KR20050013585A - 디바이스들간의 인증 방법 - Google Patents

Abstract

인증 기관은 시스템(100) 내의 제 1 디바이스의 제 2 디바이스(103)에 대한 인증을 화이트리스트 기반 제어하는 방법을 제공한다. 방법은 비무효화 디바이스 식별자들의 범위를 식별하는 그룹 인증서를 제 1 디바이스(102)에 발행하는 단계를 포함하고, 상기 범위는 제 1 디바이스(012)의 디바이스 식별자를 포함한다. 바람직하게는, 디바이스 식별자들은 계층적 순서화 트리 내의 리프 노드들에 대응하고, 그룹 인증서는 리프 노드들이 상기 범위에 대응하는 서브트리를 나타내는 트리 내의 노드(202 내지 207)를 식별한다. 그룹 인증서는 또한 리프 노드들이 무효화 디바이스 식별자들에 대응하는 서브-서브트리를 나타내는 서브트리 내의 부가의 노드(308, 310, 312)를 식별할 수 있다. 대안적으로, 디바이스 식별자들은 순차적 순서화 범위로부터 선택되고, 그룹 인증서는 순차적 순서화 범위의 서브범위를 식별하고, 상기 서브범위는 화이트리스트형 디바이스 식별자들을 포함한다.

Description

디바이스들간의 인증 방법{METHOD FOR AUTHENTICATION BETWEEN DEVICES}

최근에, 콘텐트 보호 시스템들의 양이 급속하게 증가되고 있다. 이들 시스템들의 일부는 단지 불법 복제에 대해서만 콘텐트를 보호하는 반면, 다른 것들은 또한 사용자가 콘텐트에 대해 접근하는 것을 방지한다. 제 1 범주는 복제 보호(CP) 시스템들이라 칭하고, 이러한 유형의 콘텐트 보호가 저비용의 방식으로 구현 가능한 것으로 고려되고 콘텐트 공급자와의 양방향성 상호 작용이 필요하지 않기 때문에 통상적으로 소비자 가전들(CE) 디바이스들에 대해 주로 초점을 맞춰왔다. 예로서 CSS(콘텐트 스크램블링 시스템), DVD ROM 디스크들 및 DTCP(디지털 전송 콘텐트 보호)의 보호 시스템, IEEE 1394 접속들용 보호 시스템이 있다. 제 2 범주는 다수의 명칭들 하에 공지되어 있다. 방송 분야에서, 이들은 일반적으로 CA(조건부 접근) 시스템들로서 공지되어 있고, 반면에 인터넷 분야에서는 이들은 일반적으로 DRM(디지털 저작권 관리) 시스템들로서 공지되어 있다.

최근에 디바이스들의 세트가 양방향성 접속을 통해 서로 인증될 수 있는 신규한 콘텐트 보호 시스템들이 도입되었다(Thomson으로부터의 SmartRight, 또는DTLA로부터의 DTCP). 이 인증에 기초하여, 디바이스들은 서로를 신뢰할 수 있고 이는 이들이 보호된 콘텐트를 교환할 수 있게 할 수 있다. 콘텐트를 수반하는 라이센스들에는, 사용자가 어떤 권리들을 가지며 사용자가 콘텐트에 어떠한 작업들을 수행하도록 허용되었는지가 기술된다.

디바이스들 사이의 상호 통신을 위해 필요한 신뢰는 테스트되는 디바이스들에만 공지되고 보안 구축들을 갖도록 승인된 소정의 비밀에 기초한다. 비밀의 인지는 인증 프로토콜을 사용하여 테스트된다. 이들 프로토콜들을 위한 최선의 해법들은 한 쌍의 2개의 상이한 키들을 사용하는 '공개키' 암호학을 이용하는 것들이다. 다음에 시험될 비밀들은 쌍의 비밀키이고, 공개키는 테스트의 결과들을 검증하는데 사용될 수 있다. 공개키의 정확성을 보장하고 키-쌍이 승인된 디바이스의 적법한 쌍인지의 여부를 검사하기 위해, 공개키는 모든 디바이스들의 공개/개인키-쌍들의 분배를 관리하는 기관인 인증 기관에 의해 디지털 서명된 인증서가 첨부된다. 단순한 구현에서, 인증 기관의 공개키는 디바이스의 구현으로 하드 코딩된다.

인증은 M-비트 메시지부 및 그에 첨부된 C-비트 서명부를 포함하는 비트-스트링이다. C는 일반적으로 512...2048 비트들의 범위이고 통상적으로 1024 비트들이다. M<C에서, 서명은 메시지 자체에 기초하여 계산되고, M>C에서는 메시지의 요약에 기초하여 계산된다. 이하에, 제 1 케이스:M<C가 더욱 연관된 것이다. 서명은 메시지의 콘텐트들에 민감하게 의존하고, 인증 기관에 의해서만 구성되지만 모든 사람들에 의해 검증될 수 있는 특성을 갖는다. 본 명세서에서 검증은 서명이 메시지와 일치하는지를 검사하는 것이다. 누군가가 메시지의 단일 비트를 변경하면, 서명은 더 이상 일치하지 않을 것이다.

통상의 보안 시나리오들에서, 동일한 레벨들의 템퍼 프루핑으로 모두 구현되지 않을 수도 있는 다수의 상이한 디바이스들이 연관된다. 따라서, 이러한 시스템은 디지털 콘텐트의 불법 저장, 복제 및/또는 재분배를 가능하게 할 수도 있는 개별 디바이스들의 해킹에 대한 저항성이 있어야 한다. 저항성을 증가시키기 위한 중요한 기술은 소위 이들 해킹된 디바이스들의 무효화이다.

무효화는 그 디바이스 내의 신뢰의 거절을 의미한다. 무효화의 효과는 네트워크 내의 다른 디바이스들이 무효화된 디바이스와 더 이상 통신하기를 원치 않는다는 것이다. 무효화는 다수의 상이한 방식들로 성취될 수 있다. 2개의 상이한 기술들이 소위 블랙 리스트들(무효화된 디바이스들의 리스트) 또는 화이트 리스트들(무효화되지 않은 디바이스들의 리스트)을 사용할 수 있다.

블랙 리스트 시나리오에서, 그의 통신 파트너의 신뢰를 검증하기 위한 디바이스는 리스트의 최신 버전을 가질 필요가 있고 다른 디바이스의 ID가 해당 리스트 상에 있는지를 검사한다. 블랙 리스트들의 장점은 이들의 ID가 무효화 리스트 상에 정렬되면 디바이스들이 디폴트에 의해 신뢰되고 이들의 신뢰가 단지 무효화된다는 것이다. 이 리스트는 초기에는 매우 작을 수 있지만, 잠재적으로 무제한으로 성장할 수 있다. 따라서, 이들 무효화 리스트들의 CE 디바이스들의 분배 및 저장 모두는 장기화시에 문제점이 될 수도 있다.

화이트 리스트 시나리오에서, 디바이스는 허용된 통신 파트너들의 리스트 상에 여전히 존재하는 다른 것들에 증명해야 한다. 이는 디바이스가 화이트 리스트상에 존재한다고 진술하는 인증서의 최신 버전을 제출함으로써 이를 수행할 수 있다. 화이트 리스트 기술들은 디바이스가 화이트 리스트 상에 있는 것을 증명하는 각각의 디바이스에 저장된 고정 길이 인증서만을 가짐으로써 저장 문제점을 극복한다. 무효화는 화이트 리스트 인증서의 신규한 버전을 무효화된 디바이스들을 제외한 모든 디바이스들에 전송함으로써 작용한다. 이제 디바이스들 내의 저장은 제한되지만, 화이트 리스트 인증서들의 분배는 효율적인 체계가 이용 가능하지 않으면 거의 극복 불가능한 문제점이 된다.

본 발명은 각각의 디바이스 식별자들로 할당되어 있는 제 1 디바이스의 제 2 디바이스에 대한 인증을 제어하는 방법에 관한 것이다.

