JP2008538875A - グループキー発生方法及び装置 - Google Patents
グループキー発生方法及び装置 Download PDFInfo
- Publication number
- JP2008538875A JP2008538875A JP2008507190A JP2008507190A JP2008538875A JP 2008538875 A JP2008538875 A JP 2008538875A JP 2008507190 A JP2008507190 A JP 2008507190A JP 2008507190 A JP2008507190 A JP 2008507190A JP 2008538875 A JP2008538875 A JP 2008538875A
- Authority
- JP
- Japan
- Prior art keywords
- subset
- pseudo
- key
- group
- random function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04H—BROADCAST COMMUNICATION
- H04H60/00—Arrangements for broadcast applications with a direct linking to broadcast information or broadcast space-time; Broadcast-related systems
- H04H60/09—Arrangements for device control with a direct linkage to broadcast information or to broadcast space-time; Arrangements for control of broadcast-related services
- H04H60/14—Arrangements for conditional access to broadcast information or to broadcast-related services
- H04H60/23—Arrangements for conditional access to broadcast information or to broadcast-related services using cryptography, e.g. encryption, authentication, key distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
- H04N21/63345—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Storage Device Security (AREA)
- Input From Keyboards Or The Like (AREA)
Abstract
【課題】特権グループの入力に基づいて特権グループキーを発生するキー発生システムを提供する。
【解決手段】キーを発生するこのシステムは、統一されたセットの全ての可能なサブセットXに対応するコンポーネントキーを記憶する。このサブセットXは、k個若しくはそれより少ないメンバーを有する。特権セットのメンバーを含まないサブセットXの順序付けされたコンポーネントキーを擬似ランダム関数へ送ることによって、特権セットのために特権グループキーが発生される。
【選択図】図2
【解決手段】キーを発生するこのシステムは、統一されたセットの全ての可能なサブセットXに対応するコンポーネントキーを記憶する。このサブセットXは、k個若しくはそれより少ないメンバーを有する。特権セットのメンバーを含まないサブセットXの順序付けされたコンポーネントキーを擬似ランダム関数へ送ることによって、特権セットのために特権グループキーが発生される。
【選択図】図2
Description
本発明は、一般に、セキュリティーと暗号作成方法の分野に関する。更に詳細には、コンテンツ配信システムにおけるキー(鍵)配布に関する。
従来のブロードキャスト暗号化方法の状況は以下の文献に記載されている。尚、これらの開示は参照によって本明細書に組み入れられている。
A.Fiat and M. Naor, Broadcast Encryption, Advances in Cryptology- CRYPTO'93 Proceedings, Lecture Notes in Computer Science, Vol.773, 1994, pp.480-491 NIST. FIPS-197: Advanced Encryption Standard. http://csrc.nist.gov//publications/fips/fips197/fips-197.pdf
S. Frankel. AES-XCBC-MAC-96 Algorithm And Its Use With IPSec.
http://www.ietf.org/rfc/rfc3566.txt
http://www.ietf.org/rfc/rfc3566.txt
NIST. FIPS-81:DES Modes Of Operation.
http://www.itl.nist.gov/fipspubs/fip81.htm
http://www.itl.nist.gov/fipspubs/fip81.htm
H. Krawzyk. RFC2104−Keyed-Hashing for Message Authentication.
http://www.faqs.org/rfcs/rfc2104.html
http://www.faqs.org/rfcs/rfc2104.html
NIST. FIPS 180-1:Secure Hash Standard.
