CN100418317C

CN100418317C - 加密设备和方法、解密设备和方法及密钥产生设备和方法

Info

Publication number: CN100418317C
Application number: CNB2004100819599A
Authority: CN
Inventors: 石黑隆二; 大泽义知; 刑部义雄; 佐藤真; 嶋久登; 浅野智之
Original assignee: Sony Corp
Current assignee: Sony Corp
Priority date: 1997-04-23
Filing date: 1998-04-23
Publication date: 2008-09-10
Anticipated expiration: 2018-04-23
Also published as: HK1022060A1; DE69836450T2; DE69836450D1; EP2998820B1; US20080013723A1; US6256391B1; US20150381359A1; EP1742137A1; TW379308B; US7860248B2; US8594325B2; ID20227A; US8923511B2; CN1206272A; US20100290619A1; KR19980081634A; US20030191956A1; EP0875813A2; US20060140402A1; EP2781985B1

Abstract

本发明提供可以可靠地防止非法复制的一种加密设备和方法、一种解密设备和方法和一种信息处理设备和方法。由DVD播放机的1394接口加密的数据通过1394总线传输到个人计算机和磁光盘设备。在其功能的改变不对用户公开的该磁光盘设备中，接收的数据通过1394接口被解密。相反，在其功能的改变对用户公开的个人计算机中，将加密的数据使用时间可变关键码通过1394接口解密，并且使用会话密钥通过应用区将所解密的结果进一步解密。

Description

加密设备和方法、解密设备和方法及密钥产生设备和方法

本申请是申请日为1998年4月23日、申请号为98102937.X、发明名称为“加密设备和方法、解密设备和方法及信息处理设备和方法”的专利申请的分案申请.

技术领域

本发明涉及一种加密设备和方法、一种解密设备和方法、一种信息处理设备和方法、以及一种密钥产生设备和方法，尤其涉及确保了高度安全性的一种加密设备和方法、一种解密设备和方法、一种信息处理设备和方法以及一种密钥产生设备和方法.

背景技术

近来，出现了由多个电子设备构成的网络，这些电子设备的代表是AV(音频视频)设备、计算机等等，它们通过总线彼此连接在一起，以便各种数据可以在它们之间通信.

然而，用户电子设备(CE设备)如DVD播放机和电视机通常设计和制造成用于预定的目的，并且其每一个都制造成不可能让用户修改或者在其内部加入一个不同的部分以获得或修改该设备的内部数据(功能的改变).另一方面，例如，就个人计算机而言，它的结构或电路对公众是公开的，并且可以增加一个插板或装入不同的应用软件从而增加或修改各种功能.

因此，就个人计算机而言，通过加入预定的硬件或加入软件程序，它可以比较容易地执行直接存取或修改该个人计算机的内部总线上的数据.这表明，通过产生和应用应用软件，例如，它可以很容易地执行接收作为加密数据从DVD播放机传到电视接收机的数据，并且由个人计算机解密或拷贝该接收数据.

换句话说，个人计算机在通过总线实施通信的链接部分和准备待传送的数据以及使用接收的数据的应用部分之间有着薄弱的连接，并且包括许多可以被使用者在实质上和逻辑上修改的部分.相反，CE设备在链接部分和应用部分之间有着强连接，并且包括极少可以允许使用者参与的部分。

发明内容

本发明的一个目的是提供能够以更高的可靠性来防止数据被非法拷贝的一种加密设备和方法、一种解密设备和方法和一种信息处理设备和方法以及一种密钥产生设备和方法.

为了实现上面描述的目的，本发明提供一种密钥产生设备，用于产生用于加密或者解密数据的密钥，该设备包括：第一装置，用于通过相互通信的验证过程提供与另一个设备共同拥有的第一信息；第二装置，用于提供在预定定时改变的第二信息；以及产生装置，用于使用第一信息和第二信息产生密钥，其中该密钥根据第二信息中的变化在预定定时改变.

本发明还提供一种使用密钥加密数据的加密设备，包括：第一装置，用于通过相互通信的验证过程提供与另一个设备共同拥有的第一信息；第二装置，用于提供在预定定时改变的第二信息；产生装置，用于使用第一信息和第二信息产生密钥；以及加密装置，用于使用所述密钥加密数据，其中该密钥根据第二信息中的变化在预定定时改变.

本发明还提供一种使用密钥解密数据的解密设备，包括：第一装置，用于通过相互通信的验证过程提供与另一个设备共同拥有的第一信息；第二装置，用于提供在预定定时改变的第二信息；产生装置，用于使用第一信息和第二信息产生密钥；以及解密装置，用于使用所述密钥解密加密的数据，其中该密钥根据第二信息中的变化在预定定时改变.

本发明还提供一种密钥产生方法，用于产生用于加密或者解密数据的密钥，该方法包括：通过相互通信的验证过程提供与另一个设备共同拥有的第一信息；提供在预定定时改变的第二信息；以及使用第一信息和第二信息产生密钥，其中该密钥根据第二信息中的变化在预定定时改变.

本发明还提供一种使用密钥加密数据的加密方法，包括：通过相互通信的验证过程提供与另一个设备共同拥有的第一信息；提供在预定定时改变的第二信息；使用第一信息和第二信息产生密钥；以及使用所述密钥加密数据，其中该密钥根据第二信息中的变化在预定定时改变.

本发明还提供一种使用密钥解密数据的解密方法，包括：通过相互通信的验证过程提供与另一个设备共同拥有的第一信息；提供在预定定时改变的第二信息；使用第一信息和第二信息产生密钥；以及使用所述密钥解密加密的数据，其中该密钥根据第二信息中的变化在预定定时改变.

为了实现上面描述的目的，根据本发明的一方面提供一种加密设备，该设备包括：加密装置，用于使用一密钥给数据加密；第一发生装置，用于产生第一关键码；第二发生装置，用于产生第二关键码，该第二关键码在数据被加密时以预定的定时改变；和产生装置，用于使用第一关键码和第二关键码产生该密钥.

根据本发明的另一方面，提供了一种加密方法，该方法包括步骤：使用一密钥对数据加密；产生第一关键码；产生在数据被加密时按照预定定时改变的第二关键码；以及，使用第一关键码和第二关键码产生密钥.

