CN104868992A

CN104868992A - 从发送器向接收器安全地提供保密数据

Info

Publication number: CN104868992A
Application number: CN201510240344.4A
Authority: CN
Inventors: P.A.埃森; E.贝内德特; A.E.万弗瑞斯特; A.A.瓦尔思
Original assignee: Irdeto BV
Current assignee: Irdeto BV
Priority date: 2009-03-02
Filing date: 2010-03-02
Publication date: 2015-08-26
Anticipated expiration: 2030-03-02
Also published as: CN104868992B; KR101687215B1; CN101848361B; CN101848361A; EP2227014A2; JP2010206796A; US20100246822A1; EP2227014B1; CN105872597A; EP2227014A3; KR20100099074A; CA2695095C; US9455834B2; US20140362987A1; US8737620B2; CA2695095A1

Abstract

本发明涉及从发送器向接收器安全地提供保密数据。提供了一种用于从发送器向一个或多个接收器安全地提供保密数据的系统和方法。接收器使用一个源于函数层级结构的函数序列，以在一个或多个种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。所述种子由发送器提供给接收器。发送器通过控制所述种子有条件地允许接收器获得保密数据。

Description

从发送器向接收器安全地提供保密数据

本申请是申请日为2010年3月2日，申请号为201010161764.0，发明名称为“从发送器向接收器安全地提供保密数据”的申请的分案申请。

技术领域

本发明涉及一种用于从发送器向一个或多个接收器安全地提供保密数据的系统，用于向一个或多个接收器安全地提供保密数据的发送器，用于从发送器安全地接收保密数据的接收器，用于从发送器向一个或多个接收器安全地提供保密数据的方法，用于从发送器向一个或多个接收器安全地提供保密数据的发送器中的方法和用于从发送器安全地接收保密数据的接收器中的方法。

背景技术

已知有多种加密技术用于从发送器向接收器受保护地提供数据，其中在发送器使用加密密钥对所述教据进行加密，向接收器传送加密的数据，并在接收器使用解密密钥对所述加密的数据进行解密。解密密钥也可以由发送器提供给接收器，在这种情况下所述解密密钥是需要被安全地提供的保密数据。如果发送器控制哪个接收器能够获取保密数据，则有条件地提供所述保密数据。

举例来说，在用于付费电视的有条件访问系统中，通常，在首端(head-end)系统中使用控制字(CW)作为加密密钥，对额外付费内容进行加扰。向有条件访问接收器广播所述加扰内容。为了允许接收器解扰所述加扰内容，在接收器中插入智能卡。智能卡通过所述接收器从首端系统接收被加密的授权管理消息(EMM)，该授权管理消息包括芯片组会话密钥(CSSK)，所述CSSK是在接收器的密钥CSUK下被加密的。智能卡还通过接收器从首端系统接收授权控制消息(ECM)，该授权控制消息包括在CSSK下加密的CW。通常，所述CW的生命期限比所述CSSK的生命期限短。因此，CSSK可以用于解密随着时间过去而在多个ECM中接收到的多个CW。智能卡使用解密后的CSSK对CW进行解密，随后接收器就能够使用该CW对所述加扰内容进行解扰。众所周知，附加的密钥层可以用于解密CW。

由于随着时间过去攻击者开发出侵犯计算环境的新技术，并且需要加入更加精密的反制措施，所以制造成本随着接收器被制造得更安全而增加。

尤其是在付费电视领域，智能卡已经成为向接收器提供信任环境的选择平台。然而，尽管智能卡安全，但是由于需要分发和追踪智能卡导致其在物流方面以及在元件成本方面都很昂贵。另外，就任何其它硬件解决方案而言，一旦部署了智能卡，如果发现了某种缺陷，召回和更换智能卡非常困难且成本高。这意味着，智能卡应用的设计和开发需要非常小心，并需要非常彻底的测试。此外，智能卡没有提供足够的CPU能力来执行广播内容的批量解密。因此智能卡的角色主要局限于将获取的CW转发给更强大的硬件，例如接收器中的解扰器，该解扰器可以是专用的或通用的。不利的是，这种接收器继而在与智能卡通信时必须确保最低限度的机密性，这使得智能卡和接收器之间共享某个唯一的保密信息，例如密钥。