本発明は、例えば、権限のある複数のユーザの受信機で構成されたセットのためのグループキー発生方法、或いは、グループキーを発生する改竄防止環境を有した受信機を提供する。
開示された本発明の1つの態様によれば、権限のある複数のユーザの受信機で構成されたセットのためのグループキー発生方法が提供される。この方法は、k(kは所定の定数)よりも少ないメンバーを有する受信機の各可能なサブセットXに対してコンポーネントキーを付与する。単射順序付け関数(injective ordering function)は、それらサブセットXをある特定の順序とする。権限のある受信機のサブセットに関して、特権サブセット(特権を持つサブセット)のメンバーを含まないサブセットXが判断される。そのようなサブセットXに関連するコンポーネントキーが識別される。擬似ランダム関数は、単射順序付け関数によって定義された順番で、kよりも小さなサイズを有する特権セット(特権を持つセット)から外れるサブセットと関連したコンポーネントキーを入力として採用し、グループキーを出力する。
開示された本発明の他の態様によれば、グループキーを発生する改竄防止環境を有する受信機が提供される。この改竄防止環境は、複数のコンポーネントキーとデバイスIDを記憶する。各デバイスに関して、デバイスがメンバーではない各可能なサブセットXに対応する少なくとも1つの記憶されたコンポーネントキーが存在し、ここで、前記サブセットXはkよりも少ないメンバーを有する受信機の全てのセットを記述する。特権グループ(特権を持つグループ)の定義の受け取り時に、受信機の改竄防止ハードウェアは、該受信機が特権グループのメンバーであるかどうかを判断する。そうであれば、改竄防止環境における論理(ロジック)は、特権グループのメンバーを含まないkより小さなサイズのサブセットXを決定する(これらのグループは、単射順序付け関数によって決定されるものとして順序付けされる)。順序付けされたグループに関連するコンポーネントキーは、擬似ランダム関数のためのパラメータとして、順序付け関数によって命令された順序で適用される。擬似ランダム関数の出力は特権グループキーである。
コンテンツ配信システムでは、図1に示すように、コンテンツプロバイダー10は、コンテンツを、伝送媒体20を介して1つ若しくは2つ以上の受信機(受信者)15へ伝送する。このようなコンテンツ配信システムの一例は、空気伝播、ケーブル、デジタルビデオ放送(DVB)、衛星、若しくは、インターネットプロトコルネットワークを介して送られるテレビ放送や、デジタルマルチメディア放送(DMB)やメディアFLO(登録商標)を含む他のマルチメディア配信システムである。勿論、他の様々なタイプのコンテンツ及び伝送媒体もこのコンテンツ配信モデルに適合し、また、本発明の状況に適合する。このモデルを介して配信され得る他のコンテンツタイプの例としては、音声、テキスト、ビデオゲーム、若しくは、対話型メディアも含まれる。適当な伝送媒体の他の例として、無線放送、セルラー、ブルーツース、IEEE802.11、メッシュネットワーク、及び、ワイヤド/オプチカルWAN若しくはLANが含まれる。
コンテンツプロバイダーは、しばしば、それらのユーザに様々なサービスを提供する。これによって、ユーザは、自身が受信するサービスを自身の個々のニーズに合せて調整できる。テレビサービスとの関連で言えば、例えば、ユーザは、有料テレビ、ペイパービュー事象、オンデマンドプログラミングの中から選択することができる。この多様性を助長するため、コンテンツプロバイダーは、一般に、幾つかの或いは全ての、それらのコンテンツを暗号化し、権限のある受信機だけがユーザが購入したサービスに対応するコンテンツを解読することができるようにする。
暗号化システムに合せて、コンテンツプロバイダー10は、伝送されるコンテンツの少なくとも幾らかを暗号化するために、ハードウェア及びソフトウェアを使用し、受信機15は、コンテンツを解読するためにハードウェアとソフトウェアを有する。受信機(受信者)のハードウェアは、様々なデバイス、例えば、テレビジョンセットトップボックス、移動ターミナル(端末)、若しくは、汎用コンピュータで具現化され得る。暗号化スキームのセキュリティーを維持するため、受信機のハードウェア、及び/又は、ソフトウェアは、暗号化システムでかかわるために必要な情報と論理(ロジック)を含んだ、改竄防止環境16を含む。改竄防止環境16は、暗号化システムを打ち破ろうとするユーザがシステムの機密に対してアクセスを有しないことを確実にする助けとなる。改竄防止環境16は、従来技術で知られたいずれのシステムおよび方法を介して具現化してもよい。
暗号化/解読システムの管理には、しかしながら、多くの困難が伴う。1つの特別な問題は、システムを実行するために使用されるアルゴリズムやシークレットキーの管理及び分配である。システム受信機の数や個別の暗号化事象が大きくなるにつれ、キー管理は困難になる。
開示されたシステム及び方法は、コンテンツを暗号化し解読するのに必要とされる十分に且つ安全なキーの発生及び分配のためのシステム及び方法を提供する。開示されたシステム及び方法によって、コンテンツプロバイダーと権限のある受信機の改竄防止環境16の双方が、共有するシークレット情報と論理のセットから整合キーを発生することができる。更に、開示されたシステムによって、コンテンツプロバイダーと受信機の改竄防止環境16は、権限のあるユーザのサブセットのための整合グループキーを発生することができる。権限のあるグループの定義によって、コンテンツプロバイダーは暗号化事象の数を制限することができ、また、伝送される情報量を制限して、システムのセキュリティーを高めることができる。
特に、本願に開示されたシステム及び方法は、受信機の改竄防止環境16に記憶されたシークレットに関する情報をグループキーが明らかにしない(漏らさない)ブロードキャスト環境での、グループキーの導出のためのシステム及び方法を提供する。改竄防止環境16は、キー導出スキームを実施し、コンポーネントキーを記憶するために必要とされる。コンポーネントキーは受信機の改竄防止環境16に記憶されたセキュリティーキーであり、ユーザにデバイスを分配する前は受信機に配置しておくことができたものである。好ましくは、各改竄防止環境は、グループキー(受信機がメンバーである、権限のあるセットのためのグループキー)を発生するのに必要とされるキーを記憶するだけである。改竄防止環境は、それがメンバーではないグループに対してグループキーを発生するために使用されるキーを記憶する必要はない。
