基于椭圆曲线加密法的签密方案

技术领域

本发明涉及用于基于椭圆曲线加密法加密并数字签名数据的方法、条件访问系统、前端系统和智能卡。

背景技术

条件访问系统是公知的，并且广泛地与当前可获得的付费电视系统相结合地使用。目前，这样的系统基于服务的传输，所述服务被具有机顶盒和每一个订阅包的智能卡的用户接收的控制字(也被称为服务加密密钥)加密。典型地，这些服务由前端系统以广播流发射。已知这样的实现，其中机顶盒功能被集成到如电视、个人录影机、手机、智能电话或计算机用品的装置中。已知这样的智能卡实现，其中智能卡是在操作之前手动插入机顶盒中的独立的卡、或集成在机顶盒中的表面安装装置。已知软件实现的智能卡作为机顶盒中的软件模块运行。来自特别服务提供商的订阅包的智能卡允许包内的加密服务被解密和观看。广播流还包含授权管理消息(EMM)，也被称为密钥管理消息(KMM)，和授权控制消息(ECM)，这对于智能卡解密服务而言是必要的。控制字是用于保护服务数据的主要安全机构，并且相对频繁地改变。ECM被用于以加密形式传送控制字，因此被相对频繁地发送。EMM被用于传送用于解密ECM以抽取控制字、解密与添加或移除观看/使用权限相关的其它数据、和/或解密其它用户特定数据的秘密密钥。因此，存在不同种类的EMM，它们以不同的频率级别被发送，但不变的是比发送ECM的频率稍慢或慢的多。

椭圆曲线加密法是用于对诸如EMM和ECM的消息进行加密和数字签名的已知技术。实现椭圆曲线加密法技术的椭圆曲线加密系统对由预定的椭圆曲线域参数确定的有限场上的椭圆曲线执行算术运算。椭圆曲线域参数存储在用于加密和签名目的的前端系统中，并且存储在用于解密和签名验证目的的智能卡中。

椭圆曲线加密法典型地使用下述椭圆曲线域参数之一：有限场IF_p上的椭圆曲线域参数、和IF_2^m上的椭圆曲线域参数。

IF_p上的椭圆曲线域参数是p、a、b、G、n和h。参数p是指定有限场F_p的质数(prime)。参数a∈IF_p和b∈IF_p指定由等式y²＝x³+a＊x+b限定的椭圆曲线E(IF_p)。参数G是椭圆曲线上的点的循环子群的基点(G_x，G_y)。参数n是G的阶，即最小的非负质数n，从而n·G＝O(O是无穷大的点)。参数h是余因子|E(IF_p)|/n。

IF_2^m上的椭圆曲线域参数是m、f(x)、a、b、G、n和h。参数m是指定有限场IF_2^m的整数。参数f(x)是指定IF_2^m的表示的次数m的不可约分的二进制多项式。参数a∈IF_2^m和b∈IF_2^m在F_2^m中指定由等式y²+x＊y＝x³+a＊x²+b限定的椭圆曲线E(IF_2^m)。参数G是椭圆曲线上的点的循环子群的基点(G_x，G_y)。参数n是G的阶，即最小的非负质数n，从而n·G＝O(O是无穷大的点)。参数h是余因子|E(IF_2^m)|/n。

加密是使用算法(也已知为密码)变换信息(也被称为明文)以使其对于除了那些有解密密钥的人以外的任何人不可读的处理。一种已知的基于椭圆曲线加密法的公共密钥加密方案是椭圆曲线整体加密方案(ECIES)。ECIES在例如`M.Abdalla，M.Bellare，P.Rogaway的“DHAES：An encryption scheme based on the Diffie-Hellmanproblem”，http://www-cse.ucsd.edu/users/mihir/papers/dhies.html，2001年9月18日中有描述，并且在例如ANSI X9.63和IEEE P1363A中标准化，上述文献通过引用全文并入本申请。在加密/解密处理中，ECIES使用接收机的私有密钥(由参数d_receiver表示)和公共密钥(由参数Q_receiver表示)。此处，参数d_receiver典型地为在区间[1，n-1]中随机选择的整数。参数Q_receiver典型地等于d_receiver·G。

