CN100568320C - 发送/接收系统和方法、发送/接收装置和方法 - Google Patents
发送/接收系统和方法、发送/接收装置和方法 Download PDFInfo
- Publication number
- CN100568320C CN100568320C CNB2006101090937A CN200610109093A CN100568320C CN 100568320 C CN100568320 C CN 100568320C CN B2006101090937 A CNB2006101090937 A CN B2006101090937A CN 200610109093 A CN200610109093 A CN 200610109093A CN 100568320 C CN100568320 C CN 100568320C
- Authority
- CN
- China
- Prior art keywords
- data
- key
- encryption
- enciphered
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/20—Manipulating the length of blocks of bits, e.g. padding or block truncation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及发送/接收系统和方法、发送/接收装置和方法及所用程序。一种发送/接收系统包括发送装置和接收装置,其中发送装置把第一加密数据发送给另一个装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的,接收装置接收和利用用于产生第一数据的多个密钥、依据第一解密技术对发送装置发送的第一数据进行解密。
Description
相关申请的交叉参考
本发明包含与2005年8月2日向日本专利局提交的日本专利申请JP 2005-223740相关的主题,该申请的全部内容在此引用作为参考。
技术领域
本发明涉及发送/接收系统和方法,发送装置和方法,接收装置和方法,及其使用的程序。特别地,本发明涉及这样一种发送/接收系统和方法,其中当在按预定的更新周期执行密钥更新的同时对流数据进行加密时,更新周期应尽可能缩短,以及该系统和方法使用的发送装置和方法、和接收装置和方法,及其使用的程序。
背景技术
近年来,第一加密技术(例如,可参考日本未审专利申请公报No.2003-143548)被提出,且其用法已被详述。第一加密技术规定:当对包含多个连续单元数据项的流数据针对每个单元数据项顺序加密时,根据预定规则更新在加密各单元数据项时使用的密钥。
发送/接收系统的实现也已经被详述。该发送/接收系统包括一个用于根据第一加密技术加密流数据和把已加密的数据发送到一个不同装置的发送装置,和一个被视为该不同装置的接收装置,用于接收已加密的数据和按照第一加密技术对应的第一解密技术对已加密的数据进行解密。
而且,对该发送/接收系统来说还必需把生成第一加密数据时使用的多个密钥从发送装置发送至接收装置。因此还阐述了如下内容:当按照第二加密技术对这些密钥逐一加密后,这些已加密的密钥从发送装置被发送至接收装置。
在本实施例中,为使接收装置对加密数据(通过加密流数据获得的)中的预定部分(例如一个预定单元数据项)进行解密,必需准备一个用于对预定部分进行加密的密钥(与预定部分相对应的)。特别地,在开始预定部分的解密过程前,该接收装置必需预先利用与第二加密技术对应的第二解密技术对包含与预定部分对应的加密密钥的第二加密数据进行解密。
因此,该密钥的更新周期与第二加密技术(第二解密技术)中的加密和解密过程所必需的处理时间有关。因此,例如当采用第二加密技术(其处理时间大约是几秒)时,出于安全考虑使用一分钟左右作为该密钥的更新周期。
为了使发送/接收系统高度安全,最好对该流数据的一个单元数据项交换尽可能多的密钥,即认为一分钟的密钥更新周期太长,最好要尽可能缩短。然而实际上并没有有效的缩短密钥更新周期的技术。
发明内容
本发明是考虑上述情形而作出的。希望当在按预定更新周期执行密钥更新的同时加密流数据时,尽可能缩短该更新周期。
根据本发明的一个实施例,其给出一种包括发送装置和接收装置的发送/接收系统,其中发送装置被配置为把第一加密数据发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的;接收装置被配置为接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术对来自发送装置的第一加密数据进行解密。发送装置包括一个密钥加密器和一个密钥发送器,其中该加密器被配置为输出第二加密数据,该加密数据是通过生成包含用于产生第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据、再按照第二加密技术对产生的数据进行加密而获得的,密钥发送器被配置为把从密钥加密器输出的第二加密数据发送到接收装置。接收装置包括一个密钥接收器和一个密钥解密器,其中该密钥接收器被配置为接收发送装置的密钥发送器发送的第二加密数据,密钥解密器被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密。
根据本发明的另一个实施例,其给出一种供发送/接收系统使用的发送/接收方法,该系统包括发送装置和接收装置,其中发送装置被配置为把第一加密数据发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的;接收装置被配置为接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术对来自发送装置的第一加密数据进行解密。这个发送/接收方法包括如下步骤:通过发送装置产生包含第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据,并按照第二加密技术对产生的数据进行加密,再把第二加密数据发送给接收装置,然后再通过接收装置接收发送装置发送的第二加密数据,并按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密。
在根据本发明的实施例的发送/接收系统和方法中,发送装置把第一加密数据发送至接收装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的;接收装置接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术对来自发送装置的第一加密数据进行解密。发送装置把第二加密数据发送给接收装置,其中该加密数据是通过产生包含第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据、并按照第二加密技术对产生的数据进行加密而获得的。接收装置接收发送装置发送的第二加密数据,并按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密。
根据本发明的另一个实施例,其给出一个发送装置,用于把第一加密数据发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的。该发送装置包括一个密钥加密器和一个密钥发送器,其中该加密器被配置为输出第二加密数据,该加密数据是通过生成包含用于产生第一加密数据的多个密钥中的i个密钥(其中i表示一个大于或等于1的整数值)的数据、再按照第二加密技术对产生的数据进行加密而获得的,密钥发送器被配置为把从密钥加密器输出的第二加密数据发送到接收装置。
第二加密技术可以使用采用2048位数据的RSA加密。密钥加密器可以产生总计2048位的数据,作为将通过如下方法依据RSA加密进行加密的数据:产生i个N位的信息数据项,分别包含至少i个密钥,其中N表示一个小于等于2048的整数值,i表示一个满足表达式ixN≤2048的整数值,然后按照预定的顺序排列这i个N位信息数据项,并且在这i个N位信息数据项后面排列(2048-ixN)位填充数据。
发送装置还可以包含一个高级加密标准密钥生成器、一个高级加密标准输入生成器和一个流加密器,其中高级加密标准密钥生成器被配置为根据与密钥更新相关的预定规则生成一些高级加密标准密钥作为多个密钥,高级加密标准输入生成器被配置为产生一个包含链接加密属性数据的高级加密标准输入,流加密器被配置为输出第一加密数据,该加密数据是利用高级加密标准密钥生成器产生的高级加密标准密钥和高级加密标准输入生成器产生的高级加密标准输入对该流数据进行加密而产生的。第一加密技术可以使用高级加密标准。密钥加密器可以产生如下数据作为一个信息数据项:包含一个高级加密标准密钥生成器产生的高级加密标准密钥和一个包含于高级加密标准输入生成器产生的高级加密标准输入中的链接加密属性数据。
每个信息数据项可以形成为一个304位链接加密密钥净荷。该密钥加密器可以产生总计2048位的数据作为将用RSA加密进行加密的数据,这些数据是通过如下方法产生的:产生并按照预定顺序排列6个链接加密密钥净荷,其中6等于i,然后在这6个链接加密密钥净荷后面排列224位填充数据。
该密钥发送器可以通过如下方法把第二加密数据发送给不同的装置:发送通过把密钥加密器输出的第二加密数据叠加到流加密器输出的第一加密数据上而获得的数据。
根据本发明的另一个实施例,其给出一种供发送装置使用的发送方法,其用于把第一加密数据发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的。该发送方法包括如下步骤:产生包含用于产生第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据,并按照用于产生第二加密数据的第二加密技术对产生的数据进行加密,再把产生的第二加密数据发送给不同的装置。
根据本发明的一个实施例的发送方法所对应的程序是一个可以被计算机执行的程序,用于控制如下处理:把第一加密数据发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的。该程序包括如下步骤:输出第二加密数据,这一数据是通过产生包含用于产生第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)、并按照第二加密技术对产生的数据进行加密而获得的。
在根据本发明的各个实施例的发送装置和方法及程序中,第一加密数据被发送至不同的装置,其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的。此外,第二加密数据被发送给不同装置,其中该第二加密数据是通过产生包含用于产生第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)、并按照第二加密技术对产生的数据进行加密而获得的。
根据本发明的另一个实施例,其给出一种接收装置,用于接收发送装置发送的第一加密数据(其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的),并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密。接收装置包括一个密钥接收器和一个密钥解密器,其中该密钥接收器被配置为接收发送装置发送的第二加密数据(其中该第二加密数据是通过生成包含用于产生第一加密数据的多个密钥中的i个密钥(其中i表示一个大于或等于1的整数值)的数据、再按照第二加密技术对产生的数据进行加密而获得的),密钥解密器被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密。
第二加密技术可以使用采用2048位数据的RSA加密。发送装置可以通过如下方法产生总计2048位的数据,作为将依据RSA加密进行加密的数据:产生i个N位的信息数据项,分别包含至少i个密钥,其中N表示一个小于等于2048的整数值,i表示一个满足表达式ixN≤2048的整数值,然后按照预定的顺序排列这i个N位信息数据项,并且在这i个N位信息数据项后面排列(2048-ixN)位填充数据。密钥解密器通过根据第二解密技术执行解密过程可以恢复这i个信息数据项,并提取出分别包含在这i个信息数据项里的密钥。
第一加密技术可以使用高级加密标准。发送装置可以根据与密钥更新相关的预定规则生成一些高级加密标准密钥作为多个密钥,生成一个包含链接加密属性数据的高级加密标准输入,输出通过利用所产生的高级加密标准密钥和高级加密标准输入对该流数据进行加密而产生的第一加密数据,然后产生如下数据作为一个信息数据项:包含一个高级加密标准密钥和包含于高级加密标准输入中的链接加密属性数据。密钥解密器通过根据第二解密技术执行解密过程可以恢复这i个信息数据项,并提取出分别包含在这i个信息数据项中每项里的高级加密标准密钥和链接加密属性数据。接收装置还可以包含一个高级加密标准输入生成器和一个流解密器,其中高级加密标准输入生成器被配置为利用密钥解密器从一个预定的信息数据项中提取出来的链接加密属性数据产生一个与高级加密标准密钥(该密钥是密钥解密器从该预定的信息数据项中提取出来的)相对应的高级加密标准输入,流解密器被配置为利用如下数据对利用高级加密标准密钥进行加密并包含在第一加密数据里的部分进行解密:密钥解密器从预定的信息数据项中提取出来的高级加密标准密钥和与该高级加密标准密钥对应的、由高级加密标准输入生成器生成的高级加密标准输入。