例えば、図2に示すように、受信機の改竄防止環境は、コンポーネントキー205aを記憶するセキュア(安全な)記憶装置205とキー導出スキーム204を含む。
ある特定のグループキー206を生成するため、改竄防止環境16は、グループ定義210や、任意であるが、salt(ソルト)220(例えば、ある特定のグループ定義、時刻、コンポーネントキーとは独立の他の幾つかパラメータに特有の、グローバルコンスタント(定数)(global constant)である)を入力として採用する。暗号化システムのインテグリティが維持されることを確実にするため、受信機の改竄防止環境16は、ユーザがグループのメンバーである場合にのみグループキーを出力する。これは、デバイスIDがセキュア記憶装置に記憶されることを必要とするものであり、こうして、受信機は、自身がグループ定義210に設けられたグループのメンバーであるかどうか認知することができる。導出されたグループキーの幾つかが、暗号化システムを回避しようと試みるユーザに曝されたときであっても、改竄防止環境16におけるロングタームシークレット(長期間秘密)(long term secrets)が安全性を維持する。更に、グループキーの発覚のリスクでさえ、saltパラメータを頻繁に変更することによって軽減され得る。また、権限のあるグループのメンバーではない受信機は、本願に開示された方法を用いるグループキーを計算することはできない。なぜなら、それは必要とされるパラメータを有しないからである。それ故、システム保護は、権限のあるグループのメンバーであるかどうかといった改竄防止環境の判断だけに基づくものではない。
説明のため、セットUは、全てのユーザのセットであると仮定する。勿論、システムを完全に実施する際、コンテンツプロバイダーは、複数の独立したドメインUを操作してもよい。n=│U│を、このセットのサイズとする。コンテンツプロバイダーは、システムの抵抗を定義する値kを選定する(ここでk>n)。この抵抗は、改竄防止環境を破壊し、暗号化スキームを打ち破るために共謀しなければならないユーザの最低限の数を定義する。kの選択は設計上の決定である。kを大きな値とすることは、キーをより多くの数とすることになるが、打ち破ることがより困難な暗号化システムとなる。これに対し、kの値を小さくすると、システムの堅牢さは失われるが、比較的より少数のキーしか必要としない。例えば、kが2に設定された場合、システムは、改竄防止環境が安全に維持されている限りは安全であるが、改竄防止環境において、もし2人のユーザがシークレットを得た場合、かれらは共謀して、システムを破壊することができる。
第1の単射順序付け関数fは、セットUのメンバーをセットZに変形するものであり(つまり、f:U→Z)、こうしてUのメンバーはZへ順序付け(整理)される。更に、Uの2人のメンバーa、bについて、f(a)<f(b)の場合、及び、f(a)<f(b)の場合にのみ、a<bである。他の単射順序付け関数g(X)は、Uのサブセットを順序付けするために定義される。このような関数の例は、
である。しかしながら、Uのサブセットのために単射順序付けを付与する他のいずれの関数も使用することができ、従来技術において容易に導き出すことができる。キーは、セットUの各可能なグループX(但し、│X│<k)について割り当てられる。キーK iは、i=g(X)で割り当てられる。代替設計では、キーに関連する全ての開示(公表)が、あるキーの一部を作り出し、そのキーの残りは他の手続を用いて作り出される。
各デバイスに関して、改竄防止環境は、メンバーではないkよりも小さなサイズを有したUのサブセットに対応するキーK iを記憶するだけである。これは(以下に述べるキー導出とともに)、Uのうちk個のメンバーより小さいものは、それらがメンバーではないグループのグループキーを計算できないことを暗示する。
権限のあるユーザのグループはYとして定義され、これは権限のある受信機を含むUのサブセットである。Yはコンテンツプロバイダーによって送られたグループ定義210として働く。また、Yに存在しないユーザのセットはグループ定義として働くことができる。権限のあるグループYについては、mix()と呼ばれる開示との関連で、任意長の任意数の入力を採用できる擬似ランダム関数を使用することによって、グループキー206が発生される。所定のグループYについて、mix()のためのパラメータが、全てのサブセットX(但し、│X│<kであり、Yのメンバーを含まない、つまり、U−Y)から導き出される。そのようなサブセットは各々、Xのメンバーであり、それ故、各受信機によって記憶された関連キーK iを有する。U−Xからの各XについてのキーK iは、mix()のためのパラメータとして使用される。更に、それらはg(X)によって定義された順序で使用される。順序付けされたキーK iに加えて、上述したような、saltパラメータも、随意的に、グループ定義とともに送付され、また、mix()に対するパラメータとして付加され得る。
上述したように、saltパラメータは、グループ定義とは別のパラメータとして送られてもよい。このsaltは、あるフォームであること(例えば、長さは正にmビットであること、又は、最大でもmビットであること)を要求されてもよい。それ故、saltがそれについて設定された基準を満たさない場合には、グループキー導出は失敗し、これにより、付加的なセキュリティーが提供される。
3つの典型的なmix()関数の実施を以下に開示する。これらのうち、2つはHMAC SHA1に基づき、1つはAES XCBC MACに基づく。ここに挙げたものでは、2項演算子‖は、連結(連続)を記述するために使用される。勿論、適当なmix()関数の他の多くの実施及び実例も本発明の精神を逸脱することなく容易に導き出すことができる。
AES−XCBC−MACに基づくMIX()関数の例
