加密装置、解密装置和加密系统的利记博彩app

专利名称：加密装置、解密装置和加密系统的利记博彩app
技术领域：
本发明涉及一个加密系统，特别涉及利用基于NTRU加密方法的加密算法的加密系统。
背景技术：
利用公开密钥加密的加密通信是实现一个发送装置与一个接收装置之间的保密通信的方法之一。在公开密钥加密系统中，该发送装置利用该接收装置所拥有的一个公开密钥来加密该通信内容并将它发送到该接收装置，而该接收装置则接收该已加密内容并通过采用它自己的私钥对其解密来获得该原始内容。举例来说，这种方法被详细公布在Tatsuaki Okamoto和Hirosuke Yamamoto的《现代加密学(Modern Cryptography)》(SangyoTosyo的《Mathematics in Information Science(信息科学中的数学)》丛书，1997)中。
在利用这种方法的公共加密系统中存在多个发送装置和接收装置。这些发送装置首先获取该目的地接收装置所拥有的一个公开密钥。该公开密钥和该目的地接收装置所拥有的私钥配成一对，并在该加密系统中公布。然后，该发送装置利用如上获得的公开密钥来加密并发送要进行通信的数据，而该接收装置则接收由该发送装置加密的电信数据，利用它自己的私钥解密该数据并获得该原始数据。
这里，如果该目的地接收装置所拥有的私钥被泄漏，该加密系统便不再安全。因为，利用该目的地接收装置所拥有的公开密钥来加密的通信内容能够由具有该已泄漏私钥的局外人员解密。所以，该接收装置所拥有的私钥就需要处于严格的控制之下以使它不被泄漏给局外人员。
但是，存在由于意外而泄漏该私钥的可能性。所以，在该接收装置所拥有的私钥被泄漏或发生任何这类怀疑的情况下，必须停止使用与该已泄漏私钥配对的公开密钥。
作为这类方法的示例，这里建议这样一种方法它在该接收装置所拥有的私钥被泄漏时，利用被称为证书取消清单(CRL)的数据结构来停止使用与该已泄漏私钥配对的公开密钥。举例来说，这种方法被发表在Shinichiro Yamada的论文“数字签名与加密技术(Digital Signature andCryptographic Technology)”中(见Trans.Pearson Education Inc.，1997pp.159-214)。
另一个示例是，在DTCP(数字发送内容保护消息)中建议一种使用SRM(系统可更新性消息)的方法，该方法被用于保护在遵守IEEE(电机及电子工程师学会)1394标准的串行总线上发送的数字内容。采用SRM，就能够在该接收装置所拥有的私钥被泄漏时停止使用该接收装置所拥有的公开密钥。举例来说，这种方法被发表在““Digital Transmission ContentProtection Specification Revision 1.2”(数字发送内容保护规范，版本号1.2(信息版)在线2001年7月11日2002年9月13日搜索，因特网<URLhttp//www.dctp.com/data/info_dtcp_v1_12_20010711.pdf>。
下面简单地说明这些方法。
该公开密钥与识别拥有它的人或对象的辨识信息相关，而且它被变换成为由可靠的第三方附加了一个序列号或类似信息的一种格式。此外，该第三方的数字签名被附加到该公开密钥以防止其他人试图进行篡改。这种数字签名被称为一个公开密钥证书。在由该第三方发布的CRL与SRM中，记载了其使用由于该私钥被泄漏或类似原因而必须被停止的公开密钥的公开密钥证书的序列号。所以，能够通过检查该CRL和SRM中记载的序列号来停止使用与已泄漏私钥配对的公开密钥。
这里，考虑的是将这种方法应用于对该发送装置和该接收装置之间的加密通信进行加密的系统。该发送装置确认该目的地接收装置的公开密钥证书的数字签名，根据该公开密钥证书获得该公开密钥和该序列号，并且也获取由该第三方发布的CRL和SRM。然后，该发送装置在所获得的公开密钥证书的序列号被包含在该CRL和SRM中时停止使用该公开密钥。于是，当该接收装置所拥有的私钥被泄漏时，与该已泄漏私钥配对的公开密钥的使用就被停止。因此，就能够实现该发送装置与该接收装置之间的安全加密通信。
不过，使用上述CRL和SRM的方法也存在如下问题。
(1)在不能获得已更新CRL及SRM时，即使该接收装置所拥有的私钥被泄漏，该发送装置也不总是能够停止使用该接收装置所拥有的公开密钥。所以，若采用传统技术，就存在该发送装置所发送的加密通信的内容被由具有该已泄漏私钥的局外人员所操作的接收装置加以解密的危险。就是说，在发送数字作品(譬如音乐)的情况下，存在该私钥被泄漏时无法防止该发送方的损失的危险。
(2)一般希望定期更新该密钥以便保证该加密通信的安全性。但是，若采用传统的技术，就很难促使操作该接收装置的用户更新该密钥，因为该接收装置能够在不定期更新该密钥的情况下正常工作。
(3)需要该可靠的第三方发布该CRL及SRM。
下面详细地说明上述的问题(1)、(2)与(3)。
首先，对利用该CRL与SRM的方法存在这样一种情况尽管该接收装置所拥有的私钥已被泄漏，但由于该发送装置不能获得已更新CRL及SRM，所以该接收装置所拥有的公开密钥的使用无法被停止。举例来说，这里讨论数字化电影内容数据被录制到存储媒体(譬如一个DVD数字通用光盘)的一个系统。该电影内容数据采用每个播放器(即一个接收装置)的一个加密密钥来进行加密，而且被录制到一块光盘。该播放器具有与该加密密钥对应的一个解密密钥，解密被录制在该光盘上的加密电影内容数据并重放该电影。一个播放器是一个未经鉴别的装置，的目的在于阻止由上述播放器进行的重放，而说明上述播放器的公开密钥的CRL及SRM则被录制在诸如DVD之类的存储媒体上再加以发行。
假设业已证实该接收装置的私钥已被泄漏。从现在开始，其中补充记载了该接收装置的公开密钥证书的序列号的已更新CRL及SRM就被录制到该DVD并加以发行。但是，在以前发行的DVD上，只录制了旧版本的CRL及SRM，而最近的公开密钥证书的序列号未被录制。故而，该发送装置不一定能停止使用该未鉴别接收装置所使用的公开密钥，因为只要前者还使用具有旧信息的DVD，也就只能获得旧版本的CRL及SRM。
而且，在利用SRM的DTCP标准中，该装置拥有的旧版本SRM被更新为经由IEEE 1394串行总线连接的装置之间的其他装置所拥有的新版本。就是说，由于这个系统，一个新版本的SRM不仅能够从该存储媒体(譬如DVD)中获得，而且也能够从其他装置获得。但是，这个系统不能完全保证获得最新版本的SRM。所以，该发送装置不一定能够停止使用该接收装置所拥有的公开密钥。故而，该发送装置发送的加密通信的内容就有被具有该已泄漏私钥的局外人员不断解密的危险。就是说，在发送数字作品(譬如音乐)的情况下，当该私钥被泄漏时，存在无法防止该发送方的损失的危险。
第二，采用利用该CRL及SRM的方法，很难促使操作该接收装置的人员更新它自己的公开密钥或私钥。这归因于如下事实在该发送装置停止使用该接收装置所拥有的公开密钥之前，该接收装置能够继续利用该CRL及SRM来完全解密这些加密通信。
采用该传统技术，就一直需要从该第三方获得最新版本的CRL及SRM来停止使用与该已泄漏私钥配对的公开密钥，而且要检查该CRL及SRM中记载的序列号。但是，一般说来也存在许多情况，在这些情况下，因为从该服务商获得最近版本的CRL及SRM很麻烦，所以一位操作该发送装置的人员不采用检查该CRL及SRM的知识或忽略该检查来执行加密通信。这是因为在该发送装置获得该接收装置使用的公开密钥时，无论该发送装置还是该接收装置在运行时通常都不会定期更新该密钥，而且都不检查该CRL及SRM就执行加密通信。当该发送装置不检查该CRL及SRM就执行加密通信时，由于该接收装置通常运行时不会定期更新该密钥，所以操作该接收装置的人员将不更新它自己的公开密钥/私钥。也可以设想使用如下的方法为该公开密钥证书设置一个有限时段以使该发送装置停止使用其有效时段已失效的公开密钥，而且，只要该接收装置不更新该密钥，该发送装置就不执行向该接收装置的加密通信。但是，在这种情况下，也存在和利用该CRL及SRM的情况一样的许多情况，即操作该发送装置的人员在执行加密通信时要么不知道检查该有效时段，要么忽略了该检查。结果，由于该接收装置通常运行时不会定期更新该密钥，所以操作该接收装置的人员也不会定期更新他自己的公开密钥/私钥。
最后，如果采用利用CRL及SRM的方法，就要预先假定该CRL及SRM由该可靠的第三方发布。但问题是，必须假设存在这种CRL及SRM。

发明内容
可以认为本发明已经考虑到前面所述的情形，的第一个目的是提供加密装置、解密装置以及加密系统，能够防止由该发送装置执行的加密通信内容被具有已泄漏私钥的局外人员不断解密。
第二个目的是提供加密装置、解密装置以及加密系统，在发送数字作品(譬如音乐)的情况下，当该私钥被泄漏时，能够防止该发送方的损失。
第三个目的是提供加密装置、解密装置以及加密系统，能够促使操作该接收装置或该发送装置的人员分别更新这些密钥。
第四个目的是提供加密装置、解密装置以及加密系统，在该发送装置执行加密通信时，不需要由该第三方发布的SRL及SRM。
根据本发明的、用于通过加密明文来生成一个加密文本的加密装置包括一个存储单元，用于存储一个加密密钥和一个参数，该参数适用于解密装置并改变解密该加密文本时的解密错误概率；一个加密单元，用于根据加密算法、利用该存储单元中所存储的加密密钥和参数、由该明文生成该加密文本，该加密算法在解密该加密文本时按照该参数的值来改变该解密错误概率；以及，一个更新单元，用于更新该存储单元中所存储的参数。最好，该更新单元随时间的推移来更新该存储单元中所存储的参数。
