选择性访问信息的系统中改进的密钥分发的制作方法

专利名称：选择性访问信息的系统中改进的密钥分发的制作方法
技术领域：
本发明一般涉及选择性访问信息的系统中的密钥管理，并且更具体地，涉及为导出媒体密钥或等同物以将例如安全广播解码的密钥消息分发及此类密钥消息的优化。
背景技术：
在诸如广播或多播保护系统等选择性访问信息的任一系统中，密钥管理极其重要。如

图1以示意图方式所示，对于无线应用和标准数据通信两者，广播和多播使受保护信息可有效地分发到大的接收机群组。在下述内容中，术语广播将用于指广播和多播两者。最近的研究计划集中在通过无线网络的广播，并且一个重要的主题是尽可能高效地使用无线链路，从而例如减少媒体访问的时间。另一个重要关注的主题是提供安全的广播。因此，受保护信息的加密是商业广播业务的一个重要使能器。商业广播涉及若干方，例如，接收广播的受保护信息的用户、网络提供商和内容提供商。为使广播只指向满足商业要求的用户，内容提供商在密钥分发进程中向这些用户提供有效的加密密钥。由于活动收听者群组是动态的，并随时间而变化，因此，密钥的更新变成了一个重要的主题。从用户的角度而言，重要的是密钥更新快，从而消除烦人的等待时间。从网络提供商和/或内容提供商的角度而言，还重要的是密钥更新尽可能快和高效地进行以节省宝贵的无线资源。
广播保护系统通常通过多个不同的步骤操作。通常需要执行业务注册步骤，在该步骤中，用户与业务提供商达成协议。在此步骤中，为用户提供个人的、唯一的且秘密的密钥。在密钥分发步骤中，向已注册用户分发媒体密钥(或更一般地信息保护密钥)以将广播的受保护信息解密。业务提供商在媒体输送保护步骤中将受保护的信息加密。例如，在新用户注册、用户取消注册时或者在媒体密钥泄露时，需要执行密钥更换步骤来更新受保护的信息密钥。定期密钥更换还可用于提高系统的安全。业务注册通常是在用户与内容提供商之间点对点进行，并可使用任一安全且已验证方式进行通信。密钥分发和媒体输送保护(MDP)将以一对多的方式执行。
密钥分发的主要问题是在新用户以对大型群组可扩展的方式加入或离开群组时尽可能快地更新MDP密钥。为每个用户发送单独加密的已更新MDP密钥的初级方案扩展效果不佳，并且这很消耗资源，不但增加了计算成本，也增加了带宽消耗。
为提高扩展性而提议有称为群组密钥分发协议的方案，例如，LKH(逻辑密钥层次)、SD(子集差别)和LSD(分层子集差别)。这些是分层次群组密钥分发协议的例子。
对于每个分层群组密钥分发协议，有相关联的加密密钥集合。可使用抽象的分层树以便示出这些密钥的布置和密钥之间的关系。图2示出在底部具有一组用户U1到U8的分层树。在分层结构的顶部有特定分层协议的输出密钥KM。完整用户群组的子组确定分层树的子树，而子树又确定包括一组可识别消息元素的群组密钥管理消息。树模型中在底层与顶层之间的节点与将群组密钥管理消息的元素解密所需的加密密钥相关联。在初始阶段，每个用户接收信息以导出这些密钥的子集，例如，在特殊用户Mi与KM之间的路径上的所有密钥。分层群组密钥分发协议提供线性初始钥控性能和改进的对数密钥更换性能。这些方法由于非线性性能而成为最可扩展和有效的方法。
图2可方便地用于论述LKH方法。LKH方法是可扩展的群组密钥分发协议，基于将树中的每个节点(i)与密钥Ki相关联的方案，其中，(i)是在一维或若干维中的索引。根密钥KM是与树顶层相关联的密钥，并用作MDP密钥。例如，在注册阶段为用户群组中的每个用户提供单独的密钥，并且这些密钥与树底部的叶K(rst)相关联。每个用户还接收在从其叶直到根部的路径上的所有密钥。典型的消息由三项一组{i，j，[Ki]Kj}组成，其中，i＞j表示节点i是节点j的先辈。当j在直到根部的路径上时，即，Ki可通过使用与节点j相关联的密钥Kj取回时，用户可将消息部分解密。因此，Ki集合包括根密钥KM的分层加密。当由于用户的加入或离开而更新MDP密钥时，所需的消息数量很少，且消息大小很小。可能的缺陷是系统是状态完整或状态相关的，即，算法利用以前的群组密钥来加密新生成的群组密钥。因此，该方案需要状态相关性。如果某个状态的群组密钥丢失，则参与者通过任何方式轻松地重新得到会话是不可能的。
另一个缺陷是提供的用于成批密钥更换即成批更新密钥的方法不是很有效，特别是在用户状态发生重大和瞬间更改时。
子集覆盖算法是群组密钥分发协议的通用类，其特征在于群组用户与用户子集相关联，该子集与特殊的密钥相关联。图3所示的子集差别(SD)协议是这些协议的一个例子。参照图3，节点通过索引j编号。例如在图3中，示出节点1-15。一批子集Si，j覆盖整个群组并清楚地确定所有用户的集合。Si，j表示在节点i之下但不在节点j之下的叶集合。在图3中，示出集合S2，5和S3，12。当更新MDP密钥时，用户群组恰好由这些子集覆盖，并且已更新密钥根据每个子集密钥加密。SD(子集差别)方案是无状态群组密钥分发协议，是更通用的子集覆盖(SC)协议。SD方案创建叶数与可能用户一样多的二叉树。在结构中的叶数是固定的。一些叶由活动用户占用，一些带有已取消用户或离开广播的用户，以及一些叶未被占用但可用于新用户加入广播。密钥服务器(KS)创建实体Si，j的集合S。每个Si，j还唯一地与密钥Lij相关联，集合Si，j的每个用户可计算该密钥，但其他群组用户却不能。通过使用Lij加密MDP密钥，可对特殊的集合Si，j更新MDP密钥。应注意的是，必须对属于S的每个Si，j进行此操作。Lij’以分层方式创建，其中，通过迭代使用单向函数，与节点i相关联的随机种子扩展到节点j＞i。
LSD(分层子集差别)方案是一种SD方案，但具有特殊的层，因此，每个可能的用户需要存储比原方案中更少的密钥。
在所有这些系统中，广播到所有用户的群组密钥管理消息相当大。
参考文献[1]公开了一种基于用户群组的子集覆盖的无状态分层方法。
密钥管理消息的大小倾向于在大型群组中变得极大。因此，已进行了各种尝试以使密钥管理消息的广播尽可能有效。参考文献[2]公开了一种根据用户将受到损害的概率布置用户，从而允许提高密钥管理系统的效率的方法。
