專利名稱:管理訪問(wèn)音頻/視頻數(shù)據(jù)的至少一組解碼器的成員的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及廣播加密方法的領(lǐng)域��,即涉及一種組織對(duì)于一組用戶的密鑰的分配��,從而可以以高效的方法管理該組的一個(gè)成員的加入���、更換和撤銷的方法��。問(wèn)題這里考慮的問(wèn)題是如何僅經(jīng)基于密鑰的訪問(wèn)控制高效地控制僅使用單向廣播供應(yīng)作為通信信道的大量訂戶對(duì)廣播內(nèi)容的訪問(wèn)��?�;痉桨高@個(gè)問(wèn)題的自然的解決方案是利用唯一的密鑰把受控資產(chǎn)(例如��,TV頻道)加密并僅把這個(gè)密鑰給予已為服務(wù)付費(fèi)的那些訂戶�。 這工作良好����,直至訂戶決定解除他的訂購(gòu),在此時(shí)��,必須從該用戶的終端刪除該密鑰����。這實(shí)際上基本不可能,因?yàn)榘呀獬l(fā)送給每個(gè)解約的訂戶需要與解約的訂戶的數(shù)量成比例的帶寬��,并需要高重復(fù)率以具有任何有效的可能性,這進(jìn)一步將帶寬要求增加至變得完全不可行的程度����。此外,不誠(chéng)實(shí)的用戶可總是過(guò)濾這些消息或者制作密鑰的拷貝��,并在解除他的訂購(gòu)之后繼續(xù)使用該密鑰��。因此�,為了排除訂戶,必須撤銷密鑰并且必須替代地使用新密鑰�。然而,這需要把這個(gè)新密鑰發(fā)送給所有剩余訂戶以使為服務(wù)付費(fèi)的訂戶在密鑰改變的情況下仍可訪問(wèn)��。在廣播加密的概念下在學(xué)術(shù)界已解決這個(gè)問(wèn)題�。然而,現(xiàn)有技術(shù)的廣播加密方案不足以應(yīng)付付費(fèi)TV����,因?yàn)槊芪碾S著撤銷用戶的數(shù)量而線性地增加[2]或者因?yàn)榻饷苊荑€線性地依賴于系統(tǒng)中的用戶的數(shù)量[I]。效率問(wèn)題挑戰(zhàn)在于找到把這種密鑰更換消息發(fā)送給除已解除其訂購(gòu)的訂戶之外的所有訂戶的方法��,已解除其訂購(gòu)的訂戶通常代表總?cè)藬?shù)的很小部分�����。在廣播供應(yīng)上把單個(gè)消息發(fā)送給每個(gè)訂戶需要與訂戶人數(shù)成比例的帶寬,這立即代表了太大的帶寬而無(wú)法用于可行的操作�。因此,必須使用某一形式的全局消息�。這種消息可包含尋址信息����,尋址信息向接收器指示它是否是該消息的有效接收者。然而���,消息上的保護(hù)層必然處置由所有訂戶共享的秘密����,因此��,任何終端能夠?qū)ζ浣饷懿@得它里面攜帶的新密鑰�,而不管消息是否以該終端為目的地。這意味著如果該終端未被授權(quán)����,則該終端最終未受到信任而使用密鑰,由于該終端未受到信任所以該密鑰是不可接受的���。應(yīng)該注意的是�,本發(fā)明不能被視為新的廣播加密方法。替代地����,本發(fā)明提出動(dòng)態(tài)使用任何廣播加密方法而不改變與該廣播加密方法有關(guān)的密鑰的新方法。動(dòng)態(tài)意味著撤銷的接收器離開(kāi)授權(quán)接收器的子集并且新的接收器加入授權(quán)接收器的子集���,而不對(duì)整個(gè)廣播加密組進(jìn)行密鑰更新�。事實(shí)上�,通過(guò)把BE方案中的相同位置分配給隨著時(shí)間變化的多個(gè)接收器(但在任何給定時(shí)間從不超過(guò)一個(gè)),本發(fā)明允許高效地使用靜態(tài)BE方案���。因此�,本發(fā)明適用于本領(lǐng)域中已知的所有廣播加密方法以及未來(lái)的方案���。
背景技術(shù):
[4]Cecile Delerablee 等 〃Fully Collusion Secure Dynamic BroadcastEncryption with Constant-Size Ciphertexts or Decryption keys〃這篇論文提出同時(shí)享有下面性質(zhì)的公鑰廣播加密的新的高效構(gòu)造接收器是無(wú)狀態(tài)的�����;對(duì)于用戶的任意大的串通���,加密是防串通的,并且安全性在標(biāo)準(zhǔn)模型中很好;新用戶能夠動(dòng)態(tài)加入�,即無(wú)需修改用戶解密密鑰,也不需要修改密文大小����,并且?guī)缀鯖](méi)有加密密鑰的修改或沒(méi)有加密密鑰的修改。在這篇論文中����,作者提出基于雙線性映射的新的無(wú)狀態(tài)廣播加密方法����。然而,密文大小(或解密密鑰大小)線性地依賴于撤銷的接收器的數(shù)量并隨著每次撤銷而增加�����,這對(duì)