对加密设备和加密方法来说，因为使用了第一关键码和数据被加密时按照预定定时改变的第二关键码，所以加密可以在一个安全性很高的情况下被执行.

根据本发明的进一步的方面，提供了一种解密设备，该设备包括：接收装置，用于接收已加密的数据；解密装置，用于使用一密钥来对接收的数据解密；第一发生装置，用于产生第一关键码；第二发生装置，用于产生在数据被解密时按预定定时改变的第二关键码；以及产生装置，用于使用第一关键码和第二关键码产生该密钥.

根据本发明更进一步的方面，提供了一种解密方法，该方法包括步骤：接收加密的数据；使用一密钥将接收的数据解密；产生第一关键码；产生在数据被解密时按预定定时改变的第二关键码；以及，使用第一关键码和第二关键码产生该密钥.

对于解密设备和解密方法来说，因为使用了第一关键码和在数据被解密时按照预定定时改变的第二关键码，加密数据能在安全性很高的情况下被解密.

根据本发明再进一步的方面，提供了一种信息处理系统，该系统包括多个通过总线彼此相连的信息处理设备，该信息处理设备包括：第一信息处理设备，其中每一个都有其改变不对用户公开的功能；和第二信息处理设备，其中每一个都有其改变对用户公开的功能，每一个第一信息处理设备包括：第一接收装置，用于接收加密的数据；第一解密装置；用于使用一密钥将由第一接收装置接收的数据解密；第一发生装置，用于产生第一关键码；第二发生装置，用于产生在数据被解密时按照预定定时改变的第二关键码；以及第一产生装置，用于使用由第一发生装置产生的第一关键码和由第二发生装置产生的第二关键码而产生该密钥，每一个第二信息处理设备包括：第二接收装置，用于接收加密的数据；第三发生装置，用于产生第一关键码；第四发生装置，用于产生在数据被解密时按照预定定时改变的第二关键码；第二产生装置，用于使用由第三发生装置产生的第一关键码和由第四发生装置产生的第二关键码中的一个产生第一密钥；第三产生装置，用于使用由第三发生装置产生的第一关键码和由第四发生装置产生的第二关键码中的另一个来产生第二密钥；第二解密装置，用于使用第一密钥将由接收装置接收到的加密数据解密；以及，第三解密装置，用于使用第二密钥将由第二解密装置解密的数据进一步地解密.

根据本发明的再一个方面，提供了一种用于信息处理系统的信息处理方法，该信息处理系统是由多个通过总线彼此相连的信息处理设备组成的，该信息处理设备包括：第一信息处理设备，其每一个都有其改变不对用户公开的功能；和第二信息处理设备，其每一个都有其改变对用户公开的功能，该信息处理方法包括由每一个第一信息处理设备执行的以下步骤：接收加密数据；使用一密钥对在接收步骤中接收到的数据进行解密；生成第一关键码；生成在数据被解密时按照预定定时改变的第二关键码，以及，使用在第一生成步骤中生成的第一关键码和在第二生成步骤中生成的第二关键码产生该密钥，并且该信息处理方法包括由每个第二信息处理设备执行的以下步骤：接收加密数据；生成第一关键码；生成在数据被解密时按照预定定时改变的第二关键码；使用第一关键码和第二关键码中的一个产生第一密钥；使用第一关键码和第二关键码中的另一个产生第二密钥；使用该第一密钥将在接收步骤中接收到的加密数据解密；以及，使用该第二密钥将解密的数据进一步解密.

对于该信息处理系统和信息处理方法来说，因为，在具有其改变不对用户公开的功能的第一信息处理设备中，密钥是通过使用第一关键码和在数据被解密时按照预定定时改变的第二关键码产生的，而在具有其改变对用户公开的功能的第二信息处理设备中，第一密钥是使用第一关键码和在数据被解密时按预定定时改变的第二关键码中的一个来产生的，然后使用第一关键码和第二关键码中的另一个来产生第二密钥，此后使用该第一密钥，此后将被加密的数据解密，而使用该第二密钥将被解密的数据进一步解密，因此，该信息处理设备和方法与以往相比有更高的可靠性。

根据本发明的又一个方面，提供了一种信息处理设备，其包括：接收装置，用于接收通过总线传过来的数据；包括软件程序的产生装置，用于从由接收装置接收的数据中产生第一密钥和第二密钥，该第二密钥在数据被解密时按照预定定时改变；第一解密装置，用于使用由产生装置产生的第一密钥和第二密钥中的一个将由接收装置接收的加密数据解密；以及，第二解密装置，用于使用由产生装置产生的第一密钥和第二密钥中的另一个进一步解密和处理由第一解密装置解密的数据.

根据本发明的又一个方面，提供了一种信息处理方法，包括这些步骤：接收通过总线传来的数据；从接收的数据中产生第一密钥和第二密钥，该第二密钥在数据被解密时按照预定定时改变；使用第一密钥和第二密钥中的一个将已接收到的加密数据解密；以及使用第一密钥和第二密钥中的另一个将解密的数据进一步解密.

对于该信息处理设备和信息处理方法来说，由于第一密钥和在数据被解密时按照预定定时改变的第二密钥是基于软件程序产生的，因此可以对每一个应用程序执行解密，并且可以很可靠地防止非法复制.

本发明的上述和其它发明目的、特征和优点可以从随后的说明书和所附的权利要求书，连同附图体现出来，附图中，相同的部分或元件由同样的标号表示.