由于密钥管理消息大小的原因，因此，频繁地通过蜂窝网络多播或广播此类消息会十分消耗资源。还有一个问题哪一方会负责传送消息所需的昂贵无线电链路资源支出。参考文献[3、4]建议了一种分布式实体系统，每个实体管理完整群组的子组。每个子组还与单独的群组密钥相关联。虽然这些系统提供了可扩展性，但它们既复杂又费用高。所述方法的另一个问题与向另一实体分发安全功能有关，由此，此类其他实体必须值得信赖来安全地处理安全功能。这使得此类系统更易于受到损害。因此，此类系统不管理由未受信赖实体通过密钥或其他秘密信息进行的优化。
另外，当要同时分发与不止一个媒体会话有关的密钥时，引发了实际的问题。一个例子可能是提供独立选定的多个信道的业务提供商。上述系统未提供管理多个信道的简单方式，并且在这些系统中，每个系统可由用户根据需要打开和关闭。初级方法会是对于每个信道使用单独的系统，但这样的效率会极低。
诸如SD等无状态方案的缺点是，在每次密钥更新时，密钥管理消息的大小取决于从系统取消的用户总数。因此，如果在密钥更新时只可取消一个用户，则消息大小仍取决于已经取消的用户总数。在状态完整的LKH系统中，一个用户的取消不取决于已经取消的用户总数，而是取决于现有用户的对数数量。
因此，需要一种克服现有技术系统的缺陷、用于在广播和多播系统中分发群组密钥的有效且可靠的方法。具体地，需要一种用于优化消息大小的方法。
发明概述本发明克服了现有技术布置的这些和其他缺陷。
本发明的一般目的是提供一种在用户群组中群组密钥分发的有效方法以诸如在广播保护系统中选择性访问受保护信息。
一个目的是创建一种类似于无状态子集覆盖方案的、包括加密密钥集合的密钥管理系统，并提供改进以实现总密钥管理消息的减少。
一个目的是创建一种在选定访问信息系统中实现改进的密钥分发的布置。
一个特定的目的是在实现改进的密钥分发的布置内创建接收并存储加密密钥子集和状态密钥的用户终端。
另一个目的是大大减小群组密钥管理消息的大小，同时维护可接受的安全级别。
一个目的是优化用户子集的创建，由此减小指向用户子集的密钥管理消息的大小。
还有的一个特定目的是有效地管理多个内容密钥，每个密钥与业务相关联。
仍有的另一目的是减少在密钥分发服务器上与安全群组密钥分发系统中所需的密码计算有关的计算开销。
这些和其它目的由如随附专利权利要求书限定的本发明实现。
简要地，本发明提议了无状态和状态完整技术的一种强大且发明性的组合以实现减少的总密钥管理消息。加密密钥集合最初是基于无状态子集覆盖方案创建，其中，在子集覆盖方案中，每个用户与叶相关联。根据本发明的基本想法因而是建立状态密钥和表示具有该状态密钥的用户子集和没有该状态密钥的用户子集的对应状态，并基于表示所建立的状态的信息确定子集覆盖。最后，可至少部分基于计算得出的子集覆盖确定群组密钥管理消息。引入的状态为有效的子集覆盖计算打开了通道，从而减小了密钥管理消息的大小。
换而言之，本发明涉及建立状态T和状态密钥Kstate以组合无状态和状态完整技术。根据本发明，创建了既提供减少的总密钥管理消息又提供为多个业务处理密钥的可能性的动态系统。更准确地，本发明组合这两种方案(无状态和状态相关)以创建一种系统，其中，取消通常只取决于密钥更新进程中在取消的用户数量。为此，创建了新系统，该系统是根据基于子集覆盖的系统，如SD或LSD。除在传统子集覆盖系统中涉及的密钥外，用户通常在初始化时接收状态标记T和状态密钥Kstate。根据本发明，优选包括记录已取消的用户和其在取消时的状态和状态密钥的工具。因此，在用户会被取消或重新激活时，会可能的是创建只取决于该特殊用户的密钥管理消息。通过引入包括状态标识符和状态密钥的状态，可能的是在密钥管理消息中只包括当前涉及的那些用户，如在取消的用户。根据本发明，优选使用新算法计算降低总集合数量的更新集合。
注意，例如LKH等现有技术状态相关系统的缺点被减少，表现在完整的系统更新可始终通过使用基础无状态SD系统重新定义状态和加密密钥而进行。
根据本发明的方法提供以下优点-特殊更新中所需的密钥数量减少。
-发送更新所需的数据分组数量减少。
-更新的时间缩短。
-可能恢复到普通无状态子集覆盖方案。
-准备好处理多个业务密钥。
仿真示出在某些环境下，通过本发明方法可使消息大小减小90％。
通过阅读本发明实施例的以下说明，将理解本发明提供的其它优点。
附图简述通过结合附图，参照以下说明，可最好地理解本发明及其其它目的和优点，其中图1是用于分发群组密钥管理消息的示范概述网络。
图2是表示用于使群组密钥管理消息适应特定用户组的现有技术分层系统的逻辑树。
图3是现有技术分层系统的另一逻辑树例子。
图4是示出本发明方法的逻辑树例子。
图5A、5B和5C是示出本发明方法的逻辑树例子。
图6是从基于现有技术SD方法的仿真接收的数据表。
图7是从基于本发明方法的仿真接收的数据表。
图8是示出根据本发明的实施例的流程图。
图9是示出本发明方法的示范伪码。
图10是示出本发明方法的补充伪码。
图11是示出本发明方法的状态图。
图12示出根据本发明用于创建子集的优选实施例。
图13示出根据本发明与多个业务有关的优选实施例。
图14示出根据本发明在多个业务情况下的密钥管理。
本发明实施例的详细说明现在将基于基础SD结构描述优选的实施例。然而，正如本领域的技术人员将理解的一样，用于密钥管理消息分发的任一无状态子集覆盖系统可用于本发明，由此，任何两个此类实施可能在详细结构方面不同。
前言图6示出来自仿真的数据。图6示出普通SD的使用，其中，用户的最大数量为215。表1中系统的动态设为大约1％，也就是说，对于像这样的仿真，除离开系统的“正常”用户外，假设了在密钥更换之间随机替换1％的当前用户。图7示出在相同条件下使用根据本发明的方法。在此仿真中，在每第10个时间周期发送完整的SD消息，这影响平均值和最大值。
图7示出，根据本发明方法的消息平均少于在普通SD方法中获得的那些消息的10％。