この節では、上に挙げたS. Frankel. のCounter-Mode and Cipher Feedback mode(上に挙げたNIST. FIPS-81:DES Modes Of Operationに記載されているようなもの)に記載されているAES−XCBC−MACに基づくmix()関数を説明する。AES−CBC−MACは、NIST.FIPS−81に述べられているように、CBCモードにおいてAESを使用することによりメッセージ認証コード(MAC)を作り出すことによって使用される。
この節では、上に挙げたS. Frankel. のCounter-Mode and Cipher Feedback mode(上に挙げたNIST. FIPS-81:DES Modes Of Operationに記載されているようなもの)に記載されているAES−XCBC−MACに基づくmix()関数を説明する。AES−CBC−MACは、NIST.FIPS−81に述べられているように、CBCモードにおいてAESを使用することによりメッセージ認証コード(MAC)を作り出すことによって使用される。
擬似ランダム関数は、必要に応じ、j個のAESブロックまで出力するようなAES−XCBC−MACに基づきパラメータ(k,x,j)を用いて定義される。この関数の入力は、AESキー、AESブロックのビットストリングxである。これらのブロックは、x 1、x 2で示される。
AES k(x)は、キーkを使用する単一のプレーンテキストブロックxにおけるAESを用いた暗号化を示すために使用される。
AES CBC MAC k(x)は、プレーンテキストブロックxにおいてキーkを有するAESを使用するようなCBC−モードMACの計算を示すために使用される。この入力は、適当な長さ(つまり、多様なAESブロックサイズ)であると仮定される。
擬似ランダム関数は、以下のように計算される。
1.k1=AES k(P1)とする
2.k2=AES k(P2)とする
3.C 1 = AES k1(AES CBC MAC k1(x) XOR k2 XOR 0x01)
4.cnt=2〜jについて
C cnt = AES k1(AES CBC MAC k1(x ‖ C {cnt-1}) XOR k2 XOR cnt)
1.k1=AES k(P1)とする
2.k2=AES k(P2)とする
3.C 1 = AES k1(AES CBC MAC k1(x) XOR k2 XOR 0x01)
4.cnt=2〜jについて
C cnt = AES k1(AES CBC MAC k1(x ‖ C {cnt-1}) XOR k2 XOR cnt)
擬似ランダム関数は、常に、j個のAESブロックのデータまで作り出す。mix(salt,k 1,…,k m)関数は、次のように定義される。
1.T 1=擬似ランダム関数(k 1,SALT,j)
2.cnt=2〜mについて
a.T cnt=擬似ランダム関数(k cnt,T {cnt-1},j)
1.T 1=擬似ランダム関数(k 1,SALT,j)
2.cnt=2〜mについて
a.T cnt=擬似ランダム関数(k cnt,T {cnt-1},j)
定数P1、P2は、任意に、P1!=P2である限り定義され得る。例えば、値P1=0x01010101010101010101010101010101、P2=0x02020202020202020202020202020202を使用することができる。
このmix()関数により、ビットストリングT m(mは入力におけるキーの数)が求まり、これが権限のあるグループのキーである。
図3は、i=1、cnt>1、saltが正に1つのAESブロックの長さである場合の、AES−XCBC−MACに基づく、典型的なmix関数の実施を例示したものである。K i301は、AESブロック302、303、304に適用される。P1!=P2のように任意に定義された定数305P1は、キー301を有する入力とともに、AESブロック302へ適用される。AESブロック302の出力は、salt309とともに、AESブロック307へ適用される。T i、{j−1}310とAESブロック307の出力のXOR311は、AESブロック302の出力とともに、AESブロック308へ適用される。キー301と定数P2 306は、AESブロック303へ適用される。上に定義したj312とAESブロック303の出力のXOR313は、AESブロック308の出力とともに、XOR314へ適用される。XOR314の出力とキー301は、AESブロック304へ適用され、T i,j315を出力する。1つのキーだけが特権セットのメンバーであり且つj=2である場合、このブロックは、出力グループキーの第2のブロックである。
HMAC SHA1に基づくMIX()関数の例
HMAC SHA1に基づくmix()関数は、上述した実施よりも若干簡易である。パラメータ(k,x,j)を用いる擬似ランダム関数であり、キーkとビットストリングxとすると、NIST. FIPS 180-1:Secure Hash Standardに記載されているように、j個のSHA1ブロック、複数のデータのブロック(160ビット)を出力する。HMAC SHA1(k,x)は、キーkと入力ビットストリングxを用いて計算されたHMAC SHA1を意味する。擬似ランダム関数は、以下の通りである。
1.C 1=HMAC SHA1(k,x‖0x01)
2.cnt=2〜jについて
C cnt = HMAC SHA1(k,x ‖ C {cnt-1} ‖ cnt)
HMAC SHA1に基づくmix()関数は、上述した実施よりも若干簡易である。パラメータ(k,x,j)を用いる擬似ランダム関数であり、キーkとビットストリングxとすると、NIST. FIPS 180-1:Secure Hash Standardに記載されているように、j個のSHA1ブロック、複数のデータのブロック(160ビット)を出力する。HMAC SHA1(k,x)は、キーkと入力ビットストリングxを用いて計算されたHMAC SHA1を意味する。擬似ランダム関数は、以下の通りである。
1.C 1=HMAC SHA1(k,x‖0x01)
2.cnt=2〜jについて
C cnt = HMAC SHA1(k,x ‖ C {cnt-1} ‖ cnt)
擬似ランダム関数は、常に、j個のSHA1ブロック(160ビット)のデータまで作り出す。mix(salt,k 1,…,k m)関数は、次のように定義される。
1.T 1=prf(k 1, salt,j)
2.cnt=2〜mについて
T cnt=prf(k cnt,T {cnt-1},j)
