专利名称:用于在数字网络中更新对称密钥的简化方法
技术领域:
一般地,本发明涉及本地数字网络中管理密码密钥的域,更具体地,涉及数字家庭网络。
背景技术:
这种网络包括通过数字总线互连的设备集合,例如,根据标准IEEE 1394的总线。具体包括两种类型的设备-能够在网络上发送数据的源设备这些设备能够通过网络以外的“信道”来恢复数据。
-显现设备,适于接收在网络上循环的数据,对其进行处理以便显现给用户。
因此,如果使用了设计用于将音频和/或视频数据传送到屋内的各个房间的数字家庭网络的实例,例如,源设备是通过卫星天线或通过电缆连接从网络以外接收视频节目的数字解码器,或者甚至为在网络上广播从盘中读取的数字形式的数据(音频和/或视频)光盘驱动器(在这种情况下,所述盘包括来自网络以外的数据)。例如,显现设备是能够显示从网络(或更一般地,是具有解密已加密数据的能力的任意类型的设备)接收的视频节目的电视接收机。
如果考虑到提供来自本地网络以外的数据的内容提供者,尤其是例如广播付费TV节目的服务提供者乃至光盘编辑者的角度来看,必须保证不能复制该传输的节目,并且自由地从一个本地网络循环(例如,通过复制到光盘或其它任意记录支持)到另一个。
因此,已知通过使用密钥由密码算法对其进行加密能够传输处于保密形式的数据,所述密钥由授权接收该数据的设备先前已知的密钥或根据内容提供者和这些设备之间的特定安全协议交换的密钥。
2000年3月31日以THOMSON多媒体的名义提交、并且要求1999年4月13日由同一申请人提交并以参考号FR 2792482公开的法国专利申请优先权的专利申请PCT WO 00/62505涉及一种家庭网络,其中使用专用于网络的公共密钥来加密在网络的设备之间循环的数据,通常从上述源设备到显现设备。只有该网络的显现设备具有与公共密钥相对应的私有密钥。密钥对(公共密钥,私有密钥)专用于网络,其它网络的设备不能解密在该网络的框架内加密的数据。
使用非对称密钥对具有一些优点,但也具有一些缺点。一个主要优点在于源设备无需记忆保密信息这些设备知道公共密钥但不知道私有密钥。然而,相对于对称密钥,非对称密钥的实现较慢。此外,非对称密钥的生命周期较短,需要定期撤消和新密钥的创建。在这种情况下,利用密钥加密然后记录的数据能够突然不再能够在网络上进行解密。此外,需要大量的非对称密钥。
认为使用对称密钥来加密数据具有吸引力。然而,这需要源设备知道该密钥,这增大了对其的安全性限制并结果使其更昂贵。
本发明的目的是解决上述问题。
发明内容
本发明的主题是一种用于在包括第一类型设备的通信网络中更新对称密钥的方法,包括-将用于加密数据的第一对称密钥发送到与网络相连的第二类型设备;以及-利用仅由与所述网络相连的第二类型设备的至少一个所知的第二对称网络密钥来加密的所述第一对称密钥。
根据该方法,第一类型的设备产生随机数,然后作为第一对称密钥和随机数的函数来计算新对称密钥。然后,利用其加密数据,以便与新对称密钥一起传输,并通过网络向第二类型的设备传送-利用新对称密钥加密的数据;-随机数;以及
-利用第二对称网络密钥加密的第一对称密钥。
另外,该方法可以包括步骤对于接收由第一类型设备发送的数据的第二类型设备,利用第二对称网络密钥解密第一对称密钥的加密;然后,根据按照该方式获得的第一对称密钥和所接收的随机数,确定新对称密钥;以及利用这样获得的新对称密钥来解密所接收的数据。
参考这里的附图,利用非限制性的具体实施例,本发明的其它特点和优点将显现出来,其中图1是其中实现了本发明的连接多个设备的通信网络的方框图;图2和3是示出了根据本发明的实施例,在这样的网络中的加密数据源设备和所述数据的显现设备之间的通信的顺序图。
具体实施例方式
首先将说明通信网络的实例,以示出交换数据和不同密钥的方式。随后,将给出用于源设备和显现设备之间的数据的安全传输的密钥的具体管理及其使用的更详细的说明。
I]网络描述图1示出了数字家庭网络,包括通过例如根据标准IEEE 1394总线的数字总线4互连的源设备1、显现设备2和记录设备3。
源设备1包括数字解码器10,其特征在于安装有智能卡11的智能卡读取器。该解码器接收数字数据,尤其是由服务提供者广播的音频和/或视频节目。
显现设备2包括数字电视接收机(DTV)20,其特征是安装有智能卡21的智能卡读取器,特别地,记录设备3是数字视频记录器(DVCR)。
