CN101164274A

CN101164274A - 用于组密钥生成的方法和装置

Info

Publication number: CN101164274A
Application number: CNA2006800137830A
Authority: CN
Inventors: L·塔尔克卡拉
Original assignee: Nokia Oyj
Current assignee: Nokia Technologies Oy
Priority date: 2005-04-25
Filing date: 2006-04-24
Publication date: 2008-04-16
Anticipated expiration: 2026-04-24
Also published as: US8391478B2; EP1875655A2; KR20080004625A; JP2008538875A; WO2006114684A2; MX2007012748A; KR100971992B1; EP1875655B1; WO2006114684A3; CN101164274B; US20070189540A1; EP1875655A4; BRPI0610402A2; ZA200710089B

Abstract

公开了一种密钥生成系统，其是基于特许组的输入产生特许的组密钥。执行密钥产生的系统存储相应于整体集合的每个可能子集X的组件密钥，其中子集X具有k个或更少的成员。通过将不包含特许集合成员的子集X的排序的组件密钥传给伪随机函数，为特许集合产生特许组密钥。

Description

用于组密钥生成的方法和装置

技术领域

本发明通常涉及安全和密码术领域，尤其涉及在内容传递系统中的密钥分配。

背景技术

现有技术中的广播加密方法在下面的出版物中被描述，这些公开通过引用被结合于此：

A.Fiat and M.Naor，Broadcast Encryption，Advances in Cryptology-CRYPTO’93

Proceedings，Lecture Notes in Computer Science，Vol.773，1994，pp.480-491.NIST.FIPS-197：Advanced Encryption Standard.

http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf

S.Frankel.AES-XCBC-MAC-96Algorithm And Its Use With IPSec.

http://www.ietf.org/rfc/rfc3566.txt

NIST.FIPS-81：DES Mode Of Operation.

http://www.itl.nist.gov/fipspubs/fip81.htm

H.Krawzyk.RFC2104-Keyed-Hashing for Message Authentication.

http://www.faqs.org/rfcs/rfc2104.html

NIST.FIPS 180-1：Secure Hash Standard.

发明内容

本发明的一个方面是为授权用户的接收器集合提供一种组密钥生成方法。该方法为具有少于k个成员的每个可能的接收器子集X提供组件密钥(component key)，其中k是预设常数。内射排序函数按照特定的顺序放置该子集X。对于授权接收器的子集来说，确定不包含特许子集成员的子集X。识别与每个这样的子集X相关联的组件密钥。伪随机函数按照所述内射排序函数所定义的顺序，将与从大小小于k的特许集合分离开的子集相关联的组件密钥作为输入，并输出组密钥。

本发明的另一个方面就是提供一种具有执行组密钥生成的防篡改(tamperresistant)环境的接收器。在防篡改环境中存储了多个组件密钥和一个设备ID。对于每个设备，至少有一个存储的组件密钥对应于该设备并非其成员的每个可能子集X，其中子集X描述的是具备少于k个成员的每个接收器集合。在接收到特许组定义后，接收器的防篡改硬件确定接收器是否是特许组的成员。如果是，则在防篡改环境中的逻辑确定大小小于k的不包含特许组的成员的子集X，这些组的顺序由内射排序函数来确定。与排序组相关联的组件密钥按照排序函数指示的顺序被作为参数应用于伪随机函数。该伪随机函数的输出就是特许组密钥。

附图说明

图1是一个所公开系统和方法的情况中示例性内容分配系统。

图2是示例性接收器的密钥导出系统。

图3是一个基于AES-XCBC-MAC的示例性mix()函数。

图4是一个基于HMAC_SHA1的示例性mix()函数。

图5是一个基于HMAC_SHA1的具有可变长度密钥的示例性mix()函数。

具体实施方式

在一个内容传递系统中，如图1所示，一个内容提供者10通过一个传输介质20发送内容到一个或多个接收器15。这种内容传递系统的一个例子是通过空中传送、线缆、数字视频广播(DVB)、卫星或互联网协议网络以及其他多媒体传递系统(包括数字多媒体广播(DMB)和MediaFLO^TM)所发送的电视广播，当然，各种其他类型的内容和传输介质也适用于这种内容传递模型，并且也适用于本发明的情况中。可经由这种模型分配的其他内容类型的例子包括音频、文本、视频游戏或交互式媒体。其他适合的传输介质的例子包括无线电广播、蜂窝、蓝牙、IEEE802.11x，网状网络和有线/光WAN或LAN。

