【技术实现步骤摘要】
【国外来华专利技术】 本专利技术涉及一种用于消息的选择性组播的系统,广播系统和用于选择性组播的方法。在基本数据传输系统中,通过信道将数据从发送方传输到多个接收方。用于数据传输的物理信道在本专利技术的范围之外,并且能包含任何已知形式的数据传输方法和任何介质类型。该公开所提出的问题是如何将数据选择性地传输给多个接收方,以及如何排除其他接收方接收数据。通过尤其适用于该任务的加密方案实现该选择性。从发送方到多个接收方的数据传输称为“组播”或“点到多点”传输。选择性组播传输已经应用于像付费电视这样的领域。但是互联网通信以及移动通信可以利用选择性组播。在广播系统中,通过信道发送的数据被加扰(scramble),并且解扰(decramble)该数据的必要密钥信息一在此称为“组播密钥”一被分配给多个接收方,从而实现了理想的选择性一只有授权的接收方能解密该消息,而非授权的接收方不能解密该消息。由于使用加密,该系统能很好的适用于广播应用,其中信道和传输方法不限制该接收方的数量。然而,对于成员资格变化,该方法不是非常灵活。如果以前授权的接收方离开该组播组,以前使用的组播密钥(共享秘密)需要变化,从而对于排除的接收方,进一步的传输不再可读。需要安全地传输新的组播密钥,并且只选择性地传输至剩余的授权接收方。在一些应用中,例如付费电视,包括付费选看节目系统,成员资格高度动态。对于这些应用,与必要的密钥变化有关的开销必须非常小。尤其是在具有中等数量接收方(例如100到100000)的组播或广播系统中,甚至是对于具有大量接收方(例如,超过10000)的组播系统中,带宽需求非常重要。而且,非常希望能够在接收端,...
【技术保护点】
一种用于消息的选择性组播的系统,具有至少一个发送方(S),和与所述发送方(S)相关的密钥提供装置(26、52、54),所述密钥提供装置用于提供基本组密钥集(GK1,GK2,…)和基本地址密钥集(X0,X1,…Y0,Y1,…Z0,Z1,…),并具有用于发送加密消息(mk↑[*])的发送装置(16),所述系统还包括多个接收方(R0,R1,…),所述接收方是多个组的成员,以及与每个所述接收方相关的访问装置(42,50),用于访问单个接收方地址密钥集和一个或更多组密钥(GK),其中所述一个或更多组密钥(GK)对于同一组中的所有接收方是相同的,其中每个所述接收方地址密钥集是所述基本地址密钥集的子集,并且对于同一组中的接收方的所有对,所述接收方地址密钥集成对地不同,且其中对于每个单独的接收方,存在来自基本地址密钥集的一个或更多排除密钥(X0,X1,…,Y0,Y1,…,Z0,Z1,…),该排除密钥不包含在所述接收方的接收方地址密钥集中,所述系统还包括授权存储装置(30),用于存储每个所述接收方的授权信息,所述系统还包括加密装置(24),用于从所述消息(mk)中产生多个加密的消息(mk↑[*]),其中...