附图说明

图1表示应用本发明的信息处理系统结构的一个例子的方框图；

图2表示图1所示的DVD播放机、个人计算机和磁光盘设备内部结构的实例的方框图；

图3是说明在图1的信息处理系统中执行的验证程序的方框图；

图4是说明图3所说明的验证程序的时序图；

图5是表示一个node_unique_ID(节点_唯一_标识)格式的示意图；

图6是表示另一个验证程序的时序图；

图7是与图6类似的但表示另一个验证程序的时序图；

图8是表示又一个验证程序的类似时序图；

图9是同样的表示再一个验证程序的类似时序图；

图10是表示一个加密程序的方框图；

图11是表示在图10的加密程序中使用的1394接口结构的一个实例的方框图；

图12是表示图11的1394接口的较详细结构的实例的方框图；

图13是表示图12中所示的线性反馈移位寄存器的较详细结构的实例的方框图；

图14是表示图13中线性反馈移位寄存器的较详细结构的实例的方框图；

图15是表示用在图10的加密程序中的1394接口结构实例的方框图；

图16是表示图15的1394接口较详细结构的实例的方框图；

图17是表示用在图10的加密程序中的1394接口的结构实例的方框图；

图18是表示图17中的1394接口较详细结构实例的方框图；

图19是表示用于图10的加密程序中的一个应用部分的结构实例的方框图；

图20是表示图19中的应用部分的更详细结构的实例的方框图；

图21是表示用于图10的加密程序中的1394接口结构的又一个实例的方框图；

图22是表示用于图10的加密程序中的1394接口结构的又一个实例的方框图；

图23是表示用于图10的加密程序中的1394接口结构的又一个实例的方框图；以及

图24是表示用于图10的加密程序中的应用部分结构的又一个实例的方框图.

具体实施方式

首先参考图1，该图示出了应用本发明的一种典型的信息处理系统。所示的该信息处理系统包括都彼此通过一条IEEE 1394串联总线11连接在一起的DVD播放机1、个人计算机2、磁光盘设备3、数据广播接收机4、监视器5和电视接收机6.

现参考图2，该图示出了图1所示信息处理系统的DVD播放机1、个人计算机2和磁光盘设备3的详细的内部结构.DVD播放机通过1394接口(I/F)26与1394总线相连.该DVD播放机包括CPU 21，该CPU 21按照存储在ROM 22中的程序执行多种处理.RAM 23用于适宜地存储对CPU 21执行各种处理所必须的数据、程序等等.操作区24由按钮、开关、远程控制器等等构成，并且当用户对其进行操作时，它输出一个和该操作相关的信号.驱动器25驱动DVD不再现存储在DVD中的数据.EEPROM(电可擦除可编程只读存储器)27存储比如在设备电源掉电后仍然必须保持被存储的关键码信息之类的信息.内部总线28将元件彼此相连.

磁光盘设备3包括CPU 31、ROM 32、RAM 33、操作区34、驱动器35、1394接口36、EEPROM 37以及内部总线38，以上这些具有和上述DVD播放机1的那些部分相同的功能.这里，省去了对相同元件的说明以避免重复。但是，还是要指出，驱动器35不是驱动DVD而是驱动磁光盘不显示将数据记录到磁光盘或再现来自磁光盘上的数据.

个人计算机2通过1394接口49和1394总线11线相连.个人计算机2包括：CPU 41，CPU 41按照存在ROM 42中的程序执行多种处理；和RAM43，在其中适宜地存储对CPU 41执行各种处理所必须的数据、程序等等。键盘45和鼠标46和输入/输出接口44相连，并且输入/输出接口44将由键盘45和鼠标46输入的信号输出到CPU 41.更进一步，硬盘驱动器(HDD)47和输入/输出接口44相连，以便通过该硬盘驱动器47使数据、程序等等可以记录在未示出的硬盘上和从该硬盘上再现出来.更进一步，扩充板48可以适宜地安装在输入/输出接口44上以便于给个人计算机2附加提供必须的功能.EEPROM 50用于存储在个人计算机2的电源被关闭时必须仍然被存储在其上的信息，如各种关键码信息.内部总线51比如由一条PCI(外围元件互连)总线、一条局部总线或类似总线形成，并且将上述提到的元件彼此连接在一起.

要指出的是内部总线51是对用户公开的，以便用户能通过将预定板适宜地与扩充板48相连或通过产生和安装预定的软件程序来接收由内部总线51传输的数据.

相反，在任何一个用户电子(CE)设备如DVD播放机1和磁光盘设备3中，内部总线28或内部总线38是不对用户公开的，用户不能获得传送到其中的数据，除非对其做特殊改变.

其次，将描述在源区(source)和接收器(sink)之间执行的验证的程序。这里，例如，参见图3，在作为预先存储在DVD播放机的ROM 22中的软件程序之一的、起到源区作用的固件(firmware)20和作为存储在个人计算机2的ROM 42中的软件程序之一的、起到接收器作用的许可管理器(licensemanager)62之间，执行验证程序，并由CPU 41进行处理.

散列函数是用于输出具有如64位或128位的固定长度的数据，以响应一个随机长度的输入的函数，并且是这样的函数，当y＝(散列(x))给定时，它很难确定x，并且也很难确定一满足“散列(x1)＝散列(x2)”条件的一组x1和x2.作为代表单一方向散列函数的一个，MD5、SHA等等是已知的。关于该单一方向散列函数在布鲁斯·斯格涅尔(Bruce Schneier)的“应用密码学(第二版)，威利(‘Applied Cryptograph(Second Edition)，Wiley’)”中有详细解释。

license_key＝hash(ID||service_key)

举例来说，对于ID，可使用在1394总线标准中规定的node_unique_ID(节点_唯一_标识)。参见图5，该node_unique_ID由8字节(64位)构成，其中前3个字节是由IEEE控制，并且由IEEE给出以提供给电子设备的个人制造者。同时，后5个字节可以由每个制造者供给每一台由制造者提供给任何用户的设备.每一个制造者，例如，把后5个字节的数字串行施加给各个设备，使得一个单独的数字施加给一个设备，并且如果所有可用于这5个字节的数字都用完了，则提供另一个其前3个字节不同于前一个的node_unique_ID给制造者，而用后5个字节以一个单独的数字施加给一个设备.另外，该node_unique_ID在不同的单元中是不同的，并且与它的制造者无关，并且对每个单元而言是唯一的.

在步骤S1中，DVD播放机1的固件20控制1394接口26通过该1394总线11向个人计算机2请求一个ID.在步骤S2中，个人计算机2的许可管理器62接收该ID请求.尤其是，当通过1394总线11接收到从DVD播放机1传来的请求ID的信号时，1394接口49输出该信号给CPU 41.当该ID请求接收到时，CPU 41的许可管理器62读出存于EEPROM 50中的该ID，并且在步骤S3中，将该ID通过1394接口49从1394总线11传给DVD播放机1.

