CN1160900C

CN1160900C - 自验证加密文本链

Info

Publication number: CN1160900C
Application number: CNB008085811A
Authority: CN
Inventors: Ej; E·J·斯普龙克; 裘欣
Original assignee: General Instrument Corp
Current assignee: Technology Holding Co
Priority date: 1999-06-08
Filing date: 2000-06-08
Publication date: 2004-08-04
Anticipated expiration: 2020-06-08
Also published as: AU5601900A; WO2000076118A1; EP1190524A1; US7450717B1; CA2373787A1; KR20020016636A; CA2373787C; CN1360771A; TW496054B; AU775055B2

Abstract

本发明通过使用加密过的信息的交迭扩展了现有的密钥加密方法。本发明还提供了***一位或多位数据以确保正确的加密/解密的方法。***的数据也可用于鉴定。

Description

自验证加密文本链

对相关申请的参考

本申请要求申请于1999年6月8日的美国临时专利申请No.60/138,412的优先权，这里通过引用整个引入此申请以用于各种目的。

发明领域

本发明一般涉及密码***并且特别地涉及有效地使用具有固定模数大小的加密密钥来加密信息的***。

发明背景

加密是将消息从明码文本转化为加密文本的过程，在此方法中，仅仅那些授权的读者才可以从加密文本中解密出明码文本。加密常常应用于保密期望从不信任信道传递的消息或者储存于不完全数据储存媒介里的消息。术语“消息”常常指发送器和接收器之间的通信，但是这里使用这个术语指需要在发送器产生或者接受这些数据的时间和/或地点与接收器接收这些数据的时间和/或地点之间被保密的任何数据。这样，消息可以是一个电子邮件通信，一个程序，一套数据，一幅图像，视作单个消息的数据对象集合，一个数据流，或者上述或相似对象的组合。

确定接收器是否有权读取或者其他方式访问消息明码文本的一种方式是使用“密钥”。典型地密钥可以由数据表示，例如一比特串。128比特密钥是一个例子，它是128比特的串。使用此方法，发送器将使用一个加密器把消息的明码文本加密为加密文本，致使加密文本的任何接收，无论授权与否，如果不知道密钥就不能从加密文本中解密出明码文本，除非花费极大的计算量和计算时间。

很容易理解，除了有限类别的加密方案例如使用一次性填充，没有密钥也可以在足够的计算量和/或计算时间里将明码文本从加密文本中提取。例如，一个攻击者(即，一个未授权的接收者)可以尝试使用每个可能的密钥连续解密。然而，在一个很好设计的加密***里，在没有密钥情况下解密所要花费的计算量大于消息解密后的价值，或者计算需要花费太多的时间，致使在此消息在被解密前已失去保密的价值。

加密***可以提供很多方面的消息安全性。一个方面是保密，其中即使读取者有了消息的加密文本，也可以保持消息的明码文本远离未授权读取者。另一个方面是认证，其中加密文本的接收者可以验证此消息是否实际声明的发送者送出。另一个方面是完整性，其中接收者可以验证在离开发送者的控制后消息是否被修改。在一些情况，仅仅使用一个方面。例如，数字签名过程产生了一个鉴定消息的数据序列并且此消息常常“在明处”发送这样任何人都可以读取此消息。这样，没有将此消息保密，但是仍然可以鉴定此消息。尽管***并不常常在储存消息或者发送消息前加密此消息，例如在数字签名的情况中，此***仍然一般指一个加密***。

加密***一般被分为私钥***和公钥***，常常各自指对称密钥***或者不对称密钥***。在私钥***里，发送者使用密钥加密消息并且接收者使用相同的密钥解密或者验证此消息。结果，必须将此密钥保持远离未授权团体。在公钥***里，密钥是一对密码对，包含一个公开部分和一个私用部分。公开部分不必要保密并且可以用作验证消息并且对消息实行其他的处理，但典型地从保密消息的加密文本中提取明码文本需要私用密钥。

一个公钥标准的例子是广泛使用的RSA标准。使用标准的公钥***的好处是很容易获得***的很多组件，例如电子邮件加密器，密钥管理器，编码器，解码器，验证器，和诸如此类。然而，许多标准加密***的一个问题是它们以每单位密钥长度的固定大小的模数操作消息，当将被发送的消息不是密钥长度的整数倍时需要填入。应该使用随机数填入，以避免不用密钥就能简单地解密消息。