内容提供者经常提供多种服务给其用户。这就使得用户可以定制(tailor)他们所接收到的服务以适合他们自身的需要。在电视服务的情况中，举例来说，用户可以从付费频道、按浏览付费项目和点播节目中进行选择。为了便于这种多样化，内容提供者通常会加密一些或者其所有的内容，并且仅仅允许所授权的接收器解密对应于用户所购买的服务的内容。

与加密系统一致，内容提供者10会采用硬件和软件以加密至少一些所发送的内容，而接收器15将具有硬件和软件以解密内容。接收器的硬件可以包含在多种设备中，例如，电视机机顶盒、移动终端或通用计算机。为保证加密方案的安全性，接收器的硬件和/或软件将包含一个防篡改环境16，其包含参与到加密系统所需的信息和逻辑。防篡改环境16有助于确保试图破坏加密系统的用户不能访问系统的秘密。防篡改环境16可以通过现有技术中已知的任何系统和方法来实现。

然而，加密/解密系统的管理出现了许多困难。一个典型的问题就是用于实践该系统的保密密钥和算法的分布与管理。随着系统接收器的数量或离散加密事件数量的增多，密钥的管理越发棘手(daunting)。

本发明公开的系统和方法提供了内容加密和解密所需要的安全有效的产生和分配密钥方式。公开的系统和方法允许内容提供者和授权接收器的防篡改环境16二者通过共享保密信息和逻辑的集合产生匹配的密钥。并且，公开的系统允许内容提供者和接收器的防篡改环境16二者为授权用户的一个子集产生匹配的组密钥。授权组的定义允许内容提供者限制加密事件的数目，也能限制发送的信息量，因此，增强了系统的安全性。

特别地，公开的系统和方法还提供了在一个广播环境中导出组密钥，在该环境中组密钥不揭示存储在接收器的防篡改环境16中保密的信息。需要防篡改环境16以执行密钥导出方案并存储组件密钥。组件密钥是存储于接收器的防篡改环境16中的安全密钥，其在设备被分布至用户之前可以已经放置在接收器中。优选地，每个防篡改环境仅仅存储为该接收器是其成员的授权集合生成组密钥所需的密钥。防篡改环境不需要存储用于为接收器不是其成员的组生成组密钥的密钥。

例如，如图2所示，一个接收器的防篡改环境16，包括密钥导出方案204和安全存储区205，用来存储组件密钥205a。

为产生一个特定组密钥206，防篡改环境16将组定义210以及可选的盐分参数(salt)220作为输入，其中该盐分参数220例如是针对特定组定义的专用全局常数、日期时间或一些其它独立于组件密钥的参数。为确保加密系统保持完整性，如果用户是组的一个成员，则接收器的防篡改环境16将仅输出组密钥。这就需要在安全存储区中存储设备ID，以便接收器可以识别其是否是组定义210中给出的组的成员。有利地，即使一些导出的组密钥暴露给了试图破坏加密系统的用户，在防篡改环境16中的长期秘密内容仍能保证安全。进一步地，通过频繁地改变盐分参数，组密钥暴露的风险就会将低。此外，不是授权组成员的接收器将不能利用公开的方法来计算组密钥，因为它不具备必需的参数。因而，系统的保护，并不单单依赖于防篡改环境确定其是否为授权组的成员。

为了讨论的目的，假定集合U就是所有用户的集合。当然，在一个完整系统的执行过程中，内容提供者可能要操控多个独立域U。设n＝|U|为这个集合的大小。内容提供者选择一个值k来限定系统的抵抗能力，其中k＜n。这个抵抗能力限定了突破防篡改环境而且串通来破坏加密方案的最小用户数目。k的选择是一个设计决定。大的k值会导致较大数量的密钥，但同时使得加密系统更难于被破坏。相反地，采用一个小的k值会导致系统不太稳固，但需要相对较少数量的密钥。举例来说，如果k设定为2，只要防篡改环境保持安全，则系统就将是安全的，但是如果两个用户获得防篡改环境中的秘密，他们可以串通并突破该系统。

