用于获得加密密钥序列的方法与流程

本发明涉及一种用于获得加密密钥序列的方法，以及涉及一种通过实施该获得方法来安全传输数字内容的方法。本发明还涉及用于实施该用于获得密钥序列的方法的数据存储介质、接收器和密钥服务器。

已知通过电子接收器组来获得l个加密密钥k1,m,...,ki,m,ki+1,m,...,kl,m的序列的方法，其中：

-下标i是密钥ki,m在密钥序列中的顺序号，

-l是大于或等于二的整数，以及

-无论介于1至l的下标i是多少，密钥ki,m仅旨在用于时长为vi,m的有效性区间[ti,m,ti+1,m[期间，其中，ti,m和ti+1,m分别是该有效性区间的起始时刻和终止时刻。

在这些已知方法中：

-在时刻t1,m之前，接收器组建立了与密钥服务器的第一连接，并在该第一连接期间来接收获得密钥k1,m所需的信息，然后

-对于介于2至l的每个下标i，在时刻ti,m之前，接收器组获得密钥ki,m。

在专利申请ep2567500中公开了一种这样的方法。在专利申请ep2567500中，每个密钥ki,m都用于处理多媒体内容的单一给定块cpi,m，其播放时间称为“密钥有效期”。术语密钥有效期也指块cpi,m本身。密钥ki，m因此在对应于密钥有效期cpi,m的时间区间[ti,m；ti+1,m[(即在播放多媒体内容的密钥有效期cpi,m的时间区间)的时间区间[ti,m,ti+1,m[期间是有效的。因此，为了能够解密密钥有效期cpi,m，必须在时刻ti,m之前，通过接收器来获得密钥ki,m。理想地，必须在时刻ti,m之前尽可能迟地获得密钥ki,m，以使其暴露于接收器中密码分析或攻击尝试的时间尽可能地最短。通常，在前一密钥有效期期间，即在区间[ti-1,m；ti，m[期间，获得密钥ki，m。在这些条件下，密钥ki，m仅在区间[ti-1，m；ti，m[的一部分期间，即通常在最多约十秒量级的时长期间，暴露于密码分析或攻击尝试。该区间的短时长使得其难于受到攻击尝试。

为了获得密钥ki,m，接收器必须连接到密钥服务器。因此，如果没有任何具体设置，接收器必须在每个密钥有效期都连接到密钥服务器。由于需要连接到同一密钥服务器的接收器的数量会非常大，即大于1000或10000，密钥服务器在密钥有效期期间必须能够管理的连接数量也非常大。

为了限制用于实施这种密钥服务器所需的计算机资源，专利申请ep2567500特别地公开了在连接到密钥服务器期间，不仅将对于解密下一密钥有效期cp1，m有效的密钥k1,m传输给每个接收器，而且还将用于对接下来的l个密钥有效期进行解密的l个密钥序列{k1，m；...；kl，m}传输给每个接收器。因此，接收器不需要在每个密钥有效期都连接到密钥服务器，而是仅在每l个密钥有效期来连接到密钥服务器。

专利申请ep2567500还公开了在这些密钥有用之前，以这种方式将这种密钥序列发送到接收器，会降低该方法的安全性。实际上，例如在密钥有效期cp1，m之前，接收了作为l个密钥的序列{k1，m；...；kl，m}的密钥kl，m，并将其仅从时刻tl，m起才使用。密钥kl，m因此在l个连续的密钥有效期期间暴露于攻击尝试。相比较地，如果没有将任何密钥ki，m提前传输到接收器，该同一密钥kl，m仅会至多在单个密钥有效期期间暴露于攻击尝试。

为了在限制到密钥服务器的同步连接数量的同时弥补该问题，专利申请ep2567500提出根据每个接收器受到攻击尝试的损害的概率来调节提前传输到该接收器的密钥数量l。因此，可以既减少待与密钥服务器建立的连接的数量，又同时维持高安全水平。

由现有技术还已知：

-ep2460308a1，以及

-bimingtian等人：“anefficientself-healingkeydistributionscheme”，newtechnologies，mobilityandsecurity，ntms'08'，ieee，5/11/2008，pages1-5。

ep24660308描述了一种用于提高安全数据传输系统对数据传输网络中故障(诸如丢包)的鲁棒性的解决方案。为此，仅在网络故障的情况下，接收器可基于用于构建前一加密密钥的信息，来构建可在时间区间[i；i+1[期间使用的解密密钥。在数据传输网络正常运作的情况下，接收器到服务器的连接数量没有减少。

本发明旨在解决与在ep2567500中所述相同的问题，但不为此考虑接收器的安全水平。本发明的一个主题因此为如权利要求1所述的这种方法。

该获得方法的实施例可以包括从属权利要求的特征中的一个或更多个。

本发明的另一主题是一种用于安全传输数字内容的方法。

本发明的另一主题是一种由微处理器可读的数据存储介质，其包括指令，所述指令用于在这些指令被微处理器执行时，实施本专利申请的主题方法。

本发明的另一主题是一种用于实施根据本专利申请主题的获得方法的接收器组。

最后，本发明的另一主题是一种用于实施根据本专利申请主题的获得方法的密钥服务器。

通过阅读以下仅作为非限制性示例的参照附图做出的说明，将更好地理解本发明，其中：

-图1是用于传输并接收多媒体内容的加密系统的示意图；

-图2是在图1的系统中实施的用于安全传输多媒体内容的方法的流程图；

-图3和图4是图2的方法的两个不同变型的流程图。

第1章：术语

在这些附图中，相同的附图标记用于指示相同的元件。

在本说明书的下文中，不详细说明本领域技术人员熟知的特征和功能。

实施例的示例是在用于有条件地访问多媒体内容的系统的特定情况下给出的。因此，使用了专用于该情况的术语。以下给出关于该术语的几个具体定义。然而，为了获得关于该术语的更多信息，读者可以参考以下文献：《functionalmodelofconditionalaccesssystem》，ebureview，technicaleuropeanbroadcastingunion，brussels，be，266号，1995年12月21日。

在此，术语“加扰”和“解扰”分别与“加密”和“解密”视为同义词。

“多媒体内容”是指音频和/或视频内容，其旨在重构成可由人直接感知并理解的形式。通常，多媒体内容对应于形成电影、电视节目或广告的图像序列。多媒体内容还可以是诸如游戏的互动内容。