为了使用ECIES对明文消息加密，前端系统执行下述步骤。首先，产生随机数r，并且计算随机点R＝r·G，得到R＝(R_x，R_y)。第二，导出共享秘密S＝P_x，其中P＝(P_x，P_y)＝r·Q_receiver(并且P不是无限大的点)。第三，诸如ISO/IEC 18033-2中限定的KDF1或KDF2的密钥导出函数(KDF)被用于通过计算k_E＝KDF(S)推导对称加密密钥。第四，通过计算E(k_E；message)使用加密密钥k_E对消息加密。第五，加密的结果被输出作为R‖encrypted_message，即与被加密的消息相连接的随机点R。

为了使用ECIES解密消息，智能卡执行下述步骤。第一，导出共享秘密S＝P_x，其中P＝(P_x，P_y)＝d_receiver·R。第二，KDF被用于通过计算k_E＝KDF(S)推导对称加密密钥。第三，通过计算E^-1(k_E；encrypted_message)使用加密密钥k_E对消息解密。

数字签名是一种用于模拟纸张上的手写签名的安全特性的非对称加密法。数字签名提供了消息的认证。一种已知的基于椭圆曲线加密法的公共密钥签名算法是椭圆曲线数字签名算法(ECDSA)。ECDSA在例如ANSI X9.62，FIPS 186-2，IEEE P1363和ISO 15946-2中被标准化，上述文献通过引用而全部并入本申请。ECDSA在签名/验证处理中使用发送者的私有密钥(由参数d_sender表示)和公共密钥(由参数Q_sender表示)。此处，参数d_sender典型地为区间[1，n-1]中随机选择的整数。参数Q_sender典型地等于d_sender·G。

为了使用ECDSA数字地签名一个消息，前端系统执行下述步骤。第一，将消息的散列e计算为e＝H(message)，其中H是诸如FIPS PUB 180-1中限定的SHA-1的加密散列函数。第二，从[1，n-1]中选择随机整数k。第三，计算签名分量r_signature＝x₁(mod n)，其中(x₁，y₁)＝k·G。如果r_signature等于0，则重复第二步骤。第四，计算签名分量s_signature＝k^-1＊(e+r_signature＊d_sender)(mod n)。如果s_signature等于0，则重复第二步骤。第五，得到的签名作为r_signature‖s_signature输出，即与签名分量S_signature相连接的签名分量r_signature。

为了验证使用ECDSA的消息的数字签名，智能卡执行下述步骤。第一，验证签名分量r_signature和签名分量s_signature是[1，n-1]中的整数。如果不是，则签名无效。第二，将消息的散列e计算为e＝H(message)，其中H是签名产生中使用的相同函数。第三，计算w＝s_signature^-1(mod n)。第四，计算u₁＝e＊w(mod n)和u₂＝r_signature＊w(modn)。第五，计算(x₁，y₁)＝u₁·G+u₂·Q_sender。第六，如果x₁＝r_signature(modn)则总结签名有效；否则，无效。

加密和数字签名数据两者的处理也已知为签密。

在图1A中，示出了在应用ECIES加密之前和之后的EMM或ECM的现有技术例子。该例子中的未加密的ECM/EMM 10具有6字节头部11和50字节的净荷12。使用ECIES和192字节的公共密钥对净荷12加密。这也被认为是使用ECC-192的加密。得到的加密的EMM/ECM 20包含头部11、48字节的随机点R＝(R_x，R_y)21和50字节的加密的净荷22。因此，由于随机点R 21的48字节的开销，该例子中的加密的EMM/ECM包20在加密之后变长了48字节。可以使用不同大小的公共密钥，得到不同大小的随机点R＝(R_x，R_y)。

在图1B中，示出了在应用ECDSA数字签名之前和之后的加密的EMM或ECM的现有技术例子。该例子中的加密的EMM/ECM 20具有6字节头部11和48字节的随机点R(R_x，R_y)21和50字节的加密净荷22。使用ECDSA和192字节的公共密钥对加密的EMM/ECM数字签名。这也被认为是使用ECC-192的数字签名。得到的签名的并加密的EMM/ECM 30包含加密的ECM 20、24字节的签名分量r_signature31和24字节的签名分量s_signature32。因此，由于签名分量r_signature31的24字节的开销和签名分量s_signature32的24字节的开销，该例子中的数字签名并加密的ECM包30在数字签名之后变长了48字节。可以使用不同大小的公共密钥，得到不同大小的签名分量。