【技术特征摘要】
【国外来华专利技术】EP 2004-5-19 04102207.015的广播系统和根据权利要求16的方法实现了该目的。从属权利要求涉及本发明的优选实施例。根据本发明的系统包括至少一个发送方和多个接收方。应当注意,尽管下面讨论的安全组播将限于从发送方到接收方的单路通信,但是将不排除反向信道(back channel)的可能性,即在后面的通信中,发送方和接收方的角色可能颠倒。该系统通过使用加密允许选择性的组播。与发送方相关的,即位于发送方处或可被发送方访问的是存储组密钥基本集和地址密钥基本集的密钥存储装置。而且,每个接收方具有用于存取单个接收方密钥集的存取装置,即适用于允许接收方存取密钥的装置,即通过存储或接收。该接收方是多个组的成员。该单个接收方密钥集一方面包括接收方地址密钥集,另一方面包括一个或多个组密钥。在同一组中的所有接收方能存取相同的组密钥,但是具有不同的接收方地址密钥集。每个接收方地址密钥集是在发送方处可存取的地址密钥基本集的子集。对于每个单一接收方,存在一个或多个排除密钥。排除密钥是来自地址密钥基本集的密钥,它不包含在单一接收方密钥集中。通过排除密钥的消息加密排除了相应的接收方接收该消息,因此这样称呼。在该系统中还包括授权存储装置,其可以存储关于授权和/或非授权接收方的授权信息。在目前选择性组播的情况下,授权的接收方接收消息,而非授权的接收方不应当接收该消息。通过使用加密装置,该加密装置用于从要发送的消息中产生多个加密消息,并且通过发送这些加密消息来实现选择性组播。该加密消息每个以密钥组合加密。这些密钥是AND关系,即,仅当知道来自组合的所有密钥,才能解密该消息。以后将进一步讨论使用多个密钥的加密方法的范例。每个加密消息针对接收方的目标组。当多个消息可能用于一个组时,优选使得仅一个加密消息用于每个接收方组。为了确保只有目标组的成员接收该消息(或者,更精确的,能够解密该消息并且接收清楚的原文),应用的密钥组合优选地包含目标组的所有组密钥的至少一个。在每个组中,为了确保只有授权的接收方接收清楚的原文消息,应用的组合包含在目标组中的非授权接收方的排除密钥。因此,根据本发明的系统和方法对于多个组中的大量的接收方,允许选择性组播。通过精心选择不同加密消息的密钥组合,使用的加密确保只有授权的接收方可以接收该消息。在优选实施例中将显示出这是非常有效的方案,其将使得选择性组播的带宽需求最小化,并且导致降低了接收端(receiver side)在存储和计算要求方面的需求。在根据本发明的广播系统中,用于选择性组播的上述系统和方法用于选择的传输加扰密钥。该加扰密钥用于加扰内容消息,然后由能够访问加扰密钥的接收方解扰该消息。在本发明中,术语“加扰”涉及任何种类的加密,并且优选的是分组密码。在此使用术语“加扰”代替“加密”以区分内容消息的加扰与上述组播消息的加密。应当注意,本发明可应用于很宽的范围。用于从发送方到接收方的传输所使用的信道可以是任何类型的传输方法和/或媒介。而且,几乎可以使用利用密钥来加密数据的任何加密方法。这尤其暗示着可使用对称和非对称加密方法。对称加密方法对于加密和解密使用相同的密钥,而在非对称加密方法中,“密钥”实际上是密钥对,一个密钥部分(通常称为“公钥”)用于加密,另一部分(“私钥”)用于解密。根据本发明,两种类型的方法可用于系统中。该系统也不限于特定数量的接收方。显然,在具有高数量的接收方的系统中,例如超过1000或1000之上的系统中,该系统的优点将变得更清楚。根据本发明的优选实施例,存在属于不同组的接收方的多个接收方地址密钥集,所述接收方地址密钥集是相同的。这限制了需要在发送方中存储的地址基本密钥的数量。由于该接收方属于不同的组,因此具有相同接收方地址密钥集的接收方不排除选择性。还优选的是,不仅存在一些相同的接收方地址密钥集,而且多个组(更优选的多数组,甚至最优选的所有组)的所有接收方具有相同的接收方地址密钥集。