专利名称:广播加密中用于密钥生成、加密和解密的方法、设备的制作方法
技术领域:
本发明涉及广播加密,尤其涉及广播加密中用于密钥生成的方法和设备、用于加 密的方法和设备、以及用于解密的方法、设备。
背景技术:
广播加密是一个用户(广播者)基于一个用户集合S加密消息M以得到密文C,并 且通过公共信道广播密文C,其中集合S是广播者可以任意选择的全体用户的子集,并且只 有在集合S中的用户才能解密密文C以得到消息Mo广播加密可应用于例如加密文件系统 的访问控制、卫星电视预订服务、DVD内容保护、数字视频广播DVB的条件接入等等。已经有人提出各种广播加密方案。例如D. Boneh等人在“Collusionresistant broadcast encryption with short ciphertexts and private keys", CRYPTO,258-275 页,2005年提出两个广播加密方案BW1方案和BW2方案。BWl方案的密钥大小是0(1), 公钥大小是0 (η) ;BW2方案的密钥大小是),公钥大小是)。C. De 1 erab 1 ee在 “Identity-basedbroadcast encryption with constant size ciphertexts and private keys", ASIACRYPT,200-215页,2007年中提出了一种基于身份的广播加密方案,其中密文、 密钥是大小固定的,公钥大小是系统所允许的最大合法接收用户的集合S大小的线性函 数。Delerablee方案的缺点在于它在随机预言机模型下是可证安全的。其次在上述两个方 案中,由于解密过程需要公开密钥的参与,因此传输广播密文时均需传输相应的公开密钥, 因此其密文大小要么和全体用户人数成正比,要么则与系统所允许的最大合法接收用户的 集合 S 大小成正t匕。Liu 禾口 Tzeng在"Public key broadcastencryption with low number of keys and constant decryption time,,,Public Key Cryptography,380-396 页,2008 年中提出了三个固定大小的公钥的广播加密方案。第一个方案密文大小是0(r),密钥大小 是O(Iogn);第二个方案密文大小是0(r),密钥大小是O(Iog2n);第三个方案的密文大小是
密钥大小是
这里r是被撤销解密权的用户的数量。Liu和Tzeng的方 案的缺点同样是,它们是在随机预言机模型下可证安全的,并且传输带宽大小和r成正比。 这意味着当被撤销解密权限的用户数量上涨到一定程度的时候,他们的方案就不适用了。
发明内容
鉴于现有技术的上述不足,本发明旨在提供一种广播加密中用于密钥生成的方法 和设备、用于加密的方法和设备、以及用于解密的方法、设备,以至少部分地克服上述不足。本发明的一个实施例是一种采用分层的基于身份的加密方案(HIBE)的密钥生成 方法,包括通过所述加密方案的初始化方法生成公开参数和主密钥,其中所述主密钥基于 第一随机数;在通过同层叶节点表示用户身份的二进制树中,针对每个叶节点,根据所述公 开参数、所述叶节点的身份和通过用第二随机数替换所述第一随机数而获得的右主密钥, 根据所述加密方案计算所述叶节点的右密钥集,所述右密钥集包括所述叶节点的右密钥和 从根节点到所述叶节点的路径上所有节点的右兄弟节点的右密钥;和针对所述叶节点,根据所述公开参数、所述叶节点的身份和通过用第三随机数替换所述第一随机数而获得的左 主密钥,根据所述加密方案计算所述叶节点的左密钥集,所述左密钥集包括所述叶节点的 左密钥和从根节点到所述叶节点的路径上所有节点的左兄弟节点的左密钥,其中所述第二 随机数与第三随机数的和等于所述第一随机数,并且对于不同用户,第二随机数是不同的。本发明的另一个实施例是一种采用分层的基于身份的加密方案的加密方法,包 括将有权解密广播内容的用户的身份划分为至少一个区间;针对每个所述区间,根据所 述加密方案的公开参数、所述区间的下界和与所述区间相关的随机数,通过所述加密方案 的加密方法来加密所述广播内容,以产生与所述下界相关的头信息和密文;和针对每个所 述区间,根据所述加密方案的公开参数、所述区间的上界和与所述区间相关的随机数,通过 所述加密方案的加密方法来加密所述广播内容,以产生与所述上界相关的头信息和密文, 其中 ,所述加密方案的加密方法所采用的对称密钥基于所述随机数,并且各个所述区间的 相关随机数互不相同。本发明的另一个实施例是一种采用分层的基于身份的加密方案的解密方法,包 括接收有关有权解密广播内容的用户的身份所划分的区间的信息、与每个所述区间的下 界相关的头信息和密文、以及与每个所述区间的上界相关的头信息和密文;找到接收用户 的身份所在的一个所述区间,使得在通过同层叶节点表示用户身份的二进制树中,从根节 点到所述区间的下界节点的路径上的一个节点的左密钥被包含在对应于接收用户的身份 的接收节点的左密钥集中,从根节点到所述区间的上界节点的路径上的一个节点的右密钥 被包含在所述接收节点的右密钥集中;根据所述公开参数、左密钥被包含在左密钥集中的 节点的身份及该节点的左密钥,通过所述加密方案的密钥导出方法计算所述下界节点的左 密钥;根据所述公开参数、右密钥被包含在右密钥集中的节点的身份及该节点的右密钥,通 过所述加密方案的密钥导出方法计算所述上界节点的右密钥;根据与所述找到的区间的下 界相关的头信息、相应下界节点的左密钥、下界和所述公开参数,通过所述加密方案的解密 方法得到第一会话密钥;根据与所述找到的区间的上界相关的头信息、相应上界节点的右 密钥、上界和所述公开参数,通过所述加密方案的解密方法得到第二会话密钥;根据所述第 一会话密钥和第二会话密钥得到对称密钥;和用所述对称密钥解密与所述找到的区间相关 的密文。