从构建本发明方法的方式来看，它具有以状态完整和无状态系统两者为特征的属性。因此，如果状态在整个密钥更新期间保持不变，则系统类似于无状态系统。在本文档通篇中，此属性称为半无状态。另一方面，如果用户失去状态密钥，则它无法再接收密钥更新，并且系统具状态完整系统的特征。同样地，这种情况可通过执行完整更新而得到纠正，根据本发明，可能性取决于系统的无状态属性。虽然本发明系统可视为基础SD结构的发展，但它可同样恰当地描述为全新的系统。从识别发明性的角度而言，第一方案是方便的，在已知主题与新颖特性之间提供了清晰的界线。
注意，本发明并未解决所有安全问题。该机制在某些情况下允许并不拥有状态密钥的被排除用户与具有状态密钥的另一被排除用户“协作”以便取回媒体密钥(或更一般地，取回信息保护密钥)的可能性。但这是有备之险，在实践中被认为是可接受的。实际上，根据传统方法使用系统的完整更新减轻了此问题的影响。
在所有附图中，相同的标号将用于对应或类似的要素。
下面将使用与诸如SD和LSD等基于树结构的子集覆盖算法有关的以下符号M＝{Sij，E(Hsij，KM)...Skl，E(HSkl，KM)}此处，M是密钥管理消息，并且Sxy定义特定的可导出必需的密钥HSxy以便将对应的E(HSxy，KM)解密从而获得媒体密钥或更一般地获得KM的用户子集。
根据本发明，系统具有状态和对应的状态密钥Kstate。虽然该状态密钥唯一地定义系统状态，但使用对(T，Kstate)来定义系统状态是方便的。此处，T是任一合适的状态标识符。
任一子集覆盖方案具有相关联的完整对象集合，在此文档中称为叶。子集覆盖方案的特殊子集与完整的叶集合的对应子集相关联。
用户可理解为可能被授予受保护信息访问权的人、系统或装置。
每个用户可与叶相关联。用户与叶的关联在注册进程中进行，例如，将某人注册为信息业务的用户。
活动用户是当前访问受保护信息并因此得到具有将此类加密信息解码的前提条件的系统支持的那些用户。
为用户提供对于访问受保护信息有效的密钥信息的进程在下文称为加入用户。
用户取消可理解为将新信息保护密钥分发到除已取消用户外所有用户的进程。因此，已取消用户具有状态和状态密钥，但对于访问受保护信息不再有效。
不涉及状态更改的更新进程可称为软更新，而涉及状态更改的进程可称为硬更新。由于软更新的可能性，在本文档中，根据本发明的方法有时称为半无状态。
在本文档通篇中将使用以下符号P表示所有潜在用户，即与树中的叶相关联的用户。
UA表示将保持活动的活动用户和会加入活动用户且具有当前状态密钥的以前已取消用户。
UJ表示要作为活动用户加入的无状态密钥或状态密钥已过时的用户。
UR表示具有状态密钥并且已经被取消或会在当前更新中被取消的用户。
UO表示已经被取消并且没有当前状态密钥的用户。
此时提供与用户集的以上定义有关的一些说明是适当的。关于集合UA，注意到，如果自取消后未发生状态更改，即，未进行硬更新，则已取消用户仍可能处于当前状态。
集合UJ包括以前已取消用户，但情况是自取消后状态已更改，由此这些用户具有的状态密钥与当前状态密钥不同。另外，此集合包括以前不是活动的因而明显根本没有任何以前的状态密钥的用户。
覆盖(A，B)形成覆层，其中，覆盖A中的每个人，并且有条件地覆盖在B中的用户。确定B中会被覆盖的用户(如果有)是下面将进一步说明的用于创建有关集合的算法的一部分。在P\(A∪B)中的用户未被覆盖。此处，符号X\Y表示集合X排除集合Y后的集合。
现在将论述一个例子以示出根据本发明可实现的优化类型。参照图3，假设已使用集合S2，5和S3，12取消这三个用户10、11、12。还假设之后还应取消用户13。为在传统子集覆盖方案中安全地进行此操作，会需要使用集合S2，5和S3，6以便覆盖活动用户并因此取消所有其它用户。然而，在根据本发明的系统中，仅根据当前被取消的用户会只需要一个集合。
在示出本发明方法的图4的例子中，可以看到只需要一个集合(S1，6)便可取消用户13，而普通算法需要两个集合。注意，在普通SD协议中，指向集合S1，6的消息会允许节点5下方的以前被排除的用户偷听。然而，根据本发明协议，由于在节点5下方的用户没有当前状态密钥，并且因此它们无法解释消息，因而阻止了它们偷听。
详细说明在下面的说明中，采用SD结构作为示范，然而，技术人员将理解，任一无状态方案均可使用。
处理系统的密钥服务器最初创建基于普通子集覆盖的密钥结构。基本上，创建的逻辑树中，不同的密钥与树中的不同节点相关联。每个用户与底层的叶相关联。示范用户为在收听广播的人、系统或一般地为业务的任一消费者。密钥服务器至少跟踪树结构、与树相关联的密钥、具有相关联用户的所有叶及尚未与任何用户相关联的叶的列表U。另外，系统必须保持列表UR、UA和UJ是更新的。对于特定状态，所有活动用户和密钥服务器需要具有状态密钥。无论何时在系统中创建新状态，均更新状态密钥。会保持活动的活动用户接收包括新状态、状态密钥和媒体密钥的更新消息。加入活动用户群组且没有状态密钥的用户接收具有形式以调用本发明系统属性的无状态系统为特征的更新消息。状态T和状态密钥形成活动用户群组的表示。有时，通过从普通无状态树排除那些没有当前状态密钥的叶而定义对应于特定状态T的树结构是有用的。图5A示出在给定时刻树只由5个叶形成的状态的例子。根据已知分层方法的对应结构会具有8个叶。缺少的叶是与当前状态T不关联的那些叶。这些叶在本文档中还将称为未定义的叶。状态T的引入因而定义了拓扑。将证明的是，状态T的引入使密钥管理消息的大小可以被减小。
初始化在配置阶段中，例如通过自动化注册协议或智能卡向用户装置提供SD参数和可能还有其它参数。可以以不同方式向活动用户输送状态密钥。有利的是，在配置阶段中输送它。或者，状态密钥初始化通过根据图3的完整系统更新来进行，其中，子集覆盖算法在其正常模式中执行。随后，状态密钥可能与媒体密钥一起输送到所有活动用户。密钥管理初始化消息会如下所示M＝{Sij，E(HSij，T‖Kstate‖KM)...Skl，E(HSkl，T‖Kstate‖KM)}此处，‖表示并置。由于对T‖Kstate‖KM加密了若干次，并在实际上可能包含一些另外的信息，因此，有时可以更方便的是，使用包封方案，从而对这些密钥只加密一次。使用包封时，消息会如下所示M＝{T，Sij，E(HSij，KE)...Skl，E(HSkl，KE)，E(KE，T‖Kstate‖KM)}(Eq 1)此处，KE是用于加密T‖Kstate‖KM的包封密钥。为简明起见，在描述密钥管理消息时，我们将在本文档剩余部分中使用此后一包封方案。