需要一种用于从发送器向接收器安全且有条件地提供保密数据的改进方案。

发明内容

本发明的目的是提供一种用于从发送器向接收器安全地提供诸如控制字或者解密密钥的保密数据的改进方法。

根据本发明的一个方面，提出了一种用于从发送器向一个或多个接收器安全地提供保密数据的系统。所述接收器包括第一存储器，该第一存储器配置用于存储一个源于函数层级结构的函数序列。每个函数被配置为在种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。所述发送器被配置为向接收器提供所述种子。所述接收器被配置为，在种子的控制下使用所述函数序列，将所述保密数据从输入变换空间迁移到最终的输出变换空间。

根据本发明的一个方面，提出了一种用于从发送器向一个或多个接收器安全地提供保密数据的方法。所述接收器包括第一存储器，该第一存储器配置用于存储一个源于函数层级结构的函数序列，其中，每个函数被配置为在种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。该方法包括从发送器向接收器提供一个或多个种子的步骤。该方法还包括在接收器中在种子的控制下使用所述函数序列将所述保密数据从输入变换空间迁移到最终的输出变换空间的步骤。

根据本发明的一个方面，提出了一种用于向一个或多个接收器安全地提供保密数据的发送器。所述发送器用于在具有以上定义的一个或多个特征的系统中使用。所述发送器被配置为定义函数层级结构。每个函数被配置为在种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。所述发送器被配置为向接收器提供所述种子。

根据本发明的一个方面，提出了一种在发送器中的方法，用于从发送器向一个或多个接收器安全地提供保密数据。该方法包括定义函数层级结构的步骤，其中每个函数被配置为在种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。该方法还包括向所述接收器提供一个或多个种子的步骤。

根据本发明的一个方面，提出了一种用于从发送器安全地接收保密数据的接收器。所述接收器用于在具有以上定义的一个或多个特征的系统中使用。所述接收器包括第一存储器，该第一存储器配置用于存储一个源于函数层级结构的函数序列。每个函数被配置为在种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。所述接收器被配置为从所述发送器接收一个或多个种子。所述接收器被配置为在所述种子的控制下使用所述函数序列，将所述保密数据从输入变换空间迁移到最终的输出变换空间。

根据本发明的一个方面，提出了一种在接收器中的方法，用于从发送器安全地接收保密数据。所述接收器包括第一存储器，该第一存储器配置用于存储一个源于函数层级结构的函数序列，其中，每个函数被配置为在种子的控制下使用数学变换，将所述保密数据从输入变换空间迁移到输出变换空间。该方法包括从发送器接收一个或多个种子的步骤。该方法还包括在所述种子的控制下使用所述函数序列，将所述保密数据从输入变换空间迁移到最终的输出变换空间的步骤。

这样，所述保密数据能够有利地从发送器有条件地提供给接收器，而在接收器处不需要例如智能卡的特定硬件。

变换是一种特定的数据编码，该编码被选择为无损并且不容易逆转回原始表示。已知通常基于某些代数学的性质的几类编码。变换空间是由特定变换定义的域，该特定变换包括针对所有可能的明文数据的编码，其中通过对编码数据的映射的、等价运算来执行对明文数据的运算。

“在种子的控制下”是指，在允许接收器接收保密数据的情况下，所述种子包括如下特定数据：诸如与保密数据的输入变换空间相匹配从而使函数执行的数学变换得出有意义的保密数据的输出变换空间的一个函数、一个值或者一组值。换句话说，在对应种子的控制下，变换后的输出变换空间可以用作由后续函数执行的后续变换中的输入变换空间，从而在随后被迁移到明文变换空间时能够获取所述保密数据。在不允许接收器接收所述保密数据的情况下，所述发送器可以不发送种子从而导致该函数不能执行变换，或者发送不正确的种子从而导致该函数执行数学变换得到没有意义的输出。在后一情况中，不能通过迁移到明文变换空间来获取所述保密数据。

