专利名称:用于分发数据和保护数据安全的系统和方法
用于分发数据和保护数据安全的系统和方法 对相关申请的交叉引用 除前面的危险之外,用户可能将他的或她的私有密钥 保存在被配置了存档或备份系统的计算机系统上,潜在地导致私有密 钥的副本在多个计算机存储设备或其他系统间穿行。这种违反安全性 的现象常常被称为"密钥迁移"。类似于密钥迁移,许多应用程序至 多通过简单登录和密码访问,提供对用户的私有密钥的访问。如前所 述,登录和密码访问常常没有提供足够的安全性。 Shamir的秘密共享方案被说成是完美的秘密共享 (PSS)方案。术语"完美的"是指隐私保证是信息理论层面的,没有任 何错误;如此,播放器的未经授权的联盟不会了解有关PSS方案中 的基础秘密的任何有用的东西。 相应地,本发明的一个方面是提供用于防止几乎任何 数据类型被未经授权地访问或使用的方法。该方法包括一个或多个步 骤,将要保护的数据分析、拆分和/或分离为两个或更多部分。该方法 还包括对要保护的数据进行加密。对数据的加密可以在初次分析、拆 分和/或分离数据之前或之后执行。此外,对于数据的一个或多个部分, 可以重复加密步骤。类似地,对于数据的一个或多个部分,可以重复分析、拆分和/或分离步骤。该方法还可选地包括将已经加密的经过分 析、拆分和/或分离的数据存储在一个位置或多个位置。此方法还可选 地包括将被保护的数据重新构建或重新组合为其原始形态,以便进行 授权的访问或使用。此方法可以应用于能够执行该方法的所需的步骤 的任何计算机、服务器、引擎等等的操作中。 在其他实施例中,提供了带有消息空间S的n方秘 密共享方案。可以定义对手的系列A。 n方秘密共享方案可以包括下 列五个基本要素中的一个或多个(l)带有k比特密钥和消息空间S 的对称加密算法;(2)带有消息空间(O,lp的对手A的n方PSS 算法;("n方信息传播算法(IDA); (4)带有消息空间{0,l}h 的 对手A的n方纠错码(ECC);以及,(5)随机化(或概率性)承诺 方案。可以通过首先对要保护的数据应用计算秘密共享算法来保护数 据安全。然后,可以生成随机或伪随机值。根据秘密共享算法的输出 以及随机或伪随机值,可以计算出一组承诺值和解除承诺值。然后, 可以通过组合从秘密共享算法输出的股份、解除承诺值以及一个或多 个承诺值,形成多个股份。然后,股份可以存储在一个或多个物理位 置(例如,存储在硬盘驱动器上),或一个或多个地理位置(例如, 不同的数据储存库或服务器)。 下面将参考附图比较详细地描述本发明,附图只是为 了说明本发明,而不对本发明作出限制,其中
图1显示了根据本发明的实施例的一些方面的密码 系统的方框图; 图7是描述了根据本发明的一个实施例的健壮计算 秘密共享(RCSS)方案的总体结构的说明性方框图;[0032
图8说明了根据本发明的一个实施例的秘密共享进
程; 图11显示了如图10所示的概率性承诺方案中的鉴 别步骤的更多细节。
具体实施例方式
图1显示了根据本发明的实施例的一些方面的密码 系统100的方框图。如图1所示,密码系统100包括通过通信链 路125进行通信的用户系统105、信任引擎110、证书认证机构115 以及供应商系统120。 此外,用户系统105可以通过诸如,例如拨号、数字 用户线(DSL)、电缆调制解调器、光纤连接等等之类的常规服务提供 商,连接到通信链路125。根据另一个实施例,用户系统105通过 诸如,例如局域网或广域网之类的网络连接,连接到通信链路125。 根据一个实施例,操作系统包括处理通过通信链路125传递的所有 传入和传出消息通信的TCP/IP堆栈。 根据一个实施例,信任引擎110生成并存储加密密 钥。根据另一个实施例,至少一个加密密钥与每一个用户关联。此外, 当加密密钥包括公钥技术时,在信任引擎110内生成与用户关联的 每一个私有密钥,而不从信任引擎110释放该私有密钥。如此,只