在DVD播放机1中，在步骤S4中，由1394接口26接收到该ID，并且提供给正在由CPU 21操作的固件20.

在步骤S5中，固件20将从个人计算机2传送来的ID和存在EEPROM27中的服务关键码结合在一起以产生数据(ID||service_key)，并且将由下式表示的散列函数施加给该数据，以产生一个关键码1k：

1k＝hash(ID||service_key)

然后，在步骤S6中，固件20产生一个密钥sk，该密钥将在以后详细描述.该密钥sk在DVD播放机1和个人计算机2中用作一个会话(session)关键码.

然后，在步骤S7中，固件20使用在步骤5中产生的关键码1k将由步骤S6产生的密钥sk加密使之作为一个关键码，从而获得加密的数据(加密的关键码)e.换句话说，固件20计算下列表达式：

e＝Enc(1k，sk)

这里Enc(A，B)在通用关键码密码学中表示用一个关键码A加密数据B.

然后，在步骤S8中，固件20将在步骤S7中产生的加密数据e传给个人计算机2.尤其是，该加密数据e是通过1394总线11从DVD播放机1中的1394接口26传给个人计算机2的.在个人计算机2中，在步骤S9中，由1394接口49接收该加密数据e.许可管理器62按照下列式子使用存储在EEPROM 50中的许可关键码将以这种方式接收的加密数据e解密，以产生一个解密关键码sk′：

sk′＝Dec(license_key，e)

这里，Dec(A，B)在通用关键码密码学中表示使用一个关键码A解密数据B。

要指出的是，作为在通用关键码密码学中用于加密的算法，该PES是已知的.同样该通用关键码密码在上述提到的“应用密码学(第二版)”中有详细解释。

在步骤S5中由DVD播放机1产生的关键码1k有着与存在个人计算机2的EEPROM 50中的关键码(license_key)相同的值.换句话说，满足下式：

1k＝license_key

另外，由个人计算机2在步骤S10的解密中获得的关键码sk′有着与由DVD播放机1在步骤S6中产生的密钥相同的值。换句话说，满足下式：

sk′＝sk

在这种方式中，彼此相同的关键码sk和sk′共同地由DVD播放机1(源区)和个人计算机2(接收器)拥有.因此，关键码sk可以作为密钥使用，或者，一个伪随机数可以由源区和接收器基于该关键码sk产生出来并用作一个密钥.

因为该许可关键码是基于对该设备特有的ID和对应于如上所述提供的信息的服务关键码而产生的，因此另一个设备不能产生关键码sk和sk′。更进一步，任何一台没有经过版权所有者授权的设备都不能产生该sk或sk′，因为它没有许可关键码.另外，当DVD播放机1其后周密钥sk对再现数据加密并将所得数据传给个人计算机2时，如果个人计算机2上有合法获得的许可关键码，则因为它有密钥sk′，所以它能将从DVD播放机1传来的加密的再现数据解密.但是，如果个人计算机2不合法，因为它没有密钥sk′，所以，它就不能将传过来的加密的再现数据解密.换句话说，因为只有一个合法的设备可以产生通用密钥sk和sk′，因此验证作为结果被执行.

即使单独个人计算机2的许可关键码被偷，因为不同单元中的ID不同，对另一设备而言不可能使用该许可关键码将从DVD播放机1传来的加密的数据解密.因此，安全性就增大了.

图6示出了个人计算机2和磁光盘设备3相对于源区(DVD播放机1)而言都作为接收器时的一个典型的程序.

在这个例子中，ID1作为ID和license_key1作为许可关键码被存在作为接收器1的个人计算机2的EEPROM50中，让在作为接收器2的磁光盘设备3中，ID2作为ID和license_key2作为许可关键码被存在EEPROM 37中.

在步骤S11到S20中在DVD播放机1(源区)和个人计算机2(接收器1)之间执行的处理实质上类似于图4中所示的步骤S1到S10中的处理过程.所以，省去对于在步骤S11到S20中处理过程的说明，以免重复.

在DVD播放机1与个人计算机2合作以上述方式执行一个验证程序之后，DVD播放机1在步骤S21中向磁光盘设备3请求一个ID.当在步骤22中该ID请求信号通过1394接口36被磁光盘设备3接收时，在步骤S23，在磁光盘设备3中的固件30(图10)读出存储在EEPROM 37的该ID(ID2)，并且通过1394总线11将该ID从1394接口36传给DVD播放机1。在步骤S24中，DVD播放机1的固件20通过1394接口26接收到该ID2，并且在步骤S25中基于下式产生一个关键码1k2：

1k2＝hash(ID2||service_key)

更进一步，固件20在步骤S26中计算下列表达式，以使用在步骤S25中产生的关键码1k2将在步骤S16中产生的关键码sk加密，以产生加密的数据e2：

e2＝Enc(1k2，sk)

然后，在步骤S27中，固件20通过1394总线11将加密的数据e2从1394接口26传给磁光盘设备3.

在步骤S28中，磁光盘设备3通过1394接口36接收加密的数据e2，并且在步骤S29中计算下列表达式，以产生密钥sk2′：

sk2′＝Dec(license_key2，e2)

密钥sk1′和sk2′以上面提到的方式分别由个人计算机2和磁光盘设备3获得.它们的值和DVD播放机1的密钥sk相同.

同时，在图6的程序中，DVD播放机1分别向个人计算机2和磁光盘设备3请求ID并且处理接收到的IDs(多个ID)，在ID请求可以由广播通信方式传送的情况中，可以执行如图7所示的程序.

尤其是，在图7的程序中，通过广播通信，作为源区的DVD播放机1向所有的接收器(本程序中为个人计算机2和磁光盘设备3)请求ID.在步骤S42和S43中，在个人计算机2和磁光盘设备3分别接收到请求传递ID的信号之后，它们中的每一个都在步骤S44或步骤S45中读出存在EEPROM 50或EEPROM 37中的ID1或ID2并将其传送到DVD播放机1.

