專利名稱:會(huì)話密鑰的同步的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全通信系統(tǒng)和方法�,其中在一次包括從一個(gè)源設(shè)備到至少一個(gè)宿設(shè)備傳送多個(gè)分組的通信會(huì)話中在該源和宿設(shè)備之間傳送信息����,其中這些分組中的數(shù)據(jù)在動(dòng)態(tài)變化的會(huì)話密鑰的控制下被加密����。本發(fā)明還涉及用于這種系統(tǒng)的宿設(shè)備和宿設(shè)備能夠執(zhí)行的軟件�。
用以在經(jīng)通信信道傳輸期間保護(hù)數(shù)據(jù)的協(xié)議一般包括多個(gè)不同階段���。例如,該協(xié)議可能包括下面五個(gè)階段。在第一階段即認(rèn)證階段���,源和宿設(shè)備互相認(rèn)證���。在第二階段即密鑰交換階段,隨機(jī)數(shù)和密鑰資料被建立���、加密和交換���。在第三階段即密鑰生成階段期間,使用所交換的密鑰資料建立一個(gè)會(huì)話密鑰。在第四階段即信息傳輸階段����,內(nèi)容使用會(huì)話密鑰進(jìn)行加密、從源傳送到宿設(shè)備�����、并使用相同的會(huì)話密鑰由宿設(shè)備進(jìn)行解密�����。最后��,在第五階段即密鑰更新階段�,會(huì)話密鑰被更新。在階段四期間周期性地執(zhí)行密鑰更新階段�。密鑰更新階段的主要目的是確保單個(gè)會(huì)話密鑰的攻破僅造成內(nèi)容的有限暴露。
在許多系統(tǒng)中�����,會(huì)話密鑰序列使用源和宿設(shè)備雙方都知道的算法來產(chǎn)生。此算法用密鑰交換階段中雙方設(shè)備已經(jīng)交換的密鑰資料進(jìn)行初始化����。通常,源設(shè)備控制會(huì)話密鑰何時(shí)被更新�。這產(chǎn)生了源和宿設(shè)備中密鑰更新同步的問題�。
大部分?jǐn)?shù)字通信系統(tǒng)如IEEE 1394和USB以分組序列傳送數(shù)據(jù)。在一些系統(tǒng)中在未加密的分組頭中分配某個(gè)特定域來同步會(huì)話密鑰更新���。然后源設(shè)備可以在該域設(shè)置一個(gè)更新標(biāo)志來通知會(huì)話密鑰的變化�。然而�,如果內(nèi)容保護(hù)機(jī)制必須隨現(xiàn)有通信系統(tǒng)而更新,則通常不可能向分組頭添加域��。在那種情況下���,可以在分組的數(shù)據(jù)域(也稱為凈荷域)(的未加密部分)中分配一個(gè)特定域�。在這兩種情況下,由于更新標(biāo)志不受阻礙�,會(huì)提供給攻擊者一些信息。
已知的是通過用當(dāng)前會(huì)話密鑰以及密鑰序列中的下一密鑰對(duì)分組的數(shù)據(jù)域進(jìn)行解密并選擇使解密數(shù)據(jù)有意義的密鑰來補(bǔ)救此不足���。使用此方法����,從一個(gè)會(huì)話密鑰轉(zhuǎn)變到下一個(gè)密鑰被自動(dòng)檢測(cè)�。然而,確定解密數(shù)據(jù)是否有意義需要知道有關(guān)正被傳送信息的情況�。因?yàn)榍闆r不總是這樣,所以限制了本方法的應(yīng)用����。
本發(fā)明的目的是提供一種克服上述缺陷的安全通信系統(tǒng)、宿設(shè)備和完全通信方法�。
為滿足本發(fā)明的目的,一種安全通信系統(tǒng)包括一個(gè)源設(shè)備和至少一個(gè)宿設(shè)備�����;在一個(gè)包括從源設(shè)備向宿設(shè)備傳送多個(gè)分組的通信會(huì)話中����,信息從源設(shè)備傳送到宿設(shè)備����;每個(gè)分組包括一個(gè)用于傳送部分信息的數(shù)據(jù)域�;源設(shè)備包括一個(gè)密鑰產(chǎn)生器�����,用于由源設(shè)備主動(dòng)產(chǎn)生在預(yù)定的源會(huì)話密鑰Ksourcei序列中的活動(dòng)源會(huì)話密鑰��;一個(gè)加密器���,用于在活動(dòng)源會(huì)話密鑰的控制下對(duì)一個(gè)分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行加密���;數(shù)據(jù)域的加密部分包括一個(gè)指定為密鑰校驗(yàn)塊域的子域;宿設(shè)備包括一個(gè)密鑰產(chǎn)生器����,用于產(chǎn)生在預(yù)定的宿會(huì)話密鑰Ksinki序列中的多個(gè)候選宿會(huì)話密鑰,其中對(duì)序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei�;一個(gè)解密器,用于在一個(gè)宿會(huì)話密鑰控制下對(duì)一個(gè)所接收分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行解密���;一個(gè)密鑰分析器��,其作用在于通過使解密器在多個(gè)候選宿會(huì)話密鑰中每次一個(gè)不同密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中數(shù)據(jù)進(jìn)行解密���,直至發(fā)現(xiàn)一個(gè)有效的解密結(jié)果,來確定哪個(gè)候選宿會(huì)話密鑰對(duì)應(yīng)用于加密所接收分組加密部分的源會(huì)話密鑰����;并使解密器在產(chǎn)生有效解密結(jié)果的候選宿會(huì)話密鑰的控制下對(duì)分組數(shù)據(jù)域的剩余加密部分進(jìn)行解密。
通過包括獨(dú)立于分組中的其他數(shù)據(jù)的單獨(dú)密鑰校驗(yàn)塊�����,宿設(shè)備可以容易證實(shí)應(yīng)該用哪個(gè)候選宿會(huì)話密鑰來解密數(shù)據(jù)��。以這種方式宿設(shè)備不需要正被傳送的加密數(shù)據(jù)的預(yù)先知識(shí)����。而且�����,密鑰校驗(yàn)塊可以相對(duì)較短(如對(duì)CBC密碼一個(gè)塊的大小)�����,以便使僅一小部分加密信息需要在一個(gè)以上密鑰的控制下進(jìn)行解密�。而大部分加密數(shù)據(jù)僅需要在所確定的宿會(huì)話密鑰的控制下進(jìn)行解密���。通常,僅使用兩個(gè)候選會(huì)話密鑰�����。同樣可以試驗(yàn)更多的候選密鑰例如來克服傳送期間分組的丟失��。會(huì)話密鑰對(duì)于每個(gè)連續(xù)分組最好不變以減少產(chǎn)生密鑰的工作�����。在此情況下�,候選宿會(huì)話密鑰集合將包括當(dāng)前選定的宿會(huì)話密鑰Ksinki和序列中接下來的至少一個(gè)宿會(huì)話密鑰Ksinki+1�;其中當(dāng)前選定的宿會(huì)話密鑰Ksinki對(duì)應(yīng)用于加密前一接收分組的加密部分的源會(huì)話密鑰Ksourcei�����。應(yīng)認(rèn)識(shí)到無論何時(shí)宿設(shè)備檢測(cè)到會(huì)話密鑰的變化��,宿設(shè)備通常將產(chǎn)生下一候選宿會(huì)話密鑰以包括在對(duì)下一分組試驗(yàn)的候選密鑰集中��。