通常，函数是存储在存储器中的软件代码部分或者软件模块。处理器执行函数序列中的函数，以将所述保密数据从输入变换空间迁移到最终的输出变换空间。

权利要求2和11的实施例有利地使发送器能够禁止一组接收器获取保密数据。

权利要求3和12的实施例有利地使发送器能够禁止特定接收器获取保密数据。

权利要求4和13的实施例有利地使保密数据仅能被特定接收器即具有正确个性化种子的接收器获取，所述个性化种子通常对于接收器是唯一的。

权利要求5和14的实施例有利地实现针对函数的逆向工程和/或逆向执行的保护，从而不需要保护函数之间的接口。

权利要求6和15的实施例有利地提供了针对函数的逆向工程的附加保护。

在下文中，将进一步详细地描述本发明的实施例。然而，应当理解，这些实施例不应当解释为对本发明保护范围的限制。

附图说明

将参考附图中所示的示例性实施例，更详细地对本发明的各个方面进行解释，在附图中：

图1示出了执行现有技术的数学变换的函数；

图2示出了本发明的示例性实施例的在种子的控制下执行数学变换的函数；

图3示出了本发明的示例性实施例的函数序列；

图4示出了本发明的示例性实施例的函数序列；

图5示出了本发明的示例性实施例的变换层级结构；

图6示出了本发明的示例性实施例的变换层级结构；

图7示出了本发明的示例性实施例的有条件访问接收器；

图8示出了本发明的示例性实施例的系统中的方法的步骤；

图9示出了本发明的示例性实施例的发送器中的方法的步骤；

图10示出了本发明的示例性实施例的接收器中的方法的步骤；

图11示出了示出了一般地阐明变换函数和加密的图。

具体实施方式

图1所示的函数F是将数据Z在两个不同变换空间上迁移的数学运算，所述两个不同的变换空间例如是加密空间，标识为IN和OUT。输出变换空间OUT的维数至少与输入变换空间IN的维数一样大，任何数据Z在输入和输出变换空间中分别(可能不唯一地)表达为X和Y。定义变换空间IN和OUT，使得数据Z和它在任一变换空间中的表示之间没有明显的映射，即，仅仅知道X和Y，难以或甚至不可能获取对应的Z。设计函数F使得难以在反方向上运行。由于输入和输出变换空间之间不存在明显的映射，并且优选地变换空间IN和OUT的维数很大，所以防止了函数F的重建。另外，实现函数F使得在数据Z通过所述函数时，例如使用已知白盒技术和/或已知代码模糊化技术难以提取数据Z。

参考图1，函数F例如被定义为F(X)＝3＊X+2。如果输入变换空间IN是明文变换空间，则X＝(Z)^IN＝Z。在迁移之后获得如下结果：Y＝(Z)^OUT＝3＊X+2。要将Z从输出变换空间再次迁移到明文变换空间，在接收器中必须能够获得反函数F^-1(Y)＝(Y-2)/3以如下地获取X：F^-1(Y)＝(3＊X+2-2)/3＝X。在本例子中，Z、X和Y是能够使用简单得加减数学运算进行变换的数。应当理解，Z、X和Y可以是任何数据格式的数据，包括二进制值、数字、字符、词等。函数F可以是更复杂的函数，并且适合用于对例如二进制、数字、字符或词的运算。例如，函数F是加密函数。

如图2所示，可以将函数F定义为能以附加参数(也称为“种子(seed)”)S为种子的数学运算。通常，函数F所执行的迁移仅由种子S定义，不将关于输入变换空间IN和输出变换空间OUT的信息嵌入F中。选择函数F，使得对输入数据X或种子S的操作在输出变换空间中产生不可预测的结果数据Y。因为种子S被设计成使得无法提取关于变换空间IN或OUT的信息，所以种子S不需要存储在安全环境中。