所以，能够通过随时间推移而更新该参数来防止该解密装置正确加密该加密文本。于是，由局外人员企图敌意使用该已泄漏私钥(解密密钥)来操作的接收装置就不能解密由该发送装置发送的加密通信的内容。因此，当该私钥被泄漏时，就能够防止由具有该已泄漏密钥的局外人员操作的接收装置不断解密该加密通信的细节。举例来说，在发送数字作品(譬如音乐)的情况下，这样就能够在该私钥被泄漏时，防止该发送方的损失。
而且，在执行解密时，一位普通用户操作的接收装置不能解密该加密通信内容的概率会增加。
另外，在执行该加密通信时，该发送装置不需要该第三方发布的CRL及SRM。
根据本发明其他方面的、用于解密加密文本的解密装置包括一个解密单元，用于利用一个解密密钥、从根据加密算法生成的加密文本生成一个解密文本，该算法按照一个参数的值来改变解密该加密文本时的解密错误概率；一个判断单元，用于判断是否正确获得了该解密文本；一个解密密钥更新请求单元，用于根据该判断单元所作的一个判断结果来请求一个加密装置去更新该解密密钥；以及，一个参数初始化请求单元，用于请求该加密装置将该参数值改变为初始值，在解密该加密文本时，该初始值能够将该解密错误概率降低到不造成实际问题的程度。
于是，当该解密文本无法被正确获得时，该解密密钥就被更新。所以，就能够促使该接收装置或操作该接收装置的用户来更新该密钥。
根据本发明其他方面的加密系统包括一个用于通过加密明文来生成一个加密文本的加密装置，以及一个用于通过解密该加密文本来生成一个解密文本的解密装置。
该加密装置包括一个存储单元，用于存储一个加密密钥和一个参数，该参数适用于该解密装置并改变解密该加密文本时的解密错误概率；一个加密单元，用于根据加密算法、利用该存储单元中所存储的加密密钥和参数、从该明文生成该加密文本，在解密该加密文本时，该加密算法按照该参数的值来改变该解密错误概率；以及，一个更新单元，用于更新该存储单元中所存储的参数。
该解密装置包括一个解密单元，用于利用一个解密密钥从该加密文本生成一个解密文本；一个解密密钥更新请求单元，用于请求该加密装置来更新该解密密钥；以及，一个参数初始化请求单元，用于请求该加密装置将该参数的值更新为初始值，该初始值将该解密错误概率降低到低于或等于预定值的一个值。
最好，该加密装置还包括一个密钥更新单元，用于从该解密密钥更新请求单元接收更新该解密密钥的请求，并按照该更新请求来更新该加密密钥和解密密钥；以及，一个参数初始化单元，用于从该参数初始化请求单元接收初始化该随机参数的请求，对该初始化请求作出响应并将该随机参数设定为该初始值，该初始值可以将该解密错误概率降低到低于或等于预定值的值。而且，该解密密钥更新请求单元和该参数初始化请求单元也分别向该加密装置发送一个更新该解密密钥的请求和一个初始化该参数的请求，并同时发送一个支付预定金额的请求，并且，该密钥更新单元只是在该解密密钥更新请求单元支付了该预定金额时才更新该加密密钥和该解密密钥，该参数初始化单元只是在该参数初始化请求单元支付了该预定金额时才将该随机参数设定为该初始值。此外，该明文是内容数据，而且，当该预定金额已支付时，该更新单元在一个预定时段内不执行该随机参数的更新。
于是，举例来说，通过利用该接收装置不能解密该加密通信内容的概率逐渐上升的趋势，就能够在时段内免费分配该内容数据，允许该接收装置只在费用支付后才更新该密钥，从而提供能用于该内容数据传送的加密系统。
如上所述，可以认为本发明考虑到了该传统系统中的上述问题，并提供了发送装置随时间推移而增加该随机参数、利用NTRU加密方法进行加密通信的加密系统。于是，就能够阻止该接收装置在时间增加时正确解密该加密通信的内容。
按照这种方法，在该发送装置执行该加密通信时，由企图敌意使用该已泄漏私钥的局外人员操作的接收装置就不能解密该加密通信的内容。于是，在该私钥被泄漏时，就能够防止该加密通信的内容被由具有该已泄漏私钥的局外人员操作的接收装置不断解密。这样，在发送数字作品(譬如音乐)的情况下，当该私钥被泄漏时，就能够防止该发送方的损失。
由该普通用户操作的接收装置在它解密由该发送装置发送的加密通信内容时，不能执行解密的概率逐渐增加。故而，就能够促使该接收装置或操作该接收装置的用户更新该密钥。
此外，当该发送装置执行该加密通信时，不需要该第三方发布的CRL及SRM。
还有，举例来说，利用不能解密该加密通信内容的概率逐渐上升的趋势，还能够提供适用于该内容数据传送的加密系统，该内容数据于预定时段内被免费分配，而该密钥只在该费用被支付后才加以更新。
于是，本发明实现了在该加密系统中，特别是在一个具有高安全性的加密系统中的密钥定期更新。所以，在信息通信技术与计算机被广泛普及的今天，具有很高的实用价值。
关于本申请的技术背景的更多信息，特此参考编入2002年10月9日归档的日本专利申请号2002-296219。


本发明的这些以及其他的目的和特征将在此后接合为演示本发明的一个特定实施例而附的附图所进行的说明中变得显而易见。这些附图包括图1是一幅流程图，表示根据本发明的诸实施例的随机数多项式生成处理的流程。
图2是一幅示意图，表示根据本发明的第一实施例的一个加密系统1的结构。
图3是一幅示意图，表示根据本发明的第一实施例的一个发送装置110的结构。
图4是一幅示意图，表示根据本发明的第一实施例的一个参数存储单元112的结构。
图5是一幅流程图，表示由根据本发明的第一实施例的发送装置110所执行的加密通信的流程。
图6是一幅流程图，表示由根据本发明的第一实施例的发送装置110所执行的、用于更新随机参数的处理流程。
图7是一幅流程图，表示由根据本发明的第一实施例的发送装置110所执行的、用于更新公开密钥的处理流程。
图8是一幅框图，表示根据本发明的第一实施例的一个接收装置120a的结构。
图9是一幅流程图，表示由根据本发明的第一实施例的接收装置120a所执行的解码处理流程。
图10是一幅流程图，表示由根据本发明的第一实施例的接收装置120a所执行的、用于更新一个密钥的处理流程。
图11是一幅示意图，表示在一种NTRU加密方法中测量解密错误概率的一个结果。
图12是一幅示意图，表示根据本发明的一个第二实施例的一个加密系统2的结构。
图13是一幅示意图，表示根据本发明的第二实施例的一个内容服务器210的结构。
图14是一幅示意图，表示根据本发明的第二实施例的一个参数存储单元212的结构。
图15是一幅流程图，表示由根据本发明的第二实施例的内容服务器210所执行的加密通信处理流程。
图16是一幅流程图，表示由根据本发明的第二实施例的内容服务器210所运行的、用于更新一个随机参数的处理流程。
图17是一幅流程图，表示由根据本发明的第二实施例的内容服务器210所执行的、用于更新一个公开密钥的处理流程。
图18是一幅示意图，表示根据本发明的第二实施例的一个密钥服务器220的结构。
图19是一幅流程图，表示由根据本发明的第二实施例的密钥服务器220所执行的处理流程。
图20是一幅示意图，表示根据本发明的第二实施例的一个接收装置230的结构。
图21是一幅流程图，表示由根据本发明的第二实施例的接收装置230所执行的解密处理流程。
图22是一幅流程图，表示由根据本发明的第二实施例的接收装置230所执行的、用于更新一个密钥的处理流程。
图23A是一幅示意图，表示正确解密内容的结果。
图23B是一幅示意图，表示错误解密这些内容的结果。
具体实施例方式
下面参考这些附图来详细说明根据本发明的诸实施例。
根据本发明的加密系统采用NTRU加密方法来作为公开密钥加密方法的一个示例。NTRU加密方法利用多项式计算来执行加密和解密。关于NTRU加密方法，基于NTRU加密方法来生成该公开密钥和该私钥的方法在Jeffery Hoffstein，Jill Pipher和Josephe H.Silverman的“NTRU一种基于环的公开密钥加密系统(NTRUA ring based public keycryptosystem)”中有详细的说明(见Lecture Notes in Computer andScience，1423，pp.267-288，Springer-Verlag，1998)，所以，这里省略了详细的说明，下面只是简单地解释NTRU加密方法。
NTRU加密方法具有整数系统参数N、p和q。在上述参考文献中，三个示例被引用来作为这些系统参数的示例(N，p，q)＝(107，3，64)、(N，p，q)＝(167，3，128)、(N，p，q)＝(503，3，256)。
根据本发明的加密系统的实施例描述了考虑系统参数N的情况，其中N＝167。
NTRU加密方法是一种利用多项式计算来执行加密和解密的公开密钥加密方法。首先，NTRU加密方法中使用的多项式公式是一个n次多项式，根据系统参数N，其中“n”小于或等于(N-1)。举例来说，当N＝5时，该公式是一个n次多项式，其中“n”小于或等于4，譬如“X^4+X^3+1”。这里，“X^a”是指X的a次方。用于加密和解密的一个公开密钥h、私钥f、明文m、随机数r和加密文本c中的任何一个都被分别表示为n次多项式，其中“n”小于或等于(N-1)(下文被分别称为公开密钥h、私钥多项式f、明文多项式m、随机数多项式r和加密文本多项式c)。这里，该系统参数N是167。所以，假设该明文m采用二进制表达式来表示，就能够表示相当于167位的信息。这里，该明文多项式m采用128作为明文m的位来表示，这是2的二进制指数中不超过167的最大值。