这一方面大大的减小了系统中密钥的总数,还提供了更多的优点,即有可能发送单一加密消息,该单一加密消息可以由来自多个组的一个或多个接收方解密。如上所述,以这样一种方式实现通过密钥的组合进行加密,即使得需要用所有的密钥组合解密消息。对于实施加密存在不同的可能性,在此以AND方式连接该密钥。一种可能的方式被用于产生来自密钥组合中的密钥,即,通过使用密钥的数学操作。例如,可重新表示为2进制数的两个密钥,可对其进行异或以获得组合密钥。如果两个原始密钥是已知的,通过组合密钥进行加密通常可能仅仅是反转。然而,优选的是作为递归加密来通过多个密钥实施加密。在本发明内容中将称为“密钥链”的递归加密,包括使用第一密钥加密数据以获得第一加密数据,和进一步利用第二密钥加密第一加密的数据以获得第二加密数据,等等。显然,在使用多个密钥的递归加密之后最终获得的结果只能在利用相同密钥进行递归解密之后才能被读取(如果次序是重要的,那么通常是逆序解密)。为了相应的读取递归加密的数据,对于接收方,需要可以得到在递归加密过程中使用的完整密钥组合。根据本发明的其他开发,该系统包括地址密钥产生装置,以产生基本地址密钥。该系统还包括选择性密钥传输装置,用于将产生的地址密钥选择性地发送给接收方。接收方的访问装置包括接收装置,以接收发送的地址密钥。这允许使用临时地址密钥,该密钥只用于有限数量的消息。事实上,优选地,地址密钥可以只用于少量消息的传输,例如小于10。该地址密钥可只用于发送单个消息。地址密钥的频繁变化使通过接收方联合的系统攻击的敏感度最小化,所述接收方将交换各自的地址密钥。为了选择性的提出重新产生的地址密钥,优选的使用另一组密钥,这些密钥包含在选择基本密钥集中。优选在每个接收方中存储作为选择基本密钥集的子集的相应的接收方选择密钥集。相同组中接收方的选择密钥是成对的,互相不包含。然而优选的是,不同组的接收方的接收方选择密钥集相同。对于多个组,或者多数组,更优选的对于所有组的所有接收方这是优选的情况。使用上述密钥分配,通过使用选择密钥的组合来加密要传输的该接收方地址密钥,就有可能实现选择性密钥传输。在此,具有相同接收方选择密钥集的接收方接收相同的地址密钥集。对于根据本发明的系统和方法,一个重要的问题是选择密钥发布方案,即在接收方中,组密钥、地址密钥和/或选择密钥的分配。作为参考优选实施例的进一步描述的方案,存在两个优选的特定发布方案,一个用于中等大小的情况(接收方的数量大约从100到100000),另一个用于较大数量的情况(接收方的数量超过10000,优选超过100000)。在第一种优选的发布方案中,该方案很好地适用于中等大小的情况,对于每个接收方只存在一个排除密钥。该排除密钥包含在相同组的所有接收方的地址密钥集中,除了排除密钥的“拥有者”,即通过使用该密钥排除的接收方。因此,利用特定接收方的排除密钥的消息加密,将使得组中除了被排除的接收方之外的所有接收方有可能解密该消息。同样,如上所述,利用AND方式的排除密钥的组合进行的加密,将使得组中除了被排除的接收方以外的所有接收方有可能解密该消息。在优选的和非常有效发布方案中,选择整数基数b和维数d。基数b大于或等于2,并且典型的小于或等于16。维数d大于或等于1,并且典型的在2到20的范围内。关于b和d选择的细节将参考优选实施例进行讨论。每组包括多至bd个接收方。当然,优选地是将该组填满,有可能除了最后一个之外。存在b*d个选择密钥,其中每个接收方组包含(b-1)*d。通过表示基数为b的编号系统中接收方编号r,并且为该表示的每个数位分配b个预定的选择密钥中的一个来确定(b-1)*d选择密钥。该发布方案以非常简单和数学上非常精确的方式确保相同组中不同接收方的接收方选择密钥集在至少一个选择密钥上是不同的。对于中等情况发布方案,优选的是地址基本密钥集包含bd地址密钥,即与地址密钥与组中的接收方一样多。使用上述选择密钥发布方案,通过发送每个地址密钥d次,每次用选择密钥的传输组合中不同的一个进行加密来实现优选的地址密钥分配。根据基数为b的编号系统中的编号表示,再次选择传输组合。