在步骤S48中，DVD播放机1基于下列表达式产生密钥1k1：

1k1＝hash(ID1||service_key)

更进一步，在步骤S49中，基于下列表达式产生密钥1k2：

1k2＝hash(ID2||service_key)

在DVD播放机1中，更进一步在步骤S50中产生密钥sk，和在步骤S51中，该密钥sk如同给出的那样通过下列表达式使用关键码1k1作为关键码被加密：

e1＝Enc(1k1，sk)

更进一步，在步骤S52中，该密钥sk按照下列表达式使用关键码1k2作为关键码被加密：

e2＝Enc(1k2，sk)

另外，在步骤S53中，由此获得的值ID1、e1、ID2和e2按照下列表达式所给出的那样被连接在一起以产生加密的数据e：

e＝ID1||e1||ID2||e2

以如上所述方式在DVD播放机1中产生的加密数据e进一步在步骤S54中通过广播通信被传送到个人计算机2和磁光盘设备3.

个人计算机2和磁光盘设备3分别在步骤S55和步骤S56中接收加密数据e.这些后，在个人计算机2和磁光盘设备3中，在步骤S57和S58中执行由下式表示的计算，以便分别产生密钥sk1′和sk2′：

sk1′＝Dec(license_key1，e1)

sk2′＝Dec(license_key2，e2)

图8示出了一种程序的一个实例，在该程序中一个接收器可以享用多个服务(多种信息的解密).参考图8，例如，在本程序中，作为接收器的个人计算机2有多个存储在其EEPROM 50中的许可关键码(license_key1、license_key2、license_key3等).作为源区的DVD播放机1有多个存储在EEPROM 27中的服务关键码(service_key1、service_key2、service_key3等).在这个例子中，当在步骤S81中DVD播放机1向作为接收器的个人计算机2请求ID时，它传送一个用于识别随后要从DVD播放机1中传出信息(一个服务)的service_ID(服务_标识).当个人计算机2在步骤S82中接收到该service_ID时，它选择存储在EEPROM 50中的和service_ID相对应的多个许可关键码中的一个，并且使用所选择的许可关键码在步骤S90中执行解密处理.其它的操作和图4所示的相似.

LK′＝G^-1(R)

R＝pRNG(H)(+)pRNG(LK)

H＝hash(ID||service_key)

要指出的是G^-1表示G的一个反函数.G^-1有这样的特点，即，如果预先设置的规则已知，它可以简单地被计算出，但如果该规则不知，则难以将它计算出.对于这样一个函数，可以使用一个公共关键码密码学所使用的函数.

进一步，该伪随机产生函数可以作为硬件被提供.

在步骤S101中，DVD播放机1的固件20向个人计算机2的许可管理器62提出ID请求.在步骤S102中，当个人计算机2的许可管理器62接收到该ID请求信号时，它读出存储在EEPROM 50中的ID，并在步骤S103将它传送给DVD播放机1.DVD播放机1的固件20在步骤S104接收这个ID，并在步骤S105中计算下列表达式：

H＝hash(ID||service_key)

进一步，在步骤S106中，固件20产生一个关键码sk，并在步骤S107中计算下列表达式：

e＝sk(+)pRNG(H)

要指出的是，A(+)B表示A和B的异或(exclusive Oring)运算。

换句话说，该关键码sk通过对每一位的异或运算被加密，该异或运算是对将在步骤S105中计算出来的H输入到伪随机产生关键码pRNG所得到的结果pRNG(H)与在步骤S106中产生的关键码sk进行的.

然后，在步骤S108中，固件20将e传到个人计算机2中.

在个人计算机2中，在步骤S109接收到这个e，并且在步骤S110中计算下列表达式：

sk′＝e(+)G(LK′)(+)pRNG(LK)

具体讲，对由DVD播放机1传来的e、通过将存在EEPROM 50中的LK′施加到同样存在EEPROM 50中的函数G所获得的值G(LK′)、以及通过将存在EEPROM 50中的LK′施加到同样存在EEPROM 50中的伪随机数产生函数pRNG被得到的结果pRNG(LK)进行异或计算，以获得关键码sk′。

这里，正如从下列表达式看出的，sk＝sk′：

sk′＝e(+)G(LK′)(+)pRNG(LK)

＝sk(+)pRNG(H)(+)R(+)pRNG(LK)

＝sk(+)pRNG(H)(+)pRNG(H)(+)pRNG(LK)(+)

pRNG(LK)

＝sk

同时，在上述的说明中，例如，个人计算机2通常可以使用一个随机的应用程序作为负载在源区和接收器之间来执行验证程序.进一步，作为这样的应用程序，非法产生的应用程序可以被使用.另外，对于每一个应用程序，不管它是否从版权所有者那里得到许可，它必须是可以辨认的.所以，如图3所示，验证处理可以以上述方式同样在每个应用部分61和许可管理器62之间执行.在这个例子中，许可管理器62用作源区，而应用部分61用作接收器.

随后，当执行完验证之后(在执行完对密钥的通常处理之后)，使用一个密钥将加密的数据从一个源区传到一个接收器，并且由所述的接收器将该加密的数据解密.

在一个其内部功能不对一般用户公开的如DVD播放机1或磁光盘设备3这样的设备中，通过1394总线11传播数据的加密和解密的处理是由1394接口26或1394接口36执行的.同时，使用会话密钥S和一个时间可变关键码i用于加密和解密，会话密钥S和时间可变关键码i(更准确地，用于产生时间可变关键码i的关键码i′)从固件20或固件30分别提供给1394接口26或1394接口36.会话密钥S由用作初始值的初始值关键码Ss和用于干扰时间可变关键码i的干扰关键码Si组成.初始值关键码Ss和时间可变关键码i分别由上述验证过程中所产生的密钥sk(＝sk′)的预定位数的前几位和后几位构成.该会话密钥S被适宜地为每一个会话更新，例如，为每一部电影的信息或为每个再现过程.相反，从干扰关键码Si和关键码i′中产生的该时间可变关键码i频繁地为一个会话更新，并且例如，可以使用在预定定时的时间信息或类似信息.

现在，假设从用作一个源区的DVD播放机1中产生和输出的视频数据通过1394总线11被发送到磁光盘设备3和个人计算机2，以便磁光盘设备3和个人计算机2将它解密.在这个例子中，在DVD播放机1中，通过1394接口26使用该会话密钥S和时间可变关键码i执行加密处理.在磁光盘设备3中，通过1394接口36使用会话密钥S和时间可变关键码i执行解密处理.