每个信息数据项可以形成为一个304位链接加密密钥净荷。发送装置可以产生总计2048位的数据作为将用RSA加密进行加密的数据,这些数据是通过如下方法产生的:产生并按照预定顺序排列6个链接加密密钥净荷,其中6等于i,然后在这6个链接加密密钥净荷后面排列224位填充数据。
当通过把第二加密数据叠加到第一加密数据上而获得的数据被发送到接收装置上时,在密钥接收器接收并把这些数据分割成第一加密数据和第二加密数据后,密钥接收器就可以把第一加密数据提供给流解密器,把第二加密数据提供给密钥解密器。
根据本发明的另一个实施例,其给出一种接收方法,用于接收发送装置发送的第一加密数据(其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的),并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密。接收方法包括以下步骤:接收发送装置发送的第二加密数据(其中该第二加密数据是通过生成包含用于产生第一加密数据的多个密钥中的i个密钥(其中i表示一个大于或等于1的整数值)的数据、再按照第二加密技术对产生的数据进行加密而获得的),以及按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密。
根据本发明的一个实施例的接收方法所对应的程序是一个可以被计算机执行的程序,用于控制如下处理:接收预定装置发送的第一加密数据(其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的),并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密,接收预定装置发送的第二加密数据(其中该第二加密数据是通过生成包含用于产生第一加密数据的多个密钥中的一些密钥(其中密钥数目用一个大于或等于1的整数值来表示)的数据、再按照第二加密技术对产生的数据进行加密而获得的)。该程序包括以下步骤:按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密。
在根据本发明的实施例的接收装置和方法及程序中,第一加密数据被一个发送装置发送后被接收,其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的,并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密。而且,第二加密数据被发送装置发送后被接收,其中该第二加密数据是通过生成包含用于产生第一加密数据的多个密钥中的i个密钥(其中i表示一个大于或等于1的整数值)的数据、再按照第二加密技术对产生的数据进行加密而获得的),然后再按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密。
如上所述,根据本发明的一个实施例,可以在按照预定的更新周期执行密钥更新的同时对流数据进行加密,并可以对所得到的加密数据进行解密。特别地,在这些情况下可以尽可能缩短更新周期。
附图说明
图1是表示应用了本发明的一个实施例的一个发送/接收系统的框图;
图2是图1所示的电影服务器中的AES(高级加密标准)-加密-数据生成单元的一个处理(算法)实例的示意图;
图3是图2所示的处理(算法)的第1至第10轮的处理(算法)的详细实例的示意图;
图4是一种用于提供AES-加密数据(该数据将在图1所示的电影服务器中从AES-加密-数据生成单元提供给AV数据加密单元)的技术实例的示意图;
图5是一个链接-加密-密钥净荷实例的示意图,该净荷是将被图1所示的电影服务器中的RSA加密单元加密的对象的一部分,即是一个包含一个AES密钥的链接-加密-密钥净荷的结构实例的示意图;
图6是将被图1所示的电影服务器中的RSA加密单元加密的数据(即包含图5所示的6个LEKP(链接-加密-密钥净荷)和填充数据的数据)的结构实例的示意图;
图7是一个描述图1所示的电影服务器中的RSA加密单元的一个处理实例的流程图;
图8是一个表示图1所示的放映机中的安全芯片的配置的详细实例的框图;
图9是图8所示的安全芯片的一个协议实现的处理实例的示意图;以及
图10是一个表示用于执行应用了本发明的一个实施例的程序的个人电脑的配置实例的框图。
具体实施方式
在描述本发明的实施例前,下面首先阐述权利要求书中的特征和本发明的实施例中的特定元素之间的对应关系。如下描述是为了保证本说明书中描述了支持要求保护的发明的实施例。因此,即使以下实施例中的某个元素的描述不涉及本发明的某个特征,也不一定意味着该元素不涉及权利要求书中的那个特征。相反地,即使在这里描述的一个元素涉及权利要求书中的某个特征,也不一定意味着该元素不涉及权利要求书中的其他特征。
根据本发明的一个实施例的发送/接收系统(图1中的发送/接收系统)包括发送装置(例如图1里的电影服务器1)和接收装置(例如图1里的放映机2),其中发送装置被配置为把第一加密数据(例如图1中的加密AV数据56)发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥(例如图1中的AES密钥51-E))对包含多个连续单元数据项(在本例中表示一个帧(数据),后文将会阐述这一概念)的流数据(例如贮存在图1中的AV-数据存储单元11中的AV数据)进行加密而获得的;接收装置被配置为接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术对来自发送装置的第一加密数据进行解密。
发送装置包括一个密钥加密器(例如图1中的RSA加密单元16)和一个密钥发送器(例如图1中的叠加单元18),其中该密钥加密器被配置为输出第二加密数据(例如图1中的RSA数据55),该加密数据是通过生成包含用于产生第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据(例如具有图6所示结构的数据)、再按照第二加密技术对产生的数据进行加密而获得的,密钥发送器被配置为把从密钥加密器输出的第二加密数据发送到接收装置。
接收装置包括一个密钥接收器(例如图1中的RSA数据提取单元21)和一个密钥解密器(例如图1中的RSA解密部分31),其中该密钥接收器被配置为接收发送装置的密钥发送器发送的第二加密数据,密钥解密器被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密。
根据本发明实施例的发送/接收方法是一种供发送/接收系统使用的发送/接收方法,其中该系统包括发送装置(例如图1里的电影服务器1)和接收装置(例如图1里的放映机2),其中发送装置被配置为把第一加密数据(例如图1中的加密AV数据56)发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥(例如图1中的AES密钥51-E))对包含多个连续单元数据项(在本例中表示一个帧(数据),后文将会阐述这一概念)的流数据(例如贮存在图1中的AV-数据存储单元11中的AV数据)进行加密而获得的;接收装置被配置为接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术对来自发送装置的第一加密数据进行解密,其中这个发送/接收方法包括如下步骤:通过发送装置产生包含第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据(例如具有图6所示结构的数据),并按照第二加密技术对产生的数据进行加密(例如图1中的RSA加密单元16的处理,特别是图7中的处理)以产生第二加密数据(例如图1中的RSA数据55),再把第二加密数据发送(例如图1中的叠加单元18的处理)给接收装置,然后再通过接收装置接收(例如图1中的RSA数据提取单元21的处理)发送装置发送的第二加密数据,并按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密(例如图1中的RSA解密部分31的处理)。本发明的一个实施例的发送装置(例如图1中的电影服务器1)把第一加密数据(例如图1中的加密AV数据56)发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥(例如图1中的AES密钥51-E))对包含多个连续单元数据项(在本例中表示一个帧(数据),后文将会阐述这一概念)的流数据(例如贮存在图1中的AV-数据存储单元11中的AV数据)进行加密而获得的。发送装置包括一个密钥加密器(例如图1中的RSA加密单元16)和一个密钥发送器(例如图1中的叠加单元18),其中该密钥加密器被配置为输出第二加密数据(例如图1中的RSA数据55),该加密数据是通过生成包含用于产生第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据(例如具有图6所示结构的数据)、再按照第二加密技术对产生的数据进行加密而获得的,密钥发送器被配置为把从密钥加密器输出的第二加密数据发送到接收装置。
在本发明的这一实施例的发送装置中,第一加密技术采用高级加密标准(AES)加密。
本发明的这一实施例的发送装置包含一个高级加密标准密钥生成器(例如图1中的AES-密钥生成单元14)、一个高级加密标准输入生成器(例如图1中的AES-输入生成单元15)和一个流加密器(例如图1中的AV-数据加密单元12),其中高级加密标准密钥生成器被配置为根据与密钥更新相关的预定规则生成一些高级加密标准密钥作为多个密钥,高级加密标准输入生成器被配置为产生一个包含链接加密属性数据(例如图1中的链接加密属性数据56-E)的高级加密标准输入,流加密器被配置为输出第一加密数据,第一加密数据是通过利用(例如根据链接加密属性数据56-E和AES输入52-E,利用AES-加密数据生成单元13产生的AES-加密数据53)高级加密标准密钥生成器产生的高级加密标准密钥和高级加密标准输入生成器产生的高级加密标准输入对该流数据进行加密而产生的。密钥加密器可以产生如下数据作为一个信息数据项:包含一个高级加密标准密钥生成器产生的高级加密标准密钥和一个包含于高级加密标准输入生成器产生的高级加密标准输入中的链接加密属性数据。
在本发明的这一实施例的发送装置中,每个信息数据项可以形成为(例如如图5所示)一个304位链接加密密钥净荷。
该密钥加密器可以产生总计2048位的数据(例如具有图6所示结构的数据)作为将用RSA加密进行加密的数据,这些数据是通过如下方法产生的:产生并按照预定顺序排列6个链接加密密钥净荷(例如图6中的LEKP(1)至LEKP(6)),其中6等于i,然后在这6个链接加密密钥净荷后面排列224位填充数据(例如图6中的填充(PADDING))。
在本发明的这一实施例的发送装置中,密钥发送器可以通过如下方法把第二加密数据发送给不同的装置:发送通过把密钥加密器输出的第二加密数据叠加到流加密器输出的第一加密数据上而获得的数据(例如图1中的叠加了RSA数据的加密AV数据57)。
本发明的一个实施例的发送方法是一种供发送装置(例如图1中的电影服务器1)使用的发送方法,用于把第一加密数据发送至不同的装置(例如图1中的放映机2),该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥(例如图1中的AES密钥51-E))对包含多个连续单元数据项的流数据进行加密而获得的。该发送方法包括以下步骤:产生包含第一加密数据的多个密钥中的一些密钥(密钥的数目用一个大于或等于1的整数值来表示)的数据(例如具有图6所示结构的数据),并按照第二加密技术对产生的数据进行加密(例如图1中的RSA加密单元16的处理,特别是图7中的处理)以产生第二加密数据(例如图1中的RSA数据55),把产生的第二加密数据发送(例如图1中的叠加单元18的处理)给不同的装置。
本发明的一个实施例的第一程序对应于本发明这一实施例的上述发送方法。
本发明的另一个实施例的接收装置(例如图1中的放映机2)是一个用于如下目的的接收装置:接收发送装置(例如图1里的电影服务器1)发送的第一加密数据(例如图1中的加密AV数据56)(其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥(例如图1中的AES密钥51-E))对包含多个连续单元数据项(在本例中表示一个帧(数据),后文将会阐述这一概念)的流数据(例如贮存在图1中的AV-数据存储单元11中的AV数据)进行加密而获得的),并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密。该接收装置包括一个密钥接收器(例如图1中的RSA-数据提取单元21)和一个密钥解密器(例如图1中的RSA解密部分31),其中该密钥接收器被配置为接收发送装置发送的第二加密数据(例如图1中的RSA数据55)(其中该第二加密数据是通过生成包含用于产生第一加密数据的多个密钥中的i个密钥(其中i表示一个大于或等于1的整数值)的数据(例如具有图6所示结构的数据)、再按照第二加密技术对产生的数据进行加密而获得的),密钥解密器被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密。
