CN1812320B - 在发射机与接收机之间传输消息的方法以及相应的系统 - Google Patents

Abstract

本发明涉及在一个发射机与至少一个接收机之间传输消息的方法，包括步骤：用与所述发射机相关联的密钥加密要传输的消息；将加密的消息发送到一个变换模块中，该变换模块包括一个变换密钥和一个变换函数；在变换模块中将接收到的加密的消息变换成能够用所述接收机的专用密钥解密的加密的消息，该变换在没有最初的消息以明码在变换模块中出现的情况下执行；将被变换过的消息发送到所述接收机；用专用密钥解密所述接收机收到的所述被变换过的消息；特征在于变换模块的变换密钥依赖于一个由与发射机相关联的密钥和与接收机相关联的密钥构成幂次的、非平凡数值的幂。本发明还涉及一种实施本发明方法的在一个发射机和至少一个接收机之间传输消息的系统。

Description

在发射机与接收机之间 传输消息的方法以及相应的系统

技术领域

本发明一方面涉及一种传输那些要在发射机和至少一个接收机之间传输的消息的新方法，另一方面涉及一种包括一个发射机和至少一个接收机的系统，该系统采用了上面提及的加密方法。

它尤其但并非仅仅处于对条件接入数据加密的背景下，这些数据形成了由一个供应商传输给多个多媒体单元的内容。这些数据或内容尤其可以是付费电视的事件。

背景技术

当前存在许多消息加密方法，这些方法每个都在其应用或安全等级方面有着具体的特点。

在大多数情况下，首先用多个各自具有较短寿命的密钥对内容加密，这些密钥叫做“control word”，即控制字。如此加密过的内容被广播到各个在供应商处预订过的多媒体单元。各控制字本身也被用一个传输密钥加密，并以控制消息(英文的“Entitlement control message”，即ECM)的形式被发送。

提取和解密各控制字的任务在一个安全模块中执行，该安全模块尤其可能具有智能卡的形式。控制字被解密后，它们就可以被用来解密内容了。这个过程已经为业内人士所熟知，就不在此更详细地描述了。

还有一些不必或不希望使用安全模块的方法。这种方法的一个例子使用了由Blaze & Strauss提出的(Matt BLAZE，Martin STRAUSS。Atomic Proxy Cryptography，Technical report，AT & T Research(AT&T研究中心，技术报告，原子代理密码术)，(http：//www. research.att.com/resources/trs/TRs/98/98.5/98.5.1.body.ps))这样一种特定的加密类型。

该文章描述了这样一种加密方法：用一个与发射机相关联的密钥对消息加密并将消息发送到一个变换模块中，该变换模块将接收到的消息变换成另一个可以用一个与接收机相关联的密钥来解密的消息。该变换模块既不发送明文消息，也不发送与发射机相关联的密钥及与接收机相关联的密钥。该模块还包括一个特殊的函数，以后称作变换函数，该函数容许根据上面定义的约束条件来修改消息。

根据Blaze & Strauss的变换模块以如下方式运行：

在加密方面，即在发射机方面，有一个秘密密钥a和一个随机数发生器，该随机数发生器产生一个值k。该值属于一个集合Z^* _2q，即属于一个包含0至2q-1之间的与2q互质的整数的集合。作为例子，如果q＝5，那么集合Z^* ₁₀＝{0；1；2；3；5；7；9}。我们再确定两个值p和q，使得p和q是大质数并且p＝2q+1。没有一个精确的数值来定义大质数的概念。使用的数越大，第三者就越难通过连续尝试来发现这些值。安全等级因而就与所使用的数的大小相关联。