如從屬權(quán)利要求2的手段中所定義����,密鑰校驗(yàn)塊的內(nèi)容可以是公用的。這使候選密鑰的驗(yàn)證非常簡(jiǎn)單��。對(duì)每個(gè)候選密鑰的解密結(jié)果可以簡(jiǎn)單地與公用密鑰校驗(yàn)塊比較��;匹配可指明對(duì)應(yīng)用于加密分組中的加密數(shù)據(jù)的源會(huì)話密鑰的宿會(huì)話密鑰����。
如從屬權(quán)利要求3的手段中所定義,該數(shù)據(jù)塊在整個(gè)通信會(huì)話中是已商定的�����。該協(xié)議可以作為密鑰產(chǎn)生階段的一部分實(shí)現(xiàn)�,其中所交換的密鑰資料用于產(chǎn)生密鑰校驗(yàn)塊��。通過具有在整個(gè)會(huì)話期間固定的密鑰校驗(yàn)塊�����,密鑰更新過程依然簡(jiǎn)單��。如果一個(gè)CBC模式的塊密碼用于加密分組數(shù)據(jù)�,則最好是密鑰校驗(yàn)塊與加密算法的塊大小具有相同(或者多倍)長度��。不幸的是這造成了系統(tǒng)的一個(gè)弱點(diǎn)���,因?yàn)榧用艿拿荑€校驗(yàn)塊(通常是分組數(shù)據(jù)域預(yù)定位置的一個(gè)塊)連同(公共)已知的密鑰校驗(yàn)塊為徹底密鑰查找提供了信息���。通過不使用公用密鑰校驗(yàn)塊���,安全性可得到增強(qiáng)���。
如從屬權(quán)利要求4的手段中所定義,密鑰校驗(yàn)塊在會(huì)話期間改變���。這增強(qiáng)了安全性并降低了在一個(gè)通信會(huì)話內(nèi)出現(xiàn)連續(xù)徹底查找的機(jī)率�。
如從屬權(quán)利要求5的手段中所定義,一個(gè)預(yù)定的算法用于產(chǎn)生密鑰校驗(yàn)塊和實(shí)現(xiàn)塊變化����。密鑰校驗(yàn)塊產(chǎn)生器可以非常簡(jiǎn)單,類似產(chǎn)生一個(gè)循環(huán)數(shù)字序列����。同樣,也可以使用類似于產(chǎn)生會(huì)話密鑰的那些算法的更復(fù)雜算法���。例如���,可能使用一個(gè)隨機(jī)數(shù)字產(chǎn)生器,由在密鑰交換階段交換的密鑰資料初始化����。密鑰校驗(yàn)塊改變的時(shí)刻可以預(yù)定(如每第100個(gè)分組或者每個(gè)分組)。有利的是�����,改變時(shí)刻取決于會(huì)話密鑰改變的時(shí)刻����。例如����,如果會(huì)話密鑰的變化被檢測(cè)到����,則這也通知密鑰校驗(yàn)塊的變化。
如從屬權(quán)利要求6的手段中所定義����,密鑰校驗(yàn)塊取決于一個(gè)先前分組的數(shù)據(jù),例如前面緊挨的分組的數(shù)據(jù)����。使用合適的算法密鑰校驗(yàn)塊可以從一個(gè)先前分組的數(shù)據(jù)中導(dǎo)出。由于數(shù)據(jù)本身通常有很大不同��,所以可以使用一種相對(duì)簡(jiǎn)單的算法來產(chǎn)生密鑰校驗(yàn)塊�。如果需要,也可以使用強(qiáng)的算法�,例如散列算法�。
如從屬權(quán)利要求8的手段中所定義,密鑰校驗(yàn)塊是一個(gè)先前分組中部分?jǐn)?shù)據(jù)的直接“復(fù)制”���。在此情況下�����,這樣的數(shù)據(jù)部分最好以加密形式傳送����,其中用于驗(yàn)證下一分組密鑰的密鑰校驗(yàn)塊由該先前分組中那個(gè)數(shù)據(jù)部分的明文形式來形成。由于在連續(xù)分組中數(shù)據(jù)通常改變���,所以密鑰校驗(yàn)塊也改變�����。通過使用此改變的數(shù)據(jù)��,不需要算法來產(chǎn)生密鑰校驗(yàn)塊序列����,也不需要添加任何額外的信息來通知密鑰校驗(yàn)塊的改變����。在一個(gè)優(yōu)選實(shí)施方案中,考慮到快速識(shí)別����,密鑰校驗(yàn)塊域位于數(shù)據(jù)域的加密部分的開始��。最好包含下一密鑰校驗(yàn)塊的(加密)數(shù)據(jù)的數(shù)據(jù)塊位于數(shù)據(jù)域的加密部分的第二或者最后塊���。
為滿足本發(fā)明的目的,提供了一種在一個(gè)源設(shè)備和至少一個(gè)宿設(shè)備之間安全通信的方法��;在一個(gè)包括從源設(shè)備向宿設(shè)備傳送多個(gè)分組的通信會(huì)話中����,信息從源設(shè)備傳送到宿設(shè)備;每個(gè)分組包括一個(gè)用于傳送部分信息的數(shù)據(jù)域�����;該方法包括源設(shè)備主動(dòng)產(chǎn)生在預(yù)定的源會(huì)話密鑰Ksourcei序列中的活動(dòng)源會(huì)話密鑰��;在活動(dòng)源會(huì)話密鑰的控制下對(duì)一個(gè)分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行加密����;數(shù)據(jù)域的加密部分包括一個(gè)指定為密鑰校驗(yàn)塊域的子域;從源設(shè)備向宿設(shè)備傳送分組����;產(chǎn)生在預(yù)定的宿會(huì)話密鑰Ksinki序列中的多個(gè)候選宿會(huì)話密鑰,其中對(duì)于序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei����;通過在多個(gè)候選宿會(huì)話密鑰中的每次一個(gè)不同密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中數(shù)據(jù)進(jìn)行解密,直至發(fā)現(xiàn)一個(gè)有效的解密結(jié)果����,來確定哪個(gè)候選宿會(huì)話密鑰對(duì)應(yīng)用于加密所接收分組加密部分的源會(huì)話密鑰;以及在產(chǎn)生有效解密結(jié)果的候選宿會(huì)話密鑰的控制下對(duì)分組數(shù)據(jù)域的剩余加密部分進(jìn)行解密���。
本發(fā)明的這些和其他方面參考附圖中所示實(shí)施方案將會(huì)很明顯和被闡明�����。
