專利名稱:在公鑰密碼系統(tǒng)中跟蹤原始私鑰的可跟蹤部分的方法
技術(shù)領(lǐng)域:
本發(fā)明的目的在于提出一種由Boneh和Franklin引入的叛逆者追蹤算法的快速 替代機(jī)制����,以在公鑰密碼系統(tǒng)中跟蹤私鑰。
背景技術(shù):
考慮以下情形管理中心想要向1個(gè)接收機(jī)廣播某些數(shù)據(jù)�����,其中只有授權(quán)用戶(代 表性地����,那些已交費(fèi)的用戶)可以訪問該數(shù)據(jù)���。一種可能的解決方案,例如廣泛應(yīng)用于商業(yè) 付費(fèi)電視系統(tǒng)或安全媒體發(fā)布系統(tǒng)���,在于使用對(duì)稱密鑰加密數(shù)據(jù)并安全發(fā)送到每個(gè)授權(quán)接 收機(jī)����,該密鑰將被存儲(chǔ)在防篡改硬件部件如智能卡中�����??上?��,防篡改硬件很難設(shè)計(jì)和/或設(shè)計(jì)費(fèi)昂貴��,因?yàn)樗苋菀资艿礁鞣N各樣的攻 擊��。因此�,惡意用戶(此后稱為叛逆者)可以嘗試從其接收機(jī)找回解密密鑰并將其發(fā)布(銷 售或泄漏)給未授權(quán)用戶(盜版者)���。根據(jù)使用中的加密方案的本質(zhì)�,我們甚至可以想象到 不誠(chéng)實(shí)用戶會(huì)試圖組合多個(gè)合法密鑰以組成新的密鑰并將其嵌入盜版者接收機(jī)設(shè)備中的 情形。標(biāo)識(shí)哪些接收機(jī)是受到危害的和/或哪些秘密密鑰被泄露的問題被稱為叛逆者 追蹤����。通常,考慮兩種叛逆者追蹤模式在黑匣子模式中���,追蹤算法向欺詐接收機(jī)發(fā)送狡猾 密文且目的在于在觀察其行為的時(shí)候確定其使用哪些密鑰�;在非黑匣子模式中��,我們假設(shè) 密鑰(或它們的組合)可以從盜版者接收機(jī)提取出來并且對(duì)跟蹤算法是已知的��。Fiat和Naor[l]引入了廣播加密的概念��。在他們的模型中��,存在1個(gè)授權(quán)用 戶的集合并且廣播中心能夠動(dòng)態(tài)指定授權(quán)用戶的特權(quán)子集��,能夠解密所選密文(例如高 價(jià)值內(nèi)容)�。之后,Chor�、FiatdnNaor[2]引入了叛逆者追蹤的概念以解決在廣播加密 方案中解碼密鑰的盜版問題;他們的方案是抗k-共謀(或k-彈性)的��,在這個(gè)意義上 如果最多只有k個(gè)追蹤者則至少一個(gè)叛逆者可以很高的概率被識(shí)別出來。之后��,Naor, Naor和Lotspiech[3���,4]提出了更有效的具有追蹤能力的廣播加密方案���;但Kiayias和 Pehlivanoglu[5]表明追蹤過程的迭代性使得盜版者對(duì)一些密鑰折衷的杠桿作用顯著。Boneh和Franklin[6]提出了新的基于錯(cuò)誤校正碼和更精確的基于RS碼的公鑰叛 逆者追蹤方案�。Boneh-Franklin非黑匣子叛逆者追蹤方案是抗k_共謀的并且只要在最多 k個(gè)叛逆者共謀以獲得新的盜版者密鑰時(shí)所有的追蹤者都以概率1被識(shí)別這一意義下是具 有確定性的。廣義RS碼的背景在向量空間GF(q)1上的線性碼C是GF(q)1的子空間���。