本发明的另一个实施例是一种采用分层的基于身份的加密方案的加密设备,包 括用户分组装置,其将有权解密广播内容的用户的身份划分为至少一个区间;第一加密 装置,其针对每个所述区间,根据所述加密方案的公开参数、所述区间的下界和与所述区间 相关的随机数,通过所述加密方案的加密方法来加密所述广播内容,以产生与所述下界相 关的头信息和密文;和第二加密装置,其针对每个所述区间,根据所述加密方案的公开参 数、所述区间的上界和与所述区间相关的随机数,通过所述加密方案的加密方法来加密所 述广播内容,以产生与所述上界相关的头信息和密文,其中,所述加密方案的加密方法所采 用的对称密钥基于所述随机数,并且各个所述区间的相关随机数互不相同。本发明的另一个实施例是一种采用分层的基于身份的加密方案的密钥生成设备, 包括初始化装置,其通过所述加密方案的初始化方法生成公开参数和主密钥,其中所述主 密钥基于第一随机数;右密钥集生成装置,其在通过同层叶节点表示用户身份的二进制树 中,针对每个叶节点,根据所述公开参数、所述叶节点的身份和通过用第二随机数替换所述第一随机数而获得的右主密钥,根据所述加密方案计算所述叶节点的右密钥集,所述右密 钥集包括所述叶节点的右密钥和从根节点到所述叶节点的路径上所有节点的右兄弟节点 的右密钥;和左密钥集生成装置,其针对所述叶节点,根据所述公开参数、所述叶节点的身 份和通过用第三随机数替换所述第一随机数而获得的左主密钥,根据所述加密方案计算所 述叶节点的左密钥集,所述左密钥集包括所述叶节点的左密钥和从根节点到所述叶节点的 路径上所有节点的左兄弟节点的左密钥,其中所述第二随机数与第三随机数的和等于所述 第一随机数,并且对于不同用户,第二随机数是不同的。本发明的另一个实施例是一种采用分层的基于身份的加密方案的解密设备,包 括接收装置,其接收有关有权解密广播内容的用户的身份所划分的区间的信息、与每个所 述区间的下界相关的头信息和密文、以及与每个所述区间的上界相关的头信息和密文;搜 索装置,其找到接收用户的身份所在的一个所述区间,使得在通过同层叶节点表示用户身 份的二进制树中,从根节点到所述区间的下界节点的路径上的一个节点的左密钥被包含在 对应于接收用户的身份的接收节点的左密钥集中,从根节点到所述区间的上界节点的路径 上的一个节点的右密钥被包含在所述接收节点的右密钥集中;密钥派生装置,其根据所述 公开参数、左密钥被包含在左密钥集中的节点的身份及该节点的左密钥,通过所述加密方 案的密钥导出方法计算所述下界节点的左密钥,并且根据所述公开参数、右密钥被包含在 右密钥集中的节点的身份及该节点的右密钥,通过所述加密方案的密钥导出方法计算所述 上界节点的右密钥;和密钥恢复装置,其根据与所述找到的区间的下界相关的头信息、相应 下界节点的左密钥、下界和所述公开参数,通过所述加密方案的解密方法得到第一会话密 钥,根据与所述找到的区间的上界相关的头信息、相应上界节点的右密钥、上界和所述公开 参数,通过所述加密方案的解密方法得到第二会话密钥,并且根据所述第一会话密钥和第 二会话密钥得到对称密钥;和解密装置,其用所述对称密钥解密与所述找到的区间相关的 密文。在上述实施例中,加密方案可以是最大深度为
的二进制树加密(BTE) 方案,其中公开参数包括从具有4d-l个元素的互相独立的函数族中随机选择的函数,η为 用户的数目。在上述实施例中,加密方案也可以是最大深度为
的Boneh-Boyen-Goh 加密方案,其中η为用户的数目。在上述实施例中,公开参数可以包括互不相同的第一个g3参数和第二个g3参数, 其中第一个g3参数用于右密钥集的生成,第二个g3参数用于左密钥集的生成。在本发明的上述实施例中,如果安全性在标准模型下规约到判定性双线性 Diffie-Hellman指数假设上,那么公钥大小是O(Iogn),密文大小是0(k),密钥大小是 O(Iogn)(如果引入随机预言模型,那么公钥大小可以变成常数),这里k表示区间的数目。 由于公钥、密钥大小均与被撤销解密权的用户的数量无关,而密文大小依赖于通常总比r 小的区间数目,可以比Liu和Tzeng的方案的效率高。例如当被撤销解密权限的用户数量 上涨时,Liu和Tzeng的方案可能不再适用,但由于在这种情况下,合法用户对应的集合S仍 然较小,因此相应所包含的区间数目仍然较小,因此本发明在这种情况下仍然适用。另一方 面,本发明的上述实施例所实现的安全性是标准模型下的可证安全,比现有技术的随机预言模型下的可证安全更高。另外,本发明的上述实施例所基于的底层假设比现有技术所基 于的假设更弱,因此也可提高安全性。
参照下面结合附图对本发明实施例的说明,会更加容易地理解本发明的以上和其 它目的、特点和优点。在附图中,相同的或对应的技术特征或部件将采用相同或对应的附图 标记来表示。图1是示出采用广播加密的广播系统的一般构成的示意图。图2是示出用于广播加密的用户设备的一般构成的示意图。图3示出了根据本发明一个实施例的采用HIBE方案的密钥生成设备的示例性结 构。图4的示意图示出了包含8个用户的二进制树的例子图5示出了根据本发明一个实施例的采用HIBE方案的密钥生成方法的流程图。图6示出了根据本发明一个实施例的采用HIBE方案的加密设备的示例性结构。图7示出了根据本发明一个实施例的采用HIBE方案的加密方法的流程图。图8示出了根据本发明一个实施例的采用HIBE方案的解密设备的示例性结构。图9示出了根据本发明一个实施例的采用HIBE方案的解密方法的流程图。图10是示出其中实现本发明实施例的计算机的示例性结构的框图。
具体实施例方式下面参照附图来说明本发明的实施例。应当注意,为了清楚的目的,附图和说明中 省略了与本发明无关的、本领域普通技术人员已知的部件和处理的表示和描述。广播系统和用户设备图1是示出采用广播加密的广播系统100的一般构成的示意图。如图1所示,广 播系统100包括用户管理子系统101和发送子系统102。用户管理子系统101管理注册到广播系统100的用户的信息,以及为新注册的用 户分配身份标识和密钥。用户管理子系统101的密钥生成设备110负责加密方案的初始化, 以及为用户生成密钥。通过初始化获得的数据和为用户生成的密钥被存储为密钥数据103。 密钥生成设备110也可以独立于用户管理子系统101或广播系统100之外,并且也可以预 先运行以进行初始化和密钥生成。为用户生成的密钥和解密所需的其它信息提供给用户设 备。可通常通信介质(例如有线、无线通信等)、存储介质(例如光盘、存储器、磁盘等)、人 工输入等手段将密钥和其它信息提供给用户设备。