参考图2，例如函数F被定义为F(X，S)＝X-7+S。如果输入变换空间IN是明文变换空间，则X＝(Z)^IN＝Z。在迁移之后获得如下结果：Y＝(Z)^OUT＝X-7+S＝Z-7+S。如果例如提供的种子S是值为5的数据，则F(X，5)＝X-7+5，Y＝(Z)^OUT＝X-7+5＝Z-2。要将Z从输出变换空间再次迁移到明文变换空间，在接收器中必须能够获得反函数F^-1(Y，S)＝Y+7-S，以使得接收器能够如下地获取Z：F^-1(Y，S)＝(X-7+5)+7-S。如果在接收器中已知种子S＝5，则可以正确地获得Z：F^-1(Y，5)＝(X-7+5)+7-5＝X＝Z。如果输入变换空间IN不是明文变换空间，则通常函数F首先在输入变换空间IN中执行逆变换，接着在输出变换空间OUT中执行变换。这种函数F例如被定义为F(X，S1，S2)＝F₂(F₁ ^-1(X，S1)，S2)，其中F₁ ^-1(X，S1)＝X-2-S1，并且F₂(X，S2)＝X-7+S2。在迁移之后获得如下结果：Y＝(Z)^OUT＝(X-2-S1)-7+S2＝X-9-<S1,S2>，其中X＝(Z)^IN。可以提供种子S1和S2，作为首先执行F₁ ^-1(X，S1)并接着执行F₂(X，S2)的两个单独的种子，或者作为包含复合值<S1,S2>的单个种子，复合值<S1.S2>能够用作F₂(F₁ ^-1(X，S1)，S2)的输入。例如，如果S1＝5且S2＝7，则复合值必须等于<S1,S2>＝5-7＝-2，从而成功地将Z迁移到输出变换空间OUT。在这些例子中，Z、X、Y和S是能够使用简单加减数学运算进行变换的数。应当理解，Z、X、Y和S可以是任何数据格式的数据，包括二进制值、数字、字符、词等。函数F可以是更复杂的函数，并且适合用于对例如二进制值、数字、字符或词的运算。例如，函数F是加密函数。

如图3所示，函数F可以顺次地被重复多次，每次使用不同的种子Si(或Si得复合值)，以允许数据Z在多个变换空间之间迁移。在图3的例子中，首先使用函数F和种子S1将数据Z从输入变换空间IN(即X＝(Z)^IN)迁移到输出变换空间OUT1(未示出)。然后将中间结果(Z)^OUT1(未示出)和种子S2输入到函数F，以将数据Z从变换空间OUT1迁移到变换空间OUT2(未示出)。最后，将中间结果(Z)^OUT2(未示出)和种子S3输入到函数F，以将数据Z从变换空间OUT2迁移到变换空间OUT3，得到Y＝(Z)^OUT3。从IN到OUT3的总变换完全依赖于具有正确顺序的正确值的所有三个种子。如果孤立地使用这些种子，则它们是没有意义的。

为了防止函数F的逆向工程，关于内部阶段变换空间(图3的例子中的OUT1和OUT2)的信息可被部分地嵌入相关函数中，从而基于与针对图3所解释的相同的原理，创建一个不可互换函数Fi的新序列。这在图4中示出。在图4中，函数F1、F2和F3中的每一个及其对应的种子S1、S2和S3，只有在其输入变换空间与序列中前一函数的输出变换空间相匹配的情况下，才能产生有意义的输出。在图4的例子中，与函数F1结合的种子S1将数据Z从输入变换空间IN迁移到输出变换空间OUT1，从而要求随后的与函数F2结合的种子S2能够从一个等于OUT1的输入变换空间迁移数据Z。类似于与函数F1结合的S1，与F2结合的S2、与F3结合的S3能够分别将数据Z从变换空间OUT1迁移到变换空间OUT2，并从变换空间OUT2迁移到变换空间OUT3。

优选地，选择种子Si以使数据Y＝(Z)^OUT3只对特定接收器有意义，其中Y由被唯一地个性化的一个硬件处理，从而能够从Y＝(Z)^OUT3获取Z。

如图5所示，可以定义一个变换层级结构(hierarchy)，即具有n个等级的函数F1...Fn的树或层级结构，各个函数具有单独的种子Si。通常，变换层级结构具有至少两个等级的函数(例如图5的函数F1和F2)。理论上，等级的最大数目是不确定的，但是实际上，等级的最大数目受到用于存储变换层级结构或者变换层级结构的相关部分的存储器约束的限制。所述变换层级结构用于将全局变换秘密X＝(Z)^IN变换到多个独立的变换空间中。通常，在发送器中执行第一变换，以将保密数据Z从明文输入变换空间IN迁移到输出变换空间OUT。在图5的例子中，等级的数目是3，导致在变换层级结构中使用三个不同的函数F1、F2和F3。变换层级结构用于有条件地将全局变换秘密X迁移到最终的可能唯一的变换空间OUT1...OUT4，而不以有意义的方式暴露保密数据Z。