于一些工業(yè)應(yīng)用(諸如��,付費(fèi)TV)而言是不可接受的����。應(yīng)該注意的是,我們的新方法能夠用在這個(gè)提出的方案上以減小密文的大小和/或避免密鑰更新問(wèn)題����。[5]W0 2007/138204A1(France Telecom, Delerablee Cecile)"CryptographicMethod with Integrated Encryption and Revocation, System, Device and Programs forImplementing this Method"這是[4]中提出的方法的PCT申請(qǐng)��。[6]Pan Wang 等"Storage-Efficient Stateless Group Key Revocation"在這篇學(xué)術(shù)論文中�����,作者提出依賴于哈希鏈的新的子集覆蓋方案�,如果與[2]的完全子樹(shù)方案相比較�,這個(gè)方案能夠把帶寬(密文)從OOflog(N/R))減小至O(R)。以O(shè)(N)調(diào)用單向函數(shù)為代價(jià)實(shí)現(xiàn)這一點(diǎn)�,N是接收器的總數(shù)。然而���,由于它是無(wú)狀態(tài)方案�����,所以一旦接收器離開(kāi)組����,它應(yīng)該被連續(xù)地撤銷與相應(yīng)地增加的密文的未來(lái)通信消息����,或者所有授權(quán)接收器應(yīng)該以某種方式進(jìn)行密鑰更新。我們的解決方案能夠克服這個(gè)問(wèn)題,并且能夠事實(shí)上用在由Wang等提出的方案上以把離開(kāi)組的接收器的密鑰重新用于新的接收器而無(wú)需密鑰更新過(guò)程���。[7]Masafumi Kusakawa等〃Efficient Dynamic Broadcast Encryption and ItsExtension to Authenticated Dynamic Broadcast Encryption"這個(gè)文件提出兩種公鑰廣播加密方案����。方案I是由Delerablee等提出的動(dòng)態(tài)廣播加密方案的變型��。與原始方案相比���,計(jì)算成本和加密(公)鑰尺寸更高效��。作者觀測(cè)到通過(guò)使用原始方案中的解密密鑰����,他們能夠在沒(méi)有加密密鑰的一部分的情況下更高效地對(duì)消息加密��。為了使任何用戶獲得這種益處���,他們引入了與解密密鑰相似的“偽密鑰”。方案2是實(shí)現(xiàn)驗(yàn)證的動(dòng)態(tài)廣播加密方案的方案I的擴(kuò)展��,該方案能夠使接收器核實(shí)廣播內(nèi)容的生產(chǎn)者���。在方案2中��,他們采用由Barreto等提出的簽名方案���。方案2被認(rèn)為是利用常見(jiàn)參數(shù)和密鑰為廣播加密和簽名實(shí)現(xiàn)可證明的安全性的第一方案���。這篇學(xué)術(shù)論文是在密鑰存儲(chǔ)方面對(duì)由Delerablee Cecile[4]提出的方案的技術(shù)改進(jìn),但它仍然具有帶寬相對(duì)于撤銷接收器的數(shù)量呈線性關(guān)系的問(wèn)題���。[8]US 2004/114762(General Instrument Corp. , Alexander Medvinsky)"SubsetDifference Method for Multi-Cast Rekeying〃這是描述專用于[2]的子集差分(SD)方法的密鑰更新機(jī)制的專利�����。在原始方案中�,通過(guò)把單向函數(shù)應(yīng)用于使用SD技術(shù)獲得的接收器的唯一的密鑰����,獲得差分密鑰。新方案提出把單向函數(shù)應(yīng)用于接收器的唯一的密鑰以及當(dāng)前內(nèi)容密鑰����。因此,對(duì)于每次撤銷�����,差分密鑰改變。本領(lǐng)域技術(shù)人員將會(huì)同意��,通過(guò)使用秘密后綴方法把單向函數(shù)應(yīng)用于消息以及密鑰(密鑰在這種情況下是內(nèi)容密鑰)受到本領(lǐng)域公知的攻擊(Bart Preneel, PaulC. van Oorschot:MDx-MAC and Building Fast MACs from Hash Functions. CRYPTO 1995)�。我們提出的解決方案是不同的,因?yàn)樗⒉恍枰蚴褂肂E方案的密鑰更新���,而是替代地使用任何BE方案(可能包括這種BE方案)以從組訪問(wèn)密鑰和內(nèi)容密鑰的自動(dòng)更新排除撤銷的接收器�,因此允許新的接收器繼承前一接收器的位置�。我們的解決方案完全獨(dú)立于廣播加密方案并且從密碼使用的角度而言安全得多。[9]FR 2850822A1(CANAL PLUS TECHNOLIES[FR]) " Systeme de televisiona peage, procedede revocation dans un tel systeme���, decodeur et cartes apuces associes��,et message transmis aun tel decodeur" 這個(gè)專利描述一種撤銷機(jī)制�,通過(guò)該撤銷機(jī)制�����,撤銷消息(撤銷EMM)與ECM組合以便防止接收器過(guò)濾這些消息�。我們提出的解決方案通過(guò)使用正尋址(positiveaddressing)克服了過(guò)濾撤銷EMM的問(wèn)題由于缺少接收器中的密鑰的更換�,EMM的過(guò)濾總是導(dǎo)致服務(wù)丟失��。因此�,在我們的系統(tǒng)中未使用以上文件中描述的撤銷EMM和ECM的組合���,也不需要這種組合����。