在本发明的这一实施例的接收装置中,第一加密技术采用高级加密标准。发送装置可以根据与密钥更新相关的预定规则生成一些高级加密标准密钥作为多个密钥,生成一个包含链接加密属性数据的高级加密标准输入,输出通过利用生成的高级加密标准密钥和生成的高级加密标准输入对该流数据进行加密而生成的第一加密数据,然后产生如下数据作为一个信息数据项:包含一个高级加密标准密钥和包含于一个高级加密标准输入中的链接加密属性数据。密钥解密器可以根据第二解密技术执行解密过程可以恢复这i个信息数据项,并提取出分别包含在这i个信息数据项中每项里的高级加密标准密钥(例如图1中的AES密钥51-D)和链接加密属性数据(例如图1中的Le-属性-数据56-D)。接收装置还可以包含一个高级加密标准输入生成器(例如图1中AES-输入生成单元24)和一个流解密器(例如图1中的AV-数据解密单元26),其中高级加密标准输入生成器被配置为利用密钥解密器从一个预定的信息数据项中提取出来的链接加密属性数据来产生一个与高级加密标准密钥(该密钥是密钥解密器从该预定的信息数据项中提取出来的)相对应的高级加密标准输入(例如图1中AES输入52-D),流解密器被配置为利用如下数据对利用高级加密标准密钥进行加密并包含在第一加密数据里的部分进行解密:由密钥解密器从预定的信息数据项中提取出来的高级加密标准密钥和与该高级加密标准密钥对应的、由高级加密标准输入生成器生成的高级加密标准输入(例如,利用图1里的AES-解密-数据生成单元25根据Le-属性-数据56-D和AES输入52-D生成的AES-解密数据62)。
在本发明的这一实施例的接收装置中,每个信息数据项可以形成为(例如,如图5所示)一个304位链接加密密钥净荷。发送装置可以产生总计2048位的数据作为将用RSA加密进行加密的数据,这些数据是通过如下方法产生的:产生并按照预定顺序排列6个链接加密密钥净荷(例如图6中的LEKP(1)至LEKP(6)),其中6等于i,然后在这6个链接加密密钥净荷后面排列224位填充数据(例如图6中的填充)。
在本发明的这一实施例的接收装置中,通过把第二加密数据叠加到第一加密数据上而获得的图1中的AV数据57被发送至接收装置,在密钥接收器接收并把这些数据分割成第一加密数据和第二加密数据后,密钥接收器就可以把第一加密数据提供给流解密器,把第二加密数据提供给密钥解密器。
本发明的另一个实施例的接收方法是一种供接收装置(例如图1中的放映机2)使用的接收方法,用于接收发送装置(例如图1里的电影服务器1)发送的第一加密数据(例如图1中的加密AV数据56)(其中该第一加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥(例如图1中的AES密钥51-E))对包含多个连续单元数据项(在本例中表示一个帧(数据),后文将会阐述这一概念)的流数据(例如贮存在图1中的AV-数据存储单元11中的AV数据)进行加密而获得的),并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密。此接收方法包括以下步骤:接收发送装置发送(例如图1中的RSA-数据提取单元21的处理)的第二加密数据(例如图1中的RSA数据55)(其中该第二加密数据是通过生成包含用于产生第一加密数据的多个密钥中的一些密钥(其中密钥数目用一个大于或等于1的整数值来表示)的数据(例如具有图6所示结构的数据)、再按照第二加密技术对产生的数据进行加密而获得的),以及按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密(例如图1中的RSA解密部分31的处理)。
本发明的另一个实施例的第二程序对应于本发明的这一实施例的上述接收方法。
下面参考附图描述本发明的各个实施例。
图1是一个表示应用了本发明的一个实施例的一个发送/接收系统的配置实例的框图。
如图1所示,实线构成的矩形表示那些作为该系统(装置)的元素的部件,虚线构成的矩形则表示预先确定的信息块。这种分开使用实线和虚线的方法也应用于后面阐述的其他附图。
在图1所示的实例中,该发送/接收系统包括一个用于输出已加密的AV数据(该数据是通过对与以诸如帧单元的形式构成的内容(例如电影)对应的流数据(以下称为AV数据)进行加密而获得的)的电影服务器1,一个用于来重放(放映)已解密的AV数据(这是通过对电影服务器1以加密形式输出的AV数据进行解密来实现的)的放映机2,和一个SM(安全管理器)3。
在图1的实例中,电影服务器1采用一种公用密钥密码系统——AES(高级加密标准)来对AV数据进行加密。因此,该电影服务器1包括一个AV-数据存储单元11,一个AV-数据加密单元12,一个AES-加密-数据生成单元13,一个AES-密钥生成单元14,以及一个AES-输入生成单元15。
特别地,AV-数据存储单元11至少存储一块AV数据。AV数据的组成并没有特殊限制,但在本实施例中AV数据是基于HD-SDI的、至少包含一个帧数据项的数据。而且,一个帧数据项包括表示一个帧中的每个像素的亮度的数据Y,和表示该帧中的每个像素的颜色的数据Cb/Cr。
AV-数据加密单元12从AV-数据存储单元11中获取预定的AV数据,利用AES-加密数据53对获取的数据进行加密,再把获得的AV数据56(以下称为“已加密的AV数据56”)提供给叠加单元18。
在AV-数据加密单元12加密AV数据的过程中使用的AES-加密数据53是由AES-加密-数据生成单元13生成的。特别地,AES-加密-数据生成单元13使用一个AES密钥51-E和一个AES输入52-E来生成用来直接对AV数据进行加密的AES-加密数据53,并把产生的AES-加密数据53提供给AV-数据加密单元12。下面参考附图2至4对AES-加密-数据生成单元13执行的过程、这一过程所必需的AES密钥51-E和AES输入52-E以及这一过程的结果AES-加密数据53等进行完整的阐述。
被AES-加密-数据生成单元13用于生成AES-加密数据53的AES密钥51-E和AES输入52-E是分别由AES-密钥生成单元14和AES-输入生成单元15产生的。换句话说,AES-密钥生成单元14可以是一个诸如随机系数生成器的形式。例如,在本实施例中,AES-密钥生成单元14产生128位数据作为AES密钥51-E,并将其提供给AES-加密-数据生成单元13和RSA加密单元16。在本实施例中,AES-输入生成单元15给AES-加密-数据生成单元13提供了AES输入52-E(其包括Le-属性-数据56-E),并向RSA加密单元16提供包含在AES输入52-E中的Le-属性-数据56-E。
如上所述,在本实施例中,当按照AES加密对AV数据进行加密处理后,AV数据作为已加密的AV数据56(更确切地说,是叠加了RSA数据的已加密AV数据57,将在下文阐述这一概念)被发送至接收端的放映机2。
因此,在AES加密过程中使用的AES密钥51-E是最重要的、应当在发送/接收系统中受保护的数据项中的一个。为此,在图1所示的实例中,电影服务器1还用于包括加密AES密钥51-E的RSA加密单元16。
特别地,RSA加密单元16会把一些补充信息(例如来自AES-输入生成单元15的Le-属性-数据56-E)叠加到来自AES-密钥生成单元14的AES密钥51-E,并利用使用接收端的放映机2的一个公钥54的RSA(R.Rivest,A.Shamir,L.Adelman)2048位加密系统(以下记作“RSA加密”)对产生的数据(以下记作“LEKP”(链接加密密钥净荷))进行加密处理。RSA加密单元16将获得的RSA数据55提供给叠加单元18。
需要注意的是,尽管在已有技术中RSA数据55只包括一个的已加密的LEKP,但是在本实施例中它却包含多个已加密LEKP。其细节(例如原因)将在后面参考图5和图6来描述。
如上所述,当利用RSA加密对AES密钥51-E进行加密处理后,已加密的AES密钥51-E作为RSA数据55(更确切地说,是通过叠加到已加密的AV数据56上而获得的叠加了RSA数据的已加密AV数据57,将在下文阐述这一概念)发送给接收端的放映机2。
因此,在图1的实例中,为了获得放映机2的公钥54,电影服务器1还包括一个主控单元17。
特别地,主控单元17通过SM(安全管理器)3从放映机2获取公钥54,并把公钥54提供给RSA加密单元16。特别地,例如,主控单元17把一个用于请求获取公钥54的公钥请求71提交给SM3。作为对公钥请求71的响应,SM 3把一个公钥请求72(更确切地说是后文将阐述的一个主控单元22)提交给放映机2。作为对公钥请求72的响应,放映机2从内置的安全芯片23中获取公钥54(后文将参考图8和图9进行完整阐述),并把该公钥54提供给SM 3。SM 3把获得的公钥54提供给主控单元17。因此,主控单元17获得了公钥54并把它提供给RSA加密单元16。
在图1所示的实例中,电影服务器1还包括叠加单元18。叠加单元18把来自RSA加密单元16的RSA数据55叠加到来自AV-数据加密单元12的已加密AV数据56上,然后把产生的叠加了RSA数据的已加密AV数据57输出给放映机2。
特别地,由于在本实施例中AV数据是基于HD-SDI的,所以叠加单元18按一个诸如场消隐期叠加(插入)包含在已加密的AV数据56中的RSA数据55,并把产生的叠加了RSA数据的已加密AV数据57输出(发送)给放映机2。在本实施例中,当一个帧数据项包括两个场数据项时,按照这两个场数据项的任何一个的场消隐期插入RSA数据55。换句话说,在本实施例中,RSA数据55以帧单位插入。
按照这种方式,从电影服务器1输出的叠加了RSA数据的已加密AV数据57通过一根传输线81被发送至放映机2(更确切地说是后面将要阐述的RSA-数据提取单元21)。
传输线81的形式(即叠加了RSA数据的已加密AV数据57的传输形式)没有特殊限制,而可以是任意的。例如,因为叠加了RSA数据的已加密AV数据57是基于HD-SDI的数据,因此传输形式可以是单个连接(使用一个HD-SDI接口的传输形式),也可以是一个双连接(使用两个HD-SDI接口的形式)的连接-A。
在本实施例中,采用双连接作为叠加了RSA数据的已加密AV数据57的传输形式。其部分原因是双连接可以传输12位(4:4:4)。基于普通SD或HD数据的视频具有4:2:2,因此只能获得原始视频的一半的颜色分辨率。还因为:与此不同的是,被双连接传输的HD数据(HD视频)具有4:4:4,因此可以保持原始HD颜色分辨率和产生相当高质量的画面。而且,在本实施例中,AV数据是数字电影(影片)数据,其颜色分辨率是HD视频的四倍。为此要采用四个双连接。换句话说,在本实施例中,传输线81包括八根符合HD-SDI接口标准的电缆(因为一个双连接包含两根电缆,所以使用四个双连接说明要2x4=8根电缆)。
在描述放映机2前,首先参考图2至4描述AES-加密-数据生成单元13的细节,参考图5至图6描述RSA数据55的结构实例。
图2是AES-加密-数据生成单元13的处理过程(算法)的示意图。特别地,AES-加密-数据生成单元13把128位的AES密钥51-E作为一个输入数据项(即所谓的“明文”)来处理,并根据图2所示的块加密(系统)对输入数据项进行加密处理。AES-加密-数据生成单元13输出产生的128位数据(如后文所述,最后从第10轮输出的数据)并将其作为AES-加密数据53提供给AV-数据加密单元12。
在图2中,第1轮到第10轮分别表示第一轮处理过程到第十轮处理过程。在第1轮中,把128位AES密钥51-E作为一个输入数据项并把128位AES输入52-E作为轮密钥来执行第一次处理过程。在第K(K表示2-10之中的一个数)轮中,把128位AES密钥51-E作为一个输入数据项并把上一轮(K-1)的输出数据项(128位数据)作为轮密钥来执行第K次处理过程。最后一轮10的输出数据项(128位数据)作为AES-加密数据53提供给AV-数据加密单元12。
特别地,例如第1轮至第10轮中的每一轮都是图3所示的过程(算法)。换句话说,图3是第一轮处理过程(算法)的细节的示意图。
如图3所示,一个轮过程包含一些连续的步骤S1至S4。
在步骤S1中,AES密钥51-E是一个输入数据项(图3中包含“输入128位=16字节”的块),被分成16个8位的子块(图3中包含字母“S”的块)。
在步骤S2中,重新排列这16个子块,即改变这些子块在排列中的位置。
在步骤S3中,把四个子块看作一个矩阵,对这四个子块(子块的四个列)执行预定的矩阵操作。
在步骤S4中,以8位(=1个字节)作为一个单位,把一个轮密钥叠加到步骤S3中获得的数据项中。
在步骤S4中获得的128位数据项作为一轮处理的输出数据项(包含“输出128位=16字节”的块)。换句话说,如上所述,第1至第9轮的输出数据项都用作下一轮的轮密钥。第10轮的输出数据项则作为AES-加密数据53提供给AV-数据加密单元12。
更确切地说,如图4所示,在本实施例中,AES-加密-数据生成单元13把组成AES-加密数据53的128位中的低120位数据53-d作为实际用于AV数据加密的数据来处理。AES-加密-数据生成单元13以10位作为单元来分割数据53-d,并把以10位作为单元来分割的12个数据项53-d1至53-d12提供给AV-数据加密单元12。
如上所述,在本实施例中,AV数据包括数据Y和数据Cb/Cr。因此待加密的各单元的数据项被分别记作关于数据Y和数据Cb/Cr的Y-单位数据项和C-单位数据项。此时,在本实施例中,通过逐一使用这12个数据项53-d1至53-d12,AV数据加密单元12可以对6个Y-单位数据项和6个C-单位数据项进行实时加密,并分别把已加密的数据项提供给叠加单元18。
而且,在本实施例中,例如用于加密AV数据的处理过程中使用的AES加密(块加密)采用计数器模式。在计数器模式中,通过对一个通过对递增1的计数器值进行加密而产生的位串和一个明文块执行异或操作,可以获得一个密文块。在图1所示的实例中,通过对递增1的计数器值进行加密而产生的位串对应于AES-加密数据53(更确切地说,是通过分割AES-加密数据53而产生的数据项53-d1至53-d12),明文块则对应于AV数据(更确切地说,是Y-单位数据项和C-单位数据项)。还有计数器值对应于AES输入52-E。