参考图2，可以选择函数F使得对于一个给定的种子S*而不是S，只将数据X的特定子集从输入变换空间IN正确地变换到输出变换空间OUT。所述子集的特性由F执行的数学运算来确定，由此变换的结果取决于数据X和种子S*的数据之间的相关性。在此情况下，可能导致输出空间OUT的维数小于输入空间IN。用于有条件地将Z从变换空间IN迁移到变换空间OUT的种子S*可被看做用于无条件地将Z从变换空间IN迁移到变换空间OUT的普通种子S的增强版本。选择函数F使得难以从给定的数据X和种子S＊中推出结果子集，并且难以通过操作X和/或S＊来操作所述子集以包含X的特定数据而不影响在输出变换空间中的结果数据Y。正确的种子S＊关联到输入变换空间IN，使得通过F执行的数学运算生成正确的输出变换空间OUT。这个技术用于执行模糊的有条件变换，该变换可以使用例如白盒技术或代码模糊化来实现。该技术可以应用于任何保密数据Z。

通过在变换层级结构的最低等级(即与Y1...Y4最接近，在图6中这是函数F3的等级)中选择新种子Si*，增强变换函数F的有条件特性允许撤销个体接收器或一组接收器获得变换的控制字Y。图6显示了具有增强变换函数F的变换层级结构的例子。与价(valence)等于2的、传统的密钥层级结构方案不同，可以使底层节点的价远大于2。结果，可以更高效地执行接收器撤销。为了简单起见，在图6的变换层级结构中，阶等于2。

在图6的例子中，为了撤销特定接收器对Y2＝(Z)^OUT2的访问(Y2由在Y1和Y3之间的“X”表示)，提供一个新种子S2B1，使得只有在以种子S31*作为种子的情况下，所得到的F2B的输出空间与F3的输入空间相匹配。这里，特别地选择S31*以与F2输出空间关联。当以种子S32*作为种子时，F2B的输出空间已经变得无用了。为了防止被撤销的接收器阻止任何种子更新，种子S、S2A1和S2A2也可以被更新。

依赖于输入数据X和种子S之间不同的相关性，函数F1...Fn可以各不相同。

本发明有利地使得能够有条件地传递全局变换秘密X，并且使接收器能够以优选的唯一的变换形式Y1...Y4来获得该全局变换秘密X，而不需要向每个接收器单独地传递这些数据。将所述秘密向最终变换空间OUT1...OUT4迁移是在多个步骤中完成的，每个步骤都有它们自己的种子Si或Si*，但是孤立地看，个体的步骤、种子和中间数据是没有意义的。只要变换数据Y1...Y4在特定接收器的上下文以外是没有意义的(例如，为了能够获取Z，它必须与唯一地个性化的安全芯片组的输入变换空间相匹配，由此该安全芯片组很难拷贝)，向其它接收器分配该数据Y1...Y4就是没有意义的，因为其它接收器不能从Y1...Y4获取Z。这提供了针对保密数据Z的分享和克隆的保护，同时使得与白盒密码术或代码模糊化相关的资源要求保持为最小。在接收器中只需要能够解释有条件变换层级结构的输出变换空间OUT1...OUT4并获得Z的最小硬件支持。

通常，种子Si和Si*被作为动态数据提供并且能够按时间进行循环。只需要更新特定的种子Si和Si*，并将其传递到适当的接收器以操纵对保密数据Z的有条件访问。这提供了带宽的好处。