發(fā)明內(nèi)容
本發(fā)明旨在提出一種允許一組解碼器的通用管理的方法��,這個(gè)組有條件地訪問(wèn)音頻/視頻內(nèi)容�����。因此�,提出一種管理可訪問(wèn)廣播數(shù)據(jù)的解碼器的群體的方法,每個(gè)解碼器被臨時(shí)分配了共享共同廣播加密方案的一組解碼器中的一個(gè)位置����,該廣播加密方案通過(guò)發(fā)送全局組尋址消息允許撤銷該組的至少一個(gè)成員的訪問(wèn),包括下述步驟a.在解碼器變?yōu)樵摻M的成員的階段-選擇該組中的可用位置并把這個(gè)位置分配給解碼器�,把該位置標(biāo)記為不可用,-在發(fā)送給解碼器的消息中發(fā)送根據(jù)廣播加密方案的與該組中的所述位置有關(guān)的密鑰以及當(dāng)前組訪問(wèn)數(shù)據(jù)(CGD)�,當(dāng)前組訪問(wèn)數(shù)據(jù)至少包括對(duì)于所述組而言共同的當(dāng)前組訪問(wèn)密鑰(CGK),所述消息被利用對(duì)于該解碼器而言唯一的密鑰加密�����,b.在解碼器中訪問(wèn)音頻/視頻數(shù)據(jù)的階段-使用當(dāng)前組訪問(wèn)數(shù)據(jù)(CGD)直接或間接訪問(wèn)廣播數(shù)據(jù),c.在撤銷至少一個(gè)解碼器并選擇性地更換該組的當(dāng)前組訪問(wèn)密鑰(CGK)的階段-發(fā)送全局組尋址消息�����,從而僅未撤銷的解碼器能夠解密該全局組尋址消息�,所述全局組尋址消息至少包括下一個(gè)組訪問(wèn)數(shù)據(jù)(NGAD),所述下一個(gè)組訪問(wèn)數(shù)據(jù)(NGAD)至少包括使用廣播加密方案加密的下一個(gè)組訪問(wèn)密鑰(NGAK)��,所述組消息進(jìn)一步由當(dāng)前組訪問(wèn)密鑰(CGK)加密并聲明所述撤銷的解碼器的位置被空出��,-在未撤銷的解碼器中�����,使用當(dāng)前組訪問(wèn)密鑰解密消息�,進(jìn)一步使用與組中的位置有關(guān)的廣播加密密鑰來(lái)解密該結(jié)果并存儲(chǔ)下一個(gè)組訪問(wèn)數(shù)據(jù),特別地�����,更新下一個(gè)組訪問(wèn)密鑰�,
-在撤銷的解碼器中�,使用當(dāng)前組訪問(wèn)密鑰解密消息���,于是無(wú)法利用與組中的位置有關(guān)的廣播加密密鑰來(lái)解密結(jié)果,因此無(wú)法更新下一個(gè)組訪問(wèn)數(shù)據(jù)�,特別地,無(wú)法更新下一個(gè)組訪問(wèn)密鑰�,d.在重新使用由先前撤銷的解碼器空出的位置的階段-使所述下一個(gè)組訪問(wèn)密鑰變?yōu)楫?dāng)前組訪問(wèn)密鑰,-把該組中的先前空出的位置標(biāo)記為可用��,-從步驟a開(kāi)始該過(guò)程����。本發(fā)明的主旨在于,不僅根據(jù)可由未撤銷的解碼器訪問(wèn)的密鑰加密更換消息�,還利用當(dāng)前組訪問(wèn)密鑰加密更換消息。這具有這樣的結(jié)果由于考慮未撤銷的解碼器的加密方案�����,所以即使在當(dāng)時(shí)撤銷的解碼器具有當(dāng)前組訪問(wèn)密鑰����,撤銷的解碼器也將無(wú)法解密下 一組訪問(wèn)密鑰。對(duì)于下一消息��,當(dāng)進(jìn)一步更換組訪問(wèn)密鑰時(shí)���,不再需要應(yīng)用考慮未撤銷的解碼器的加密方案����,而是僅應(yīng)用通過(guò)組密鑰進(jìn)行的加密,即使撤銷的解碼器知道這個(gè)組密鑰����,也如此操作。使用當(dāng)前組訪問(wèn)密鑰(在這個(gè)密鑰被更換的同時(shí)����,撤銷的解碼器不可訪問(wèn)該密鑰)的另外的加密層阻止撤銷的解碼器的訪問(wèn)。組訪問(wèn)密鑰的鏈接具有這樣的結(jié)果當(dāng)已從更換組訪問(wèn)密鑰排除了撤銷的解碼器時(shí)�,在以后更換組訪問(wèn)密鑰的同時(shí),不再需要擔(dān)心撤銷的解碼器����。撤銷的解碼器在該組中的位置能夠隨后快速地被重新分配給該組的新成員,由此在系統(tǒng)的壽命期間始終保持廣播加密方案的效率��,并有效地使該方案即使對(duì)于具有非常大的數(shù)量的解碼器的系統(tǒng)而言也是可行的��。