도 1은 네트워크를 통해 상호 접속된 디바이스들(101 내지 105)을 포함하는 시스템(100)을 개략적으로 도시하는 도면.

도 2는 완전 서브트리법의 2진 트리 구조를 예시하는 다이어그램.

도 3은 서브세트 차분법의 2진 트리 구조를 예시하는 다이어그램.

도 4는 수정 블랙-리스팅법을 예시하는 다이어그램.

도 5는 인증서들을 생성하기 위한 최적 체계들을 예시하는 표.

본 발명의 일 목적은 화이트 리스트 인증서들의 효율적인 분배 및 저장을 가능하게 하는 서론에 따른 시스템을 제공하는 것이다.

상기 목적은 비무효화 디바이스 식별자들의 범위를 식별하는 그룹 인증서를 제 1 디바이스에 분배하는 단계를 포함하고, 상기 범위는 제 1 디바이스의 디바이스 식별자를 포함하는 방법에 의해 본 발명에 따라 성취된다.

본 발명은 화이트 리스트들(제한된 저장)의 주 장점과 블랙 리스트들(초기에 소형 분배 리스트들)의 장점을 조합하는 기술을 제공한다. 바람직하게는, 상기 기술은 부가적으로 디바이스의 ID를 증명하는 디바이스 인증서를 사용한다. 이 디바이스 인증서는 초기 신뢰에 대한 기반으로서 디바이스들 내에 미리 제공되고(무효화에 무관함), 예로서 공장 내에서 제조 중에 설치된다.

이제, 모든 디바이스는 단일 그룹 인증서, 즉 그의 고유의 디바이스 식별자를 포함하는 범위를 식별하는 그룹 인증서를 저장하기만 하면 된다. 이는 인증서들에 대한 저장 요건들이 고정되고 미리 계산될 수 있다는 것을 의미한다. 이제, 예를 들면 종래에 필수적이었던 것과 같은 "충분히 큰" 메모리보다는, 정확하게 적절한 크기인 메모리를 설치함으로써 이들 디바이스들의 구현을 최적화하는 것이 가능하다.

분배와 관련하여, 이제는 더 이상 시스템 내의 모든 단일 디바이스에 대해 개별 인증서들을 항상 전송할 필요가 없다. 디바이스 식별자들의 적절한 그룹을 선택함으로써, 단일 그룹 인증서가 그룹 내의 모든 디바이스들에 대해 충분해진다. 따라서, 방법이 더욱 효율적이 된다.

이제, 제 1 디바이스는 제 2 디바이스에 그룹 인증서를 제시함으로써 자체적으로 인증될 수 있다. 물론, 제 2 디바이스에 대한 제 1 디바이스의 인증은 그룹 인증서를 제시하는 것에 부가하여 다른 단계들을 포함할 수도 있다. 예를 들면, 제 1 디바이스는 또한 제 2 디바이스와의 보안 인증 채널을 설정하고, 제 2 디바이스에 그의 디바이스 식별자를 포함하는 인증서를 제시할 수 있다. 인증은, 제 2 디바이스가 제 1 디바이스의 디바이스 식별자가 실제로 그룹 인증서 내에 제공된 범위 내에 있다고 판정하면 성공적이다. 인증은 또한 제 2 디바이스가 제 1 디바이스에 그의 고유의 그룹 인증서를 간단하게 제시함으로써 수동으로 수행될 수 있다.

실시예에서, 각각의 디바이스 식별자들은 계층적 순서화 트리 내의 리프 노드들에 대응하고, 그룹 인증서는 계층적 순서화 트리 내의 노드를 식별하고, 상기 노드는 리프 노드들이 비무효화 디바이스 식별자들의 범위에 대응하는 서브트리를표현한다. 이는 계층 구성을 사용하여 그룹을 매우 효율적으로 식별하는 것을 가능하게 하는 장점을 갖는다. 디바이스들의 매우 큰 그룹은 계층 구성 내의 높은 노드에 대응하는 단일 식별자로 식별될 수 있다.

본 실시예의 개선에서, 그룹 인증서는 서브트리 내의 부가의 노드를 추가로 식별하고, 상기 부가의 노드는 리프 노드들이 비무효화 디바이스 식별자들의 범위로부터 배제된 디바이스 식별자들에 대응하는 부가의 서브트리를 표현한다. 이전의 접근에서, 서브트리 내의 디바이스가 무효화되면, 다수의 신규한 인증서들이 나머지 비무효화 서브트리들에 대해 발행될 필요가 있다. 본 발명의 개선은 서브트리 내의 소수의 디바이스들이 무효화될 때 다수의 신규한 서브트리들에 대한 신규한 인증서들을 즉시 발행해야 할 필요가 없는 장점을 갖는다.

개량으로서, 부가의 서브트리의 부분인 다른 부가의 서브트리를 식별하는 다른 그룹 인증서가 발행될 수 있다. 이 방식으로, 서브트리의 상기 부분은 비무효화 디바이스 식별자들의 범위 내에 유지될 수 있다.

예를 들면 디바이스 ID 제로와 같이 그룹 내의 하나의 디바이스 ID를 미리 항상 무효화하는 것을 동의하는 것이 바람직할 수도 있다. 이 방식으로, 실제 디바이스들이 무효화되지 않을지라도, 그룹 인증서가 항상 일치적으로 형성된다.

부가의 실시예에서, 각각의 디바이스 식별자들은 순차적 순서화 범위로부터 선택되고, 그룹 인증서는 순차적 순서화 범위의 서브범위를 식별하고, 상기 서브범위는 비무효화 디바이스 식별자들의 범위를 포함한다. 이는 상술한 단순한 블랙 리스팅법의 소형 전송 크기와 화이트 리스팅법의 소형 저장 크기를 유리하게 조합한다. 이제 모든 무효화된 디바이스들의 분류된 리스트(예를 들면, 오름차순)가 생성되면, 인증된 그룹들은 상기 리스트의 임의의 2개의 요소들 사이의 디바이스들로 구성된다. 이제, 전송 크기는 단순한 블랙 리스팅 경우에서의 크기와 거의 동일하다(물론, 전송되는 데이터는 블랙 리스트와 동일하지만, 해석은 상이함).

부가의 실시예에서, 단일 그룹 인증서는 비무효화 디바이스 식별자들의 복수의 각각의 범위들을 식별한다. 이 방식으로, 게이트웨이 디바이스는 특정 그룹 인증서가 특정 디바이스들에 연관될 수 있는지의 여부를, 상당한 계산 비용으로 다수의 디지털 서명들을 검증하지 않고 용이하게 진술할 수 있다. 이어서 전혀 연관이 없는 이들 그룹 인증서들을 필터링하거나 연관된 이들 그룹 인증서들 상의 임의의 디지털 서명들을 검증할 수 있다.

본 실시예의 변형예에서, 단일 그룹 인증서 내의 복수의 각각의 범위들은 순차적으로 순서화되고, 단일 그룹 인증서는 순차적 순서화로 최저 및 최고 각각의 범위들의 표시를 통해 복수의 각각의 범위들을 식별한다. 이는 이 인증서가 연관이 있는지에 대한 여부를 필터가 판정하는 것을 허용한다. 이는 이어서 목적 디바이스 자체가 서명을 검사함으로써 검증될 수 있다. 이는 무관한 인증서들의 벌크의 신속한 거절을 허용한다.

부가의 실시예에서, 그룹 인증서는 유효 기간의 표시를 포함하고 제 2 디바이스는 상기 유효 기간이 허용 가능하면 제 1 디바이스를 인증한다. "허용 가능"이란 단순히 "현재 날짜 및 시간이 지정된 기간 내에 있음"을 의미하지만, 바람직하게는 지정된 기간에 대한 소정의 연장들이 또한 허용되어야 한다. 이 방식으로,신규한 그룹 인증서들의 전파시의 지연은 자동적으로 디바이스가 인증 실패되도록 하지 않는다.