1.T 1=prf(k 1, salt,j)
2.cnt=2〜mについて
T cnt=prf(k cnt,T {cnt-1},j)
このmix()手続により、特権グループに対するキーであるビットストリングT m(mは入力におけるキーの数)が求まる。
図4は、HMAC SHA1に基づくmix関数を示す。C i,0は、殻のストリングであると考える。Ipad405とK i403の反復のXOR404は、j401と連なるC i,{j−1}と連なり、Saltと共に、セキュアハッシュアルゴリズム1(SHA1)402へ適用される。Opad405とK i403の反復のXOR407は、SHA1 402の出力とともに、SHA1 408へ適用され、C i,j409を作り出す。この手続は、1つのSHA1ブロックの出力を生成する。1からjの必要とされる全てのブロックについての各値のiの反復は、連結されたときにグループキーを生成するような、ブロックC m,j(mは入力キーの数)のシーケンスを生成する。
可変長キーを有するHMAC SHA1に基づくMIX()関数の例
HMAC SHA1とともに可変長キーを使用することはmix()関数を非常に簡易化し、高速化する。mix(salt,k 1,…,k n)関数は、以下のように計算される。
1.T 1=HMAC SHA1(K 1‖…‖K n, salt‖0x01)
2.cnt=2〜jについて
T cnt=HMAC SHA1(K 1‖…‖K n, salt‖T {cnt-1}‖cnt)
HMAC SHA1とともに可変長キーを使用することはmix()関数を非常に簡易化し、高速化する。mix(salt,k 1,…,k n)関数は、以下のように計算される。
1.T 1=HMAC SHA1(K 1‖…‖K n, salt‖0x01)
2.cnt=2〜jについて
T cnt=HMAC SHA1(K 1‖…‖K n, salt‖T {cnt-1}‖cnt)
この関数において、全てのキーは、単射順序付け関数によって定義された順序で互いに連結される。暗号フィードバック及びカウンターモードは、HMAC SHA1によって組み合わされ、saltにおいて計算される。
図5は、可変長キーHMAC SHA1に基づくmix関数を示す。T 0は、殻のストリングとして考える。Ipad505とK 1‖…‖K n503のXOR504は、j501と連なるT {j−1}と連なり、saltと共に、セキュアハッシュアルゴリズム1(SHA1)502へ適用される。Opad505とK 1‖…‖K n503の連結のXOR507は、SHA1 502の出力とともに、SHA1 508へ適用され、T j509を作り出す。開示された関数では、j>1(j=1の場合は、従前のブロックが省略される)の場合である。IpadとOpadは、これまた、Hで定義されたようなキーの連結に等しい長さの定数である。Krawzyk. RFC2104−Keyed-Hashing for Message Authentication。
本願発明の数多くの特徴及び利点は詳細な説明から明らかである。故に、添付クレームは、本願発明の真の精神及び範囲に含まれるような、それら全ての特徴及び利点をカバーすることを意図したものである。
更に、当業者であれば様々な変形を容易に思いつくであろうことから、正に本願に例示され記載された命令や動作そのものに本願発明が限定されないことを希望する。故に、全ての適当な変形は本願請求項の範囲に含まれるものである。
Claims (11)
- グループキー発生方法において、
複数の受信機のセットに関して、k(kは所定の定数)よりも少ないメンバーを有する受信機の各可能なサブセットXに対してコンポーネントキーを付与し、
前記サブセットXを順序付ける反復順序付け関数を定義し、
特権を持つ受信機のサブセットに関して、どのサブセットXが前記特権を持つサブセットのメンバーを含まないのかを判断し、且つ、そのようなサブセットXに関連する前記コンポーネントキーを識別し、
任意の数のコンポーネントキーを入力として採用してグループキーを出力する擬似ランダム関数を定義し、
前記特権を持つサブセットのメンバーを含まないkよりも小さなサイズのXのサブセットに関連する前記コンポーネントキーを、前記擬似ランダム関数に対する入力として使用し、ここで、前記コンポーネントキーは、前記反復順序付け関数によって与えられた順序で前記擬似ランダム関数に適用され、前記擬似ランダム関数の前記出力は、特権を持つ受信機特有のグループキーである、ことを特徴とする方法。 - 請求項1に記載の方法において、更に、コンポーネントキーを各サブセットXに割り当てる付加的な反復順序付け関数を備える方法。
- 請求項1に記載の方法において、前記方法は前記受信機によって実行され、前記受信機は単にそれが前記特権を持つサブセットのメンバーである場合に前記方法を実行する方法。
- 請求項1に記載の方法において、前記擬似ランダム関数はAES−XCBC−MACに基づく方法。
- 請求項1に記載の方法において、前記擬似ランダム関数はHMAC SHA1に基づく方法。
- 請求項1に記載の方法において、前記擬似ランダム関数は付加的なソルトパラメータを採用する方法。
- 受信機において、
記憶装置と論理を備える改竄防止環境と、
前記改竄防止環境に記憶された複数のコンポーネントキーとデバイスIDであって、ここでは、前記受信機がメンバーではない各可能なサブセットXに対応する少なくとも1つのコンポーネントキーが存在し、前記サブセットXはkよりも少ないメンバーを有する受信機の全てのセットを記述する、前記複数のコンポーネントキーとデバイスIDと、を備えており、
ここで、特権を持つグループの定義の受け取り時に、前記改竄防止環境における論理は、前記特権を持つグループのメンバーを含まない前記サブセットXを判断し、そのようなグループは各々、反復順序付け関数によって決定されるものとして順序付けされ、前記順序付けされたグループに関連する前記コンポーネントキーは、擬似ランダム関数のためのパラメータとして使用され、且つ、前記順序付け関数によって命令された順序で適用され、
前記擬似ランダム関数の出力は特権を持つグループキーであること、
を特徴とする受信機。 - 請求項7に記載の受信機において、前記擬似ランダム関数はAES−XCBC−MACに基づく受信機。
- 請求項7に記載の受信機において、前記擬似ランダム関数はHMAC SHA1に基づく受信機。