在要传送的消息是密钥长度的整数倍时，对消息的加减密就不是一个问题，但当消息大小不是块大小的整数倍时，而是有0个或多个全块及一个部分块，在处理前部分块将被填满到一个整块。当处理加密消息、解密消息或者验证消息的处理量是模块数量的函数时并且当需要对一整块消息的处理量很大时，如果部分块的信息部分比块大小小得很多，处理流程将对部分块实行大量不必要的处理。

例如，块大小常常由用于加密一个块的密钥模数规定。如果密钥模数是512位，消息将被编码成512位的块。如果将被加密的消息碰巧是1025位长度，此消息将加密为3个512位的块，其中的一个将仅仅含有一个比特的消息。

发明概述

在根据本发明的一个具体实施例的一个加密***里，现有的固定密钥模数大小的加密方法将扩展为在生成加密过的消息中使用被加密消息的交迭部分。在本发明的另一方面，此加密***可以***一位或者多位数据以确保正确的加密/解密并且被***的数据可以应用于认证。

参考说明书的下面部分和附图将获得对这里揭示的本发明本质和优势的进一步理解。

附图简述

图1是可应用于实行本发明具体实施例的加密***的框图。

图2是说明加密消息的完整块和余数部分块的流程图。

图3是说明图2所示的处理流程的一种不使用附加的认证数据块的情形。

图4是说明解密图2所示的被加密消息的完整块和余数部分块的流程图。

特定具体实施例详细说明

图1是加密***10的框图，其中加密器14使用加密密钥加密消息的明码文本12，生成的加密器输出16可以是加密文本，验证数据(例如数字签名)，或者两者。加密器输出16被传送到一个信道和/或储存媒体18，其中这样的信道或者储存媒体是不可信任的并且从而认为这是不安全的。解密器20从信道和/或储存媒体18接收到加密器输出16，并且使用解密密钥，生成了明码文本或者授权指示12。

在加密/解密操作中，加密器可以加密明码文本，解密器将解密其输出而获得明码文本。在另一操作中，加密器可以生成一个数字签名，解密器可以使用此数字签名来验证消息并且发布一个授权/未授权信号。

在固定模数加密操作中，明码文本12被分成了模数大小的块并且明码文本大小不可被模数均匀整除，图2显示了对明码文本12的最后一个整块和余数部分块的加密操作。

图2是对整块和余数部分块的一系列变换，产生了数据的加密。图2(a)图示了一个消息和一个鉴定块，AB。AB可以表示为关于消息的数据元素的数目。在一个例子里，AB是一个零位或零字节(用于防止溢出)，一个单元标识地址(例如一个MAC地址)，一个序列数(为了防止回放攻击)和关于消息的其他数据的串联。在下面的说明中，下面的变量用于表示不同元素的长度：

AB_len AB域的长度

Payload_len 被编码的数据的长度(一个整块和一个部分块)

Enc_len 编码操作中使用的块长度

如图2(b)中所示，加密器逻辑上把消息分割成一个主有效负载payload M和一个剩余有效负载R，其中此分割使M的长度len(M)满足len(M)+AB_len＝Enc_len。此分割使R的长度，R_len＝Payload_len-len(M)＝Payload_len-Enc_len+AB_len。

如图2(c)所示，使用一个加密密钥encKey_e加密AB||M(其中“||”是串联运算符)以产生加密文本域C，其中len(C)＝Enc_len。在一实施例中，可以使用一种RSA编码过程编码此块。例如，C可以是(AB||M)^encKey_e modmodulus_n，其中Enc_len的结果值可以表示为小于moludus_n的唯一数。如这里所使用的，长度可以以任何单位，但是数据长度的一般度量单位是比特。

如图2(d)所示，C接着被分成了两个区域，C1和C2，其中C1和C2的长度满足如下等式：

len(C2) ＝Enc_len-A2_len-Len(R)

＝2*Enc_len-A2_len-Payload_len-AB_len

len(C1) ＝len(C)-len(C2)

其中A2_len是图2(e)中所示的A2的长度。

由于消息A2||C2||R的长度是Enc_len，可以使用encKey_e加密此串联的消息以产生剩余加密文本RC。如图2(f)所示，可以将C1和RC提供给解密器。