当广播系统100要进行内容广播时,发送子系统102从内容源104获得要广播的 内容,从预订信息105获得有权呈现(即解密)该内容的用户的信息。发送子系统102的加 密设备120从密钥数据103获得有关数据,针对有权解密的用户对内容进行加密,使得只能 这些用户才能够解密内容。需要注意,内容的广播可以是任何广播形式,例如光盘的发布、 网络上内容的发布、数字视频广播等。此外,加密设备120可以独立于发送子系统102或广 播系统100之外,并且也可以预先运行以准备好加密的广播内容。图2是示出用于广播加密的用户设备200的一般构成的示意图。如图2所示,用户设备200包括接收设备201和解密设备202。接收设 备201获得由例如通信介质或存储介质承载的加密广播内容。解密设备 202利用用户注册时获得的密钥和相关信息对所获得的加密广播内容进行解密。如果该用 户不是有权解密该加密广播内容的用户,则无法用其密钥和相关信息解密出正确的广播内 容。取决于具体的应用,用户设备可以是机顶盒、电视机、移动终端、个人计算机等,并且解 密出的广播内容可以被呈现给用户、存储或进行其它进一步的处理。基于HIBE的区间加密-密钼牛成在HIBE方案中,可以用二进制树的节点来表示每个身份i = ‘..i”其中, i1;...,ite {0,1}。每个节点i有一个密钥SKi,其中根节点的密钥为主密钥或根密钥SKe =χ α,其中ε表示空串,X是双线性映射群G1的元素,α是一个随机数。根据节点i的密 钥SKi能够计算出该节点的子节点i0 (表示i连接0)和il (表示i连接1)的密钥SKitl和 SKilo当对消息M进行加密时,根据公开参数、有权解密的用户的身份i生成头信息HDR和密 文C = M ·(!,其中d为对称密钥。用户i收到头信息HDR和密文C后,根据公开参数和为其分 配的密钥SKi从HDR中恢复出对称密钥d,然后用对称密钥d计算消息M = C/d,从而完成解 密。对称密钥d通常具有双线性映射
的形式,其中g是 从双线性映射群G1中随机选择的元素,Y是一个随机数。例如Boneh等人在“Hierarchical Identity Based Encryption with Constant SizeCiphertextCryptology ePrint Archive,Report 2005/015,2005 中描述了一种 HIBE 方案,即 Boneh-Boyen-Goh 加密方案, 其中对称密钥 d 为彻,级£广=彻
为公开参数,主密钥SKe =g2\图3示出了根据本发明一个实施例的采用HIBE方案的密钥生成设备300的示例 性结构。如图3所示,密钥生成设备300包括初始化装置301、右密钥集生成装置302和左 密钥集生成装置303。初始化装置301通过HIBE方案的初始化方法生成公开参数(也称为主公钥PK) 和主密钥SKe = Xa0可以看出,主密钥SKe基于第一随机数a。所属领域的技术人员明 白,χ也是公开参数之一,并且对于不同的HIBE方案,可定义有不同的公开参数。如前所述,可以用二进制树的节点来表示身份。在本发明的实施例中,用二进制树 中的同层叶节点来表示用户身份。例如图4的示意图示出了包含8个用户的二进制树的例 子。在图4中,圆圈表示节点。节点左边的字符串表示节点所代表的身份i。节点i附近的 符号SKi表示为该身份分配的密钥。节点408、409、410、411、412、413、414、415所代表的身 份为用户1-8的身份。右密钥集生成装置302在通过同层叶节点表示用户身份的二进制树(例如图4所 示的二进制树)中,针对每个叶节点i,根据公开参数PK、叶节点i的身份和通过用第二随 机数、替换第一随机数α而获得的右主密钥SKE,K= Xai,根据HIBE方案,即通过HIBE 方案的密钥生成方法计算叶节点i的右密钥集DRitl右密钥集DRi包括叶节点i的右密钥 SKi, E和从根节点到叶节点i的路径上所有节点的右兄弟节点ρ的右密钥SKp, κ。以图4中 的叶节点413为例,其右密钥集DR包含SKltll,K、SK11,RO可以根据右主密钥直接计算各个节 点的右密钥。根据所计算的各个节点的右密钥,可以组成各个叶节点的右密钥集。需要注意,对于不同用户,随机数α i也是不同的。左密钥集生成装置303在通过同层叶节点表示用户身份的二进制树(例如图4所 示的二进制树)中,针对每个叶节点i,根据公开参数PK、叶节点i的身份和通过用第三随 机数0-、替换第一随机数α而获得的左主密钥SKE,L = ga_ai,根据HIBE方案,即通过 HIBE方案的密钥生成方法计算叶节点i的左密钥集DLitl左密钥集DLi包括叶节点i的左 密钥SKu和从根节点到叶节点i的路径上所有节点的左兄弟节点P的左密钥SKP』。以图 4中的叶节点412为例,其左密钥集DL包含SK.pSKu。可以根据左主密钥直接计算各个 节点的左密钥。根据所计算的各个节点的左密钥,可以组成各个叶节点的左密钥集。可以看出,第二随机数a i与第三随机数a -a i的和等于第一随机数a。虽然前面参照图4所示的例子来说明右密钥集生成装置302和左密钥集生成装置 303的处理,然而应当注意,对于图4所示的每个节点,右密钥集生成装置302和左密钥集生 成装置303所生成的密钥分别是基于右主密钥和左主密钥来生成的。图5示出了根据本发明一个实施例的采用HIBE方案的密钥生成方法的流程图。如图5所示,方法从步骤500开始。在步骤501,通过HIBE方案的初始化方法生成 公开参数PK和主密钥SKe =Xa0可以看出,主密钥SKe基于第一随机数a。如前参照图4所述,可以用二进制树的节点来表示身份,并且用二进制树中的同 层叶节点来表示用户身份。在步骤502,在通过同层叶节点表示用户身份的二进制树中,针对每个叶节点i, 根据公开参数PK、叶节点i的身份和通过用第二随机数a i替换第一随机数α而获得的右 主密钥SKe,κ= χ ai,根据HIBE方案,即通过HIBE方案的密钥生成方法计算叶节点i的右 密钥集DR。右密钥集DR包括叶节点i的右密钥SKu和从根节点到叶节点i的路径上所有 节点的右兄弟节点P的右密钥SKp,κ。可以根据右主密钥直接计算各个节点的右密钥。