圖1表示一種根據(jù)本發(fā)明的系統(tǒng)100的框圖�;圖2表示了一種示例分組結(jié)構(gòu)���;圖3闡明了一種參考密鑰校驗(yàn)塊動(dòng)態(tài)改變的實(shí)施方案的框圖��;圖4闡明了實(shí)現(xiàn)動(dòng)態(tài)改變參考密鑰校驗(yàn)塊的一種優(yōu)選實(shí)施方案���;圖5表示了一種優(yōu)選分組結(jié)構(gòu);圖6闡明了密碼文本竊取方法����;以及圖7表示了在一個(gè)優(yōu)選實(shí)施方案中的協(xié)議步驟��。
圖1表示一種根據(jù)本發(fā)明的系統(tǒng)100的框圖�。系統(tǒng)包括至少一個(gè)源設(shè)備�����,表示為設(shè)備110和120���,和至少一個(gè)宿設(shè)備表示為130和140��。這些設(shè)備可以經(jīng)通信介質(zhì)150進(jìn)行通信��。這可以是任何合適的通信介質(zhì)�����,有線或者無線均可���。通信可以用于本地目的,如遍及整幢房子或者在較小組中��,如一組音頻/視頻設(shè)備��,或者一組帶外設(shè)的計(jì)算機(jī)。通信也可以在廣域范圍內(nèi)�����,如經(jīng)電話線或電纜網(wǎng)絡(luò)或某些形式的衛(wèi)星通信的接入使用因特網(wǎng)���。通常,通信是雙向的����。圖1表示了源設(shè)備110和宿設(shè)備130的細(xì)節(jié)。描述中假設(shè)信息(即實(shí)際數(shù)據(jù)�����,諸如視頻節(jié)目或音頻標(biāo)題)從一個(gè)源設(shè)備向一個(gè)宿設(shè)備發(fā)送��。實(shí)際上一個(gè)以上的宿設(shè)備可以接收該信息(如使用各自的通信信道或廣播/組播技術(shù))���。該設(shè)備包括經(jīng)媒介150傳送和接收分組的普通設(shè)備����。取決于介質(zhì)��,這樣的設(shè)備可以由電話或電纜調(diào)制解調(diào)器或總線接口來組成。
圖2表示了用于從源設(shè)備向宿設(shè)備傳送一部分信息的一種示例分組結(jié)構(gòu)200���。通常信息在包括分組序列的一個(gè)會(huì)話中被傳送��,其中分組攜帶要傳送的一部分信息��。源和宿設(shè)備對(duì)一個(gè)會(huì)話執(zhí)行多個(gè)操作僅一次�,如建立通信信道和交換基本密鑰資料����。通常,分組200包括可以使能宿設(shè)備中接收機(jī)低級(jí)同步的頭域210�,并且頭域中通常包括識(shí)別宿設(shè)備(和可選擇地源設(shè)備)和/或一個(gè)通信信道的信息。頭標(biāo)210也可能包括諸如分組類型的信息�。頭標(biāo)本身并不構(gòu)成本發(fā)明的部分。分組200也可能包括尾域220���,它可以表示分組結(jié)束而且可能包括諸如校驗(yàn)和(如以CRC的形式)的信息��。同樣尾域220也不是本發(fā)明的一部分�。分組包括數(shù)據(jù)域230(也稱為凈荷域)�����,用于容納要從源設(shè)備向宿設(shè)備傳送的數(shù)據(jù)字節(jié)。通常在一個(gè)會(huì)話的開始��,在數(shù)據(jù)域攜帶指令和具體數(shù)據(jù)來開始會(huì)話(通常使用異步分組)����。一旦會(huì)話已經(jīng)實(shí)際開始,數(shù)據(jù)域通常主要用于攜帶要傳送的信息部分(使用異步或同步分組��,取決于應(yīng)用和通信系統(tǒng))�����。對(duì)于本發(fā)明來說���,要以安全方式傳送的信息是使用通信的異步類型分組還是同步形式(或甚至二者的混合)進(jìn)行交換是不重要的。如圖2所示�,數(shù)據(jù)域包括一個(gè)密鑰校驗(yàn)塊(KCB)子域232。該KCB域由源設(shè)備(或者在源設(shè)備控制下)使用源設(shè)備選定的會(huì)話密鑰進(jìn)行加密�。通常,在信息交換期間數(shù)據(jù)域230的剩余部分也使用相同的會(huì)話密鑰進(jìn)行加密���。在某些情況下���,加密所有的數(shù)據(jù)是不必要的�����。在這種情況下��,除了KCB子域232���,數(shù)據(jù)域還具有一個(gè)加密數(shù)據(jù)(ED)子域234和一個(gè)平數(shù)據(jù)(PD)子域236。所以�����,KCB和ED子域都被加密�����,如238所示�����。在剩余部分中假設(shè)數(shù)據(jù)域230中所有數(shù)據(jù)都被加密�。
參考圖1,源設(shè)備110包括一個(gè)密鑰產(chǎn)生器112用于在預(yù)定的源會(huì)話密鑰Ksourcei序列中產(chǎn)生的一個(gè)源會(huì)話密鑰�。密鑰產(chǎn)生器僅需要一次產(chǎn)生一個(gè)會(huì)話密鑰。為描述方便假設(shè)一個(gè)分組中的數(shù)據(jù)在僅一個(gè)密鑰的控制下進(jìn)行加密。如果需要�����,本領(lǐng)域的技術(shù)人員可以容易的修改系統(tǒng)以使用不同算法和/或不同密鑰對(duì)一個(gè)分組中數(shù)據(jù)的不同部分進(jìn)行加密�����?��?梢允褂萌魏芜m當(dāng)?shù)拿荑€產(chǎn)生算法���。例如����,可以使用隨機(jī)數(shù)字產(chǎn)生器,由源和宿設(shè)備之間所交換的初始密鑰信息來輸入���。一個(gè)密鑰改變器114觸發(fā)密鑰產(chǎn)生器112來產(chǎn)生一個(gè)源會(huì)話密鑰�,用作下面要加密的至少一個(gè)分組的活動(dòng)源會(huì)話密鑰����。控制密鑰改變的算法可以非常簡(jiǎn)單,例如每個(gè)連續(xù)分組可以使用下一會(huì)話密鑰進(jìn)行加密�����,或者在規(guī)則時(shí)間如每秒(例如由定時(shí)器控制)可以使用下一會(huì)話密鑰����。一個(gè)加密器116用于在活動(dòng)源會(huì)話密鑰的控制下對(duì)一個(gè)分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行加密。如圖2所示����,數(shù)據(jù)域的加密部分包括一個(gè)指定容納密鑰校驗(yàn)塊的子域??梢允褂萌魏芜m當(dāng)?shù)募用芩惴ǎ笤贑BC模式中運(yùn)行的DES���。