发射机还有一个属于集合Z^* _p的值g。

在加密方面，我们还产生如下消息：

C1＝(m g^k)_mod p

和

C2＝[(g^a)^k]_mod p

值(g^a)_mod p是发射机的公钥。

对<C1；C2>形成了发射机生成并被传输到变换模块的消息。

变换模块有一个变换密钥和一个变换函数。

该密钥等于：

${\mathrm{\&pi;}}_{a\&RightArrow;b}={(b*\frac{1}{a})}_{\mathrm{mod}2q}$

与该密钥相关联的变换函数是：

$C{2}^{\&prime;}=[{\left(C2\right)}^{\left({\mathrm{\&pi;}}_{a\&RightArrow;b}\right)}{]}_{\mathrm{mod}p}$

当对<C1，C2>被引入变换模块时，C1的值不被修改。反之根据上面的变换函数C2被修改成C2’。

进入变换模块的对<C1，C2>被变换成输出对<C1，C2’>。后者被传输到接收机，更精确地说，到接收机的安全部分，该安全部分保存着该接收机特有的秘密密钥b1。原则上，每个接收机各有一个专用的密钥b。

接收机可以应用如下公式从接收到的数值推导出消息：

$m=(C1*\frac{1}{{(C{2}^{\&prime;})}^{{(1/b)}_{\mathrm{mod}2q}}}{)}_{\mathrm{mod}p}$

尽管非常实用，该方法在实施时却有一个重大弊病，尤其在一个发射机为大量接收机服务的环境下。事实上，知道了某一接收机的专用密钥b1和变换函数π_a→b，就比较容易计算出发射机的密钥a，满足 ${\mathrm{\&pi;}}_{a\&RightArrow;b1}={(b_1*\frac{1}{a})}_{\mathrm{mod}2q}.$

由此，一个怀恶意的人就可以让第三者拥有发射机的密钥。然后这就使得计算所有由该发射机服务并使用同一个变换函数的接收机的密钥b_i成为可能。这就意味着一个预订了至少一个由数据供应商管理的频道的用户将可以自由地接入该供应商的所有其它频道。

下面的描述更详细地解释了前面提到的问题。

设想一个拥有多媒体单元STB2的用户，该多媒体单元带有秘密密钥b2。该用户预订了频道1，2，3，这三个频道的密钥是a1，a2，a3。假设该用户知道他的秘密密钥b2。由于他是预订用户，因而接收到变换密钥π_a1→b2，π_a2→b2和π_a3→b2，其中 ${\mathrm{\&pi;}}_{\mathrm{ai}\&RightArrow;b2}={(b_2*\frac{1}{\mathrm{ai}})}_{\mathrm{mod}2q}.$

从这些元素中计算出a1，a2，a3是比较简单的。怀有恶意的用户因而可以使这些密钥a1，a2，a3例如通过国际互联网这样的网络得到。

设想另一个拥有多媒体单元STB1的用户，该多媒体单元带有秘密密钥b1。该用户预订了频道1，该频道使用密钥a1。该频道例如可以是某个便宜的基本供应的一部分。因而预订用户接收到变换密钥 ${\mathrm{\&pi;}}_{a1\&RightArrow;b1}={(b_1*\frac{1}{a1})}_{\mathrm{mod}2q.}$ 由此，他将可以容易地确定b1，即他自己的多媒体单元的秘密密钥。他还可以从拥有前文提到的多媒体单元STB2的用户那里得到a2和a3。用这些元素，他就可以用 $(b_1*\frac{1}{a2}{)}_{\mathrm{mod}2q}={\mathrm{\&pi;}}_{a2\&RightArrow;b1}$ 和 $(b_1*\frac{1}{a3}{)}_{\mathrm{mod}2q}={\mathrm{\&pi;}}_{a3\&RightArrow;b1}$ 来建立出频道2和3的变换密钥。因此他将可以在没有得到相应预订权利的情况下接入频道2和3。对于已经取消预定而在取消之前计算出其接收机的专用密钥b1的人而言，也是一样的。