第一内射排序函数f可以将集合U中的成员转换到集合Z，也就是，f：U→Z，这样U中的成员就被排序为Z。并且，对于U中的两个成员a，b，a＜b，当且仅当f(a)＜f(b)。另一个内射排序函数g(X)被定义用来排序U的子集。这样函数的一个例子就是

g (X) = \underset{u &Element; X}{Σ} 2^{f (u)} .

然而任何其他的能为U的子集提供内射排序的函数都能使用，并能从现有技术容易地设计出来。密钥被分配给集合U中的每个可能的组X，其中|X|＜k。一个密钥K_i被分配，其中的i＝g(X)。在一个可选的设计中，所有相关于密钥的公开创建密钥的一部分，而密钥的剩下的部分要采用另一个流程来创建。

对于每个设备来说，防篡改环境仅仅保存密钥K_i，该密钥K_i对应于大小小于k并且该设备并非其中成员的U的子集。这(和下面描述的密钥导出一起)意味着少于k个U中的成员不能够计算他们不属于的组的组密钥。

授权用户的组被定义为Y，这是包含着授权接收器的U的子集。Y用作内容提供者发送的组定义210。可选地，不在Y中的用户的集合也能作为组定义。对于一个授权组Y来说，组密钥206通过采用一个伪随机函数(在本公开的上下文中称为mix())来生成，该伪随机函数可以采用任意次数的任意长度输入。对于一个给定的组Y，用于mix()的参数可以从每个子集X导出，其中|X|＜k，子集X中不包括Y的成员，也就是，U-Y。每个这样的子集是X的一个成员，因此，每个子集具有存储于每个接收器的关联密钥K_i。对于来自U-Y的每个X的密钥K_i用作mix()的参数，并且，它们按照g(X)所定义的顺序来使用。除了排序的密钥K_i之外，可选地，上述的盐分参数也可以随组定义一起来发送，并作为参数添加到mix()。

如上所述，盐分参数可以作为除组定义之外的单独参数来传送。该盐分参数要求是某种特定形式(例如，长度恰好为m位或者长度至多为m位)。因此，如果盐分参数不满足为它设定的标准，那么组密钥导出就会失败，由此，提供了额外的安全性。

下面讨论三种示例性的mix()函数实施方式，其中两个基于HMAC_SHA1，另一个基于AES_XCBC_MAC。对于所提供的公开，二元算子‖被用来描述级联(concatenation)。当然，更多的其他合适的mix()函数的实施方式和例子可以容易地得出并不脱离本发明的实质。

基于AES_XCBC_MAC的MIX()函数的例子

这部分表述了一个基于：上面引用的S.Frankel的文献中所描述的AES_XCBC_MAC的mix()函数，上面引用的NIST.FIPS-81：DES Mode OfOperation中所描述的反向模式(counter mode)和密码反馈模式。通过利用NIST.FIPS-81中所描述的CBC模式下的AES来创建一个消息认证码(MAC)而使用AES_XCBC_MAC。

基于AES_XCBC_MAC，选取参数(k，x，j)，以定义伪随机函数，该函数根据需要输出共计j个AES块。函数的输入是一个AES密钥、AES块的比特串x。这些块表示为x_1，x_2。

AES_k(x)用来表示通过AES并利用密钥k对单个无格式文本块x进行的加密。

AES_CBC_MAC_k(x)用来表示通过AES并利用密钥k对无格式文本块x进行的CBC-模式MAC计算。输入假定为一个适当的长度(即，AES块大小的倍数)。

所述伪随机函数如下计算：

1.令k1＝AES_k(P1)；

2.令k2＝AES_k(P2)；

3.C_1＝AES_k1(AES_CBC_MAC_k1(x)XOR k2 XOR 0x01)；

4.对于cnt＝2至j

C_cnt＝AES_k1(AES_CBC_MAC_k1(x‖C_{cnt-1})XOR k2 XOR cnt).

