳輸加密的信息消息給伺服器。
另一個方面，本發明提供一種通信網絡結構，能夠在一個或幾個具有公共加密密鑰的伺服器與一個或幾個用戶之間保持RSA公共密鑰加密的通信對話，該結構包括至少一個伺服器用於保持與用戶的通信對話，該伺服器具有至少一個與之有關的公共加密密鑰；至少一個用戶，具有處理工作模塊以根據隨機數產生編碼數值和根據隨機數對信息消息掩碼，和一個通信工作模塊以傳輸編碼數值和掩碼後的信息消息給未受託代理伺服器；和一個在通信路徑上安插在伺服器和用戶之間的未受託代理伺服器，適合於從用戶接收編碼數值和掩碼後信息消息並且將該信息消息加密傳輸給伺服器。
附圖簡介通過結合附圖閱讀說明書將理解本申請人的發明，圖中圖1表示在用戶-伺服器處理器結構中的加密；圖2表示在用戶-代理-伺服器處理器結構中的加密；圖3表示在按照本申請人方面的用戶-代理-伺服器處理器結構中的加密；和圖4是按照申請人發明的方法的流程圖。
詳細說明申請人的發明在將計算複雜的加密算法卸載給未受託代理的同時實現了端對端、用戶-伺服器安全。該處理器結構在圖3中說明而按照申請人發明的方法流程圖在圖4中說明。
參照圖3，表示了按照本發明實施例的網絡結構簡化示意圖。更具體地，圖3表示了一種用戶-代理-伺服器結構，用於保持用戶310和伺服器330之間的安全加密通信對話。用戶310有利地可以將許多對用戶310和伺服器330之間的信息消息加密的計算複雜的計算委託給代理320而不洩露該信息消息內容給代理320。用戶310將加密信息消息的計算複雜的計算委託的能力使薄弱用戶能夠利用先進的加密過程例如RSA公共密鑰加密算法。這代表了薄弱用戶加密技術領域的進步。
在一個實施例中，用戶310是薄弱用戶。如同在此所使用的，屬於薄弱用戶是指具有相對有限的處理能力、傳輸帶寬和/或存儲器的信息使用方。這種薄弱用戶一般包括從其它設備收發信息流的提供通信模塊，一個處理模塊用於處理信息，和一個存儲器模塊具有有限的存儲器。薄弱用戶的典型例子包括蜂窩電話機、個人數字助理(PDA)，掌上或膝上計算機，遠程監視設備等。這些列舉並不意味著限制，本領域技術人員可以確認許多薄弱用戶的另外例子。此外，儘管當結合薄弱用戶設備時本發明特別有用，本領域技術人員可以確認本發明的方法對於薄弱用戶之外的用戶設備也適用。
伺服器330是一個能夠管理與用戶310的通信對話的伺服器。伺服器一般包括一個可編程處理器，存儲器和輸入/輸入裝置。通過存儲在伺服器存儲器並且在伺服器處理器上可運行的軟體，特定功能可以被加入到伺服器330中。伺服器330可以是例如一個應用程式伺服器，例如電子郵件伺服器或數據伺服器。替代地，伺服器330可以是到網絡中心數據中心的網關伺服器，在該情況下各種應用程式伺服器和存儲器伺服器將是數據中心中的「支援」伺服器。本領域技術人員可以確認，通信伺服器是容易商業購買的。例子包括基於Unix的伺服器，例如從昇陽電腦公司可商業購買到的伺服器，和基於Windows NT的伺服器，一般具有由英特爾公司製造奔騰處理器的或與其兼容的處理器。
代理320也可以是具有管理與用戶通信對話能力的伺服器。代理320也包括一個處理器，存儲器和輸入/輸出裝置，基本上與伺服器330的描述相同。本領域技術人員可以確認代理320可以作為伺服器330的用戶或作為用戶310的伺服器工作。
用戶310、代理320和伺服器330由通信網絡連接，該網絡優選地支持這些網絡單元之間的雙向通信。用戶310、代理320和伺服器330之間的通信鏈路可以是無線或有線，無連接或面向連接和固定或可變帶寬。另外，通信網絡可以和可能包括大量另外的網絡單元，例如交換機、路由器、多路復用器和多路分路器，這對本發明不是必要的，因此沒有圖示。將通信網絡配置得適合於實現本發明的能力是通信領域技術人員範圍內的能力。