부가의 실시예에서, 그룹 인증서는 버전 표시를 포함한다. 이는 제 2 디바이스가 제 1 디바이스의 성공적인 인증시에 제 1 디바이스에 최저 허용 가능한 인증서 버전의 표시를 포함하는 보호된 콘텐트를 분배하고, 그룹 인증서 내의 버전 표시가 최저 허용 가능한 인증서 버전의 표시에 적어도 동일한 경우에 제 1 디바이스를 성공적으로 인증하는 것을 가능하게 한다.

디바이스들은 그들 자신을 사용하는 적어도 신규한 것인 버전을 그들의 통신 파트너들로부터 요구할 수 있지만, 이는 무효화된 리스트 상에 있는 디바이스들이 콘텐트의 임의의 교환이 완전히 차단되어 있기 때문에 문제점들을 제공할 수도 있다. 이들은 심지어는 이들이 신규한 무효화 리스트가 분배되기 전에 기능하도록 허용되어 있는 이전의 콘텐트로부터도 차단된다. 본 실시예에서, 이들 문제점들은 회피된다. 이후에 제 1 디바이스가 무효화되더라도, 그의 이전의 그룹 인증서를 사용하여 이전의 콘텐트에 접근하는 것이 여전히 가능하다.

"버전"은 예로서 "버전 3.1"과 같이 수치적으로 식별될 수 있고, 또는 예로서 "2002년 1월 버전"과 같이 임의의 시점에 결합될 수 있다. 후자는 특정 버전이 너무 오래되었기 때문에 더 이상 허용 가능하지 않다는 것을 인간에게 설명하는 것이 쉽고 현재 시간과 시점을 비교함으로써 용이하게 인식될 수 있기 때문에 장점을 갖는다. 순수 수치 버전 번호에서는 이는 훨씬 더 어렵다.

본 발명은 첨부 도면을 참조하여 예시에 의해 더 상세하게 하기에 설명된다.

도면들에 걸쳐서, 동일한 도면 부호들은 유사한 또는 대응하는 특징들을 나타낸다. 도면들에 나타난 특징들의 일부는 통상적으로 소프트웨어 모듈들 또는 객체들과 같은 소프트웨어 실체들을 표현하는 것과 같이 소프트웨어에서 구현된다.

시스템 구조

도 1은 네트워크(110)를 통해 상호 접속된 디바이스들(101 내지 105)을 포함하는 시스템(100)을 개략적으로 도시한다. 본 실시예에서, 시스템(100)은 홈 네트워크이다. 통상적인 디지털 홈 네트워크는 예로서, 라디오 수신기, 튜너/디코더, CD 플레이어, 한 쌍의 스피커들, 텔레비전, VCR, 테이프 데크 등과 같은 다수의 디바이스들을 포함한다. 이들 디바이스들은 일반적으로 예로서 텔레비전과 같은 하나의 디바이스가 예로서 VCR과 같은 다른 디바이스를 제어하는 것을 허용하도록 상호 접속된다. 예로서 튜너/디코더 또는 셋탑 박스(STB)와 같은 하나의 디바이스는일반적으로 다른 것들에 대한 중앙 제어를 제공하는 중앙 디바이스이다.

통상적으로 음악, 노래들, 영화들, TV 프로그램들, 화상들 등과 같은 것들을 포함하는 콘텐트는 상주 게이트웨이 또는 셋탑 박스(101)를 통해 수신된다. 소스는 광대역 케이블 네트워크, 인터넷 접속, 위성 다운링크 등으로의 접속일 수 있다. 이후, 콘텐트는 네트워크(110)를 통해 렌더링을 위한 싱크에 전달될 수 있다. 싱크는 예를 들면 텔레비전 디스플레이(102), 휴대형 디스플레이 디바이스(103), 휴대폰(104) 및/또는 오디오 재생 디바이스(105)일 수 있다.

콘텐트 아이템이 렌더링되는 정확한 방식은 콘텐트의 유형 및 디바이스의 유형에 의존한다. 예를 들면, 라디오 수신기에서, 렌더링은 오디오 신호들을 생성하여 이들을 라우드스피커들에 공급하는 것을 포함한다. 텔레비전 수신기에서, 렌더링은 일반적으로 오디오 및 비디오 신호들을 생성하여 이들을 디스플레이 스크린 및 라우드스피커들에 공급하는 것을 포함한다. 다른 유형들의 콘텐트에서, 유사한 적절한 작용이 수행되어야 한다. 렌더링은 또한 수신 신호의 복호화 또는 복원, 오디오 및 비디오 신호들의 동기화 등과 같은 작업들을 포함할 수도 있다.

셋탑 박스(101) 또는 시스템(100)내의 임의의 다른 디바이스는 적절히 큰 하드 디스크 같은 저장 매체(S1)를 포함하여 수신된 콘텐트의 기록 및 추후 재생을 가능하게 할 수 있다. 저장부(S1)는 셋탑 박스(101)가 접속되어 있는 어떠한 종류의 퍼스널 디지털 레코더, 예로서, DVD+RW 레코더일 수 있다. 또한, 콘텐트는 콤팩트 디스크(CD) 또는 디지털 다용도 디스크(DVD) 같은 캐리어(120)상에 저장되어 시스템(100)에 제공될 수 있다.

휴대형 디스플레이 디바이스(103) 및 이동 전화(104)는 기지국(111)을 사용하여, 예로서 블루투스 또는 IEEE 802.11b를 사용하여 네트워크(110)에 무선 접속된다. 종래의 유선 접속을 사용하여 기타 디바이스들이 접속된다. 디바이스들(101-105)이 상호작용하게 하기 위해서, 다수의 상호동작기능 표준이 사용가능하며, 이는 서로 다른 디바이스들이 메시지들 및 정보를 교환하고, 서로를 제어할 수 있게 한다. 한가지 널리 공지된 표준은 가정용 오디오/비디오 상호동작기능(HAVi) 표준이며, 그 버전 1.0이 2000년 1월에 발표되었으며, 이는 인터넷 주소 http://www.havi.org/에서 입수할 수 있다. 다른 널리 공지된 표준들은 구내 디지털 버스(D2B) 표준, IEC 1030에 기술된 통신 프로토콜, 및 만능 플러그 앤드 플레이(http://www.upnp.org)이다.

종종 가정용 네트워크내의 디바이스들(101-105)이 콘텐트의 무허가 사본을 만들지 않는 것을 보증하는 것이 중요하다. 이를 위해서, 통상적으로 디지털 권리 관리(DRM) 시스템이라 지칭되는 보안 프레임워크가 필요하다.

한가지 이런 프레임워크에서, 가정용 네트워크는 개념적으로 조건부 액세스(CA) 도메인과 복제 방지(CP) 도메인으로 분할된다. 통상적으로, 싱크는 CP 도메인에 위치된다. 이는 콘텐트가 싱크에 제공될 때, CP 도메인내에 존재하는 복제 방지 체계로 인해, 콘텐트의 어떠한 무허가 사본들도 만들어지지 않을 수 있는 것을 보증한다. CP 도메인내의 디바이스들은 임시 사본들을 만들기 위해 저장 매체를 포함할 수 있지만, 이런 사본들은 CP 도메인으로부터 유출될 수 없다. 이 프레임워크는 본 출원과 동일 출원인의 유럽 특허 출원 01204668.6(대리인 문서 번호PHNL010880)에 기술되어 있다.

선택된 특정 접근법에 무관하게, 보안 프레임워크를 구현하는 가정내 네크워크내의 모든 디바이스들은 구현 요구조건들에 따라 이를 달성한다. 이 프레임워크를 사용하여, 이들 디바이스들은 서로를 인증하고, 안전하게 콘텐트를 배포한다. 콘텐트에 대한 액세스는 보안 시스템에 의해 관리된다. 이는 보호되지 않은 콘텐트가 무허가 디바이스들로 누설되는 것 및 비신뢰적 디바이스들로부터 발생된 데이터가 시스템으로 진입하는 것을 방지한다.

