CN1222014A - 在保密广播通信中用于分配加密和解密密钥的方法和系统 - Google Patents

Abstract

一个可信中心产生接收器的接收器秘密密钥,以便与一个合适的有限集合Z的包括两个或更多元素的子集相符合。进一步,可信中心为接收器产生识别信息t_A。发送器通过它自己的发送器秘密密钥产生一个加密－解密密钥K_A。通过保持接收器秘密密钥和识别信息t_A对发送器保密,可信中心与发送器一起产生与有限集合Z的每一个元素有关的数据和发送器秘密密钥,和与接收器秘密密钥相应的子集数据以及与发送器秘密密钥有关的数据,并广播这些数据。接收器x通过接收的数据和它自己的接收器秘密密钥计算加密－解密密钥K_A。

Description

在保密广播通信中用于分配加 密和解密密钥的方法和系统

本发明涉及一种在保密广播通信中分配解密密钥以限定接收器的技术。

常规地，作为保密广播通信技术，已经提出了某些系统。

例如，由S.J.Kent发表在IEEE Trans.Commun.,COM-29,PP.778-786(1981)的文章“用于一种广播方案的保密要求和协议”给出了已知的一种拷贝密钥方法。

该拷贝密钥方法是保密广播通信的基本系统，并且是常规的一对一个体密码通信的简单延伸。换句话说，在该方法中，一种密钥的拷贝分配给一个发送器和多个常规接收器。该发送器通过使用分配的拷贝密钥加密信息并发送加密信息。每一个常规接收器使用分配的拷贝密钥解密加密信息。

进一步，已知一种使用分配给每一个接收器的单个密钥分配公用密钥的技术。例如，在Lee,Tokiwa等的文章“使用多路复用和去复用方法的多地址通信，1986年加密和信息保密讨论会”中，给出了一种使用中国余数理论的信息序列的多路复用一去复用的密钥分配系统。此外，Mambo等发表在IEICE TRNS.FUNDAMENTALS,VOL.E77-A,No.8,1994年8月的文章“一种使用短信息的保密广播通信方法”中，也给出了这样的技术。

使用中国余数理论多路复用一去复用一个信息序列的系统进行下面的过程：(1)密钥产生过程：

对于接收器i(1≤i≤s)，产生相对互为质数的s个整数g₁,g₂,…,g_s(r≤s)，并且事先将g_i作为接收器i的密钥分配给第i个接收器。(2)加密过程：

多路复用的s项的信息序列表示为M₁,M₂,…M_s。发送器计算一个由： $F=\underset{i=1}{\overset{k}{\mathrm{\Σ}}}{A}_i{G}_i{M}_i\mathrm{mod}G$ 发出的多路复用语句F并且广播它。这里，G,G_i和A_i定义如下： $G=\underset{i=1}{\overset{k}{\mathrm{\Π}}}{g}_i$

    G_i=G/g_i

    A_iG_i≡1(mod g_i)并且A_i是满足上面方程的最小整数。(3)解密过程：使用g_i，接收器i通过下面的方程去复用来自F的M_i，

    M_i=Fmod g_i

这里，M_i是分配给接收器i的公用密钥。这样，根据该系统，拷贝密钥能够秘密地仅分配给限定的接收器。

其次，Mambo等发表在IEICE TRNS.FUNDAMENTALS,VOL.E77-A,No.8,1994年8月的文章“一种使用短信息的保密广播通信方法”给出的系统进行下面的过程。(1)密钥产生过程：

一个可信中心产生下面的信息：秘密密钥：

    P=2p+1,Q=2q+1：质数(p,q：质数)

    e_i∈Z,0＜e_i＜L(1≤i≤m)公共密钥：

    g∈Z,0＜g＜L

    N=PQ $\mathrm{Vi}=g^{e_i}\mathrm{mod}N(1\≤i\≤m)$

    对σ∈S，该中心计算s。满足： $s_{\mathrm{\σ}}\underset{i=1}{\overset{k}{\mathrm{\Σ}}}{e}_{\mathrm{\σ}\left(i\right)}\≡1\left(\mathrm{mod}L\right)$ 并分配它作为一个接收器Uσ的秘密密钥。这里，该集合S定义为S={f|一对一映射f:A{1,2,…,k}→B={1,2…,m},m＞k}。(2)密钥分配过程：

发送器随机选择一个整数r，并且，为拥有一个与限定的接收器公用的定义为：

    K=g^rmodN的公用密钥K，，计算z_i满足：

    z_i=v_i ^rmodN  (1≤i≤m)并且广播z_i(1≤i≤m)。

接收器Uσ使用下面方程： $K={\left(\underset{i=1}{\overset{k}{\mathrm{\Π}}}{Z}_{\mathrm{\σ}\left(i\right)}\right)}^{\mathrm{s\σ}}\mathrm{mod}N$ 来计算公用密钥K。

在上述的使用中国余数理论通过多路复用分配密钥的传统方法中，顺序排列和发射用于各自接收器的公用密钥数据。这样，广播数据的长度随接收器的数量成比例地增加。因此，它不适合于对上百万或更多的接收器的通信，如卫星广播。

另一方面，根据上面提到文献，即Mambo等发表在IEICE TRNS.FUNDAMENTALS,VOL.E77-A,No.8,1994年8月的文章“一种使用短信息的保密广播通信方法”中描述的系统，可以缩短用于分配公用密钥的数据。然而，在该系统中，不可能在属于任何接收器组的限定的接收器之间公用密钥。

进一步，在所有的系统中，当有多个发送器时，接收器必须得到用于各自发送器的上面所描述的用户秘密密钥，并管理它们。

因此，本发明的一个目的是提出一个密钥分配系统，其中接收器仅使用一个秘密密钥从多个发送器接收传送的各个公用密钥。另一个目的是在这样的密钥分配系统中，使仅仅在任何发送器和任何接收器组之间共同拥有用于数据解密的公用密钥，以及即使当接收器的数量很大时缩短用于分配公用密钥的广播数据成为可能。

为实现上述目的，本发明提出了一种具有在包括所述多个发送器装置和所述多个接收器装置的通信系统中的多个发送器和多个接收器之间公共使用的保密广播通信的加密-解密密钥的密钥分配方法，其中：

在与所述发送器和所述接收器分开给出的可信中心装置中，产生并分配给规定的接收器第一密钥信息，它是所述多个发送器公用的并且作为在所述发送器和所述接收器之间共同使用的密钥，同时产生并分配给所述的发送器的作为在所述发送器和所述接收器之间共同使用的密钥的第二密钥信息；

在所述发送器装置中，使用从所述可信中心分配的第二密钥信息产生第三密钥信息，所述接收器使用该信息和所述第一密钥信息一起计算在广播通信中由上述发送器使用的加密-解密密钥，并将第三密钥信息发送给具有与所述发送器相同的密钥的所述接收器；并且

在接收器装置中，使用从所述可信中心分配的第一密钥信息和从所述发送器分配的第三密钥信息得到分配所述第三密钥信息的发送器所使用的用于广播通信的加密-解密密钥。

根据所给出的密钥分配方法，每一个接收器仅仅具有从可信中心分配的第一密钥信息作为用户秘密密钥是足够的。当得到一个新发送器的加密-解密密钥时，将不必接收新用户秘密密钥的分配。

详细地，本发明给出了一种密钥分配方法，其中在包括多个发送器装置和多个接收器装置以及一个可信中心装置的通信系统中，用于所述发送器执行的保密广播通信的加密-解密密钥被分配给接收器。包括：

一个步骤，其中，在可信中心装置中，产生，

    e_i∈Z(1≤i≤m)作为可信中心秘密密钥，并产生

    t_A∈Z作为发送器A的发送器登记密钥，并且，作为接收器秘密密钥，产生σ_A∈S_km和

    s_x(σ_x)∈Z(这里，当对于定义为

  S_km={σ｜一对一映射σ:A={1,2,Λ,k)→B={1,2,Λ,m),0＜k＜m}的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\σ}~\mathrm{\σ}\′\⇔\mathrm{\σ}\left(A\right)=\mathrm{\σ}\′\left(A\right)$ 在S_km上“～”成为一个对等关系，导出一个表达式： $\stackrel{\‾}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$ )，并且接收器秘密密钥σ_x,s_x(σ_x)分配给接收器x；

一个步骤，其中，在发送器A装置中，产生发送器秘密密钥g_A,L_A和一个有限交换群G_A满足：

    g_A∈GA $L_A={\mathrm{ord}}_{G_A}\left(g_A\right)$ (这里， ${\mathrm{ord}}_{G_A}\left(g\right)$ 表示满足

    g^α=1(∈G_A)的最小正整数)，并且发送器秘密密钥g_A发送到所述可信中心；

一个步骤，其中，在可信中心装置中，从可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算接收器登记数据， $s_x({\mathrm{\σ}}_x,A)=t_A{s}_x\left({\mathrm{\σ}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\Σ}}}{e}_{{\mathrm{\σ}}_x\left(i\right)}$ 并且接收器登记数据s_x(σ_x,A)发送到发送器A，并且由从发送器A接收的g_A,可信中心秘密密钥e_i，发送器登记密钥t_A计算密钥分配数据： $y_{\mathrm{Ai}}=g_A^{t{A}^{e_i}}(\∈G_A)(1\≤i\≤m)$ 并且该密钥分配数据y_Ai被发送到发送器A；