已經闡述了適合於實現本發明的網絡結構，現在將解釋實現本發明的方法。參照圖3和4，假設M是必須利用伺服器公共密鑰[e，n]加密的保密消息。在該方法的第一步驟(步驟402)，用戶310產生一個隨機數X，其中X∈
，和計算Y＝Xe模n。隨機數X可以以任何常規方式產生，例如通過觀察適合的物理現象或從查詢表中查詢適合的數值。替代地，數值X可以是偽隨機數並且通過執行適當的算法或從查詢表中查詢適當數值產生。
數值X和Y可以有利地利用用戶處理器的空閒周期產生，但是這當然不是必要。另外，這些數值可以在用戶310脫機時產生，即沒有與代理320和伺服器330通信時。實際上，該方法的某些下列步驟也可以脫機執行，這取決於消息M的特性。
應當理解，對於出現脫機的步驟402用戶310必須知道伺服器330的公共密鑰[e，n]。這種了解可以在與伺服器330以前的對話中獲得。這種情況是常見的。例如，用戶310可以在以前與伺服器接觸期間或當伺服器公共密鑰已經安全地發布給用戶時緩存了伺服器公共密鑰。伺服器的公共密鑰也可以以其它方式輸入給用戶310，例如手工或根據配置。
在該方法的下個步驟中(步驟404)，用戶310利用隨機數X對消息M掩碼，即用戶310形成Z＝(X·M)模n。這被認為是弗納姆密碼形式，通過將它乘以一次填充密鑰對M進行加密。儘管有可能重新使用該一次填充密鑰，即對新的消息進行掩碼而不導致計算新的X，希望限制這種再次使用以便為密碼分析提供更少的資料。
如果該消息M不是在馬上傳輸給伺服器330的實時時間產生，Z計算也可以脫機發生。如同許多可能的例子，這種消息可以是對一組預定條件的預定響應。換句話說，如果消息M被產生和然後馬上傳輸，在用戶320與伺服器330通信的同時發生Z計算。如同許多可能例子，這種消息可以是語音或其它數據通信。
在建立至少與代理320的通信之後的情況下，用戶310發送數值Y和Z給未受託代理320(步驟406)。未受託代理320按照下列公式利用Z和Y計算加密後消息M｀(步驟408)(Ze模n)/Y＝((X·M)e模n)/(Xe模n)＝Me模n＝M』並且在計算之後，被加密消息M｀通過未受託代理320發送給伺服器330(步驟410)。
按照該方法，用戶310不直接計算M』，而是利用未受託代理計算能力藉助未受託代理320的幫助間接計算M』。
通信領域技術人員可以理解，本方法步驟中表示的計算可以由位於用戶、代理和/或伺服器內的一個或幾個處理器執行。執行該步驟必要的邏輯可以在硬體中執行，例如在專用處理器中，或者由通用處理器上軟體執行。通信領域技術人員能夠設計實現所公開步驟的邏輯電路而不需要太多實驗。
現在清楚，在處理由伺服器332發送給用戶320的加密後消息M』時，用戶310不能使用未受託代理320的計算能力解密，因為這似乎需要代理326可以訪問個人密鑰。因此，代理320不受託。
按照申請人發明方法的安全性是基於離格公知的密碼系統事實。第一，假設X是隨機地唯一選擇的，其中X∈
，按照上面引用的香農文章有關M的信息給定Z＝(X·M)模n為零。第二，按照上面引用的Rivest的文章，為找到X或獲得與X有關的任何信息，假設Xe模n是計算不可行的，其中[e，n]是RSA公共密鑰數值。
現在不知道這些方法是否可以應用於RSA之外的密碼系統，例如基於橢圓曲線的迪菲-赫爾曼系統和甚至對稱密碼系統，因為其它系統的數學基礎與RSA密碼系統的數學基礎不同。
與常規RSA加密比較，申請人的方法產生了發送給代理320的更大消息，在該消息中包含了Y值。只要在與伺服器開始對話之前計算，就有可能隱瞞將Y值發送給代理320產生的額外成本。