根据 所计算的各个节点的右密钥,可以组成各个叶节点的右密钥集。需要注意,对于不同用户, 随机数、也是不同的。在步骤503,在通过同层叶节点表示用户身份的二进制树中,针对每个叶节点i, 根据公开参数PK、叶节点i的身份和通过用第三随机数a-CIi替换第一随机数α而获得 的左主密钥SKe ,L = χ…1,根据HIBE方案,即通过HIBE方案的密钥生成方法计算叶节点i 的左密钥集DL。左密钥集DL包括叶节点i的左密钥SKiJ和从根节点到叶节点i的路径上 所有节点的左兄弟节点P的左密钥SKP』。可以根据左主密钥直接计算各个节点的左密钥。 根据所计算的各个节点的左密钥,可以组成各个叶节点的左密钥集。接着方法在步骤504 结束。可以看出,第二随机数a i与第三随机数a -a i的和等于第一随机数a。基于HIBE的区间加密_加密图6示出了根据本发明一个实施例的采用HIBE方案的加密设备600的示例性结 构。如图6所示,加密设备600包括用户分组装置601、第一加密装置602和第二加密 装置603。用户分组装置601将有权解密广播内容(即消息M)的用户的身份划分为至少一 个区间N、= [Ij, rj]0以图4所示的用户身份为例,假设具有身份“000”、“010”、“011”、“100”、“110”、“111”的用户有权解密广播内容,则可以将这些用户划分为三个区间,即
,
, [110,111]。可以看出,每个区间不含无权解密广播内容的用户身份。对于所划分出的每个区间NIj,第一加密装置602根据HIBE方案的公开参数PK、 区间N。的下界、和与区间N。相关的随机数Y j (即对称密钥d所基于的随机数),通过 HIBE方案的加密方法来加密广播内容,以产生与下界Ij相关的头信息HDRj, L和密文Cj, L。 在加密时,所采用的对称密钥…为战g,SKf。对于所划分出的每个区间NIj,第二加密装置603根据HIBE方案的公开参数PK、 区间NIj的上界rj和与区间NIj相关的随机数Y」,通过HIBE方案的加密方法来加密广播 内容,以产生与上界h相关的头信息HDRj, E和密文Cj, RO在加密时,所采用的对称密钥为 需要注意,各个区间N。的相关随机数L互不相同。
图7示出了根据本发明一个实施例的采用HIBE方案的加密方法的流程图。如图7所示,方法从步骤700开始。在步骤701,将有权解密广播内容(即消息M) 的用户的身份划分为至少一个区间N。= [Ij, rj]。在步骤702,对于所划分出的每个区间NIj,根据HIBE方案的公开参数PK、区间NIj 的下界Ij和与区间NIj相关的随机数、j (即对称密钥d所基于的随机数),通过HIBE方案 的加密方法来加密广播内容,以产生与下界相关的头信息HDR&和密文C&。在加密时, 所采用的对称密钥为兴广。在步骤703,对于所划分出的每个区间NIj,第二加密装置603根据HIBE方案的公 开参数PK、区间NIj的上界rj和与区间NIj相关的随机数Y j,通过HIBE方案的加密方法来 加密广播内容,以产生与上界A相关的头信息HDRy和密文C"。在加密时,所采用的对称 密钥为S(g,议。需要注意,各个区间N。的相关随机数L互不相同。
接着方法在步骤704结束。基于HIBE的区间加密-解密图8示出了根据本发明一个实施例的采用HIBE方案的解密设备800的示例性结 构。如图8所示,解密设备800包括接收装置801、搜索装置802、密钥派生装置803、密 钥恢复装置804和解密装置805。接收装置801接收有关有权解密广播内容(即消息M)的用户的身份所划分的区 间N、的信息、与每个区间N。的下界、相关的头信息HDl L和密文k L>以及与每个区间 NIj的上界r」相关的头信息HDRj, κ和密文Cj., κ。搜索装置802从这些所划分的区间NIj中,找到接收用户的身份i所在的一个区 间NIk,使得在通过同层叶节点表示用户身份的二进制树(例如图4所示的二进制树)中, 从根节点到区间NIk的下界节点Ik的路径上的一个节点m的左密钥SKm, L被包含在对应于 接收用户的身份i的接收节点的左密钥集DLi中,从根节点到区间NIk的上界节点rk的路 径上的一个节点η的右密钥SKn, κ被包含在接收节点的右密钥集DRi中。以图4所示的用 户身份为例,假设区间划分为W00,000]、
, [110,111],用户011为接收用户,用户 011 的左密钥集 DL = (SKolljL, SK010jL, SK。。, J,右密钥集 DR = (SK011,E, SKljJ。所找到的 区间为
,节点m是附图标记410指示的节点010,节点η是附图标记403指示的 节点Io密钥派生装置803根据公开参数ΡΚ、左密钥被包含在左密钥集DLi中的节点的身 份m及该节点的左密钥SK“,通过HIBE方案的密钥导出方法计算下界节点Ik的左密钥,并 且根据公开参数PK、右密钥被包含在右密钥集DRi中的节点的身份η及该节点的右密钥SKn, κ,通过HIBE方案的密钥导出方法计算上界节点rk的右密钥。例如在前面的例子中,根据节 点1的右密钥SKu可导出节点100的右密钥SKicitl,κ。密钥恢复装置804根据与找到的区间NIk的下界Ik相关的头信息HDRk、相应下 界节点的左密钥、下界Ik和公开参数PK,通过HIBE方案的解密方法得到第一会话密钥
广,根据与找到的区间NIk的上界相关的头信息、相应上界节点的右密钥、上 界rk和公开参数PK,通过HIBE方案的解密方法得到第二会话密钥^g,χ Y^,并且根据 第一会话密钥和第二会话密钥得到对称密钥χ Y^ e(g,x= e(g,x广"=