一个步骤，其中，在发送器A装置中，产生随机数r,r′，通过从所述可信中心接收的接收器登记数据s_x(σ_x,A)，发送器秘密密钥L_A，和随机整数r′计算接收器登记密钥r_x(σ_x,A)满足：

    r_x(σ_x,A)s_x(σ_x,A)≡r′(modL_A)该接收器登记密钥r_x(σ_x,A)发送到接收器x；并且由从所述可信中心接收的密钥分配数据y^r _Ai，和随机整数r计算定义为：

    z_Ai=y^r _Ai(∈G_A)(1≤i≤m)的密钥分配数据并且密钥分配数据z_Ai广播给每一个接收器；和

一个步骤，其中，在接收器x的装置中，通过从发送器接收的接收器登记密钥r_x(σ_x,A)，密钥分配数据z_Ai和接收器秘密密钥σ_x,s_x(σ_x)使用： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\Π}}}{z}_{A{\mathrm{\σ}}_x\left(i\right)}\right)}^{r_x\left({\mathrm{\σ}}_{x,}A\right)s_x\left({\mathrm{\σ}}_x\right)}(\∈G_A)$ 计算一个用于广播通信的加密-解密密钥K_A，同时使用：

    K_A=g^rr′ _A(∈G_A)由发送器A产生该加密-解密密钥K_A。

根据该密钥分配方法，接收器不必具有对于各个发送器不同的专用密钥。进一步，在保密广播通信中，即使当接收器的数目很大时，密钥分配数据的长度也能很短。进一步，在该密钥分配方法中，接收器秘密密钥对发送器是保密的并且由于只有可信中心秘密拥有发送器登记密钥，发送器秘密密钥更加可靠地对接收器保密。因此，改进了不正常情况下的保密性。

图1是根据本发明的一个实施例的密钥分配系统的方框图；

图2是根据本发明的第一实施例的可信中心一侧装置的方框图；

图3是根据本发明的第一实施例的发送器一侧装置的方框图；

图4是根据本发明的第一实施例的接收器一侧装置的方框图；

图5是在本发明的第一实施例中由密钥分配过程产生的信息流的图；

图6是根据本发明的第二实施例的接收器一侧装置的方框图；

图7是根据本发明的第五实施例的可信中心一侧装置的方框图；

图8是根据本发明的第五实施例的发送器一侧装置的方框图；和

图9是根据本发明的第五实施例的接收器一侧装置的方框图。

下面，将描述根据本发明的一个实施例的密钥分配系统。

首先，将描述第一实施例。

图1表示根据本发明的该实施例的密钥分配系统的结构。

如图所示，本发明包括一个可信中心一侧装置100，发送器一侧装置200，和接收器一侧装置300。这些装置通过通信线路400彼此相连。在该系统中可信中心一侧装置100是可信中心组织使用的一个且仅有一个的装置，同时该系统具有多个发送器一侧装置200和多个接收器一侧装置300。

图2表示可信中心一侧装置100的结构。

如图所示，可信中心一侧装置100包括一个随机数发生器101，一个质数发生器102，一个功率倍增器103，一个余数计算单元104，一个运算单元105，一个存储器106，和一个通信单元107。可信中心一侧装置100连接到接收器一侧的便携式装置306，该装置306传送给脱线接收器。

图3表示发送器一侧装置200的结构。

如图所示，发送器一侧装置200包括一个随机数发生器201，一个质数发生器202，一个功率倍增器203，一个余数计算单元204，一个运算单元205，一个存储器206，一个通信单元207，一个加密-解密单元208，一个电文鉴别单元209，和一个会计单元210。

图4表示接收器一侧装置300的结构。

如图所示，接收器一侧装置300包括一个功率倍增器301，一个余数计算单元302，一个运算单元303，一个存储器304，一个通信单元305，一个从可信中心脱线发送的接收器一侧便携式装置306，和一个电文鉴别单元308。

下面，将描述三个过程，也就是准备过程，密钥分配过程，和加密-解密过程。

首先，将描述准备过程。(1)准备过程(ⅰ)一个发送器A使用发送器一侧装置200的随机数发生器201，质数发生器202，功率倍增器203，余数计算单元204和运算单元205，来产生下面的密钥，并且仅仅使公共密钥对公众公开。

秘密密钥：

    P_A,Q_A：质数 $L_A=\mathrm{lcm}({\mathrm{ord}}_{P_A}\left(g_A\right),{\mathrm{ord}}_{Q_A}\left(g_A\right))$

    g_A∈Z,0＜g_A＜N_A

    r,r′∈Z,0＜r,r′＜L_A公共密钥：

    N_A(=P_AQ_A)

秘密密钥存储在存储器206中。进一步，使用通信单元207将秘密密钥g_A,L_A段发送到可信中心。(ⅱ)可靠的可信中心使用可信中心一侧装置100中的运算单元105产生下面的信息。

可信中心密钥：

    e_i∈Z(1≤i≤m)

发送器A的发送器登记密钥：

    t_A∈Z,0＜t_A＜L_A

接收器x的秘密密钥：

    s_x(σ_x)∈Z,0＜t_A＜L_A

所有这些密钥与σ_x一起存储在存储器106中。

这里，对一个集合：

  s_km={σ｜一对一映射σ:A={1,2,Λ,k)→B={1,2,Λ,m),0＜k＜m}当σ,σ＇∈S_km时，它被表示为： $\mathrm{\σ}~\mathrm{\σ}\′\⇔\mathrm{\σ}\left(A\right)=\mathrm{\σ}\′\left(A\right)$ 这里，“～”成为S_km上的一个对等关系，并且 $\stackrel{\‾}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$

进—步，可信中心从存储器106中取出接收器秘密密钥s_x(σ_x)，将它与σ_x一起存储到接收器一侧便携式装置306中，并且将该装置传送到脱线接收器x。当然，它可以通过其它方式传送到接收器。

接着，将描述密钥分配过程。(2)密钥分配过程

图5表示在该密钥分配过程中可信中心，发送器，和接收器之间的信息流。(ⅰ)可信中心使用可信中心—侧装置100的余数计算单元104和运算单元105通过发送器A接收的L_A，可信中心秘密密钥e_i,σ_x，接收器秘密密钥s_x(σ_x)和发送器登记密钥t_A计算定义为： $s_x({\mathrm{\σ}}_x,A)=t_A{s}_x\left({\mathrm{\σ}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\Σ}}}{e}_{{\mathrm{\σ}}_x\left(i\right)}$ 的接收器登记密钥s_x(σ_x,A)，并通过通信单元107将其发送到发送器A。进一步，可信中心使用功率倍增器103，余数计算单元104和运算单元105通过从发送器A接收的g_A，发送器A的发送器公共密钥N_A，和可信中心公共密钥e_i来计算发送器A的发送器密钥分配数据y_Ai： $y_{\mathrm{Ai}}=g_A^{t{A}^{e_i}}\mathrm{mod}{N}_A(1\≤i\≤m)$ 并且通过通信单元107的方法将它发送到发送器A。(ⅱ)发送器A使用在发送器一侧装置200中的随机数发生器201产生随机整数r,r＇，并将它们存储在存储器206内。进一步，发送器A使用功率倍增器203，余数计算单元204和运算单元205通过这些随机整数r,r＇，它自己的密钥g_A和它自己的公共密钥N_A来计算定义为：

    K_A=g^rr＇ _Amod N_A的数据加密密钥K_A并将它存储在存储器206内。然后，，为了使密钥K_A与接收器x在一起，发送器A使用余数计算单元204和运算单元205通过它自己的密钥L_A，随机数r,r′和接收器登记密钥s_x(σ_x,A)来计算接收器x的接收器登记密钥r_x(σ_x,A)，满足：

    r_x(σ_x,A)s_x(σ_x,A)≡r′(mod L_A)并通过通信单元207将它发送到接收器。

进一步，发送器A使用发送器一侧装置200的功率倍增器203，余数计算单元204和运算单元205通过它自己公共密钥N_A，和从可信中心接收的随机数r及y_Ai来计算定义为：

    z_Ai=y′_Aimod N_A(1≤i≤m)的接收器密钥分配数据z_Ai由并通过通信单元207将其广播到接收器。

在上面的过程中，可信中心执行产生r_x(σ_x,A)和z_Ai的过程的一部分，目的是一个，即保持接收器x的σ_x，接收器秘密密钥s_x(σ_x)和发送器登记数t_A对发送器A保密以便防止发送器A的不正常情况。(ⅲ)接收器x使用接收器一侧装置300中的功率倍增器301，余数计算单元302和运算单元303通过从接收器A接收的密钥分配数据z_Ai接收器登记密钥r_x(σ_x,A),σ_x和从可信中心发送的接收器秘密密钥s_x(σ_x)及对公共公开的发送器公共密钥N_A计算表示为： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\Π}}}{z}_{A{\mathrm{\σ}}_x\left(i\right)}\right)}^{r_x({\mathrm{\σ}}_x,A)s_x\left({\mathrm{\σ}}_x\right)}\mathrm{mod}{N}_A$ 的数据加密密钥K_A并将其存储在存储器304内。