因此，如果一台接收机的安全受损，所有其它接收机的安全也就受损了。

上述这种方法的另一个弊病来源于这样一个事实：构造变换密钥必须知道发射机的秘密密钥a和加密步骤b，从安全的角度来看这并非最佳。

发明内容

本发明的目的是减缓以前的方法的弊病，尤其是如上所述的根据Blaze & Strauss的方法的弊病。

该目的通过在一个发射机与至少一个接收机之间传输消息的方法来达到，该方法包括如下步骤：

■用与所述发射机相关联的密钥(a)加密要传输的消息(m)；

■将加密的消息发送到一个变换模块中，该变换模块包括一个变换密钥(π_a→b)和一个变换函数；

■在变换模块中将接收到的加密的消息变换成能够用所述接收机的专用密钥(b)解密的加密的消息，该变换在最初的消息不以明码在变换模块中出现的情况下执行；

■将被变换过的消息发送到所述接收机；

■用专用密钥b解密所述接收机收到的所述被变换过的消息；

该方法的特征在于：变换模块的变换密钥(π_a→b)依赖于一个由与发射机相关联的密钥(a)和与接收机相关联的密钥(b)构成幂次的、非平凡(non triviale)数值的幂。

本发明的目的还由一个在一个发射机和至少一个接收机之间传输消息的系统来达到；所述发射机包括一些用于用一个与该发射机相关联的密钥(a)来加密所述消息(m)的装置，所述系统包括至少一个变换模块，在该变换模块中存储着一个变换密钥(π_a→b)和一个变换函数，该变换函数被设置为将输入的消息(m)变换成可以由所述接收机的专用密钥(b)解密的消息，该接收机包括一个被设置为解密变换模块输出的消息的解密级，所述系统的特征在于：变换模块的变换密钥(π_a→b)依赖于一个由与发射机相关联的密钥(a)和与接收机相关联的密钥(b)构成幂次的、非平凡数值的幂。

本发明的方法应用于接收机能够根据ElGamal算法(TaherElGamal，“A Public-Key Cryptosystem and a Signature Scheme Basedon Discrete Logarithms(公钥密码系统和基于离散对数的签名方案)”，IEEE Transaction on Information Theory(IEEE信息理论学报)，v.IT-31，n.4，1985，pp469-472或CRYPTO 84，pp10-18，Springer-Verlag)或其任何变型，尤其是使用至少一个椭圆曲线的变型，来解密加密的消息。

本发明的方法避免了使用安全模块的必要，因而保证了最佳安全性。通过使用本发明的方法，数据流和消息流被按照对每个用户都相同的方法加密，并可以按照常规方法广播。然后，数据和消息被每个用户以这样的方式解密：可以被一个用户访问的数据不能被另一个用户使用。

以外，知道一个接收机的秘密密钥并不使计算该系统中的其它密钥成为可能。因此，只有其秘密密钥受到损害的接收机能够接入它未必有授权的频道。它将不能使第三者从中受益。因而，发现一个接收机的秘密并不损害与同一发射机相关联的其它接收机的安全性。

附图说明

由于随后的参照附图的详细描述，本发明将被更好地理解；这些附图作为非限制性的例子给出，其中：

■图1表示在一个具体实施方式下，根据本发明的消息传输系统；和

■图2概括地说明了本发明的消息传输方法。

具体实施方式

本发明被参照附图描述，该描述是基于这样一个实际应用：其中，发射机是一个付费电视管理中心CG，而接收机是一些STB多媒体单元，这些多媒体单元被用于接收付费电视事件。这些多媒体单元例如是解码器或计算机。

在特别由图1说明的实施方式中，假设要传输的内容CT，即与付费电视事件相关的数据，被用控制字cw加密。根据本发明的方法被应用到含有控制字的控制消息ECM上。不过注意，可能将本发明的方法直接应用到与付费电视事件相关的数据上。在这种情况下，这些节目不用控制字加密。不过这种做法在实际中不太可取，因为消息解密时间必须足够短，以便能适当地显示内容。此外，本发明的方法需要较大的通频带。因而，当有足够的通频带而且解密能足够快地进行时，可以采用该方法。