“明文”数据或“明文数据”对应于在将其进行加扰或加密之前的数据。因此使其可以被人直接理解，而无需求助于解扰操作，且其可视化不受某些条件的限制。

为了使多媒体内容的可视化保持安全并受某些条件(诸如付费订阅)的限制，多媒体内容以加扰而非明文的形式来分布。更确切地说，将每个多媒体内容都分成密钥有效期序列。在密钥有效期的整个时长期间，到所加扰多媒体内容的访问条件保持不变。特别地，在密钥有效期的整个时长期间，利用同一加密密钥(其已知为术语“控制字”)来对多媒体内容进行加扰。一般来说，控制字在一个密钥有效期到下一个密钥有效期来变化。

在此，“密码文件”是指本身不足以发现明文数据(即诸如在应用加密之前允许建立其密码文件的数据)的数据或信息条款。因此，如果截获了密码文件的传输，则仅知悉密码文件就不允许发现明文数据。为了发现明文数据，密码文件必须与保密信息组合。该保密信息通常是允许解密该密码文件的加密密钥。然而，密码文件还可以是对存储在包含多个类似数据的表格中的数据的参考。在该情况下，保密信息是将每个密码文件关联到明文数据的表格。

第2章：符号

在本章中定义的符号在本专利申请的全文中使用。

cpm是多媒体内容的第m个密码有效期。

下标“m”是相对于参照点来标识位置的顺序号。参照点可以是独立于多媒体内容的绝对原点或者是相对于所传输的多媒体内容的原点。在下文中，参照点是相对原点。参照点是多媒体内容的起始。因此，密钥有效期cp1是多媒体内容的第一密钥有效期，密钥有效期cp2是多媒体内容的第二密钥有效期，以此类推。

km是加密密钥，其已知为术语“控制字”，且仅用于加扰和解扰密钥有效期cpm。密钥km因此立即在前一密钥km-1之后并立即在后一密钥km+1之前使用。

tm和tm+1分别是密钥有效期cpm在其被接收器播放时起始和终止的时刻。因此，时刻t1对应于多媒体内容的第一密钥有效期cp1的起始。

时间区间[tm；tm+1[对应于在其期间通过接收器来播放密钥有效期cpm的时间区间。区间[tm；tm+1[也是用于加扰密钥有效期cpm的密钥km的有效区间。实际上，密钥km因此可以仅在区间[tm；tm+1[期间用于解扰多媒体内容。在该时间区间之外，密钥km不允许正确地解扰多媒体内容。

vm是区间[tm；tm+1[的时长。当所有区间[tm；tm+1[具有相同的时长时，并因此当时长vm独立于下标m时，该时长简单地记为v。

ecmm是授权控制消息(ecm)。ecmm消息是包含允许解扰密钥有效期cpm的密钥km的标识符的ecm消息。

sep是密钥序列{k1；...；km；km+1；...；kn}，即密钥k1至kn的有序序列，其中n是序列sep中密钥的数量。

srm是密钥序列{km；km+1；...；km+l-1}，即密钥km至km+l-1的有序序列，其中l是序列srm中密钥的数量。数量l对称地小于或等于预先存储的阈值lmax。该阈值lmax小于n，并且例如比数量n小两倍或十倍或一百倍。数量lmax是预先存储在存储器110中的大于或等于二的整数。数量lmax是序列srm的最大长度。因此，每个序列srm都比序列sep短得多。

ki，m是序列srm的第i个密钥。下标i指示密钥ki，m在序列srm中相对于该序列的第一密钥km的位置。下标i是密钥ki，m在序列srm中的顺序号。对于序列srm的第一密钥的下标i的值等于1。因此，密钥ki，m等于密钥ki+m-1。该相同的符号还用于与密钥ki，m关联的任何变量。例如，符号ci，m指示与ki，m关联的控制信息ci+m-1。

第3章：实施例的示例

图1示出了用于传输并接收所加扰多媒体内容的系统2。例如，多媒体内容对应于诸如电视节目或电影的视听节目的序列。

明文多媒体内容由一个或更多个源4来生成，并且传输到传输设备6。设备6经由数据传输网络8来将多媒体内容同步传输到多个接收器。接收器的数量一般非常大，即大于1000或10000。为了简化图1，仅示出三个接收器10至12。

网络8通常是远距离数据传输网络，诸如因特网网络或卫星网络，或者是任何其它传输网络，诸如用于传输地面数字电视(tnt)的传输网络。

设备6包括编码器16，所述编码器压缩其接收的多媒体内容。编码器16处理数字多媒体内容。例如，该编码器根据mpeg2(movingpictureexpertgroup-2)标准或uit-th264标准来操作。

将所压缩多媒体内容引导到加扰器22的输入20。加扰器22加扰了每个所压缩的多媒体内容，以使其可视化受某些条件的限制(诸如接收器的用户对访问权限的购买)。所加扰的多媒体内容发送到与复用器26输入连接的输出24。

加扰器22通过使用相应的密钥km(在条件访问系统领域中已知为术语“控制字”)，来加扰所压缩的多媒体内容的每个密钥有效期cpm。通常，该加扰符合诸如dvb-csa(digitalvideobroadcasting–commonscramblingalgorithm)、ismacryp(internetstreamingmediaalliancecryp)、srtp(securereal-timetransportprotocol)、aes(advancedencryptionstandard)等的标准。

密钥有效期cpm的时长vm通常大于五秒，并且优选地介于5秒至10分钟。在本实施例中，所有密钥有效期cpm具有相同的时长v。

设备6还包括访问控制系统28。该系统28更已知为缩写cas(conditionalaccesssystem)。在此，对于每个密钥有效期cpm而言，系统28：

-将待用于加扰该密钥有效期的密钥km传输到加扰器22，以及

-生成ecmm消息，所述消息至少包含待用于解扰密钥有效期cpm的密钥km的标识符idm。

ecmm消息在此通过复用器26来与密钥有效期cpm关联。为此，在该示例中，ecmm消息和密钥有效期cpm通过将其复用于在网络8上传输的同一视听信号，来在时间上相对于彼此进行同步化。更确切地说，在此，在立即先前于密钥有效期cpm的密钥有效期cpm-1期间，将ecmm消息传输到接收器。

在此，接收器10至12是相同的，并且仅更详细地说明接收器10。

接收器10包括用于接收所传输的多媒体内容的模块70。该模块70连接到解复用器72的输入。解复用器72一方面将每个接收到的所加扰的密钥有效期cpm传输到解扰器74，并且另一方面将消息ecm和emm(entitlementmanagementmessage)传输到处理器76。