通常，如图6所示的变换层级结构在发送器中定义或者对于发送器是已知的。发送器产生种子S或S*，并将所述种子传送到相关的接收器。因此，根据种子所应用于的将X变换成Y的函数的等级，产生种子以使能或禁止一特定接收器或一组接收器。另外，发送器在种子S1的控制下使用函数F1将保密数据Z从明文输入变换空间IN迁移到输出变换空间OUT。通常，每个接收器被配置为沿着变换层级结构的预定义路径将X变换到Y，然后从Y导出Z。至此，通常，将函数的单个路径存储在接收器的第一存储器中。可以在接收器中存储多个路径从而能够根据接收到的种子沿着不用的路径获取Z，例如允许发送器控制对不同保密数据Z的访问。几个接收器可以实现相同的函数Fi的路径，或者每个接收器实现唯一的函数Fi的路径。参考图6，例如，Y1...Y4是以四个不同接收器为目标的数据。第一个接收器被配置为沿着路径F2A(S2A1)-F2B(S2B1)-F3(S31*)将X变换成Y1，第二个接收器被配置为沿着路径F2A(S2A1)-F2B(S2B1)-F3(S32*)将X变换成Y2，第三个接收器被配置为沿着路径F2A(S2A2)-F2B(S2B2)-F3(S32*)将X变换成Y3，第四个接收器被配置为沿着路径F2A(S2A2)-F2B(S2B2)-F3(S33*)将X变换成Y4。最后，接收器通过在存储在接收器的第二存储器中的个性化种子的控制下，将数据Z从最终的输出变换空间OUT1、OUT2、OUT3或OUT4迁移到明文变换空间，从而获取保密数据Z。存储函数的序列的第一存储器和用于存储个性化种子的第二存储器可以是单个存储器模块的部分或者是分立的存储器模块。在明文变换空间中，数据Z不再被变换，从而可被接收器使用。

变换层级结构中的一个或多个变换函数Fi可以通过从发送器向一个或多个接收器上载新函数F而进行修改或替换，以便阻止对接收器内的变换函数的逆向工程。

通常，在接收器中，本发明至少部分地实现为软件，或者实现为可编程阵列中的现场可编程门阵列(FPGA)程序。所述实现可以位于处理器的不受保护的、部分受保护的或者安全的存储器中。处理器执行存储在存储器中的函数，以将保密数据Z从输入变换空间IN迁移到输出变换空间OUT。在接收器中需要最小硬件支持。在发送器和接收器之间需要有限的带宽，并且不需要从接收器到发送器的反回路径。保密数据Z不能被提取或拦截，因此不能被非法地分发到其它接收器。

如上所述，本发明可以用于从任何种类的数据发送器向任何种类的数据接收器提供任何种类的保密数据Z。本发明的一个示例应用是：在广播网络中从首端系统向有条件访问接收器有条件地提供密钥或控制字。广播网络中的付费电视应用依赖于对内容数据流的加密。有条件访问接收器在解码之前需要相关的控制字用以对所述流进行解密。

图7示出了在有条件访问接收器中实现的变换层级结构的路径示例。所述接收器接收授权控制消息ECM中的作为全局变换控制字CWD^T _P的控制字CW。接收器分三个步骤将CWD从输入变换空间P迁移到接收器的最终的输出变换空间CSSK。最后一个迁移步骤产生变换控制字{CW}CSSK，该{CW}CSSK是对于接收器唯一的集群(cluster)共享保密密钥CSSK的输出变换空间中的控制字CW。图7的有条件访问接收器包括普通计算环境和安全计算环境。

普通计算环境包括ECM传递路径，用于接收来自首端系统的ECM。普通计算环境还包括授权管理消息(EMM)传递路径，用于接收来自首端系统的EMM。所述EMM包括将所述CW沿着变换层级结构的路径在变换空间中进行迁移所需的种子。将在EMM中接收到的种子存储到普通计算环境中的NVRAM存储器中。第一种子等于复合值<P,G1>。第二种子等于复合值<G1,U1>。第三种子等于复合值<CSSK,U1>。