通过源设备输入网络的数字数据通常是由内容提供者加扰的数据,例如,符合付费电视的原则。在这种情况下,利用控制字CW来加扰数据,通过将其包含在ECM(权利控制消息)控制消息,在利用加密密钥KF加密的形式的数据流中传输控制字CW。使加密密钥KF对于已经付费来接收数据的用户是可用的,特别是存储在智能卡中。在图1的实例中,智能卡11包括这种密钥KF、以及能够解密控制字CW的条件访问模块CA14。
然而,应当注意,只要用户向内容提供者付费订阅,则经常地,对接收数据的授权只是临时的。因此,内容提供者会定期地修改密钥KF。然而,由于下面将描述的方法,用户将能够记录节目广播,尽管其是订户并能够如其所希望地在其自己的网络上多次重放,甚至当已经改变了密钥KF时。然而,由于将数据按照所述方式以加扰形式记录,只能在记录其的用户的网络上对其进行读取。
接收该加扰数字数据的源设备1格式化数据,使其能够以专用于家庭网的保护格式在数字网络上广播。解码器10包括“ECM单元”模块,用于从所接收的数据流中,提取包含利用密钥KF加密的控制字的ECM消息,以便将其发送到CA模块。该模块对控制字CW进行解密,并将其传送到也包含在智能卡11中的转换模块12。
转换模块12包含对称密钥KC,下面将说明其在网络的设备之间的对称密钥的产生和传输。
应当注意,在图1中,示出了以下状态的网络,其中,所有设备已经相连且已经根据以下所述的方法交换了密码密钥。对于源设备1和显现设备2,图1特别示出了包含在每一个设备中的所有密钥。不必地,在设备中的每一时刻处显现所示的密钥。
具体地,显现设备2在存储器中包括对称网络密钥KN。根据安全协议,将该密钥分配到最近与网络相连的每一个新显现设备,这不是本发明的主题,将不再详细说明。此外,每一个显现设备具有非对称密钥对(KPUBT,KPRIT),第一密钥是公共密钥,第二密钥是私有密钥。在网络设备的认证框架内使用这些密钥,以及这些密钥用于随后将示出的对称密钥的初始交换。
转换模块12使用对称密钥KC来加密控制字CW,并将这些已加密的控制字插入到被称作LECM(本地权利控制消息)的消息中。这些LECM消息具有与包括在最初接收的数据流中的ECM消息相同的功能,即,按照受保护形式传输控制字,但是在LECM消息中,利用对称密钥KC来加密所述控制字CW,而不是利用内容提供者的密钥KF来进行加密。
优选地,例如,在每一个数据传输的发起期间,频繁地更新密钥KC,目的是防止源设备包含长时间保密信息,这将需要增强的保护。
此外,转换模块12将对称密钥KC本身插入LECM消息中,并通过算法E2,利用另一对称密钥KN进行加密,即,E2{KN}(KC)。
之后将被称作网络密钥的密钥KN并未位于源设备1中,而是位于显现设备2中。在创建密钥KC之后,按照安全方式,将后者发送到显现设备2,显现设备2利用KN对其进行加密,并将结果重新发送到源设备,所述源设备在其卡中的转换模块12中对其进行记忆,用于后续使用。
然后,将如此构造的LECM消息发送到ECM单元13,ECM单元13将其插入到数据流而不是ECM消息中。应当注意,当所接收的内容还没有处于上述加扰形式并且不包含任何ECM消息时,转换模块12在这种情况下,负责使数据处于该形式,从而在总线4上广播的数据流始终处于数据分组的形式,例如图1所示的分组40,所述分组包含LECM消息和加扰数据。
可以将该分组的内容总结如下LECM|E4{CW}(<data>);即E2{KN}(KC)|E3{KC}(CW)|E4{CW}(<data>);其中″|″表示级联运算符。
因此,数据始终以加扰的形式在总线4上循环,只有能够访问对称密钥KC的设备能够解密控制字CW,并因此解密该数据。这些设备是具有网络密钥KN的设备。因此,这防止了在图1中家庭网络进行的任何复制在其它本地网络上广播。
当数字电视接收机20接收到数据分组40时,将其发送到“LECM单元”模块23,该模块23从其中提取要发送到包含在智能卡21中的终端模块22的LECM消息。该卡首先利用其所包含的密钥KN解密E2{KN}(KC),以获得密钥KC。接下来,利用密钥KC,其解密E3{KC}(CW)以获得发送到“LECM单元”模块23的控制字CW。然后,利用控制字来解扰数据E4{CW}(<data>)。然后,将已解扰数据显现给用户。对于视频数据,可以在电视接收机20上观看该数据。
由于上述本地数字网络,由源设备转换从内容提供者接收的数据流,源设备在其中利用对称密钥KC加密数据(或更具体地,控制字CW)的数据流中接收数据。与利用其加密的数据一起发送密钥KC,利用另一对称密钥(网络密钥KN)加密密钥KC自身。因此,在本地网络中循环的数据流包含具有该本地网络专用格式的数据,该数据只能由其中均包含网络密钥KN的本地网络的显现设备来解密。