同樣的��,C具有維度 O彡2k彡1且包括q2k個(gè)碼字。C的最小距離d等于所有非零碼字的最小漢明權(quán)重���。GF(q) 上的IX2k矩陣G當(dāng)其列構(gòu)成C的線性無關(guān)基時(shí)被稱作生成器矩陣���。相反的,給定GF(q)上 的矩陣G���,我們可以將其和碼C = {ye GF(qY:y = xGwherex e關(guān)聯(lián)����。縮減奇偶校驗(yàn)矩 陣H是具有GF(q)中的元素的(l_2k)Xl矩陣�����,以使得向量ieGi^y只有當(dāng)無/^=^時(shí)是 一個(gè)碼字(即�,i e C)。當(dāng)接收噪音碼字F時(shí)�,向量? = Γ//7·被稱作校正子�����。寫成�����?二 S + F�,其中g(shù)稱作錯(cuò)誤模式,可以觀察到校正子“斥+習(xí)^" +僅僅依賴于錯(cuò)誤模式����,
而不依賴于碼字本身。廣義RS碼定義如下GRSe2k (π, c) =)����,..., Cjinl)) f(x) e GF{q){x]and deg(/) <2k-\}換言之�,碼GMf,24(元���?)是在點(diǎn)元=( ...��, )上估計(jì)并由向量����?縮放的具有嚴(yán)格
小于2k的度數(shù)的GF(q)上的f多項(xiàng)式集合���。當(dāng)5 = (1,1�,...,1)時(shí)�����,就簡(jiǎn)單地表達(dá)RS碼了�����。
發(fā)明內(nèi)容
要解決的技術(shù)問題本申請(qǐng)的目的是為Boneh-Franklin和相關(guān)方案提供新的非黑匣子叛逆者追蹤算 法�。由于其算法的復(fù)雜性�,原來的叛逆者追蹤過程,正如Boneh和Franklin所描述的,僅限 于實(shí)際情況下具有在2007可獲得的普通桌面電腦上的10000個(gè)用戶的系統(tǒng)中�����。本申請(qǐng)的益處在于在相同計(jì)算機(jī)配置上使用原來的追蹤機(jī)制的一小部分時(shí)間就 可能在達(dá)到數(shù)十億用戶的系統(tǒng)中實(shí)現(xiàn)密鑰追蹤�����。已知的叛逆者追蹤機(jī)制在本節(jié)描述原始的如Boneh和Franklin在[6]中提出的非黑匣子追蹤算法����。假 設(shè)實(shí)現(xiàn)追蹤操作的一方以某種方式獲得在Z/qZ中包括2k個(gè)元素的盜版私鑰的可追蹤部
分J =⑷,...勾廣�,其中k是在該系統(tǒng)部署之前定義的最大聯(lián)合規(guī)模且q是一個(gè)大素?cái)?shù), 通常是160比特但至少是128比特(其中q > 2127)�。我們想到系統(tǒng)包括1個(gè)接收機(jī)并用 H表示系統(tǒng)設(shè)定時(shí)間選定的廣義RS碼的奇偶校驗(yàn)矩陣。應(yīng)注意到盜版密鑰的可追蹤部分 J =㈣乂可以看作是廣義的RS碼的校正子�。在原始算法的第一步中盜版私鑰的可追蹤部分取逆為1個(gè)元素的“噪聲”向量 v=(vx,...,ve)T,以使得 i��;·// = J其中 H = [ γ ω�����,y (2)���,Y α)]τ 是廣義 RS 碼的奇偶校驗(yàn) 矩陣����;該步聚可以由對(duì)具有1個(gè)未知數(shù)的2k個(gè)線性方程系統(tǒng)求解實(shí)現(xiàn)。