e(gX)n =,即对称密钥 dk。解密装置804用所得到的对称密钥dk解密与找到的区间NIk相关的密文,以得到 消息M。图9示出了根据本发明一个实施例的采用HIBE方案的解密方法的流程图。如图9所示,方法从步骤900开始。在步骤901,接收有关有权解密广播内容(即 消息M)的用户的身份所划分的区间N、的信息、与每个区间N、的下界相关的头信息 HDRy和密文Cu、以及与每个区间NIj的上界rj相关的头信息HDRy和密文Cj, κ。在步骤902,从这些所划分的区间N、中,找到接收用户的身份i所在的一个区间 NIk,使得在通过同层叶节点表示用户身份的二进制树(例如图4所示的二进制树)中,从 根节点到区间NIk的下界节点Ik的路径上的一个节点m的左密钥SKm, L被包含在对应于接 收用户的身份i的接收节点的左密钥集DLi中,从根节点到区间NIk的上界节点rk的路径 上的一个节点η的右密钥SKn,κ被包含在接收节点的右密钥集DRi中。在步骤903,根据公开参数ΡΚ、左密钥被包含在左密钥集DLi中的节点的身份m及 该节点的左密钥SKm』,通过HIBE方案的密钥导出方法计算下界节点Ik的左密钥。在步骤904,根据公开参数PK、右密钥被包含在右密钥集DRi中的节点的身份η及 该节点的右密钥SKn,κ,通过HIBE方案的密钥导出方法计算上界节点rk的右密钥。在步骤905,根据与找到的区间NIk的下界Ik相关的头信息HDRk、相应下界 节点的左密钥、下界Ik和公开参数PK,通过HIBE方案的解密方法得到第一会话密钥 e(g,x )n(a~at)。在步骤906,根据与找到的区间OTk的上界相关的头信息、相应上界节点的右密钥、 上界rk和公开参数PK,通过HIBE方案的解密方法得到第二会话密钥 &,χ严。在步骤907,根据第一会话密钥和第二会话密钥得到对称密钥 e(g,x Y^ e(g,x= e(g,x ^a = e(g,xa)^ =广,即对称密钥 dk。在步骤908,用所得到的对称密钥dk解密与找到的区间NIk相关的密文,以得到消 息M。接着方法在步骤909结束。根据本发明的实施例,能够区分出在区间之内和区间之外的用户的解密能力。具体地讲,对于一个用户而言,该用户只能得到以其身份为上界的其它身份的用户的左密钥, 以及以其身份为下界的其它身份的用户的右密钥。如果已知该用户的身份在一个区间内, 则能够得到该区间的下界的左密钥,以及该区间的上界的右密钥。因而能够恢复出针对该 区间的对称密钥,从而解密相应的密文。而对于未在任意一个区间内的用户,该用户无法 全部获得任何一个区间的下界的左密钥和上界的右密钥,因而无法获得任何区间的对称密 钥,从而解密密文。由于在分配用户的右私钥时嵌入随机数α”在分配用户的左私钥时嵌 入随机数(α-α》。这样,只有同一个用户才能合成的主密钥xa。由于每个用户所嵌入 的随机数随用户不同而不同,因此不同用户之间的共谋攻击变得不可能。由于每个区间的 密文被嵌入一个唯一的随机数、,这样在最终的解密中随机数α将被这些随机数所扰乱。 由于被扰乱的随机数与正确随机数相同的概率可忽略不计,因此能够防止在存在多个区间 的情况下的单用户攻击,例如用户100可以解密对应区间W10,011]的下界所对应的部分 密文,同时可以解密对应区间[101,111]上界对应的部分密文,那么有可能通过这两次解 密所得的部分密文来合成区间W10,110]的对称密钥。下面将结合具体的HIBE方案来说明本发明的实施例的具体实例。实例一准备知识二进制树加密方案(BTE)二进制树加密方案可以被视为HIBE方案的一个特例。在二进制树加密方案中,主 公钥(即公开参数)PK和树T关联。树T的每一个节点对应一个密钥。消息对应某个节点 加密。加密时使用PK和节点的名字(即身份)。所得的密文可以用节点对应的密钥解密。 用一个节点的密钥可以计算出它的子节点的密钥。具体地,节点i可以表示成ii...it,其中,...,it e {0,1}。节点i的子节点 有两个,分别为i0(i连接0)和il(i连接1)。用d表示树的深度。用i|j表示字符串i(i = I1. . . it)的j比特前缀。对于任意一个字符串,i|Q = ε ο ε表示空串。用Hd表示2d+l个互相独立的函数族,定义域是{0,1} <d,值域是G^这里,G1是 一个阶为素数q的双线性映射群。二进制树加密方案由以下五个算法组成Gen(lk, Id)此算法生成两个阶均为素数q的双线性映射群G1, G2。生成双线性映 射 。从G1中随机选择一个元素g。从Zq里随机选择元素a。令Q = 。从Hd中随机选择 一个函数H。主公钥PK是(G1,G2,S,g,β,//)。树τ的根节点的密钥是SKe =Η(Οα。非空节点i = L.. it的密钥包括t+1个群元素,记为级 节点ε 的密钥是 Der(PHSKi)此算法输出节点i的两个子节点i0和il的密钥。
。 将SKi分解为(代I。,代1,,.·.%,-丨,《)。从Zq里随机选择元素Pi。令代乂
Sil = SrH(il)p‘ 。输出 KeyGen(PK, i,SKj 将 i 表示为
,此算法输出
这里
·
},是随
机从Zq里选择的。 Enc (ΡΚ, ,Μ)这里M e G2。将i表示为‘ ..it。此算法从\里随机选择Y。输 出
对称密钥
Dec (PK,i,SKi,
C)将i表示为i” . . it。将SKi表示为
C表示为(U0,U1, ... , Ut, V)。
此算法输出M = V/d,这里 在基于二进制树加密方案的例子中,给定消息和一个区间,用区间的两个端点加 密。所基于的是以下事实从区间[a,b]内的一点P出发,向左能到a点,向右能到H 但是从[a,b]外的一点Q出发,或者向左不能到a点,或者向右不能到H因此可以区别 区间内的点和区间外的点。使用两个二进制加密系统。通过右密钥生成装置302实现第一个二进制加密系 统。通过左密钥生成装置303实现第二个二进制加密系统。在第一个系统S1中,能解密点a的人能够解密比a大的点。在第二个系统S2中, 能解密点a的人能够解密比a小的点。S1的实现方法是,对完全二进制树的每个叶节点赋 予[1,η]中的整数(n = 2d,d是树的深度)。根节点赋值为0。如果节点P的赋值为x,那 么P的左子节点的赋值为2x,P的右子节点的赋值为2x+l。如果用户U具有整数u对应的 密钥,令P1, P2,. . . ,Ps为从根节点通到u的父节点的路径上的所有节点(P1是树的根节点, Ps是u的父节点)。那么U也有P1, P2,... ,Ps的右子节点对应的密钥。S2的实现方法和S1 相同,在S2中,U也有P1, P2, ...,Ps的左子节点对应的密钥。从这里开始,i I rJ表示i IJ的右兄弟节点(如果i IJ是父节点的左子节点),i I υ表 示i I j的左兄弟节点(如果i I j是父节点的右子节点)。在这个例子中,初始化装置301运行BTE方案的