借助于附圖將更好地理解本申請(qǐng)��,其中-圖I表示廣播加密樹(shù),-圖2表示具有終端T2的情況�����,-圖3表示用于排除終端的情況��,-圖4表示組密鑰的鏈接����。
具體實(shí)施例方式本申請(qǐng)包括兩個(gè)部分允許高效撤銷機(jī)制的密鑰分配和組密鑰鏈接����。當(dāng)將要更換組訪問(wèn)密鑰時(shí),包含新的組訪問(wèn)密鑰的消息被發(fā)送給該組的解碼器��。廣播該消息�,因此甚至不屬于該組的所有解碼器都能夠接收這個(gè)消息,并且加密將會(huì)確定哪些解碼器能夠真正獲得新的組訪問(wèn)密鑰���。以一組256個(gè)解碼器為例并且應(yīng)該撤銷兩個(gè)解碼器�。每個(gè)解碼器至少包含主組密鑰和個(gè)人密鑰�。新的組訪問(wèn)密鑰由當(dāng)前組訪問(wèn)密鑰以及由僅在未被撤銷的解碼器中可獲得的密鑰加密。使用平常廣播加密方案的簡(jiǎn)單例子可以是首先創(chuàng)建包含新的組訪問(wèn)密鑰并由當(dāng)前組訪問(wèn)密鑰加密的密文�。然后利用解碼器個(gè)人密鑰把這種密文CT加密。于是消息將包括254個(gè)電文,每個(gè)電文由未撤銷的解碼器的個(gè)人密鑰加密�����。當(dāng)然����,也可應(yīng)用相反的方法,新的組訪問(wèn)密鑰首先由未撤銷的解碼器的個(gè)人密鑰加密����,然后由當(dāng)前組訪問(wèn)密鑰加密。對(duì)于組訪問(wèn)密鑰的下一更換(所謂的再下一組訪問(wèn)密鑰)����,即使撤銷的解碼器仍然包含主組密鑰和它們的個(gè)人密鑰,下一消息也將會(huì)包含僅由主密鑰以及由下一組訪問(wèn)密鑰加密的再下一組訪問(wèn)密鑰����。由于撤銷的解碼器不能訪問(wèn)下一組訪問(wèn)密鑰,所以即使撤銷的解碼器具有主組密鑰����,對(duì)于撤銷的解碼器而言也無(wú)法訪問(wèn)該再下一組訪問(wèn)密鑰。根據(jù)另一例子��,再下一組訪問(wèn)密鑰僅由下一組訪問(wèn)密鑰加密。本發(fā)明的第二部分是提出一種在將要執(zhí)行撤銷時(shí)在很大程度上減小消息的大小的方案����。能夠想象一組5000個(gè)解碼器并且僅一個(gè)解碼器 將要被撤銷。在這種情況下��,利用以上的例子�����,下一組訪問(wèn)密鑰應(yīng)該被復(fù)制4999次��,每次與未撤銷的解碼器的個(gè)人密鑰關(guān)聯(lián)���。圖4表示撤銷的過(guò)程。頂部顯示依次由密鑰K:�����、K2和K3加密的音頻/視頻產(chǎn)品(可以是一個(gè)頻道或一組頻道)�����。應(yīng)該注意的是�,這種密鑰0^、1(2或1(3)能夠用于直接解密音頻/視頻產(chǎn)品,或者用作對(duì)包含用于解密音頻/視頻產(chǎn)品的密鑰的消息(ECM)解密的解密密鑰����。在圖4的例子中,在第一時(shí)間段期間�����,解碼器T1��、T2����、T3和T4是組的一部分。組訪問(wèn)密鑰C1是當(dāng)消息K1C2到達(dá)時(shí)的當(dāng)前組訪問(wèn)密鑰����,包含下一組訪問(wèn)密鑰C2和用于訪問(wèn)音頻/視頻產(chǎn)品的密鑰I。事實(shí)上�����,產(chǎn)品密鑰K1將會(huì)在這個(gè)密鑰用于對(duì)產(chǎn)品解密之前到達(dá)�����。解碼器將會(huì)存儲(chǔ)當(dāng)前產(chǎn)品密鑰K1,并且當(dāng)接收到下一產(chǎn)品密鑰(產(chǎn)品密鑰K2)時(shí)準(zhǔn)備好在產(chǎn)品從K1交換到K2時(shí)應(yīng)用�。在第二時(shí)間段期間,組訪問(wèn)密鑰C3被發(fā)送給未撤銷的解碼器�����。這些解碼器是Tl����、T2和T4�����。消息K2C3由當(dāng)前組訪問(wèn)密鑰C2和與未撤銷的解碼器Tl��、T2和T4有關(guān)的密鑰加密��。具有當(dāng)前組訪問(wèn)密鑰C2的解碼器T3不能解密這個(gè)消息并且不能訪問(wèn)組訪問(wèn)密鑰C3�����。在第三時(shí)間段期間�,攜帶下一組訪問(wèn)密鑰C4的消息能夠僅由當(dāng)前組訪問(wèn)密鑰(3加密。通過(guò)發(fā)送當(dāng)前組訪問(wèn)密鑰C3和以前分配給解碼器T3的一個(gè)或多個(gè)密鑰�,以前T3在組中的位置能夠被重新分配(分配給解碼器T30)�。僅在組訪問(wèn)密鑰C3有效之后����,即在發(fā)送消息K2C3之后,能夠執(zhí)行這種重新分配���。所述組由管理系統(tǒng)組織�����,并且組中的每個(gè)位置與位置狀態(tài)關(guān)聯(lián)���。該狀態(tài)能夠包括三種狀態(tài),即“自由”�����、“已分配”和“轉(zhuǎn)變”����。在創(chuàng)建組時(shí),所有位置被標(biāo)記“自由”�。