安全计算环境包括函数的序列。第一函数R_PA_G1使用复合值<P,G1>作为种子输入，将CWD^T _P从输入变换空间P变换到输出变换空间G1。随后，第二函数R_G1A_U1使用复合值<G1,U1>，将CWD^T _G1(即变换空间G1中的CW)从输入变换空间G1变换到输出变换空间U1。随后，第三函数(在本例子中是TDES白盒加密函数)将CWD^T _U1(即变换空间U1中的CW)从输入变换空间U1变换到输出变换空间CSSK。所得到的{CW}CSSK是在CSSK密钥下加密的CW，{CW}CSSK能够由有条件访问接收器使用CSSK进行解密，该CSSK预先存储在安全存储器中或者可由接收器安全地推导出。

图8显示了可由如上所述的系统执行的用于从发送器向一个或多个接收器安全地提供保密数据Z的方法的步骤。可选步骤用虚线表示。在可选步骤5中，从发送器向接收器发送新函数F。在可选步骤6中，新函数F替换接收器的存储器中的一个或多个函数。在步骤1中，从发送器向接收器提供一个或多个种子S和/或S*。在步骤2中，接收器在所提供的种子的控制下使用函数的序列，将保密数据Z从输入变换空间(例如输入变换空间IN)迁移到最终的输出变换空间，例如输出变换空间OUT1、OUT2、OUT3或OUT4。在可选步骤3中，从接收器的第二存储器读取个性化种子。在可选步骤4中，接收器通过在个性化种子的控制下，将所述保密数据从最终的输出变换空间迁移到明文变换空间，从而获取保密数据Z。

图9显示了可由如上所述的发送器执行的用于从发送器向一个或多个接收器安全地提供保密数据Z的方法的步骤。在步骤10中，发送器定义函数层级结构，其中每个函数F被配置为在种子S或S*的控制下使用数学变换，将保密数据Z从输入变换空间(例如输入变换空间IN)迁移到输出变换空间(例如输出变换空间OUT)。在步骤11中，向接收器提供一个或多个种子S和/或S*。

图10显示了可由如上所述的接收器执行的用于从发送器向一个或多个接收器安全地提供保密数据Z的方法的步骤。在步骤20中，从发送器接收一个或多个种子S和/或S*。在步骤21中，在种子S和/或S*的控制下，使用函数的序列将保密数据Z从输入变换空间(例如输入变换空间IN)迁移到最终的输出变换空间，例如输出变换空间OUT1、OUT2、OUT3或OUT4。

参考图11，一般性地阐述变换函数和加密的概念。

假定在未变换的数据空间中存在具有多个数据元素的输入域ID。定义使用某密钥的加密函数E，其被配置为接受输入域ID中的数据元素作为输入，以在输出域OD中传递相应的加密数据元素。通过应用解密函数D，通过将解密函数D应用于输出域OD中的数据元素，可以获取输入域ID中的原始数据元素。

在非安全环境中，假定对手能够控制输入和输出数据元素以及加密函数E的实现的运算，以发现嵌入在所述实现中的机密信息(例如密钥)。

在这种非安全环境中，通过将变换函数应用于输入域ID和输出域OD，即，变换函数是输入和输出操作，可以获取附加的安全性。变换函数T1将数据元素从输入域ID映射到变换后的数据空间的变换后的输入域ID′中的变换数据元素。类似地，变换函数T2将数据元素从输出域OD映射到变换后的输出域OD′。此时可以使用变换后的密钥在ID′和OD′之间对变换后的加密和解密函数E′和D′进行定义。T1和T2是双射函数。

与加密技术一起使用变换函数T1、T2意味着，不是将输入域ID中的数据元素输入到加密函数E以获取输出域OD中的加密数据元素，而是通过应用变换函数T1，将域ID′中的变换数据元素输入到变换后的加密函数E′。在加密运算中，变换后的加密函数E′结合逆变换函数T1^-1和/或T2^-1以保护机密信息，例如密钥。然后获得域OD′中的变换后的加密数据元素。通过在安全部分中执行T1和/或T2，使得不论在分析变换后的数据空间中的输入数据和输出数据时，还是在分析E′和/或D′的白盒实现时，都无法取得用于加密函数E或解密函数D的密钥。