得到主公
钥
妒是一个具有4(1-1个元素的互相独立的函数集合,函数的定义 域为I0,l}<d,值域为G115 H从Hd中随机选取。还得到二进制树的根密钥SKe =Η(ε)\对于用户i,右密钥生成装置302选择随机数α”运行
KeyGen(pIi^l得到叶节点i的右密钥SKi,得到从根节点到节点i的路径
上的所有节点i I」的右兄弟节点i Lj对应的右密钥l5Ai7。这些密钥构成“右密钥集”DRp左 密钥生成装置303运行KeyGen(i^cy,sA2 二好⑷“)得到叶节点i的密钥SKi,以及从 根节点到节点i的路径上的所有节点i I j的左兄弟节点i I υ对应的左密钥si^。这些密钥构 成“左密钥集” DLi。用户密钥为
是右子节点},
,是左子节点}
用户分组装置601将有权解密的用户划分为k个区间的并集 在对消息M加密时,从Zq中随机选择Y j, j = 1,2,…,k,计算对称 密钥
。具体地,对于每一个NIj= [1., rj],第一加密装置 602运行Enc (PK, 1」,M),并且第二加密装置603运行Enc (PK, r」,Μ),从而输出
得到头
信息
1和密文Cm = (Cd,Qj = M · Kj, Kj从对称密钥空间K中随机选取。接收装置801获得头信息和密文。假设接收用户的身份为i,ζ彡i,η彡i是自然数,η的二进制表示为H1、… nd, ζ的二进制表示为ζ ! ζ 2··· ζ d。搜索装置802找到一个j,满足1 < j彡d,且"^;是 DLi的一部分,并且找到另一个j,满足1 < j彡d,且^^是DRi的一部分。针对找到的第一个j,密钥派生装置803运行Der (PK,i,SKi),生成密钥
是 dl ” 针对找到的第二个 j,密钥派生装
置803运行Der(PK,i,SKi),生成
是办5。假设i在区间NIj中,
1彡j彡k。密钥恢复装置804运行
得到第二会话密钥4 = 丑⑷严,这里
密钥恢复装置 804 还运行
导到第一会话密钥尖
这里
密钥恢复装置804再用(I1和d2计算对称密钥 解密装置805用对称密钥来解密密文。实例二预备知识Boneh-Boyen-Goh加密方案令G表示一个ρ阶群(ρ是素数),e:GXG —G1表示一个双线性映射。身份ID是 (zy 的元素,记为 Boneh-Boyen-Goh加密方案由以下五个算法组成Setup(I)从G中随机选择g,WZp中随机选择α,令& = ga。随机从G中选择 元素由,而,比,-,h10系统公开参数PK = (g,gl,g2,gph”…,h),主密钥为<。
Ke
中随机选择 r,输出二 <%) ¥,&”…,W)。
从 Zp 中随机选择 t, 屮。Encrypt (PK, ID, Μ)这里消息 M e G1, JD=17!,· ··々)e 。算法从 Zp 中随机选 择 s,输出 Decrypt (dID, CT)令(A, B,C) = CT, (a0, a” bk+1,...,bx) = dID,输出 Ae (a” C)/ e (B, a0)。在基于Boneh-Boyen-Goh加密方案的例子中,初始化装置301运行Setup (Id)(这d 满足η = 2d),得到公开参数PK和主密钥master-key。系统公开参数是PK = (g,gl = ga, g2 gL3, gR3, IiL1, ... , hLd, hRi, · · · , hRd)。每一个[l,n]中的整数i与二进制树的第i个叶子节点关联(二进制树的叶子节 点从左到右依次编号为1,2,3,. . .,η)。对于第i个接收者,右密钥生成装置302选择随机数 a i,然后将W'作为主密钥,将(g,g2,gR3,hRi; ... , hRd)作为公开参数,运行KeyGen (‘η, ID),得到叶子节点i对应的右密钥屯,和从根节点到叶子节点的路径上的所有节点的右子 节点对应的右密钥<1。。这些右密钥构成DR”左密钥生成装置303将容ΓΜ乍为主密钥,将(g,g2,gL3,hLi; ... , hLd)作为公开参 数,运行KeyGen(Clmllri,ID),得到叶子节点i对应的左密钥屯,和从根节点到叶子节点的路 径上的所有节点的左子节点对应的左密钥力。。这些密钥构成DLitl第i个接收者的密钥为 Di = (DLi, DRJ。用户分组装置601将有权解密的用户划分为k个区间的并集 k 在对消息M加密时,从Zq中随机选择
=1,2,…,k。具体地,对于每一个Ni」,第一加密装置602运行Encrypt ((g,gl, g2,gL3, hL1 · · ·,hLd),Ij),第二加密装置 603 运行 Encrypt ((g,gl, g2,gR3,hR1 · · ·,hRd),r」),
分别得到
从而得到头信息 接收装置801获得头信息和密文。假定
i是自然数,η的二进制表示为1··· nd, ζ的二进 制表示为W. ζ 。搜索装置802找到一个整数j,满足Kj <d,且、丨,是DLiW—部分 (这里nlj= η^··η」)。搜索装置802还找到另一个整数j,满足1彡j彡d,且今卩是DRi 的一部分(这里ζ Ij= (d)。对于第一个整数j,密钥派生装置803运行Der(),得到
令dln = d”对于第二个整数j,密钥派生装置803运 行 Der (),得到
令 dr, = ζ。假定i e NIj = [1」,rj],1≤j≤k,密钥派生装置803得到drr和气,的 二进制表示为Ijl,…,ljd,r」的二进制表示为rjl,···, rJdo密钥恢复装置804运行
得到第二会话密钥
,并且运 行