디바이스들이 먼저 성공적으로 인증된 부가의 디바이스들에게만 콘텐트를 분배하는 것이 중요하다. 이는 적대자가 악의적 디바이스를 사용하여 무허가 사본들을 만들 수 없게 하는 것을 보증한다. 디바이스는 성공적 인증을 위해 필요한 특정 비밀을 예를 들어, 단지 인증된 제조업자만이 알기 때문에 인증된 제조업자에 의해 구축된 경우 또는 그 디바이스들이 신뢰적 제 3 집단에 의해 발행된 인증서를 구비하는 경우에만 그 자체를 성공적으로 인증할 수 있다.

디바이스 폐지

일반적으로, 디바이스의 폐지는 디바이스내의 비밀 정보(예로서, 식별자들 또는 해독 키들)가 침해되거나, 해킹을 통해 발견된 경우의 그 기능들 중 하나 이상의 감축 또는 완전한 불능화이다. 예로서, CE 디바이스의 폐지는 디바이스가 해독 및 사용할 수 있는 디지털 콘텐트의 유형들에 대한 제한들을 부여할 수 있다. 대안적으로, 폐지는 하나의 CE 장비가 수신한 임의의 디지털 콘텐트에 대하여 더이상 사본들의 형성 같은 특정 기능들을 수행할 수 없게 할 수 있다.

폐지의 일반적인 효과는 네트워크(110)내의 기타 디바이스들이 폐지된 디바이스와 더 이상 통신하기를 원하지 않는다는 것이다. 폐지는 몇 가지 서로 다른 방식들로 달성될 수 있다. 소위 블랙 리스트들(폐지된 디바이스들의 리스트) 또는 화이트 리스트들(비폐지 디바이스들의 리스트)이라 지칭되는 두 가지 서로 다른 기술들이 사용될 수 있다.

폐지 리스트의 다수의 버전들이 존재할 수 있다. 다수의 메카니즘들이 가장 새로운 버전의 집행을 위해 사용될 수 있다. 예로서, 디바이스들은 적어도 그들이 자체적으로 사용하는 것 만큼 새로운 버전을 그 통신 파트너들에게 요구할 수 있다. 그러나, 이는 폐지된 목록상에 존재하는 디바이스들이 콘텐트의 임의의 교환이 완전히 봉쇄되었을 때 문제점들을 제공한다. 이들은 오래된 콘텐트로부터도 봉쇄되며, 이는 이들이 새로운 폐지 리스트가 배포되기 이전에 동작할 수 있게 한다.

다른 버전의 제어 메카니즘은 배포된 콘텐트를 폐지 리스트의 특정 버전에 링크시키는 것이다. 즉 , 폐지 리스트의 현 버전 번호가 콘텐트를 동반하는 라이센스의 일부이다. 이때, 디바이스들은 모든 그 통신 파트너들이 적어도 콘텐트에 의해 요구되는 만큼 새로운 버전을 가지는 경우에만 콘텐트를 배포한다. 버전 번호매김은 예로서, 단조적으로 증가하는 번호들을 사용하여 구현될 수 있다.

폐지 메카니즘의 매력(및 따라서, 응용 가능성)을 결정하는 다수의 비용 팩터들(cost factors)이 존재한다. 일 팩터는 전송 크기이며, 모든 비폐지 디바이스는 폐지 시스템의 현재 버전에 여전히 참여한다는 사실을 입증하는 서명된 메시지를 수신하여야만 한다. 다른 팩터는 저장 크기이며, 모든 비폐지 디바이스는 폐지 시스템의 현재 버전에 여전히 참여한다는 것을 증명하는 인증서를 저장하여야 한다. 이들 두 팩터들은 모순적인 것으로 보인다. 작은 전송 크기를 위하여, 인증 기관은 모든 폐지된 디바이스들의 신분을 포함하는 하나의 서명된 메시지를 방송하는 것이 최상이지만, 그러나, 이는 100,000 정도의 폐지된 디바이스들의 경우에, 과중한 저장 수요들을 초래한다. 저장 크기를 최소화하기 위하여, 인증 기관은 그 디바이스의 디바이스 ID(예로서, 일련 번호, 이더넷-어드레스 등)를 포함하는 개별 인증서를 비폐지 디바이스 각각에 전송하는 것이 최선이지만, 이는 수백만의 메시지들이 방송되게 한다. 물론, 양방향 링크(예로서, 전화 접속을 구비한 셋탑 박스)의 경우에, AD내의 디바이스들에 관련한 인증서들만을 다운로드할 수 있다.

본 발명의 목적들 중 하나는 상술된 바와 같은 블랙-리스트 접근법 및 화이트-리스트 접근법에 의해 나타나는 두 가지 극단들 사이의 유용한 절충을 제공하는 것이다. 본 발명은 암호학으로부터 공지된 계층 키-배포 체계들에 부분적으로 기초한다. 본 발명의 실시예에서, 인증 기관은 디바이스들의 특정 그룹들이 폐지되지 않았다는 것을 확인하는, 비폐지 그룹 마다에 대하여 하나씩의 서명된 메시지들을 전송한다. 일반적으로, 그룹들의 수는 디바이스들의 수 보다 매우 작으며, 그래서, 이는 제한된 전송 크기를 필요로 한다. 또한, 디바이스들은 단지 그들이 구성원인 그룹에 관련한 메시지만을 저장하며, 따라서, 단지 제한된 저장부 크기만을 필요로 한다. 두 디바이스들간의 인증 동안, 이때 "검증자"는 검증자가 구성원인 그룹이 폐지되지 않았다는 것을 나타내는 최신 폐지 메시지 및 그 디바이스 ID(즉,이 디바이스가 최신 폐지 메시지에 관련한 단계에서 언급된 그룹의 구성원이라는 것)를 확인하는 인증서(공장에서 설치)의 두 개의 인증서들을 제시한다.

통상적으로, 이런 인증서는 디바이스 ID(i) 및 공개 키(PK_i)를 포함한다. i가 구성원인 그룹을 위한 인증서를 가로채고 이제 i를 흉내내기를 시도하는 공격자는 PK_i에 대응하는 비밀 키(SK_i)를 갖지 않으며, 전술한 인증 프로토콜들에 따라 모든 더 이상의 통신이 중지된다.

장점들을 설명하기 위해, 하기의 표기법이 도입된다.

·모든 디바이스는 디바이스 ID(i), 0≤i≤N을 가지며, 여기서, N=2ⁿ은 디바이스들의 총수이고, 모든 디바이스 ID 번호는 n-비트 스트링이다.

·D={0,1,…,N-1}은 모든 디바이스들의 집합이다.

·R={f₁,f₂,…,f_r}은 r개 폐지된 디바이스들의 집합이다(세대간에 변화/성장함).

인증 기관은 그 그룹의 구성원이 폐지되지 않았다는 것을 증명하는 (개별화된)메시지를 m 그룹들(S₁,…,S_m)의 모두에게 전송한다. 그룹(i)의 모든 구성원은 그룹(i)을 위한 메시지/인증서를 저장한다. 그룹들은 S₁∪S₂∪…∪S_m=D|R(즉, 모든 집합들(S_k, 1≤k≤m)은 함께 D에서 폐지된 디바이스들의 집합을 차감한 것과 같은 비폐지 디바이스들의 집합을 형성한다)과 같이 선택된다.