示范通用方法现在参照图8描述根据本发明的示范通用方法。通常，系统更新涉及两种不同类型的用户，每种类型对应一个用户集合。第一集合UA表示将保持活动的当前活动用户和具有状态密钥的加入用户。第二集合UJ包括会在更新中加入的新用户。这些用户并不拥有状态密钥或者状态密钥已过时。第三集合UR包括具有状态密钥并已经被取消或会在当前更新中被取消的已取消用户。将这三个用户集合输入用于确定对应子集覆盖的算法。正如从本文档后面公开的替代实施例中将明白的一样，对于优化子集覆盖的问题有若干种解决方案。
图8提供的流程图中的下一步骤涉及创建保护要分发的新媒体密钥的密钥管理消息。通常，根据本发明，保护包括使用当前状态密钥。
之后，流程图分成两个分支。当状态密钥在更新进程中未更新、即为软更新时，采用一个分支。随后，在前一步骤中创建的密钥管理消息无需进一步修改。另一分支涉及状态和状态密钥的更新，这在本文档中称为硬更新。这种情况下，新状态密钥也必须受到保护。
用户的取消和加入可响应某些事件执行或者例如每小时一次定期执行。可启动更新进程的示范事件包括用户请求不包括在群组中或者包括在群组中，用户停止支付预订费或者由用户手动或由用户装置自动生成的有关密钥丢失的发出报告。更新进程可包括集中一批要处理的用户。
通常，更新进程可同时涉及新用户加入和活动用户取消。同样地，注意到，一些正在被处理的用户可能并不拥有状态密钥。
随后，将描述密钥管理消息的通用结构，该消息适当地针对可通过新媒体密钥并可能还通过新状态和状态密钥更新的用户。
想象并行更新的两个独立的树结构便于理解此实施例。这些结构中的第一结构包含并不拥有状态密钥的所有那些用户，即，以前不是活动的新用户和要加入的具有过时状态密钥的已取消用户。第二结构包含具有状态密钥的所有用户。
加入用户我们先考虑没有状态密钥的用户和加入这些用户使之成为活动用户的情况。为只针对加入用户，我们注意到，这可能通过将加入用户看作好像它们是树中仅有的活动用户并将活动用户(UA)视为未定义、取消所有其它用户而实现。集合SA＝{Sab...Scd}随后可计算得出，从而覆盖UJ的所有用户并可能覆盖UA的一些用户。导出相应的密钥HSab，并且寻址到SA的消息因而将如下所示M＝{Sab，E(HSab，KE)...Scd，E(HScd，KE)，E(KE，KM)} (Eq 2)在等式2中，E表示以前引入的包封加密。
为已加入用户提供媒体密钥和新状态密钥两者可能是有利的。上述情况下，可使用等式2′而不是等式2M＝{Sab，E(HSab，KE)...Scd，E(HScd，KE)，E(KE，T‖Kstate‖KM)}(Eq 2’)更新具有状态密钥的用户现在我们转到包含拥有当前状态密钥的所有用户的第二结构。注意到，假设在已经拥有状态密钥的那些用户中未发生取消(即UR为空)的情况下，通过使用当前状态密钥对消息加密可安全地针对群组的活动用户。因此，可使用当前状态密钥发送新媒体密钥，即M＝{T，E(Kstate，KM)} (Eq 3)新状态密钥可包括在此消息中，随后，消息变为M＝{T，E(Kstate，T‖K′state‖KM)} (Eq 3’)取消处于当前状态的用户和更新保持活动的用户。
为解决集合UR不为空时的情况，计算覆盖具有状态密钥T的用户的集合ST＝{Srs...Stu}，这些用户即在具有当前状态密钥Kstate的所有那些用户中会保持活动的UA。为实现此覆盖，已取消用户被视为未定义。再参照图5A，注意到，集合Srs可包括不处于状态T的用户。为只针对处于状态T并同时在覆盖SR中的那些用户，引入新密钥KP，并通过密钥HSrs对其进行保护。随后，通过使用函数F，以KP和Kstate作为输入，得到包封密钥KE。此类函数的例子有伪随机函数、消息验证码和密码变换。例如，可在配置阶段向用户装置提供函数F。寻址到ST的消息因而将如下所示M＝{T，Srs，E(HSrs，KP)...Stu，E(HStu，KP)，E(KE，KM)} (Eq 4)在集合Sxy中并且还具有当前状态密钥Kstate的用户可先导出密钥KP。使用函数F和状态密钥Kstate，用户随后可导出KE＝F(KP，Kstate)并最终导出媒体密钥KM。同样地，如果状态同时从T更新到T′，则以下公式适用M＝{T，Srs，E(HSrs，KP)...Stu，E(HStu，KP)，E(KE，T′‖K′state‖KM)}(Eq 4’)完整的消息上述内容示出如何为加入但没有状态密钥的用户创建更新消息和如何更新具有状态密钥的用户。实际上，这些可组合在一起以创建一个消息。对应于等式2和等式3两个等式的用户可按如下方式包括在一个消息中
M＝{T，Sab，E(HSab，KE)...Scd，E(HScd，KE)，E(Kstate，KE)，E(KE，KM)} (Eq 5)或者，如果状态更新为新状态M＝{T，Sab，E(HSab，KE)...Scd，E(HScd，KE)，E(Kstate，KE)，E(KE，T′‖K′state‖KM)} (Eq 5’)总之，此公式可用于在包括并不拥有当前状态密钥的加入用户和拥有当前状态密钥的当前活动用户的群组中更新状态和状态密钥。注意到，没有当前状态密钥的加入用户群组可包括以前已取消但具有旧状态密钥的用户，即，自这些用户取消以来，发生了至少一次状态更改。
类似地，公式2和4的完全概括(full generalization)产生M＝{T，Sab，E(HSab，KE)...Scd，E(HScd，KE)，Srs，E(HSrs，KP)...Stu，E(HStu，KP)，E(KE，KM)} (Eq 6)M＝{T，Sab，E(HSab，KE)...Scd，E(HScd，KE)，Srs，E(HSrs，KP)...Stu，E(HStu，KP)，E(KE，T′‖K′state‖KM)} (Eq 6’)注意，在UR不为空(即，在具有状态密钥的那些用户中存在要取消的用户)时，使用等式6而不是等式5。