當(dāng)一個(gè)位置被分配給一個(gè)成員時(shí),這個(gè)位置被標(biāo)記“已分配”��。成員一退出組,該位置就被標(biāo)記“轉(zhuǎn)變”�����。這種狀態(tài)指示該位置以前被使用���,并且在重新分配這個(gè)位置的同時(shí)應(yīng)該特別小心���。組訪問(wèn)密鑰一被更換到這個(gè)組的除這個(gè)特定成員之外的成員中,就能夠重新分配這個(gè)位置��。撤銷該成員直至對(duì)于所有其它成員改變組訪問(wèn)密鑰之間的時(shí)間是所謂的“隔離”期�。在這個(gè)隔離期之后,該位置實(shí)質(zhì)上“自由”并且能夠被重新使用�。管理中心的數(shù)據(jù)庫(kù)的管理定期地檢查“轉(zhuǎn)變”位置的狀態(tài)���,并檢查組訪問(wèn)密鑰是否不再存在于連接到該位置的撤銷的解碼器中�。在這種情況下�����,該位置能夠從“轉(zhuǎn)變”修改為
“自由”��。在不執(zhí)行數(shù)據(jù)庫(kù)的定期掃描的情況下,在新成員將要被插入到該組中時(shí)確定特定位置的狀態(tài)����。這就是為什么在一個(gè)位置具有狀態(tài)“轉(zhuǎn)變”的情況下執(zhí)行進(jìn)一步檢查以確定隔離期是否結(jié)束的原因。
組訪問(wèn)密鑰的更換消息由組訪問(wèn)數(shù)據(jù)(CGD)形成��,CGD至少包括組訪問(wèn)密鑰(CGK)����。這個(gè)密鑰能夠用于解密與一組解碼器所訪問(wèn)的服務(wù)相關(guān)的授權(quán)消息(ECM)。結(jié)果���,組訪問(wèn)密鑰用于鏈接機(jī)制以及訪問(wèn)服務(wù)��。根據(jù)另一實(shí)施例��,組訪問(wèn)數(shù)據(jù)包括會(huì)話密鑰SK�。這種會(huì)話密鑰SK將會(huì)用于訪問(wèn)服務(wù)以及解密與這些服務(wù)相關(guān)的授權(quán)消息(ECM)�����。根據(jù)另一實(shí)施例���,當(dāng)包括新的組訪問(wèn)密鑰的組訪問(wèn)數(shù)據(jù)被接收并存儲(chǔ)在未撤銷的解碼器中時(shí)�����,包含會(huì)話密鑰SK的另一消息被發(fā)送給解碼器�。這個(gè)消息隨后由組訪問(wèn)密鑰加密,因此僅未撤銷的解碼器能夠解密并獲得這個(gè)會(huì)話密鑰SK�����。個(gè)人密鑰分配雖然能夠根據(jù)如上所述的任何廣播加密方案分配組訪問(wèn)密鑰���,但為了高效地產(chǎn)生撤銷消息��,本發(fā)明現(xiàn)在將會(huì)描述組織密鑰分配的高效方法�。為了本發(fā)明的目的能夠總結(jié)理想的廣播加密系統(tǒng)的主要性質(zhì)�����。
假設(shè)系統(tǒng)中的每個(gè)終端已被提供唯一的一組秘密���,知道每個(gè)終端的秘密的服務(wù)器可以以高效(消息很小)并且能夠由授權(quán)終端解密但不能由排除(撤銷)的終端解密(即使所有撤銷的終端一起串通)的方法對(duì)單個(gè)消息加密。提出的方案在這里考慮具體方案以表示本發(fā)明的工作原理�����。然而,根據(jù)[3]中的描述��,應(yīng)該注意的是���,由于它嚴(yán)重缺乏抗串通能力����,在實(shí)踐中不推薦對(duì)它的使用����,并且僅為了其簡(jiǎn)單性以及為了說(shuō)明性目的在這里使用該方案。采用下面的約定 n是廣播解密方案中的終端的總數(shù) r是在加密消息中撤銷的終端的數(shù)量 log是底為2的對(duì)數(shù) k是系統(tǒng)中的密鑰的以字節(jié)為單位的大小(這里采用的值是128位=16字節(jié))然后 每個(gè)終端必須存儲(chǔ)(log (n) +1) *k個(gè)字節(jié)的密鑰材料 加密消息的大小為至多n/8+k+ “凈荷大小”個(gè)字節(jié) 終端必須執(zhí)行至多r*(l0g(n)-l)次密碼運(yùn)算以獲得消息加密密鑰描述該機(jī)制工作于n=2m個(gè)終端���。如圖I中所示為這些終端建立密鑰的二叉樹(shù)��,使用單向函數(shù)從上方節(jié)點(diǎn)的密鑰獲得每個(gè)分支的密鑰����。f(K, n)函數(shù)是從它的兩個(gè)參數(shù)獲得密鑰的公共單向函數(shù)(例如����,哈希原函數(shù))。如上所述,每個(gè)終端被分配葉子密鑰�����,然而�����,這個(gè)密鑰未被給予終端�����,而是把組中的所有其它終端的密鑰或計(jì)算它們的方式給予每個(gè)終端���。例如�,如圖2中所示���,提供給終端T2的密鑰是Kltl���、K3和K2。使用K3�、K2能夠計(jì)算K7和K8,并且使用K2能夠通過(guò)K5和K6計(jì)算K11至K14。當(dāng)加入組時(shí)����,每個(gè)終端隨后有效地接收l(shuí)0g2(n)個(gè)密鑰以及用于使消息尋址到組的所有成員的另外的組密鑰Ke。一旦這準(zhǔn)備好��,以下面的方法加密必須發(fā)送給組或組的子集的任何消息