要用户可以访问信任引擎110,用户都可以使用他的或她的私钥或/>
钥执行加密功能。优选情况下,这样的远程访问允许用户完全是可移 动的,并通过几乎任何因特网连接,如蜂窝电话和卫星电话,电话亭、 笔记本电脑、旅馆客房等等,访问加密功能。 因特网一个流行的部分是万维网。万维网包含存储了 能够显示图形和文本信息的文档的不同计算机。在万维网上提供信息 的计算机通常叫做"网站"。网站是由具有关联的电子页面的 Internet地址所定义的。电子页面可以由统一资源定位器(URL)进 行标识。 一般而言,电子页面是组织文本、图形图像、音频、视频等 等的呈现的文档。 虽然利用其优选实施例说明了通信链路125,但是, 那些本领域技术人员将从这里的说明认识到,通信链路125可以包 括范围广泛的交互式通信链路。例如,通信链路125可以包括交互 式电视网络、电话网络、无线数据传输系统、双向电缆系统、自定义 私有的或公共的计算机网络、交互式电话亭网络、自动取款机网络、 直接链路、卫星或蜂窝网络,等等。 图2还显示了包括鉴别引擎215的信任引擎110。 根据一个实施例,鉴别引擎215包括数据比较器,该数据比较器被 配置为将来自事务引擎205的数据与来自仓库210的数据进行比 较。例如,在鉴别过程中,用户将当前鉴别数据提供到信任引擎110, 以便事务引擎205接收当前鉴别数据。如前所述,事务引擎205优 选情况下识别URL或URI中的数据请求,并将鉴别数据路由到鉴 别引擎215。此外,应请求,仓库210将对应于用户的注册鉴别数 据转发到鉴别引擎215。如此,鉴别引擎215具有当前鉴别数据和 注册鉴别数据两者,以便用于进行比较。 图3显示了根据本发明的一个实施例的一些方面的 图2的事务引擎205的方框图。根据此实施例,事务引擎205包 括具有处理线程和收听线程的操作系统305。优选情况下,操作系统 305可以类似于在常规的高容量服务器(诸如,例如Apache推出的 Web服务器)中的存在的操作系统。收听线程监视来自通信链路 125、鉴别引擎215以及加密引擎220中的某一个的传入的通信, 以获取传入的数据流。处理线程识别传入的数据流的特定数据结构, 诸如,例如前面的数据结构,从而将传入的数据路由到通信链路125、 仓库210、鉴别引擎215、加密引擎220或海量存储器225中的某
20一个。如图3所示,优选情况下,可以通过,例如SSL技术,保护 传入和传出的数据的安全。 当处理这样的随机的鉴别或在鉴别被视为不是那么绝 对可靠的其它情况下,需要应用启发规则530以判断所提供的鉴别 的置信水平是否足够高,以对正在进行的交易进行身份鉴别。 (3)完美的秘密共享(PSS)方案,可以包括一对算法 Sharepss和Recoverpss。这些算法中的第一种算法,也称为PSS的 共享算法,可以是随机的图,以字符串K作为输入,叫做秘密,并 返回n个字符串的序列,A/7/,... , J /ai/,被称为股份。每一个i^7 都可以包括由代理商(执行共享处理的实体)处理的或分发的一个股份或n个股份。数字n可以是秘密共享方案的用户可编程的参 数,它可以包括任何适当的正数。在某些实施例中,共享算法是随机 的,因为它使用随机或伪随机的比特。这样的相关性可以通过提供共 享算法随机或伪随机的比特来实现,如在Rand算法中所提供的。第 二种算法,也称为PSS的恢复算法,可以以被称为声称的股份的n 个字符串的矢量作为输入。每一个声称的股份是读作"丟失"的字符串 或者判别符号" "。此符号可以用来表示某个特定股份不可用。完美 的秘密共享方案的恢复算法可以返回字符串s或恢复的秘密。可以 假设PSS方案的两个属性。第一个属性,隐私属性,确保没有未经 授权的用户获得有关从他们的股份中共享的秘密的有用信息。第二属 性,可恢复性属性,确保被授权的各方始终可以恢复秘密,假设被授 权的各方为恢复算法贡献了正确的股松,任何额外的一方都贡献正确 的股份或者判别丢失(" ")值。此PSS方案可以包括通常被称为 "Shamir秘密共享"的Shamir方案或Blakley秘密共享方案。,XiCi,Rjt,