每个多媒体单元STB₁，STB₂，STB_n各有一个专用密钥b₁，b₂，b_n，并与一个变换模块CM相关联。该模块可以位于解码器的非安全部分内或从物理上远离解码器，例如位于一个诸如那些已知的、首字母缩合词为DSLAM的再分配中心内。管理中心CG拥有密钥a。注意该密钥a可以为一个频道或一种产品所专用。

当内容CT需要被广播时，它首先被用控制字cw加密。所得到的消息在图1上用(CT)cw表示。整个消息以一个数据流DF的形式被发往有关接收机。同样这些控制字cw被用管理中心的密钥a加密，这就产生了(cw)_a。这些加密了的控制字被以人们熟知的方式引入控制消息ECM。

控制消息流ECM也被向有关接收机广播。

这两个流被一个图1上用STB1表示的接收机接收。现在假设该多媒体单元有权解密传来的内容CT，这在实际中需要验证。这个验证过程以常规方式进行，以便以管理消息EMM形式的权利的发送。因此，这些与权利相关的步骤就不在此详述了。

接收机包括一个含有秘密密钥b1的单片安全单元，从该单元的外部无法接触到该秘密密钥b1。该单元还包括一个MPEG解压缩器。

被加密了的内容(CT)cw的DF流被直接传输到安全单元，它将在该安全单元中被处理。控制消息流ECM被以常规方式处理，以便从中提取被加密了的控制字(cw)_a。于是这些控制字(cw)_a被送到有关多媒体单元的变换模块中。在图1中，变换模块被描绘成与多媒体单元集成在一起。也可能将各变换模块集中到一个如人们已知的、首字母缩合词为DSLAM(数字用户线接入多路转换器)那样的转发中心内。然后每个变换模块被一根专线连接到多媒体单元。

在变换模块中，用密钥a加密了的输入消息被变换成用密钥b1加密了的输出消息。输出消息(cw)_b1被发送到一个可以用密钥b1将它解密的解密级。

参照图2，根据本发明的变换密钥以及相关函数在下文中被更详细地描述。

参照图1，控制字cw被用多媒体单元的密钥b1解密后，这些控制字可以按常规方式被用来解密内容CT，该内容CT接下来就可以被处理，以便例如在电视机屏幕上被使用。

下面的参照图2的描述，一方面提到了本发明的总体方法，另一方面给出了一个基于一些较小的数值的加密实例，这些较小的数值在实际中不用，但容许更好地理解总体方法。这些数值太小而不能在实际应用中保证足够的安全等级。

根据该图，假设一个消息m在管理中心被加密，并被发送到拥有秘密密钥b₁的接收机STB1中。该初始消息m在管理中心产生两个加密的消息，在图2中被标注为C1和C2。C1等于：

C1＝(m g^k)_mod p

C2等于：

C2＝(a k)_mod 2q

■其中：p，q是满足p＝2q+1的大质数；

■g是一个属于Z^* _p的非平凡的整数，非平凡表示既不等于零也不等于1。注意：该数可以被泄露而不会危害本发明的系统的安全性。

■a是发射机的秘密密钥，如前文所述，及

■k是Z^* _2q中的一个随机数。

提醒一下，Z^* _2q是包含在0和2q-1之间的与2q互质的整数的集合。

在一个数值实例中，假设如下数值被选定：

p＝11    q＝5    k＝7

g＝2     a＝3    m＝8

有了这些数值，我们将有：

C1＝(m g^k)_mod p＝(8*2⁷)_mod11＝1

C2＝(a k)_mod 2q＝(3*7)_mod10＝1

对<C1；C2>形成了要发送的加密的消息。该对被发送到有关接收机的变换模块中。下面的描述涉及在与一个多媒体单元STB1相关联的变换模块中对该对的处理，该多媒体单元STB1拥有秘密密钥b1。

该变换模块包含如下变换密钥：

${\mathrm{\&pi;}}_{a\&RightArrow;b1}={\left(g^{(b1*\frac{1}{a}{)}_{\mathrm{mod}2q}}\right)}_{\mathrm{mod}p}$