해결되어야할 문제는 D|R의 S₁…S_m제공 R로의 분할을 선택하는 방식이다.이 분할은 R이 변할 때 다음 세대에서 달라진다는 것을 주의하여야 한다. N이 통상적으로 40-비트 수(효과상, 전 세계의 사람당 약 200 디바이스들을 허용)이며, r=|R|이라 가정하면, 폐지된 디바이스의 수는 <100,000이다. 이하, 5개의 이런 분할들과, 전송시의 그 각 비용 및 저장 크기가 설명된다. 이 분할 체계들은 단순 블랙-리스팅; 단순 화이트-리스팅; 완전 서브트리법; 서브세트 차분법; 및 변형 블랙-리스팅법이다. 분할 방법들 및 그 비용을 설명한 이후, 서명들의 영향이 고려된다.

단순 블랙-리스팅

상술한 바와 같이, 전송 크기를 최소화하기 위하여, 수행될 수 있는 최상의 방법은 R의 원소들을 선언하는 모든 디바이스들에 서명된 메시지를 전송하는 것이다.효과상, D|R은 단일 그룹으로 분할된다, m=1. 전송 크기에 대한 이론적 하부 경계는비트이다. 이 근사화는 콘텐트 보호 시스템에 관련한 파라미터들의 범위인 1<<r<<N일 때 유지된다. 이 하부 경계를 긴밀히 근사화하는 평범한 구현은 인증 기관이 r·n 비트를 취하는 모든 폐지된 디바이스들의 서명된 리스트를 전송하는 것이다(모든 디바이스가 n-비트 디바이스 ID를 가짐). 저장 크기는 동일한 r·n 비트(~1/2Mbyte)라는 것이 명백하다.

단순 화이트-리스팅

저장 크기를 최소화하기 위해서, 인증기관은 그 디바이스 ID를 포함하는 개별 인증서를 모든 비 폐지 디바이스에 전송한다. 효과상, D|R은 m=|D|R|=(N-r)-그룹들로 분할되며, 각 그룹은 단지 구성원만을 가진다. 전송 크기는 (N-r)·n이다(또는 가능하게는 (N'-r)·n, 여기서 N'=#-현재까지 발행된 디바이스들).

완전 서브트리법

식별자들의 집합을 계층적으로 순서매김된 집합으로 분할하는 방법은 D. Noar, M. Naor, J. Lotspiech의 "비선언 수신기들을 위한 폐지 및 추적 체계(Adv. in Cryptology, CRYPTO'01, LNCS 2139, 2001년 봄, 41-62쪽)"에 기술되어 있지만, 이 문헌은 본 발명에서와 같이 그룹 식별자들을 생성하도록 순서매김된 집합을 사용하는 것을 설명하지 않는다.

하기에 추가로 설명되는 완전 서브트리법 및 서브세트 차분법을 설명하기 위해서, 모든 가능한 n-비트 디바이스 ID들이 (n+1)-층 이진 트리의 지엽들(종점들)로서 해석된다. 일부 용어는 하기와 같다.

·트리의 종점들은 지엽들이라 지칭된다. (n+1)-층 트리내에 2" 지엽들이 존재한다.

·노드는 트리의 가지들이 결합하는 장소이다. 지엽들도 노드들로서 고려된다.

·근위는 최상부 노드이다.

·노드(v)는 노드(u) 바로 위에 배치될 때, ν는 u의 모집단이라 지칭되고,u는 ν의 자집단이라 지칭된다. ν의 다른 자집단은 u의 형제집단이라 지칭된다. ν는 그 모집단, 조모집단 등과 함께 u의 선조집단이라 지칭되며, 반대로, u는 그 후손집단들이라 지칭된다.

·ν에서 근위가 형성된 서브트리는 모든 그 후손들 및 ν로 구성되는 집합이다.

트리 위로 이동하는 것(선조들을 방문하는 것)은 층 당 1 비트의 디바이스 ID의 이진 표현의 LSB들(최하위 비트들)의 유사한 삭감이다. 다수의 지엽들 R={f₁,…,f_r}이 폐지된 것으로 가정한다. 이제, 상부의 폐지된 지엽들 중 매 하나로부터 트리의 근위까지 경로가 그려진다. 경로들을 병합하는 집합은 지엽들(R)에 대응하는 스테이너 트리(ST(R)라 지칭된다. 이는 N=16 디바이스들에 대하여 이진 트리 구조가 주어져 있는 도 2에 예시되어 있다. 디바이스 ID 0, 7, 8 및 9를 갖는 디바이스들이 폐지되었다. 마지막에는 최상단 노드(201)를 가지는 폐지된 노드들을 연결하는 트리를 통한 경로들은 대응 스테이너 트리(ST(R))를 형성한다. 이들 경로는 포위된 영역들(202-207) 외측에 존재한다. 각 포위된 영역의 상단부에는 형제집단들인 배열된 노드들이 S₀₀₀₁, S₀₀₁, S₀₁₀, S₀₁₁₀, S₁₀₁및 S₁₁로 표시된 포위 영역에 의해 나타내지는 그룹들(S_i)을 생성하는 스테이너 트리를 매달고 있다.

완전 서브트리법에 대하여, ST(R)을 "매달고 있는" 노드들, 즉, {ν₁,…,ν_m}이라 지칭되는 ST(R)상의 노드들의 형제 집단들을 고려한다. 인증 기관은 이제분할(S₁,…,S_m)을 선택하며, 여기서 S_i는 ν_i에 뿌리를 둔 서브트리의 지엽들에 대응한다. 모든 인증서는 단 하나의 ν_i만을 포함한다. 이 구성에 의해, R의 어떤 원소들도 S_i의 원소일 수 없으며, D|R의 모든 원소는 S₁∪S₂∪…∪S_m에 포함되어야 한다. 그룹들은 겹치지 않는다.

ST(R)를 매달고 있는 약 m=r·n노드들이 존재하는 것을 고려할 수 있다 : 매 폐지된 디바이스(그 근위까지의 경로는 n 노드들을 가짐) 및 r 디바이스들을 위한 n 노드들. 그러나, m≤r·(n-log₂r)이란 것을 알 수 있다. 이유는 ST(R)내의 경로들이 그들이 근위에 도달하기 오래전에 병합되는 경향을 갖는다는 것이다. 이것 및 모든 ν_i가n-비트 수라는 사실을 사용하여, 폐지 메시지의 전송 크기는 n·r·(n-log₂r)[수십 메가바이트]의 상한에 의해 한정된다. 저장 크기에 대하여, 디바이스는 그가 속하는 S_i의 서명만을 저장한다 : n-비트.

다른 디바이스, 말하자면, 도 2의 디바이스 ID3을 갖는 디바이스가 폐지된 경우에, 이때, 새로운 그룹(그리고, 대응 그룹 인증서)S₀₀₁₀이 생성되며, 이는 S₀₀₁을 대체한다. 이 대체는 예로서, S₀₀₁₀에 보다 높은 버전 번호를 가산함으로써 실현될 수 있다. 그룹 인증서들이 유효 기간 식별자들을 가지는 경우, 인증서(S₀₀₁₀)는 그 유효 기간이 경과된 이후 자동으로 폐기되며, 이때, 교체는 자동이다.

대신 디바이스 ID14를 가지는 디바이스가 폐지되는 경우에, 두 개의 새로운그룹 인증서들이 필요하다. 그룹(S₁₁₀)에 대응하는 제 1 그룹 인증서는 디바이스 ID14를 포함하지 않는 그룹(S₁₁)을 위한 서브트리를 식별한다. 제 2 그룹 인증서는 S₁₁₁₁을 위한 서브트리에 대응한다.

서브세트 차분법

N=16 디바이스들에 대하여 도 3에 예시되어 있는 이 방법은 상술된 완전 서브트리법과 유사하게 이진 트리내의 지엽들로서 디바이스들의 디바이스 ID들을 해석한다. 다시, 스테이너 트리(ST(R))가 그려진다. 이제, 외부도 1의 체인, 즉, 도 3에 점선 라인들인, ST(R)상에서 단지 단일 자집단 또는 형제집단만을 가지는 스테이너 트리의 연속적 노드들이 ST(R)상에 표시된다. 모든 이런 체인에 대하여, 그룹(S_a,b)이 할당되며, 이에 하기와 같이 인증서가 전송되며, 여기서, a는 체인의 제 1 원소(외부도 2의 노드 직후)이고, b는 최종원소(외부도2의 지엽 또는 노드)라 한다. 이때, S_a,b는 근위로서 a를 가지는 서브트리의 지엽들로부터 근위로서 b를 가지는 서브트리의 지엽들을 차감한 집합이다.