24 tb祖X(i卄々,CTi
25 JC — RecoverPSS汰)
26 C 4" Recover11^ (c)
28 return g
表1: RCSS方案的共享和恢复机制。[0103
如上文所指出的,表1的恢复算法假设用户提供已知 有效的股份的位置。在没有此位置的情况下,可以使用其他手段来确
定的一致性值。在某些实施例中所使用的最自然的可能性是
投票的大多数。例如,代替第23行的丑///,可以使用在恢复的丑/V 值之中的最经常出现的ZT^/的值,j介于1到n之间。
[0104
回到图8,该图的#_标记为801到807的部分可以 被视为单一过程,包括S的计算秘密共享(CSS),以获取股份的矢
量fc^CfiTC^/n/rc/wy),其中jrc/f7 =c///,概率性承诺被应
用于所产生的股份的矢量。图10显示了从此备选实施例描述的方 案。在此实施例中,使用了下列三个基本要素,而不是参考图8和9 所定义的前面的五个基本要素(1)随机或伪随机数发生器,Rand; (2)计算秘密共享(CSS)方案;以及,(3)概率性承诺'方案。
[0105
随机或伪随机数发生器Rand可以如前面那样定义。 计算秘密共享方案可以包括一对算法Shareess和Recoveress。这些算 法中的第一种算法,也称为CSS的共享算法,可以是随机的图,以 字符串K作为输入,叫做秘密,并返回n个字符串的序列,JT/7/,..., iT/w/,被称为股份。每一个A/(/都可以包括由代理商(执行共享处 理的实体)处理的或分发的一个股份或n个股份。数字n可以是秘 密共享方案的参数,可以是一个任意正数。共享算法可以随机的,因 为它可以使用随机或伪随机比特。这样的相关性可以通过提供共享算 法随机或伪随机比特来实现,如随机或伪随机数发生器Rand所提供 的。
[0106
笫二种算法,也称为CSS的恢复算法,可以以被称为 声称的股份的n个字符串的矢量作为输入。每一个声称的股份要么 是字符串,要么是读作丢失的判别符号用于表示某个特定股份 不可用或者未知。计算秘密共享方案的恢复算法可以返回字符串S, 恢复的秘密。由于该对算法构成了计算秘密共享方案,因此,可以假 设两个属性。第一个属性,隐私属性,可以确保没有未经授权的用户 获得有关从他们的股份中共享的秘密的有效的(从计算角度来看可提取的)信息。第二属性,可恢复性属性,确保,皮授权的各方始终可以 恢复秘密,假设被授权的各方为恢复算法贡献了正确的股份,任何额 外的一方都贡献正确的股份或者判别丟失(', ")值。
[0107
此实施例中的第三个基本要素是概率性承诺方案,可 以如参考图8和9所描述的那样实现。
[0108
请参看图10,可以使用(随机)计算秘密共享方案 的Share算法1001,共享或分发秘密字符串S 1000。这可能导致n 个股份,iTC/J/, . . ., IC/w/ 1002。 然后,可以使用概率性承诺方案 1005来获取承诺和解除承诺的矢量1006。概率性承诺可以使用由某 种随机或伪随机数发生器1003生成的抛郑硬币1004的情形。 RCSS方案的股份1, W可以包括来自CSS方案1002的股份 KC///以及来自承诺方案1006的解除承诺及/^以及泉自承诺方 案1006的承诺fi/J/... H/"/的矢量。RCSS方案的股份2, S[2