对系统参数N，为使该多项式始终是一个n次多项式，该多项式的运算采用相关表达式X^N＝1来进行，其中“n”小于或等于(N-1)。举例来说，当N＝5时，一个多项式“X^4+X^2+1”和一个多项式“X^3+X”的乘积按照如下方法运算多项式的相乘采用“×”表示，一个整数和一个多项式的相乘采用“·”表示，而且具有方程X^5＝1，所以该多项式始终是一个n次多项式，其中“n”小于或等于(N-1)。
(X^4+X^2+1)×(X^3+X)＝X^7+2·X^5+2·X^3+X＝X^2×1+2·1+2·X^3+X＝2·X^3+X^2+X+2在执行编码时，利用下面描述的随机数多项式r和公开密钥多项式h对明文多项式m执行一个加密算法E，从而生成一个加密文本多项式c＝E(m，r，h)，其中算法E本身就是一种多项式计算。这里，E(m，r，h)是基于NTRU加密方法将明文多项式m、随机数多项式r和公开密钥多项式h输入该加密算法E所得的一个多项式计算结果。关于加密算法E，在上述参考文献中已作了详细说明，所以，这里不再重复解释。
在NTRU方法中，预先确定了一个用于生成随机数多项式r的参数d(d是一个整数)，该随机数多项式的生成要使“d”个系数等于1，另外“d”个系数等于-1，其他系数等于0。就是说，随机数多项式r是一个n次多项式，其中“n”小于或等于(N-1)，从0次方(常数项)到(N-1)次方有“N”个系数。随机数多项式r被选择得使“N”个系数中有“d”个系数等于1，另外“d”个系数等于-1，而(N-2d)个系数等于0。根据上述参考文献，在对参数N定义N＝167时，定义了d＝18。就是说，随机数多项式r被选择得使18个系数等于1，另外18个系数等于-1，而131(＝167-36)个系数等于0。
举例来说，随机数多项式r根据图1所示的算法来生成。首先，随机数多项式r中的全部“N”个系数被设置为0(步骤S271)。然后，生成一个范围从0到(N-1)的整数随机数t(步骤S273)。为了生成该随机数，采用一个rand函数，这是一个由C编程语言运行的标准库函数。然后，根据所生成的随机数t来检查随机数多项式r中的“t”次方项系数是否指示为1(步骤S274)。如果它指示为1(步骤S273中的“是”)，就再次重复该随机数生成处理(步骤S273)。如果它指示为0(步骤S273中的“否”)，随机数多项式r中的“t”次方项的系数就被设置为1(步骤S275)。重复该处理直到随机数多项式r中有“d”个系数等于1为止(步骤S272～S276)。
然后，生成范围为0到(N-1)的整数随机数t(步骤S278)。根据所生成的随机数t来检查随机数多项式r中的“t”次方项系数指示为1还是-1(步骤S279)。如果它指示为1或-1(步骤S279中的“是”)，就再次重复该随机数生成处理(步骤S278)。如果它指示为0(步骤S279中的“否”)，随机数多项式r中的“t”次方项的系数就被设置为1或-1(步骤S280)。重复该处理直到随机数多项式r中有“d”个系数等于-1为止(步骤S277～S281)。随机数多项式r就按上述方法来生成。
在解码时，利用私钥多项式f对该加密文本多项式c执行解密算法D以便生成解密文本多项式m’＝D(c，f)，其中D是多项式计算。这里，D(c，f)是根据NTRU加密方法将加密文本多项式c和私钥多项式f代入解密算法D所得的多项式计算结果。关于解密算法D，上述参考文献中有详细的说明，所以这里不再重复解释。
同时，采用NTRU加密方法时，会出现解密文本多项式m′不同于明文多项式m的情况。在这种情况下，不可能在解码时正确获得明文多项式m。这是被称为“出现一个解密错误”的状态。解密错误的出现取决于随机数多项式r、明文多项式m、公开密钥多项式h和私钥多项式f的组合。更精确地讲，公开密钥多项式h是作为计算私钥多项式f和随机多项式g的结果而生成的。随机数多项式(p·r×g+f×m)是随机多项式g、随机数多项式r、明文多项式m和私钥多项式f的计算结果，当它的系数值不显示成范围为-q/2到q/2的值时，就会出现解密错误。不存在防止该解密错误出现的方法，但是，根据上述参考文献可以指出，在N＝167的情况下定义d＝18时，实际上几乎不会出现这种错误，而且不会出现问题。
第一实施例根据本发明第一实施例的加密系统1的整体结构如图2所示。
加密系统1是一个用于对明文多项式m执行加密通信的系统，包括一个发送装置110和多个接收装置120a、120b及120c。发送装置110和接收装置120a、120b及120c经由一个发送线路130互相连接。
下面详细说明发送装置110的部件以及接收装置120a的部件，这里假设发送装置110执行与选自多个接收装置的接收装置120a的加密通信。
如图3所示，发送装置110包括一个明文输入单元111、一个参数存储单元112、一个定时器单元113、一个参数控制单元114、一个随机数生成单元115、一个加密单元116、一个发送单元117和一个密钥更新单元118。
明文输入单元111向加密单元116输出从外部输入的明文多项式m。
参数存储单元112将接收装置120a的惟一号IDa、接收装置120a的一个公开密钥多项式ha以及一个随机参数da作为一组数据DTa＝(IDa，ha，da)加以存储(接收装置120b和120c按照相同的方法分别存储数据DTb＝(IDb，hb，db)和数据DTc＝(IDc，hc，dc))。这里，随机参数da是一个用来生成供加密所用的随机数多项式r的参数，表示随机数多项式r中等于1的系数数目和等于-1的系数数目。至于随机数参数da的初始向量，定义为da＝18。
定时器单元113每天生成一个时间信号，并将它输入到参数控制单元114。
参数控制单元114在从定时器单元113接收到该时间信号时，将参数存储单元112中存储的随机参数da的值增加1(随机参数db和dc的值按照相同的方法增加)。
随机数生成单元115从参数存储单元112读出接收装置120a的随机参数da，然后根据随机参数“da”随机地生成随机数多项式r，其中“da”个系数等于1，另外“da”个系数等于-1，其他系数等于0。生成随机数多项式r的方法如上所述。然后，随机数生成单元115将所生成的随机数多项式r输出到加密单元116。
加密单元116预先具有基于NTRU加密方法的加密算法E。
加密单元116从明文输入单元111接收明文多项式m，从参数存储单元112读出接收装置120a的公开密钥多项式ha，并从随机数生成单元115接收随机数多项式r。加密单元116将所生成的加密文本多项式(m，r，ha)输出到发送单元117。
发送单元117经由发送线路130将加密文本多项式(m，r，ha)发送到接收单元120a。
密钥更新单元118能够经由发送线路130分别从接收装置120a、120b和120c接收诸惟一号和诸新公开密钥多项式。在接收接收装置120a的惟一号和公开密钥多项式ha′时，密钥更新单元118将数据DTa＝(IDa，ha，da)更新为DTa′＝(IDa，ha′，da′)。这里da′是定义为da′＝18的随机参数的初始值(在从接收装置120b和120c接收惟一号和公开密钥多项式时，密钥更新单元118分别将数据DTb更新为数据DTb′，将数据DTc更新为数据DTc′)。
上述发送装置110平行地异步执行下述加密通信处理、随机参数更新处理和公开密钥更新处理(可以按照任何顺序执行)。
下面分别说明上述三类处理的运行情况。
一开始，先参考图5所示的流程图来说明该加密通信处理的运行情况。
首先，随机数生成单元115从参数存储单元112读出接收装置120a的随机参数da(步骤S101)。然后随机数生成单元115根据从参数存储单元112读出的随机数da来随机地生成随机数多项式r，其中“da”个系数等于1，“da”个系数等于-1，其他系数等于0，而且将所生成的随机数多项式r输出到加密单元116(步骤S102)。生成随机数多项式r的方法如参考图1所述。
然后，加密单元116从明文输入单元111接收明文多项式m，并从参数存储单元112读出接收装置120a的公开密钥多项式ha。此外，加密单元116从随机数生成单元115接收随机数多项式r(步骤S103)。然后，加密单元116利用随机数多项式r和公开密钥多项式ha、并通过对明文多项式m执行加密算法E来生成加密文本多项式E(m，r，ha)，而且将所生成的加密文本多项式E(m，r，ha)输出到发送单元117(步骤S104)。
发送单元117在经由发送线路130将所接收到的加密文本多项式E(m，r，ha)发送到接收装置120a后结束该处理(步骤S105)。
下面参考图6所示的流程图来说明发送装置110所执行的随机参数更新处理。
在从定时器单元113接收到该时间信号时(步骤S111中的“是”)，参数控制单元114使参数存储单元112中存储的随机参数da增加1(随机参数db和dc按照相同的方法增加1)，并终止该处理(步骤S112)。在参数控制单元114没有从定时器单元113接收该时间信号时(步骤S111中的“否”)，不进行处理。
下面参考图7所示的流程图来说明发送装置110所执行的公开密钥更新处理。
在从接收装置120a接收到惟一号IDa和一个新公开密钥多项式ha′时(步骤S121中的“是”)，密钥更新单元118将参数存储单元112中存储的数据DTa＝(IDa，ha，da)更新为数据DTa′＝(IDa，ha′，da′)，并终止该处理(在从接收装置120b和120c接收诸惟一号和诸新公开密钥时，数据DTb和DTc分别被更新为DTb′和DTc′)。