通过上面描述的过程，发送器A和接收器x可以共同拥有密钥K_A。简单地说，对其它所有发送器和其它所有接收器也能够共同拥有一个密钥。在这种情况下，每一个发送器广播的接收器密钥分配数据z_Ai对每一个接收器是相同的。

进一步，在上面描述的过程中，接收器x从发送器A接收密钥分配数据z_Ai和接收器登记密钥r_x(σ_x,A)。在发送器A的发送器登记数t_A作用下已经产生这些z_Ai和r_x(σ_x,A)，并且t_A对接收器保密。这样，由于使用了上面描述的发送器登记数t_A，对于接收器x来说通过从发送器A接收的密钥分配数据z_Ai和接收器登记密钥r_x(σ_x,A)及发送器B广播的密钥分配数据z_Bi推导出另一个发送器B的数据加密密钥K_B是非常困难的。

下面，将描述加密-解密过程。(3)加密-解密过程(ⅰ)发送器A利用在密钥分配过程中产生的公用密钥K_A使用在发送器一侧装置200中的加密-解密单元208加密数据P。这时，发送器A使用通信单元207发出一个密码文本C=E(K_A:P)到接收器。(ⅱ)接收器使用接收器一侧装置300中的通信单元305接收公共密钥C，并使用加密-解密单元307利用存储在存储器304内的公用密钥K_A解密公共密钥C，以便得到原始数据。

以上是本发明的第一实施例。

在传统技术中，当一个发送器新进入—个密钥分配系统时，该发送器需要自己产生σ_x和接收器秘密密钥s_x(σ_x)并且将它们发送到脱线接收器。另一方面，根据第一实施例的密钥分配系统，一个新进入系统的发送器产生发送器秘密密钥P_A,Q_A,L_A,g_A和发送器公共密钥N_A就已足够。进一步，一个接收器拥有的接收器秘密密钥对所有发送器是相同的。因此，当一个接收器希望从一个新发送器接收数据时，不需要得到新的接收器秘密密钥。

进一步，接收器登记密钥r_x(σ_x,A)使其有可能与属于任何接收器组的接收器共同拥有用于与它们有关的数据加密和解密的公用密钥。即使当接收器的数量很大时，也不需要相应加长所广播的用于公用密钥分配的密钥分配数据Z_Ai。

在上面的过程中，可以有另外的选择，即发送器事先发送发送器秘密密钥L_A给可信中心，并且在准备过程的步骤中，可信中心产生可信中心秘密密钥ei，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x)满足：

    e_i∈Z,0＜e_i＜L_A,(1≤i≤m)

    t_A∈Z,0＜t_A＜L_A $s_x\left({\mathrm{\&sigma;}}_x\right)\&Element;Z,0<s_{x,{\mathrm{\&sigma;}}_x}<L_A$ 并且，在密钥分配过程的步骤，可信中心由： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}\mathrm{mod}\mathrm{LA}$ 通过发送器秘密密钥L_A，可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x)计算接收器登记密钥s_x(σ_x,A)。

下面，将描述本发明的第二实施例。

在本发明的第二实施例中，上面第一实施例的接收一侧便携式装置300如图6所示具有一个功率倍增器3064，一个余数计算单元3063，一个运算单元3061和一个存储器3062。进一步，在上述第一实施例的接收器一侧装置300中计算数据加密密钥K_A的过程部分地在接收器一侧便携式装置306中进行。

也就是，在第二实施例中，(1)在准备过程步骤，可信中心在接收器一侧便携式装置306(例如IC卡(智能卡))中存储σ_x和接收器秘密密钥s_x(σ_x),并且将它们发送到接收器x。

然后，(2)在密钥分配过程中，接收器x将存储在接收器一侧装置300中的存储器内的密钥分配数据z_Ai输出到接收器一侧便携式装置306。接着，在接收器一侧便携式装置306中，接收器x使用功率倍增器3064和余数计算单元3063通过σ_x，接收器秘密密钥s_x(σ_x)，密钥分配数据z_Ai和发送器公共密钥N_A计算： ${\mathrm{\&xi;}}_x({\mathrm{\&sigma;}}_x,A)={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{{\mathrm{A\&sigma;}}_x\left(i\right)}\right)}^{s_x\left({\mathrm{\&sigma;}}_x\right)}\mathrm{mod}{N}_A$ 并且输出计算结果ξ_x(σ_x,A)到接收器一侧装置300。

接着，接收器x使用接收器一侧装置300中的功率倍增器301，余数计算单元302和运算单元303通过输出到接收器一侧装置300的ξ_x(σ_x,A)，存储在存储器304中的接收器登记密钥r_x(σ_x,A)，和发送器公共密钥N_A由： $K_A={\mathrm{\&xi;}}_x{({\mathrm{\&sigma;}}_x,A)}^{r_x({\mathrm{\&sigma;}}_x,A)}\mathrm{mod}{N}_A$ 计算数据加密密钥K_A，并存储在存储器304内。

因此，可防止σ_x和接收器秘密密钥s_x(σ_x)输出到接收器一侧便携式装置306的外面，从而防止被电子复制或类似方法所偷窃。

上面是本发明的第二实施例。

接着，将描述本发明的第三实施例。

本发明的第三实施例与上面所描述的第一实施例的不同之处是方程：

    K_A=g^rr′ _Amod N_A中的r值在每一个短时间间隔内周期性地改变，并且周期性地广播通过使用改变的r得到的z_Ai用以更新在发送器一侧装置200中和接收器一侧装置300中计算的数据加密-解密密钥K_A。

进一步，在该实施例中，r′的值对发送的数据是特有的以便识别发送器广播的数据。也就是，接收器x从发送器接收的用来解密确定的广播数据或广播数据集合的登记密钥r_x(σ_x,A)对该广播数据是特有的。为了得到另一个广播数据或另一个广播数据集合，接收器x必须接收用于该广播数据或该广播数据集合的另一个r_x(σ_x,A)。

以上是本发明的第三实施例。

接着，将描述本发明的第四实施例。

第四实施例与上面所描述的第一实施例的不同之处是进行接收器鉴别以便对具有与使用密钥K_A加密并由发送器发送的收费数据P公用的公用密钥K_A的接收器进行收费。

也就是，在本发明的第四实施例中，进一步进行下面的过程。(1)准备过程(ⅰ)可信中心使用可信中心一侧装置100中的运算单元105事先为接收器x产生号码UIDx，并且与接收器秘密密钥s_x(σ_x)一起存储在接收器一侧便携式装置306中，并发送该装置。进一步UIDx存储在存储器106内，以便s_x(σ_x)对应。(ⅱ)发送器A使用发送器一侧装置200中的运算单元205产生它自己的号码BIDA，并存储在存储器206内。发送器A使用通信单元207将BIDA发送给可信中心。(ⅲ)可信中心接收BIDA，发送器A的号码，在可信中心一侧装置100中使用通信单元107，并存储在存储器106内以便与发送器登记密钥t_A相对应。(ⅳ)接收器x在接收器一侧装置300中使用鉴别单元308由接收器秘密密钥s_x(σ_x)产生鉴别信息，并发送给发送器A。(ⅴ)发送器A使用发送器一侧装置200中的鉴别单元209确认鉴别信息。

作为鉴别方法，任何传统的已知鉴别方法都可以应用，其中只要接收器不知道s_x(σ_x)鉴别就不起作用。然而，必须防止发送器知道接收器本身的专用密钥s_x(σ_x)。

例如，接收器x的鉴别可以根据采用使用RSA算法的特征标记的方法(在R.L,Rivest,A.Shamir,L.Adelman发表在Commun.of the ACM,Vol.21,No.2,pp.120-126,1978中的文章“一种用于得到数字特征标记和公共密钥秘密系统的方法”中进行了描述)按如下步骤进行。(1)可信中心使用可信中心一侧装置100中的运算单元105为接收器x产生(y_x,n_x)满足：

    s＇_xy_x=1(mod lcm(p_x-1,q_x-1))

    n_x=p_xq_x(p_x,q_x：质数)并且事先将它们发送给发送器。这里，对于已经打开的函数π，s＇_x定义为s＇_x=π(s_x(σ_x))。(2)接收器x使用接收器一侧装置300中的鉴别单元308利用一个单向散列函数h作为公共密钥计算广播数据W的一个散列值(h(w)；0＜h(w)＜n_x)，并使用专用密钥s＇_x通过表达式： ${\mathrm{sgn}}_x\left(h\left(W\right)\right)=h{\left(W\right)}^{{s\&prime;}_x}\mathrm{mod}{n}_x$ 产生h(w)的—个特征标记，并且与数据发送请求一起使用通信单元305发送给发送器。(3)发送器使用发送器一侧装置200中的鉴别单元209确认： ${\mathrm{sgn}}_x\left(h\left(w\right)\right)=h{\left(w\right)}^{\mathrm{yx}}=h\left(w\right)\left({\mathrm{mod}}_{n_x}\right)$ 被满足。