此外,由于利用数据(处于加密形式)来广播密钥KC,可以由诸如数字视频记录器(DVCR)4将其同时记录为数据,该系统可以提供对加密数据的后续访问。
此外,当网络密钥KN并未存储在源设备中时,其不包含需要增强安全防范的任何“长时间”保密。
然而,必须频繁地更新密钥KC,下面将给出根据不同的变体,如何产生该密钥KC、以及如何获得利用网络密钥KN的其加密的更详细描述。
II]在与源设备的网络的第一连接期间对称密钥KC的产生和管理假定源设备1已经与图1所示的家庭网络相连。最初,在其转换模块12中没有密钥。
图2示出了初始协议的阶段,使源设备能够获得利用由网络中的显现设备所保存的网络密钥KN加密的对称密钥KC。
当第一阶段101,源设备1在网络上发起请求,请求任意显现设备向其发送所述显现设备的公共密钥。在图1中,示出了单个的显现设备,但是,自然地,数字家庭网络能够包括与总线4相连的多个不同显现设备。假定网络上所存在的且处于“激活”状态的所有显现设备(即,其电源没有断开,或没有处于极大地减少了向设备的电路提供的能量的待机模式)通过发送其公共密钥来响应源设备的请求。
之后,假定由源设备1接收的第一密钥是显现设备2在步骤102期间发送的公共密钥KPUBT。则源设备1确认所接收的第一消息,然后,将与相关的显现设备交换消息。
然后,源设备1,更准确是转换模块12,随机地产生“短时间”对称密钥KC,并记忆该密钥KC(步骤103)。例如,其使用伪随机数产生器来产生KC。
然后,在步骤104,通过非对称加密算法E1的中间产物,例如算法“RSA OAEP”(“Rivest,Shamir,Adleman Optimal AsymmetricEncryption Padding”-“PKCS#1RSA CryptographySpecifications,version 2.0(October 1998)”中所述),利用公共密钥KPUBT来加密密钥KC。然后,以加密形式E1{KPUBT}(KC)将其发送到显现设备2(步骤105)。该显现设备利用其私有密钥KPRIT解密密钥KC,然后,利用对称网络密钥KN,根据对称加密算法E2再次对其进行加密(步骤106),并将这样加密的Kc(即,E2{KN}(KC))发送回源设备(步骤107),优选地,源设备在其转换模块12中记忆该信息(步骤108)。
在步骤101到108的第一序列的结束处,源设备1在其转换模块12中拥有通常为控制字CW的、能够用于加密数据的对称密钥KC,并且利用新密钥KN对该密钥KC进行加密。然后,准备在网络上广播数据。应当注意,源设备不知道秘密网络密钥KN。
图2所示的后续步骤109到113涉及“有用”数据的传输,即,通常是加扰音频视频数据。
由源设备1接收的数据包括ECM消息。源设备解密这些数据,以从中提取控制字CW,然后,通过对称加密算法E3的中间产物,利用对称密钥KC来加密控制字CW(步骤109)。然后,源设备1将这些加密的控制字(即,E3{KC}(CW))重新插入到数据流中,并在总线4上,将所有数据发送到网络上的显现设备(步骤110)。在步骤110期间,源设备还发送利用之前在步骤108所记忆的KN加密的密钥KC。实际上,将数据E2{KN}(KC)和E3{KC}(CW)插入到与加扰“有用”数据E4{CW}(<Data>)一起发送的LECM消息中。
还应当注意,根据利用控制字CW的对称加密算法E4来加密在步骤110传送的有用数据。
用于接收在步骤110发送的数据的显现设备2首先利用KN解密E2{KN}(KC),以获得被记忆的密钥KC(步骤111),然后,利用KC,其可以解密E3{KC}(CW)以访问控制字CW(步骤112),并由此解扰有用数据(步骤113)。
对称加密算法E2、E3和E4可以相同或不同。例如,可以使用“AES”算法(高级加密标准,也被称作“Rijndael”,参见J.Daemen和V.Rijmen在“Proceedings from the First Advanced EncryptionStandard Candidate Conference,National Institute of Standardsand Technology(NIST),August 1998”)所述,或“TwoFish”算法(见B.Schneier,J.Kelsey,D.Whiting,D.Wagner,N.Ferguson的文献″TwoFish-a Block Encryption Algorithm″所述,并发表在相同的NIST会议报告)。