在密钥更新单元118没有从接收装置120a、120b和120c中的任何一个装置接收到任何惟一号和公开密钥多项式时(步骤S121中的“否”)，不执行处理。
如图8所示，接收装置120a包括一个接收单元121、一个私钥存储单元122、一个解密单元123、一个解密文本输出单元124、一个密钥再生单元125以及一个输入单元126。
接收单元121经由发送线路130从发送装置110接收该加密文本多项式E(m，r，ha)，并将它输出到解密单元123。
私钥存储单元122存储接收装置120a的私钥多项式fa。
解密单元123事先具有一个基于NTRU加密方法的解密算法D，这是加密单元116中所包含的加密算法E的逆变换。
解密单元123从接收单元121接收加密文本多项式E(m，r，ha)，从私钥存储单元122读出接收装置120a的私钥多项式fa。然后，解密单元123通过对加密文本多项式E(m，r，ha)执行解密算法D、利用私钥多项式fa来生成加密文本多项式m′＝D(E(m，r，ha)，fa)，并将所生成的解密文本多项式m′输出到解密文本输出单元124。
解密文本输出单元124从解密单元123接收解密文本多项式m′，并将它输出到外部。
在经由输入单元126接收到该密钥再生请求信号时，密钥再生单元125根据NTRU加密方法重新再生私钥多项式fa′和公开密钥多项式ha′。之后，密钥再生单元125将私钥存储单元122中存储的私钥多项式fa更新为一个私钥多项式fa′，然后经由发送线路130将接收装置120a的惟一号IDa和新公开密钥多项式ha′发送到发送装置110。
操作接收装置120a的用户能够向输入单元126输入密钥再生请求信号，该信号命令对接收装置120a的公开密钥多项式ha和私钥多项式fa进行再生。密钥再生请求信号是一个因为不能正确获得解密文本输出单元124所输出的解密文本多项式m′等理由而要由该用户输入以用来再生公开密钥多项式ha和私钥多项式fa的信号。
输入单元126向密钥再生单元125输出从外部输入的密钥再生请求信号。
接收装置120a如上所述平行地异步执行下述解密处理和密钥更新处理(可以按照任何顺序)。
下面分别说明由接收装置120a执行的解密处理和密钥更新处理的运行情况。
首先，参考图9所示的流程图来说明由接收装置120a执行的解密处理。
接收单元121经由发送线路130从发送装置110接收加密文本多项式E(m，r，ha)，并将它输出到解密单元123(步骤S151)。
解密单元123从接收单元121接收加密文本多项式E(m，r，ha)，并从私钥存储单元122读出接收装置120a的私钥多项式fa(步骤S152)。然后，解密单元123通过利用私钥多项式fa对加密文本多项式E(m，r，ha)执行解密算法D来生成解密文本多项式m′＝D(E(m，r，ha)，fa)，并将它输出到解密文本输出单元124(步骤S153)。
解密文本输出单元124从解密单元123接收解密文本多项式m′，并将它向外部输出并终止该处理(步骤S154)。
下面参考图10所示的流程图来说明由接收装置120a执行的密钥更新处理。
在经由输入单元126接收到密钥再生请求信号时(步骤S161中的“是”)，密钥再生单元125根据NTRU加密方法重新再生私钥多项式fa′和公开密钥多项式ha′。之后，密钥再生单元125将私钥存储单元122所存储的私钥多项式fa更新为一个重新生成的私钥多项式fa′(步骤S162)。密钥再生单元125也经由发送线路130将接收装置120a的惟一号IDa以及新公开密钥多项式ha′发送到发送装置110，并终止该处理(步骤S163)。
当密钥再生单元125经由输入单元126没有接收到该密钥再生请求信号时(步骤S161中的“否”)，不执行任何处理。
下面说明根据该第一实施例的加密系统1的整体运行情况。
这里，在加密系统1中，假设发送装置110执行与选自多个接收装置的接收装置120a的加密通信。
首先，发送装置110将接收装置120a的惟一号、公开密钥多项式ha和随机参数da在参数存储单元112中存储为数据DTa＝(IDa，ha，da)(接收装置120b和120c按照相同方法分别存储数据DTb＝(IDb，hb，db)和数据DTc＝(IDc，hc，dc))。随机参数da、db和dc的初始值被定义为da＝db＝dc＝18。
然后，发送装置110加密明文多项式m并根据由发送装置110执行的加密通信处理来生成加密文本多项式E(m，r，ha)，而且经由发送线路130将所生成的已加密多项式E(m，r，ha)发送到接收装置120a。另一方面，接收装置120a根据上述解密处理经由发送线路130从发送装置110接收已加密多项式E(m，r，ha)。然后，接收装置120a解密所接收到的加密文本多项式E(m，r，ha)，并输出解密文本多项式m′。
在发送装置110中，定时器单元113每天生成一个时间信号。参数控制单元114对定时器113每天生成的时间信号作出响应，并根据随机参数更新处理将参数存储单元112中存储的所有随机参数da、db和dc增加1。就是说，参数存储单元112中存储的所有随机参数每天增加1。
所以，在发送装置110继续该加密通信处理时，用来生成加密文本多项式E(m，r，ha)的随机数多项式r中指示为1的系数数目和指示为-1的系数数目每天增加1。
图11表示在利用随机数多项式r的情况下应用NTRU加密方法时测量解密错误概率的结果，在该多项式中，N＝167，“d”个系数等于1，另外“d”个系数等于-1，其他系数等于0。根据该测量结果，如果随机参数da的初始值被定义为da＝18，那么在解密由发送装置110生成的加密文本多项式(m，r，ha)时几乎不出现解密错误(接收装置120能够由所接收到的加密文本多项式(m，r，ha)获得与明文多项式m相当的解密文本多项式m′)。但是，如果时间增加，那么随机参数da就会逐日增加，从而使得解密由发送装置110生成的加密文本多项式(m，r，ha)时的解密错误概率逐渐增加(接收装置120不能由所接收到的加密文本多项式(m，r，ha)获得与明文多项式m相当的解密文本多项式m′)。
当接收装置120能够获得与明文多项式m相当的解密文本多项式m′的概率降低，从而妨碍实际的加密通信时，操作接收装置120a的用户就能够在输入单元120中输入密钥再生请求信号，该信号通过执行该密钥更新处理来命令对接收装置120a的公开密钥多项式ha和私钥多项式fa进行再生。于是，采用由发送装置110执行的公开密钥更新处理，参数存储单元112中的随机参数da就被更新为初始值da′＝18。按照这种方法，解密错误概率就下降到该初始状态，所以，接收装置120a也就能够实际执行该加密通信。
如该图所示，尽管随机参数d的值从38增加到48，但解密错误概率却从2.6％下降到2.3％，这是由于理论值与所得值之间存在差距造成的。所以，可以从理论上证明，解密错误概率随该所得值的参数增加而增加，从而随机参数d的值也增大。
如上所述，采用根据该第一实施例的加密系统1，发送装置110随时间的推移而增加指示为1的系数数目和指示为-1的系数数目。于是，即使接收装置120a所拥有的私钥多项式fa被泄漏，在由一个按照敌意方法企图利用已泄漏私钥多项式fa的外部人员操作的接收装置中，解密错误概率也会随时间的推移而增大。于是，该外部人员就不能够正确解密由发送装置110执行的加密通信。因此，这个加密系统1防止了由发送装置110执行的加密通信的内容被由上述外部人员操作的接收装置不断解密，这是与该传统技术的不同点。所以，举例来说，在发送数字内容(譬如音乐)的过程中，当该私钥被泄漏时，能够避免该发送方的损失。
即使采用具有已鉴别私钥多项式fa的接收装置120a，随着时间的推移，解密错误概率也会由于连续使用同一个私钥多项式fa而增大，于是，由发送装置110执行的加密通信就不能够被正确解密。然后，当同一个私钥多项式fa被连续使用时，操作接收装置120a的用户就会接到通报解密错误概率随时间推移而增加，而且，若不更新该密钥，该加密通信就不再能够进行。于是，加密系统1能够促使该用户经由接收装置120中的输入单元126来输入该密钥再生请求信号以便更新该密钥。结果，加密系统1就能够促使该接收装置或操作该接收装置的用户更新该密钥。
与传统技术不同，加密系统1不需要由该第三方发布的CRL机SRM。
第二实施例根据第二实施例的加密系统2适用于分配电影和音乐等数字内容(下文称为内容)，该系统具有基于加密系统1的结构。
加密系统2与加密系统1的不同在于它执行下面描述的处理而不是采用NTRU加密方法来加密和发送明文多项式m。这就是说，加密系统2采用一个加密密钥Ki(1≤i≤k)、基于共享加密方法来加密一个本身就是数字数据的内容CNTi(1≤i≤k)。加密系统2也利用NTRU加密方法来加密加密密钥Ki(1≤i≤k)并发送该已加密内容和加密密钥。此外，加密系统2与加密系统1的不同之处还在于该密钥利用一个密钥服务器加以更新。其细节在下面说明。
根据该第二实施例的加密系统2的整体结构如图12所示。加密系统2是一个用于分配一项内容CNT的系统，包括一个内容服务器210、一个密钥服务器220和一个接收装置230。内容服务器210和接收装置230经由互联网240相互连接。内容服务器210和密钥服务器220经由一个专用连接250连接。密钥服务器220和接收装置230经由一条电话线260连接。
内容服务器210由一个为用户j提供内容CNT的代理商供应。密钥服务器220由向用户j提供一个解密密钥的一个代理商供应，该解密密钥则供使用内容CNT所用。使用内容CNT的用户j拥有接收装置230。这里规定，同一个代理商拥有服务器210和密钥服务器220。