在矩陣B歸一化的 情況下該步驟是不必要的����。第二步是對(duì)具有1個(gè)未知數(shù)的1個(gè)線性方程系統(tǒng)求解并由觀察到在除了 k個(gè) 位置外的所有位置込=P以獲得“校正”的向量K =0^...<廣=(/( ),...��,/(~)Λ其中
f(x) e GF(q) [χ]并且deg(f) ( l_2k_l��。通過減去瓦揭示出叛逆者的標(biāo)識(shí)符���;基點(diǎn)��、 則揭示在聯(lián)合中使用的密鑰的索引i��。換言之�,其是結(jié)果向量中的第i個(gè)非零元素�。上述算法的運(yùn)行時(shí)間為0(13),即其和系統(tǒng)中用戶的數(shù)量1的立方相關(guān)���。這一運(yùn)行 時(shí)間隨著1大于10000實(shí)際上是不容許的��。即使使用在[9]中描述的所謂Berlekamp-Welch 算法的追蹤過程的復(fù)雜度為0(12)的優(yōu)化版本���,從系統(tǒng)用戶數(shù)量的角度來講追蹤能力也仍 然非常有限。發(fā)明簡(jiǎn)述由于在由一個(gè)公鑰和1個(gè)相應(yīng)的私鑰組成的公鑰密碼系統(tǒng)中跟蹤原始私鑰的可 跟蹤部分2的方法來實(shí)現(xiàn)該目的�����,私鑰由至少一個(gè)可跟蹤的具有2k個(gè)元素的 數(shù)組形成����,該數(shù)組形成由基點(diǎn)元=(巧,…���,巧)和縮放向量�����? = C2,..., Ci)定義的�、具有參 數(shù)(1����,l-2k)的廣義RS碼的校正子,該方法包括如下步驟
_獲取欺詐私鑰的可跟蹤部分J = W����,...,勾��,其中2k個(gè)元素的數(shù)組是屬于至少 兩個(gè)原始私鑰的2k個(gè)元素的數(shù)組的線性組合����,使得該線性組合的系數(shù)之和等于lmodq����,-對(duì)欺詐私鑰的可跟蹤部分萬=(《,...,使用Berlekamp-Massey算法����,以獲取 錯(cuò)誤定位器多項(xiàng)式的k個(gè)系數(shù),-對(duì)錯(cuò)誤定位器多項(xiàng)式使用Chien的搜索算法���,以獲取錯(cuò)誤定位器多項(xiàng)式的根����,-通過計(jì)算每個(gè)根的算術(shù)逆確定原始私鑰可跟蹤部分的基點(diǎn)����,這些基點(diǎn)允許唯一 地確定該私鑰。
由于附圖用框圖表示的本發(fā)明的多個(gè)步驟使得本發(fā)明的方法能夠更好的被理解�����。
具體實(shí)施例方式快速叛逆者追蹤現(xiàn)在提出這種新的快速追蹤算法��。如原始方案中所述�,在系統(tǒng)部署前,最大聯(lián)合規(guī) 模k和用戶數(shù)量1����,以及廣義RS碼的參數(shù)f和5是確定的。給定聯(lián)合T中η < k個(gè)不同的叛逆者密鑰��,盜版密鑰可以寫作 j \
d =
χ d·,
J
二 ΣξΑ/' ),其中是依賴于身份i的常數(shù)�,且其中
V=IΛ.