处理器76处理诸如加密密钥的机密信息。为了保护该信息的机密性，将其设计为对于黑客实施的攻击尝试而言尽可能地是鲁棒的。其因此比接收器10的其它构件对于这些攻击更加鲁棒。该鲁棒性例如是通过实施专用于保护保密信息的软件模块来获得的。

处理器76例如通过使用能够执行存储在数据存储介质上的指令的可编程微处理器77来产生。为此，处理器76还包括存储器78，该存储器包含执行图2的方法所需的指令。

存储器78还包含例如：

-与密钥服务器106共享的单一对称保密加密密钥；

-非对称加密私密密钥和相关联的加密证书，即相关联的公共密钥，以验证接收器10。

存储器78还包含局部表格79，该局部表格包含当前可用的密钥km。

解扰器74通过使用由处理器76传输的密钥km，来解扰所加扰的多媒体内容。将所解扰的多媒体内容传输到对其进行解码的解码器80。将所解压缩或所解码的多媒体内容传输到显卡82，该显卡操控了在配备有屏幕86的显示器84上显示该多媒体内容。

显示器84在屏幕86上显示多媒体内容明文。

接收器10还包括收发器88，该收发器允许经由数据传输网络92来建立处理器76与头端90之间的安全连接。例如，网络92是远距离数据传输网络，并且更确切地是分组交换网络(诸如因特网)。安全连接例如是使用处理器76的加密证书的安全隧道。

头端90包括用于对系统2不同用户的访问权限进行管理的模块100。该模块100更已知为术语“用户授权系统”。该模块100生成并更新数据库102。该数据库102使得每个用户标识符都与该用户获取的访问权限相关联。该数据库102存储在存储器104中。

头端90还包括密钥服务器106。该服务器106尤其包括密钥km的生成器108和存储器110。

该存储器110包含：

-每单位时间的连接数量的计数器cnbc，

-包含所生成的每个密钥km的表格112，以及对于其下标大于或等于1的每个密钥km的控制信息cm。

计数器cnbc对由系统2的所有接收器与服务器106建立的每单位时间的连接数量进行计数。通常，该计数器cnbc包含在时长为δt的滑动时间窗口期间所记录的这种连接的数量。该滑动窗口结束于当前时刻。时长δt例如为v至24小时，或v至1小时。

通常，服务器106通过使用能够执行存储在数据存储介质上的指令的可编程微处理器114来产生。为此，存储器110还包括用于执行图2的方法的指令。

现在将参照图2的方法，更详细地说明系统2的操作。在此，假设表格79初始是空的。

该方法响应于内容传输的请求，起始于实施之后的步骤所需的不同参数的值的初始化阶段114。这些参数的值存储在存储器110中。在之后步骤的说明中逐步地呈现这些参数。所以，尽管其在时间顺序上定位在之后的步骤之前，在本说明中，在阶段114期间设置这些参数的值的方式是在这些步骤之后说明的。一旦阶段114终止，则可以开始多媒体内容的传输。

在步骤116期间，生成器108逐个地生成序列sep的密钥km。该序列的每个密钥km用于对待传输多媒体内容的对应密钥有效期cpm进行加扰。随着时间推移，生成器108相继地生成密钥k1至kn。在此，序列sep中的密钥的数量n例如等于或大于待加扰的多媒体内容的密钥有效期cpm的数量。

为了生成序列sep，生成器108通过获得密钥k1来起始，然后，对于大于或等于二的任何下标m，其通过执行用于推导密钥km的第一算法d1，来从前一密钥km-1来推导后一密钥km。

在操作117期间，生成器108获得密钥k1，例如通过随机或伪随机抽取集合ek中的数量来获得密钥k1。在此，集合ek包含其二进制表示包括了最多nk位的所有整数。数量nk的值预先存储在存储器110中。例如，数量nk的值等于16、32、48或56。所生成的密钥k1然后存储在表格112中。

接下来，在操作118期间，生成器108通过执行由前一密钥km-1的值进行参数化的相同算法d1，来从前一密钥km-1来推导每个后一密钥km。因此，不可以在密钥km-1之前生成密钥km。密钥km因此逐个地生成。

在此，算法d1还通过记为pcp的复杂度的可调节参数来进行参数化，如将在下文中说明的，该复杂度的可调节参数允许增大或减小由接收器执行的操作的平均数量，用于从密钥km-1获得密钥km。参数pcp因此允许增大或减小接收器所执行的用于推导密钥ki，m的第二算法d2的平均执行时间tci，m。平均时间tci，m是在处理器76开始执行算法d2以获得密钥ki，m的时刻与该处理器76因为已获得密钥ki，m而终止执行算法d2的时刻之间经过的平均时间。平均时间tci，m因此通常对应于系统2的终端的多个处理器76所花费的时间的平均值，以用于通过执行算法d2来获得密钥ki，m。在该第一实施例中，参数pcp是整数的集合er的大小。集合er包含其二进制表示包括最多nr位的所有整数。例如，数量nr等于参数pcp的值。

在该实施例中，算法d1是密钥计算，其涉及从集合er中随机抽取数量r的序列。在下文中，该类型算法称为“随机密钥计算”。例如，每次执行算法d1，生成器108实施以下操作以生成后一密钥km：

1)从集合er中随机或伪随机地抽取数量rm，然后

2)通过使用以下关系式来计算密钥km：km＝f1(rm//km-1)，其中：

-符号“//”表示将密钥km-1的值与数量rm进行组合的操作，以及

-f1是生成器108和接收器的已知函数。

例如，在此，操作“//”是通常用符号xor来指示的“异或”操作。函数f1通常是单向函数。例如，函数f1选自由对称加密函数、非对称加密函数和散列函数构成的单向函数组g1。

在本实施例中，在附加操作119期间，对于通过执行算法d1生成的每个密钥km，生成器108还生成控制信息cm。控制信息cm是从密钥km-1中获得密钥km所需的算法d2的参数。在本实施例中，控制信息cm是允许接收器在不知道数量rm的情况下从前一密钥km-1中获得密钥km的信息。例如，控制信息cm是由生成器108通过使用以下关系式来计算的：cm＝h1(km)，其中h1是单向加密函数。由于h1是单向函数，即对于该函数而言非常难以从其图像来计算原像，所以基于仅仅知道控制信息cm，不能推导出密钥km。函数h1通常也选自函数组g1。在此，函数f1和h1是一致的。例如，函数f1和h1两个都是同一散列函数。