下面详细说明上述诸装置中所包含的部件。
内容服务器210包括一个内容存储单元211、一个参数存储单元212、一个定时器213、一个参数控制单元214、一个随机数生成单元215、一个加密密钥生成单元216、一个加密单元217、一个发送单元218和一个密钥更新单元219。
内容存储单元211存储从外部输入的内容CNT，譬如说，一个MPEG2数据CNTi(1≤i≤k)，这是一个每隔一定时间就加以分段的内容CNT。
参数存储单元212为每位用户将接收装置230的一个惟一号Idj、一个公开密钥多项式hj和一个随机参数dj如图14所示存储为一个数据组DTj＝(IDj，hj，dj，Lj)(1≤j≤n)。这里，随机参数dj是一个被用来生成随机数多项式ri(1≤i≤k)的参数，该多项式供加密所用，该随机参数表示指示为1的系数数目和指示为-1的系数数目。随机参数dj的初始值被定义为dj＝18。
定时器单元213每天生成一个时间信号，并将它输入到参数控制单元214。
从定时器单元213接收该时间信号的参数控制单元214将参数存储单元212中所存储的数据DTj的随机参数dj(1≤j≤n)的值增加1。在从密钥服务器220接收到惟一号IDj和一个复位信号时，参数控制单元214在一段时间内(譬如一个月)不更新由该惟一号规定的数据DTj的随机参数dj。这个时段由有效内容使用时段Lj来定义。于是，在一段时间内，已经为使用内容CNT支付了费用的用户就被允许使用内容CNT。
随机数生成单元215从参数存储单元212读出接收装置230的随机参数dj。然后，随机数生成单元215根据从参数存储单元212中读出的随机参数dj随机地生成随机数多项式ri(1≤i≤k)，其中“dj”个系数等于1，另外“dj”个系数等于-1，其他系数等于0。所生成的随机数多项式ri(1≤i≤k)被输出到加密单元217。生成随机数多项式ri的方法与参考图1所述的方法相同。
加密密钥生成单元216随机地生成加密密钥Ki(1≤i≤k)，并将它输出到加密单元217。加密单元217事先具有基于NTRU加密方法的加密算法E和一个共享加密算法Sym，譬如DES(数据加密标准)加密方法。
在该共享密钥加密过程中，利用加密密钥K对明文m执行共享密钥加密算法Sym，从而生成一个加密文本c＝Sym(m，K)。而且，利用该加密密钥K对加密文本c执行共享密钥加密，从而生成一个解密文本m′＝Sym(c，K)。这里，在同一个加密密钥K被用来生成加密文本和生成解密文本时，解密文本m′就等于该明文m。关于共享密钥加密和DES加密方法，在Tatsuaki Okamoto和Hirosuke Yamamoto的《现代加密学(ModernCryptography)》(Sangyo Tosyo的《信息科学中的数学》丛书，1997)中有详细的说明，所以这里不再重复。
加密单元217从加密密钥再生单元216接收加密密钥Ki(1≤i≤k)，并将它变换为一个加密密钥多项式KPi(1≤i≤k)，以使它能够利用NTRU加密方法而被加密。举例来说，当加密密钥Ki被定义为一个位流时，就能够通过构造加密密钥多项式KPi来实现这种变换，在加密密钥多项式KPi中，加密密钥Ki的低位值是X^b的系数。就是说，当Ki＝10010(位表达式)时，KPi＝X^5+X^2。
加密单元210从参数存储单元212读出接收装置230的公开密钥多项式hj，并从随机数生成单元215接收随机数多项式ri(1≤i≤k)。然后，加密单元217基于NTRU加密方法、利用随机数多项式ri(1≤i≤k)和公开密钥hj对已变换加密密钥多项式KPi(1≤i≤k)执行加密算法，并生成一个已加密加密密钥多项式EKPi＝E(KPi，ri，hj)(1≤i≤k)。
加密单元217从内容存储单元211接收内容CNTi(1≤i≤k)，利用加密密钥Ki(1≤i≤k)对内容CNTi(1≤i≤k)执行共享密钥加密算法Sym，并生成已加密内容ECi＝Sym(CNTi，Ki)(1≤i≤k)。
加密单元217将已加密加密密钥多项式EKPi(1≤i≤k)和已加密内容ECi(1≤i≤k)输出到发送单元218。
发送单元218经由互联网240将已加密加密密钥多项式EKPi(1≤i≤k)和已加密内容ECi(1≤i≤k)发送到接收装置230。
密钥更新单元219能够经由专用连接250从密钥服务器220接收接收装置230的惟一号IDj和公开密钥多项式hj′(1≤j≤n)。接收到它们后，密钥更新单元219将参数存储单元212中所存储的数据DTj＝(IDj，hj，dj)更新为数据DTj′＝(IDj，hj′，dj′)。这里，dj′是随机参数dj的初始值，被定义为dj′＝18。
上述内容服务器210平行地异步执行下述加密通信处理、随机参数更新处理和公开密钥更新处理(可以按照任何顺序)。
下面分别说明上述三种类型的处理。
首先，参考图15所示的流程图来说明由内容服务器210执行的加密通信处理。
一开始，随机数输出单元215从参数存储单元212读出接收装置230的随机参数dj(步骤S201)，并根据从参数存储单元212读出的随机参数dj随机地生成随机数多项式ri(1≤i≤k)，其中“dj”个系数等于1，另外“dj”个系数等于-1，其他系数等于0，而且，将所生成的随机多项式ri(1≤i≤k)输出到加密单元217(步骤S202)。生成随机数多项式ri的方法与参考图1所述的方法相同。
然后，加密密钥生成单元216随机地生成加密密钥Ki(1≤i≤k)，并将它输出到加密单元217(步骤S203)。加密密钥Ki可以利用rand函数生成，这是一个基于编程语言C的标准库函数加密单元217从加密密钥生成单元216接收加密密钥Ki(1≤i≤k)，并将它变换为一个加密密钥多项式KPi(1≤i≤k)，以使它能够利用NTRU加密方法被加密(步骤S204)。然后，加密单元217分别从内容存储单元122和参数存储单元212读出内容CNTi(1≤i≤k)和接收装置230的公开密钥多项式hj。此外，加密单元217从随机数生成单元215接收随机数多项式ri(1≤i≤k)(步骤S205)，利用随机数多项式ri(1≤i≤k)和公开密钥多项式hj对已变换加密密钥多项式EKPi＝E(KPi，ri，hj)(1≤i≤k)执行基于NTRU加密方法的加密算法E，并生成已加密密钥多项式EKPi＝E(KPi，ri，hj)(1≤i≤k)(步骤206)。加密单元217从内容存储单元211接收内容CNTi(1≤i≤k)，然后利用加密密钥Ki(1≤i≤k)对内容CNTi(1≤i≤k)执行共享密钥加密算法Sym，并生成已加密内容ECi＝Sym(CNTi，Ki)(1≤i≤k)(步骤S207)。然后加密单元217向发送单元218输出已加密加密密钥多项式EKPi(1≤i≤k)和已加密内容ECi(1≤i≤k)(步骤S208)。
发送单元218经由互联网240向接收装置230发送所接收到的已加密加密密钥多项式EKPi(1≤i≤k)和内容ECi(1≤i≤k)，并终止该处理(步骤S209)。
下面，参考图16所示的流程图来说明由内容服务器210执行的随机参数更新处理。
在从密钥服务器220接收到该惟一号IDj和该复位信号时(步骤S211)，参数控制单元214就将由该惟一号IDj为接收装置230规定的有效内容使用时段Lj再延长一个月(步骤S212)。当接收装置230为该内容使用支付了费用后，就从密钥服务器220发送该复位信号。
参数控制单元214在从定时器单元213接收到该时间信号时(步骤S213中的“是”)，就检查由该惟一号IDj为该接收装置230规定的有效内容使用时段Lj是否多余或等于1天(步骤S215)。当有效内容使用时段Lj被延长多余或等于1天时(步骤S215中的“是”)，参数控制单元214就将有效内容使用时段Lj递减1(步骤S216)。但是，随机参数的值却保持不变。当有效内容使用时段Lj小于或等于0时(步骤S215中的“否”)，参数控制单元214使随机参数dj增加1(步骤S217)。上述处理对由惟一号IDj规定的所有接收装置230执行，然后该处理被终止(步骤S214～S218)。
于是，通过对有效内容使时段已过期的接收装置230增加随机参数dj，解密内容CNT的解密错误概率就会逐日增加。
下面参考图17所示的流程图来说明由内容服务器210执行的公开密钥更新处理。
密钥更新单元219经由专用连接250从密钥服务器220接收接收装置230的惟一号IDj和公开密钥多项式hj′(1≤i≤n)(步骤S221中的“是”)，将数据存储单元212中所存储的数据DTj＝(IDj，hj，dj)更新为数据DTj′＝(IDj，hj′，dj′)并终止该处理(步骤S222)。这里，dj′是随机参数dj的初始值，被定义为dj′＝18。密钥更新单元219不接收到接收装置230的惟一号IDj和公开密钥多项式hj′(1≤i≤n)就不执行任何处理(步骤S221)。
如图18所示，密钥服务器220包括一个ID接收单元221、一个密钥再生单元222、一个公开密钥发送单元223、一个私钥发送单元224、一个电子货币接收单元225、一个许可证管理单元226以及一个复位信号发送单元227。
ID接收单元221经由电话线路260从接收装置230接收接收装置230的惟一号IDj(1≤i≤n)，并将它输出到许可证管理单元226。
电子货币接收单元225经由电话线路260从接收装置230接收电子货币，并将所接收到的电子货币输出到许可证管理单元226。这里，电子货币是指在该网络中流通的电子现金。