iJ Jξj =Imodq (1)
7=1算法的目的是找到子集Τ。本發(fā)明的主題即新的快速叛逆者追蹤算法使用2k個(gè)元素作為輸入且只要在表示 孑中有至多k個(gè)叛逆者密鑰就輸出叛逆者的身份��。新提出的算法包括2個(gè)步驟Berlekamp-Massey 算法[7]接受 2k 個(gè)元素屯�,d2,. · · d2k e Z/qZ 作為 輸入并且輸出k個(gè)元素A1, A2, ... Ak e Z/qZ����,所謂錯(cuò)誤定位器多項(xiàng)式Λ (χ)= 1+ΛιΧ+A2X2+. ..+AkXk 的系數(shù)。Chien' s的搜索[8]接受k個(gè)元素A1, Λ2����,... Ak G Z/qZ以及長(zhǎng)度為1的點(diǎn)向 量元=( ���,...,�����;τ,)作為輸入����,且輸出n彡k個(gè)錯(cuò)誤定位器多項(xiàng)式Λ (χ)的根。每個(gè)根的算術(shù) 逆然后給出所有叛逆者密鑰i e T的各個(gè)基點(diǎn)�。叛逆者的實(shí)際身份通過將用戶的身份明確地映射到相應(yīng)給定密鑰的基點(diǎn)的身份 基點(diǎn)關(guān)系表給出,反之亦然�����。該提出方法的第一個(gè)優(yōu)點(diǎn)是算法第一步獨(dú)立于系統(tǒng)中的用戶數(shù)量1且僅僅取決 于聯(lián)合規(guī)模k���,其在復(fù)雜度方面相對(duì)于系統(tǒng)中的用戶數(shù)量1是微不足道的�。第二步對(duì)1是線 性的�,但是僅僅包括很少的計(jì)算。當(dāng)前發(fā)明的第二個(gè)優(yōu)點(diǎn)是關(guān)于叛逆者聯(lián)合的必要信息直接通過應(yīng)用 Berlekamp-Massey算法從欺詐盜版密鑰的可追蹤部分萬��,《4廣中取回。因此相對(duì)于在原始的Boneh-Franklin方法追蹤過程能夠相當(dāng)快的實(shí)現(xiàn)���。新算法的總復(fù)雜性是0(1)��, 即���,在1上是線性的��。應(yīng)用領(lǐng)域本發(fā)明可以被應(yīng)用于���,而不僅限于��,付費(fèi)電視和其他數(shù)字媒體發(fā)布系統(tǒng)��,例如CD 和DVD���。數(shù)據(jù)通過使用系統(tǒng)公鑰進(jìn)行加密且通過在電子設(shè)備的防干擾存儲(chǔ)器中前述的私鑰 部分的合并給每個(gè)用戶一個(gè)不同的可跟蹤私鑰,該設(shè)備也稱作“接收機(jī)”(機(jī)頂盒���,移動(dòng)終端 或光盤播放器)����。購(gòu)買了一個(gè)或多個(gè)合法的接收機(jī)或者播放器后,非法用戶也稱作“叛逆者”��,將試 圖通過逆向工程提取私鑰信息��,即將接收機(jī)拆開并通過對(duì)接收機(jī)的功能和操作進(jìn)行分析以 發(fā)現(xiàn)密鑰資料�����。為了解密被保護(hù)的媒體��,叛逆者隨后可能利用取回的私鑰的聯(lián)合建立自己 的接收機(jī)或播放器�����。如果接收機(jī)可以用運(yùn)行在個(gè)人計(jì)算機(jī)上的軟件程序進(jìn)行仿真�,他可能 銷售它或者將其放在因特網(wǎng)上,這將導(dǎo)致傳播盜版��。媒體發(fā)布局���,在定位和回收前述盜版設(shè)備并提取盜版密鑰后����,運(yùn)行當(dāng)前揭示的快 速叛逆者追蹤機(jī)制���。參考用于說明目的的圖1��,用方框BERMA-ALG表示的Berlekamp-Massey 算法將運(yùn)行在包括2k個(gè)元素的盜版密鑰PRT-KEY的可追蹤部分并且輸出包括k個(gè)系數(shù)的 錯(cuò)誤定位器多項(xiàng)式ERR-LCR����。Chien的搜索CHN-SRCH使用錯(cuò)誤定位器多項(xiàng)式的k個(gè)系數(shù)以 及表示在系統(tǒng)中的所有用戶身份的1個(gè)元素的向量PTS$ = (^,.··�,作為輸入。進(jìn)行到 判決菱形K0RL-DST-RTS�����,確定錯(cuò)誤定位器多項(xiàng)式是否有k個(gè)或者更少的根���,這對(duì)應(yīng)于與k個(gè) 或者更少的根據(jù)(1)的原始私鑰組成的盜版私鑰。