可以包括来自CSS方案1002的股份iC/2/以及来自承诺方案 1006的解除承诺以及来自承诺方案1006的承诺... fi/w/的矢量。此过程可以继续,RCSS方案的股份n, 5/"/可以包 括来自CSS方案1002的股份JTC/w/以及来自承诺方案1006的 解除承诺及/w/以及来自承诺方案1006的承诺/T/7/. . ./T/"/的矢 量。
[0109
图11显示了刚刚描述的RCSS方案的恢复过程。给 恢复算法1130提供了声称股份的矢量,这些股份有时叫做片段,以 将这些股份与CSS方案的股份区别开来。由恢复算法1130接收到 的第i个片段被分析,以形成字符串fC/i7,解除承诺值及///,以及
承诺的矢量历'=f/"/ ... , /。从承诺的矢量hw ... h"A7的
集合,恢复算法1130必须判断一致性承诺好/仏对于给恢复算法 1130提供了其股份已知是有效的播放器的索引j的设置, 一致性值
H///可以被选择为巧/,7。对于没有这样的股份已知是真实的情况, 一致性值可以被选择为i77/(/,...,好w之中的最经常出现的字符串
值。图11描述了从分别提供给RCSS恢复算法的第一、第二以及第n片段中分析的股份KQ7/ 1100、 KC/2/ 1110和KC/"/ 1120。 如图11所示的示例同样描述了从分别提供给RCSS恢复算法的第 一、第二以及第n片段中分析的解除承诺值及/2/1112 以及及 1122。图11也描述了以上文所描述的方式确定的一致性 承诺值H/7/1101、 和及/"/1121。请看第一片段的处理,
在承诺好/7/、消息fC7i/以及解除承诺上调用概率性承诺方 案的鉴别算法Vfl104。算法可能返回比特,例如0表示消息IC/7/ 不应该作为已经被解除承诺接受,1表示应该。相应地,给多路分解 器1106馈送鉴别算法的判断比特,例如O表示被恢复的值应该被视 为丟失("'')1105,1表示被恢复的值应该被视为J5TC///本身1100。 输出A是提供到CSS方案的恢复算法1130的第一输入。如此继 续,处理片段2 (在图11的示例中的1110—1116处显示);'再处 理每一个额外的片段,直到处理了第n个(在图11的示例中的 1120- 1126处显示)。然后,将股份的集合提供到CSS方案的恢复 算法1130,以便恢复秘密。被恢复的值可以是由RCSS方案本身输 出的值。
[0110
所属领域的4支术人员将i^识到,可以有许多种变化。 例如,可以在某些实施例中使用纠错码,以为每一个播放器提供承诺
... i7/"/的足够的集合,有效地代替以前的实施例的简单但是在 某种程度上效率低的复制代码。
[0111
虽然上文描述了某些常见的应用,但是,应该清楚地 理解,本发明可以和任何网络应用结合起来,以便提高安全性、容错、 匿名性或前面的各项的任何适当的组合。
[0112
另外,鉴于这里的说明,其他组合、添加、替换和修 改对本领域技术人员是显而易见的。相应地,本发明不受优选实施例 的反应限制,而是由所附的权利要求进行定义。
3权利要求
1.一种通过从数据生成片段的集合来保护数据安全的方法,所述方法包括对数据应用计算秘密共享方案的共享机制,以产生股份的集合;生成随机或伪随机值;从所述随机或伪随机值和所述股份的集合计算一组承诺值和一组解除承诺值;通过组合股份、解除承诺值以及所述承诺值组的至少一个承诺值,产生所述片段的集合中的每一个片段;以及将每一个片段存储在至少一个数据储存库中。
2. 根据权利要求1所述的方法,其中产生所述片段集合中 的每一个片段包括组合股份、解除承诺值以及整个承诺值组。
3. 根据权利要求1所述的方法,其中将每一个片段存储在 至少一个数据储存库中包括将每一个片段存储在不同的地理位置。
4. 根据权利要求1所述的方法,其中将每一个片段存储在 至少一个数据储存库中包括将每一个片段存储在所述至少一个数据 储存库上的不同的物理位置。
5. 根据权利要求1所述的方法,其中所述至少一个数据储 存库包括分布式文件系统。