因此,如果Y-单位数据项和C-单位数据项的加密过程需要一个循环,且一个Y-单位数据项的加密过程和一个C-单位数据项的加密过程是并行执行的,那么使用AES-加密数据53的一个项进行的加密过程(即6个Y-单位数据项和6个C-单位数据项的加密过程)需要6个循环。因此,在本实施例中,图1里的AES-输入生成单元15包括一个把每6个循环加起来的计数器(没有示出),且AES输入52-E是根据该计数器的计数值产生的。这使AES-加密数据53(这一数据对使用AES加密的加密过程来说是必需的)在不停变化的同时能够提供给AV-数据加密单元12适量的该加密数据。
此外,如果一个循环对AES-加密-数据生成单元13的一个轮处理(第1轮至第10轮)来说是必需的,则需要11个循环才能产生该AES-加密数据53的一个项。因此,由于很难每隔6个循环就向AV-数据加密单元12提供新的AES-加密数据53的项,所以会出现问题。此时,在本例中,通过提供两个AES-加密-数据生成单元13(或提供两个能独立执行图2所示处理的功能),并改变生成AES-加密数据53的定时,可以解决上述问题。
参考图2至图4已经描述了AES-加密-数据生成单元13的细节。
下面,参考图5和图6描述RSA数据55的结构实例。
图5示出了上述LEKP(即要经过RSA加密单元16按照RSA加密进行加密的数据)的结构实例。
在图5的实例中,LEKP包括(不是有序的)表示有效时间的时间信息(年,月,日,小时,分,秒)、作为AES输入52-E的一个元素的Le-属性-数据56-E、表示Le-属性-数据56-E的数据长度的Le-attribute-len、规定AES密钥51-E的信息(Le_Key_ID,Le_Key_type,Le_Key_len)和作为AES密钥51-E的128位Le-Key。每个在图5所示的每个数据项下方标识的值(例如,Le-key下方的值)表示以字节为单位的数据项的数据大小。因此,在图5所示的实例中,这些值的总和(38字节,即304位)就是该LEKP的数据大小。
在本实施例中,只有一个AES密钥51-E作为Le_Key包含在LEKP中,它并不用于一个AV数据项(整个流数据),但是如有必要被更新。换句话说,对于一个AV数据项,使用多个AES密钥51-E。其原因如下:
换句话说,假设一个不怀好意的第三方窃取了用AES加密的内容(例如在本实施例中从AV-数据加密单元12输出的已加密AV数据56),如果该内容是利用AES密钥(本实施例中的AES密钥51-E)的一个类型加密的,就会因为增加了AES密钥被直接解码的风险而产生问题。因此,为了解决这个问题,AES-密钥生成单元14周期性改变(如有必要更新)AES密钥51-E,从而使第三方难以直接对这一内容进行解密。
此外,在本实施例中,AES密钥51-E并不是以不变的形式发送给放映机2的。RSA加密单元16生成LEKP(图5)(其中补充数据(例如Le_属性_数据56-E)被叠加到AES密钥51-E中),并根据RSA加密对LEKP执行加密过程。
在RSA加密过程中,规定使用2048位。特别地,根据RSA加密的规定,待加密的净荷部分可以处理达2048位。如果所有2048位都没有指配,则对自由区域进行填充。如上所述,因为在RSA加密过程中要处理大(2048位)数据,所以即使使用标准专用芯片也大约需要几秒钟来处理按照RSA加密的加密过程和解密过程。也就是说,根据RSA加密执行加密过程的RSA加密单元16的处理时间是几秒。此外,RSA解密部分31(在后面将阐述)的处理时间也是几秒,因为RSA解密部分31是依据RSA加密进行解密的。
为了让放映机2能对包含在AES-加密数据53(流数据)中的预定部分(例如预定帧数据)进行解密,必需提供一个与预定部分加密过程中使用的AES密钥51-E相对应的AES密钥51-D(由RSA解密部分31恢复的AES密钥51-E)。
因此,如果RSA加密单元16按照RSA加密对一个LEKP(一个AES密钥51-E)执行加密处理,并把产生的数据作为RSA数据55输出,AES-密钥生成单元14更新AES密钥51-E的更新周期与根据RSA加密进行加密和解密处理的处理时间(即RSA加密单元16和RSA解密部分31的处理时间)有关。例如,在本例中,该处理耐间大约是几秒钟。因此,考虑到安全性,AES-密钥生成单元14采用一分钟左右的时间作为AES密钥51-E的更新周期。
然而,为了使图1中的发送/接收系统高度安全,最好对一个AV数据项(流数据)交换尽可能多的AES密钥51-E。换句话说,AES-密钥生成单元14更新AES密钥51-E的更新周期最好尽可能短。
为此,为了使AES-密钥生成单元14更新AES密钥51-E的更新周期尽可能短,本发明创造了如下技术。
换句话说,如果RSA加密单元16根据RSA加密对一个LEKP(一个AES密钥51-E)执行加密处理,并把产生的数据作为RSA数据55输出,因为一个LEKP是304位(38字节)的数据,RSA加密单元16在根据RSA加密执行加密处理前对剩余的1744(=2048-304)位进行填充。因此,可以说1744位的填充数据是不必要的。如图6所示,在这一技术中,并非必要用作填充数据的1744位的区域不仅被一个LEKP(1)还被其它LEKP(2)至LEKP(6)代替后,即LEKP(1)至LEKP(6)连续排列的数据产生后,再根据RSA加密对这一数据进行加密处理。换句话说,在这一技术中,具有图6所示结构的数据依据RSA加密进行加密,产生的数据作为图1中的RSA数据55输出。这一技术在后文记作“多密钥加密技术”。
根据多密钥加密技术,填充数据(图6中包含“填充”的部分)只占有28字节。此外,6个LEKP可以同时发送给接收端的放映机2。因此,AES-密钥生成单元14更新AES密钥51-E的更新周期可被设置成发送一个LEKP时的六倍。特别地,例如,当发送一个LEKP时的更新周期是如上所述的一分钟时,那么采用该技术就可以把一分钟的1/6(即10秒)设为更新周期。此时,不管是否采用该技术,不会改变依据RSA加密进行加密处理和解密处理的算术操作所必需的时间。因此,可以简单地提高内容(AV数据)的安全性。
在这一实施例中,多密钥加密技术应用于RSA加密单元16上,从而该RSA加密单元16可以根据如图7所示的流程图执行一个处理。图7是一个流程图,示出了一个用于实现该技术的处理的实例和RSA加密单元16的处理的实例。
在步骤S21中,RSA加密单元16把LEKP编号i设置为1(i=1)。
在步骤S22中,RSA加密单元16判断AES密钥51-E是否已经产生(AES密钥51-E产生后是否已经被提供)。
如果在步骤S22中确定AES密钥51-E还没有产生,则处理返回步骤S22,RSA加密单元16再次判断AES密钥51-E是否已经产生。换句话说,RSA加密单元16将重复执行步骤S22中的判断,直到产生下一个AES密钥51-E,由此RSA加密单元16将其设置为备用状态。
在产生下一个AES密钥51-E后,步骤S22的判断结果就是肯定的。于是处理继续执行步骤S23。
在步骤S23中,RSA加密单元16获取对应的补充数据(例如Le_属性_数据56-E)。
在步骤S24中,RSA加密单元16产生包含AES密钥51-E和补充数据的N位LEKP(i),其中N表示一个小于等于2048的整数值,且在本实施例中,N=304。
在步骤S25中,RSA加密单元16判断是否(i+1)xN≤2048。
如果在步骤S25中确定(i+1)xN≤2048(即由于在本实施例中N=304,应直到i=5),处理继续执行步骤S26。
在步骤S26中,RSA加密单元16使LEKP编号i递增1(i=i+1)。
此后,处理返回步骤S22,并重复执行后续步骤。特别地,反复执行步骤S22至S26的循环,直到(i+1)xN的值超过2048。只要执行一次S22至S26的循环,就产生一个LEKP(i)。
当(i+1)xN的值超过2048时(在本实施例中N=304,当LEKP(1)至LEKP(6)已经产生时),步骤S25的判断结果是否定的,处理转至步骤S27。
在步骤S27中,RSA加密单元16按照给定顺序排列已经生成的LEKP(1)至LEKP(i)并对剩余数据(用2048-ixN来表示)进行填充后,RSA加密单元16根据RSA加密对获得的数据(本实施例中是具有图6所示结构的数据)进行加密处理,并把得到的数据作为RSA数据55输出。
按照这种方式,RSA数据55作为执行步骤S27的结果从RSA加密单元16提供给叠加单元18。完成RSA加密单元16的处理过程。
图1所示的发送/接收系统中的发送端(加密侧)的电影服务器1已经描述过了。下面描述接收端(解密端)的放映机2。
在图1的实例中,放映机2包括RSA-数据提取单元21至显现控制单元27。
RSA-数据提取单元21通过叠加单元18获得电影服务器1发送的叠加了RSA数据的已加密AV数据57,并从叠加了RSA数据的已加密AV数据57中提取出RSA数据55,然后把提取出的RSA数据55提供给主控单元22。RSA-数据提取单元21还向AV-数据解密单元26提供已加密的AV数据56。RSA-数据提取单元21还向AES-输入生成单元24提供一些数据项(例如行编号),用作一个AES输入52-D(已恢复的AES输入52-E)的元素。
主控单元22通过交换放映机中使用的不同类型的信息来控制不同类型的操作(过程)。
例如,通过把来自RSA-数据提取单元21的RSA数据55提供给安全芯片23中的RSA解密部分31,主控单元22控制RSA解密部分31根据RSA执行的解密过程。
此外,如后文所述,作为RSA解密部分31对RSA数据55进行解密处理的结果,输出AES密钥51-D(已恢复的AES密钥51-E)和Le_属性_数据56-D(已恢复的Le_属性_数据56-E)。因此,主控单元22可以通过如下方法控制用于生成AES-解密数据62的产生处理(如后文所述):获取AES密钥51-D和Le_属性_数据56-D,并把AES密钥51-D提供给AES-解密-数据生成单元25,而把Le_属性_数据56-D提供给AES-输入生成单元24。
例如,如上所述,在电影服务器1发出公钥请求71后,SM 3接收该公钥请求71并发出公钥请求72。因此,作为对公钥请求72的响应,主控单元22获取贮存在安全芯片23中的公钥54,并将其提供给SM 3。公钥54从SM 3传送至电影服务器1,并在RSA加密单元16依照RSA加密执行的加密过程中使用。
安全芯片23也叫作“TPM(可信平台模块)”,具有诸如以下一到四个基本功能作为实现安全性和保密性的基本功能。
第一基本功能表示一个用于校验平台有效性的功能,即一个用于校验该平台是否是真实的并符合TCG(可信计算组)的功能。
第二基本功能表示一个用于观察完整性的功能,即一个用于检查硬件和软件是否未被篡改的功能。
第三个基本功能表示一个加密密钥保护功能,在本实施例中即是一个用于防止密钥61(它和公钥54是一对)从安全芯片23泄漏出去的功能。第三个基本功能将在后面参考图8详细阐述。
第四个基本功能表示一个加密功能(基于一个加密库的功能),在本实施例中即是一个根据RSA加密(2048位)进行解密处理的功能。
为实现第四个功能,在图1的实例中,安全芯片23提供了一个RSA解密部分31。RSA解密部分31利用密钥61(它和用于产生RSA数据55的公钥54是一对)对来自主控单元22的RSA数据55进行解密处理。RSA解密部分31暂时存储得到的数据,并把暂存的数据提供给主控单元22。特别地,通过RSA解密部分31的上述解密过程获得的数据在本实施例中例如是具有图6所示的上述结构的数据。因此,以期望的定时,主控单元22通知RSA解密部分31主控单元22需要LEKP(1)至LEKP(6)中哪一个。接着,RSA解密部分31向主控单元22提供该数据(例如包含在这一通知消息指定的LEKP(1)至LEKP(6)中的一个LEKP中的AES密钥51-D和Le_属性_数据56-D)。
AES-输入生成单元24是放映机2的一个块,与电影服务器1的AES-输入生成单元15相对应。因此,AES-输入生成单元24产生AES输入52-D,该输入的元素包括来自主控单元22的Le_属性_数据56-D和RSA-数据提取单元21提供的数据(例如行编号),即AES-输入生成单元24产生与电影服务器1的AES-输入52-E相对应的AES输入52-D,并把AES输入52-D提供给AES-解密-数据生成单元25。
AES-解密-数据生成单元25是放映机2的一个块,与电影服务器1的AES-加密数据生成单元13相对应。因此,利用来自AES-输入生成单元24的AES输入52-D和来自主控单元22的AES密钥51-D,AES-解密-数据生成单元25就可以生成用于直接对已加密的AV数据56进行解密(根据AES加密进行解密处理)的数据(后文记作“AES-解密数据62”),并把AES-解密数据62提供给AV-数据解密单元26。换句话说,AES-解密数据62是对应于AES-加密数据53的解密数据。
AV-数据解密单元26利用来自AES-解密-数据生成单元25的AES-解密数据62对来自RSA-数据提取单元21的已加密AV数据56进行解密处理,并把产生的AV数据(已恢复的AV数据)输出给显现控制单元27。
需要注意的是,如前所述,通过使用分别与各个AES密钥51-E(这些密钥被电影服务器1按预定的更新周期更新)相对应的AES密钥51-D(即通过使用按预定更新周期更新的AES密钥51-D),而不是对用作流数据的已加密AV数据56的所有项都使用相同的AES-解密数据62,产生AES-解密数据62的各个项,并把它们用于已加密AV数据56的对应部分。还需要注意的是,如前所述,因为RSA数据55中能包含多个(在本实施例中是6个)LEKP,所以更新周期小于RSA数据55中只包括一个已加密的LEKP时所使用的周期。