如这些公式中所示，新状态和状态密钥可与媒体密钥一起分发。然而，在某些情况下，不更改状态是有利的。例如，如果预计只有少量用户会加入和离开，则不更改状态可能不会增加过多的开销。有利之处因而将是系统在这段时间期间以一种半无状态模式操作。
图11是提供上述情况汇总的状态图。在状态图的左侧分支中，使用初始化消息执行完全更新。结果是所有用户变为活动用户，并且不存在具有当前状态密钥的已取消用户UR。如图11所示的最终状态包括替换为集合UA∪UJ的UA，并且UJ设为空集。
图的右侧分支对应于部分更新。首先，创建包括集合UJ并可能还包括UA的用户的覆盖C。图随后分成两个均与具有当前状态密钥的用户有关的分支。右侧分支对应于无已取消用户的情况。视状态是否更新而定，等式3或等式3′用于为UA中的用户更新状态密钥。流程继续转到考虑没有状态密钥的用户。如果随后转为左侧分支，即，UR≠0，则形成覆盖集合C1，该集合包括集合UA\C(其中，C在此情况下被视为覆盖C中被覆盖的用户集合)并可能还包括P\UR的用户。之后，视状态是否更新而定，对集合C1应用等式(4)或等式(4′)。流程继续转到考虑没有状态密钥的用户。
图11中图的较低标记部分涉及会加入但没有状态密钥的用户即集合UJ。视UJ中的加入用户是否会接收新状态密钥而定，对集合C使用等式2或等式2′。如果使用等式2′，则最终状态如上图左侧分支的情况一样设置。否则，最终状态包括将UJ设为空集。
在一个替代实施例中，密钥服务器维护若干状态，并维护每个状态对应的密钥结构和集合UR、UA与UJ。
用户可能失去同步。为减轻此问题，可提供在用户请求时重新同步的机制。例如，可从指定位置请求最新状态。或者，可每隔一定间隔应用重新初始化机制。还有的另一可能性是在用户可从其中搜索所需信息的公共位置公布所有密钥管理消息。
在本发明的第一方面中，引入了状态和状态密钥，并且等式6公开了更新消息的示范形式，在如此描述本发明的第一方面后，现在我们转到本发明的第二方面。
优化的子集覆盖计算根据第二方面，建议了一种用于以最佳方式创建集合Srs...Stu以减小更新消息大小的方法。值得注意的是，在使用状态密钥时，树的部分或多或少未定义。当创建最小子集时，可有利地利用这点。有时，将这些未定义的部分视为“已取消”用户可能有利，有时更好是将它视为“活动用户”(取决于它们如何在树中分布)。
通常，在子集覆盖算法中识别子集的方法假设树是均衡的，即，所有叶位于树中大约相同的深度，并且明确定义哪些叶已取消以及哪些是用户。这意味着例如没有未定义的叶。如上所述，根据本发明，状态密钥的使用允许创建不完全均衡的两个独立树。如果使用识别子集的通用算法，则必须有一种创建清晰且还优化的树的方法。否则，必须发明可直接在具有未定义的叶的树上创建覆盖的新方法。在SD用作基础方案时用于树的此类方法得以公开。在下述内容中，公开了基于表示拥有状态密钥的用户的树而实现此的实施例。然而，方法在表示并不拥有状态密钥的用户、即对应的节点未定义的树上同样适用。实际上，下述内容中所述的方法可用于生成例如活动、已取消或未定义等某个类型节点的覆盖。
通常，下述方法包括两个步骤。在第一步骤中，根据特定算法标记用户。第二步骤包括子集计算和用户与节点的标记的组合，即，用户的以前标记可在此步骤中更改。
根据第一实施例，在第一步骤中创建普通树，并将没有状态密钥的所有用户标记为群组的活动用户。这样，随后将在第二步骤中易于使用通用覆盖方法计算子集。为了解这点，可考虑图5B，其中，叶8、9、10、13和15具有状态密钥树，并且叶11、12和14没有状态密钥。根据第一步骤，叶11、12和14标记为活动。在图5B中，叶示为带阴影以提示它们没有当前状态。如果要取消叶13和15(在图5B中标记有叉号)，则通用算法会创建了集合S1，3以覆盖根左侧分支中的所有叶，创建了S6，13以覆盖叶12并创建了S7，15以覆盖叶14。使用等式4或等式4′形式的密钥更新消息。随后注意到，虽然叶11、12和14由上面指定的集合覆盖，但由于这些叶没有当前状态密钥，因而仍无法取回新密钥。
根据此实施例创建的集合不是最佳。最佳子集会只是子集S2，11，由此叶8、9、10会已更新，叶11不受影响，并且叶13、15已取消，未包括在覆盖集合中。
根据第二实施例，所述第二步骤包括根据第一实施例的第一步骤创建的子集S＝{Srs...Stu}的后处理。因此，根据第二实施例，如果在原树中Sij下的所有叶为未定义，则从S中去除集合Sij□S。因此，在上述例子中，集合S6，13和S7，15在后处理中删除，产生了近乎最佳的覆盖(它使用最佳数量的子集，但它无需覆盖未定义的用户)。减少覆盖的未定义的用户的数量降低已取消用户能够协作从而非法取回密钥的风险。
根据第三实施例，所述第一标记步骤包括根据以下规则标记叶-没有状态密钥的所有叶标记为未定义。
-具有状态密钥的所有叶根据情况标记为用户或非用户。
在图5C中，未定义的叶带有线标记，而具有状态密钥的叶带有点标记。此外，在图5C中，叶13和15带有叉号标记以表示这些叶不会是用户。
所述第二组合的标记和计算步骤包括应用于如图5C所示树的以下算法-对于树中的每层，从叶开始，转到树中的上一层，并且对于该层的每个节点，执行以下步骤a.如果左右侧的子项均标记为未定义，则将节点标记为未定义，b.如果表示为x的一个子项标记为未定义，但表示为y的另一子项标记为用户或非用户，则将节点标记为y，并将x下的所有叶标记为y，c.如果子项均未标记为未定义，则将当前节点标记为用户。
遵循此算法，所有叶将标记为用户或非用户。因此，以前未定义的用户将被重新标记和定义。在示范图5C中，根据步骤2，叶8、9和10标记为用户，叶11、12和14标记为未定义，并且叶13和15标记为非用户。
无节点受子步骤a的影响。根据子步骤b，节点5标记为用户，并且节点6、7标记为非用户。此外，根据此子步骤，叶12和14标记为非用户，并且叶11是重新标记的用户。根据子步骤c，节点4标记为用户。在以下步骤中，只有子步骤c适用，并且节点1、2和3将标记为用户而对叶无任何影响。现在创建了只覆盖用户的覆盖。根据示范图5C，集合S1，3将产生。如图所示，这种情况下的结果覆盖是近乎最佳的。覆盖在使用的子集数量上是最佳的，但它不必要地覆盖了未定义的叶(11)。
