专利名称:多节点加密与密钥传送的制作方法
技术领域:
本发明涉及通信系统的领域,并且更具体地涉及分配给多个接收器的信息的加密。
密码系统通常用于加密高度机密或机密信息,并且日益增加地用于加密拷贝保护的材料,诸如版权音频与视频材料。一般地,由源设备加密内容信息并通过通信路径传送给目的设备,在此目的设备上进行解密以再生原始的内容材料。此源设备使用加密密钥加密此材料,而此目的设备使用解密密钥解密此材料。对称的密码系统使用同一密钥来加密和解密此材料;非对称的密码系统将一对密钥之中的一个用于加密,并将另一密钥用于解密。大多数的密码系统基于一种前提,即在不知道解密密钥时解密消息所要求的预期计算时间、努力、费用远超过能从这样的解密中导出的预期值。
通常,将密钥交换方法用于在源设备与目的设备之间提供一组加密与解密密钥。一个这样的密钥交换系统是本领域中通用的“Diffie-Hellman”密钥交换算法。
图1表示使用Diffie-Hellman方案的内容材料的密钥交换与后续加密的一个示例流程图。在110,源设备(即,设备S)将大素数n和是此素数模n的数字g作为消息111发送给目的设备,即设备D,此设备D在115接收n和g。每个设备分别在120与125生成大的随机数x与y。在130,设备S计算等于gx模n的数字X;并且在135,设备D计算等于gy模n的数字Y。分别通过消息131、136,设备S将X传送给设备D,而设备D将Y传送给设备S。将数字X与Y称为公用密钥,而数字x与y称为专用密钥。注意知道g与X来确定x和知道g与Y来确定y在计算上是行不通的,因此g、n和公用密钥X与Y交换的窃听者将不能确定专用密钥x与y。
在接收到公用密钥Y时,源设备S在140计算等于Yx模n的密钥K,而目的设备D在145计算等于Xy模n的密钥K′。注意K和K′都等于gxy模n,并因而源设备S与目的设备D都具有同一密钥K,而g、n、X与Y交换的窃听者将不知道密钥K,这是因为窃听者不知道x或y。
在进行密钥交换之后,在160,源设备S加密内容材料M150并将加密的材料EK(M)通过通信路径161传送给目的设备D。因为设备D的密钥K′与用于加密此内容材料M150的密钥K相同,所以在165设备D使用密钥K′解密接收的加密材料EK(M)以生成内容材料M150的一个解密拷贝150′。将此加密方法称为对称方法,这是因为两个设备使用相同的密钥K、K′来加密与解密内容材料M150。通信路径161的窃听者由于不知道密钥K而不能解密已加密的材料EK(M),并因此不能生成内容材料M150的拷贝。注意源设备S在目的设备D需要密钥X来生成解密密钥K时才需要将其公用密钥X传送给此目的设备D,因此公用密钥X时常作为附加项包括在内容材料中。以这种方式,目的设备不必保持它与之交换密钥的每个源设备的记录。目的设备D通过将附加的公用密钥X′提升为其专用密钥y的幂来生成解密密钥并将此解密密钥应用于接收的加密材料。X′表示任意一个源设备的公用密钥。假定使用此目的设备的公用密钥Y和对应于附加的公用密钥X′的源设备的专用密钥x′加密此材料,则目的设备D上通过(X′)y模n确定的解密密钥将正确地解密此材料。源设备S能继续使用密钥K加密其他的内容材料以便在需要时传送给目的设备D而不重复上述的密钥交换。
对于设备S将加密的信息传送给另一设备,利用另一设备执行类似的密钥交换过程。设备S发送其公用密钥X,并接收等于gz模n的公用密钥Z,其中z是另一设备的专用密钥。随后由设备S和另一设备计算新的加密/解密密钥K为gxz模n,并且此密钥用于加密从设备S发送给另一设备的信息,而且反之亦然。
源设备S可以保持用于传送给每个目的设备的正确密钥的记录,以便对于每次通信不必重复密钥交换。以规则的时间间隔在源设备与目的设备之间重新建立新的密钥以提高系统的安全性也是通用的做法。如果同一内容材料要从源设备S传送给两个目的设备,设备S使用与第一目的设备相关的密钥加密此内容材料,随后使用与第二目的设备相关的密钥加密此内容材料。如果此内容材料预定给三个目的设备,则要求三个唯一的拷贝,等等。对于多个目的地多个拷贝的这个要求在加密此材料的处理时间与存储资源和将此信息传送给每个目的设备的附加通信时间或带宽方面招致巨大开销。
本发明的一个目的是提供能由多个设备解密的内容材料的公用加密,每个设备具有一个唯一的专用密钥。本发明的另一目的是提供有助于每个设备解密的内容材料的公用加密的多设备密钥交换。本发明的还一目的是提供有助于一个或多个设备选择解密的内容材料的公用加密的多设备密钥交换。本发明的又一目的是使目的节点上多设备密钥交换的计算要求最少。