申請人的發明使具有低計算能力的設備例如薄弱終端例如移動大會及或PDA通過利用未受託代理的高計算能力具有更快的響應時間，同時保持端對端保密。沒有申請人的發明，這種設備的響應時間由於大量、耗時、在線PKC計算將更長。
前面描述了一個情況，其中薄弱用戶例如行動電話機或PDA系統利用未受託代理執行PKC。相同的方法可以用於使用不可靠高帶寬設備的智慧卡，以執行上面引用的Blaze的專利描述的加密部分。
本領域技術人員應當理解，本發明可以以其它特定方式實現而不脫離必要的特徵。上述實施例應當被認為是說明而不是限制性的。
權利要求
1.一種對信息加密的方法，包括步驟產生一個隨機數值；根據該隨機數值和有關信息的預定接收者計算第二數值；利用基於公共密鑰的隨機數值對信息掩碼；傳遞掩碼的信息和第二數值給未受託代理；和根據掩碼信息、第二數值和公共密鑰在未受託代理中對信息加密。
2.權利要求1的方法，進一步包括將加密的信息傳遞給預定接收者的步驟。
3.權利要求1的方法，其中掩碼步驟包括將信息乘以隨機數值。
4.在適合於具有公共加密密鑰的一個或幾個伺服器和一個或幾個用戶之間保持RSA公共密鑰加密的通信對話的通信網絡中，一種在用戶和伺服器之間傳輸信息同時使用未受託代理的計算服務的方法，包括步驟(a)在位於通信網絡中的處理器中產生一個隨機數值；(b)在位於用戶中的處理器中根據該隨機數值和與網絡上伺服器有關的公共密鑰計算第二數值；(c)利用該隨機數值對信息消息掩碼；(d)將掩碼的信息消息和第二數值傳輸給未受託代理；(e)在未受託代理中的處理器中對掩碼的信息消息加密；和(f)將來自未受託代理的加密後信息消息傳輸給伺服器。
5.權利要求4的方法，其中步驟(a)在位於用戶中的處理器上執行。
6.權利要求5的方法，其中步驟(a)在用戶和伺服器之間通信對話開始之前執行。
7.權利要求4的方法，其中步驟(b)在用戶和伺服器之間通信對話開始之前執行。
8.權利要求4的方法，其中步驟(b)包括從薄弱用戶之外的存儲器位置查詢與伺服器有關公共密鑰的步驟。
9.權利要求4的方法，其中步驟(c)包括執行對信息消息的光加密程序的步驟。
10.權利要求4的方法，其中步驟(c)包括計算Z＝(X·M)模n的步驟。
11.權利要求4的方法，其中步驟(e)包括計算加密後消息M』的步驟，按照下列加密公式(Ze模n)/Y＝((X·M)e模n)/(Xe模n))＝Me模n＝M』
12.一種在具有公共加密密鑰的一個或幾個伺服器和一個或幾個用戶之間能夠保持RSA公共密鑰加密的通信對話的通信網絡，包括至少一個伺服器，用於與用戶保持通信對話，該伺服器具有與之有關的至少一個公共加密密鑰；至少一個用戶，具有一個處理模塊，工作產生基於隨機數的編碼數值和根據隨機數對信息消息進行掩碼；一個通信模塊，工作將該編碼數值和掩碼的信息消息傳輸給未受託代理伺服器；和一個未受託代理伺服器，插入通信鏈路上伺服器和用戶之間，和適合於接收來自用戶的編碼數值和掩碼信息消息以對該信息消息加密傳輸給伺服器。
全文摘要
一種在用戶和伺服器之間加密數據通信的系統和方法,該系統和方法利用非受託代理伺服器執行計算複雜的加密計算,這種計算否則要由用戶執行。在傳輸數據消息給代理伺服器之前,用戶將數據消息掩蓋以致該數據消息對於非受託代理是不可判讀的。該非受託代理在將數據消息傳輸給預定用戶之前執行計算複雜的加密計算。
文檔編號H04L9/28GK1350735SQ00807398
公開日2002年5月22日 申請日期2000年4月19日 優先權日1999年5月10日
發明者C·格爾曼, L·巴裡加 申請人:艾利森電話股份有限公司