所述伪随机函数总是创建共计j个AES数据块。mix(salt，k_1，…，k_m)函数现在被定义为：

1.T_1＝伪随机函数(k_1，SALT，j)

2.对于cnt＝2至m

3.T_cnt＝伪随机函数(k_cnt，T_{cnt-1}，j)

常量P1和P2也被随意定义，只要P1！＝P2。举例，可以采用值

P1＝0x01010101010101010101010101010101以及

P2＝0x02020202020202020202020202020202

该mix()函数产生的比特串T_m(其中m是输入的密钥的数目)就是针对授权组的密钥。

图3示例了基于AES-XCBC-MAC的示例性混合(mix)函数的实施方式，此时i＝1，cnt＞1，salt是一个AES块确切的长度。K_i301应用于AES块302、303和304。随意定义常量305 P1从而满足P1！＝P2，常量305 P1随同输入密钥301一起应用于AES块302。AES块302的输出随同盐分参数309一起应用于AES块307。T_i，{j-1}310和AES块307的输出的异或(XOR)311随同AES块302的输出一起应用于AES块308。密钥301和常量P2 306应用于AES块303。上述定义的j312，和AES块303的输出的异或313随同AES块308的输出一起应用至异或(XOR)314。异或314的输出和密钥301应用于AES块304以输出T_i，j315。该过程产生了块T_i，j。如果仅仅一个密钥是特许集合的一个成员且j＝2，那么这个块将是输出组密钥的第二个块。

基于HMAC_SHA1的MIX()函数的例子

基于HMAC_SHA1的mix()函数比上面所述的实施方式要简单些。伪随机函数采用参数(k，x，j)，并输出j个SHA1块，如NIST.FIPS 180-1：SecureHash Standard.中所描述的，其中数据块(160位)由密钥k和位比特串x给出。我们通过HMAC_SHA1(k，x)来表示采用密钥k和输入比特串x所计算的HMAC_SHA1。所述伪随机函数如下：

1.C_1＝HMAC_SHA1(k，x‖0x01)

2.对于cnt＝2至j

C_cnt＝HMAC_SHA1(k，x‖C_{cnt-1})‖cnt)

所述伪随机函数总是共计创建j个SHA1数据块(160位)。所述mix(salt，k_1…，k_m)函数现在被定义为：

1.T_1＝prf(k_1，salt，j)

2.对于cnt＝2至m

T_cnt＝prf(k_cnt，T_{cnt-1}，j)

该mix()过程产生的比特串T_m(其中m是输入的密钥的数目)就是针对特许组的密钥。

图4示例了基于HMAC_SHA1的混合(mix)函数。C_i，0被视为一个空字符串。Ipad405和K_i403的迭代的异或404随同盐分参数与连续j个C_i，{j-1}的级联401一起应用于安全Hash算法1(SHA1)402。Opad 405和K_i403的迭代的异或407随同SHA1 402的输出一起应用于SHA1 408以产生C_i，j409。这个过程产生一个SHA1输出块。在所有要求的块上对每个i值从1到j进行迭代，从而产生块序列C_m，j(其中m是输入密钥的数目)，其经过级联就产生组密钥。

基于带有可变长度密钥的HMAC_SHA1的MIX()函数的例子

在HMAC_SHA1中采用可变长度密钥就会明显简化并加快mix()函数。该mix(salt，k_1，...，k_n)函数从而如下计算：

1.T_1＝HMAC_SHA1(K_1‖…‖K_n，salt‖0x01)

2.对于cnt＝2至j

T_cnt＝HMAC_SHA1(K_1‖…‖K_n，salt‖T_{cnt-1}‖cnt)