宿設(shè)備130包括一個(gè)密鑰產(chǎn)生器132用以在預(yù)定的宿會(huì)話密鑰Ksinki序列中產(chǎn)生一個(gè)宿會(huì)話密鑰�。源和宿密鑰序列相對(duì)應(yīng)���。所以�����,對(duì)序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei�。密鑰之間對(duì)應(yīng)的細(xì)節(jié)由所使用的加密/解密算法來確定。例如�����,對(duì)對(duì)稱加密算法象DES�,解密密鑰和加密密鑰相同。對(duì)非對(duì)稱算法象RSA����,在加密和解密密鑰之間存在一種預(yù)定的關(guān)系,它確保解密過程具有與加密過程相比相反的作用����。宿設(shè)備130還包括一個(gè)解密器134以在宿會(huì)話密鑰的控制下對(duì)所接收分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行解密。假設(shè)使用了對(duì)應(yīng)的密鑰���,解密器134進(jìn)行與加密器116相比“相反”�。的操作����。宿設(shè)備還包括一個(gè)密鑰分析器136���,它通過檢驗(yàn)這些密鑰中哪個(gè)成功地解密密鑰校驗(yàn)塊來測(cè)試多個(gè)候選宿會(huì)話密鑰��。為此��,密鑰分析器136的作用在于使解密器134在多個(gè)候選宿會(huì)話密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中的數(shù)據(jù)進(jìn)行解密�����。最好在每次解密后���,密鑰分析器136驗(yàn)證所測(cè)試的候選宿會(huì)話密鑰是否對(duì)經(jīng)密鑰校驗(yàn)塊域傳送的密鑰校驗(yàn)塊產(chǎn)生正確解密結(jié)果���。重復(fù)此步直至已發(fā)現(xiàn)密鑰。然后選擇產(chǎn)生正確解密結(jié)果的候選密鑰以進(jìn)一步使用����。解密器134用于在選定的宿會(huì)話密鑰的控制下對(duì)分組的剩余加密數(shù)據(jù)域部分進(jìn)行解密。密鑰分析器136也可確保候選宿密鑰列表保持最新����。所以,如果已檢測(cè)到密鑰變化�,最好向候選宿會(huì)話密鑰集中增加至少一個(gè)新候選密鑰。為此���,如果一個(gè)不同于當(dāng)前選定的宿會(huì)話密鑰Ksinki的候選宿會(huì)話密鑰產(chǎn)生了一個(gè)正確的密鑰校驗(yàn)塊解密結(jié)果�,則密鑰分析器136確保密鑰產(chǎn)生器132產(chǎn)生下一宿會(huì)話密鑰作為一個(gè)候選的宿會(huì)話密鑰。如果系統(tǒng)支持會(huì)話密鑰的“跳越”(例如為克服傳送期間一個(gè)或多個(gè)分組的丟失)�����,則密鑰分析器136最好檢測(cè)到正確的宿會(huì)話密鑰不是序列中的下一個(gè)而是序列中一個(gè)或者多個(gè)位置的會(huì)話密鑰��,并確保所有跳越的密鑰從候選宿會(huì)話密鑰集中去除且該集用所需要的新數(shù)目候選密鑰更新�����。密鑰產(chǎn)生器如何驗(yàn)證密鑰校驗(yàn)塊中數(shù)據(jù)的解密是有效的��,要取決于密鑰校驗(yàn)塊定義的方式�。下面定義了各種可選方式。
在一個(gè)實(shí)施方案中��,在密鑰校驗(yàn)塊域中傳送的明文形式的密鑰校驗(yàn)塊(即參考密鑰校驗(yàn)塊)是公共數(shù)據(jù)塊�。這使驗(yàn)證哪個(gè)候選宿密鑰對(duì)應(yīng)用于加密所接收分組的宿密鑰非常簡(jiǎn)單。例如����,第一候選宿密鑰可用于解密密鑰校驗(yàn)塊域中的數(shù)據(jù)。如果解密的數(shù)據(jù)與參考密鑰校驗(yàn)塊匹配�,則此候選密鑰就是所要的密鑰��。如果不匹配,則使用下一候選密鑰直至發(fā)現(xiàn)匹配��。參考密鑰校驗(yàn)塊(公共數(shù)據(jù)塊)可以存儲(chǔ)在永久存儲(chǔ)器上�,如ROM。
在一個(gè)實(shí)施方案中�,密鑰校驗(yàn)塊域中傳送的明文形式的密鑰校驗(yàn)塊是在開始信息傳送之前源和宿設(shè)備之間已商定的數(shù)據(jù)塊,并用于整個(gè)通信會(huì)話�。用作明文形式的密鑰校驗(yàn)塊(即參考密鑰校驗(yàn)塊)的數(shù)據(jù)塊最好使用安全的方法協(xié)商。任何適合的方法都可以使用���,如基于公共密鑰的加密��。最好��,參考密鑰校驗(yàn)塊從在會(huì)話開始時(shí)交換的密鑰資料中導(dǎo)出����,使之不必添加任何額外的數(shù)據(jù)秘密交換�����。驗(yàn)證候選密鑰的方法與上面描述的相同��。然而�����,在此情況下參考密鑰校驗(yàn)塊最好存儲(chǔ)在可重寫存儲(chǔ)器中。最好�����,這樣一個(gè)存儲(chǔ)器是安全的��,可防止黑客的訪問����。
在一個(gè)實(shí)施方案中,密鑰校驗(yàn)塊域中的明文形式的密鑰校驗(yàn)塊(參考密鑰校驗(yàn)塊)在通信會(huì)話期間至少改變一次���。圖3闡明了一種實(shí)現(xiàn)參考密鑰校驗(yàn)塊動(dòng)態(tài)改變的方法�����。在此實(shí)施方案中�����,源設(shè)備110包括一個(gè)密鑰校驗(yàn)塊產(chǎn)生器118以產(chǎn)生明文形式的密鑰校驗(yàn)塊�。最好,密鑰校驗(yàn)塊產(chǎn)生器118也影響參考密鑰校驗(yàn)塊的變化(例如在預(yù)定數(shù)量的分組被發(fā)送后或者在預(yù)定時(shí)間過去后)�。宿設(shè)備130包括一個(gè)對(duì)應(yīng)的密鑰校驗(yàn)塊產(chǎn)生器138��。源設(shè)備可以觸發(fā)密鑰校驗(yàn)塊的變化���,例如通過在分組中設(shè)置標(biāo)志(最好以加密形式傳送)或者與會(huì)話密鑰的變化相鏈接��?�?蛇x地����,宿設(shè)備可以使用與源設(shè)備相同的算法來觸發(fā)參考密鑰校驗(yàn)塊的變化���。
圖4闡明了一種優(yōu)選的實(shí)現(xiàn)參考密鑰校驗(yàn)塊動(dòng)態(tài)改變的優(yōu)選實(shí)施方案��。在此實(shí)施方案中���,參考密鑰校驗(yàn)塊的改變是通過從在實(shí)際使用密鑰校驗(yàn)塊的特定分組之前的一個(gè)分組中傳送的信息獲得參考密鑰校驗(yàn)塊來實(shí)現(xiàn)的。為此��,一個(gè)先前分組的數(shù)據(jù)被輸送到圖中所示的密鑰校驗(yàn)塊產(chǎn)生器118和138���。密鑰校驗(yàn)塊產(chǎn)生器可以使用合適的算法來從先前分組的數(shù)據(jù)中獲得參考密鑰校驗(yàn)塊��。由于數(shù)據(jù)本身通常變化很大�,所以可以使用一個(gè)相對(duì)簡(jiǎn)單的算法來產(chǎn)生密鑰校驗(yàn)塊。如果需要����,也可以用強(qiáng)算法,如散列算法���。最好是從前面緊挨的分組導(dǎo)出參考密鑰校驗(yàn)塊���。