将与控制信息cm相关联的通过执行算法d1生成的每个密钥km存储在表格112中。生成器108还将每个密钥km传输到系统28。

足够早地触发步骤116以使得下标m的值无论是多少，密钥km对于加扰器22利用密钥km来加扰密钥有效期cpm都是及时可用的。另外，在此，足够早地触发步骤116的执行以使得在每个时刻tm，表格112都已经至少包含密钥km至km+lmax以及相关联的控制信息cm至cm+lmax。数量lmax是预先存储在存储器110中的大于或等于一的整数。数量lmax是序列srm的最大长度。

与步骤116并行或在步骤116之后，在步骤120期间，设备6将多媒体内容分成连续的密钥有效期，通过使用对应的密钥km来加扰每个密钥有效期cpm，然后传输所加扰的密钥有效期。包含密钥km的标识符idm的ecmm消息与所传输多媒体内容的对应的密钥有效期复用。该复用允许将每个标识符idm的传输与多媒体内容的密钥有效期cpm的传输进行同步化。在此，仅在密钥有效期cpm之前的密钥有效期cpm-1期间将标识符idm传输到接收器。在第一密钥有效期cp1的情况下，在立即之前于第一密钥有效期cp1的时间区间[t0；t1[期间，将标识符id1传输到接收器。区间[t0；t1[的时长例如等于密钥有效期的时长v。

所加扰的多媒体内容基本上同步地被系统2的接收器中的每个来接收。因此，对于这些接收器中的每个，基本上平行地执行之后的步骤。在接收器10的特定情况下，说明之后的步骤。

在步骤122中，通过接收模块70来接收包含所加扰多媒体内容和ecmm消息的视听信号。

接下来，在步骤124中，解复用器72随着对其的接收来从所加扰的多媒体内容和ecmm消息中提取所加扰的密钥有效期cpm。解复用器72将所提取的所加扰密钥有效期cpm传输到解扰器74。所提取的ecmm消息则传输到处理器76。

至少响应于ecmm消息的每个第一次接收，并且最迟在时刻tm之前的预定时长d，在步骤126中，处理器76验证了其是否已经获得了密钥ki，m。在此，为此，它在表格79中检索是否该表格已经包含了密钥km，该密钥对应于包含在所接收ecmm消息中的标识符idm。时长d通过系统2的操作员来设定为略微大于接收器从服务器106中获得密钥ki,m所需的时间。

如果是这样，在步骤128中，处理器76将在表格79中找到的密钥km发送到解扰器74。则没有为了获得密钥km而与服务器106建立任何连接。

接下来，在步骤130中，解扰器74通过使用密钥km来解扰所接收的密钥有效期cpm。

接下来，在步骤132中，所解扰的密钥有效期cpm由解码器80来进行解码，然后传输到视频卡82。

最后，在步骤134中，视频卡82将所解扰和解码的密钥有效期cpm转换为视频信号。在此，该视频信号然后传输到显示设备84。

作为响应，设备84在屏幕86上以可直接被人感知并理解的方式来显示多媒体内容的密钥有效期cpm。

如果在步骤126中，对应于标识符idm的密钥km不包含在表格79中，则所述方法继续执行步骤140，并不直接执行步骤128。

在步骤140中，处理器76建立了与服务器106的安全连接，并经由该连接传输请求，以接收获得密钥km所需的信息。例如，该请求尤其包含密钥km的标识符idm。

该请求经由收发器88和网络92来传输到服务器106。处理器76与服务器106之间的所有信息交换都经由通过网络92建立的安全隧道来实现。该隧道的建立要求了服务器106对接收器进行验证和标识，例如通过使用包含在存储器78中的加密证书来进行验证和标识。因此，服务器106具有向其发送请求的接收器的标识符idt。

由于接收器的表格79初始是空的，紧接在多媒体内容的待解扰的第一密钥有效期cp1立即之前的时间区间[t0；t1[期间，由接收器中的每个来系统地执行步骤140。接下来，在每次表格79中没有解扰密钥有效期cpm所要求的密钥km时，执行步骤140。

服务器106对该请求的接收通知了该服务器在时刻ti,m之前不能够获得密钥ki,m。作为响应，在步骤142中，服务器106对每单位时间的连接计数器cnbc进行更新。例如，服务器106在时长为δt的滑动窗口期间在系统2所有接收器与其本身之间对所建立的连接(包括当前连接)的数量进行计数。在此，服务器106仅对在其期间请求获得密钥km所必需信息的连接进行计数。

接下来，在步骤144中，服务器106获得整数l的值。数l允许调节在接收器10到服务器106的该连接与接收器10到服务器106的下一次必要连接之间会经过的密钥有效期的数量。更确切地说，数l设定了接收器10不重新连接到服务器106时可从密钥km中推导出的后续密钥的最大数量。数l因此设定了密钥km至km+l-1的序列srm的长度，该密钥是接收器10可仅基于包含在对其请求的响应中的信息来获得的。

数l在此设定为尽可能均匀地分布接收器到服务器106的连接。为此，在接收器10的第一次连接(即为了获得密钥k1来建立的连接)期间，服务器106选择不同于为系统2的其它接收器来选择的数l的第一值。例如，服务器106在区间[2；lmax]中随机抽取该第一值。在另一示例中，服务器106在形成区间[2；lmax]分区的子区间中相继地随机抽取第一值。接下来，在接收器10的后续连接期间，服务器106使用对于系统2的所有接收器都相同且恒定的数l的第二值。后续连接是为了获得密钥km来建立的连接，其中，下标m严格大于一。数l的第二值例如在阶段114中预先存储在存储器110中。数l的该第二值也介于2至lmax。

在步骤146中，作为对接收器10的请求的响应，服务器106经由在步骤140中建立的连接，来向处理器76传输使得接收器10无需与服务器106建立后续连接就能够获得密钥的序列srm所必的信息。换句话说，服务器106在该连接期间向接收器10传输使得它能够获得密钥k1,m至kl,m所需的所有信息。为此，在该实施例中，在该连接期间，服务器106传输，且接收器10接收以下信息：

-参数pcp的当前值；

-密钥k1,m，以及

-控制信息c2，m至cl,m。

在传输了该信息之后，中断了服务器106与接收器10之间的连接。该连接因此在密钥有效期cpm起始的时刻tm之前中断。

接下来，在步骤148中，处理器76将接收到的密钥k1,m存储在表格79中，然后所述方法回到步骤128。因此，在时刻tm之前，将密钥k1,m传输到解扰器74，以使得可及时正确地解扰密钥有效期cpm。

并行地，在步骤150中，处理器76立即触发从响应于其请求而接收到的信息中获得以下密钥：k2,m至kl,m的过程。在接收到密钥k1,m之后，系统地触发步骤150。特别地，步骤150的触发独立于网络92和8的运作状态。