显现控制单元27控制来自AV-数据解密单元26的AV数据所对应的内容的重放(显示电影)。例如,显现控制单元27把AV数据所对应的视频图像放映到屏幕上,并控制扬声器单元输出该AV数据所对应的音频。
图1中的发送/接收单元已经描述了,其操作如下。
特别地,放映机2有一个公钥对:公钥54和密钥61,并且通过SM 3只把公钥对的公钥54传递给电影服务器1。
电影服务器1使用来自放映机2的公钥54加密AV数据,该数据的机密性是待保护的。
特别地,在本实施例中,一个公用密钥加密系统——具有高速加解密特性的AES加密被用作实际加密AV数据的加密系统。为了产生作为AES加密码的AES-加密数据53,AES-密钥生成单元14按照预定的更新周期相继产生不同的AES密钥51-E。
因此,通过使用相继产生的每个AES密钥51-E和相应的来自AES-输入生成单元15的AES输入52-E,AES-加密-数据生成单元13可以产生AES-加密数据53的各个项。换句话说,AES-加密-数据生成单元13相继更新AES-加密数据53的各个项。
通过使用相继更新AES-加密数据53的各个项,AV-数据加密单元12根据AES加密以帧为单位对来自AV-数据存储单元11的AV数据执行加密过程。加密过程获得的已加密的AV数据56从AV-数据加密单元12提供给叠加单元18。
此外,相继更新的AES密钥51-E经过按照RSA加密的RSA加密单元16的加密过程,其中预定数目(在用于RSA加密的2048位的范围内)的(在本实施例中是6个)AES密钥51-E被作为一个单位来使用。即在本实施例中,与RSA加密一致的加密过程是利用具有图6所示结构的数据作为一个单位来执行的。放映机2的公钥54在这一加密过程中被使用。通过该加密过程获得的RSA数据55从RSA加密单元16提供给叠加单元18。
按照这种方式,通过使用作为一个单位的预定数目(在本实施例中是6)的AES密钥51-E可以对相继更新的AES密钥51-E进行加密。于是,如上所述,通过把预定数目的项用作一个单位,可以把已加密的数据项发送给放映机2。因此,可以缩短AES密钥生成单元14里的每个AES密钥51-E的更新周期,从而可以获得可构造一个安全性很高的系统的优点。
叠加单元18把RSA数据55叠加到已加密的AV数据56上,并把生成的叠加了RSA数据的已加密AV数据57传送给放映机2。
下面简要描述放映机2的操作(没有描述每个块)。
特别地,放映机2从叠加了RSA数据的已加密AV数据57中提取出RSA数据55,并利用安全芯片31中的密钥61(密钥61和用于产生RSA数据55的公钥54是一对)对RSA数据55进行解密。从而在本实施例中可以恢复具有图6所示结构的数据。
因此,以期望的定时,放映机2指定包含在具有图6所示结构的数据中的LEKP(1)至LEKP(6)中的一个LEKP,其与AES-解密数据62的一个待解密的部分(帧)相对应,并从指定的LEKP中获取一些信息块,例如AES密钥51-D和Le_属性_数据56-D。根据这些信息块,放映机2就可以产生AES-解密数据62。
放映机2利用AES-解密数据62、按照AES加密对AES-解密数据62的一个待解密的部分(帧)进行解密处理,并重放产生的AV数据的一个预定部分(帧)。换句话说,放映机2放映电影的一个预定场景。
如上所述,内容(AV数据)是根据AES加密加密的,并从电影服务器1上传送到放映机2上。因此,如果AES密钥51-E(它是AES加密中使用的公共密钥)被盗窃了,就很容易对该加密内容进行解密。即,会产生内容容易被拿走的问题。换句话说,直接把AES密钥51-E发送给一个接收端(解密侧)的系统会出现安全性很低的问题。
因此,在图1的发送/接收系统中,按照一个称作“RSA加密”的公共密钥加密系统(其被破解的概率非常低)对包括AES密钥51-E执行加密处理提高了系统的安全性。
特别地,如上所述,在图1的发送/接收系统中,利用接收端(解密侧)的放映机2的公钥54按照RSA加密对AES密钥51-E的六个LEKP的集合进行加密,发送端(加密侧)的电影服务器1可以把RSA数据55发送给放映机2。
当放映机2对RSA数据55进行解密时,放映机2可以使用包含在其内的安全芯片23中的密钥61,即与对RSA数据55进行加密处理时使用的公钥54配对的密钥61。
密钥61可以存储在相关技术的一块安全芯片中。但此时其安全性与管理方法有关。为了创造这个管理方法,通过只允许一个特殊人物或设备来处理该安全芯片里的一个公钥对(这种情况下为密钥61和公钥54),可以防止密钥61被泄漏。在相关技术的这个管理方法中,因为这样一个人物或设备的存在,保护密钥61的安全性并不能达到100%。换句话说,密钥61被偷的概率不等于0。因此,如果密钥61被偷,RSA数据55就很容易被破解,并可以拿走AES密钥51-D(其被恢复),而且利用AES密钥51-D还可以很容易对加密的AV数据(加密内容)进行解密。换句话说,会产生内容容易被拿走的问题。
因此,为了让密钥61被偷走的概率接近0,本发明创造了这样一个技术,其中对于安全芯片的一个设备配置,通过在安全芯片中提供一个能够存储如下数据的的非易失性存储器(图8中的非易失性存储器,将在后文阐述):多个密钥对(图1所示的实例中的密钥61和公钥54的一个公钥对)和一个证书,一些在预定计算中使用的密钥(例如要求RSA解密部分31对RSA数据55进行解密的、不同类型的计算中使用的密钥61)、一个可以通告给更高层的软件等(例如图1的实例中的被主控单元22执行的软件、SM 3等)的公钥(例如图1的实例中的公钥54)及其信息(证书)被利用它们的地址进行管理,从而可以在任何时候进行调用。
在采用本发明的这一技术的安全芯片中,利用这个技术(例如RSA或ECC(椭圆曲线密码系统))实现的加密库(例如图1中的RSA解密部分31)可以被一个高层程序(例如图1中的主控单元22或一个被SM 3执行的程序)按照预定的协议控制,并且,在加密库执行完预定过程后,它会把这个过程的结果告知高层程序等。需要注意的是,因为本发明的这一实施例中的安全芯片可以对多个密钥执行时分加密或解密处理,所以它不同于相关技术的安全芯片。尽管时间管理本身是通过高层程序等来执行的,但通过高级地使用该安全芯片的加密库仍然可以提高其性能。
此外,对于证书管理方法,在相关技术中采用了诸如使用安全系统进行证书管理的方法。然而,在本实施例中,采用了安全芯片23存储证书的方法。这是基于如下原因的。特别地,因为在相关技术中,当证书信息因为安全芯片交换或类似原因而改变时,安全系统要请求证书授权中心发布证书,并存储该证书,所以该安全系统必需包含一个非易失性存储器设备。与之不同的是,因为本实施例中的安全芯片具有一个即使没有提供电源也能存储证书的配置,因此即使在诸如安全芯片被交换的场合,只要把新的公钥告知该安全系统就可以控制该安全芯片立刻操作。因此,基于这一原因,采用了本实施例中的安全芯片23存储证书的方法。
本发明的这个实施例中的上述安全系统的一个实例是包含在放映机2中的安全芯片23,该安全芯片23的详细配置实例如图8所示。
在图8的实例中,安全芯片23除了包括上述RSA解密部分31外还包括一个用于存储公钥对(公钥54和密钥61)的非易失性存储器32、一个用于产生和在非易失性存储器32中存储公钥对的密钥对生成部分33、和一个用于获取和在非易失性存储器32中存储外部提供的公钥对的密钥对获取部分34。
但是,在需要高度提高系统安全性的场合,可以省略密钥对获取部分34。这是因为,当一个包括一个密钥61的公钥对在密钥61已知的状态下被外部提供时,那么即使存储该公钥对,密钥61也不是被秘密创造的。
如图8所示的非易失性存储器32里的块表示该非易失性存储器32的一个镜像寄存器映射。
特别地,在非易失性存储器32的左端,示出了一个或多个公钥54(只是公钥54中的公钥54-A至54-D)的存储区域。一个或多个公钥54存储在非易失性存储器32的预定地址中,从而可以与指定一个或多个的公钥54的ID(只示出了表示公钥54-A至54-D的ID的ID A至D)关联。尽管ID指配方式没有特殊限制,在本实施例中,例如地址被用作ID,从而可以根据这些地址管理一个或多个公钥54。
一个或多个公钥54的每个公钥都可以通过从外部(例如主控单元22)访问该安全芯片23来提取。然而,一个或多个公钥54的任意一个公钥都可以被设计,从而不能被处理。
在该非易失性存储器32的中心,示出了一个用于存储一个或多个密钥61(只有一个或多个密钥61中的密钥61-a至61-d)的存储区域。一个或多个密钥61存储在非易失性存储器32的预定地址中,从而可以与表示一个或多个的密钥61的ID(只示出了表示密钥61-a至61-d的公钥的ID的ID a至d)关联。尽管ID指定方式没有特殊限制,在本实施例中,例如地址被用作ID,从而可以根据这些地址管理一个或多个密钥61。
一个或多个密钥61的每个密钥都贮存在非易失性存储器32里供使用,从而可以与公钥54一直配对。在图8的实例中,示出了如下公钥对实例:公钥54-A和密钥61-a,公钥54-B和密钥61-b,公钥54-C和密钥61-c,公钥54-D和密钥61-d。
一个或多个密钥61的任意一个密钥都不会对任何外部命令作出响应,并没有任何只读命令。这也能防止任意一个密钥61泄漏。参考图9进一步描述了这一性质。特别地,图9是安全芯片23和外部(图9的实例中是图1示出的主控单元22或SM 3)之间的处理关系的实例的示意图。换句话说,图9是通过安全芯片23的协议实现的一个处理的实例的示意图。
在步骤S41中,主控单元22或SM 3(为简单起见,只提及主控单元22)把建立连接的密码告知安全芯片23。
当安全芯片23在步骤S41中被告知该密码(密码是可信的)时,安全芯片23用一个表示连接建立的确认信息(Ack)响应主控单元22。
在这一连接协议中,可以改变保护级别。可以使用不同版本的协议,例如提供一个以调试模式使用密码来对安全芯片23的内部进行深度检查的协议,和公开用于只能激活一个只有一个用户可以使用的应用的协议。
建立连接后,在步骤S43,主控单元22把“取公钥”作为一个用于获取公钥54的普通命令发送给安全芯片23。
此时,如上所述,允许安全芯片23把公钥54提供给外部。因此,如果把安全芯片23被配置为接收“取公钥”命令,那么就可以执行步骤S44。特别地,在步骤S44中,安全芯片23从存储在非易失性存储器32中的一个或多个公钥54中获取一个与通过“取公钥”命令指定的ID(地址)对应的公钥54,并把取得的公钥54提供给主控单元22。
此外,例如在步骤S45中,主控单元22把用于获取密钥61的命令“取密钥”发送给安全芯片23。
此时,如上所述,禁止安全芯片23把密钥61提供给外部,即安全芯片23被配置为不能接收任何用于请求获取密钥61的命令(包括“取公钥”命令)。因此可以执行步骤S46。在步骤S46中,安全芯片23不对主控单元22发送任何响应。因为安全芯片23没有为“取密钥”命令准备Ack,所以安全芯片23不对“取密钥”命令作出响应。为了示出这一点,在图9的步骤S46中示出一个Nack(否定确认)。
重新回到图8,在非易失性存储器32的右端,示出了一个用于存储证书的存储区域,其中证书是用来验证图8左端示出的公钥对(密钥61和公钥54)的安全性的。在图8的实例中,示出了如下证书实例:公钥对(公钥54-A和密钥61-a)的证书Aa,公钥对(公钥54-B和密钥61-b)的证书Bb,公钥对(公钥54-C和密钥61-c)的证书Cc,公钥对(公钥54-D和密钥61-d)的证书Dd。
操作证书的方法如下。当发布一个新的公钥对时,特别地,例如在图8的实例中,当有一个被密钥对获取部分34获得的公钥对或一个由密钥对发生部分33产生的公钥对被新存储在非易失性存储器32中时,安全芯片23通过把新近存储的公钥对的公钥54报告给证书授权中心来请求证书授权中心发布证书,然后安全芯片23在非易失性存储器32中存储这些证书,从而可以把它们与新近存储的公钥对关联。
在本发明的一个实施例中,已经作为安全芯片的实例描述了一个在图1的发送/接收系统中使用的安全芯片23(即包含在放映机2中的安全芯片23)。
但是,本发明的一个实施例中的安全芯片作用其上的系统并不特别局限于图1所示的发送/接收系统。在本发明的这实施例中的安全芯片可以应用于一个采用公钥加密作为加密系统的系统(该系统的定义将在后面描述)上,即一个使用公钥和密钥的公钥对的系统。
通过使用本发明的这一实施例中的安全芯片,可以获得如下一到四个优点。
第一优点:因为本发明的一个实施例里的安全芯片具有一个防止密钥被取出的机制,所以可以使被保护的加密内容(例如图1所示例子中已加密的AV数据56)被不怀好意的第三方破解的风险最小化。第一优点源于如下事实:生成公钥对的人或设备无法获知存储在非易失性存储器32里的密钥61。因此,可以说第一优点可以保护该发送/接收系统,使其免受密钥泄漏的风险。即,无论如何,第一优点就是只有本发明的这一实施例中的安全芯片才能破解信息(例如利用在本发明的这一实施例中的安全芯片产生和存储的公钥对的一个公钥加密的内容)。
第二优点:因为本发明的这一实施例中的安全芯片存储了多个密钥对,并能分时处理这些密钥对,所以在满足下述需要的场合,与相关技术相比,采用本发明的这一实施例中的安全芯片在费用和电路装备上是最优的。