在一個(gè)優(yōu)選實(shí)施方案中,特定分組的明文形式的密鑰校驗(yàn)塊等于該特定分組之前的一個(gè)分組的加密數(shù)據(jù)域部分中明文形式的預(yù)定數(shù)據(jù)塊而非密鑰校驗(yàn)塊����。這在圖5中闡明。分組500代表分組序列的第N個(gè)分組��。分組510代表分組序列的第N+1個(gè)分組�����。只有分組的加密部分被表示出來���。分組500的域232中的密鑰校驗(yàn)塊KCBN用于驗(yàn)證哪個(gè)密鑰用于加密分組500����。分組500也包括參考密鑰校驗(yàn)塊KCBN+1502,其將用于驗(yàn)證哪個(gè)密鑰用于加密下一分組510�。在示圖中,參考密鑰校驗(yàn)塊KCBN+1502組成加密數(shù)據(jù)域234的最后塊并包含從源向宿設(shè)備傳送的正常數(shù)據(jù)(所以KCBN+1502并非特別產(chǎn)生)��。應(yīng)當(dāng)理解的是示例中KCBN+1502用與分組500的域234中其他數(shù)據(jù)相同的源會(huì)話密鑰進(jìn)行加密�����。明文形式的KCBN+1502用作參考密鑰校驗(yàn)塊來驗(yàn)證分組510���。為此,分組510包括密鑰校驗(yàn)塊子域232中的參考密鑰校驗(yàn)塊KCBN+1�,但是現(xiàn)在以用于該分組的源會(huì)話密鑰(可能與用于前一分組的相同)進(jìn)行了加密。注意這并不會(huì)泄漏信息���,因?yàn)閮蓚€(gè)塊都進(jìn)行了加密����。使用適當(dāng)?shù)募用芩惴ㄈ缇哂蟹答伳J饺鏑BC加密模式的算法����,分組500中KCBN+1502的加密格式與分組510的域232中KCBN+1的加密格式并不相同����,即使使用了相同的會(huì)話密鑰�,這確保不可能通過比較這些塊而檢測(cè)到會(huì)話密鑰的變化。因此���,沒有泄漏關(guān)于可能的會(huì)話密鑰更新的信息���。而且,由于每個(gè)分組以不同密鑰校驗(yàn)塊開始而且在分組內(nèi)使用適當(dāng)加密算法象CBC加密模式�����,在分組的開始由普遍知道的數(shù)據(jù)塊(如在某些要傳送信息中頻繁出現(xiàn)的MPEG頭)的存在引起的可能的信息泄漏也減少了�����。使用圖5的機(jī)制���,最好第一密鑰校驗(yàn)塊(用于序列中第一分組)從在密鑰交換階段源和宿之間交換的信息中確定�。
為校驗(yàn)當(dāng)前分組使用哪個(gè)會(huì)話密鑰���,只有第一塊需要使用當(dāng)前會(huì)話密鑰和下一會(huì)話密鑰進(jìn)行解密�。如果密鑰校驗(yàn)塊的大小等于密碼的塊大小,則該結(jié)果明確地確定正確的會(huì)話密鑰��,因?yàn)橹榔谕裁礃拥拿荑€校驗(yàn)塊��。如果密鑰校驗(yàn)塊小于密碼塊大小��,則有幾種結(jié)果不確定的可能�����。
應(yīng)當(dāng)理解的是上述概念可方便地?cái)U(kuò)展����,可以通過使用密鑰校驗(yàn)塊���,或前或后密鑰校驗(yàn)塊或者雙方結(jié)合����,來獲得CBC模式中使用塊密碼所需的會(huì)話密鑰或初始向量����。
應(yīng)該注意的是可以克服分組丟失(并因而可克服用于校驗(yàn)下一塊會(huì)話密鑰的密鑰校驗(yàn)塊的丟失)�。參考圖5所示情形并假設(shè)分組N+1丟失�,宿設(shè)備可能試圖用兩個(gè)可能的候選宿會(huì)話密鑰對(duì)分組N+2的域232中的KCBN+2進(jìn)行解密,并將該結(jié)果與分組N的明文形式的KCBN+1502進(jìn)行比較���。即使其中一個(gè)候選密鑰是正確的��,由于KCBN+1502不應(yīng)使用(而是丟失的KCBN+1512應(yīng)被使用)故沒有發(fā)現(xiàn)匹配����。接下來包含用于分組N+3的密鑰校驗(yàn)塊的分組N+2的最后數(shù)據(jù)塊應(yīng)該用兩個(gè)候選密鑰進(jìn)行解密�。解密之一將產(chǎn)生有效參考密鑰校驗(yàn)塊KCBN+3。然后分組N+3的密鑰校驗(yàn)塊域232用所有候選密鑰進(jìn)行解密(如果該密鑰能夠在每個(gè)分組間改變���,則候選密鑰集現(xiàn)在可能包括三個(gè)密鑰)����。通過對(duì)KCBN+3的這兩個(gè)候選明文形式的解密結(jié)果進(jìn)行比較�����,很可能找到僅一個(gè)匹配�。此匹配確定了將用于分組N+2的密鑰(即產(chǎn)生分組N+2中KCBN+3的正確解密的那個(gè)密鑰)和將用于分組N+3的密鑰(即產(chǎn)生分組N+3中KCBN+3的正確解密的那個(gè)密鑰)。本領(lǐng)域的技術(shù)人員可以容易的擴(kuò)展這個(gè)原則來克服一個(gè)以上分組的丟失�����。
優(yōu)選實(shí)施方案塊密碼最好是密碼塊鏈(CBC)模式的數(shù)字加密標(biāo)準(zhǔn)(DES)。為保護(hù)數(shù)據(jù)凈荷和最小化數(shù)據(jù)凈荷開銷�����,優(yōu)選使用密鑰文本竊取(CTS)���。DES算法使用8字節(jié)塊長來處理���。因此,無論何時(shí)數(shù)據(jù)凈荷不是8字節(jié)倍數(shù)���,都必須采取一些措施來對(duì)包含小于8字節(jié)的最后數(shù)據(jù)塊進(jìn)行加密。一個(gè)可選方法是添加填充字節(jié)以使塊長又等于8�����。然而���,這增加了數(shù)據(jù)凈荷大小��,而且填充字節(jié)的數(shù)目還必須傳送到解密側(cè)以正確去除填充字節(jié)�。一個(gè)更好的方法是使用密碼文本竊取。除了最后8字節(jié)塊和最后“不完全”數(shù)據(jù)塊的剩余字節(jié)���,順序加密所有8字節(jié)塊���。這些字節(jié)連接成一個(gè)擴(kuò)展塊并區(qū)別對(duì)待。這樣擴(kuò)展的塊長范圍為9和15字節(jié)之間����。首先對(duì)擴(kuò)展塊的最后8字節(jié)進(jìn)行適當(dāng)加密。接下來對(duì)擴(kuò)展塊的第一個(gè)8字節(jié)進(jìn)行加密�����。這意味著一些字節(jié)進(jìn)行了兩次加密�。圖6闡明了CTS方法如何操作。作為一個(gè)例子����,假設(shè)數(shù)據(jù)凈荷大小為26字節(jié)。這產(chǎn)生了三個(gè)8字節(jié)數(shù)據(jù)塊和一個(gè)附加的2字節(jié)數(shù)據(jù)塊���。塊1和2可以直接加密�。然而����,接下來并非加密塊3����,而是加密塊3和塊4連接的最后8字節(jié)塊�。最后,加密塊3����。注意塊3部分已在前一階段中被加密并在最后階段中又被加密。解密期間���,簡(jiǎn)單地進(jìn)行相反的過程�。解密塊1和2����。然后解密塊3,產(chǎn)生完全解密的第一部分和仍被加密的第二部分���。最后,解密總數(shù)據(jù)凈荷的最后8字節(jié)���。此技術(shù)不改變總的數(shù)據(jù)凈荷�����。然而�����,它只能應(yīng)用在總數(shù)據(jù)凈荷大小大于8時(shí)�����。