디바이스 ID 0, 7, 8을 가지는 디바이스들이 폐지된다. 대응 스테이너 트리는 0000, 000, 00, 0, 01, 011, 0111, 1000, 1001, 100, 10, 1로 표시된 노드들과 상단 노드(301)에 의해 형성된다. a'는 각 포위된 영역의 상단부의 노드들(302, 304 및 306)이며, b'는 노드들(308, 310 및 312)이다. S_a,b는 최외측 포위 영역에서 b-노드들(308-312)을 매달고 있는 서브트리들에 의해 점유된 영역을 차감한 것이다.

이런 체인(트리의 저면으로부터 트리의 상단부를 향해 진행하는 두 개의 경로들의 병합 사이의)은 폐지된 후손 집단들을 절대 가질 수 없다는 것이 핵심이다(그렇지 않으면, 스테이너 트리상의 이 체인내에 노드 외부도2가 존재한다). 그룹은 이진 트리들이 사용된다는 사실로 인해 중첩하지 않는다는 것을 주의하여야 한다. 물론, 중첩이 이루어질 수 있는 트리들 또는 계층 순서들의 다른 유형들이 사용될 수 있다. 이는 본 발명에 대하여 어떠한 차이점도 형성하지 않는다.

이 구성은 매우 효과적이라는 것을 알 수 있으며, D|R을 포괄하기 위해 최대 2r-1 그룹들(S_a,b)이 필요하다. 사실, 최악의 경우는 임의적으로 선택된 R={f₁,…,f_r}에 대하여, 보다 현실적인 그룹들의 수는 1.25·r이라는 사실을 모호하게 한다. 전송 크기를 결정하기 위해, S_a,b내의 쌍{a,b}을 효과적으로 인코딩하는 방식을 연산할 필요가 있다. a가 층(j)에 있고, b가 층(k)에 있는 경우에, b는 a와 공통적인 최초 j 비트를 갖는다는 것을 주의하여야 한다.

{a,b}를 인코딩하는 실용적인 방식은 비트 스트링 j∥k∥b를 전송하는 것이며, 여기서 "∥"는 연쇄를 나타낸다. j 및 k가 log₂n 비트(실용적인 N, r에 대하여 약 6 비트)를 취하기 때문에, j∥k∥b의 길이는 상한(n+2·log₂n)에 의해 경계설정된다. 따라서, 총 전송 크기는 (2r-1)·(n+2·log₂n)에 의해, 보다 일반적으로는1.25r·(n+2·log₂n)[통상적인 값들의 사용시 ~1Mbyte]에 의해 경계설정된다.

부가의 디바이스, 말하자면, 도 3의 디바이스ID3을 가지는 디바이스가 폐지되는 경우, 이때, 새로운 그룹들(그리고, 대응 그룹 인증서들)(S_001,0011및 S_000,0000)이 생성되며, 이는 S_00,0000을 대체한다.

변형된 블랙-리스팅법

이 방법은 상술된 단순 블랙 리스팅법의 작은 전송 크기를 화이트 리스팅법들의 작은 저장 크기와 조합한다. 기본적으로 D|R은 m=|D|R|=(r+1) 그룹들로 분할되며, 여기서, 각 그룹(S_i)은 디바이스들{f_i+1…f_i+1-1}로 구성된다. 원 체계에서, 이는 2·r·n의 전송 크기를 초래한다. 보다 효율적인 체계는 하기와 같다 : 모든 폐지된 디바이스들의 정렬된 리스트(예로서, 오름차순으로)가 생성되는 경우, 이때, 인증된 그룹들은 이 리스트의 임의의 두 원소들 사이의 디바이스들로 구성된다. 이제, 전송 크기는 단지 최대 r·n이며, 이는 단순 블랙 리스팅의 경우의 크기와 같다(물론, 전송되는 데이터는 블랙 리스트와 동일하지만, 해석은 다르다).

저장을 위해, 디바이스들은 단지 그 소유의 디바이스 ID를 일괄하여 다루는 두 개의 폐지된 디바이스들의 디바이스 ID들을 포함하는 인증서만을 추출한다. 예로서, 도 4에서, 디바이스 4는 단지 그룹(S_0,7)을 포괄하는 인증서만을 저장한다(약 2n 정보 비트).

순서매김된 리스트의 경계들의 표시법은 물론 다양한 방식들로 선택될 수 있다. 상기 예에서, 숫자들 0 및 7은 두 개의 폐지된 디바이스들을 나타내며, 비폐지 리스트는 통틀어 숫자 1 내지 6을 포함한다. 마찬가지로 그룹 S₀₇을 S_1,6이라 지칭할 수도 있다. 이는 단지 편의성 및 표기의 용이성의 문제일 뿐이다.

효과적인 인증서 배포

상기 장들은 디바이스들을 그룹들로 분할하고, 그룹들을 위한 인증서들을 배포함으로써, 디바이스들에 대한 폐지/인증 정보를 효과적인 방식(전송 및 저장 크기 양자 모두에 대하여)으로 제공하는 방식을 개요설명하였다. 하기의 일부 실시예들은 S_a,b내의 a, b 같은 그룹 식별자들(그룹ID들)을 인증서들로 전환하는 방식, 즉, 이런 그룹 식별자들에 인증 기관의 서명을 적용하는 방식에 대하여 설명한다. 상술된 바와 같이, 서명들은 메시지 크기 자체에 독립적으로, C-비트, 통상적으로는 1024비트 만큼 메시지를 확장시킨다. 근본적으로, 인증서들이 m 그룹들로 전송되고, 여기서, 각 그룹 식별자가 l-비트인 경우, 총 전송 크기는 m·l-비트가 아닌 m·(l+C) 비트이다. 상기 개요설명한 방법들에 대하여, l은 일반적으로 단지 40…100 비트 정도, 즉, l<<C이기 때문에, 서명들은 전송-/저장-크기의 벌크를 구성한다. 그러나, C가 서명이 보호하는 메시지 크기에 독립적이기 때문에, 본 발명자들은 서명으로 인한 오버헤드를 현저히 감소시키기 위해 하기의 최적화를 제안한다.

제 1 최적화 체계에서, 인증서는 이들 그룹-ID들 모두에 걸쳐 서명이 추가되는 다수의 그룹들을 위한 그룹-ID들을 포함하는 메시지-부분으로 구성된다. 존재시, 예전처럼, 인증서는 그룹들 중의 일 그룹(a group-of-groups)을 검증한다. 실용적인 이유들 때문에, 그룹들 중의 일 그룹의 그룹 ID들의 총 길이는 C를 초과하지 않는 것이 바람직하다.

부가의 최적화 체계에서, 인증서의 메시지 부분이 압축된다. 길이(m<C)를 가지는 메시지들의 서명들은 메시지가 바로 서명 그 자체로부터 구해질 수 있는 특성을 가질 수 있다. 근본적으로, 더 이상, 그룹-ID들 자체를 인증서의 메시지 부분내로 포함시킬 필요가 없다는 것을 알 수 있을 것이다. 그러나, 이때, 인증서들을 필터링, 즉, 어떤 인증서가 예로서, 게이트웨이 디바이스에 의해 어떤 디바이스로 보내져야하는지를 판정하는 것은 매우 곤란하고/비용소모적이며, 그 이유는 서명 처리가 매우 고가이고, 모든 인증서에 대하여 이루어져야 하기 때문이다.