完成确认后，发送器A使用发送器一侧装置200中的通信单元207将它自己的号码BIDA和UIDx，接收器的号码发送给可信中心。

可信中心使用可信中心一侧装置100中的运算单元105通过发送器登记密钥t_A和相应于分别接收的发送器号码BIDA和接收器号码UIDx的接收器秘密密钥s_x(σ_x)计算接收器登记数据s_x(σ_x,A)，表示为： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}\mathrm{mod}\mathrm{LA}$ 并将它发送给发送器A。

发送器使用发送器一侧装置200中的余数计算单元204和运算单元205通过从可信中心接收的接收器登记密钥s_x(σ_x,A)计算满足：

    r_x(σ_x,A)s_x(σ_x,A)≡r＇(mod L_A)的接收器登记密钥r_x(σ_x,A)，并使用通信单元207发送给接收器。这时，在由公用密钥K_A加密的所要发送的数据(即，接收器要求发送器的数据)是可收费的情况下，发送器A通过会计单元210的方法对接收器x收费。

以上是本发明的第四实施例。

接着，将描述本发明的第五实施例。

本发明的第五实施例是对图1所示系统的相关技术描述中的拷贝密钥系统的扩展，它有多个发送器，多个接收器和一个可信中心。

图7所示为根据本发明第五实施例的可信中心一侧装置100的结构。如图所示，可信中心一侧装置100包括一个随机数发生器111，一个运算单元112，一个存储器113，和一个通信单元114。进一步，图8所示为根据本发明第五实施例的发送器一侧装置200的结构。如图所示，发送器一侧装置200包括一个随机数发生器211，一个运算单元212，一个加密-解密单元213，一个存储器214，一个通信单元215。进一步，图9所示为根据本发明第五实施例的接收器一侧装置300的结构，如图所示，接收器一侧装置300包括一个运算单元311，一个加密-解密单元312，一个存储器313，和一个通信单元314。

在该实施例中，首先，下面的过程是准备过程。(1)准备过程(ⅰ)可信中心使用可信中心一侧装置100中的随机数发生器111产生秘密密钥KO并存储在存储器113中。而且，可信中心将其分配给发送器和接收器。(ⅱ)发送器A使用发送器一侧装置200中的随机数发生器211产生发送器登记密钥BIDA，并且使用通信单元215将其发送给接收器。

其后，下面的过程是密钥分配过程。(2)密钥分配过程(ⅰ)发送器A使用发送器一侧装置200中的运算单元212通过秘密密钥KO和发送器登记密钥BIDA由适当的单向函数F计算一个公用密钥KA=F(KO,BIDA)。(ⅱ)接收器使用接收器一侧装置300中的运算单元312通过可信中心分配的秘密密钥KO和从发送器接收的发送器登记密钥BIDA由单向函数F计算一个公用密钥KA′=F(KO,BIDA)。(ⅲ)发送器A使用发送器一侧装置200中的随机数发生器211产生一个适当的整数r并使用通信单元215发送给接收器。进一步，发送器A通过整数r和公用密钥KA由适当的函数F′计算一个数据加密-解密密钥DK=F′(r,KA)，并存储在存储器214内。(ⅳ)接收器使用接收器一侧装置300中的运算单元312通过从发送器A接收的整数r和公用密钥KA计算数据加密-解密密钥DK=F′(r,KA)，并存储在存储器314内。

由密钥分配过程分配数据加密-解密密钥DK后，将进行如下所描述的加密-解密过程。(3)加密-解密过程(ⅰ)发送器A使用发送器一侧装置200中的加密-解密单元213通过数据加密-解密密钥DK解密所要传送的数据P，并使用通信单元215发送到接收器x。(ⅱ)接收器由接收器一侧装置300中的通信单元314接收已加密的发送数据P，并使用加密-解密单元312通过数据加密-解密密钥DK对它进行解密。

此外，在上面所描述的本发明的第五实施例中，对一个接收器来说具有一个单独的秘密密钥足以使其拥有相应的为多个发送器所公用的公用密钥。

接着，将描述本发明的第六实施例。

在本发明的第六实施例中，通过使用接收器的相应密钥的密码通信，发送器和接收器具有一个在它们之间公用的公用密钥。

根据该实施例的整个系统的结构，一个可信中心100，一个发送器一侧装置200，和一个接收器一侧装置300与上面所描述的本发明第五实施例相似。

在该实施例中，下面的过程是准备过程。(1)准备过程(ⅰ)可信中心使用可信中心一侧装置100中的随机数发生器111产生接收器x的秘密密钥s_x，并发送到接收器。进一步，可信中心使用随机数发生器111来产生BIDA，发送器A的号码，并分配给发送器A和接收器x。(ⅱ)发送器A使用发送器一侧装置200中的随机数发生器211产生公用密钥K_A。

下面，进行下面的过程作为密钥分配过程。(2)密钥分配过程(ⅰ)可信中心使用可信中心一侧装置100中的运算单元112计算一个对话密钥K_Ax，它用于接收器x和发送器A之间的对话并使用适当的单向函数F定义为K_Ax=F(s_x,K_A)。可信中心通过发送器A的号码BIDA，和接收器秘密密钥s_x计算K_Ax，并存储在存储器113内。(ⅱ)接收器x使用接收器一侧装置300中的运算单元312通过发送器A的号码BIDA和它自己的秘密密钥s_x由单向函数F计算K_Ax=F(s_x,BIDA)，并存储在存储器313内。(ⅲ)发送器A使用发送器一侧装置200中的加密-解密单元213由对话密钥K_Ax加密公用密钥K_A来得到密钥分配数据K_Cx，并使用通信单元215将密钥分配数据K_Cx发送给接收器。进一步，发送器A使用随机数发生器211产生适当的整数r，并使用通信单元215将它发送给接收器。另外，发送器A使用运算单元212通过整数r和公用密钥K_A由适当的函数F′计算一个数据加密-解密密钥DK=F′(r,K_A)，并存储在存储器214内。(ⅳ)接收器x从发送器A接收密钥分配数据K_Cx，并使用接收器一侧装置300中的加密-解密装置303来通过对话密钥K_Ax解密密钥分配数据K_Cx。接着，接收器x使用运算单元302通过解密的公用密钥K_A和接收的整数r由函数F′计算数据加密-解密密钥DK=F′(r,K_A)，并存储在存储器303内。

当密钥分配过程完成数据加密-解密密钥DK的分配后，将进行下面所描述的加密-解密过程。(3)加密-解密过程(ⅰ)发送器A使用发送器一侧装置200中的加密-解密单元203加密与数据加密-解密密钥DK一起发送的数据P，并使用通信单元205发送给接收器x。(ⅱ)接收器x通过接收器一侧装置300中的通信单元305接收已加密的发送数据P。然后，接收器x使用加密-解密单元303由数据加密-解密密钥DK解密接收的数据P。

发送器A可以周期性地改变公用密钥K_A的值以便周期性地改变数据加密-解密密钥DK的值。

此外根据在上面所描述的本发明的第六实施例，接收器使用一个单独的秘密密钥可以使其拥有相应的为多个发送器所公用的公用密钥。

接着，将描述本发明的第七实施例。

与上面所描述的第六实施例相似，在本发明的第七实施例中，发送器和接收器使用相应接收器的密钥通过密码通信在它们之间共同拥有的一个公用密钥。

根据该实施例的整个系统的结构，一个可信中心一侧装置100，一个发送器一侧装置200，和一个接收器一侧装置300与上面所描述的本发明第五实施例相似。

在该第七实施例中，下面的过程是准备过程。(1)准备过程(ⅰ)可信中心在可信中心一侧装置100中使用随机数发生器111和运算单元112根据适当的公开密钥密码系统E产生接收器x的专用密钥s_x和公共密钥p_x并将s_x发送到接收器。进一步，可信中心使用随机数发生器111来产生发送器A的号码BIDA，并发送给发送器A和接收器x。(ⅱ)发送器A使用发送器一侧装置200中的随机数发生器211产生公用密钥K_A，并存储在存储器114内。

接着，进行下面的过程作为密钥分配过程。(2)密钥分配过程(ⅰ)发送器A使用发送器一侧装置100中的加密-解密单元213通过接收器公共密钥p_x和公用密钥K_A由上面所述适当的公共密钥密码系统E计算一个密钥分配数据K_Cx=E(p_x,K_A)。接着，发送器A使用通信单元215将K_Cx发送到接收器x。(ⅱ)接收器x使用接收器一侧装置300中的加密-解密单元313通过它自己的专用密钥s_x加密从发送器A接收的密钥分配数据K_Cx，并将加密的公用密钥K_A存储在存储器314内。(ⅲ)发送器A使用发送器一侧装置200中的随机数发生器211产生一个适当的整数r，并使用通信单元215将其发送给接收器x。进一步，发送器A使用运算单元212通过整数r和公用密钥K_A由适当的函数F计算一个数据加密-解密密钥DK=F(r,K_A)，并存储在存储器214内。(ⅳ)接收器x使用接收器一侧装置300中的运算单元312通过从发送器接收的公用密钥K_A和整数r由函数F计算数据加密-解密密钥DK=F(r,K_A)，并存储在存储器314内。