ECIES和ECDSA增加了消息的大小。在ECC-192的例子中，在应用了ECIES和ECDSA之后，一共向消息添加了96字节。对于典型的数据包大小为184字节的EMM和ECM，该开销相当大。

在EP0874307A1中，公开了一种用于将椭圆曲线E上的点P乘以值k，以推导点kP的方法。该方法仅被公开用于二元场IF_2^m中的椭圆曲线。该方法包括将数k表示为存储在寄存器中的二进制位的向量，并且形成点对(P1，P2)的序列的步骤，其中点对相差最大为P，并且其中通过从(mP，(m+1)P)计算(2mP，(2m+1)P)，或从(mP，(m+1)P)计算((2m+1)P，(2m+2)P)来选择点对的连续序列。可在计算期间不使用点的y坐标来进行计算，而允许在计算结束时抽取y坐标，从而避免在计算期间使用逆运算，并且因此加速加密处理器的运行。EP0874307A1还公开了一种用于加速两方之间的签名验证的方法。在EP0874307A1中，由于通过加密和数字签名消息而对消息添加的开销，签密的消息不利地具有增加的大小。

发明内容

本发明的一个目的是提供一种用于基于椭圆曲线加密法对数据进行加密和数字签名的改进的方法。

根据本发明的一个方面，提出了一种用于基于椭圆曲线加密法处理数据以获得处理结果的方法。该方法包括使用随机点R加密数据以获得加密的数据的步骤。该方法还包括使用随机点R对加密的数据数字签名以获得处理结果的步骤。

因此，本发明的包括基于椭圆曲线加密法对数据加密和数字签名的步骤的方法使得能够产生再使用加密步骤中计算的随机数据的数字签名，使得在签密之后能够具有减小的数据开销。

权利要求2的实施例有利地使得能够得到没有随机点R的y坐标R_y和签名分量r_signature的处理结果。

权利要求3的实施例有利地使得能够对授权管理消息或授权控制消息签密。

根据本发明的一个方面，提出了一种用于基于椭圆曲线加密法处理数据以获得处理结果的方法。该方法包括使用随机点R验证数据的步骤。该方法还包括使用随机点R对数据解密以获得处理结果的方法。

因此，本发明的包括基于椭圆曲线加密法验证和解密作为签密数据的数据的步骤的方法有利地使得能够对数据进行数字签名验证和解密，由此在两个步骤中都使用相同的随机点R，使得能够减小签密数据中的数据开销。

权利要求6的实施例有利地使得能够不用随机点R的y坐标R_y和签名分量r_signature对数据进行签名验证和解密。

权利要求7的实施例有利地使得能够对签密的授权管理消息或签密的授权控制消息进行签名验证和解密。

权利要求4和8的实施例有利地使得能够在条件访问系统中使用本发明的方法。

根据本发明的一个方面，提出了一种条件访问系统，该系统包括前端系统和一个或多个智能卡。该条件访问系统被配置为执行上述步骤中的一个或多个。因此，本发明的条件访问系统有利地使得能够以签密之后的减小的数据开销来对数据进行签密。

根据本发明的一个方面，提出了一种前端系统。该前端系统被配置为执行上述步骤中的一个或多个，因此，本发明的前端系统有利地使得能够以签密之后的减小的数据开销进行签密。

根据本发明的一个方面，提出了一种智能卡。该智能卡被配置为执行上述步骤中的一个或多个，因此，本发明的智能卡有利地使得能够对具有减小的数据开销的签密的数据进行签密验证和解密。

在下文中，将更详细地描述本发明的实施例。然而，应理解为这些实施例不可被理解为限制本发明的保护范围。

附图说明

通过参照附图所示的示例性实施例更详细地描述本发明的方面，其中：

图1A示出了在应用ECIES之前和之后的ECM或EMM的现有技术例子；

图1B示出了在应用ECDSA之前和之后的ECM或EMM的现有技术例子；

图2示出了本发明的示例性实施例的条件访问系统的示意图；

图3示出了包括本发明的示例性实施例的对数据加密和数字签名的步骤的方法的步骤；

图4示出了包括本发明的示例性实施例的验证和解密数据的步骤的方法的步骤；以及

图5示出了本发明的示例性实施例的在应用ECIES和ECDSA之前和之后的ECM或EMM。