이런 필터링 디바이스를 돕기 위해서, 하기의 것이 제안된다. 단순-화이트-리스팅, 완전 서브트리법 또는 변형 블랙-리스팅의 경우에서와 같이 그룹-ID들 사이의 순서매김을 결정하는 것이 가능한 경우에, 인증서의 메시지 부분은 단지 그룹들 중의 그 그룹에 존재하는 "최저" 및 "최고" 그룹 ID들을 포함하기만 하면 된다("최저" 및 "최고"는 순서매김 관계에 대하여 결정된다). 이는 필터가 이 인증서가 관련 그룹 ID를 포함할 수 있는지 여부를 판정할 수 있게 한다. 이는 서명을 자체적으로 검사하는 착신 디바이스에 의해 검증될 수 있다. 이는 무관한 대량의 인증서들을 빠르게 거부할 수 있게 한다.

상술한 바는 도 5의 표에 예시되어 있다. 참조 번호(402)는 k 그룹들(S₁,…S_k)의 집합의 각 그룹이 각 서명 Sign[S₁],…,Sign[S_k]을 구비하는 체계를 나타낸다. 각 그룹(S_i)은 전술한 바와 같이, 전형 적인 40 비트 수준의 길이를 갖는 스트링으로 표시된다. 서명 Sign[S_i]의 길이는 상술한 바와 같이, 통상적으로 1024비트이다.

참조 번호(404)는 상술된 제 1 최적화의 체계를 나타낸다. 서명들의 수, 여기서, k는 이제 전체 그룹(S₁,…,S_k)을 검증하는 단일 서명으로 대체된다. k 보다 많은 서명들이 존재하는 경우, 보다 많은 서명들(k 인증서들의 모든 그룹에 대하여 각각)이 생성될 필요가 있다. 그러나, 이는 여전히 배포되어야할 인증서들의 수의 현저한 절감을 초래한다는 것이 명백하다(매 k 원본 인증서들 마다 1개).

참조 번호(406)는 메시지(S₁S₂…S_k)의 S₁S_k로의 감축을 포함하는 상술된 부가의 최적화에 관련한다. 부가의 최적화는 제 1 체계의 2의 팩터를 (1024+80)/10241.08 정도의 팩터로 감소시킨다. 즉, 서명들로부터의 오버헤드가 거의 완전히 상쇄된다.

이들 최적화들은 전술한 다양한 분할 체계들에 하기와 같이 영향을 미친다.

단순 블랙-리스팅

이 경우, 인증서는 r·n 비트의 긴 블랙리스트에 첨부되며, 이는 총 r·n+C 비트 전송 크기를 산출한다. 동일한 바가 저장에 대해서도 유지된다. 서명 크기는 무시할 수 있다. 서명 응용에 관한 최적화들은 단 하나의 그룹만이 존재하기때문에 작용하지 않는다.

단순 화이트-리스팅

각각 총 크기가 (대략) n-비트인 (N-r) 그룹들이 존재한다. 서명의 첨부는 (N-r)·(C+n) 비트 전송 크기를 산출한다. 제 1 최적화 체계에서, 단지 단일의 서명만이 매비폐지 디바이스들에 대하여 연산/전송되기만 하면 된다(일련 번호들은·nC 비트를 취하기 때문에). 부가의 최적화를 적용하기 위해서, (비폐지) 디바이스들이 예로서, 디바이스 ID에 의해 순서매김되고, 이런일련 번호들의 그룹의 최초 및 최종치만이 그 자체의 메시지-부분에 투입된다. 이는 ((N-r)/)·(2n+C)N·(n+2n²/C)N·n의 전송 크기를 초래한다(여기서, N은 발행된 디바이스들의 총 수이다). 저장에 대하여, 명백히 단 하나의 인증서가 구해져서 저장되기만 하면 된다 : C 비트.

완전 서브트리법

r·(n-log₂r) 그룹들이 존재하며, 각각 n-비트 수(트리-노드)에 의해 기술된다. 제 1 최적화에 따라, 이들 중이 C-비트로 맞춰질 수 있으며, 단일 서명이 이들 모두에 대하여 제공될 수 있다. 또한, 트리-노드들을 순서매김하고, 그후, 메시지 자체내에 단지 2개의(최저 및 최고) 트리-노드들을 남김으로써, 부가의 최적화가 수행될 수 있다. 총 전송 크기는 (r·(n-log₂r)/)·(2n+C)r·(n-log₂r)·(n+2n(n+1)/C)nr·(n-log₂r)이다. 저장을 위해, 단지 단일의 인증서만이 저장되면 된다 : C 비트.

서브세트 차분법

(통계적으로)1.25r 그룹들이 존재하며, 각각 (n+2·log₂n)-비트수(2트리-노드들)로 기술된다. 제 1 최적화에 이어, 이들의가 C-비트내에 수용될 수 있으며, 단일 서명이 이들 모두에 대하여 제공될 수 있다. 또한, 트리-노드들을 순서매김하고, 메시지 자체내에 단지 2개의 트리-노드들을 남김으로써 부가의 최적화가 수행될 수 있다. 이때, 총 전송 크기는(1.25r/)·(2n+C)1.25r·(n+2log₂n)이다. 저장을 위해, 단일 인증서의 서명부만 저장되면 되며, 메시지 자체는 불필요하다 : C-비트.

변형 블랙-리스팅법

각각 n-비트의 r 수들로 기술되는 (n+1)그룹들이 존재한다. 제 1 최적화에 이어,수들이 C-비트에 수용될 수 있으며, 단일 서명이 이들 모두에 대하여 제공될 수 있다. 또한, 부가의 최적화가 수행될 수 있으며, 말하자면, 서명은 {f₁,f₂…f_k}로 기술되는 그룹들, 즉, 그룹들 S(f₁f₂)S(f₂f₃)…S(f_k-2f_k-1)S(f_k-1f_k) 중의 그 그룹을 보호한다. 이런 그룹들 중의 그룹은 메시지 부분내에 단지 f₁및 f_k를부여함으로써 기술될 수 있다. 이때, 전송 크기는 ((r+1)/)·(C+2n)r·n이 된다. 저장을 위해, 단일 서명의 서명부만 저장되면 되며, 메시지 자체는 불필요하다 : C-비트.

폐지된 디바이스들의 임의적 배포를 위해, 변형 블랙-리스팅법이 모든 다른 방법들에 비해 매우 우월하다는 것을 주의하여야 한다. 사실, 이는 블랙-리스팅에 의해 주어지는 전송 크기의 하부 한계 및 화이트 리스팅에 의해 주어지는 저장 크기의 하부 한계를 거의 달성한다. 다른 방법들은 디바이스들이 계층적으로 관리되는 경우, 예로서, 일반적으로 특정 모델의 모든 디바이스들이 폐지될 필요가 있는 경우에 적절할 수 있다.

따라서, 본 발명은 인증서의 메시지-부분의 대부분을 전송하지 않고, 서명-부분으로부터의 수신시 재구성함으로써, 서명들로 인한 오버헤드를 감소시키는 다수의 방법을 제공한다. 암호학적 관점으로부터, 작은 리던던시(redundancy)를 가지는 메시지 및 실질적인 리던던시가 없는 서명들을 가지는 효과적으로 패킹된 서명들이 안전하지 못한 것으로 고려되기 때문에, 이는 보안 위험을 도입할 수 있다 : 이들은 인증 기관의 비밀 키 없이 너무 쉽게 생성할 수 있다. 해커는 단지 임의적 C-비트 번호를 생성하고 , 이를 인증서로서 제시한다. 대부분의 모든 메시지들이 유효한 것으로 고려되는 경우, 역시, 모든 서명들도 유효한 것으로 고려된다. 이하, 해커가 무효한 서명을 구성하는 것을 효과적으로 불가능하게 하도록 그룹들 중의 그룹들의 설명에 여전히 충분한 리던던시가 존재하는 이유를 설명한다.