为此，在步骤150中，处理器76执行了密钥推导算法d2。算法d2允许从前一密钥ki-1,m中并在此还从参数pcp的值以及从控制信息ci,m中，来获得之后的密钥ki,m。因此，算法d2首次执行以从接收到的密钥k1,m中获得密钥k2,m，然后第二次执行以从密钥k2,m中获得密钥k3,m，并以此类推，直至从密钥kl-1,m中获得密钥kl,m。

在此，每次由处理器76来执行算法d2，该处理器实现以下操作以获得密钥ki,m：

1)处理器76从集合er中随机抽取数r，然后

2)处理器76通过使用以下关系式来计算候选密钥kcd：kcd＝f1(r//ki-1，m)，然后

3)处理器76通过使用以下关系式来计算控制信息ccd：ccd＝h1(kcd)，然后

4)处理器76将控制信息ccd与在步骤146中接收到的控制信息ci,m进行比较，然后

5)如果控制信息ccd和ci,m一致，则密钥kcd等于密钥ki，m，并且因此获得密钥ki,m。然后将密钥ki,m存储在表格79中，并终止执行算法d2。在相反的情况下，处理器76回到操作1)。因此，循环重复操作1)至5)，直至获得密钥ki,m，或者直至处理器76实施步骤126以确定是否已经获得密钥ki,m，然后实施步骤140以从服务器106获得该密钥。在后一情况下，至少在时刻tm之前的时长d期间没有由接收器获得密钥ki,m，并且在通过执行算法d2获得该密钥之前中断步骤150。

由处理器76实施的函数f1、h1和//与由生成器108为了构建序列sep所实施的函数是相同的。

集合er的大小是基于参数pcp来确定的，该参数是由处理器76在与密钥k1,m和控制信息ci,m相同的时刻来接收到的。

该算法d2的平均执行时间tci，m取决于集合er的大小ca。实际上，集合er的大小ca越大，在抽取到等于允许获得密钥ki，m的数rm的数r之前实施的随机抽取的平均次数就越大。在此，该随机抽取的平均次数等于ca/2。为了获得密钥ki,m的平均时间tci,m因此由以下关系式给出：tci，m＝(ca/2)t1-5，其中，t1-5是处理器76执行一次操作1)至5)所需的时间。

在步骤146之后，例如与步骤148并行地，在步骤160中，服务器106将更新的计数器cnbc与存储在存储器110中的预定阈值snbc-h和snbc-i进行比较。阈值snbc-h等于或严格大于每单位时间的连接数：如果每个接收器能够及时计算密钥k2,m至kl,m中的每个，并因此除了第一次以外仅在通过执行算法d2获得了密钥序列srm的最后一个密钥kl,m之后来连接到服务器106，则可以期望该每单位时间的连接数。因此，阈值snbc-h等于或大于nrec/(l.v)，其中：

-nrec等于连接到服务器106的系统2接收器的总数；

-符号“.”指示乘法运算。

阈值snbc-h还必须足够小以允许在计数器cnbc变得远远大于nrec/(l.v)之前来调节参数pcp的值。例如，阈值snbc-h小于2nrec/(l.v)或者小于1.5nrec/(l.v)。

如果计数器cnbc的当前值超过阈值snbc-h，这意味着过大数量的接收器不能在时刻ti，m之前终止计算密钥ki,m。结果，与服务器106建立的连接数量要比初始设置大得多。作为响应，在步骤162中，服务器106更改了参数pcp的值，以使得接收器可以更快速地计算之后的密钥ki,m。在该实施例中，为此，减小了参数pcp的值以减小集合er的大小ca。接下来，所述方法回到步骤116，以通过考虑参数pcp的新值来生成序列sep的之后的密钥。

如果计数器cnbc的值落到阈值snbc-i以下，这意味着过小数量的接收器不能在时刻ti,m之前终止计算密钥ki,m。这一般对应于平均时间tci,m相对于时长v而言过小的情况。阈值snbc-i严格小于阈值snbc-h，并一般接近极限nrec/(l.v)。例如，阈值snbc-i属于区间[nrec/(l.v)；1.3nrec/(l.v)]或者属于区间[nrec/(l.v)；1.1nrec/(l.v)]。在该情况下，作为响应，在步骤164中，服务器106更改参数pcp的值，以增加用于计算密钥ki,m的平均时间tci,m，然后回到步骤116和步骤120。为此，增大参数pcp的值，以增大集合er的大小ca。

如果计数器cnbc的值为阈值snbc-h至snbc-l，则服务器106使得参数pcp的当前值保持不变。

现在介绍用于在阶段114中设定前述各个参数的方法。

数l的预先保存的第二值例如设定为获得每秒到服务器106的连接的目标数ncn。数ncn由系统2的设计者来选择。为此，在每个密钥km的有效性区间的时长v相同的该特定实施例中，通过使用以下关系式来确定数l的第二值：l＝nrec/(ncn.v)。

参数pcp的初始值设定为使得由接收器在获得密钥km之前执行算法d2的所期望平均时间tci,m大于0.2vi-1，m或0.5vi-1,m或0.9vi-1,m，其中，vi-1,m是密钥有效期cpi-1,m的时长。

例如，将参数pcp的初始值设计为使得下标i的值无论是2至l的何值，每个平均时间tci,m都满足以下条件(1)至(3)：

在该情况下，下标i无论是大于或等于二的何值，都不能在时刻ti-1,m之前获得密钥ki,m。因此，密钥kl,m仅至多在区间[tl-1，m；tl,m[期间暴露于攻击尝试。区间[tl-1,m；tl,m[比区间[t1,m；tl,m[短得多。区间[t1,m；tl,m[对应于已知方法中在其期间将密钥kl,m暴露于攻击尝试的时间区间，诸如其中将密钥kl,m在与密钥k1,m的相同时刻处传输到接收器的专利申请ep2567500中所述的方法。

在其中密钥有效期cpm的时长全都等于v并且其中强制要求所有平均时间tci,m等于常数tc的该特定实施例中，则例如通过选择参数pcp的值以使得平均时间tc为(l-1)v/l至v，来满足条件(1)至(3)。

在此，则通过确定使得满足以下条件的最大数nr，来选择参数pcp的初始值：t1-5.ca/2≤v，其中：

-t1-5是由接收器执行步骤150的操作1)至5)所花费的时间，

-ca是集合er的元素的数量，并且ca等于2^nr，以及

-v是密钥km的每个有效性区间的时长。

例如，在阶段114中，在接收器上实验性地测量时间t1-5。时长v是设定且已知的。

图3示出了与图2的方法相同的方法，除了步骤116和150分别被步骤180和182所替代。为了简化图3和之后的附图，仅示出更改的步骤。未修改的并因此未示出的步骤在这些附图中用虚线来象征性表示。