与上述讨论的选择密钥发布方案一起,确保每个接收方接收除一个地址密钥之外的所有地址密钥,所述地址密钥将变成它的排除密钥。在替代的用于较大情况的发布方案中,对组中的每个接收方存在至少两个排除密钥。在该组中每个排除密钥的组合是唯一的。这允许精确的排除组中的非授权接收方。而且,优选地该组被细分为多个子组。相应地将地址密钥划分为第一地址密钥和第二地址密钥。在相同子组中的接收方具有相同的第一地址密钥,但是具有不同的第二地址密钥集。进一步的细分允许组中的接收方准二维寻址。通过使用第一和第二地址密钥,大大的减小地址密钥的总数,其中第一地址密钥寻址子组,第二地址密钥寻址子组中的单个接收方。根据较大情况发布方案的进一步开发,对于每个子组存在一个子组排除密钥,并且对于子组中的每个接收方,存在一个位置排除密钥。再次,术语位置排除密钥是指单个接收方的密钥集(第二地址密钥)和单个子组的密钥集(第一地址密钥),并且指定不包含在相应接收方/子组密钥集中但是包含在剩余接收方/子组密钥中的密钥。为了排除组中的非授权接收方,根据该非授权接收方的位置排除密钥和子组排除密钥计算排除密钥。因此,该排除密钥是单个接收方子组与位置排除密钥的数学组合。这允许精确且安全地排除单个接收方。相应的排除密钥对的使用可看作接收方在它自己的组中的二维寻址。优选地,通过递归取幂,即通过使用两个排除密钥中的一个来计算基数的取幂,并且通过用另一排除密钥对结果进一步取幂,来计算子组排除密钥和位置排除密钥的数学组合。在优选实施例的讨论期间,这将变得更清楚,这对应于Diffie-Hellman密钥建立过程。在特定的环境下,即如果使用每个排除密钥单独取幂的单个结果是已知的,那么如果两个排除密钥中只有一个是已知的,则该排除密钥的数学组合类型可逆(即,该消息解密)。因此,该方法有效地实现OR关系,从而使得了解位置排除密钥或子组排除密钥仍旧充分能够解密该消息。因此,只有什么都不具有的非授权接收方不能解密该消息。对于大数量情况发布方案,优选的是选择整数基数b和整数维数d。b大于或等于2,典型的小于或等于16。d大于或等于1,并且典型的在2和20之间。每组包括多至b2d个接收方,并且分为bd个子组,每个具有bd个接收。再次,优选的是将子组和组(除了最后一个)填充到最大。选择基本密钥集包含2*b*d个选择密钥,具有b*d个第一选择密钥,和b*d个第二选择密钥,其中每个接收方持有(b-1)*d个第一选择密钥和(b-1)*d个第二选择密钥。如上所述,对于中等情况发布方案,根据基数为b的编号系统中接收方编号r的表示,确定每个接收方的给定密钥组合。以相同的方式,根据基数为b的编号系统中子组编号s的表示,确定第二选择密钥的组合。在另一开发中,使用具有bd个第一地址密钥和bd个第二地址密钥的地址密钥集。这些地址密钥中的每个被发送d次,每次用来自选择密钥的传输组合中的不同的一个进行加密。如上所述,对于中等情况发布方案,根据基数为b的编号系统中密钥编号t的表示来选择传输组合。这确保了上述地址密钥发布方案,其中对于组中的每个接收方存在一个子组排除密钥和一个位置排除密钥。如上所述,根据本发明的访问装置不必作为接收方中的存储装置实施,所述访问装置允许单个接收方访问它们的接收方密钥集。相反,如上所述,优选的是将地址密钥子集选择性地从发送方传输到接收方。尽管有可能首先传输地址密钥然后传输加密消息,但是优选的首先传输加密消息然后传输相应的地址密钥。在加密消息非常短的情况下,即,不包括大量的比特(例如,如果仅传送一个组播密钥),对于接收方比较容易存储加密消息中的一个(一个涉及它们组的消息),然后稍后接收相应的地址密钥,并且在解密期间使用它们,而不存储。