根据第四实施例，先执行根据第二实施例的后处理，之后执行根据第三实施例的算法。
根据第五实施例，公开了创建子集覆盖的更有效方法，该方法产生最佳覆盖。此方法是基于一种着色算法，其中，根据节点的状态为节点着上不同的颜色。根据此实施例，所述第一步骤涉及为叶着色。如果在当前更新进程中会取消叶，即，它属于集合UR，则为叶着“红色”。如果已经取消叶并且叶没有当前状态密钥，即，它属于集合UO，则为叶着“黑色”。最后，如果叶会在当前更新中保持为群组用户，即它属于集合UA，则为叶着“蓝色”。由此可见，叶只可具有这些颜色之一。
之后，执行组合的标记和计算第二步骤。标记根据以下规则继续。为在底层上方的节点着色。子项的颜色基本上“相加”以组成父项的颜色。如果至少一个子项为红色，则父项将为红色，如果至少一个子项为蓝色，则父项将为蓝色。蓝色和红色分别表示在必须覆盖或严禁覆盖的节点下存在叶。如果任一子项均没有蓝色，父项将具有两个子项黑色之和(节点中的黑色量表示该节点下可取消的未判定叶数量)或子项黑色的最大值。着色进程从底部向上通过所有层继续进行(这也可通过树的深度优先遍历实施)。图12示出着色树的一个例子。此处，“k、d、e”分别表示颜色“黑色、红色、蓝色”。
我们现在转到说明第二步骤中包括的计算。为更好地理解算法，先进行定义。红线定义为源于着红色节点并包括更低层所有着红色节点的路径。线的顶部节点是着红色的最高节点，并只具有一个红色着色同属。在图12中，节点2、4和8形成一条线，即，节点2是顶部节点。还着蓝色的红线的顶部节点表示必须使用子集以覆盖该节点下的蓝色叶。
算法搜索具有蓝色顶部节点的红线，并在它发现此类红线时，调用函数Findset()构建所需的覆盖集合。线的顶部节点的父节点随后只着红色(即，蓝色和黑色的正常传播在该处停止)，此后，剩余树的着色正常进行。图9中示为伪码的Findset()算法的原理是从红线顶部向下处理，随后是蓝色节点，直至它到达两个子项均着蓝色的点。在发现经常可能为红线顶部的此类节点时，算法注意到这必须是子集的顶部节点(在它到达的节点只为蓝色、无黑色或红色存在时，需要一种特殊的情况)。
随后，它继续从新发现的顶部节点沿任一红色向下，直至它到达无蓝色的节点，该节点必须是被排除子树的根。如果无红色存在，则它将转为尝试将被排除的未判定用户数量最大化，并沿最大数量的黑色向下，同样直至它到达不存在蓝色的节点。随后，此节点将为被排除子树的根。
在图11中，有两条所述类型的线。节点2和3是这些线相应的顶部节点。沿左侧线我们注意到两个子项并非均为蓝色，因此，我们将根下移到节点4。从节点4开始，我们发现在我们沿红线向下时未着蓝色的第一个节点是节点8，因此，该节点将是被排除子树的根。相应地，集合S4，8添加到覆盖。同样地对于右侧线，根将变为节点3，并且节点6将为到达的不存在蓝色的第一个节点，从而使其成为被排除子树的根。结果是集合S3，6也添加到结果覆盖。
根据算法，颜色“红色”和“蓝色”表示为布尔值，并且颜色“黑色”表示为整数。或者，颜色“黑色”也表示为布尔值，但从它可能覆盖比严格需要的更多的黑色节点方面来说，这不会提供最佳子集覆盖。然而，值得注意的是，通过该修改，它将仍决不会对覆盖使用更大数量的子集，因此，从带宽角度而言，两种方法均是最佳的。
算法在图10中描述。假定一棵树，其中，叶已根据上述原理着有“蓝色”、“红色”和“黑色”，图10所示的覆盖函数Cover()为树创建完整的子集覆盖。函数Cover()利用图9所示子函数Findset()，该子函数导出尽可能小的集合以覆盖根在给定节点的子树，即，它通过覆盖尽可能少的“黑色”和“红色”而覆盖树。函数返回子集Sx，y的下标。在图10中，“根”表示树的根节点。此节点从不更新。如上所述，黑色表示为整数，并且算法中的和“+”是整数的普通和。其余语法元素是自解释性的并在本领域已熟知。
在替代实施例中，黑色还表示为布尔值。这种情况下，图10中n.black的计算修改为n.black＝left(n).black|right(n).black。
多个业务上述优选实施例便于管理与特定业务有关的密钥。然而，常见的是用户预订多个业务。本发明所述实施列可用于每个上述业务以管理密钥和密钥管理消息。密钥标识符可用于将密钥与对应业务相关联。显然，此直接方案会产生多个密钥管理消息。此外，如何通过不同用户状态群组在用于多个业务的方案中引入状态相关性并非显而易见。因此，根据本发明的另一实施例，公开了用于在多个同时业务且其中业务可具有不同预订用户的情况下管理密钥分发的提议系统扩展。图13示出了此类型业务的一个例子。图中示出了多个业务包，业务包1-4。如图中所示，在信道a-h的一个或几个分发信道上分发每个包。信道可与例如通过频率识别的示范广播信道有关。右侧示出了不同业务包的7个用户。两个所示用户未预订任何业务包，并示出有叉号以指示它们不会参与任何密钥更新进程。媒体分发器为每个预订用户编译业务包，并使用从密钥服务器获得的适当媒体密钥对包进行加密。
根据此实施例，除如上所述且下文还称为主状态的状态T外，每个业务包(i)指定有定义为TPi的业务特定的状态和对应的状态密钥KTpi。每个状态TPj如上所述定义对应的树结构。注意，同一SD树可用于所有业务包。通过使用对应的树结构将用户添加到特定的业务和从中取消用户。还可使用主状态密钥取消用户。因而这将产生以下效果将从用户预订的所有业务取消用户。
根据主状态密钥T且还根据适当的业务状态密钥TPi分发和保护用于特定业务的媒体密钥。在替代实施例中，为提高效率，应用函数f从主密钥和业务包种子导出媒体密钥。参照图14，将诸如散列函数等单向函数f应用到种子SP1和主密钥KMK以生成对应于第一业务的业务媒体主密钥KPM1。其他可用业务是类似的。从这些业务包主密钥，可为每个信道生成其他密钥KMx(x＝a-h)。这些信道密钥的导出可类似于业务包主密钥的生成，即，通过在KPMx和种子上使用函数f生成。这样，在密钥更换期间，只需发射一个密钥KMK。应注意的是，种子和函数f必须在可进行上述密钥更换前达成一致。例如，这可在最初注册业务期间进行。