另一個(gè)合適的密碼文本竊取方法在Bruce Schneier的“AppliedCryptography(應(yīng)用密碼系統(tǒng))”第二版195-196頁和圖9.5中進(jìn)行了描述�。參考圖6示例,最初兩個(gè)明文塊P1和P2用密碼塊鏈模式以傳統(tǒng)方式進(jìn)行加密��。所以�,P2與第一塊加密結(jié)果的密文C1結(jié)合(異或)并且進(jìn)行加密,以Ek(P2C1)=C2表示�。第三塊P3也進(jìn)行傳統(tǒng)加密,以Ek(P3C2)表示�。此例中,最后的明文塊P4只包含2字節(jié)��。這個(gè)字節(jié)數(shù)從加密結(jié)果的開始取出并用作塊4的密文�。這可以表示為Ek(P3C2)=C4|C’(其中“|”代表連接)。C’并不傳送。最后的塊P4被填充(在此例中添加了6字節(jié))��,表示為P4|填充(對(duì)于填充比特可以使用任何比特值)���。通常���,它與前一加密結(jié)果結(jié)合起來并進(jìn)行加密,以第三密文塊C3=Ek((P4|填充)(C4|C’))表示����。C3和C4被傳送。在接收系統(tǒng)中�����,首先解密C3�,以(P4|填充)(C4|C’)表示。接下來C4用相同的填充比特進(jìn)行填充�����。此結(jié)果與解密結(jié)果進(jìn)行異或���,以(C4|填充)((P4|填充)6(C4|C’))=(P4|C’)表示。它提供了P4和C’����。接下來C4用C’填充并進(jìn)行解密����,產(chǎn)生P3C2�����。通過與C2異或可得到對(duì)P3的訪問����。
優(yōu)選方法基于帶內(nèi)密鑰改變信令并因而提供主機(jī)(源設(shè)備)和設(shè)備(宿設(shè)備)之間的高準(zhǔn)確密鑰變化同步。會(huì)話密鑰變化只允許在分組之間發(fā)生以使密鑰變化決不可能出現(xiàn)在分組的中間���。此外���,主機(jī)和設(shè)備協(xié)商相同的算法來計(jì)算會(huì)話密鑰,以便一旦初始化���,主機(jī)和設(shè)備可以獨(dú)立地計(jì)算后來的會(huì)話密鑰��。下一會(huì)話密鑰在前面計(jì)算的會(huì)話密鑰用掉之后立即進(jìn)行計(jì)算�����,以便為下一會(huì)話密鑰改變做好準(zhǔn)備�����。
發(fā)送方保留來自前一分組的稱為密鑰校驗(yàn)塊的最后明碼電文8字節(jié)���,并用當(dāng)前會(huì)話密鑰加密此塊��。主機(jī)可能已經(jīng)決定改變前一分組和當(dāng)前分組間的會(huì)話密鑰���。在此情況下,密鑰校驗(yàn)塊用不同于用于加密前一分組最后8字節(jié)的會(huì)話密鑰進(jìn)行加密�����。密鑰校驗(yàn)塊作為當(dāng)前加密數(shù)據(jù)凈荷的頭標(biāo)被發(fā)送到接收方�����。接收方也保留前一分組的最后8字節(jié)(在解密后)�。當(dāng)接收到當(dāng)前分組時(shí),它解密第一個(gè)8字節(jié)(密鑰校驗(yàn)塊)并將該結(jié)果與所保留的前一分組最后8字節(jié)進(jìn)行比較�。如果匹配���,則會(huì)話密鑰在分組之間沒有改變,且解密可以繼續(xù)�����。如果不匹配��,接收方轉(zhuǎn)到下一會(huì)話密鑰并重解密密鑰校驗(yàn)塊�����。如果匹配��,則會(huì)話密鑰已經(jīng)發(fā)生變化���,接收方使用這個(gè)新的會(huì)話密鑰繼續(xù)。如果不匹配����,則發(fā)生錯(cuò)誤且接收方采取適當(dāng)?shù)拇胧W⒁庥捎?字節(jié)密鑰校驗(yàn)塊的添加�,分組的實(shí)際數(shù)據(jù)凈荷總大于8字節(jié)并且總可以應(yīng)用密文竊取方法。如果實(shí)際數(shù)據(jù)凈荷小于8字節(jié)(總凈荷小于16字節(jié))���,則接收方因CTS而必須完全解密整個(gè)分組以恢復(fù)密鑰校驗(yàn)塊�。此方法的優(yōu)點(diǎn)是它在加密數(shù)據(jù)中隱藏了會(huì)話密鑰改變事件。密鑰校驗(yàn)塊必須在會(huì)話密鑰改變事件可被確定之前進(jìn)行解密��。
優(yōu)選協(xié)議具有四個(gè)階段�����。第一階段是認(rèn)證階段����,其中主機(jī)和設(shè)備互相認(rèn)證。第二階段是密鑰交換階段�,其中隨機(jī)數(shù)和密鑰資料被建立、加密和交換��。第三階段是密鑰生成階段���,其中使用密鑰資料建立一個(gè)會(huì)話密鑰��。在初始化之后此階段可能運(yùn)行數(shù)倍時(shí)間來產(chǎn)生新的會(huì)話密鑰����。第四階段是信息傳輸階段�����,其中使用第三階段產(chǎn)生的會(huì)話密鑰使內(nèi)容在主機(jī)和設(shè)備之間安全傳輸。對(duì)完整的實(shí)現(xiàn)�����,執(zhí)行前面所定義的階段并根據(jù)圖7所示方案重復(fù)�����。在任何內(nèi)容可以被交換之前�,系統(tǒng)在步驟510進(jìn)入階段1認(rèn)證階段����。在此階段建立信任關(guān)系。一旦完成���,在步驟520進(jìn)入第二階段其中以安全方式交換密鑰資料���。同樣,初始密鑰校驗(yàn)塊(IKCB)被安全地從主機(jī)發(fā)送到設(shè)備����。在整個(gè)信任關(guān)系期間此塊必須由主機(jī)和設(shè)備雙方保留�。
在第一次于步驟530進(jìn)入第三階段之前��,一個(gè)32位計(jì)數(shù)器C在步驟540中用一個(gè)隨機(jī)數(shù)初始化���。主機(jī)通過Init_C請(qǐng)求將此數(shù)傳送到設(shè)備��。主機(jī)和設(shè)備都計(jì)算一個(gè)初始會(huì)話密鑰(C)��。然后進(jìn)入信息傳送階段并且開始實(shí)際數(shù)據(jù)傳送��。同時(shí)���,在步驟550進(jìn)入階段4之后主機(jī)和設(shè)備立即在步驟560計(jì)算下一會(huì)話密鑰(C+1)。當(dāng)信息傳送階段進(jìn)行時(shí)��,發(fā)送方可能決定更新當(dāng)前會(huì)話密鑰�。在某一時(shí)刻它開始使用先前已經(jīng)計(jì)算出的會(huì)話密鑰(C+1)。接收方注意到會(huì)話密鑰改變并且接下來也開始使用會(huì)話密鑰(C+1)����。然后在步驟570增加計(jì)數(shù)器C之后主機(jī)和設(shè)備雙方都又進(jìn)入階段3。這導(dǎo)致了一個(gè)新的會(huì)話密鑰(C+1)的產(chǎn)生��,準(zhǔn)備用于下一會(huì)話密鑰改變期間��。重復(fù)此過程直至所有數(shù)據(jù)都被傳送。是在發(fā)送方的單獨(dú)判斷下決定何時(shí)重入階段3來更新會(huì)話密鑰����。