当密钥分配过程完成数据加密-解密密钥DK的分配后，将进行下面所描述的加密-解密过程。(3)加密-解密过程(ⅰ)发送器A使用发送器一侧装置200中的加密-解密单元213加密与数据加密-解密密钥DK一起发送的数据P，并使用通信单元213发送给接收器x。(ⅱ)接收器x通过接收器一侧装置300中的通信单元314接收已加密的发送数据P。然后，接收器x使用加密-解密单元312由数据加密-解密密钥DK解密数据P。(ⅲ)发送器A可以周期性地改变公用密钥K_A的值以便改变数据加密-解密密钥DK。

此外根据在上面所描述的本发明的第七实施例，该接收器使用一个单独的秘密密钥可以使其拥有相应的为多个发送器所公用的公用密钥。

接着，将描述本发明的第八实施例。

本发明的第八实施例除了按下面描述的方法修改从发送器发送密钥分配数据K_Cx到接收器之外，与上面所描述的第六和第七实施例是相似的。

也就是，在该第八实施例中，发送器A将所有接收器的集合分为多个子集合。接着，在发送密钥分配数据K_ci(1≤i≤n,n：接收器的号码)给接收器的过程中，发送器为上面所描述的发送器子集合分别分配通信信道，并通过发送器一侧装置200中的通信单元215将密钥分配数据K_ci发送给接收器。

另一方面，任何接收器x都通过分配给它所属的子集合的通信信道使用接收器一侧装置300内的通信单元314接收密钥分配数据K_ci。

上面描述了本发明的实施例。

上面所描述的每一个由可信中心一侧装置100，发送器一侧装置200，和接收器一侧装置300进行的过程都可以由运行描述执行相应过程的程序的计算机进行。在这种情况下，描述执行一个过程的程序可以存储在提供给每一台计算机的存储介质中。

如上面所描述的，根据本发明，一个接收器仅使用一个接收器密钥就可以接收多个发送器的相应公用密钥分配。

进一步，在此公开的一些发明中，在属于任何接收器组的任何发送器和接收器之间拥有公用的用于数据加密和解密的一个公用密钥是可能的。进一步，即使接收器的数量很大，为分配一个公用密钥使用短的广播通信数据来实现公用密钥分配也是可能的。

Claims (25)

1．一种用于在包括所述多个发送器装置和所述多个接收器装置的通信系统中的多个发送器和多个接收器之间共同具有保密广播通信的加密-解密密钥的密钥分配方法，其中：

在与所述发送器和所述接收器分开给出的可信中心装置中，产生并分配给规定的接收器第一密钥信息，它是所述多个发送器公用的并且用于在所述发送器和所述接收器之间共同具有的密钥，同时产生并分配给规定的接收器在所述发送器和所述接收器之间共同使用的密钥的第二密钥信息；

在一个发送器装置中，使用从所述可信中心分配的第二密钥信息产生，所述接收器使用它和所述第一密钥信息一起计算一个在上述广播通信中的发送器使用的加密-解密密钥，并将第三密钥信息发送给具有与所述发送器相同的密钥的所述接收器；和

在一个接收器装置中，使用从所述可信中心分配的第一密钥信息和从所述发送器分配的第三密钥信息得到分配所述第三密钥信息的发送器所使用的用于广播通信的加密-解密密钥。

2．一种用于在包括一个可信中心装置，所述多个发送器装置和所述多个接收器装置的通信系统中的多个发送器和多个接收器之间共同具有保密广播通信的加密-解密密钥的密钥分配方法，包括：

第一步，在可信中心装置中，产生接收器x的接收器秘密密钥s_x以便与有限集合S的子集合S′符合，并分配接收器秘密密钥s_x给所述接收器x，同时产生发送器A的发送器登记密钥t_A。

第二步，在发送器A的装置中，产生发送器A的发送器秘密密钥g_A并通过发送器秘密密钥g_A计算一个加密-解密密钥K_A；

第三步，通过可信中心装置和发送器A装置之间共同工作，至少通过发送器秘密密钥g_A和发送器登记密钥t_A的函数产生密钥分配数据W，同时至少通过接收器专用密钥信息s_x和发送器登记密钥t_A的函数为发送器A产生接收器x的接收器登记密钥r_x；

第四步，在发送器A的装置中，发送接收器登记密钥r_x给接收器x并对每一个接收器广播密钥分配数据W；并且

第五步，在接收器x的装置中，通过从可信中心分配的接收器专用密钥信息s_x和密钥分配数据W和从发送器A接收的接收器登记密钥r_x计算加密-解密密钥K_A，该加密-解密密钥K_A将被用于由发送器A执行的保密广播通信；

其中以加密-解密密钥K_A可以由所述接收器秘密密钥s_x，密钥分配数据W，和接收器登记密钥r_x导出，而其它信息对每一个接收器公开的关系式产生所述接收器秘密密钥s_x，密钥分配数据W，和接收器登记密钥r_x。

3．根据权利要求2的密钥分配方法，其中：

在所述第二步中，在发送器A的装置中，产生用来改变加密-解密密钥的可变信息r_A和r′_A，并且通过作用于秘密密钥g_A上的可变信息r_A和r′_A的函数计算加密-解密密钥K_A，可变信息r_A用于周期性地改变加密-解密密钥，可变信息r′_A用于为每一个广播内容改变加密-解密密钥；和

在所述第三步中：

在可信中心的装置中，通过发送器秘密密钥g_A和发送器登记密钥t_A的函数产生数据W′并发送给发送器A，同时通过接收器x的接收器秘密密钥s_x和发送器登记密钥t_A的函数产生数据r′_x，并发送到发送器A；和

在发送器A的装置中，通过作用在数据W′上的可变信息r_A的函数产生密钥分配数据W，并且通过作用在数据r′_x上的可变信息r′_A的函数为发送器A产生接收器x的接收器登记密钥r_x。

4．一种用于在包括一个可信中心装置，多个所述发送器装置和多个所述接收器装置的通信系统中的多个发送器和多个接收器之间共同具有用于进行保密广播通信的加密-解密密钥的密钥分配方法，包括：

第一步用来将接收器秘密密钥σ_x,s_x(σ_x)分配到接收器x，其中，在可信中心装置中产生，

  e_i∈Z (1≤i≤m)作为可信中心秘密密钥，并产生

  t_A∈Z作为发送器A的发送器登记密钥；产生σ_A∈S_km和

  s_x(σ_x)∈Z(这里，当对于定义为

  S_km={σ|一对一映射σ:A={1,2,Λ,k}→B={1,2,Λ,m},0＜k＜m}的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\&sigma;}~\mathrm{\&sigma;}\&prime;\&DoubleLeftRightArrow;\mathrm{\&sigma;}\left(A\right)=\mathrm{\&sigma;}\&prime;\left(A\right)$ 在S_km上“～”成为一个对等关系，导出下面的表达式： $\stackrel{\&OverBar;}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$ )，第二步，其中，在发送器A装置中，产生发送器秘密密钥g_A,L_A和一个有限交换群G_A满足：

  g_A∈G_A ${L_A=\mathrm{ord}}_{G_A}\left(g_A\right)$ (这里， ${\mathrm{ord}}_{G_A}\left(g_A\right)$ 表示满足

  g^α=l(∈G_A)的最小正整数)，并且发送器秘密密钥g_A发送到所述可信中心：

第三步，其中，在可信中心装置中，从可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算由下面的表达式： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}$ 定义的接收器登记数据，并且接收器登记数据s_x(σ_x,A)被分配到发送器A，并且由从发送器A接收的g_A，可信中心秘密密钥e_i，发送器登记密钥t_A计算密钥分配数据： $y_{\mathrm{Ai}}=g_A^{t{A}^{\mathrm{ei}}}(\&Element;G_A)(1\&le;i\&le;m)$ 并且该密钥分配数据y_A，被发送到发送器A；

第四步，其中，在发送器A装置中，产生随机数r,r＇，通过从所述可信中心接收的接收器登记数据s_x(σ_x,A)，发送器秘密密钥L_A，和随机整数r＇计算的接收器密钥r_x(σ_x,A)满足：

  r_x(σ_x,A)s_x(σ_x,A)≡r＇(modL_A)该接收器登记密钥r_x(σ_x,A)发送到接收器x；并且由从所述可信中心接收的密钥分配数据y^r _Ai，和随机整数r计算的密钥分配数据定义为：

  z_Ai=y^r _Ai(∈G_A)  (1≤i≤m)并且密钥分配数据z_Ai广播到每一个接收器；以及

第五步，其中，在接收器x的装置中，由从发送器接收的接收器登记密钥r_x(σ_x,A)，密钥分配数据z_Ai，和从可信中心接收的接收器秘密密钥σ_x,s_x(σ_x)使用： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{A{\mathrm{\&sigma;}}_x\left(i\right)}\right)}^{r_x({\mathrm{\&sigma;}}_x,A)s_x\left({\mathrm{\&sigma;}}_x\right)}(\&Element;G_A)$ 计算一个加密一解密密钥KA；发送器A由：

  K_A=g^rr＇ _A(∈G_A)计算用于广播通信的加密一解密密钥K_A。

5．一种用于在包括一个可信中心装置，多个所述发送器装置和多个所述接收器装置的通信系统中的多个发送器和多个接收器之间共同具有用于进行保密广播通信的加密一解密密钥的密钥分配方法，包括：