下面,将参考附图讨论本发明的实施例,其中图1示出了根据本发明的广播系统实施例的符号表示;图2示出了图1所示的系统发送方的符号表示;图2a示出了图2中发送方的处理单元的第一实施例的符号表示;图2b示出了图2的发送方的处理单元的第二实施例的符号表示;图3示出了具有处理单元的图1的接收方的符号表示;图3a示出了接收方的处理单元的第一实施例的符号表示;图3b示出了接收方的处理单元的第二实施例的符号表示;图4示出了在图1的广播系统中的密钥分配系统的符号表示;图5示出了基数为2的编号系统中的表示数位的选择密钥的表格,;图6示出了发布方案的第一实施例的表格;图7示出了临时地址密钥集的表格;图8示出了用选择密钥加密的临时地址密钥的符号表示;图9示出了根据发布方案的第一实施例的地址密钥分配的表格;图10示出了连接矢量(joining vector)的符号表示;图11a-11c示出了组播密钥的加密形式的符号表示;图12a-12c示出了包括组播密钥的加密消息的符号表示;图13a,13b以符号表示示出了图12a-12c中加密数据包的处理的两个范例;图14示出了根据本发明第二实施例基数为2的编号系统中的表示数位的选择密钥的两个表格;图15a,15b示出了各具本发明第二实施例具有组和子组的发布方案的符号表示;图16a示出了通过第一选择密钥加密的第一中间密钥的符号表示;图16b示出了通过第二选择密钥加密的第二中间密钥的符号表示;图17示出了辅助密钥的符号表示;图18示出了根据第二实施地址密钥分配的表格;图19示出了连接矢量的符号表示;图20示出了排除接收方的表格;图21示出了加密的组播密钥的符号表示;图22示出了包含组播密钥的加密消息的符号表示;图23a,23b示出了图22加密消息的解密的符号表示。图1示出了根据本发明一个实施例的基本的广播系统10。系统10包括发送方S,以及作为范例的多个接收方R0,R1,R8,R9。通过信道C,将发送方S连接到每个接收方R0,R1,R8,R9,即发送方能向接收方发送数据。该范例中的信道C只允许从发送方到接收方的单向通信。该信道的特性是从发送方S发送的数据能在每个接收方R0,R1,R8,R9接收。应当注意,系统10是普通范例,并且信道C可以包括任何类型的介质和传输方法,例如通过大气的无线广播,在计算机网络中的数据传输或其他。内容源(未示出)连续向广播发送方S传送内容数据F1,F2,F3...。发送方S包括加扰单元(未示出),利用多个加扰密钥(组播密钥)m1,m2,m3...将内容数据加扰为加扰内容数据12,通过组播密钥发生器(未示出)连续传送所述加扰密钥。广播发送方S连续的广播该加扰内容数据。另一方面,每个接收方R0,R1,R8,R9包括解扰单元和组播密钥存储器,这将在下文所述。对于普通的加扰和解扰操作,可以使用任何类型的加密方法。优选的是使用快速分组密钥。在下面将讨论的范例中,我们假设块大小和密钥大小等于128比特。例如,广播系统10可以使付费TV系统,其中以加扰的形式连续广播TV内容,并且只有注册的用户(授权的接收方)才应该能够观看该内容。该系统适用于高度动态的情况,从而使得例如付费节目是可能的。因此,该加扰密钥(组播密钥)随时间改变非常频繁,例如每分钟发生变化。利用在时间的不同点上有效的组播密钥连续加扰实际传送的TV内容数据F1,F2,F3...。与广播发送方Sb的加扰广播相同,发送方S连续地将在给定时间上有效的组播密钥分配给授权的接收方。图2示出了图1中发送方S的符号表示。该发送方包括处理单元14,其接收内容数据F1,F2,F3。该处理单元14加扰该数据,并且使用传输装置16通过信道C广播该数据,该传输装置可以使任何类型的广播发送器,例如无线发送器或计算机网络接口。该处理单元还产生和分配组播密钥。图3示出了普通接收方R的符号表示。该接收方R具有用于在信道C上接收数据的接收装置26。在处理单元36中处理接收的数据。发送方和接收方的处理单元的特定设置取决于特定实施例。如下面将解释的,图2a,3a示出了根据第一实施例的处理单元的细节,图2b,3b示出了根据第二实施例处理单元的细节。在发送方S,可获得关于授权或非授权接收方的授权信息。下面,将解释两个实施例,其中发送方S的处理单元14加密内容数据F1,F2,F3...,从而在授权接收方R的处理单元36可解密该数据,但是非授权的接收方不能解密。