除了算法d1和d2分别被算法d3和d4替代，步骤180和182分别与步骤116和150相同。

算法d3是确定性密钥计算，并不再是随机密钥计算。与随机密钥计算不同，确定性密钥计算不涉及可能会显著修改算法d4的执行的平均时间tci,m的随机抽取。

被执行为从密钥km-1中生成密钥km的算法d3由单向加密函数h2与其本身的qm-1次来组成。因此，通过使用以下关系式来获得密钥km：km＝h2^qm(km-1)，其中：

-h2是单向加密函数；

-指示了函数h2是与其本身的qm-1次来组成的。

通常，函数h2属于前述定义的函数组g1。在此，函数h2是散列函数。函数h2与其本身的组成在于将函数h2第一次施加到密钥km-1，以获得第一结果h2(km-1)，然后在于将函数h2第二次施加到第一结果h2(km-1)，以获得第二结果h2²(km-1)＝h2(h2(km-1))，并如此地重复qm次。在该实施例中，控制信息包括参数qm。

参数qm的值根据下标m来变化。例如，对于大于或等于二的每个下标m，在接近v/t182的值的集合eq中随机抽取参数qm的值，其中，t182等于接收器执行一次函数h2所花费的时间。例如，集合eq是包括在区间[0.7v/t182；1.3v/t182]或区间[0.9v/t182；1.1v/t182]中的整数的集合。在该情况下，传输到接收器10的控制信息每次都包括参数q2，m至ql,m的值。因此，当接收器10连接到服务器106以获得序列srm时，作为响应，该接收器接收：

-密钥k1，m，

-控制信息q2，m至ql,m。

集合eq比集合er小得多。例如，集合eq包含10³或10⁶个整数。在此，下标m的值无论是多少，集合eq的大小都恒定。

在该实施例中，复杂性参数pcp是集合eq的平均值mq，并且不是其包含的整数的数量。平均值mq是包含在该集合eq中的整数的平均值，其中这些整数中的每个都分配相同的加权系数。平均值mq增加的越多，用于从密钥ki-1,m中获得密钥ki,m的计算时间tci,m也越大。在阶段114中，构建集合eq以使得其平均值等于v/t182。在该实施例中，不需要将值mq并且因此将复杂性参数pcp传输到接收器。

接下来，在步骤162和164中，修改集合eq的组成以在步骤162中减小其平均值，并且替代地，在步骤164中增大其平均值。例如，为了通过ε来增大集合eq的平均值，将整数ε添加到之前包含在集合eq中的整数中的每个。

在步骤182中，由接收器执行以从密钥ki-1,m中获得密钥ki,m的算法d4与算法d3相同，除了参数qi,m的值是从接收到的控制信息来获得的。换句话说，在步骤182中，接收器10通过使用以下关系式来获得密钥ki,m：ki，m＝h2^qi，m(ki-1，m)。

图4示出了与图3的方法相同的方法，除了步骤180和182分别被步骤190和192替代。步骤190和192与步骤180和182相同，除了生成器108使用函数hg5且接收器10在其侧使用函数hd6，而非使用相同的函数h2来获得密钥km。因此，由生成器108通过使用以下关系式来实现之后的密钥km的计算：km＝hg5^qm(km-1)。

处理器76通过使用以下关系式来计算ki,m：ki，m＝hd6^qi，m(ki-1，m)。函数hg5设计为允许比实施函数hd6时快得多地来从密钥km-1中计算密钥km。为此，使用带有后门的单向加密函数hd6，诸如使用用于实现非对称加密的单向加密函数。这种带有后门的单向加密函数的操作原理是为人熟知的。例如，该原理与在熟知为rsa(rivest-shamir-adleman)加密算法的非对称加密算法中使用的原理相同。因此，在下文中，仅说明这种函数的一个详细示例，这是因为本领域技术人员可基于该示例来没有困难地推导出其它可能的实施例。

例如，在此，生成器108通过使用由以下关系式定义的函数hg5来计算密钥km:km＝(km-1^(e^qm[(p-1)(q-1)]))[n]，其中:

-(a^b)[c]指模幂，即数a的数b的幂，整个模除c，

-p和q是大的素数，即其二进制表示包括至少500或1000位的素数，并且它们还彼此另有不同，

-n等于数p和数q的乘积；

-e是乘积(p-1)/(q-1)的素数，其大于1且不介于a(p-1)(q-1)至a(p-1)(q-1)+2s，其中，“a”是非零自然数，且s是通常等于或大于80的自然数，称为安全参数。

处理器76通过使用由以下关系式定义的函数hd6来计算密钥ki,m：ki,m＝((ki-1,m^e)[n])^qi，m。

数p和q仅为生成器108已知，并例如对应于其私密密钥。数n和e为生成器108和接收器10已知，且然后对应于生成器108的公开密钥。由于已知数p和q，生成器108能够通过仅执行两次模幂来从密钥km-1中计算密钥km，而为了获得相同的密钥，处理器76必须实施qi,m次模幂。

第4章：变型：

第4.1章：方法的变型

替代地，可以省略控制信息。例如，在确定性计算密钥ki,m的情况下，如果必须执行函数h2以从密钥ki-1,m中构建密钥ki,m的次数qi,m是所有接收器已知的常数，则服务器106不需要在每次连接都将该控制信息传输到接收器。在该特定情况下，参数pcp也是常数。因此，服务器106仅将密钥k1,m传输到接收器，并且该接收器从该密钥k1,m中推导出密钥k2,m至kl,m，而无需从服务器106的部分接收其它信息。

序列sep的密钥数n可以是数lmax的10或100或1000倍。

在任意给定时刻tp+1，生成器108可停止使用序列sep，这包括在已经将密钥kn用于加密密钥有效期cpn之前。自时刻tp+1起，生成器开始使用另一密钥序列sep+1。在该情况下，优选地，在时刻tp+1之前，服务器106将信号传输到接收器，以向其指示将自该时刻起使用另一序列sep+1。作为响应，接收器立即与服务器106建立连接，以接收获得密钥k1,m并推导该新序列sep+1的之后的l个密钥ki,m所需的信息。