通过生成基于多个目的设备的公用密钥之中每一个公用密钥的用于加密内容材料的对话密钥,来实现这些及其他目的。并生成依赖于与每一个目的设备相关的专用密钥的对应于每一个目的设备的部分密钥,以形成适于解密利用对话密钥加密的内容材料的解密密钥。将此加密的内容材料和相应的部分密钥传送给每个目的设备。每个目的设备使用从其专用密钥与接收的部分密钥中生成的解密密钥来解密此加密的内容材料。在此对话密钥的生成中包括或排除选择的目的设备的公用密钥来进行选择加密。
现在结合附图进一步具体地利用示例来解释本发明,其中图1表示源与目的设备之间一个示例的现有技术密钥交换。
图2表示根据本发明的加密与解密系统的一个示例方框图。
图3表示根据本发明的源与多个目的设备之间一个示例的密钥交换。
图4表示根据本发明的一个示例的公用加密与多解密。
图5表示根据本发明的一个示例的选择加密与多解密。
在全部附图中,相同的标号表示相同或相应的特性或功能。
图2表示根据本发明的加密与解密系统200的一个示例方框图。源设备210包括密钥生成器220,此生成器生成对话密钥K221,加密器230将此对话密钥用于加密内容材料201以形成加密的内容材料231。此对话密钥221基于源设备210的保密密钥x和目的设备250、260、270等的公用密钥251a、261a、271a等。密钥生成器220也生成有助于每个目的设备250、260、270等上加密的内容材料231的解密的部分密钥225、226、227等。生成部分密钥225、226、227等,以便知道每个相应目的设备250、260、270等的专用密钥251b、261b、271b等和知道公用组密钥X 212a有助于适于解密加密的内容材料231的解密密钥255、265、275等的确定。部分密钥225、226、227等传送给每个相应的目的设备并由每个目的设备用于解密加密的内容材料231。通常可利用的技术可以用于传送此信息(225-227,212a,231)而没有损害此系统的安全性的危险。此信息(225-227,212a,231)可以独立地或作为组合块进行传送;密钥生成器220和加密器230可以均具有发送装置,或可以提供分立的发射器240。因为传送路径不必是安全的,所以可以利用本领域中通用的任何数量的通信技术。为便于理解和说明,在附图中未表示本领域中通用的用于进行去与至源与目的设备的信息的传送的其他组成部分。
在每个解密设备250、260、270等中的密钥生成器292分别将其专用密钥251b、261b、271b与公用组密钥X 212a和部分密钥225、226、227进行组合,以生成相应的解密密钥K1 255、K2 265、K3 275。每个设备250、260、270中的解密器294将相应的解密密钥K1 255、K2 265、K3 275应用于加密的内容材料EK(M)231,以便在解密密钥K1、K2、K3与原始的加密密钥K221匹配时再生原始的内容材料M201′。即,根据本发明,根据每个预定目的设备的公用密钥的组合生成对话密钥,并生成在与相应的专用密钥合适地进行组合时提供与此对话密钥相对应的解密密钥的组密钥和部分密钥。例如,部分密钥225和公用密钥212a包含足够的信息,足以通过合适地采用目的设备250的专用密钥251b来生成解密密钥。对部分密钥225和公用密钥212a适当地进行编码,以致不知道专用密钥251b不能进行解密密钥255的有效确定。
通过提供能与每个目的设备的专用密钥组合以形成解密密钥的部分密钥和组密钥,内容材料的同一加密能分配给多个目的设备,每个目的设备接收对应于其特定专用密钥的正确的部分密钥。
图3表示根据本发明的源与多个目标设备之间有助于通用对话密钥221、组密钥212a和多个部分密钥225-228的生成的一个示例的密钥交换。在此示例表示中,每个目的设备D1 250、D2 260、D3 270和D4 280使用常规的Diffie-Hellman等式gy模n生成公用密钥Y1251a、Y2 261a、Y3 271a和Y4 281a,其中y是每个目的设备的相应的专用密钥(y1 251b、y2 261b、y3 271b和y4 281b)。如本领域所通用的,为提高安全性,g最好是整体有限域生成器,而n是与g同一组中的整体素数。