- 請求項7に記載の受信機において、前記擬似ランダム関数は付加的なソルトパラメータを採用する受信機。
- グループキーを発生するプログラム製品において、
コンピュータ読み取り可能な媒体と、
前記コンピュータ読み取り可能な媒体に記憶され、サブセットXを順序付けする反復順序付け関数を定義するプログラムコードであって、サブセットXは所定数のメンバーよりも小さなメンバーを有する全ての受信機のセットのサブセットである、前記プログラムコードと、
前記コンピュータ読み取り可能な媒体に記憶され、グループ定義の受け取り時に、どのサブセットXが前記グループ定義内のいずれのメンバーをも含まないのかを判断し、且つ、そのようなサブセットXの各々に関連するコンポーネントキーを識別する、プログラムコードと、
前記コンピュータ読み取り可能な媒体に記憶され、任意の数のコンポーネントキーを入力として採用してグループキーを出力する擬似ランダム関数を備える、プログラムコードと、
前記コンピュータ読み取り可能な媒体に記憶され、前記グループ定義内のメンバーを前記擬似ランダム関数に対する入力として含まないXのサブセットと関連するコンポーネントキーを使用するプログラムコードであって、ここで、前記コンポーネントキーは、前記反復順序付け関数によって与えられた順序で前記擬似ランダム関数に適用され、前記擬似ランダム関数の前記出力は、特権を持つ受信機特有のグループキーである、前記プログラムコードと、
を備えることを特徴とするプログラム製品。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US67495905P | 2005-04-25 | 2005-04-25 | |
| PCT/IB2006/000992 WO2006114684A2 (en) | 2005-04-25 | 2006-04-24 | Method and apparatus for group key generation |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008538875A true JP2008538875A (ja) | 2008-11-06 |
Family
ID=37215119
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008507190A Pending JP2008538875A (ja) | 2005-04-25 | 2006-04-24 | グループキー発生方法及び装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8391478B2 (ja) |
| EP (1) | EP1875655B1 (ja) |
| JP (1) | JP2008538875A (ja) |
| KR (1) | KR100971992B1 (ja) |
| CN (1) | CN101164274B (ja) |
| BR (1) | BRPI0610402A2 (ja) |
| MX (1) | MX2007012748A (ja) |
| WO (1) | WO2006114684A2 (ja) |
| ZA (1) | ZA200710089B (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8233623B2 (en) * | 2006-05-08 | 2012-07-31 | Qualcomm Incorporated | Methods and systems for blackout provisioning in a distribution network |
| EP1998488A1 (de) * | 2007-05-26 | 2008-12-03 | DSI Informationstechnik GmbH | Personalisierte AES Verschlüsselung |
| US20110099362A1 (en) * | 2008-06-23 | 2011-04-28 | Tomoyuki Haga | Information processing device, encryption key management method, computer program and integrated circuit |
| JP5500923B2 (ja) * | 2008-11-27 | 2014-05-21 | キヤノン株式会社 | 情報処理装置 |
| US8510552B2 (en) | 2010-04-07 | 2013-08-13 | Apple Inc. | System and method for file-level data protection |
| US8788842B2 (en) * | 2010-04-07 | 2014-07-22 | Apple Inc. | System and method for content protection based on a combination of a user PIN and a device specific identifier |
| CN102468955B (zh) * | 2010-11-15 | 2014-10-08 | 中国移动通信集团公司 | 物联网中用户组的成员节点与网络侧通信的方法和设备 |
| US8751804B1 (en) * | 2011-06-30 | 2014-06-10 | Decho Corporation | Controlling access to data within encrypted copies of files using salt parameters |
| US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
| US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
| CN103281570B (zh) * | 2013-04-25 | 2016-04-20 | 河海大学 | 免费接收者数量可控的广播加密方法 |