可以选择性地***二级鉴定块，例如图2(e)中的A2。当没有使用A2时，鉴定块AB将鉴定R，由于交迭，从而AB的密码字效果可以从与R组合的加密文本C2中获得，并在图2(e)-(f)中显示了C2被加密的过程。只要C2里有足够的位用于传递有效加密的效果(例如，C2有128位或者更多)，在不需要在生成RC时***A2。然而，当C2太小时使用A2将很有用。从而，应该理解，len(A2)的范围可以从零到某些正数。图3说明了传递效果。

图4是说明如何解密如图2所示的被加密的消息的一个整块和剩余块的流程图。如图4(a)-(b)所示，接收到的块被分成C1部分和一个RC部分。由于len(RC)＝Enc_len，仅仅知道len(C1||RC)和Enc_len，解密器可以合适地将输入分割成C1和RC。

如图4(c)-(g)所示，RC被解密并且分割成A2，C2和R。如果解密器知道A2_len和len(R)或Payload_len，Enc_len，AB_len就可实行分割，从Payload_len，Enc_len，AB_len中可以计算出len(R)。如果使用了A2并且不能验证A2，此消息被丢弃了。否则，消息被解析为C1和C2。

一旦C1和C2被识别，可以串联它们以形成C，接着可以解密C以生成AB和M。最后，可以合并M和R以重新建立原始的明码文本消息。如果不能验证AB，丢弃此消息。一种未验证消息的情况是密钥序列的值储存于AB里并且此消息有一个小于以前收到的序列数或者相对以前收到的序列数显得无序的序列数。

在解密过程里，(参考图4(C))，解密器验证A2并且如果A2不是预期的则丢弃此消息。一种导致A2为未预期值的原因是当加密文本消息从加密器传送到解密器之间，加密文本消息被改变了。在一个实施例中，A2是简单的空值，例如一个“0”位或者一个“00”字节。因为在C和RC之间关于C2的某些交迭，R的鉴定可以仅仅通过验证A2是如预料的并且AB是如预料的。实际上，这允许了仅仅使用一个鉴定块AB鉴定两个块，导致了节省带宽和处理量。在实行中，用于验证部分块AB的强度是与交迭的量，即len(C2)。交迭len(C2)有关最好至少128位。

上述***的一个用处是安全地传递密钥到远端的仅能通过不可信任通信信道访问的保密芯片。

尽管已经其参考具体实施例说明了本发明，但这些实施例仅仅是说明性的，并且不应该是对本发明的限制，本发明的范围将由权利要求单独确定。

Claims

1.一种在可被鉴定的消息中加密信息的方法，其特征在于，所述方法包括：

为将被加密的信息增加第一鉴定块，以形成一个串联域；

当串联域的大小不是正好是预定块长度的整数倍时，逻辑上把串联域细分成预定块长度，并包括一个剩余域；

使用密钥对细分出的域进行加密，以形成加密块；

指定加密块中的一个作为指定加密块，其它的加密块作为非指定加密块；

将指定加密块再细分成一个第一部分和一个第二部分，使得第二部分和剩余域和第二鉴定块的组合长度为所述预定块长度；

使用所述密钥加密第二部分和剩余域以及第二鉴定块，以形成一个加密剩余块；以及

至少提供指定加密块的第一部分、非指定加密块和加密剩余块作为消息，使得能够通过解密第一鉴定块或第二鉴定块的有效鉴定块来鉴定所述消息。

2.如权利要求1所述的方法，其特征在于，所述第二鉴定块包括一位或多位，所述第二部分至少为128位。

3.如权利要求1所述的方法，其特征在于，所述第二鉴定块包括形成零值的一位或多位。

4.一种在可被鉴定的消息中加密和解密信息的方法，其特征在于，所述方法包括：

为将被加密的信息增加第一鉴定块，以形成一个串联域；

使用密钥对细分出的域进行加密，以形成加密块；

至少提供指定加密块的第一部分、非指定加密块和加密剩余块作为消息，使得能够通过解密第一鉴定块或第二鉴定块的有效鉴定块来鉴定所述消息；

至少解密加密剩余块，以获得第二鉴定块的表示(representation)；

通过比较第二鉴定块的表示与第二鉴定块的期望值来鉴定消息；

解密加密块，以至少获得第一鉴定块的表示；以及

通过比较第一鉴定块的表示和第一鉴定块的期望值来进一步鉴定消息。