源设备210使用Diffie-Hellman技术的变体[(Y1*Y2*Y3*Y4)x模n]来生成是每个公用密钥Y1 251a、Y2 261a、Y3 271和Y4 281a组合的对话密钥K221,其中x是源设备210的专用密钥212b,最好随机选择此密钥。对话密钥K221用于加密分配给每个目的设备D1250、D2 260、D3 270和D4 280的内容材料M 201。为了便于此公用加密材料EK(M)231的解密,源设备210生成部分密钥225-228和公用组密钥X 212a。每个部分密钥X1 225、X2 226、X3 227和X4 228在此示例实施例中具有以下形式 其中k是目的设备的数量。即,每个目的设备的部分密钥是提升为与此源设备相关的专用密钥x 212b的幂的其他目的设备的每一个公用密钥的组合模n。组密钥X 212a由源设备210通过将通用与公用值g提升为与此源设备210相关的专用密钥x 212b的幂模n来计算,并且此组密钥也称为源设备210的公用密钥。
图4表示根据本发明的一个示例的公用加密与多解密。在本发明的优选实施例中,公用加密的材料EK(M)231、源设备210的组密钥X 212a和每个部分密钥225-228都传送给每个目的设备250、260、270和280。注意这些传送可以通过公用通信信道来进行。每个目的设备使用常规的Diffie-Hellman形式Xy模n来生成子密钥,其中X是源设备的公用或组密钥212a,而y是每个目的设备相应的专用密钥。即,例如,目的设备D1 250的子密钥450是XY1模n,目的设备D2 260的子密钥是Xy2模n,等等。
每个目的设备250、260、270、280通过形成其相应的部分密钥225、226、227、228与其子密钥450、460、470、480的乘积来形成解密密钥255、265、275、285。如图4所示,因为每个子密钥Xy模n等效于Yx模n(因为(gx)ymod n=(gy)xmod n),所以每个部分密钥与每个子密钥的乘积等效于对话密钥K221,即(Y1*Y2*Y3*Y4*)x模n,并因此解密密钥255、265、275、285均等于用于加密内容材料M201的对话密钥K221。每个目的设备使用导出的解密密钥255、265、275、285来解密公用加密的内容材料EK(M)231以提供内容材料M。
注意对话密钥K221基于预定解密加密的内容材料EK(M)231的每个目的设备的公用密钥,这提供选择地包括或排除一个或多个目的设备以便授权解密的一种方法。
图5表示根据本发明的一个示例的选择加密和多解密。源设备210上的示例加密利用设备D1、D3和D4的公用密钥Y1、Y3和Y4,但不使用设备D2的公用密钥Y2。在图5的示例加密中,在生成对话密钥K′511和每个部分密钥525-528时利用“空(dummy)”或“占位符”公用密钥Yz501来代替图3的公用密钥Y2 261a。利用等于(Y1*Y2*Y3*Y4)x模n的此对话密钥K′511加密此内容材料M以生成加密的内容EK′(M)531。
当每个设备D1、D3和D4形成其子密钥和其部分密钥525-528的乘积时,相应的解密密钥555、575、585计算为等于(Y1*Y2*Y3*Y4)x模n,即对话密钥K′511。另一方面,设备D2形成其子密钥XY2模n(这等于Y2x模n)与其部分密钥(Y1*Y3*Y4)x模n的乘积,并形成等于(Y1*Y2*Y3*Y4)x模n的解密密钥。注意这个确定的密钥(Y1*Y2*Y3*Y4)x模n不等于用于加密内容材料M的对话密钥K′(Y1*Y2*Y3*Y4)x模n,并因此设备D2 260不能提供内容材料M。
通过在生成对话密钥和每个部分密钥时利用占位符密钥501代替每个排除的目的设备的公用密钥能将目的设备的此选择排除扩展到多个目的设备。
上面仅仅说明本发明的原理。因而,将意识到本领域技术人员能设计出尽管未在本文中明确描述或表示但采用本发明的原理并因而在本发明的精神与范围之内的各种安排。例如,通过利用每个对话时不同的种子值g再生与每个目的设备相关的公用密钥能定义不同的对话密钥。以相同的方式,通过将新的目的设备加到通信设备的网络200和再生对应于包含的新的目的设备的对话密钥能增加目的设备的数量。最好,一个不同的种子值g用于这样的密钥的新生成,这是因为如果使用同一种子值g,则对应于此新的目的设备的部分密钥可以对应于在此新的目的设备加到网络200之前的加密的对话密钥。即,例如,在图4的示例中用于第五目的设备的部分密钥将是(Y1*Y2*Y3*Y4)x模n,这是用于图4的四目的设备网络的对话密钥K 211。然而,如果对于每个网络结构公用密钥Y1、Y2等是不同的,这样的问题就不出现。或者,在网络重构与附加的目的设备相关时,源设备能安全地分配一个新值给其专用密钥x 212b。这样的动作将使所有的后续对话密钥K、部分密钥X1、X2等和组密钥X不同于以前的对话密钥、部分密钥和组密钥。也可以采用这些方案的组合。