| US10944557B2 (en) * | 2018-04-25 | 2021-03-09 | Nxp B.V. | Secure activation of functionality in a data processing system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5592552A (en) * | 1993-08-25 | 1997-01-07 | Algorithmic Research Ltd. | Broadcast encryption |
| JP2003195757A (ja) * | 2001-11-06 | 2003-07-09 | Docomo Communications Laboratories Usa Inc | 前方安全性を備えた改良型ansix9.17および改良型fips186用の疑似乱数生成器 |
| US6735313B1 (en) * | 1999-05-07 | 2004-05-11 | Lucent Technologies Inc. | Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US2391142A (en) * | 1944-06-15 | 1945-12-18 | Henry M Herbener | Toolholder |
| US5381481A (en) * | 1993-08-04 | 1995-01-10 | Scientific-Atlanta, Inc. | Method and apparatus for uniquely encrypting a plurality of services at a transmission site |
| US5757923A (en) * | 1995-09-22 | 1998-05-26 | Ut Automotive Dearborn, Inc. | Method of generating secret identification numbers |
| JPH118615A (ja) | 1997-06-16 | 1999-01-12 | Hitachi Ltd | データ暗号化システム、情報処理装置、icカード、記録媒体およびデータの暗号方法 |
| WO2000011871A1 (en) * | 1998-08-23 | 2000-03-02 | Open Entertainment, Inc. | Transaction system for transporting media files from content provider sources to home entertainment devices |
| GB2394629B (en) | 1999-07-15 | 2004-06-09 | Nds Ltd | Key management for content protection |
| US6898288B2 (en) * | 2001-10-22 | 2005-05-24 | Telesecura Corporation | Method and system for secure key exchange |
| JP3900483B2 (ja) * | 2002-06-24 | 2007-04-04 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報配信システム、そのサーバ及び情報処理装置 |
| CN1241350C (zh) | 2002-09-23 | 2006-02-08 | 国际商业机器公司 | 有条件接收系统中的密钥分配方法及装置 |
| KR20040068499A (ko) * | 2003-01-24 | 2004-07-31 | 마쯔시다덴기산교 가부시키가이샤 | 공유키 교환방법과 통신기기 |
| CN1444167A (zh) * | 2003-04-23 | 2003-09-24 | 浙江大学 | 一种椭圆曲线上基于公钥证书的数字签名方法 |
-
2006
- 2006-04-24 KR KR1020077027203A patent/KR100971992B1/ko active IP Right Grant
- 2006-04-24 BR BRPI0610402-9A patent/BRPI0610402A2/pt active Search and Examination
- 2006-04-24 MX MX2007012748A patent/MX2007012748A/es active IP Right Grant
- 2006-04-24 US US11/379,813 patent/US8391478B2/en not_active Expired - Fee Related
- 2006-04-24 EP EP06744551.0A patent/EP1875655B1/en not_active Not-in-force
- 2006-04-24 JP JP2008507190A patent/JP2008538875A/ja active Pending
- 2006-04-24 WO PCT/IB2006/000992 patent/WO2006114684A2/en not_active Application Discontinuation
- 2006-04-24 CN CN2006800137830A patent/CN101164274B/zh not_active Expired - Fee Related
-
2007
- 2007-11-22 ZA ZA200710089A patent/ZA200710089B/xx unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5592552A (en) * | 1993-08-25 | 1997-01-07 | Algorithmic Research Ltd. | Broadcast encryption |
| US6735313B1 (en) * | 1999-05-07 | 2004-05-11 | Lucent Technologies Inc. | Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers |
| JP2003195757A (ja) * | 2001-11-06 | 2003-07-09 | Docomo Communications Laboratories Usa Inc | 前方安全性を備えた改良型ansix9.17および改良型fips186用の疑似乱数生成器 |
Also Published As
| Publication number | Publication date |
|---|---|
| BRPI0610402A2 (pt) | 2012-01-10 |
| WO2006114684A2 (en) | 2006-11-02 |
| CN101164274B (zh) | 2011-01-26 |
| EP1875655A4 (en) | 2013-12-18 |
| MX2007012748A (es) | 2008-01-14 |
| US20070189540A1 (en) | 2007-08-16 |
| CN101164274A (zh) | 2008-04-16 |
| ZA200710089B (en) | 2009-07-29 |
| KR100971992B1 (ko) | 2010-07-22 |
| WO2006114684A3 (en) | 2007-01-18 |
| KR20080004625A (ko) | 2008-01-09 |
| US8391478B2 (en) | 2013-03-05 |
| EP1875655A2 (en) | 2008-01-09 |
| EP1875655B1 (en) | 2017-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008538875A (ja) | グループキー発生方法及び装置 | |
| US7260215B2 (en) | Method for encryption in an un-trusted environment | |
| US7328343B2 (en) | Method and apparatus for hybrid group key management | |
| CN113259329B (zh) | 一种数据不经意传输方法、装置、电子设备及存储介质 | |
| JP2014530554A (ja) | グループメンバによるグループ秘密の管理 | |
| Kumar et al. | A survey on current key issues and status in cryptography | |
| WO2020085151A1 (ja) | サーバ装置、通信端末、通信システム、及びプログラム | |
| Lv et al. | Efficiently attribute-based access control for mobile cloud storage system | |
| US20070203843A1 (en) | System and method for efficient encryption and decryption of drm rights objects | |
| KR101695361B1 (ko) | 페어링 연산 및 비밀키를 이용한 술어 암호화 방법 | |
| Backes et al. | Fully secure inner-product proxy re-encryption with constant size ciphertext | |
| CN101889412B (zh) | 在Boneh-Franklin方案中生成私钥的方法 | |
| JP4664692B2 (ja) | 暗号化方法、復号方法、暗号化装置、復号装置、暗号装置、およびプログラム | |
| JP2001285278A (ja) | 暗号通信方法及び暗号通信システム | |
| Dolev et al. | Magnifying computing gaps: Establishing encrypted communication over unidirectional channels | |
| KR101306211B1 (ko) | 아이디 기반의 브로드캐스트 암호화 방법 | |
| CN111556079B (zh) | 基于身份加密的可控匿名通信方法 | |
| CN110113331B (zh) | 一种隐藏访问结构的分布式密文策略属性基加密方法 | |
| JP2001285279A (ja) | 暗号通信方法及び暗号通信システム | |
| JP2003309544A (ja) | 暗号鍵配送装置 | |
| Narayanan et al. | An Efficient User Revocation and Encryption Methods for Secure Multi-Owner Data Sharing to Dynamic Groups in the Cloud | |
| Rajashekar et al. | RSA CP-ABE with Access Tree Structure for Secure Revocable Scheme for Building Trust Model | |
| CN114342315A (zh) | 网络中多个实体之间的对称密钥生成、认证和通信 | |
| Kuang-Hui et al. | A new group key generating model for group sharing | |
| CN116389006A (zh) | 一种基于属性的访问控制加密方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101101 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110201 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110208 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110426 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110606 |