许可证管理单元226分别从ID接收单元221和电子货币接收单元225接收接收装置230的惟一号IDj和电子货币。然后，许可证管理单元226根据所接收到的惟一号IDj和电子货币检查该惟一号IDj和电子货币是否由与内容服务供应商签约的接收装置230所发送，或者所需要的金额是否已经支付等等。若该检查结果中不存在问题，许可证管理单元226就将接收装置230的惟一号IDj输出到密钥再生单元222。
密钥再生单元222在从许可证管理单元226接收到惟一号IDj时，根据NTRU加密方法生成私钥多项式fj′和公开密钥多项式hj′。密钥再生单元222将所接收到的惟一号IDj以及所生成的公开密钥多项式hj′输出到公开密钥发送单元223，而且也将所生成的私钥多项式fj′输出到私钥发送单元224。同时，密钥再生单元222将惟一号IDj和该复位信号输出到复位信号发送单元227。
公开密钥发送单元223在从密钥再生单元222接收到惟一号IDj和公开密钥多项式hj′时，经由专用连接250将它们发送到内容服务器210。
复位信号发送单元227在从密钥再生单元222接收到该惟一号IDj和复位信号时，经由专用连接250将它们发送到内容服务器210。
私钥发送单元224在从密钥再生单元222接收到私钥多项式fj′时，经由电话线路260将它发送到接收装置230。
下面参考图19所示的流程图来说明上述密钥服务器220的运行情况。
当ID接收单元221和电子货币接收单元225分别接收到接收装置230的惟一号IDj(1≤j≤n)和该电子货币时(步骤S231中的“是”)，许可证管理单元226检查它们是否从与该内容服务供应商签约的接收装置230发送，或者检查该许可证条件，譬如所需金额是否已经支付。如果这些许可证条件已经满足(步骤S232中的“是”)，许可证管理单元226就将所接收到的惟一号IDj输出到密钥再生单元222(步骤S233)。
密钥再生单元222从ID接收单元221接收惟一号IDj，并根据NTRU加密方法生成私钥多项式fj′和公开密钥多项式hj′(步骤S234)。
公开密钥发送单元223从密钥再生单元222接收惟一号IDj和公开密钥多项式hj′，并经由专用连接250将它们发送到内容服务器210。复位信号发送单元227从密钥再生单元222接收惟一号IDj和该复位信号，并经由专用连接250将它们发送到内容服务器210(步骤S235)。
私钥发送单元224从密钥再生单元222接收私钥多项式fj′，并经由电话线路260将它发送到接收装置230(步骤S236)。
接收装置230包括一个接收单元231、一个私钥存储单元232、一个解密单元233、一个输出单元234、一个密钥更新发送单元235以及一个输入单元226。
接收单元231经由互联网240从内容服务器210接收已加密加密密钥多项式EKPi(1≤i≤k)和已加密内容ECI(1≤i≤k)，并将它们输出到解密单元233。
私钥存储单元232存储接收装置230的私钥多项式fj。
解密单元233预先具有基于NTRU加密方法的解密算法D，这是加密单元217中所包含的解密算法E以及加密单元217中所包含的共享密钥加密算法Sym的逆变换。
解密单元233从接收单元231接收已加密加密密钥多项式EKPi(1≤i≤k)和已加密内容ECi(1≤i≤k)，并从私钥存储单元232中读出接收装置230的私钥多项式fj。解密单元233采用私钥多项式fj对已加密密钥加密多项式EKPi(1≤i≤k)执行解密算法D，并生成一个解密加密密钥多项式KPi′＝D(EKPi，fj)(1≤i≤k)。
解密单元233利用由内容服务器210中加密单元217执行的变换的逆变换将解密加密密钥多项式KPi(1≤i≤k)变换为解密加密密钥Ki′(1≤i≤k)。
解密单元233采用解密加密密钥Ki′(1≤i≤k)对已加密内容ECi(1≤i≤k)执行共享密钥加密算法Sym，并生成解密内容CNTi′＝Sym(ECi，Ki′)(1≤i≤k)。然后，解密单元233将所生成的CNTi′(1≤i≤k)输出到输出单元234。
举例来说，输出单元234包括该图中未画的一个监视器或一个扬声器，并将所输入的解密内容CNTi’(1≤i≤k)输出到外部。
该监视器和该扬声器将从解密内容CNTi′(1≤i≤k)内所包含的MPEG2数据中获得的视频和音频分别输出到外部。
在经由输入单元236接收到该密钥再生请求信号时，密钥更新发送单元235经由电话线路260向密钥服务器220发送接收装置230的惟一号IDj以及电子货币，该货币相当于和内容服务供应商签订的合同中所规定的金额。密钥更新发送单元235也经由电话线路260从密钥服务器220接收私钥多项式fj′，并将它更新为所接收到的私钥多项式fj′。
操作接收装置230的用户j能够向输入单元236输入密钥再生请求信号，该信号命令对接收装置230的公开密钥多项式hj和私钥多项式fj进行再生。该密钥再生请求信号是该用户因为理由而再生公开密钥多项式hj和私钥多项式fj所输入的信号，譬如说，这种理由可以是无法正确获得所输出的解密内容CNTi′(1≤i≤k)等等。
输入单元236将从外部输入的密钥再生请求信号输出到密钥更新发送单元235。
上述接收装置230平行地异步执行下述解密处理和密钥更新处理(可以按照任何顺序)。
下面分别说明由接收装置230执行的解密处理和密钥更新处理的运行情况。
首先，参考图21所示的流程图来说明该解密处理。
接收单元231经由互联网240从内容服务器210接收已加密加密密钥多项式EKPi(1≤i≤k)和已加密内容ECi(1≤i≤k)，并将它们发送到解密单元223(步骤S251)。
解密单元233从接收单元231接收已加密加密密钥多项式EKPi(1≤i≤k)以及已加密内容ECi(1≤i≤k)，并从私钥存储单元232读出接收装置230的私钥多项式fj(步骤S252)。解密单元233利用私钥多项式fj对已加密加密密钥多项式EKPi(1≤i≤k)执行解密算法D，并生成解密加密密钥多项式KPi′＝D(EKPi，fj)(1≤i≤k)(步骤S253)。
然后，解密单元233利用内容服务器210内加密单元217执行的变换的逆变换将解密加密密钥多项式KPi′(1≤i≤k)变换为解密加密密钥Ki′(1≤i≤k)(步骤S254)。
然后，解密单元233利用解密加密密钥Ki′(1≤i≤k)对已加密内容ECi(1≤i≤k)执行共享密钥加密算法Sym，生成解密内容CNTi′＝Sym(ECi，Ki′)(1≤i≤k)，并将它输出到输出单元234(步骤S255)。
输出单元234分别向外部输出从解密内容CNTi′(1≤i≤k)内包含的MPEG2数据中获得的视频和音频，并终止该处理(步骤S256)。
接着，下面参考图22所示的流程图来说明由接收装置230执行的密钥更新处理。
首先，在经由输入单元236接收到密钥再生请求信号时(步骤S261中的“是”)，密钥更新发送单元235经由电话线路260向密钥服务器220发送接收装置230的惟一号IDj以及电子货币，该货币相当于和内容服务供应商签订的合同中所规定的金额(步骤S262)。然后，密钥更新发送单元235经由电话线路260从该密钥服务器接收私钥多项式fj′，将私钥存储单元232中所存储的私钥多项式fj更新为所接收到的私钥多项式fj′，并终止该处理(步骤S263)。
下面说明根据该第二实施例的加密系统2的整个运行情况，但主要集中说明与加密系统1的区别。
内容服务器210首先将接收装置230的惟一号IDj、公开密钥多项式hj和随机参数dj作为数据DTj＝(IDj，hj，dj)存储到参数存储单元212。dj的初始值被定义为dj＝18。
然后，内容服务器210根据内容服务器210执行的加密通信处理、采用加密密钥Ki(1≤i≤k)、基于该共享加密密钥加密方法来加密内容CNTi(1≤i≤k)，并生成已加密内容ECi(1≤i≤k)。内容服务器210也基于NTRU加密方法来加密由加密密钥Ki(1≤i≤k)变换所得的已加密密钥多项式KPi(1≤i≤k)，并生成已加密加密密钥多项式EKPi(1≤i≤k)。内容服务器210经由互联网240将已加密内容ECi(1≤i≤k)连同已加密加密密钥多项式EKPi(1≤i≤k)发送到接收装置230。另一方面，接收装置230根据该解密处理来解密所接收到的已加密加密密钥多项式EKPi(1≤i≤k)，并生成解密加密密钥多项式KPi′(1≤i≤k)。接收装置230利用变换后的解密加密密钥Ki′(1≤i≤k)来解密已加密内容ECi(1≤i≤k)，并输出解密内容CNTi’(1≤i≤k)。
在内容服务器210中，参数控制单元214根据定时器单元213每天生成的时间信号使参数存储单元212中存储的所有随机参数dj(1≤j≤n)的值增加1。就是说，参数存储单元212中存储的随机参数dj(1≤j≤n)的所有值每天增加。
所以，当该加密通信处理由内容服务器210连续执行时，用于生成已加密加密密钥多项式EKPi(1≤i≤k)的随机数多项式ri(1≤i≤k)中指示为1的系数数目(指示为-1的系数数目)每天都会增加。
但是，对与该内容服务供应商签约以便接收内容服务的接收装置230，随机参数dj(1≤i≤k)的值在合同结束之前不会被更新。所以，随机数多项式ri(1≤i≤k)中指示为1的系数数目(指示为-1的系数数目)始终为18。