通常,需要考慮兩種情況—該協(xié)議用于保護(hù)數(shù)據(jù)流式內(nèi)容�。在此情況下,發(fā)送方基于定時(shí)器事件可能決定更新會(huì)話密鑰���,定時(shí)器事件周期性地激發(fā)并觸發(fā)會(huì)話密鑰改變事件���。
—該協(xié)議用于保護(hù)內(nèi)容塊的傳輸�。此塊可能包含內(nèi)容本身(文件)或者任何需要對(duì)加密內(nèi)容進(jìn)行加密的密鑰。在此情況下�����,發(fā)送方可能決定在每個(gè)塊開始傳送前更新會(huì)話密鑰�����,以使每個(gè)塊使用另一個(gè)會(huì)話密鑰進(jìn)行加密��。
主機(jī)和設(shè)備會(huì)話密鑰產(chǎn)生階段可能會(huì)脫離同步����。尤其是當(dāng)處理流內(nèi)容時(shí)�����,分組可能丟失或者損壞以致會(huì)話密鑰改變事件不再能被可靠檢測(cè)����。無論何時(shí)發(fā)生數(shù)據(jù)流中斷���,接收方都通知發(fā)送方���。此時(shí),主機(jī)和設(shè)備都意識(shí)到存在會(huì)話密鑰同步的潛在中斷��。然后主機(jī)通過發(fā)送Init_C請(qǐng)求來重新同步會(huì)話密鑰產(chǎn)生過程�����。在成功完成后����,主機(jī)和設(shè)備都又被同步并且信息傳送階段可以繼續(xù)。
注意取決于應(yīng)用,并非所有階段都需要進(jìn)行�����。例如��,可能僅建立主機(jī)和設(shè)備之間的信任關(guān)系來完成認(rèn)證階段就足夠了����。每個(gè)內(nèi)容安全方法(CSM)描述符包含足夠信息使主機(jī)確定需要進(jìn)行哪些階段。
上述源和宿設(shè)備的許多功能通常將由一種加載適當(dāng)軟件的處理器來完成�。由于性能原因,某些功能象加密/解密可以由專用硬件來完成����。此時(shí),通常也是將硬件如通信IC用于經(jīng)通信介質(zhì)傳送數(shù)據(jù)�。處理器如PC型處理器����、微控制器或DSP類處理器可以加載程序以執(zhí)行根據(jù)本發(fā)明的步驟。該程序通常從后備存儲(chǔ)器中加載����,如硬盤或ROM。例如,可以使用一種計(jì)算機(jī)程序產(chǎn)品來在后備存儲(chǔ)器中初始存儲(chǔ)該程序��。這種程序產(chǎn)品可能分布在象CD-ROM的存儲(chǔ)介質(zhì)上或者經(jīng)由一個(gè)網(wǎng)絡(luò)如公共互聯(lián)網(wǎng)分布�����。
權(quán)利要求
1.一種包括一個(gè)源設(shè)備和至少一個(gè)宿設(shè)備的安全通信系統(tǒng)�;在一個(gè)包括從源設(shè)備向宿設(shè)備傳送多個(gè)分組的通信會(huì)話中,信息從源設(shè)備傳送到宿設(shè)備�;每個(gè)分組包括一個(gè)用于傳送部分信息的數(shù)據(jù)域;源設(shè)備包括一個(gè)密鑰產(chǎn)生器����,用于由源設(shè)備主動(dòng)產(chǎn)生在預(yù)定的源會(huì)話密鑰Ksourcei序列中的活動(dòng)源會(huì)話密鑰;一個(gè)加密器����,用于在活動(dòng)源會(huì)話密鑰的控制下對(duì)一個(gè)分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行加密;數(shù)據(jù)域的加密部分包括一個(gè)指定為密鑰校驗(yàn)塊域的子域�;宿設(shè)備包括一個(gè)密鑰產(chǎn)生器,用于產(chǎn)生在預(yù)定的宿會(huì)話密鑰Ksinki序列中的多個(gè)候選宿會(huì)話密鑰����,其中對(duì)序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei;一個(gè)解密器�,用于在一個(gè)宿會(huì)話密鑰控制下對(duì)一個(gè)所接收分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行解密;一個(gè)密鑰分析器,其作用在于通過使解密器在多個(gè)候選宿會(huì)話密鑰中每次一個(gè)不同密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中數(shù)據(jù)進(jìn)行解密�����,直至發(fā)現(xiàn)一個(gè)有效的解密結(jié)果���,來確定哪個(gè)候選宿會(huì)話密鑰對(duì)應(yīng)用于加密所接收分組加密部分的源會(huì)話密鑰���;并使解密器在產(chǎn)生有效解密結(jié)果的候選宿會(huì)話密鑰的控制下對(duì)分組數(shù)據(jù)域的剩余加密部分進(jìn)行解密。
2.權(quán)利要求1中所要求的安全通信系統(tǒng)��,其中密鑰校驗(yàn)塊域中的明文形式的密鑰校驗(yàn)塊是一個(gè)公用數(shù)據(jù)塊���。
3.權(quán)利要求1中所要求的安全通信系統(tǒng)����,其中密鑰校驗(yàn)塊域中的明文形式的密鑰校驗(yàn)塊是在開始信息傳送之前源和宿設(shè)備之間已商定的數(shù)據(jù)塊���,并用于整個(gè)通信會(huì)話��。
4.權(quán)利要求1中所要求的安全通信系統(tǒng),其中密鑰校驗(yàn)塊域中的明文形式的密鑰校驗(yàn)塊在通信會(huì)話期間至少改變一次�����。
5.權(quán)利要求4中所要求的安全通信系統(tǒng),其中源和宿設(shè)備包括對(duì)應(yīng)的密鑰校驗(yàn)塊產(chǎn)生器來產(chǎn)生明文形式的密鑰校驗(yàn)塊和實(shí)現(xiàn)明文形式的密鑰校驗(yàn)塊的改變�。
6.權(quán)利要求4中所要求的安全通信系統(tǒng),其中特定分組的明文形式的密鑰校驗(yàn)塊是從該特定分組之前的一個(gè)分組中所傳送的信息導(dǎo)出的�����。