得到第一会话密钥 密钥恢复装置804根据第一和第二会话密钥得到对称密钥 解密装置805用对称密钥来解密密文。需要注意,在两个加密系统中的公开参数分别为gL3,hL1,.. ·,hLd和gR3,hR1,.. ·, hRd。相比Boneh提出的BWl方案和BW2方案,本发明的实施例占用的空间更少。空间 比较如下图所示(图中,k表示集合S是k个区间的并集) 图10是示出其中实现本发明实施例的计算机的示例性结构的框图。在图10中,中央处理单元(CPU) 1001根据只读映射数据(ROM) 1002中存储的程序 或从存储部分1008加载到随机存取映射数据(RAM) 1003的程序执行各种处理。在RAM 1003 中,也根据需要存储当CPU 1001执行各种处理等等时所需的数据。CPU 100UROM 1002和RAM 1003经由总线1004彼此连接。输入/输出接口 1005 也连接到总线1004。下述部件连接到输入/输出接口 1005 输入部分1006,包括键盘、鼠标等等;输出 部分1007,包括显示器,比如阴极射线管(CRT)、液晶显示器(IXD)等等,和扬声器等等;存 储部分1008,包括硬盘等等;和通信部分1009,包括网络接口卡比如LAN卡、调制解调器等 等。通信部分1009经由网络比如因特网执行通信处理。根据需要,驱动器1010也连接到输入/输出接口 1005。可拆卸介质1011比如磁 盘、光盘、磁光盘、半导体映射数据等等根据需要被安装在驱动器1010上,使得从中读出的 计算机程序根据需要被安装到存储部分1008中。在通过软件实现上述步骤和处理的情况下,从网络比如因特网或存储介质比如可 拆卸介质1011安装构成软件的程序。本领域的技术人员应当理解,这种存储介质不局限于图10所示的其中存储有程 序、与方法相分离地分发以向用户提供程序的可拆卸介质1011。可拆卸介质1011的例子包 含磁盘、光盘(包含光盘只读映射数据(⑶-ROM)和数字通用盘(DVD))、磁光盘(包含迷你盘(MD)和半导体映射数据。或者,存储介质可以是ROM 1002、存储部分1008中包含的硬盘 等等,其中存有程序,并且与包含它们的方法一起被分发给用户。 在前面的说明书中参照特定实施例描述了本发明。然而本领域的普通技术人员理 解,在不偏离如权利要求书限定的本发明的范围的前提下可以进行各种修改和改变。
权利要求
一种采用分层的基于身份的加密方案的密钥生成方法,包括通过所述加密方案的初始化方法生成公开参数和主密钥,其中所述主密钥基于第一随机数;在通过同层叶节点表示用户身份的二进制树中,针对每个叶节点,根据所述公开参数、所述叶节点的身份和通过用第二随机数替换所述第一随机数而获得的右主密钥,根据所述加密方案计算所述叶节点的右密钥集,所述右密钥集包括所述叶节点的右密钥和从根节点到所述叶节点的路径上所有节点的右兄弟节点的右密钥;和针对所述叶节点,根据所述公开参数、所述叶节点的身份和通过用第三随机数替换所述第一随机数而获得的左主密钥,根据所述加密方案计算所述叶节点的左密钥集,所述左密钥集包括所述叶节点的左密钥和从根节点到所述叶节点的路径上所有节点的左兄弟节点的左密钥,其中所述第二随机数与第三随机数的和等于所述第一随机数,并且对于不同用户,第二随机数是不同的。
2.如权利要求1所述的方法,其中所述加密方案是最大深度为 的二进制树 加密方案,并且所述公开参数包括从具有4d-l个元素的互相独立的函数族中随机选择的 函数,n为所述多个用户的数目。
3.如权利要求1所述的方法,其中所述加密方案的最大深度为 的 Boneh-Boyen-Goh加密方案,n为所述多个用户的数目。
4.如权利要求3所述的方法,其中所述公开参数包括互不相同的第一个g3参数和第二 个g3参数,所述第一个g3参数用于右密钥集的生成,所述第二个g3参数用于左密钥集的生 成。
5.一种采用分层的基于身份的加密方案的加密方法,包括将有权解密广播内容的用户的身份划分为至少一个区间;针对每个所述区间,根据所述加密方案的公开参数、所述区间的下界和与所述区间相 关的随机数,通过所述加密方案的加密方法来加密所述广播内容,以产生与所述下界相关 的头信息和密文;和针对每个所述区间,根据所述加密方案的公开参数、所述区间的上界和与所述区间相 关的随机数,通过所述加密方案的加密方法来加密所述广播内容,以产生与所述上界相关 的头信息和密文,其中,所述加密方案的加密方法所采用的对称密钥基于所述随机数,并且各个所述区 间的相关随机数互不相同。
6.如权利要求5所述的方法,其中所述加密方案是最大深度为 的二进制树加密方案,并且所述公开参数包括从具有4d-l个元素的互相独立的函数族中随机选择的 函数,n为所述多个用户的数目。
7.如权利要求5所述的方法,其中所述加密方案的最大深度为 的 Boneh-Boyen-Goh加密方案,n为所述多个用户的数目。
8.如权利要求7所述的方法,其中所述公开参数包括互不相同的第一个g3参数和第二个g3参数,所述第一个g3参数用于所述根据下界的加密,所述第二个g3参数用于所述根据 上界的加密。
9.一种采用分层的基于身份的加密方案的解密方法,包括接收有关有权解密广播内容的用户的身份所划分的区间的信息、与每个所述区间的下 界相关的头信息和密文、以及与每个所述区间的上界相关的头信息和密文;找到接收用户的身份所在的一个所述区间,使得在通过同层叶节点表示用户身份的二 进制树中,从根节点到所述区间的下界节点的路径上的一个节点的左密钥被包含在对应于 接收用户的身份的接收节点的左密钥集中,从根节点到所述区间的上界节点的路径上的一 个节点的右密钥被包含在所述接收节点的右密钥集中;根据所述公开参数、左密钥被包含在左密钥集中的节点的身份及该节点的左密钥,通 过所述加密方案的密钥导出方法计算所述下界节点的左密钥;根据所述公开参数、右密钥被包含在右密钥集中的节点的身份及该节点的右密钥,通 过所述加密方案的密钥导出方法计算所述上界节点的右密钥;根据与所述找到的区间的下界相关的头信息、相应下界节点的左密钥、下界和所述公 开参数,通过所述加密方案的解密方法得到第一会话密钥;根据与所述找到的区间的上界相关的头信息、相应上界节点的右密钥、上界和所述公 开参数,通过所述加密方案的解密方法得到第二会话密钥; 根据所述第一会话密钥和第二会话密钥得到对称密钥;和 用所述对称密钥解密与所述找到的区间相关的密文。
10.如权利要求9所述的方法,其中所述加密方案是最大深度为 的二进制树加密方案,并且所述公开参数包括从具有4d-l个元素的互相独立的函数族中随机选择 的函数,n为所述多个用户的数目。
11.如权利要求9所述的方法,其中所述加密方案的最大深度为 的 Boneh-Boyen-Goh加密方案,n为所述多个用户的数目。