图11表示利用随机数多项式r来测量基于NTRU加密方法的解密错误概率的结果，其中N＝167，对随机参数值d，随机数多项式中有“d”个系数等于1，另外“d”个系数等于-1，其他参数等于0。根据该结果可知，若随机参数dj的初始值被定义为dj＝18，那么在解密由内容服务器210生成的已加密加密密钥多项式EKPi(1≤i≤k)时几乎不会出现解密错误(如图23A所示，接收装置230能够从已加密加密密钥多项式EKPi(1≤i≤k)中获得与加密密钥Ki相当的解密加密密钥Ki′，并正确解密内容CNTi)。另一方面，随机参数dj随时间推移而每天逐渐增加，所以，在解密由内容服务器210生成的已加密加密密钥多项式EKPi(1≤i≤k)时，解密错误概率逐渐增加(如图23B所示，接收装置230不能从所接收到的已加密加密密钥多项式EKPi(1≤i≤k)中逐渐获得与已加密加密密钥Ki相当的解密加密密钥Ki′，从而不能逐渐解密内容CNTi)当接收装置230正确解密内容CNT(1≤i≤k)的概率增加，实际加密通信已无法执行时，操作接收装置230的用户j可以向输入单元236输入密钥再生请求信号，该信号命令通过执行密钥更新处理来再生接收装置230的公开密钥多项式hj和私钥多项式fj。这时，电子货币被支付给管理内容服务供应商的密钥服务器220。密钥服务器220将内容服务器中参数存储单元212内存储的随机参数dj更新为被定义为dj′＝18的初始值dj′，所以，解密错误下降到该初始状态，以使接收装置230能够在该合同规定的时段内实际执行加密通信。
采用根据上述第二实施例的加密系统2，本身就是数字数据的内容CNT每隔一定时间就会被分段，而且将内容CNTi(1≤i≤k)分配到接收装置230。一般而言，在数字数据(譬如MPEG2)情况下，如果由于解密错误而不能获得内容CNTi，在一个移动画面中就产生噪声。故而，随时间的推移，解密错误概率增加，这种噪声也逐渐增加。结果，内容服务供应商能够让该用户在出现噪声但不会有实际问题的状况上使用该内容一个月，但在一个月后该解密错误概率增加时，只要该用户既不支付该费用也不执行该密钥更新，就会阻止该用户实际使用该内容。就是说，加密系统2能被应用于在有限时段内的内容传送。
一般而言，在解密大容量内容CNTi(1≤i≤k)时(譬如解密MPEG2)，内容CNTi需要根据用于NTRU加密方法的输入位长进行划分，而且在该NTRU加密被试图用于每项内容CNTi时，基于NTRU加密方法的加密处理必须被重复一定的次数。但是，在这种情况下，加密处理根据NTRU加密对加密密钥Ki执行，而大容量内容CNTi则按照共享密钥加密来进行加密，的处理速度比公开密钥加密的速度快。所以，实现了高速处理的加密系统2能被应用于该内容传送。
而且，密钥服务器220也被用于更新该密钥，以使该内容服务供应商能够掌握该用户以何种频繁程度经由密钥服务器220更新该密钥。所以，该内容服务供应商能够向该用户收取该内容使用的费用。
该实施例也能获得该第一实施例中所获得的效果。
上述诸实施例是本发明的实施例的示例，所以，本发明不限于这些实施例，很明显，该发明的诸实施例可以按照许多方式加以改变。这些变化形式并不被认为是偏离了该发明的精神和范围，对熟悉该技术的人员十分明显，所有这些修改都被预期包含在如下权利要求的范围之内。下面的情况也被包含在本发明之中。
上述加密系统中使用的、用于NTRU加密的参数不限于N＝167的定义，也可以代之使用其他的值。
参数控制单元114或224可以每隔一个任意时段就增加随机参数，或者在该随机参数随时段的流逝而逐渐增加的条件下对该参数规定任何数量的增加，而不是每天使该随机参数增加1。
此外，参数控制单元114和214可以在每次读出该随机参数时增加该随机参数，或者根据该随机参数被读出的次数、而不是根据流逝的时间来增加。于是，该解密错误概率能够根据加密次数的增加来加以控制。所以，这样能够防止由具有已泄漏私钥的外部人员所操作的接收装置不断解密该已加密内容。按照这种方法，在发送数字作品(譬如音乐)的情况下，当该私钥被泄漏时，就能够防止该发送方的损失。
而且，也能够促使该接收装置或操作该接收装置的用户更新该密钥。于是，就能够提供具有有限访问的内容传送服务以及具有有限使用时段的内容传送服务。
在上述诸实施例中说明了，该密钥再生请求信号经由输入单元126和236从外部输入。但是，接收装置120和230也能够以途径探测该解密错误，而且该密钥再生请求信号可以根据所探测到的解密错误被自动输入。
举例来说，这可以在如下情况下实现该第二实施例中的解密单元233判断解密内容CNTi是否符合MPEG2格式，探测该解密错误，并在该解密错误概率增加时输入该密钥再生请求信号。
举例来说，该格式可以预先加以定义，其方法是将与明文多项式KPi(1≤i≤k)中前10次相当的系数定义为1等等。它也可以在如下情况下实现解密单元123和223判断解密文本多项式m′和解密加密密钥多项式KPi′是否与所定义的格式相符，探测该解密错误，并当该解密错误概率增加时在输入单元126或236中输入该密钥再生请求信号。
如果该错误在半个小时内超过预定的程度，就可以输入该密钥再生请求信号。
在该第二实施例中，互联网240、专用连接250和电话线路260既可以如该实施例中所用的那样使用相同的发送线路，也可以使用其他发送线路，譬如卫星通信网络。私钥fj经由密钥服务器220与接收装置230之间的一条通信线路发送，所以，可以执行这些加密通信来增加可靠性。
其他共享密钥加密方法，譬如AES(高级加密标准)加密等等，也可以被用作该第二实施例中的共享密钥加密算法Sym。
在该第二实施例中，内容CNTi(1≤i≤k)不限于MPEG2，可以是能够由windowsMedia(R)Player或RealPlayer(R)播放的数字数据，而且该数据的格式也能够加以改变。
在该第二实施例中，内容服务器210和密钥服务器220可以被包含在同一个装置之中。
NTRU加密方法被用在该第一和第二实施例之中；但是，也可以代之使用基于EESS(高效嵌入式安全性标准)的NTRU加密。关于基于EESS的NTRU加密，在“EESS高效嵌入式安全性联盟，#1高效嵌入式安全性标准NTRU加密和NTRU标记的实现方面，版本2.0(EESSConsortium for EfficientEmbedded Security，Efficient Embedded Security Standards #1Implementation Aspects of NTRUEncrypt and NTRUSign.Version 2.0)”中有详细的说明。所以这里不再重复该详细说明，下面只作简单的解释。
在基于EESS方法的NTRU加密中，随机数多项式r利用“d”个系数等于1和(N-d)个系数等于0的多项式来计算，或者利用多个这样的多项式来计算。与上述NTRU加密中的情况类似，解密错误概率随着随机参数d的值的增加而增加。所以，如果使用基于EESS方法的NTRU加密方法而不使用不基于EESS方法的NTRU加密方法，也可以获得同样的效果。
在该第二实施例中，电子货币被用来支付内容使用的费用，但是，如果现金支付方法能够被确实证明有效，也可以进行现金支付，而且，收据等能够以电子形式被发送到该密钥服务器。
在该第二实施例中，该密钥的更新是基于该密钥服务器接收该电子货币的事实来执行的，但是，该密钥也可以由其他部件加以更新。举例来说，在从该接收装置或该用户接收该密钥再生请求信号时，密钥服务器可以将该费用金额通知该接收装置或该用户。之后，该接收装置或该用户将打算“赞成支付”的信息发送到该密钥服务器，以使该密钥更新在该密钥服务器接收到该信息时得以执行。
本发明可以被定义为同上所述的方法。它可以是利用一台计算机来实现这些方法的一个计算机程序，或者是一个包含这种程序的数字信号。
根据本发明，该计算机程序或该数字信号可以是一个计算机可读的存储媒体，譬如一个半导体存储器、一个硬盘驱动器、一个CD-ROM(致密光盘只读存储器)、一个DVD-ROM(数字通用光盘只读存储器)和一个DVD-RAM(数字只读光盘随机存取存储器)等等。
上述实施例和变化形式可以被加以组合。
工业实用性于是，根据本发明的加密系统可以被用作一个能够促使该接收装置或操作它的用户更新该密钥的一个加密系统，特别是被用作一个分配内容数据的加密系统。
权利要求
1.一种用于通过加密明文而生成加密文本的加密装置，包括存储单元，用于存储一个加密密钥或一个参数，该参数适用于解密装置并改变解密该加密文本时的解密错误概率；加密单元，用于利用该存储单元中存储的加密密钥和参数、根据加密算法从该明文生成该加密文本，该加密算法按照该参数的一个值来改变解密该加密文本时的解密错误概率；以及更新单元，用于更新该存储单元中所存储的参数。
2.如权利要求1的加密装置，其中该更新单元随时间的推移来更新该存储单元中所存储的参数。
3.如权利要求2的加密装置，其中该加密单元利用基于NTRU加密方法的加密算法来生成该加密文本。
4.如权利要求3的加密装置，其中该参数存储单元中所存储的参数表示一个基于该NTRU加密方法的随机数多项式中系数指示为1的项数，而且该更新单元随时间的推移而增加系数指示为1的项数。
5.如权利要求4的加密装置，还包括加密密钥更新单元，用于从该解密装置接收一个更新该加密密钥的请求，并按照该更新请求来更新该加密密钥；以及初始化单元，用于从该解密装置接收一个更新该随机数多项式中系数指示为1的项数的请求，并按照该更新请求来将该随机数多项式中系数指示为1的项数设置为一个小于或等于预定值的初始值。
6.如权利要求5的加密装置，其中该初始化装置只有当该解密装置已经支付了预定金额时才将该随机数多项式中系数指示为1的项数设置为该初始值。
7.如权利要求2的加密装置，其中该更新单元更新该参数，以使解密该加密文本时的解密错误概率随时间的推移而增加。