第一步，其中，在可信中心装置中产生

  e_i∈Z (1≤i≤m)作为可信中心秘密密钥；并产生

  t_A∈Z作为发送器A的发送器登记密钥；产生σ_A∈S_km和

  s_x(σ_x)∈Z作为接收器x的接收器秘密密钥；(这里，当对于定义为

  S_km={σ｜一对一映射σ:A={1,2,Λ,k}→B={1,2,Λ,m),(0＜k＜m)的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\&sigma;}~\mathrm{\&sigma;}\&prime;\&DoubleLeftRightArrow;\mathrm{\&sigma;}\left(A\right)=\mathrm{\&sigma;}\&prime;\left(A\right)$ 在S_km上“～”成为一个对等关系，导出下面的表达式： $\stackrel{\&OverBar;}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$ )；并且将接收器秘密密钥σ_x,s_x(σ_x)发送给接收器x；

第二步，其中，在发送器A装置中，产生：

  P_A,Q_A：质数 $L_A=\mathrm{lcm}({\mathrm{ord}}_{P_A}\left(g_A\right),{\mathrm{ord}}_{Q_A}\left(g_A\right))$

  g_A∈Z,0＜g_A＜N_A

  r,r＇∈Z,0＜r,r＇＜L_A作为发送器秘密密钥；产生：

  N_A(=P_AQ_A)作为公共密钥；并且发送器秘密密钥g_A被发送给可信中心；

第四步，其中，在可信中心装置中，从可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算由下面的表达式： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=l}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}$ 定义的接收器登记数据；并且接收器登记数据s_x(σ_x,A)被分配到发送器A；并且由从发送器A接收的g_A，可信中心秘密密钥e_i，和发送器登记密钥t_A计算定义为： $y_{\mathrm{Ai}}=g_A^{t{A}^{\mathrm{ei}}}(\&Element;G_A)(1\&le;i\&le;m)$ 的密钥分配数据；并且该密钥分配数据y_Ai被发送到发送器A；

第五步，其中，在发送器A装置中，产生整数r,r′；通过从所述可信中心接收的接收器登记数据s_x(σ_x,A)，发送器秘密密钥L_A，和整数r′计算的接收器密钥r_x(σ_x,A)满足：

  r_x(σ_x,A)s_x(σ_x,A)≡r′(modL_A)；并且将接收器登记密钥r_x(σ_x,A)发送到接收器x；同时由从所述可信中心接收的密钥分配数据y^r _Ai，和整数r计算的密钥分配数据定义为：

  z_Ai=y^r _Ai(∈G_A)(1≤i≤m)；并且密钥分配数据z_Ai广播到每一个接收器；以及

第六步，其中，在接收器x的装置中，由从发送器接收的接收器登记密钥r_x(σ_x,A)，密钥分配数据z_Ai和从可信中心接收的接收器秘密密钥σ_x,s_x(σ_x)使用： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{{\mathrm{A\&sigma;}}_x\left(i\right)}\right)}^{r_x({\mathrm{\&sigma;}}_x,A)s_x\left({\mathrm{\&sigma;}}_x\right)}(\&Element;G_A)$ 计算一个加密-解密密钥K_A；发送器A使用：K_A=g^rr′ _AmogN_A计算用于广播通信的加密-解密密钥。

6．根据权利要求5的密钥分配方法，进一步包括：

第七步，其中，在所述发送器A的装置中，在可信中心执行产生可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x)的第一步之前产生所述秘密密钥L_A并发送给可信中心；其中：

在所述第一步，在可信中心装置中，通过从发送器接收的发送器秘密密钥L_A产生可信中心信息e_i，发送器标识t_A，和接收器秘密密钥s_x(σ_x)满足：

    e_i∈Z,0＜e_i＜L_A,(1≤i≤m)

    t_A∈Z,0＜t_A＜L_A $s_x\left({\mathrm{\&sigma;}}_x\right)\&Element;Z,0<s_{x,{\mathrm{\&sigma;}}_x}<L_A$ 以及，

在所述第四步，在可信中心装置中，可信中心通过发送器秘密密钥L_A，可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x)计算接收器登记密钥s_x(σ_x,A)以便满足： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}\mathrm{mod}\mathrm{LA}$ 。

7．根据权利要求5的密钥分配方法，进一步包括：

第八步，其中，在发送器A的装置中，改变整数r的值；根据改变的整数r的值重新计算加密-解密密钥K_A的值；同时根据改变的整数r的值重新计算密钥分配数据z_Ai的值并广播到每一个接收器；并且

第九步，其中，在接收器x的装置中，根据再一次广播的密钥分配数据z_Ai重新计算加密-解密密钥K_A。

8．根据权利要求5的密钥分配方法，其中：

在所述第五步，在发送器A的装置中，根据所要加密和广播的信息的每一单位或每一种类产生一个与整数r′的值；并且根据按照信息或信息种类产生的整数r′的值为相应信息或信息种类计算加密-解密密钥K_A；同时根据按照其中允许接收器x进行解密的信息或信息种类产生的整数r′的值计算接收器登记密钥r_x(σ_x,A)，并且所述接收器登记密钥r_x(σ_x,A)被发送给接收器x；和

在所述第六步，在接收器x的装置中，根据接收到的接收器登记密钥r_x(σ_x,A)计算其中允许所述接收器x进行解密的所述信息或信息种类的加密-解密密钥K_A。

9．根据权利要求5的密钥分配方法，进一步包括：

第十步，其中，在发送器A和接收器x的装置中，在将登记密钥r_x(σ_x,A)由发送器A发送到接收器x的第五步之前，根据使接收器秘密密钥s_x(σ_x)对发送器A保密的系统鉴别所述接收器x拥有接收器秘密密钥s_x(σ_x)。

10．根据权利要求5的密钥分配方法，进一步包括：

第十一步，其中，在发送器A的装置中，计算由相应于接收器登记密钥r_x(σ_x)的加密-解密密钥K_A加密并且广播的信息或信息种类的收费，作为用于接收器A的会计信息，当进行用于将接收器登记密钥r_x(σ_x,A)从发送器A发送到接收器x的第五步时，进行所述第十一步。

11．一种在包括所述多个发送器和所述多个接收器的通信系统中的多个发送器和多个接收器之间共同具有保密广播通信加密-解密密钥的密钥分配方法，包括：

第一步，其中，分别从所述发送器和所述接收器装置提供的可信中心装置中，产生一个秘密密钥KO并分配给每一个发送器和每一个接收器；

第二步，其中，在发送器A装置中，产生一个发送器登记密钥BIDA并发送给接收器，同时使用一个给定的单向函数F通过可信中心和发送器登记密钥BIDA计算一个公用密钥K′_A=F(KO,BIDA)；

第三步，其中，在接收器装置中，使用所述单向函数F通过从可信中心分配的秘密密钥KO和从发送器A接收的发送器登记密钥BIDA计算一个公用密钥K′_A；

第四步，其中，在发送器A装置中，产生一个整数r并发送给接收器；和

第五步，其中，在接收器装置中，K_A=F′(r,K′_A)使用给定的函数F′通过从发送器A接收的整数r和公用密钥K′_A计算一个加密-解密密钥K_A，发送器A使用K_A=F′(r,K′_A)计算该加密-解密密钥K_A。

12．一种在包括所述多个发送器和所述多个接收器的通信系统的多个发送器和多个接收器之间共同具有保密广播通信加密-解密密钥的密钥分配方法，包括：

第一步，其中，分别从所述发送器和所述接收器装置提供的可信中心装置中，为接收器x产生一个专用密钥s_x，并分配给发送器A和接收器x；

第二步，其中，在发送器A装置中，产生一个公用密钥K_A，并且使用从可信中心为接收器x分配的专用密钥s_x，通过密码通信与接收器x共同拥有所述公用密钥K_A；

第三步，其中，在发送器A装置中，产生信息r并发送给接收器x；和

第四步，其中，在每一个接收器x和发送器A装置中，根据DK=F(r,K_A)计算一个加密-解密密钥DK。

13．根据权利要求12的密钥分配方法，进一步包括：

第五步，其中，在发送器A装置中，改变公用密钥K_A，并且使用用于接收器x的专用密钥s_x通过密码通信与接收器x共同拥有该改变的公用密钥K_A；和

第六步，其中，在每一个发送器A和接收器x装置中，根据改变的公用密钥K_A由DK=F(r,K_A)计算加密-解密密钥DK。

14．根据权利要求12的密钥分配方法，进一步包括：

第七步，其中，在发送器A装置中，改变信息r，并将改变的信息r通知接收器；和

第八步，其中，在每一个发送器A和接收器装置中，根据改变的信息r由DK=F(r,K_A)计算加密-解密密钥DK。

15．根据权利要求12的密钥分配方法，进一步包括：

第九步，其中，在发送器A装置中，通过与用于广播由加密-解密密钥DK加密的信息的通信信道不同的一个给定的通信信道，发送用于计算所述加密-解密密钥DK的接收器x的密钥信息，。