第一实施例本发明的第一实施例针对中等大小的情况,即具有大约100到100000接收方。相应系统的基本结构在图4中示出。接收方被划分为组G0,G1,...。每个接收方具有相关的密钥存储器50。发送方具有组密钥存储器52和选择密钥存储器54。在此将不详细讨论所使用的实际的加密算法。在本发明的实施例中,实际上,可以使用本领域技术人员公知的所有加密算法。我们只通过如下方式广泛定义加密和解密操作加密Enc(K,M)=C解密Dec(K,C)=M组密钥存储器52包括组密钥GK1,GK2,GK3,...。组密钥用于将加密传输指向特定组。虽然有可能为每个组分配单独、唯一的组密钥,然而优选的是如图4所示,组密钥存储器52包括组密钥基本集,并且每个组的成员持有相同、唯一的组密钥的组合。例如,在图4中,组G0的成员所有都持有组密钥GK1,GK2,而G1的成员都持有GK1,GK3。因此,例如,通过GK1和GK2递归加密的消息只能被组G0的成员解密。在发送方S选择密钥存储器54中存储的选择密钥形成选择密钥基本集SK0,SK1,....SK5的。在每个组G0,G1中,每个接收方具有3个选择密钥的唯一组合。然而,在不同的组中接收方所持有的选择密钥的组合是相同的,即,作为第一组G0的第一成员的第一接收方R0与组G1的第一接收方R8持有相同的选择密钥集,并且与任何其他组的第一接收方持有相同的选择密钥集。通常,为了建立接收方总数为N的组播系统,选择整数b和d,其中b>=2是基数,且d>=1是维数。接收方被划分为bd大小的组。根据基数为b的编号系统中接收方编号的表示,确定组中的选择密钥的发布方案(即哪个接收方能够访问哪个密钥组合)。对于发布方案的数学定义,我们将使用下面的定义使N,N0分别表示不包括或包括0的自然数集。对于S集,使P(S)表示幂集(S的所有子集的集合)。我们定义下面从N0到P(N)的映射fG以字典式顺序列出大小为g的N的所有子集(其中以递减顺序读取子集)。例如对于g=2,产生这样的列表{1,2},{1,3},{2,3},{1,4},{2,4},{3,4},{1,5},...。这定义了映射fGNg→P(N)(在该范例中fG(0)={1,2},fG(1)={1,3},...)digiti(n)在基数为b的编号系统中使n≥0来表示,并且使digiti(n)表示第i个数位(从0开始,从右边计算),范例对于b=3,我们使digit2(15)=1,和digit3(15)=0。换句话说 (%表示模操作,是取整)fs使fs(n)={1+i·b+digiti(n)|i=0...d-1} 使fs‾(n):={1,2...,b·d}/fs(n)]]>(其中/表示集合差操作)注意,fG是内射(通过构造),并且fs和 是从{0,..,bd-1}到P({1,...,b·d})的内射映射。使用这些定义,现在可以定义该发布方案。假设将标号n从0到N-1唯一地分配给接收方,然后通过下面的规则描述密钥发布方案具有标号n的接收方获得了所有具有 的组密钥GKi和具有i∈fs-(n%bd)]]>的选择密钥SKi。在连接矢量中汇总有关接收方的授权信息,其包含系统中每个接收方的项目,在此该项目是对于非授权的接收方为‘0’而对于授权的接收方为‘1’。在具有如上所定义的选择和组密钥发布方案的系统中,通过使用以下算法将消息(在该情况下,是组播密钥m1,m2,m3的拷贝)发送给所有授权的接收方假定任意连接矢量(joinn)n=0.....N-1∈{0, 1}N,如下发送m比特组播密钥mk的信息(在此,每个“发送”表示在开放信道上广播)1.发送join0,join1,...joinN-1;2.产生bd个随机m比特序列Z0ZbN,-1 {M←mk;FORj=0...bd-1DOIF(j+i·bd<N)AND(!joinj+i·bd)THENM←M⊕Zj;]]>FORk∈fG(i)DO(in increasing order)M←Enc(GKk,M);SendM;}4.FORj=0...bd-1DOFORk∈fS(j)DO(in increasing order)Send Enc(SKk,Zj);该算法是基于将用户划分为bd大小的组。