总的说来,在多数场合,在使用公钥加密的应用中,并不期望加密或解密处理具有实时性的功能。换句话说,在许多场合,公钥加密是在一个即使处理时间需要几秒钟也不会产生问题的应用中使用的。这样一个应用通常十分强调可靠性。因此,因为这一应用很少按如下方式使用:在系统运行期间频繁访问安全芯片,所以这一应用需要使用PKI(公钥基础设施)。当必需满足上述需求时,如果不同的公钥对是必需的,那么在使用相关技术的安全芯片时,必需提供不同的安全芯片,而在使用本发明的这一实施例中的安全芯片时,不必提供不同的安全芯片,而只需要简单地生成并运行一个不同的公钥对。因此,与相关技术相比,采用本发明的这一实施例中的安全芯片在费用和电路装备上是最优的。此外还必需获取以公钥对位单位的证书。但是并不会增加复杂性,因为获取过程不是难以解决的问题。
第三个优点:因为本发明的这一实施例中的安全芯片存储了多个密钥对并能对这些密钥对进行十分处理,所以即使安全芯片使用的加密系统有所不同,用于控制该安全芯片的高层系统也可以创建一个相应的程序,并能有效地使用本发明的这一实施例中的安全芯片里的计算库(例如加密库)。
如上所述,第二和第三个优点是基于如下事实而产生的:本发明的这一实施例中的安全芯片可以存储多个密钥对。为了获得上述优点,允许或禁止密钥被外部访问并不是特别难以解决的问题。即,如果实现一个具备允许本发明的这一实施例中的安全芯片向外部提供密钥的功能的安全芯片,那么就能获得第二和第三个优点本身。换句话说,第二和第三个优点可以通过任何类型的安全芯片(可以存储多个密钥对,而与允许或禁止把密钥提供给安全芯片外部无关)来获得。在考虑到通过相关技术的安全芯片不能实现第二和第三个优点时,可以说安全芯片的类型(即使它具有允许向外部提供密钥的功能)是那些基于本发明的实施例且并还不存在的安全芯片中的一个。
第四个优点:即使使用了一个密钥用于签名的应用,也能大大减少签名数据因密钥泄漏而被篡改的风险(从本质上说篡改是很困难的)。
本发明的一个实施例作用其上的发送/接收系统并不局限于图1示出的上述实例,但是可以具有不同的形式。
特别地,对于一个本发明的一个实施例作用其上的发送/接收系统来说,只要包含如下发送装置和接收装置就足够了,并且可以有任意形式。
换句话说,对于一个本发明的一个实施例作用其上的发送/接收系统的发送装置,只需把第一加密数据发送至不同的装置,该加密数据是根据第一加密技术(该加密技术规定,当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥)对包含多个连续单元数据项的流数据进行加密而获得的。
此外,对于一个本发明的一个实施例作用其上的发送/接收系统的接收装置,只需接收并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对发送装置发送的第一加密数据进行解密。
本发明的一个实施例可作用在任何作为其一些部件包含上述发送装置和接收装置的发送/接收系统上。
此时,可以利用如下方法实现用于加密多个密钥的上述技术。
换句话说,发送装置可以包括一个密钥加密器和一个密钥发送器,其中该加密器被配置为输出第二加密数据,该加密数据是通过生成包含用于产生第一加密数据的多个密钥中的一些密钥(密钥个数用一个大于或等于1的整数值来表示)的数据、再按照第二加密技术对产生的数据进行加密而获得的,密钥发送器被配置为把从密钥加密器输出的第二加密数据发送到接收装置。
此外,接收装置可以包括一个密钥接收器和一个密钥解密器,其中该密钥接收器被配置为接收发送装置发送的第二加密数据,密钥解密器被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密。
这里,密钥加密器、密钥发送器、密钥接收器和密钥解密器的实现形式并没有特殊限制。
一个本发明的一个实施例作用其上的发送/接收系统可以产生如下优点。
在许多场合中,使用公钥加密的信息发送和接收过程中,PKI里的计算时间特性是约束条件。例如,为了能利用处理视频和音频的应用安全地发送内容,通过直接使用PKI可以提供比使用公共密钥加密更高的安全性。但是,通常说来,在相关技术里,公钥加密几乎不在必需具备实时性功能的应用中使用,这是因为与普通公钥加密相比,加密和解密需要的处理时间相当长。
关于到近来用于对视频/音频内容(图1中的AV数据)进行加解密的系统,提出如下一种机制:使用公共密钥加密作为直接对内容进行加解密的技术,使用公钥加密把公共密钥加密中使用的密钥信息发送给接收端。在图1所示的上述发送/接收系统中采用了这一机制。即,在图1所示的实例中,AES加密是作为公共密钥加密来使用的,RSA加密是作为公钥加密来使用的。
在使用这一机制的系统中,为了对已加密的内容(图1中的AV数据56)进行解密,信息盗窃者必需找到在加密中使用公用密钥(图1中的AES密钥51-E),只寻找一个公用密钥的操作就需要许多时间。特别地,当用于解密的公用密钥的类型数增加时,就需要多个时间。换句话说,公用密钥的类型数越少(公用密钥更新周期越长),公用密钥被盗的概率就越高。从而已加密的内容被盗(被破解)的概率就更高。
因此,本发明的这一实施例作用其上的发送/接收系统具有上述典型配置,从而可以支持如下技术:通过缩短公用密钥更新周期(即产生尽可能多的公用密钥)提高内容的安全性。即,在本发明的这一实施例作用其上的发送/接收系统中,当利用公钥加密(图1中的RSA加密)根据具有高度机密性的加密系统把用于保护内容的公用密钥(图1中的AES密钥51-E)发送给接收端(图1中的放映机2)时,不只一个公用密钥还有多个公用密钥(上述实例中的6个AES密钥51-E)被选择性地利用公钥加密来加密,生成的加密数据(图1中的RSA数据55)可以发送至接收端。这样即使使用公钥加密(为了解密需要花费多个时间在计算上),接收端也能使用单个计算过程来提取包含在加密数据中的多个公用密钥。从而可以提高一个用于保护内容的系统的性能。利用本发明的这一实施例作用其上的发送/接收系统就可以获得这一优点。
上述连续的处理过程可以通过硬件或软件来执行。当使用软件来执行上述连续的处理过程时,可以把构成该软件的程序从程序存储媒体上安装到一个内置专用硬件的计算机或一个可以通过安装不同程序执行不同功能的多功能个人电脑上。
图10是一个表示利用一个程序执行上述连续过程的个人电脑的配置实例的框图。
如图10所示,CPU(中央处理器)201根据存储在ROM(只读存储器)202或存储在一个存储单元208里的程序执行不同类型的处理过程。RAM(随机存取存储器)203在必要时存储被CPU 201执行的程序、数据等。CPU 201、ROM 202和RAM 203通过总线204彼此相连。
输入/输出接口205通过总线204与CPU 201相连。包括一个键盘、鼠标和话筒的输入单元206和包括显示器和扬声器的输出单元207与输入/输出接口205相连。CPU 201为响应输入单元206输入的命令而执行不同类型的处理过程。
与输入/输出接口205相连的存储单元208是由例如一个硬盘驱动器组成的,并能存储CPU 201执行的程序和不同类型的数据。通信单元209通过网络(例如互联网或局域网)与外部装置通信。
当通过通信单元209获得该程序后,可以把它存储在存储单元208里。
当加载一个可移动媒体211(例如磁盘、光盘、磁光盘或半导体存储器)时,与输入/输出接口205相连的驱动器210驱动可移动媒体211获取一个记录在可移动媒体211上的程序和数据。如有必要,可以传送获得的程序和数据,并将其存储在存储单元208里。
与输入/输出接口205相连的安全芯片212是本发明的这个实施例中的上述安全芯片的一个实例。
程序记录媒体(程序记录在它上面,且在程序安装到计算机上后可以通过计算机把程序设置为可执行的)的类型包括图10所示的可移动媒体211(它是由磁盘(包括软盘)、光盘(CD-ROM(光盘只读存储器)或DVD(数字多功能光盘))、磁光盘和半导体存储器之一组成的封装媒体)、ROM 202(程序暂时或永久存储于其中)和存储单元208(包括一个硬盘)。如有必要,把程序存储到程序记录媒体上可以通过通信单元209(是一个诸如路由器或调制解调器的接口)利用一个有线或无线通信媒体(例如局域网或互联网)来执行。
在本说明书中,组成记录在记录媒体上的程序的步骤一定包括按给定的顺序以时序方式执行的处理步骤,还包括如有必要以时序方式并行或独立执行的那些处理步骤。
此外,在本说明书中,该系统表示多个装置集整体。
本发明的一个实施例不但适用于图1所示的发送/接收系统还适用于不同系统。例如,虽然在图1所示的例子中,RSA数据55和已加密的AV数据56是同时(即作为叠加了RSA数据的已加密AV数据57)从发送端的电影服务器1发送到接收端的放映机2上的,但总是同时发送RSA数据55和已加密的AV数据56并不是必需的。换句话说,本发明的实施例甚至可适用于这样一个系统,其中RSA数据55是通过一条不同于已加密的AV数据56的传输路径从发送端传送到接收端的。
本领域的专业技术人员应当不难理解:可以根据设计需求和其他因素进行各种修改、合并、子合并和更改,只要它们在附加的权利要求书或其等价物的范畴内。
Claims (14)
1.一种发送/接收系统,包括:
发送装置,其被配置为发送第一加密数据,该加密数据是根据第一加密技术对包含多个连续单元数据项的流数据进行加密而获得的,第一加密技术规定当对每个单元数据项顺序加密该流数据时,根据预定规则更新用于加密这些单元数据项的多个密钥;以及
接收装置,其被配置为接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术解密发送装置发送的第一加密数据,
其中,
发送装置包括:
密钥加密器,其被配置为输出第二加密数据,第二加密数据通过下述方式获得:产生包含密钥的数据并按照第二加密技术对产生的数据进行加密,其中所述密钥是在用于产生第一加密数据的多个密钥中的、数目用一个大于或等于1的整数值来表示的密钥;以及
密钥发送器,其被配置为把从密钥加密器输出的第二加密数据发送到接收装置,
接收装置包括:
密钥接收器,其被配置为接收发送装置的密钥发送器发送的第二加密数据;以及
密钥解密器,其被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密;
其中第二加密技术使用采用2048位数据的RSA加密。
2.一种供发送/接收系统使用的发送/接收方法,该系统包括发送装置和接收装置,其中发送装置被配置为把第一加密数据发送至接收装置,该加密数据是根据第一加密技术对包含多个连续单元数据项的流数据进行加密而获得的,第一加密技术规定当对每个单元数据项顺序加密该流数据时,根据预定规则更新用于加密这些单元数据项的多个密钥;接收装置被配置为接收和利用用于产生第一加密数据的多个密钥、依据与第一加密技术对应的第一解密技术解密来自发送装置的第一加密数据,该发送/接收方法包括如下步骤:
通过发送装置,
产生包含密钥的数据并按照第二加密技术对产生的数据进行加密,以产生第二加密数据,其中所述密钥是在用于产生第一加密数据的多个密钥中的、数目用一个大于或等于1的整数值来表示的密钥;和
把第二加密数据发送给接收装置;以及
通过接收装置,
接收发送装置发送的第二加密数据;并
按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密;
其中第二加密技术使用采用2048位数据的RSA加密。
3.一种发送装置,用于把第一加密数据发送至接收装置,该加密数据是根据第一加密技术对包含多个连续单元数据项的流数据进行加密而获得的,第一加密技术规定当对每个单元数据项顺序加密该流数据时,根据预定规则更新多个用于加密这些单元数据项的密钥,该发送装置包括:
密钥加密器,被配置为输出第二加密数据,第二加密数据通过下述方式获得:生成包含用于产生第一加密数据的多个密钥中的i个密钥的数据并按照第二加密技术对产生的数据进行加密,其中i表示一个大于或等于1的整数值;和
密钥发送器,被配置为把从密钥加密器输出的第二加密数据发送到接收装置;
其中第二加密技术使用采用2048位数据的RSA加密。
4.权利要求3所述的发送装置,其中:
密钥加密器通过如下方法产生总计2048位的数据,作为将依据RSA加密进行加密的数据:产生i个N位的信息数据项,分别包含至少i个密钥,其中N表示一个小于等于2048的整数值,i表示一个满足表达式ixN≤2048的整数值,然后按照预定的顺序排列这i个N位信息数据项,并且在这i个N位信息数据项后面排列2048-ixN位填充数据。
5.权利要求4所述的发送装置,还包含:
高级加密标准密钥生成器,被配置为根据与密钥更新相关的预定规则生成高级加密标准密钥作为多个密钥;
高级加密标准输入生成器,被配置为产生一个包含链接加密属性数据的高级加密标准输入;以及
流加密器,被配置为输出通过利用高级加密标准密钥生成器产生的高级加密标准密钥和高级加密标准输入生成器产生的高级加密标准输入对该流数据进行加密而产生的第一加密数据,
其中
第一加密技术使用高级加密标准,且
密钥加密器产生如下数据作为一个信息数据项:包含一个高级加密标准密钥生成器产生的高级加密标准密钥和包含于高级加密标准输入生成器产生的高级加密标准输入中的链接加密属性数据。
6.权利要求5所述的发送装置,其中:
每个信息数据项形成为一个304位链接加密密钥净荷;且
密钥加密器产生总计2048位的数据作为将用RSA加密进行加密的数据,这些数据是通过如下方法产生的:产生并按照预定顺序排列6个链接加密密钥净荷,其中6等于i,然后在这6个链接加密密钥净荷后面排列224位填充数据。
7.权利要求5所述的发送装置,其中密钥发送器通过如下方法把第二加密数据发送给接收装置:发送通过把密钥加密器输出的第二加密数据叠加到流加密器输出的第一加密数据上而获得的数据。