16．一种用于在发送器和接收器之间共同具有用于保密广播通信的加密-解密密钥的密钥分配方法，其中：

所述系统包括一个可信中心装置，多个发送器装置和多个接收器装置；

所述可信中心装置中包括；

用于产生：

    e_i∈Z  (1≤i≤m)作为可信中心秘密密钥的装置；并产生

    t_A∈Z作为发送器A的发送器登记密钥；产生σ_A∈S_km和

    s_x(σ_x)∈Z(这里，当对于定义为  S_km={σ｜一对一映射σ:A={1,2,Λ,k}→B={1,2,Λ,m},0＜k＜m}的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\&sigma;}~\mathrm{\&sigma;}\&prime;\&DoubleLeftRightArrow;\mathrm{\&sigma;}\left(A\right)=\mathrm{\&sigma;}\&prime;\left(A\right)$ 在S_km上“～”成为一个对等关系，导出下面的表达式： $\stackrel{\&OverBar;}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$ )；并且用于将接收器x使用的接收器秘密密钥σ_x,s_x(σ_x)分配给所述接收器装置的装置；

用于从可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算由下面的表达式： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}$ 定义的接收器登记数据，并且用来将接收器登记数据sx(σx,A)发送到发送器A使用的所述发送器装置的装置；和

用于由从发送器A使用的所述发送器装置接收的g_A，可信中心秘密密钥e_i，和发送器登记密钥t_A计算由： $y_{\mathrm{Ai}}=g_A^{{\mathrm{tA}}^{e_i}}(\&Element;G_A)(1\&le;i\&le;m)$ 定义的密钥分配数据，并且用来将该密钥分配数据y_Ai发送到发送器A使用的所述发送器装置的装置；

发送器A使用的所述发送器装置包括：

用于产生发送器秘密密钥g_A,L_A和一个有限交换群G_A满足：

    g_A∈G_A $L_A={\mathrm{ord}}_{G_A}\left(g_A\right)$ (这里， ${\mathrm{ord}}_{G_A}\left(g_A\right)$ 表示满足

    g^α=1(∈G_A)的最小正整数)，并且用来将发送器秘密密钥g_A发送到所述可信中心装置的装置：

用于产生随机数r,r＇，通过从所述可信中心装置接收的接收器登记数据s_x(σ_x,A)，发送器秘密密钥L_A，和整数r＇计算接收器密钥r_x(σ_x,A)满足：

    r_x(σ_x,A)s_x(σ_x,A)≡r＇(modL_A)；并且用来将接收器登记密钥r_x(σ_x,A)发送到接收器x的所述接收器装置的装置；和

用于由从所述可信中心装置接收的密钥分配数据y^r _Ai，和随机整数r计算定义为：

    z_Ai=y^r _Ai(∈G_A)(1≤i≤m)的密钥分配数据：并且用来将密钥分配数据z_Ai广播到所述多个接收器装置的装置；和

所述接收器x的接收器装置包括：

用于由下面表达式： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{A{\mathrm{\&sigma;}}_x\left(i\right)}\right)}^{r_x({\mathrm{\&sigma;}}_x,A)s_x\left({\mathrm{\&sigma;}}_x\right)}(\&Element;G_A)$ 计算加密-解密密钥K_A的装置；发送器A的所述发送器装置由下面表达式：

    K_A=g^rr＇ _A(∈G_A)产生所述加密-解密密钥K_A。

17．一个支持从发送器装置分配加密-解密密钥到接收器装置，并具有在保密广播通信中在发送器和接收器之间共同使用的所述加密-解密密钥的可信中心装置，包括：

用于产生：

    e_i∈Z(1≤i≤m)作为可信中心秘密密钥；并产生

    t_A∈Z作为发送器A的发送器登记密钥；产生σ_A∈S_km和

    s_x(σ_x)∈Z(这里，当对于定义为

  S_km={σ｜一对一映射σ:A={1,2,Λ,k}→B={1,2,Λ,m},0＜k＜m}的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\&sigma;}~\mathrm{\&sigma;}\&prime;\&DoubleLeftRightArrow;\mathrm{\&sigma;}\left(A\right)=\mathrm{\&sigma;}\&prime;\left(A\right)$ 在S_km上“～”成为一个对等关系，导出下面的表达式： $\stackrel{\&OverBar;}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$ )；并且用于将接收器x使用的接收器秘密密钥σ_x,s_x(σ_x)分配给所述接收器装置的装置：

用于从可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算由下面的表达式： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}$ 定义的接收器登记数据，并且用来将接收器登记数据s_x(σ_x,A)发送到发送器A使用的所述发送器装置的装置；和

用于由从发送器A使用的所述发送器装置接收的g_A，可信中心秘密密钥e_i，和发送器登记密钥t_A计算由： $y_{\mathrm{Ai}}=g_A^{{\mathrm{tA}}^{e_i}}(\&Element;G_A)(1\&le;i\&le;m)$ 定义的密钥分配数据，并且用来将该密钥分配数据y_Ai发送到发送器A使用的所述发送器装置的装置；

18．一个分配加密-解密密钥给由可信中心装置支持的接收器装置，并具有在保密广播通信中在发送器和接收器之间共同使用的所述加密-解密密钥的发送器装置，包括：

用于产生发送器秘密密钥g_A,L_A和一个有限交换群G_A满足：

    g_A∈G_A $L_A={\mathrm{ord}}_{G_A}\left(g_A\right)$ (这里， ${\mathrm{ord}}_{G_A}\left(g_A\right)$ 表示满足

    g^α=1(∈G_A)的最小正整数)，并且用来将发送器秘密密钥g_A发送到所述可信中心装置的装置；

用于产生随机数r,r′，通过接收器登记数据s_x(σ_x,A)，发送器秘密密钥L_A,和整数r′计算接收器密钥r_x(σ_x,A)满足：

   r_x(σ_x,A)s_x(σ_x,A)≡r′(modL_A)；并且用来将接收器登记密钥r_x(σ_x,A)发送到接收器x所使用的所述接收器装置的装置；

用于由从所述可信中心装置接收的密钥分配数据y^r _Ai，和整数r计算定义为：

   z_Ai=y^r _Ai(∈G_A)(1≤i≤m)的密钥分配数据；并且用来将密钥分配数据z_Ai广播到作为广播通信对象的多个所述接收器装置的装置；和

用于根据：

K_A=g^rr′ _A(∈G_A)计算用于广播通信的加密-解密密钥K_A的装置。

19．一个接收来自从可信中心装置支持的发送器装置的加密-解密密钥，并具有在保密广播通信中在发送器和接收器之间共同使用的所述加密-解密密钥的接收器装置，包括：

用于由接收器登记密钥r_x(σ_x,A)和从发送器A使用的发送器装置接收的密钥分配数据z_Ai和从可信中心装置接收的接收器秘密密钥σ_x,s_x(σ_x)由下面表达式： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{A{\mathrm{\&sigma;}}_X\left(i\right)}\right)}^{r_x({\mathrm{\&sigma;}}_x,A)s_x\left({\mathrm{\&sigma;}}_x\right)(\&Element;G_A)}$ 计算用于广播通信的加密-解密密钥K_A的装置；加密-解密密钥K_A由所述发送器A的发送器装置通过下面表达式：

    K_A=g^rr′ _A(∈G_A)产生。

20．一个接收来自从可信中心装置支持的发送器装置的加密-解密密钥，并具有在保密广播通信中在发送器和接收器之间共同使用的所述加密-解密密钥的接收器装置，包括：

一个主装置和一个辅助装置；其中；

所述辅助装置包括：

用于连接所述可信中心装置的装置；

用于取出和存储所述可信中心装置产生的接收器秘密密钥s_x(σ_x),σ_x的存储装置；

用于连接所述主装置的装置；

用于从发送器A使用的所述发送器装置取出由所述主装置接收的密钥分配数据z_Ai；通过密钥分配数据z_Ai和存储在所述存储装置中的接收器秘密密钥σ_x,s_x(σ_x)计算： ${\mathrm{\&xi;}}_x({\mathrm{\&sigma;}}_x,A)={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{A{\mathrm{\&sigma;}}_x\left(i\right)}\right)}^{s_X\left({\mathrm{\&sigma;}}_X\right)}\mathrm{mod}{N}_A;$ 并用来将计算结果ξ_x(σ_x,A)输出给所述主装置的装置；和

所述主装置包括：

用于将从所述发送器A的发送器装置接收的密钥分配数据z_Ai输出到所述辅助装置的装置；和

用于通过从发送器A的发送器装置接收的接收器登记密钥r_x(σ_x,A),和由辅助装置输出的ξ_x(σ_x,A)，使用表达式： $K_A={\mathrm{\&xi;}}_x{({\mathrm{\&sigma;}}_x,A)}^{r_x({\mathrm{\&sigma;}}_x,A)}\mathrm{mod}{N}_A$ 计算在广播通信中使用的加密-解密密钥K_A的装置，由所述发送器A的发送器装置，使用表达式：

    K_A=g^rr′ _A(∈G_A)产生加密-解密密钥K_A。

21．一种在包括进行广播通信的多个发送器装置，所述多个接收器装置，和支持分配发送器装置在保密广播通信中的加密-解密密钥给接收器装置的所述可信中心装置的通信系统中，用来连接一个可信中心装置和多个接收器装置的辅助装置；所述辅助装置包括：