인증서의 서명의 검증은 인증 기관의 공개 키에 부가하여 그 내부적 포맷의사전 지식을 필요로 한다. 일반적으로 사용되는 기술은 전체 메시지에 걸쳐 해시값을 산출하는 것이며, 서명에 의해 포괄되는(즉, 인증 기관의 비밀 키를 사용하여 암호화되는) 데이터내의 것을 포함한다. 상기 기술은 메시지가 충분히 짧은 경우를 제외하고, 적어도 해시값의 크기 만큼 메시지의 크기를 확장시키는 단점을 갖는다. 서명에 의해 포괄되는 이 데이터는 원본 메시지의 일부를 포함할 수 있으며, 여기서, 이 부분은 이 이외의 경우에는 전송되지 않으며, 이 경우는 메시지 복원을 갖는 디지털 서명이라 지칭될 수 있다. 대안적으로, 전체 메시지는 서명과 별개로 전송될 수 있으며, 이 경우는 첨부를 갖는 디지털 서명들이라 지칭된다.

여기에 설명된 방법들 중 다수에 대하여, 인증서 크기에 관하여 보다 효과적인 대안적 기술이 사용될 수 있다. 전술한 바와 같이, 두 개의 인증서들이 디바이스의 인증을 보증하기 위해 사용된다. 첫 번째는 소위 디바이스 인증서이며, 이는 디바이스의 ID와 그 공개 키를 포함한다. 이는 제조시 디바이스내에 구축된다. 두 번째는 소위 인증서이며, 이는 허가된 일부 디바이스 ID들의 리스트를 포함한다. 대응 인증서에 나열된 ID를 가지는 디바이스 인증서를 제시할 수 있는 디바이스들만이 시스템에 의해 인증될 수 있다. 두 인증서들 사이의 이 관계는 서명 검증 프로세스에 사용되는 인자들 중 하나이다. 다른 인자는 인증서들내의 인증된 디바이스 ID들의 인코딩 포맷에 대한 지식이다. 고려되는 유일한 검증은 인증서의 서명이라는 것을 주의하여야 한다. 디바이스 인증서 서명의 검증은 표준 기술들에 따라서, 예로서, 해시 함수를 사용하는 것들에 따라서 수행될 수 있다.

하기에, 인증된 디바이스 ID들의 리스트가 n 비트 수를 특징으로 하는 그룹들의 집합으로 분할되는 것으로 가정한다. 또한, 서명 즉, 인증서의 크기는 C 비트인 것으로 가정한다. 표현될 수 있는 그룹들의 총 수는 N=2ⁿ이다. 마지막으로, 인코딩 복잡성을 (다소) 감소시키기 위하여, 디바이스 0 및 N-1이 시작시 폐지되는 것으로 가정한다.

다수의 k=그룹 ID들이 증명서 마다 패킹되며, m은 인증서 및 다른 관련 정보의 순서열 번호를 인코딩하기 위한 다수의 비트를 나타낸다. 유효 인증서를 위한 경계 조건은 모든 그룹 ID들이 유일하며, 오름차순으로 정렬, 예로서, ID₀<ID₁<…<ID_k-1이라는 것이다. 이제, 인증서가 k 그룹 ID들 보다 작게 포함되는 경우에, 빈 공간들은 이 경계조건을 확인하는 임의적 데이터로 채워진다. 이때, m으로 표현된 보전된 비트의 부분이 유효 엔트리들의 수를 나타내기 위해 사용된다. 임의적 서명의 생성은 k 그룹 ID들의 임의적 순서열을 서명하는 것에 대응한다. 경계 조건이 충족된(즉, 이들이 순서매김된) 경계 조건은 하기와 같다.

C 및 n의 실제 값들, 예로서, n=40 및 C=1024에 대하여, 이 가능성 P_list 1/2⁸³이다. 상기 수의 의미는 공격자가 유효한 인증서를 생성하기 위해 2⁸²와 2^81+m사이의 공개 키 작업을 수행하여야 한다는 것이다. 이 수는 공격자가 오류 인증서들을 성공적으로 생성하기에는 과도하게 크다.

상술된 실시예는 본 발명을 제한하는 것이 아니라 예시하는 것이며, 당업자들은 첨부된 청구범위의 범주로부터 벗어나지 않고, 다수의 대안 실시예들을 설계할 수 있다는 것을 인지하여야 한다.

청구범위에서, 괄호 사이에 부여된 임의의 참조 부호는 청구항을 제한하는 것으로 해석되지 않아야 한다. 단어 "포함하는"은 청구범위에 나열된 것들 이외의 다른 요소들 또는 단계들의 존재를 배제하지 않는다. 요소에 선행하는 단어 "하나"라는 표현은 복수의 요소들의 존재를 배제하지 않는다. 본 발명은 다수의 별개의 요소들을 포함하는 하드웨어에 의해, 그리고, 적절히 프로그램된 컴퓨터에 의해 구현될 수 있다.

다수의 수단을 나열하는 장치 청구항에서, 이들 수단 중 일부는 하나의 동일한 하드웨어 물품상에서 구현될 수 있다. 유일한 사실은 서로 다른 종속 청구항들에 기재된 특정 조치들은 이들 조치들의 조합이 유리하게 사용될 없다는 것을 나타내는 것이 아니라는 것이다.

Claims (8)

1. 각각의 디바이스 식별자들로 할당되어 있는 제 1 디바이스의 제 2 디바이스에 대한 인증 제어 방법으로서, 상기 방법은 비무효화 디바이스 식별자들(non-revoked device identifiers)의 범위를 식별하는 그룹 인증서를 상기 제 1 디바이스에 분배하는 단계를 포함하고, 상기 범위는 상기 제 1 디바이스의 디바이스 식별자를 포함하는, 인증 제어 방법.
2. 제 1 항에 있어서, 상기 각각의 디바이스 식별자들은 계층적 순서화 트리 내의 리프 노드들에 대응하고, 상기 방법은 상기 그룹 인증서 내에서 상기 계층적 순서화 트리 내의 노드를 식별하는 단계를 더 포함하고, 상기 노드는 상기 리프 노드들이 상기 비무효화 디바이스 식별자들의 범위에 대응하는 서브트리를 나타내는, 인증 제어 방법.
3. 제 2 항에 있어서, 상기 그룹 인증서 내에서 상기 서브트리의 부가의 노드를 식별하는 단계를 더 포함하고, 상기 부가의 노드는 상기 리프 노드들이 상기 비무효화 디바이스 식별자들의 범위로부터 배제된 디바이스 식별자들에 대응하는 부가의 서브트리를 나타내는, 인증 제어 방법.
4. 제 1 항에 있어서, 상기 각각의 디바이스 식별자들은 순차적 순서화 범위로부터 선택되고, 상기 방법은 상기 그룹 인증서 내에서 상기 순차적 순서화 범위의 서브범위를 식별하는 단계를 더 포함하고, 상기 서브범위는 상기 비무효화 디바이스 식별자들의 범위를 포함하는, 인증 제어 방법.
5. 제 1 항에 있어서, 단일 그룹 인증서 내의 비무효화 디바이스 식별자들의 복수의 각 범위들을 식별하는 단계를 더 포함하는, 인증 제어 방법.
6. 제 5 항에 있어서, 상기 단일 그룹 인증서 내의 복수의 각 범위들은 순차적으로 순서화되고, 상기 방법은 상기 순차적 순서화 내의 최저 및 최고 각각의 범위들의 식별을 통해 상기 단일 그룹 인증서 내의 복수의 각각의 범위들을 식별하는 단계를 더 포함하는, 인증 제어 방법.
7. 제 1 항에 있어서, 상기 그룹 인증서는 유효 기간의 식별을 포함하는, 인증 제어 방법.
8. 제 1 항에 있어서, 상기 그룹 인증서는 버전 표시를 포함하는, 인증 제어 방법.