8.一种供发送装置使用的发送方法,该发送装置用于把第一加密数据发送至接收装置,该加密数据是根据第一加密技术对包含多个连续单元数据项的流数据进行加密而获得的,第一加密技术规定当对每个单元数据项顺序加密该流数据时,根据预定规则更新用于加密这些单元数据项的多个密钥,该发送方法包括如下步骤:
产生包含密钥的数据并按照第二加密技术对产生的数据进行加密,以产生第二加密数据,其中所述密钥是在用于产生第一加密数据的多个密钥中的、数目用一个大于或等于1的整数值来表示的密钥;且
把产生的第二加密数据发送给接收装置;
其中第二加密技术使用采用2048位数据的RSA加密。
9.一种接收装置,用于接收发送装置发送的第一加密数据,其中该第一加密数据是根据第一加密技术对包含多个连续单元数据项的流数据进行加密而获得的,第一加密技术规定当对每个单元数据项顺序加密该流数据时,根据预定规则更新用于加密这些单元数据项的多个密钥,并利用用于产生第一加密数据的多个密钥、按照与第一加密技术对应的第一解密技术对第一加密数据进行解密,该接收装置包括:
密钥接收器,被配置为接收发送装置发送的第二加密数据,其中该第二加密数据下述方式获得:生成包含用于产生第一加密数据的多个密钥中的i个密钥的数据并按照第二加密技术对产生的数据进行加密,其中i表示一个大于或等于1的整数值;和
密钥解密器,被配置为按照与第二加密技术对应的第二解密技术对密钥接收器接收到的第二加密数据进行解密;
其中第二加密技术使用采用2048位数据的RSA加密。
10.权利要求9所述的接收装置,其中:
发送装置通过如下方法产生总计2048位的数据作为将依据RSA加密进行加密的数据:产生i个N位的信息数据项,分别包含至少i个密钥,其中N表示一个小于等于2048的整数值,i表示一个满足表达式ixN≤2048的整数值,然后按照预定的顺序排列这i个N位信息数据项,并且在这i个N位信息数据项后面排列2048-ixN位填充数据;和
密钥解密器通过根据第二解密技术执行解密过程恢复这i个信息数据项,并提取出分别包含在这i个信息数据项里的密钥。
11.权利要求10所述的接收装置,其中:
第一加密技术使用高级加密标准;
发送装置执行以下操作:
根据关于密钥更新的预定规则生成高级加密标准密钥作为多个密钥,
生成包含链接加密属性数据的高级加密标准输入,
输出通过利用生成的高级加密标准密钥和生成的高级加密标准输入对该流数据进行加密而产生的第一加密数据,和
生成如下数据作为一个信息数据项:包含一个高级加密标准密钥和包含在一个高级加密标准输入中的链接加密属性数据的数据;
密钥解密器通过根据第二解密技术执行解密过程恢复这i个信息数据项,并提取出分别包含在这i个信息数据项中每项里的高级加密标准密钥和链接加密属性数据;以及
接收装置还包括:
高级加密标准输入生成器,被配置为利用密钥解密器从一个预定的信息数据项中提取出来的链接加密属性数据,来产生一个与由密钥解密器从该预定的信息数据项中提取出来的高级加密标准密钥相对应的高级加密标准输入,和
流解密器,被配置为利用如下数据对利用高级加密标准密钥进行加密并包含在第一加密数据里的部分进行解密:由密钥解密器从预定的信息数据项中提取出来的高级加密标准密钥和与该高级加密标准密钥对应的、由高级加密标准输入生成器生成的高级加密标准输入。
12.权利要求11所述的接收装置,其中:
每个信息数据项形成为一个304位链接加密密钥净荷;且
发送装置产生总计2048位的数据作为将用RSA加密进行加密的数据,这些数据是通过如下方法产生的:产生并按照预定顺序排列6个链接加密密钥净荷,其中6等于i,然后在这6个链接加密密钥净荷后面排列224位填充数据。
13.权利要求11所述的接收装置,其中,当通过把第二加密数据叠加到第一加密数据上而获得的数据被发送到接收装置上时,在密钥接收器接收并把该数据分割成第一加密数据和第二加密数据后,密钥接收器把第一加密数据提供给流解密器,把第二加密数据提供给密钥解密器。
14.一种供接收装置使用的接收方法,该接收装置用于在第一加密数据被发送装置发送时接收第一加密数据,其中该第一加密数据是根据第一加密技术对包含多个连续单元数据项的流数据进行加密而获得的,第一加密技术规定当对每个单元数据项顺序加密该流数据时,根据预定规则更新用于加密这些单元数据项的多个密钥,并利用用于产生第一加密数据的多个密钥、按照第一加密技术对应的第一解密技术对第一加密数据进行解密,该接收方法包括以下步骤:
当第二加密数据被发送装置发送时,接收第二加密数据,其中该第二加密数据通过下述方式获得:产生包含密钥的数据并按照第二加密技术对产生的数据进行加密,其中所述密钥是在用于产生第一加密数据的多个密钥中的、数目用一个大于或等于1的整数值来表示的密钥;以及
按照与第二加密技术对应的第二解密技术对接收到的第二加密数据进行解密;
其中第二加密技术使用采用2048位数据的RSA加密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005223740 | 2005-08-02 | ||
| JP2005223740A JP4596256B2 (ja) | 2005-08-02 | 2005-08-02 | 送受信システムおよび方法、送信装置および方法、受信装置および方法、並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1909023A CN1909023A (zh) | 2007-02-07 |
| CN100568320C true CN100568320C (zh) | 2009-12-09 |
Family
ID=37700126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101090937A Expired - Fee Related CN100568320C (zh) | 2005-08-02 | 2006-08-02 | 发送/接收系统和方法、发送/接收装置和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8108674B2 (zh) |
| JP (1) | JP4596256B2 (zh) |
| CN (1) | CN100568320C (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8670564B1 (en) | 2006-08-14 | 2014-03-11 | Key Holdings, LLC | Data encryption system and method |
| KR100867130B1 (ko) * | 2007-02-23 | 2008-11-06 | (주)코리아센터닷컴 | 보안 데이터 송수신 시스템 및 방법 |
| US8494168B1 (en) * | 2008-04-28 | 2013-07-23 | Netapp, Inc. | Locating cryptographic keys stored in a cache |
| US8515996B2 (en) | 2008-05-19 | 2013-08-20 | Emulex Design & Manufacturing Corporation | Secure configuration of authentication servers |
| CN104012030B (zh) * | 2011-12-21 | 2018-04-13 | 英特尔公司 | 用于保护对称加密密钥的系统及方法 |
| JP6112874B2 (ja) * | 2013-01-21 | 2017-04-12 | キヤノン株式会社 | 通信装置、通信装置の制御方法、および、プログラム |
| KR101947540B1 (ko) | 2013-02-22 | 2019-02-13 | 닛본 덴끼 가부시끼가이샤 | 무선 통신 시스템, 무선국, 무선 단말, 통신 제어 방법, 및 비일시적인 컴퓨터 가독 매체 |
| CN103959829B (zh) * | 2013-11-01 | 2018-09-21 | 华为技术有限公司 | 一种双连接模式下的密钥处理方法和设备 |
| CN103647654B (zh) * | 2013-12-25 | 2017-07-14 | 国家电网公司 | 一种基于可信计算的配电终端密钥管理方法 |
| US9218296B2 (en) | 2014-01-27 | 2015-12-22 | International Business Machines Corporation | Low-latency, low-overhead hybrid encryption scheme |
| CN104809365A (zh) * | 2014-01-27 | 2015-07-29 | 宇瞻科技股份有限公司 | 数字权管理系统、管理方法及其信息传送系统与方法 |
| CN106599698B (zh) * | 2015-10-19 | 2019-09-20 | 腾讯科技(深圳)有限公司 | 一种加密图片、解密图片的方法和装置 |
| JP6721832B2 (ja) * | 2016-08-24 | 2020-07-15 | 富士通株式会社 | データ変換プログラム、データ変換装置及びデータ変換方法 |
| CN111447424B (zh) * | 2020-04-10 | 2022-04-22 | 中航国画(上海)激光显示科技有限公司 | 一种具备安全增强功能的投影系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1322321A (zh) * | 1999-08-27 | 2001-11-14 | 索尼公司 | 信息发送系统、发送装置和发送方法与信息接收系统、接收装置和接收方法 |
| WO2003098868A1 (en) * | 2002-05-17 | 2003-11-27 | Nokia Corporation | Method and system in a digital wireless data communication network for arranging data encryption and corresponding server |
| CN1526217A (zh) * | 2001-05-23 | 2004-09-01 | ��ķɭ���ó��˾ | 保护和识别消息的保密设备和方法 |
| WO2004105308A1 (ja) * | 2003-05-22 | 2004-12-02 | Fujitsu Limited | 暗号化データの受信装置および復号化鍵更新方法 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0777933A (ja) * | 1993-09-08 | 1995-03-20 | Toshiba Corp | ネットワークデータ暗号化装置 |
| JP2003143548A (ja) | 1994-07-08 | 2003-05-16 | Sony Corp | 再生制御方法、情報処理方法及び装置 |
| US20040136532A1 (en) * | 1995-04-03 | 2004-07-15 | Pinder Howard G. | Partial dual-encrypted stream utilizing program map tables |
| JP3369803B2 (ja) * | 1995-08-28 | 2003-01-20 | 三洋電機株式会社 | デジタル信号受信装置 |
| US5631961A (en) * | 1995-09-15 | 1997-05-20 | The United States Of America As Represented By The Director Of The National Security Agency | Device for and method of cryptography that allows third party access |
| JP2001086110A (ja) * | 1999-09-13 | 2001-03-30 | Toyo Commun Equip Co Ltd | 暗号化情報のパケット通信システム |
| US7242772B1 (en) * | 2000-09-07 | 2007-07-10 | Eastman Kodak Company | Encryption apparatus and method for synchronizing multiple encryption keys with a data stream |
| US7085744B2 (en) * | 2000-12-08 | 2006-08-01 | International Business Machines Corporation | Method and system for conducting a transaction over a network |
| JP4581246B2 (ja) * | 2000-12-26 | 2010-11-17 | ソニー株式会社 | 情報処理システム、および情報処理方法、並びにプログラム記録媒体 |
| JP4710132B2 (ja) * | 2000-12-26 | 2011-06-29 | ソニー株式会社 | 情報処理システム、および情報処理方法、並びにプログラム記録媒体 |