III]对称密钥KC的更新当需要更新密钥KC时,特别在网络上广播新内容之前,可以考虑使用与图2所述相同的协议(步骤101到108)。然而,该协议涉及使用非对称算法的加密计算,这需要相当大的计算量,以及相当长的时间在智能卡处理器中实现。这是将第二协议用于“短时间”对称KC的的更新的原因。
图5示出了实现对称密钥KC的更新的第二协议。
根据该协议,在步骤400期间,源设备1(或更具体地,转换模块12)产生随机数D并记忆其。然后,通过将函数f应用到在第一协议期间记忆(在步骤103)的密钥KC和随机数D,来计算(步骤401)新的对称密钥K’C。特别地,函数f是经典推导函数,例如散列(hash)函数(例如,可以使用文献“Secure Hash Standard,FIPS PUB 180-1,National Institute of Standard Technology,1995”所述的SHA-1),或者甚至是例如XOR函数的加密函数。这是一种“单向”函数,即,已知结果f(KC,D)和数D,不可能找到密钥KC。
步骤402对应于图2所示的协议的步骤109,并且包括提取包括在由源设备所接收的数据中的ECM消息,并在模块CA14中对其进行解密,并利用新的对称密钥K’C,在转换模块中从其中提取控制字CW。然而,由源设备在网络上广播“有用”数据与在步骤110执行的广播略有不同。
实际上,在步骤403,源设备将在步骤400产生的数据D插入到LECM消息中。还将以下内容插入到该LECM消息中-利用网络密钥KN加密的初始对称密钥KC(E2{KN}(KC)),以及-利用新对称密钥K’C加密的一个或多个控制字CW(E3{K’C}(CW))。
当显现设备2在步骤403接收到数据广播时,其首先利用网络密钥KN加密E2{KN}(KC)(步骤404),然后,通过应用函数f,根据KC和D来计算新对称密钥K’C(步骤405)。在已经得到K’C之后,然后,解密E3{K’C}(CW)以得到控制字CW(步骤406),并利用该控制字来解扰“有用”数据(步骤407)。
由于该协议,不必在源设备和接收机设备之间交换数据以获得对称密钥K’C的更新。当网络中没有显现设备处于“激活”状态并且用户希望记录由源设备所接收的节目(数字内容)时,这尤为有利。因此,源设备能够更新该对称加密密钥KC,而无需任何显现设备,并由此能够广播伴随由受该更新的密钥保护的LECM消息的有用数据,从而将数据记录在例如图1的视频记录器3等数字存储设备中。
权利要求
1.一种用于在包括第一类型设备(1)的通信网络中更新对称密钥的方法,包括-将用于加密数据(CW)的第一对称密钥(KC)发送到与网络相连的第二类型设备;以及-利用仅由与所述网络相连的第二类型设备中的至少一个所知的第二对称网络密钥(KN)来加密的所述第一对称密钥(KC)(E2{KN}(KC)),所述方法包括步骤针对第一类型设备,(a)产生随机数(D);(b)作为第一对称密钥(KC)和随机数(D)的函数,来计算新对称密钥(K’C);(c)加密要与新对称密钥(K’C)一起传送的数据(CW);以及(d)通过所述网络向第二类型设备(2)传送-利用新对称密钥加密的数据(E3{K’C}(CW));-随机数(D);以及-利用第二对称网络密钥加密的第一对称密钥(E2{kn}(KC))。
2.根据权利要求1所述的方法,其特征在于用于计算新对称密钥(K’C)的函数(f)是单向推导函数。
3.根据权利要求2所述的方法,其特征在于函数(f)是散列或加密函数。
4.根据前述权利要求之一所述的方法,其特征在于还包括步骤针对用于接收在步骤(d)传送来的数据的第二类型设备(2)(e)利用第二对称网络密钥(KN),解密第一对称密钥(KC)的加密(E2{KN}(KC));(f)根据在步骤(e)获得的第一对称密钥(KC)和所述随机数(D),确定新对称密钥(K’C);以及(g)利用这样获得的新对称密钥(K’C)来解密所接收的数据。
全文摘要
一种用于在包括第一类型设备(1)的通信网络中更新对称密钥的方法,包括将用于加密数据(CW)的第一对称密钥(K
文档编号H04N7/16GK1703894SQ200380101312
公开日2005年11月30日 申请日期2003年10月30日 优先权日2002年10月30日
发明者阿兰·迪朗, 让-皮埃尔·安德烈奥斯 申请人:汤姆森许可贸易公司