相反，在个人计算机2中，许可管理器62给应用区61提供会话密钥S的初始密钥值Ss以及给1394接口49(链接区)提供干扰关键码Si和时间可变关键码i(更准确地讲，是用于产生时间可变关键码i的关键码i′).然后，通过1394接口49，从干扰关键码Si和关键码i′中产生时间可变关键码i，并且使用该时间可变关键码i来执行解密过程，并且由应用区61使用会话密钥S(更准确地讲，是初始密钥值Ss)将解密数据进一步解密.

在个人计算机2的这种方式中，因为内部总线是对用户公开的，通过1394接口49仅执行了第一阶段的解密过程，因此所得数据仍处于加密状态。然后，由应用区61进一步执行第二阶段的解密过程，以产生非加密数据。通过这种方式，可以禁止个人计算机2适宜地增加与复制通过内部总线51传到硬盘47或其它任何设备上的数据(非加密数据)相同的功能.

但是，在本系统的这种方式中，在其内部总线没有公开的CE设备中，使用会话密钥S和时间可变关键码i只执行一次加密或解密过程，在另一个其内部总线是公开的设备中(个人计算机2或类似物)，解密过程是分别作为一个使用了时间可变关键码i的解密过程和另一个使用了会话密钥S的解密过程而执行的.为了在这种方式中允许同时存在由一个阶段执行的解密过程和由两个分开阶段完成的解密过程，必须满足下式：

Dec(S，Dec(i，Enc(algo(s+i)，Data)))＝Data

其中algo(s+i)表示通过将密钥S和时间可变关键码i输入到一个预定的算法中而获得的结果.

图11示出了满足上述表达式的1394接口26结构的一个实例.参考图11，在所示的1394接口26中，由附加发生器71产生的m位数据提供给收缩发生器73(shrink generator 73).同时，一个线性反馈移位寄存器(LFSR)72输出1位数据并把它提供给收缩发生器73.该收缩发生器73选择附加发生器71的输出，以响应线性反馈移位寄存器72的输出，并且将选择的数据作为密钥输出给加法器74.该加法器74将输入的非密码数据(要传送到1394总线11的m位数据)和由收缩发生器73提供的m位数据(密钥)相加，并且将相加的结果作为密码数据(加密的数据)输出到1394总线11.

加法器74的相加处理是通过2的m次幂的模(mod 2^m)(^表示一个幂指数)将收缩发生器73的输出和一个非密码数据相加.换句话说，m位数据彼此相加，并输出一个其进位(carry-over)被忽略的总数.

图12示出了图11所示的1394接口26的更详细结构的一个实例。由固件20输出的会话密钥S的初始值Ss通过加法器81传送到并存储在寄存器82中.初始密钥值Ss由例如55个字组成(一个字的宽度为从8位到32位)。更进一步，由固件20提供的会话密钥S的干扰密钥Si是由例如，存储于另一个寄存器85中的LSB(最低有效位)侧的32位构成的.

密钥存储在另一个寄存器84中.这里，例如，通过1394总线11一次传送一个数据包，提供2位的密钥1′给寄存器84，并且当用于16个数据包(32位)的密钥1′存入寄存器84时，它通过加法器86与存储在寄存器85中的32位干扰密钥Si相加，并且作为最终的的时间可变密钥i提供给加法器81.加法器81将通常存储在寄存器82中的值与由加法器86提供的时间可变密钥i相加，并将相加结果提供给寄存器82，使其存储于寄存器82中。

在寄存器82中的字的位数例如是8，因为从加法器86输出的时间可变密钥i是32位，因此该时间可变密钥i被分成4部分，每部分8位，并且每8位与寄存器82的预置地址(0至54)的字相加.

在初始值密钥Ss第一次以这种方式存入寄存器82之后，每次传送用于16个数据包的非密码数据，密钥Ss都随着时间可变密钥i被更新。

加法器83选择存储在寄存器82中的55个字中的预定的2个字(在图12所示的时间情况中，是位于地址23和地址54的字)，并且将所选的2个字相加，并将所得的字输出到收缩发生器73中.更进一步，在图12所示的时间中，加法器83的输出被传送到寄存器82的地址0之处，使之取代地址0以前存储的值而被存储.

然后，在下一时间，要提供给加法器83的2个字的地址被图12中来自地址54和地址23的一个字分别向上移位到地址53和地址22，并且随着加法器83的输出而更新的该地址同样被移位到图中一个较高的地址.但是，因为比地址0更高的地址在这个例子中是不存在的，所以该地址被移位到地址54.

要指出的是，加法器81、83和86可以运行异或门.

如图13所示，线性反馈移位寄存器72由比如一个n位的移位寄存器101，和一个用于将移位寄存器101的n位的预定位数(寄存器)值相加的加法器102所组成.移位寄存器101将由加法器102提供的一位数据存储在图13中最左边的寄存器b_n中，并且将已经存在那里的数据移位到右边的下一个寄存器b_n-1.同样，寄存器b_n-1、b_n-2、...执行同样的处理。然后，在再下一个时间里，由加法器102将位数的值相加所获得的一个值存入图13最左边的位b_n中.上述的运行连续重复，且同时从图13的最右边的寄存器b₁中逐位连续输出一个输出.

图13示出了线性反馈移位寄存器72的一个通用结构的例子，图14中更详细地示出了以这方式构成的线性反馈移位寄存器72.在图14所示的这种线性反馈移位寄存器72中，该移位寄存器101是由31位构成的，并且在图14最右边的寄存器b₁的值和图14最左边的寄存器b₃₁的值由加法器102相加，其相加结果反馈到寄存器b₃₁.

当从线性反馈移位寄存器72输出的1位数据具有逻辑值1时，条件鉴别区91将由附加发生器71中的加法器83提供的m位数据传送到FIFO(先进先出)存储器92中，使之存储在该FIFO 92中.另一方面，当来自线性反馈移位寄存器72的1位数据的逻辑值为0时，条件鉴别区91不接受由CPU31提供的m位数据，而是中断加密过程.在这种方式中，只有那些由附加发生器71产生、并且在线性反馈移位寄存器输出逻辑值1时才输出的m位数据，被选择并存储在收缩发生器73的FIFO 92中.