6. 根据权利要求1所述的方法,其中所述计算秘密共享方 案是从由Shamir、 Blakley以及Krawczyk秘密共享方案构成的组 中选择的。
7. 根据权利要求1所述的方法,其中计算一组承诺值和一 组解除承诺值包括使用概率性承诺方案。
8. 根据权利要求1所述的方法,进一步包括通过多个通信 信道传输所述产生的片段。
9. 根据权利要求8所述的方法,其中通过多个通信信道传 输所述产生的片段包括通过不同的通信信道传输每一个产生的片段。
10. —种用于保护数据安全的方法,所述方法包括 对数据应用计算秘密共享方案的共享机制,以产生股份的集合; 使用概率性承诺方案,从所述股份的集合计算一组承诺值和一组解除承诺值;产生多个片段,其中每一个片段都包括所述股份的集合的一个股 份、所述解除承诺值组的一个解除承诺值以及所述承诺值组;以及 将每一个片段存储在至少 一个数据储存库中。
11. 根据权利要求10所述的方法,其中将每一个片段存储 在至少一个数据储存库中包括将每一个片段存储在不同的地理位置。
12. 根据权利要求10所述的方法,其中将每一个片段存储 在至少一个数据储存库中包括将每一个片段存储在所述至少一个数 据储存库上的不同的物理位置。 ('
13. 根据权利要求10所述的方法,其中所述至少一个数据 储存库包括分布式文件系统。
14. 根据权利要求10所述的方法,所述计算秘密共享方案 是从由Shamir、 Blakley以及Krawczyk秘密共享方案构成的组中 选择的。
15. 根据权利要求10所述的方法,进一步包括通过多个通 信信道传输所述产生的片段。
16. 根据权利要求15所述的方法,其中通过多个通信信道 传输所述产生的片段包括通过不同的通信信道传输每一个产生的片 段。
17. —种用于保护数据安全的方法,包括 生成加密密钥;利用所述加密密钥对数据进行加密,以创建密文; 通过对所述加密密钥应用秘密共享方案,产生n个密钥股份的集合;通过对所述密文应用信息传播算法,产生n个密文块的集合; 通过对n个密钥股份和n个密文块中的每一个应用概率性承诺方案,计算n个承诺值和n个解除承诺值;产生n个数据片段,其中每一个数据片段是密钥股份、密文块、 解除承诺值以及承诺值的函数,以及将所述n个数据片段存储在不同的逻辑存储设备上,从而,可 以从预定义数量的所述数据片段恢复数据。
18. 根据权利要求17所述的方法,其中将所述n个数据 片段存储在不同的逻辑存储设备上包括将所述n个数据片段存储在 n个不同逻辑存储设备上。
19. 根据权利要求17所述的方法,进一步包括在存储所述 n个数据片段之前,通过n个通信信道传输所述n个数据片段。
20. —种用于从声称的股份的集合中恢复数据的方法,包括 接收声称的股份的集合的指定的声称的股份,其中所'迷指定的声称的股份被断言有效;将每一个声称的股份分为内容部分和校验和的矢量;使用与所述指定的声称的股份关联的校验和的矢量,将声称的股 份的集合的每一个股份分类为实际股份或假的股份;以及对被分类为实际股份的股份应用计算秘密共享方案的恢复算法, 以恢复数据。
全文摘要
公开了用于进行保密数据的有效分发以及随后恢复的健壮计算秘密共享方案。可以随机地生成加密密钥,然后使用秘密共享算法进行共享,以生成密钥股份的集合。可以使用密钥,对保密数据进行加密,导致密文。然后,可以使用信息传播算法,将密文分解为密文段。每一个密钥股份和对应的密文段都作为输入提供到概率性承诺方案的承诺方法,产生承诺值和解除承诺值。可以通过组合密钥股份、密文段、解除承诺值以及承诺值的矢量,获取健壮计算秘密共享方案的股份。
文档编号H04L9/08GK101569132SQ200780047673
公开日2009年10月28日 申请日期2007年11月7日 优先权日2006年11月7日
发明者M·贝拉尔, P·罗加韦 申请人:安全第一公司