如果消息以組中的所有終端為目標(biāo)���,則利用對(duì)于所有終端而言已知的組密鑰Ktj加密該消息 如果消息以組中的終端的子集為目標(biāo)�,則通過(guò)對(duì)分配給每個(gè)排除的終端的密鑰一起進(jìn)行哈希運(yùn)算(hashing)建立密鑰����,并且利用這個(gè)密鑰加密該消息K=Hash (Ka,KB,…���,KZ)����。例如�,如果終端Ttl和T6被排除,則對(duì)密鑰K7和K13 —起進(jìn)行哈希運(yùn)算以計(jì)算密鑰并利用該密鑰加密消息���。由于Ttl和T6不知道它們各自的密鑰�����,所以它們不能計(jì)算最后的密鑰���,而組中的所有其它終端能夠計(jì)算這些密鑰并因此訪問(wèn)消息的內(nèi)容�����。所獲得的加密消息基本上與原始消息具有相同的大小����,僅填充字節(jié)和會(huì)話密鑰的使用稍微增加它的大小�。 除了消息自身之外,必須添加一些信令����,從而接收終端知道它們是否被排除以及如何計(jì)算密鑰。使用位圖實(shí)現(xiàn)這一點(diǎn)�����,在位圖中��,每個(gè)位對(duì)應(yīng)于終端并指示該終端是否被包括在接收者中����。在某些條件下可以壓縮位圖����。限制必須引入某一機(jī)制以到達(dá)可尋址的數(shù)千萬(wàn)的群體���,同時(shí)使撤銷的終端的數(shù)量保持為最小值(并因此使帶寬保持在可接受的水平)。通過(guò)把總?cè)后w分成多個(gè)足夠大小的子集并管理每個(gè)子集作為獨(dú)立群體��,容易地滿足第一目標(biāo)��。在沒(méi)有用于撤銷群體控制的專用機(jī)制的情況下��,更加難以滿足第二目標(biāo)���。提出以下描述的動(dòng)態(tài)組管理機(jī)制以解決這個(gè)問(wèn)題��。動(dòng)態(tài)組管理原理操作的原理如下 典型地����,通過(guò)把許多服務(wù)分組在獨(dú)立產(chǎn)品中�,把內(nèi)容拿來(lái)打包銷售。銷售的單位(因此�����,控制的單位)是產(chǎn)品。 對(duì)于每個(gè)產(chǎn)品�,訂購(gòu)這種產(chǎn)品的終端的群體被分為許多組,對(duì)于這些組�,產(chǎn)生獨(dú)立的廣播加密系統(tǒng)(例如,使用本領(lǐng)域公知的方法)�����。組的數(shù)量與這種產(chǎn)品的訂戶的實(shí)際人數(shù)成比例(人數(shù)除以組大小)�,而不與終端的總數(shù)成比例。 在訂購(gòu)產(chǎn)品時(shí)����,在與這種產(chǎn)品關(guān)聯(lián)的一個(gè)組中為終端分配空位(如果需要,則創(chuàng)建新的組)�����。使用尋址到這個(gè)特定終端的消息把與這個(gè)空位對(duì)應(yīng)的唯一的一組密鑰發(fā)送給該終端�����。還提供另外的密鑰����,即組訪問(wèn)密鑰����,以下描述組訪問(wèn)密鑰的使用���。 定期地(例如����,每天)�,為每個(gè)產(chǎn)品的每組的終端產(chǎn)生正尋址消息�����。這種PA消息包含在下一控制時(shí)間段(例如��,下一周或下一月)訪問(wèn)產(chǎn)品的內(nèi)容所需的所有密鑰��。使用用于這組終端的廣播加密原函數(shù)加密這種PA消息����,并且進(jìn)一步利用組訪問(wèn)密鑰對(duì)這種PA消息進(jìn)行過(guò)加密。 在由用戶解除訂購(gòu)時(shí)��,終端被放在它的組(用于這種特定產(chǎn)品)的撤銷終端的列表中�����。在下一 PA消息中,這些撤銷的終端可使用組訪問(wèn)密鑰解密加密的第一層��,然而���,它們不能通過(guò)廣播加密方案解密下層的消息�。結(jié)果�����,這些終端不能獲得用于下一控制時(shí)間段的內(nèi)容密鑰����,因此不能訪問(wèn)內(nèi)容。另外�����,它們不能獲得由廣播加密覆蓋的下一組訪問(wèn)密鑰�����,因此被有效地決定性地從這個(gè)組排除。 給予撤銷的終端的最后的組訪問(wèn)密鑰一被新的組訪問(wèn)密鑰替換����,撤銷的終端的空位就可以被分配給新的訂購(gòu)終端。圖4的示圖表示這樣的原理Tn指示終端�,實(shí)線箭頭指示目標(biāo)終端訪問(wèn)位于示圖的中間層中的消息的能力。這個(gè)消息是利用廣播加密方案向終端群體的子集尋址的PA消息����,該消息包含服務(wù)密鑰Kn并被利用組訪問(wèn)密鑰Cn進(jìn)行過(guò)加密。益處使用動(dòng)態(tài)組提供三種主要益處 第一益處在于��,為任何產(chǎn)品產(chǎn)生的PA EMM的數(shù)量與該產(chǎn)品的訂戶的數(shù)量成正比�,而不與訂戶總?cè)藬?shù)成正比��。