當(dāng)錯(cuò)誤定位器多項(xiàng)式具有k個(gè)或者更少 的根時(shí)����,邏輯從判決菱形K0RL-DST-RTS流向通過針對(duì)身份基點(diǎn)關(guān)系表搜索錯(cuò)誤定位器多 項(xiàng)式根的模的逆來輸出叛逆者的身份TR-ID。給定錯(cuò)誤定位器多項(xiàng)式的根P�����,使用擴(kuò)展歐 幾里德算法計(jì)算基點(diǎn)^�,即,^= P—modq。作為另一種可能性�����,我們可以將基點(diǎn)的逆包 括在身份基點(diǎn)關(guān)系表中以避免對(duì)模的逆的計(jì)算�。在相反的情況下即錯(cuò)誤定位器多項(xiàng)式具有 超過k個(gè)根時(shí),算法不可用于確定叛逆者的身份以及輸出具有超過k個(gè)原始的私鑰合并成 盜版私鑰的事實(shí)FLR-CGK�。和之前提出的技術(shù)相比本發(fā)明的主要優(yōu)點(diǎn)在于其速度,這表示實(shí)現(xiàn)快速叛逆者追 蹤的系統(tǒng)能夠被用于具有幾億個(gè)接收機(jī)的情況下����,這對(duì)于數(shù)字媒體發(fā)布系統(tǒng)如那些使用光 盤(DVD和CD)的系統(tǒng)和付費(fèi)電視系統(tǒng)而言是相當(dāng)合適的,然而之前已知的技術(shù)[6]只能用 于具有10000個(gè)用戶的情況下�,這可看作是一個(gè)嚴(yán)重的局限因素。和同樣可以用于保護(hù)光盤上數(shù)字?jǐn)?shù)據(jù)的[4]相比�����,快速叛逆者追蹤使用非黑匣子 確定性跟蹤方案�。這首先表明,密鑰資料將由媒體發(fā)布局通過逆向工程從接收機(jī)提取�����。這 一方法的優(yōu)點(diǎn)在于快速叛逆者追蹤機(jī)制的確定性性質(zhì)����,特別是直到在盜版接收機(jī)中存在k 個(gè)或者更少的欺詐密鑰的組合為止�����,叛逆者的身份都能以概率1被發(fā)現(xiàn)����。相反的����,[4]中提 出的方法在一些情況下,不能輸出叛逆者的準(zhǔn)確身份�。在確定了叛逆者并假設(shè)在叛逆者和已購(gòu)買的接收機(jī)間有關(guān)聯(lián)后,可以采用合法的 制裁來防止盜版密鑰和/或欺詐接收機(jī)公開的發(fā)布���。也可以使用其他實(shí)質(zhì)上更技術(shù)性的行 為來避免欺詐接收機(jī)進(jìn)一步訪問受保護(hù)的媒體。例如��,可以由媒體發(fā)布局在廣播加密系統(tǒng) 的環(huán)境中使用叛逆者的身份�����,來宣告叛逆者和盜版接收機(jī)的無效����。參考文獻(xiàn)
[1]A. Fiatand Μ. NaorZiBroadcast encryption",CRYPTO' 93,Lecture Notes in Computer Science 773, pp. 480-491,Springer-Verlag,1994.[2]B. Chor, A. Fiatand M. NaorZiTracing Traitors",CRYPTO' 94,Lecture Notes in Computer Science839�����,pp. 257—270���,Springer—Verlag,1994.[3]J. Lotspiech, D. Naorand M. Naor, "Method for broadcast encryption and key revocation of stateless receivers�����,�����,�,US patent , 039' 803.[4]J. Lotspiech, D.Naorand M. Naor, "Method for tracing traitor receivers in a broadcast encryption system,�����,���,US patent , 010' 125.[5]A. Kiayiasand S. Pehlivanoglu, "Pirate evolution :how to make the most of your traitor keys����,,�,CRYPTO' 07,Lecture Notes in Computer Sciences 4622�����, pp. 448-465���,Springer-Verlag,2007.