| ATE505905T1 (de) * | 2001-02-09 | 2011-04-15 | Canon Kk | Informationsverarbeitungsgerät und seine steuerverfahren, computerprogramm, und speichermedium |
| US8121296B2 (en) * | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
| WO2002089413A1 (fr) * | 2001-04-26 | 2002-11-07 | Sharp Kabushiki Kaisha | Appareil de communication et systeme de communication faisant appel a ce dernier |
| US7185362B2 (en) * | 2001-08-20 | 2007-02-27 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
| JP2003069547A (ja) * | 2001-08-29 | 2003-03-07 | Fujitsu Ltd | マルチキャスト通信システム |
| US20030198345A1 (en) * | 2002-04-15 | 2003-10-23 | Van Buer Darrel J. | Method and apparatus for high speed implementation of data encryption and decryption utilizing, e.g. Rijndael or its subset AES, or other encryption/decryption algorithms having similar key expansion data flow |
| US7594262B2 (en) * | 2002-09-04 | 2009-09-22 | Secure Computing Corporation | System and method for secure group communications |
| TW200414737A (en) * | 2002-09-27 | 2004-08-01 | Matsushita Electric Ind Co Ltd | Contents transmission system |
| AU2003267821A1 (en) * | 2002-10-09 | 2004-05-04 | Matsushita Electric Industrial Co., Ltd. | Encryption apparatus, decryption apparatus and encryption system |
| US7702904B2 (en) * | 2002-11-15 | 2010-04-20 | Nec Corporation | Key management system and multicast delivery system using the same |
| US7305711B2 (en) * | 2002-12-10 | 2007-12-04 | Intel Corporation | Public key media key block |
| US7610485B1 (en) * | 2003-08-06 | 2009-10-27 | Cisco Technology, Inc. | System for providing secure multi-cast broadcasts over a network |
| KR20050053379A (ko) * | 2003-12-01 | 2005-06-08 | 삼성전자주식회사 | AES Rijndael(라인달) 알고리즘을 빠르게구현하는 암호/복호 장치 및 그 방법 |
| KR101088420B1 (ko) * | 2004-02-13 | 2011-12-08 | 아이비아이 스마트 테크놀로지스 인코포레이티드 | 데이터 암호 처리 방법 및 장치 |
| DE602004023436D1 (de) * | 2004-03-29 | 2009-11-12 | St Microelectronics Sa | Prozessor zum ausführen eines aes algorithmus |
| CN1943162A (zh) * | 2004-05-14 | 2007-04-04 | 三菱电机株式会社 | 带加密功能的pon系统和pon系统的加密方法 |
| JP4264035B2 (ja) * | 2004-06-25 | 2009-05-13 | 株式会社東芝 | 情報処理装置、情報処理プログラム及び情報処理方法 |
| US7747862B2 (en) * | 2004-06-28 | 2010-06-29 | Intel Corporation | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks |
| US7555128B2 (en) * | 2004-11-03 | 2009-06-30 | Ndosa Technologies, Inc. | Systems and methods for the application of cryptosystems to the data link layer of packetized wireless networks |
| US7660981B1 (en) * | 2004-11-30 | 2010-02-09 | Adobe Systems Incorporated | Verifiable chain of transfer for digital documents |
| US7747017B2 (en) * | 2004-12-01 | 2010-06-29 | Motorola, Inc. | Method and apparatus for end-to-end clear transport protocol |
| US8155306B2 (en) * | 2004-12-09 | 2012-04-10 | Intel Corporation | Method and apparatus for increasing the speed of cryptographic processing |
| US7657033B2 (en) * | 2004-12-10 | 2010-02-02 | Fiske Software Llc | Cryptography related to keys |
| KR100675837B1 (ko) * | 2004-12-13 | 2007-01-29 | 한국전자통신연구원 | 고속 gcm-aes 블록 암호화 장치 및 방법 |
| US7751565B2 (en) * | 2005-01-25 | 2010-07-06 | Pak Kay Yuen | Secure encryption system, device and method |
| JP2006229863A (ja) * | 2005-02-21 | 2006-08-31 | Seiko Epson Corp | 暗号化/復号化装置、通信コントローラ及び電子機器 |
-
2005
- 2005-08-02 JP JP2005223740A patent/JP4596256B2/ja not_active Expired - Fee Related
-
2006
- 2006-07-31 US US11/461,213 patent/US8108674B2/en not_active Expired - Fee Related
- 2006-08-02 CN CNB2006101090937A patent/CN100568320C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1322321A (zh) * | 1999-08-27 | 2001-11-14 | 索尼公司 | 信息发送系统、发送装置和发送方法与信息接收系统、接收装置和接收方法 |
| CN1526217A (zh) * | 2001-05-23 | 2004-09-01 | ��ķɭ���ó��˾ | 保护和识别消息的保密设备和方法 |
| WO2003098868A1 (en) * | 2002-05-17 | 2003-11-27 | Nokia Corporation | Method and system in a digital wireless data communication network for arranging data encryption and corresponding server |
| WO2004105308A1 (ja) * | 2003-05-22 | 2004-12-02 | Fujitsu Limited | 暗号化データの受信装置および復号化鍵更新方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1909023A (zh) | 2007-02-07 |
| US20070033399A1 (en) | 2007-02-08 |
| US8108674B2 (en) | 2012-01-31 |
| JP4596256B2 (ja) | 2010-12-08 |
| JP2007043353A (ja) | 2007-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100568320C (zh) | 发送/接收系统和方法、发送/接收装置和方法 | |
| US7571320B2 (en) | Circuit and method for providing secure communications between devices | |
| US7668313B2 (en) | Recipient-encrypted session key cryptography | |
| CN1708942B (zh) | 设备特定安全性数据的安全实现及利用 | |
| EP1119131B1 (en) | Method and apparatus for encrypting contents information | |
| US20070174618A1 (en) | Information security apparatus and information security system | |
| CN104094267A (zh) | 安全共享来自源装置的媒体内容的方法、装置和系统 | |
| US8892882B2 (en) | Content transmission security protection device system and method | |
| CN101771699A (zh) | 一种提高SaaS应用安全性的方法及系统 | |
| JP2005515701A6 (ja) | データ伝送リンク | |
| CN101385274A (zh) | 受约束的密码术密钥 | |
| US7600118B2 (en) | Method and apparatus for augmenting authentication in a cryptographic system | |
| EP3476078A1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
| JP2016523060A (ja) | 電子署名トークンの私有鍵のバックアップ方法およびシステム | |
| CN101394398B (zh) | 一种面向终端数字接口的内容保护方法及系统 | |
| CN102598575B (zh) | 用于对密码保护的有效数据单元加速解密的方法和系统 | |
| CN108599928A (zh) | 密钥管理方法及装置 | |
| US20090010433A1 (en) | Schryption method and device | |
| JP5079479B2 (ja) | Idベース暗号システム、方法 | |
| CN110750326B (zh) | 一种虚拟机的磁盘加解密方法以及系统 | |
| JP2007041756A (ja) | 情報処理装置および方法、プログラム、並びに、セキュリティチップ | |
| US7415110B1 (en) | Method and apparatus for the generation of cryptographic keys | |
| CN114499825A (zh) | 一种双控密钥管理方法、系统、加密机和存储介质 | |
| CN103260001A (zh) | 用于多媒体的自认证防护方法 | |
| CN111431846A (zh) | 数据传输的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091209 Termination date: 20120802 |