它还包含一个如下的变换函数：

C2′＝[(π_a→b1)^C2]_mod p

被引入变换模块的对<C1；C2>被变换成<C1；C2’>，其中C2’如上文所定义。

我们可以证明：通过用上文指明的数值来替代(π_a→b1)和用(a*k)_mod 2q来替代C2，被变换后的消息对<C1；C2’>不再依赖于管理中心使用的密钥a，而依赖于与接收机相关联的密钥b1。

通过使用如上文所定义的这样的数值，和通过选定与接收机相关联的密钥b1使得b1＝9，我们有：

$\left({\mathrm{\&pi;}}_{a\&RightArrow;b1}\right)={\left(g^{(b1*\frac{1}{a}{)}_{\mathrm{mod}2q}}\right)}_{\mathrm{mod}p}$

根据定义，使得

等于1。

如果a＝3，我们从中推导出1/a＝7，因为(3*7)_mod 10＝1。因此我们有：

$\left({\mathrm{\&pi;}}_{a\&RightArrow;b1}\right)={\left(g^{{(b1*1/a)}_{\mathrm{mod}2q}}\right)}_{\mathrm{mod}p}={\left(2^{{(9*7)}_{\mathrm{mod}10}}\right)}_{\mathrm{mod}11}={2^3}_{\mathrm{mod}11}=8$

${C2}^{\&prime;}={{\left({\mathrm{\&pi;}}_{a\&RightArrow;b1}\right)}^{C2}}_{\mathrm{mod}p}={\left(8^1\right)}_{\mathrm{mod}10}=8$

因而，在这个数值实例中，被变换过的对是<1；8>，或，一般地，<C1,C2’>。

从这个对出发，再加上知道了b1的数值，我们可以计算出m的数值，也就是被加密过的消息的数值。使用如下等式进行计算：

$m=\{C1*[{C2}^{\&prime;{\left(\frac{1}{b1}\right)}_{\mathrm{mod}2q}}{{]}^{-1}}_{\mathrm{mod}p}{\}}_{\mathrm{mod}p}$

因此这就容许将初始消息解密。再采用前述的数值实例，我们有：如果b1＝9，那么 ${\left(\frac{1}{b1}\right)}_{\mathrm{mod}2q}={\left(\frac{1}{9}\right)}_{\mathrm{mod}10}=9,$ 因为(9*9)_mod 10＝1m＝{C1*[C2′⁹]^-1 _mod p}_mod p(C2′⁹)_mod 11＝(8⁹)_mod 11＝(134217728)_mod 11＝7 ${\left(\frac{1}{7}\right)}_{\mathrm{mod}11}=8,$ 因为(7*8)_mod 11＝1

′m=(1*8)_mod 11＝8

因而我们找回了初始消息。

设想一个接收机的秘密密钥b2被损害了。消息m以明文方式被泄露不会使另一个用户利用它成为可能，因为每个接收机都预计接收用该接收机的秘密密钥加密的消息。以明文表示的消息将不能被使用，因为不可能绕过该模块的第一解密级。

使用本发明的方法，并假设有一个人发现了他的接收机的秘密密钥b2，那么他必须在不知道g的情况下从方程 ${\mathrm{\&pi;}}_{a\&RightArrow;b2}={\left(g^{{(b2*\frac{1}{a})}_{\mathrm{mod}2q}}\right)}_{\mathrm{mod}p}$ 中求出a的值。求解该方程要经过对数计算。由于求解这类方程极其困难，我们就可以通过选定足够大的数而确信：该方程在这些密钥的有效期内无法求解。每当改变了密钥，计算就应该重新开始。

因而，不可能由于知道一个多媒体单元的密钥而损害其它多媒体单元的安全。

因而，本发明保证了最佳的安全等级，因为一方面，得到一个具体多媒体单元的秘密密钥非常困难，另一方面，发现一个密钥不会损害整个系统。因而，该发明特别适用于我们不希望使用象智能卡这样的可拆卸安全模块的环境。此外，本发明的转换模块可以远离多媒体单元。因而，该方法很好地满足了由如因特网这样的网络来广播的条件接入电视的要求和限制。不过应该注意：这只不过代表了本发明的可能应用之一。

