获得消息和与所述消息相关联的标识参数。所述消息包括多个单元。生成多个一单元消息认证代码,其中每个一单元消息认证代码对应于所述消息的多个单元的各自单元,以及其中基于与所述消息相关联的标识参数、所述多个单元中的给定单元、以及所述消息中的给定单元的位置,生成每个一单元消息认证代码。然后可以在安全计算方法(诸如,仅作为示例,乱码电路)内部高效地执行消息的每个单元的验证。
【技术实现步骤摘要】
【国外来华专利技术】政府权力声明本文描述的专利是在政府的支持下做出的,其由内政部/国际商务中心(DOI/NBC)的高级情报研究计划署(IARPA)资助,合同号为D11PC20194。政府在本专利技术中享有某些权力。
本申请一般涉及密码学,并且更具体地,涉及用于使密码操作免受恶意修改的技术。
技术介绍
这部分介绍可以有助于促进更好地理解本专利技术的方面。因此,将就此来阅读这部分的内容,并且这部分的内容不被理解为承认什么是现有技术或什么不是现有技术。异或(XOR)加密(其还被称为香农加密)是在密码学中广泛使用的其中一种最简单的加密形式。它也能够非常高效地被实现。为了使用密钥k加密消息m,系统或设备仅计算c=m(xor)k,其中(xor)表示二进制异或操作符。虽然存在其它非常高效的加密方案(诸如高级加密标准(AES)),但是异或加密可能特别适用于基于乱码电路(GC)安全计算的应用。然而,此类应用可能易受恶意修改。
技术实现思路
说明性实施例提供了用于保护密码操作(诸如但不限于异或加密操作)免受恶意修改的技术。例如,在一个实施例中,一种方法包括以下步骤。获得消息和与所述消息相关联的标识参数。所述消息包括多个单元。生成多个一单元消息认证代码,其中每个一单元消息认证代码对应于所述消息的多个单元的各自单元,以及其中基于与所述消息相关联的标识参数、所述多个单元中的给定单元、以及所述消息中的给定单元的位置,生成每个一单元消息认证代码。在一个示例中,所述消息可以是异或加密密钥,以及所述标识参数可以是与所述密钥相关联的唯一标识符。消息认证代码密钥用于生成所述多个一单元消息认证代码。在异或加密密钥示例中,单元可以是比特,从而导致多个一单元消息认证代码的生成。于是,可以在安全计算方法的内部(诸如,仅作为示例,GC),高效地执行异或加密密钥的每个比特的验证。在另一个示例中,提供了一种制造品,所述制造品包括:处理器可读的存储介质,其具有编码在其中的一个或多个软件程序的可执行代码。当由至少一个处理设备执行所述一个或多个软件程序时,它实现上述方法的步骤。在又一个实施例中,一种装置包括存储器和处理器,所述处理器被配置为执行上述方法的步骤。有利地,在基于GC的安全计算应用中,针对异或加密密钥的每个比特的一比特消息认证代码的生成可以用于向GC高效地验证密钥的真实性,从而免受异或加密密钥的恶意修改。此外,说明性实施例提供了在与私有数据库系统相关联的验证器处,验证比特集合中的给定比特的正确性,同时使得验证的比特不被验证器知道。从附图和以下详细描述,本文中描述的实施例的这些和其它特征和优点将变得明显。附图说明图1说明了根据一个实施例的具有保护的异或加密的私有数据库系统。图2说明了根据一个实施例的用于保护异或加密的方法。图3说明了处理平台,在该处理平台上,实现了根据一个或多个实施例的具有保护的异或加密的系统。具体实施方式将参照示例性计算系统、数据存储系统、数据库系统、通信网络、处理平台、系统、用户设备、网络节点、网络元素、客户端、服务器、以及相关联的通信协议来描述说明性实施例。例如,说明性实施例特别适用于与使用基于乱码电路(GC)安全计算或操作的应用结合使用和/或用于基于乱码电路(GC)安全计算或操作的应用。然而,应当理解的是,实施例不局限于与所描述的特定布置结合使用,而是更一般地应用于期望提供用于保护密码操作(例如异或加密)免受恶意修改的技术的任何环境。在基于GC的计算中,一般而言,将被评估的功能被表示为包括一个或多个逻辑门的布尔电路,其中门的输入和输出端子被称为线路。随机(乱码)输入值被指配给与每个门相关联的每个线路。然后,构建乱码表,使得给定电路的每个输入线路的所指配的乱码输入值的情况下,针对该电路的每个输出线路,计算对应的乱码输出值。通过构建针对每个电路门的此类乱码表来评估电路(从而评估功能)。在基于GC的安全应用中,基于加密的输入数据来评估乱码电路。基于GC的安全计算的示例使用包括但不限于:被实现作为所谓的“私有数据库系统”的一部分的安全数据库搜索。私有数据库系统能够基于输入值来评估功能,同时保持输入值的隐私性。因此,在私有DB搜索中,因为在加密数据上执行GC,因此必须在GC内部移除加密。