用于连接所述可信中心装置的装置；

用于取出和存储所述可信中心装置产生的接收器秘密密钥s_x(σ_x),σ_x的存储装置；

用于连接接收器x使用的所述接收器装置的装置；

用于从发送器A使用的所述发送器装置取出由所述接收器装置接收的密钥分配数据z_Ai；通过密钥分配数据z_Ai和存储在所述存储设备中的接收器秘密密钥σ_x,s_x(σ_x)计算： ${\mathrm{\&xi;}}_x({\mathrm{\&sigma;}}_x,A)={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{A{\mathrm{\&sigma;}}_X\left(i\right)}\right)}^{s_x\left({\mathrm{\&sigma;}}_x\right)}\mathrm{mod}{N}_A;$ 并用来将计算结果ξ_x(σ_x,A)输出给接收器x的所述接收器装置的装置。

22．一种存储一个程序的存储介质，该程序用来使一个信息处理装置执行支持从发送器装置到接收器装置的加密-解密密钥分配，并具有在保密广播通信中在发送器和接收器之间共同使用的所述加密-解密密钥的处理，其中：

所述程序使信息处理装置执行：

一个步骤用于产生：

    e_i∈Z(1≤i≤m)作为可信中心秘密密钥；并产生

    t_A∈Z作为发送器A的发送器登记密钥；并且，作为接收器x的接收器秘密密钥，σ_x∈S_km和

    s_x(σ_x)∈Z(这里，当对于定义为

  S_km={σ｜一对一映射σ:A={1,2,Λ,k}→B={1,2,Λ,m},0＜k＜m}的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\&sigma;}~\mathrm{\&sigma;}\&prime;\&DoubleLeftRightArrow;\mathrm{\&sigma;}\left(A\right)=\mathrm{\&sigma;}\&prime;\left(A\right)$ 在S_km上“～”成为一个对等关系，导出下面的表达式： $\stackrel{\&OverBar;}{S_{\mathrm{km}}}=S_{\mathrm{km}}/~$ )；和用于将接收器x使用的接收器秘密密钥σ_x,s_x(σ_x)分配给所述接收器装置;

一个步骤用于从可信中心秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算由下面的表达式： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)}$ 定义的接收器登记数据；和用来将接收器登记数据s_x(σ_x,A)发送到发送器A使用的所述发送器装置；和

一个步骤用于由从发送器A使用的所述发送器装置接收的g_A，可信中心秘密密钥e_i，和发送器登记密钥t_A计算由： $y_{\mathrm{Ai}}=g_A^{t{A}^{e_i}}(\&Element;G_A)(1\&le;i\&le;m)$ 定义的密钥分配数据y_Ai，和用来将该密钥分配数据y_Ai发送到发送器A使用的所述发送器装置。

23．一种存储一个程序的存储介质，该程序使信息处理装置在发送器装置中执行一个过程，该发送器装置分配一个加密-解密密钥给接收器装置，由一个可信中心装置支持，并具有在保密广播通信中在发送器和接收器之间共同使用的所述加密-解密密钥，其中：

所述程序使信息处理装置执行：

一个步骤用于产生发送器秘密密钥g_A,L_A和一个有限交换群G_A满足：

   g_A∈G_A $L_A={\mathrm{ord}}_{G_A}\left(g_A\right)$ (这里， ${\mathrm{ord}}_{G_A}\left(g_A\right)$ 表示满足

   g^α=1(∈G_A)的最小正整数)，并且用来将发送器秘密密钥g_A发送到所述可信中心装置；

一个步骤用于产生随机数r,r′；计算接收器登记密钥r_x(σ_x,A)满足：

   r_x(σ_x,A)s_x(σ_x,A)≡r′(modL_A)；并且用来将接收器登记密钥r_x(σ_x,A)发送到接收器x所使用的所述接收器装置；

一个步骤用于由从所述密钥管理装置接收的密钥分配数据y_Ai，和整数r计算定义为：

   z_Ai=y^r _Ai(∈G_A)(1≤i≤m)的密钥分配数据；并且用来将密钥分配数据z_Ai广播到作为广播通信对象的多个所述接收器装置；和

一个步骤使用：

   K_A=g^rr′ _A(∈G_A)计算一个用于广播通信的加密-解密密钥K_A。

24．一种存储一个程序的存储介质，该程序使信息处理装置在中执行一个过程，该接收器装置从发送器装置接收一个加密-解密密钥，由一个可信中心装置支持，并具有在保密广播通信中在发送器和接收器之间共同使用所述加密-解密密钥，其中：

所述程序使信息处理装置执行：

一个步骤用于计算在广播通信中使用的加密-解密密钥K_A，使用表达式： $K_A={\mathrm{\&xi;}}_x{({\mathrm{\&sigma;}}_x,A)}^{r_x({\mathrm{\&sigma;}}_x,A)}(\&Element;G_A)$ 通过从发送器A的发送器装置接收的接收器登记密钥r_x(σ_x,A)，密钥分配数据z_Ai，和从可信中心分配的接收器秘密密钥σ_x,s(σ_x)，由所述发送器A的发送器装置，使用表达式：

   K_A=g^rr _A(∈G_A)产生加密-解密密钥K_A。

25．—种用于具有在保密广播通信中在发送器和接收器之间共同使用的加密-解密密钥的密钥分配系统，其中：

所述系统包括一个可信中心装置，多个发送器装置和多个接收器装置；

所述可信中心装置中包括；

用于产生：

    e_i∈Z(1≤i≤m)作为可信中心秘密密钥的装置；并产生

    t_A∈Z作为发送器A的发送器登记密钥；产生σ_x∈S_km和

    s_x(σ_x)∈Z(这里，当对于定义为

  S_km{σ｜一对一映射σ:A={1,2,Λ,k}→B={1,2,Λ,m},0k＜m}的集合S_km有σ,σ＇∈S_km时，它被表示为： $\mathrm{\&sigma;}~\mathrm{\&sigma;}\&prime;\&DoubleLeftRightArrow;\mathrm{\&sigma;}\left(A\right)=\mathrm{\&sigma;}\&prime;\left(A\right)$ 在S_km上“～”成为一个对等关系，导出下面的表达式： $\stackrel{\&OverBar;}{S_{\mathrm{km}}}{=S}_{\mathrm{km}}/~$ )；并且用于将接收器秘密密钥σ_x,s_x(σ_x)分配给所述接收器x使用的接收器装置的装置；

用于从密钥分配器秘密密钥e_i，发送器登记密钥t_A，和接收器秘密密钥s_x(σ_x),σ_x计算： $s_x({\mathrm{\&sigma;}}_x,A)=t_A{s}_x\left({\mathrm{\&sigma;}}_x\right)\underset{i=1}{\overset{k}{\mathrm{\&Sigma;}}}{e}_{{\mathrm{\&sigma;}}_x\left(i\right)},$ 并且用来将接收器登记数据s_x(σ_x,A)发送到发送器A使用的所述发送器装置；和

用于由从发送器A接收的g_A，可信中心秘密密钥e_i，和发送器登记密钥t_A计算密钥分配数据y_Ai： $y_{\mathrm{Ai}}=g_A^{t{A}^{e_i}}(\&Element;G_A)(1\&le;i\&le;m)$ 并且用来将该密钥分配数据y_Ai发送到发送器A使用的所述发送器装置的装置；

发送器A使用的所述发送器装置包括：

用于产生：

    P_A,Q_A：质数 $L_A=1\mathrm{cm}({\mathrm{ord}}_{P_A}\left(g_A\right),{\mathrm{ord}}_{Q_A}{(g}_A))$

    g_A∈Z,0＜g_A＜N_A

    r,r′∈Z,0＜r,r′＜L_A作为发送器A的发送器秘密密钥的装置，

    N_A(=P_AQ_A)作为发送器A的发送器公共密钥，并将发送器秘密密钥g_A发送到所述可信中心装置；

用于产生r,r′的装置，它通过从可信中心接收的接收器登记数据s_x(σ_x,A)，发送器秘密密钥L_A，和整数r′计算满足：

    r_x(σ_x,A)s_x(σ_x,A)≡r′(modL_A)的接收器登记密钥r_x(σ_x,A)，并将接收器登记密钥r_x(σ_x,A)发送到接收器x使用的所述接收器装置；及

用于通过从可信中心接收的密钥分配数据y_Ai，和整数r计算定义为：

    z_Ai=y^r _AimodN_A(1≤i≤m)的密钥分配数据的装置，并将密钥分配数据z_Ai广播给所述多个作为广播通信目标的接收器装置；和，

接收器x使用的所述接收器装置包括：

用于通过从发送器A使用的所述发送器装置中接收的接收器登记密钥r_x(σ_x,A)，密钥分配数据z_Ai和从可信中心分配的接收器秘密密钥σ_x,s_x使用： $K_A={\left(\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{z}_{A{\mathrm{\&sigma;}}_x\left(i\right)}\right)}^{r_x({\mathrm{\&sigma;}}_x,A)s_x\left({\mathrm{\&sigma;}}_x\right)}\mathrm{mod}{N}_A$ 计算一个加密-解密密钥K_A的装置，由发送器A使用的所述发送器装置使用：

    K_A=g^rr＇ _AmodN_A产生所述加密-解密密钥K_A。

Images