注意可以应用本领域中通用的其他加密技术以进一步提高系统的安全性。例如,IS09798-3的“站-站”协议通常用于阻止“中间人”攻击Diffle-Hellman密钥交换。以同样的方法,IS09798-3的站-站协议也可以用来阻止中间人攻击根据本发明的密钥交换。
附图的示例实施例用于示意目的,其他的实施例也是可行的。例如,每个目的设备不必是唯一的。目的设备族可以全部具有同一个专用密钥,并且加密方法构造为给一个设备族而不是给单个设备提供安全通信。在这样的实施例中,本发明的技术能用于将材料分配给多个设备族。同样地,本发明中提出的技术也可以与其他的安全技术进行组合,例如,时间相关加密、限制拷贝加密等也可以利用此多目的地分配技术。这些与其他系统结构和优化特性鉴于此公开对于本领域技术人员来说将是显而易见的并且包括在下面的权利要求书的范围内。
权利要求
1.用于加密内容材料(201)以便利用多个目的设备(250-280)进行解密的一种方法,这多个目的设备(250-280)之中的每一个目的设备具有一个公用-专用密钥对的专用密钥(251b-281b)与公用密钥(251a-281a),此方法包括根据对应于每个目的设备(250)的每个公用密钥(251a-281a)的组合生成对话密钥(221);生成对应于这多个目的设备(250-280)的多个部分密钥(225-228),每个部分密钥构造为在与每个相应的目的设备的专用密钥(251b-281b)和公用组密钥(212a)组合时提供对应于对话密钥(221)的解密密钥;根据对话密钥(221)加密内容材料(201),以生成加密的内容材料(231);和利用对应于至少一个目的设备(250)的至少一个部分密钥(225)将加密的内容材料(231)传送给此至少一个目的设备(250)。
2.如权利要求1的方法,其中每个目的设备(250)的部分密钥(225)包括对应于这多个目的设备(250-280)之中每隔一个目的设备(260-280)的每个公用密钥(261a-281a)的乘积。
3.如权利要求1的方法,其中每个部分密钥取决于对应于公用组密钥(212a)的源设备专用密钥(212b)。
4.如权利要求3的方法,其中每个目的设备(250)的部分密钥(225)包括提升为源设备专用密钥(211b)的幂的对应于这多个目的设备(250-280)之中每隔一个目的设备(260-280)的每个公用密钥(261a-281a)的乘积。
5.如权利要求4的方法,其中也根据源设备专用密钥(212b)生成对话密钥(221)。
6.如权利要求1的方法,还包括生成一个或多个占位符公用密钥(501),和其中还根据一个或多个占位符公用密钥(501)生成对话密钥(511)。
7.如权利要求6的方法,其中生成多个部分密钥包括生成对应于一个或多个占位符公用密钥(501)的一个或多个部分密钥(525-528),传送加密的内容材料(231)包括传送加密的内容材料(231)给其他的接收设备(575),和生成一个或多个占位符公用密钥(501)取决于其他的接收设备(575)。
8.构造为加密内容材料(201)以便传送给多个目的设备(250-280)的一种源设备(210),这多个目的设备(250-280)之中的每一个目的设备具有一个公用-专用密钥对的专用密钥(251b-281b)与公用密钥(251a-281a),此源设备(210)包括密钥生成器,构造为根据这多个目的设备(250-280)的公用密钥(251a-281a)生成多个密钥,这多个密钥包括对话密钥(221),用于加密内容材料(201);和对应于这多个目的设备(250-280)的多个部分密钥(225-228),每个部分密钥构造为在与每个相应的目的设备的专用密钥(251b-281b)和公用组密钥(212a)组合时提供对应于对话密钥(221)的解密密钥(255-285),和加密器(230),构造为根据对话密钥(221)加密内容材料(201),以生成加密的内容材料(231)。