替代实施例根据本发明，优选包括记录已取消的用户和其在取消时的状态和状态密钥的工具。在一个替代实施例中，系统参数优选确定此历史记录的深度，即，在寄存器中应维护的状态T的最大数量。
上述实施例只是作为例子提供，并且应理解，本发明并不限于此。保留本文公开且要求保护的基本基础原理的其它修改、更改和改进是在本发明的范围和精神之内。
参考文献[1]国际专利申请WO-200260116(LOTSPIECH J B；NAOR D；NAOR S)。“基于LKH的多播密钥分发方案的概率优化”(ProbabilisticOptimization of LKH-based Multicast Key Distribution Schemes，A.Selcuk et al.，Internet draft January 2000，http//www.securemulticast.org/draft-selcuk-probabilistic-lkh-00.txt)。美国专利5748736。“移动网络中安全多播群组通信的密钥管理”(Key Managementfor Secure Multicast Group Communication in Mobile Networks，T.Kostas et al.，http//nevelex.com/downloads/discex.pdf)。
权利要求
1.一种在选择性访问业务的系统中实现改进的密钥分发的方法，其中，将包括业务访问密钥的群组密钥管理消息传送到用户群组以访问选定业务，所述方法包括-基于无状态子集覆盖方案创建加密密钥集合，在所述子集覆盖方案中，每个用户与叶相关联；-建立状态密钥和表示具有所述状态密钥的用户子集和没有所述状态密钥的用户子集的对应状态；-基于表示所建立的状态的信息确定子集覆盖；以及-至少部分基于所确定的子集覆盖确定所述群组密钥管理消息。
2.如权利要求1所述的方法，其中，所述确定群组密钥管理消息的步骤包括确定可由具有所述状态密钥的用户子组抽取的第一消息部分的步骤。
3.如权利要求2所述的方法，其中，所述具有所述状态密钥的用户子组包括具有所述状态密钥并会保持活动的用户。
4.如权利要求2所述的方法，还包括以下步骤-至少部分基于所述状态密钥保护信息保护密钥；以及-将所述受保护的信息保护密钥并入所述群组密钥管理消息中。
5.如权利要求4所述的方法，其中，所述保护信息保护密钥的步骤是基于所述状态密钥及另外的密钥，其中，所述另外的密钥基于会保持活动的用户的子集覆盖的加密密钥而受到保护并以受保护形式并入所述群组密钥管理消息的所述第一部分。
6.如权利要求5所述的方法，其中，所述群组密钥管理消息M根据以下等式确定M＝{T，Srs，E(HSrs，KP)…Stu，E(HStu，KP)，E(KE，KM)}，KE＝F(KP，Kstate)其中，T是状态标识符，Kstate是当前状态密钥，Srs、…、Stu是覆盖在具有所述状态密钥的那些用户中会保持活动的用户的用户集合，E是加密函数，HSrs、…、HStu是对应于所述用户集合的所述无状态子集覆盖方案的加密密钥，KP是所述另外的密钥，KE是根据所述另外的密钥和所述状态密钥的函数F计算得出的包封密钥，以及KM是信息保护密钥。
7.如权利要求4所述的方法，其中，所述信息保护密钥及新的状态密钥至少部分基于当前状态密钥而受到保护，并且所述受保护的新状态密钥也并入所述群组密钥管理消息中。
8.如权利要求2所述的方法，其中，所述确定群组密钥管理消息的步骤还包括确定可由没有所述状态密钥的用户子组抽取的第二消息部分的步骤。
9.如权利要求8所述的方法，其中，所述没有所述状态密钥的用户子组包括要作为活动用户加入的用户。
10.如权利要求8所述的方法，其中，所述状态密钥和媒体保护密钥基于要作为活动用户加入的用户的子集覆盖的加密密钥而受到保护，并以受保护形式并入所述群组密钥管理消息的所述第二部分。
11.如权利要求1所述的方法，其中，所述确定子集覆盖的步骤包括以下步骤-基于所述状态信息标记用户；以及-基于所述用户标记计算所述子集覆盖。
12.如权利要求11所述的方法，其中，所述基于所述状态信息标记用户的步骤包括将没有所述状态密钥的用户标记为活动用户的步骤，并且所述计算步骤涉及使用通用子集覆盖计算过程。
13.如权利要求11所述的方法，其中，基于将用户分类成以下三种类型执行所述基于所述状态信息标记用户的步骤-具有所述状态密钥但会被取消的用户；-具有所述状态密钥并会保持活动的用户；以及-没有所述状态密钥的用户。
14.如权利要求13所述的方法，其中，所述基于所述状态信息标记用户的步骤包括以下步骤-最初将没有所述状态密钥的用户标记为未定义的用户；-将具有所述状态密钥的每个用户标记为以下之一称为成员的会保持活动的用户和称为非成员的会被取消的用户；以及-根据具有所述状态密钥的用户的以前的标记，将每个未定义的用户重新标记为以下之一成员和非成员。
15.如权利要求11所述的方法，其中，所述基于所述状态信息标记用户的步骤和所述基于所述用户标记计算所述子集覆盖的步骤以集成方式同时执行。
16.如权利要求15所述的方法，其中，基于将用户分类成以下三种类型执行所述集成的标记和计算步骤-具有所述状态密钥但会被取消的用户；-具有所述状态密钥并会保持活动的用户；以及-没有所述状态密钥的用户。
17.如权利要求16所述的方法，其中，根据所述分类将颜色指定给用户，并且根据着色算法执行所述集成的标记和计算步骤。
18.如权利要求1-16中任一项所述的方法，其中，所述群组密钥管理消息包括用于访问多个业务的多个密钥，所述方法包括-所述建立步骤还包括为所述多个业务中的每个业务建立业务状态密钥和表示具有所述业务状态密钥的用户子集和没有所述业务状态密钥的用户子集的对应状态；-所述确定子集覆盖的步骤还包括基于表示所建立的业务状态的信息，为所述多个业务中的每个业务确定业务子集覆盖；-所述确定所述群组密钥管理消息的步骤包括至少部分基于表示所述建立的业务子集覆盖的信息，为每个业务确定所述管理消息的组成部分；以及在于又一步骤组合所述组成部分以形成所述群组密钥管理消息。