序列sep的密钥数n也可小于待加扰的多媒体内容的密钥有效期的数量。在该情况下，在已经生成了密钥kn之后，生成器108开始生成旨在加扰密钥有效期cpn之后的密钥有效期(例如cpn+1至cp2n或cpn+1至cpn+m)的密钥的另一序列sep+1。独立于序列sep的密钥，特别是不取决于密钥kn，生成序列sep+1的第一密钥kn+1。如有必要，数n和m仍必须选择为大于或等于数lmax。

数n也可以是事先不确定的。在该情况下，生成器108持续地为序列sep生成新密钥km。在该情况下，优选地，作为对更换密钥序列的外部指令的响应，生成器108生成新序列sep+1。例如，当检测到对密钥序列sep的攻击或尝试攻击时，发送该更换密钥序列的指令。可以例如从增大数量的接收器不再需要每l.v秒就连接到服务器106以能够正确解扰多媒体内容的这一事实中，来检测密钥推导算法的成功密码分析。

作为变型，在步骤142中，服务器106仅在如果获得的最后一个密钥不是当前密钥序列的最后一个密钥时，即仅在如果不期望当前连接时，才更新计数器cnbc。

在一个简化的实施例中，不调节数l以在时间上更均匀地分布接收器到服务器106的连接。在该情况下，例如，数l是例如预先确定的常数，并对于所有接收器都是相同的。

作为变型，为了限制服务器106在每次连接期间传输到接收器10的信息量，参数qm的值独立于下标m，且该参数qm则简单地记为q。在该情况下，可以选择使数l和n相等。生成器然后在已经生成l个密钥之后系统地更换序列sep。

作为变型，在步骤146之后非系统地实施步骤160。例如，以例如实施步骤146的次数的形式或以时长的形式，以预先确定的周期来周期性地实施步骤160。当在步骤146之后，没有实施步骤160时，也省略步骤162和164，并且服务器106使参数pcp的当前值保持不变。

用于设定参数pcp的值的其他方法是可行的。例如，除了通过将计数器cnbc的值与阈值snbc-h和snbc-i进行比较之外，来触发对参数pcp的值的设定。例如，例如由处理器76来测量由处理器76执行推导算法所花费的时间tci,m，然后将其传输到服务器106。作为响应，服务器106将该测得的执行时间与时长v进行比较。如果测得的执行时间小于时长v，则增大复杂性参数pcp的值。在相反的情况下，减小该值。

在另一示例中，作为对接收到由处理器76测量的时间tci,m的响应，服务器106计算执行推导算法的平均时间，然后将该平均执行时间与时长v进行比较。如果平均执行时间小于时长v，则增大复杂性参数pcp的值。在相反的情况下，减小该值。在该示例中，服务器106计算所有接收器或例如数量设定的、例如随机组成的接收器样本进行的推导算法的执行平均时间。在该示例中，替代地或同步地，服务器106在预先确定幅度(例如量级为一分钟、十分钟、一小时或十小时)的滑动时间窗口上计算推导算法的执行平均时间。

作为变型，推导算法的复杂性不是可调节的。在该情况下，如前所述地，在例如阶段114中选择参数pcp的值。然后，在执行图2的方法期间，不再能够更改参数pcp。在该实施方式中，省略步骤142、160、162和164。

可以将参数pcp设定为使得平均时间tci,m大于时长v。在该情况下，在图2的实施例的情况下，这导致仅接收器的单子集pp(大小小于利用上文所述对参数pcp的调节来获得的子集pp大小)会随机抽取允许及时(即在时刻ti,m之前)获得密钥ki，m的数r。不属于该子集pp的接收器将必须连接到服务器106以获得密钥ki，m，。然而，该设定仍允许减小在每个密钥有效期连接到服务器106的接收器的数量，同时增大系统的安全性。

作为变型，在由服务器传输构建序列srm所需的信息之后，不中断服务器106与接收器10之间的连接。

第4.2章：密钥的推导算法的变型

可以使用与上述不同的其他函数。例如，函数f1不一定是单向函数。它可以简单到是恒等函数的函数。然而，在该情况下，函数h1不同于函数f1且仍是单向函数。

其它确定性密钥计算是可行的。例如，算法d3可以由另一算法替代，在该另一算法中，通过使用以下关系式来实现对密钥km的计算：km＝h3^q(f(km-1，dm))，其中：

-dm是从集合ed中随机抽取的小的数，该集合包含其二进制表示最多为18位或10位的整数；

-f是简单函数，诸如km-1与dm的加法或乘法；以及

-h3是属于前述组g1的函数，并优选地是散列函数；以及

-q是复杂性参数。

在该实施例中，控制信息包含数据dm和参数q。在比对图3的实施例中所定义的参数qm进行编码所需的位数优选地至少小两倍的位数上，对数据dm进行编码。因此，在该变型中，减小了向接收器10传输控制信息所需的带宽。

推导算法的其它实施例是可行的。例如，数r初始化为0，并然后在步骤150的操作1)至5)的每次迭代时递增1，而不是每次从集合er中随机抽取数r。

第4.3章：其它变型：

在此，在所生成和接收到的密钥是直接用于加密和解密多媒体内容的控制字的特定情况下，说明了用于获得密钥序列的方法。然而，这些方法可用于获得控制字以外的密钥。例如，所生成和接收到的密钥可以是用于加密和解密传输到接收器的控制字的会话密钥。在该情况下，一般以比更换控制字的频率小10、100、1000或10000倍的频率来更换会话密钥。例如，会话密钥的有效性区间的时长大于一分钟、一小时，或24小时。在该情况下，调节复杂性参数pcp的值以对应于有效性区间的这种时长。

在此说明的用于获得密钥序列的方法也可用于获得用于加密和解密多媒体内容以外的数字内容的密钥序列。例如，所获得的密钥序列可用于加密或解密数字文档，诸如文本文件，或在通讯通道上交换的任何数据。

已在此描述的内容还施加到有条件访问系统以外的系统。例如，已在此描述的内容施加到其中使用了每个都与一个有效性区间相关联的密钥序列的任何系统。例如，在此给出的教导没有特别困难地转移为首字母缩写drm(“digitalrightsmanagement”)已知的数字版权管理系统。在这些drm系统中，从许可中获得序列的每个密钥。该许可一般包含该密钥的有效性区间。

在密钥ki，m是解密密钥的特定情况下刚刚已经描述的内容还可施加到密钥ki，m用于加密数字内容而不是用于解密该数字内容的情况。更一般地，已在此描述的内容还可以用于获得为其它目的(诸如真实性验证、数字数据的完整性验证、伪随机生成器的初始化、以及其它)来使用的加密密钥序列。