12.如权利要求11所述的方法,其中所述公开参数包括互不相同的第一个&参数和第 二个g3参数,所述第一个g3参数用于所述右密钥集的生成和所述根据下界的加密,所述第 二个g3参数用于所述左密钥集的生成和所述根据上界的加密。
13.一种采用分层的基于身份的加密方案的密钥生成设备,包括初始化装置,其通过所述加密方案的初始化方法生成公开参数和主密钥,其中所述主 密钥基于第一随机数;右密钥集生成装置,其在通过同层叶节点表示用户身份的二进制树中,针对每个叶节 点,根据所述公开参数、所述叶节点的身份和通过用第二随机数替换所述第一随机数而获 得的右主密钥,根据所述加密方案计算所述叶节点的右密钥集,所述右密钥集包括所述叶 节点的右密钥和从根节点到所述叶节点的路径上所有节点的右兄弟节点的右密钥;和左密钥集生成装置,其针对所述叶节点,根据所述公开参数、所述叶节点的身份和通过 用第三随机数替换所述第一随机数而获得的左主密钥,根据所述加密方案计算所述叶节点 的左密钥集,所述左密钥集包括所述叶节点的左密钥和从根节点到所述叶节点的路径上所 有节点的左兄弟节点的左密钥,其中所述第二随机数与第三随机数的和等于所述第一随机数,并且对于不同用户,第 二随机数是不同的。
14.如权利要求13所述的密钥生成设备,其中所述加密方案是最大深度为 的二进制树加密方案,并且所述公开参数包括从具有4d-l个元素的互相独立的函数族中 随机选择的函数,n为所述多个用户的数目。
15.如权利要求13所述的密钥生成设备,其中所述加密方案的最大深度为 加密方案,n为所述多个用户的数目。
16.如权利要求15所述的密钥生成设备,其中所述公开参数包括互不相同的第一个g3 参数和第二个g3参数,所述第一个g3参数用于右密钥集的生成,所述第二个g3参数用于左 密钥集的生成。
17.一种采用分层的基于身份的加密方案的加密设备,包括用户分组装置,其将有权解密广播内容的用户的身份划分为至少一个区间; 第一加密装置,其针对每个所述区间,根据所述加密方案的公开参数、所述区间的下界 和与所述区间相关的随机数,通过所述加密方案的加密方法来加密所述广播内容,以产生 与所述下界相关的头信息和密文;和第二加密装置,其针对每个所述区间,根据所述加密方案的公开参数、所述区间的上界 和与所述区间相关的随机数,通过所述加密方案的加密方法来加密所述广播内容,以产生 与所述上界相关的头信息和密文,其中,所述加密方案的加密方法所采用的对称密钥基于所述随机数,并且各个所述区 间的相关随机数互不相同。
18.如权利要求17所述的加密设备,其中所述加密方案是最大深度为 的二进制树加密方案,并且所述公开参数包括从具有4d-l个元素的互相独立的函数族中随机 选择的函数,n为所述多个用户的数目。
19.如权利要求17所述的加密设备,其中所述加密方案的最大深度为 的 Boneh-Boyen-Goh加密方案,n为所述多个用户的数目。
20.如权利要求19所述的加密设备,其中所述公开参数包括互不相同的第一个g3参数 和第二个g3参数,所述第一个g3参数用于所述根据下界的加密,所述第二个g3参数用于所 述根据上界的加密。
21.一种采用分层的基于身份的加密方案的解密设备,包括接收装置,其接收有关有权解密广播内容的用户的身份所划分的区间的信息、与每个 所述区间的下界相关的头信息和密文、以及与每个所述区间的上界相关的头信息和密文;搜索装置,其找到接收用户的身份所在的一个所述区间,使得在通过同层叶节点表示 用户身份的二进制树中,从根节点到所述区间的下界节点的路径上的一个节点的左密钥被 包含在对应于接收用户的身份的接收节点的左密钥集中,从根节点到所述区间的上界节点 的路径上的一个节点的右密钥被包含在所述接收节点的右密钥集中;密钥派生装置,其根据所述公开参数、左密钥被包含在左密钥集中的节点的身份及该 节点的左密钥,通过所述加密方案的密钥导出方法计算所述下界节点的左密钥,并且根据 所述公开参数、右密钥被包含在右密钥集中的节点的身份及该节点的右密钥,通过所述加密方案的密钥导出方法计算所述上界节点的右密钥;和密钥恢复装置,其根据与所述找到的区间的下界相关的头信息、相应下界节点的左密 钥、下界和所述公开参数,通过所述加密方案的解密方法得到第一会话密钥,根据与所述找 到的区间的上界相关的头信息、相应上界节点的右密钥、上界和所述公开参数,通过所述加 密方案的解密方法得到第二会话密钥,并且根据所述第一会话密钥和第二会话密钥得到对 称密钥;和解密装置,其用所述对称密钥解密与所述找到的区间相关的密文。
22.如权利要求21所述的解密设备,其中所述加密方案是最大深度为 的二进制树加密方案,并且所述公开参数包括从具有4d-l个元素的互相独立的函数族中随机 选择的函数,n为所述多个用户的数目。
23.如权利要求21所述的解密设备,其中所述加密方案的最大深度为 的 Boneh-Boyen-Goh加密方案,n为所述多个用户的数目。
24.如权利要求23所述的解密设备,其中所述公开参数包括互不相同的第一个g3参数 和第二个g3参数,所述第一个g3参数用于所述右密钥集的生成和所述根据下界的加密,所 述第二个g3参数用于所述左密钥集的生成和所述根据上界的加密。
全文摘要
广播加密中用于密钥生成、加密和解密的方法、设备。通过加密方案的初始化方法生成公开参数和基于第一随机数的主密钥。针对二进制树中的每个叶节点,根据公开参数、叶节点的身份和用第二随机数替换第一随机数而获得的右主密钥,根据加密方案计算叶节点的右密钥集,右密钥集包括叶节点的右密钥和从根节点到叶节点的路径上所有节点的右兄弟节点的右密钥。根据公开参数、叶节点的身份和用第三随机数替换第一随机数而获得的左主密钥,根据加密方案计算叶节点的左密钥集,左密钥集包括叶节点的左密钥和从根节点到叶节点的路径上所有节点的左兄弟节点的左密钥。第二与第三随机数的和等于第一随机数。对于不同用户,第二随机数是不同的。
文档编号H04H60/23GK101873214SQ200910137370
公开日2010年10月27日 申请日期2009年4月24日 优先权日2009年4月24日
发明者曹珍富, 林煌, 梁晓辉, 董晓蕾, 邢东升 申请人:索尼株式会社