19.一种在选择性访问业务的系统中实现改进的密钥分发的布置，其中，将群组密钥管理消息传送到用户群组，所述布置包括-基于无状态子集覆盖方案创建加密密钥集合的工具，在所述方案中，每个用户与叶相关联；-建立至少一个状态密钥和表示具有所述至少一个状态密钥的用户子集和没有所述至少一个状态密钥的用户子集的至少一个对应状态的工具；-基于表示所建立的至少一个状态的信息而确定至少一个子集覆盖的工具；以及-至少部分基于所确定的所述至少一个子集覆盖而确定所述群组密钥管理消息的至少一部分的工具。
20.如权利要求19所述的布置，其中，所述确定群组密钥管理消息的工具包括确定可由具有所述至少一个状态密钥的用户子组抽取的第一消息部分的工具。
21.如权利要求20所述的布置，其中，所述具有所述至少一个状态密钥的用户子组包括具有所述至少一个状态密钥并会保持活动的用户。
22.如权利要求20所述的布置，还包括-至少部分基于所述至少一个状态密钥而保护至少一个业务保护密钥的工具；以及-将所述受保护的至少一个业务保护密钥并入所述群组密钥管理消息的工具。
23.如权利要求22所述的布置，其中，所述保护至少一个业务保护密钥的工具可操作用于基于所述至少一个状态密钥和至少一个另外的密钥保护所述至少一个业务保护密钥，其中，所述至少一个另外的密钥基于会保持活动的用户的子集覆盖的加密密钥而受到保护，并以受保护形式并入所述群组密钥管理消息的所述第一部分。
24.如权利要求23所述的布置，其中，所述至少一个状态密钥包括主状态密钥Kstate，以及其中，所述确定群组密钥管理消息的工具可操作以根据以下等式确定至少一个消息部分MM＝{T，Srs，E(HSrs，KP)…Stu.E(HStu，KP)，E(KE，KM)}，KE＝F(KP，Kstate)其中，T是状态标识符，Srs、…、Stu是覆盖在具有所述至少一个状态密钥的那些用户中会保持活动的用户的用户集合，E是加密函数，HSrs、…、HStu是对应于所述用户集合的所述无状态子集覆盖方案的加密密钥，KP是所述至少一个另外的密钥，以及KE是根据所述至少一个另外的密钥和所述主状态密钥的函数F计算得出的对应包封密钥，以及KM是业务保护密钥。
25.如权利要求22所述的布置，其中，所述至少一个业务保护密钥及新的状态密钥至少部分基于所述主状态密钥而受到保护，并且所述受保护的新状态密钥也并入所述群组密钥管理消息中。
26.如权利要求20所述的布置，其中，所述确定群组密钥管理消息的工具还包括确定可由没有所述至少一个状态密钥的用户子组抽取的第二消息部分的工具。
27.如权利要求26所述的布置，其中，所述没有所述至少一个状态密钥的用户子组包括要作为活动用户加入的用户。
28.如权利要求27所述的布置，还包括基于要作为活动用户加入的用户的子集覆盖加密密钥而保护所述至少一个状态密钥和业务保护密钥的工具和以受保护形式将它们并入所述群组密钥管理消息的所述第二部分的工具。
29.如权利要求19所述的布置，其中，所述确定子集覆盖的工具包括-基于所述状态信息标记用户的工具；以及-基于所述用户标记计算所述子集覆盖的工具。
30.如权利要求29所述的布置，其中，所述基于所述状态信息标记用户的工具包括将没有所述至少一个状态密钥的用户标记为活动用户的工具，并且所述计算工具根据通用子集覆盖计算过程操作。
31.如权利要求29所述的布置，其中，所述基于所述状态信息标记用户的工具可操作以基于将用户分类成以下三种类型而标记用户-具有所述至少一个状态密钥但会被取消的用户；-具有所述至少一个状态密钥并会保持活动的用户；以及-没有所述至少一个状态密钥的用户。
32.如权利要求31所述的布置，其中，所述基于所述状态信息标记用户的工具包括-最初将没有所述至少一个状态密钥的用户标记为未定义的用户的工具；-将具有所述至少一个状态密钥的每个用户标记为以下之一的工具称为成员的会保持活动的用户和称为非成员的会被取消的用户；以及-根据具有所述至少一个状态密钥的用户的以前的标记将每个未定义的用户重新标记为成员和非成员之一的工具。
33.如权利要求29所述的布置，其中，所述基于所述状态信息标记用户的工具和所述基于所述用户标记计算所述子集覆盖的工具配置为以集成方式同时操作。
34.如权利要求33所述的布置，其中，所述标记和计算的集成操作是基于将用户分类成以下三种类型-具有所述至少一个状态密钥但会被取消的用户；-具有所述至少一个状态密钥并会保持活动的用户；以及-没有所述至少一个状态密钥的用户。
35.如权利要求34所述的布置，还包括根据所述分类将颜色指定给用户的工具，以及其中，根据着色算法执行所述标记和计算的集成操作。
36.如权利要求19所述的布置，其中，所述布置在密钥服务器上实施。
37.如权利要求19所述的布置，还包括-将所述加密密钥集合的子集、状态标识符和状态密钥发射到识别的用户的工具。
38.如权利要求37所述的布置，还包括接收并存储所述子集、状态标识符和状态密钥的工具。
39.如权利要求38所述的布置，其中，所述接收并存储的工具在用户终端单元上实施。
全文摘要
本发明提议了无状态和状态完整技术的一种强大且发明性的组合以实现减少的总密钥管理消息。基于无状态子集覆盖方案创建加密密钥集合，其中，在子集覆盖方案中，每个用户与叶相关联。根据本发明的基本想法因而是建立状态密钥和表示具有该状态密钥的用户子集和没有该状态密钥的用户子集的对应状态，并基于表示已建立状态的信息确定子集覆盖。最后，可至少部分基于计算得出的子集覆盖确定群组密钥管理消息。引入的状态为有效的子集覆盖计算打开了通道，从而减小了密钥管理消息的大小。
文档编号H04L29/06GK101057445SQ200480044408
公开日2007年10月17日 申请日期2004年11月16日 优先权日2004年11月16日
发明者F·林德霍尔姆, G·克赖茨 申请人:艾利森电话股份有限公司