作为变型，有效性区间的时长vi，m不是恒定的。在该情况下，时间tci，m例如是不同的以用于获得每个密钥ki，m。通过使用例如控制信息qm来设定时间tci，m。在该情况下，通常，控制信息qm选择为使得时间tci，m为0.5vi-1，m至vi-1，m，优选地为0.9vi-1，m至vi-1，m。优选地，控制信息qm选择为使得执行时间为使得无论属于区间[2；l]的i是多少，时间tci，m都满足上述条件(1)至(3)。当满足这些条件时，可由接收器最早在区间[ti-1，m；ti，m[中获得密钥ki,m。因此，密钥ki,m可以仅在时长为vi-1,m的区间[ti-1,m；ti,m[区间受到攻击。

作为变型，省略上述条件(2)。

在另一变型中，将推导算法的执行分布在能够安全地相互交换信息的m个接收器的组上。数m大于或等于二，并且优选地大于或等于100或1000。例如，同一组接收器中的接收器经由公共或私密网络来相互连接。属于一个接收器组的接收器不属于另一接收器组。例如通过使用仅为该组接收器已知的密钥，来加密该组接收器之间的信息交换。例如，在推导算法是随机密钥计算的情况下，将集合er分成大小相同的分离的m个子集。这些子集中的每个都分配到该组的一个相应接收器。作为对接收密钥k1,m的响应，该组的每个接收器都尝试如上所述地但通过仅从已分配给它的子集中选择数r来计算k2,m。获得密钥k2,m的该组的第一个接收器则将该密钥传输到同一组的其它接收器。一旦已经将密钥k2,m分布到同一组的所有接收器，这些接收器就停止了为获得密钥k2,m的推导算法的之前执行，并开始以与上述对于密钥k2,m所述类似的方式来执行推导算法以获得密钥k3，m。

接收器组因此以等于tcri,m/m的时间tci，m来执行推导算法，其中，tcri，m是执行同一推导算法但是由该组的单个接收器来执行的平均时间，该单个接收器因此必须从整个集合er中而不是仅在子集中来选择数r。该变型因此允许增大集合er的大小，并因此提高所述方法的安全性。

在推导算法是确定性密钥计算的情况下，也可以将该推导算法的执行分布在该组的每个接收器之间，以受益于这些接收器的所有处理器76的计算能力。将算法执行分布在不同的微处理器之间以使得该算法的部分由这些微处理器中的每个来并行地执行是为人熟知的，并在此不会详细说明。如在随机密钥推导算法的情况中那样，将推导算法的执行分布在该组的所有接收器上，允许提高安全性，这是因为这使得获得密钥更加复杂化。特别地，这增大了通过非法接收器能够足够快速地执行推导算法所需的计算能力。

如果非法分布和回收由接收器10刚接收到的密钥ki，m所需的时长ta1是已知的，则可以调节复杂性参数pcp，以使得时间tci，m仅包括在区间[v-ta1；v]中。

如果非法分布和回收由接收器10接收到的密钥k1，m所需的时长ta2是已知的，并且推导算法被非法接收器已知，则可以调节复杂性参数以使得时间tci，m仅满足以下条件：ta2+(l-1)tci，m≥(l-1)v。

第4章：所述实施例的优点：

在所述方法中，接收器仅能够在已经完成密钥ki-1,m的计算之后才获得密钥ki,m。因此，接收器必须按下标i递增的顺序来计算密钥ki，m。另外，计算密钥ki，m的平均时间tci,m长，即在此大于或等于0.2vi-1,m。因此，尽管在时刻t1,m之前接收到获得密钥k1，m至kl，m所需的所有信息，仅能够在该时刻t1，m很久之后才获得之后的密钥k2，m至kl，m。例如，仅在时刻tr+tc2，m+tc3，m+...+tcl,m之后才获得密钥kl，m，其中，tr是接收到获得密钥k1,m至kl,m中每个所需的信息的时刻。作为对比，在诸如专利申请ep2567500中所述的已知方法中，在时刻tr处获得密钥kl,m。换句话说，在此所述的方法将对密钥kl,m的获得推迟了tc1,m+...+tcl,m。由于比在已知接收器中更迟地在接收器中获得密钥kl,m，在时刻tl,m之前可用于攻击该密钥kl,m的时间比在已知方法中更短，这提高了方法的安全性。

此外，如在ep2567500方法中那样，为了获得序列srm的l个密钥，接收器仅需要单次连接到密钥服务器106。因此，所述方法还允许减小服务器106与接收器中的每个之间的连接数或信息交换数。最后，可以施加所述方法，而不必确定与接收器中的每个相关联的安全水平。

根据用于指示在时刻ti,m之前不能获得密钥ki,m的信息来动态地调节参数pcp的值的事实，使得可以根据情况来自动地调节接收器的实际性能。

将数l的不同值用于不同接收器或接收器组因此允许了在时间上更好地来分布到服务器106的不同连接。

将推导算法的执行分布在多个接收器上的事实允许提高方法在共谋攻击方面的安全性。实际上，为了更快速地获得序列srm，攻击者可能会尝试将推导算法的执行分布在多个非法接收器上。然而，合法接收器的数量一般远远大于非法接收器的数量。这因此允许增大参数pcp的值，以考虑对共谋攻击的检测。成功实施这种共谋攻击则变得更加困难。

如果接收器未能成功从在第一连接中接收到的信息来及时获得密钥ki,m，则该接收器保留建立与服务器106的第二连接以获得该密钥的能力，这一事实允许利用一些接收器来实施所要求保护的方法，所述一些接收器中的某些接收器比其它接收器慢或者比期望执行推导算法的接收器慢。这允许如有必要，则考虑到接收器的多样性和它们计算性能的浮动。

推导算法包括将相同单向函数重复qi,m次的事实，允许获得可提前确定并因此可更可靠地系统地包括在区间[vi-1,m/2；vi-1,m[中的平均时间tci,m。

单向函数是带有后门的单向加密函数的事实，允许缩短生成序列sep所需的时间。

密钥推导算法是随机密钥计算的事实，允许生成器108实施比接收器为计算相同密钥而必须实施的操作少得多的操作，以计算密钥ki,m。

实施计算随机密钥ki,m的推导算法的事实因此使得可以获得执行该推导算法所花费的时间，该时间在接收器侧长并且在生成器侧短得多。

在第一连接期间仅接收获得l个密钥的序列srm所需的信息，使得可以迫使接收器10最迟在获得密钥kl,m之后与服务器106建立新的连接。