存储在FIFO 92中的m位数据作为密钥提供给加法器74，借此该m位数据与要发送的一个非密码数据(来自DVD的再现数据)相加，以产生一个密码数据.

该加密数据通过1394总线11由DVD播放机1提供给磁光盘设备3。

磁光盘设备3的1394接口36具有如图15所示的结构，以便对从1394总线11接收到的数据解密.参考图15，在所示的1394接口36中，从附加发生器171输出的m位数据和从线性反馈移位寄存器172输出的1位数据提供给收缩发生器173.然后，一个从收缩发生器173输出的m位关键码提供到减法器174.减法器174从一密码数据中减去从收缩发生器173提供的关键码，以将该密码数据解密为非密码数据.

尤其是，图15所示的1394接口36具有与图11所示1394接口26基本相同的结构，区别仅在于图11所示的加法器74被减法器174代替.

图16示出了图15示出的1394接口36的更详细的结构实例。参考图16，虽然1394接口36具有基本上与图12中示出的1394接口26相同的结构，但图12中示出的加法器74由减法器174代替.其余的部件即附加发生器171、线性反馈移位寄存器172、收缩发生器173、加法器181、寄存器182、另一个加法器183、寄存器184和185、又一个加法器186、条件鉴别区191和FIFO 192分别对应于图12中所示的附加发生器71、线性反馈移位寄存器72、收缩发生器73、加法器81、寄存器82、加法器83、寄存器84和85、加法器86、条件鉴别区91和FIFO 92.

因此，因为1394接口36的操作基本上和图12中示出的1394接口26的操作基本相同，因此这里省去对它的过多说明以免重复.然而，在图16的1394接口36中，减法器174从一个密码数据中减去从收缩发生器173和FIFO 192输出的m位关键码，以便将该密码数据解密成非密码数据。

如上所述，在1394接口36中，加密数据在使用会话密钥S(初始值密钥Ss和干扰密钥Si)和时间可变密钥i时被解密.

相反，如上所述，在个人计算机2中，解密是在2个阶段分别由1394接口49和应用区61执行的.

图17示出了1394接口49的一个典型结构，其中解密是由硬件完成的。参考图17，所示的1394接口49具有与图15所示1394接口36基本相同的结构.特别是，1394接口49同样是由附加发生器271、线性反馈移位寄存器272、收缩发生器273和减法器274构成的，并且那些元件具有与图15所示的元件即附加发生器171、线性反馈移位寄存器172、收缩发生器173和减法器174基本相同的结构.但是，在图17所示的1394接口中，与图15所示的1394接口36中相似的密钥作为用于产生时间可变密钥i的密钥i′和用于干扰来自许可管理器62的时间可变密钥i的会话密钥S的干扰密钥Si提供给附加发生器271，以及提供一个作为初始值密钥Ss的标识单元，其中所有的位数都为0.

特别是，如图18所示，因为初始值密钥Ss的所有位都是0，实质上与其他其中不存在初始值密钥Ss的情况相同，所以仅基于时间可变密钥i来产生密钥.结果，减法器274执行仅基于加密的时间可变密钥i的解密.进一步，因为基于初始值密钥Ss的解密是不执行的，所以作为解密结果而获得的数据不能产生一个完全的非密码数据，而是保留在加密状态，因此，即使该数据是从内部总线51获得并记录在硬盘47上或其它记录介质中，它也不能照原样被使用.

然后，如图19所示，应用区61的结构是由附加发生器371、线性反馈寄存器372、收缩发生器373以及减法器374构成，应用区61将基于时间可变密钥i已经以上述方式在1394接口49中通过硬件解密的数据进一步通过软件进行解密.这些元件的基本结构分别与图15所示的附加发生器171、线性反馈移位寄存器172、收缩发生器173和减法器174的结构相似。

但是，在以与图15中情况相似的方式提供一个作为会话密钥S的初始值密钥Ss的普通初始值密钥的同时，每一个干扰密钥Si和用于产生时间可变密钥i的密钥i′是其所有位都是0的标识单元的数据。

结果，特别是如图20所示(元件371至392分别对应于图16所示的元件171至192)，因为存储在寄存器384的密钥i′和存储于寄存器385的干扰密钥Si的所有位都是0，因此从加法器386输出的时间可变密钥i的所有位也同样都是0，并且执行的运算基本上与那些其中时间可变密钥i不存在的情况相同.换句话说，仅基于初始密钥Ss产生一个密钥.然后，通过减法器374，基于以上述方式产生的密钥而将一个密码数据解密为一个非密码数据.因为如上所述通过1934接口49在第一阶段基于时间可变密钥i的解密过程已经获得了这个密码数据，这里，通过在第二阶段基于初始值密钥Ss执行的解密过程可以获得完全的非密码数据.

在磁光盘设备3中，当加密码数据被以上述方式解密时，CPU 31将该解密数据提供给驱动器35，使其可被存储在磁光盘上.

同时，在个人计算机2中，CPU 41(应用区61)将以上述方式解密的数据提供给比如硬盘驱动器47，使之被记录在上面.在个人计算机2中，当一预置板作为扩充板48被连接以监视由内部总线51传送的数据时，因为最后能将传送到内部总线51的数据解密的元件是应用区61，尽管扩充板48可以监视由1394接口49基于时间可变密钥i已经执行解密过程的数据(对该数据还没执行基于会话密钥S的解密过程)，但将数据完全解密成一个非密码数据的过程不能被监视.所以，可以防止非法复制.

要指出的是，对会话密钥的通常处理可以使用比如丹佛-荷尔蒙(Diffie-Hellman)方法或其它方法.

要指出的是，在其它类似的情况中，例如，个人计算机2的1394接口49或应用区61具有比较低的处理能力，以致于它不能执行解密过程，如果会话密钥和时间可变密钥中的一方或双方都由来自源区的标识元件构成，而与它们一起使用的标识元件同样在接收器中，那么数据的通信实际上可以不使用该会话密钥和时间可变密钥.但是，在这种方法使用的地方，数据可能被非法复制的可能性增加了.