因此����,如果產(chǎn)品被少數(shù)人購(gòu)買,則保持它所需的PA帶寬很小���。 第二益處在于�,由任何PA EMM瞄準(zhǔn)的接收器的群體極為相似事實(shí)上�����,所有接收器已購(gòu)買該產(chǎn)品并且它們中的僅很小部分解除該產(chǎn)品。這意味著��,指示PA組中的哪些接收器被撤銷的尋址位字段基本上由設(shè)置為“I”的位構(gòu)成���,因此能夠被壓縮����。簡(jiǎn)單而高效的壓縮算法將會(huì)為0%撤銷率提供1/14的壓縮比�,為2%撤銷率提供1/6的壓縮比,并且為5%撤銷率仍然提供1/3的壓縮比���。 第三益處在于��,組中的空位被循環(huán)使用當(dāng)終端被從組排除時(shí)���,它的空位被分配給新的終端,始終使組中的撤銷的空位的數(shù)量保持為最小值(在理想情況下����,僅2%-3%)。 第四益處在于�,能夠使用任何廣播加密方法,諸如本領(lǐng)域中以前知道的廣播加密方法以及新的廣播加密方法,因此甚至進(jìn)一步提高整個(gè)系統(tǒng)的效率(帶寬�����、終端密鑰存儲(chǔ)和/或加密/解密復(fù)雜性)���。所有這些一起允許非常高效地使用廣播帶寬��。參考文獻(xiàn)[l]Dan Boneh, Craig Gentry, Brent Waters:Collusion Resistant BroadcastEncryption with Short Ciphertexts and Private Keys. CRYPTO 2005[2]Dalit Naorj Moni Naorj Jeffery Lotspiech: Revocation and TracingSchemes for Stateless Receivers. CRYPTO 2001[3] OMA DRM v2. OExtensions for Broadcast Support�����,0MA_TS_DRM_XBS-V1—0-20081209-C. pdf��,Chapter C. 17[4]Cecile Delerablee et al. 〃Fully Collusion Secure Dynamic BroadcastEncryption with Constant-Size Ciphertexts or Decryption keys〃����,Pairing 2007[5]WO 2007/138204A1(France Telecom, Delerablee Cecile)"CryptographicMethod with Integrated Encryption and Revocation, System, Device and Programs forImplementing this Method"[6] Pan Wang et al. ^Storage-Efficient Stateless Group KeyRevocation"�����, ISC 2004[7]Masafumi Kusakawa et al. "Efficient Dynamic Broadcast Encryption andIts Extension to Authenticated Dynamic Broadcast Encryption"����,CANS 2008
[8]US 2004/114762 (General Instrument Corp. , Alexander Medvinsky)"SubsetDifference Method for Multi-Cast Rekeying〃[9]FR 2850822A1(CANAL PLUS TECHNOLIES[FR]) uSysteme de televisiona peage, procedede revocation dans un tel sysieme, decodeur et cartes apucesassocies����, et message transmis aun tel decodeur"
權(quán)利要求
1.一種管理可訪問(wèn)廣播數(shù)據(jù)的解碼器的群體的方法,每個(gè)解碼器被臨時(shí)分配了共享共同廣播加密方案的一組解碼器中的一個(gè)位置���,該廣播加密方案通過(guò)發(fā)送全局組尋址消息允許撤銷該組的至少一個(gè)成員的訪問(wèn)�,包括下述步驟 a.在解碼器變?yōu)樵摻M的成員的階段 -選擇該組中的可用位置并把這個(gè)位置分配給解碼器�,把該位置標(biāo)記為不可用, -在發(fā)送給解碼器的消息中發(fā)送根據(jù)廣播加密方案的與該組中的所述位置有關(guān)的密鑰以及當(dāng)前組訪問(wèn)數(shù)據(jù)(CGD)�����,當(dāng)前組訪問(wèn)數(shù)據(jù)至少包括對(duì)于所述組而言共同的當(dāng)前組訪問(wèn)密鑰(CGK)����,所述消息被利用對(duì)于解碼器而言唯一的密鑰來(lái)加密, b.