而且对于永久存储在接收方的组密钥GK和选择密钥SK,使用充当临时地址密钥的随机比特序列Z用于加密。在逐位排除或对组中所有非连接用户使用排除密钥之后,并在使用所有相应组密钥对所述结果加密之后,对于每个组单独发送组播密钥的拷贝。将地址密钥Zj发送d次,根据对基数为b的编号系统中j的数位,每次用一个选择密钥加密。当且仅当joinn=1具有标号n的接收方能够重构来自广播流的mk。图2a示出了发送方S的处理单元14的相应结构。组播密钥产生器20连续产生组播密钥m1,m2,m3...。在加扰单元22中使用在不同时间点有效的组播密钥加扰内容数据F1,F2,F3,...。将加扰内容特征F1*,F2*,F3*,...进行广播。通过加密单元24根据从授权存储装置30传送的连接信息来并行地加密组播密钥m1,m2,m3...。将加密的组播密钥m1*,m2*,m3*,...进行广播。加密单元24用于加密组密钥GK0,GK1,...和地址密钥Z0,Z1,...,对于组播密钥的每个加密,所述地址密钥由地址密钥产生器26随机重新产生。地址密钥Z0,Z1,...是与组播密钥长度相同的随机比特序列,例如128比特。通过加密单元28使用从选择密钥存储器54传送的选择密钥SK0,SK1,...加密这些地址密钥。将加密的地址密钥Z0*,Z1*,...进行广播。在接收端,接收该广播数据,并且授权的接收方从中提取内容数据信息F1,F2,F3...。接收方R的处理单元36的相应结构在图3a中示出。在密钥解密单元42中,利用从选择密钥存储器50中传送的有效的选择密钥SK0,SK1,...对接收的加密地址密钥Z0*,Z1*...进行解密。由此,在组播密钥解密单元40中使用解密的地址密钥Z0,Z1,...以解密被加密的组播密钥m1*,m2*,m3*...。由此,在解扰单元44中使用解密的组播密钥m1,m2,m3...,以解扰被加扰的内容数据F1*,F2*,F3*...,并且获得明码报文内容数据F1,F2,F3...。根据下面的算法将实现接收端的连接信息、加密的地址密钥和加密的组播密钥的接收和解密 1.h←s←n%bd;2.Getjoinh·bd,joinh·bd+1,···,join(h+1)·bd-1(ignore all the other bits sent);]]> Get tmp;IF(i=h)THENM←tmp;4.FORk∈fG(h)DO(in decreasing order)M←Dec(GKk,M);5.FORj=0...bd-1DO{Z←0;FORk∈fS(j)DO(in decreasing order){Get tmp;If(Z=0)AND(k∈fs‾(s))AND(j+h·bd<N)AND(!joinj+h·bd)]]>THEN Z←Dec(SKk,tmp);}If(Z≠0)THEN M←MZ;}6. mk←M;在步骤2和3中,从数据流中过滤出与接收方组h有关的信息。步骤4.用组密钥反向(reverse)加密,并且在步骤5.,恢复随机比特序列,并且从所有非连接组成员中去除比特序列。结果是最初的组播密钥。具有joinn=0的接收方n,没有机会恢复具有s=n%bd的Zs(除了通过攻击整个加密),这是因为它缺乏所有合适的选择密钥。由于对于非连接接收方n,通过充当排除密钥的随机比特序列Zs递归加密该消息(在该情况中,通过XOR简单地实施),被排除的接收方将不能从与它自己的组对应的传输中获得组播密钥mk的任何信息。对于所有其他组,对于被排除的接收方至少缺少一个组密钥,因此他也没有办法获得信息。在已经解释以实现选择性组播的组播密钥的加密和解密的普通结构之后,将参考图5-13a,13b讨论第一实施例的特定范例。在下面的范例中,系统的参数被选择为基数b=22和维数d=3。