在这个函数中，所有的密钥按照内射排序函数设定的顺序级联在一起。密码反馈和反向模式也可通过盐分参数由HMC_SHA1结合并计算。

图5示例了基于可变长度密钥HMAC_SHA1的混合函数。T_0被认为是一个空字符串。Ipad 505和K_1‖…‖K_n503的异或504随同盐分函数与连续j个T_{j-1}的级联501一起应用于安全Hash算法1(SHA1)502。Opad 505和K_1‖…‖K_n503级联的异或507随同SHA1 502的输出一起应用于SHA1 508以产生T_j509。对于所公开的函数，是在j＞1(如果j＝1那么之前的块将被省略)的情况。如在H.Krawzyk.RFC 2104-Keyed-Hashing for MessageAuthentiction中所定义的，Ipad和Opad仍然是等于密钥级联长度的常量。

本发明的许多特征和优势方面都可从详细的说明书明显得到，因此，所附权利要求书覆盖本发明落入本发明的实质和范围内的所有特征和优势方面。

进一步地，由于本领域技术人员容易进行多种修改或变形，因此本发明请求保护的范围并不限定在这里所描述和公开的确切的指令或者操作。因此，所有可采取的适当的修改和同等意义的变换也都落入权利要求书的范围。

Claims

1.一种组密钥生成方法，该方法包括：

对于接收器集合，为具有少于k个成员的每个可能的接收器子集X提供组件密钥，其中k是预设的常量；

定义对所述子集X进行排序的迭代排序函数；

对于特许接收器的子集，确定不包含所述特许子集的成员的子集X，并识别与每个这样的子集X相关联的组件密钥；

定义伪随机函数，其采用任意数目的组件密钥作为输入，并输出组密钥；和

使用与大小小于k且不包含所述特许子集成员的子集X相关联的组件密钥作为所述伪随机函数的输入，其中所述组件密钥按照所述迭划非序函数所定义的顺序应用于所述伪随机函数，并且所述伪随机函数的输出是特许接收器的专用组密钥。

2.如权利要求1所述的方法，进一步包括：

附加的迭代排序函数，用于向每个子集X分配组件密钥。

3.如权利要求1所述的方法，其中，该方法由所述接收器执行；并且其中，仅当接收器是所述特许子集的成员，所述接收器才执行该方法。

4.如权利要求1所述的方法，其中，所述伪随机函数基于AES_XCBC_MAC。

5.如权利要求1所述的方法，其中，所述伪随机函数基于HMAC_SHA1。

6.如权利要求1所述的方法，其中，所述伪随机函数采用附加的盐分参数。

7.一种接收器，包括：

防篡改环境，包括存储区和逻辑；

存储于所述防篡改环境中的多个组件密钥和设备ID，其中至少有一个组件密钥对应于所述接收器并非其成员的每个可能子集X，其中所述子集X描述具备少于k个成员的每个接收器集合；

其中，一旦接收到特许组定义，所述防篡改环境中的逻辑就确定不包含所述特许组成员的子集X，每个这样的组按照内射排序函数确定的顺序而排序，与所排序的组相关联的组件密钥用作伪随机函数的参数并按照所述排序函数指定的顺序应用；和

其中，所述伪随机函数的输出是特许组密钥。

8.如权利要求7所述的接收器，其中，所述伪随机函数基于AES_XCBC_MAC。

9.如权利要求7所述的接收器，其中，所述伪随机函数基于HMAC_SHA1。

10.如权利要求7所述的接收器，其中，所述伪随机函数采用附加的盐分参数。

11.一种提供组密钥生成的程序产品，包括：

计算机可读介质；

存储于所述计算机可读介质中的程序代码，其定义对子集X进行排序的内射排序函数，其中子集X是所有接收器的集合的具有少于预定数目成员的子集；

存储于所述计算机可读介质中的程序代码，其在接收到组定义时，确定哪些子集X不包含组定义中的任何成员，并识别与每个这样的子集X相关联的组件密钥；

存储于所述计算机可读介质中的程序代码，其包括伪随机函数，该函数采用任意数目的组件密钥作为输入，并输出组密钥；和

存储于所述计算机可读介质中的程序代码，其使用与不包含组定义中的成员的子集X相关联的组件密钥作为所述伪随机函数的输入，其中所述组件密钥按照所述迭代排序函数给出的顺序应用于所述伪随机函数，并且所述伪随机函数的输出是特许接收器的专用组密钥。