当使用异或加密时,这种移除任务具有最小的代价。然而,当使用所有其它流行加密方案(例如AES)时,移除任务能够导致过高的代价。然而,使用异或加密的一个问题是,它高度易被控制(即,可被修改)。特别地,在不知道消息的情况下,持有加密密钥的一方(例如,敌对者)能够简单地通过反转(flipping)秘密密钥的对应比特(即,反转比特意味着,将逻辑0比特值改变为逻辑1比特值,反之亦然),对消息的比特进行反转。当由敌对者进行这种操作时,这种比特反转被称为“恶意修改”。在某些私有数据库系统中,使用异或加密的另一个问题是,消息和密钥可能是非常大的,例如50-100千兆字节(GB)。因此,该系统不能负担密钥或消息的显著增加(例如,因为将需要额外的存储设备以存储辅助的认证信息)。实施例提供了解决方案以通过高效地认证加密密钥来解决上述和其它问题。现有的解决方案(诸如构建针对密钥k的消息认证代码(MAC))主要关注于确保整个密钥是完全正确的,并且具有非常高的概率来检测密钥中的任何改变。这导致了至少两个缺点:1)在电路复杂性方面,现有解决方案的效率较差(因此,在私有数据库设置中,与导致安全计算相关联的非常高的代价)。2)现有的解决方案没有考虑到以下情况:当消息和密钥非常长时,能够摆脱如下方案:其考虑到基于密钥的每个比特来检测敌对密钥拥有者的小概率(例如,0.5)。如果密钥拥有者试图改变密钥的非常多比特,则将大概率抓到密钥拥有者,但是如果仅改变较少比特,则可能不能检测到。在许多应用中,仅改变较少比特不影响总的结果,如在私有数据库设置中就是这种情况。一些实施例通过针对加密密钥k的每个比特生成各自的消息认证代码(MAC)(与针对整个密钥k生成一个MAC相对比),克服这些和其它缺点。在私有数据库应用中,每个消息具有唯一标识符,即msg-id。在这个实施例中,msg-ID是与加密密钥k相关联的唯一标识符(标识参数),因为“消息”(针对该消息,生成MAC)是加密密钥自身。因此,使用MAC密钥、消息ID、比特位置和密钥比特,生成各自MAC。可以将这个MAC给验证器,其能够确保加密密钥比特被正确地使用。将了解的是,在此类实施例中,因为所生成的MAC是非常短的(例如,一个比特),因此MAC证明者的存储空间不是非常大并且是可接受的(注意的是,验证器具有MAC密钥并且能够生成用于验证的MAC自身)。此外,验证是非常高效的(可以在私有数据库应用中的GC内部来执行验证)。图1说明了根据一个实施例的具有保护的异或加密的私有数据库系统的示例。然而,将了解的是,尽管本文中描述的密码操作保护技术特别适用于在私有数据库系统中提供保护的异或加密,但是可以可替代地使用其它密码操作和/或使用其它应用和系统来实现所述技术中的一个或多个技术。如示出的,私有数据库系统100包括:经由网络130连接的客户端(C)110和服务器(S)120。客户端110和服务器120向两方安全计算协议140提供输入。两方安全计算协议140可以被实现为它自己的各本文档来自技高网...
【技术保护点】
一种方法,包括:获得消息和与所述消息相关联的标识参数,其中所述消息包括多个单元;生成多个一单元消息认证代码,每个一单元消息认证代码对应于所述消息的多个单元的各自单元,其中基于与所述消息相关联的标识参数、所述多个单元中的给定单元、以及所述消息中的给定单元的位置,生成每个一单元消息认证代码;其中由处理设备执行步骤中的一个或多个步骤。
【技术特征摘要】
【国外来华专利技术】2014.08.11 US 14/456,5541.一种方法,包括:获得消息和与所述消息相关联的标识参数,其中所述消息包括多个单元;生成多个一单元消息认证代码,每个一单元消息认证代码对应于所述消息的多个单元的各自单元,其中基于与所述消息相关联的标识参数、所述多个单元中的给定单元、以及所述消息中的给定单元的位置,生成每个一单元消息认证代码;其中由处理设备执行步骤中的一个或多个步骤。2.根据权利要求1所述的方法,其中所述消息包括异或加密密钥。3.根据权利要求1所述的方法,其中所述消息包括多个比特,以及所述多个单元中的每个单元由单个比特组成,使得针对所述消息的所述多个比特的每个比特分别生成多个一比特消息认证代码中的每个一比特消息认证代码。4.根据权利要求1所述的方法,其中使用消息认证代码密钥,针对所述消息的多个单元分别生成所述多个一单元消息认证代码。5.根据权利要求4所述的方法,还包括:向所述消息的持有者提供所述多个...
【专利技术属性】
技术研发人员:V·柯勒斯尼科夫,A·库马拉苏布拉马尼安,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。