8.如权利要求1的加密装置，其中该更新单元根据该加密单元执行加密的次数来更新该存储单元中所存储的参数。
9.如权利要求8的加密装置，其中该更新单元更新该参数，以使解密该加密文本时的解密错误概率随着该加密装置执行加密的次数的增加而增加。
10.如权利要求1的加密装置，其中该加密单元利用一个基于NTRU加密方法的加密算法来生成该加密文本。
11.如权利要求10的加密装置，其中该存储单元中所存储的参数表示一个基于该NTRU加密方法的随机数多项式中系数指示为1的项数，而且该更新单元随时间的推移来增加该随机数多项式中系数指示为1的项数。
12.如权利要求10的加密装置，其中该加密单元利用供基于EESS(高效嵌入式安全性标准)方法的NTRU加密方法所用的加密算法来生成加密文本。
13.如权利要求1的加密装置，还包括加密密钥更新单元，用于从该解密装置接收一个更新该加密密钥的请求，并按照该更新请求来更新该加密密钥；以及参数初始化单元，用于从该解密单元接收一个更新该参数的请求，并按照该初始化请求将该参数的值设置为一个初始值，该初始值将该解密错误概率降低到小于或等于预定值的一个值。
14.一种用于解密加密文本的解密装置，包括解密单元，用于利用一个解密密钥由根据加密算法生成的加密文本生成一个解密文本，该算法按照参数的一个值来改变解密该加密文本时的解密错误概率；判断单元，用于判断该解密文本是否被正确获得；解密密钥更新单元，用于根据由该判断单元所作的判断结果来请求一个加密装置去更新该解密密钥；以及参数初始化请求单元，用于请求该加密装置将该参数的值改变为一个初始值，该初始值将解密该加密文本时的解密错误概率降低到小于或等于预定值的一个值。
15.如权利要求14的解密装置，其中该解密密钥更新单元和该参数初始化请求单元分别向该加密装置发送一个更新该解密密钥的请求和一个初始化该参数的请求，同时还发送一个支付预定金额的请求。
16.如权利要求15的解密装置，其中当解密该加密文本时的解密错误概率在预定时段内超过预定阈限时，该判断单元断定该解密文本未被正确获得。
17.如权利要求14的解密装置，其中当解密该加密文本时的解密错误概率在预定时段内超过预定阈限时，该判断单元断定该解密文本未被正确获得。
18.一个加密系统，包括一个用于通过加密明文而生成一个加密文本的加密装置和一个用于通过解密该加密文本而生成一个解密文本的解密装置，其中该加密装置包括存储单元，用于存储一个加密密钥和一个参数，该参数适用于该解密装置，并改变解密该加密文本时的解密错误概率；加密单元，用于利用该存储单元中所存储的加密密钥和参数、根据加密算法来生成该加密文本，该加密算法按照该参数的值来改变解密该加密文本时的解密错误概率；以及更新单元，用于更新该存储单元中所存储的参数，而且该解密装置包括解密单元，用于利用一个解密密钥由该加密文本生成一个解密文本；解密密钥更新请求单元，用于请求该加密装置更新该解密密钥；以及参数初始化请求单元，用于请求该加密装置将该参数的值改变为初始值，该初始值将该解密错误概率降低到小于或等于预定值的一个值。
19.如权利要求18的加密系统，其中该更新单元随时间的推移来更新该存储单元中所存储的参数。
20.如权利要求19的加密系统，其中该加密单元利用一个基于NTRU加密方法的加密算法来生成该加密文本，该存储单元中所存储的参数表示一个基于该NTRU加密方法的随机数多项式中系数指示为1的项数，而且该更新单元随时间的推移增加该随机多项式中系数指示为1的项数。
21.如权利要求20的加密系统，其中该解密密钥更新请求单元和该参数初始化请求单元分别向该加密装置发送一个更新该解密密钥的请求和一个初始化该参数的请求，同时还发送一个支付预定金额的请求，该加密装置还包括解密密钥更新单元，用于从该解密装置接收更新该解密密钥的请求，而且只在该预定金额被支付后才按照该更新请求来更新该解密密钥；以及初始化单元，用于从该解密装置接收初始化该参数的请求，而且只是在该预定金额被支付后，才按照该初始化请求将该随机数多项式中系数指示为1的项数设置为初始值，该初始值将解密错误概率降低到小于或等于预定值的一个值。
22.如权利要求18的加密系统，其中该更新单元根据该加密单元执行加密的次数来更新该存储单元中所存储的参数。
23.如权利要求18的加密系统，其中该加密单元利用基于NTRU加密方法的加密算法来生成该加密文本。
24.如权利要求23的加密系统，其中该存储单元中所存储的参数表示一个基于NTRU加密方法的随机数多项式中系数指示为1的项数，该解密密钥更新请求单元和参数初始化请求单元分别向该加密装置发送一个更新该解密密钥的命令和一个初始化该参数的请求，并同时发送一个支付预定金额的请求，而且该解密装置还包括解密密钥更新单元，用于从该解密装置接收更新该解密密钥的请求，并在该预定金额被支付后按照该更新请求来更新该解密密钥；以及初始化单元，用于从该解密装置接收初始化该参数的请求，而且只是在该预定金额被支付后，才按照该初始化请求将该随机数多项式中系数指示为1的项数设置为初始值，该初始值将解密错误概率降低到小于或等于预定值的一个值。
25.如权利要求18的加密系统，其中该解密装置还包括一个判断单元，用于判断该解密文本是否被正确获得，该解密密钥更新请求单元根据由该判断单元所作的判断结果来命令该加密装置去更新该解密密钥，而且该参数初始化请求单元根据由该判断单元所作的判断结果来命令该加密装置将该参数值改变为初始值，该初始值能将该解密错误概率降低到小于或等于预定值的一个值。
26.一种用于通过加密明文而生成一个加密文本的加密方法，包括加密文本生成步骤，利用一个加密密钥和一个参数、根据一个加密算法由该明文生成该加密文本，该加密算法按照该参数适用于解密装置的一个参数值来改变解密该加密文本时的解密错误概率；以及更新该参数的更新步骤。
27.如权利要求26的加密方法。其中在该更新步骤中，该参数被更新，以使解密该加密文本时的解密错误概率随时间的流逝而增加。
28.如权利要求26的加密方法。其中在该更新步骤中，该参数被更新，以使解密该加密文本时的解密错误概率根据该加密被执行的次数的增加而增加。
29.如权利要求26的加密方法。其中在该加密文本生成步骤中，该加密文本利用基于NTRU加密方法的加密算法来生成。
30.如权利要求29的加密方法。其中该参数表示一个基于该NTRU加密方法的随机数多项式中系数指示为1的项数，而且在该更新步骤中，该随机数多项式中系数指示为1的项数随时间的推移而增加。
31.一种用于解密加密文本的解密方法，包括解密步骤，利用一个解密密钥、由根据加密算法生成的加密文本来生成一个解密文本，该加密算法按照参数的一个值来改变解密该加密文本时的解密错误概率；判断步骤，判断该解密文本是否被正确获得；更新请求步骤，根据该判断步骤中的判断结果来请求一个加密装置去更新该解密密钥；以及初始化请求步骤，根据该判断步骤中的判断结果来请求该加密装置将该参数的值改变为初始值，该初始值将该解密错误概率降低到小于或等于预定值的一个值。
32.一种用于通过加密明文来生成一个加密文本的加密程序，使一台计算机执行如下步骤加密文本生成步骤，利用一个加密密钥和一个参数、根据一个加密算法由该明文生成该加密文本，该加密算法按照该参数与解密装置对应的一个值来改变解密该加密文本时的解密错误概率；以及更新该参数的更新步骤。
33.一个用于解密加密文本的解密程序，使一台计算机执行如下步骤解密步骤，利用一个解密密钥、由根据加密算法生成的加密文本来生成一个解密文本，该加密算法按照参数的一个值来改变解密该加密文本时的解密错误概率；判断步骤，判断该解密文本是否被正确获得；更新请求步骤，根据该判断步骤中的判断结果来请求一个加密装置去更新该解密密钥；以及初始化请求步骤，根据该判定步骤中的判断结果来请求该加密装置将该参数的值改变为初始值，该初始值能将该解密错误概率降低到小于或等于预定值的一个值。
34.一个计算机可读存储媒体，其上录制了一个用于通过加密明文来生成一个加密文本的加密程序，其中该加密程序包括加密文本生成步骤，利用一个加密密钥和一个参数、根据一个加密算法由该明文生成该加密文本，该加密算法按照该参数适用于解密装置的一个值来改变解密该加密文本时的解密错误概率；以及更新该参数的更新步骤。
35.一个计算机可读存储媒体，其上录制了一个用于解密加密文本的解密程序，其中该解密程序包括解密步骤，利用一个解密密钥、由根据加密算法生成的加密文本来生成一个解密文本，该算法按照参数的一个值来改变解密该加密文本时的解密错误概率；判断步骤，判断该解密文本是否被正确获得；更新请求步骤，根据该判断步骤中的判断结果来请求一个加密装置去更新该解密密钥；以及初始化请求步骤，根据该判断步骤中的判断结果来请求该加密装置将该参数的值改变为一个初始值，该初始值能将该解密错误概率降低到小于或等于预定值的一个值。
全文摘要
本发明涉及采用加密明文来生成一个加密文本的发送装置(110)，包括一个参数存储单元(112)，用于存储适合加密密钥、加密装置及解密装置的随机参数(系数指示为1的项数)；加密单元(116)，用于根据基于NTRU方法的加密算法、利用参数存储单元(112)中所存储的加密密钥和随机参数由该明文生成该加密文本；以及，密钥更新单元(118)，用于随时间的推移来更新参数存储单元(112)中所存储的随机数和该加密密钥。
文档编号H04L9/30GK1692600SQ200380100569
公开日2005年11月2日 申请日期2003年10月1日 优先权日2002年10月9日
发明者山道将人, 布田裕一, 大森基司, 馆林诚 申请人:松下电器产业株式会社