我们将只考虑最初的三组,由于每组具有bd(8)个成员,因此具有总计24个接收方。应当注意,特意选择该范例只包括少量接收方,以便能论证系统的操作。在本发明的实际实践中,接收方的数量通常是较高的。下面将讨论内部参数的选择。在图6的表格中,给出了用于24个接收方的使用选择密钥和组密钥的发布方案。如上所述,在每个三组中的选择密钥的分配是一致的。由于基数b被选择等于2,能以对偶表示(基数为2的编号系统)书写每个接收方编号(位置标号),以确定选择密钥发布方案。如图5所示,对于以对偶表示中的接收方数的每个数位,正好将一个选择密钥指定为值‘0’,并且另一个不同的选择密钥指定为值‘1’。根据该表示分配每个组中的选择密钥。现在,对于组播密钥传输的每个步骤,产生随机比特序列Z0,...Z7,其用作临时地址密钥。应当注意,此处这些临时密钥仅用于单一传输。替代地,将有可能使用临时密钥用于多个传输。如果根据上述指定发送算法的步骤4,将地址密钥Z0,...Z7发送给接收方,那么这导致发送如图8所示的加密包。每个地址密钥被发送d次(在此,d=3),每次用不同的选择密钥SK加密。对于具有标号j的地址密钥的加密,只使用具有标号j的接收方没有的选择密钥。图9示出了通过所述的加密实现的地址密钥的分配。如表格所示,对于每个组中的每个接收方,正好存在一个排除密钥。例如,排除密钥Z0可用于排除接收方R0,这是因为R0是唯一一个组中不能访问Z0的接收方。同样应用于R1和Z1,等等。应当注意,在根据上述指定的发送和接收算法的实施中,图9的表格不能反映接收方中的密钥存储,而是反映了在算法执行期间接收方访问单个地址密钥的能力。尽管可能出现在替换的实施例中,但是上述指定的发送和接收算法不包含接收方中地址密钥的存储。相反,本领域技术人员应当清楚,地址密钥“正好及时”接收以解密期间使用,所以不需要存储,这进一步使得接收端的存储需求最小化。在该范例中,我们假设连接矢量60如图10所示。进入下一个接收方的‘1’和‘0’反映哪个接收方被授权来接收组播密钥。例如,在组0中,接收方R0,R1,R5,R6和R7被授权来接收组播密钥,而R2,R3和R4未被授权。现在,在加密期间(发送算法的步骤3),计算组播密钥mk的加密形式。在此提出的加密算法是通过地址密钥的简单的XOR,但当然可以使用更复杂的算法。对于每个组,因此用非授权接收方的排除密钥加密组播密钥。例如,图11a示出了通过用于加密的地址密钥Z2,Z3和Z4(即,用于非授权接收方R2,R3,R4的排除密钥)对组0的组播密钥的加密。相应地,图11b和11c分别示出了对于组1和2的加密组播密钥。由此,用该组的所有组密钥最终对用于每个组的递归加密的组播密钥进行加密。图12a-12c分别示出了用于组0,1,2的对应的加密的组播密钥mk*。将参考图13a,13b来论证在接收方处的加密的组播密钥mk*的接收和解密,其中图13a对应于接收方R0(其在连接矢量60中具有‘1’项目,并由此被授权接收组播密钥)和接收方R12(其在连接矢量60中具有‘0’项目,并由此没有被授权接收组播密钥)的解密。如上关于图9的讨论,接收方R0可以访问它的组的组密钥GK1,GK2,和除了它自己的排除密钥Z0以外的所有的地址密钥。接收方R0由此能访问在第一加密的组播密钥包mk*的加密中使用的所有地址密钥Z2,Z3,Z4,并且接收方R0可以递归解密mk*以接收mk的明码报文。然而,应当注意,接收方R0不能解密为剩余组指定的任何其他mk*包,因为该接收方缺乏至少一个组密钥(GK3)。如图13b所示,接收方R12因为缺乏组密钥GK2,所以不能解密第一和第三加密的组播密钥包mk*。然而,接收方R12也不能解密第二包mk*,这是因为该递归加密包括它的排除密钥Z4。因此,接收方...
【专利技术属性】
技术研发人员:J克奈斯勒,
申请(专利权)人:皇家飞利浦电子股份有限公司,
类型:发明
国别省市:NL[荷兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。