如果应用区61本身源于非法复制，那么解密数据也有可能被非法复制。但是，如果应用区61由许可管理器62以上述方式被验证，则可以防止非法复制.

作为在这个例子中的验证方法，除了通用密钥之外，还可以使用将公共密钥用于其中的数字式自动绘图仪(autograph).

上述图11、图12以及图15至图20中所示的1394接口满足一个同态(homomorphism)关系.特别是，当密钥K₁和K₂是伽罗瓦(Galois)域G的元件时，它们的一组运算结果K₁·K₂产生伽罗瓦域G的一个元素.更进一步，对于一个预定函数H来说须满足下式：

H(K₁·K₂)＝H(K₁)·H(K₂)

图21(示出了1394接口26的一个更进一步的典型结构.在1394接口26中，会话密钥S被提供给线性反馈移位寄存器501至503，以用来进行初始化.线性反馈移位寄存器501至503的宽度n₁至n₃分别近似于20位，并且各自的宽度n₁至n₃构造得相对最好(prime).因此，例如，对于会话密钥S，例如，最上面的n₁位最初设置给线性反馈移位寄存器501，其次于上面的n₂位最初设置给线性反馈移位寄存器502，而再下来上面的n₃位最初设置给线性反馈移位寄存器503.

当一个例如逻辑值为1的允许信号从时钟函数506输入时，每个线性反馈移位寄存器501至503执行m位移位运算，并且输出m位数据.m的值可能为，例如，8、16、32、40等.

线性反馈移位寄存器501和线性反馈移位寄存器502的输出被输入到加法器504，并通过加法器504将它们相加.加法器504的加法值进位分量提供给时钟函数506，而同时其和值分量提供给加法器505，在加法器505中，它与线性反馈移位寄存器503的输出相加.加法器505的进位分量提供给时钟函数506，而同时其和值分量提供给异或电路508.

因为从加法器504和加法器505提供的数据结合是00、01、10和11之一，所以时钟函数506输出与该数据结合相关的000至111之一到线性反馈移位寄存器501至503.每个线性反馈移位寄存器501至503执行一个m位的移位运算，并且当输入逻辑值1时输出m位的新数据，但是当输入逻辑值0时，它输出m位与上一个循环中的输出数据相同的数据.

异或电路508对从加法器505输出的和值分量与存在寄存器507中的时间可变密钥i进行异或运算，并将运算结果输出到异或电路509.异或电路509对输入的非密码数据与从异或电路508输入的密钥进行异或运算，并将计算结果作为密码输出.

图22示出了磁光盘设备3的1394接口36的另一个典型结构.参考图22，所示的1394接口36包括元件601至609，元件601至609分别与参考图21所描述的元件501至509类似.所以，这里省去对相似元件的描述以免重复.但是，图22中的1394接口36与图21中的1394接口26不同之处在于，在1394接口26执行加密过程的同时，在1394接口36中执行解密过程.

图23示出了磁光盘设备3的1394接口49的又一个典型结构。参考图23，所示的1394接口36包括元件701至709，元件701至709分别与参考图22所描述的元件601至609相似.但是，初始设置给线性反馈移位寄存器701至703中的会话密钥S是一个其中所有位都为0的标识元件.另外，在这种情况中，解密过程实质上仅仅是借助于存储在寄存器707中的时间可变密钥i来执行的.

图24示出了个人计算机2的应用区61的一个典型结构.参考图24，所示的该应用区61包括元件801至809，元件801至809分别具有与参考图22所描述的元件601至609相似的结构.应用区61与图22的1394接口36的不同之处仅在于，输入寄存器807的时间可变密钥i是一个其中所有位都为0的标识元件.因此，在应用区61中，所产生的密钥与执行的解密过程都仅基于会话密钥S.

要指出的是，因为图19、20和24所示的处理是由应用区61执行的，所以它是由软件来处理的.

在前面的说明中，虽然DVD播放机用作源区而个人计算机2和磁光盘设备3用作接收器，但任何设备都可以用作源区或接收器.

进一步，同样用于连接不同设备的内部总线不仅限于1934总线，还可使用各种总线，并且与内部总线相连的电子设备同样不限于上述描述的那样，还可连接任意设备.

对本发明已经作了充分的描述，对于本领域普通技术人员来说，很显然，在不脱离前面所述本发明的精神和范围的情况下，可以对其作许多修改和变形.

Claims

1. 一种密钥产生设备，用于产生用于加密或者解密数据的密钥，该设备包括：

第一装置，用于通过与另一个设备通信的验证过程提供与所述另一个设备共同拥有的第一关键码；

第二装置，用于提供在预定定时改变的第二关键码；以及

产生装置，用于使用第一关键码和第二关键码产生密钥，其中该密钥根据第二关键码的变化在一定时处改变。

2. 一种使用密钥加密数据的加密设备，包括：

第一装置，用于通过与另一个设备通信的验证过程提供与另一个设备共同拥有的第一关键码；

第二装置，用于提供在预定定时改变的第二关键码；

产生装置，用于使用第一关键码和第二关键码产生密钥；以及

加密装置，用于使用所述密钥加密数据，其中该密钥根据第二关键码的变化在一定时处改变。

3. 一种使用密钥解密数据的解密设备，包括：

第二装置，用于提供在预定定时改变的第二关键码；

解密装置，用于使用所述密钥解密加密的数据，其中该密钥根据第二关键码的变化在一定时处改变。

4. 一种密钥产生方法，用于产生用于加密或者解密数据的密钥，该方法包括：

通过一设备与另一个设备通信的验证过程，由所述一设备提供与所述另一个设备共同拥有的第一关键码；

提供在预定定时改变的第二关键码；以及

使用第一关键码和第二关键码产生密钥，其中该密钥根据第二关键码的变化在一定时处改变。

5. 一种使用密钥加密数据的加密方法，包括：

提供在预定定时改变的第二关键码；

使用第一关键码和第二关键码产生密钥；以及

使用所述密钥加密数据，其中该密钥根据第二关键码的变化在一定时处改变。

6. 一种使用密钥解密数据的解密方法，包括：

提供在预定定时改变的第二关键码；

使用第一关键码和第二关键码产生密钥；以及

使用所述密钥解密加密的数据，其中该密钥根据第二关键码的变化在一定时处改变。