7.權(quán)利要求6中所要求的安全通信系統(tǒng)�����,其中明文形式的密鑰校驗(yàn)塊是從該特定分組緊挨的前面一個(gè)分組中所傳送的信息導(dǎo)出的�����。
8.權(quán)利要求6或7中所要求的安全通信系統(tǒng)��,其中特定分組的明文形式的密鑰校驗(yàn)塊等同于該特定分組之前的�、一個(gè)分組的加密數(shù)據(jù)域部分中密鑰校驗(yàn)塊之外的一個(gè)明文形式的預(yù)定數(shù)據(jù)塊。
9.一種用于安全通信系統(tǒng)中的宿設(shè)備�����,其中源設(shè)備可以自主改變用于對(duì)從源設(shè)備向宿設(shè)備傳送的一個(gè)分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行加密的一個(gè)源會(huì)話密鑰��;數(shù)據(jù)域的加密部分包括一個(gè)指定為密鑰校驗(yàn)塊域的子域;宿設(shè)備包括一個(gè)密鑰產(chǎn)生器����,用于產(chǎn)生在預(yù)定的宿會(huì)話密鑰Ksinki序列中的多個(gè)候選宿會(huì)話密鑰,其中對(duì)序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei�;一個(gè)解密器,用于在一個(gè)宿會(huì)話密鑰控制下對(duì)一個(gè)所接收分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行解密��;一個(gè)密鑰分析器����,其作用在于通過使解密器在多個(gè)候選宿會(huì)話密鑰中每次一個(gè)不同密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中數(shù)據(jù)進(jìn)行解密,直至發(fā)現(xiàn)一個(gè)有效的解密結(jié)果�����,來確定哪個(gè)候選宿會(huì)話密鑰對(duì)應(yīng)用于加密所接收分組加密部分的源會(huì)話密鑰�����;并使解密器在產(chǎn)生有效解密結(jié)果的候選宿會(huì)話密鑰的控制下對(duì)分組數(shù)據(jù)域的剩余加密部分進(jìn)行解密�。
10.一種在一個(gè)源設(shè)備和至少一個(gè)宿設(shè)備之間安全通信的方法;在一個(gè)包括從源設(shè)備向宿設(shè)備傳送多個(gè)分組的通信會(huì)話中�����,信息從源設(shè)備傳送到宿設(shè)備�����;每個(gè)分組包括一個(gè)用于傳送部分信息的數(shù)據(jù)域���;該方法包括源設(shè)備主動(dòng)產(chǎn)生在預(yù)定的源會(huì)話密鑰Ksourcei序列中的活動(dòng)源會(huì)話密鑰�;在活動(dòng)源會(huì)話密鑰的控制下對(duì)一個(gè)分組的至少部分?jǐn)?shù)據(jù)域進(jìn)行加密��;數(shù)據(jù)域的加密部分包括一個(gè)指定為密鑰校驗(yàn)塊域的子域��;從源設(shè)備向宿設(shè)備傳送分組����;產(chǎn)生在預(yù)定的宿會(huì)話密鑰Ksinki序列中的多個(gè)候選宿會(huì)話密鑰,其中對(duì)于序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei���;通過在多個(gè)候選宿會(huì)話密鑰中每次一個(gè)不同密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中數(shù)據(jù)進(jìn)行解密���,直至發(fā)現(xiàn)一個(gè)有效的解密結(jié)果,來確定哪個(gè)候選宿會(huì)話密鑰對(duì)應(yīng)用于加密所接收分組加密部分的源會(huì)話密鑰�;以及在產(chǎn)生有效解密結(jié)果的候選宿會(huì)話密鑰的控制下對(duì)分組數(shù)據(jù)域的剩余加密部分進(jìn)行解密。
11.一種在一個(gè)安全通信系統(tǒng)的宿設(shè)備中檢測(cè)由系統(tǒng)中源設(shè)備產(chǎn)生的密鑰改變的方法��;在一個(gè)包括從源設(shè)備向宿設(shè)備傳送多個(gè)分組的通信會(huì)話中,信息從源設(shè)備傳送到宿設(shè)備����;每個(gè)分組包括一個(gè)用于傳送部分信息的數(shù)據(jù)域;一個(gè)分組的至少部分?jǐn)?shù)據(jù)域在預(yù)定源會(huì)話密鑰Ksourcei序列中一個(gè)活動(dòng)源會(huì)話密鑰的控制下被加密���;數(shù)據(jù)域的加密部分包括一個(gè)指定為密鑰校驗(yàn)塊域的子域��;該方法包括產(chǎn)生在預(yù)定的宿會(huì)話密鑰Ksinki序列中的多個(gè)候選宿會(huì)話密鑰��,其中對(duì)于序列中的每個(gè)下標(biāo)i各個(gè)宿會(huì)話密鑰Ksinki對(duì)應(yīng)各自的源會(huì)話密鑰Ksourcei��;通過在多個(gè)候選宿會(huì)話密鑰中每次一個(gè)不同密鑰的控制下對(duì)所接收分組的密鑰校驗(yàn)塊域中數(shù)據(jù)進(jìn)行解密��,直至發(fā)現(xiàn)一個(gè)有效的解密結(jié)果��,來確定哪個(gè)候選宿會(huì)話密鑰對(duì)應(yīng)用于加密所接收分組加密部分的源會(huì)話密鑰��;以及在產(chǎn)生有效解密結(jié)果的候選宿會(huì)話密鑰的控制下對(duì)分組數(shù)據(jù)域的剩余加密部分進(jìn)行解密���。
12.一種計(jì)算機(jī)程序產(chǎn)品,其中該程序產(chǎn)品可操作以使計(jì)算機(jī)執(zhí)行權(quán)利要求11中的方法��。
全文摘要
在一個(gè)以多個(gè)從源設(shè)備到宿設(shè)備分組形式的通信會(huì)話中從源設(shè)備到宿設(shè)備進(jìn)行安全信息傳輸?shù)耐ㄐ畔到y(tǒng)中��,使用具有一個(gè)密鑰校驗(yàn)塊域的分組結(jié)構(gòu)。在會(huì)話期間��,源設(shè)備可以改變用于加密分組中數(shù)據(jù)(包括密鑰校驗(yàn)塊)的會(huì)話密鑰��。宿設(shè)備通過用多個(gè)候選密鑰僅解密密鑰校驗(yàn)塊來檢測(cè)會(huì)話密鑰的變化��。有效解密的密鑰用于解密分組的剩余部分���。
文檔編號(hào)H04L9/16GK1421080SQ00806114
公開日2003年5月28日 申請(qǐng)日期2000年12月5日 優(yōu)先權(quán)日1999年12月10日
發(fā)明者A·A·M·斯塔林 申請(qǐng)人:皇家菲利浦電子有限公司