[6]D. Bonehand M. Franklin��,"An efficient public-key traitor tracing scheme”����, CRYPTO' 99����, Lecture Notes in Computer Sciences 1666�����, pp. 338-353���, Springer-Verlag, 1999.[7]J. Massey, "Shift-register synthesis and BCH decoding�,,�, IEEETransactions on Information Theory,15 (1) :122-127,1969[8] Robert T. Chien ,"Cyclic Decoding Procedure for the Bose-Chandhuri-Hocquenghem codes”, IEEETransactions on Information Theory, IT-IO :357-363���,1964[9]L.Welchand E. Berlekamp��,"Error correction for algebraic block codes”�����,US Patent 4�, 633����, 470,198權(quán)利要求
一種用于在由一個(gè)公鑰和l個(gè)相應(yīng)的私鑰組成的公鑰密碼系統(tǒng)中跟蹤原始私鑰的可跟蹤部分的方法����,私鑰由至少一個(gè)可跟蹤的具有2k個(gè)元素的數(shù)組形成,該數(shù)組形成由基點(diǎn)和縮放向量定義的具有參數(shù)(l�,l 2k)的廣義RS碼的校正子,所述方法包括如下步驟獲取欺詐私鑰的可跟蹤部分其中具有2k個(gè)元素的數(shù)組是屬于至少兩個(gè)原始私鑰的具有2k個(gè)元素的數(shù)組的線性組合��,使得該線性組合的系數(shù)之和等于1mod q,對(duì)欺詐私鑰的可跟蹤部分應(yīng)用Berlekamp Massey算法�����,以獲取錯(cuò)誤定位器多項(xiàng)式的k個(gè)系數(shù)����,對(duì)錯(cuò)誤定位器多項(xiàng)式應(yīng)用Chien的搜索算法,以獲取錯(cuò)誤定位器多項(xiàng)式的根�,通過計(jì)算每個(gè)根的算術(shù)逆確定原始私鑰的可跟蹤部分的基點(diǎn),這些基點(diǎn)使得能夠唯一地確定私鑰身份��。FPA00001169656200011.tif,FPA00001169656200012.tif,FPA00001169656200013.tif,FPA00001169656200014.tif,FPA00001169656200015.tif
2.如權(quán)利要求1所述的方法�,其中廣義RS碼字在至少2127個(gè)元素的有限域上定義。
3.如權(quán)利要求1和2所述的方法��,其中每個(gè)原始私鑰被指派給一個(gè)給定身份��,所述方法 進(jìn)一步包括步驟為每個(gè)私鑰存儲(chǔ)基點(diǎn)^和相應(yīng)的身份i�,基于重新獲得的基點(diǎn)和相應(yīng)的存儲(chǔ)的身份,取回私鑰的身份��。
全文摘要
本發(fā)明的目的在于提出一種由Boneh和Franklin引入的叛逆者追蹤算法的快速替代機(jī)制在公鑰密碼系統(tǒng)中跟蹤私鑰�����。本發(fā)明涉及在由一個(gè)公鑰和l個(gè)相應(yīng)的私鑰組成的公鑰密碼系統(tǒng)中跟蹤原始私鑰的可跟蹤部分的方法�,一個(gè)私鑰由可跟蹤的2k個(gè)元素的數(shù)組形成,該數(shù)組形成由基點(diǎn)和縮放向量定義的具有參數(shù)的廣義RS碼的校正子���,該方法包括如下步驟獲取欺詐私鑰的可跟蹤部分��,在欺詐私鑰的可跟蹤部分應(yīng)用Berlekamp-Massey算法�����,以獲取錯(cuò)誤定位器多項(xiàng)式的k個(gè)系數(shù)�����,在錯(cuò)誤定位器多項(xiàng)式應(yīng)用Chien的搜索算法�,以獲取錯(cuò)誤定位器多項(xiàng)式的根����;通過計(jì)算每個(gè)根的算術(shù)逆確定原始私鑰可跟蹤部分的基點(diǎn),這些基點(diǎn)使得能夠唯一地確定該私鑰�。
文檔編號(hào)H04L9/08GK101897149SQ200880119977
公開日2010年11月24日 申請(qǐng)日期2008年12月18日 優(yōu)先權(quán)日2007年12月21日
發(fā)明者A·卡爾羅夫, P·尤諾德 申請(qǐng)人:納格拉影像股份有限公司