Claims (6)

1.一种在一个发射机与至少一个接收机之间传输消息的方法，所述方法包括如下步骤：

■用与所述发射机相关联的密钥(a)加密要传输的消息(m)；

■将加密的消息发送到一个变换模块中，该变换模块包括至少一个变换密钥(π_a→b)和一个变换函数，该变换模块被设置在所述发射机和所述至少一个接收机之间；

■在变换模块中将接收到的加密的消息变换成能够用所述接收机的专用密钥(b)解密的至少一个加密的消息，该变换在没有最初的消息以明文在变换模块中出现的情况下执行，该变换产生与接收的消息相同数量的消息；

■将被变换过的消息发送到所述接收机；

■用所述接收机的专用密钥b解密所述接收机接收到的所述被变换过的消息；

所述方法的特征在于：变换模块的变换密钥(π_a→b)依赖于一个由与发射机相关联的密钥(a)和与接收机相关联的密钥(b)构成幂次的、非平凡数值的幂，变换模块的密钥(π_a→b)等于：

${\mathrm{\&pi;}}_{a\&RightArrow;b}=\left(g^{(b*\frac{1}{a})\mathrm{mod}2q}\right)\mathrm{mod}p$

■其中，g是中的一个非零且不等于1的整数，

是包含在0与p-1之间的与p互质的整数的集合；

■其中，p和q是使得p＝2q+1的大质数；

■其中，a是与发射机相关联的密钥，b是与接收机相关联的密钥；变换模块的函数是：

C2′＝[(π_a→b)^C2]modp

■其中，C2＝(a*k)_mod 2q；

■其中，a是与发射机相关联的密钥；其中，k是

中的一个随机数，

是包含在0与2q-1之间的与2q互质的整数的集合。

2.根据权利要求1的方法，其特征在于：要传输的消息(m)是一个内容(CT)。

3.根据权利要求1的方法，其特征在于：要传输的消息(m)是一个授权消息，该授权消息包含至少一个已经用来对内容(CT)加密的控制字(cw)。

4.一种在一个发射机和至少一个接收机之间传输消息的系统，所述发射机包括多个用于用一个与该发射机相关联的密钥(a)来加密所述消息(m)的装置，所述系统包括至少一个变换模块，在该变换模块中存储着至少一个变换密钥(π_a→b)和一个变换函数，该变换模块被设置在所述发射机和所述至少一个接收机之间并被设置为将输入的消息(m)变换成能够由所述接收机的专用密钥(b)解密的至少一个消息，该接收机包括一个被设置为变换模块输出的消息进行解密的解密级，所述系统的特征在于：变换模块的变换密钥(π_a→b)依赖于一个由与发射机相关联的密钥(a)和与接收机相关联的密钥(b)构成幂次的、非平凡数值的幂，变换密钥是：

${\mathrm{\&pi;}}_{a\&RightArrow;b}=\left(g^{(b*\frac{1}{a})\mathrm{mod}2q}\right)\mathrm{mod}p$

■其中，g是

中一个非零且不等于1的整数，是包含在0与p-1之间的与p互质的整数的集合；

■其中，p和q是满足p＝2q+1的大质数；

■其中，a是与发射机相关联的密钥，b是与接收机相关联的密钥；变换模块的函数是：

C2′＝[(π_a→b)^C2]_modp

■其中，C2＝(a*k)_mod 2q；

■其中，a是与发射机相关联的密钥；

■其中，k是

中的一个随机数，

是包含在0与2q-1之间的与2q互质的整数的集合。

5.根据权利要求4的消息传输系统，其特征在于：变换模块被放置在所述接收机中。

6.根据权利要求4的消息传输系统，其特征在于：变换模块被放置在一个与所述接收机分开的转发中心中，该转发中心被远程连接到所述接收机。

Images