在解碼器中訪問(wèn)音頻/視頻數(shù)據(jù)的階段 -使用當(dāng)前組訪問(wèn)數(shù)據(jù)(CGD)直接或間接訪問(wèn)廣播數(shù)據(jù)����, c.在撤銷至少一個(gè)解碼器并選擇性地更換該組的當(dāng)前組訪問(wèn)密鑰(CGK)的階段 -發(fā)送全局組尋址消息,從而僅未撤銷的解碼器能夠解密該全局組尋址消息�,所述全局組尋址消息至少包括下一個(gè)組訪問(wèn)數(shù)據(jù)(NGAD),所述下一個(gè)組訪問(wèn)數(shù)據(jù)(NGAD)至少包括使用所述廣播加密方案加密的下一個(gè)組訪問(wèn)密鑰(NGAK)�,所述組消息進(jìn)一步由當(dāng)前組訪問(wèn)密鑰(CGK)加密并聲明所述撤銷的解碼器的位置被空出��, -在未撤銷的解碼器中��,使用當(dāng)前組訪問(wèn)密鑰解密消息����,進(jìn)一步使用與該組中的位置有關(guān)的廣播加密密鑰來(lái)解密結(jié)果并存儲(chǔ)下一個(gè)組訪問(wèn)數(shù)據(jù)�,特別地,更新下一個(gè)組訪問(wèn)密鑰����, -在撤銷的解碼器中,使用當(dāng)前組訪問(wèn)密鑰解密消息�����,于是無(wú)法利用與該組中的位置有關(guān)的廣播加密密鑰來(lái)解密結(jié)果����,因此無(wú)法更新下一個(gè)組訪問(wèn)數(shù)據(jù),特別地���,無(wú)法更新下一個(gè)組訪問(wèn)密鑰, d.在重新使用由先前撤銷的解碼器空出的位置的階段 -使所述下一個(gè)組訪問(wèn)密鑰變?yōu)楫?dāng)前組訪問(wèn)密鑰���, -把該組中的先前空出的位置標(biāo)記為可用�, -從步驟a開(kāi)始該過(guò)程。
2.如權(quán)利要求I所述的方法���,其中所述組訪問(wèn)數(shù)據(jù)(GAD)還包括會(huì)話密鑰(SK)�����,所述會(huì)話密鑰(SK)用于直接或間接訪問(wèn)與該組有關(guān)的音頻/視頻數(shù)據(jù)���。
3.如權(quán)利要求I所述的方法,其中它包括下述步驟 -發(fā)送包括會(huì)話密鑰(SK)的第二組消息����,所述第二組消息由當(dāng)前組訪問(wèn)密鑰(CGAK)加密,所述會(huì)話密鑰(SK)用于直接或間接訪問(wèn)與該組有關(guān)的音頻/視頻數(shù)據(jù)�。
4.如權(quán)利要求I所述的方法,其中可用位置的選擇開(kāi)始于與已經(jīng)分配的位置相鄰的位置以便以連續(xù)的方式集中所有已使用的位置���。
5.如權(quán)利要求I所述的方法���,其中可用位置的選擇開(kāi)始于兩個(gè)已經(jīng)分配的位置之間的位置以便以連續(xù)的方式集中所有已使用的位置。
全文摘要
本發(fā)明旨在提出一種允許一組解碼器的通用管理的方法����,這個(gè)組有條件地訪問(wèn)音頻/視頻內(nèi)容���。因此,提出了一種管理訪問(wèn)音頻/視頻數(shù)據(jù)的至少一組解碼器的成員的方法��,每個(gè)組成員具有未撤銷的或撤銷成員的狀態(tài)��,并共享共同廣播加密方案����,該廣播加密方案通過(guò)發(fā)送組尋址消息允許撤銷該組的至少一個(gè)成員的訪問(wèn),包括下述步驟在解碼器變?yōu)樵摻M的成員的階段-接收并存儲(chǔ)根據(jù)廣播加密方案的與該組中的位置有關(guān)的密鑰�����,-接收并存儲(chǔ)當(dāng)前組訪問(wèn)數(shù)據(jù)(CGD)�,當(dāng)前組訪問(wèn)數(shù)據(jù)至少包括對(duì)于所述組而言共同的當(dāng)前組訪問(wèn)密鑰(CGK),在訪問(wèn)音頻/視頻數(shù)據(jù)的階段-使用當(dāng)前組訪問(wèn)數(shù)據(jù)(CGD)直接或間接訪問(wèn)音頻/視頻數(shù)據(jù)�����,在更換當(dāng)前組訪問(wèn)密鑰(CGK)的階段-發(fā)送第一組消息����,從而僅未撤銷的解碼器能夠解密該消息,所述第一組消息至少包括下一個(gè)組訪問(wèn)數(shù)據(jù)(NGAD)���,所述下一個(gè)組訪問(wèn)數(shù)據(jù)(NGAD)至少包括加密以使得僅未撤銷的解碼器能夠訪問(wèn)的下一組訪問(wèn)密鑰(NGAK)�,所述組消息進(jìn)一步由當(dāng)前組訪問(wèn)密鑰(CGK)加密�,-利用下一組訪問(wèn)密鑰更新當(dāng)前組訪問(wèn)密鑰。
文檔編號(hào)H04L9/08GK102742287SQ201180008208
公開(kāi)日2012年10月17日 申請(qǐng)日期2011年1月28日 優(yōu)先權(quán)日2010年2月4日
發(fā)明者A·卡洛弗, G·莫雷隆 申請(qǐng)人:納格拉影像股份有限公司