变换函数T1和T2中的一个应当为非平凡函数。如果T1是平凡函数，则输入域ID和ID′是同一个域。如果T2是平凡函数，则输出域是同一个域。

Claims

1. 一种用于向多个接收器提供保密数据（Z）的发送器，其中每个接收器被布置为使用相应的函数序列将所述保密数据从初始输入变换空间迁移到相应的最终输出变换空间，其中对于所述多个接收器中的每个接收器，所述相应的最终输出变换空间不同于所述多个接收器中的每个其他接收器的相应的最终输出变换空间，其中所述发送器被布置为：

将所述初始输入变换空间中的保密数据提供给所述多个接收器；以及

对于所述多个接收器中的每个接收器，将相应的种子序列提供给所述接收器，其中所述相应的种子序列中的每个种子用于将相应的函数序列中的对应函数作为种子，其中所述作为种子的函数被布置为将所述保密数据从相应的输入变换空间迁移到相应的输出变换空间，其中所述相应的种子序列被选择以便使所述接收器能够在所述相应的种子序列的控制下使用所述相应的函数序列将所述保密数据（Z）从初始输入变换空间（IN）迁移到相应的最终输出变换空间（OUT1，OUT2，OUT3，OUT4）。

2. 根据权利要求1所述的发送器，其中，所述函数序列中的每个函数由唯一的种子（S，S*）控制。

3. 根据权利要求2所述的发送器，其中，所述函数序列：

（a）对所述接收器是唯一的；或

（b）对于所述多个接收器中的每个接收器是相同的。

4. 根据权利要求1至3中任一项所述的发送器，其中，所述多个接收器中的每个接收器被配置为通过在对所述接收器特定的相应种子的控制下将所述保密数据（Z）从相应的最终输出变换空间（OUT1，OUT2，OUT3，OUT4）迁移到明文变换空间来获得所述保密数据（Z）。

5. 根据权利要求1至3中任一项所述的发送器，其中，每个函数通过代码模糊化进行保护。

6. 根据权利要求1至3中任一项所述的发送器，其中所述发送器被配置为将新函数传送给所述多个接收器中的一个或多个接收器，并且其中所述接收器被配置为用所述新函数替换所述相应的函数序列中的一个或多个函数。

7. 一种用于将保密数据（Z）安全地提供给多个接收器的系统，所述系统包括：

根据权利要求1至6中的任一项的发送器，以及

所述多个接收器，其中每个接收器被布置为使用相应的函数序列将所述保密数据从初始输入变换空间迁移到相应的最终输出变换空间，其中对于所述多个接收器中的每个接收器，所述相应的最终输出变换空间不同于所述多个接收器中的每个其他接收器的相应的最终输出变换空间。

8. 一种供在根据权利要求7的系统中使用的接收器。

9. 一种将保密数据（Z）提供给多个接收器的方法，其中每个接收器被布置为使用相应的函数序列将所述保密数据从初始输入变换空间迁移到相应的最终输出变换空间，其中对于所述多个接收器中的每个接收器，所述相应的最终输出变换空间不同于所述多个接收器中的每个其他接收器的相应的最终输出变换空间，其中所述方法包括如下步骤：

将初始输入变换空间中的保密数据提供给所述多个接收器；以及

10. 根据权利要求9所述的方法，其中，所述函数序列中的每个函数由唯一的种子（S，S*）控制。

11. 根据权利要求10所述的方法，其中，所述函数序列：

（a）对所述接收器是唯一的；或

（b）对于所述多个接收器中的每个接收器是相同的。

12. 根据权利要求9至11中任一项所述的方法，还包括以下步骤：对于所述多个接收器中的接收器，所述接收器通过在对所述接收器特定的相应种子的控制下将所述保密数据（Z）从相应的最终输出变换空间（OUT1，OUT2，OUT3，OUT4）迁移到明文变换空间来获得所述保密数据（Z）。

13. 根据权利要求9至11中任一项所述的方法，其中，每个函数通过代码模糊化进行保护。

14. 根据权利要求9至11中任一项所述的方法，还包括以下步骤：将新函数传送给所述多个接收器中的一个或多个接收器，并且对于所述一个或多个接收器中的每个接收器，用所述新函数替换（6）所述相应的函数序列中的一个或多个函数。

15. 一种存储计算机程序的计算机可读介质，所述计算机程序在被处理器执行时，促使所述处理器执行根据权利要求9至14中任一项的方法。