9.如权利要求8的源设备(210),还包括发射器(240),构造为利用对应于至少一个目的设备(250)的至少一个部分密钥(225)将加密的内容材料(231)传送给至少一个目的设备(250)。
10.如权利要求9的源设备(210),其中此对话密钥(221)还基于对应于公用组密钥(212a)的源设备专用密钥(212b),和发射器(240)还构造为将公用组密钥(212a)传送给此至少一个目的设备(250)。
11.如权利要求8的源设备(210),其中密钥生成器(220)构造为根据对应于这多个目的设备(250-280)之中每隔一个目的设备(260-280)的每个公用密钥(261a-281a)的乘积生成每个目的设备(250)的每个部分密钥(225)。
12.如权利要求11的源设备(210),其中每个部分密钥取决于源设备专用密钥(212b)。
13.如权利要求12的源设备(210),其中每个目的设备(250)的部分密钥(225)包括提升为源设备专用密钥(212b)的幂的对应于这多个目的设备(250-280)之中每隔一个目的设备(260-280)的每个公用密钥(261a-281a)的乘积。
14.用于解密根据多个公用密钥(251a-281a)进行加密的来自源设备(210)的加密的内容材料(231)的一种方法,此方法包括接收加密的内容材料(231),接收对应于与此源设备(210)相关的公用密钥的第一密钥(212a),接收基于这多个公用密钥(251a-281a)的一个子集(261b-281b)的第二密钥(225),和生成基于第一密钥(212a)、第二密钥(225)和其相应的公用密钥(251a)包括在这多个公用密钥(251a-281a)中并且不包括在这多个公用密钥(251a-281a)的子集(261a-281a)中的一个公用-专用密钥对的专用密钥(251b)的解密密钥(255),和根据此解密密钥(255)解密加密的内容材料(231)。
15.权利要求14的方法,还包括传送此公用-专用密钥对的相应公用密钥(251a)以有助于第二密钥(225)的生成。
16.如权利要求14的方法,其中此解密密钥(255)包括第二密钥(225)和提升为专用密钥(251b)的幂的第一密钥(212a)的乘积。
17.一种目的设备,包括接收器,构造为接收加密的内容材料(231)、第一密钥(212a)和第二密钥(225),此加密的内容材料(231)根据基于多个公用密钥(251a-281a)的对话密钥(221)进行加密,第一密钥(212a)对应于公用组密钥(212a),和第二密钥(225)基于这多个公用密钥(251a-281a)的一个子集(261a-281a),密钥生成器(292),构造为根据第一密钥(212a)、第二密钥(225)和其相应的公用密钥(251a)包括在这多个公用密钥(251a-281a)中并且不包括在这多个公用密钥(251a-281a)的子集(261a-281a)中的一个公用-专用密钥对的专用密钥(251b)来生成解密密钥(255),和解密器(294),构造为根据此解密密钥(255)解密此加密的内容材料(231)。
18.如权利要求17的目的设备,还包括发射器,发送此公用密钥(251a)以有助于用于加密此加密的内容材料(231)的对话密钥(221)的生成。
19.如权利要求17的目的设备,其中此解密密钥(255)包括第二密钥(225)和提升为专用密钥(251b)的幂的第一密钥(212a)的乘积。
全文摘要
内容材料的公用加密用于多个目的设备上的解密,每个目的设备具有公用-专用密钥对的一个唯一专用密钥。多设备密钥交换用于生成基于多个目的设备的公用密钥之中的每一个公用密钥的用于加密内容材料的对话密钥。使用此对话密钥加密此内容材料。也为每一个预定目的设备生成依赖于此目的设备的专用密钥的一个部分密钥,以形成适于解密此加密的内容材料的解密密钥。此加密的内容材料和相应的部分密钥通过包括公用网络上的广播的潜在不安全的方式传送给每个目的设备。每个目的设备使用从其专用密钥与接收的部分密钥中形成的解密密钥来解密此加密的内容材料。在生成对话密钥时包括或排除选择的目的设备的公用密钥进行选择加密。
文档编号H04L9/08GK1304604SQ00800901
公开日2001年7月18日 申请日期2000年3月6日 优先权日1999年3月25日
发明者M·罗斯纳, M·A·埃普斯坦, M·帕斯卡 申请人:皇家菲利浦电子有限公司